Tecnología de Información Gerencia de Servicios (Basado en ITIL)

A mis hijos Miguel y Manuel
Gracias por su soporte e inspiracin

en los momentos difciles.
J. Llorns Fbregas
ii
Prefacio
Informtica no es un problema
tcnico. Es un problema de gerencia.
Hasta hace pocos aos en los departamentos IBM o de procesamiento
de datos, como se les sola llamar, la administracin de los servicios era
bastante simple, slo tenamos que preocuparnos de guardar
ordenadamente unos decks" de tarjetas perforadas en los que residan los
programas o algunos archivos de datos y, en las organizaciones ms
sofisticadas, guardar ordenadamente unos cuantos carretes de cinta
magntica, donde residan los archivos de datos ms importantes. Junto
con esos elementos, unos instructivos que le indicaban al personal de
operacin los pasos que deban ejecutarse, completaban el conjunto de
componentes necesarios para prestar el servicio requerido por los
usuarios, que normalmente se concretaba en un listado o reporte.
La tecnologa de informacin, como se le denomina hoy da, ha
evolucionado dramticamente, las facilidades y posibilidades que
disponemos en la actualidad eran inimaginables en aquellas pocas; a
veces, hasta nosotros mismos nos sorprendemos de las capacidades que
nos traen las nuevas tecnologas. A pesar de ello, no es poco frecuente or
a los ejecutivos y usuarios de las empresas quejarse continuamente de los
servicios de informtica. Siempre se habla de que el departamento de
tecnologa de informacin es una especie de caja negra capaz de absorber
ms y ms recursos, sin que la empresa reciba una contraprestacin
razonable.
Del lado de informtica tambin es frecuente or quejas sobre la
cantidad de recursos que se les otorga y del bajo reconocimiento que
reciben los denodados esfuerzos que se invierten para brindar un servicio
de calidad.
Obviamente, los tcnicos de tecnologa de informacin no somos ni
unos buenos comunicadores, ni unos buenos administradores.
Evidentemente, hay que acercar esos dos extremos, especialmente
porque la tecnologa de informacin es un arma fundamental para que
cualquier empresa pueda competir con xito en su mercado. Como de
iii
costumbre, es ms fcil decirlo que hacerlo; sin embargo, al igual que la

tecnologa, las disciplinas de gerencia de los servicios de tecnologa de
informacin han venido evolucionando y madurando significativamente y
su insercin metdica en cualquier organizacin de informtica puede
significar una contribucin importante para que pueda entregarse un
servicio de alta calidad, con un costo razonable.
En el presente libro nos proponemos discutir sobre ese conjunto de
disciplinas de administracin de servicios de tecnologa de informacin,
no sin antes enfatizar que estas no constituyen una panacea y que su
aplicacin debe ser realizada desde una comprensin profunda de las
verdaderas necesidades de la empresa y de sus objetivos estratgicos y
desde un compromiso activo con el logro de dichos objetivos.
Como es costumbre, hemos tratado de producir un texto que pueda
acompaar a gerentes y administradores de TI en su empeo por ordenar
y disciplinar la gestin de servicios, para ello hemos puesto nuestros
mejores esfuerzos, esperamos no defraudarlos.
iv
Tecnologa de Informacin
Administracin de Servicios
ndice general
Captulo I
Disciplinas de administracin de servicios de TI
1.
2.
3.
4.
5.
6.
7.
8.
Qu es Gobernanza de TI? ........................................................... 3

La administracin de servicios de TI ............................................. 6
Qu es COBIT?............................................................................ 7
Qu es ITIL? ................................................................................ 9
Qu es ISO 20000? .................................................................... 13
Qu es CMM? ............................................................................ 16
Qu es MOF? ............................................................................. 20
Principales disciplinas de administracin de TI........................... 21
Captulo II
Centro de atencin
1. Qu es un centro de atencin a usuarios?................................... 31
1.1. Ventajas................................................................................ 32
1.2. Barreras ................................................................................ 32
2. Modalidades................................................................................. 32
3. Planificacin ................................................................................ 33
4. Facilidades ................................................................................... 34
5. Estructura ..................................................................................... 35
6. Actividades .................................................................................. 36
6.1. Atencin de llamadas ........................................................... 36
6.2. Cierre del reporte ................................................................. 37
6.3. Manejo desde inicio hasta cierre .......................................... 40
6.4. Centro de informacin ......................................................... 40
6.5. Actividades adicionales........................................................ 41
7. Evaluacin de la disciplina .......................................................... 41
Captulo III
Manejo de Incidentes
1. En qu consiste el manejo de incidentes?................................... 45
1.1. Ventajas................................................................................ 47
1.2. Barreras ................................................................................ 47
2. Requerimientos ............................................................................ 48
3. Clasificacin de los incidentes ..................................................... 48
4. Escalamiento y soporte ................................................................ 50
5. Actividades................................................................................... 50
5.1. Registro de incidentes .......................................................... 51
5.2. Clasificacin de los incidentes ............................................. 47
5.3. Anlisis, Resolucin y Cierre de Incidentes......................... 52
6. Evaluacin de la disciplina........................................................... 53
Captulo IV
Manejo de problemas
1. En qu consiste el manejo de problemas? ................................. 57
1.1. 1Ventajas.............................................................................. 58
1.2. Barreras ................................................................................ 59
2. Actividades................................................................................... 59
2.1. Control de problemas ........................................................... 60
2.2. Control de errores................................................................. 63
2.3. Revisin de post implementacin y cierre ........................... 64
3. Evaluacin de la disciplina........................................................... 64
4. Ejemplo ........................................................................................ 65
Captulo V
Administracin de Configuraciones
1. En qu consiste la administracin de configuraciones? ............. 69
1.1. Ventajas................................................................................ 70
1.2. Barreras ................................................................................ 70
2. Terminologa................................................................................ 71
2.1. tems de configuracin ......................................................... 71
2.2. Base de datos de configuraciones......................................... 72
2.3. Lnea base de configuracin................................................. 72
2.4. Sistema de administracin de configuraciones. ................... 72
vi
2.5. Ambientes operacionales ..................................................... 73

3. Proceso......................................................................................... 75
3.1. Planificacin ........................................................................ 76
3.2. Clasificacin y Registro ....................................................... 77
3.3. Alcance ................................................................................ 77
3.4. Nivel de detalle y Profundidad............................................. 78
3.5. Nomenclatura....................................................................... 78
3.6. Control ................................................................................. 79
3.7. Auditoras............................................................................. 79
Captulo VI
Administracin de versiones
1. En qu consiste la administracin de versiones? ....................... 83
1.1. Ventajas................................................................................ 85
1.2. Barreras ................................................................................ 85
2. Consideraciones de tipo prctico ................................................. 86
2.1. Tipos de versiones................................................................ 86
2.2. Actualizacin y custodia de componentes ........................... 87
2.3. Versiones anteriores............................................................. 88
2.4. Nomenclatura de versiones .................................................. 88
2.5. Estatus de una versin.......................................................... 89
3. Actividades de administracin de versiones ................................ 89
3.1. Planificacin ........................................................................ 90
3.2. Verificacin de cumplimiento de estndares ....................... 91
3.3. Verificacin de cumplimiento de pruebas............................ 91
4. Implementacin ........................................................................... 93
5. Soporte inicial .............................................................................. 94
Captulo VII
Administracin de cambios
1. En qu consiste la administracin de cambios? ......................... 97
1.1. Ventajas................................................................................ 98
1.2. Barreras ................................................................................ 98
2. Elementos .................................................................................... 99
3. Roles ............................................................................................ 99
vii
4. Actividades................................................................................. 100
4.1. Registrar ............................................................................. 101
4.2. Aceptacin de la solicitud .................................................. 102
4.3. Clasificacin....................................................................... 102
5. Aprobacin y Planificacin........................................................ 104
6. Implementacin.......................................................................... 105
7. Evaluacin.................................................................................. 106
8. Evaluacin de la disciplina......................................................... 106
Captulo VIII
Monitorizacin y control
1. En qu consiste monitorizacin y control?............................... 111
1.1. Ventajas.............................................................................. 113
1.2. Barreras .............................................................................. 114
2. Ciclo de monitorizacin ............................................................. 114
3. Terminologa.............................................................................. 115
4. Herramientas .............................................................................. 116
5. Niveles de monitorizacin.......................................................... 117
6. Formas de monitorizacin.......................................................... 118
7. Implementacin de la disciplina................................................. 119
Captulo IX
Administracin de niveles de servicio
1. En qu consiste la administracin de niveles de servicio? ....... 123
1.1. Ventajas.............................................................................. 124
1.2. Barreras .............................................................................. 125
2. Terminologa.............................................................................. 125
2.1. Proveedores, clientes y usuarios......................................... 125
2.2. Catlogo de servicios ......................................................... 126
2.3. Acuerdo de nivel de servicio .............................................. 127
2.4. Acuerdo de nivel operacional ............................................ 127
2.5. Programa de calidad de servicio......................................... 127
3. Creacin del catlogo de servicios ............................................. 128
4. Proceso ....................................................................................... 130
4.1. Preparacin......................................................................... 130
4.2. Seguimiento........................................................................ 131
viii
4.3. Revisin continua............................................................... 132

5. Evaluacin de la disciplina ........................................................ 132
Captulo X
Administracin Financiera de TI
1. En qu consiste la administracin financiera de TI?................ 137
1.1. Ventajas.............................................................................. 138
1.2. Barreras .............................................................................. 138
2. Terminologa.............................................................................. 138
2.1. Costos y gastos................................................................... 139
2.2. Depreciacin y amortizacin ............................................. 141
3. Planificacin .............................................................................. 142
3.1. Catlogo de servicios ......................................................... 143
3.2. Costeo de servicios ............................................................ 144
3.3. Proyectos............................................................................ 145
3.4. Costeo de proyectos ........................................................... 145
4. Elaboracin del presupuesto ...................................................... 146
5. Contabilidad............................................................................... 147
6. Actividades de la administracin financiera de TI .................... 148
Captulo XI
Administracin de la capacidad
1. Qu es administracin de la capacidad?................................... 155
1.1. Ventajas.............................................................................. 157
1.2. Barreras .............................................................................. 157
2. Actividades ................................................................................ 158
2.1. Plan de Capacidad.............................................................. 159
2.2. Estimacin.......................................................................... 160
2.3. Asignacin de recursos ...................................................... 160
2.4. Monitorizacin................................................................... 161
3. Administracin de la demanda .................................................. 161
ix
Captulo XII
Continuidad de los servicios de TI
1. Qu es administracin de la continuidad? ................................ 167
1.1. Ventajas.............................................................................. 169
1.2. Barreras .............................................................................. 169
2. El plan de continuidad del negocio - (BCP)............................... 170
3. Terminologa.............................................................................. 172
4. Preparacin................................................................................. 173
4.1. Evaluacin de riesgos......................................................... 173
4.2. Identificar procesos crticos ............................................... 173
4.3. Seleccin de estrategias de recuperacin ........................... 174
5. Alcance de la continuidad de servicios ...................................... 175
6. Organizacin y planificacin ..................................................... 177
6.1. Plan de mitigacin de riesgos............................................. 177
6.2. Plan de manejo de emergencias ......................................... 177
6.3. Plan de recuperacin .......................................................... 178
7. Continuidad de servicios en el da a da..................................... 178
7.1. Adiestramiento ................................................................... 179
7.2. Actualizacin...................................................................... 179
Captulo XIII
Administracin de la disponibilidad
1. Qu es administracin de la disponibilidad? ............................ 183
1.1. Clculo de la disponibilidad ............................................... 185
1.2. Ventajas.............................................................................. 185
1.3. Barreras .............................................................................. 186
2. Requerimientos de disponibilidad.............................................. 186
3. Plan de disponibilidad ................................................................ 187
4. Monitorizacin de la disponibilidad........................................... 187
5. Mediciones ................................................................................. 189
Captulo XIV
Seguridad de la informacin
1. En qu consiste la administracin de seguridad? ..................... 193
1.1. Ventajas.............................................................................. 194
1.2. Barreras .............................................................................. 195
2. La seguridad en el nivel de la empresa ...................................... 195
3. Actividades ................................................................................ 197
4. Polticas de seguridad ............................................................... 198
5. El plan de seguridad................................................................... 198
6. Cumplimiento de la normativa de seguridad ............................. 199
7. Evaluacin y mantenimiento ..................................................... 200
Captulo XV
Medicin
1. En qu consiste la medicin de los servicios de TI? ................ 205
1.1. Por qu medir? ................................................................. 206
1.2. Qu debemos medir?........................................................ 206
1.3. Quines participan en la medicin? ................................. 207
1.4. Criterios para definir indicadores....................................... 207
1.5. Interpretacin de indicadores ............................................. 208
2. Uso de los indicadores ............................................................... 208
3. Algunos indicadores o mediciones ............................................ 209
Anexo I -
Implantacin de las Disciplinas de Administracin de

Servicios de TI............................................................ 213
Anexo II - COBIT - Procesos de TI ............................................. 217
Anexo III - COBIT - Relaciones de los Objetivos de Control ...... 219
Bibliografa ..................................................................................... 235
xi
xii
Captulo I
Disc iplina s de
Adm inist ra c in de
Se rvic ios de T I
Captulo I

Tabla de contenido
1.2.3.4.5.6.7.8.-
Qu es Gobernanza de TI? .......................................................... 3

La administracin de servicios de TI ............................................ 6
Qu es COBIT?........................................................................... 7
Qu es ITIL? ............................................................................... 9
Qu es ISO 20000? ................................................................... 13
Qu es CMM? ........................................................................... 17
Qu es MOF? ............................................................................ 20
Principales disciplinas de administracin de TI ......................... 21
1.- Qu es Gobernanza de TI?

1.1.-
Gobernanza Empresarial
El diccionario de la real academia espaola define el trmino

gobernanza como:
1. Arte o manera de gobernar que se propone como objetivo el logro
de un desarrollo econmico, social e institucional duradero,
promoviendo un sano equilibrio entre el Estado, la sociedad civil
y el mercado de la economa.
2. Accin y efecto de gobernar o gobernarse.
En el ao 2002, los temas de gobernanza corporativa y control
tomaron un fuerte impulso como producto de los escndalos financieros
que llevaron al colapso a importantes corporaciones como la petrolera
ENRON- y que demostraron la necesidad de nuevas regulaciones para
fortalecer la gobernanza corporativa en Europa y Estados Unidos.
El Banco Internacional de Pagos (Bank of Internacional Settlements)
de Basilea Suiza, creado en 1930, es actualmente el principal centro
para la cooperacin internacional de bancos centrales y supervisores
bancarios. En el ao 1974, estableci un comit de supervisin bancaria
encargado de generar los estndares mnimos para los pases miembros
del grupo de los diez el G10-. Este comit, si bien no posee ninguna
autoridad de supervisin sobre los pases miembros y sus conclusiones no
tienen ninguna fuerza legal, ha formulado una serie principios y
estndares de supervisin bancaria, que han sido acogidos no slo por los
pases miembros del G10, sino por la mayora de los pases del mundo.
En Junio de 2004, el comit de supervisin bancaria de Basilea
public el documento conocido como Basilea II, que es el segundo de los
acuerdos de Basilea, que pas a constituirse como un estndar
internacional y es una referencia para todos los reguladores bancarios. En
sus documentos, el Banco Internacional de Pagos de Basilea establece la
siguiente definicin para gobernanza:
3
Captulo I
Gobernanza corporativa es un conjunto de relaciones entre

la gerencia de la organizacin, la junta directiva, los
accionistas y otros grupos de inters. La gobernanza
corporativa provee la estructura a travs de la cual se fijan
los objetivos de la organizacin y los medios para
alcanzarlos, as como tambin, se determinan los
mecanismos de medicin del desempeo. Una buena
gobernanza corporativa debe incentivar apropiadamente a la
junta directiva y a la gerencia a perseguir objetivos que estn
en el inters de la empresa y sus accionistas y debe facilitar
el monitoreo efectivo, estimulando, de esta forma, a las
empresas a utilizar los recursos ms eficientemente.
Vemos pues, que la gobernanza corporativa incluye la distribucin de
derechos y responsabilidades de los participantes en una corporacin,
tales como directores, gerentes, accionistas y otras partes involucradas o
interesadas stakeholders-, estableciendo claramente las reglas y
procedimientos para la toma de decisiones en los asuntos corporativos.
Si bien el foco de la gobernanza corporativa est en las finanzas y las
auditoras, tambin incluye otras funciones corporativas como tecnologa
de informacin, recursos humanos y cumplimiento de requerimientos
ambientales.
Resumiendo, podemos definir la gobernanza empresarial o corporativa
como el conjunto de prcticas y responsabilidades cumplidas por la
direccin ejecutiva de una empresa, con el fin de:
Proporcionar direccin estratgica
Asegurar de que los objetivos se cumplen

Comprobar que los riesgos se administran adecuadamente
Verificar que los recursos de la organizacin se utilizan
adecuadamente
Es importante visualizar la diferencia entre gobernanza empresarial y
gestin o administracin; podemos decir que la gobernanza empresarial
establece el ambiente donde los gerentes pueden actuar.
Mientras que la administracin incluye las actividades de
Definir normas y formas de comportamiento

Rendir cuentas
Velar por una utilizacin adecuada de los recursos
Definir de un ciclo de regulacin en sus procesos
Establecer una cartera de proyectos
Responder a las exigencias tanto del gobierno, como de los

usuarios.
La gobernanza, por el contrario, incluye las actividades de:
Establecer orientacin y direccionamiento
Establecer un marco general para decidir
Establecer una definicin de valores y principios
Promover ciclos de regulacin y adaptacin
Dictar lineamientos estratgicos y tcticos
Responder a las exigencias de la sociedad y de los accionistas.

Mirar al futuro y visualizar nuevas oportunidades
1.2.- Gobernanza de TI
Dentro del nuevo concepto de gobernanza corporativa o gobernanza
empresarial, se hizo lgico plantearse que los controles establecidos sobre
la funcin de tecnologa de informacin deben estar en un nivel
adecuado, puesto que TI es fundamental para el cumplimiento de los
procesos del negocio.
La gobernanza de TI no es una disciplina aislada, sino que es una
parte integral de la gobernanza empresarial o corporativa y tiene como
propsito: establecer el liderazgo, las estructuras organizativas y los
procesos necesarios para asegurar que la TI apoye el logro de los
objetivos y las estrategias de la empresa.
La gobernanza de las tecnologas de informacin y comunicaciones
constituye una responsabilidad tanto de la gerencia tcnica, como de la
directiva de la empresa y puede decirse que:
Establece la estructura que vincula procesos, recursos e
informacin de TI con las estrategias y objetivos de la compaa.
Integra e institucionaliza las mejores prcticas de planificacin y
organizacin, de adquisicin e implementacin, de entrega y
soporte y de monitorizacin del desempeo de la funcin de TI.
Obviamente, este nuevo concepto de gobernanza de TI requiere la
existencia de normas y estndares de uso, por lo que, en el tiempo, han
ido apareciendo varios, entre los cuales debemos mencionar:
ITIL (Information Technology Infrastructure Library- Biblioteca
de infraestructura de tecnologa de informacin)
5
Captulo I
COBIT (Control Objectives for Information and related

Technology Objetivos de control para la informacin y la
tecnologa relacionada)
CMM(Capability Maturity Model Modelo de madurez de la
capacidad)
ITSEC(Information Technology Security Evaluation CriteriaCriterios de evaluacin de seguridad de la tecnologia de
informacin)
Microsoft Operations Framework -basado en ITIL-.
Cada uno de esos estndares, han hecho enormes contribuciones a la
gobernanza de TI, dentro de su nivel de especializacin, haciendo que,
hoy da, el desafo de la gerencia de TI sea hallar la mejor forma de
utilizarlos, combinndolos inteligentemente y aprovechndolos al
mximo.
2.- La administracin de servicios de TI

Observamos en el punto anterior que la gobernanza de TI enfatiza la
importancia de la gestin de servicios de TI, en trminos de alinear el
soporte a los procesos del negocio, mejorar la calidad de los servicios,
reducir los costos de los servicios, reducir el tiempo de entrega y reducir
los riesgos de TI.
En efecto, la tecnologa de informacin constituye un elemento de
apoyo fundamental de cualquier empresa, para lograr su funcionamiento
eficiente y para materializar y cumplir sus objetivos estratgicos, por lo
que, dada esta dependencia, se hace imprescindible que los servicios de
tecnologa de informacin operen en forma eficaz y eficiente y para ello
es necesario incorporar y aplicar los conocimientos que conforman las
mejores prcticas en el rea de gestin de servicios de TI.
El gran desafo que enfrentan los profesionales de la informtica es
alinear los servicios de TI con las necesidades del negocio, con eficiencia
y dentro de una relacin costo / beneficio razonable.
Todos los esquemas que se han desarrollado y que citamos en el punto
anterior -ITIL, COBIT, CMM, ITSEC, MOF- constituyen un marco de
referencia para organizar el funcionamiento de los procesos de
administracin de servicios de TI, todos ellos adoptan un conjunto de
mejores prcticas recogidas por diferentes organizaciones, que se
complementan para describir las disciplinas que permiten administrar
eficaz y eficientemente los servicios de TI, optimizando sus beneficios y
6
garantizando la integracin de stos a la cadena de valor de las unidades

de negocio.
Centenares de organizaciones en el mundo aplican esos marcos de
trabajo, puesto que han sido desarrollados tomando en cuenta la
dependencia creciente que tienen las empresas modernas en la tecnologa,
para alcanzar sus objetivos y, porque, adems, permiten definir
procedimientos que hagan ms eficiente la administracin de los servicios
de TI, estableciendo orden y un esquema de trabajo comunes.
Es oportuno sealar, sin embargo, que ninguno de estos marcos de
trabajo constituye una solucin por si mismo, pues para lograr sus
objetivos, es necesario adaptarlos a cada empresa en particular e
insertarlos en las operaciones diarias de TI, desarrollando los
procedimientos y el personal de soporte capaz de aplicarlos y ponerlos en
prctica.
3.- Qu es COBIT?
La Asociacin para el Control y Auditora de los Sistemas de
Informacin (Information Systems Audit and Control Association1) y el
Instituto de Gobernanza de TI (IT Governance Institute2) son las
principales organizaciones que han desarrollado COBIT (Control
Objectives for Information and related Technology - Objetivos de control
para la informacin y la tecnologa relacionada), con el fin de ser
empleado no solamente por los auditores de una empresa, sino tambin
como una gua integral para lo que se denomina los dueos de proceso
y para la gerencia de las empresas.
La dinmica de los negocios requiere, cada vez ms, la autonoma de
los dueos de proceso, de tal forma que puedan asumir la responsabilidad
total de todos aspectos del proceso que les corresponde y, a su vez, ello
requiere que se establezcan controles adecuados. Con esa finalidad,
COBIT se ha desarrollado como una herramienta para el dueo de
proceso del negocio, facilitndole el cumplimiento de esas
responsabilidades.
1
Inicialmente fundada como una asociacin de auditores -EDP Auditors Association- en

1967, hoy da ISACA tiene ms de 65 mil miembros en unos 140 pases, incluyendo una
variedad de profesionales relacionados con TI, como auditores de sistemas, consultores,
profesionales de seguridad de TI, reguladores, gerentes de TI, etc. Actualmente existen
alrededor de 170 captulos de ISACA alrededor del mundo.
El ITGI, instituto afiliado a ISACA, fue creado en los Estados Unidos, el ao 1998,
reconociendo la importancia que, para las empresas, tiene la funcin de TI.
7
Captulo I
COBIT establece un marco de trabajo que parte de una premisa muy

simple y prctica: el dueo de un proceso y la organizacin requieren
informacin para alcanzar sus objetivos, por ello los recursos de TI deben
ser manejados por un conjunto de procesos estructurados
adecuadamente.
El marco de COBIT establece un sistema que incluye 34 objetivos de
control de alto nivel, uno para cada uno de los procesos de TI, agrupados
en cuatro dominios:
planificacin y organizacin
adquisicin e implantacin
entrega y soporte
seguimiento o monitorizacin.
Esta estructura cubre todos los aspectos de la informacin de una
empresa y de la tecnologa que la soporta y estos 34 objetivos de control
permiten que el dueo de un proceso de negocio pueda asegurarse que se
est ejerciendo un control adecuado sobre la funcin de TI.
Adems, correspondiendo a cada uno de los 34 controles de alto nivel,
COBIT incluye una gua para auditar, que permite revisar la funcin
de TI contra unos 318 objetivos detallados de control, lo cual, a su vez,
permite ayudar a la gerencia a verificar su cumplimiento o determinar las
mejoras que requieren los procesos para lograrlo.
De ms reciente desarrollo son las pautas para la gerencia de
COBIT, que permiten que la gerencia de la empresa pueda manejar con
mayor eficacia las necesidades y los requerimientos de la gobernanza de
TI. Tales pautas para la gerencia de COBIT son genricas y orientadas a
la accin, con el fin de dar respuesta a preguntas como las siguientes:
Qu tan lejos debemos ir?
Est justificado el costo por los beneficios?
Cules son los indicadores de buen funcionamiento?
Cules son los factores crticos del xito?
Cules son los riesgos de no alcanzar nuestros objetivos?
Qu hacen otras empresas?
Cmo medirnos y compararnos?
COBIT tambin incluye:
Modelos de madurez, para que la gerencia de una organizacin

pueda tener control sobre los procesos de TI, estableciendo las
brechas entre lo que se tiene en el presente y lo que debiera ser.
Un conjunto de indicadores que permitan establecer si los
procesos de TI alcanzan sus objetivos de soporte al negocio y si se
estn cumpliendo con eficiencia.
Un sistema de herramientas para llevar COBIT a la prctica,

basadas en las lecciones aprendidas por las organizaciones que lo
han hecho en el pasado.
Para resumir, podemos decir que COBIT ha sido diseado como una
herramienta que permite que los directivos de una empresa cumplan una
eficaz y eficiente gobernanza de TI y que comprendan los riesgos y
beneficios asociados a la tecnologa de informacin.
4.- Qu es ITIL?
La Biblioteca de Infraestructura de Tecnologa de Informacin
(Information Technology Infrastructure Library - ITIL) fue desarrollada
por la dependencia gubernamental del Reino Unido, denominada Office
of Goverment Comerce (OGC) -Oficina Gubernamental de Comercio-,
hacia finales de 1980. En esta librera se recogieron las mejores
experiencias en el manejo de los servicios de tecnologa de informacin,
para uso del gobierno del Reino Unido. Hoy da, ITIL se ha convertido en
un estndar de facto para la gestin de los servicios de informtica, pues
ha demostrado ser de gran utilidad en muchas organizaciones, como base
para organizar y desarrollar los servicios de TI.
ITIL ofrece un enfoque sistemtico para la prestacin de servicios de
tecnologa de informacin con alta calidad, por lo que las empresas
modernas, que dependen cada vez ms de esa tecnologa, adoptan con
gran inters el conjunto de disciplinas de servicio que presenta ITIL, con
el fin de que sus servicios de TI realmente apoyen el logro de sus
objetivos y constituyan el respaldo que requiere la eficiencia de sus
operaciones.
Si observamos que la fase de desarrollo e implantacin, dentro del
ciclo de vida de los productos y servicios de tecnologa de informacin,
constituye slo el 30% de los costos y el tiempo, mientras que la fase de
operacin de esos servicios ocupa el 70 %, es fcil explicarse la
importancia que tiene la administracin eficiente de esos servicios.
Captulo I
4.1.- Los procesos de ITIL

ITIL fue publicado originalmente a fines de 1980, constaba de 10
libros y cubra las reas de Soporte de Servicios y Prestacin de
Servicios. Con los aos, ITIL se ha ido convirtiendo en algo ms que una
serie de libros sobre los servicios de tecnologa de informacin. Los
libros originales se fueron expandiendo y se le fueron aadiendo libros
complementarios que cubran una numerosa variedad de temas, desde el
cableado hasta la gestin de la continuidad del negocio.
A partir del ao 2000, la OCG acometi una revisin de la biblioteca,
con la participacin de consultores, especialistas y proveedores de
tecnologa de informacin, crendose una nueva versin que facilit el
acceso a la informacin necesaria para administrar los servicios. En esa
nueva versin, los libros se agruparon en dos reas: soporte de servicios y
prestacin de servicios. En esas dos grandes reas, se agruparon diversos
procesos ntimamente interrelacionados:
Procesos de soporte
Escritorio de servicios (Service Desk).
Administracin de la Configuracin (Configuration
Management).
Administracin de Incidentes (Incident Management).
Administracin de Problemas (Problem Management).
Administracin de Cambios (Change Management).
Administracin
de
la
Distribucin
(Release
Management).
Procesos de entrega de servicios
Administracin
de
la
Capacidad
(Capacity
Management).
Administracin de la Disponibilidad (Availability
Management).
Administracin de la Continuidad (Continuity
Management).
Administracin Financiera (Financial Management).
Administracin del Nivel de Servicio (Service Level
Management).
10
4.2.- ITIL versin 3

La ms reciente versin de ITIL versin 3- desarrollada el ao 2006,
ha ampliado significativamente el alcance de ITIL, presentando una
organizacin diferente e introduciendo el concepto del ciclo de vida
de los servicios.
La versin 3 de ITIL incluye los siguientes 5 libros, para cada fase del
ciclo de vida:
1. Estrategias de Servicios (Service Strategies)
En esta fase se analizan y comprenden los planes del negocio, para
traducirlos en estrategias de TI que permiten planificar la gestin de
servicios de TI.
2. Diseo de Servicios (Service Design)
En esta fase se disean nuevos servicios o se modifican para ser
introducidos en un ambiente de produccin. Esto es, incluye el
desarrollo de nuevos servicios y sus procesos relacionados, as como
la modificacin de servicios existentes.
3. Transicin de Servicios (Service Transition)
En esta fase se crean las estrategias de transicin y puesta en
produccin de los servicios nuevos o modificados.
4. Operacin de Servicios (Service Operations)
En esta fase se cumplen las actividades y procesos requeridos para
que los usuarios del negocio reciban los servicios con el nivel de
calidad requerido.
5. Mejora Continua de Servicios (Continuous Service Improvement CSI)
Esta fase centra su atencin en la medicin y el anlisis de los
procesos, con el fin de establecer un adecuado ciclo de mejora
permanente sobre los servicios existentes.
En estas fases del ciclo de vida de los servicios se agrupan las
funciones y procesos de la siguiente forma:
1. Funciones y procesos en la fase de estrategia de servicios
1.1. Administracin financiera (Financial Management)
1.2. Administracin de la cartera de servicios (Service Portafolio
Management -SPM)
1.3. Administracin de la demanda (Demand Management)
11
Captulo I
2. Funciones y procesos en la fase de diseo de servicios

2.1. Administracin del catlogo de servicios (Service Catalogue
Management)
2.2. Administracin de niveles de servicio (Service Level
Management)
2.3. Administracin de la capacidad (Capacity Management)
2.4. Administracin de la disponibilidad (Availability Management)
2.5. Administracin de la continuidad de servicios de TI (IT Service
Continuity Management)
2.6. Administracin de la seguridad de informacin (Information
Security Management )
2.7. Administracin de proveedores (Supplier Management )
3. Funciones y procesos en la fase de transicin de servicios
3.1. Planificacin de la transicin y soporte (Transition Planning
and Support )
3.2. Administracin de cambios (Change Management)
3.3. Administracin de la configuracin (Service Asset and
Configuration Management)
3.4. Administracin de versiones y su implantacin (Release and
Deployment Management)
3.5. Validacin y prueba de servicios (Service Validation and
Testing)
3.6. Evaluacin (Evaluation)
3.7. Administracin del conocimiento (Knowledge Management)
4. Funciones y procesos en la fase de operacin de servicios
4.1. Administracin de eventos (Event Management)
4.2. Administracin de Incidentes (Incident Management)
4.3. Atencin de requerimietos (Request Fulfillment)
4.4. Administracin de problemas (Problem Management)
4.5. Administracin de acceso (Access Management)
4.6. Monitorizacin y control (Monitoring and Control)
4.7. Operaciones de TI (IT Operations)
4.8. Escritorio de servicios (Service Desk)
12
5. Funciones y procesos en la fase de mejora continua de servicios

5.1. Mejora continua de procesos (CS improvement Process)
5.2. Reporte de servicios (Service Reporting)
5.- Qu es ISO 20000?

Con el xito de ITIL, en ao 1991 la organizacin BSI -British
Standards- promovi la creacin de estndares y normas especficas para
tecnologa de informacin y public la BS-15000, que con el tiempo ha
dado lugar a las normas ISO 20000, que se han establecido como estndar
internacional para la gestin de servicios de tecnologa de informacin.
ISO 20000, publicado en Marzo de 2006, se basa en dos documentos,
BS15000-1 y BS15000-2, publicados en 2002 y 2003 respectivamente, y
que, a su vez, fueron precedidos por una versin inicial de BS15000-1,
publicada en el ao 2000.
Hoy da, el estndar contiene dos partes: ISO/IEC 20000-1 e ISO/IEC
20000-2. La primera parte, ISO 20000-1, es la especificacin de la
gestin de servicios y la segunda parte, ISO 20000-2, contiene la
descripcin de las mejores prcticas en materia de gestin de servicios
de TI.
Los objetivos de la norma ISO 20000 se podran definir de la siguiente
forma:
Promover la adopcin de procesos integrados para suministrar los
servicios de TI.
Medir la comprensin y aplicacin de las buenas prcticas.
Ayudar a las organizaciones a generar servicios de calidad dentro
de un marco de eficiencia.
Se estima que la norma ISO 20000 ser una norma de enorme xito en
los aos venideros, pues:
Las empresas dependen cada vez ms de sus sistemas de TI y
requieren una gestin eficaz y eficiente.
Las fallas e incidentes cada vez impactan ms a las empresas, por
lo que se requiere un sistema de gerencia capaz de manejarlos
adecuadamente.
Las infraestructuras de TI son cada vez ms complejas y se
requiere que sean operadas y administradas eficientemente.
Poseer la certificacin ISO 20000 ser una ventaja competitiva y
una referencia positiva muy valorada por los clientes.
13
Captulo I
El portal de la GSTI, ISO 20000 Central -puede ser visitado en la

direccin internet http://20000.fwtk.org/- ha identificado que la
implementacin de las normas ISO 20000 puede derivar beneficios e
introducir mejoras tales como:
La alineacin de los servicios de TI con la estrategia del negocio
La creacin de un marco formal para los proyectos de mejora de
los servicios
La provisin de un marco de comparacin con las mejores
prcticas
La creacin de una ventaja competitiva por medio de la prestacin
de servicios consistentes y econmicamente eficaces
La creacin de una cultura proactiva, debido a la fijacin de
propietarios y responsables de los procesos a todos los niveles
La reduccin de los riesgos y, por lo tanto, reduccin de los costos
en trminos de la recepcin externa de los servicios
La simplificacin en la introduccin de cambios organizacionales
importantes por medio de la creacin de un enfoque consistente y
normalizado
La mejora en la reputacin y percepcin
El cambio de procesos reactivos a procesos proactivos
La mejora en las relaciones nter departamentales por medio de
una mejor definicin de responsabilidades y objetivos
A pesar de que entre ITIL e ISO 20000 existe una gran interrelacin,
puede observarse que existen importantes diferencias:
14
ISO 20000 es certificable; ITIL no, son slo unas buenas

prcticas.
Para certificar ISO 20000 no es necesario implantar ITIL, pero su
utilizacin puede hacer el sistema ms robusto y ms sencillo el
cumplimiento de la normativa ISO 20000.
La estructuracin de la organizacin no es un requisito de ISO
20000 mientras que la adopcin de PDCA (Plan, Do, Check, Act)
es fundamental.
ISO 20000 incluye relaciones y control de proveedores y
subcontratistas.
El Plan de Continuidad de Negocio no es obligatorio en ITIL.
ITIL cubre la gestin financiera mientras que ISO 20000 cubre

presupuestos y contabilidad.
ISO 20000 incluye requerimientos de Seguridad de la Informacin
(ISO 27001).
Resumiendo, podemos afirmar que uno de los objetivos
fundamentales del modelo ITIL y, por tanto, de las normas ISO 20000 es
estimular la mejora continua de la calidad en la gestin de los servicios de
TI.
Dentro de las normas ISO 20000, se considera la aplicacin del
modelo de mejora permanente de la calidad PDCA, conocido como
Crculo de Deming o esquema de Plan-Do-Check-Act. Este
esquema, originalmente definido por Walter A. Shewhart3 fue
desarrollado y aplicado posteriormente por W. Edward Deming4 en sus
trabajos sobre Calidad Total.
El Ciclo PDCA bsico consiste en una serie de cuatro pasos que se
llevan a cabo consecutivamente:
1. P: PLAN (Planear): establecer los planes.
2. D: DO (Hacer): llevar a cabo los planes.
3. C: CHECK (Verificar): verificar si los resultados concuerdan
con lo planeado.
4. A: ACT (Actuar): actuar para corregir los problemas
encontrados.
Un factor importante para lograr esta mejora continua es realizar
comprobaciones peridicas de la calidad de gestin de los servicios de TI.
En tal sentido, la ISO 20000 proporciona una forma de verificar el
comportamiento de una organizacin en relacin con el objetivo de seguir
mejorando la calidad de los servicios.
En ISO 20000, el servicio de TI se divide en 7 subprocesos
integrados:
1. Servicios de entrega y soporte
Incluye los servicios que proporciona la organizacin TI para
apoyar adecuadamente las funciones del negocio y satisfacer
las necesidades de sus clientes y usuarios: administracin de
niveles de servicio, administracin de la continuidad y
3
W. A. Shewhart es conocido como el padre del control estadstico de calidad
W. Edward Deming, profesor de estadstica, fundador de la Calidad Total

15
Captulo I
2.
3.
4.
5.
6.
7.
16
disponibilidad,
administracin
de
la
capacidad,
administracin del presupuesto, manejo de incidentes y de
problemas.
Servicios de planificacin para implementacin
Incluye los servicios que la organizacin de TI planifica para
implementar o actualizar los servicios: administracin de
cambios, administracin de la entrega de servicio y
administracin de implantacin.
Administracin de Seguridad
Incluye los controles de seguridad que se implementan y
mantienen para mitigar el impacto y reducir la posibilidad de
incidentes en relacin con el almacenamiento, transmisin y
proceso de la informacin.
Perspectiva de negocio
Se centra en los principios y requerimientos clave de la
organizacin y operacin del negocio: administracin de
relaciones de negocio, administracin de proveedores y
administracin de niveles de servicio.
Administracin de resolucin
Incluye los servicios que se prestan para minimizar los
trastornos al negocio, mediante la deteccin y anlisis
proactivo de causas y definicin de acciones para mejorar:
manejo de incidentes, manejo de problemas, administracin
de cambios, administracin de configuracin e informes de
servicio.
Administracin de proceso de control
Se centra en la administracin de cambios y configuracin de
servicios para dar soporte al negocio: administracin de la
configuracin, administracin de cambios, manejo de
incidentes y manejo de problemas.
Administracin de implantacin
Se centra en la puesta en marcha de servicios, sistemas,
programas y equipos nuevos o modificados.
6.- Qu es CMM?
El Modelo de Madurez de la Capacidad (CMM - Capacity Maturity
Model) fue desarrollado en 1986 por el Instituto de Ingeniera de
Sistemas (SEI) de la universidad Carnegie Mellon. Este modelo describe
un marco de referencia para el desarrollo y mantenimiento de software en
las organizaciones, as como para la adquisicin de software.
CMM constituye un modelo en el que el mejoramiento de los procesos
de software se implementa incrementalmente. El modelo CMM puede ser
adaptado y moldeado a cualquier organizacin en particular, dentro del
marco de los procedimientos que establece.
El modelo CMM se centra en el concepto de madurez de los procesos,
concepto que define como el grado de definicin de los procesos y el
grado de cumplimiento de los mismos en el manejo de los proyectos de
software.
En nuestro medio, esos procesos se suelen englobar dentro del trmino
de metodologa de desarrollo y mantenimiento de sistemas; por lo que
podramos afirmar que la madurez est determinada por el nivel de
claridad y precisin en la definicin de la metodologa y en el grado de
compromiso que existe dentro de la organizacin para cumplirla,
utilizarla para establecer los productos o entregables y ajustar los planes,
de tal manera que los proyecto sea controlables.
En el ao 2002, el CMM fue reemplazado por una nueva versin,
Integracin de Modelos de la Madurez de las Capacidades (Capacity
Maturity Model Integration).
Al igual que para CMM, la principal premisa de CMMI es que La
calidad de un producto la determina de manera importante la calidad del
proceso que se sigue para desarrollarlo y mantenerlo
Hoy da, CMMI es un modelo de referencia sobre buenas prcticas
maduras, consolidadas, y probadas para el desarrollo y mantenimiento de
productos y servicios, cubriendo todo el ciclo de vida, desde la
concepcin hasta la instalacin y mantenimiento. Integra la Ingeniera de
Software, la Ingeniera de Sistemas y la Adquisicin de Productos y
Servicios.
CMMI es:
Un gua para mejorar los procesos y comprobar la capacidad de un
grupo al ejecutarlos
Un modelo de madurez, esto es, de directrices, prcticas y
disciplinas basadas en las mejores prcticas de la industria.
17
Captulo I
Un marco de referencia para calificar y diagnosticar el progreso de

una organizacin.
Indica qu deben hacer los procesos, no cmo deben hacerlo.
CMMI no es:
Una metodologa de desarrollo o direccin de proyectos.
NO compite con metodologas de desarrollo como RUP, TOGAF,
etc.
NO compite con PMBOK del PMI ni con PRINCE 2 u otras
disciplinas de administracin de proyectos
No es un estndar de procesos.
CMMI, en muchas empresas se complementa con otros modelos,
como los que arriba hemos citado.
6.1.- Niveles en CMMI

El modelo CMMI establece varias etapas dentro de la evolucin de los
procesos de desarrollo y mantenimiento de software:
1. Inicial:
Las organizaciones que estn en esta etapa, se caracterizan por
tener procesos desorganizados, poco predecibles y que no pueden
ser controlados adecuadamente.
Los procedimientos, cuando existen, se abandonan en momentos
de crisis y no hay la capacidad para derivar experiencias y repetir
los procesos que hayan resultado exitosos.
El xito de los proyectos depende casi exclusivamente de las
capacidades individuales
2. Gestionado:
En esta etapa, las organizaciones utilizan la ingeniera de
software para establecer los procesos bsicos de direccin de
proyectos, para planificar, para controlar los costos y asegurar la
calidad de los productos.
Entre las disciplinas que se aplican en esta etapa estn:
Administracin de requerimientos
Planificacin de proyectos
Seguimiento y control de proyectos
Administracin de acuerdos con proveedores
Aseguramiento de la calidad de procesos y productos
18
Administracin de la configuracin
3. Definido:
En esta etapa las organizaciones han definido y documentado los
estndares y procedimientos de desarrollo y mantenimiento y,
adicionalmente, todos los proyectos siguen un proceso estndar
para desarrollar y mantener software.
En esta etapa se aaden diferentes disciplinas como:
Desarrollo de requerimientos
Integracin de productos
Verificacin
Validacin
Administracin integrada de proyectos
Administracin de riesgos
Administracin integrada de proveedores
4. Cuantitativamente Gestionado:
En esta etapa, adicionalmente a las definiciones realizadas en la
etapa anterior, los productos y las actividades se miden y evalan
cuantitativamente. Se mide la calidad y la efectividad del
proceso, a travs de criterios cuantitativos, y se verifica el
cumplimiento de los objetivos de negocio
Medicin del desempeo de los procesos en la
organizacin
Administracin cuantitativa de proyectos
5. En Optimizacin:
Esta etapa se caracteriza por la mejora cuantificable y continua
de las prcticas de desarrollo y mantenimiento, mediante la
retroalimentacin de las mediciones y la realizacin de proyectos
piloto destinados a evaluar nuevas ideas y tecnologas.
Innovacin y despliegue organizativo
Anlisis causal
Las claves para implementar exitosamente CMMI son:
Involucrar a los ejecutivos de la empresa
19
Captulo I
No perder de vista los objetivos de negocio y

revisarlos peridicamente
Aprovechar estas iniciativas para mejorar
realmente los procesos
Involucrar a los afectados por el proceso
Hacerlos partcipes de las decisiones
Crear una cultura de mejora
Definir procedimientos simples y tiles, que
aporten verdadero valor a la gente que los usa
Aprovechar prcticas que sabemos que funcionan
para nosotros
Educacin y formacin
Sesiones de formacin, tanto formales como
informales
Considerar las nuevas capacidades y los
conocimientos que sern requeridos.
Comunicacin interna y externa
Buscar el apoyo de consultores y otros grupos de la
organizacin
Cumplir un plan de comunicacin
7.- Qu es MOF?
El marco de operaciones de Microsoft (Microsoft Operations
Framework - MOF) es un conjunto de prcticas recomendadas por
Microsoft, a partir de las cuales se pueden disear los procedimientos,
controles y funciones necesarios para que la infraestructura de TI pueda
ser administrada con eficacia.
MOF est basado en la Biblioteca de infraestructuras de TI (ITIL) y
est orientada a la plataforma de Microsoft.
MOF ofrece directrices sobre la forma de planificar, implementar y
mantener los procesos operativos de TI que respaldan las soluciones de
servicio crticas. MOF es un modelo genrico y, por este motivo, debe
adaptar muchas de las recomendaciones para usarlas en una empresa en
particular.
20
MOF es un modelo estructurado y flexible que est basado en lo

siguiente:
Los equipos de consultora y soporte tcnico de Microsoft y sus

experiencias de trabajo con clientes empresariales y socios,
adems de grupos internos de operaciones de TI en Microsoft.
La Biblioteca de infraestructuras de TI (ITIL), que describe los
procesos y las prcticas recomendadas necesarios para el
suministro de soluciones de servicio crticas.
ISO/IEC 15504, de la Organizacin Internacional de
Normalizacin (ISO), que proporciona un enfoque normalizado
para evaluar la madurez del proceso de software.
Los detalles que integran el marco MOF pueden obtenerse en forma
gratuita en la siguiente direccin de internet:
https://www.microsoft.com/technet/solutionaccelerators/cits/mo/mof/default.mspx
8.- Principales disciplinas de administracin de TI

La administracin de servicios de TI consiste en la administracin de
todos los componentes de la infraestructura de una organizacin e incluye
las tareas administrativas diarias, planificadas y a solicitud, necesarias
para que el sistema de TI funcione correctamente.
Todas las tareas de administracin de operaciones se deben describir

mediante procedimientos escritos, con el fin de que todos los empleados
21
Captulo I
de soporte sigan los mismos mtodos, utilicen las herramientas

convenientemente y cumplan con los estndares.
Independientemente del marco de referencia que se utilice, puede
decirse que el conjunto de disciplinas de administracin de servicios de
tecnologa de informacin est conformado por las siguientes:
1. Centro de atencin
2. Manejo de incidentes
3. Manejo de problemas
4. Administracin de la configuracin
5. Administracin de versiones
6. Administracin de cambios
7. Monitorizacin y control
8. Administracin de niveles de servicio
9. Administracin financiera de los servicios TI
10. Administracin de la capacidad
11. Administracin de la continuidad de los servicios TI
12. Administracin de la disponibilidad
13. Administracin de la seguridad de informacin
Es muy importante destacar que la mayora de las disciplinas
mencionadas no podr ser implementada correctamente si no se cuenta
con el apoyo de las herramientas adecuadas, especialmente las disciplinas
de centro de atencin, administracin de configuraciones y
monitorizacin y control.
Afortunadamente en el mercado existe una amplia oferta de paquetes
de software de gran calidad, que ofrecen diferentes capacidades y
facilidades. Entre ellos, podemos citar los siguientes:
Tvoli de la empresa IBM
Unicenter y otros productos de la empresa Computer Associates
Vantage y otros productos de la empresa Compuware
HP Service Management Center
22
HP OpenView
Patrol y otros productos de la empresa BMC
LANDesk Software
Axios Systems
OpTier's CoreFirst
8.1.- Centro de atencin

El centro de atencin a los usuarios constituye el centro de las
comunicaciones de los usuarios con la funcin de TI, por lo que es el
punto ms crtico en la construccin de una buena relacin con el cliente.
El objetivo principal de un centro de atencin es servir como punto de
contacto entre los usuarios y la gerencia de servicios TI. En su
concepcin ms moderna, tambin debe funcionar como punto de enlace
de todos los procesos destinados a dar soporte al usuario:
Registrando y haciendo seguimiento de todas las llamadas

recibidas de los usuarios.
Aplicando soluciones temporales a los errores conocidos,

integrndose, de esta forma, con la disciplina de manejo de
incidentes.
Tramitando los cambios solicitados por los usuarios,

mediante peticiones de servicio, integrndose, de esta forma,
con las disciplinas de administracin de cambios y de
versiones.
8.2.- Manejo de incidentes

Es la disciplina orientada a la restauracin rpida del servicio,
clasificando los incidentes y haciendo seguimiento de la solucin de los
incidentes. El manejo de incidentes guarda una estrecha relacin con la
disciplina de manejo de problemas, pero a diferencia de sta, no se ocupa
de analizar e identificar las causas que puedan haber causado un
determinado incidente, sino que, como ya apuntramos, centra su
atencin exclusivamente en restaurar el servicio.
Establece la forma de:
Identificar
Analizar
Corregir
Hacer seguimiento
Recuperar la operacin normal
23
Captulo I
8.3.- Manejo de problemas

Es la disciplina orientada a la prevencin y solucin de los problemas
que presenten los servicios de TI, controlando los problemas y errores, y
actuando proactivamente ante los estos.
Incluye Polticas y Procedimientos de:
Deteccin
Registro
Seguimiento
8.4.- Administracin de la configuracin

Esta disciplina tiene como objetivo controlar los activos de TI:
Manteniendo un control detallado de todos los componentes

de la infraestructura TI, tanto hardware como software,
almacenando esa informacin en una base de datos de
configuracin inventario de hardware y software-.
Suministrando
informacin
actualizada
sobre
la
configuracin de la infraestructura de TI, para el
cumplimiento de los diferentes procesos de administracin de
servicios.
8.5.- Administracin de versiones

La administracin de versiones es la disciplina que centra su atencin
en la implementacin y en el control de calidad de todo el software y
hardware instalado o a ser instalado en el ambiente de produccin.
La administracin de versiones se integra con las disciplinas de
administracin de cambios y de configuraciones, para asegurar que toda
la informacin relativa a las nuevas versiones se integra adecuadamente
en la base de datos de administracin de configuraciones, de forma que
sta se halle correctamente actualizada y ofrezca una imagen real de la
configuracin de la infraestructura TI.
8.6.- Administracin de cambios

Dentro del mbito de TI el cambio es constante: nuevas aplicaciones,
cambios en las aplicaciones, entonacin de sistemas, crecimiento,
actualizacin tecnolgica, correccin de problemas, prevencin de
problemas, cambios por requerimientos legales, cambios por
requerimientos del negocio.
24
Esta disciplina tiene como objetivos:

Evaluar el impacto (consecuencias) de un cambio
Asegurar la participacin coordinada de todas las unidades
afectadas por un cambio
Evitar cualquier posible falla en la implantacin
Prevenir interrupciones en el servicio como consecuencia de un
cambio
Establece los procedimientos para:
Solicitar e informar un cambio
Evaluar el impacto y categorizar los cambios (urgentes, de menor
impacto, severos, etc.)
Justificar y aprobar
Coordinar
Implantar
Controlar la calidad
8.7.- Monitorizacin y control

Se entiende como monitorizacin a la observacin continua del
comportamiento de los elementos que integran la infraestructura
tecnolgica, a los fines de detectar cualquier cambio en ese
comportamiento.
Mantener un seguimiento del funcionamiento de los diferentes
componentes de la infraestructura tecnolgica.
Reportar los cambios que se identifiquen en ese funcionamiento,
con el fin de que puedan iniciarse las acciones correctivas que
pudiesen ser necesarias.
8.8.- Administracin de niveles de servicio

Definir el nivel de calidad del servicio que requiere cada usuario
Crear compromisos formales o acuerdos de servicio suscritos
conjuntamente con los usuarios.
Controlar el cumplimiento de los compromisos
Incluye procedimientos para:

25
Captulo I
Negociar y establecer el nivel de calidad para los servicios

que requiere cada usuario, dentro del marco de las prioridades
del negocio y de las capacidades del centro de computacin.
Desglosar dichos servicios en niveles mesurables y
cuantificables (oportunidad de los resultados, disponibilidad
de la aplicacin, tiempos de respuesta, perodo de proceso,
horario de proceso, etc.).
Determinar los factores que favorecen o desfavorecen los
niveles de servicio.
Hacer seguimiento al cumplimiento de los niveles de servicio
prestados.
8.9.- Administracin financiera de los servicios TI

Esta disciplina permite tener una correcta comprensin de los costos
de los servicios de TI y facilita la:
Elaboracin de presupuestos
Identificacin de elementos de costo y sus categoras
Estimacin y seguimiento de los costos
8.10.- Administracin de la capacidad

Esta disciplina permite asegurar el crecimiento ordenado de la
instalacin y evitar los problemas que podran ocasionarse por carencia
de los equipos necesarios
Definir y cuantificar la carga de trabajo
Evaluar el consumo actual de recursos
Pronosticar el crecimiento
Justificar la adquisicin de nuevos equipos
8.11.- Administracin de la continuidad de los servicios TI

Esta disciplina permite preparar al centro de computacin para
garantizar la continuidad de sus operaciones an cuando alguna catstrofe
(como incendio, inundacin o terremoto, etc.) haya destruido parcial o
totalmente sus instalaciones.
La disciplina incluye procedimientos para:
Identificar riesgos
26
Identificar aplicaciones crticas
Identificar archivos crticos

Identificar componentes crticos de hardware, software y
telecomunicaciones
Determinar formas alternas de proceso para aplicaciones crticas
Definir equipos de contingencia
Asegurar los respaldos correctos a las bibliotecas y los archivos

crticos
Almacenar los respaldos fuera de la instalacin
Trazar los planes de contingencia
Probar peridicamente los planes de contingencia (simulacros)
8.12.- Administracin de la disponibilidad

La administracin de la disponibilidad es la disciplina responsable de
optimizar y monitorizar los servicios TI, con el fin de que estos funcionen
ininterrumpidamente, en forma confiable, cumpliendo los acuerdos de
servicio, a un costo razonable.
La satisfaccin del cliente y la rentabilidad de los servicios TI
dependen en gran medida de la efectividad con que se cumpla esta
disciplina.
Clculo y monitorizacin de la disponibilidad
Planificacin, monitorizacin e informacin
8.13.- Administracin de la seguridad de informacin

La administracin de la seguridad es la disciplina que vela por la
integridad de la informacin; para que esta sea correcta y completa, est
siempre a disposicin de los procesos del negocio y sea utilizada slo por
aquellos funcionarios que tengan autorizacin para hacerlo.
27
Captulo I
28
Captulo II
Ce nt ro de At e nc in
Captulo II
Centro de atencin
Tabla de contenido
1.- Qu es un centro de atencin a usuarios? .................................31

1.1.Ventajas .............................................................................32
1.2.Barreras..............................................................................32
2.- Modalidades ...............................................................................32
3.- Planificacin ...............................................................................33
4.- Facilidades ..................................................................................34
5.- Estructura....................................................................................35
6.- Actividades .................................................................................36
6.1.Atencin de llamadas.........................................................36
6.2.Cierre del reporte ...............................................................37
6.3.Manejo desde inicio hasta cierre........................................40
6.4.Centro de informacin .......................................................40
6.5.Actividades adicionales .....................................................41
7.- Evaluacin de la disciplina .........................................................41
30
Centro de atencin
Centro de atencin
1.- Qu es un centro de atencin a usuarios?

El objetivo principal de un centro de atencin es servir como punto de
contacto entre los usuarios y la gerencia de servicios TI. En su
concepcin ms moderna, tambin debe funcionar como punto de enlace
de todos los procesos destinados a dar soporte al usuario:
Registrando y haciendo seguimiento de todas las llamadas
recibidas de los usuarios.
Aplicando soluciones temporales a los errores conocidos,
integrndose, de esta forma, con la disciplina de manejo de
incidentes.
Tramitando los cambios solicitados por los usuarios, mediante
peticiones de servicio, integrndose, de esta forma, con las
disciplinas de administracin de cambios y de versiones.
31
Captulo II
Para el buen desenvolvimiento de las operaciones del negocio, es

importante que los usuarios perciban que estn recibiendo una atencin
personalizada y gil:
Al solicitar soporte tcnico en el uso de los recursos
informticos.
En la solucin rpida de las fallas y las interrupciones
del servicio.
Es importante observar que la disciplina de centro de atencin tambin
juega un papel importante en el soporte al negocio, pues permite
identificar nuevas oportunidades para la gerencia de TI, a travs de su
contacto con los usuarios.
1.1.- Ventajas
Los principales beneficios de la correcta implementacin de un centro
de atencin pueden resumirse en:
Mejor atencin al usuario que repercute en un mayor grado de
satisfaccin.
Identificacin de nuevas oportunidades para apoyar al negocio.
Centralizacin de procesos que mejoran la gestin de la

informacin y la comunicacin.
Soporte diligente al servicio
1.2.- Barreras
La implantacin de un centro de atencin puede tropezar con una serie
de barreras como las que a continuacin enumeramos:
No se adoptan facilidades adecuadas de comunicacin, en

calidad y cantidad.
No se adecuan las facilidades de oficina para que el personal

tcnico pueda atender con comodidad las llamadas de los
usuarios.
No se adiestra adecuadamente al personal.
No se establecen protocolos de comunicacin con los
usuarios o no se instruyen adecuadamente al personal.
2.- Modalidades
El contacto con el usuario puede adquirir diversas modalidades,
dependiendo de la amplitud de los servicios que se piensen ofrecer:
32
Call center:
Centro de atencin
Su objetivo es gestionar un alto volumen de llamadas y

dirigir los requerimientos de los usuarios a las unidades de
soporte que correspondan, de acuerdo con la naturaleza de la
llamada, con la excepcin de los casos ms triviales.
Centro de ayuda (Help Desk):
Su principal objetivo es similar al del call center (recibir
todas las llamadas e los usuarios), pero adicionalmente, busca
ofrecer una primera lnea de soporte tcnico que permita
resolver en el menor tiempo posible las interrupciones del
servicio y canalizar aquellos requerimientos ms complejos
hacia las unidades de soporte que correspondan
Centro de servicios (Service Desk):
Es el centro de comunicacin entre usuario y todos los
servicios de TI ofrecidos por la organizacin, pues adems de
ofrecer los servicios que ofrecen las dos modalidades
anteriores, ofrece servicios adicionales a los usuarios y la
organizacin TI, tales como:
Supervisar los contratos de mantenimiento.
Administrar las licencias de software.
Supervisar los acuerdos de servicio con los
usuarios.
Lnea caliente para clientes (Customer Hot Line):
Una lnea caliente normalmente est dedicada a atender las
llamadas de los clientes de la empresa (externos a la
organizacin), para solicitar asistencia o presentar quejas o
problemas en relacin con los productos o servicios que la
empresa mercadea.
3.- Planificacin
La implementacin de un centro de atencin requiere una meticulosa
planificacin. Como primer paso debe establecerse:
Cules son las necesidades?
Qu tipo de centro se desea? call center, centro de ayuda o centro

de servicios.
Cules sern sus funciones?
Quines sern los responsables del mismo?
33
Captulo II
Qu calificaciones profesionales debern tener sus integrantes?
Cmo se prestar el servicio tcnico? con personal y recursos

propios o utilizando un proveedor de este tipo de servicios?
Qu estructura queremos darle al centro de atencin?
centralizado o descentralizado?
En qu horarios deber funcionar el centro de servicios?
Qu herramientas tecnolgicas de apoyo se requieren?

Qu mtricas sern utilizadas para evaluar el desempeo del
centro de atencin?
Adicionalmente, ser muy importante preparar charlas, cursos y guas
de trabajo para el personal, de tal forma que en todo momento se
establezca una interaccin respetuosa y amable con el cliente (usuario).
Recprocamente, ser siempre importante desarrollar material de
divulgacin para los usuarios, de tal forma que estos conozcan cmo
operar el centro y qu deben esperar de este servicio.
Un activo muy importante para un centro de atencin sern los
protocolos de comunicacin con los usuarios, que facilite la
identificacin de los problemas, su posible solucin y la ruta que debe
seguir si el problema requiere ser escalado hacia otros grupos de soporte.
Ser tambin fundamental establecer los procedimientos de
seguimiento a las llamadas que se transfieran a otras instancias de
soporte, con el fin de asegurar que cualquier llamada que haya recibido el
centro sea atendida adecuada y rpidamente.
4.- Facilidades
Hoy da existen innumerables facilidades para que un centro de
atencin pueda funcionar eficientemente:
1. Dispositivos de comunicacin, como los ACD (automatic call
distribution), que permiten administrar eficientemente el flujo de las
llamadas y su atencin ordenada, o como las facilidades de correo de
voz.
2. Paquetes de software que permiten apoyar la operacin de un centro
de atencin. Estos paquetes ofrecen facilidades para registrar cada
llamada recibida y dejar la huella de todas las acciones tomadas,
hasta el momento de su cierre, en que el usuario exprese su
aceptacin de la solucin recibida, lo cual permite que los
supervisores del centro de atencin puedan hacer seguimiento de los
34
Centro de atencin
problemas reportados que aun no hayan recibido una solucin

definitiva.
Estos paquetes de software, normalmente asociados al tipo de
sistemas que se denominan de CRM (Customer Records
Management), tambin incluyen facilidades para que, a travs de la
disciplina de administracin de la configuracin, se actualice el
inventario de hardware y software, para que, de esta forma, el tcnico
del centro de atencin, al atender una llamada de un usuario, puede
consultar al sistema y conocer todo el software y los dispositivos que
ese usuario pueda tener instalados en su estacin de trabajo.
3. Facilidades para prestar soporte de forma remota. Aunque el usuario
est en una localidad lejana, el tcnico de soporte, con la autorizacin
del usuario, puede tomar control de la estacin de trabajo del usuario
y aplicar los correctivos que pudieran ser necesarios.
En general, la meta debe ser implantar un centro de servicios dotado
de herramientas y gobernados con procedimientos que le permitan
alinearse con los procesos de negocio, mejoren la satisfaccin de los
clientes (usuarios), optimicen la imagen externa de la organizacin de TI
y se constituyan en una fuente de informacin para identificar nuevas
oportunidades de servicio y formas de mejorarlo.
5.- Estructura
Como arriba sealramos, el centro de atencin es el punto de
contacto central de toda la organizacin TI con sus clientes y usuarios.
Por tal razn es imprescindible que:
Sea fcilmente accesible.
Ofrezca un servicio de calidad, consistente y homogneo.

Informe a los usuarios (dar un feed back adecuado) y lleve un
registro de toda la interaccin con los mismos.
Acumule experiencias, para atender con mayor eficacia los casos
similares que puedan presentarse en el futuro
Para cumplir estos objetivos es necesario implementar una adecuada
estructura organizativa y de procedimientos; as mismo, los integrantes
del centro de servicios deben:
Conocer todos los protocolos de interaccin con el cliente:
guiones, listas de chequeo, etc.
Disponer de herramientas de software que les permitan llevar un
registro de la interaccin con los usuarios.
35
Captulo II
Estar informados acerca de los criterios para escalar a instancias

superiores.
Tener acceso rpido a las bases de datos de inventario de
hardware y software, as como a las bases de conocimiento
(lecciones aprendidas), para ofrecer un mejor servicio a los
usuarios.
Recibir entrenamiento continuo sobre los productos y las

facilidades instalados en la empresa.
Dependiendo de las caractersticas de la empresa y del servicio que se
desee brindar, el centro de atencin puede tener un perfil organizativo
diferente: centralizado, descentralizado o mixto. Todo ello depender de:
Si los usuarios se encuentran en diversas localidades geogrficos
Si estn involucrados diferentes idiomas, productos y servicios.
Si los usuarios trabajan en diferentes horarios.

Si se necesita dar algunos de los servicios de mantenimiento o
atencin en el lugar donde est el usuario.
La estructura centralizada es la estructura ms comn, aun para
empresas que, como los bancos, tienen usuarios dispersos en diferentes
localidades. Las ventajas son obvias, pues pueden aprovecharse mejor los
recursos humanos y resulta mucho ms fcil mantenerlo actualizado.
Hoy da, dadas las grandes capacidades de los canales de
comunicacin, existe una tendencia creciente a tercerizar (outsorcing)
parte de los servicios de soporte, dejando principalmente en la empresa
las funciones de monitorizacin y medicin de los servicios prestados por
el proveedor, as como la supervisin de los contratos de mantenimiento
y niveles de servicio y la administracin de las licencias de software.
6.- Actividades
6.1.- Atencin de llamadas
Como puede verse en las grficas que se muestran en las pginas
siguientes, las principales actividades que cumple un centro de atencin
son:
1. Recibir las llamadas de los usuarios y registrarlas en la base de datos.
2. Asignar un cdigo identificador a cada llamada registrada. Este
cdigo se acostumbra a informrselo al usuario, con el fin de que, en
caso de cualquier reclamo u observacin, se haga referencia al
mismo.
36
Centro de atencin
3. Revisar la base de datos de configuraciones, con el fin de conocer en

detalle los componentes que el usuario tiene instalados en su estacin
de trabajo.
4. Siguiendo los protocolos establecidos para ello, solicitar al usuario
toda la informacin posible sobre el problema o la falla que reporta,
con el fin de poder encontrar la solucin adecuada.
5. Si se estima que el problema puede estar en la estacin de trabajo,
tratar de guiar al usuario telefnicamente, para que el mismo
resuelva la falla.
6. En caso de que no sea posible, tomar el control de la estacin de
trabajo del usuario y aplicar los correctivos que puedan ser
necesarios. Existen instalaciones en las que no se utilizan estas
facilidades y en su lugar la accin alternativa es enviar a un tcnico
de soporte, para que aplique directamente en la estacin de trabajo,
los correctivos que puedan ser necesarios.
7. En caso de fallas que no son de la estacin de trabajo o que no
pueden ser corregidas por el tcnico del centro de atencin, se
procede a escalar el reporte a otras instancias, como tcnicos de
soporte o analistas de sistemas, dejando registrado el problema en la
base de datos, con el estatus de pendiente.
6.2.- Cierre del reporte

Una de las tareas centrales de la disciplina es hacer el seguimiento de
los reportes que estn pendientes, de tal forma que ninguno pueda quedar
desatendido.
Una vez que una falla reportada ha sido resuelta, se deber cambiar el
estatus del reporte en la base de datos, de pendiente a resuelta.
El supervisor del centro de atencin se encargar de verificar con el
usuario que los problemas que se han reportado como resueltos, lo haya
sido a su entera satisfaccin. En caso afirmativo, el supervisor cambiar
el estatus en la base de datos, de resuelto a cerrado. En caso negativo, el
supervisor acordar con los tcnicos correspondientes las acciones que
deben ser tomadas y reversar el estatus del reporte, de resuelta a
pendiente con alta prioridad.
37
Captulo II
38
Centro de atencin
39
Captulo II
6.3.- Manejo desde inicio hasta cierre

Independientemente de que la solucin de los problemas que le hayan
sido reportados requiera la atencin de otros departamentos y personal, el
centro de atencin debe ofrecer una primera lnea de soporte para la
solucin de las fallas, interrupciones de servicio o solicitudes de servicio
que puedan presentar los clientes y usuarios.
Entre sus tareas especficas se incluyen:
Registrar cada incidente o requerimiento y hacer seguimiento al

progreso de su solucin.
Seguimiento de los requerimientos escalados.
Cierre del incidente y confirmacin con el cliente.
6.4.- Centro de informacin

El centro de atencin debe ser la principal fuente de informacin de
los clientes y usuarios, informando sobre nuevos servicios y el
lanzamiento de nuevas versiones para la correccin de errores. Este
contacto directo con los clientes debe servir tambin para identificar
nuevas oportunidades de servicio, evaluar las necesidades de los clientes
y su grado de satisfaccin con el servicio prestado.
El centro de atencin se encuentra en una situacin inmejorable para
ofrecer tambin informacin privilegiada a todos los procesos de gestin
40
Centro de atencin
de los servicios TI. Para ello es imprescindible que se lleve un registro

minucioso de toda la interaccin con los usuarios y clientes.
6.5.- Actividades adicionales

En algunas empresas, el centro de atencin tambin es responsable de
la relacin con algunos proveedores de servicios y de productos de
hardware y software, por lo que es fundamental que mantenga una
estrecha relacin con los representantes y responsables externos de su
mantenimiento.
7.- Evaluacin de la disciplina

La mejor medida del xito de un centro de atencin es la satisfaccin
del cliente, aunque sta, obviamente, no sea responsabilidad exclusiva del
centro. Es importante establecer mtricas simples y bien definidas que
permitan medir y calificar el desempeo del centro de atencin, tales
como:
Tiempo promedio de respuesta a las solicitudes recibidas a travs
de los diferentes medios de comunicacin (telfono, correo
electrnico, correo de voz, fax, etc.)
Porcentaje de incidentes que se cierran en primera lnea de
soporte.
Porcentaje de consultas respondidas en primera instancia.
Anlisis estadsticos de los tiempos de resolucin de incidentes
organizados segn su urgencia e impacto.
Nmero y porcentaje de llamadas escaladas a otras instancias de
soporte.
Grado de satisfaccin de usuarios y/o clientes, que puede
determinarse mediante encuestas peridicas, que permitan
cuantificar la percepcin del usuario con respecto a los servicios
recibidos.
41
Captulo II
42
Captulo III
Captulo III
Tabla de contenido
1.- En qu consiste el manejo de incidentes? .................................45
1.1.Ventajas .............................................................................47
1.2.Barreras..............................................................................47
2.- Requerimientos...........................................................................48
3.- Clasificacin de los incidentes ...................................................48
4.- Escalamiento y soporte...............................................................49
5.- Actividades .................................................................................50
5.1.Registro de incidentes ........................................................50
5.2.Clasificacin de los incidentes...........................................51
5.3.Anlisis, Resolucin y Cierre de Incidentes ......................52
44
1.- En qu consiste el manejo de incidentes?

Un incidente es cualquier interrupcin no planeada de cualquier
servicio de TI y la disciplina de manejo de incidentes busca restaurar ese
servicio de la manera ms rpida y eficaz posible.
El manejo de incidentes guarda una estrecha relacin con la disciplina
de manejo de problemas, pero a diferencia de sta, no se ocupa de
analizar e identificar las causas que puedan haber causado un
determinado incidente, sino que, como ya apuntramos, centra su
atencin exclusivamente en restaurar el servicio. Es claro, sin embargo,
que si bien son diferentes, guardan una estrecha interrelacin.
45
Captulo III
En lneas generales, los objetivos del manejo de incidentes son:

Detectar cualquiera alteracin en los servicios TI.
Registrar y clasificar esas alteraciones.
Asignar el personal encargado de restaurar el servicio.
Es importante destacar que el cumplimiento de las actividades de esta
disciplina requiere un estrecho contacto con los usuarios, por lo que la
coordinacin con el centro de atencin juega un papel esencial en su
desarrollo.
Normalmente, el concepto de incidente se asocia con algn

funcionamiento inadecuado de los componentes de hardware o software;
sin embargo, en ITIL se define como un incidente a Cualquier evento
que no forma parte de la operacin estndar de un servicio y que causa,
o puede causar, una interrupcin o una reduccin de calidad del mismo.
Casi cualquier llamada que recibe el centro de atencin puede
clasificarse como un incidente, incluyendo las solicitudes de servicio
tales como mudanza de equipos, solicitud de nuevas licencias, etc.
46
siempre que la solicitud corresponda a uno de los servicios que se

consideren estndar de la organizacin.
Cualquier cambio que deba ser aplicado en cualquier elemento de de
la infraestructura de TI requiere la elaboracin de una solicitud de cambio
que deber ser tratada segn los procedimientos de la administracin de
cambios.
1.1.- Ventajas
Las principales ventajas de una adecuada implementacin de la
disciplina de manejo de incidentes son:
Se mejora la productividad de los usuarios.
Se vela por el cumplimiento de los niveles de servicio acordados
con los usuarios.
Se optimiza la utilizacin de los recursos disponibles.
Se dispone de una base de datos de incidentes precisa, con los
incidentes relacionados a cada uno de los componentes de la
infraestructura.
Se puede lograr una mayor satisfaccin de los usuarios y clientes.
Por el contrario, la carencia de un adecuado manejo de incidentes
puede significar:
Un deterioro de los niveles de servicio.
Utilizacin ineficiente de los recursos.

Prdida de informacin valiosa informacin sobre las causas y
efectos de los incidentes para poder mejorar la infraestructura de
TI.
Proliferacin de clientes y usuarios insatisfechos por la mala y/o
lenta atencin de sus incidentes.
1.2.- Barreras
Entre las principales barreras con que tropieza la implantacin de una
disciplina manejo de incidentes pueden citarse las siguientes:
No se siguen los procedimientos previstos.
Se resuelven los incidentes sin registrarlos adecuadamente.
Los incidentes se escalan innecesariamente.
No estn bien definidos los niveles de calidad de servicio ni los
productos soportados, lo que puede provocar que se atiendan
47
Captulo III
incidentes que no corresponden a los servicios estndar o que no

han sido acordados previamente con el cliente.
2.- Requerimientos
El manejo de incidentes requiere de una infraestructura que facilite su
correcta implementacin. Entre los elementos necesarios cabe destacar
los siguientes:
El sistema de registro de incidentes, para ser compartido con la
disciplina de centro de atencin.
Una base de conocimiento, que permita comparar los nuevos
incidentes que se reportan, con incidentes ya resueltos en el
pasado, con el fin de:
Evitar transferir innecesariamente los incidentes que se
reciban.
Convertir el conocimiento know how- de los tcnicos
en un activo duradero para la empresa.
Poner directamente a disposicin del cliente parte o la
totalidad de estos conocimientos en forma de preguntas
frecuentes FAQs- en la intranet para los usuarios
internos de la empresa o en la extranet para los clientes,
con el fin de que en algunas oportunidades sea el propio
usuario quien aplique el correctivo, sin necesidad de
notificar el incidente.
Una base de datos del hardware y software instalado, que permita
conocer todas las configuraciones actuales y el impacto que stas
puedan tener en la resolucin del incidente.
3.- Clasificacin de los incidentes

Es frecuente que se presenten mltiples incidentes concurrentemente,
por lo que es necesario determinar la prioridad para atender la resolucin
de los mismos y asignar los recursos para atender los incidentes de mayor
prioridad. El nivel de prioridad debe basarse en dos parmetros
esenciales:
Impacto
El impacto de un incidente est determinado por la forma
cmo ste afecta los procesos de negocio o por la cantidad de
usuarios afectados.
Urgencia
48
La urgencia de un incidente depende del tiempo mximo de

que el usuario o el cliente puede esperar para la resolucin
del incidente, sin que la operacin de su rea del negocio
sufra consecuencias importantes. La urgencia tambin
depende de los niveles de servicio que hayan sido acordados
con el usuario o cliente.
Para la clasificacin de un incidente, adems de los parmetros arriba
citados, tambin se hace necesario tomar en cuenta factores como el
tiempo de resolucin esperado y los recursos necesarios para atender el
incidente. As pues, aunque en algunos casos no sean de mayor prioridad,
los incidentes sencillos se tramitarn cuanto antes.
Es conveniente establecer criterios claros para establecer, en primera
instancia, la prioridad del incidente; el diagrama de prioridades que se
muestra en la grfica es un ejemplo de cmo pueden establecerse esos
criterios.
4.- Escalamiento y soporte

Es frecuente que el centro de atencin no tenga la capacidad de
resolver en primera instancia un incidente, por lo que debe recurrir a un
especialista o a algn superior que pueda tomar decisiones que escapan
de su responsabilidad. A este proceso se le denomina escalar un
incidente.
49
Captulo III
Bsicamente hay dos formas de escalar incidentes:

Funcional: Se requiere el apoyo de un especialista de ms alto
nivel para atender el incidente.
Jerrquico: Se acude a un superior, de mayor autoridad, para
tomar decisiones que escapan de las atribuciones del primer nivel,
como por ejemplo, asignar ms recursos para la atencin de un
incidente especfico.
5.- Actividades
Las actividades que se cumplen en el proceso de atencin de
incidentes son:
1. Registro de incidentes
2. Clasificacin de los incidentes
3. Anlisis, Resolucin y Cierre de Incidentes
5.1.- Registro de incidentes

La admisin y registro del incidente es el primer paso para una
correcta gestin del mismo.
Los incidentes pueden provenir de diversas fuentes tales como
usuarios, de la gestin de aplicaciones, del mismo centro atencin o de
soporte tcnico, entre otros. Inmediatamente debe realizarse el proceso de
registro, pues resulta mucho ms costoso hacerlo posteriormente y se
corre el riesgo de que la aparicin de nuevos incidentes demore
indefinidamente el proceso de registro.
En el proceso de registrar un incidente, se cumplen las siguientes
tareas:
Al realizarse la admisin del incidente en el centro de atencin
debe evaluarse en primera instancia si el servicio est incluido en
los acuerdos de servicio establecidos con el usuario o el cliente.
En caso de que no fuese as, el requerimiento deber referirse a
una autoridad competente.
Debe comprobarse que el incidente no haya sido registrado, pues
es comn que varios usuarios notifiquen un mismo incidente.
Debe asignarse un nmero de referencia al incidente, que lo
identificar tanto para los procesos internos, como para las
comunicaciones con el usuario o cliente.
50
Se completar el registro inicial, introduciendo en la base de datos

la informacin bsica necesaria para la atencin del incidente
(hora, descripcin del incidente, sistemas afectados...).
Deber incluirse cualquier informacin de apoyo que sea relevante
para la resolucin del incidente, que puede ser solicitada al cliente
a travs de un formulario especfico, o que pueda ser obtenida de
la propia base de datos de hardware y software.
Se notificar el incidente a todos los usuarios que puedan resultar
afectados por el incidente, con el fin de que conozcan cmo esta
incidencia puede afectar su flujo normal de trabajo.
5.2.- Clasificacin de los incidentes

La clasificacin de un incidente tiene como objetivo principal
recopilar toda la informacin que pueda ser de utilidad para la resolucin
del mismo, para ello debe incluir las siguientes tareas:
Categorizacin:
La categorizacin de un incidente, como su nombre lo indica,
consiste en la asignacin de una categora, dependiendo de
los servicios afectados o del grupo de trabajo responsable de
su resolucin. La categora de un incidente permite
identificar los servicios afectados por el incidente.
Asignacin de prioridad:
La asignacin del nivel de prioridad, de acuerdo con el
impacto y la urgencia y segn los criterios que hayan sido
preestablecidos.
Asignacin de recursos:
En los casos en que el centro de atencin no puede resolver el
incidente en primera instancia, se deber transferir al grupo
de soporte tcnico que corresponda y deber designarse el
personal que deber atenderlo -segundo nivel-.
Seguimiento:
El supervisor del centro de atencin har seguimiento del
progreso o estatus del incidente, as como del tiempo de
respuesta esperado. Normalmente los estatus de un incidente
pueden ser: registrado, en progreso, suspendido, escalado a
nivel siguiente, resuelto y cerrado.
51
Captulo III
El tiempo de resolucin del incidente corresponder a los

acuerdos de servicio que se hayan establecidos con los
usuarios o clientes y a la prioridad que se haya asignado.
5.3.- Anlisis, Resolucin y Cierre de Incidentes

En primera instancia se examina el incidente con ayuda de la base de
datos donde se acumulan y organizan las lecciones aprendidas base de
conocimiento-, para determinar si se puede identificar algn incidente ya
resuelto y aplicar la solucin ya conocida.
Si la resolucin del incidente escapa a las posibilidades del centro de

atencin, ste lo transferir a un segundo nivel, para su investigacin por
los expertos que se asignen. Si estos expertos logran atender el incidente
se seguirn los procedimientos para escalar incidentes que se hayan
preestablecido.
Durante todo el ciclo de vida del incidente se debe actualizar la
informacin almacenada en las correspondientes bases de datos para que
el personal involucrado en un incidente y su solucin dispongan de
informacin actualizada sobre el estatus del mismo -registrado, en
progreso, suspendido, escalado a nivel siguiente, resuelto o cerrado-.
52
Existen casos en que para aplicar las medidas que permitan reanudar
el servicio ser necesario producir una solicitud de cambio, que
normalmente corresponder a un cambio urgente.
Cuando se haya solucionado un incidente se deber:
Cotejar con los usuarios que la solucin ha sido satisfactoria.
Incorporar las lecciones aprendidas en la base de conocimientos.

Cerrar el incidente -colocarlo en estatus cerrado-.

Para evaluar el desempeo de la disciplina de manejo de incidentes,
ser importante generar peridicamente diferentes reportes y generar
informacin para otras disciplinas como:
Administracin de Niveles de Servicio
Ser fundamental que usuarios y los clientes dispongan de
informacin puntual sobre el cumplimiento de los niveles
servicio acordados y de las medidas correctivas que debern
tomarse, en caso de incumplimiento.
Seguimiento del desempeo del centro de servicio

Para conocer el grado de satisfaccin de los usuarios y
clientes por el servicio prestado y supervisar el correcto
funcionamiento de la primera lnea de soporte.
Optimizacin de la asignacin de recursos
Todos los administradores de servicios deben saber si los
procedimientos para escalar incidentes se han cumplido
adecuadamente y si se han evitado duplicidades en el proceso
de atencin de incidentes.
Identificacin de deficiencias en los procedimientos
Sobre todo en sus etapas iniciales, los procedimientos
podran tener deficiencias que no les permitan adecuarse a la
estructura de la organizacin o las necesidades de los
usuarios o clientes, por lo que se deban tomar medidas
corregirlos.
Acumulacin de Informacin Estadstica
La informacin que se acumula en el proceso de manejo de
incidentes puede ser utilizada para que la gerencia de
53
Captulo III
servicios de TI haga proyecciones sobre requerimientos de

recursos, costos asociados al servicio, etc.
Para la evaluacin del desempeo de la disciplina ser necesario
establecer diferentes mtricas, tomando en cuenta variables como las
siguientes:
Nmero de incidentes por categoras y prioridades.
Tiempos de resolucin clasificados de acuerdo al impacto y a la
urgencia de los incidentes.
Porcentaje de incidentes, clasificados por impacto y prioridad, que
han sido resueltos en primera instancia por el centro de atencin.
Costos asociados a la disciplina.
Uso de los recursos disponibles en el centro de atencin.
Grado de satisfaccin de usuarios y/o clientes, que puede
determinarse mediante encuestas peridicas, que permitan
cuantificar la percepcin del usuario con respecto a los servicios
recibidos.
54
Captulo IV
M a ne jo de
Proble m a s
Captulo IV
Manejo de problemas
Tabla de contenido
1.1.1.1.2.2.2.1.2.2.2.3.3.4.-
56
En qu consiste el manejo de problemas? ...........................57

Ventajas .............................................................................58
Barreras..............................................................................59
Actividades.............................................................................59
Control de problemas.........................................................60
Control de errores ..............................................................63
Revisin de post implementacin y cierre .........................64
Evaluacin de la disciplina.....................................................64
Ejemplo ..................................................................................65
Manejo de problemas
Manejo de problemas
1.- En qu consiste el manejo de problemas?

Las funciones principales del manejo de problemas son:
Investigar las causas de cualquier alteracin, real o potencial,

del servicio de TI.
Determinar posibles soluciones a tales alteraciones.
Proponer las solicitudes de cambio (RFC) necesarias para

asegurar la calidad de la implantacin de las soluciones.
Realizar revisiones post implementacin (PIR) para asegurar

que los cambios han surtido los efectos buscados, sin crear
problemas secundarios.
El manejo de problemas puede ser:
Reactivo: Analiza los incidentes ocurridos para descubrir su

causa y propone soluciones a los mismos.
Proactivo: Evala y hace seguimiento a la calidad de la

infraestructura TI y analiza su configuracin, con el objetivo
de prevenir incidentes antes de que estos puedan ocurrir.
Tal como se discuta en el captulo de administracin de incidentes,
esa disciplina tiene como objetivo restablecer lo ms rpidamente los
servicios, sin contemplar las acciones que puedan ser necesarias para
determinar las causas que hayan generado el incidente.
Cuando algn tipo de incidente se convierte en recurrente o tiene un
fuerte impacto en la infraestructura TI, la disciplina de manejo de
problemas incluye las actividades necesarias para determinar las causas y
encontrar las posibles soluciones.
Para los efectos de la disciplina de manejo de problemas, es necesario
diferenciar entre:
Problema:
Causa aun no identificada de una serie de incidentes o de un
incidente aislado pero de importancia significativa.
57
Captulo IV
Error conocido:
Un problema pasa a ser un error conocido cuando se han
determinado sus causas.
1.1.- Ventajas
Los principales beneficios de un adecuado manejo de problemas son:
Cumplimiento de los niveles de servicio acordados con los

usuarios.
Optimizacin de los recursos disponibles.
Mayor satisfaccin general de usuarios y clientes.

Recprocamente, la carencia de un adecuado manejo de problemas
puede significar:
Un deterioro de los niveles de servicio.
Utilizacin ineficiente de los recursos.
Repeticin continua de fallas similares
Proliferacin de clientes y usuarios insatisfechos por la

repeticin de fallas similares.
58
Manejo de problemas
1.2.- Barreras
Entre las principales barreras con que tropieza la implantacin de una
disciplina manejo de problemas pueden citarse las siguientes:
No se siguen los procedimientos previstos.
Se posterga la adopcin de soluciones.
Se resuelven los problemas sin registrarlos adecuadamente.

Personal tcnico insuficiente.
2.- Actividades
Las principales actividades del manejo de problemas son:

1.
Control de Problemas:
En esta actividad se registran y clasifican los problemas, para
determinar sus causas y convertirlos en errores conocidos.
2.
Control de Errores:
En esta actividad se registran los errores conocidos y se
proponen soluciones a los mismos mediante solicitudes de
cambio que son procesadas de acuerdo con los
procedimientos establecidos para la administracin de
cambios.
3.
Revisin de postimplantacin:
En esta actividad se efecta la revisin de los cambios
implementados para corregir los errores conocidos, en
conjuncin con la disciplina de administracin de cambios.
59
Captulo IV
4.
Deteccin de problemas
Opcionalmente, si la estructura de la organizacin lo ha
establecido, en esta actividad se desarrolla un manejo de
problemas proactivo, en conjuncin con la disciplina de
monitorizacin y control, que permita a detectar problemas
antes de que estos se manifiesten y puedan causar un
deterioro en la calidad del servicio.
2.1.- Control de problemas

Tal como sealamos en el prrafo precedente, el principal objetivo de
la actividad de control de problemas es lograr que estos se conviertan en
errores conocidos para que en la actividad de control de errores puedan
proponerse las soluciones correspondientes.
El control de problemas, a su vez, se cumple en tres actividades:
1. Identificacin y registro
2. Clasificacin y asignacin de recursos
3. Anlisis y diagnstico: error conocido
60
Manejo de problemas
2.1.1.- Identificacin y registro

Una de las tareas principales del manejo de problemas es identificar
los mismos, para lo cual las principales fuentes de informacin son:
La base de datos de Incidentes: en principio cualquier

incidente del que no se conocen sus causas y que se ha
cerrado mediante algn tipo de solucin temporal constituye
potencialmente un problema. Sin embargo, antes de llevarlo a
la categora de problema se deber de analizar si se trata de
un incidente aislado y su impacto en la infraestructura de TI.
Anlisis de la infraestructura TI: en conjuncin con las

disciplinas de administracin de disponibilidad, de capacidad
y de monitorizacin y control, el manejo de problemas
analiza los diferentes procesos y determina en qu reas se
deben robustecer los sistemas y la infraestructura de TI, para
evitar futuros problemas.
Deterioro de los Niveles de Servicio: un desempeo que se

deteriora es una indicacin de que existe algn problema, que
aun no se ha manifestado en forma de incidente.
Todas las reas de organizacin de TI deben colaborar en el manejo de
problemas, identificando problemas reales o potenciales e informando
sobre cualquier sntoma que pueda indicar un deterioro en el servicio TI.
El registro de problemas es bastante similar al registro de los
incidentes; sin embargo, el nfasis no debe colocarse en los detalles
especficos de los incidentes asociados, sino en su naturaleza y posible
impacto.
El registro de problemas debe incorporar informacin como:
Causas del problema.
Sntomas asociados.
Soluciones temporales.
Servicios involucrados.
Niveles de urgencia, prioridad e impacto.
Estado: activo, error conocido, cerrado.
2.1.2.- Clasificacin y asignacin de recursos
La clasificacin del problema debe tomar en cuenta desde las
caractersticas generales de ste, tales como si se trata de un problema de
hardware o de software, que reas del negocio se ven afectadas y detalles
61
Captulo IV
sobre los diferentes elementos de configuracin involucrados en el

mismo.
Un factor esencial es la determinacin de la prioridad del problema,
que al igual que en el caso de los incidentes, se determina tanto a partir de
la urgencia (demora aceptable para la solucin del problema) como de su
impacto (grado de deterioro de la calidad del servicio).
Al igual que en la administracin de incidentes la prioridad puede
cambiar en el transcurso del proceso del problema, por ejemplo, cuando
se encuentra alguna solucin temporal al mismo, que reduce
considerablemente su impacto, puede reducirse su prioridad.
Una vez clasificado y de acuerdo con la prioridad de un problema, se
deben de asignar los recursos necesarios para su solucin. Estos recursos
deben ser suficientes para asegurar que los problemas asociados sean
tratados eficazmente y, de esa forma, minimizar el impacto en la
infraestructura de TI.
2.1.3.- Anlisis y diagnstico: error conocido
Los objetivos principales del proceso de anlisis son:
Determinar las causas del problema.
Definir soluciones temporales a la administracin de

incidentes para minimizar el impacto del problema, hasta que
se implementen los cambios necesarios que lo resolvern
definitivamente.
Es esencial tener en cuenta que no siempre el origen del problema es
un error de hardware o software. Es frecuente que un problema pueda ser
causado por:
Errores de procedimiento.
Documentacin incorrecta.
Falta de coordinacin entre diferentes reas.

Es tambin posible que la causa del problema sea un error o "bug"
bien conocido en alguna de las aplicaciones instaladas, por lo que se hace
necesario entrar en contacto con los equipos de desarrollo y
mantenimiento de sistemas, en caso de aplicaciones desarrolladas "en la
casa", o tramitar ante el grupo de soporte del proveedor o, en algunos
casos, investigar en internet la informacin sobre errores conocidos que
pueda ser utilizada para resolver el problema en cuestin.
Como ya indicramos, una vez determinadas las causas de un
problema, ste se convierte en un error conocido y comienza a ser
62
Manejo de problemas
manejado por los procedimientos de control de errores, para su posterior

procesamiento.
2.2.- Control de errores

El proceso de control de errores incluye dos actividades:
1. Anlisis de la solucin
2. Aplicacin de la solucin
El registro de los errores conocidos es de vital importancia para el
inicio de estas actividades del manejo de problemas, con el fin de poder
asociarle, siempre que sea posible, algn tipo de solucin temporal que
pueda mitigar el impacto de los incidentes asociados.
2.2.1.- Anlisis de la solucin
Con el fin de evitar inconvenientes, el anlisis de las soluciones debe
incluir una evaluacin de:
Posible impacto que la solucin de un problema pueda tener

sobre la infraestructura de TI.
Los costes asociados.
Sus consecuencias sobre los niveles de servicio.

2.2.2.- Aplicacin de la solucin
Existen algunos casos, en los que dado el impacto que el problema
tiene sobre la calidad del servicio, se deben emitir solicitudes de cambio
de emergencia para su proceso urgente por parte de los responsables de la
administracin de cambios. En estos casos es importante que se evale si
la solucin temporal que se ha diseado es lo suficientemente buena
como para mantener unos niveles de calidad de servicio aceptables.
Una vez determinada la solucin ptima a un problema y antes de
elevar una solicitud de cambio a la administracin de cambios deben
hacerse varias consideraciones:
Es conveniente demorar la solucin? Bien sea porque en el

corto plazo se prevn cambios significativos en la
infraestructura de TI o por el escaso impacto del problema en
cuestin.
Se justifica el costo de implantar la solucin?

En cualquier caso, se implemente o no la solucin, toda la
informacin sobre el error y su solucin se deber registrar en las bases
de datos asociadas.
63
Captulo IV
En caso de que se proceda con la implantacin de la solucin, se

emitir una solicitud de cambio y la implantacin de la solucin pasa a
ser coordinada por la disciplina de administracin de cambios.
2.3.- Revisin de post implementacin y cierre

Antes de dar el problema por resuelto y cambiar su estado a cerrado
se debe analizar el resultado de la implementacin de la solicitud de
cambio procesada por administracin de cambios. Si los resultados de
este cambio son los deseados, se pueden cerrar todos los incidentes
relacionados con este problema y se considera concluido el proceso.

Hemos podido observar que el objetivo central de la disciplina de
manejo de problemas es mejorar el funcionamiento de la infraestructura
TI; as pues, para evaluar su eficacia ser imprescindible realizar un
seguimiento continuo de los procesos relacionados y evaluar su
desempeo.
Un buen manejo de problemas debe traducirse en una:
Disminucin en el nmero de incidentes
Mayor eficacia en la resolucin de problemas.

Una administracin proactiva que permita identificar
problemas potenciales antes de que estos se manifiesten o
provoquen una degradacin de la calidad del servicio de TI
Un eficaz manejo de problemas requiere que las responsabilidades
sobre cada disciplina y cada rea de servicios estn claramente definidas.
La elaboracin de informes y resmenes sobre las actividades de
manejo de problemas cumplidas, permitir que la gerencia de TI evale el
rendimiento de la disciplina, as como tambin aportar informacin
valiosa para otras reas de servicio de TI. Entre los informes que pueden
ser producidos peridicamente estn:
Informes de rendimiento del manejo de problemas, que

detallen la cantidad de errores resueltos, la eficacia de las
soluciones propuestas y los tiempos de respuesta.
Informes de acciones de prevencin, en los que se

especifiquen las acciones ejercidas para la prevencin de
nuevos problemas
64
Manejo de problemas
Resultados de los anlisis que se hayan realizado sobre la

adecuacin de la infraestructura de TI en relacin con las
necesidades de la empresa.
Informes de calidad de los productos y servicios contratados,
que puedan facilitar la evaluacin de los proveedores.
4.- Ejemplo
65
Captulo IV
66
Captulo V
Configura c ione s
Captulo V
Administracin de Configuraciones
Tabla de contenido
1.- En qu consiste la administracin de configuraciones?............69
1.1.Ventajas .............................................................................70
1.2.Barreras..............................................................................70
2.- Terminologa ..............................................................................71
2.1.tems de configuracin (configuration item - CI) ..............71
2.2.Base de datos de configuraciones. .....................................72
2.3.Lnea base de configuracin (configuration baseline) .......72
2.4.Sistema de administracin de configuraciones. .................72
2.5.Ambientes operacionales ...................................................73
3.- Proceso .......................................................................................75
3.1.Planificacin ......................................................................76
3.2.Clasificacin y Registro.....................................................77
3.3.Alcance ..............................................................................77
3.4.Nivel de detalle y Profundidad ..........................................78
3.5.Nomenclatura.....................................................................78
3.6.Control ...............................................................................79
3.7.Auditoras...........................................................................79
68
Administracin de configuraciones
1.- En qu consiste la administracin de

configuraciones?
Las funciones principales que cumple la administracin de
configuraciones son:
Mantener el control detallado de todos los componentes de la

infraestructura TI, tanto de hardware como de software,
almacenando esa informacin en una base de datos de
configuracin inventario de hardware y software-.
Suministrar informacin actualizada sobre la configuracin

de la infraestructura de TI, para el cumplimiento de los
diferentes procesos de administracin de servicios que as lo
requieren.
Para poder administrar eficientemente la infraestructura informtica,
es fundamental conocer en detalle cules son sus componentes y sus
interrelaciones; esa es la tarea central de la administracin de
configuraciones.
69
Captulo V
La administracin de configuraciones no es una labor sencilla, pues

requiere una colaboracin muy activa de todos los administradores de
servicios de TI y en particular de los procesos de administracin de
cambios y versiones. Por tal razn, en muchas organizaciones medianas y
pequeas se prefiere combinar esas disciplinas, simplificando el proceso
de control.
1.1.- Ventajas
Los beneficios de una adecuada administracin de configuraciones
son mltiples, entre ellos:
Resolucin ms rpida de los problemas, que redunda en una

mayor calidad de servicio.
Una administracin de cambios ms eficiente.
Control de licencias. Se pueden identificar copias ilegales de

software que pueden suponer un peligro para la
infraestructura TI y el incumplimiento de las normas legales
que podra repercutir negativamente en la organizacin.
Mejor nivel de seguridad, pues una base de datos de

componentes actualizada ayuda a realizar un anlisis de las
vulnerabilidades en la infraestructura.
Mayor rapidez en la restauracin de servicios. Cuando se
conocen todos los tems de configuracin y sus
interrelaciones es mucho ms sencillo recuperar la
configuracin de la infraestructura de produccin en un
menor tiempo.
1.2.- Barreras
Las principales barreras que encuentra la implantacin de la disciplina
de administracin de configuraciones son:
Desactualizacin de la base de datos de configuracin,

debido a que mantenerla actualizada requiere dedicacin y
prolijidad que no siempre el personal est motivado a
cumplir.
Herramientas inadecuadas, es necesario disponer del software

adecuado que facilite los procesos de manejo y actualizacin
de la base de datos.
70
Falta de coordinacin con las disciplinas de administracin

de cambios y de versiones, que impide una correcta
actualizacin de la base de datos.
Asignacin de responsabilidades, debe haber una clara

definicin y asignacin de responsabilidades, con el fin de
garantizar que la base de datos de configuracin se actualiza
adecuadamente.
2.- Terminologa
A lo largo de este captulo hemos utilizado diferentes conceptos con
diferentes denominaciones, sin embargo, especialmente en
administracin de configuraciones, para poder desarrollar unos
procedimientos consistentes y sin ambigedades es imprescindible
manejar una terminologa clara y precisa, por lo que a continuacin
discutiremos los ms importantes.
2.1.- tems de configuracin (configuration item - CI)

Es la denominacin genrica que se le da a todos los componentes de
los servicios de TI, como pudieran ser:
Dispositivos de hardware como: PCs, impresoras, puntos de

red, enrutadores, concentradores, etc. as como cada uno de
sus componentes de hardware como tarjetas, teclados,
lectores de CDs, etc.
Componentes de software como: los sistemas operativos, las

aplicaciones, los programas que integran una aplicacin, los
drivers, los protocolos de red, etc.
Documentacin como: componentes escritos, planes, diseos,
manuales, instructivos, acuerdos de niveles de servicio,
contratos, etc.
71
Captulo V
ITIL define tem de configuracin como:

Cualquier activo, servicio, componente u otro
elemento que se controla (o que ser
controlado)
por
la
administracin
de
configuraciones.
2.2.- Base de datos de configuraciones (configuration

management data base - CMDB).
La base de datos de configuraciones debe incluir:
Informacin detallada sobre cada tem de configuracin.
Interrelaciones entre los diferentes tems de configuracin,

como,
por
ejemplo,
relaciones
"padre-hijo"
o
interdependencias tanto lgicas como fsicas (Ej.: la estacin
de trabajo est conectada al punto de red X que se conecta al
concentrador Y)
La base de datos de la administracin de configuraciones no puede
limitarse a una mera enumeracin del inventario de componentes, sino
que debe tener la capacidad de presentar una imagen global de la
infraestructura TI.
2.3.- Lnea base de configuracin (configuration baseline)

Una lnea base de configuracin es la definicin de la estructura que
debe tener un tem, la cual ha sido formalmente acordada y establecida.
Este concepto lo podemos asociar a la definicin de los estndares que
deben cumplir algunos tems de configuracin, como ocurre con los
programas, los instructivos, los modelos de datos, etc. La lnea base de
configuracin se utiliza en la disciplina de administracin de cambios,
para verificar que los nuevos tems que pasan al ambiente de produccin
cumplan con los estndares.
2.4.- Sistema de administracin de configuraciones

(Configuration Management System).
Es claro que la administracin de configuraciones requiere el apoyo de
un sistema de informacin que debe contar con facilidades para dar
entrada a los tem de configuracin, mantener y actualizar la base de
datos de configuracin y para extraer la informacin que requieren los
diferentes procesos de administracin de servicios de TI.
Uno de los grandes retos, al iniciar el desarrollo de las disciplinas de
administracin de servicios es el levantamiento del inventario de
hardware y software. Afortunadamente, en el mercado pueden
72
encontrarse una gran cantidad de paquetes que automatizan gran parte de

las funciones de recoleccin de datos y mantenimiento de la base de datos
de configuraciones, algunos de estos paquetes disponen de facilidades
para explorar algunos equipos conectados a la red -como las estaciones de
trabajo, impresoras y servidores-, con el fin de identificar todos los
dispositivos y componentes de software instalados y actualizar
automticamente el inventario. Algunos de estos paquetes tambin
permiten identificar software ilegalmente instalado. Entre estos paquetes
podemos citar:
Discovery
LOGINventory
Everest Corporate Edition
NetSupport DNA
Users Ghost
Alloy Network Inventory
EMCO Network Inventory
WinAudit
Asset Tracker for Networks
Steel Inventory
Alchemy Network Inventory
Computer Admin Lite
Admin Express
2.5.-
Ambientes operacionales
Un ambiente operacional es un conjunto de componentes y recursos

que se organizan separadamente para cumplir un propsito especfico,
como:
Ambiente de produccin
El ambiente de produccin est conformado con todos los
recursos y componentes destinados a procesar las
operaciones y la informacin de la empresa. Es un ambiente
que maneja los datos reales del negocio, al que slo tienen
acceso los usuarios, con las limitaciones que les imponen los
perfiles de seguridad que les hayan sido asignados, de
acuerdo con sus atribuciones y responsabilidades.
73
Captulo V
74
Es norma general que el personal de desarrollo de sistemas

no tenga acceso a este ambiente, con el fin de mantener una
sana segregacin de funciones.
Ambiente de desarrollo
El ambiente de desarrollo est conformado con todos los
recursos y componentes destinados a desarrollar o modificar
las diferentes aplicaciones para uso de la empresa. Es un
ambiente que maneja datos ficticios que utiliza el personal de
desarrollo y mantenimiento.
El acceso a este ambiente tiene menos restricciones que el
ambiente de produccin.
Ambiente de prueba
El ambiente de prueba est conformado con todos los
recursos y componentes destinados a realizar pruebas de
sistema y de desempeo de las diferentes aplicaciones
nuevas o modificadas- para uso de la empresa. Es un
ambiente con una estructura muy similar a la del ambiente de
produccin, pero en el que se manejan datos ficticios datos
de prueba-.
El acceso a este ambiente tiene ms restricciones que el
ambiente de desarrollo, pero menos que el ambiente de
produccin. Solamente lo utilizan usuarios y personal de
desarrollo, debidamente autorizados para cumplir procesos
prueba especficamente planificados.
Ambiente de adiestramiento.
En algunas empresas se utiliza un ambiente de
adiestramiento, este ambiente est conformado con todos los
recursos y componentes destinados necesarios para que los
usuarios de un nuevo sistema puedan aprender a utilizar sus
funciones en forma muy similar a como lo harn cuando el
sistema pase a produccin.
Normalmente se utiliza para adiestrar a los usuarios para un
nuevo sistema de largo alcance. Es un ambiente con una
estructura muy similar a la del ambiente de produccin, pero
en el que tambin se manejan datos ficticios datos de
prueba-.
El acceso a este ambiente tiene ms restricciones que el
ambiente de desarrollo, pero menos que el ambiente de
produccin. Solamente lo utilizan usuarios y personal de
desarrollo, debidamente autorizados para cumplir los
procesos de adiestramiento especficamente planificados.
La separacin de ambientes es un elemento fundamental de control
interno, pues permite establecer controles estrictos sobre el uso de los
componentes destinados a produccin y el acceso a la informacin del
negocio. En algunas empresas, en las que no se dispone de suficientes
recursos, ser imprescindible que, como mnimo, se establezca una
separacin estricta entre el ambiente de produccin y todas las
actividades de desarrollo y prueba.
Es importante observar que los procesos de migracin de
componentes desde el ambiente de prueba al ambiente de produccin, una
vez que han pasado satisfactoriamente los procesos de prueba, se realizan
bajo la supervisin de las disciplinas de administracin de versiones y de
cambios.
3.- Proceso
Las principales actividades que se cumplen dentro del proceso de
administracin de configuraciones son:
1. Planificacin:
Determinar los objetivos y estrategias de la administracin de
configuraciones.
75
Captulo V
2. Clasificacin y registro:
Los tems de configuracin (CIs) deben registrarse de acuerdo a su
lnea base y nomenclatura que se hayan predefinido.
3. Seguimiento y control:
Es necesario asegurar que la base de datos de la administracin de
configuracin (CMDB) est correctamente actualizada, por lo que es
fundamental hacer un seguimiento que permita asegurar que cada una
de las disciplinas relacionadas administracin de cambios y de
versiones- registren y actualicen correcta y oportunamente la
informacin de su competencia.
4. Realizacin de auditoras:
Como es prctica normal en cualquier proceso de inventario, la
administracin de la configuracin incluye la realizacin de
auditoras que permitan cotejar la informacin registrada en la base
de datos contra la configuracin fsica real de la infraestructura TI de
la organizacin.
5. Elaboracin de informes:
La Administracin de configuraciones tiene como funcin primordial
aportar informacin a otras disciplinas y para las diferentes reas de
la infraestructura de TI.
3.1.- Planificacin
Sin una base de datos de configuraciones es muy difcil que puedan
administrarse satisfactoriamente los servicios de TI, por la sencilla razn
de que no existira un conocimiento detallado de lo que se est
administrando. Por esta razn, puede decirse que la disciplina de
administracin de configuraciones es el corazn de la administracin de
servicios de TI.
Las principales tareas que se cumplen dentro de la actividad de
planificacin son las siguientes:
Designar una persona responsable: una descentralizacin

excesiva o dispersin de esta responsabilidad entre las
diferentes unidades tcnicas, puede generar descoordinacin,
con el riesgo de que la actualizacin de la base de datos se
actualice en forma desigual.
Invertir en alguna herramienta de software adecuada a las

actividades requeridas, pues no es posible cumplir con esta
disciplina con mtodos manuales.
76
Establecer claramente:
El alcance y objetivos.
El nivel de detalle.
El proceso de implementacin en orden de importancia o
de acuerdo con los lineamientos dictados por la gerencia
de TI.
Coordinar el proceso estrechamente con la administracin de

cambios, y la administracin de versiones.
Una planificacin adecuada permitir que la administracin de
configuraciones se desarrolle sin dificultades y permitir desarrollar una
base de datos robusta para apoyar el resto de los procesos.
3.2.- Clasificacin y Registro

Es claro que la principal tarea de la administracin de configuraciones
es mantener la base de datos de configuraciones, por ello es importante
un trabajo de diseo que establezca criterios de clasificacin y registro de
los componentes, para llevar a cabo esta labor con xito ser importante
que:
Los objetivos sean realistas: una excesiva profundidad o

detalle puede sobrecargar de trabajo a la organizacin y
causar, a la larga, que se abandonen estas responsabilidades.
La informacin sea suficiente: debe existir, por lo menos un

registro de todos los sistemas y componentes crticos de la
infraestructura TI.
3.3.- Alcance
Al poner en marcha la disciplina de administracin de configuraciones
ser importante establecer prioridades, determinando qu sistemas y
componentes TI van a ser incluidos gradualmente en la base de datos de
componentes. Debe tomarse en cuenta que al establecer el alcance:
Ser esencial incluir todos los sistemas de hardware y

software relacionados con los servicios crticos.
Ser recomendable incorporar la documentacin asociada a

niveles de servicio y licencias.
En general cualquier servicio o proceso debe ser incluido en la base de
datos, pero debe hacerse en forma gradual; si se fijan unos objetivos
demasiado ambiciosos podran llevar a la frustracin y al fracaso.
77
Captulo V
3.4.- Nivel de detalle y Profundidad

Una vez determinado el alcance de la base de datos de
configuraciones es fundamental establecer el nivel de detalle necesario,
para ello se deber:
Determinar los atributos que describen cada tipo de tem.
Determinar las relaciones lgicas y fsicas que se registrarn

para los diferentes tems.
tems y subcomponentes que debern ser registrados

independientemente.
Por ejemplo, si se decide incluir las estaciones de trabajo en la base de
datos, debe considerarse incluir:
Atributos: fabricante, tipo, modelo, fecha de compra,

procesador, memoria, sistema operativo, costo, etc.
Relaciones: punto de red al cual est conectado, a qu usuario
est asignada, dispositivos que tenga conectados como,
teclado, monitor, impresoras, scanners, etc.
Subcomponentes: tarjetas de red, discos duros, tarjetas
grficas, herramientas, paquetes de software y programas
instalados.
3.5.- Nomenclatura
Ser de vital importancia establecer un sistema de codificacin y
clasificacin para los diferentes tems de configuracin, con el fin de que
el sistema pueda ser utilizado con facilidad:
La identificacin de cada tipo de tem debe ser nica y fcil

de interpretar:
78
El cdigo debe ser utilizado consistentemente en todas las

comunicaciones referidas a los tems de configuracin.
Los cdigos deben ser establecidos tanto para componentes
de hardware, como tambin para documentacin y
componentes de software.
Normalmente los tems de hardware tienen un serial asignado
por el proveedor, que deber ser incluido en la base de datos,
para ello no debe descartarse el uso de cdigos de barra, con
el fin de simplificar los procesos de registro en la base de
datos de configuracin.
3.6.- Control
La administracin de configuraciones debe estar puntualmente
informada de todos los cambios y adquisiciones de componentes para
mantener actualizada la base de datos.
El registro de todos los componentes de hardware debe iniciarse desde
la aprobacin de su compra y debe mantenerse actualizado su estado en
todo momento de su ciclo de vida. Asimismo, debe estar correctamente
registrado todo el software "en produccin".
Las tareas de control deben centrarse en:
Asegurar que todos los componentes estn registrados en la

base de datos.
Monitorizar el estado de todos los componentes.
Actualizar las interrelaciones entre los tems de

configuracin.
Informar sobre el estado de las licencias.
3.7.- Auditoras
El objetivo de las auditoras es asegurar que la informacin registrada
en la base de datos de configuraciones coincide con la estructura real de
la infraestructura de TI. Normalmente, las auditoras debern realizarse
en forma rotativa, pues resultar demasiado engorroso auditar toda la
infraestructura de una sola vez. Adicionalmente, el proceso de auditoras
debe mantenerse con cierta constancia, a los fines de cubrir toda la
infraestructura en un perodo razonable un semestre o un ao-.
Dentro de lo posible, deber dotarse el proceso de auditora de
herramientas automatizadas, como lectores de cdigo de barras y
programas que comparen la base de datos con los datos obtenidos en las
revisiones fsicas, con el fin de determinar faltantes, sobrantes e
inexactitudes.
Tambin ser importante que se realicen auditoras despus de haberse
procesado algn cambio significativo reemplazo de aplicaciones o de
equipos- y si existe la sospecha de que alguna parte de la informacin
almacenada en la base de datos est o incompleta o es incorrecta.
Las auditoras deben dedicar especial atencin a aspectos tales como:
Uso adecuado de la nomenclatura en los registros de los

tems.
79
Captulo V
Estatus de los tems de configuracin instalado,

almacenado, en mantenimiento, descontinuado, etc.correctamente registrado.
Cumplimiento de los niveles de detalle establecidos para el
registro de informacin sobre los tems de configuracin.

Para el funcionamiento correcto de la administracin de
configuraciones se requiere la colaboracin de toda la organizacin TI,
para mantener actualizada la informacin almacenada en la base de datos
de configuracin.
Es importante producir informes peridicos que permitan evaluar el
desempeo de la administracin de configuraciones, conocer la
consistencia de la base de datos de configuraciones y para aportar
informacin para otras reas de la administracin de servicios de TI.
Entre los reportes que podran producirse, pueden estar:
Resultados de las auditoras realizadas, mostrando

discrepancias entre la informacin almacenada en la base de
datos y la configuracin real.
Informacin sobre tems que han estado involucrados en

diferentes fallas.
Costos del proceso.
Sistemas de clasificacin y nomenclatura utilizados.
80
Informes sobre tems no autorizados y/o sin licencias.

Informacin estadstica y composicin de la estructura TI.
Captulo VI
V e rsione s
Captulo VI
Tabla de contenido
1.1.1.1.2.2.2.1.2.2.2.3.2.4.2.5.3.3.1.3.2.3.3.4.5.6.-
82
En qu consiste la administracin de versiones?..................83

Ventajas .............................................................................85
Barreras..............................................................................85
Consideraciones de tipo prctico............................................86
Tipos de versiones .............................................................86
Actualizacin y custodia de componentes .........................87
Versiones anteriores...........................................................88
Nomenclatura de versiones ................................................88
Estatus de una versin........................................................89
Actividades de administracin de versiones ..........................89
Planificacin ......................................................................90
Verificacin de cumplimiento de estndares .....................91
Verificacin de cumplimiento de pruebas .........................91
Implementacin......................................................................93
Soporte inicial ........................................................................94
Evaluacin de la disciplina.....................................................94
1.- En qu consiste la administracin de versiones?

La administracin de versiones es la disciplina que incluye las tareas
de coordinacin y control sobre el proceso de implementacin de todo el
software instalado en el ambiente de produccin.
Algunos autores prefieren incluir tambin el control del hardware
instalado dentro de esta disciplina; sin embargo, dado que hardware y
software son elementos tan diferentes no consideramos prctico que la
administracin de versiones se ocupe de los tems de hardware. Por
ejemplo, el software definitivo instalado en produccin- requiere que
una copia de los programas ejecutables y sus correspondientes mdulos
fuente, sean custodiados bajo estrictos controles; sin embargo, no tiene
ningn sentido plantear algo similar para el hardware instalado.
Consideramos adems, que la administracin de cambios y de
configuraciones ofrecen unos marcos procedimentales suficientemente
amplios para el control y la administracin de los tems de hardware.
Una versin o release- es un conjunto de tems de configuracin que
han sido probados y estn listos para ser migrados al ambiente de
produccin.
La administracin de versiones es una disciplina que debe coordinarse
e integrarse perfectamente con las disciplinas de administracin de
cambios y de configuraciones, con el fin de asegurar que toda la
informacin relacionada con las nuevas versiones se actualice
adecuadamente en la base de datos de configuraciones.
La persona o el equipo responsable de la administracin de versiones
tiene como responsabilidad fundamentalsima la custodia de las libreras
o bibliotecas de programas fuentes y ejecutables que han sido aceptados
en el ambiente de produccin, as como tambin, de las bibliotecas de
documentacin que deben acompaar dichos componentes.
La disciplina de administracin de cambios se encarga de aprobar y
supervisar todo el proceso de cambio y la administracin de versiones se
encarga del proceso de migracin al ambiente de produccin de los tems
83
Captulo VI
de configuracin nuevos o modificados; obviamente, ambas disciplinas

tienen reas comunes que deben ser tomadas en cuenta al desarrollar los
procedimientos, para evitar duplicidad de funciones o choque de
responsabilidades. Por esta razn, en algunas organizaciones las
actividades de administracin de versiones se incluyen dentro de la
administracin de cambios.
Entre los principales objetivos de la administracin de versiones

podemos sealar los siguientes:
Implementar las nuevas versiones de software en el ambiente de
produccin, una vez que se hayan realizado pruebas
suficientemente rigurosas.
Asegurar que el proceso de cambio cumpla las especificaciones de
la solicitud de cambio que lo origin.
Asegurar, en coordinacin con la administracin de cambios y de
configuraciones, que todos los cambios se actualicen
correctamente en la base de datos de configuraciones.
Archivar y custodiar tanto los programas fuente, como copias de
los ejecutables en produccin, as como de toda su documentacin
asociada, en la biblioteca de componentes en produccin.
84
Mantener la custodia, dentro de los plazos que establezcan las

polticas de la organizacin, de los tems reemplazados versiones
anteriores-.
1.1.- Ventajas
Entre las ventajas que pueden derivarse de una disciplina de
administracin de versiones implementada correctamente pueden
sealarse:
Las nuevas versiones cumplen los objetivos que originaron su
desarrollo.
Se reduce el nmero de incidentes que puedan ocasionarse por
incompatibilidades con otro software o hardware instalados.
El proceso de pruebas que debe preceder la implantacin, permite
asegurar la calidad del software y hardware que se instala.
El correcto mantenimiento de la bibliotecas de componentes
originales -fuentes, ejecutables, documentacin, etc.- evita que se
pierdan valiosos elementos de la infraestructura.
Se mantiene un control centralizado del software que pasa al
ambiente de produccin.
1.2.- Barreras
Entre las principales barreras que encuentra la implantacin de la
disciplina de administracin de versiones pueden sealarse las siguientes:
Resistencia a la centralizacin del proceso de cambio.
El personal y, en general, la organizacin TI no reconocen la
autoridad del administrador de versiones, especialmente en lo
relacionado a la custodia de los tems instalados en el ambiente de
produccin.
No se realizan pruebas lo suficientemente rigurosas de las nuevas
versiones, lo cual genera emergencias en el ambiente de
produccin y la permanente necesidad de hacer excepciones en el
cumplimiento de los procedimientos, con el fin de poder
modificar los componentes directamente en ese ambiente.
Hay resistencia a desarrollar planes de retorno o backout", para
deshacer cualquier cambio que se haya implementado en
produccin, pero que, por cualquier razn, no est funcionando
adecuadamente.
85
Captulo VI
Carencia de herramientas de distribucin de software, para la

instalacin de nuevas versiones que puedan requerir la instalacin
de uno o ms componentes en diferentes servidores o en las
estaciones de trabajo de los diferentes usuarios de una nueva
versin.
2.- Consideraciones de tipo prctico

Sealbamos al inicio, que una versin es un conjunto de tems de
configuracin nuevos o modificados, que han sido probados y estn listos
para ser puestos en produccin, indicbamos tambin, que las
especificaciones funcionales y tcnicas de una versin deben estar
establecidas en la solicitud de cambio que la origin.
En cierta forma, se puede afirmar que la administracin de versiones
es el ltimo paso de los diferentes procesos de adquisicin, desarrollo,
mantenimiento e implantacin de software, tanto software de aplicaciones
para el apoyo del negocio, como software base, entendiendo como
software base: los sistemas operativos, manejadores de bases de datos,
compiladores, programas de utilidad, programas de automatizacin de
oficinas, etc. Por ello, ser importante establecer el conjunto de normas
que debern gobernar la implantacin de nuevas versiones, con el fin de
establecer unas slidas metodologas de trabajo.
2.1.- Tipos de versiones

De acuerdo con su magnitud o impacto en la infraestructura de TI, las
versiones pueden clasificarse en:
Versiones mayores
86
Una versin mayor corresponde a la instalacin de grandes

piezas de software. Normalmente corresponde a un nuevo
sistema operativo, aplicacin o al reemplazo del software de
apoyo a un nmero importante de operaciones del negocio.
Versiones menores
Una versin menor corresponde a un grupo no muy grande
de tems de configuracin, que complementan la capacidad
de un elemento de software mayor o que cambian la
funcionalidad de algn mdulo de un sistema o corrigen
varios errores conocidos.
Versiones de emergencia
Una versin de emergencia corresponde a uno o varios tems
de configuracin que reemplazan tems en produccin, para
reparar un error conocido.
Ser muy importante que los procedimientos de administracin de
versiones tomen en cuenta los diferentes tipos de versiones, con el fin de
asegurar su agilidad, Evitando que para una versin de emergencia priven
las mismas condiciones que para una versin mayor, sin perder de vista
los controles fundamentales.
2.2.- Actualizacin y custodia de componentes

La administracin de versiones debe establecer la forma cmo se
mantendrn las diferentes libreras o bibliotecas de programas fuentes y
ejecutables que quedan bajo la custodia del administrador de versiones.
En el caso de las aplicaciones los componentes se almacenarn en
bibliotecas propias de la instalacin, cuyo acceso quedar restringido a
los administradores de versiones nicamente; sin embargo, en el caso del
software base y algunas aplicaciones adquiridas es preferible almacenar
ordenadamente, en archivos de seguridad los tems tal como fueron
recibidos del proveedor.
Hoy da, es usual recibir va internet nuevas versiones y correcciones
de errores conocidos o, simplemente, actualizaciones; por lo que es muy
importante establecer procedimientos que aprovechen la gran flexibilidad
que esta forma de trabajo ofrece, pero que, adems, establezcan
suficientes controles sobre su aplicacin.
Existen casos, como los antivirus, que se actualizan automticamente,
de forma continua. Si para estos componentes se puede tener la confianza
de que el proveedor realiza una buena administracin de versiones, no
valdr la pena invertir tiempo y energa para ponerlos bajo nuestra
87
Captulo VI
administracin de versiones. En estos casos, bastar con registrar el

software en la base de datos de configuraciones y auditar peridicamente
su proceso de actualizacin, para verificar que se est cumpliendo
satisfactoriamente.
Tambin es frecuente que se autorice a un proveedor a que tenga
acceso a nuestra infraestructura, con el fin de que directamente, desde sus
oficinas, pueda instalar tems nuevos o modificados. En estos casos
tampoco valdr la pena invertir tiempo y energa para ponerlos bajo
nuestra administracin de versiones, bastar con llevar un registro
detallado de estos eventos de actualizacin y auditar peridicamente el
proceso de actualizacin, para verificar que se est cumpliendo
satisfactoriamente.
2.3.- Versiones anteriores

En la administracin de versiones es muy importante mantener una
prctica ordenada para almacenar y custodiar las versiones que preceden
a los componentes en produccin versiones anteriores-, con el fin de
poder recuperar cualquier tem, aunque haya transcurrido algn tiempo
desde su reemplazo. Esta prctica resulta especialmente valiosa para los
tems de software, que a veces tienen alguna falla que ha pasado
inadvertida en los procesos de prueba y que, tiempo despus de haber
sido instalados, causan una interrupcin en el servicio o presentan un
funcionamiento inadecuado.
2.4.- Nomenclatura de versiones

Una prctica comn es la de establecer una codificacin que
identifique unvocamente cada versin. Normalmente, se utiliza un
sistema de aceptacin muy generalizada, que consiste en denominar:
Versiones mayores: 1.0, 2.0, etc.
Versiones menores: 1.1, 1.2, 1.3, etc.
Versiones de emergencia: 1.1.1, 1.1.2, etc.
Igualmente, los tems de configuracin que integran una versin,
debern asociar su nombre o cdigo de identificacin con la versin a la
cual pertenecen.
Cabe sealar que este esquema de denominacin de versiones es
apropiado para empresas productoras de software, en el caso de cualquier
otra empresa, slo ser necesario identificar los tems que conforman un
sistema o una pieza grande de software e identificar las diferentes
versiones a nivel componente.
88
2.5.- Estatus de una versin

Las diferentes versiones cumplen un ciclo de vida, desde que se
formula la solicitud de cambio que la origina, hasta que es reemplazada
del ambiente de produccin, por lo que hablamos de que una versin
puede pasar por diferentes estatus:
Solicitada
En desarrollo
En prueba
En produccin
Descontinuada
Junto con la informacin pertinente de cada tem de configuracin, en
la base de datos de configuraciones, ser importante que se registre su
estatus.
3.- Actividades de administracin de versiones

Para dar inicio a la disciplina de administracin de versiones, ser
importante establecer el conjunto de normas y polticas que debern
gobernar los procedimientos de implantacin de nuevas versiones, con el
fin de establecer unas slidas metodologas de trabajo.
89
Captulo VI
Adicionalmente, debern establecerse los procedimientos que debern

seguirse para cumplir las siguientes actividades, que conforman la
disciplina:
Planificacin
Verificacin de cumplimiento de estndares
Verificacin de cumplimiento de pruebas
Implementacin
Soporte inicial
3.1.- Planificacin
Antes de instalar una nueva versin en produccin se requiere
formular varios planes, dependiendo del tipo de versin -mayor, menor o
de emergencia-. Estos planes formarn parte del material que ser
revisar por la administracin de cambios y debern tomar en cuenta los
siguientes aspectos:
Alcance, contenido, riesgos, responsabilidades y usuarios
involucrados en la versin.
Estrategia para obtener la participacin de todas las partes
involucradas unidades de soporte, analistas de sistemas, tcnicos
de bases de datos, usuarios, etc. Planes de retorno backout- para las situaciones de falla. Verificar
que los planes de retorno o respaldo y de retorno o backout han
sido convenientemente preparados y que son totalmente viables.
Establecer quin, cmo y cundo tomar la decisin de aplicar los
planes de retorno en caso de ser necesario-, para minimizar el
impacto negativo sobre el servicio.
Qu se va a instalar? Establecer qu tems de configuracin estn
involucrados en la nueva versin.
Quines son los usuarios?
Dnde estn de los usuarios? En el caso de distribuciones
internacionales, cuales consideraciones deben ser hechas?
Cules son las principales dificultades que se prevn?
90
Cmo sern entregados los componentes de la nueva versin?

Cul es el impacto que puede tener la instalacin de la nueva
versin en la continuidad y calidad de los servicios?
Definir cules son los recursos humanos y tcnicos necesarios

para llevar a cabo la implementacin de la nueva versin con
xito.
Establecer quines sern los responsables directos en las
diferentes etapas del proceso de migracin.
Verificar que se hayan desarrollado planes de comunicacin y
adiestramiento para que los usuarios participen y estn
debidamente informados, con el fin de evitar que una nueva
versin llegue como una sorpresa.
3.2.- Verificacin de cumplimiento de estndares

La administracin de versiones constituye la recta final de los
procesos de desarrollo y mantenimiento. En algunas oportunidades estos
desarrollos se realizan "en casa" y en otras se realizan con la participacin
de proveedores externos. En ambos casos, la primera tarea de la
administracin de versiones ser la de asegurar que el paquete o paquetes
de software cumplan con las definiciones de lnea base y estndares. En
algunas empresas existe una unidad que cumple las funciones de
aseguramiento de calidad, encargada de vigilar que durante todo el
proceso de desarrollo se cumplan los estndares. Si ese fuera el caso,
estas funciones estarn fuera del proceso de administracin de versiones
y nicamente se mantendr la tarea de verificar que las sesiones de
revisin de calidad se hayan cumplido satisfactoriamente.
La disciplina de administracin de versiones tambin incluir las
tareas correspondientes a la actualizacin de la base de datos de
configuraciones.
3.3.- Verificacin de cumplimiento de pruebas

Una nueva versin, antes de pasar a produccin, debe cumplir una
serie de procesos de prueba, como los que se describen en los siguientes
prrafos
Normalmente, los procesos de prueba corresponden a las
metodologas de desarrollo y mantenimiento que utiliza la empresa, por
lo que no corresponden a las actividades de administracin de versiones;
sin embargo, dentro de esta disciplina debe incluirse la tarea de verificar
que dichas pruebas se hayan cumplido satisfactoriamente.
3.3.1.- Prueba unitaria
Una prueba unitaria es una prueba que se hace de un solo programa o
de un mdulo. El programador del mdulo es responsable de realizar la
prueba unitaria en el ambiente de desarrollo.
91
Captulo VI
3.3.2.- Prueba de integracin

Una prueba de integracin es la prueba que se hace de las interfaces
que existen entre diversos componentes dentro de un mdulo, con el fin
de detectar cualquier problema de intercambio de datos, archivos o
parmetros y asegurar que pueden ser ejecutados en el orden o secuencia
requeridos.
El analista del proyecto con ayuda de los restantes miembros del
equipo de desarrollo o mantenimiento, realiza estas pruebas en el
ambiente de prueba.
3.3.3.- Prueba Funcional
El propsito de una Prueba Funcional es identificar las discrepancias
que puedan existir entre un componente o sistema con sus
especificaciones funcionales.
Estas pruebas las realizan el representante funcional en el equipo de
trabajo, junto con el analista del proyecto y la ayuda de los restantes
miembros del equipo de desarrollo o mantenimiento. Una prueba
funcional se lleva a cabo en el ambiente de prueba.
3.3.4.- Prueba de Sistema
La Prueba de Sistema es el complemento de la prueba funcional, est
dirigida a probar los aspectos tcnicos del sistema para detectar
discrepancias con respecto a sus objetivos de desempeo como tiempo de
respuesta, cumplimiento de estndares. Estas pruebas las ejecuta el
analista responsable del proyecto con la ayuda de los restantes miembros
del equipo y la supervisin de personal de soporte tcnico.
Una prueba de sistema se lleva a cabo en el ambiente de prueba.
3.3.5.- Prueba de Aceptacin Tcnica
Una Prueba de Aceptacin Tcnica es un proceso de prueba llevado a
cabo por el personal tcnico distinto del personal que desarroll el
sistema; en algunas empresas se cuenta con grupos dedicados realizar
esta clase de pruebas para todos los sistemas que se desarrollan o
modifican, antes de que los mismos pasen a produccin. Sin embargo,
para cumplir con esas tareas, la mayora de las empresas prefiere
organizar grupos de prueba ad-hoc con personal de operaciones y de
soporte tcnico. Normalmente, en una prueba de aceptacin tcnica se
someten los sistemas a condiciones extremas, con el fin de asegurar que
el sistema funcionar satisfactoriamente en cualquier caso.
92
4.- Implementacin
Una vez que se ha establecido la coordinacin con el proceso de
administracin de cambios, se procede con la implantacin en
produccin. Este proceso puede ser:
Completa
Parcial
A su vez, una vez cumplidos los procesos de implantacin, la
administracin de versiones debe asegurarse de que:
Se incluyan los programas fuente, la documentacin y las copias
de los programas ejecutables, en las bibliotecas correspondientes La base de datos de configuracin quede correctamente
actualizada.
Se informe debidamente a la unidad de atencin a los usuarios.
4.1.1.- Implementacin completa
Cuando se realiza instala una implantacin completa, se instalan todos
los tems que componen la versin simultneamente para todos los
usuarios, en todas las localidades.
Normalmente, para este tipo de implementaciones se establece un
perodo de prueba final, denominado de aceptacin funcional. Este
perodo de prueba lo cumplen los usuarios, con el personal de soporte y el
personal de operaciones, para evaluar que el sistema se desempea
adecuadamente trabajando bajo condiciones reales.
Algunas veces estas pruebas pueden incluir el cumplimiento de
paralelos. Probar un sistema nuevo en paralelo con el sistema vigente,
implica la instalacin total del sistema en el ambiente de produccin, su
ejecucin con datos reales y la comparacin de sus resultados con los que
produce el sistema vigente.
Una vez que estos procesos de aceptacin se cumplen, el nuevo
sistema pasa a ser el sistema oficial y se desinstalan todos los
componentes que correspondan al sistema que se reemplaza.
4.1.2.- Implementacin parcial
Muchas veces se realiza lo que se denomina instalacin piloto, para
asegurar que el sistema se comporta adecuadamente en el ambiente de
produccin. Tambin, si los usuarios se encuentran dispersos en
localidades muy distantes y existen diferencias importantes de horario, se
prefiere ir cubriendo grupos de usuarios separadamente. En estos casos,
93
Captulo VI
los usuarios finales deben estar informados del calendario de instalacin

y la forma cmo podran afectarse sus actividades diarias.
5.- Soporte inicial

Normalmente, en el inicio de un nuevo servicio pueden haber errores
que hayan pasado desapercibidos por los diferentes procesos de prueba,
por lo que debe considerarse que las versiones que estn cumpliendo el
perodo de aceptacin pudieran requerir la intervencin de algn
miembro del personal de desarrollo o del personal de soporte, para ello
los procedimientos deben contemplar la posibilidad de otorgar
autorizaciones temporales, para que estos tcnicos puedan cumplir su
cometido, con agilidad.
Ser muy importante para evaluar el desempeo de los equipos de
desarrollo que, aunque estas tareas de soporte inicial se cumplan
flexiblemente, queden bien registradas bajo las disciplinas de manejo de
incidentes y de problemas.

Para evaluar el desempeo de la disciplina de administracin de
versiones ser importante generar informes peridicos que ofrezcan una
informacin precisa de las acciones cumplidas y presenten una mtrica
cubriendo aspectos como:
Nmero de nuevas versiones implantadas, por categora
Nmero de procesos de retorno que se han tenido que realizar y
razones que privaron para realizarlos.
Incidentes asociadas a nuevas versiones.
Uso de recursos en cada caso.
Existencia de versiones ilegales de software.
Adecuado registro de las nuevas versiones en la base de datos de
configuracin.
Incidentes provocados por un uso incorrecto de la nueva versin
por parte de los usuarios.
Disponibilidad del servicio durante y despus del proceso de
implantacin de la nueva versin.
94
Captulo VII
Ca m bios
Captulo VII
Tabla de contenido
1.- En qu consiste la administracin de cambios? ........................97
1.1.Ventajas .............................................................................98
1.2.Barreras..............................................................................98
2.- Elementos ...................................................................................99
3.- Roles ...........................................................................................99
4.- Actividades ...............................................................................100
4.1.Registrar...........................................................................101
4.2.Aceptacin de la solicitud................................................102
4.3.Clasificacin ....................................................................102
5.- Aprobacin y Planificacin ......................................................104
6.- Implementacin ........................................................................105
7.- Evaluacin ................................................................................106
8.- Evaluacin de la disciplina .......................................................106
96
1.- En qu consiste la administracin de cambios?

El cambio, dentro de una infraestructura de servicios, es algo
constante; se instalan nuevas aplicaciones, nuevos equipos, nuevos
puntos de red, nuevas estaciones de trabajo, nuevas versiones del
software instalado, etc. Por esta razn es imperativo que todos esos
cambios se realicen ordenadamente, sin que afecten el servicio de la
plataforma TI, y que sean el resultado del trabajo en equipo, con la
participacin de todos los responsables, el personal de soporte requerido
y los usuarios afectados por el cambio.
ITIL define un cambio como la adicin, modificacin o
eliminacin de un servicio o componente autorizado,
planificado o de soporte y su documentacin relacionada .
El principal objetivo de la Administracin de cambios es evaluar y
planificar el proceso de cambio para asegurar que se realice de la forma
ms eficiente, siguiendo los procedimientos establecidos y asegurando en
todo momento la calidad y continuidad de los servicios de TI.
La administracin de cambios debe trabajar para asegurar que los
cambios:
Estn justificados y debidamente sustentados.
Estn convenientemente registrados, clasificados y

documentados.
Han sido cuidadosamente probados en un ambiente de

prueba.
Se llevan a cabo sin perjuicio de la calidad del servicio TI.
Se reflejen en la base de datos de componentes.
Estn acompaados de un plan para deshacer el cambio

backout-, en caso de que el cambio pueda generar problemas
en el servicio, por cualquier falla que pueda presentar.
97
Captulo VII
Asegurar que en la instalacin de un cambio participe todo el

personal de soporte analistas, tcnicos de soporte, tcnicos
de red, tcnicos de base de datos, etc.- y usuario necesarios
para lograr una implementacin exitosa.
1.1.- Ventajas
La administracin de cambios, por lo permanente y constante de los
cambios, viene a ser una de las disciplinas medulares para poder asegurar
la continuidad de los servicios. En general, podemos decir que su correcta
aplicacin puede brindar las siguientes ventajas:
Se reduce el nmero de incidentes y problemas que

potencialmente un cambio puede generar.
Se puede regresar a la situacin anterior sin mayores
dificultades, en caso de que el cambio no resulte exitoso.
Se estimula el trabajo en equipo, al lograr la participacin
ordenada y planificada de tcnicos y usuarios.
Los cambios se asimilan ms fcilmente.
Se pueden evaluar los verdaderos costos asociados a un
cambio.
La base de datos de configuraciones se actualiza
correctamente.
1.2.- Barreras
La disciplina de administracin de cambios tropieza con una serie de
barreras como las que a continuacin enumeramos:
No se acepta la autoridad del administrador de cambios.
98
Existe la tendencia a instalar cambios de manera

independiente, sin mayor planificacin.
Existe tendencia a ignorar los procedimientos establecidos y,
en particular, a evitar las tareas de actualizacin de la base de
datos de configuraciones.
Los encargados de la administracin de cambios no conocen
a fondo las actividades, servicios, necesidades y estructura TI
de la organizacin, lo cual los incapacita para desarrollar
correctamente su actividad.
Los administradores de cambios no disponen de las
herramientas adecuadas de software para hacer seguimiento y
documentar adecuadamente el proceso.
Se implementan procedimientos demasiado rgidos, que

dificultan los procesos de cambios medianos y menores, que
constituyen la gran mayora de los cambios.
2.- Elementos
Los procedimientos de administracin de cambios que se adopten
deben definir los siguientes elementos:
Qu categoras de cambio existen, por ejemplo: mayor,

mediano, menor.
Cmo se solicita un cambio.
Cmo se evala y categoriza un cambio.
Cmo se procesa un cambio.
Cules son los niveles de aprobacin de un cambio,

dependiendo de su impacto y su categora.
Criterios para aceptar, rechazar o posponer un cambio.

Debe tenerse muy presente que el objetivo central de la disciplina de
administracin de cambios no es evitar los cambios. Tal actitud, sera
absurda, pues la situacin normal en cualquier departamento tecnologa
es la necesidad constante de implementar cambios. Podemos afirmar que,
por el contrario, el objetivo central del procedimiento de control de
cambios es evitar que los cambios se adopten sin orden ni concierto,
asegurar que solamente se adopten los cambios que realmente requiere el
negocio y estimular el trabajo en equipo.
3.- Roles
En los procedimientos de administracin de cambios participan varios
personajes:
1. Proponente:
Es cualquier persona que determina la necesidad de implementar un
cambio y prepara una solicitud de cambio.
2. Administrador de cambios:
Es la persona encargada de motorizar todos los procedimientos que
conforman la administracin de cambios, entre ellas:
Procesar todas las solicitudes de cambio.
Asegurar una adecuada evaluacin del impacto que cada
cambio pueda tener, antes de que el mismo sea
aprobado.
99
Captulo VII
3.
4.
5.
6.
7.
8.
Presidir las reuniones del comit de cambios.

Tcnico evaluador:
Es cualquier persona que, dada su calificacin, puede dar una opinin
acerca de la viabilidad de un cambio o pueda determinar el impacto
que dicho cambio tendr.
Comit de cambios Change Advisory Board (CAB)-:
La funcin del comit de control de cambios es estudiar cada
solicitud de cambio y recomendar a la gerencia de TI su aprobacin o
rechazo. La direccin de este comit estar a cargo del administrador
de cambios y lo integrarn las personas que designe la gerencia de
tecnologa de informacin, como pudieran ser tcnicos de soporte,
analistas de sistemas, usuarios, tcnicos del centro de atencin, etc.
Parte afectada:
Es el representante de una funcin, un departamento, un sistema o un
proyecto sobre el cual un cambio pueda tener impacto, por lo que
tiene particular inters en que el cambio se realice sin ningn trauma.
Comit de cambios ampliado:
Es el comit que integran los miembros del comit de control de
cambios y las partes afectadas por un cambio en particular.
Grupo implementador:
Es el grupo de tcnicos o unidad de la organizacin que llevar a
cabo la implantacin del cambio, con la ayuda de los grupos de
soporte.
Grupo de soporte:
Es un grupo de tcnicos designados por la jefatura de sus
correspondientes departamentos soporte tcnico, sistemas, centro de
atencin, etc.- para apoyar y dar soporte al grupo implementador.
4.- Actividades
La administracin de cambios normalmente incluye actividades como
las siguientes:
Monitorizar y dirigir todo el proceso de cambio.
100
Registrar, evaluar y aceptar o rechazar las solicitudes de

cambios recibidas.
Convocar reuniones del comit de cambios, excepto en el
caso de cambios menores, para la aprobacin de las solicitud
de cambios.
Coordinar el desarrollo e implementacin del cambio.
Evaluar los resultados del cambio y proceder a su cierre en

caso de xito.
4.1.- Registrar
El primer paso del proceso de cambio es registrar las solicitudes de
cambio. Estas solicitudes pueden venir de cualquier parte interesada:
Administracin de problemas, disciplina encargada de

proponer soluciones a errores conocidos, que, normalmente,
requieren la aplicacin de un cambio en la infraestructura de
TI.
Instalacin de nuevos servicios, que requieren un cambio en

el hardware o software de la infraestructura de TI.
Requerimientos de instalacin o actualizacin para

aplicaciones en produccin o para el software base,
generados de acuerdo con la disciplina de administracin de
versiones.
Cualquier empleado, cliente o proveedor puede sugerir

mejoras en los servicios que pueden requerir cambios en la
infraestructura.
Una solicitud de cambio, deber incluir como mnimo la siguiente
informacin:
Fecha de preparacin.
Nmero identificador de la solicitud de cambio.
Descripcin del cambio propuesto:
Propsito -nuevo servicio, actualizacin, correccin de
error conocido, solucin de problema, etc.
tems de configuracin involucrados.
Estimado de personal y recursos que deben participar en
la implementacin del cambio.
Tiempo estimado.
El registro de la solicitud de cambios se ir actualizando a medida que
se vayan cumpliendo las diferentes tareas, con el fin de poder realizar un
seguimiento detallado del proceso, desde su inicio hasta la evaluacin
final y su cierre definitivo.
La informacin de registro debe ser actualizada durante todo el
proceso y debe incluir informacin como la siguiente:
101
Captulo VII
Estatus de la solicitud registrado, aceptado, rechazado,

discutido en comit, planificado, implementadoFecha de aceptacin o rechazo de la solicitud de cambio.
Evaluacin del impacto del cambio en trminos de servicios,
aplicaciones, usuarios o componentes afectados.
Calificacin de la magnitud, prioridad y categora del cambio
Planes de retorno o back out.

Recursos asignados.
Fecha de implementacin.
Plan de implementacin.
Resultados de la revisin post-implementacin.
Evaluacin final.
Fecha de cierre.
4.2.- Aceptacin de la solicitud

Una vez que el administrador de cambios recibe una solicitud,
determina quines, dentro de la organizacin, pueden evaluar la solicitud
para determinar si consideran viable el cambio y el impacto que puede
tener en los servicios y sus diferentes componentes.
Una solicitud de cambio puede ser rechazada, si se considera que el
cambio no es viable o no est justificado. La aceptacin de una solicitud
de cambio no implica que vaya a ser aprobada por el comit de cambios
ni que vaya a ser implementado.
4.3.- Clasificacin
Una vez que el cambio solicitado ha sido evaluado, se evaluarn su
prioridad, su impacto y los factores de riesgo que podran amenazar el
xito del cambio.
La prioridad que se asigne expresar la importancia que tiene una
solicitud de cambio en relacin con otras solicitud de cambios pendientes
y permitir establecer el orden en que se irn procesando e implantando
los cambios. La experiencia ha enseado que una buena forma de
establecer los niveles de prioridad, puede ser la siguiente:
Baja:
Es frecuente que se prefiera realizar los cambios de prioridad
baja junto con otros cambios que guarden alguna relacin.
102
Normal:
Para los cambios de prioridad normal, debe buscarse el mejor

momento, cuando ofrezca menor riesgo y no entorpezca la
implantacin de algn otro cambio de mayor prioridad.
Alta:
Un cambio de prioridad alta debe realizarse lo ms pronto
posible. Normalmente estn asociados a solucionar
problemas o errores conocidos, que estn afectando el
desempeo de la infraestructura de servicios.
Urgente:
Los cambios urgentes son aquellos que deben implementarse
para resolver un problema que est causando serias
dificultades en el servicio; por lo regular, estos cambios no
son de gran magnitud. Es frecuente que los cambios urgentes
se procesen bajo el control de procedimientos especiales, que
aseguren la implantacin rpida del mismo.
Muchas veces los procedimientos de administracin de cambios

adoptan toda una diversidad de categoras, que poco ayudan a cumplir
con los objetivos que persigue el procedimiento. Ser recomendable
adoptar una categorizacin sencilla de los impactos, como pudiera ser:
cambios simples -que requieren poca participacin del personal TI-,
cambios medianos -que casi no tienen efecto sobre la calidad del servicio103
Captulo VII
o complejos -que afectan un rea importante del servicio de TI o que

necesitan una gran cantidad de recursos-.
En resumen, diremos que un cambio ser categorizado de acuerdo
con:
Su prioridad -baja, normal, alta y urgente-.
Su impacto -simple, mediano o complejo-.
En general, los procedimientos de administracin de cambios
establecern los diferentes caminos que debern tomarse para llevar a
cabo con xito la implementacin de las diferentes categoras de cambio.
5.- Aprobacin y Planificacin

Por lo regular, cada cambio ser discutido y evaluado por el comit de
cambios; en algunos casos el comit tendr autoridad para aprobarlo por
ejemplo, los cambios simples y medianos-, mientras que para los
restantes cambios complejos- deber solicitar su aprobacin de la
gerencia de TI o del comit de sistema, en las empresas que existe ese
tipo de comit. En el caso de tener que solicitar la autorizacin de la
gerencia, el comit de cambios deber presentar su recomendacin.
Para darle flexibilidad a los procedimientos, en muchas
organizaciones los cambios simples no se llevan a la discusin del comit
de cambios y son aprobados directamente por el administrador de
cambios, una vez que revisa la evaluacin del mismo y los planes de
accin para implementarlo.
El comit de cambios se rene peridicamente analizar y aprobar o
rechazar las solicitudes de cambios que estn pendientes y evaluar los
planes de accin desarrollados para cada cambio; en particular el comit
evaluar:
Cules son los beneficios esperados del cambio propuesto?
Est justificado el cambio, e acuerdo con ese costo?
Cules son los riesgos asociados?
Cules son las acciones de mitigacin para esos riesgos, que

se han incluido en el plan de accin?
Se dispone de los recursos necesarios para realizar el

cambio con xito?
Cul ser el impacto sobre la infraestructura y la calidad de

los servicios TI?
104
Permitir el cambio mantener los niveles de seguridad?
Puede postergarse el cambio? Hasta cundo?

Una vez que un cambio se aprueba debe evaluarse la oportunidad en
que el cambio debe ser implementado. Para establecer la mejor
oportunidad, dependiendo de la categora del cambio, el comit de
cambios preferir convocar una reunin del comit de cambios ampliado
integrado por los miembros del comit de control de cambios ms las
partes afectadas por un cambio en particular-. En cualquier caso siempre
deber informarse formalmente tanto a los usuarios involucrados o
afectados por el cambio, como al centro de atencin, con el fin de que
conozcan los eventos que podran eventualmente generar problemas.
La oportunidad del cambio permitir concretar y detallar los
cronogramas que deber detallar el grupo implementador -responsable de
llevar a cabo la implantacin del cambio- y de comunicarlo a todos los
involucrados.
6.- Implementacin
La administracin de cambios no incluye las responsabilidades de
implantacin de los cambios, ya que dicha implantacin ser
responsabilidad de alguna unidad tcnica -de soporte o sistemas-, que
hemos denominado el grupo implementador, con el apoyo del
personal de diferentes unidades, que hemos denominado grupo de
soporte. Muchos de los cambios sern implementados bajo el control de
los procedimientos de administracin de versiones.
Sin embargo, especialmente para los cambios complejos o de alta
prioridad, el administrador de cambios monitorizar el proceso de cambio
para asegurar que se cumplen los cronogramas previstos y la adecuada
asignacin de recursos, tanto para el grupo implementador, como para el
grupo de soporte.
Es importante velar por una buena comunicacin; al momento de
implantarse el cambio; ningn usuario, proveedor o tcnico del centro de
atencin debe ignorar que se est realizando un cambio. Ser
responsabilidad de la administracin de cambios y del centro de atencin
mantener informados a los usuarios sobre los cambios y facilitar su
aceptacin:
Escuchando sus sugerencias.

Comunicando las ventajas asociadas.
Aclarando dudas y brindando soporte cuando sea necesario.
105
Captulo VII
Asegurando que los usuarios y clientes perciban todo cambio

como mejora.
7.- Evaluacin
Antes de dar por concluido un proceso de cambio, ser necesario
realizar una evaluacin que determine el valor y la verdadera
contribucin a la calidad del servicio y a la productividad de los usuarios.
Al realizar esa evaluacin, debern considerarse aspectos como:
Se cumplieron los objetivos previstos?
En que medida hubo desviaciones con respecto a la

planificacin?
Fue necesario utilizar los planes de retorno o back-out? Por

qu?
Provoc el cambio algn problema o interrupcin no

prevista del servicio?
Cul ha sido la percepcin de los usuarios en relacin al

cambio?
Si la evaluacin final determina que el proceso y los resultados han
sido satisfactorios se proceder al cierre de la solicitud de cambio.

Para evaluar el desempeo de la disciplina de administracin de
cambios ser importante generar informes peridicos que ofrezcan una
informacin precisa de las acciones cumplidas y presenten una mtrica
cubriendo aspectos como:
Solicitudes de cambio recibidas.
Proporcin de solicitudes aprobadas y rechazadas
Cantidad de cambios implementados, clasificados por

impacto y prioridad.
Cantidad de cambios de emergencia realizados.
Porcentaje de cambios exitosos en primera instancia, segunda

instancia, etc.
Numero de retornos o backouts detallando las razones de su

aplicacin.
Evaluaciones post-implementacin.
Porcentajes de cambios cerrados sin incidencias posteriores.

106
Incidencias asociadas a los cambios realizados.
Nmero de reuniones del comit de cambios, indicando

cantidad de asistentes, duracin, cantidad de cambios
evaluados por reunin, etc.
107
Captulo VII
Esquema de la administracin de cambios
108
Captulo VIII
M onit oriza c in y
Cont rol
Captulo VIII
Tabla de contenido
1.- En qu consiste monitorizacin y control? .............................111
1.1.Ventajas ...........................................................................113
1.2.Barreras............................................................................114
2.- Ciclo de monitorizacin............................................................114
3.- Terminologa ............................................................................115
4.- Herramientas.............................................................................116
5.- Niveles de monitorizacin ........................................................117
6.- Formas de monitorizacin ........................................................118
7.- Implementacin de la disciplina ...............................................119
110
1.- En qu consiste monitorizacin y control?

De acuerdo con el diccionario de la Real Academia Espaola,
monitorizar es la accin de observar mediante aparatos especiales el
curso de uno o varios parmetros fisiolgicos o de otra naturaleza para
detectar posibles anomalas.
En informtica hemos adoptado el trmino, dndole un sentido
similar, el de observar el comportamiento de los componentes de la
infraestructura tecnolgica, con el fin de detectar cualquier anomala.
Coincidiendo con la definicin del DRAE, estas actividades de
observacin, normalmente se hacen mediante componentes de hardware y
software especialmente diseados para ello.
Los problemas de desempeo de la infraestructura de TI pueden
causar dos tipos de dificultades para el negocio:
1. Cadas de sistema (Hard Downtime), cuando los equipos
fallan o se presentan problemas fsicos que provocan que los
usuarios no puedan continuar con su trabajo.
2. Bajo desempeo (Soft Downtime) de los sistemas que
integran la red, los servidores las aplicaciones, los dispositivos
de interconexin, los segmentos, enlaces, etc. que puede ser
causado por mltiples factores, pero que afectan el trabajo de
los usuarios, impidiendo que este pueda cumplirse con la
dinmica requerida.
Cuando ocurre una cada del sistema, se detienen las transacciones y
se interrumpen los servicios al cliente, lo cual acarrea prdidas a la
empresa.
Cuando se degradan los servicios, las consecuencias son menos
catastrficas, sin embargo, la experiencia muestra que estos Soft
Downtime son ms costosos para las empresas, porque ocurren con
mayor frecuencia.
Las cadas de sistema pueden ser ocasionadas por una enorme
variedad de factores, por lo que la tarea de identificar la raz de los
111
Captulo VIII
problemas normalmente es una tarea muy compleja. Como ejemplo

podemos citar fallas que pueden presentar elementos como: servidores,
cableado estructurado, equipos de red, aplicaciones, protocolos de
comunicacin, enlaces, PCs, etc. Como causas de falla pueden citarse:
fallas fsicas, errores de configuracin, errores de programacin, ataques
de virus, etc.
Dado que esta diversidad de fallas causa prdidas tanto tangibles,
como intangibles imagen, prestigio, etc.- a la empresa, resulta crucial
poder contar con la capacidad de detectar las fallas desde la raz, de la
forma ms rpida y precisa posible. Es decir, es necesario monitorizar y
analizar el desempeo de los diferentes elementos de TI, para poder
identificar dnde estn los problemas y cules son sus causas.
La disciplina de monitorizacin y control es la disciplina encargada de
supervisar y controlar los componentes de la infraestructura, as como
tambin de observar su funcionamiento para enviar alertas sobre las
condiciones de salud -caractersticas que indican xito o falla- de la
infraestructura y, cuando sea posible, corregir automticamente las fallas
detectadas.
112
Dentro de la administracin de servicios de TI, monitorizacin y

control, junto con administracin de configuraciones son las dos
disciplinas que requieren mayor ayuda de herramientas adecuadas para su
funcionamiento y que sin stas son prcticamente imposibles de
implementar.
Lo usual para el cumplimiento de la disciplina es que el grupo de
tcnicos de monitorizacin, ubicados en un local acondicionado
especialmente, dispongan de varios monitores que permiten visualizar la
representacin grfica de diferentes nodos o secciones de la
infraestructura. En estos monitores se pueden visualizar las diferentes
situaciones que se van detectando, de acuerdo con los modelos de salud
que se hayan definido.
En un modelo de salud se establece la informacin que debe ser
recolectada por los diferentes agentes o herramientas de monitoreo y
cmo el sistema o los tcnicos deben responder a los diferentes valores.
Normalmente, las herramientas de monitorizacin ofrecen la facilidad de
presentar grficamente -utilizando indicadores con color verde o rojo- la
situacin de la infraestructura, para que los tcnicos puedan determinar de
un vistazo si hay un problema en alguno de los sistemas o de los
componentes.
La disciplina de monitorizacin y control produce como subproducto
una gran cantidad de informacin de gran utilidad para ser utilizada por
otras disciplinas, facilitando su cumplimiento, como es el caso de la
administracin de niveles de servicio y la administracin de
disponibilidad.
1.1.- Ventajas
La implantacin de la disciplina de monitorizacin y control puede
brindar mltiples ventajas, entre las que cabe citar las siguientes:
Capacidad para anticipar algunos problemas en el servicio.
Resolucin ms rpida de los problemas reales y potenciales de

servicio, cuando se utilizan herramientas que permiten tomar
acciones correctivas automatizadas.
Soporte ms dinmico a la ejecucin de las operaciones del
negocio.
Disponibilidad de informacin sobre el funcionamiento de la
infraestructura tecnolgica.
Mayor disponibilidad de los servicios.
113
Captulo VIII
Mejor comprensin de los componentes que, dentro de la

infraestructura, son prioritarios para la entrega de servicios.
Mayor satisfaccin de los usuarios.
Respuestas ms rpidas y ms eficaces a los incidentes.
Reduccin de la cantidad de incidentes por la aplicacin de
acciones preventivas.
1.2.- Barreras
La disciplina de monitorizacin y control tropieza con una serie de
barreras como las que a continuacin enumeramos:
No se adoptan herramientas adecuadas.
No se adiestra debidamente al personal.
No se crea el ambiente de trabajo adecuado, para que el

personal de monitorizacin pueda operar con comodidad y
disponga de facilidades de comunicacin.
Si la capacidad de la infraestructura de TI es demasiado
limitada, las exigencias de proceso y tiempo de respuesta de
las herramientas de monitoreo podran afectar el desempeo
general.
No se establecen vnculos giles con las restantes disciplinas.
No se aprovecha la informacin que rene el proceso de
monitorizacin, para ser utilizada por las restantes disciplinas
de servicio.
2.- Ciclo de monitorizacin
114
Tal como podemos observar en la figura, el ciclo de monitorizacin y

control observa un proceso o una actividad o su resultado, comparando
tales mediciones con una norma preestablecida o estndar, con el fin de
determinar si el proceso se est cumpliendo dentro de los parmetros de
calidad y desempeo.
En caso de que el estndar no se est cumpliendo, debe
desencadenarse una accin correctiva que, dependiendo de la
sofisticacin de las herramientas y de la naturaleza del problema, puede
ser una accin correctiva que se dispare automticamente o la generacin
de un reporte de incidente, para que, de acuerdo con lo establecido por las
disciplinas de manejo de incidentes y de problemas, se tomen las
acciones necesarias.
3.- Terminologa
Con el fin de asegurar que los procedimientos se establezcan sin
ambigedades, es importante tener claras varias definiciones importantes
para esta disciplina:
1. Servicio
Un servicio es una funcin que se realiza para el negocio y que, por
lo tanto, debe definirse desde ese punto de vista; por ejemplo, los
servicios de correo electrnico y los de impresin pueden ser
considerados como un servicio, independientemente del nmero de
componentes o tems de configuracin que intervienen en su entrega.
2. Catlogo de servicios
Los servicios que se prestan en una organizacin de TI, se registran
en el catlogo de servicios, en este catlogo, creado y manejado por
los administradores de monitorizacin y control, se incluye tambin
un desglose de los componentes de la infraestructura que soporta la
produccin del servicio, denominados componentes del servicio.
3. Instrumental
El instrumental lo integran las herramientas y los mecanismos que se
utilizan para determinar el estado de un componente. No siempre es
posible disponer de instrumentos para monitorizar la salud de algunos
componentes, especialmente para muchos de los componentes de
software.
4. Componentes de servicio
Los componentes de servicio son tems de configuracin, cuya
informacin se encuentra almacenada en la base de datos de
115
Captulo VIII
componentes. Aquellos componentes de servicio para los que se

dispone el instrumental necesario para determinar su salud, podrn
ser observados continuamente, para determinar la salud total de un
servicio.
5. Patrn de salud
En un patrn de salud se definen las condiciones que permiten
determinar que un servicio est funcionando en condiciones normales
o presenta fallas. Estos patrones son indispensables para que los
sistemas y el equipo humano de monitorizacin y control puedan
discernir si un determinado servicio est funcionando
satisfactoriamente.
4.- Herramientas
Si bien todas las disciplinas de administracin de servicios requieren
herramientas que, con diversos grados de sofisticacin, faciliten su
proceso, en el caso de la disciplina de monitorizacin y control es de
crucial importancia dotarla de herramientas robustas y de amplio alcance.
As pues, las herramientas que se seleccionen debern tener
caractersticas como las siguientes:
1Alta disponibilidad
.Deben operar bajo ambientes de alta disponibilidad, como
clusters, etc. y deben haber sido desarrolladas con facilidades que
les permitan ofrecer una alta disponibilidad.
2Arquitectura compatible.
Obviamente, las herramientas de monitorizacin y control deben
ser compatibles con la infraestructura instalada.
3Adaptabilidad
Las herramientas de monitorizacin y control deben tener la
capacidad de operar en redes donde se combinan diferentes
topologas.
4Agilidad de notificaciones
Deben tener capacidad para notificar a los tcnicos en las consolas
de monitoreo y tambin para notificar a tcnicos responsables de
los servicios que presenten alguna condicin, en la forma ms
rpida posible.
116
5-
6-
7-
8-
9-
10-
11-
12-
Presentacin grfica
Deben tener capacidad para mostrar en forma simple,
preferiblemente en forma grfica, cualquier anomala detectada en
cualquiera de los componentes monitorizados.
Autodescubrimiento
Deben tener, en lo posible, la capacidad de identificar los cambios
que se hagan en la infraestructura.
De bajo impacto.
Deben tener agentes de supervisin livianos, que causen un mnimo
impacto en el desempeo de la infraestructura que se supervisa.
Escalabilidad
Deben tener la capacidad de crecer, a medida que crece la cantidad
de objetos manejados y el nmero de acontecimientos simultneos
que debe procesar en un momento dado.
Interoperabilidad.
Deben satisfacer los requerimientos de interoperabilidad,
integrndose con otras herramientas de administracin de servicios
Base de datos.
Deben almacenar los datos del funcionamiento de la
infraestructura, para ser utilizados por otras disciplinas de
administracin de servicios.
Base de conocimiento.
Deben ofrecer facilidades para almacenar los conocimientos que se
vayan derivando de las experiencias, para uso de los tcnicos de
monitorizacin.
Seguridad.
Deben cumplir con requerimientos de seguridad, tal como niveles
de acceso y autorizaciones basadas en roles.
5.- Niveles de monitorizacin

Podemos distinguir dos niveles de monitorizacin:
1- El nivel interno
El nivel interno de monitorizacin centra su atencin en los
componentes de la infraestructura, evaluando su correcto
funcionamiento.
117
Captulo VIII
2- El nivel externo
El nivel externo de monitorizacin centra su atencin en los
servicios -como correo, impresin, base de datos, etc.independientemente de la multiplicidad de los componentes que
intervienen en su produccin.
Un buen servicio de monitorizacin debe combinar ambos niveles,
con el fin de poder establecer tanto la calidad de los servicios, como la
adecuacin de la infraestructura y sus componentes.
6.- Formas de monitorizacin

1-
2-
3-
4-
118
Existen varias formas de monitorizar una infraestructura de TI:

Activa o pasiva
La monitorizacin activa consiste en la interrogacin que se hace
sobre un dispositivo o un sistema.
La monitorizacin pasiva es la que se hace utilizando un agente que
enva seales o mensajes que permiten identificar diferentes
situaciones en un dispositivo o seccin de la infraestructura.
Reactiva o preventiva
En una monitorizacin reactiva, se disea una o ms acciones que
debern ser tomadas en caso de que se determine cierta condicin.
La monitorizacin preventiva consiste en analizar un conjunto de
patrones de comportamiento que permiten predecir un problema.
Este tipo de monitorizacin es ms comn en organizaciones
maduras, en las que la disciplina de monitorizacin ha logrado
acumular experiencias significativas.
De medicin continua o por excepcin
La medicin continua corresponde a una medicin en tiempo real
para asegurar que el componente o el sistema que se monitorea
estn funcionando dentro de los estndares preestablecidos.
La monitorizacin por excepcin no realiza una medicin, sino que
descubre y reporta alguna excepcin, como puede ser la
terminacin anormal de algn programa.
Desempeo o resultado
La monitorizacin de desempeo se centra en el funcionamiento de
los componentes, mientras que la monitorizacin a los resultados se
centra en la calidad del output producido. Cabe sealar que en ITIL
se presta mayor atencin a los procesos.
Para cada tipo de componente o servicio que se desee monitorizar

siempre habr la mejor combinacin de tipos de monitorizacin, por lo
que podemos afirmar que un buen servicio de monitorizacin debe
combinar los diferentes tipos.
7.- Implementacin de la disciplina

Indudablemente, una de las disciplinas ms difciles de implementar y
adaptar es la disciplina de monitorizacin y control. En cualquier
organizacin, grande o pequea, slo ser posible lograr resultados
exitosos si su implementacin se va haciendo gradualmente y para cada
grupo de componentes y servicios que se vayan incorporando a la
disciplina ir instalando herramientas, estableciendo procedimientos,
adiestrando al personal y comunicando a toda la organizacin los
progresos que se vayan haciendo. As pues, para cada etapa ser
necesario cumplir pasos como los siguientes:
Determinar qu se va a monitorizar.
Determinar qu nivel de monitorizacin.
Establecer qu formas de monitorizacin se combinarn.

Establecer qu formas de monitorizacin pueden aplicarse
Seleccionar las herramientas a utilizar.
Desarrollar procedimientos.
Adiestrar el personal de monitorizacin.
Adiestrar el personal de otros departamentos.

Si bien es importante evaluar el desempeo de cualquiera de las
disciplinas de administracin de servicios, en el caso de monitorizacin y
control es fundamentalsimo evaluar su desempeo y la utilidad que
presta a la organizacin. Con tal fin, pueden o deben producirse
mediciones, mtricas e indicadores clave, entendiendo estos conceptos de
la siguiente forma:
1Mediciones
Una medicin se refiere a las tcnicas para evaluar el alcance, la
dimensin o la capacidad de algn tem de configuracin, con
respecto a una norma.
119
Captulo VIII
2-
3-
120
Mtricas
Una mtrica es el conjunto de procedimientos que se cumplen para
evaluar cuantitativamente con cierta periodicidad un proceso o un
sistema, junto con los procedimientos para interpretar los
resultados. Es decir, en una mtrica se establece lo que se va a
medir, la forma como se va a medir y la forma como se van a
interpretar los resultados.
Indicadores clave
Un indicador clave corresponde a un nivel de desempeo o
medicin, establecido y acordado previamente, para calificar la
efectividad de una organizacin o de un servicio.
Captulo IX
N ive le s de Se rvic io
Captulo IX

Tabla de contenido
1.- En qu consiste la administracin de niveles de servicio?......123
1.1.Ventajas ...........................................................................124
1.2.Barreras............................................................................125
2.- Terminologa ............................................................................125
2.1.Proveedores, clientes y usuarios ......................................125
2.2.Catlogo de servicios - Service Catalog (SC)..................126
2.3.Acuerdo de nivel de servicio............................................127
2.4.Acuerdo de nivel operacional (OLA) ..............................127
2.5.Programa de calidad de servicio (SQP) ...........................128
3.- Creacin del catlogo de servicios ...........................................128
4.- Proceso .....................................................................................130
4.1.Preparacin ......................................................................130
4.2.Seguimiento .....................................................................131
4.3.Revisin continua ............................................................132
122
1.- En qu consiste la administracin de niveles de

servicio?
Es frecuente presenciar discusiones sobre la calidad de un servicio,
mientras unos opinan que es adecuada, otros opinan que no, que es de
bajo nivel. Es muy difcil establecer quin tiene la razn si no existe, para
ese servicio, un patrn que defina cuando es de calidad y cuando no lo es.
Ese es el origen de los niveles de servicio, poder establecer los
patrones de calidad para cada uno de los servicios que presta la
organizacin de informtica y tomar las acciones necesarias para asegurar
que tales servicios se ajusten a ese patrn.
Claro est, la idea anterior es un poco simplista, ya que la disciplina
de administracin de niveles de servicio es un poco ms que eso, ya que
esta disciplina debe velar por la calidad de los servicios TI, alineando
tecnologa con procesos de negocio, dentro de unos niveles de costo
razonables.
Para cumplir esos objetivos resulta imprescindible que la
administracin de niveles de servicio:
Conozca las necesidades de sus usuarios.
Establezca los rangos de costo que pueden acarrear los diferentes
niveles de calidad a mayor calidad mayor costo-.
Acordar con los usuarios los niveles de calidad requeridos para los
servicios que reciben, dentro de rangos de costo razonables.
Monitorizar que la calidad de los servicios cumplen con los
acuerdos establecidos.
Establecer planes de accin para mejorar en forma continua la
calidad del servicio.
As pues podemos decir que la administracin de niveles de servicio
es el proceso por el cual se define, negocia y supervisa la calidad de los
servicios TI. Para ello, la disciplina busca establecer compromisos
123
Captulo IX
realistas entre las necesidades y expectativas del usuario o cliente y la

posibilidad de satisfacerlas a un costo razonable.
En lneas generales, podemos decir que la administracin de niveles
de servicio debe incluir actividades como las siguientes:
Documentar los servicios que ofrece TI.
Presentar los servicios en forma comprensible para el usuario.

Centrar la atencin en el usuario y sus procesos, no en la
tecnologa.
Trabajar con el usuario para determinar niveles de calidad para los
servicios que requiere, dentro de parmetros realistas y ajustados a
sus necesidades reales.
Establecer los indicadores claves de rendimiento del servicio TI,
que permitan verificar si se cumplen los niveles de calidad
acordados.
Monitorizar la calidad de los servicios acordados, buscando en
todo momento mejorarlos a un costo razonable.
Elaborar los informes sobre la calidad del servicio y planes de
mejora.
1.1.- Ventajas
La adopcin de la disciplina de administracin de niveles de servicio,
puede tener las siguientes ventajas:
Los servicios TI se ajustan para cumplir las necesidades de los
usuarios.
124
Se simplifica la comunicacin con los usuarios y se evitan los

malentendidos sobre la calidad de los servicios requeridos.
Se establecen objetivos claros y mesurables.
Se establecen claramente las responsabilidades tanto de TI, como
de los usuarios.
Los usuarios toman conciencia y aceptan los niveles de calidad
ofrecidos.
El seguimiento permanente del servicio permite detectar
debilidades y aspectos a mejorar.
El personal del centro de atencin dispone de la documentacin
necesaria para llevar una relacin fluida con usuarios, clientes y
proveedores.
Los acuerdos de servicio, permiten que la gerencia de TI pueda

calcular los costos y justificar sus presupuestos.
El esquema que aplica TI con sus usuarios, puede ser adoptado
con sus proveedores, con el fin de asegurar una calidad creciente
de sus servicios.
Todo lo cual repercutir en un mejor servicio y la consecuente
satisfaccin de usuarios y ejecutivos de la empresa.
1.2.- Barreras
Una de las disciplinas ms difciles de adoptar es la administracin de
niveles de servicio, pues tropieza con innumerables barreras, como las
que citamos a continuacin:
y No existe un verdadero compromiso con la calidad de los servicios
ofrecidos por TI.
y No se alinean adecuadamente los servicios TI con los procesos del
negocio.
y No existe una buena comunicacin con los usuarios por lo que los
acuerdos de niveles de servicios no expresan las necesidades reales.
y Los acuerdos de niveles de servicio estn basados ms en deseos y
expectativas del cliente que en las capacidades reales que la
infraestructura TI permite ofrecer.
y Los acuerdos de servicio incluyen demasiados detalles tcnicos, lo
cual impide que los usuarios se identifiquen con ellos.
y No se asigna suficiente personal calificado a la administracin de
niveles de servicio.
y Por fallas de comunicacin, algunos usuarios desconocen las
caractersticas de los acuerdos.
y No se monitoriza adecuada y consistentemente el cumplimiento de
los niveles de servicio, lo cual minimiza el valor de la disciplina y
dificulta la posibilidad de mejorar la calidad del servicio.
2.- Terminologa
2.1.- Proveedores, clientes y usuarios
Cliente es una empresa u organismo que contrata los servicios de TI.
Los usuarios son las personas que utilizan los servicios de TI para el
cumplimiento de sus funciones.
125
Captulo IX
Proveedor es una empresa u organismo que presta los servicios que

requiere un cliente.
2.2.- Catlogo de servicios - Service Catalog (SC)

El catlogo de servicios es una herramienta que contribuye al
conocimiento y comprensin de los procesos de TI y resulta de enorme
ayuda para establecer una comunicacin clara con clientes y usuarios.
Un catlogo de servicios debe incluir:
y Descripcin de los servicios ofrecidos en forma comprensible para
los clientes y personal no especializado.
y Una gua para orientar a los usuarios y clientes, facilitando su uso.
y Los niveles de servicio asociados con cada uno de los servicios
ofrecidos.
Los catlogos de servicio deben estar disponibles para ser consultados
por cualquier tcnico de TI y especialmente por los del centro de
atencin. Normalmente, se facilitar su acceso, publicndolos en la
intranet o en los archivos pblicos de la red.
Como ejemplo de los servicios que podran estar en un catlogo de
servicios TI podramos citar los siguientes:
Servicio de telefona
Servicio de fax
Servicio de acceso externo
Conexin inalmbrica
Servicio de impresoras para grupos de usuarios
Centro de reproduccin
Servicio de mensajera electrnica
Servicio de envo de mensajes SMS
Servicios de acceso a internet
Servicios de intranet
Servicio de videoconferencia
Servicio de salvaguarda y restauracin de datos
Servicio de archivos pblicos y privados en la red
Servicio de administracin de usuarios (nuevos y cambios)
Servicios para las estaciones de trabajo:
o Servicio de instalacin, mantenimiento y renovacin
de equipamiento estndar
126
o
o
o
Servicio de instalacin y mantenimiento de software

base
Servicio de adquisicin de software especial
Servicio de prevencin, deteccin y eliminacin de
virus y malware
2.3.- Acuerdo de nivel de servicio - Service Level Agreement

(SLA)
Un acuerdo de nivel de servicio presenta en un lenguaje no tcnico,
fcilmente comprensible para el usuario, los detalles de los servicios que
se le brindan. Su aceptacin por ambas partes funcin y TI- constituye el
marco de referencia para la relacin con el TI-usuario en todo lo que
referente a los servicios acordados. En este tipo de acuerdos,
normalmente se incluyen los aspectos ms esenciales del servicio como
su descripcin, nivel de disponibilidad, niveles de calidad, tiempos de
recuperacin, etc.
Los acuerdos de nivel de servicio pueden ser de dos tipos:
Basados en el servicio
Un acuerdo de nivel de servicio basado en el servicio es un
acuerdo genrico, que se aplica para todos los usuarios, como
pueden ser los acuerdos de servicio para el correo electrnico o
los servicios de telefona.
Basados en el usuario
Un acuerdo de nivel de servicio basado en el usuario, como su
nombre lo indica, es un acuerdo que se establece para un grupo
especfico de usuarios, tomando en cuenta sus necesidades
especficas, como puede ser un servicio de informacin o el
servicio de una aplicacin particular.
2.4.- Acuerdo de nivel operacional - Operational Level

Agreement (OLA)
Un acuerdo de nivel operacional es la contrapartida del acuerdo de
nivel de servicio; es un documento interno de la organizacin TI en el que
se establecen las responsabilidades y los compromisos que adquiere cada
unidad dentro de TI, con el fin de asegurar el cumplimiento de los niveles
de servicio acordados con los usuarios.
127
Captulo IX
2.5.- Programa de calidad de servicio - Service Quality Program

(SQP)
Un programa de calidad de servicio complementa los aspectos
establecidos en los acuerdos de niveles de servicio y en los acuerdos de
niveles operacionales, con el fin de establecer cules son los aspectos que
deben ser monitorizados para que dichos acuerdos se cumplan
cabalmente.
As pues, en un programa de calidad de servicio se incluye toda la
informacin necesaria para administrar eficientemente los niveles de
calidad de cada servicio en particular, como por ejemplo:
Objetivos de cada servicio
Estimacin de recursos
Indicadores clave de rendimiento
Procedimientos de monitorizacin
3.- Creacin del catlogo de servicios

Una de las tareas importantes para poder darle viabilidad a varias
disciplinas de administracin de servicios y en especial a la
administracin de niveles de servicio, es la creacin del catlogo de
servicios. Para su creacin deben cumplirse varios pasos como los
siguientes:
1. Identificacin de servicios TI
Entenderemos por servicio de TI el conjunto de capacidades
tecnolgicas y/o profesionales que por sus caractersticas son
percibidas por el usuario como un todo, utilizado para dar soporte a
sus operaciones, como son los servicios de impresin, correo, etc.
Para identificar los servicios, se debern revisar los diferentes
procesos que cumplen los usuarios e ir identificando los diferentes
elementos tecnolgicos que apoyan su realizacin.
De esta forma se desarrollar una definicin de servicios hecha desde
la perspectiva del negocio y no desde un punto de vista tcnico.
2. Caracterizacin de los servicios de TI
Desarrollar una descripcin formal y completa de los servicios de TI,
incluyendo elementos como los siguientes:
Nombre del servicio
Responsable del servicio en TI
128
Procesos y usuarios del servicio
Servicios de TI relacionados
Especificaciones del servicio de TI, incluyendo:
Descripcin del servicio - narrativo Elementos o componentes tecnolgicos que intervienen
Horario
Criticidad
Nivel de servicio requerido
3. Definicin de mtricas
Establecer las mediciones que se deben o pueden aplicar, para
establecer los niveles de calidad del servicio:
Disponibilidad
Capacidad actual y potencial de crecimiento con la

infraestructura actual
Calidad o percepcin del usuario sobre la calidad del

servicio.
4. Definicin de interrelaciones
Desarrollar la especificacin de los tems de configuracin u otros
servicios TI que participan en la produccin de cada servicio.
Esta informacin, ser crucial para poder evaluar los recursos
necesarios para ofrecer cada servicio con el nivel de calidad necesario
o, si fuese necesario contratar servicios de outsourcing, permitir
establecer las bases de contratacin.
Cumpliendo los pasos arriba sealados, podrn identificar los
servicios de TI, se podrn establecer cules son sus aspectos y
componentes ms relevantes y se podrn definir mtricas especficas,
tiles para cuantificar y valorar cada servicio.
La elaboracin del catlogo de servicios puede resultar una tarea
compleja pues es necesario alinear muchos aspectos tcnicos con
polticas del negocio, pero es un documento cuya importancia no puede
exagerarse, ya que:
Delimita las funciones y compromisos de la organizacin TI

Evita malentendidos entre los diferentes actores implicados en la
prestacin de servicios
Sirve de base para el desarrollo de la administracin financiera
129
Captulo IX
Sirve de gua para el personal del centro de atencin
4.- Proceso
Las principales actividades que conforman la disciplina de
administracin de niveles de servicio pueden resumirse como:
Preparacin
Seguimiento
Revisin continua
4.1.- Preparacin
Las actividades de preparacin de la administracin de niveles de
servicio requieren la participacin y el compromiso de toda la
organizacin TI, as como tambin la colaboracin activa de los usuarios
de los servicios TI.
El proceso de preparacin incluye todas las tareas para desarrollar:
Catlogo de servicios
130
Requerimientos de nivel de servicios

Acuerdos de niveles de servicios
Acuerdos de nivel operacional
Programa de calidad de servicio

Es frecuente que, aunque el catlogo de servicios sea detallado y
completo, la complejidad de los servicios ofrecidos requiera un proceso
de negociacin con el cliente, que, en definitiva, permita depurar la
definicin de requerimientos y acuerdos de niveles de servicio.
En primer trmino, los resultados de esta negociacin permitirn
clarificar los requerimientos de nivel de servicio, estableciendo las
necesidades del usuario en los siguientes trminos:
Descripcin y caractersticas del servicio
Disponibilidad y continuidad requerida
Nivel de calidad o forma de calificar el nivel de calidad
A su vez, la informacin de requerimientos permitir desarrollar los
acuerdos de niveles de servicio y de niveles operacionales, estableciendo,
como paso previo:
La descripcin del servicio con todos los detalles tcnicos
necesarios sobre cmo se presta o prestar- el servicio.
Cules podran ser los indicadores de calidad del servicio
Quines son los responsables tcnicos
En funcin de los requerimientos de servicio y la informacin
desarrollada se puede elaborar un plan de accin que permita establecer
metas claras basadas en los indicadores de calidad, asignar los recursos
de la organizacin TI
y asegurar que los niveles de calidad
comprometidos se adaptan a las necesidades de los clientes y a las
capacidades de la organizacin.
En los casos en los que se determine que los recursos existentes no
son suficientes o se considere oportuno tercerizar parte de los servicios, el
plan de calidad de servicio servir de documento base para negociar los
contratos con proveedores externos.
La fase de planificacin concluye con la aceptacin de los acuerdos de
servicio y su puesta en vigor para la prestacin del servicio de TI.
4.2.- Seguimiento
Una vez establecidos los acuerdos de servicio, ser necesario verificar
que da a da se cumplen, determinar las causas de cualquier desviacin y
establecer las acciones para mejorar continuamente la calidad del
servicio. Puede afirmarse que el proceso de monitorizacin o seguimiento
131
Captulo IX
de los niveles de servicio es imprescindible si se desea mejorar la calidad

del servicio ofrecido, su rentabilidad y la satisfaccin de los usuarios.
El seguimiento de los niveles de servicio requiere una constante
monitorizacin sobre el cumplimiento de los procedimientos, de los
parmetros de medicin establecidos y de la percepcin de los usuarios.
Para cumplir esta tarea de manera eficiente es necesario haber
alcanzado un punto de madurez en las disciplinas de administracin de
servicios que facilite la integracin perfecta entre las disciplinas de
monitorizacin y control, administracin de disponibilidad,
administracin de la capacidad, centro de atencin, manejo de incidentes,
manejo de problemas, administracin de cambios y administracin de la
configuracin.
4.3.- Revisin continua

La administracin de niveles de servicio debe disearse como un
proceso continuo que incluye tambin la continua revisin de los
servicios ofrecidos y los niveles acordados. Esta revisin debe realizarse
con base en las experiencias, los acuerdos vigentes y la evolucin que
tengan la infraestructura y el catlogo de servicios.
El proceso de revisin no debe limitarse a aquellos acuerdos de
servicio que por una razn u otra no han sido cumplidos, sino que debe
tener un amplio alcance, siempre con la meta de mejorar continuamente
la calidad del servicio, tomando en cuenta aspectos como:
Problemas del servicio TI y sus posibles causas
Nuevas necesidades del cliente
Avances tecnolgicos
Experiencias en el cumplimiento de los niveles de servicio

Evaluacin de los costos reales del servicio
Implicaciones de una degradacin de la calidad del servicio en la
estructura organizativa del cliente
Percepcin de los usuarios sobre la calidad de servicio
El proceso de revisin permitir que se lleven a cabo nuevas
negociaciones y se renueven los acuerdos de servicio.

Es claro que el objetivo de la administracin de niveles de servicio no
es otro que el de mejorar la calidad del servicio y la satisfaccin del
cliente; tal propsito requiere una continua revisin de los
132
procedimientos, para lo cual ser importante poder contar con

informacin y reportes como se seala a continuacin:
Indicadores de desempeo como:

Avance de la disciplina, indicando el porcentaje de
servicios amparados bajo acuerdos de niveles de servicio
Porcentaje de incumplimiento de los acuerdos de niveles
de servicio clasificados por su impacto en la operacin
de los usuarios
Encuestas de satisfaccin del cliente.
Informes estadsticos de desempeo en los que se detalle el nivel
de cumplimiento de los acuerdos, los costos asociados al proceso,
etc.
Informes de peridicos de seguimiento, especificando las acciones
de seguimiento que se realizan, sus resultados y el grado de
satisfaccin de los clientes
Planes de mejora en los que se especifiquen tanto medidas
correctivas a las fallas detectadas, como propuestas de mejora
basadas en la experiencia o en los avances que se introduzcan en
la plataforma tecnolgica.
133
Captulo IX
134
Captulo X
Adm inist ra c in
Fina nc ie ra de T I
Captulo X
Tabla de contenido
1.- En qu consiste la administracin financiera de TI?...............137
1.1.Ventajas ...........................................................................138
1.2.Barreras............................................................................138
2.- Terminologa ............................................................................138
2.1.Costos y gastos.................................................................139
2.2.Depreciacin y amortizacin ...........................................141
3.- Planificacin .............................................................................142
3.1.Catlogo de servicios .......................................................143
3.2.Costeo de servicios ..........................................................144
3.3.Proyectos..........................................................................145
3.4.Costeo de proyectos .........................................................145
4.- Elaboracin del presupuesto .....................................................146
5.- Contabilidad .............................................................................147
6.- Actividades de la administracin financiera de TI ...................148
136
Administracin financiera de TI
1.- En qu consiste la administracin financiera de los

servicios de TI?
A pesar de que casi todas las empresas y organizaciones utilizan las
tecnologas de la informacin para apoyar prcticamente todos sus
procesos de negocio, es muy comn que no exista una conciencia real de
los costos de esta tecnologa y de los servicios que presta; esto hace que
se desperdicien recursos o que no se presupuesten correctamente los
gastos asociados.
El propsito de la administracin financiera de los servicios de TI es
evaluar y controlar los gastos y costos que acarrean los servicios de TI y,
dentro de lo posible, poder informar a la gerencia y a los usuarios de los
costos asociados a cada uno de los servicios que reciben.
En algunas empresas la administracin financiera se limita a
contabilizar y controlar los gastos y desembolsos de TI, mientras que en
otras se busca determinar los costos de los diferentes servicios y la
alcuota de los costos que le corresponde a cada una de las unidades del
negocio, por concepto de los servicios de TI que reciben.
Esta ltima prctica, es uno de los objetivos ms importantes de la
administracin financiera de los servicios de TI, ya que ello permite que
las unidades del negocio y los usuarios tomen conciencia del costo de los
servicios, para que, como consecuencia, los controlen y aprovechen
juiciosamente. Adicionalmente, una clara conciencia de costos permitir
que la funcin de TI pueda ajustar la calidad de sus servicios, dentro de
parmetros de eficiencia.
Como ya hemos sealado, la administracin financiera de los servicios
de informtica tiene como objetivo central administrar de manera eficaz y
rentable los servicios y la organizacin TI, permitiendo que esa
organizacin funcione como una unidad de negocio, en la que sea posible
evaluar su desempeo de manera transparente.
Normalmente, en cualquier empresa, mientras mayor es la calidad de
los servicios de TI, mayor es su costo, por lo que la administracin
137
Captulo X
financiera ayuda a establecer parmetros que permitan contrastar los

costos con las necesidades de los usuarios y del negocio, con el fin de
optimizar la razn calidad / costo. Tales propsitos pueden lograrse:
Evaluando los costos y gastos reales asociados a cada uno de los
servicios.
Proporcionando a la organizacin TI toda la informacin exacta
para la toma de decisiones.
Asesorando a usuarios y clientes sobre el valor aadido que
proporcionan los servicios TI que reciben.
Evaluando el retorno de las inversiones TI.
1.1.- Ventajas
La implantacin de una adecuada administracin financiera de los
servicios de informtica ofrece ventajas como las siguientes:
Pueden optimizarse los costos de los servicios
Puede mejorarse la rentabilidad de los servicios
La organizacin TI puede planificar mejor sus inversiones
Los servicios TI se utilizan con mayor eficiencia
1.2.- Barreras
En general, las principales barreras que encuentra la implementacin
de la administracin financiera de los servicios de TI son:
No es fcil encontrar personal que est familiarizado tanto con los
servicios TI como con aspectos financieros y/o contables.
No es sencillo determinar costos por servicio, pues existen
muchos componentes de la infraestructura que son comunes a
varios servicios.
Existen mltiple costos ocultos o difciles de valorar.
Es difcil lograr el compromiso de toda la organizacin TI con el

proceso de administracin.
2.- Terminologa
Para comprender los aspectos relacionados con la administracin
financiera es importante que revisemos, como primer paso, la
terminologa contable y presupuestaria relacionada.
138
2.1.- Costos y gastos

En general diremos que costo es la suma de esfuerzos y
recursos que se han invertido para producir algo.
La contabilidad de costos consiste en una serie de procedimientos que
tienen como propsito determinar el costo de un producto o un servicio y
de los distintos elementos que se requieren para su produccin.
Es oportuno observar que entre costo y gasto, aunque puedan
parecernos sinnimos, existen pequeas diferencias de concepto. Por lo
general un costo puede identificarse con un producto, servicio o ingreso;
por ejemplo, en el caso de una aplicacin los recursos invertidos para
cubrir los sueldos de los programadores que han trabajado en su
desarrollo se identifican claramente como componente del producto final.
Hay una correspondencia clara entre un servicio o producto y los recursos
requeridos para su produccin.
Con los gastos no ocurre lo mismo, un gasto es un sacrificio
econmico que se realiza para adquirir un bien o servicio requerido por la
operacin normal de la organizacin, pero que no puede identificarse con
ningn servicio o producto en particular. En el giro normal de un negocio
es imprescindible realizar gastos, ya que de otra forma este no podra
funcionar, tal es el caso de los alquileres, de los servicios de electricidad,
de los sueldos y salarios de los empleados administrativos, etc. Los
gastos, normalmente afectan los resultados financieros de una empresa y
se reflejan en su estado de ganancias y prdidas.
Si se desea determinar el costo real de los servicios que la
organizacin TI produce, ser necesario hilar fino, para identificar los
gastos y hacer una distribucin de stos, de acuerdo a algn criterio que
exprese la cantidad de gasto que debe atribuirse a cada servicio TI.
En cualquier empresa, podemos encontrar una enorme variedad de
rubros conceptos- de costos y gastos que conforman el costo de los
servicios de TI, entre ellos podemos citar:
Alquiler de equipos de computacin
Mantenimiento de equipos de computacin
Depreciacin de equipos de computacin
Costo de licencias de software
Alquiler de equipos de telecomunicaciones
Depreciacin de equipos de telecomunicaciones

Mantenimiento de equipos de telecomunicaciones
139
Captulo X
Servicios de comunicacin
Gastos de personal
Viticos
Servicios profesionales
Servicios de outsourcing
Alquiler de oficinas y locales
Depreciacin de mobiliario y equipos de oficina
Repuestos
Servicios de capacitacin y adiestramiento
Libros, revistas y suscripciones
Desde el punto de vista de los servicios de TI, estos costos pueden ser
de varias categoras:
Costos directos:
Son los costos que se pueden relacionar especfica y
exclusivamente con un producto o servicio, como por ejemplo,
cuando intentamos determinar el costo del servicio de internet, el
costo de los servidores que estn dedicados nicamente a
soportar este servicio, constituyen un costo directo. Esto es hay
una relacin clara entre el rubro de costo y el servicio.
Costos indirectos:
Son aquellos rubros que no son especficos o exclusivos de un
servicio, como por ejemplo, cuando queremos calcular el costo
de los servicios de una aplicacin, podemos observar que esa
aplicacin comparte los servicios del servidor de bases de datos,
del servidor de aplicaciones y los servicios de conexin a la red.
Se hace, en estos casos, necesario establecer la proporcin que
de cada uno de esos servicios utiliza la aplicacin.
La determinacin de estos costos es un poco ms difcil, por lo
general, se prorratean entre los diferentes servicios y productos
que los utilizan. La dificultad estriba en que no siempre es clara
la forma como se debe determinar la proporcin de uso.
Desde el punto de vista de su asociacin con el funcionamiento de los
servicios de TI, estos costos pueden ser de varias categoras:
140
Costos de operacin
En la lista de rubros de costo que mostramos, podemos observar
que hay costos o gastos que estn asociados al funcionamiento
diario, como son los servicios de mantenimiento; estos costos se
denominan costos de operacin.
Costos de capital
Existen otros rubros de costo, como es la depreciacin de los
equipos o de las inversiones hechas para acondicionar los locales
para los equipos, que se denominan costos de capital.
2.2.- Depreciacin y amortizacin

En contabilidad, el trmino depreciacin es una rebaja o deduccin
que se le hace anualmente al valor de una propiedad, mueble o equipo, en
razn de su desgaste.
Por ejemplo, sabemos que un servidor puede tener una vida til de
unos cinco aos y que despus de ese perodo deber ser reemplazado por
un nuevo servidor con tecnologa actualizada. As pues, si para adquirir el
servidor la empresa tuvo que desembolsar diez mil dlares -USA $
10.000- podemos decir que cada ao el servidor debe depreciarse en
2.000 dlares -10.000 entre 5 aos-. Esto es, anualmente debe imputarse a
los servicios que utilizan este servidor un monto de USA dlares 2.000.
La depreciacin en contabilidad permite determinar el valor real de las
inversiones que hace una empresa, estableciendo la disminucin que
peridicamente sufre su potencial de servicio.
Simultneamente, la depreciacin permite establecer el costo real que
corresponde a los servicios de cada perodo. Para los contadores, la
depreciacin es la forma de asignar o atribuir el costo de las inversiones a
los diferentes ejercicios en los que se hace uso o se disfruta de los activos
adquiridos con esas inversiones.
Los activos se deprecian basndose en diferentes criterios
econmicos: considerando el perodo de tiempo en el que sern utilizados
para la actividad productiva vida til-, o considerando su utilizacin
efectiva en dicha actividad por ejemplo, por cada unidad producida-.
La depreciacin es, pues, una deduccin anual que se hace al valor
contable de las propiedades y los equipos, proporcional a su valor
original. Al final de su vida til, el valor contable de esas propiedades o
equipos ser cero.
141
Captulo X
Un concepto parecido al de depreciacin es el concepto de

amortizacin, con la diferencia que la amortizacin no corresponde a
ningn activo tangible, sino que corresponde a un gasto que realiza la
empresa para cubrir varios ejercicios, como pudiera ser una prima de
seguro o un alquiler que se pague adelantadamente. La alcuota de ese
gasto que se imputa a cada ejercicio, se denomina amortizacin.
3.- Planificacin
La administracin financiera se cumple en dos grandes ciclos o
tiempos diferentes, uno corresponde a la elaboracin del presupuesto, que
constituye la expresin monetaria de los planes operativos de la unidad de
TI. El otro, corresponde al ciclo de control, en el cual se lleva el cmputo
de los gastos y costos reales.
La elaboracin de los presupuestos requiere unos insumos

fundamentales, que son los planes estratgico y operativo de TI.
Planes Estratgicos
En general, los planes estratgicos de la empresa son planes cuyo
horizonte es el largo plazo, entre 3 y 10 aos, en los que se
establecen los objetivos y lineamientos generales para la
definicin de los dems planes -tcticos y operativos-.
Normalmente, los planes estratgicos son diseados por los
ejecutivos de mayor nivel dentro de la jerarqua de la empresa y
su propsito es establecer la direccin que debern seguir todas
las actividades del negocio en los prximos aos, para alcanzar
los objetivos que se han propuesto.
Planes Estratgicos de TI
Un plan estratgico de TI, corresponde al grupo de los planes
tcticos que se desarrollan en la empresa; estos planes son ms
142
especficos, normalmente definen el marco de actuacin

particular de un rea del negocio, una divisin o un departamento
y su horizonte es menor, entre 1 y 3 aos.
Los planes tcticos, como el PETI plan estratgico de tecnologa
de informacin-, deben estar alineados y subordinados al plan
estratgico de la empresa.
Los ejecutivos del rea son los encargados de definir los planes
tcticos, con el fin de darle viabilidad a los objetivos estratgicos
de la empresa, dentro del mbito de su competencia o rea del
negocio.
Planes Operativos
Los planes operativos son planes cuyo horizonte es el corto
plazo, 1 ao, que se formulan dentro de los parmetros
establecidos por los planes tctico y estratgico. Tienen como
funcin formular y asignar proyectos y actividades detalladas,
que debern ser ejecutadas por el nivel operativo del negocio.
Normalmente, cada unidad organizativa formula sus planes
operativos y este plan constituye la base para cuantificar y
justificar sus requerimientos de recursos o presupuesto.
En TI, la elaboracin de presupuestos tiene como objetivos
principales:
Planificar los gastos e inversiones de TI, para cumplir con las
metas, compromisos y proyectos establecidos en el plan operativo
de TI.
Analizar los requerimientos de flujo de caja, para asegurar que los
servicios
y
los
proyectos
TI
estarn
financiados
convenientemente.
Establecer los elementos que permitirn evaluar el desempeo de
la organizacin TI.
El presupuesto de una organizacin TI se construye sobre la base de
dos componentes centrales, que se ajustan a los planes operativos: el
catlogo de servicios y los proyectos que han sido propuestos para el
perodo que se planifica.
3.1.- Catlogo de servicios

El catlogo de servicios, como se discuti en el captulo
correspondiente a la administracin de niveles de servicio, constituye el
143
Captulo X
compendio de los servicios que produce TI para sus usuarios, en el que se

incluye:
y Descripcin de los servicios ofrecidos en forma comprensible para
los clientes y personal no especializado.
y Una gua para orientar a los usuarios, facilitando su uso.
y Los niveles de servicio asociados con cada uno de los servicios
ofrecidos.
Para la administracin financiera de TI, el catlogo de servicios
permitir establecer los centros en los que se acumularn y distribuirn
los costos y gastos de TI, de acuerdo con los criterios que se adopten para
establecer la proporcin que de cada rubro utiliza el servicio.
3.2.- Costeo de servicios

Ciertamente, la determinacin del costo de los servicios no es una
tarea simple, pues existen muchos componentes de hardware, software y
recursos, como el personal tcnico, que intervienen en varios servicios y
no siempre resulta clara la forma de establecer la proporcin que debe
atribursele a cada servicio.
Por ejemplo, si queremos valorar los servicios de impresin, nos
daremos cuenta que existen costos directos, perfectamente identificables,
como son el costo de las impresoras depreciacin o alquiler-, el costo de
los servidores de impresin en caso de que existan servidores dedicados
exclusivamente a los servicios de impresin-, los servicios de
mantenimiento tcnico de esos dos componentes servidores e
impresoras-, los gastos de cintas o de tonner, el consumo de papel, etc.;
sin embargo, existen costos que no son tan fciles de atribuir como son el
uso de los componentes de la red y el personal tcnico del centro de
atencin, que procesa los incidentes que se reportan cuando falla alguna
impresora.
Si quisiramos tener un costo real de esos servicios, calculado al
cntimo, deberamos considerar otros elementos, como por ejemplo la
parte proporcional del costo del local donde se hospedan los servidores de
impresin, la electricidad que consumen tanto servidores de impresin
como impresoras, los sueldos del personal de soporte que mantienen esos
servidores en correcto funcionamiento, los administradores de TI que,
entre muchas cosas, coordinan actividades para que esos servicios de
impresin operen correctamente y dispongan de suministros.
Es fcil comprender lo importante que ser establecer lmites a la
complejidad que puede representar la valoracin de los diferentes
144
servicios, ya que, de lo contrario, puede convertirse en el cuento de

nunca acabar y hacer que todo el proceso de administracin financiera
de los servicios de TI resulte inviable.
En lneas generales, la valoracin de servicios debe determinar el
costo de los servicios hasta un nivel que la empresa considere realista,
con el fin de que ejecutivos y usuarios puedan tener una visin razonable
de la magnitud de tales costos.
3.3.- Proyectos
Junto con el catlogo de servicios, las carteras de proyectos de
desarrollo o mantenimiento de la infraestructura tecnolgica y de
sistemas constituyen el universo de los costos de TI.
Los proyectos son actividades grandes o pequeas, que se cumplen
una sola vez, con un propsito especfico, como puede ser: desarrollar
una aplicacin, disear y cablear un segmento de red, etc.
Es comn que, para los proyectos, se acumulen los costos
correspondientes a los recursos que participan en su desarrollo y,
posteriormente, se amortice el total en varios perodos, durante el tiempo
que se estime se utilizar el producto o servicio vida til- que resulte del
proyecto.
Para efectos del clculo del presupuesto, las carteras de proyectos
permitirn establecer los centros en los que se acumularn los costos y
gastos de TI, de acuerdo con los recursos necesarios para asegurar su
cumplimiento.
3.4.- Costeo de proyectos

La determinacin del costo exacto de un proyecto tampoco es una
tarea simple, pues existen muchos componentes de hardware, software y
recursos que se utilizan para varios proyectos simultneamente ej. los
servidores de prueba- y no existe una forma simple para establecer la
proporcin que debe atribursele a cada proyecto.
Si, a ttulo de ejemplo, deseamos establecer el costo de un proyecto de
desarrollo de sistemas, deberemos considerar diversos elementos, como
el costo del personal de desarrollo -analistas y programadores-, el costo
de las estaciones de trabajo que utilizan, el costo de las licencias del
lenguaje o software utilizado para desarrollar los programas, etc.
Al igual que con los servicios, si quisiramos hilar fino, deberemos
considerar la parte proporcional del costo de los ambientes de desarrollo
y prueba, del local donde programadores y analistas operan, de los
145
Captulo X
sueldos del personal de soporte que brindan apoyo al proyecto, de los

administradores de TI, etc.
Tambin para los proyectos, es fcil comprender lo importante que
ser establecer lmites a la complejidad que puede representar el costeo
exacto de cada proyecto, ya que, de lo contrario, al igual que el costeo de
servicios, puede convertirse en el cuento de nunca acabar y hacer que
todo el proceso de administracin financiera de los servicios de TI resulte
inviable.
As pues, el costeo de proyectos debe determinar el costo de los
proyectos hasta un nivel que la empresa considere realista, con el fin de
que ejecutivos y usuarios puedan tener una visin razonable de la
magnitud de tales costos.
4.- Elaboracin del presupuesto

Un presupuesto puede definirse como la cuantificacin monetaria de
los resultados previstos para un plan, un proyecto o una estrategia. A
diferencia de la contabilidad, los presupuestos estn orientados hacia el
futuro y no hacia el pasado.
Presupuestar es la actividad de hacer un clculo anticipado del costo,
de los gastos y de los ingresos de un negocio; normalmente, los
presupuestos se realizan con base en el conocimiento acumulado que la
organizacin tiene acerca de sus actividades, de los cambios y
pronsticos sobre cantidades y precios.
146
El presupuesto es una herramienta que permite anticipar el

comportamiento de indicadores econmicos y sus relaciones con los
diferentes aspectos administrativos, contables y financieros de la
empresa.
Debe distinguirse entre un presupuesto analtico -que es la proyeccin
de los resultados contables de una unidad o de la empresa-, un
presupuesto de erogaciones o desembolsos de capital -que establece con
anticipacin los requerimientos de recursos financiero que la
organizacin necesita para desarrollar sus operaciones- y un presupuesto
financiero que incluye los gastos e ingresos que afectarn la posicin de
la tesorera de la empresa-.
Una vez establecido y aprobado un presupuesto, comienza el ciclo de
control presupuestario, que consiste en comparar lo que realmente se est
haciendo con los datos presupuestados, para conocer o prever las
desviaciones, analizar las causas y remediar las diferencias.
La importancia de los presupuestos reside en que:
1. Permiten planear los resultados de la organizacin
2. Facilitan que los miembros de la organizacin puedan cuantificar en
trminos financieros los diversos componentes de su plan operativo
3. Sirven como medios de comunicacin entre diferentes unidades
4. Permiten controlar el manejo de ingresos y egresos de la organizacin
5. Por medio del control presupuestario se asegura el cumplimiento del
plan de operaciones
6. Permiten coordinar y relacionar las actividades de la organizacin.
5.- Contabilidad
En una empresa, la contabilidad asociada a los servicios TI sigue
patrones similares a la contabilidad asociada a otros servicios o
departamentos, por lo que, dada la complejidad de las interrelaciones
entre los componentes humanos y tecnolgicos de TI, muchas veces la
informacin que suministra el sistema de contabilidad no tiene el grado
de desagregacin necesario para poder analizar los cosos reales de los
servicios y los proyectos.
Se hace, pues, necesario utilizar los sistemas contables como fuentes
de datos -especialmente los subsistemas de personal, nmina de pagos,
compras, cuentas por pagar y activos fijos- y mantener una base de datos
o datamart con la informacin de los sistemas mencionados.
147
Captulo X
De esta forma, con la finalidad de actualizar la base de datos o

datamart de administracin financiera de TI, de acuerdo a la periodicidad
que se establezca, las herramientas de extraccin que se implementen
debern importar los datos de los sistemas contables, para despus
desagregarlos y/o resumirlos, combinndolos en la forma requerida para
adaptarse a los requerimientos de anlisis de costos de TI.
Tal como ya habamos sealado, es esencial que el proceso de anlisis

de los datos contables no tenga como alcance un excesivo de detalle que
lo complique ms all de lo razonable. Las actividades de anlisis de
datos contables deben facilitar:
La evaluacin de los costos reales para su comparacin con los
presupuestados
La toma de decisiones de negocio basadas en los costos de los

servicios
La evaluacin de la eficiencia financiera de cada uno de los
servicios TI
Cargar a los usuarios adecuadamente los servicios TI, si se utiliza
tal prctica
6.- Actividades de la administracin financiera de TI

Las principales actividades de la administracin financiera de TI son
las siguientes:
1. Elaboracin de presupuesto:
148
1.1. Determinar los requerimientos de recursos para mantener en

funcionamiento los servicios definidos en el catlogo:
Hardware alquileres y adquisiciones
Accesorios, suministros y repuestos
Alquileres de oficinas
Licencias de software adicionales y renovaciones
Servicios de telecomunicaciones
Personal de soporte
Personal de operacin
Gastos de adiestramiento del personal
Gastos de publicaciones
1.2. Determinar los requerimientos de recursos para cumplir los
proyectos definidos en el plan operativo:
Hardware alquileres y adquisiciones
Accesorios, suministros y repuestos
Alquiler de oficinas
Licencias de software nuevas y renovaciones
Servicios de telecomunicaciones
Personal para el desarrollo del proyecto
Personal de soporte
Gastos de adiestramiento del personal
Porcin a utilizar de los servicios del catlogo Ej.
base de datos, ambiente de desarrollo, ambiente de
prueba
1.3. Proyectar los flujos de caja de acuerdo a las fechas en que se
requieren los recursos para servicios y proyectos
1.4. Proyectar la distribucin de costos de servicios y proyectos por
unidad usuaria o funcional
2. Preparacin del control contable
2.1. Disear las estructuras de datos o datamart de TI
149
Captulo X
2.2. Analizar las operaciones contables relacionadas con los servicios

y los proyectos de TI - personal, nmina de pagos, compras,
cuentas por pagar, activos fijos, etc.
2.3. Determinar la informacin que debe ser extrada de los sistemas
contables
2.4. Establecer la forma que esa informacin debe ser desagregada e
incluida en el datamart
2.5. Cargar el presupuesto aprobado de servicios y proyectos en el
datamart
3. Control contable peridico
3.1. Realizar la actualizacin del datamart
3.2. Preparar reportes de inconsistencias detectadas en la data
extrada
3.3. Realizar el anlisis de costos reales vs. presupuestados
3.4. Preparar reportes gerenciales
3.5. Preparar reportes de excepcin
3.6. Realizar la distribucin de costos de servicios y proyectos, por
funcin o grupos de usuarios
Es importante observar que en aquellas organizaciones que facturan
sus servicios a sus clientes, la administracin financiera incluye una
actividad adicional, que es la fijacin de precios, la cual incluye las tareas
de:
Elaboracin de una poltica de fijacin de precios
Establecimiento de tarifas por los servicios prestados o
productos ofrecidos

Para poder evaluar la funcin de administracin financiera se hace
necesario calificar algunas caractersticas como las siguientes:
Est comprometida la organizacin con la disciplina de
administracin financiera?
Conoce la organizacin los costos reales de los servicios TI?
Conoce la organizacin los costos reales de los proyectos TI?
Colaboran los responsables de los otros procesos TI con la
administracin financiera?
150
Opera la organizacin TI como una verdadera unidad de

negocio?
Los gastos TI estn correctamente planificados y
presupuestados?
Se cumple una cuantificacin razonable para cada servicio?
Se cumple una cuantificacin razonable para cada proyecto?

Se analiza la eficiencia de cada uno de los servicios TI?
151
Captulo X
152
Captulo XI
la Ca pa c ida d
Captulo XI
Tabla de contenido
1.- Qu es administracin de la capacidad? .................................155
1.1.Ventajas ...........................................................................157
1.2.Barreras............................................................................157
2.- Actividades ...............................................................................158
2.1.Plan de Capacidad............................................................159
2.2.Estimacin .......................................................................160
2.3.Asignacin de recursos ....................................................160
2.4.Monitorizacin.................................................................161
3.- Administracin de la demanda .................................................161
154
1.- Qu es administracin de la capacidad?

La administracin de la capacidad es la disciplina encargada de
asegurar que todos los servicios de TI estn soportados por una
infraestructura tecnolgica con capacidades acordes con las necesidades
de la empresa, dentro de costos razonables.
En sus orgenes, la administracin de capacidad se denominaba
administracin de espacio en discos, pues ese era el recurso ms crtico
para el funcionamiento de los servicios de TI; con el tiempo, el concepto
se ha ido extendiendo, para adaptarse a las nuevas tecnologas, su
flexibilidad y sus capacidades de crecimiento.
Cuando no se establecen normas y procedimientos de administracin
de capacidades, existe la tendencia a desaprovechar los recursos
disponibles y, peor aun, a realizar inversiones que realmente no son
necesarias. Tambin es posible que la ausencia de una buena
administracin de capacidades impida que una organizacin de TI prevea
sus requerimientos de recursos y caiga en una situacin de
congestionamiento, que afecte la calidad y la continuidad de los servicios.
Las principales funciones de la administracin de la capacidad
pueden resumirse de la siguiente forma:
Asegurar que se cubren las necesidades de capacidad TI tanto
presentes, como futuras
Controlar el desempeo de la infraestructura TI
Desarrollar planes de crecimiento requeridos para cumplir con los

niveles de servicio acordados con los usuarios
Analizar y armonizar el uso de los recursos de TI memoria,
discos, canales de comunicacin, etc.El objetivo central de la administracin de la capacidad es asegurar
que los servicios de TI dispongan de suficientes recursos tecnolgicos
para poder brindar sus servicios en forma eficiente, dentro de un esquema
razonable de costos, para ello, esta disciplina deber:
155
Captulo XI
Analizar el desempeo de la infraestructura instalada, para

asegurar un uso racional de la capacidad existente
Administrar los nuevos requerimientos de servicios como puede
ser un nuevo sistema- dotndolos de recursos adecuados, sin
perjudicar los niveles de servicio de los servicios existentes
Proyectar las capacidades necesarias para mantener la calidad de
los servicios, alinendolos a los procesos de negocio y sus
necesidades reales
Participar en el desarrollo de los planes y acuerdos de niveles de
servicio, con el fin de dotar los servicios con las capacidades
necesarias
Evaluar la tecnologa que ofrece el mercado, con el fin de
establecer alternativas de crecimiento
La administracin de la capacidad intenta evitar las situaciones

inconvenientes, como son invertir en tecnologa, por encima de las
necesidades reales o, en el extremo opuesto, mantener la infraestructura
con una capacidad por debajo de esas necesidades.
Es comn observar esas situaciones y, a veces, pueden observarse
dentro de una misma empresa, en la que se privilegian ciertos servicios,
156
dotndolos exageradamente de recursos tecnolgicos, y se subestiman

otros.
Decamos que ambos escenarios son habituales, ya que a menudo se
pueden encontrar conviviendo en una misma organizacin tecnologa
innecesaria, adquirida porque ha deslumbrado a directivos o tcnicos de
informtica, junto con equipos y servicios a los que podra mejorar su
desempeo y productividad.
1.1.- Ventajas
La implementacin de la disciplina de administracin de capacidades
puede brindar una serie de ventajas, como las siguientes:
Se optimizan el desempeo de los recursos informticos.
Se asegura que la capacidad necesaria estar disponible para
atender los diferentes servicios en el momento en que sea
requerida.
Se evitan gastos innecesarios producidos por compras no
justificadas adecuadamente
Se planifica el crecimiento de la infraestructura de acuerdo con las
necesidades reales de los servicios
Se reducen de los gastos de mantenimiento y de administracin
asociados a equipos y aplicaciones obsoletos o innecesarios
Como conjunto, los procedimientos de administracin de capacidades
permitirn armonizar el desarrollo de la infraestructura de TI y los
requerimientos de servicios, con la consiguiente reduccin de costos y
optimizacin del desempeo.
1.2.- Barreras
La implementacin de la disciplina de administracin de la capacidad
normalmente tropieza con muchas dificultades, entre las cuales podemos
distinguir las siguientes:
No se dispone de suficiente informacin para proyectar una

planificacin realista de las capacidades
Se crean expectativas exageradas en cuanto a los ahorros y
mejoras del desempeo
Ausencia de compromiso suficiente por parte de la direccin
Insuficientes recursos para realizar una correcta medicin del
desempeo
157
Captulo XI
Plataformas muy descentralizadas o muy complejas, en las que

resulta difcil realizar una buena recopilacin de datos
2.- Actividades
Las actividades de la administracin de las capacidades pueden ser de
dos formas:
Reactivas
Monitorizacin
Medicin
Proactivas
Prediccin de requerimientos futuros
Prediccin de tendencias
El proceso de administracin de la capacidad
incluye tres
subprocesos, encargados de analizar las capacidades de TI desde
diferentes puntos de vista:
158
Administracin de la capacidad para el negocio

Centra su atencin en las necesidades actuales y futuras de los
usuarios y clientes. Dentro de este subproceso se cumplen varias
actividades importantes como son:
Soporte al desarrollo de acuerdos de servicio
Cuando se desarrolla un acuerdo de niveles de servicio,
la administracin de capacidades debe colaborar,
asegurando la viabilidad de los acuerdos que se
suscriben y proponiendo mediciones de desempeo
adecuadas.
Soporte al diseo o modificacin de servicios
La administracin de capacidades tambin debe estar
presente en la definicin de nuevos servicios o en la
modificacin de servicios existentes, con el fin de
asegurar que los recursos necesarios para soportarlos
estarn disponibles.
Administracin de la capacidad del servicio

Analiza el desempeo de los servicios TI con el objetivo de
asegurar el cumplimiento de los niveles de servicio acordados.
Administracin de la capacidad de componentes

Analiza tanto el desempeo global de la infraestructura TI, como
de sus componentes y proyecta las tendencias para asegurar que
se dispondr de recursos suficientes.
2.1.- Plan de Capacidad

Un plan de capacidad incluye:
La informacin relativa a la capacidad de la infraestructura TI
Las proyecciones de necesidades futuras, con base en los acuerdos
existentes y al crecimiento de volmenes
Los cambios necesarios para renovar la capacidad TI con nuevas
tecnologas
Adicionalmente, un plan de capacidad tambin debe incluir la
informacin sobre los costos de la capacidad actual y proyectada,
necesaria para que la gerencia de TI tomar decisiones.
159
Captulo XI
2.2.- Estimacin
En la medida que las instalaciones se hacen ms complejas, resulta
mucho ms complicado administrar las capacidades y escoger los
caminos para el crecimiento de la infraestructura de TI. Es necesario
evaluar alternativas y los costos asociados a cada alternativa, para lo cual
pueden seguirse varios mtodos:
Analizar tendencias para evaluar los volmenes de trabajo que se
esperan y poder estimar los aumentos de capacidad necesarios.
Modelar y simular diferentes escenarios, con el fin de observar
el impacto de los volmenes previstos y poder tomar las
previsiones para el crecimiento de la infraestructura informtica.
Realizar benchmarks con configuraciones reales, con el fin de
asegurar que las nuevas capacidades que se adquieran
respondern adecuadamente a las necesidades futuras.
Normalmente, los benchmarks se llevan a cabo con facilidades
que ofrecen los proveedores.
2.3.- Asignacin de recursos

Una de las actividades esenciales de la administracin de la capacidad
es la asignacin de recursos de hardware, software y personal a cada uno
de los servicios y sistemas. Ello requiere que se cuente con informacin
confiable sobre:
Los niveles de servicio acordados y previstos
Impacto del servicio o del sistema en los procesos de negocio del
cliente
Impacto del servicio o del sistema en la capacidad instalada
Mrgenes disponibilidad
Costo los equipos de hardware y otros recursos TI necesarios para
operar los nuevos servicios o sistemas
Es frecuente que no se tomen en cuenta todos los aspectos relativos a
la evaluacin de magnitudes de un nuevo servicio o sistema, por lo que se
puede subestimar el impacto o, por el contrario, sobreestimar el poder de
cmputo de la infraestructura actual, creando situaciones de inestabilidad,
al pretender lograr desempeos que sobrepasen la capacidad real.
160
2.4.- Monitorizacin
La administracin de la capacidad es un proceso continuo e iterativo
que monitoriza, analiza y evala el desempeo y la capacidad de la
infraestructura de TI; con esos datos analiza las posibilidades de mejorar
la calidad de los servicios, bien sea por la va de la optimizacin del
manejo de los recursos o de la ampliacin de la base instalada. Siempre,
manteniendo en perspectiva que el objetivo central es asegurar que el
desempeo de la infraestructura informtica cumpla con los niveles de
servicio acordados.
3.- Administracin de la demanda

Dentro de la disciplina de administracin de capacidades, la actividad
de administracin de la demanda tiene como objetivo la optimizar y
racionalizar el uso de los recursos TI. Es una actividad de gran
importancia, especialmente, cuando se observa una degradacin del
servicio por aumentos no previstos de la demanda o interrupciones
intermitentes del servicio por fallas en el hardware o software.
161
Captulo XI
La administracin de demanda en estos casos incluye las acciones

necesarias para redistribuir recursos, con el fin de asegurar que los
servicios crticos no se vean afectados o sufran el menor impacto posible.
Tambin, para el mediano y largo plazo, la administracin de la
demanda busca identificar los puntos dbiles de la infraestructura, con el
fin de robustecer su capacidad.
Una correcta monitorizacin de la capacidad permite reconocer las
debilidades de la infraestructura TI y los cuellos de botella, con el fin de
determinar si es posible una redistribucin de recursos o se requerir un
incremento de la capacidad instalada.
Por ejemplo, una incorrecta distribucin de tareas puede causar que la
capacidad de los servicios de impresin se degrade durante ciertas horas
de oficina, a causa de la elaboracin concurrente de largos trabajos de
impresin, como nminas de pago, estados de cuenta de clientes,
balances, etc. Si la produccin de esos reportes compite por los mismos
recursos para la elaboracin de los documentos de oficina normales, es
posible que se observen demoras -inexplicables para el usuario- en la
impresin de los documentos. Una adecuada asignacin de recursos,
prioridades y horarios permitir que todos esos requerimientos de
impresin puedan convivir satisfactoriamente sin tropezar unos con
otros.
La administracin de la capacidad tambin debe evaluar con base en
las mediciones, proyecciones, experiencias y tendencias del mercado,
cundo la accin de aadir ms capacidad puede ser ms rentable que la
bsqueda de correctivos, tomando en cuenta que los correctivos tambin
implican un costo, ya que para implementar esos correctivos se requerir
la intervencin del personal de soporte. En trminos de la sabidura
popular, es necesario evitar las situaciones en que sale ms cara la
mecha que el candil.

Para la adecuada evaluacin de la disciplina de administracin de
capacidades, es necesario elaborar informes para la gerencia, que
peridicamente le permitan evaluar su desempeo, entre ellos podemos
mencionar:
Niveles de utilizacin de recursos
Incrementos de volmenes o de demanda no planificados
162
Anlisis de tendencias en la utilizacin de recursos
Mtricas establecidas para el evaluar la capacidad y el desempeo
Proyecciones de las necesidades de capacidad

Anlisis de costos asociados a las capacidades
Cumplimiento de los acuerdos de servicio
163
Captulo XI
164
Captulo XII
Cont inuida d de los

Se rvic ios de T I
Captulo XII

Tabla de contenido
1.- Qu es administracin de la continuidad? ..............................167
1.1.Ventajas ...........................................................................169
1.2.Barreras............................................................................169
2.- El plan de continuidad del negocio - (BCP) .............................170
3.- Terminologa ............................................................................172
4.- Preparacin ...............................................................................173
4.1.Evaluacin de riesgos ......................................................173
4.2.Identificar procesos crticos .............................................173
4.3.Seleccin de estrategias de recuperacin .........................174
5.- Alcance de la continuidad de servicios.....................................175
6.- Organizacin y planificacin....................................................177
6.1.Plan de mitigacin de riesgos ..........................................177
6.2.Plan de manejo de emergencias .......................................177
6.3.Plan de recuperacin ........................................................178
7.- Continuidad de servicios en el da a da ...................................178
7.1.Adiestramiento.................................................................179
7.2.Actualizacin ...................................................................179
166
1.- Qu es administracin de la continuidad?

La administracin de la continuidad de los servicios de TI -IT Service
Continuity Management- se encarga de prevenir y proteger a la empresa
de los efectos que pudiera tener una interrupcin de los servicios de TI,
bien sea que haya sido ocasionada por alguna falla tcnica o por causas
naturales, o que haya sido provocada, voluntaria o involuntariamente, por
alguna persona.
La administracin de la continuidad de los servicios de TI debe
combinar equilibradamente procedimientos:
Preventivos:
Medidas y procedimientos que buscan eliminar o mitigar los
riesgos de interrupcin y sus posibles efectos.
Reactivos:
Procedimientos cuyo propsito es reanudar el servicio tan
pronto como sea posible despus de cualquier interrupcin.
No cabe duda que las polticas y procedimientos destinados a prevenir
y limitar los efectos de un desastre son preferibles a las polticas para
reaccionar frente a tales eventos, sin embargo la experiencia demuestra
que debe disponerse de una juiciosa combinacin de medidas.
Los objetivos principales de la administracin de la continuidad de los
servicios pueden resumirse como:
Asegurar la pronta recuperacin de los servicios crticos de TI
despus de cualquier desastre.
Establecer polticas, tomar medidas y desarrollar procedimientos

para evitar, dentro de lo posible, las consecuencias de cualquier
desastre natural -como terremoto-, evento accidental -como
incendio- o actos de terrorismo como explosivos-.
La administracin de la continuidad de los servicios de TI requiere de
una labor de evangelizacin a todo lo largo de la organizacin, pues es
167
Captulo XII
difcil de justificar, es costosa y sus beneficios slo se perciben a largo

plazo. Implementar la administracin de la continuidad de los servicios
de TI equivale a la contratar un seguro, ya que cuesta dinero y parece
intil mientras no ocurre ninguna eventualidad; sin embargo, resulta
sumamente valioso frente a cualquier contingencia.
La administracin de la continuidad de TI no puede concebirse como
una disciplina exclusiva de TI, sino que debe formar parte de la disciplina
de continuidad del negocio y debe estar en perfecta coordinacin con esa
disciplina. Obsrvese, que no tendra ningn sentido que se hagan
esfuerzos para que un sistema de entrada de rdenes est funcionando y
disponible bajo cualquier condicin, si no se toman las medidas para que
el personal de atencin al cliente est listo para operarlo, aunque sea
prestando un nivel mnimo de atencin.
Existe una diferencia entre desastres tales como terremotos, incendios,

inundaciones, etc. y desastres informticos, tales como los que generan
las fallas de equipos, de software, los virus o los ataques de hackers. Para
ambos tipos de eventualidades, la disciplina de administracin de la
continuidad de los servicios debe incluir los procedimientos para
mantener el negocio en funcionamiento. Sin embargo, en el ltimo caso
falla informtica- adems de buscar la restauracin del servicio TI con
168
prontitud, se deben prever las consecuencias en el funcionamiento del

negocio ya que:
Slo se afectan los servicios TI, pero pueden paralizar toda la

organizacin.
Son ms previsibles y ms comunes.
La percepcin del cliente es diferente, pues los desastres naturales
se aceptan con resignacin y no se asocian a una actitud
negligente de los tcnicos de TI.
1.1.- Ventajas
La implementacin adecuada de la disciplina de administracin de la
continuidad de los servicios de TI tiene una gran cantidad de ventajas,
entre las cuales cabe destacar las siguientes:
Se manejan y se mitigan los riesgos.
Se reducen los periodos de interrupcin no planificados del
servicio de TI.
Se fortalece la confianza en la calidad del servicio, por parte de
usuarios y clientes.
Se constituye en el apoyo indispensable que requiere el proceso

continuidad de las operaciones del negocio.
1.2.- Barreras
La implementacin de la disciplina de administracin de la
continuidad de los servicios de TI es una tarea compleja y laboriosa y,
adems, normalmente tropieza con diferentes obstculos como los
siguientes:
Hay resistencia a realizar inversiones que no van a tener una
rentabilidad inmediata, por lo que no se presupuestan ni asignan
suficientes recursos.
No existe un compromiso dentro de la organizacin a cumplir con
las tareas y actividades que requiere la disciplina, por lo que
continuamente se demoran los planes, para atender otras tareas de
mayor prioridad.
No se actualizan los procedimientos y guas cada vez que se
realiza un cambio en la plataforma de servicios de TI.
No se cumple con un anlisis completo de riesgos y se dejan de
lado amenazas y vulnerabilidades importantes.
169
Captulo XII
No se prepara convenientemente el personal, ni se realizan

simulacros que permitan que toda la organizacin est
familiarizada con los procedimientos a seguir en caso de
presentarse cualquier contingencia que interrumpa los servicios.
Falta de coordinacin con los planes de continuidad del negocio Business Continuity Plan (BCP)-.
2.- El plan de continuidad del negocio - (BCP)

Es importante conocer un poco la terminologa y los temas ms
relevantes de los planes de continuidad del negocio, con el fin de
entender el contexto en el que se debe desarrollar la disciplina de
administracin de la continuidad de los servicios de TI:
Plan de recuperacin de desastres - Disaster Recovery Plan (DRP)
El plan de recuperacin de desastres centra su atencin en la
recuperacin de los servicios de TI y sus recursos, para aquellos
casos en los que algn evento ocasione una interrupcin
significativa en su funcionamiento; por ejemplo, explosin, falla
prolongada de electricidad, incendio, inundacin, terremoto, etc.
Plan de continuidad de operaciones - Continuity of Operations
Plan (COOP)
El plan de continuidad de operaciones incluye las guas y
procedimientos para la recuperacin de los procesos crticos y
estratgicos de una empresa. Si bien el plan de continuidad del
negocio es la integracin todos los planes de recuperacin, es
frecuente que al plan de continuidad de operaciones se le de esa
denominacin BCP-.
170
Plan de contingencia - Contingency Plan (CP)

El plan de contingencia centra su atencin en la recuperacin de
los servicios y recursos de TI despus de una falla,
independientemente de su magnitud, mayor o menor. Establece
procedimientos y lineamientos para la recuperacin de equipos y
servicios, as como tambin para las reas de la empresa que
puedan resultar afectadas.
Plan de reanudacin del negocio - Business Resumption Plan

(BRP)
El plan de reanudacin del negocio centra su atencin en la
reanudacin de los procesos del negocio que resulten afectados
por una falla en los servicios de TI. Focaliza su atencin en
establecer los procedimientos y guas de trabajo para el
funcionamiento de las reas del negocio en situacin de
contingencia.
Plan de respuesta a emergencias - Emergency Response Plan
El objetivo del plan de respuesta a emergencias es brindar
proteccin a los empleados, al pblico, el ambiente y los activos
de la empresa. En ltima instancia, busca poner bajo control
cualquier situacin de crisis de manera inmediata.
171
Captulo XII
Cada una de estas disciplinas se centran en la proteccin de aspectos

especficos de la organizacin, integrndose entre si, para poder proteger
el personal y todas las reas crticas de la organizacin. El plan de
continuidad del negocio es el concepto que integra el alcance y los
objetivos de todas estas disciplinas.
3.- Terminologa
Dentro de las diferentes disciplinas arriba descritas, se manejan varios
trminos de importancia, como son:
Objetivo de tiempo de recuperacin -Recovery Time Objetive
(RTO)
El objetivo de tiempo de recuperacin es un resultado
fundamental del anlisis de impacto Business Impact Anlisis
(BIA)-, que establece el intervalo de tiempo en el cual un
servicio, proceso o actividad crtica de la empresa debe ser
recuperado. En trminos del Instituto de Continuidad del Negocio
-Business Continuity Institute (BCI)- es el perodo de tiempo en
el que un proceso puede estar inoperativo.
172
Centro de operaciones alternas del negocio COANEl centro de operaciones alternas del negocio es el local escogido
por la empresa para cumplir con sus operaciones en caso de que,
por cualquier motivo, no pueda tenerse acceso a las oficinas de la
empresa. Normalmente el centro alterno debe ubicarse en una
localidad que no est cercana a las oficinas regulares, previendo
los estragos que un terremoto o motn poltico pudiera generar.
En l se deber disponer de los recursos necesarios para hacer
funcionar el negocio, aunque sea en una mnima versin:
mobiliario, suministros, equipos, telfonos, etc.
Centro Alterno de Operaciones de Tecnologa -CAOTEl centro alterno de operaciones de tecnologa es el local
escogido por la empresa para operar los servicios de TI en caso
de que, por cualquier motivo, no pueda tenerse acceso a las
instalaciones normales. Es muy frecuente que el CAOT se ubique
en un centro de procesamiento contratado, ya que en el mercado
existen varios excelentes proveedores de servicios de
recuperacin y soporte.
4.- Preparacin
La preparacin de la disciplina de administracin de la continuidad de
operaciones requiere el cumplimiento de varias actividades bastante
complejas y laboriosas, como son:
Revisar los procesos del negocio y evaluar los riesgos
Identificar procesos crticos y analizar el impacto que sufrirn
esos procesos si faltan los servicios de TI
Seleccionar las estrategias de recuperacin
4.1.- Evaluacin de riesgos

Las actividades de evaluacin de riesgos en los diferentes procesos del
negocio determinan las amenazas de un desastre, pormenorizan las
vulnerabilidades existentes, permiten visualizar los posibles impactos de
los diferentes eventos de desastre e identifican los controles necesarios
para prevenir o mitigar los riesgos de cada evento.
Al realizar una evaluacin de riesgos se desarrolla un informe de
riesgos y controles que establece recomendaciones y plan de acciones
para controlar y mitigar los riesgos que pudiesen alterar el normal
desempeo del negocio
Para la elaboracin de este informe es necesario:
Revisar los procesos del negocio y sus dependencias de los
servicios de TI
Identificar los puntos ms vulnerables
Analizar las posibles amenazas sobre estos procesos y estimar su
probabilidad
Gracias a los resultados de este anlisis detallado, se dispondr de
informacin suficiente para proponer diferentes medidas de prevencin y
recuperacin que se adapten a las necesidades reales del negocio.
La prevencin frente a riesgos genricos y poco probables puede ser
muy costosa y difcil de justificar, sin embargo, las medidas preventivas o
de recuperacin frente a riesgos especficos pueden resultar sencillas, de
rpida implementacin y relativamente econmicas.
4.2.- Identificar procesos crticos

Al identificar los procesos crticos, que contribuyen ms a la misin
de la empresa mission critical-, se analiza en detalle el impacto que
podra tener cualquier evento que impidiera su correcto funcionamiento y
las prdidas potenciales que podra acarrear esa interrupcin.
173
Captulo XII
Como resultado, se desarrolla el informe de anlisis de impacto

Business Impact Anlisis (BIA)- en el cual se identifican las reas del
negocio que son crticas, as como la magnitud de los impactos
potenciales, tanto operativos como financieros, de una interrupcin en su
funcionamiento:
Prdida de rentabilidad
Prdida de participacin de mercado
Mala imagen
Otros efectos
4.3.- Seleccin de estrategias de recuperacin

Para establecer los planes de recuperacin es necesario establecer el
tipo de recuperacin que puede adoptarse para cada rea del negocio, en
relacin con la criticidad y las necesidades de recuperacin que tenga el
rea.
En general, los tipos de recuperacin que pueden adoptarse son:
Manual
Procedimientos manuales o semi manuales para llevar a cabo las
tareas del rea, como por ejemplo, para autorizar compras de los
clientes, disponer de un listado de saldos y registrar los pedidos
en una hoja de EXCEL. Una vez que se recupere la operacin
normal, se transferirn al sistema los pedidos registrados en
EXCEL.
Recuperacin gradual cold standbyEl mtodo de recuperacin gradual consiste en poner a
disposicin del negocio las facilidades de oficina y de servicios
de TI, en el COAN y CAOT, en forma gradual, con varios das
de espera hasta 4 das o ms-.
Recuperacin intermedia warm standby
El mtodo de recuperacin intermedia consiste en recuperar las
operaciones en la localidad de contingencia COAN y COATdentro de un plazo de 2 3 das. Muchas veces los locales para
llevar a cabo la recuperacin de las operaciones son facilidades
que se comparte con otras empresas.
174
Recuperacin rpida hot standbyEl mtodo de recuperacin rpida busca recuperar las
operaciones de los servicios ms importantes, dentro de un plazo
de 24 horas. Normalmente para este mtodo, el CAOT asume la
modalidad de local sombra, en el que se dispone de los equipos

necesarios y se pueden poner a funcionar con cierta rapidez, con
una pequea prdida de informacin.
Recuperacin inmediata tambin hot standbyEs un mtodo que se utiliza para los procesos ms crticos y
requiere un local de contingencia CAOT- en el que se
encuentren instalados equipos espejo, que permiten reanudar
operaciones en cuestin de minutos, sin prdida de informacin.
Excepto para el mtodo de recuperacin manual, todos los restantes
mtodos requieren la elaboracin de copias de bases de datos y libreras
de software, que servirn como punto de arranque de los servicios y las
operaciones.
En el caso de la recuperacin inmediata, estas copias de respaldo se
actualizan con cada operacin que se registra, utilizando las nuevas
tecnologas de arreglos de discos que permiten replicar instantneamente
cualquier operacin en discos espejo ubicados en localidades distantes.
Para los otros mtodos de recuperacin, normalmente se elaboran
copias de respaldo con la periodicidad requerida -diaria o semanal- que se
almacenan en una localidad segura. Es bueno observar que, para estos
mtodos, la informacin de las operaciones que se ejecuten entre la
ltima toma de respaldo y el momento en que ocurra un desastre, ser
informacin que no est respaldada y que, en algn momento u otro,
habr que incluir en los sistemas, a riesgo de tener unas bases de datos
inexactas.
Por lo arriba sealado, algunos especialistas establecen que el objetivo
de tiempo de recuperacin RTO- para un rea del negocio debe estar
dado por la cantidad de informacin que el rea puede perder.
5.- Alcance de la continuidad de servicios

Uno de los pasos iniciales para desarrollar la disciplina de
administracin de la continuidad del servicio debe ser establecer
claramente sus objetivos generales, su alcance y el compromiso de la
organizacin TI.
Tambin la direccin de la empresa debe demostrar su compromiso
con el proceso, pues la implantacin de la administracin de la
continuidad de servicios de TI puede resultar compleja y costosa sin una
visible contraprestacin o un retorno de inversin.
175
Captulo XII
El nfasis de los alcances de la administracin de la continuidad del

servicio debe ser puesto en las prioridades del negocio; esto es, una vez
establecidas cules son las reas crticas y los servicios de TI que apoyan
su funcionamiento, desarrollar los planes de continuidad y, una vez que
las reas ms crticas se hayan asegurado, se pueden ir incluyendo
paulatinamente otras reas de menor prioridad.
As pues, deben evitarse enfoques demasiado ambiciosos y establecer

alcances realistas para la administracin de la continuidad de servicios de
TI en funcin de:
Los servicios estratgicos de TI requeridos por las reas
prioritarias del negocio-.
Los planes generales de continuidad del negocio.
La historia de interrupciones graves de los servicios TI.
Las expectativas de negocio.
La disponibilidad de recursos.
La administracin de la continuidad del servicio estar destinada a
fracasar si no se destinan suficientes recursos, tanto tcnicos, como
equipos hardware y software-.
Ser importante recordar que una buena cantidad del esfuerzo de
desarrollo de la disciplina debe destinarse al adiestramiento del personal,
con el fin de que, en momentos de crisis, conozca las responsabilidades
que deber asumir y las tareas que debern ser cumplidas.
176
6.- Organizacin y planificacin

Una vez determinado el alcance que habr de drsele a la
administracin de la continuidad de servicios de TI, analizados los
riesgos y vulnerabilidades y definidas unas estrategias de prevencin y
recuperacin es necesario asignar y organizar los recursos necesarios.
Con ese objetivo la administracin de la continuidad del servicio debe
elaborar una serie de documentos entre los que se incluyen:
Plan de mitigacin de riesgos
Plan de manejo de emergencias
Plan de recuperacin
6.1.- Plan de mitigacin de riesgos

Un plan de mitigacin de riesgos tiene como objetivo principal evitar
o minimizar el impacto de un desastre en la infraestructura TI. Entre las
medidas se incluyen en este tipo de planes, pueden encontrarse las
siguientes:
Utilizacin de sistemas alternos de suministro elctrico plantas
elctricas alternas
Uso de unidades de electricidad ininterrumpibles

Uninterruptible Power Supply (UPSs)
Polticas de respaldo y custodia para los archivos y las bases
datos.
Duplicacin de elementos crticos, como switches, canales
comunicacin, etc.
Utilizacin de sistemas de seguridad pasivos, como cajas
seguridad
de
de
de
6.2.- Plan de manejo de emergencias

Las crisis suelen provocar reacciones de pnico, que pueden ser
contraproducentes que, en algunos casos, pueden causar mayores daos
que el incidente que las haya podido causar. Por ello es imprescindible
que estn claramente definidas las responsabilidades y funciones del
personal en caso de alguna situacin de emergencia, as como tambin
deben estar definidas las guas de actuacin correspondientes.
En principio los planes de manejo de emergencias deben tomar en
cuenta aspectos tales como:
Evaluacin del impacto de la contingencia en la infraestructura TI
177
Captulo XII
Asignacin de funciones de emergencia al personal de servicio TI
Comunicacin a los usuarios y clientes en caso de una grave

interrupcin o degradacin del servicio
Procedimientos de contacto y colaboracin con los proveedores
involucrados
Guas y protocolos para la puesta en marcha del plan de
recuperacin correspondiente
6.3.- Plan de recuperacin

Cuando una interrupcin del servicio es un hecho inevitable, es el
momento de poner en marcha los procedimientos de recuperacin. Para
ello, el plan de recuperacin debe incluir todo lo necesario para:
Reorganizar al personal involucrado
Reestablecer los sistemas de hardware y software necesarios
Recuperar los datos y reiniciar el servicio TI
Los procedimientos de recuperacin pueden depender de la
importancia de la contingencia y de la opcin de recuperacin asociada
cold, warm o hot stand-by-, pero en general deben detallar:
Asignacin de personal y recursos

Instalaciones y hardware alternativos
Planes de seguridad que garanticen la integridad de los datos
Procedimientos de recuperacin de datos
Acuerdos de colaboracin con otras organizaciones
Protocolos de comunicacin con los clientes

Cuando se tiene que poner en marcha un plan de recuperacin, no
oportunidad para la improvisacin, cualquier decisin puede tener graves
consecuencias tanto en la percepcin que los usuarios tengan del personal
de TI, como en los costos asociados al proceso.
7.- Continuidad de servicios en el da a da

Una vez establecidas las polticas, estrategias y planes de prevencin y
recuperacin es indispensable que estos no queden en carpetas llevando
polvo, es necesario que la organizacin TI est perfectamente preparada
para su correcta implementacin. Ello depender de dos factores clave, la
adecuada preparacin del personal y la continua adecuacin a las
necesidades reales del negocio, a medida que evolucione la
infraestructura de TI y los procesos del negocio.
178
Uno de los factores clave para el xito de la administracin de la

continuidad del servicio es mantener un inters permanente en la
disciplina, ya que si el inters decayera, despus de tener varios periodos
en los que la prevencin y la buena suerte hayan impedido que se
presenten interrupciones graves, en el momento menos pensado podra
presentarse alguna dificultad grave y no estar en condiciones de
reaccionar adecuadamente frente a ella.
Es imprescindible llevar controles rigurosos que impidan que la
inversin y compromiso inicial se diluyan o que la administracin de la
continuidad de servicios de TI no se mantenga al nivel adecuado para
enfrentar cualquier situacin. En todo momento, la administracin de la
continuidad de servicios de TI debe garantizar:
La puesta en marcha de los planes preestablecidos.
La supervisin de los mismos.

La coordinacin con la administracin de la continuidad del
negocio.
La asignacin de recursos necesarios.
7.1.- Adiestramiento
Es intil disponer de unos planes de prevencin y recuperacin
concienzudamente preparados, si las personas que debern ponerlos en
prctica no estn familiarizadas con los mismos. Es indispensable que la
administracin de la continuidad de servicios de TI prepare al personal:
Dando a conocer los planes de prevencin y recuperacin

Ofreciendo adiestramiento en el uso de los diferentes
procedimientos de prevencin y recuperacin.
Realizando peridicamente simulacros de diferentes tipos de
desastres, con el fin de asegurar la capacitacin del personal
involucrado.
7.2.- Actualizacin
Tanto las polticas, estrategias y planes han de ser actualizados
peridicamente para asegurar que responden a los requisitos de la
organizacin en su conjunto.
Cualquier cambio en la infraestructura TI o en los planes de negocio
puede requerir de una profunda revisin de los planes en vigor y una
consecuente auditora que evale su adecuacin a la nueva situacin.
179
Captulo XII
En ocasiones en que el dinamismo del negocio y los servicios TI lo

haga recomendable, estos procesos de actualizacin y auditoria pueden
establecerse de forma peridica.
La Gestin de Cambios juega un papel esencial en asegurar que los
planes de recuperacin y prevencin estn actualizados manteniendo
informada a la administracin de la continuidad de servicios de TI de los
cambios realizados o previstos.

La administracin de la continuidad del servicio debe elaborar
peridicamente informes sobre su gestin que muestren informacin
relevante para el resto de la organizacin TI.
Estos informes deben incluir:
Anlisis sobre nuevos riesgos y evaluacin de su impacto.
Evaluacin de los simulacros de desastre realizados.
Actividades de prevencin y recuperacin realizadas.
Costes asociados a los planes de prevencin y recuperacin.
180
Preparacin y capacitacin del personal TI respecto a los planes y

procedimientos de prevencin y recuperacin.
Captulo XIII
la Disponibilida d
Captulo XIII
Tabla de contenido
1.- Qu es administracin de la disponibilidad? ..........................183
1.1.Clculo de la disponibilidad.............................................185
1.2.Ventajas ...........................................................................185
1.3.Barreras............................................................................186
2.- Requerimientos de disponibilidad ............................................186
3.- Plan de disponibilidad ..............................................................187
4.- Monitorizacin de la disponibilidad .........................................187
5.- Mediciones ...............................................................................189
182
1.- Qu es administracin de la disponibilidad?

Cuando hemos ido diez veces a una mquina de cajero y slo hemos
logrado obtener el dinero solicitado en ocho oportunidades, decimos que
esa mquina de cajero ha estado disponible para nosotros un 80 %, o que
ese cajero automtico tiene una disponibilidad del 80 %.
En la vida de los negocios modernos, dada la alta dependencia de la
tecnologa de informacin, se espera que esa tecnologa ofrezca una
disponibilidad del 100% durante los siete das de la semana.
Sabemos que la disponibilidad de una determinada infraestructura de
TI depende de muchos factores, del correcto diseo de los servicios, de la
confiabilidad de los componentes que la integran, de su adecuado
mantenimiento, etc. Es fcil comprender, por lo tanto, que un nivel de
disponibilidad de 100 % es prcticamente imposible de alcanzar, pues
siempre puede haber algn componente de la infraestructura que puede
fallar y que, en mayor o menor grado, puede afectar la disponibilidad del
servicio.
Con estas ideas en mente, podemos decir que la administracin de la
disponibilidad busca optimizar los niveles de disponibilidad de los
servicios de TI, de tal forma que estos funcionen correctamente,
atendiendo las necesidades de los usuarios, dentro de parmetros de costo
razonables y cumpliendo los acuerdos de servicio que se hayan
establecido con usuarios o clientes.
Para cumplir con tales propsitos, la administracin de la
disponibilidad deber:
Realizar acciones de seguimiento
Conocer los compromisos establecidos en los acuerdos de
niveles de servicio o, si no existen estos acuerdos, determinar
los requerimientos de disponibilidad de los usuarios,
trabajando en estrecha relacin con estos.
183
Captulo XIII
Hacer seguimiento a los niveles de disponibilidad que

realmente ofrecen los servicios de TI.
Evaluar la disponibilidad de los nuevos servicios o las
modificaciones hechas a los servicios existentes.
Utilizar la informacin recabada por la disciplina de
monitorizacin y control, con el fin de cuantificar la
disponibilidad de los servicios TI.
Elaborar informes de seguimiento sobre disponibilidad,
confiabilidad, matenibilidad y cumplimiento de acuerdos de
servicio.
Realizar acciones preventivas
184
Evaluar riesgos y recomendar la implementacin de acciones

de mitigacin.
Participar en el diseo de nuevos servicios o modificaciones
de los servicios existentes.
Establecer criterios de diseo para disponibilidad
Proponer planes de accin para mejorar la infraestructura de
servicios TI, con la finalidad de mejorar los niveles de
disponibilidad.
Para desarrollar los procedimientos de administracin de la

disponibilidad en forma correcta, se debe mantener en perspectiva las
siguientes consideraciones:
La disponibilidad de los servicios es uno de los elementos ms
importantes para mantener alta la satisfaccin de los usuarios.
En el caso de fallas una rpida restauracin de los servicios puede
ayudar a mantener los niveles de satisfaccin de los usuarios.
La disponibilidad de un servicio depender del grado de
disponibilidad del componente ms dbil en la cadena de
componentes que participan en la prestacin del servicio.
1.1.- Clculo de la disponibilidad

Normalmente, la disponibilidad se calcula como un porcentaje, de la
siguiente manera:
Disponibilidad = ((TAS TTI) / TAS) X 100

En donde:
TAS es el tiempo acordado de servicio, esto es, el tiempo que el
servicio debe estar disponible y TTI es el tiempo total de interrupcin del
servicio durante los perodos en que debi estar disponible.
Supongamos que un servicio requiere una disponibilidad de 24 horas
diarias durante los 7 das de la semana, esto es debe estar disponible 720
horas mensuales (TAS). Si este servicio se ha interrumpido, por las
razones que sean, por un total de 10 horas (TTI), entonces la
disponibilidad real habr sido de 98,6 %:
Disponibilidad = ((720 10) / 720) X 100 = 98,6 %

1.2.- Ventajas
disponibilidad de los servicios de TI puede brindar una serie de ventajas,
como las siguientes:
Los usuarios reciben los servicios de TI oportunamente, cuando

los requieren.
Los usuarios reciben un servicio con un nivel de calidad acorde
con sus necesidades.
185
Captulo XIII
Pueden optimizarse los costos asociados a un alto nivel de

disponibilidad.
Se pueden mejorar paulatinamente los niveles de disponibilidad.
1.3.- Barreras
disponibilidad de los servicios de TI normalmente tropieza con algunas
dificultades, entre las cuales podemos distinguir las siguientes:
No existe compromiso con la disciplina dentro de la organizacin
TI.
No se hace un adecuado seguimiento de la disponibilidad de los
servicios.
No se dispone de las herramientas ni del personal adiestrado.
Los objetivos de disponibilidad no estn debidamente ajustados a
las necesidades del negocio.
Falta de coordinacin con otras disciplinas, como monitorizacin
y control, etc.
2.- Requerimientos de disponibilidad

Es lgico pensar que, para poder establecer acuerdos de servicio con
los usuarios y clientes, es necesario tener, por un lado, una idea bastante
precisa de los niveles de disponibilidad de los servicios y, por el otro, de
los requerimientos que en esta materia tengan los usuarios.
En especial, ser necesario cuantificar los niveles de disponibilidad
que requieren los usuarios, para poder establecer hasta que punto pueden
ser satisfechos esos requerimientos, con la infraestructura actual.
Es posible que algunos usuarios soliciten una disponibilidad de 100 %
7 das a la semana, 24 horas diarias. Sin embargo, tal tipo de
disponibilidad debe sopesarse con respecto a los costos en que habra que
incurrir, para alcanzar esos niveles de perfeccin.
Por tales razones, al negociar los niveles de servicio, hay que
mantener en perspectiva que la disponibilidad propuesta debe
determinarse armonizando las necesidades reales del negocio y las
posibilidades reales de la organizacin TI.
Es posible que la falta de un determinado servicio por ciertos perodos
represente slo un pequeo inconveniente, mientras que la certeza de un
servicio prcticamente continuo y sin interrupciones puede requerir la
186
replicacin de equipos y sistemas, as como otras medidas costosas que

no van a contribuir a la rentabilidad del negocio.
As pues, es fundamental que la administracin de la disponibilidad:
Identifique las actividades clave del negocio.
Cuantifique los intervalos de interrupcin aceptables para los
diferentes servicios, de acuerdo con el impacto que tales
interrupciones puedan tener sobre la buena marcha del negocio.
Determine los niveles de disponibilidad que deben tener los
servicios TI.
Establezca las brechas entre los requerimientos reales del negocio

y el nivel de disponibilidad que TI puede cumplir.
Establezca planes de accin para alcanzar los niveles de
disponibilidad requeridos.
3.- Plan de disponibilidad

Tal como discutamos en la seccin anterior, una adecuada
planificacin permitir establecer unos niveles de disponibilidad
ajustados tanto a las necesidades reales del negocio, como a las
capacidades de la organizacin e infraestructura de TI.
El documento en el que se recogen los objetivos de disponibilidad y
las acciones necesarias para su cumplimiento es el plan de disponibilidad.
Este plan debe precisar:
La situacin actual de disponibilidad de los servicios TI.
Herramientas que deben ser aadidas para la monitorizacin de la
disponibilidad.
Mtodos y tcnicas de anlisis a utilizar.
Definiciones relevantes y precisas de las mtricas a utilizar.
Planes de mejora de la disponibilidad.
Expectativas futuras de disponibilidad.
Este plan que debe actualizarse peridicamente, adems de establecer
los requerimientos de disponibilidad, debe contener todos los cambios
necesarios para satisfacer tales requerimientos.
4.- Monitorizacin de la disponibilidad

Los trabajos de monitorizacin de la disponibilidad de los servicios de
TI deben incluir la consideracin de un conjunto de variables, que
187
Captulo XIII
permiten tener una clara visin de las diferentes fases del ciclo de vida
de la interrupcin de los servicios, con el fin de afinar los compromisos
que, en materia de niveles de disponibilidad, la organizacin TI puede
adquirir.
Desde el momento en que se presenta una interrupcin de servicio
hasta su restitucin, un incidente pasa por distintas etapas que deben ser
cuantificadas de la siguiente forma:
1. Tiempo de deteccin: es el tiempo que transcurre desde que ocurre
una falla hasta que la organizacin TI toma conocimiento de la
misma.
2. Tiempo de respuesta: es el tiempo que transcurre desde la
deteccin del problema hasta que se realiza un diagnstico del
mismo.
3. Tiempo de reparacin/recuperacin: periodo de tiempo utilizado
para reparar la falla o encontrar alguna solucin temporal que
permita poner operativo el servicio.
Anlogamente, la administracin de la disponibilidad debe publicar

informes sobre la disponibilidad de los servicios que incluyan factores
como los siguientes:
Tiempo Medio de Parada (Downtime): que es el tiempo
promedio de duracin de las interrupciones de servicio,
incluyendo el tiempo de deteccin, respuesta y resolucin.
Tiempo Medio entre Fallas (Uptime): es el promedio de
duracin de los intervalos en los que el servicio ha esta do
disponible sin interrupciones.
188
Tiempo Medio entre Incidentes: es el tiempo promedio que

transcurre entre incidentes, que es la suma del tiempo medio de
parada y el tiempo medio entre fallas. El tiempo medio entre
incidentes es una buena medida de la confiabilidad de un servicio

o de un componente en particular.
5.- Mediciones
La administracin de la disponibilidad debe realizar un conjunto de
mediciones que permitan comprender la importancia de los factores que
intervienen en la disponibilidad del servicio, lo cual permitir prever el
los recursos que debern asignarse para mejorar, prevenir y mantener la
infraestructura, as como elaborar planes de mejora a partir del anlisis de
dichas mediciones. Entre estas podemos citar las siguientes:
1. Anlisis del impacto de la falla de un componente (CFIA Component Failure Impact Anlisis)
Este anlisis permite identificar el impacto que tiene cada tem de
configuracin en la disponibilidad de los servicios TI en los que
interviene.
2. Anlisis del rbol de fallas (FTA - Failure Tree Anlisis)
Este anlisis busca establecer la forma cmo se propagan las
fallas a travs de la infraestructura TI, con el fin de comprender
mejor las vulnerabilidades del servicio.
3. Anlisis y manejo de riesgos (RAMM - Risk Analysis and
Management Method)
El objetivo de este anlisis es identificar los riesgos y
vulnerabilidades a los que se halla expuesta la infraestructura TI,
con el objetivo de adoptar acciones de mitigacin, que permitan
reducir el riesgo o que permitan recuperar rpidamente el servicio
en caso de cualquier interrupcin.
4. Anlisis de las interrupciones de servicio (SOA - Service Outage
Anlisis)
Este anlisis tiene como propsito complementar las acciones de
administracin de problemas, con el fin de proponer soluciones a
los problemas que han causado o pueden causar interrupciones de
servicio.

El objetivo de la administracin de la disponibilidad es mejorar la
calidad del servicio y la satisfaccin del cliente, por lo que se requiere
disponer de informacin y reportes como los que se sealan a
continuacin:
189
Captulo XIII
Tcnicas y mtodos utilizados para la prevencin y el anlisis de

fallas.
Cumplimiento de los acuerdos de servicio en relacin con la
disponibilidad y confiabilidad de los servicios.
Informacin estadstica sobre:
Tiempos de deteccin y respuesta a los fallas.
Tiempos de reparacin y recuperacin del servicio.
Tiempo medio de servicio entre fallas.
Disponibilidad real de los diferentes servicios.
Es lgico que, para darle sentido a la informacin, sea necesario
establecer comparaciones entre lo ocurrido en la realidad y la situacin
deseable o establecida en los acuerdos de servicio.
190
Captulo XIV
Se gurida d de la
I nform a c in
Captulo XIV
Tabla de contenido
1.- En qu consiste la administracin de seguridad?....................193
1.1.Ventajas ...........................................................................194
1.2.Barreras............................................................................195
2.- La seguridad en el nivel de la empresa.....................................195
3.- Actividades ...............................................................................197
4.- Polticas de seguridad ..............................................................198
5.- El plan de seguridad .................................................................198
6.- Cumplimiento de la normativa de seguridad ............................199
7.- Evaluacin y mantenimiento ....................................................200
192
1.- En qu consiste la administracin de seguridad de

la informacin?
La administracin de seguridad de la informacin tiene como
propsito alinear la seguridad de TI con la seguridad de la empresa y
velar para que la seguridad de la informacin se maneje adecuadamente
en todos los servicios de TI.
Una adecuada administracin de la seguridad de la informacin
permitir asegurar que la informacin que se almacena y maneja con la
infraestructura de TI:
Est debidamente protegida de su uso por parte de personas

no autorizadas confidencialidad-.
Est debidamente protegida de cambios que intenten hacer

personas no autorizadas integridad-.
Podemos decir que los principales objetivos de la administracin de
seguridad son:
Disear una poltica de seguridad alineada con las polticas de

seguridad y necesidades de la empresa.
Asegurar el cumplimiento de las polticas de seguridad acordadas.
Mitigar los riesgos de seguridad que puedan amenazar la
continuidad del servicio o la confidencialidad e integridad de la
informacin.
Ser fundamental comprender que la administracin de la seguridad
no es nicamente responsabilidad de los tcnicos de seguridad de TI, sino
que es una responsabilidad de toda la empresa. Siempre se cita, como
ejemplo, el caso de aquellas empresas en las que todos los servicios de TI
estn rodeados de las ms rigurosas normas de seguridad, mientras que
los reportes que imprimen los usuarios, circulan libremente o descansan
sobre los escritorios sin que nadie vele por su confidencialidad. Por esto,
no dejamos de enfatizar que la seguridad de la informacin que maneja y
193
Captulo XIV
procesa TI y la seguridad de la empresa deben estar perfectamente

alineadas.
Es importante mantener en perspectiva que la seguridad tambin debe
establecerse en funcin de las necesidades del negocio. Si se cae en el
error de establecer la seguridad como una prioridad por s misma, se
limitarn las oportunidades que ofrecen las capacidades de computacin y
telecomunicaciones para realizar un intercambios de informacin con los
diferentes asociados de negocio, con los que se comparten procesos,
como son los clientes -a los que se les da acceso va Web para realizar
transacciones- y los proveedores con los que se comparten procesos para
ordenar bienes o servicios y para cancelar cuentas por pagar-.
La administracin de la seguridad debe tomar en cuenta las
caractersticas del negocio y los servicios que presta la organizacin TI,
para establecer normas, procedimientos y protocolos de seguridad, que
aseguren que la informacin est debidamente resguardada, pero
accesible cuando se necesita, para aquellos usuarios debidamente
autorizados.
Una vez establecidos los requerimientos de seguridad del negocio, la
administracin de la seguridad en TI debe supervisar que tales
requerimientos estn contemplados dentro de cualquier acuerdo de
servicio que se establezca con los usuarios y, adems, debe garantizar su
cumplimiento.
La administracin de la seguridad debe asimismo, identificar los
riesgos a los que est expuesta la infraestructura TI, con el fin de
proponer medidas que los mitiguen o eliminen. Esto es, ser tambin
importante para la administracin de seguridad de informacin, que esta
sea proactiva y evale permanentemente los riesgos de seguridad que
pueden ir surgiendo a medida que los sistemas y la infraestructura
tecnolgica vayan evolucionando.
1.1.- Ventajas
Entre las principales ventajas que aporta una adecuada implantacin
de la disciplina de administracin de seguridad de la informacin, pueden
citarse los siguientes:
Se preserva la integridad de los datos.
Se preserva la confidencialidad de los datos y la privacidad de
clientes y usuarios.
Se cumple la normativa de la empresa relacionada con la
seguridad de informacin.
194
Se evitan interrupciones del servicio causadas por virus, ataques

de hackers, etc.
Mejora la percepcin y confianza de los usuarios y clientes en
cuanto a la calidad del servicio.
1.2.- Barreras
La implementacin de la disciplina de seguridad de la informacin
tropieza con barreras como las siguientes:
No existen polticas de seguridad en el nivel de la empresa.
No existe el suficiente compromiso de todos los miembros de la
organizacin TI con la seguridad.
No se dispone de las herramientas necesarias para monitorizar y

garantizar la seguridad del servicio como software de seguridad,
antivirus, hardware de seguridad como firewalls, etc.Se establecen polticas de seguridad excesivamente restrictivas
que afectan la buena marcha de las operaciones.
El personal no recibe una formacin adecuada para aplicar
correctamente los procedimientos de la disciplina.
No se realiza una minuciosa identificacin y evaluacin de
riesgos.
2.- La seguridad en el nivel de la empresa

Sealbamos en prrafos anteriores que la administracin de
seguridad de la informacin no es slo un problema de TI, sino que la
disciplina debe formar parte de la estrategia y normativa que se hayan
establecido en el nivel de la empresa.
En tal sentido, como mnimo, en el nivel de la empresa se deben haber
establecido:
1. Categoras
Cada empresa, de acuerdo con las caractersticas de sus operaciones,
establece diferentes categoras en la confidencialidad de su
informacin; a ttulo de ejemplo podemos citar los siguientes niveles:
Estrictamente confidencial
Confidencial
Slo para uso interno
Pblico
195
Captulo XIV
2. Criterios de categorizacin
Los criterios de categorizacin, permiten establecer cuando un
documento, reporte, memorando, plano, registro de base de datos,
etc. es estrictamente confidencial, confidencial, slo para uso interno
o pblico.
Las empresas acostumbran a identificar en forma visible la categora
de seguridad de cada documento. As, por ejemplo, veremos
memorandos en los que aparecen claramente visibles las palabras
confidencial o slo uso interno; anlogamente, las aplicaciones
hacen una indicacin similar en los reportes que imprimen.
3. Procedimientos
Los procedimientos establecen qu normas deben cumplirse para
proteger la informacin, de acuerdo con su categora. As mismo,
establecen qu funcionarios, de acuerdo con su nivel, pueden tener
acceso a informacin clasificada como estrictamente confidencial o
confidencial.
Adicionalmente, los procedimientos tambin establecen las
responsabilidades que cada funcionario tiene sobre la informacin a
la que accede y los pasos que debern darse para cumplir con la
normativa al utilizar la informacin
4. Funcionarios de seguridad por rea funcional
Una vez que en el nivel de la empresa se establecen normas y
procedimientos de seguridad, normalmente, se establecen las
funciones del coordinador de seguridad de cada rea del negocio,
quien ser responsable de velar por la adecuada clasificacin de los
documentos e informacin del rea, de verificar que los
procedimientos de seguridad son viables para su rea y de velar por
su cumplimiento.
Es costumbre que este rol opere en estrecho contacto con el
administrador de seguridad en TI, ya que tendr como
responsabilidad autorizar o revocar los niveles de acceso que se
otorguen a los funcionarios de su rea, con el fin de poder tener
acceso a servicios y aplicaciones, de acuerdo con sus
responsabilidades.
196
3.- Actividades
La administracin de la seguridad esta estrechamente relacionada con
todas las disciplinas de administracin y todos los procesos de TI, por lo
que para resultar exitosa requiere el concurso y la colaboracin de toda la
organizacin.
Para que esa colaboracin sea eficaz es necesario que la
administracin de la seguridad:
Establezca una clara y definida poltica de seguridad que sirva de
gua a todos los otros procesos.
Elabore un plan de seguridad que incluya los niveles de seguridad
adecuados tanto en los servicios prestados a los clientes como en
los acuerdos de servicio firmados con proveedores internos y
externos.
Implemente el plan de seguridad.
Monitorice y evale el cumplimiento de dicho plan.
Supervise proactivamente los niveles de seguridad analizando

tendencias, nuevos riesgos y vulnerabilidades.
Realice peridicamente auditoras de seguridad.
197
Captulo XIV
4.- Polticas de seguridad

Es imprescindible disponer de un marco general que establezca los
criterios para todas las disciplinas y procesos de TI. En especial, la
poltica de seguridad debe establecer:
La relacin con las polticas y normas de seguridad de la empresa.
La coordinacin con las otras disciplinas de administracin de
servicios de TI.
La coordinacin con los funcionarios responsables de la seguridad
de informacin en las reas funcionales.
La estructura organizativa y los responsables del proceso de

administracin de la seguridad.
Los recursos necesarios: software, hardware y personal.
Los programas de divulgacin y formacin.
Los procedimientos de anlisis de riesgos.
El nivel de monitorizacin de la seguridad.

Los informes que deben ser generados peridicamente.
Las auditoras externas e internas de seguridad.
5.- El plan de seguridad

El objetivo del plan de seguridad es fijar los niveles de seguridad que
deben ser incluidos como parte de los acuerdos de servicio que se
establecen con los usuarios y en el nivel operacional.
El plan debe ser desarrollado conjuntamente con la administracin de
niveles de servicio, responsable en ltima instancia de la calidad del
servicio prestado a los clientes, as como tambin de la calidad de los
servicios que recibe la organizacin TI de los proveedores externos.
El plan de seguridad debe disearse para ofrecer un servicio a los
usuarios mejor y ms seguro, nunca como un obstculo para el
desenvolvimiento de las actividades del negocio:
Debe ser coherente
Los procedimientos de seguridad deben ser coherentes en todas
las fases del servicio de TI y para todos los niveles de la
organizacin. Deben tomar en cuenta que "una cadena es tan
resistente como el ms dbil de sus eslabones", por lo que carece
de sentido, por ejemplo, establecer estrictas normas de acceso si
en las aplicaciones se mantienen vulnerabilidades por un uso
198
inadecuado de las facilidades de seguridad que ofrecen los

manejadores de bases de datos utilizados en la empresa.
Indicadores Clave
Siempre que sea posible deben definirse mtricas e indicadores
clave que permitan evaluar los niveles de seguridad y el
cumplimiento de las normas.
6.- Cumplimiento de la normativa de seguridad

La administracin de seguridad de la informacin es responsable de
motorizar y coordinar la implementacin de los procedimientos y las
medidas de seguridad establecidas en el plan de seguridad.
El administrador de la seguridad debe velar por que:
El personal conozca y acepte las normas de seguridad establecidas
y sus responsabilidades.
Exista una aceptacin formal, asegurando que los empleados
firmen acuerdos de confidencialidad acordes con su cargo y
responsabilidades.
Se est impartiendo al personal una formacin adecuada.
Se est comunicando adecuadamente la normativa y
las
consecuencias de las infracciones.
Al establecerse la disciplina de administracin de la seguridad de la
informacin, se deben:
Asignar los recursos necesarios.
Instalar y mantener las herramientas de hardware y software

necesarias para garantizar la seguridad.
Documentar adecuadamente toda la normativa, los procedimientos
e instructivos.
Establecer las polticas y procedimientos de acceso a la
informacin.
Establecer acuerdos con el centro de atencin en relacin con el
manejo de incidentes relacionados con la seguridad.
Establecer acuerdos con la administracin de cambios y de
versiones, con el fin de asegurar que no se introduzcan
vulnerabilidades en las aplicaciones que pasan al ambiente de
produccin.
199
Captulo XIV
Establecer acuerdos con la administracin de la continuidad de los

servicios, para asegurar que, bajo ninguna circunstancia, peligra la
integridad o la confidencialidad de los datos.
Establecer procedimientos e implementar herramientas que
permitan monitorizar las redes y los servicios para detectar
intrusiones y ataques.
Es necesario que tanto la gerencia de TI, como todos los niveles
ejecutivos de la empresa otorguen suficiente autoridad a los
administradores y se establezcan medidas disciplinarias que deben ser
aplicadas cuando los empleados o cualquier otro personal relacionado con
los servicios de TI no cumpla con la normativa de seguridad.
7.- Evaluacin y mantenimiento

Normalmente las empresas practican evaluaciones en forma continua
mediante auditoras de seguridad externas e internas, realizadas por
personal independiente de la administracin de la seguridad.
El propsito de estas evaluaciones y auditorias deben calificar el nivel
de seguridad y proponer mejoras que permitan perfeccionar los
procedimientos y las normas de seguridad.
Adems de las evaluaciones peridicas, cada incidente relacionado
con seguridad deber investigarse, con el propsito de tomar las medidas
correctivas necesarias para evitar su repeticin.
La administracin de la seguridad debe concebirse como un proceso
en continuo perfeccionamiento, por lo que tanto la normativa, como el
plan de seguridad deben actualizarse constantemente, al igual que debe
renovarse y mejorarse, en forma continua, el conjunto de herramientas de
hardware y software implementadas. No existe nada tan vulnerable como
una seguridad basada en medidas obsoletas.
Ser fundamental que la administracin de la seguridad maneje
informacin actualizada sobre nuevos riesgos frente a virus, software
espa, malware y ataques de hackers, con el fin de adoptar las medidas
necesarias para actualizar hardware y software, sin dejar a un lado los
aspectos de comunicacin y formacin.
200

Al igual que para todas las disciplinas de administracin de servicios
de TI, para la administracin de la seguridad debe realizarse un riguroso
control que asegure el cumplimiento de sus objetivos:
Acceso eficiente a la informacin por el personal autorizado.
Disminucin del nmero de incidentes relacionados con
seguridad.
Identificacin proactiva de vulnerabilidades, antes de que estas
puedan provocar un incidente de seguridad.
La produccin peridica de informes permitir que la gerencia de TI
evale el desempeo de la administracin de la seguridad de la
informacin y aportar informacin valiosa a otras reas de TI. Entre los
reportes ms importantes a producir, podemos citar:
Entre la documentacin generada cabra destacar:
Relacin de incidentes relacionados con seguridad clasificados
por su impacto sobre la calidad de los servicios.
Relacin del cumplimiento de los programas de formacin y
evaluacin de sus resultados.
Identificacin de nuevos riesgos y vulnerabilidades que enfrenta la
infraestructura TI.
Resultados de auditoras de seguridad.
Informes sobre el grado de implementacin y cumplimiento de los

planes de seguridad establecidos.
Informes sobre el cumplimiento de los acuerdos de servicio y
acuerdos operacionales, en lo relacionado a la seguridad de la
informacin.
201
Captulo XIV
202
Captulo XV
M e dic in
Captulo XIV
Medicin
Tabla de contenido
1.En qu consiste la medicin de los servicios de TI?............205
1.1.- Por qu medir? .................................................................206
1.2.- Qu debemos medir?........................................................207
1.3.- Quines participan en la medicin? .................................207
1.4.- Criterios para definir indicadores ......................................207
1.5.- Interpretacin de indicadores.............................................208
2.Uso de los indicadores ...........................................................209
3.Algunos indicadores o mediciones ........................................211
204
Medicin
1.- En qu consiste la medicin de los servicios de

tecnologa de informacin?
La gerencia de los servicios TI constituye un eslabn adicional en la
cadena de valor de una organizacin de TI, lo que le permite dejar de ser
slo un proveedor de tecnologa, para convertirse en un proveedor de
servicios de para el negocio. Esto significa que una adecuada gestin de
los servicios de TI aporta valores adicionales como son:
Atencin de las necesidades del negocio mediante de servicios

integrales.
Alineacin de los servicios TI con el negocio.
Compromiso con el negocio a travs de acuerdos de niveles de
servicio.
Propuestas proactivas para mejorar los servicios.
Sin embargo, para que estos servicios de TI puedan alinearse
realmente con el negocio, debe disponerse de indicadores que permitan
calibrar el grado de alineacin y el nivel de calidad de los servicios.
Es importante sealar que, si bien el uso de un buen conjunto de
indicadores permite controlar la organizacin TI y orientar los servicios
hacia niveles de calidad creciente; no es menos cierto, que un conjunto de
indicadores mal concebidos slo contribuirn a crear burocracia y restarle
iniciativa a la organizacin.
Tambin es importante puntualizar que las mediciones no son niveles
de servicio, pues no involucran ningn tipo de acuerdo o negociacin y
slo buscan reflejar objetivamente una situacin.
En el desarrollo de una mtrica es necesario responder a las preguntas
claves:
Qu debemos medir?
Quines participarn en la medicin?
Qu indicadores se requieren?
205
Captulo XIV
1.1.- Por qu medir?

En general, se mide para conocer o calificar una realidad y poder
tomar decisiones destinadas a modificar su comportamiento.
Desde el punto de vista de la alineacin de TI al negocio, se mide para
mejorar los servicios, ya que dicha mejora se traducir en satisfaccin de
los usuarios y en operaciones ms eficaces y eficientes. Tambin se mide
para controlar la infraestructura tecnolgica, que es la base fundamental
para proporcionar los servicios que requiere el negocio.
As pues podemos afirmar que la medicin en la gerencia de servicios

de TI cumple funciones diversas:
Evaluacin del grado de alineacin de TI con las necesidades y
objetivos del negocio
Evaluacin del nivel de soporte a los usuarios
Control gerencial, tanto de la organizacin TI, como de las reas
medulares del negocio
206
Informacin para los entes interesados como: usuarios, gerentes,

empleados, comit de sistemas1, comit de direccin, autoridades
externas, etc.
Comparacin de la gestin de servicios de TI con otras
organizaciones, estndares y mejores prcticas
1.2.- Qu debemos medir?

Indudablemente, la medicin debe hacerse sobre los servicios del
catlogo, ya que los servicios incluidos en ese catlogo constituyen la
mejor forma de establecer una comunicacin inteligente entre los
usuarios y la organizacin de TI. Sin embargo, para poder medir los
servicios tenemos que hacer mediciones sobre los componentes que los
soportan, sobre los procesos que administran dicha tecnologa y sobre los
equipos de trabajo que los soportan.
Con toda esa informacin, por agregacin, se generan indicadores que
califican el servicio, que en definitiva son los que necesitamos para
asegurar que la gestin est alineada con los intereses del negocio.
1.3.- Quines participan en la medicin?

Para establecer un verdadero sistema de medicin, deberemos contar
con la participacin de los diferentes niveles de la organizacin:
responsables de servicio, gestores de proceso, responsables de
departamentos y personal tcnico. Cada uno de ellos deber participar en
la definicin y posterior publicacin peridica de los indicadores de su
mbito de competencia.
1.4.- Criterios para definir indicadores

Los datos requeridos para calcular un indicador o, en general, para
alimentar una mtrica deben poderse recopilar en forma sencilla, pues de
lo contrario se arriesga a imponer una considerable carga de trabajo a la
organizacin, que puede acarrear que se descuide la atencin de los
servicios en aras de poder medirlos, lo cual sera un verdadero
contrasentido.
1
Muchas empresas utilizan la figura del comit de sistemas o comit

directivo, integrado por los ejecutivos ms importantes del negocio y de
informtica. Todos los planes de TI se presentan al comit de sistemas,
con el fin de obtener su aprobacin. Esta aprobacin, dada la estructura
del comit, representa un acuerdo entre las reas del negocio e
informtica, para desarrollar los sistemas de informacin y los servicios
en trminos de requerimientos, recursos y calendarios..
207
Captulo XIV
Existen ciertos criterios que la experiencia ha creado, como SMART

(specific, measurable, achievable, realistic, timely), que nos dice que los
indicadores deben ser especficos, mesurables, viables, realistas y
oportunos.
Todos estos criterios, como conjunto, nos aconsejan que en el
desarrollo de mediciones se mantenga en perspectiva que las mediciones
deben ser:
Significativas, deben ayudar realmente a calificar un servicio.
Corresponder a un solo proceso o a parte de uno, ya que de lo
contrario ser difcil establecer responsabilidades.
Viable, es decir, de nada vale pensar en mediciones para las cuales
no se dispone del instrumental adecuado para tomar la medicin.
Por ejemplo, si no disponemos de un ACD, no podemos medir
qu porcentaje de llamadas al centro de atencin son abandonadas
por los usuarios.
Oportuna, pues de nada nos sirve, por ejemplo, el promedio de
llamadas recibidas en el centro de atencin hace un ao,
necesitamos conocer la carga actual.
1.5.- Interpretacin de indicadores

Adems de establecer los datos que debern utilizarse para el clculo
de un indicador y su periodicidad, ser fundamental establecer:
El significado del indicador, qu nos dice?, para qu nos sirve?
Los rangos de valores, para establecer cundo un valor nos indica

que el proceso est bien o cundo est mal.
Normalmente se establecen:
Los valores posibles
Los valores normales, que indican que el proceso se desempea en
forma normal
Los valores de alerta, que indican que el proceso est cercano a
una situacin de problema
Los valores que indican que el proceso experimenta algn
problema
El valor meta, que es el valor que la gerencia espera alcanzar en
una prxima evaluacin, como consecuencia de las decisiones y
acciones tomadas.
208
2.- Uso de los indicadores

Es obvio que las mediciones las realizamos para calibrar algn
proceso y tomar las acciones que permitan corregir una situacin
inconveniente o mejorar un proceso en forma continua.
El mtodo ms popular para crear una situacin de mejora continuada
es el PDCA, conocido tambin como el "crculo de Deming" -por
Edwards Deming-. Se trata de un mtodo de mejora continua de la
calidad de los procesos que integra cuatro pasos, originalmente diseado
por Walter Shewhart -conocido como el padre del control estadstico de
la calidad-.
Este mtodo, que muchos denominan espiral de mejora continua ha
sido adoptado por las normas ISO.
PDCA es el acrnimo de Plan, Do, Check, Act -Planificar, Hacer,
Verificar, Actuar-. Su adopcin permite que las organizaciones adquieran
la disciplina de planificar una accin, tomarla, revisar su cumplimiento y
sus resultados y actuar segn lo que se ha aprendido.
PLAN - Planificar, establecer los planes
1. Identificar el proceso que se quiere mejorar
2. Recopilar datos para profundizar en el conocimiento del
proceso
3. Analizar e interpretar los datos
4. Establecer los objetivos de mejora
5. Especificar los resultados esperados
6. Definir las acciones necesarias para conseguir los objetivos de
mejora
DO - Llevar a cabo los planes
7. Ejecutar las acciones definidas en el paso anterior.
8. Documentar las acciones realizadas.
CHECK - Verificar si los resultados concuerdan con los planes
9. Pasado un periodo de tiempo previsto de antemano, volver a
recopilar datos de control y a analizarlos, comparndolos con
los objetivos y especificaciones iniciales, para evaluar si se ha
producido la mejora esperada.
10. Documentar las conclusiones.
ACT - Actuar para corregir los problemas identificados
209
Captulo XIV
11. Si fuese necesario, modificar los procesos segn las

conclusiones del paso anterior.
12. Aplicar nuevas mejoras, si se han detectado en el paso anterior.
13. Documentar el proceso
210
3.- Algunos indicadores o mediciones

A continuacin presentamos algunos indicadores que pueden ser
adoptados para calibrar los servicios de TI.
1Nmero de usuarios servidos por tcnico
2Nmero de empleados cumpliendo actividades TI
3Nmero de tcnicos TI para desarrollar y manejar las
relaciones con usuarios
4Nmero de tcnicos TI para manejar el negocio de TI
5Nmero de tcnicos TI para manejar riesgos
6Nmero de tcnicos TI para desarrollar y mantener
soluciones
7Nmero de tcnicos TI para implementar soluciones
8Nmero de tcnicos TI para dar soporte a soluciones
9Nmero de tcnicos de proveedores externos
10- Nmero de tcnicos para dar soporte a la arquitectura de
informacin
11- Nmero de tcnicos para manejar recursos de informacin
12- Nmero de tcnicos cumpliendo el rol de arquitectos TI
13- Tiempo promedio para alcanzar el punto de equilibrio (break
even) para nuevos servicios de TI
14- Tiempo promedio de puesta en operacin de nuevos servicios
o mejorados por nivel de inversin
15- Total presupuesto TI por empleado
16- Porcentaje de cambio en el presupuesto de TI para el
prximo ao
17- Porcentaje de presupuesto TI usado para operar versus usado
para crecimiento
18- Distribucin de gastos operativos de TI versus presupuesto
de capital
19- Distribucin de presupuesto operativo para hardware,
software, personal, proveedores externos de servicios,
redes/telecomunicaciones, facilidades, y otros
20- Distribucin de presupuesto TI operativo relacionado con
software
211
Captulo XIV
212223-
24252627282930313233343536373839404142-
212
Distribucin de presupuesto TI operativo relacionado con

personal
Distribucin de presupuesto TI operativo relacionado con
redes/telecomunicaciones
Distribucin de presupuesto TI de capital relacionado con
equipos de computacin, de almacenamiento, software,
red/telecomunicaciones, proveedores externos de servicios y
otros
Distribucin de presupuesto de capital relacionado con
equipos de computacin y de almacenamiento
Distribucin geogrfica de usuarios TI
Distribucin geogrfica de tcnicos TI
Porcentaje de elementos de informacin con custodios
asignados
Nmero de proyectos de desarrollo cumplidos
Nmero de proyectos en ejecucin
Nmero de proyectos en backlog
Porcentaje de proyectos entregados a tiempo o antes
Porcentaje de proyectos entregados por debajo de lo
presupuestado
Porcentaje de funcionalidad ofrecida al inicio realmente
entregada
Tiempo promedio para atender a problemas de alta prioridad
Tiempo promedio para resolver problemas de alta prioridad
Tiempo promedio para atender a problemas de mediana
prioridad
Tiempo promedio para resolver problemas de mediana
prioridad
Tiempo promedio para atender a problemas de baja prioridad
Tiempo promedio para resolver problemas de baja prioridad
Nmero de correcciones realizadas que requirieron retrabajo
Tiempo promedio para atender requerimientos de
informacin, por categora
Tiempo promedio para desarrollar un plan estratgico de TI
para un rea del negocio
43444546474849-
Horizonte de planificacin
Tiempo promedio para atender un requerimiento del negocio
con soluciones de TI relevantes, por nivel de costo
Cantidad de suspensiones de servicio no planificadas
ocasionadas por cambios realizados
Cantidad de suspensiones de servicio no planificadas
ocasionadas por implementacin de versiones
Tiempo promedio para implementar un cambio en el
ambiente de produccin
Tiempo promedio para implementar una nueva versin en el
ambiente de produccin
Tiempo promedio para resolver una interrupcin de servicio
213
Anexo I
I m pla nt a c in de la s Disc iplina s de
Adm inist ra c in de Se rvic ios de T I
Una vez que se toma la decisin de incorporar las disciplinas de

administracin de servicios en una organizacin de TI, no puede
esperarse una implementacin instantnea, sino todo lo contrario, la
implementacin tiene que ser paulatina, bien planificada y con
expectativas realistas para cada paso.
Para comenzar, es importante tomar conciencia de que la insercin de
las disciplinas van a significar cambios importantes en la organizacin y,
como normalmente ocurre con cualquier cambio, van a ser recibidos con
resistencia. Cada disciplina va a representar un cambio cultural que habr
que manejar con decisin, pero realizando todos los esfuerzos que sean
necesarios para que todo el personal tcnico y de gerencia comprenda y
acepte esos cambios.
Una campaa de charlas, folletos y cursos ser imprescindible para
dar inicio a la implementacin de las disciplinas y, posteriormente, para
implementar cada disciplina en particular, habr que cumplir tareas
similares, pero especficas para cada disciplina.
Ninguna disciplina debera ser puesta en funcionamiento sin estar
dotada de procedimientos escritos, perfectamente definidos y discutidos
previamente con personas claves dentro de la organizacin TI y de las
reas funcionales.
Para su implementacin, podran cubrirse diferentes fases como las
siguientes:
Fase I.Inicialmente, las disciplinas que dada su importancia
debieran ser implementadas son:
1. Administracin de la seguridad de informacin
4. Administracin de la continuidad de los servicios TI
Fase II.- En una segunda fase deberan implementarse las
disciplinas de:
213
5. Centro de atencin
6. Manejo de incidentes
7. Manejo de problemas
Fase III.- En una tercera fase debera implementarse la
disciplina de:
8. Administracin de versiones
Fase IV.- En una cuarta fase debera implementarse la
disciplina de:
9. Monitorizacin y control
Fase V.- En la quinta fase debera implementarse la disciplina
de:
10. Administracin de la disponibilidad
11. Administracin de la capacidad
12. Administracin de niveles de servicio Catlogo de servicios
13. Administracin financiera de los servicios TI
Fase VI.- En la fase final completarse el proyecto
implementando las disciplinas de:
14. Administracin de niveles de servicio
Para cada fase y cada disciplina, al preparar los planes de trabajo, ser
fundamental cumplir un proceso de evaluacin y seleccin de
herramientas. Claro est, que si se selecciona una herramienta de gran
alcance como son Tvoli o Unicenter, slo ser necesario para cada
disciplina, revisar la forma como los mdulos correspondientes sern
utilizados.
Cada disciplina, a su vez, debe implementarse por etapas, ya que es
poco probable que de un solo golpe pueda cubrirse el alcance completo
para cada disciplina. A ttulo de ejemplos veamos la forma como
podemos definir las etapas para la disciplina de administracin de la
seguridad de informacin:
1.
Asignacin de responsables para la administracin de la disciplina.
2.
Creacin de responsables de seguridad en cada una de las reas del
negocio (coordinador funcional de seguridad).
3.
Establecer procedimientos para la cooperacin entre el
administrador de seguridad, los coordinadores de seguridad por
rea del negocio y el administrador de la red, con el fin coordinar la
creacin de nuevos usuarios, cambio de niveles de autoridad y
214
manejo de suspensiones de servicio temporales, por vacaciones, o

definitivos.
4.
Asegurar el uso adecuado de los elementos de seguridad para tener
acceso a la red.
5.
Desarrollar la normativa sobre actualizacin y cambios peridicos
y forzosos de claves.
6.
Revisin de la estructura fsica de la red destinada a robustecer la
estructura de seguridad, como pueden ser la creacin de zonas
desmilitarizadas de alta seguridad - separando los ambientes de
internet, extranet, intranet y ambientes de base de datos- y la
creacin de virtuales para agrupar y aislar usuarios.
7.
Implantacin de normativa relativa a la seguridad de acceso a las
bases de datos, utilizando las facilidades del manejador, eliminando
prcticas inadecuadas como utilizar un usuario nico de base de
datos por cada aplicacin y pretender que, en el nivel de la
aplicacin, puede manejarse mejor la seguridad. Este tipo de
prctica, muy generalizada por cierto, crea brechas de seguridad
importantes, ya que cualquier persona que conozca ese nico
cdigo de usuario, puede tener acceso a la base de datos y
modificar la informacin sin estar autorizado para ello.
8.
Desarrollar la normativa de manejo de seguridad en las
aplicaciones y comenzar a hacer los ajustes necesarios para que
todas las aplicaciones se adapten a la nueva normativa.
9.
Contratar servicios de auditoras externas a la seguridad de la red e
implementar recomendaciones dirigidas a robustecer los
procedimientos.
En lneas generales, para cada disciplina debern cumplirse
actividades como las siguientes:
1) Definir el alcance para la disciplina
2) Definir las etapas que sern cubiertas y el alcance para cada etapa
3) Disear el modelo de funcionamiento deseado utilizando DFDs,
Diagramas de Actividad, Diagramas de Use Case o cualquier otra
herramienta4) Evaluar herramientas si es necesario5) Seleccionar herramienta si es necesario6) Hacer ajustes en el modelo de funcionamiento, segn sea necesario
para adaptarlo a la forma de operar de la herramienta seleccionada
215
7) Cumplir tareas de desarrollo y ajuste

a) Probar la herramienta en ambiente de desarrollo, seleccionar
opciones y ajustar parmetros segn sea necesario
b) Desarrollar procedimientos
c) Probar herramientas y procedimientos en ambiente de prueba
8) Desarrollar planes de accin
a) De adiestramiento
b) De comunicacin a TI y a la empresa
c) Para implementar la herramienta en produccin
d) Para poner en vigor la disciplina
9) Implementar la disciplina cumpliendo los planes de accin trazados
10) Desarrollar plan de trabajo a mediano y largo plazo para cumplir las
restantes etapas definidas en el paso 3
11) Evaluar resultados de la etapa y plantear plan de mejoras
216
Anexo II
COBI T
Proc e sos de T I
I - PLANIFICACIN Y ORGANIZACIN
1. Definicin de un plan estratgico de TI
2. Definicin de la arquitectura de Informacin
3. Determinacin de la direccin tecnolgica
4. Definicin de la organizacin y de las relaciones de TI
5. Manejo de la Inversin en TI
6. Comunicacin de la direccin y expectativas de la gerencia
7. Administracin de recursos humanos
8. Asegurar el cumplimiento de requerimientos externos
9. Evaluacin de Riesgos
10. Administracin de proyectos
11. Administracin de calidad
II - ADQUISICIN E IMPLEMENTACIN
1.
2.
3.
4.
5.
6.
Identificacin de soluciones
Adquisicin y mantenimiento de software de aplicaciones
Adquisicin y mantenimiento de arquitectura de tecnologa
Desarrollo y mantenimiento de procedimientos
Instalacin y acreditacin de sistemas
III - ENTREGA DE SERVICIOS Y SOPORTE

1.
2.
3.
4.
5.
6.
Definicin de niveles de servicio

Administracin de servicios prestados por terceros
Administracin de desempeo y capacidad
Aseguramiento de servicio continuo
Asegurar la seguridad de los sistemas
Identificacin y atribucin de costos
217
7. Educacin y entrenamiento de usuarios

8. Apoyo y asistencia a los clientes de TI
10. Manejo de problemas e incidentes
11. Administracin de datos
12. Administracin de instalaciones
13. Administracin de operaciones
IV - SEGUIMIENTO
1.
2.
3.
4.
Monitorizacin del proceso

Evaluar adecuacin a normas de control interno
Obtencin de evaluacin independiente
Proveer auditora independiente
218
Anexo III
COBI T
Re la c ione s de los Obje t ivos de Cont rol
Dom inios, Proc e sos y Obje t ivos de
Cont rol
En COBIT se define control como:
El conjunto de polticas, procedimientos, prcticas y
estructuras organizativas diseadas para crear una seguridad
razonable de que se lograrn los objetivos del negocio y de
que se toman acciones para detectar, prevenir o corregir los
efectos de eventos indeseables.
Anlogamente, objetivo de control se define como:
Una declaracin del resultado deseado o propsito a ser
alcanzado, implementando procedimientos de control en
alguna actividad particular.
A continuacin se listan los objetivos de control que establece COBIT,
relacionados con los procesos de TI.
I - PLANIFICACIN Y ORGANIZACIN
1. Definicin de un plan estratgico de TI
OC-1.1.
TI como parte del plan de la organizacin a corto y largo

plazo
OC-1.2.
Plan a largo plazo de TI
OC-1.3.
Plan a largo plazo de TI - enfoque y estructura
OC-1.4.
Cambios al plan a largo plazo de TI
OC-1.5.
Planificacin a corto plazo para la funcin de TI
OC-1.6.
Evaluacin de sistemas existentes
2. Definicin de la arquitectura de Informacin

219
OC-2.1.
Modelo de la arquitectura de informacin
OC-2.2.
Diccionario de datos y reglas de sintaxis de los datos de

la corporacin
OC-2.3.
Esquema de clasificacin de datos
OC-2.4.
Niveles de seguridad
3. Determinacin de la direccin tecnolgica

OC-3.1.
Planificacin de la infraestructura tecnolgica
OC-3.2.
Monitorizacin de tendencias futuras y regulaciones
OC-3.3.
Contingencias en la infraestructura tecnolgica
OC-3.4.
Planes de adquisicin de hardware y software
OC-3.5.
Estndares de tecnologa
4. Definicin de la organizacin y de las relaciones de TI
220
OC-4.1.
Comit de planificacin o direccin de la funcin de TI
OC-4.2.
Ubicacin de los TI en la organizacin
OC-4.3.
Revisin de logros organizacionales
OC-4.4.
Funciones y responsabilidades
OC-4.5.
Responsabilidad de la funcin de aseguramiento de

calidad
OC-4.6.
Responsabilidad de la funcin de seguridad lgica y

fsica
OC-4.7.
Propiedad y custodia
OC-4.8.
Propiedad de datos y sistemas
OC-4.9.
Supervisin
OC-4.10.
Segregacin de funciones
OC-4.11.
Asignacin de personal para TI
OC-4.12.
Descripcin de puestos para el personal de la funcin de

TI
OC-4.13.
Personal clave de TI
OC-4.14.
Procedimientos para personal contratado
OC-4.15.
Relaciones
5. Manejo de la Inversin en TI
OC-5.1.
Presupuesto operativo anual para la funcin de servicio

de informacin
OC-5.2.
Monitorizacin de costo - beneficio
OC-5.3.
Justificacin de costo - beneficio
6. Comunicacin de la direccin y expectativas de la gerencia

OC-6.1.
Ambiente positivo de control de la informacin
OC-6.2.
Responsabilidad de la gerencia en cuanto a polticas
OC-6.3.
Comunicacin de las polticas de la organizacin
OC-6.4.
Recursos para la implementacin de polticas
OC-6.5.
Mantenimiento de polticas
OC-6.6.
Cumplimiento de polticas, procedimientos y estndares
OC-6.7.
Compromiso con la calidad
OC-6.8.
Poltica sobre el marco de referencia para la seguridad y

el control interno
OC-6.9.
Derechos de propiedad intelectual
OC-6.10.
Polticas especficas
OC-6.11.
Comunicacin para estimular la conciencia de seguridad

en TI
7. Administracin de recursos humanos

OC-7.1.
Reclutamiento y promocin de personal
OC-7.2.
Personal calificado
OC-7.3.
Entrenamiento de personal
OC-7.4.
Entrenamiento cruzado para desarrollar personal de

respaldo
OC-7.5.
Procedimientos de evaluacin de antecedentes del

personal
OC-7.6.
Evaluacin de desempeo de los empleados

221
OC-7.7.
Cambios de puesto y despidos
8. Asegurar el cumplimiento de requerimientos externos

OC-8.1.
Revisin de requerimientos externos
OC-8.2.
Prcticas y procedimientos para el cumplimiento de

requerimientos externos
OC-8.3.
Cumplimiento con regulaciones de seguridad y

ergonoma
OC-8.4.
Privacidad, propiedad intelectual y flujo de datos
OC-8.5.
Comercio electrnico
OC-8.6.
Cumplimiento con contratos de seguros
9. Evaluacin de Riesgos
OC-9.1.
Evaluacin de riesgos del negocio
OC-9.2.
Enfoque de la evaluacin de riesgos
OC-9.3.
Identificacin de riesgos
OC-9.4.
Medicin de riesgos
OC-9.5.
Plan de accin contra riesgos
OC-9.6.
Aceptacin de riesgos
OC-9.7.
Seleccin de medidas preventivas
OC-9.8.
Compromiso con la evaluacin de riesgos
10. Administracin de proyectos
222
OC-10.1.
Marco de accin para la administracin de proyectos
OC-10.2.
Participacin de los departamentos usuarios en la

iniciacin de proyectos
OC-10.3.
Miembros y responsabilidades del equipo del proyecto
OC-10.4.
Definicin del proyecto
OC-10.5.
Aprobacin del proyecto
OC-10.6.
Aprobacin de las fases del proyecto
OC-10.7.
Plan maestro del proyecto
OC-10.8.
Plan de aseguramiento de la calidad de sistemas
OC-10.9.
Planificacin de mtodos de aseguramiento de calidad
OC-10.10. Administracin formal de riesgos de proyectos

OC-10.11. Plan de prueba
OC-10.12. Plan de entrenamiento
OC-10.13. Plan de revisin post implementacin
11. Administracin de calidad
OC-11.1.
Plan general de calidad
OC-11.2.
Enfoque de aseguramiento de calidad
OC-11.3.
Planificacin de aseguramiento de calidad
OC-11.4.
Revisin de aseguramiento de calidad sobre el

cumplimiento de estndares y procedimientos
OC-11.5.
Metodologa del ciclo de desarrollo de sistemas
OC-11.6.
Metodologa del ciclo de desarrollo de sistemas para

realizar cambios mayores a la tecnologa actual
OC-11.7.
Actualizacin de la metodologa del ciclo de desarrollo

de sistemas
OC-11.8.
Coordinacin y comunicacin
OC-11.9.
Marco de referencia para la adquisicin y mantenimiento

de la infraestructura de tecnologa
OC-11.10. Relaciones con terceras partes como implementadores

OC-11.11. Estndares para la documentacin de programas
OC-11.12. Estndares para pruebas de programas
OC-11.13. Estndares para pruebas de sistemas
OC-11.14. Pruebas piloto/en paralelo
OC-11.15. Documentacin de las pruebas de sistemas
OC-11.16. Evaluacin de aseguramiento de la calidad sobre el
cumplimiento de estndares de desarrollo
223
OC-11.17. Revisin de aseguramiento de calidad sobre el logro de

los objetivos de TI
OC-11.18. Mtricas de calidad
OC-11.19. Reportes de revisiones de aseguramiento de calidad
II - ADQUISICIN E IMPLEMENTACIN
1. Identificacin de soluciones
OC-1.1.
Definicin de requerimientos de informacin
OC-1.2.
Formulacin de acciones alternativas
OC-1.3.
Formulacin de estrategias de adquisicin.
OC-1.4.
Requerimientos de servicios de terceros
OC-1.5.
Estudio de factibilidad tecnolgica
OC-1.6.
Estudio de factibilidad econmica
OC-1.7.
Arquitectura de informacin
OC-1.8.
Reporte de anlisis de riesgos
OC-1.9.
Controles de seguridad econmica
OC-1.10.
Diseo de huellas de auditora
OC-1.11.
Ergonoma
OC-1.12.
Seleccin de software de sistemas
OC-1.13.
Control del proceso de adquisicin
OC-1.14.
Adquisicin de productos de software
OC-1.15.
Mantenimiento de software de terceras partes
OC-1.16.
Contratos de programacin de aplicaciones
OC-1.17.
Aceptacin de facilidades
OC-1.18.
Aceptacin de tecnologa
2. Adquisicin y mantenimiento de software de aplicaciones

OC-2.1.
224
Mtodos de diseo
OC-2.2.
Cambios significativos a sistemas actuales
OC-2.3.
Aprobacin del diseo
OC-2.4.
Definicin y documentacin de requerimientos de

archivos
OC-2.5.
Especificaciones de programas
OC-2.6.
Diseo para la recopilacin de datos fuente
OC-2.7.

entrada de datos
OC-2.8.
Definicin de interfases
OC-2.9.
Interfases usuario-mquina
OC-2.10.

procesamiento
OC-2.11.
Definicin y documentacin de requerimientos de salidas

de datos
OC-2.12.
Controlabilidad
OC-2.13.
Disponibilidad como factor clave de diseo
OC-2.14.
Medidas de proteccin de la integridad de TI en

programas de aplicaciones
OC-2.15.
Pruebas de software de aplicacin
OC-2.16.
Materiales de consulta y soporte para usuario
OC-2.17.
Reevaluacin del diseo del sistema
3. Adquisicin y mantenimiento de arquitectura de tecnologa

OC-3.1.
Evaluacin de nuevo hardware y software
OC-3.2.
Mantenimiento preventivo para hardware
OC-3.3.
Seguridad del software del sistema
OC-3.4.
Instalacin del software del sistema
OC-3.5.
Mantenimiento del software del sistema
OC-3.6.
Controles para cambios del software del sistema
OC-3.7.
Utilizacin y seguimiento de los programas utilitarios

225
4. Desarrollo y mantenimiento de procedimientos

OC-4.1.
Requerimientos operativos y niveles de servicio
OC-4.2.
Manual de procedimientos para usuarios
OC-4.3.
Manual de operaciones
OC-4.4.
Material de entrenamiento
5. Instalacin y acreditacin de sistemas

OC-5.1.
Entrenamiento
OC-5.2.
Desempeo y magnitud del software de aplicacin
OC-5.3.
Plan de implementacin
OC-5.4.
Conversin del sistema
OC-5.5.
Conversin de datos
OC-5.6.
Estrategias y planes de prueba
OC-5.7.
Pruebas de cambios
OC-5.8.
Criterios de desempeo de pruebas en paralelo/piloto
OC-5.9.
Prueba de aceptacin final
OC-5.10.
Pruebas de seguridad y acreditacin
OC-5.11.
Prueba operacional
OC-5.12.
Migracin a produccin
OC-5.13.
Evaluacin del cumplimiento de requerimientos del

usuario
OC-5.14.
Revisin gerencial post - implementacin
226
OC-6.1.
Inicio y control de solicitudes de cambio
OC-6.2.
Evaluacin de impacto
OC-6.3.
Control de cambios
OC-6.4.
Cambios de emergencia
OC-6.5.
Documentacin y procedimientos
OC-6.6.
Mantenimiento autorizado
OC-6.7.
Poltica de implementacin de software
OC-6.8.
Distribucin de software
III - ENTREGA DE SERVICIOS Y SOPORTE

1. Definicin de niveles de servicio
OC-1.1.
Marco de referencia para los acuerdos de nivel de

servicio
OC-1.2.
Aspectos sobre los acuerdos de nivel de servicio
OC-1.3.
Procedimientos de ejecucin
OC-1.4.
Monitorizacin y reporte
OC-1.5.
Revisin de acuerdos y convenios de niveles de servicio
OC-1.6.
Elementos sujetos a cargo
OC-1.7.
Programa de mejoramiento del servicio
2. Administracin de servicios prestados por terceros

OC-2.1.
Interfaces con proveedores
OC-2.2.
Relaciones con dueos
OC-2.3.
Contratos con terceros
OC-2.4.
Calificacin de terceros
OC-2.5.
Contratos de outsourcing
OC-2.6.
Continuidad de servicios
OC-2.7.
Relaciones de seguridad
OC-2.8.
Monitorizacin
3. Administracin de desempeo y capacidad

OC-3.1.
Requerimientos de disponibilidad y desempeo
OC-3.2.
Plan de disponibilidad
OC-3.3.
Monitorizacin y reporte
OC-3.4.
Herramientas de modelaje
OC-3.5.
Manejo de desempeo proactivo

227
OC-3.6.
Pronstico de cargas de trabajo
OC-3.7.
Administracin de capacidad de recursos
OC-3.8.
Disponibilidad de Recursos
OC-3.9.
Calendarios de utilizacin de recursos
4. Aseguramiento de servicio continuo

OC-4.1.
Marco de referencia de continuidad de TI
OC-4.2.
Estrategia y filosofa de continuidad de TI
OC-4.3.
Contenido del plan de continuidad de TI
OC-4.4.
Minimizacin de requerimientos de continuidad de TI
OC-4.5.
Mantenimiento del plan de continuidad de TI
OC-4.6.
Pruebas del plan de continuidad de TI
OC-4.7.
Capacitacin sobre el plan de continuidad de TI
OC-4.8.
Distribucin del plan de continuidad de TI
OC-4.9.
Procedimientos de procesamiento alternativo para

departamentos usuarios
OC-4.10.
Recursos crticos de TI
OC-4.11.
Centro de cmputo y hardware de respaldo
OC-4.12.
Almacenamiento de respaldos fuera de las oficinas
OC-4.13.
Procedimientos de retorna de un plan de continuidad de

TI
5. Asegurar la seguridad de los sistemas
228
OC-5.1.
Administrar medidas de seguridad
OC-5.2.
Identificacin, autenticacin y acceso
OC-5.3.
Seguridad de acceso a datos en lnea
OC-5.4.
Administracin de cuentas de usuario
OC-5.5.
Revisin gerencial de cuentas de usuario
OC-5.6.
Control hecho por los usuarios sobre las cuentas de

usuario
OC-5.7.
Vigilancia de la seguridad
OC-5.8.
Clasificacin de datos
OC-5.9.
Administracin centralizada de identificacin y derechos

de acceso
OC-5.10.
Reportes de violaciones y de actividades de seguridad
OC-5.11.
Manejo de incidentes
OC-5.12.
Reacreditacin
OC-5.13.
Confianza en contrapartes
OC-5.14.
Autorizacin de transacciones
OC-5.15.
No rechazo
OC-5.16.
Sendero seguro
OC-5.17.
Proteccin de funciones de seguridad
OC-5.18.
Administracin de llaves criptogrficas
OC-5.19.
Prevencin, deteccin y correccin de software

"malicioso"
OC-5.20.
Arquitecturas de firewalls y conexin a redes pblicas
OC-5.21.
Proteccin de valores electrnicos
6. Identificacin y atribucin de costos

OC-6.1.
Elementos sujetos a cargo
OC-6.2.
Procedimientos de costeo
OC-6.3.
Procedimientos de cargo y facturacin a usuarios
7. Educacin y entrenamiento de usuarios

OC-7.1.
Identificacin de necesidades de entrenamiento
OC-7.2.
Organizacin de entrenamiento
OC-7.3.
Entrenamiento sobre principios y conciencia de seguridad
8. Apoyo y asistencia a los clientes de TI

OC-8.1.
Escritorio de ayuda
OC-8.2.
Registro de llamadas del usuario

229
OC-8.3.
Escalamiento de consultas de clientes
OC-8.4.
Monitorizacin de atencin a clientes y cierre de

llamadas
OC-8.5.
Anlisis y reporte de tendencias
OC-9.1.
Registro de la configuracin
OC-9.2.
Definiciones de base (estndares) de los tems de

configuracin
OC-9.3.
Registro de estatus
OC-9.4.
Control de configuraciones
OC-9.5.
Software no autorizado
OC-9.6.
Almacenamiento de software
OC-9.7.
Procedimientos de administracin de configuraciones
OC-9.8.
Responsabilidades en relacin al software
10. Manejo de problemas e incidentes

OC-10.1.
Sistema de administracin de problemas
OC-10.2.
Escalamiento de problemas
OC-10.3.
Seguimiento de problemas y huellas de auditora
OC-10.4.
Autorizaciones de acceso de emergencia y temporales
OC-10.5.
Prioridades de atencin a emergencias
11. Administracin de datos
230
OC-11.1.
Procedimientos de preparacin de datos
OC-11.2.
Procedimientos de autorizacin de documentos fuente
OC-11.3.
Recopilacin de datos desde documentos fuente
OC-11.4.
Manejo de errores de documentos fuente
OC-11.5.
Retencin de documentos fuente
OC-11.6.
Procedimientos de autorizacin de entrada de datos
OC-11.7.
Chequeos de exactitud, suficiencia y autorizacin
OC-11.8.
Manejo de errores en la entrada de datos
OC-11.9.
Integridad de procesamiento de datos
OC-11.10. Validacin y edicin en el procesamiento de datos

OC-11.11. Manejo de errores en el procesamiento de datos
OC-11.12. Manejo y retencin de salidas
OC-11.13. Distribucin de salidas
OC-11.14. Balanceo y conciliacin de datos de salida
OC-11.15. Revisin de salidas y manejo de errores
OC-11.16. Provisiones de seguridad para reportes de salida
OC-11.17. Proteccin de informacin sensible durante transmisin y
transporte
OC-11.18. Proteccin de informacin crtica a de los servicios de TI
OC-11.19. Administracin de almacenamiento
OC-11.20. Perodos de retencin y trminos de almacenamiento
OC-11.21. Sistema de administracin de almacenamiento
OC-11.22. Responsabilidades de la administracin de los medios de
almacenamiento
OC-11.23. Respaldo y restauracin
OC-11.24. Jobs de Respaldo
OC-11.25. Almacenamiento de respaldo
OC-11.26. Archivos histricos
OC-11.27. Proteccin de mensajes sensitivos
OC-11.28. Autenticacin e integridad
OC-11.29. Integridad de transacciones electrnicas
OC-11.30. Mantenimiento continuo de la integridad de los datos
almacenados
12. Administracin de instalaciones
OC-12.1.
Seguridad fsica
231
OC-12.2.
Discrecin de las instalaciones de TI
OC-12.3.
Escolta de visitantes
OC-12.4.
Salud y seguridad del personal
OC-12.5.
Proteccin contra factores ambientales
OC-12.6.
Suministro ininterrumpible de energa (UPS)
13. Administracin de operaciones

OC-13.1.
Manual de procedimientos de operacin e instrucciones
OC-13.2.
Documentacin de procesos de inicio y otras operaciones
OC-13.3.
Calendarios de trabajos
OC-13.4.
Desviaciones de los calendarios de trabajos
OC-13.5.
Continuidad de procesamiento
OC-13.6.
Bitcoras de operacin
OC-13.7.
Salvaguarda de formas especiales y de dispositivos de

salida
OC-13.8.
Operaciones remotas
IV - SEGUIMIENTO
1. Monitorizacin del proceso
OC-1.1.
Recoleccin de datos de monitorizacin
OC-1.2.
Evaluacin de desempeo
OC-1.3.
Evaluacin de la satisfaccin de clientes
OC-1.4.
Reportes gerenciales
2. Evaluar adecuacin a normas de control interno
232
OC-2.1.
Seguimiento del cumplimiento del control interno
OC-2.2.
Cumplimiento oportuno del control interno
OC-2.3.
Reporte sobre el nivel de control Interno
OC-2.4.
Seguridad de operacin y aseguramiento de control

interno
3. Obtencin de evaluacin independiente

OC-3.1.
Certificacin/acreditacin independiente del control y la

seguridad de los servicios de TI
OC-3.2.
Certificacin/acreditacin independiente del control y la

seguridad de los proveedores externos de servicios
OC-3.3.
Evaluacin independiente de la efectividad
OC-3.4.
Evaluacin independiente de la efectividad de

proveedores externos de servicios
OC-3.5.
Aseguramiento independiente del cumplimiento de leyes,

requerimientos regulatorios y compromisos
contractuales
OC-3.6.
Aseguramiento independiente del cumplimiento de leyes,

requerimientos regulatorios y compromisos
contractuales por parte de los proveedores externos de
servicios
OC-3.7.
Competencia de la funcin de aseguramiento

independiente
OC-3.8.
Participacin proactiva de auditora
4. Proveer auditora independiente

OC-4.1.
Esquemas de auditora
OC-4.2.
Independencia
OC-4.3.
tica y estndares profesionales
OC-4.4.
Competencia
OC-4.5.
Planificacin
OC-4.6.
Desempeo del trabajo de auditora
OC-4.7.
Reportes de auditora
OC-4.8.
Actividades de seguimiento
233
234
Bibliogra fa
K. Brand & H. Boonen (2008). IT Governance CobiT 4.1 - A
Management Guide 3rd Edition. Van Haren Publishing. Holanda.
COBIT - Publicaciones del COBIT Steering Committee y del IT
Governance Institute
James W. Cortada (1998). Best Practices in Information
Technology. Prentice Hall PTR. Van Haren Publishing. Estados
Unidos.
B. Johnson & J. Higgin (2007). ITIL and the Software Lifecycle:
Practical Strategy and Design Principles. Van Haren Publishing.
Holanda.
Info Tech Research Group (2005). Building a comprehensive
Disaster Recovery Plan. Canad.
Harris Kern, Rich Schiesser, Mayra Muniz (2005). IT Production
Services Building Competitive Advantage. Harris Kern's Enterprise
Computing Institute Series. Estados Unidos.
Harris Kern and Kenneth Moskowitz (2005). Managing IT as an
Investment: Partnering for Success. Harris Kern's Enterprise
itSMF International (2006). Metrics for IT Service Management.
Van Haren Publishing. Estados Unidos.
Larry Klosterboer (2008). Implementing ITIL Configuration
Management. IBM Press. Estados Unidos
235
Alex Nghiem (2005). IT Web Services: A Roadmap for the

Enterprise. Harris Kern's Enterprise Computing Institute Series.
Estados Unidos.
Floyd Piedad and Michael Hawkins (2005). High Availability:
Design, Techniques and Processes. Harris Kern's Enterprise
Rich Schiesser (2005). IT Systems Management: Designing,
Implementing, and Managing World-Class Infrastructures. Harris
Kern's Enterprise Computing Institute Series. Estados Unidos.
Randy A. Steinberg (2006). Measuring ITIL. Trafford Publishing.
Canad.
Anthony F. Tardugno, Thomas R. DiPasquale and Robert E.
Matthews (2005). IT Services: Costs, Metrics Benchmarking, &
Marketing. Harris Kern's Enterprise Computing Institute Series.
Estados Unidos.
The Office of Goverment & Commerce - OGC (2007). ITIL 3
Lifecycle Core Library Service Strategy. The Stationery Office.
Reino Unido.
The Office of Goverment & Commerce - OGC (2007). The Official
Introduction to the ITIL Service Lifecycle. The Stationery Office.
Reino Unido.
Lifecycle Publication Suite: Core Publications Collection. The
Stationery Office. Reino Unido.
Lifecycle Core Library Service Operation. The Stationery Office.
Reino Unido.
236
Efraim Turban, James Wetherbe, Ephraim McLean, Dorothy

Leidner (2007). Information Technology for Management:
Transforming Organizations in the Digital Economy. Wiley, John
& Sons, Incorporated. Estados Unidos.
Jan Van Bon (2008). IT Service Management based on ITIL V3: A
Pocket Guide. Van Haren Publishing. Holanda.
Jan Van Bon (2007). Foundations of IT Service Management
Based on ITIL V3. Van Haren Publishing. Holanda.
Jan Van Bon (2007). IT Service Management: An Introduction
Based on ISO 20000 & ITIL v3. Van Haren Publishing. Holanda.
Gary S. Walker (2005). IT Problem Management. Harris Kern's
Enterprise Computing Institute Series. Estados Unidos.
Sitios Internet (Fuentes electrnicas):
ITIL Site oficial: http://www.itilofficialsite.com/home/home.asp
Site del Information Systems Audit and Control Association
(ISACA): http://www.isaca.org/
237
238

Tecnología de Información Gerencia de Servicios (Basado en ITIL)

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Tecnología de Información Gerencia de Servicios (Basado en ITIL)

Încărcat de

Drepturi de autor:

Formate disponibile

A mis hijos Miguel y Manuel

Gracias por su soporte e inspiracin

costumbre, es ms fcil decirlo que hacerlo; sin embargo, al igual que la

Qu es Gobernanza de TI? ........................................................... 3

2.5. Ambientes operacionales ..................................................... 73

4.3. Revisin continua............................................................... 132

Implantacin de las Disciplinas de Administracin de

Disciplinas de administracin de servicios de TI

Qu es Gobernanza de TI? .......................................................... 3

Disciplinas de administracin de servicios de TI

Disciplinas de administracin de servicios de TI

1.- Qu es Gobernanza de TI?

El diccionario de la real academia espaola define el trmino

Gobernanza corporativa es un conjunto de relaciones entre

Asegurar de que los objetivos se cumplen

Definir normas y formas de comportamiento

Disciplinas de administracin de servicios de TI

Establecer una cartera de proyectos

Responder a las exigencias tanto del gobierno, como de los

Responder a las exigencias de la sociedad y de los accionistas.

COBIT (Control Objectives for Information and related

2.- La administracin de servicios de TI

Disciplinas de administracin de servicios de TI

garantizando la integracin de stos a la cadena de valor de las unidades

Inicialmente fundada como una asociacin de auditores -EDP Auditors Association- en

COBIT establece un marco de trabajo que parte de una premisa muy

Disciplinas de administracin de servicios de TI

Modelos de madurez, para que la gerencia de una organizacin

Un sistema de herramientas para llevar COBIT a la prctica,

4.1.- Los procesos de ITIL

Disciplinas de administracin de servicios de TI

4.2.- ITIL versin 3

2. Funciones y procesos en la fase de diseo de servicios

Disciplinas de administracin de servicios de TI

5. Funciones y procesos en la fase de mejora continua de servicios

5.- Qu es ISO 20000?

El portal de la GSTI, ISO 20000 Central -puede ser visitado en la

ISO 20000 es certificable; ITIL no, son slo unas buenas

Disciplinas de administracin de servicios de TI

ITIL cubre la gestin financiera mientras que ISO 20000 cubre

W. A. Shewhart es conocido como el padre del control estadstico de calidad

W. Edward Deming, profesor de estadstica, fundador de la Calidad Total

Disciplinas de administracin de servicios de TI

Un marco de referencia para calificar y diagnosticar el progreso de

6.1.- Niveles en CMMI

Disciplinas de administracin de servicios de TI

No perder de vista los objetivos de negocio y

Disciplinas de administracin de servicios de TI

MOF es un modelo estructurado y flexible que est basado en lo

Los equipos de consultora y soporte tcnico de Microsoft y sus

8.- Principales disciplinas de administracin de TI

Todas las tareas de administracin de operaciones se deben describir

de soporte sigan los mismos mtodos, utilicen las herramientas

Disciplinas de administracin de servicios de TI

8.1.- Centro de atencin

Registrando y haciendo seguimiento de todas las llamadas

Aplicando soluciones temporales a los errores conocidos,

Tramitando los cambios solicitados por los usuarios,

8.2.- Manejo de incidentes

8.3.- Manejo de problemas

8.4.- Administracin de la configuracin

Manteniendo un control detallado de todos los componentes

8.5.- Administracin de versiones

8.6.- Administracin de cambios