Documentos de Académico
Documentos de Profesional
Documentos de Cultura
J. Lloréns Fábregas
i
ii
Prefacio
Informática no es un problema
técnico…. Es un problema de gerencia.
iii
costumbre, es más fácil decirlo que hacerlo; sin embargo, al igual que la
tecnología, las disciplinas de gerencia de los servicios de tecnología de
información han venido evolucionando y madurando significativamente y
su inserción metódica en cualquier organización de informática puede
significar una contribución importante para que pueda entregarse un
servicio de alta calidad, con un costo razonable.
En el presente libro nos proponemos discutir sobre ese conjunto de
disciplinas de administración de servicios de tecnología de información,
no sin antes enfatizar que estas no constituyen una panacea y que su
aplicación debe ser realizada desde una comprensión profunda de las
verdaderas necesidades de la empresa y de sus objetivos estratégicos y
desde un compromiso activo con el logro de dichos objetivos.
Como es costumbre, hemos tratado de producir un texto que pueda
acompañar a gerentes y administradores de TI en su empeño por ordenar
y disciplinar la gestión de servicios, para ello hemos puesto nuestros
mejores esfuerzos, esperamos no defraudarlos.
iv
Tecnología de Información
Administración de Servicios
Índice general
Capítulo I
Disciplinas de administración de servicios de TI
1. ¿Qué es Gobernanza de TI? ........................................................... 3
2. La administración de servicios de TI ............................................. 6
3. ¿Qué es COBIT?............................................................................ 7
4. ¿Qué es ITIL? ................................................................................ 9
5. ¿Qué es ISO 20000? .................................................................... 13
6. ¿Qué es CMM? ............................................................................ 16
7. ¿Qué es MOF? ............................................................................. 20
8. Principales disciplinas de administración de TI........................... 21
Capítulo II
Centro de atención
1. ¿Qué es un centro de atención a usuarios?................................... 31
1.1. Ventajas................................................................................ 32
1.2. Barreras ................................................................................ 32
2. Modalidades................................................................................. 32
3. Planificación ................................................................................ 33
4. Facilidades ................................................................................... 34
5. Estructura ..................................................................................... 35
6. Actividades .................................................................................. 36
6.1. Atención de llamadas ........................................................... 36
6.2. Cierre del reporte ................................................................. 37
6.3. Manejo desde inicio hasta cierre .......................................... 40
6.4. Centro de información ......................................................... 40
6.5. Actividades adicionales........................................................ 41
7. Evaluación de la disciplina .......................................................... 41
v
Capítulo III
Manejo de Incidentes
1. ¿En qué consiste el manejo de incidentes?................................... 45
1.1. Ventajas................................................................................ 47
1.2. Barreras ................................................................................ 47
2. Requerimientos ............................................................................ 48
3. Clasificación de los incidentes ..................................................... 48
4. Escalamiento y soporte ................................................................ 50
5. Actividades................................................................................... 50
5.1. Registro de incidentes .......................................................... 51
5.2. Clasificación de los incidentes ............................................. 47
5.3. Análisis, Resolución y Cierre de Incidentes......................... 52
6. Evaluación de la disciplina........................................................... 53
Capítulo IV
Manejo de problemas
1. ¿En qué consiste el manejo de problemas? ................................. 57
1.1. 1Ventajas.............................................................................. 58
1.2. Barreras ................................................................................ 59
2. Actividades................................................................................... 59
2.1. Control de problemas ........................................................... 60
2.2. Control de errores................................................................. 63
2.3. Revisión de post implementación y cierre ........................... 64
3. Evaluación de la disciplina........................................................... 64
4. Ejemplo ........................................................................................ 65
Capítulo V
Administración de Configuraciones
1. ¿En qué consiste la administración de configuraciones? ............. 69
1.1. Ventajas................................................................................ 70
1.2. Barreras ................................................................................ 70
2. Terminología................................................................................ 71
2.1. Ítems de configuración ......................................................... 71
2.2. Base de datos de configuraciones......................................... 72
2.3. Línea base de configuración................................................. 72
2.4. Sistema de administración de configuraciones. ................... 72
vi
2.5. Ambientes operacionales ..................................................... 73
3. Proceso......................................................................................... 75
3.1. Planificación ........................................................................ 76
3.2. Clasificación y Registro ....................................................... 77
3.3. Alcance ................................................................................ 77
3.4. Nivel de detalle y Profundidad............................................. 78
3.5. Nomenclatura....................................................................... 78
3.6. Control ................................................................................. 79
3.7. Auditorías............................................................................. 79
4. Evaluación de la disciplina .......................................................... 80
Capítulo VI
Administración de versiones
1. ¿En qué consiste la administración de versiones? ....................... 83
1.1. Ventajas................................................................................ 85
1.2. Barreras ................................................................................ 85
2. Consideraciones de tipo práctico ................................................. 86
2.1. Tipos de versiones................................................................ 86
2.2. Actualización y custodia de componentes ........................... 87
2.3. Versiones anteriores............................................................. 88
2.4. Nomenclatura de versiones .................................................. 88
2.5. Estatus de una versión.......................................................... 89
3. Actividades de administración de versiones ................................ 89
3.1. Planificación ........................................................................ 90
3.2. Verificación de cumplimiento de estándares ....................... 91
3.3. Verificación de cumplimiento de pruebas............................ 91
4. Implementación ........................................................................... 93
5. Soporte inicial .............................................................................. 94
6. Evaluación de la disciplina .......................................................... 94
Capítulo VII
Administración de cambios
1. ¿En qué consiste la administración de cambios? ......................... 97
1.1. Ventajas................................................................................ 98
1.2. Barreras ................................................................................ 98
2. Elementos .................................................................................... 99
3. Roles ............................................................................................ 99
vii
4. Actividades................................................................................. 100
4.1. Registrar ............................................................................. 101
4.2. Aceptación de la solicitud .................................................. 102
4.3. Clasificación....................................................................... 102
5. Aprobación y Planificación........................................................ 104
6. Implementación.......................................................................... 105
7. Evaluación.................................................................................. 106
8. Evaluación de la disciplina......................................................... 106
Capítulo VIII
Monitorización y control
1. ¿En qué consiste monitorización y control?............................... 111
1.1. Ventajas.............................................................................. 113
1.2. Barreras .............................................................................. 114
2. Ciclo de monitorización ............................................................. 114
3. Terminología.............................................................................. 115
4. Herramientas .............................................................................. 116
5. Niveles de monitorización.......................................................... 117
6. Formas de monitorización.......................................................... 118
7. Implementación de la disciplina................................................. 119
8. Evaluación de la disciplina......................................................... 119
Capítulo IX
Administración de niveles de servicio
1. ¿En qué consiste la administración de niveles de servicio? ....... 123
1.1. Ventajas.............................................................................. 124
1.2. Barreras .............................................................................. 125
2. Terminología.............................................................................. 125
2.1. Proveedores, clientes y usuarios......................................... 125
2.2. Catálogo de servicios ......................................................... 126
2.3. Acuerdo de nivel de servicio .............................................. 127
2.4. Acuerdo de nivel operacional ............................................ 127
2.5. Programa de calidad de servicio......................................... 127
3. Creación del catálogo de servicios ............................................. 128
4. Proceso ....................................................................................... 130
4.1. Preparación......................................................................... 130
4.2. Seguimiento........................................................................ 131
viii
4.3. Revisión continua............................................................... 132
5. Evaluación de la disciplina ........................................................ 132
Capítulo X
Administración Financiera de TI
1. ¿En qué consiste la administración financiera de TI?................ 137
1.1. Ventajas.............................................................................. 138
1.2. Barreras .............................................................................. 138
2. Terminología.............................................................................. 138
2.1. Costos y gastos................................................................... 139
2.2. Depreciación y amortización ............................................. 141
3. Planificación .............................................................................. 142
3.1. Catálogo de servicios ......................................................... 143
3.2. Costeo de servicios ............................................................ 144
3.3. Proyectos............................................................................ 145
3.4. Costeo de proyectos ........................................................... 145
4. Elaboración del presupuesto ...................................................... 146
5. Contabilidad............................................................................... 147
6. Actividades de la administración financiera de TI .................... 148
7. Evaluación de la disciplina ........................................................ 150
Capítulo XI
Administración de la capacidad
1. ¿Qué es administración de la capacidad?................................... 155
1.1. Ventajas.............................................................................. 157
1.2. Barreras .............................................................................. 157
2. Actividades ................................................................................ 158
2.1. Plan de Capacidad.............................................................. 159
2.2. Estimación.......................................................................... 160
2.3. Asignación de recursos ...................................................... 160
2.4. Monitorización................................................................... 161
3. Administración de la demanda .................................................. 161
4. Evaluación de la disciplina ........................................................ 162
ix
Capítulo XII
Continuidad de los servicios de TI
1. ¿Qué es administración de la continuidad? ................................ 167
1.1. Ventajas.............................................................................. 169
1.2. Barreras .............................................................................. 169
2. El plan de continuidad del negocio - (BCP)............................... 170
3. Terminología.............................................................................. 172
4. Preparación................................................................................. 173
4.1. Evaluación de riesgos......................................................... 173
4.2. Identificar procesos críticos ............................................... 173
4.3. Selección de estrategias de recuperación ........................... 174
5. Alcance de la continuidad de servicios ...................................... 175
6. Organización y planificación ..................................................... 177
6.1. Plan de mitigación de riesgos............................................. 177
6.2. Plan de manejo de emergencias ......................................... 177
6.3. Plan de recuperación .......................................................... 178
7. Continuidad de servicios en el día a día..................................... 178
7.1. Adiestramiento ................................................................... 179
7.2. Actualización...................................................................... 179
8. Evaluación de la disciplina......................................................... 180
Capítulo XIII
Administración de la disponibilidad
1. ¿Qué es administración de la disponibilidad? ............................ 183
1.1. Cálculo de la disponibilidad ............................................... 185
1.2. Ventajas.............................................................................. 185
1.3. Barreras .............................................................................. 186
2. Requerimientos de disponibilidad.............................................. 186
3. Plan de disponibilidad ................................................................ 187
4. Monitorización de la disponibilidad........................................... 187
5. Mediciones ................................................................................. 189
6. Evaluación de la disciplina......................................................... 189
x
Capítulo XIV
Seguridad de la información
1. ¿En qué consiste la administración de seguridad? ..................... 193
1.1. Ventajas.............................................................................. 194
1.2. Barreras .............................................................................. 195
2. La seguridad en el nivel de la empresa ...................................... 195
3. Actividades ................................................................................ 197
4. Políticas de seguridad ............................................................... 198
5. El plan de seguridad................................................................... 198
6. Cumplimiento de la normativa de seguridad ............................. 199
7. Evaluación y mantenimiento ..................................................... 200
8. Evaluación de la disciplina ........................................................ 201
Capítulo XV
Medición
1. ¿En qué consiste la medición de los servicios de TI? ................ 205
1.1. ¿Por qué medir? ................................................................. 206
1.2. ¿Qué debemos medir?........................................................ 206
1.3. ¿Quiénes participan en la medición? ................................. 207
1.4. Criterios para definir indicadores....................................... 207
1.5. Interpretación de indicadores ............................................. 208
2. Uso de los indicadores ............................................................... 208
3. Algunos indicadores o mediciones ............................................ 209
xi
xii
Capítulo I
Disc iplina s de
Adm inist ra c ión de
Se rvic ios de T I
Capítulo I
2
Disciplinas de administración de servicios de TI
3
Capítulo I
4
Disciplinas de administración de servicios de TI
5
Capítulo I
6
Disciplinas de administración de servicios de TI
1
Inicialmente fundada como una asociación de auditores -EDP Auditors Association- en
1967, hoy día ISACA tiene más de 65 mil miembros en unos 140 países, incluyendo una
variedad de profesionales relacionados con TI, como auditores de sistemas, consultores,
profesionales de seguridad de TI, reguladores, gerentes de TI, etc. Actualmente existen
alrededor de 170 capítulos de ISACA alrededor del mundo.
2
El ITGI, instituto afiliado a ISACA, fue creado en los Estados Unidos, el año 1998,
reconociendo la importancia que, para las empresas, tiene la función de TI.
7
Capítulo I
8
Disciplinas de administración de servicios de TI
9
Capítulo I
10
Disciplinas de administración de servicios de TI
11
Capítulo I
12
Disciplinas de administración de servicios de TI
13
Capítulo I
14
Disciplinas de administración de servicios de TI
3
W. A. Shewhart es conocido como el padre del control estadístico de calidad
4
W. Edward Deming, profesor de estadística, fundador de la Calidad Total
15
Capítulo I
16
Disciplinas de administración de servicios de TI
Administración de la configuración
3. Definido:
En esta etapa las organizaciones han definido y documentado los
estándares y procedimientos de desarrollo y mantenimiento y,
adicionalmente, todos los proyectos siguen un proceso estándar
para desarrollar y mantener software.
En esta etapa se añaden diferentes disciplinas como:
Desarrollo de requerimientos
Integración de productos
Verificación
Validación
Administración integrada de proyectos
Administración de riesgos
Administración integrada de proveedores
4. Cuantitativamente Gestionado:
En esta etapa, adicionalmente a las definiciones realizadas en la
etapa anterior, los productos y las actividades se miden y evalúan
cuantitativamente. Se mide la calidad y la efectividad del
proceso, a través de criterios cuantitativos, y se verifica el
cumplimiento de los objetivos de negocio
En esta etapa se añaden diferentes disciplinas como:
Medición del desempeño de los procesos en la
organización
Administración cuantitativa de proyectos
5. En Optimización:
Esta etapa se caracteriza por la mejoría cuantificable y continua
de las prácticas de desarrollo y mantenimiento, mediante la
retroalimentación de las mediciones y la realización de proyectos
piloto destinados a evaluar nuevas ideas y tecnologías.
En esta etapa se añaden diferentes disciplinas como:
Innovación y despliegue organizativo
Análisis causal
Las claves para implementar exitosamente CMMI son:
Involucrar a los ejecutivos de la empresa
19
Capítulo I
Educación y formación
Sesiones de formación, tanto formales como
informales
Considerar las nuevas capacidades y los
conocimientos que serán requeridos.
Comunicación interna y externa
Buscar el apoyo de consultores y otros grupos de la
organización
Cumplir un plan de comunicación
7.- ¿Qué es MOF?
El marco de operaciones de Microsoft (Microsoft Operations
Framework - MOF) es un conjunto de prácticas recomendadas por
Microsoft, a partir de las cuales se pueden diseñar los procedimientos,
controles y funciones necesarios para que la infraestructura de TI pueda
ser administrada con eficacia.
MOF está basado en la Biblioteca de infraestructuras de TI (ITIL) y
está orientada a la plataforma de Microsoft.
MOF ofrece directrices sobre la forma de planificar, implementar y
mantener los procesos operativos de TI que respaldan las soluciones de
servicio críticas. MOF es un modelo genérico y, por este motivo, debe
adaptar muchas de las recomendaciones para usarlas en una empresa en
particular.
20
Disciplinas de administración de servicios de TI
21
Capítulo I
22
Disciplinas de administración de servicios de TI
• OpTier's CoreFirst
8.1.- Centro de atención
El centro de atención a los usuarios constituye el centro de las
comunicaciones de los usuarios con la función de TI, por lo que es el
punto más crítico en la construcción de una buena relación con el cliente.
El objetivo principal de un centro de atención es servir como punto de
contacto entre los usuarios y la gerencia de servicios TI. En su
concepción más moderna, también debe funcionar como punto de enlace
de todos los procesos destinados a dar soporte al usuario:
• Registrando y haciendo seguimiento de todas las llamadas
recibidas de los usuarios.
• Aplicando soluciones temporales a los errores conocidos,
integrándose, de esta forma, con la disciplina de manejo de
incidentes.
• Tramitando los cambios solicitados por los usuarios,
mediante peticiones de servicio, integrándose, de esta forma,
con las disciplinas de administración de cambios y de
versiones.
8.2.- Manejo de incidentes
Es la disciplina orientada a la restauración rápida del servicio,
clasificando los incidentes y haciendo seguimiento de la solución de los
incidentes. El manejo de incidentes guarda una estrecha relación con la
disciplina de manejo de problemas, pero a diferencia de ésta, no se ocupa
de analizar e identificar las causas que puedan haber causado un
determinado incidente, sino que, como ya apuntáramos, centra su
atención exclusivamente en restaurar el servicio.
Establece la forma de:
• Identificar
• Analizar
• Corregir
• Hacer seguimiento
• Recuperar la operación normal
23
Capítulo I
24
Disciplinas de administración de servicios de TI
25
Capítulo I
26
Disciplinas de administración de servicios de TI
27
Capítulo I
28
Capítulo II
Ce nt ro de At e nc ión
Capítulo II
Centro de atención
Tabla de contenido
30
Centro de atención
Centro de atención
31
Capítulo II
32
Centro de atención
33
Capítulo II
34
Centro de atención
36
Centro de atención
37
Capítulo II
38
Centro de atención
39
Capítulo II
40
Centro de atención
41
Capítulo II
42
Capítulo III
Manejo de Incidentes
Capítulo III
Manejo de Incidentes
Tabla de contenido
44
Manejo de Incidentes
Manejo de Incidentes
45
Capítulo III
46
Manejo de Incidentes
47
Capítulo III
49
Capítulo III
50
Manejo de Incidentes
51
Capítulo III
52
Manejo de Incidentes
Existen casos en que para aplicar las medidas que permitan reanudar
el servicio será necesario producir una solicitud de cambio, que
normalmente corresponderá a un cambio urgente.
Cuando se haya solucionado un incidente se deberá:
• Cotejar con los usuarios que la solución ha sido satisfactoria.
• Incorporar las lecciones aprendidas en la base de conocimientos.
• Cerrar el incidente -colocarlo en estatus cerrado-.
6.- Evaluación de la disciplina
Para evaluar el desempeño de la disciplina de manejo de incidentes,
será importante generar periódicamente diferentes reportes y generar
información para otras disciplinas como:
• Administración de Niveles de Servicio
Será fundamental que usuarios y los clientes dispongan de
información puntual sobre el cumplimiento de los niveles
servicio acordados y de las medidas correctivas que deberán
tomarse, en caso de incumplimiento.
• Seguimiento del desempeño del centro de servicio
Para conocer el grado de satisfacción de los usuarios y
clientes por el servicio prestado y supervisar el correcto
funcionamiento de la primera línea de soporte.
• Optimización de la asignación de recursos
Todos los administradores de servicios deben saber si los
procedimientos para escalar incidentes se han cumplido
adecuadamente y si se han evitado duplicidades en el proceso
de atención de incidentes.
• Identificación de deficiencias en los procedimientos
Sobre todo en sus etapas iniciales, los procedimientos
podrían tener deficiencias que no les permitan adecuarse a la
estructura de la organización o las necesidades de los
usuarios o clientes, por lo que se deban tomar medidas
corregirlos.
• Acumulación de Información Estadística
La información que se acumula en el proceso de manejo de
incidentes puede ser utilizada para que la gerencia de
53
Capítulo III
54
Capítulo IV
M a ne jo de
Proble m a s
Capítulo IV
Manejo de problemas
Tabla de contenido
56
Manejo de problemas
Manejo de problemas
• Error conocido:
Un problema pasa a ser un error conocido cuando se han
determinado sus causas.
1.1.- Ventajas
Los principales beneficios de un adecuado manejo de problemas son:
• Cumplimiento de los niveles de servicio acordados con los
usuarios.
• Optimización de los recursos disponibles.
• Mayor satisfacción general de usuarios y clientes.
Recíprocamente, la carencia de un adecuado manejo de problemas
puede significar:
• Un deterioro de los niveles de servicio.
• Utilización ineficiente de los recursos.
• Repetición continua de fallas similares
• Proliferación de clientes y usuarios insatisfechos por la
repetición de fallas similares.
58
Manejo de problemas
1.2.- Barreras
Entre las principales barreras con que tropieza la implantación de una
disciplina manejo de problemas pueden citarse las siguientes:
• No se siguen los procedimientos previstos.
• Se posterga la adopción de soluciones.
• Se resuelven los problemas sin registrarlos adecuadamente.
• Personal técnico insuficiente.
2.- Actividades
59
Capítulo IV
4. Detección de problemas
Opcionalmente, si la estructura de la organización lo ha
establecido, en esta actividad se desarrolla un manejo de
problemas proactivo, en conjunción con la disciplina de
monitorización y control, que permita a detectar problemas
antes de que estos se manifiesten y puedan causar un
deterioro en la calidad del servicio.
60
Manejo de problemas
61
Capítulo IV
62
Manejo de problemas
63
Capítulo IV
64
Manejo de problemas
65
Capítulo IV
66
Capítulo V
Administración de Configuraciones
Tabla de contenido
68
Administración de configuraciones
Administración de configuraciones
69
Capítulo V
70
Administración de configuraciones
71
Capítulo V
72
Administración de configuraciones
73
Capítulo V
74
Administración de configuraciones
• Ambiente de adiestramiento.
En algunas empresas se utiliza un ambiente de
adiestramiento, este ambiente está conformado con todos los
recursos y componentes destinados necesarios para que los
usuarios de un nuevo sistema puedan aprender a utilizar sus
funciones en forma muy similar a como lo harán cuando el
sistema pase a producción.
Normalmente se utiliza para adiestrar a los usuarios para un
nuevo sistema de largo alcance. Es un ambiente con una
estructura muy similar a la del ambiente de producción, pero
en el que también se manejan datos ficticios –datos de
prueba-.
El acceso a este ambiente tiene más restricciones que el
ambiente de desarrollo, pero menos que el ambiente de
producción. Solamente lo utilizan usuarios y personal de
desarrollo, debidamente autorizados para cumplir los
procesos de adiestramiento específicamente planificados.
La separación de ambientes es un elemento fundamental de control
interno, pues permite establecer controles estrictos sobre el uso de los
componentes destinados a producción y el acceso a la información del
negocio. En algunas empresas, en las que no se dispone de suficientes
recursos, será imprescindible que, como mínimo, se establezca una
separación estricta entre el ambiente de producción y todas las
actividades de desarrollo y prueba.
Es importante observar que los procesos de migración de
componentes desde el ambiente de prueba al ambiente de producción, una
vez que han pasado satisfactoriamente los procesos de prueba, se realizan
bajo la supervisión de las disciplinas de administración de versiones y de
cambios.
3.- Proceso
Las principales actividades que se cumplen dentro del proceso de
administración de configuraciones son:
1. Planificación:
Determinar los objetivos y estrategias de la administración de
configuraciones.
75
Capítulo V
2. Clasificación y registro:
Los ítems de configuración (CI´s) deben registrarse de acuerdo a su
línea base y nomenclatura que se hayan predefinido.
3. Seguimiento y control:
Es necesario asegurar que la base de datos de la administración de
configuración (CMDB) esté correctamente actualizada, por lo que es
fundamental hacer un seguimiento que permita asegurar que cada una
de las disciplinas relacionadas –administración de cambios y de
versiones- registren y actualicen correcta y oportunamente la
información de su competencia.
4. Realización de auditorías:
Como es práctica normal en cualquier proceso de inventario, la
administración de la configuración incluye la realización de
auditorías que permitan cotejar la información registrada en la base
de datos contra la configuración física real de la infraestructura TI de
la organización.
5. Elaboración de informes:
La Administración de configuraciones tiene como función primordial
aportar información a otras disciplinas y para las diferentes áreas de
la infraestructura de TI.
3.1.- Planificación
Sin una base de datos de configuraciones es muy difícil que puedan
administrarse satisfactoriamente los servicios de TI, por la sencilla razón
de que no existiría un conocimiento detallado de lo que se está
administrando. Por esta razón, puede decirse que la disciplina de
administración de configuraciones es el corazón de la administración de
servicios de TI.
Las principales tareas que se cumplen dentro de la actividad de
planificación son las siguientes:
• Designar una persona responsable: una descentralización
excesiva o dispersión de esta responsabilidad entre las
diferentes unidades técnicas, puede generar descoordinación,
con el riesgo de que la actualización de la base de datos se
actualice en forma desigual.
• Invertir en alguna herramienta de software adecuada a las
actividades requeridas, pues no es posible cumplir con esta
disciplina con métodos manuales.
76
Administración de configuraciones
• Establecer claramente:
El alcance y objetivos.
El nivel de detalle.
El proceso de implementación en orden de importancia o
de acuerdo con los lineamientos dictados por la gerencia
de TI.
• Coordinar el proceso estrechamente con la administración de
cambios, y la administración de versiones.
Una planificación adecuada permitirá que la administración de
configuraciones se desarrolle sin dificultades y permitirá desarrollar una
base de datos robusta para apoyar el resto de los procesos.
3.2.- Clasificación y Registro
Es claro que la principal tarea de la administración de configuraciones
es mantener la base de datos de configuraciones, por ello es importante
un trabajo de diseño que establezca criterios de clasificación y registro de
los componentes, para llevar a cabo esta labor con éxito será importante
que:
• Los objetivos sean realistas: una excesiva profundidad o
detalle puede sobrecargar de trabajo a la organización y
causar, a la larga, que se abandonen estas responsabilidades.
• La información sea suficiente: debe existir, por lo menos un
registro de todos los sistemas y componentes críticos de la
infraestructura TI.
3.3.- Alcance
Al poner en marcha la disciplina de administración de configuraciones
será importante establecer prioridades, determinando qué sistemas y
componentes TI van a ser incluidos gradualmente en la base de datos de
componentes. Debe tomarse en cuenta que al establecer el alcance:
• Será esencial incluir todos los sistemas de hardware y
software relacionados con los servicios críticos.
• Será recomendable incorporar la documentación asociada a
niveles de servicio y licencias.
En general cualquier servicio o proceso debe ser incluido en la base de
datos, pero debe hacerse en forma gradual; si se fijan unos objetivos
demasiado ambiciosos podrían llevar a la frustración y al fracaso.
77
Capítulo V
78
Administración de configuraciones
3.6.- Control
La administración de configuraciones debe estar puntualmente
informada de todos los cambios y adquisiciones de componentes para
mantener actualizada la base de datos.
El registro de todos los componentes de hardware debe iniciarse desde
la aprobación de su compra y debe mantenerse actualizado su estado en
todo momento de su ciclo de vida. Asimismo, debe estar correctamente
registrado todo el software "en producción".
Las tareas de control deben centrarse en:
• Asegurar que todos los componentes están registrados en la
base de datos.
• Monitorizar el estado de todos los componentes.
• Actualizar las interrelaciones entre los ítems de
configuración.
• Informar sobre el estado de las licencias.
3.7.- Auditorías
El objetivo de las auditorías es asegurar que la información registrada
en la base de datos de configuraciones coincide con la estructura real de
la infraestructura de TI. Normalmente, las auditorías deberán realizarse
en forma rotativa, pues resultará demasiado engorroso auditar toda la
infraestructura de una sola vez. Adicionalmente, el proceso de auditorías
debe mantenerse con cierta constancia, a los fines de cubrir toda la
infraestructura en un período razonable –un semestre o un año-.
Dentro de lo posible, deberá dotarse el proceso de auditoría de
herramientas automatizadas, como lectores de código de barras y
programas que comparen la base de datos con los datos obtenidos en las
revisiones físicas, con el fin de determinar faltantes, sobrantes e
inexactitudes.
También será importante que se realicen auditorías después de haberse
procesado algún cambio significativo –reemplazo de aplicaciones o de
equipos- y si existe la sospecha de que alguna parte de la información
almacenada en la base de datos está o incompleta o es incorrecta.
Las auditorías deben dedicar especial atención a aspectos tales como:
• Uso adecuado de la nomenclatura en los registros de los
ítems.
79
Capítulo V
80
Capítulo VI
Administración de versiones
Tabla de contenido
82
Administración de versiones
Administración de versiones
83
Capítulo VI
84
Administración de versiones
85
Capítulo VI
86
Administración de versiones
87
Capítulo VI
88
Administración de versiones
89
Capítulo VI
90
Administración de versiones
91
Capítulo VI
92
Administración de versiones
4.- Implementación
Una vez que se ha establecido la coordinación con el proceso de
administración de cambios, se procede con la implantación en
producción. Este proceso puede ser:
• Completa
• Parcial
A su vez, una vez cumplidos los procesos de implantación, la
administración de versiones debe asegurarse de que:
• Se incluyan los programas fuente, la documentación y las copias
de los programas ejecutables, en las bibliotecas correspondientes-
• La base de datos de configuración quede correctamente
actualizada.
• Se informe debidamente a la unidad de atención a los usuarios.
4.1.1.- Implementación completa
Cuando se realiza instala una implantación completa, se instalan todos
los ítems que componen la versión simultáneamente para todos los
usuarios, en todas las localidades.
Normalmente, para este tipo de implementaciones se establece un
período de prueba final, denominado de aceptación funcional. Este
período de prueba lo cumplen los usuarios, con el personal de soporte y el
personal de operaciones, para evaluar que el sistema se desempeña
adecuadamente trabajando bajo condiciones reales.
Algunas veces estas pruebas pueden incluir el cumplimiento de
paralelos. Probar un sistema nuevo en paralelo con el sistema vigente,
implica la instalación total del sistema en el ambiente de producción, su
ejecución con datos reales y la comparación de sus resultados con los que
produce el sistema vigente.
Una vez que estos procesos de aceptación se cumplen, el nuevo
sistema pasa a ser el sistema oficial y se desinstalan todos los
componentes que correspondan al sistema que se reemplaza.
4.1.2.- Implementación parcial
Muchas veces se realiza lo que se denomina instalación piloto, para
asegurar que el sistema se comporta adecuadamente en el ambiente de
producción. También, si los usuarios se encuentran dispersos en
localidades muy distantes y existen diferencias importantes de horario, se
prefiere ir cubriendo grupos de usuarios separadamente. En estos casos,
93
Capítulo VI
94
Capítulo VII
Administración de cambios
Tabla de contenido
96
Administración de cambios
Administración de cambios
97
Capítulo VII
98
Administración de cambios
101
Capítulo VII
102
Administración de cambios
104
Administración de cambios
105
Capítulo VII
106
Administración de cambios
107
Capítulo VII
108
Capítulo VIII
Monitorización y control
Tabla de contenido
110
Monitorización y control
Monitorización y control
111
Capítulo VIII
112
Monitorización y control
113
Capítulo VIII
114
Monitorización y control
115
Capítulo VIII
116
Monitorización y control
5- Presentación gráfica
Deben tener capacidad para mostrar en forma simple,
preferiblemente en forma gráfica, cualquier anomalía detectada en
cualquiera de los componentes monitorizados.
6- Autodescubrimiento
Deben tener, en lo posible, la capacidad de identificar los cambios
que se hagan en la infraestructura.
7- De bajo impacto.
Deben tener agentes de supervisión livianos, que causen un mínimo
impacto en el desempeño de la infraestructura que se supervisa.
8- Escalabilidad
Deben tener la capacidad de crecer, a medida que crece la cantidad
de objetos manejados y el número de acontecimientos simultáneos
que debe procesar en un momento dado.
9- Interoperabilidad.
Deben satisfacer los requerimientos de interoperabilidad,
integrándose con otras herramientas de administración de servicios
10- Base de datos.
Deben almacenar los datos del funcionamiento de la
infraestructura, para ser utilizados por otras disciplinas de
administración de servicios.
11- Base de conocimiento.
Deben ofrecer facilidades para almacenar los conocimientos que se
vayan derivando de las experiencias, para uso de los técnicos de
monitorización.
12- Seguridad.
Deben cumplir con requerimientos de seguridad, tal como niveles
de acceso y autorizaciones basadas en roles.
5.- Niveles de monitorización
Podemos distinguir dos niveles de monitorización:
1- El nivel interno
El nivel interno de monitorización centra su atención en los
componentes de la infraestructura, evaluando su correcto
funcionamiento.
117
Capítulo VIII
2- El nivel externo
El nivel externo de monitorización centra su atención en los
servicios -como correo, impresión, base de datos, etc.-
independientemente de la multiplicidad de los componentes que
intervienen en su producción.
Un buen servicio de monitorización debe combinar ambos niveles,
con el fin de poder establecer tanto la calidad de los servicios, como la
adecuación de la infraestructura y sus componentes.
6.- Formas de monitorización
Existen varias formas de monitorizar una infraestructura de TI:
1- Activa o pasiva
La monitorización activa consiste en la interrogación que se hace
sobre un dispositivo o un sistema.
La monitorización pasiva es la que se hace utilizando un agente que
envía señales o mensajes que permiten identificar diferentes
situaciones en un dispositivo o sección de la infraestructura.
2- Reactiva o preventiva
En una monitorización reactiva, se diseña una o más acciones que
deberán ser tomadas en caso de que se determine cierta condición.
La monitorización preventiva consiste en analizar un conjunto de
patrones de comportamiento que permiten predecir un problema.
Este tipo de monitorización es más común en organizaciones
maduras, en las que la disciplina de monitorización ha logrado
acumular experiencias significativas.
3- De medición continua o por excepción
La medición continua corresponde a una medición en tiempo real
para asegurar que el componente o el sistema que se monitorea
están funcionando dentro de los estándares preestablecidos.
La monitorización por excepción no realiza una medición, sino que
descubre y reporta alguna excepción, como puede ser la
terminación anormal de algún programa.
4- Desempeño o resultado
La monitorización de desempeño se centra en el funcionamiento de
los componentes, mientras que la monitorización a los resultados se
centra en la calidad del output producido. Cabe señalar que en ITIL
se presta mayor atención a los procesos.
118
Monitorización y control
119
Capítulo VIII
2- Métricas
Una métrica es el conjunto de procedimientos que se cumplen para
evaluar cuantitativamente con cierta periodicidad un proceso o un
sistema, junto con los procedimientos para interpretar los
resultados. Es decir, en una métrica se establece lo que se va a
medir, la forma como se va a medir y la forma como se van a
interpretar los resultados.
3- Indicadores clave
Un indicador clave corresponde a un nivel de desempeño o
medición, establecido y acordado previamente, para calificar la
efectividad de una organización o de un servicio.
120
Capítulo IX
122
Administración de niveles de servicio
123
Capítulo IX
124
Administración de niveles de servicio
125
Capítulo IX
127
Capítulo IX
128
Administración de niveles de servicio
129
Capítulo IX
4.1.- Preparación
Las actividades de preparación de la administración de niveles de
servicio requieren la participación y el compromiso de toda la
organización TI, así como también la colaboración activa de los usuarios
de los servicios TI.
El proceso de preparación incluye todas las tareas para desarrollar:
• Catálogo de servicios
• Requerimientos de nivel de servicios
• Acuerdos de niveles de servicios
130
Administración de niveles de servicio
131
Capítulo IX
133
Capítulo IX
134
Capítulo X
Administración Financiera de TI
Tabla de contenido
136
Administración financiera de TI
Administración Financiera de TI
137
Capítulo X
138
Administración financiera de TI
• Servicios de comunicación
• Gastos de personal
• Viáticos
• Servicios profesionales
• Servicios de outsourcing
• Alquiler de oficinas y locales
• Depreciación de mobiliario y equipos de oficina
• Repuestos
• Servicios de capacitación y adiestramiento
• Libros, revistas y suscripciones
Desde el punto de vista de los servicios de TI, estos costos pueden ser
de varias categorías:
• Costos directos:
Son los costos que se pueden relacionar específica y
exclusivamente con un producto o servicio, como por ejemplo,
cuando intentamos determinar el costo del servicio de internet, el
costo de los servidores que están dedicados únicamente a
soportar este servicio, constituyen un costo directo. Esto es hay
una relación clara entre el rubro de costo y el servicio.
• Costos indirectos:
Son aquellos rubros que no son específicos o exclusivos de un
servicio, como por ejemplo, cuando queremos calcular el costo
de los servicios de una aplicación, podemos observar que esa
aplicación comparte los servicios del servidor de bases de datos,
del servidor de aplicaciones y los servicios de conexión a la red.
Se hace, en estos casos, necesario establecer la “proporción” que
de cada uno de esos servicios utiliza la aplicación.
La determinación de estos costos es un poco más difícil, por lo
general, se prorratean entre los diferentes servicios y productos
que los utilizan. La dificultad estriba en que no siempre es clara
la forma como se debe determinar la proporción de uso.
Desde el punto de vista de su asociación con el funcionamiento de los
servicios de TI, estos costos pueden ser de varias categorías:
140
Administración financiera de TI
• Costos de operación
En la lista de rubros de costo que mostramos, podemos observar
que hay costos o gastos que están asociados al funcionamiento
diario, como son los servicios de mantenimiento; estos costos se
denominan costos de operación.
• Costos de capital
Existen otros rubros de costo, como es la depreciación de los
equipos o de las inversiones hechas para acondicionar los locales
para los equipos, que se denominan costos de capital.
2.2.- Depreciación y amortización
En contabilidad, el término depreciación es una rebaja o deducción
que se le hace anualmente al valor de una propiedad, mueble o equipo, en
razón de su desgaste.
Por ejemplo, sabemos que un servidor puede tener una vida útil de
unos cinco años y que después de ese período deberá ser reemplazado por
un nuevo servidor con tecnología actualizada. Así pues, si para adquirir el
servidor la empresa tuvo que desembolsar diez mil dólares -USA $
10.000- podemos decir que cada año el servidor debe depreciarse en
2.000 dólares -10.000 entre 5 años-. Esto es, anualmente debe imputarse a
los servicios que utilizan este servidor un monto de USA dólares 2.000.
La depreciación en contabilidad permite determinar el valor real de las
inversiones que hace una empresa, estableciendo la disminución que
periódicamente sufre su potencial de servicio.
Simultáneamente, la depreciación permite establecer el costo real que
corresponde a los servicios de cada período. Para los contadores, la
depreciación es la forma de asignar o atribuir el costo de las inversiones a
los diferentes ejercicios en los que se hace uso o se disfruta de los activos
adquiridos con esas inversiones.
Los activos se deprecian basándose en diferentes criterios
económicos: considerando el período de tiempo en el que serán utilizados
para la actividad productiva –vida útil-, o considerando su utilización
efectiva en dicha actividad –por ejemplo, por cada unidad producida-.
La depreciación es, pues, una deducción anual que se hace al valor
contable de las propiedades y los equipos, proporcional a su valor
original. Al final de su vida útil, el valor contable de esas propiedades o
equipos será cero.
141
Capítulo X
143
Capítulo X
144
Administración financiera de TI
145
Capítulo X
146
Administración financiera de TI
147
Capítulo X
148
Administración financiera de TI
149
Capítulo X
150
Administración financiera de TI
151
Capítulo X
152
Capítulo XI
Administración de la capacidad
Tabla de contenido
154
Administración de la capacidad
Administración de la capacidad
155
Capítulo XI
156
Administración de la capacidad
157
Capítulo XI
158
Administración de la capacidad
159
Capítulo XI
2.2.- Estimación
En la medida que las instalaciones se hacen más complejas, resulta
mucho más complicado administrar las capacidades y escoger los
caminos para el crecimiento de la infraestructura de TI. Es necesario
evaluar alternativas y los costos asociados a cada alternativa, para lo cual
pueden seguirse varios métodos:
• Analizar tendencias para evaluar los volúmenes de trabajo que se
esperan y poder estimar los aumentos de capacidad necesarios.
• Modelar y simular diferentes escenarios, con el fin de “observar”
el impacto de los volúmenes previstos y poder tomar las
previsiones para el crecimiento de la infraestructura informática.
• Realizar benchmarks con configuraciones reales, con el fin de
asegurar que las nuevas capacidades que se adquieran
responderán adecuadamente a las necesidades futuras.
Normalmente, los benchmarks se llevan a cabo con facilidades
que ofrecen los proveedores.
2.3.- Asignación de recursos
Una de las actividades esenciales de la administración de la capacidad
es la asignación de recursos de hardware, software y personal a cada uno
de los servicios y sistemas. Ello requiere que se cuente con información
confiable sobre:
• Los niveles de servicio acordados y previstos
• Impacto del servicio o del sistema en los procesos de negocio del
cliente
• Impacto del servicio o del sistema en la capacidad instalada
• Márgenes disponibilidad
• Costo los equipos de hardware y otros recursos TI necesarios para
operar los nuevos servicios o sistemas
Es frecuente que no se tomen en cuenta todos los aspectos relativos a
la evaluación de magnitudes de un nuevo servicio o sistema, por lo que se
puede subestimar el impacto o, por el contrario, sobreestimar el poder de
cómputo de la infraestructura actual, creando situaciones de inestabilidad,
al pretender lograr desempeños que sobrepasen la capacidad real.
160
Administración de la capacidad
2.4.- Monitorización
La administración de la capacidad es un proceso continuo e iterativo
que monitoriza, analiza y evalúa el desempeño y la capacidad de la
infraestructura de TI; con esos datos analiza las posibilidades de mejorar
la calidad de los servicios, bien sea por la vía de la optimización del
manejo de los recursos o de la ampliación de la base instalada. Siempre,
manteniendo en perspectiva que el objetivo central es asegurar que el
desempeño de la infraestructura informática cumpla con los niveles de
servicio acordados.
161
Capítulo XI
162
Administración de la capacidad
163
Capítulo XI
164
Capítulo XII
166
Continuidad de los servicios de TI
167
Capítulo XII
168
Continuidad de los servicios de TI
169
Capítulo XII
170
Continuidad de los servicios de TI
171
Capítulo XII
172
Continuidad de los servicios de TI
4.- Preparación
La preparación de la disciplina de administración de la continuidad de
operaciones requiere el cumplimiento de varias actividades bastante
complejas y laboriosas, como son:
• Revisar los procesos del negocio y evaluar los riesgos
• Identificar procesos críticos y analizar el impacto que sufrirán
esos procesos si faltan los servicios de TI
• Seleccionar las estrategias de recuperación
4.1.- Evaluación de riesgos
Las actividades de evaluación de riesgos en los diferentes procesos del
negocio determinan las amenazas de un desastre, pormenorizan las
vulnerabilidades existentes, permiten visualizar los posibles impactos de
los diferentes eventos de desastre e identifican los controles necesarios
para prevenir o mitigar los riesgos de cada evento.
Al realizar una evaluación de riesgos se desarrolla un informe de
riesgos y controles que establece recomendaciones y plan de acciones
para controlar y mitigar los riesgos que pudiesen alterar el normal
desempeño del negocio
Para la elaboración de este informe es necesario:
• Revisar los procesos del negocio y sus dependencias de los
servicios de TI
• Identificar los puntos más vulnerables
• Analizar las posibles amenazas sobre estos procesos y estimar su
probabilidad
Gracias a los resultados de este análisis detallado, se dispondrá de
información suficiente para proponer diferentes medidas de prevención y
recuperación que se adapten a las necesidades reales del negocio.
La prevención frente a riesgos genéricos y poco probables puede ser
muy costosa y difícil de justificar, sin embargo, las medidas preventivas o
de recuperación frente a riesgos específicos pueden resultar sencillas, de
rápida implementación y relativamente económicas.
4.2.- Identificar procesos críticos
Al identificar los procesos críticos, que contribuyen más a la misión
de la empresa –mission critical-, se analiza en detalle el impacto que
podría tener cualquier evento que impidiera su correcto funcionamiento y
las pérdidas potenciales que podría acarrear esa interrupción.
173
Capítulo XII
175
Capítulo XII
176
Continuidad de los servicios de TI
177
Capítulo XII
179
Capítulo XII
180
Capítulo XIII
Administración de la disponibilidad
Tabla de contenido
182
Administración de la disponibilidad
Administración de la disponibilidad
183
Capítulo XIII
184
Administración de la disponibilidad
En donde:
TAS es el tiempo acordado de servicio, esto es, el tiempo que el
servicio debe estar disponible y TTI es el tiempo total de interrupción del
servicio durante los períodos en que debió estar disponible.
Supongamos que un servicio requiere una disponibilidad de 24 horas
diarias durante los 7 días de la semana, esto es debe estar disponible 720
horas mensuales (TAS). Si este servicio se ha interrumpido, por las
razones que sean, por un total de 10 horas (TTI), entonces la
disponibilidad real habrá sido de 98,6 %:
1.2.- Ventajas
La implementación de la disciplina de administración de la
disponibilidad de los servicios de TI puede brindar una serie de ventajas,
como las siguientes:
• Los usuarios reciben los servicios de TI oportunamente, cuando
los requieren.
• Los usuarios reciben un servicio con un nivel de calidad acorde
con sus necesidades.
185
Capítulo XIII
186
Administración de la disponibilidad
187
Capítulo XIII
permiten tener una clara visión de las diferentes fases del “ciclo de vida
de la interrupción de los servicios”, con el fin de afinar los compromisos
que, en materia de niveles de disponibilidad, la organización TI puede
adquirir.
Desde el momento en que se presenta una interrupción de servicio
hasta su restitución, un incidente pasa por distintas etapas que deben ser
cuantificadas de la siguiente forma:
1. Tiempo de detección: es el tiempo que transcurre desde que ocurre
una falla hasta que la organización TI toma conocimiento de la
misma.
2. Tiempo de respuesta: es el tiempo que transcurre desde la
detección del problema hasta que se realiza un diagnóstico del
mismo.
3. Tiempo de reparación/recuperación: periodo de tiempo utilizado
para reparar la falla o encontrar alguna solución temporal que
permita poner operativo el servicio.
188
Administración de la disponibilidad
189
Capítulo XIII
190
Capítulo XIV
Se gurida d de la
I nform a c ión
Capítulo XIV
Seguridad de la información
Tabla de contenido
192
Seguridad de la información
Seguridad de la información
193
Capítulo XIV
194
Seguridad de la información
195
Capítulo XIV
2. Criterios de categorización
Los criterios de categorización, permiten establecer cuando un
documento, reporte, memorando, plano, registro de base de datos,
etc. es estrictamente confidencial, confidencial, sólo para uso interno
o público.
Las empresas acostumbran a identificar en forma visible la categoría
de seguridad de cada documento. Así, por ejemplo, veremos
memorandos en los que aparecen claramente visibles las palabras
“confidencial” o “sólo uso interno”; análogamente, las aplicaciones
hacen una indicación similar en los reportes que imprimen.
3. Procedimientos
Los procedimientos establecen qué normas deben cumplirse para
proteger la información, de acuerdo con su categoría. Así mismo,
establecen qué funcionarios, de acuerdo con su nivel, pueden tener
acceso a información clasificada como estrictamente confidencial o
confidencial.
Adicionalmente, los procedimientos también establecen las
responsabilidades que cada funcionario tiene sobre la información a
la que accede y los pasos que deberán darse para cumplir con la
normativa al utilizar la información
4. Funcionarios de seguridad por área funcional
Una vez que en el nivel de la empresa se establecen normas y
procedimientos de seguridad, normalmente, se establecen las
funciones del coordinador de seguridad de cada área del negocio,
quien será responsable de velar por la adecuada clasificación de los
documentos e información del área, de verificar que los
procedimientos de seguridad son viables para su área y de velar por
su cumplimiento.
Es costumbre que este rol opere en estrecho contacto con el
administrador de seguridad en TI, ya que tendrá como
responsabilidad autorizar o revocar los niveles de acceso que se
otorguen a los funcionarios de su área, con el fin de poder tener
acceso a servicios y aplicaciones, de acuerdo con sus
responsabilidades.
196
Seguridad de la información
3.- Actividades
La administración de la seguridad esta estrechamente relacionada con
todas las disciplinas de administración y todos los procesos de TI, por lo
que para resultar exitosa requiere el concurso y la colaboración de toda la
organización.
Para que esa colaboración sea eficaz es necesario que la
administración de la seguridad:
• Establezca una clara y definida política de seguridad que sirva de
guía a todos los otros procesos.
• Elabore un plan de seguridad que incluya los niveles de seguridad
adecuados tanto en los servicios prestados a los clientes como en
los acuerdos de servicio firmados con proveedores internos y
externos.
• Implemente el plan de seguridad.
• Monitorice y evalúe el cumplimiento de dicho plan.
• Supervise proactivamente los niveles de seguridad analizando
tendencias, nuevos riesgos y vulnerabilidades.
• Realice periódicamente auditorías de seguridad.
197
Capítulo XIV
199
Capítulo XIV
200
Seguridad de la información
201
Capítulo XIV
202
Capítulo XV
M e dic ión
Capítulo XIV
Medición
Tabla de contenido
204
Seguridad de la información
Medición
206
Seguridad de la información
1
Muchas empresas utilizan la figura del comité de sistemas o comité
directivo, integrado por los ejecutivos más importantes del negocio y de
informática. Todos los planes de TI se presentan al comité de sistemas,
con el fin de obtener su aprobación. Esta aprobación, dada la estructura
del comité, representa un acuerdo entre las áreas del negocio e
informática, para desarrollar los sistemas de información y los servicios
en términos de requerimientos, recursos y calendarios..
207
Capítulo XIV
208
Seguridad de la información
209
Capítulo XIV
210
Seguridad de la información
211
Capítulo XIV
212
Seguridad de la información
213
Anexo I
I m pla nt a c ión de la s Disc iplina s de
Adm inist ra c ión de Se rvic ios de T I
213
5. Centro de atención
6. Manejo de incidentes
7. Manejo de problemas
Fase III.- En una tercera fase debería implementarse la
disciplina de:
8. Administración de versiones
Fase IV.- En una cuarta fase debería implementarse la
disciplina de:
9. Monitorización y control
Fase V.- En la quinta fase debería implementarse la disciplina
de:
10. Administración de la disponibilidad
11. Administración de la capacidad
12. Administración de niveles de servicio – Catálogo de servicios
13. Administración financiera de los servicios TI
Fase VI.- En la fase final completarse el proyecto
implementando las disciplinas de:
14. Administración de niveles de servicio
Para cada fase y cada disciplina, al preparar los planes de trabajo, será
fundamental cumplir un proceso de evaluación y selección de
herramientas. Claro está, que si se selecciona una herramienta de gran
alcance como son Tívoli o Unicenter, sólo será necesario para cada
disciplina, revisar la forma como los módulos correspondientes serán
utilizados.
Cada disciplina, a su vez, debe implementarse por etapas, ya que es
poco probable que de un solo golpe pueda cubrirse el alcance completo
para cada disciplina. A título de ejemplos veamos la forma como
podemos definir las etapas para la disciplina de administración de la
seguridad de información:
1. Asignación de responsables para la administración de la disciplina.
2. Creación de responsables de seguridad en cada una de las áreas del
negocio (coordinador funcional de seguridad).
3. Establecer procedimientos para la cooperación entre el
administrador de seguridad, los coordinadores de seguridad por
área del negocio y el administrador de la red, con el fin coordinar la
creación de nuevos usuarios, cambio de niveles de autoridad y
214
manejo de suspensiones de servicio temporales, por vacaciones, o
definitivos.
4. Asegurar el uso adecuado de los elementos de seguridad para tener
acceso a la red.
5. Desarrollar la normativa sobre actualización y cambios periódicos
y forzosos de claves.
6. Revisión de la estructura física de la red destinada a robustecer la
estructura de seguridad, como pueden ser la creación de zonas
desmilitarizadas de alta seguridad - separando los ambientes de
internet, extranet, intranet y ambientes de base de datos- y la
creación de virtuales para agrupar y aislar usuarios.
7. Implantación de normativa relativa a la seguridad de acceso a las
bases de datos, utilizando las facilidades del manejador, eliminando
prácticas inadecuadas como utilizar un usuario único de base de
datos por cada aplicación y pretender que, en el nivel de la
aplicación, puede manejarse mejor la seguridad. Este tipo de
práctica, muy generalizada por cierto, crea brechas de seguridad
importantes, ya que cualquier persona que conozca ese único
código de usuario, puede tener acceso a la base de datos y
modificar la información sin estar autorizado para ello.
8. Desarrollar la normativa de manejo de seguridad en las
aplicaciones y comenzar a hacer los ajustes necesarios para que
todas las aplicaciones se adapten a la nueva normativa.
9. Contratar servicios de auditorías externas a la seguridad de la red e
implementar recomendaciones dirigidas a robustecer los
procedimientos.
En líneas generales, para cada disciplina deberán cumplirse
actividades como las siguientes:
1) Definir el alcance para la disciplina
2) Definir las etapas que serán cubiertas y el alcance para cada etapa
3) Diseñar el modelo de funcionamiento deseado –utilizando DFD´s,
Diagramas de Actividad, Diagramas de Use Case o cualquier otra
herramienta-
4) Evaluar herramientas –si es necesario-
5) Seleccionar herramienta –si es necesario-
6) Hacer ajustes en el modelo de funcionamiento, según sea necesario
para adaptarlo a la forma de operar de la herramienta seleccionada
215
7) Cumplir tareas de desarrollo y ajuste
a) Probar la herramienta en ambiente de desarrollo, seleccionar
opciones y ajustar parámetros según sea necesario
b) Desarrollar procedimientos
c) Probar herramientas y procedimientos en ambiente de prueba
8) Desarrollar planes de acción
a) De adiestramiento
b) De comunicación a TI y a la empresa
c) Para implementar la herramienta en producción
d) Para poner en vigor la disciplina
9) Implementar la disciplina cumpliendo los planes de acción trazados
10) Desarrollar plan de trabajo a mediano y largo plazo para cumplir las
restantes etapas definidas en el paso 3
11) Evaluar resultados de la etapa y plantear plan de mejoras
216
Anexo II
COBI T
Proc e sos de T I
I - PLANIFICACIÓN Y ORGANIZACIÓN
1. Definición de un plan estratégico de TI
2. Definición de la arquitectura de Información
3. Determinación de la dirección tecnológica
4. Definición de la organización y de las relaciones de TI
5. Manejo de la Inversión en TI
6. Comunicación de la dirección y expectativas de la gerencia
7. Administración de recursos humanos
8. Asegurar el cumplimiento de requerimientos externos
9. Evaluación de Riesgos
10. Administración de proyectos
11. Administración de calidad
II - ADQUISICIÓN E IMPLEMENTACIÓN
1. Identificación de soluciones
2. Adquisición y mantenimiento de software de aplicaciones
3. Adquisición y mantenimiento de arquitectura de tecnología
4. Desarrollo y mantenimiento de procedimientos
5. Instalación y acreditación de sistemas
6. Administración de cambios
IV - SEGUIMIENTO
1. Monitorización del proceso
2. Evaluar adecuación a normas de control interno
3. Obtención de evaluación independiente
4. Proveer auditoría independiente
218
Anexo III
COBI T
Re la c ione s de los Obje t ivos de Cont rol
Dom inios, Proc e sos y Obje t ivos de
Cont rol
I - PLANIFICACIÓN Y ORGANIZACIÓN
1. Definición de un plan estratégico de TI
OC-1.1. TI como parte del plan de la organización a corto y largo
plazo
OC-1.2. Plan a largo plazo de TI
OC-1.3. Plan a largo plazo de TI - enfoque y estructura
OC-1.4. Cambios al plan a largo plazo de TI
OC-1.5. Planificación a corto plazo para la función de TI
OC-1.6. Evaluación de sistemas existentes
2. Definición de la arquitectura de Información
219
OC-2.1. Modelo de la arquitectura de información
OC-2.2. Diccionario de datos y reglas de sintaxis de los datos de
la corporación
OC-2.3. Esquema de clasificación de datos
OC-2.4. Niveles de seguridad
3. Determinación de la dirección tecnológica
OC-3.1. Planificación de la infraestructura tecnológica
OC-3.2. Monitorización de tendencias futuras y regulaciones
OC-3.3. Contingencias en la infraestructura tecnológica
OC-3.4. Planes de adquisición de hardware y software
OC-3.5. Estándares de tecnología
4. Definición de la organización y de las relaciones de TI
OC-4.1. Comité de planificación o dirección de la función de TI
OC-4.2. Ubicación de los TI en la organización
OC-4.3. Revisión de logros organizacionales
OC-4.4. Funciones y responsabilidades
OC-4.5. Responsabilidad de la función de aseguramiento de
calidad
OC-4.6. Responsabilidad de la función de seguridad lógica y
física
OC-4.7. Propiedad y custodia
OC-4.8. Propiedad de datos y sistemas
OC-4.9. Supervisión
OC-4.10. Segregación de funciones
OC-4.11. Asignación de personal para TI
OC-4.12. Descripción de puestos para el personal de la función de
TI
OC-4.13. Personal clave de TI
OC-4.14. Procedimientos para personal contratado
220
OC-4.15. Relaciones
5. Manejo de la Inversión en TI
OC-5.1. Presupuesto operativo anual para la función de servicio
de información
OC-5.2. Monitorización de costo - beneficio
OC-5.3. Justificación de costo - beneficio
6. Comunicación de la dirección y expectativas de la gerencia
OC-6.1. Ambiente positivo de control de la información
OC-6.2. Responsabilidad de la gerencia en cuanto a políticas
OC-6.3. Comunicación de las políticas de la organización
OC-6.4. Recursos para la implementación de políticas
OC-6.5. Mantenimiento de políticas
OC-6.6. Cumplimiento de políticas, procedimientos y estándares
OC-6.7. Compromiso con la calidad
OC-6.8. Política sobre el marco de referencia para la seguridad y
el control interno
OC-6.9. Derechos de propiedad intelectual
OC-6.10. Políticas específicas
OC-6.11. Comunicación para estimular la conciencia de seguridad
en TI
7. Administración de recursos humanos
OC-7.1. Reclutamiento y promoción de personal
OC-7.2. Personal calificado
OC-7.3. Entrenamiento de personal
OC-7.4. Entrenamiento cruzado para desarrollar personal de
respaldo
OC-7.5. Procedimientos de evaluación de antecedentes del
personal
OC-7.6. Evaluación de desempeño de los empleados
221
OC-7.7. Cambios de puesto y despidos
8. Asegurar el cumplimiento de requerimientos externos
OC-8.1. Revisión de requerimientos externos
OC-8.2. Prácticas y procedimientos para el cumplimiento de
requerimientos externos
OC-8.3. Cumplimiento con regulaciones de seguridad y
ergonomía
OC-8.4. Privacidad, propiedad intelectual y flujo de datos
OC-8.5. Comercio electrónico
OC-8.6. Cumplimiento con contratos de seguros
9. Evaluación de Riesgos
OC-9.1. Evaluación de riesgos del negocio
OC-9.2. Enfoque de la evaluación de riesgos
OC-9.3. Identificación de riesgos
OC-9.4. Medición de riesgos
OC-9.5. Plan de acción contra riesgos
OC-9.6. Aceptación de riesgos
OC-9.7. Selección de medidas preventivas
OC-9.8. Compromiso con la evaluación de riesgos
10. Administración de proyectos
OC-10.1. Marco de acción para la administración de proyectos
OC-10.2. Participación de los departamentos usuarios en la
iniciación de proyectos
OC-10.3. Miembros y responsabilidades del equipo del proyecto
OC-10.4. Definición del proyecto
OC-10.5. Aprobación del proyecto
OC-10.6. Aprobación de las fases del proyecto
OC-10.7. Plan maestro del proyecto
222
OC-10.8. Plan de aseguramiento de la calidad de sistemas
OC-10.9. Planificación de métodos de aseguramiento de calidad
OC-10.10. Administración formal de riesgos de proyectos
OC-10.11. Plan de prueba
OC-10.12. Plan de entrenamiento
OC-10.13. Plan de revisión post implementación
11. Administración de calidad
OC-11.1. Plan general de calidad
OC-11.2. Enfoque de aseguramiento de calidad
OC-11.3. Planificación de aseguramiento de calidad
OC-11.4. Revisión de aseguramiento de calidad sobre el
cumplimiento de estándares y procedimientos
OC-11.5. Metodología del ciclo de desarrollo de sistemas
OC-11.6. Metodología del ciclo de desarrollo de sistemas para
realizar cambios mayores a la tecnología actual
OC-11.7. Actualización de la metodología del ciclo de desarrollo
de sistemas
OC-11.8. Coordinación y comunicación
OC-11.9. Marco de referencia para la adquisición y mantenimiento
de la infraestructura de tecnología
OC-11.10. Relaciones con terceras partes como implementadores
OC-11.11. Estándares para la documentación de programas
OC-11.12. Estándares para pruebas de programas
OC-11.13. Estándares para pruebas de sistemas
OC-11.14. Pruebas piloto/en paralelo
OC-11.15. Documentación de las pruebas de sistemas
OC-11.16. Evaluación de aseguramiento de la calidad sobre el
cumplimiento de estándares de desarrollo
223
OC-11.17. Revisión de aseguramiento de calidad sobre el logro de
los objetivos de TI
OC-11.18. Métricas de calidad
OC-11.19. Reportes de revisiones de aseguramiento de calidad
II - ADQUISICIÓN E IMPLEMENTACIÓN
1. Identificación de soluciones
OC-1.1. Definición de requerimientos de información
OC-1.2. Formulación de acciones alternativas
OC-1.3. Formulación de estrategias de adquisición.
OC-1.4. Requerimientos de servicios de terceros
OC-1.5. Estudio de factibilidad tecnológica
OC-1.6. Estudio de factibilidad económica
OC-1.7. Arquitectura de información
OC-1.8. Reporte de análisis de riesgos
OC-1.9. Controles de seguridad económica
OC-1.10. Diseño de huellas de auditoría
OC-1.11. Ergonomía
OC-1.12. Selección de software de sistemas
OC-1.13. Control del proceso de adquisición
OC-1.14. Adquisición de productos de software
OC-1.15. Mantenimiento de software de terceras partes
OC-1.16. Contratos de programación de aplicaciones
OC-1.17. Aceptación de facilidades
OC-1.18. Aceptación de tecnología
2. Adquisición y mantenimiento de software de aplicaciones
OC-2.1. Métodos de diseño
224
OC-2.2. Cambios significativos a sistemas actuales
OC-2.3. Aprobación del diseño
OC-2.4. Definición y documentación de requerimientos de
archivos
OC-2.5. Especificaciones de programas
OC-2.6. Diseño para la recopilación de datos fuente
OC-2.7. Definición y documentación de requerimientos de
entrada de datos
OC-2.8. Definición de interfases
OC-2.9. Interfases usuario-máquina
OC-2.10. Definición y documentación de requerimientos de
procesamiento
OC-2.11. Definición y documentación de requerimientos de salidas
de datos
OC-2.12. Controlabilidad
OC-2.13. Disponibilidad como factor clave de diseño
OC-2.14. Medidas de protección de la integridad de TI en
programas de aplicaciones
OC-2.15. Pruebas de software de aplicación
OC-2.16. Materiales de consulta y soporte para usuario
OC-2.17. Reevaluación del diseño del sistema
3. Adquisición y mantenimiento de arquitectura de tecnología
OC-3.1. Evaluación de nuevo hardware y software
OC-3.2. Mantenimiento preventivo para hardware
OC-3.3. Seguridad del software del sistema
OC-3.4. Instalación del software del sistema
OC-3.5. Mantenimiento del software del sistema
OC-3.6. Controles para cambios del software del sistema
OC-3.7. Utilización y seguimiento de los programas utilitarios
225
4. Desarrollo y mantenimiento de procedimientos
OC-4.1. Requerimientos operativos y niveles de servicio
OC-4.2. Manual de procedimientos para usuarios
OC-4.3. Manual de operaciones
OC-4.4. Material de entrenamiento
5. Instalación y acreditación de sistemas
OC-5.1. Entrenamiento
OC-5.2. Desempeño y magnitud del software de aplicación
OC-5.3. Plan de implementación
OC-5.4. Conversión del sistema
OC-5.5. Conversión de datos
OC-5.6. Estrategias y planes de prueba
OC-5.7. Pruebas de cambios
OC-5.8. Criterios de desempeño de pruebas en paralelo/piloto
OC-5.9. Prueba de aceptación final
OC-5.10. Pruebas de seguridad y acreditación
OC-5.11. Prueba operacional
OC-5.12. Migración a producción
OC-5.13. Evaluación del cumplimiento de requerimientos del
usuario
OC-5.14. Revisión gerencial post - implementación
6. Administración de cambios
OC-6.1. Inicio y control de solicitudes de cambio
OC-6.2. Evaluación de impacto
OC-6.3. Control de cambios
OC-6.4. Cambios de emergencia
OC-6.5. Documentación y procedimientos
OC-6.6. Mantenimiento autorizado
226
OC-6.7. Política de implementación de software
OC-6.8. Distribución de software
227
OC-3.6. Pronóstico de cargas de trabajo
OC-3.7. Administración de capacidad de recursos
OC-3.8. Disponibilidad de Recursos
OC-3.9. Calendarios de utilización de recursos
4. Aseguramiento de servicio continuo
OC-4.1. Marco de referencia de continuidad de TI
OC-4.2. Estrategia y filosofía de continuidad de TI
OC-4.3. Contenido del plan de continuidad de TI
OC-4.4. Minimización de requerimientos de continuidad de TI
OC-4.5. Mantenimiento del plan de continuidad de TI
OC-4.6. Pruebas del plan de continuidad de TI
OC-4.7. Capacitación sobre el plan de continuidad de TI
OC-4.8. Distribución del plan de continuidad de TI
OC-4.9. Procedimientos de procesamiento alternativo para
departamentos usuarios
OC-4.10. Recursos críticos de TI
OC-4.11. Centro de cómputo y hardware de respaldo
OC-4.12. Almacenamiento de respaldos fuera de las oficinas
OC-4.13. Procedimientos de retorna de un plan de continuidad de
TI
5. Asegurar la seguridad de los sistemas
OC-5.1. Administrar medidas de seguridad
OC-5.2. Identificación, autenticación y acceso
OC-5.3. Seguridad de acceso a datos en línea
OC-5.4. Administración de cuentas de usuario
OC-5.5. Revisión gerencial de cuentas de usuario
OC-5.6. Control hecho por los usuarios sobre las cuentas de
usuario
228
OC-5.7. Vigilancia de la seguridad
OC-5.8. Clasificación de datos
OC-5.9. Administración centralizada de identificación y derechos
de acceso
OC-5.10. Reportes de violaciones y de actividades de seguridad
OC-5.11. Manejo de incidentes
OC-5.12. Reacreditación
OC-5.13. Confianza en contrapartes
OC-5.14. Autorización de transacciones
OC-5.15. No rechazo
OC-5.16. Sendero seguro
OC-5.17. Protección de funciones de seguridad
OC-5.18. Administración de llaves criptográficas
OC-5.19. Prevención, detección y corrección de software
"malicioso"
OC-5.20. Arquitecturas de firewalls y conexión a redes públicas
OC-5.21. Protección de valores electrónicos
6. Identificación y atribución de costos
OC-6.1. Elementos sujetos a cargo
OC-6.2. Procedimientos de costeo
OC-6.3. Procedimientos de cargo y facturación a usuarios
7. Educación y entrenamiento de usuarios
OC-7.1. Identificación de necesidades de entrenamiento
OC-7.2. Organización de entrenamiento
OC-7.3. Entrenamiento sobre principios y conciencia de seguridad
8. Apoyo y asistencia a los clientes de TI
OC-8.1. Escritorio de ayuda
OC-8.2. Registro de llamadas del usuario
229
OC-8.3. Escalamiento de consultas de clientes
OC-8.4. Monitorización de atención a clientes y cierre de
llamadas
OC-8.5. Análisis y reporte de tendencias
9. Administración de la configuración
OC-9.1. Registro de la configuración
OC-9.2. Definiciones de base (estándares) de los ítems de
configuración
OC-9.3. Registro de estatus
OC-9.4. Control de configuraciones
OC-9.5. Software no autorizado
OC-9.6. Almacenamiento de software
OC-9.7. Procedimientos de administración de configuraciones
OC-9.8. Responsabilidades en relación al software
10. Manejo de problemas e incidentes
OC-10.1. Sistema de administración de problemas
OC-10.2. Escalamiento de problemas
OC-10.3. Seguimiento de problemas y huellas de auditoría
OC-10.4. Autorizaciones de acceso de emergencia y temporales
OC-10.5. Prioridades de atención a emergencias
11. Administración de datos
OC-11.1. Procedimientos de preparación de datos
OC-11.2. Procedimientos de autorización de documentos fuente
OC-11.3. Recopilación de datos desde documentos fuente
OC-11.4. Manejo de errores de documentos fuente
OC-11.5. Retención de documentos fuente
OC-11.6. Procedimientos de autorización de entrada de datos
OC-11.7. Chequeos de exactitud, suficiencia y autorización
230
OC-11.8. Manejo de errores en la entrada de datos
OC-11.9. Integridad de procesamiento de datos
OC-11.10. Validación y edición en el procesamiento de datos
OC-11.11. Manejo de errores en el procesamiento de datos
OC-11.12. Manejo y retención de salidas
OC-11.13. Distribución de salidas
OC-11.14. Balanceo y conciliación de datos de salida
OC-11.15. Revisión de salidas y manejo de errores
OC-11.16. Provisiones de seguridad para reportes de salida
OC-11.17. Protección de información sensible durante transmisión y
transporte
OC-11.18. Protección de información crítica a de los servicios de TI
OC-11.19. Administración de almacenamiento
OC-11.20. Períodos de retención y términos de almacenamiento
OC-11.21. Sistema de administración de almacenamiento
OC-11.22. Responsabilidades de la administración de los medios de
almacenamiento
OC-11.23. Respaldo y restauración
OC-11.24. Jobs de Respaldo
OC-11.25. Almacenamiento de respaldo
OC-11.26. Archivos históricos
OC-11.27. Protección de mensajes sensitivos
OC-11.28. Autenticación e integridad
OC-11.29. Integridad de transacciones electrónicas
OC-11.30. Mantenimiento continuo de la integridad de los datos
almacenados
12. Administración de instalaciones
OC-12.1. Seguridad física
231
OC-12.2. Discreción de las instalaciones de TI
OC-12.3. Escolta de visitantes
OC-12.4. Salud y seguridad del personal
OC-12.5. Protección contra factores ambientales
OC-12.6. Suministro ininterrumpible de energía (UPS)
13. Administración de operaciones
OC-13.1. Manual de procedimientos de operación e instrucciones
OC-13.2. Documentación de procesos de inicio y otras operaciones
OC-13.3. Calendarios de trabajos
OC-13.4. Desviaciones de los calendarios de trabajos
OC-13.5. Continuidad de procesamiento
OC-13.6. Bitácoras de operación
OC-13.7. Salvaguarda de formas especiales y de dispositivos de
salida
OC-13.8. Operaciones remotas
IV - SEGUIMIENTO
1. Monitorización del proceso
OC-1.1. Recolección de datos de monitorización
OC-1.2. Evaluación de desempeño
OC-1.3. Evaluación de la satisfacción de clientes
OC-1.4. Reportes gerenciales
2. Evaluar adecuación a normas de control interno
OC-2.1. Seguimiento del cumplimiento del control interno
OC-2.2. Cumplimiento oportuno del control interno
OC-2.3. Reporte sobre el nivel de control Interno
OC-2.4. Seguridad de operación y aseguramiento de control
interno
232
3. Obtención de evaluación independiente
OC-3.1. Certificación/acreditación independiente del control y la
seguridad de los servicios de TI
OC-3.2. Certificación/acreditación independiente del control y la
seguridad de los proveedores externos de servicios
OC-3.3. Evaluación independiente de la efectividad
OC-3.4. Evaluación independiente de la efectividad de
proveedores externos de servicios
OC-3.5. Aseguramiento independiente del cumplimiento de leyes,
requerimientos regulatorios y compromisos
contractuales
OC-3.6. Aseguramiento independiente del cumplimiento de leyes,
requerimientos regulatorios y compromisos
contractuales por parte de los proveedores externos de
servicios
OC-3.7. Competencia de la función de aseguramiento
independiente
OC-3.8. Participación proactiva de auditoría
4. Proveer auditoría independiente
OC-4.1. Esquemas de auditoría
OC-4.2. Independencia
OC-4.3. Ética y estándares profesionales
OC-4.4. Competencia
OC-4.5. Planificación
OC-4.6. Desempeño del trabajo de auditoría
OC-4.7. Reportes de auditoría
OC-4.8. Actividades de seguimiento
233
234
Bibliogra fía
235
Alex Nghiem (2005). IT Web Services: A Roadmap for the
Enterprise. Harris Kern's Enterprise Computing Institute Series.
Estados Unidos.
236
Efraim Turban, James Wetherbe, Ephraim McLean, Dorothy
Leidner (2007). Information Technology for Management:
Transforming Organizations in the Digital Economy. Wiley, John
& Sons, Incorporated. Estados Unidos.
237
238