Propuesta de gestión de red entre hospitales

Transcripción

1 Propuesta de gestión de red entre hospitales Gestión de redes y servicios Grupo B Josep Costa (NIA:33436) M. Teresa Cuerpo (NIA:31146) Marko Morillo (NIA:34932) Sílvia Sistaré (NIA:29951) Guillermo Zeller (NIA:34925) Barcelona, 1 de Junio de 2007

2 Tabla de contenido 1. INTRODUCCIÓN RESUMEN EJECUTIVO ESTRUCTURA ORGANIZATIVA OBJETIVOS DE NEGOCIO ANÁLISIS DE LA SITUACIÓN ACTUAL VOLUMEN DE NEGOCIO ESTADO ACTUAL DE LA EMPRESA Y PLANES DE CRECIMIENTO ANÁLISIS DAFO Debilidades Amenazas Fortalezas Oportunidades PROPUESTA DE SOLUCIONES IDENTIFICACIÓN DE PARÁMETROS CLAVES SOPORTE DE SERVICIO Centro de Atención al Usuario Critical Success Factor Key Performance Indicator Gestión de Incidencias Critical Success Factor Key Performance Indicator Gestión de Problemas Critical Success Factor Key Performance Indicator Gestión de Configuración Critical Success Factor Key Performance Indicator ENTREGA DE SERVICIOS Gestión de Disponibilidad Critical Success Factor Key Performance Indicator Gestión de Capacidad Critical Success Factor Key Performance Indicator GESTIÓN DE SEGURIDAD Critical Success Factor Key Performance Indicator PLAN ACCIÓN PROCESOS DE GESTIÓN DE SOPORTE DE SERVICIO CENTRO DE ATENCIÓN AL USUARIO Objetivo Estructura CAU Módulo Gestión de Redes y Servicios Curso Página 2

3 Planificación Funcionamiento Implantación Evaluación Mantenimiento GESTIÓN DE INCIDENCIAS Objetivo Estructura y Funcionamiento Procesos de Gestión de Incidencias Detección de Incidencia y Registro Clasificación y Soporte Inicial Investigación y Diagnóstico Resolución y Restauración del Servicio Cierre de Incidencias Ownership, Monitorización, Tracking y Comunicación GESTIÓN DE PROBLEMAS Objetivo Procesos de Gestión de Problemas Clasificación y Análisis de Problemas Control de Problemas Control de Errores Request For Change Verificación Monitorizar GESTIÓN DE CONFIGURACIÓN Objetivo Procesos de Gestión de Configuración Planificación Clasificación Control Reportar CMDB PROCESOS DE GESTIÓN DE ENTREGA DE SERVICIO GESTIÓN DE DISPONIBILIDAD Objetivo Procesos de Gestión de Disponibilidad Control de Requisitos Planificación Monitorización Mantenimiento GESTIÓN DE CAPACIDAD Objetivo Procesos de Gestión de Capacidad Monitorización Análisis Tunning Implementación PROCESOS DE GESTIÓN DE SEGURIDAD OBJETIVO PROCESOS DE SEGURIDAD Módulo Gestión de Redes y Servicios Curso Página 3

4 Requisitos de Seguridad Nivel Físico Nivel Lógico Nivel Legal Planificación Implementación Evaluación Mantenimiento HERRAMIENTAS HERRAMIENTAS DISPONIBLES HERRAMIENTAS ELEGIDAS GLOSARIO REFERENCIAS ANEXO I. TABLA RESUMEN ANEXO II. GESTIÓN DE SOPORTE DE SERVICIO CENTRO DE ATENCIÓN AL USUARIO ANEXO III. GESTIÓN DE ENTREGA DE SERVICIO DEFINICIÓN DE SLA DE SERVICIO Introducción Requerimientos de provisión de servicio Compromiso de provisión de servicio Procesos de escalado sobre provisión de servicio Penalización sobre provisión Requerimientos técnicos de servicio Compromiso de calidad técnica de servicio Procesos de escalado sobre calidad de servicio Penalización sobre calidad de servicio Disponibilidad de los servicios Requerimientos de seguridad del servicio Soporte Técnico Horario de atención de incidencias Registro de incidencias Tiempo máximo de resolución de incidencias Notificación de resolución de incidencias Tiempo de resolución de problemas ANEXO III. GESTIÓN DE SEGURIDAD POLÍTICA DE SEGURIDAD DEFINICIÓN DE LA POLÍTICA DE SEGURIDAD Preámbulo Objetivo de la Seguridad IT Definición de Seguridad Dominios de Seguridad Justificación de la Seguridad IT Roles y Responsabilidades Gestión Política Implementación Política Responsable de Gestión IT Módulo Gestión de Redes y Servicios Curso Página 4

5 17.3. PLAN DE SEGURIDAD ANEXO IV. HERRAMIENTAS DE GESTIÓN ALTIRIS INTELLITACTICS TM SAM SYSTEM CENTER OPERATIONS MANAGER NETMRG Tabla de figuras Figura 1: Estructura Organizativa... 9 Figura 2: Diagrama Gantt: Planificación Temporal de Implantación Integral de ITIL Figura 3: Ciclo de vida de una incidencia Figura 4: Estructura de la gestión de incidencias Figura 5: Ciclo de vida de Incidencia Figura 6: Procesos de Gestión de Problemas Figura 7: Etapas de la Gestión de Problemas Figura 8: Procesos de Gestión de Configuración Figura 9. Relación de la CMDB con el resto de procesos Figura 10: Información asociada a CI s en la CMDB Figura 11: Procesos de Gestión de Disponibilidad Figura 12: Relación de las actividades de la Gestión de capacidad Figura 13: Ciclo de Vida de la Gestión de Seguridad Figura 14: Solución Propuesta de Mecanismos de Seguridad Requeridos Figura 15: Escenario Estructura de Centro de Usuario Figura 16: Media de Incidencias resueltas por persona/h Figura 17: Pantalla de Altiris SecurityExpressions Figura 18: Reporte de Seguridad Figura 19: Pantalla de Intellitactics TM SAM Figura 20: Pantalla de System Center Operations Manager Figura 21: Estructura de NetMRG Figura 22: Diferentes Perspectivas de la Interfaz de NetMRG Módulo Gestión de Redes y Servicios Curso Página 5

6 1. INTRODUCCIÓN En el presente documento se presenta la propuesta de implantación de las mejores prácticas, procesos ITIL 1, para la red de hospitales por parte de Gestmaster S.A. Con este proyecto se desea acercar una visión de los procesos ITIL que han surgido a raíz de la gran expansión de servicios que se ha producido durante los últimos años. Gestmaster S.A. como empresa encargada de gestionar la implantación de estos procesos ha elaborado los estudios pertinentes para identificar las necesidades más imponentes de las redes y los servicios requeridos por los hospitales. Asimismo, se especifican las prestaciones y/o gestiones que se requiere llevar a cabo para la optimización de los recursos. Los contenidos del documento se estructuran del siguiente modo: En el apartado 2 se proporciona el resumen ejecutivo del proyecto cuyo objetivo es dar una visión general del contexto en el que se ubica el proyecto. En el apartado 3 describe la situación actual de la red hospitalaria, mediante la estructura organizativa de una entidad hospitalaria. El apartado 4 define los objetivos de negocio principales a tener en cuenta para el buen funcionamiento de la red interhospitalaria. En el apartado 5 se presenta el análisis de la situación actual de los hospitales. Este análisis comprende un estudio de benchmarking, un estudio actual del estado de la entidad, los planes de crecimiento, un análisis DAFO de la empresa y la propuesta de soluciones a los aspectos negativos detectados en el anterior análisis. El apartado 6 describe los parámetros claves para la gestión de procesos de soporte de servicio, la gestión de entrega de servicio y la gestión de seguridad. El apartado 7 se presenta el plan de implantación de procesos de ITIL. En este apartado, se especifican los procesos de gestión de servicios que serán necesarios para la implementación de las mejores prácticas, así como también los procesos de gestión de soporte que son requeridos para implantar la metodología ITIL y los procesos necesarios para la gestión de la seguridad que se hacen necesarios por el ámbito en el que se enmarca el servicio (hospitales). En el apartado 8 se hace una presentación de algunas de las herramientas disponibles así como los criterios utilizados para la elección de las herramientas a utilizar. Módulo Gestión de Redes y Servicios Curso Página 6

7 2. RESUMEN EJECUTIVO Gestmaster S.A. es una empresa que provee servicios informáticos e infraestructuras a proveedores de servicios públicos sanitarios, que ha experimentado un cambio considerable debido a su crecimiento y la expansión de sus servicios en los últimos años. Las TIC 2 han sido un elemento muy importante en la mejora de los servicios que ofrecen y un valor añadido para los usuarios. La expansión de servicios ha provocado un crecimiento de gastos en TIC que no debe afectar a la viabilidad de la empresa y se debe mejorar en cualquier caso la calidad de los servicios ofertados. Es por esta razón que Gestmaster S. A. presenta una propuesta de procesos de ITIL a petición del consorcio de hospitales públicos que pretende implementar las mejores prácticas para optimizar el rendimiento de los recursos de que se dispone en la actualidad. La implantación de procesos ITIL, debe permitir alcanzar los objetivos de la empresa, eliminando los puntos débiles de la red y conseguir de este modo que los hospitales sean considerados como una entidad de alta calidad en cuanto a rendimiento de sus redes y en cuanto a los servicios ofertados. Gestmaster S.A. ve en esta propuesta una gran oportunidad de negocio y una obertura a nuevos mercados hospitalarios. Para cumplir con todos los objetivos, se deben tener en cuenta las siguientes aspectos: 1. Determinar y definir el nivel de calidad: Es necesario para responder a las necesidades del negocio y satisfacer las expectativas del usuario. En este punto cabe destacar los siguientes aspectos: Definición de SLA. Control y Supervisión del funcionamiento de los sistemas. Análisis de resultados. 2. Establecer los procedimientos: Es necesario que se definan los procedimientos necesarios para poder responder a los niveles de calidad estipulados en los acuerdos con los clientes. En este punto cabe destacar los siguientes aspectos: Clasificación de incidencias. Inventario de hardware. Inventario de software. Creación de un equipo de sistemas. Módulo Gestión de Redes y Servicios Curso Página 7

8 Creación y mejora del servicio de gestión de incidencias. Redistribución y análisis del rendimiento de las infraestructuras y sistemas. 3. Establecer el conjunto de medidas y herramientas: Es necesario establecer el conjunto de medidas que soportarán los procesos y garantizarán la calidad de los servicios ofertados En este punto cabe destacar los siguientes aspectos: Valoración de software actual de la empresa. Mejora de las herramientas de gestión. Implantación de mejoras en el Service Desk. En este documento, Gestmaster S.A. presenta la propuesta del plan de implantación de ITIL para la red de hospitales. Dicha propuesta de implantación propone los procesos a implementar según ITIL para eliminar los puntos débiles de la empresa y conseguir que la red de interconexión hospitalaria se consolide y se optimice el rendimiento de la misma. Para conseguir estos objetivos, se han identificado los factores críticos de éxito (CSF Critical Success Factors) y que posteriormente se han asociado con los indicadores de prestaciones claves (KPI Key Performance Indicator) que permiten evaluar la consecución de los objetivos fijados. Módulo Gestión de Redes y Servicios Curso Página 8

9 3. ESTRUCTURA ORGANIZATIVA La red de hospitales se compone de diferentes entidades que son centros hospitalarios. En nuestro caso estos centros hospitalarios son de titularidad pública que pertenecen al Instituto Catalán de Salud (ICS). Los hospitales están acreditados como centros de tercer nivel y disponen de todas las especialidades medico-quirúrgicas. A continuación se muestra la organización de un hospital que se corresponde con la organización en cada una de las entidades cuyos procesos debe gestionar Gestmaster S.A.: Dirección Medicina General Administrativo Medicina Especializada RRHH Enfermería Atención al usuario Urgencias Diagnostico para la imagen Limpieza Laboratorio Coordinación Figura 1: Estructura Organizativa Módulo Gestión de Redes y Servicios Curso Página 9

10 4. OBJETIVOS DE NEGOCIO En este apartado se describen las acciones que darán soporte a los sistemas y comunicaciones de la red de hospitales dados los resultados del análisis DAFO descritos en el siguiente apartado. El plan de trabajo incluye los siguientes puntos: 1. Plan de Implantación del modelo de gestión de redes y servicios propuesto por Gestmaster S.A. para la red de hospitales. Este punto tendrá en cuenta los resultados obtenidos del análisis de la situación actual y establece los pasos necesarios para erradicar o disminuir las debilidades detectadas. Para lo que se ha decidido contemplar los siguientes puntos: Descripción de la situación actual para la identificación de problemas y deficiencias. Establecimiento de objetivos de gestión de redes y servicios. Plan de acción para alcanzar los objetivos previstos Propuesta de evaluación para cumplir los objetivos 2. Definición de procesos de gestión de redes y servicios Este punto contempla todos aquellos procesos que deben ser llevados a cabo por Gestmaster S.A. Destacan los siguientes puntos: A nivel de servicios: Gestión de capacidad: Se debe prever el crecimiento de manera que el impacto de dicho crecimiento no sea negativo en el servicio, de manera que se deben tener en cuenta los siguientes factores: Pronósticos exactos del negocio Conocimiento de tecnologías Rentabilidad Gestión de disponibilidad: Recomendaciones y procesos que deben garantizar la fiabilidad de los servicios. Para lo que se van a tener en cuenta los siguientes factores: Gestionar la disponibilidad y confianza del servicio. Satisfacer necesidades de negocio para acceder a los servicios. Disponibilidad a un coste razonable. Módulo Gestión de Redes y Servicios Curso Página 10

11 A nivel de soporte a servicios: Service Desk: Se define la organización del centro de atención a los usuarios de los sistemas de información de forma que sea adecuado a los requisitos de los usuarios. Será a través del centro de atención al usuario que se dará soporte técnico a los usuarios que así lo demanden. Gestión de incidencias: Se definen los procedimientos para tratar las incidencias de servicios orientados a cumplir las expectativas definidos en los SLAs. Para lo que se van a tener en cuenta los siguientes factores: Resolución rápida de incidencias. Mantenimiento de la calidad del servicio. Mantenimiento de la satisfacción del usuario. Gestión de configuración: Se define el marco conceptual de soporte a los procesos de gestión de configuración y la relación con el resto de procesos. Para ello, se van a tener presentes los siguientes aspectos: Control de sistemas. Soporte de entrega de servicios de calidad. Provisión de servicios económicos. Soporte, integración y relación con el resto de procesos. Gestión de problemas: Se definen los procesos para minimizar el impacto adverso sobre la empresa de las incidencias y problemas causados por errores en la infraestructura y prevención proactiva de la recurrencia de incidencias relacionadas con dichos errores. En este punto se van a tener presentes los siguientes factores: Mejoras en la calidad de servicio. Minimizar los problemas de impacto. Reducción de costes en los problemas de los usuarios. A nivel de gestión de seguridad: Definición de los mecanismos de seguridad requeridos por la red de hospitales y los procesos de gestión necesarios para implantar y asegurar el buen funcionamiento de éstos. Algunos de los factores más destacados en este punto: Los datos tratados deben ser confidenciales, por lo que las comunicaciones deberán ser consideradas como transacciones seguras. Módulo Gestión de Redes y Servicios Curso Página 11

12 Minimizar las pérdidas de información y el acceso a información privada, garantizando así, el cumplimiento de la LOPD 9 y la LSSI 10. Otros niveles de gestión importantes y que se deberían tener en cuenta para una gestión a más largo plazo en cuenta son los siguientes: A nivel de gestión de infraestructuras: Definición de los procesos de gestión de los equipos y servicios de Telecomunicaciones que son suministrados. Algunos factores a tener en cuenta pueden ser los siguientes: Gestión de proveedor y gestión de abastecimiento. Carencias de coordinación de organizaciones centralizadas con sistemas distribuidos y entornos móviles. Variedad de aplicaciones e infraestructuras. A nivel de gestión de aplicaciones: Definición de las normas básicas para garantizar la seguridad de los sistemas y respetar las normativas existentes relativas a la protección de datos de usuarios. El aspecto más destacable es: Despliegue y gestión de aplicaciones para el suministro de los servicios. 3. Propuesta de aplicaciones y herramientas para soportar los procesos Se realizará una comparativa de diferentes herramientas disponibles para soportar los servicios, indicadores y procesos descritos con anterioridad. 4. Propuesta de aplicaciones y herramientas para monitorizar los servicios Se realizará la monitorización y la gestión mediante software de uso libre. Los objetivos de este plan son: Racionalización de recursos TIC para lo que es necesario definir los siguientes factores: Definición del nivel de calidad que se debe ofrecer. Establecimiento de los procedimientos para responder a los niveles establecidos. Establecimiento del conjunto de medidas y herramientas para los procedimientos Módulo Gestión de Redes y Servicios Curso Página 12

13 Establecer los objetivos más importantes para el correcto funcionamiento del negocio avanzando en el uso de las nuevas tecnologías. Para ello, se van a tener en cuenta los siguientes aspectos: Estabilizar el crecimiento de la empresa. Replantear los procedimientos y herramientas de gestión actuales. Módulo Gestión de Redes y Servicios Curso Página 13

14 5. ANÁLISIS DE LA SITUACIÓN ACTUAL 5.1. Volumen de Negocio Debido a la naturaleza del servicio que ofrecemos existen diferentes formas de enfocar nuestros clientes. Por una parte en cuanto a los servicios de interactividad los clientes serán todos los Hospitales a los que se da el servicio: Barcelona Girona Tarragona Vic Manresa Terrassa Berga Igualada Por otra parte se tiene que tener en cuenta el número de usuarios que tienen cada uno de los hospitales. En España y mas concretamente en Cataluña la sanidad es pública y es un derecho de todos los ciudadanos, por lo tanto como usuarios potenciales se podrían considerar todos los ciudadanos que disponen de la tarjeta sanitaria; 7,3 millones a finales de Por otra parte, se debe tener en cuenta que evidentemente no todos los ciudadanos hacen uso de este recurso simultáneamente Estado Actual de la Empresa y Planes de Crecimiento Los planes de crecimiento de negocio principales para la empresa Gestmaster S.A. es abarcar la red de hospitales tratada y nuevos hospitales en distintas zonas geográficas. También se espera que las redes de hospitales en un futuro estén conectadas entre ellas generando una red de interconexión española de hospitales con algún punto de consulta de información internacional. Para ello se está realizando un plan de inversiones y crecimiento que permita asegurar la capacidad de las redes de los hospitales en nuevas áreas y sedes a gestionar. A estos efectos, Gestmaster S.A. realizará un plan de gestión de redes y servicios que permita racionalizar las inversiones y suministrar el soporte necesario para que se aborde de forma satisfactoria la nueva etapa de crecimiento de la red de interconexión entre hospitales. Módulo Gestión de Redes y Servicios Curso Página 14

15 Como primer paso, Gestmaster S.A. ha realizado un estudio de la situación actual de gestión de redes y servicios para detectar puntos débiles y fuertes que permitan elaborar una estrategia meditada de evolución e implantación de nuevas herramientas y funcionalidades. A continuación se extractan los puntos principales de dicho estudio, presentados como un análisis DAFO (Debilidades, Amenazas, Fortalezas y Oportunidades) Análisis DAFO En el siguiente análisis se intentarán detectar las distintas debilidades, amenazas, fortalezas y oportunidades que sufren los usuarios en contacto con la red de interconexión de hospitales tratadas. El fin de este análisis es detectar los problemas existentes y proponer posibles soluciones para dicha red Debilidades D1: Reiteradamente se producen quejas del resto de departamentos sobre la escasa disponibilidad de los sistemas informáticos y comunicaciones, indicando que la no disponibilidad supone pérdidas considerables de tiempo y credibilidad para el hospital. DEBILIDAD D1 DESCRIPCIÓN Escasa Disponibilidad de los sistemas informáticos y comunicaciones. DEPARTAMENTO AFECTADO(S) Todos los Departamentos del Hospital CRITICIDAD Media-Alta. Urgente. D2: Los trabajadores administrativos indican que cuando el centro el sistema de agendas no funciona, es imposible tramitar las visitas de los pacientes. Muchas de las averías duran varias horas que se pierde para dar horas a los usuarios, con los consiguientes costes y molestias para los usuarios. DEBILIDAD D2 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD Fallo en el Sistema de Agendas Atención al Usuario Administración Media-Alta. Urgente. D3: Los médicos indican que cuando la base de datos de los historiales no está disponible no pueden visitar a los usuarios o introducir los datos de la visita realizada a dicho historial. Módulo Gestión de Redes y Servicios Curso Página 15

16 DEBILIDAD D3 DESCRIPCIÓN No Disponibilidad de la Base de Datos DEPARTAMENTO AFECTADO(S) Medicina General Administrativo CRITICIDAD Media-Alta. Urgente. D4: Los administrativos también denuncian que cuando se produce alguna avería de software o hardware son atendidas por varias personas antes de que su problema sea solucionado. En caso de averías de hardware pueden tardar días en solucionarlo. DEBILIDAD D4 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Averías en Software y Hardware Todos CRITICIDAD Alta. Urgente. D5: El departamento de informática niega dichos problemas de tramitación de averías. Se justifican con una mala formación del personal administrativo. DEBILIDAD D5 DESCRIPCIÓN Tramitación de Averías DEPARTAMENTO AFECTADO(S) CRITICIDAD (Urgente, Poco Urgente, Normal) Informática Atención al Usuario (Agendas, Hospitalización, ) Alta. Urgente. D6: Se ha decidido ante los problemas entre los distintos departamentos que se realizará un informe de los tiempos de resolución, averías más comunes, disponibilidad, etc. Pero debido al gran volumen de trabajo el departamento de informática del hospital no ha podido realizar el informe. DEBILIDAD D6 DESCRIPCIÓN No elaboración de informes para la documentación de averías, tiempo de resolución, DEPARTAMENTO AFECTADO(S) Informática CRITICIDAD Alta. Urgente. Módulo Gestión de Redes y Servicios Curso Página 16

17 (Urgente, Poco Urgente, Normal) D7: En los últimos años, los hospitales catalanes han experimentado un aumento de sus visitas del 150%, esto es debido al aumento de la población mayor a 65 años y a la inmigración. Por este motivo existe un problema grave de prestaciones en las máquinas que ha impactado en la lentitud de acceso a las bases de datos corporativas. DEBILIDAD D7 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD (Urgente, Poco Urgente, Normal) Aumento del número de usuarios un 150%. Bajas Prestaciones de los Servicios. Administración Informática Hospital de Día Media-Alta. Urgente. D8: Se prevé que la red de interconexión entre hospitales crezca en los próximos años. Gracias a nuestra experiencia anterior de incorporar nuevos hospitales en nuestra red donde se produjeron importantes problemas de disponibilidad y fallos de servicio al poner en explotación nuevas versiones de los sistemas. Por lo tanto, deberemos prever estos problemas en nuestra futura expansión de la red. DEBILIDAD D8 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD (Urgente, Poco Urgente, Normal) Crecimiento de las Infraestructuras. Explotación de Sistemas: Problemas disponibilidad y Fallos Informática Administración Alta. Urgente. D9: Debido a la epidemia de gripe que se ha sufrido este pasado invierno se produjo un colapso en las urgencias de los distintos hospitales como también un aumento de acceso a la base de datos la cual produjo momentos de colapsó. DEBILIDAD D9 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD (Urgente, Poco Urgente, Normal) Bloqueo de la BBDD. Informática Administración Quirófano Laboratorio Farmacia Media-Alta. Urgente. Módulo Gestión de Redes y Servicios Curso Página 17

18 D10: A causa de esta misma epidemia los pacientes usaron el recurso telefónico para ponerse en contacto con su médico de familia. La operadora que proporciona servicio a los distintos hospitales se colapsó lo cual supuso quejas y denuncias por parte de los usuarios al hospital. DEBILIDAD D10 DESCRIPCIÓN Colapso del Call Center por utilización masiva. DEPARTAMENTO AFECTADO(S) CRITICIDAD (Urgente, Poco Urgente, Normal) Informática Administración Quirófano Laboratorio Farmacia Media-Alta. Urgente. D11: Existe una discrepancia importante con Microsoft sobre el número de PCs en los que se encuentra instalado Office, ya que el registro en papel que se tenía se perdió y los datos de inventario no son fiables. DEBILIDAD D11 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD (Urgente, Poco Urgente, Normal) Falta de inventario de Software. Informática Administración Alta. Urgente. D12: Los departamento administrativos indican que a veces les da error la introducción de datos indicándoles que el disco duro esta lleno. Este error es arreglado al cabo de 48 horas lo cual les supone una pérdida de tiempo con un consiguiente atraso de trabajo. DEBILIDAD D12 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD (Urgente, Poco Urgente, Normal) Errores inexplicables al introducir datos en Disco Duro. Administración Informática Laboratorio Farmacia Alta. Urgente. Módulo Gestión de Redes y Servicios Curso Página 18

19 Amenazas A1: Debido a la gran importancia de interconexión entre los diferentes hospitales sobretodo cuando se producen catástrofes naturales se deberán tomar medidas de protección físicas más elevadas sobre la red tratada. AMENAZAS A1 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD La interconexión entre hospitales es deficiente cuando existen catástrofes Todos los departamentos Media-Baja. Normal. A2: Como ya hemos dicho es de vital importancia el buen funcionamiento de la red y evitar posibles fallos por lo tanto deberemos evitar la entrada de virus que pueden dañar parcial o totalmente el funcionamiento de nuestra red. AMENAZAS A2 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) CRITICIDAD Posibilidad de ataques a la infraestructura y sistemas Todos los departamentos Media-Alta. Urgente. A3: Por otra parte consideramos que los datos tratados en esta red son y deben seguir siendo confidenciales. Por eso deberemos evitar intrusos que puedan acceder a ella des de Internet u otros medios. AMENAZAS A3 DESCRIPCIÓN DEPARTAMENTO AFECTADO CRITICIDAD Posible ataque a los datos comunicados Todos los departamentos Media-Alta. Urgente Fortalezas F1: En los hospitales cada vez se usa más el servicio de pedir visita al médico por Internet. Lo cual vemos como una ventaja competitiva frente a la medicina privada. FORTALEZA F1 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Uso con más frecuencia del servicio de pedir visita en Internet Atención al Usuario Informática Módulo Gestión de Redes y Servicios Curso Página 19

20 F2: Gestmaster S.A. y el departamento de informática de los hospitales han incorporado nuevos profesionales expertos para afrontar mejor el crecimiento de los sistemas de información y comunicaciones. FORTALEZA F2 DESCRIPCIÓN Profesionales formados para afrontar el crecimiento de los sistemas DEPARTAMENTO AFECTADO(S) Informática F3: Al tratarse de la administración pública posee la ventaja de que hay subvenciones para la mejora de las comunicaciones y sistemas de la información como también énfasis en conseguir una mayor calidad de ellos. FORTALEZA F3 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Mejora periódica de comunicaciones y servicios mejor calidad Todos los departamentos F4: La red de hospitales gracias a la empresa Gestmaster S.A. y sus profesionales planificaran una mejor gestión de las redes de los hospitales como también de la red que los conecta. Diseñaran nuevas aplicaciones y procesos de gestión de redes y servicios que respondan a las necesidades actuales de expansión de la red y compromiso de calidad de servicio. FORTALEZA F4 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Planificación óptima de redes Diseño de Aplicaciones Diseño de Procesos de Gestión Mejor gestión de redes con QoS Informática Sistemas de Información F5: Cabe destacar la amplia experiencia que Gestmaster S.A. tiene en la gestión de infraestructuras. FORTALEZA F5 DESCRIPCIÓN Amplia Experiencia en Gestión de Infraestructura DEPARTAMENTO AFECTADO(S) Informática F6: Ampliación del capital y de los recursos destinados a la gestión de Sistemas de Información y Comunicaciones. Módulo Gestión de Redes y Servicios Curso Página 20

21 FORTALEZA F6 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Ampliación de capital y recursos dedicados a la gestión de procesos Sistemas de Información y Comunicaciones Oportunidades O1: La conexión de nuevos hospitales a la red permitirá un mayor intercambio de datos y fármacos. OPORTUNIDADES O1 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Conexión con más hospitales. Intercambio de Datos y Fármacos Todos los departamentos O2: Las nuevas enfermedades que surgen necesitan para ser tratadas con eficiencia una buena comunicación entre los distintos hospitales nacionales e internacionales. OPORTUNIDADES O2 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Comunicación en Tiempo Real con otros hospitales Todos los departamentos O3: La futura interconexión abre la posibilidad de ampliar el área de negocio así como también el volumen. OPORTUNIDADES O3 DESCRIPCIÓN DEPARTAMENTO AFECTADO(S) Futura interconexión permitirá alcanzar un mayor volumen de negocio Todos los departamentos Módulo Gestión de Redes y Servicios Curso Página 21

22 5.4. Propuesta de Soluciones En este apartado, Gestmaster S.A. presenta los procesos de ITIL que van a dar una mejora de calidad en el servicio solucionando los problemas y deficiencias detectadas en el análisis DAFO realizado anteriormente. Cabe mencionar que en la siguiente tabla solamente mostramos los procesos escogidos para hacer frente sin una justificación ya que esta está detallada en la siguiente sección D1 Entrega de servicio Soporte de servicio Gestión de seguridad G. Disponibilidad D2 G. Disponibilidad D3 G. Disponibilidad D4 G. Disponibilidad G. Problemas D5 Centro de Atención de Usuario D6 G. Incidencias D7 G. Capacidad D8 G. Configuración D9 G. Capacidad G. Disponibilidad D10 G. Capacidad D11 G. Configuración D12 G. Capacidad G. Incidencias A1 A2 A3 X X X Módulo Gestión de Redes y Servicios Curso Página 22

23 6. IDENTIFICACIÓN DE PARÁMETROS CLAVES En este apartado se presenta los objetivos a cubrir, identificando y especificando los factores críticos de éxito (CSF) y los indicadores de prestaciones que son claves en el servicio. El siguiente análisis se ha realizado en función de los resultados obtenidos en el DAFO y al mismo tiempo justificando la elección de cada proceso a implantar dentro de la red hospitalaria Soporte de Servicio Dentro de Soporte de Servicio de ITIL, se va a implementar los siguientes procesos: Centro de Atención al Usuario El Centro de Atención al Usuario tiene como objetivo unificar el punto de contacto con los usuarios Critical Success Factor Los factores críticos de éxito son los elementos necesarios para una organización pueda funcionar de manera satisfactoria, es decir, los factores críticos identifican los elementos importantes para el éxito de un negocio. Para la gestión del Centro de Atención al Usuario hemos definido los siguientes Factores Críticos de Éxito para una mejor percepción de la gestión técnica al usuario: Es de vital importancia el control de llamadas recibidas en el Service Desk y derivadas de él a otros procesos para el buen funcionamiento del CAU como también para el buen funcionamiento del hospital. Este factor nos ayudará a conseguir un buen escalado en el Service Desk. En el Centro de Atención al Usuario es necesario controlar el número de usuarios atendidos así como el tiempo que se les debe destinar con el fin de mejorar nuestra atención al cliente. La media de tiempo usado y el coste para solventar una incidencia a cada usuario. Igualmente recoger el dato para las incidencias resueltas al nivel 1 (Call Centre) y las que son pasadas a nivel 2 y 3. Aquí se intenta buscar mediante un software el enlace entre el Call Centre el cual lo consideramos el nivel 1 del Service Desk con el resto de niveles del mismo. Este software común deberá facilitar la comunicación entre los distintos niveles y de este modo disminuir los costes por incidencia. Módulo Gestión de Redes y Servicios Curso Página 23

24 Key Performance Indicator Una vez definidos los factores que identifican o suponen el éxito en una organización, se van a definir los Indicadores de rendimiento, que son los parámetros que identificarán las métricas que se van a utilizar para conseguir paliar las deficiencias actuales y obtener el máximo rendimiento al sistema seguidamente. 1. Es de vital importancia el control de llamadas recibidas en el Service Desk y derivadas de él a otros procesos para el buen funcionamiento del CAU como también para el buen funcionamiento del hospital. Este factor nos ayudará a conseguir un buen escalado en el Service Desk Número de llamadas atendidas por día, mes, trimestre y año en el Call Centre. Este dato nos proporciona una muy útil información que nos puede servir con el objetivo de redimensionar el personal dentro del Service Desk. El hecho de coger los datos por días nos permite analizar que días son los que se utiliza mas este servicio. Se espera una media de entre 50 y 200 llamadas por día Número de llamadas derivadas a nivel 2 y 3. El objetivo marcado es solucionar un 80% de incidencias en el primer nivel. Para comprobar que se está cumpliendo este objetivo se contabilizarán todas las llamadas que no sean solucionadas en el primer nivel y tengan que ser derivadas. Este parámetro se puede corregir modificando el nivel de conocimiento del personal que atiende en el primer nivel; exigiendo más o formando al personal Número de llamadas resueltas en el mismo Call Centre. Es un dato complementario al anterior, como ya se ha comentado el 80% de las llamadas deberían resolverse en el Call Centre. Poniendo especial énfasis en las llamadas de carácter urgente Número de llamadas perdidas. Se dimensionará el CAU con tal de que prácticamente no se pierda ninguna llamada. Ya que tratándose de un servicio a un hospital, es muy importante que el usuario se sienta atendido rápidamente. El número de llamadas perdidas tiene que ser inferior al 5% Nivel de percepción en la calidad de atención que recibe en el Call Centre. Con tal de conocer la opinión de los usuarios del CAU, se realizará una encuesta anual a todos los posibles usuarios. Se realizará en un día en el que no haya sucedido ningún problema importante recientemente con tal de que no disturbe la opinión general de los usuarios. En esta encuesta se analizarán opiniones sobre temas concretos y una opinión general de todo el servicio. Con esta información se podrá mejorar la calidad en cada una de las encuestas analizadas. Sobre un valor entre el 0 y el 10, se intentara alcanzar un nivel de satisfacción mayor a 7. Módulo Gestión de Redes y Servicios Curso Página 24

25 2. En el Centro de Atención al Usuario es necesario controlar el número de usuarios atendidos así como el tiempo que se les debe destinar El número total de usuarios atendidos en el Call Centre. Independientemente del número de llamadas, es importante conocer los usuarios atendidos para analizar el porcentaje de veces que llama cada uno de los usuarios. También es interesante hacer un perfil del tipo de usuarios que más utiliza el CAU para ajustar la atención a los usuarios más reiterativos. Este dato se medirá diariamente y se procesará de forma que se puedan conocer los distintos instantes en los que llaman más o menos usuarios. El dato esperado teniendo en cuenta la situación actual y el número de sedes a las que sed a servicio es de entorno a los 100 usuarios por día Porcentaje de usuarios atendidos con tiempo menor a la media por llamada. Este dato refleja la varianza que tiene la distribución de probabilidad en relación al tiempo de llamadas. En el caso que este porcentaje sea alto (el caso deseado), la mayoría de llamadas durarán menos que la media y únicamente existirán unas pocas llamadas que tendrán un tiempo de resolución considerablemente mayor. El valor óptimo que sería interesante conseguir se sitúa en un 70% de usuarios Porcentaje de usuarios atendidos con tiempo mayor a la media por llamada. Es el dato complementario al anterior. Tal y como se ha explicado anteriormente, el caso deseado es que el porcentaje de usuarios con tiempo mayor a la media por llamada a de ser menor que los usuarios atendidos en un tiempo mayor. El 30% de los usuarios serán atendidos en un tiempo mayor a la media Tiempo máximo por llamada Durante una llamada, existen diversas fases. En la primera, el usuario da sus datos personales al personal del CAU, seguidamente le explica el problema por el cual ha realizado la llamada. Las dos primeras fases pueden ser cuantificadas mejor, sin embargo la explicación del problema y la resolución son mucho más variables. Sin embargo se definen 15 minutos como máximo para las dos primeras fases. La resolución del problema, se llevará a cabo durante la llamada en el caso que sea menor a 15 min. Si el tiempo es mayor, la llamada se dará por terminada y se retomará cuando el problema este resuelto o se necesiten más datos. En caso que la resolución del problema sea mayor a tres horas o el personal se vea incapaz de solventarla en un tiempo menor, se escalará a niveles superiores Tiempo mínimo por llamada Se llevará un control del tiempo de todas las llamadas. Conocer cuál es tiempo mínimo por llamada, nos proporciona información sobre la complicación de los problemas resueltos. En caso de que el tiempo mínimo por llamada sea muy Módulo Gestión de Redes y Servicios Curso Página 25

26 elevado, se dispondrá a hacer una mejora del servicio. Se ha estimado que para consultas o resoluciones sencillas, podrían suceder llamadas cortas en las que se solucionase el problema en uno o dos minutos Tiempo medio por llamada Este parámetro es el más importante de los últimos tres, ya que nos da una estimación del funcionamiento global de la atención al cliente. El tiempo medio no debería ser superior a 2 horas en llamadas ordinarias y en una hora en llamadas de carácter prioritario. 3. La media de tiempo usado y el coste para solventar una incidencia a cada usuario. Igualmente recoger el dato para las incidencias resueltas al nivel 1 (Call Centre) y las que son pasadas a nivel 2 y 3. Aquí se intenta buscar mediante un software el enlace entre el Call Centre el cual lo consideramos el nivel 1 del Service Desk con el resto de niveles del mismo. Este software común deberá facilitar la comunicación entre los distintos niveles y de este modo disminuir los costes por incidencia Número de incidencias entradas en el software y cerradas en el nivel 1. Como ya se ha especificado anteriormente el número de llamadas recibidas y resueltas en el primer nivel debe ser de un 80%. Sin embargo, se puede dar el caso que en estas llamadas no solo haya incidencias; también pueden haber consultas o reclamaciones. Se ha considerado que dentro del 80% se incluyen las incidencias. El porcentaje de incidencias que se ha marcado como objetivo está fijado en un 75% de incidencias resueltas en el primer nivel Número de usuarios atendidos por hora y por trabajador de nivel 1. El gasto producido por un servicio de Call Center puede elevarse mucho dependiendo de cómo se gestione. Es por ello, imprescindible llevar un recuento de los recursos que se están utilizando en cada momento. Así que se contabilizarán los usuarios y las llamadas que atiende un trabajador del nivel 1 por cada hora trabajada. Hay que tener en cuenta que las duraciones de las llamadas son muy variables desde 2 minutos a 1 hora, por lo que evidentemente habrá que hacer un análisis más exhaustivo en caso de querer hacer un redimensionado del Call Center. Se puede deducir que un trabajador atenderá entre 1 llamada (si trata un caso complicado) hasta 20 llamadas (si se tratan de casos sencillos) Porcentaje de usuarios insatisfechos (de los atendidos) en el Call Centre. Después de cada llamada, antes de cerrarla y darla por terminada se llevará a cabo una pequeña y corta encuesta para que en caso de insatisfacción pueda quedar constancia. Si se repitiera una queja en varias ocasiones se tomarían las medidas pertinentes. En caso que el usuario no pueda por falta de tiempo u Módulo Gestión de Redes y Servicios Curso Página 26

27 otra circunstancia completar la encuesta se le realizará cuando fuera posible en el mínimo tiempo posible desde que se finalice la llamada. Mediante las encuestas se espera que más del 90% de usuarios estén por encima del 5 y que haya un mínimo de 80% por encima del Porcentaje de usuarios satisfechos (de los atendidos) en el Call Centre. Un dato complementario al anterior. Se recogerá la información con el mismo procedimiento. Se espera que este porcentaje no supere un 5% de los usuarios Nivel de aprendizaje de los trabajadores del Call Centre. El nivel de conocimiento se definirá en la implantación del Call Center. Éste podrá ser modificado según se cumplan las exigencias de resolución de llamadas. Sin embargo, creemos que el aprendizaje que realiza el personal en el mismo puesto de trabajo es muy importante ya que posiblemente las llamadas, tanto sean consultas o incidencias tendrán un grado de repetición medio- alto. Por ello, el personal tiene que tener habilidad para asimilar situaciones que supondrán una facilidad de resolución para llamadas o incidencias posteriores Gestión de Incidencias La gestión de incidencias tiene como principal objetivo el reanudar el servicio tan rápido como sea posible, minimizando el impacto adverso de éstas en la empresa Critical Success Factor Una gestión de incidencias efectiva requiere de un estudio detallado sobre los factores críticos de éxito que son los siguientes: Resolución de las incidencias rápidamente a fin de mantener la calidad del servicio IT y mantener la satisfacción del usuario. Debemos tener una base de datos común sobre las incidencias para manejar las incidencias eficientemente. Si la existencia de esta base de datos no fuera posible, no tendríamos acceso rápido a incidencias ya resueltas o en curso. En este caso se trabajaría sobre papel lo cual haría una resolución de incidencias lenta. La disponibilidad de esta base de datos y su puesta al día debe ser eficiente sino también nos disminuirá el tiempo de resolución de las incidencias. Saber lo que normalmente no funciona o se estropea sería de gran ayuda para la resolución de incidencias ya que sabiéndolo se pueden evitar y en caso de que se den resolverlas más rápido de este modo mejorar la IT y la productividad de negocio. Un sistema automatizado de gestión de incidencias es esencial para el buen funcionamiento del HelpDesk. Módulo Gestión de Redes y Servicios Curso Página 27

28 Forzar que el proceso de respuesta de incidencias este estrechamente ligado con el SLM (Service-Level Management) a fin de conseguir los objetivos fijados y obtener de este modo la satisfacción de los usuarios y los clientes Key Performance Indicator Una gestión de incidencias efectiva requiere de la definición de unos indicadores de prestaciones claves: 1. Resolución de las incidencias rápidamente a fin de mantener la calidad del servicio IT Tiempo máximo de resolución de incidencias Si la resolución de la incidencia depende de nosotros damos un plazo de 6 horas para resolverla desde que se recibe hasta que se cierra. En el caso de que no dependa de nosotros deberá ceñirse al SLA que haya con el proveedor Tiempo mínimo de resolución de incidencias El tiempo mínimo de resolución de incidencias deberá almacenarse en una variable con el fin de mejorar nuestro sistema de resolución de incidencias. Estudiando esta variable podremos controlar el funcionamiento de resolución de incidencias, es decir, observando la evolución esta variable podremos determinar la eficiencia de nuestro servicio de gestión de incidencias Tiempo medio de resolución de incidencias El tiempo medio de resolución de incidencias se deberá sacar de los tiempos de las distintas incidencias. Con esta cifra podremos saber si nuestra media esta más cerca del tiempo máximo, con lo cual deberíamos mejorar nuestro sistema, o del tiempo mínimo. Así pues, se intentará que este tiempo medio de resolución de incidencias sea inferior a 3 horas que es la mitad del tiempo máximo de resolución de incidencia Reducción del porcentaje en tiempo medio para responder a una llamada para asistencia por los operarios de primera línea. Debemos reducir el porcentaje en tiempo medio para responder a una llamada para asistencia. Queremos conseguir un sistema de resolución de incidencias rápido e eficiente, por este motivo queremos reducir el tiempo medio de repuesta des de que el técnico recibe la incidencia hasta que se pone en contacto con el cliente. Por este motivo calcularemos el tiempo medio de respuesta del técnico con el fin de disminuirlo. Intentaremos que el tiempo medio de respuesta del técnico sea menor a ½ hora y el porcentaje que debe cumplir este tiempo es del 75% de los usuarios atendidos Incremento del porcentaje de las incidencias resueltos por operarios de primera línea. Creemos que como más incidentes resueltos por operarios de nivel 1 del Service Desk menos volumen de incidencias tendrán que atender los niveles Módulo Gestión de Redes y Servicios Curso Página 28

29 superiores. Por esto cuantificaremos el número de incidencias resueltas en cada nivel e intentaremos que los de nivel 1 sea el porcentaje mayor. Intentaremos que alcance el 40% del total de incidencias resueltas Incremento del porcentaje de las incidencias resueltos por operarios de primera línea a la primera respuesta. Se puede dar el caso que una incidencia sea pasada a nivel 2 pudiendo ser resuelta a nivel 1. Y lo mismo puede pasar entre el nivel 2 y nivel 3. Así pues, contabilizaremos el porcentaje de las incidencias derivadas de un nivel inferior a un superior que no deberían haber sido derivadas. Intentaremos que este porcentaje sea lo más próximo a 0 posible, es decir, creemos que su valor será de 0,1% de las incidencias totales Reducción del porcentaje de incidencias asignados incorrectamente. En este caso las incidencias son clasificadas según el tipo de incidencia. Las distintas categorías serán por ejemplo por nivel, por tipo de aplicación, por tiempos de resolución En todo caso puede que se clasifique mal alguna incidencia con lo cual al consultar su informe, posteriormente cuando ésta estuviera cerrada, o no se encontraría su informe o nos daría información errónea en caso de que fuera similar o igual Reducción del porcentaje de incidencias categorizados incorrectamente. En este caso se intenta disminuir el tiempo que transcurre desde el momento en que el usuario da alerta de la existencia de cierta incidencia hasta el cierre de informe de la misma. Así pues se intentara para todos estos tiempos reducirlos a la mitad estudiando de cada tipo de incidencia donde hay pérdida de tiempo Tiempo transcurrido reducido a la mitad para resolución de incidencias, analizados por código de impacto. Se intentará que el porcentaje de incidentes resueltos dentro del SLA con los hospitales y proveedores sea del 99,9%. De no ser así, los costes por indemnización nos aumentarían el coste por incidencia. Así pues, creemos que aumentando este porcentaje conseguimos de modo indirecto reducir el coste por incidencia o al menos evitar que este valor no aumente Aumento del porcentaje de incidencias resueltas dentro de los acuerdos (en SLAs) de tiempo de respuesta por código de impacto. Consideramos que el acceso a la base de datos se debe realizar sin espera alguna. Por lo tanto intentaremos que el porcentaje de disponibilidad de la base de datos sea del 99,8% de las veces. 2. Debemos tener una base de datos común sobre las incidencias para manejar las incidencias eficientemente. Si la existencia de esta base de datos no fuera posible, no tendríamos acceso rápido a incidencias ya resueltas o en curso. En este caso Módulo Gestión de Redes y Servicios Curso Página 29

30 se trabajaría sobre papel lo cual haría una resolución de incidencias lenta. La disponibilidad de esta base de datos y su puesta al día debe ser eficiente sino también nos disminuirá el tiempo de resolución de las incidencias Porcentaje de disponibilidad de la base de datos Consideramos que el acceso a la base de datos se debe realizar sin espera alguna. Por lo tanto intentaremos que el porcentaje de disponibilidad de la base de datos sea del 99,8% de las veces. Por otro lado como se detalla más adelante la espera máxima para la base de datos es de 10 segundos, en caso de cambiar datos en ella y guardar los cambios o acceder a alguno de ellos Tiempo medio de acceso El tiempo medio por acceso de un técnico a la base de datos para consultar los informes o estados de las incidencias se intentará que sea menor a 4 segundos. Es decir, intentaremos que el tiempo que tarde el software en hacer una consulta y obtener la información requerida sea menor a estos 4 segundos. Una cifra mayor a esta consideraremos que tiene una calidad menor a la especulada en el proceso de gestión de disponibilidad. 3. Saber lo que normalmente no funciona o se estropea sería de gran ayuda para la resolución de incidencias ya que sabiéndolo se pueden evitar y en caso de que se den resolverlas más rápido de este modo mejorar la IT y la productividad de negocio como también mantener la satisfacción del usuario Medir coste medio por incidencia. Intentaremos medir el coste medio por incidencia con el fin de reducirlo a un coste medio por incidencia mínimo. Este coste medio por incidencia estará calculado a partir del tiempo empleado por el técnico o técnicos que resuelven la incidencia, su parte proporcional del sueldo, más un coste fijo de gastos generales y finalmente le añadiremos si fuera necesario el coste de incumplimiento del SLA Cuestionarios a los usuarios del sistema Se pasará cada trimestre un cuestionario a todos los usuarios con el fin de captar el nivel de satisfacción de los usuarios como también saber posibles insatisfacciones no conocidas por nosotros. 4. Un sistema automatizado de gestión de incidencias es esencial para el buen funcionamiento del HelpDesk Número total de incidencias. Módulo Gestión de Redes y Servicios Curso Página 30

31 Con estas dos variables podremos ver día a día, mes a mes, trimestre a trimestre, año a año la evolución de las incidencias atendidas en cada nivel. Intentaremos con estas variables detectar picos y deficiencias en el proceso de gestión de incidencias con el fin de mejorar este proceso Número total de incidencias solucionadas. Con estas dos variables podremos ver día a día, mes a mes, trimestre a trimestre, año a año la evolución de las incidencias resueltas en cada nivel y en general de todo el Service Desk. Intentaremos con estas variables detectar picos y deficiencias en el proceso de gestión de incidencias con el fin de mejorar este proceso y aumentar el número de incidencias resueltas en los niveles más bajos aunque en general buscaremos el aumento de esta cifra Número total de incidencias no solucionadas. Con estas dos variables podremos ver día a día, mes a mes, trimestre a trimestre, año a año la evolución de las incidencias resueltas en cada nivel y en general de todo el Service Desk. Intentaremos con estas variables detectar picos y deficiencias en el proceso de gestión de incidencias con el fin de mejorar el proceso de gestión de incidencias. Intentaremos disminuir el número de incidencias no solucionadas a Número total de incidencias pendientes. Esta variable será tomada día a día, semana a semana y mes a mes. Consideramos que las incidencias no deberán durar más de un día, por lo tanto si estas duran más se intentará solventarlo poniendo más técnicos en el nivel donde las incidencias se acumulan. 5. Forzar que el proceso de respuesta de incidencias este estrechamente ligado con el SLM (Service-Level Management) a fin de conseguir los objetivos fijados y obtener de este modo la satisfacción de los usuarios y los clientes Número de incidencias resueltas de acuerdo al SLM. Se intentará que el porcentaje de incidencias resueltas dentro del SLM sea del 99,8%. De no ser así, los costes por indemnización nos aumentarían el coste por incidencia. Así pues, creemos que aumentando el número de incidencias resueltas de acuerdo al SLM conseguiremos de modo indirecto reducir el coste por incidencia o al menos evitar que este valor no aumente Número de incidencias resueltas que no se han ceñido al SLM. Se captará esta variable con el fin de que sea el 0,1% del total de incidencias totales. En el caso de que este número aumente se estudiará incidencia por incidencia el por que de este aumento con el fin de garantizar la calidad de nuestro servicio. Módulo Gestión de Redes y Servicios Curso Página 31

32 Gestión de Problemas La gestión de problemas es requerida para dar solución a algunos de las incidencias repetidas que se producen Critical Success Factor A continuación, se detallan los factores críticos de éxito para que la gestión de problemas sea efectiva y eficiente: Un registro automático de incidencias efectivo con una clasificación de tipo es fundamental para un manejo de problemas exitoso. Poner unos objetivos asequibles y hacer uso de ellos para solucionar los problemas mediante personal experto en resolución de problemas. Mejorar la calidad de servicio Minimizar los impactos de los problemas Reducir coste de los problemas de los usuarios cuando se intenta acceder a algún servicio. Es esencial que haya una buena cooperación entre los procesos de gestión de incidencias y gestión de problemas para que este último funcione satisfactoriamente. Los dos procesos se complementan y a la vez necesita que un mismo personal se vea involucrado en los dos. Por eso es importante que los dos procesos hagan balance de sus actividades y compartan estos balances Key Performance Indicator Una vez que se han detallado los factores críticos de éxito, vamos a definir los indicadores de rendimiento para que la gestión de problemas sea efectiva y eficiente: 1. Un registro automático de incidencias efectivo con una clasificación de tipo es fundamental para un manejo de problemas exitoso Reducción del tiempo medio de resolución de problemas. El tiempo medio de resolución de problemas está directamente relacionado con la complejidad del mismo. Si se tiene un registro automático, se agilizará el tratamiento de los errores, por lo que el tiempo de resolución de problemas será superior a 8h en caso que el problema sea interno, es decir, sea responsabilidad de nuestra empresa y sea de vital importancia para el negocio. En caso que el problema sea externo, este tiempo se debe adaptar a las exigencias del SLA que se haya acordado con la empresa responsable Número de los estudios de tendencias. Se aumentará los estudios de tendencias con el fin de conseguir identificar causas similares y agilizar las asociaciones de nuevos problemas con otros problemas anteriores. Módulo Gestión de Redes y Servicios Curso Página 32

33 En este punto será necesaria la realización de viabilidad tanto económica como tecnológica. Dichos informes serán presentados mensualmente Reducción del tiempo medio de actualización del registro. El tiempo medio de actualización de los registros no será superior a 3s, esto permitirá que la actualización se realice de manera satisfactoria. 2. Poner unos objetivos asequibles y hacer uso de ellos para solucionar los problemas mediante personal experto en resolución de problemas Aumento del rendimiento del sistema. La administración de recursos debe ser lo más eficaz y eficiente posible para mejorar la gestión integral del servicio de modo que se satisfagan los SLAs en cuanto a disponibilidad, continuidad y fiabilidad se refiere. El aumento de rendimiento del sistema debe ser al menos de un 0,001% mensual Aumentar el número de estudios de previsiones teniendo en cuenta todos los factores y aplicando diversos métodos y patrones históricos. En este apartado se realizarán informes quincenalmente para conseguir una mayor adaptabilidad y mejoras sustanciales respecto a las medidas actuales Aumento del porcentaje de aprendizaje electrónico para formar al personal. El personal debe ser continuamente formado por lo que el mecanismo que se utilizará para formar a todo el personal será electrónico o también conocido como e-learning. Esto permite una gran flexibilidad ya que la formación puede ser seguida desde cualquier ubicación. El porcentaje de formación inicial será de un 15% y se incrementará cada año de forma gradual en un 2%. De manera que en un período de 4 años se habrá proporcionado formación a la mitad de la plantilla. 3. Mejorar la calidad de servicio 3.1. Reducción de del porcentaje de incidencias/problemas repetidos. El porcentaje de errores repetidos debe ser inferior al 5%. Este dato nos asegura que la calidad y la continuidad del servicio son acordes a los valores que se establecen en el SLA Reducción del porcentaje de incidencias y problemas que afectan al servicio de los clientes. Módulo Gestión de Redes y Servicios Curso Página 33

34 El porcentaje de problemas que afectan a los servicios debe ser inferior al 99,99% para que en caso que fuese necesario implementar alguna mejora no afecte o tenga un impacto mínimo en el rendimiento de nuestro sistema Reducción del porcentaje de incidencias y problemas conocidos encontrados. También se desea reducir los problemas encontrados por reiteración, por lo que se estima una tasa de problemas encontrados de un 0,01% Reducción del tiempo de elaboración de informes de gestión. Dado que todos los datos se van a guardar en la CMDB y que se dispondrá de sistemas Data Whare House que permitirán que el tiempo dedicado a la realización de informes de gestión sea inferior en un 80% de los casos. La tasa de reducción del tiempo se estima en un 10%. 4. Minimizar los impactos de los problemas 4.1. Reducción del tiempo medio para resolver problemas. El tiempo máximo para resolver los problemas está relacionado directamente con la índole y la gravedad del problema. Por lo que se establecen los siguientes tiempos medios de resolución: Problemas en aplicaciones: Si el problema no ha sucedido con anterioridad y tiene lugar en los servicios críticos, es decir, aquellos que deben tener una disponibilidad 24x7, el tiempo máximo de resolución debe ser de cómo máximo 2h. Si el problema ha sucedido con anterioridad y tiene lugar en los servicios críticos, el tiempo máximo de resolución debe ser cómo máximo 1h. Si el problema no ha sucedido con anterioridad y se da en los servicios no prioritarios, el tiempo máximo de resolución debe ser inferior a 4h. Si el problema ha sucedido con anterioridad y se da en los servicios no prioritarios, el tiempo máximo de resolución debe ser como máximo 3h. Problemas en la infraestructura y los sistemas: Todos los problemas deben ser resueltos en un tiempo máximo de 7h, siendo prioritarios en la resolución los problemas que se produzcan en los servicios con disponibilidad 24x7. Módulo Gestión de Redes y Servicios Curso Página 34

35 4.2. Reducción del tiempo empleado para hacer frente a errores. El tiempo hasta que un problema es resuelto, si el problema es responsabilidad de Gestmaster, no debe ser superior a 2h. Si el problema es responsabilidad de un proveedor este tiempo debe responder a las exigencias establecidas en el SLA Reducción del tiempo de identificación de problemas. El tiempo necesario para la identificación de los problemas no debe ser excesivamente grande, puesto que bajaría las prestaciones de los servicios. Este tiempo será reducido con una tasa de un 0,1% a partir del primer año de implementación de procesos Reducción del número de problemas detectados. El número de problemas detectados debe ser de un 99,99999%, de manera que se detecten casi todos los problemas sucedidos y puedan ser procesados. Este número debe incrementarse en 0, % por año a partir del tercer trimestre después de que la implantación de procesos haya tenido lugar. 5. Reducir coste de los problemas de los usuarios cuando se intenta acceder a algún servicio 5.1. Reducción porcentaje del impacto de problemas en el usuario. El servicio debe estar disponible el 99,9999% del tiempo para cumplir en primera instancia con lo acordado en el SLA. En segundo lugar este porcentaje debe maximizar la disponibilidad del servicio minimizando el impacto que la aparición de un problema tiene en el negocio y en consecuencia para el usuario Reducción del tiempo de interrupción del negocio a causa de las incidencias y los problemas. El tiempo de interrupción del servicio no debe ser superior a un 0,001% del tiempo puesto que se debe garantizar no sólo la disponibilidad del servicio sino también los tiempos definidos en los diferentes SLAs Reducción del costo que supone el resolver problemas. La resolución de problemas no sólo tiene que ser eficiente en cuanto a tiempo sino que debe serlo en cuanto a costes financieros. Los costes de la resolución de problemas no podrán superar salvo excepciones (catástrofes naturales, emergencias masivas, ) un 5% del presupuesto total disponibles para el departamento de Sistemas de Información. Módulo Gestión de Redes y Servicios Curso Página 35

36 5.4. Aumento de los cambios proactivos. Ante la posibilidad de mejorar ante los problemas se ejecutarán cambios proactivos (realizados antes de que suceda un problema) cada 30 días. Con esta medida se intenta ser más eficientes y eficaces en el tratamiento de los errores que puedan surgir. También permite elaborar informes de tendencias que permiten detectar y disminuir los costes de identificación y análisis. 6. Aumento de la cooperación entre procesos de gestión de incidencias y gestión de problemas Reducción de los costes financieros que implica la cooperación de procesos. La gestión de problemas no es un proceso aislado sino que necesita de otros procesos para su correcto funcionamiento. Por esta razón, se debe minimizar el coste económico que implica el que estos procesos se encuentren interrelacionados Reducción del número de problemas. El número de problemas no debe superar el 5%. Ahora bien, gracias a los procesos de gestión de incidencias y de gestión de cambios entre otros, se va a reducir el porcentaje de errores en un 1% a partir del primer año después de la implantación de todos los procesos Reducción del tiempo de resolución de problemas. El tiempo de resolución vendrá determinado por el tipo de problema: ámbito, impacto, prioridad, Aunque el tiempo de resolución máximo de resolución de problema no debe superar las 4h Aumento de la gestión proactiva. Ante la posibilidad de mejorar ante los problemas se ejecutarán cambios proactivos (realizados antes de que suceda un problema) cada 30 días. Asimismo, se elaborarán informes de tendencias cada 60 días comparándolos con un histórico de al menos 1 año Gestión de Configuración La gestión de configuración tiene como misión inventariar todos los componentes de la red y sus configuraciones, registrarlos y mantener el control de los mismos Critical Success Factor Los factores de éxito que se deben tener en cuenta para la implantación de la gestión de configuración: Control de activos IT Módulo Gestión de Redes y Servicios Curso Página 36

37 Soporte a la entrega de servicios IT de calidad Coherencia y correcta cohesión entre el software utilizado en la corporación. Conocimiento sobre la cantidad de versiones utilizadas y licencias pertenecientes a los equipos de la empresa. Satisfacción y conocimiento por parte de los trabajadores Key Performance Indicator Ahora vamos a ver los parámetros que determinan los factores de éxito: 1. Control de activos IT 1.1. Porcentaje del número de errores de atributos CI (Configuration Item) La infraestructura de TI está compuesta por elementos de hardware y software necesarios para entregar el servicio al usuario final y éstos son denominados elementos de configuración (CI). La información asociada se denomina atributos y es necesaria para monitorizar, gestionar y solventar futuros problemas. Entre los atributos se encuentran la versión, el estado del equipo, las características principales, Cualquier error existente en el contenido de las variables que informan sobre los CI produce dificultades cuando es necesario corregir fallos ocasionados por dicho elemento y el porcentaje de estos errores no puede superar el 5% Porcentaje del número de CIs revisados Llevar un control rutinario de los CI es necesario para asegurar un correcto estado y un funcionamiento apropiado a las exigencias de la empresa, cumpliéndose así los objetivos del elemento y facilitando la correcta coordinación con el resto de CI s. El 80% de los CI debe seguir un control rutinario que certifique su continuo buen estado, dejando al 20% restante de CI para controles esporádicos debido a su simple función de apoyo técnico y sin necesidad de invertir recursos en su revisión periódica Porcentaje de mejoras en velocidad de acceso y cambios Como se ha comentado, es necesario reducir el porcentaje de fallos cuando se desea acceder a un servicio como puede ser una base de datos, pero también lo es la velocidad con la que se accede una vez se encuentra el servicio disponible. El tiempo para el acceso a cualquier herramienta cuando se encuentra en estado de reposo o apagada no debe ser superior a 1 minuto y para el caso de la ejecución de una opción o funcionalidad una vez la herramienta se encuentre en estado de espera y ya arrancada debe ser inferior a los 6 segundos. Siguiendo las indicaciones anteriormente indicadas, los equipos informáticos no deben superar el minuto cuando estos son arrancados hasta que se encuentran totalmente disponibles para ser utilizados y ejecutar cualquier Módulo Gestión de Redes y Servicios Curso Página 37

38 programa. Tampoco debe estar por encima de los 6 segundos el tiempo invertido en cargar el software referente a cualquiera de las aplicaciones instaladas en los PC s. 2. Soporte a la entrega de servicios IT de calidad 2.1. Porcentaje de errores de servicio asociados a una incorrecta información de CIs Los problemas ocasionados con el uso de las herramientas y equipamiento técnico no siempre son relacionados con el fallo de algún componente de éstas o debido a incompatibilidades, sino que en un alto grado la causa principal es la falta de conocimientos, el mal funcionamiento, la escasez de formación o el incompleto feedback recibido por parte del software utilizado. Estos fallos determinan el nivel de fluidez en el trabajo y es importante que se sitúen bajo un 4% del tiempo de utilización de la herramienta. Por lo tanto, para el uso de una cierta herramienta durante un periodo de 3 horas diario, el tiempo de inactividad por causas de falta de información de utilización no debería superar en ningún caso los 7 minutos por día Velocidad mejorada de reparación y recuperación de los componentes. Un factor crítico, dentro de la corporación, es el tiempo de inactividad o de trabajo inadecuado debido a la espera de la reparación de cierto equipo técnico o a la provisión de algún componente del mismo. El equipo técnico de reparación y control de material tecnológico, debe solventar cualquier anomalía en el funcionamiento de las herramientas en un periodo inferior a 30 minutos cuando se refiera a problemas físicos de material e inferior a los 15 minutos cuando éste sea referente a software. En el caso de no poder cumplirse en el plazo estipulado, debe facilitarse una herramienta optativa y con las funcionalidades equivalentes que permita trabajar del mismo modo que de forma previa a la avería Grado de la satisfacción del cliente con servicios y equipos terminales. Del mismo modo que el correcto funcionamiento interno de las sedes debe ser gestionado y controlado para valorar el nivel de coordinación y aprovechamiento de las herramientas, la satisfacción del cliente es también un valor muy importante a tener en cuenta, ya que es quien recibe el servicio final y para quien está dirigido el trabajo realizado por la entidad. El grado de satisfacción del usuario final dirigido tanto al servicio recibido como a los equipos utilizados para proveer dicho servicio debe situarse sobre la puntuación de 7,5/10 para ser catalogado como correcto. Módulo Gestión de Redes y Servicios Curso Página 38

39 3. Coherencia y correcta cohesión entre el software utilizado en la corporación Número de diferentes compañías creadoras del software implantado. Debemos comprobar, conocer y restringir a un máximo de dos compañías el software perteneciente a la empresa. De este modo evitamos incompatibilidades entre material proporcionado por múltiples compañías. Se incorpora una segunda compañía, no trabajando únicamente con una, para dar la posibilidad de cubrir con ésta segunda aquel software que no sea fabricado por la primera o que carezca de las herramientas deseadas o necesarias para nuestra entidad. Solventar las incompatibilidades creadas por dos compañías es factible, mientras que localizar incompatibilidades entre múltiples compañías no optimiza los recursos y es inviable desde el punto de vista de efectividad. 4. Conocimiento sobre la cantidad de versiones utilizadas y licencias pertenecientes a los equipos de la empresa Número de diferentes versiones instaladas en un mismo periodo de tiempo. Del mismo modo que múltiples compañías pueden producir incompatibilidades en el software, versiones de una misma compañía pueden provocar el mismo problema. Por este motivo, llevar un control estricto sobre el número y tipo de versión instalada en cada máquina, facilitará en gran medida la resolución de fallos producidos por este motivo. En nuestro caso se instalará una nueva versión una vez se haya desinstalado la antigua, asegurando de éste modo que la existente en la máquina es la novedosa. A la hora de realizar la instalación es importante documentar que versión es desinstalada y cual incorporada, ayudando a la localización de versiones erróneamente instaladas sobre unas anteriores y más antiguas Cantidad de licencias obtenidas para su uso empresarial. Trabajar legalmente es importante para poder beneficiarse de los derechos como consumidor de software informático, por este motivo, la compra de licencias es vital para el funcionamiento y uso del mismo. La compra indiscriminada de licencias produce un coste excesivo, y por otra parte, la falta de licencias para cada pc de la empresa imposibilita a los trabajadores poder realizar en cualquier momento su trabajo haciendo uso de las herramientas adecuadas. En la corporación se comprarán licencias para el 80% del total de máquinas que vayan a utilizar la herramienta determinada, asegurando así que siempre exista una máquina libre para poder llevar a cabo las tareas mediante el software privado. Módulo Gestión de Redes y Servicios Curso Página 39

40 5. Satisfacción y conocimiento por parte de los trabajadores Tiempo requerido para detectar el número de versiones instaladas en los equipos. Como se ha comentado anteriormente, el conocimiento del número de versiones instaladas en cada máquina es vital para la correcta detección de un posible error y para su rápida corrección. El tiempo invertido en la detección del número de versiones existentes, y la versión utilizada en la actualidad, depende de la calidad de la documentación utilizada a la hora de hacer las instalaciones. Debido a que se lleva un control estricto, para un trabajador de la corporación no debería superar los 10 minutos el tiempo máximo de consulta y conocimiento de las actuales versiones, tratándose como inadecuado e ineficiente cualquier tiempo que exceda estos 10minutos Entrega de Servicios De los procesos de Soporte de Servicio definidos por ITIL, se ha decidido implementar los siguientes: Gestión de Disponibilidad El objetivo de la gestión de disponibilidad es planificar, medir y monitorizar para garantizar la mejora continua de la disponibilidad de la infraestructura y los servicios Critical Success Factor Los factores de éxito para una buena gestión de la disponibilidad son los siguientes: Infraestructura disponible las 24 horas del día todos los días de la semana para poder realizar comunicaciones entre sedes. Las bases de datos deben ser accesibles para guardar información del mismo modo que deben estar accesibles para su recuperación en cualquier momento. Los sistemas informáticos deben responder adecuadamente a las exigencias del negocio. La operadora que proporciona el servicio a la red de hospitales, a la hora de realizar reservas o consultas, ha de estar disponible en todo momento Key Performance Indicator Los factores de éxito están determinados por las siguientes métricas: 1. Infraestructura disponible las 24 horas del día todos los días de la semana para poder realizar comunicaciones entre sedes Tiempo de inactividad de las infraestructuras. Módulo Gestión de Redes y Servicios Curso Página 40

41 La correcta comunicación entre cada una de las sedes de los hospitales es indispensable para acelerar al máximo el tratamiento de ciertos pacientes no registrados y para optimizar el trato de la información confidencial de éstos. Las infraestructuras deben estar disponibles en cualquier momento del día, todos los días del año, siendo aceptable una caída del enlace durante un tiempo inferior a 3 minutos, equivalente a una disponibilidad superior al 99,8% 1.2. Porcentaje de caída de red. La probabilidad de la caída de la red viene relacionada directamente con el tiempo máximo permitido de inactividad. Siendo éste de máximo 3 minutos diarios, la probabilidad de encontrar la red en un momento del día inoperativa es de 0,2%. Catalogando de inaceptable cualquier tiempo superior a 3minutos y por lo tanto un porcentaje de probabilidad de caída superior al 0,2%. 2. Las bases de datos deben ser accesibles para guardar información del mismo modo que deben estar accesibles para su recuperación en cualquier momento Tiempo de inaccesibilidad. El acceso a las bases de datos debe poder realizarse sin espera alguna, ya que cualquier tiempo invertido en la espera para que esta se vuelva operativa es necesario para otras labores de administración o gestión de material. El tiempo máximo determinado como aceptable se reduce a una espera máxima de 10 segundos una vez se quiere guardar o recuperar información almacenada en la base de datos Probabilidad de encontrar la base de datos llena o inaccesible. El tiempo de inaccesibilidad y la probabilidad de encontrar la base de datos inaccesible o llena no tienen una relación directa, pero si que complementaria para el buen funcionamiento y bienestar de los trabajadores. Debido a que una probabilidad de inaccesibilidad alta, ligada con un tiempo de espera elevado, produciría inactividades en la empresa que serían una pérdida de recursos y éxitos de servicio. La probabilidad de intentar acceder a la base de datos y no poder efectuar la acción no debe ser superior al 2%. Por esta causa, si se realizan una media de 20 accesos diarios a la base de datos por parte de un trabajador, éste debe tener problemas en 0,4 accesos diarios como máximo, correspondiente a un problema de acceso cada 2,5 días. 3. Los sistemas informáticos deben responder adecuadamente a las exigencias del negocio Tiempo medio diario perdido a causa de errores técnicos o informáticos. Módulo Gestión de Redes y Servicios Curso Página 41

42 La alta criticidad de los errores cometidos a lo largo del horario laborable, ya sean por razones humanas, debidas a un software o material poco explicativo, o por motivos propiamente técnicos, desemboca en un bajo rendimiento general de la empresa. Para poder cerciorar que se trabaja correctamente, con los conocimientos adecuados y con un material idóneo para las labores a realizar, es necesario comprobar que el tiempo medio perdido por razones técnicas no supera los 10 minutos diarios por trabajador. Estos 15 minutos diarios equivalen en una jornada de 8h por trabajador a un 3% del tiempo invertido. 4. La operadora que proporciona el servicio a la red de hospitales, a la hora de realizar reservas o consultas, ha de estar disponible en todo momento Número máximo de llamadas concurrentes. La contratación de una empresa externa para cubrir un cierto servicio, como puede ser la recepción de llamadas y la asignación de horas de visita, debe estar disponible en todo momento (al tratarse de una empresa de hospitales los cuales deben cubrir urgencias). Para poder valorar las exigencias demandadas a la centralita es necesario conocer el promedio de llamadas recibidas por hora en una situación normal (cuando se habla de momento normal nos referimos a un periodo de tiempo en el que no se haya producido ningún tipo de catástrofe o accidente anormal que haya afectado a gran parte de la población). El valor de llamadas recibidas durante una hora ronda de media la cantidad de 80 llamadas. Por lo tanto este valor debe ser soportado sin ningún tipo de deficiencia en el servicio Volumen de usuarios medio atendidos/hora. Un factor importante mesurable es la cantidad máxima de llamadas que puede soportar la centralita sin indicar una saturación de la misma y obligar a volver a llamar más tarde o colocar a dicha llamada en una cola de espera. Para poder valorar positivamente la acción de recepción de llamadas, el valor de éstas debe situarse por encima de un mínimo de 10 llamadas concurrentes. Teniendo en cuenta que el tiempo medio de llamada es de 1,5minutos, soportando 10 llamadas concurrentes se puede llegar a ofrecer en una hora la atención de 400 llamadas, valor muy superior a la media/hora en una situación habitual. Las 400 llamadas/hora en situación extrema muestran que es posible superar de forma exitosa ofreciendo efectivamente el servicio si se produce una catástrofe o una situación anormal que exija una alta disponibilidad telefónica Gestión de Capacidad La gestión de capacidad es la responsable de asegurar una correcta capacidad disponible para el sistema en todo momento con el fin de cumplir los requerimientos del negocio en cuestión. En conclusión, una buena gestión de capacidad se hace necesaria para que todo el sistema garantice los recursos básicos. Módulo Gestión de Redes y Servicios Curso Página 42

43 Critical Success Factor La gestión que se llevará a cabo dentro de la red de hospitales va a ser proactiva, ya que se realizará una serie de operaciones para verificar la capacidad del sistema continuamente con el fin de no encontrarnos nunca saturados en cualquiera de los sistemas importantes de la red como puede ser la base de datos. Una gestión reactiva nos podría dar muchos problemas debido a que tendríamos muchas más incidencias y problemas, hecho que repercutiría muy negativamente en el funcionamiento de hospital o incluso la red entera. Este proceso esta estrechamente ligado a la gestión de cambios, este factor se debe a que la gestión de capacidad tendrá que evaluar y estudiar los cambios que se tendrá que realizar en el equipamiento de la red para que no quede obsoleta. Para que esto sea posible se asignará a un grupo de profesionales cualificados para que monitoricen los componentes específicos. Además se definirán un séquito de alarmas para que se envíe notificaciones a los responsables en caso que el sistema se este saturando por culpa de la capacidad. Por último también es necesario en este caso, el de una red de hospitales, redundar o duplicar la información de la base de datos de cada hospital siguiendo la gestión de seguridad. Es importante debido a que en este tipo de organización se genera gran cantidad de información y por consecuencia que no pueda ser analizada correctamente y perdida en algunas ocasiones. Para que todos los aspectos mencionados anteriormente y afrontar con garantías a las debilidades se terminen llevando a cabo con éxito es necesario seguir los factores definidos por ITIL que podemos ver a continuación: Predicciones de negocio adecuadas mediante herramientas Data Wharehouse. Conocimiento tanto de la estrategia como de los planes IT además de que estos planes sean adecuados a las posibilidades reales y correctos. Entendimiento y conocimiento de las tecnologías existentes y de las futuras para una mejor adecuación de ellas en nuestro sistema. Tener habilidad para demostrar una efectividad delante del coste a fin de conseguir una mejor calidad de servicio. Debemos conseguir una eficiente interacción con otros procesos de servicio de gestión como pueden ser la seguridad entre otros. Habilidad para planificar e implementar la correcta capacidad IT correspondiente a las necesidades reales del negocio Key Performance Indicator El éxito de un proceso a su vez, puede ser mesurado a partir de la producción de un grupo de KPIs con soporte de los CSF que en nuestro caso van a ser los siguientes: 1. Recursos sobre las predicciones Producción trimestral de predicciones sobre los requerimientos de recursos. Módulo Gestión de Redes y Servicios Curso Página 43

44 Elaboración de informes trimestrales sobre los requerimientos de los recursos Predicciones de tendencias anuales en recursos de utilización. Elaboración de informes anuales de tendencias en los recursos que se utilizan La incorporación de los planes de negocio dentro de los planes de capacidad. Se elaborarán planes de negocio para gestionar mejor la capacidad de los sistemas. 2. Tecnología Habilidad para monitorizar constantemente el comportamiento y el throughput de todos los componentes y servicios debidamente. Se monitorizarán los cambios de comportamiento y el throughput de los componentes cada 5 segundos Implementación de una nueva tecnología en paralelo con los requerimientos del negocio, como pueden ser tiempo, coste y funcionalidad. Se elaborarán informes con el tiempo, coste y funcionalidad de los requerimientos del negocio La utilización de las tecnologías antiguas no permite una buena actuación de los SLA firmados debido a los problemas que pueden suceder como son los de soporte o actuación. Se tendrá control de las tecnologías que se usan en todo el sistema, en caso que se vea que el SLA no se puede seguir a la perfección por culpa de una tecnología, esta será reemplazada por otra que si lo cumpla. 3. Rentabilidad Una reducción del pánico de compra. Que se traduce en una renovación del equipamiento siempre que se necesario además de una renovación cada X años (según el tiempo de vida útil del dispositivo, ya sea PCs, routers, switches, ) manteniendo un alineamiento con el negocio. El tiempo de vida media para cada dispositivo informático está alrededor de los 2,5 años. En algunos casos será menos y en otros más No tener una sobrecapacidad excesiva, siempre tiene que poder ser justificada por los términos del negocio. La capacidad disponible tiene que estar justificada por los términos del negocio y no podrá exceder del doble de lo necesario a excepción de casos justificados. Módulo Gestión de Redes y Servicios Curso Página 44

45 3.3. Predicciones adecuadas sobre planes de expansión. Se necesitará rediseñar anualmente la capacidad del sistema en general en función del crecimiento de trabajadores en el sector sanitario público de las ciudades donde actuamos. Paralelamente se tendrá que tener en cuenta el negocio se encuentra alineado con los planes de expansión marcados por la sociedad. Esto es debido a que la sanidad es un servicio público necesario siempre Planificar e implementar la correcta capacidad IT correspondiente con las necesidades de negocio. Mediante la realización de los informes trimestrales y anuales se verá cuáles van a ser las necesidades principales de negocio. Por lo tanto, se irán reajustando cuando sea conveniente Reducción de pérdidas en las incidencias debido a un comportamiento pobre del sistema. Se debe reducir las pérdidas en incidencias para evitar que el comportamiento del sistema se degrade en exceso Reducción en la pérdida de negocio debido a una capacidad inadecuada. Se debe garantizar que la capacidad es adecuada para que no se produzcan pérdidas en el negocio Gestión de Seguridad La Gestión de Seguridad tiene como principal objetivo velar por que la información sea correcta y completa y esté siempre a disposición del negocio y sólo sea accesible para aquellos usuarios que tienen autorización para hacerlo Critical Success Factor Dado que la información en la red de hospitales es necesaria e imprescindible, la gestión de la seguridad para cumplir con su objetivo principal debe tener las siguientes tres propiedades: Confidencialidad. La información debe ser accesible sólo a los destinatarios que se especifiquen. Integridad. La información que se transmite tiene que ser correcta y completa. Disponibilidad. La información debe ser accesible cuando sea necesario. Así pues, vamos a definir los factores de éxito como los puntos que deben cumplirse para que la gestión de seguridad sea correcta: 1. Gestión de Confidencialidad, Integridad y Disponibilidad de Servicios IT y Datos. Módulo Gestión de Redes y Servicios Curso Página 45

46 2. Proporcionar seguridad a un coste razonable ( Cost Effective ). 3. Implementación de mejoras de seguridad de forma proactiva. 4. Creación de una Política de Seguridad. 5. Elaboración de un Plan de Seguridad Key Performance Indicator Tras especificar cuales son los factores de éxito CSF, se van a especificar las medidas que contribuyen a la evaluación del progreso y/o estado de los mismos: 1. Gestión de Confidencialidad, Integridad y Disponibilidad de Servicios IT y Datos Número de incidentes causados por fallos internos en la seguridad. El número de incidentes que pueden ser admitidos por la red debido a problemas de seguridad no debe representar bajo ningún concepto más de un 2% de los fallos del sistema Número de incidentes causados por fallos externos en la seguridad. El número de incidentes que son causados por agentes externos debe ser inferior a un 1%. De lo contrario, sería necesario proveer de medidas extraordinarias o de mejoras en las aplicaciones de seguridad Número de auditorías de seguridad y fallos en tests. El número de auditorías de seguridad no será inferior al 60% sobre el total de incidencias registradas. Los fallos en tests deberán ser auditados y debidamente documentado para usos posteriores. 2. Proporcionar seguridad a un coste razonable ( Cost Effective ) Porcentaje del coste de entrega por usuario de las actividades de gestión de la seguridad. El coste de proporcionar seguridad en los servicios, infraestructuras, no debe ser superior al 40% del coste total que supone el sistema global Porcentaje del coste de entrega por usuario de las medidas de seguridad implementadas. El coste por usuario de las medidas de seguridad no debe superar el 2% sobre el coste total de las medidas de seguridad. 3. Implementación de mejoras de seguridad de forma proactiva. Módulo Gestión de Redes y Servicios Curso Página 46

47 3.1. Número de Iniciativas de mejora de Seguridad que están en proceso. Las mejoras deben incrementar progresivamente para conseguir una mejor seguridad. Por este motivo, se ha definido que cada semestre se incrementará en un 5% la inversión en seguridad. Con esta medida se quiere garantizar la continua mejora y adaptación de la seguridad Número de Iniciativas de mejora de Seguridad que se han completado en el tiempo previsto. Las mejoras que se van a implementar en la red deben completarse en el tiempo previsto en un porcentaje no inferior al 90%, es decir, se espera que el sistema y el personal sea capaz de implementar o incorporar las medidas de seguridad necesarias en el tiempo previsto en un 90% de los casos Número de Iniciativas de mejora de Seguridad que no han sido comenzadas. El número de mejoras no implementadas no debe ser superior al 5%, y se espera reducir esta tasa a un ritmo de un 0,01% por mes. Con esta tasa decremental se espera conseguir la implementación de todas las mejoras de seguridad pertinentes Número de Incidencias de Seguridad relacionadas con algún proceso de mantenimiento de seguridad que se ha llevado a cabo. El número de incidencias de seguridad se debe reducir hasta conseguir una tasa máxima de un 5%. 4. Creación de una Política de Seguridad Establecer la coordinación de procesos IT. Para establecer la coordinación entre procesos, se asignará a cada tipo de proceso una prioridad de acuerdo con aquello que se estime necesario, maximizando siempre la seguridad y minimizando el impacto económico Determinar los informes que deben ser emitidos. Cada 2 semanas se emitirá un informe con los resultados referentes a seguridad obtenidos durante las últimas dos semanas y una comparativa con los datos obtenidos durante los 6 meses anteriores Establecer el Nivel de monitorización. El nivel de monitorización nos indicará los diferentes niveles de monitorización. Estos niveles tienen que ser lo suficiente grande como para permitir la monitorización de todos los elementos de la red Responsables y Roles para cada uno de los subprocesos. Módulo Gestión de Redes y Servicios Curso Página 47

48 Para controlar el acceso de los diferentes usuarios se hace necesario el establecer responsables y roles de manera que se pueda identificar al usuario. Por ello, se implementará una ACL (Access Control List) donde se asignarán los permisos a cada uno de los usuarios. Así pues, con la implementación de este mecanismo se quiere conseguir una efectividad de cómo mínimo un 99,9999% de accesos correctos Programas de Formación. Todos los usuarios deben estar involucrados en el proceso de adaptación de nuevos procesos, por lo que se hace necesario el formar al personal. Esta formación se llevará a cabo todos los meses durante 2 semanas en un tiempo de 1 a 2 años Definición de los recursos necesarios para la gestión de Seguridad: Software, Hardware y Personal. La definición del inventario debe ser eficaz por lo que se debe realizar en un tiempo medio máximo de 2h para evitar posibles ataques o vulnerabilidades en el sistema. 5. Elaboración de un Plan de Seguridad Establecimiento de los protocolos de seguridad Los protocolos de seguridad que van a ser utilizados deben estar definidos previa la implantación de los procesos y debidamente documentados para que se puedan identificar los protocolos implicados en las diferentes transacciones Establecimiento de normas de acceso Las normas de acceso deben estar definidas (ACL) y deben ser revisadas y actualizadas continuamente para evitar posibles errores no deseados. Con este motivo, cada mes se realizará una revisión parcial de los permisos asociados a los usuarios contratados bajo un régimen temporal y cada dos meses para aquellos usuarios que tienen un contrato indefinido a tiempo parcial o completo Fijar los niveles de seguridad fijados en los SLA 3, OLA 4 y UC 5. Se definirá una clausula propia de seguridad para ejecutar la responsabilidades pertinentes en la gestión de seguridad, así como también una clausula que vendrá fijada por los diferentes SLAs que se tengan fijados con terceros. Módulo Gestión de Redes y Servicios Curso Página 48

49 Módulo Gestión de Redes y Servicios Curso Página 49

50 7. PLAN ACCIÓN El plan de acción indica las fases para la implementación de los procesos: 1. Fase Previa del Plan: Duración estimada 6 meses Estudio actual de la empresa 1.2. Estudio DAFO Inventario de Hardware 1.4. Inventario de Software 1.5. Definición de las Estructuras Organizativas 1.6. Definición de los procesos principales 2. Primera Fase del Plan: Duración estimada 5 meses Creación, Implementación y mejora del CAU Creación y mejora del servicio de gestión de incidencias Clasificación de incidencias Análisis de incidencias Resolución de incidencias Test de verificación del proceso de gestión de incidencias 2.3. Creación y mejora del servicio de gestión de problemas Clasificación de problemas Análisis de problemas Resolución de problemas Test de verificación del proceso de gestión de problemas e incidencias 2.4. Creación y mejora del servicio de gestión de configuración Creación correcta de la CMDB Actualización de la CMDB con las configuraciones pertinentes Test de verificación del proceso de gestión de configuración 2.5. Validación de procesos de gestión implantados Módulo Gestión de Redes y Servicios Curso Página 50

51 3. Segunda Fase del Plan: Duración estimada 4 meses Creación, implantación y mejora del servicio de gestión de la disponibilidad Análisis de los indicadores de gestión de disponibilidad Test de verificación del proceso de gestión de disponibilidad 3.2. Creación y puesta en marcha del servicio de gestión de nivel de servicio Análisis de los parámetros destacados para la elaboración de SLA Test de verificación del proceso de gestión de nivel de servicio 3.3. Implantación de los procesos de gestión de capacidad Análisis de los indicadores y parámetros de gestión de capacidad Test de verificación del proceso de gestión de capacidad 3.4. Validación de procesos de gestión implantados 4. Tercera Fase del Plan: Duración estimada 3 meses 4.1. Creación e implantación del servicio de gestión de la seguridad 4.2. Test de verificación del proceso de gestión de seguridad 5. Fase Post-Plan: Esta fase se llevará a cabo de forma continua para una correcta adaptación a las nuevas exigencias y tendencias Estudio de mercado Estudio de tendencias (nuevas incidencias, problemas, ) 5.3. Seguimiento de estas nuevas tendencias Mejoras o Adaptaciones de los procesos implantados. En la siguiente representación gráfica, se puede observar la estrategia de implantación de procesos Módulo Gestión de Redes y Servicios Curso Página 51

52 Figura 2: Diagrama Gantt: Planificación Temporal de Implantación Integral de ITIL A continuación vamos a detallar los recursos tanto humanos como materiales necesarios para cada una de las fases: Tarea Recursos Tiempo Creación, Implementación y Mejora de CAU 5 Ingenieros Industriales, Informáticos o Telecomunicaciones Técnicos CFGS con 1 año de experiencia Creación + Implantación: 30 días laborables Creación y Mejora del Servicio de Gestión de Incidencias Clasificación de Incidencias Análisis de Incidencias Técnicos CFGS con 3 años de experiencia 2 Ingenieros Técnicos 5 Técnicos CFGS con más de 5 años de experiencia 5 días laborables 5 días laborables Módulo Gestión de Redes y Servicios Curso Página 52

53 Resolución Incidencias Test verificación de proceso Gestión Incidencias 10 Ingenieros Técnicos 4 Ingenieros Informáticos o Telecomunicaciones 10 Ingenieros Técnicos Informáticos 10 días laborables 10 días laborables Creación y Mejora del Servicio de Gestión de Problemas Clasificación de Problemas Análisis de Problemas Resolución Problemas Test verificación de proceso Gestión Problemas Técnicos CFGS con 3 años de experiencia 2 Ingenieros Técnicos 5 Técnicos CFGS con más de 5 años de experiencia 10 Ingenieros Técnicos 4 Ingenieros Informáticos o Telecomunicaciones 10 Ingenieros Técnicos Informáticos 5 días laborables 5 días laborables 10 días laborables 10 días laborables Creación y Mejora Gestión de Configuración Creación correcta de CMDB 5 Ingenieros Informáticos, Telecomunicaciones o Industriales 10 días laborables 10 Ingenieros Técnicos Informáticos Actualización CMDB con las configuraciones 5 Ingenieros Técnicos Informáticos 5 días laborables Test verificación de proceso Gestión Configuración 10 Ingenieros Técnicos Informáticos 10 días laborables Validación Procesos Gestión Implantados 4 Ingeniero Industrial o Informático 15 días laborables Creación, Implantación y Mejora Gestión Disponibilidad Análisis Indicadores de Disponibilidad Test verificación proceso Gestión Disponibilidad 5 Ingenieros Técnicos Informáticos con más de 3 años de experiencia 10 Ingenieros Técnicos Informáticos 10 días laborables 10 días laborables Creación, Implantación y Mejora Gestión Capacidad Módulo Gestión de Redes y Servicios Curso Página 53

54 Análisis Indicadores de Capacidad Test verificación proceso Gestión de Capacidad 5 Ingenieros Técnicos Informáticos con más de 2 años de experiencia 10 Ingenieros Técnicos Informáticos 10 días laborables 10 días laborables Validación Procesos Implantados 4 Ingeniero Industrial o Informático 20 días laborables Creación e Implantación del Servicio de Gestión de la Seguridad Análisis Indicadores Seguridad e Implantación de Proceso Seguridad Test verificación proceso Gestión Seguridad 4 Ingeniero Industrial o Informático 10 Ingenieros Técnicos Informáticos 10 Ingenieros Técnicos Informáticos 30 días laborables 20 días laborables Validación de Procesos Implantados 4 Ingeniero Industrial o Informático 10 días laborables La estrategia que se propone seguir para implementar ITIL en la red de Hospitales, se corresponde con los siguientes aspectos: 1. Conocer y Entender la Estrategia de la Compañía (Fase Previa del Plan de Acción). 2. Definir la Estrategia de los Sistemas de Información (Primera, Segunda y Tercera Fase del Plan de Acción). 3. Definir el Ciclo de Vida del Servicio de Sistemas de Información 4. Herramientas de Gestión del Servicio. Módulo Gestión de Redes y Servicios Curso Página 54

55 8. PROCESOS DE GESTIÓN DE SOPORTE DE SERVICIO 8.1. Centro de Atención al Usuario Objetivo El centro de atención a los usuarios es un punto crítico en la gestión de procesos que se llevará a cabo. Concretamente el objetivo de un CAU es unificar el punto de contacto con los usuarios para evitar que cuando alguien desee solucionar un problema sea derivado continuamente a otras secciones hasta encontrar con el responsable. El CAU dará soporte para solucionar diversos problemas relacionados con el uso de tecnologías de la información o no. Desde el CAU es donde se inician otros procesos importantes como los de incidencias o problemas, es por ello que su implantación tiene una prioridad bastante alta con respecto a otros procesos Estructura CAU El caso que se estudia, una red de hospitales de ámbito nacional, tiene unas características especiales que exigen concretar algunos puntos. El CAU será centralizado. Independientemente de la sede que tenga algún problema la comunicación se hará con un único CAU que gestionará todas las peticiones y demandas. Esto tiene la ventaja de optimizar los recursos de personal al no tener que replicarlos para varias sedes. Por el contrario disminuye el conocimiento específico de los problemas pero da una visión más global de las incidencias y los problemas. La organización de la gestión será de forma jerárquica con tres niveles. El primer nivel será el encargado de recibir las llamadas de los usuarios. En caso de no poder resolver el problema se escalará al segundo nivel, y en caso que el segundo nivel tampoco pueda se escalará al tercer nivel. Las labores del Service Desk estarán localizadas únicamente en el primer nivel. Las vías de comunicación con el Service Desk serán tres, la principal vía y la que mas se fomentara será la telefónica ya que nos permite un intercambio más directo de la información. Por otra parte, también tendremos una aplicación telemática que permitirá a los usuarios conectados a Internet, transmitir peticiones, consultas o declarar alguna incidencia. Excepcionalmente también se dispondrá de personal que atenderá presencialmente a los usuarios con problemas o incidencias complejas y/o urgentes Planificación El Service Desk debe ser planificado cuidadosamente. En la fase de implantación se observan diferentes tareas. Módulo Gestión de Redes y Servicios Curso Página 55

56 Antes de todo se deben definir los Objetivos que intentará cumplir el CAU (definidos anteriormente por las KPI). Una vez que se han especificado los objetivos y las métricas asociadas, se debe proceder a la creación y formación de la plantilla. Es importante que la plantilla conozca y asimile los objetivos marcados anteriormente. El personal se tiene que involucrar en la labor para ello es necesario que se le consulten sus necesidades y se le proporcione una formación continua. Paralelamente se tiene que preparar la localización del Service Desk, éste estará formado principalmente por un Call Centre en el que se recibirán las llamadas, un punto para la atención presencial y otros puestos de trabajo para los empleados encargados de gestionar las peticiones recibidas vía Internet. Cada empleado tendrá acceso a la base de datos, desde donde se introducirán o consultarán los datos necesarios. Una vez estén finalizados los dos puntos anteriores se pondrá en funcionamiento interno el servicio. Esto significa que durante unos días se llevará a cabo trabajo no real con tal de empezar a poner en marcha el servicio y comprobar posibles fallos Funcionamiento Como ya se ha definido anteriormente la labor del CAU o Service Desk es unificar el punto de atención a los usuarios. Además de recibir las llamadas y peticiones este derivará las incidencias al proceso de incidencias. A continuación, se detalla el procedimiento a seguir para las llamadas recibidas. En primer lugar, se recogerán los datos personales de la persona atendida. Los datos recogidos serán los siguientes: Nombre y apellido Información de contacto o Número de teléfono o Centro desde el que llama o Dirección de correo electrónico ( ) Numero de identificación de personal dentro del Hospital Localización Motivo de la llamada (general) o Petición o Queja o Incidencia o Consulta Una vez que se ha recopilado la información anterior, los datos se introducirán en la base de datos se procederá a decidir como se gestionará la llamada. Existen varias opciones. Módulo Gestión de Redes y Servicios Curso Página 56

57 En caso de que el motivo de llamada sea una incidencia, se derivará la información al proceso de gestión de incidencias y ellos se encargarán de solventar la incidencia. Una vez solucionada, el personal de gestión de incidencias tiene que comunicarlo al CAU con tal de que se le comunique al usuario. Otra opción es que la causa de la llamada sea una queja, petición o consulta. En esta situación el personal del CAU debería poder solventar la llamada. En caso de no poder hacerlo, derivaría la llamada al proceso de incidencias. Finalmente se tendrá en consideración una situación especial. Excepcionalmente, si el personal del CAU detecta un problema de grandes dimensiones, como una caída general de todo el sistema o algún problema crítico en servicios básicos, se podría derivar el caso directamente al proceso de gestión de problemas. Se han definido tres tipos de contacto con el Service Desk. En el caso de utilizar la vía telefónica o presencial el procedimiento será idéntico al especificado anteriormente. Por el contrario, si se utiliza la aplicación telemática no se tendrán que recoger los datos, por parte del personal, ya que el usuario los introducirá el mismo. Una vez los datos sean introducidos en la base de datos, saltara una alarma que avisara de la nueva información y el procedimiento posterior será seguido de idéntica forma Implantación A continuación se especificarán varios parámetros a tener en cuenta durante la implantación del Service Desk. o Disponibilidad: Para la disponibilidad tendremos en cuenta una política de prioridades teniendo en cuenta al problema que tratamos. Dentro de los hospitales hay que claramente dos tipos de problemas, los administrativos y los médicos. Para cada uno de ellos existirá una disponibilidad diferente, mientras para los temas médicos es esencial una disponibilidad 24x7, los temas administrativos únicamente necesitarían una disponibilidad 5x8. o Recursos humanos: El perfil de trabajador para el CAU dependerá del nivel donde se sitúe. En el Nivel 1 el perfil de los trabajadores es técnico. El nivel de estudios debe ser proporcional a la cantidad de incidencias que se desean solventar en el primer nivel. También hay que considerar que en el Hospital pueden existir incidencias de una prioridad muy alta, por lo que todas las llamadas que lleguen con una prioridad alta serán tratadas por personal mejor cualificado. Módulo Gestión de Redes y Servicios Curso Página 57

58 o Consideraciones importantes: Puntos destacados para la implantación y configuración Service Desk Como ya se ha comentado anteriormente, dentro del Service Desk se trabajará con un sistema de prioridades. Básicamente se diferencia en problemas vitales y problemas administrativos. o o Los problemas vitales tendrán implicaciones médicas y normalmente tienen que tener un motivo urgente. Los problemas administrativos serán todos aquellos derivados del personal administrativo o médico pero sin consecuencias urgentes. Estos problemas son de carácter secundario respecto los vitales Evaluación Uno de los puntos básicos para el buen funcionamiento del CAU es la información al usuario. Cuando se abra una incidencia, se mantendrá informado constantemente de cada avance al usuario que abrió la incidencia. Con tal de poder gestionar bien todas las incidencias de entrada es necesario llevar a cabo una monitorización de los sistemas que nos permita actuar pro-activamente y poder detectar las posibles incidencias antes que los propios usuarios. La evaluación será muy importante para conseguir un buen servicio en el Service Desk. Para ello ya se ha planteado un exhaustivo método sistema de encuestas a los usuarios para conocer su opinión y su nivel de satisfacción. Concretamente se realizarán dos tipos de encuestas. En primer caso, se hará una encuesta a cada usuario que utilice los servicios del Service Desk. La intención de la encuesta es conocer la opinión concreta del servicio recibido por lo que se pasará la encuesta una vez acabado el servicio. Debido a que puede existir la posibilidad que en ese momento, el usuario no esté disponible, se aplazará la encuesta al primer momento libre que el usuario disponga. Esta encuesta tiene que ser clara y rápida con tal de ayudar a la colaboración de los usuarios. Por ello consistirá simplemente en 5 preguntas de si o no y 5 preguntas a valorar entre 0 y 5. El objetivo de este tipo de encuesta es localizar problemas inmediatos para poder solucionarlos a tiempo. Por otra parte, anualmente se hará una encuesta a una muestra representativa de los usuarios atendidos durante el año. Estas encuestas consistirán en un conjunto más amplio de preguntas, además de preguntas de si o no y de preguntas a responder con una valoración entre 0 y 5 también se incluirán preguntas abiertas con tal de poder recibir opiniones de los usuarios. Mediante la interpretación de estas encuestas se pretende localizar el motivo de las posibles quejas detectadas e intentar mejorar el servicio. Módulo Gestión de Redes y Servicios Curso Página 58

59 Además de las encuestas realizadas, existirá un servicio que atenderá las quejas sobre el propio servicio. Por otra parte, también se llevará a cabo un seguimiento de la opinión de los trabajadores ya que su opinión también es importante para poder solucionar los posibles problemas que sucedan dentro del Centro de Atención al Usuario Mantenimiento El mantenimiento del Service Desk tiene dos factores claves. Por una parte la formación del personal y por otra el soporte de tecnología utilizado. Referente al personal, es imprescindible que tengan una formación adecuada para llevar las tareas correctamente. Además de los conocimientos exigidos antes de contratar al personal, una vez incorporados se les realizarán cursos y sesiones de enseñamiento con tal de que puedan renovarse y mantenerse actualizados. Estas sesiones se enfocarán a solucionar los problemas detectados en las encuestas y que respondan a un problema de formación del personal. Por otra parte hay que tener en cuenta el software utilizado para que su utilización sea lo más eficientemente posible. Para ello se utilizará la opinión recibida de los propios trabajadores. En caso de que se detecten muchas quejas u opiniones desfavorables se considerará hacer un cambio o una adaptación del software de gestión Gestión de Incidencias Objetivo El objetivo principal de la gestión de incidencias es reanudar el servicio tan rápido como sea posible y minimizando al menos posible el impacto en las operaciones de la empresa, en este caso en el hospital. Es por este motivo que debemos asegurar el nivel más alto posible de calidad de servicio y mantener la disponibilidad. El ciclo de vida de un incidencia es el que se muestra en la siguiente figura, por esto debemos velar por el buen funcionamiento y calidad de este ciclo. Figura 3: Ciclo de vida de una incidencia Módulo Gestión de Redes y Servicios Curso Página 59

60 Estructura y Funcionamiento En la mayoría de departamentos IT y grupos especializados contribuyen en manejar incidencias en algún momento u otro. El Service Desk es el responsable de monitorizar el proceso de resolución de todas las incidencias registradas. Por eso podemos asegurar que el Service Desk se encargará de todas la incidencias. Para conseguir una reacción eficiente y efectiva por parte del Service Desk se implantará una metodología formal de trabajo que puede ser soportada por herramientas de software, en nuestro caso NetMRG. Así pues incidencias que no pueden ser resueltas inmediatamente por el Service Desk deben de ser asignadas a grupos más especialistas. La resolución debería ser establecida tan rápido como sea posible con el fin de reanudar el servicio a los usuarios con el mínimo tiempo de interrupción en su trabajo. Después de la resolución de la causa de la incidencia y reanudación del servicio acordado, la incidencia es cerrada. El estado de una incidencia refleja su posición en su ciclo de vida. Los posibles estados de una incidencia pueden ser: nueva, aceptada, programada, asignada, en proceso, resuelta y cerrada. Las incidencias son abiertas en el primer nivel del HelpDesk el cual ya ha sido explicado en el apartado del CAU (sección 8.1 del presente documento). En éste primer nivel a parte de los datos generales del usuario que se recogen en las diferentes vías de comunicación con los usuarios, también se recogen datos referentes a la misma incidencia. Al ser una incidencia se pasa a la primera línea de soporte del proceso de gestión de incidencias que corresponde al segundo nivel del Service Desk. En este nivel se da un primer soporte inicial. Sino es resuelta se pasa a la segunda línea de soporte y así sucesivamente hasta que es resuelta. Cuando la incidencia sea resuelta se pasa el cierre a primer nivel. En esta sección explicaremos cada una de las actividades citadas anteriormente que se llevan a cabo en el proceso de gestión de incidencias. A menudo los departamentos de especialistas y los grupos de soporte son referidos como segunda o tercera línea de soporte del Service Desk. Con un buen escalado se consigue unas mayores técnicas de especialización y tiempos de resolución de incidencias menores. Así pues nuestra primera línea de soporte es el CAU que se encuentra en el primer nivel del Service Desk donde se realizará un primer contacto con el usuario. Si se trata de una incidencia o problema lo derivará a los correspondientes procesos. Pero si se trata de una petición lo derivará al proceso que se encargue del área a la que pertenece dicha petición. De todos modos podemos ver en la figura siguiente, las líneas de soporte en el proceso de gestión de incidencias que tiene n-niveles, pero como ya hemos dicho, nosotros consideramos que tenemos tres niveles de soporte. Módulo Gestión de Redes y Servicios Curso Página 60

61 Figura 4: Estructura de la gestión de incidencias En la gestión de incidencias es de vital importancia una buena asignación de los recursos humanos para cada nivel. Los recursos humanos designados en el proceso de gestión de incidencias especializadas son los que se muestran en la siguiente tabla: Creación y Mejora del Servicio de Gestión de Incidencias Clasificación de Incidencias Análisis de Incidencias Resolución Incidencias Test verificación de proceso Gestión Incidencias Técnicos CFGS con 3 años de experiencia 2 Ingenieros Técnicos 5 Técnicos CFGS con más de 5 años de experiencia 10 Ingenieros Técnicos 4 Ingenieros Informáticos o Telecomunicaciones 10 Ingenieros Técnicos Informáticos 5 días laborables 5 días laborables 10 días laborables 10 días laborables Es muy importante tener un sistema que conecte la gestión de incidencias con el resto de procesos sobretodo con la gestión de Configuración para los inventarios de dispositivos en la CMDB. Por supuesto también deberemos tener, como ya hemos mencionado anteriormente en este apartado, una estrecha relación con la gestión de Módulo Gestión de Redes y Servicios Curso Página 61

62 Problemas ya que posibles incidencias pueden ser errores o posibles incidencias pueden convertirse en errores Procesos de Gestión de Incidencias En este apartado definiremos las distintas actividades que se llevan a cabo dentro del proceso de gestión de incidencias. Las distintas actividades son las que forman el ciclo de vida de una incidencia, el cual se muestra en la siguiente figura: Figura 5: Ciclo de vida de Incidencia Las actividades que definimos en el proceso de gestión de incidencias son las siguientes: Detección de incidencia y Registro Clasificación y soporte inicial Investigación y diagnóstico Resolución y recuperación del servicio Cierre de incidencia Ownership, Monitorización, Tracking y Comunicaciones Detección de Incidencia y Registro Los detalles del Service Desk o del sistema de gestión son los datos de entrada del proceso de gestión de incidencias. Al empezar esta actividad de detección y registro de incidencias nos encontraremos con unos datos básicos de la incidencia, estaremos avisados como grupo de soporte para actuar sobre ella y deberemos empezar los procedimientos para el Service Request. Módulo Gestión de Redes y Servicios Curso Página 62

63 Una vez descrita la situación en la que nos encontramos deberemos actualizar los datos de la incidencia, reconocer si es un error en la gestión de la base de datos común y hacer una nota a los usuarios cuando la incidencia haya sido resuelta. Todas las incidencias serán registradas en un sistema de generación automática de incidencias en una base de datos. Este sistema de base de datos irá directamente ligado con la herramienta del sistema de monitorización. En esta herramienta se podrá encontrar distintos datos de diagnóstico e información de configuración de todos los dispositivos de la red. También se podrá encontrar las últimas incidencias registradas para a cada uno de los dispositivos de red Clasificación y Soporte Inicial Después de la detección y registro de la incidencia nos encontramos que debemos clasificar el tipo de incidencia y dar un soporte inicial al usuario. Para saber que se ha llegado a este punto donde se debe hacer la clasificación deberemos tener recogidos los datos de la incidencia procedentes del CAU, configurada la CMDB con los datos de la incidencia y tenemos una respuesta a la incidencia proveniente de la comparativa con los problemas y errores conocidos. Las incidencias registradas son analizadas con el fin de descubrir la razón por la cual se ha producido la incidencia. En este punto, la incidencia también debería ser clasificada ya que una buena clasificación es un punto clave para la resolución de incidencias. Las acciones que se deberán realizar para conseguir una buena clasificación y soporte inicial son las siguientes: Clasificar las incidencias recibidas. Mirar para cada incidencia y averiguar si es un problema o un error conocido. Informar al personal de gestión de problemas de la existencia de un nuevo problema proveniente de múltiples errores. Le asignamos a cada incidencia su criticidad, impacto, nivel de urgencia y según los parámetros anteriores definiremos la prioridad de esta incidencia. Determinar los detalles de configuración relatados. Dar el soporte inicial (determinar los detalles de la incidencia e intentar buscar una solución rápida a la incidencia). Cerrar la incidencia o pasarla a otro especialista que se encuentra a un nivel de soporte superior y se informa al usuario del estado de su incidencia. De las actividades anteriores destacamos las siguientes que realizará cada trabajador de un grupo de soporte con el fin de ponerles más énfasis: RFC para resolución de incidencias. Actualizar los detalles de la incidencia. Trabajar alrededor de las incidencias o enrutarlas a la segunda línea de soporte o a tercera. Módulo Gestión de Redes y Servicios Curso Página 63

64 Clasificar es el proceso de identificar la razón por la cual se ha dado la incidencia y por lo tanto asociarle su correspondiente acción de resolución. Muchas incidencias son regularmente experimentadas, es decir, repetidas y la acción de resolución apropiada son bien sabidos. Pero este no es siempre el caso y el procedimiento para encontrar la clasificación de datos de la incidencia contrastados con la de los problemas y errores conocidos es necesario. Un encuentro satisfactorio da acceso a prevenir nuevas incidencias con acciones de resolución preventivas. La clasificación es uno de los aspectos más importantes de la gestión de incidencias. Consecuentemente a continuación presentamos los parámetros que creemos más importantes para una buena clasificación: Especificar el servicio con el cual la incidencia esta relacionada. Asociar la incidencia con el KPI apropiado. Especificar el mejor grupo de especialistas que la pueden resolver. Identificar la prioridad y relacionar con el nivel de impacto al negocio. Se debe definir que preguntas se deben realizar con el fin de comprobar la información necesaria para la resolución de la incidencia que estamos tratando. Hacer un primer informe que determine la información de gestión. Identificar una relación con los errores conocidos o soluciones para cada incidencia. La clasificación final debe variar des de la clasificación inicial ya que los síntomas definidos por el usuario final normalmente no te llevan a la causa raíz de la incidencia. Es por esto que consideramos que los niveles de clasificación variaran dependiendo del detalle que se requiera. Se intentará recoger el máximo de información como sea posible con el fin de conseguir una mejor clasificación: detalles de los síntomas de las incidencias, categorización inicial de las incidencias, detalles de asociación con los CIs y el impacto sobre el negocio. El proceso de clasificación y soporte inicial permite a la gestión de incidencias ser conducido con la máxima rapidez y mínimos recursos. Es por esto que se debe escoger un software adecuado para esta clasificación y recolección de información y síntomas de las incidencias. El Service Desk recoge información sobre a lo que afecta a la CIs y entonces debería de ser posible detectar inconsistencias en la CMDB. Si se detectan datos de configuración inconsistentes se deberá informar al personal del proceso de gestión de configuración. Como ya se ha mencionado uno de los aspectos más importantes a la hora de gestionar incidencias es la asignación de la prioridad de una incidencia. Es decir, como es de importante esa incidencia según su impacto sobre el negocio. En nuestro caso esta prioridad vendrá definida según los KPI que nos hemos fijado. Si se tratará de una incidencia con Telefónica por ejemplo esta prioridad iría directamente relacionada con el SLA fijado. Así pues, podemos decir que la prioridad asignada a la incidencia depende de: El impacto de esta sobre el negocio. La urgencia de resolver esta incidencia. Módulo Gestión de Redes y Servicios Curso Página 64

65 Tamaño y complejidad de la incidencia. Los recursos disponibles corregir el fallo. El impacto es una medida a tener en cuenta ya que una incidencia o problema puede ser crítico para el negocio. El impacto en nuestro caso lo mediaremos según el número de usuarios o máquinas que se vean afectados. Se intentará que el impacto esté de acuerdo con el SLA definido para el cliente. A partir de esta medida se establecerá el contacto con cada uno de los usuarios afectados con el fin de realizar un buen diagnóstico en la próxima fase descrita. Un tercer parámetro a tener en cuenta en la clasificación es la urgencia que se debe aplicar en la resolución de la incidencia que se está tratando. La determinación del nivel de urgencia está directamente relacionada con el impacto de la incidencia. Si se da una incidencia de alto impacto, por defecto la urgencia es máxima y por lo tanto deberá ser resuelta con el mínimo tiempo posible. La finalidad del soporte inicial a una incidencia incluye tener como parámetro a medir la satisfacción del usuario. Por esto, la resolución es derivada a distintos niveles. Por esto queremos que cada persona que intervenga en la resolución de una incidencia guarde los datos de resolución, clasificación y la satisfacción del cliente. Si con la clasificación y el soporte inicial no es suficiente para encontrar una solución a la incidencia el próximo paso es la investigación y diagnostico de los datos de la incidencia. La clasificación inicial de incidencias seguirá el siguiente esquema: Origen: Lugar donde se ha detectado la categoría. Categoría: Tipo de elemento donde se detecta el problema. Dentro de esta categoría se encuentran los siguientes ámbitos: o Hardware: Identifica que el problema se ha producido en una máquina. Dentro de este campo se deberá especificar el tipo de dispositivo de acuerdo con una de las siguientes opciones: Red PC s Impresoras Dispositivos Móviles: Blackberry, PDA, Tarjetas Acceso Móvil. o Software: Identifica que el problema se ha producido en una aplicación o en un Sistema Operativo. Dentro de este campo se debe especificar una de las siguientes opciones: Aplicaciones de Tiempo Real: Video Conferencia, Audio Conferencia. Aplicaciones Elásticas: , Web Sistema Operativo Impacto: Identifica el grado de deterioro de la calidad del servicio. Módulo Gestión de Redes y Servicios Curso Página 65

66 Urgencia: Establece la demora aceptable para la solución del problema. Este campo. Prioridad: Establece el orden de resolución de problemas en función del impacto y la urgencia Investigación y Diagnóstico En este punto del proceso de gestión de una incidencia tendremos unos detalles de la incidencia actualizados y configurados desde la CMDB. Es por esto que deberemos estudiar dichos datos de la incidencia, recolectar y analizar toda la información con el fin de resolver la incidencia. Es en este punto en el cual hay el soporte en los distintos niveles, es decir, que sino es resuelta la incidencia es pasada al nivel superior con el fin de buscar la resolución a la incidencia lo más rápido posible. Durante la investigación y diagnóstico de los datos de la incidencia también se intentará proveer al usuario de una resolución temporal aunque degrade el servicio si la restauración de éste no puede ser inmediata. Se realizará esta opción con el fin de dar un servicio continuado y reducir el impacto de la incidencia en la continuidad del negocio. Por otro lado, si no se encuentra una solución rápida y eficaz también se intentará aplicar esta solución temporal con el fin de dar más tiempo a los técnicos de niveles superiores para la investigación y diagnóstico de la red y dispositivos afectados. En este caso, el cliente será notificado de esta decisión, es decir, se le comunicará que su incidencia no ha sido resuelta pero que puede reanudar su actividad a la espera de la resolución. Los datos que todo grupo de soporte deberá rellenar al recibir una petición de incidencia son: Fecha de recepción: dd/mm/aaaa hh:mm:ss (Esta fecha es recogida para especificar el tiempo que lleva abierta esta incidencia) Estado de la incidencia: Aceptada/Cerrada La información que es comunicada al cliente sobre el transcurso de la resolución de la incidencia debe de estar en este informe. Estado sobre el transcurso de la incidencia. Nivel al que se encuentra: (1,2 o 3). Revisar si la incidencia es un error conocido, un problema, una solución, un cambio planeado o una base de conocimiento. Debe constar si ha sido necesario una reevaluación de los datos provenientes del Service Desk de primer nivel. Indicar en que fase del ciclo de vida de una incidencia se encuentra. Módulo Gestión de Redes y Servicios Curso Página 66

67 Reasignar el cierre de la incidencia en el Service Desk de primer nivel Resolución y Restauración del Servicio La resolución y restauración del servicio se dará cuando ya tengamos los datos de la incidencia actualizados, alguna respuesta del RFS que afecte a la resolución de la incidencia y alguna derivación a un nivel superior o alguna solución posible. Será en esta actividad donde deberemos resolver la incidencia usando la solución encontrada o alternativamente la respuesta obtenida del RFC. Se intentara pues restaurar en este punto el servicio a partir de la solución indicada. Al terminar de restaurar el servicio al usuario mediante la solución idónea encontrada, elaboraremos un RFC para futuras resoluciones de incidencias de la misma índole, se deberá también incluir los detalles de la resolución de la incidencia en el informe que se ha realizado a lo largo de la gestión de incidencias y también actualizar los datos variables sobre el estado de la incidencia. Cuando ya se haya realizado lo anteriormente descrito solo nos quedará derivar la incidencia al nivel 1 para que este sea el encargado de cerrarla. El método de este cierre es descrito en el siguiente apartado Cierre de Incidencias El grupo de personas que trabajan en este cierre pertenecerán a nivel 1. Recibirán los datos de una incidencia resuelta para que este sea cerrada immediatamente. Entonces deberán confirmar la correcta resolución con el cliente mediante una comprobación del correcto funcionamiento del servicio. Después del cierre de la incidencia es cuando se hace la encuesta de satisfacción del cliente descrita en el CAU (sección 8.1 del presente documento). Al cerrar la incidencia se deberá actualizar los datos del proceso de resolución de la incidencia y cerrarla. Cuando la incidencia ha sido resuelta, el Service Desk debe asegurarse de los siguientes aspectos: Los datos informativos sobre la resolución de la incidencia son concisos y entendibles. Se ha hecho una clasificación completa y detallada de acuerdo con la raíz de la causa de la incidencia. Se ha llevado a cabo una resolución de la incidencia de acuerdo a lo esperado por el usuario afectado. El personal se asegurará mediante una encuesta verbalmente o por escrito. Todos los datos aplicables a las fases de control y reanudación de la incidencia como por ejemplo, la satisfacción del cliente, la localización de la incidencia, el tiempo empleado para la resolución, la persona, la fecha de inicio y de cierre Todos los KPIs definidos por Gestmaster han sido grabados en la CMDB. Módulo Gestión de Redes y Servicios Curso Página 67

68 Un buen proceso de cierre de incidencias es tan importante o más que todo el proceso de resolución ya que evitará posibles disputas entre Gestmaster y sus clientes sobre la válida gestión de la incidencia. Por esto asignaremos a un responsable que supervisará el cierre de todas las incidencias con el fin de que sea controlado posibles errores. Del mismo modo si el proceso es reabierto requeriremos que sea documentada la razón de dicha acción Ownership, Monitorización, Tracking y Comunicación Este proceso es presente y relacionado con todos los anteriores descritos. Entendemos que en este se recibirán los datos de la incidencia en cualquier estado que se encuentre. A partir de ellos, se monitorizará y escalará la incidencia mediante el software NetMRG. En todo momento se informará al usuario sobre el estado de su incidencia apoyando dicho estado con los datos extraídos de esta monitorización. La finalidad de este proceso es conseguir un informe de gestión sobre los progresos en la resolución de la incidencia. Se intentará también escalar los datos de la incidencia como los niveles de soporte y realizar con ellos informes para el cliente y comunicárselos. Las actividades a destacar de este proceso siguen el siguiente procedimiento: Monitorizar regularmente el estado y progresos de resolución y contrastarlos con los niveles de servicio definidos por los KPIs referentes a gestión de incidencias. Poner especial atención a las incidencias que son derivados entre especialistas de distintos niveles de soporte con el fin de evitar enfrentamientos entre la plantilla de soporte. Dar prioridad en la monitorización y seguimiento de las incidencias con mayor impacto. Mantener a los usuarios afectados informados de los progresos y estado de la incidencia. Comparar con incidencias anteriores parecidas. Se ha definido este procedimiento con el fin de garantizar que cada incidencia sea resuelta lo más rápido posible y dentro de los tiempos de resolución establecidos. Esta tarea de monitorización es tan importante que destinaremos una formación especializada al personal de soporte. Esta formación será empleada a los trabajadores del Service Desk de todos los niveles. Módulo Gestión de Redes y Servicios Curso Página 68

69 8.3. Gestión de Problemas Objetivo El objetivo de la gestión de problemas es minimizar el impacto de las incidencias y problemas causados por errores en las infraestructuras, aplicaciones, sistemas, etc., prevenir recurrencia de errores y prever tendencias. Figura 6: Procesos de Gestión de Problemas Procesos de Gestión de Problemas La Gestión de problemas consta de los siguientes procesos: Clasificación de Problemas Control de Problemas Control de Errores Petición de Cambios Test de verificación Monitorización Si realizamos un esquema de estas fases podría ser el siguiente: Gestión Incidencias Clasificación Problemas Monitorización Control Problemas Control Errores Petición Cambio Test Verificación Figura 7: Etapas de la Gestión de Problemas Módulo Gestión de Redes y Servicios Curso Página 69

70 Clasificación y Análisis de Problemas La clasificación de problemas se puede ver como la identificación de la posible causa que desencadena un fallo o error y que provoca alteraciones en el servicio. Para la identificación de los problemas se deberá utilizar la información contenida en la Base de Datos de Incidencias. Esta Base de Datos nos proporcionará la información relativa a las incidencias sus causas, el número de veces que ha aparecido esta incidencia y el estado de las mismas. Esta información nos permitirá identificar problemas reales y potenciales alertando de los síntomas o posibles alteraciones de servicio que se pueda producir Control de Problemas En este paso, se registrarán y clasificarán los problemas para determinar sus causas y convertirlos en errores conocidos. Esta fase se llevará a cabo cuando el análisis demuestre carencias en el servicio o bien incidencias que no han sido correlacionadas con problemas o errores conocidas o son recurrentes Identificación y Registro La identificación de problemas nos permite identificar los problemas para posteriormente poder clasificar y guardar los datos asociados en la Base de Datos de Problemas. Tanto la clasificación y el análisis están orientados a la gestión reactivas, saber como actuar en caso de error similar, pero también se encuentran orientados a la gestión proactiva, saber donde podría haber un fallo. Para la clasificación y el análisis se utilizará una herramienta de monitorización que nos permita identificar los factores más críticos en la gestión de problemas, así como clasificar los problemas de acuerdo con su origen, frecuencia, área de impacto e impacto. El registro de problemas por su parte debe recoger toda la información del problema, teniendo en cuenta la naturaleza y el impacto de las incidencias. En nuestro caso, este registro debe contener la siguiente información: Las causas de los problemas detectados, Los síntomas asociados a dichos problemas, Las soluciones que se han propuesto o realizado de manera temporal, Los servicios a los que afecta, las condiciones de los SLAs, El nivel de urgencia, la prioridad y el impacto del problema en los servicios. El estado en el que se encuentra la incidencia y/o problema. Este puede ser activo, error conocido, cerrado. Módulo Gestión de Redes y Servicios Curso Página 70

71 Clasificación y Asignación de recursos La clasificación del problema debe contener las características generales del mismo así como las áreas funcionales que pueden verse afectadas y los detalles de los diferentes elementos de configuración. Puesto que no todos los servicios son igual de prioritarios, la clasificación de los problemas vendrá determinado por: Origen: Lugar donde se ha detectado la categoría. Categoría: Tipo de elemento donde se detecta el problema. Dentro de esta categoría se encuentran los siguientes ámbitos: o Hardware: Identifica que el problema se ha producido en una máquina. Dentro de este campo se deberá especificar el tipo de dispositivo de acuerdo con una de las siguientes opciones: Red PC s Impresoras Dispositivos Móviles: Blackberry, PDA, Tarjetas Acceso Móvil. o Software: Identifica que el problema se ha producido en una aplicación o en un Sistema Operativo. Dentro de este campo se debe especificar una de las siguientes opciones: Aplicaciones de Tiempo Real: Video Conferencia, Audio Conferencia. Aplicaciones Elásticas: , Web Sistema Operativo Impacto: Identifica el grado de deterioro de la calidad del servicio. Urgencia: Establece la demora aceptable para la solución del problema. Este campo Prioridad: Establece el orden de resolución de problemas en función del impacto y la urgencia. Cuando se ha clasificado y se ha establecido la prioridad se deben asignar los recursos necesarios para asegurar que los problemas son tratados eficazmente y minimizar su impacto en los sistemas, red, aplicaciones,. En nuestro caso, los recursos serán técnicos de telecomunicaciones con una amplia experiencia, ingenieros técnicos e ingenieros superiores, tal y como se muestra en la siguiente tabla. Módulo Gestión de Redes y Servicios Curso Página 71

72 Creación y Mejora del Servicio de Gestión de Problemas Clasificación de Problemas Análisis de Problemas Resolución Problemas Test verificación de proceso Gestión Problemas Técnicos CFGS con 3 años de experiencia 2 Ingenieros Técnicos 5 Técnicos CFGS con más de 5 años de experiencia 10 Ingenieros Técnicos 4 Ingenieros Informáticos o Telecomunicaciones 10 Ingenieros Técnicos Informáticos 3 turnos de 8h, 7 días laborables 3 turnos de 8h, 5 días laborables 3 turnos de 8h, 10 días laborables 3 turnos de 8h, 10 días laborables Análisis y Diagnóstico El análisis y diagnóstico tiene como principal objetivo: Determinar las causas del problema. Proporcionar soluciones temporales a la Gestión de Incidencias de manera que se minimice el impacto que un problema pueda ocasionar en los servicios. Para llevar a cabo el análisis se debe tener en cuenta el inicio u origen del problema. De este modo se caracteriza el problema y se minimiza el tiempo necesario para encontrar una solución factible. Cuando se han determinado las causas del problema, el problema pasa a ser un error conocido y se pasa a Control de Errores para que sea solucionado Control de Errores En esta fase se registran los errores conocidos y se proponen soluciones a estos problemas para que mediante la ejecución de un RFC 12 (Request For Change) sean enviadas a la Gestión de Cambios Identificación y Registro La identificación de los errores se produce cuando se conoce la causa del problema ya que es en este momento cuando el problema se convierte en un error conocido. Una vez que se ha identificado el error, éstos se deben registrarse a fin de que se pueda resolver de forma indefinida las incidencias y problemas que lo provocaron, intentando minimizar siempre los efectos negativos en el servicio Análisis y Diagnóstico Cuando los errores se encuentran identificados y debidamente registrados se entra en una fase de análisis de posibles soluciones. Módulo Gestión de Redes y Servicios Curso Página 72

73 El análisis de los errores consiste en hacer una evaluación integral sobre el impacto que puede tener en el servicio y la infraestructura, los costes asociados a dicho error y las consecuencias de la degradación de servicio provocada por el problema que se ha sucedido (siempre se debe tener en cuenta las condiciones acordadas en el SLA). En el caso en que el impacto del problema implique una gran degradación del servicio, se emite una RFC para que se procese de manera urgente una petición de cambio. Cuando se ha determinado una solución óptima del problema y antes de ejecutar cambios en el sistema deberemos tener presente los siguientes aspectos: Idoneidad de implantar la solución a corto plazo. Cumplimiento de SLA. Costes financieros asociados a los problemas y cambios a realizar. Toda esta información debe estar almacenada en la Base de Datos de problemas Request For Change Tras el cierre del problema, se debe analizar el resultado de la implementación de los cambios que han sido necesarios para la resolución su problema. En caso de obtener un resultado positivo en este análisis se cerrará el problema y todas las incidencias relacionados con dicho problema Verificación El proceso de verificación trata de testear que las fases anteriores han sido realizadas satisfactoriamente. Una vez finalizado el análisis, se desarrolla la fase PIR 13 que debe emitir los informes correspondientes al análisis y evaluación de las etapas del problema para que forme parte de la Base de Datos de Problemas Monitorizar La monitorización consiste en el seguimiento continuo de los problemas, errores para garantizar que el servicio no sufre alteraciones importantes. Para la monitorización del estado de los problemas se pueden utilizar diferentes herramientas. Una de estas herramientas es NetMRG que es un software libre y nos permite monitorizar los dispositivos y el rendimiento de nuestro sistema. Módulo Gestión de Redes y Servicios Curso Página 73

74 8.4. Gestión de Configuración Objetivo El objetivo de la gestión de configuración es inventariar todos los componentes de la red y sus configuraciones, registrarlos y mantener el control de los mismos así como también controlar y planificar las instalaciones de nuevos componentes. Planificación Clasificación Control Reportar Figura 8: Procesos de Gestión de Configuración Procesos de Gestión de Configuración Como queda reflejado en el esquema de los procesos de Gestión de Configuración, representado mediante la Figura 8, para la implantación de la gestión de configuración se deben seguir cuatro pasos principales: Planificación Mediante la planificación se persigue el objetivo de realizar una implantación secuencial y organizada en la cual se tenga conocimiento de los objetivos perseguidos y de aquellos problemas que se desean solventar. Una correcta planificación permite obtener un proceso controlado en el cual los imprevistos sean seguidos y solucionados haciendo una reestructuración de dicha planificación. De esta manera, se evitan retrasos desconocidos en módulos dependientes a la implantación de la gestión de configuración ya que éste es comunicado con antelación y permite actuar anticipadamente. La planificación contendrá los pasos a seguir en un periodo de tiempo estipulado por el equipo técnico, así como el material y recursos físicos utilizados, para tener un conocimiento organizado de todos y cada uno de los elementos de la red, juntamente con el contenido instalado en cada uno de ellos y las versiones del mismo. Para realizar una correcta planificación es necesario conocer y evaluar cual es el estado actual y en que dista del estado en el que deseamos encontrarnos. En la fase se seleccionarán los elementos, los mecanismos y la periodicidad con la que se realizarán dichas auditorias Clasificación La clasificación es el paso en el cual determinamos y clasificamos el material existente en la organización. De esta manera se crean grupos diferenciados según el tipo de dispositivo al que se desea realizar el inventario, pudiendo asignar un tipo de recursos independientes, tanto de personal como de material. Una vez realizada la clasificación trabajaremos con material creado por una misma compañía, con elementos que sean utilizados para conseguir un mismo objetivo o con Módulo Gestión de Redes y Servicios Curso Página 74

75 dispositivos en los que esté implantado un mismo tipo de software. Mediante la clasificación se consigue una especialización por parte de los recursos asignados a la realización del inventario y por lo tanto una mayor efectividad y rapidez en su ejecución. Una clasificación coherente con los recursos que se pueden aplicar, aumenta en gran medida los resultados de la implantación del proceso. Así como se realiza una clasificación del material, también es necesario hacer una clasificación de los dispositivos en función de si se realizará un inventario del software contenido actualmente en el dispositivo o, si por el contrario, se desea instalar uno nuevo. Es de vital importancia la distinción de software novedoso y/o el implantado actualmente, ya que el trato realizado al ya contenido en la corporación debe ser preferente sobre el que se instalará en el futuro. En necesario por realizar el inventario y control del software ya implantado de forma previa al aun no contenido, ya que éste se encuentra ejecutándose y cumpliendo funciones importantes para los servicios ofrecidos por el negocio o la empresa. Debemos resaltar que el tipo de clasificación viene dado en función del impacto que tenga cada uno de los elementos en la empresa, dividiendo así en función de los objetivos, y también teniendo en cuenta la urgencia y prioridad de cada uno de ellos Control La fase de control es la encargada de realizar un seguimiento tal que asegure el cumplimiento de los objetivos estipulados por los CSF mediante los niveles asignados en las KPI s, obliga a realizar una gestión periódica que cerciore que se trabaja en los niveles requeridos. Un control efectivo requiere de un proceso de identificación de parámetros claves de éxito así como también de los indicadores y métricas asociados a dichos parámetros. Cumpliendo las métricas de los diferentes KPI s se asegura que la gestión permite conseguir los objetivos marcados por el negocio. En caso de no cumplirse alguna KPI, debe realizarse una nueva clasificación y trabajar sobre el dispositivo que en cuestión no cumpla las reglas especificadas. El control se llevará a cabo mediante los datos almacenados en la CMDB, lugar donde se encontrará toda la información relevante de los CI s de la corporación Reportar De modo paralelo al control, se debe tener conocimiento documentado sobre los pasos que se han realizado en situaciones normales de trabajo y también en caso de la aparición de excepciones. Mediante informes correctamente estructurados se puede comprobar con rapidez que nivel de profundidad ha conllevado cada uno de las tareas y posibles irregularidades que se han cometido en su implantación, pudiendo de este modo operar de nuevo, en caso de fallos, con mayor seguridad frente a la raíz real del problema. La documentación debe separarse en función de la clasificación previamente realizada, teniendo así distribuidas las tareas realizadas para cada tipo de material de la corporación y facilitando la tarea de recuperación de dicha información. Módulo Gestión de Redes y Servicios Curso Página 75

76 CMDB Como ya ha sido comentado, en la implantación de cada uno de los módulos es necesario documentar los datos obtenidos para trabajar de forma organizada, optimizando así los recursos y pasos realizados. Siguiendo el proceso de funcionamiento corporativo de soporte podemos localizar a la CMDB en cada uno de los eslabones de trabajo, interrelacionándose con éstos, a la hora de proporcionar ayuda, para almacenar los datos o por contra consultar los ya existentes introducidos previamente. En la gestión de incidencias se consultarán los datos contenidos acerca del elemento gestionado, obteniendo información útil para facilitar una posible solución eficiente que solvente la incidencia en el menor tiempo posible. La consulta a la base de datos permite evitar la proporción de un soporte que ofrezca pasos innecesarios o no eficaces para ese caso o para las características del dispositivo. La posibilidad de reconocer un problema a través de la recepción de una incidencia es realizada gracias a la CMDB, base de datos donde se han recogido el número y tipo de incidencias. Mediante la información propia de las incidencias podemos clasificar si el error que se ha producido es aislado y debe darse un trato como de tal, o por si contra, se ha repetido con demasiada frecuencia para un grupo de CI s o es demasiado grave y debe catalogarse como problema. El seguimiento mediante el continuo acceso a la CMDB es necesario para poder asegurar la corrección y correcto cierre de las incidencias recibidas y del mismo modo de los problemas. Una vez identificado un cierto problema debe ponerse en marcha la gestión de cambios, existente para redefinir un proceso o metodología, aunque no implementado en nuestra propuesta de proyecto. Una vez propuesto el cambio acorde con la actual situación de la empresa y coherente con el resto de funcionamientos corporativos, debe ser aprobado por un comité interno que acepte como correcta la solución propuesta. Ya implantada la solución, antes de ser aceptada definitivamente, tiene que ser testeada, comprobando que los datos obtenidos se encuentran dentro del baremo definido y contenido en la CMDB. Esta es la causa por la que en el testeo es necesario tener acceso a la base de datos, permitiendo identificar irregularidades en caso de no obtener datos que sean concordes con los definidos como mínimos de calidad. De forma paralela, debe llevarse un inventario que permita conocer en todo momento que elementos serán evaluados y a los cuales habrá que facilitarles solución en caso de producirse un funcionamiento anómalo. Así, en el caso de la gestión de configuración, a la hora de realizar el inventario, el contenido que define los dispositivos será introducido de forma organizada mediante formularios en la CMDB. Módulo Gestión de Redes y Servicios Curso Página 76

77 Figura 9. Relación de la CMDB con el resto de procesos Existen plantillas que nos facilitarán la incorporación de los datos haciendo uso de formularios. A continuación se muestra un ejemplo de información acerca de un CI contenido en la CMDB. Figura 10: Información asociada a CI s en la CMDB Módulo Gestión de Redes y Servicios Curso Página 77

78 9. PROCESOS DE GESTIÓN DE ENTREGA DE SERVICIO 9.1. Gestión de Disponibilidad Objetivo El principal objetivo de la gestión de la disponibilidad es planificar, medir y monitorizar para garantizar la mejora continua de la disponibilidad de la infraestructura, los servicios y de los servicios de soporte para asegurar el correcto funcionamiento, el cumplimiento de los requisitos del sistema y la satisfacción de los usuarios. Control de Requisitos Planificación Monitorización Mantenimiento Figura 11: Procesos de Gestión de Disponibilidad Procesos de Gestión de Disponibilidad La implantación de los procesos de gestión de disponibilidad siguen una serie de pasos estipulados gráficamente en la Figura 11, donde queda reflejado que de forma gradual el proceso queda insertado Control de Requisitos En primera instancia deben ser evaluados los requerimientos de la empresa sobre los clientes y sobre sus propias comunicaciones o relaciones internas. Por este motivo deben hacerse un análisis exhaustivo de los SLA ofrecidos y las necesidades corporativas para extraer así los valores de los cuales habría que disfrutar para poder desarrollar las actividades con la calidad y nivel de exigencia exigida. Los CSF extraídos hacen referencia a las necesidades de futuro e indican claramente que objetivos se deben perseguir a la hora de ofrecer el servicio con una cierta disponibilidad en función de la importancia e impacto que éste tendrá sobre el negocio. Mediante los KPIs de la gestión de disponibilidad conocemos que varemos se deben ofrecer y por lo tanto el nivel, calidad y tipo de equipamiento a instalar o reconfigurar Planificación El conocimiento sobre los objetivos perseguidos es tan importante como lo es la correcta estructuración temporal y de recursos a la hora de realizar la implantación. Un conocimiento previo sobre la dinámica y preferencias a seguir permitirá una implantación eficiente en la que se optimice el tiempo y los trabajadores que la realicen. A la hora de realizar la planificación debe estar presente la preferencia de ciertos niveles de disponibilidad frente a otros. En función de la criticidad actual de una cierta disponibilidad, deberá trabajarse inicialmente sobre ésta y dejar para un cercano futuro Módulo Gestión de Redes y Servicios Curso Página 78

79 conseguir los objetivos del resto de áreas. No puede darse la misma preferencia a la disponibilidad de la centralita que atiene las peticiones de incidencias que a la disponibilidad de la base de datos en la que se almacenan datos de unas ciertas intervenciones quirúrgicas. Aunque todos los CSFs con sus correspondientes KPIs deben conseguirse, es importante realizar la implantación previa de aquellos prioritarios que aumentan en mayor grado el correcto funcionamiento general de la empresa. Una vez realizada la planificación deben conocerse los recursos asignados a la implantación de cada servicio, sabiendo con detalle que número de trabajadores serán asignados y de que recursos materiales y temporales harán uso Monitorización La monitorización debe ser un proceso que se realice conjuntamente con la implantación de los módulos. Como se dará preferencia a ciertos CSF a la hora de realizar la gestión de disponibilidad, también ha de realizarse la monitorización de estos servicios para cerciorar que realmente los datos manejados se sitúan en el baremo aceptable de las KPIs determinadas. Se trabajará de este modo, realizando la implantación y monitorizando seguidamente, logrando cubrir de forma gradual los objetivos globales de la gestión de disponibilidad. Para la realización de la monitorización se hará servir el software NetMRG que muestra el nivel de uso de cada uno de los recursos gestionados. De forma complementaria dicho nivel puede ser mostrado gráficamente, pueden llevarse un control en caso de incumplimiento de los KPIs mediante las alarmas y es posible documentar los datos obtenidos Mantenimiento Los cambios inesperados, desconfiguraciones o valores de trabajo situados por debajo de los requisitos exigidos por la corporación, deben ser solucionados de forma proactiva, evitando que se produzca el impacto de éstos sobre el área de negocio. Mediante un mantenimiento periódico se certifica en mayor grado el buen funcionamiento y disponibilidad de los servicios en todo momento. La acción del mantenimiento conlleva la aplicación de monitorización continua para mantener los correctos niveles en cada una de las herramientas y servicios. Recursos de personal asociados a gestión de disponibilidad Control de requisitos Planificación 8 Técnicos CFGS con 2 años de experiencia en la propia empresa y con conocimiento de la situación actual 3 Ingenieros Técnicos 6 Técnicos CFGS con más de 4 años de experiencia 2 turnos de 8h, 8 días laborables 2 turnos de 8h, 6 días laborables Módulo Gestión de Redes y Servicios Curso Página 79

80 Monitorización 3 Ingenieros Técnicos 5 Ingenieros Informáticos 3 turnos de 8h, 12 días laborables Mantenimiento 6 Ingenieros Técnicos Informáticos 3 turnos de 8h. De forma continua 2 veces semanales 9.2. Gestión de Capacidad Objetivo La gestión de capacidad es la responsable de asegurar una correcta capacidad disponible para el sistema en todo momento con el fin de cumplir los requerimientos del negocio en cuestión. En conclusión, una buena gestión de capacidad se hace necesaria para que todo el sistema garantice los recursos básicos. Para la correcta gestión en este apartado será necesaria la realización de un plan de capacidad. Dicho plan va a constar de una serie de subprocesos con varias actividades que son: Gestión de la capacidad del negocio: responsable para garantizar que los requerimientos futuros de IT dentro del negocio sean considerados, planificados e implementados en un tiempo correcto, es decir cuando aun pueda ser considerado una ventaja. Podemos conseguirlo mediante el procesamiento y posterior predicciones de los datos que la misma empresa genera. Gestión de la capacidad del servicio: este proceso se va a encargar de la gestión del comportamiento real y operacional tanto del sistema como de los servicios IT utilizados por nuestros clientes. Es más, es el encargado de verificar el correcto comportamiento de todos los servicios mediante la monitorización y los informes resultantes. Este proceso precisa de gente que conozca todos los niveles del servicio y de las distintas partes del mismo. Gestión de la capacidad de los recursos: gestiona los componentes de la infraestructura IT de un modo personalizado. Tiene que garantizar que todos los componentes que tengan unos recursos finitos sean monitorizados, analizados, guardados y reportados correctamente. Adicionalmente se necesita garantizar que los recursos IT existentes en el negocio pueden hacer frente con los requerimientos del mismo. Para llevar a cabo dicha gestión ya hay un séquito de actividades predefinidas según ITIL. En nuestro caso particular lo vamos a aplicar a la perfección ya que de este modo conseguiremos el objetivo marcado de actuar la mayoría de las veces de forma proactiva y no reactiva. Estas actividades/procesos están desglosadas en cuatro y se pueden ver en el siguiente esquema: Módulo Gestión de Redes y Servicios Curso Página 80

81 Monitorización Análisis Tuning Implementación Figura 12: Relación de las actividades de la Gestión de capacidad Procesos de Gestión de Capacidad En el siguiente apartado vamos a explicar con detalle cuales van a ser los procesos o actividades que vamos a llevar a cabo para la gestión de la capacidad. Este proceso consta de 4 partes como se ha visto en la figura anterior. La estructura que seguiremos para este proceso va a ser centralizada en algunos puntos y descentralizada en otros. Por ejemplo para todo lo que comporte monitorización se va a realizar de un modo centralizado ya que así nos adaptamos al sistema ya montado para la gestión de incidencias y problemas. Para las actividades de análisis, tuning e implementación se usará una estructura descentralizada para cada hospital. Lo que queremos es que en cada sede de hospital haya un equipo de personas que se dedique a estas 3 actividades. Esto nos aportará un mejor tratamiento por zona geográfica, ya que cada hospital es distinto y los patrones de pacientes varían según donde viven. La principal diferencia que existe entre los subprocesos explicados anteriormente y estas actividades está en los datos que están siendo monitorizados y en el punto de vista que son analizados. Por ejemplo el nivel de utilización de simples componentes es de interés en la gestión de capacidad de los recursos mientras que en la gestión de capacidad de servicio nos interesará saber cuales han sido las tasas de transmisión así como los tiempos de respuesta. En los otros subprocesos nos encontramos con el mismo escenario. En conclusión, que con el fin de obtener todo este tipo de información y poder analizarla analizarla des de los diferentes puntos de vista vamos a necesitar realizar las operaciones mostradas en la Figura 12. Vamos a centrarnos estrictamente en estos parámetros ya que mediante la definición de las KPI se ha dejado claro que trabajo tiene cada subproceso Monitorización El objetivo de la monitorización en nuestro escenario recae en la importancia de controlar la utilización de cada recurso y servicio con el fin de obtener un uso optimizado tanto del hardware como del software para los niveles de negocio esperados. Para realizar esta monitorización de todos los sistemas de hardware como de software tenemos que utilizar una herramienta. Dicha herramienta será la misma que se utiliza para la detección de incidencias. Al usar la misma herramienta nos permitirá ser más eficientes que si utilizásemos una por cada tipo de gestión. Dicha herramienta Módulo Gestión de Redes y Servicios Curso Página 81

82 NetMRG se adapta perfectamente a nuestras necesidades ya que nos permite monitorizar los siguientes campos, necesarios para una correcta gestión de la capacidad en el sistema. Utilización de la CPU. Utilización de la memoria. Porcentaje de la CPU utilizado por transición y clasificado por tipo. Tasa de entrada y salida así como la utilización del dispositivo. Utilización del sistema de almacenamiento. Transacciones por segundo (máxima y media) del sistema. Tiempo de respuesta de una transacción. Perfil de la duración de los fallos del sistema. Número de golpes al sistema. Número de logs y usuarios concurrentes. Número de nodos de la red que se están usando (dispositivos de red, PC, servidores, enlaces). Dichos parámetros se verificarán cada hora por norma general, en aplicaciones donde se requiera un ancho de banda critico se verificará cada cuarto de hora. De esta forma nos aseguramos un mayor control para las aplicaciones más críticas. Una vez tenemos los datos, estos deben ser incluidos en los informes y es necesario dibujar una distinción entre los datos recogidos de la monitorización hecha normalmente, de los datos recogidos para supervisar la capacidad y el funcionamiento, ya que estos últimos van a ser utilizados para realizar predicciones y nuevos modelos de comportamiento del sistema. En definitiva que es necesario diferenciarlos y por este motivo creemos que no es necesario supervisar los niveles más de una vez por hora o de cada 15 minutos ya que en otros procesos ya se encargan de la monitorización más dura. La información recopilada de la monitorización tendrá que ser analizada en función de los parámetros de funcionamiento óptimo del sistema, en caso que superen este nivel se dispararán alarmas para que los responsables del proceso se hagan cargo y lo solucionen. Como norma general se considerará que el sistema trabaja dentro de un rango de capacidad estable cuando esta no supera el 75% de la capacidad total. En caso contrario se disparará la alarma para el dispositivo y/o sistema que sea. El caso de la base de datos es un poco distinto, ya que se trata de un factor crítico en nuestro sistema, ya que es donde guardamos toda la información de los pacientes. En este caso nos gustará tener siempre un 40% de espacio libre en la base de datos para Módulo Gestión de Redes y Servicios Curso Página 82

83 poder paliar hechos imprevisibles. En caso que estos niveles no sean los indicados se procederá a cambiarlos. El hecho de usar una monitorización de toda la red de un modo centralizado nos permitirá optimizar recursos. Para esta tarea de la gestión de capacidad será necesario a un operario por turno ya que su función es solamente la de recogida de información Análisis El objetivo de esta actividad es analizar los datos recolectados durante la monitorización con el fin de identificar tendencias del comportamiento del sistema, como puede ser por ejemplo la utilización. Del mismo modo podremos detectar comportamientos anómalos y ponerles remedio. Mediante la monitorización constante del sistema podremos comparar los valores obtenidos y compararlos con el nivel medio u óptimo esperado y así poder hacer un cambio en este valor en caso que se vea que no se necesita tan elevado o bien cambiar el equipo en cuestión. En definitiva el análisis nos permitirá adaptar el servicio a lo que realmente se necesita mediante predicciones y estudios. El análisis de los datos es un campo muy complejo y extenso. Para nuestro caso en concreto será necesario realizar análisis de datos de los siguientes comportamientos: Análisis del contenido: Tendrá que constar con análisis de los datos del sistema, los ficheros, memoria del sistema y del nivel de procesamiento del mismo). Análisis de distribuciones de carga de trabajo inapropiadas dentro de los recursos disponibles del sistema. Análisis de estrategias inapropiadas. Análisis de ineficiencias del diseño del sistema. Análisis de las tasas de transmisión del sistema: Pretendemos detectar crecimientos no esperados en diferentes partes de la red y en diferentes periodos de tiempo. Análisis del uso de la memoria del sistema: a parte de analizar si se encuentra vacía o llena vamos a verificar como se esta usando internamente y no tan generalmente. Cada uno de los análisis que se ha presentado anteriormente tendrá que ser realizado en función del comportamiento en un período determinado. En nuestro sistema va se definen tres: período de 24 horas, período de cuatro semanas y período de un año completo. En cada uno de estos informes finales tendrá que constar información de los valores medios, máximos y mínimos del sistema. También será muy importante analizar correctamente la utilización de los diferentes dispositivos del sistema en cada uno de los períodos anteriores, ya que nos puede ayudar a detectar errores o posibles incidencias en nuestro sistema. Módulo Gestión de Redes y Servicios Curso Página 83

84 En conclusión, se tendrá que presentar informes de resultados de los análisis diarios, mensuales y anuales con las indicaciones anteriores y identificando patrones de comportamiento peligroso. Para este trabajo se va a necesitar a un equipo de 10 personas por hospital, que se corresponde con la siguiente distribución: 3 encargados de los informes diarios 3 para los informes mensuales 4 para los anuales sin implicar la colaboración entre ellos Tunning Algunas veces puede suceder que el análisis de los datos monitorizados identifiquen algunas áreas de configuración que pueden ser reconfiguradas para un mejor funcionamiento del sistema o simplemente para mejorar el comportamiento de un servicio particular. Estas técnicas pueden consistir en un sinfín de reconfiguraciones. Según ITIL existen ya un grupo de predeterminadas y adecuadas para aplicar. En nuestro caso vamos utilizar solamente las siguientes técnicas de tuning: Reestructuración de la carga de trabajo: Modificar el ratio de los puntos de acceso a los Gateways puede aportarnos beneficios en ciertos momentos del día como la hora cargada. Reestructuración del tráfico de disco: Modificar la estrategia de almacenamiento en el disco de modo eficiente. Guardar datos en diferentes espacios del disco puede hacer disminuir el contenido de datos del sistema. En nuestro caso esto nos puede ser de gran ayuda ya que tenemos que tratar con gran cantidad de datos de los diferentes pacientes. Uso eficiente de la memoria: utilizar más o menos memoria en función de las circunstancias. Esta técnica puede conllevar el gasto de % elevado de procesamiento de la CPU. En caso que sea perjudicial para el sistema se declinará. Cabe mencionar que los cambios que estas técnicas conllevan van a entrar en el proceso de gestión de la configuración ya que es en este proceso donde nuestro sistema implementa los cambios a realizar en el sistema. Debe quedar claro que solamente va a ser como unas primeras recomendaciones y no una obligación. Por lo que a recursos se refiere, esta actividad va a ser realizada por las mismas personas que realizan el análisis, es decir ellas mismas se encargarán de realizar los posibles retoques. Módulo Gestión de Redes y Servicios Curso Página 84

85 Implementación El principal objetivo de esta actividad en nuestro sistema es introducir en los servicios de operaciones a tiempo real cualquier cambio que haya sido identificado mediante las actividades anteriores, la monitorización, análisis y el tuning. Cualquier cambio que se realice en esta actividad tiene que ser estrictamente supervisada y seguir el proceso de gestión de versiones y de configuración, ya que estos dos procesos son los implicados en cualquier cambio realizado en el sistema. El impacto, que pueden producir estos cambios, puede tener una implicación más grande en los clientes finales o usuarios. Cabe destacar que el impacto asociado con estos cambios tiende a ser mucho más grande que cualquier otro tipo de cambio debido al análisis que ha habido detrás. Aplicando esta actividad en nuestro sistema vamos a obtener los siguientes resultados beneficiosos para la empresa: Tendremos un impacto adverso más pequeño en los diferentes usuarios del servicio. Aumentaremos la productividad del usuario, o en nuestro caso aumentaremos la sinergia entre todos los procesos del hospital y las comunicaciones del mismo. Aumentaremos la productividad del personal destinado a IT. Reducción del número de cambios necesarios, pero al mismo tiempo mejoraremos nuestra habilidad para hacerlos de una forma más sencilla, rápida y eficaz. Tendremos un mayor control y gestión de los servicios de aplicaciones críticos del negocio. Además de todos estos valores adicionales a nuestra red, para que todo esté completamente junto, será necesario que se siga haciendo más monitorización, con el fin de obtener un patrón sobre los diferentes efectos que puedan tener los cambios en nuestro sistema. Así en caso que el cambio realizado nos dé un resultado no esperado o perjudicial para nuestra red será necesario realizar nuevos cambios o retornar a la configuración inicial. Esta actividad va a ser realizada por los mismos operarios de la actividad anterior. El motivo de hacer esta repartición recae en los subprocesos descritos al principio de este apartado. Es decir teniendo una visión general del sistema podremos realizar unas predicciones mejores en cada uno de los campos en que se dividen. En conclusión, con las siguientes actividades descritas podremos hacer frente a una gestión de la capacidad de un modo efectivo y así poder controlar cada uno de los subprocesos de la gestión de capacidad, des del punto de vista del negocio, de red y del dispositivo o sistema. Con un correcto tratamiento de los datos en cada uno de los escalones del proceso se realizarán informes de predicciones y cambios para la totalidad del sistema. Además el hecho de trabajar con una estructura mixta nos Módulo Gestión de Redes y Servicios Curso Página 85

86 permitirá poder hacer tanto cambios globales como cambios locales en beneficio de todas les sedes del sistema. Módulo Gestión de Redes y Servicios Curso Página 86

87 10. PROCESOS DE GESTIÓN DE SEGURIDAD Objetivo Los procesos de Gestión de Seguridad tienen como principal objetivo el de asegurar que la información es correcta e íntegra y está accesible y puede ser utilizada por los usuarios que están autorizados para dicho fin. Por lo que es importante que se tengan los mecanismos de gestión de seguridad correctos para lo que se ha decidido seguir los siguientes pasos: Figura 13: Ciclo de Vida de la Gestión de Seguridad Procesos de Seguridad Requisitos de Seguridad El control de los requisitos de seguridad consta de tres fases: Implementación de Políticas. Implementar la organización de seguridad Reportar La gestión de seguridad va a ser descrita en los tres niveles que se enuncian a continuación: Nivel Físico Nivel Lógico Nivel Legal Nivel Físico La seguridad a nivel físico hace referencia a la protección del hardware e instalaciones donde se encuentren ubicados. En este nivel, la gestión de seguridad pasa por tener en cuenta los siguientes aspectos: Condiciones ambientales adversas Incendios Inundaciones Robos Módulo Gestión de Redes y Servicios Curso Página 87

88 Cortes en el suministro de la red eléctrica y/o datos Catástrofes naturales Roturas o Defectos de Forma Provocados Nivel Lógico La seguridad a nivel lógico hace referencia a la protección de software, la protección de los datos, procesos y programas. Este tipo de seguridad controla el acceso ordenado de los usuarios a la información, así como que dicho acceso esté autorizado Nivel Legal Para cumplir con los objetivos de la gestión de seguridad, se deben cumplir las regulaciones, leyes, ordenaciones y decretos que hacen referencia tanto a la seguridad de datos y la seguridad de las comunicaciones. Por lo que se deben cumplir las siguientes normativas legales: Asegurar el cumplimiento de las leyes u ordenaciones relacionados con la seguridad de la información: o Relativa a la Protección de Datos: Ley Orgánica 15/1999, de Protección de Datos de Carácter Personales, LOPD 9. Reglamento de Medidas de Seguridad de los Ficheros Automatizados que obtengan Datos de Carácter Personal. Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Directiva 2002/58/CE, de 12 de julio, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas, LSSI 10 ) o Relativa a los Servicios de la Sociedad de la Información: Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico. Real Decreto 1337/1999, de 31 de julio, por el que se regula la remisión de información en materia de normas y reglamentaciones técnicas y reglamentos relativos a los servicios de la sociedad de la información. Minimizar los riesgos de seguridad que pueden causar problemas en la continuidad de servicio. Módulo Gestión de Redes y Servicios Curso Página 88

89 Los objetivos que se pueden conseguir con la implantación de los procesos de seguridad son los siguientes: Se evitarán interrupciones del servicio causadas por virus, ataques informáticos. Se minimizan el número de incidentes. Se tiene acceso a la información cuando se necesita y se preserva la integridad. Se preserva la confidencialidad, disponibilidad e integridad de los datos y la privacidad de los clientes y usuarios. Se cumplen las leyes sobre protección de datos y sobre comunicaciones electrónicas: LOPD, LSSICE, ISO 17799: Planificación La fase de planificación diferencia en cuatro actividades: Creación de SLA de seguridad Creación de Contratos de Soporte Creación de OLA Reportar Dados los tres niveles anteriores, se crea el plan de acción para la creación de un correcto proceso de gestión de seguridad. 1. Proceso de Seguridad 1.1. Análisis de parámetros CSF y KPI 1.2. Análisis de Nivel de Seguridad Nivel Físico: Gestión de Infraestructuras, Instalaciones Nivel Lógico: Gestión de Software, Procesos y Programas Nivel Legal: Gestión y Cumplimiento de Marco Legal 1.3. Implementación de Estructura de Seguridad 1.4. Evaluación de Estructura de Seguridad 1.5. Test de Verificación de Estructura de Seguridad Implementación El proceso de implementación consta de las siguientes fases: Clasificación y Gestión de Aplicaciones IT Módulo Gestión de Redes y Servicios Curso Página 89

90 POLITICA SEGURIDAD MARCO LEGAL DETECCIÓN DEBILIDADES Propuesta de Gestión de Red entre Hospitales Implementación de Seguridad Implementación de Gestión de Seguridad Implementación de Control de Acceso Reportar Para la implementación de la infraestructura de los procesos de seguridad debemos tener presente los aspectos más importantes para asegurar la seguridad en la red de los hospitales y las herramientas que mejor se adaptan al fin. En el siguiente gráfico se puede observar tanto los puntos que se deben asegurar como también las herramientas que se pueden utilizar: DETECCIÓN DE INTRUSOS ANTIVIRUS IDS SNORT Kapersky Total Space Security AUTENTICACIÓN, AUTORIZACIÓN (AA) AUTENTICACIÓN: SERVIDOR RADIUS, AUTORIZACION: ACL INTEGRIDAD, CONFIDENCIALIDAD TUNEL VPN, ECC FIRMA DIGITAL CERTIFICADO CERES SERVICIO REDES TUNELES IPSEC, FIREWALL, POLITICA ROUTING Figura 14: Solución Propuesta de Mecanismos de Seguridad Requeridos Evaluación La evaluación de la implementación y la planificación es muy importante, ya que es la fase que nos permite medir el éxito en la implementación y la planificación de seguridad. El proceso de evaluación consiste en el seguimiento de las siguientes acciones: Auditoría: Interna Evaluación basada en incidencias Módulo Gestión de Redes y Servicios Curso Página 90

91 Reportar Llegados a este punto recordamos cual es el objetivo de los procesos de seguridad: garantizar que la información es correcta e íntegra y está accesible y puede ser utilizada por los usuarios que están autorizados para un fin determinado. Hasta ahora hemos visto los aspectos más destacados de la gestión de seguridad así como aplicaciones que nos proporcionan los mecanismos que nos ayudan a conseguir este fin. Bien pues, para conseguir este objetivo y controlar todos los aspectos de seguridad se va a utilizar una herramienta de gestión de seguridad que nos permitirá monitorizar todos los aspectos de gestión de redes. Entre las herramientas de gestión que se conocen destacamos las siguientes: Altiris SecurityExpressions. Intellitactics TM SAM. System Center Operations Manager De entre estas herramientas se ha escogido: Altiris SecurityExpressions que permite evaluar el cumplimiento de normativas y requerimientos IT. También permite identificar los dispositivos o usuarios que están intentando acceder sin los permisos necesarios. Otro de los puntos fuertes de esta aplicación es la evaluación continua del estado de la seguridad y la documentación que es generada en cada evaluación de manera automática sin ralentizar la ejecución de otros procesos Mantenimiento El mantenimiento es necesario para que los procesos de seguridad sigan activos. Debido a los cambios en la infraestructura y en la estructura, los riesgos son cambiantes en el tiempo. El mantenimiento de la seguridad afecta tanto al mantenimiento de los procesos de seguridad del SLA como los planes de seguridad. Para el mantenimiento de los procesos de gestión de seguridad, se debe ejecutar las siguientes acciones: Mantenimiento de SLA, OLA Request for Change del SLA u OLA Reportar Módulo Gestión de Redes y Servicios Curso Página 91

92 11. HERRAMIENTAS Las herramientas nos permitirán monitorizar y diagnosticar los posibles fallos o empeoramientos en el rendimiento de las aplicaciones, infraestructuras y redes de las que se dispone. La información obtenida nos servirá para identificar posibles cuellos de botella y nos permite realizar estudios de tendencias para mejorar los procesos implantados. Asimismo, también se reduce el tiempo de resolución de incidencias y problemas y se aumenta las garantías de mantenimiento y las prestaciones del sistema Herramientas Disponibles Entre las herramientas disponibles destacan las siguientes: BMC Remedy IT Service Management. Esta suite unifica la gestión de Service Desk, incidencias, problemas, cambios,activos, configuración y aplicaciones con una interfaz para el acceso de los usuarios a la CMDB. Open-source Ticket Request System. Esta aplicación es de distribución libre que permite asignar tickets a las solicitudes de los usuarios, facilitando de este modo el seguimiento y manejo de las solicitudes entrantes. NetMRG. Esta aplicación es una herramienta Open Source que permite monitorizar, reportar y graficar la red. Está basada en RRDTOOL que es la herramienta gráfica que permite crear gráficos basados en los parámetros de nuestra red en una interfaz web. CA Service Management CANEXION. Esta aplicación optimiza la productividad de la organización y mejora el alineamiento de los requerimientos con los objetivos de negocio. Implementa todos los procesos de service support y service delivery. HP OpenView. Esta solución optimiza el desarrollo y gestión de las infraestructuras y aplicaciones permitiendo mejorar la eficiencia en el negocio con la consiguiente satisfacción del usuario. Centennial Device Wall. Este Software permite auditar y controlar el uso de dispositivos extraíbles. También permite definir políticas que determinan quiénes pueden grabar información, garantizando el cumplimiento de las leyes de protección de datos y evita fugas de información de la empresa. Altiris SecurityExpressions. Esta aplicación permite evaluar el cumplimiento de normativas y requerimientos IT. También permite identificar los dispositivos o usuarios que están intentando acceder sin los permisos necesarios. Otro de los puntos fuertes de esta aplicación es la evaluación continua del estado de la seguridad y la documentación que es generada en cada evaluación de manera automática sin ralentizar la ejecución de otros procesos. Módulo Gestión de Redes y Servicios Curso Página 92

93 11.2. Herramientas Elegidas Las herramientas elegidas son las siguientes: Centro de Atención al Usuario, Gestión de Incidencias, Problemas, Configuración, Disponibilidad, Capacidad: NetMRG Las razones por las que se ha elegido esta plataforma o conjunto de aplicaciones son las siguientes: o Permite integrar diferentes gestiones en una misma interfaz. o Múltiples lenguajes disponibles, por lo que se deja libertad al usuario para elegir el idioma deseado. o Minimizamos costes de formación al ser una interfaz que está toda integrada, ya que no necesitamos un experto por tecnología sino que bastará con un equipo de profesionales formados en la plataforma. Gestión de Seguridad: Altiris SecurityExpressions. Las razones por las que se ha elegido esta plataforma son las siguientes: o En la actualidad se utilizan sistemas similares en dichas aplicaciones. En la actualidad, existen hospitales que tienen unas instalaciones bastante avanzadas y nuevas, y donde la Seguridad se gestiona con un servidor a la entrada de la red (RADIUS) y un Firewall donde se halla una aplicación software ejecutándose que permite detectar accesos no permitidos. Asimismo, el control de los usuarios en zonas restringidas se realiza mediante el uso de aplicaciones biométricas que identifican unívocamente al usuario/s que desean acceder a un área. o Permite la monitorización de todos los aspectos de seguridad descritos en los objetivos IT cumpliendo así con las exigencias de la red hospitalaria. Módulo Gestión de Redes y Servicios Curso Página 93

94 12. GLOSARIO 1. ITIL: Information Technologies Infraestructure Library. Conjunto de mejores prácticas para las empresas. 2. TIC: Tecnologías de Información y Comunicaciones. Tecnologías necesarias para la gestión y transformación de la información. 3. SLA: Service Level Agreement. Acuerdo que tiene como principal objetivo el mantener y garantizar la calidad de un servicio de acuerdo a unas determinadas opciones. 4. OLA: Operation Level Agreement. Acuerdo interno cuyo objetivo es cubrir la entrega de los servicios que apoyan el negocio en la entrega de servicios. 5. UC: Underpinning Contract. Contrato con un proveedor externo que cubre la entrega de servicios que soporta la organización IT en la entrega de servicio. 6. DAFO: Debilidades, Amenazas, Fortalezas y Oportunidades. 7. CAU: Centro de Atención al Usuario. Punto de contacto del negocio con el usuario. 8. CMDB: Common Management DataBase. Es un repositorio de información de todos los componentes de un Sistema de Información. 9. LOPD: Ley Orgánica de Protección de Datos de Carácter Personal. Ley 15/1999, tiene como objetivo el garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. 10. LSSI: Ley de Servicio de la Sociedad de la Información. La directriz 2002/58/CE tiene como objetivo el velar sobre la Privacidad y garantizar la Confidencialidad de las Comunicaciones Electrónicas. 11. ISO International Organization for Standardization. Normativa o Código de buenas prácticas para la gestión de la seguridad de la información. 12. RFC: Request For Change. Petición de Cambio que se ejecuta para realizar un cambio en el sistema. 13. PIR: Post-Implementation Revision. Revisión Post implementación que evalúa el impacto del RFC, cierra el problema si los resultados son positivos y pasa la información la Gestión de Incidencias. 14. OTRS: Open-source Ticket Request System. Herramienta de gestión de tickets. Módulo Gestión de Redes y Servicios Curso Página 94

95 13. REFERENCIAS 1. Sanchez, S., Plan de Implantación ITIL, Barcelona, FOX IT: Introduction to the ITIL Infrastructure, NIESSINK F. IT Service Management. ITSM/ITIL Best Practice Process. Overview Primer. Febrero, [En línea] Disponible en: [Consulta: ] 4. ITSFM:. Version 1.0a [En línea] Disponible en: [Consulta: ] 5. The Office of Government Commerce: Planning to implement Service Management. Version 2.2. Reino Unido, CD ITIL Best Practice Series. 6. The Office of Government Commerce: ICT Infrastructure Management. Version 2.2. Reino Unido, CD ITIL Best Practice Series. 7. The Office of Government Commerce: Service Support. Version 2.2. Reino Unido, CD ITIL Best Practice Series. 8. The Office of Government Commerce: Service Delivery. Version 2.2. Reino Unido, CD ITIL Best Practice Series. 9. The Office of Government Commerce: Application Management. Version 2.2. Reino Unido, CD ITIL Best Practice Series. 10. The Office of Government Commerce: Security Management. Version 2.2. Reino Unido, CD ITIL Best Practice Series. 11. Herramienta de Detección de Intrusos: SNORT. Disponible en: [Consulta: ]. 12. Antivirus para entorno Corporativo: Kapersky Total Space Security. Disponible en: [Consulta: ]. 13. Herramienta de monitorización: NetMRG. Disponible en: [Consulta: ] 14. Herramienta de gestión de seguridad: Altiris SecurityExpressions TM Disponible en: [Consulta: ]. 15. Herramienta de gestión de seguridad: Intellitactics TM SAM. Información disponible en: [Consulta: ] 16. Herramienta de gestión de seguridad: System Center Operations Manager Disponible en: [Consulta: ] Módulo Gestión de Redes y Servicios Curso Página 95

96 14. ANEXO I. TABLA RESUMEN En las siguientes páginas se muestra una tabla resumen que contiene los objetivos del negocio, los objetivos de IT y la táctica a utilizar para conseguirlos. Asimismo, para cada táctica o proceso de gestión se ha especificado los parámetros críticos de éxito (CSF) y los indicadores claves de rendimiento (KPI) para cada uno de los factores. Módulo Gestión de Redes y Servicios Curso Página 96

97 OBJETIVOS NEGOCIO OBJETIVOS IT OBJETIVOS ESTRATEGICOS/TACTICA CSF KPI Valor KPI Racionalización TIC recursos Definición Disponibilidad Proporcionar Disponibilidad en Sistemas Asegurar Tiempos de Respuesta de Sistemas Definición Capacidad Escalabilidad de Sistemas Procesos de Gestión de Disponibilidad Procesos de Gestión de Capacidad Disponibilidad de las Infraestructuras 24x7 Accesibilidad BBDD de Respuesta adecuada de los Sistemas Disponibilidad del servicio cuando se realicen reservas o consultas Recursos sobre las predicciones Tiempo de inactividad Porcentaje de caídas de Red Tiempo de inaccesibilidad Probabilidad encontrar la BBDD llena o inaccesible Tiempo medio diario perdido a causa de errores técnicos o informáticos Número máximo de llamadas concurrentes Volumen de usuarios medio atendidos por hora Producción trimestral de predicciones sobre los requerimientos de recursos Predicciones de tendencias anuales en recursos de utilización 3 min 0,2%, 3min/día 10s 2% 10min, llamadas Informe Trimestral Informe Anual Incorporación de planes Análisis Módulo Gestión de Redes y Servicios Curso Página 97

98 Capacidad de Respuesta de los Sistemas ante incrementos de Usuario Optimización de Recursos con la Capacidad de negocio dentro de planes de capacidad Tecnologías Habilidad para monitorizar contantemente el comportamiento y el throughput de los componentes y servicios Implementación de una nueva tecnología en paralelo con los requerimientos del negocio Utilización de tecnologías antiguas no permite una buena actuación de SLA Rentabilidad Reducción del pánico de compra No tener sobrecapacidad excesiva Predicciones adecuadas sobre planes de expansión Planificar e Implementar la correcta capacidad IT correspondiente con las necesidades de negocio. mensual Cada 5s Informe cuatrimestral Análisis anual Renovación Equipos 2*C necesaria Anual Medir que la inversión en IT sea un beneficio y no un lastre para la empresa Módulo Gestión de Redes y Servicios Curso Página 98

99 Definición procedimientos para responder a niveles establecidos Asegurar de Tiempos de Respuesta Procesos de Gestión de Incidencias Resolución de incidencias rápidamente para mantener la calidad del servicio IT Reducción de pérdidas en las incidencias debido a un comportamiento pobre del sistema Reducción en la pérdida de negocio debido a capacidad inadecuada Tiempo máximo de resolución de incidencias Tiempo mínimo de resolución de incidencias Tiempo medio de resolución de incidencias Reducción del porcentaje en tiempo medio para responder a una llamada para asistencia por los operarios de primera línea Incremento del porcentaje de incidencias resueltas por operarios de primera línea a la primera respuesta Reducción porcentaje del de Decremento anual del 1% Decremento anual del 5% 6 h Mínimo posible 3 h Tiempo respuesta:30 min 75% 40% 0,1% Módulo Gestión de Redes y Servicios Curso Página 99

100 Mantenimiento de la BBDD común sobre las incidencias para manejar las de manera eficiente incidencias asignadas incorrectamente Reducción del porcentaje de incidencias categorizadas incorrectamente Tiempo transcurrido reducido a la mitad para resolución de incidencias analizados por código de impacto Aumento del porcentaje de incidencias resueltas dentro de los SLA de tiempo de respuesta por código de impacto Porcentaje de disponibilidad de BBDD Tiempo medio de acceso 0,1% 0,5*T resolucion 99,9% 99,8% Espera máxima 10s 4s Conocimiento funcionamientos anormales de Medir coste medio por incidencia Cuestionar a los usuarios del sistema Mínimo posible Cuestionario Asegurar Disponibilidad de Sistemas Sistema automatizado gestión incidencias de de Número total de incidencias Reducir respecto al año anterior un 0,01% Módulo Gestión de Redes y Servicios Curso Página 100

101 Definición de Parámetros de Seguridad Proporcionar Capacidad de Respuesta ante posibles Ataques en Infraestructuras y Sistemas Procesos de Gestión de Seguridad Forzar que el proceso de respuesta de incidencias este estrechamente ligado con el SLM Gestión de confidencialidad, integridad y disponibilidad de servicios IT y datos Proporcionar seguridad a un coste razonable ( Cost Effective ) Número total de incidencias solucionadas Número total de incidencias no solucionadas Número total de incidencias pendientes Número de incidencias resueltas de acuerdo al SLM Número de incidencias resueltas que no se han ceñido al SLM Número de incidentes causados por fallos internos en la seguridad Número de incidentes causados por fallos externos en la seguridad Número de auditorías de seguridad y fallos en tests Porcentaje del coste de entrega por usuario de las actividades de gestión de seguridad Porcentaje del coste de entrega por usuario de las medidas de seguridad 99,8% de las incidencias recibidas 0 1día 99,8% 0,1% 2% 1% 60% 40% 2% Módulo Gestión de Redes y Servicios Curso Página 101

102 implementadas Asegurar Privacidad de Datos en Comunicaciones Implementación de mejoras de seguridad de forma proactiva Creación de la política de Seguridad Número de iniciativas de mejora de seguridad que están en proceso Número de iniciativas de mejora de seguridad que se han completado en el tiempo previsto Número de iniciativas de mejora de seguridad que no han sido comenzadas Número de incidencias de seguridad relacionadas con algún proceso de mantenimiento de seguridad que se ha llevado a cabo Establecer la coordinación de procesos IT Determinar los informes que deben ser emitidos Establecer el nivel de monitorización Incremento: 5% semestral 90% Inicio: 5% Tasa reducción: 0,01% mensual 5% Máxima seguridad Mínimo impacto Informe 2 semanas comparativa con datos de 6 meses anteriores Módulo Gestión de Redes y Servicios Curso Página 102

103 Definición de las Herramientas y Sistemas ya existentes Asegurar Cumplimiento de Normativas de Seguridad Realización de Inventario Procesos de Gestión de Configuración Elaboración de un plan de seguridad Control de activos IT Responsables y roles para cada uno de los subprocesos Efectividad: 99,9999% Programa de formación Duración: 2 semanas Periodo: 1-2 años Definición de los recursos necesarios para la gestión de seguridad: Software, Hardware y Personal Establecimiento de los protocolos de seguridad Establecimiento de normas de acceso Fijar los niveles de seguridad fijados en los SLA, OLA y UC Porcentaje del número de errores de atributos CI (Configuration Item) Porcentaje del número de CIs revisados Porcentaje de mejoras en velocidad de acceso y cambios 2h VPN IPSEC, ECC Usuario Temporal: Revisión mensual Usuario Fijo: Revisión cada 2 meses Máximo nivel de seguridad 5% 80% 6s Módulo Gestión de Redes y Servicios Curso Página 103

104 Asegurar la Compatibilidad e Integración de Sistemas Soporte de entrega de servicios IT de calidad Coherencia y cohesión entre el software utilizado en la corporación Conocimiento sobre la cantidad de versiones utilizadas y licencias pertenecientes a los equipos de la empresa Porcentaje de errores de servicio asociados a una incorrecta información de CIs Velocidad mejorada de reparación y recuperación de los componentes Grado de la satisfacción del cliente con servicios y equipos terminales Número de diferentes compañías creadoras del software implantado Número de diferentes versiones instaladas en un mismo periodo de tiempo Cantidad de licencias obtenidas para su uso empresarial 4%, 7 min/día Aplicaciones: 15 min Sistemas: 30 min 7,5/10 < % Definición de Estrategias y Planes de Actuación Eficacia en la Tramitación y Resolución de Incidencias/Problemas Procesos de Gestión de Problemas Satisfacción y conocimiento por parte de los trabajadores Registro automático de incidencias efectivo con clasificación de tipo Tiempo requerido para detectar el número de versiones instaladas en los equipos Reducción del tiempo medio de resolución de problemas Número de los estudios de tendencias 10 min 8 h Informe 30 días cada Módulo Gestión de Redes y Servicios Curso Página 104

105 Rapidez de Resolución de Incidencias/Problemas Poner objetivos asequibles y usarlos para solucionar problemas mediante personal experto Mejorar la calidad de servicio Reducción del tiempo medio de actualización del registro Aumentar del rendimiento del sistema Aumentar el número de estudios de previsiones teniendo en cuenta todos los factores y aplicando diversos métodos y patrones históricos Aumento del porcentaje de aprendizaje electrónico para formar al personal Reducción del porcentaje de incidencias/problemas repetidos Reducción del porcentaje de incidencias y problemas que afectan al servicio de los clientes Reducción del porcentaje de incidencias y problemas conocidos encontrados Reducción del tiempo de elaboración de informes de gestión 3s 0,001% mensual Informe 15 días cada Inicio: 15% Incremento anual: 2% 5% 0,01% 0,01% Inicio: 80% Tasa reducción: 10% Módulo Gestión de Redes y Servicios Curso Página 105

106 Minimizar impacto de problemas Reducir coste de los problemas de los usuarios cuando acceden a algún servicio Aumento de la cooperación entre procesos de gestión de incidencias y Reducción del tiempo medio para resolver problemas Reducción del tiempo empleado para hacer frente a errores Reducción de tiempo de identificación de problemas Reducción del número de problemas detectados Reducción porcentaje del impacto de problemas en el usuario Reducción del tiempo de interrupción del negocio a causa de las incidencias y problemas Reducción de coste que supone el resolver problemas Aumento de los cambios proactivos Reducción de costes financieros que implica la cooperación de procesos Aplicaciones: 2h Infraestructuras y sistemas: 7h Inicio: 2h Tasa de reducción: 0,1% Problemas detectados: 99,99999% Incremento: 0, % 99,99999% 0,001% 5% 30 días Mínimo posible Módulo Gestión de Redes y Servicios Curso Página 106

107 Centro de Atención al Usuario gestión problemas de Control de llamadas recibidas y derivadas Controlar el número de usuarios atendidos así como el tiempo que se debe destinar Reducción del número de problemas Reducción del tiempo de resolución de problemas Aumento de la gestión proactiva Número de llamadas atendidas por día, mes, trimestre y año en el Call Center Número de llamadas derivadas a nivel 2 y 3 Número de llamadas resueltas en el mismo Call Center Número de llamadas perdidas Nivel de percepción en calidad de atención recibida en el Call Center Número total de usuarios atendidos en el Call Center Porcentaje de usuarios atendidos con tiempo menor a la media por llamada Problemas: 5% 4h Cada 30 días Informe cada 60 días con histórico 1año Entre 50 y 200. A N2 20% 80% 5% Anual 7/ % Módulo Gestión de Redes y Servicios Curso Página 107

108 Media del tiempo usado y Coste de resolución de incidencia Porcentaje de usuarios atendidos con tiempo mayor a la media por llamada Tiempo máximo por llamada Tiempo mínimo por llamada Tiempo medio por llamada Número de incidencias entradas en el software y cerradas en nivel 1 Número de usuarios atendidos por hora y trabajador de nivel 1 Porcentaje de usuarios insatisfechos en el Call Center Porcentaje de usuarios satisfecho en el Call Center Nivel de aprendizaje de los trabajadores del Call Center 30% 15 min 1-2 min 2 h Llamadas Totales 80% Incidencias 75% 1-20 usuarios 10% 90% Capacidad aprendizaje alta. de Módulo Gestión de Redes y Servicios Curso Página 108

109 15. ANEXO II. GESTIÓN DE SOPORTE DE SERVICIO Centro de Atención al Usuario El Centro de Atención al Usuario se ha dimensionado gracias a la aplicación VenSim que es una herramienta utilizada en dinámica de sistemas para el análisis y observación del comportamiento de los sistemas, así como también para obtener una estimación a priori del número de recursos necesarios para minimizar los costes. El esquema simulado es el que se corresponde con el modelo simulado en la realización de las prácticas ya que se adecúa perfectamente al sistema que se pretende simular. Figura 15: Escenario Estructura de Centro de Usuario Este modelo simula el escenario planteado en el proyecto para poder así obtener con mayor exactitud los datos de personal necesarios para ofrecer un servicio correcto y ser eficientes en la gestión, tramitación y resolución de incidencias con un coste mínimo. Módulo Gestión de Redes y Servicios Curso Página 109

110 Para ello, se deben especificar las variables necesarias para la simulación tal y como se especifica en el enunciado de la práctica en el anexo pero con algunas modificaciones. Estas modificaciones tienen lugar en las siguientes variables: Incremento de Usuarios: STEP(500,8760) Número de Usuarios: Formación N1: 0,5 Formación N2: 0,5 Tasa de Reabiertos: 1/100 Incidencias máximas: 10/24 Valores iniciales de incidencias: 0 Puesto que se quiere obtener el número mínimo de personal necesario para así poder minimizar costes, se simula el escenario con todos los datos y se calcula el punto de equilibrio para el cual se cumplen todas las exigencias de resolución de tickets. Punto de equilibrio El punto de equilibrio se corresponde con los siguientes datos de personal: Número de Personas en Nivel1: 44 Número de Personas en Nivel2: 14 Número de Personas en Nivel3: 3 Media de incidencias resueltas por persona y hora La media de incidencias resueltas por persona y hora es de 0,29ticket por persona y hora. Figura 16: Media de Incidencias resueltas por persona/h Módulo Gestión de Redes y Servicios Curso Página 110

111 16. ANEXO III. GESTIÓN DE ENTREGA DE SERVICIO Definición de SLA de Servicio El siguiente SLA o Service Level Agreement está dirigido a los usuarios de los sistemas de la red de hospitales Introducción El objetivo del SLA es definir un acuerdo de nivel de servicio entre la empresa Gestmaster y la red de hospitales. El ámbito del servicio que se pretende acordar comprende las siguientes áreas: Provisión de Servicio Servicio Técnico Soporte de servicios Requerimientos de provisión de servicio Compromiso de provisión de servicio El tiempo máximo en el que el sistema tendrá activados todos los servicios dependerá de la complejidad y del estado de las infraestructuras que ya tienen. Por lo que se definen las siguientes cláusulas: 1. Si la infraestructura y aplicaciones están inventariadas. Gestmaster S.A. comprobará durante 3 días la correctitud del inventario de hardware y 2 días para la comprobación del inventario de software, por lo que el servicio se establecerá en 2 días desde que se ha verificado que el inventario es correcto. En caso de no ser correcto la provisión del servicio se pospondrá de acuerdo a la complejidad y a los fallos detectados. 2. Si la infraestructura está inventariada pero las aplicaciones no están inventariadas. Gestmaster S.A. comprobará durante 3 días la correctitud del inventario de hardware y 4 días para inventariar las aplicaciones de software, por lo que el servicio se establecerá en 3 días desde que se ha creado y verificado que el inventario es correcto. En caso de no ser correcto la provisión del servicio se pospondrá de acuerdo a la complejidad y a los fallos detectados. 3. Si la infraestructura no está inventariada pero las aplicaciones están inventariadas. Gestmaster S.A. inventariará durante 5 días los dispositivos hardware y 2 días para la comprobación del inventario de software, por lo que el servicio se establecerá en 3 días desde que se ha creado el inventario y se ha verificado que el inventario es correcto. En caso de no ser correcto la provisión del servicio se pospondrá de acuerdo a la complejidad y a los fallos detectados. Módulo Gestión de Redes y Servicios Curso Página 111

112 4. Si la infraestructura y las aplicaciones no están inventariadas. Gestmaster S.A. inventariará durante 5 días los dispositivos hardware y 4 días para inventariar las aplicaciones software, por lo que el servicio se establecerá en 3 días desde que se ha creado el inventario de manera satisfactoria. Los equipos que se utilicen para los diferentes servicios, deben cumplir con todas las normativas europeas e internacionales Procesos de escalado sobre provisión de servicio El departamento de sistemas de información se compromete a cumplir los periodos establecidos para proveer los servicios en un tiempo máximo de 4 semanas. Si durante este período el usuario tuviera alguna queja o reclamación al respecto, el responsable del departamento de sistemas de Gestmaster previa solicitud por escrito analizará las causas de dicha queja y determinará una solución que será presentada al usuario final Penalización sobre provisión En el caso en que no se cumplieran los niveles de servicios citados en el apartado , se procederá a la penalización de los responsables del departamento de sistemas ya que en esta situación no serán retribuidos los suplementos ni incentivos que se asocian al servicio correspondiente Requerimientos técnicos de servicio Compromiso de calidad técnica de servicio El tiempo máximo en el que el sistema debe estar disponible el 98% del tiempo, es decir, Gestmaster se compromete a tener operativos los servicios proporcionados en la red el 98% del tiempo, lo que supone que los servicios se encontrarán operativos en el peor de los casos 357 días 16 horas y 48 minutos de 365 días que consta el año. Todos los servicios que se encuentren operativos en esta red serán responsabilidad de Gestmaster siempre que no se deba a un mal comportamiento de un dispositivo que no se encuentre debidamente inventariado en la Base de Datos de Conocimiento donde se encuentran todas las configuraciones de los elementos que conforman la red. En caso de mal funcionamiento, Gestmaster S. A. hará servir los SLA s con los diferentes proveedores para conseguir el restablecimiento del servicio en un tiempo mínimo Procesos de escalado sobre calidad de servicio A partir del momento en el que se encuentre activo el servicio, el departamento de sistemas se compromete a proporcionar los servicios con el grado de disponibilidad indicado en el apartado Si durante este período el usuario tuviera alguna queja o reclamación al respecto, el responsable del departamento de sistemas de Gestmaster previa solicitud por escrito Módulo Gestión de Redes y Servicios Curso Página 112

113 analizará las causas de dicha queja y determinará una solución que será presentada al usuario final Penalización sobre calidad de servicio En el caso en que no se cumplieran los niveles de servicios citados en el apartado , se procederá a la penalización de los responsables del departamento de sistemas ya que en esta situación no serán retribuidos los suplementos ni incentivos que se asocian al servicio correspondiente Disponibilidad de los servicios Existen varios servicios de los que la red de hospitales hace uso, por lo que se hace necesario establecer la disponibilidad de cada uno de ellos en función de su criticidad. A continuación se establecen los niveles de disponibilidad para las aplicaciones más críticas Conferencias y Aplicaciones en Tiempo Real Las aplicaciones en tiempo real exigen de un tiempo de retardo y una pérdida de paquetes bajos para que su uso sea satisfactorio. Aunque deben garantizarse estos parámetros, el tiempo de duración medio oscila entre 5-8 horas. Al ser un elemento no excesivamente utilizado debe ser mantenido y se debe cuidar su buen funcionamiento. Por esta razón, se establece un período de mantenimiento que queda definido los domingos de 9:00PM-12:00AM. Durante esta hora el servicio no estará disponible y por lo tanto no se podrá hacer uso de los sistemas de audio y video conferencia. Una vez terminado este periodo de tres horas semanales, el funcionamiento de las aplicaciones en tiempo real estará normalizado. En este sentido, se establece una disponibilidad de las aplicaciones en tiempo real de un 96% Bases de Datos Todos los usuarios utilizan la base de datos, por lo que se hace necesario proteger a este elemento de red de posibles ataques. La base de datos es un conjunto de dispositivos físicos y lógicos que almacenan, gestiona y organiza la información de manera que los usuarios pueden acceder a dicha información de manera eficiente y eficaz. Al ser un elemento muy utilizado debe ser mantenido y se debe cuidar su buen funcionamiento. Por esta razón, se establece un período de mantenimiento que queda definido los domingos de 2:00AM-3:00AM. Durante esta hora el servicio no estará 100% disponible aunque será posible seguir trabajando. Una vez terminado este periodo de una hora semanal, el funcionamiento de la base de datos estará normalizado. En este sentido, se establece una disponibilidad de la base de datos de un 98%. Módulo Gestión de Redes y Servicios Curso Página 113

114 Requerimientos de seguridad del servicio Gestmaster S. A. recomienda la utilización de un servidor RADIUS para controlar los accesos y proteger la red interna de los hospitales. Para la protección de las comunicaciones, se propone utilizar VPN con IPSEC, de manera que se protegen las comunicaciones en la red. También se utilizarán Firewalls donde se implementarán ACL (Access Control List) para asociar permisos a los diferentes usuarios. Se propone como una mejora del servicio utilizar EFS (Encryption File Syste) para proteger los datos confidenciales, de manera que se puede implementar IPSEC con EFS consiguiendo un mayor nivel de confidencialidad. Con estas medidas queremos reducir los riesgos de que usuarios no permitidos tengan acceso a datos privados, por lo que se quiere garantizar confidencialidad, integridad y autenticidad de los datos Soporte Técnico El soporte técnico que Gestmaster S.A. ofrece queda definido en los siguientes puntos así como el tiempo de resolución para cada tipo de incidencia, problema, error o causa de funcionamiento no correcto Horario de atención de incidencias Gestmaster S.A. ofrece un soporte de atención al cliente de 7x24 para las incidencias. Las vías de comunicación puede ser vía correo electrónico o teléfono Registro de incidencias Gestmaster S.A. a través del Service Desk, proporcionará al usuario un número que identificará la incidencia para que tanto el usuario como el Service Desk identifiquen de manera rápida y eficaz la incidencia notificada por el usuario. Gestmaster se compromete a tener actualizado y automatizado el registro de todas las incidencias que han tenido lugar en un periodo de tiempo de 10 años. Estos datos servirán para que los sistemas de Data Whare House elaboren estadísticas y se puedan identificar tendencias de forma más eficiente y eficaz. Asimismo, se elaborarán informes quincenales de las incidencias ocurridas. De este modo, tendremos al usuario informado de las actuaciones que están teniendo lugar y los trabajadores del departamento de sistemas tendrán los informes con los datos pertinentes para poder utilizarlos en ocasiones posteriores Tiempo máximo de resolución de incidencias Gestmaster S.A. se compromete a resolver las incidencias en un plazo no superior a 10 horas en el caso de incidencias de urgencia y prioridad muy alta y en un plazo no superior a 20 horas para las incidencias de urgencia y/o prioridad media/baja. Módulo Gestión de Redes y Servicios Curso Página 114

115 A estos efectos, Gestmaster S.A. considerará el tiempo de resolución a partir del momento en que la incidencia es comunicada a nuestra entidad hasta que la incidencia es resuelta por los responsables del área de sistemas de información, infraestructura, seguridad, o cualquier otra área que se encuentre relacionada. Cuando la incidencia haya sido cerrada por Gestmaster se notificará al usuario del cierre de la misma, de manera que éste tendrá un plazo de 1 hora para verificar el correcto funcionamiento de los sistemas que provocaron la incidencia. En caso que el usuario no quede satisfecho con la solución que se ha sido realizado por Gestmaster, la incidencia será reabierta y se solucionará la incidencia de nuevo. En este caso, el usuario tendrá 30 minutos para comprobar que la incidencia se ha solucionado Notificación de resolución de incidencias La notificación de resolución de incidencias se llevará a cabo por el mismo método que el utilizado por el usuario para comunicar de la existencia de la misma. Si Gestmaster no fuera capaz de solucionar una incidencia, se informará puntualmente al usuario de los motivos que han llevado a que no se pueda solucionar la incidencia Tiempo de resolución de problemas Gestmaster S.A. se compromete a resolver los problemas en un plazo no superior a 2 días en el caso de problemas de urgencia y prioridad muy alta y en un plazo no superior a 6 días para los problemas de urgencia y/o prioridad media/baja. Módulo Gestión de Redes y Servicios Curso Página 115

116 17. ANEXO III. GESTIÓN DE SEGURIDAD Política de Seguridad La política de seguridad debe determinar los siguientes puntos: Relación con la política general del negocio Coordinación con otros procesos Protocolos de acceso a la información Procedimientos de análisis de riesgos Programas de formación Nivel de monitorización de seguridad Informes que deben ser emitidos periódicamente Alcance del Plan de Seguridad Estructura y Responsables Gestión de Seguridad Procesos y Procedimientos utilizados Responsables de subprocesos Auditorias externos e internos de seguridad Recursos necesarios: software, hardware y personal Definición de la Política de Seguridad Preámbulo Gestmaster S.A. tiene la obligación de asegurar la seguridad en las transacciones de datos IT, equipos y procesos. Este documento contiene: 1. Los elementos que forman parte de la seguridad IT. 2. Explicación de la necesidad de seguridad IT. 3. Especificación de diferentes categorías de datos IT, equipos y procesos sujetos a esta política. 4. Asignación de responsabilidades de varios roles en los que se definen los roles que los usuarios y trabajadores tienen asignados. 5. Indicar los niveles de seguridad apropiados. Módulo Gestión de Redes y Servicios Curso Página 116

117 Objetivo de la Seguridad IT Definición de Seguridad La seguridad puede ser definida como el estado de estar libre de un riesgo inaceptable. El riesgo puede afectar a diferentes áreas, según el ámbito o categoría donde se produce este riesgo, se pueden identificar las siguientes áreas críticas a perdidas: Confidencialidad de Información. Hace referencia a la privacidad de personal o información corporativa incluyendo el copyright y licencias. Integridad de Datos. Hace referencia a la exactitud de los datos. La pérdida de integridad en los datos puede ser importante y evidente, como cuando un disco falla o sutil como cuando un carácter en un archivo es alterado. Activos. Hace referencia a los dispositivos o componentes que deben ser protegidos, entre los que destacamos: o Ordenadores y Periféricos o Equipos de Comunicaciones: routers, hubs, switches, gateways, firewall, o Utilidades en comunicaciones, potencia eléctrica, agua, control de condiciones ambientales. o Baterías y sistemas de almacenamiento de datos. o Documentación y Programas de sistemas de ordenador. o Documentación y Programas de aplicación de ordenador o Información Eficiencia y Uso apropiado. Hace referencia a asegurar que los recursos IT son utilizados para los propósitos para los que son diseñados. Disponibilidad de sistema. Hace referencia a la completa funcionalidad del sistema y sus componentes. La causa potencial de estas pérdidas se denomina amenazas. Estas amenazas pueden ser humanas o no-humanas, naturales, accidentales o deliberadas Dominios de Seguridad Esta política va a tratar con los siguientes dominios de seguridad: Seguridad de Sistemas de Ordenadores. La seguridad de sistemas de ordenadores hace referencia a los siguientes componentes: PCs, CPU, Periféricos, Sistemas Operativos. Esto referencia la seguridad de los datos. Seguridad Física. Hace referencia a la seguridad de la que se debe dotar tanto a equipos como a personal IT. Seguridad Operacional. Hace referencia a la seguridad de las operaciones que se debe garantizar para el buen funcionamiento de los Módulo Gestión de Redes y Servicios Curso Página 117

118 sistemas: eléctricos, condiciones ambientales, y actividades de operaciones. Seguridad Procedimental. Hace referencia a la gestión de procesos implantados para todos los usuarios que hacen uso del sistema. Seguridad de Comunicaciones. Hace referencia a la seguridad que se debe garantizar los sistemas de comunicaciones, personal, caminos de transmisión y áreas adyacentes Justificación de la Seguridad IT La confidencialidad de la información se debe proporcionar para cumplir las leyes y estatutos internos de la entidad. La información de la que se dispone es muy diversa por lo que se deberán garantizar diferentes niveles de confidencialidad. Los componentes de hardware y software que constituyen los activos de la red hospitalaria representan una importante inversión razón más que suficiente para que sean protegidos de ataques o amenazas. Por lo que a la información se refiere, es necesario un gran número de recursos para que el sistema y la red funcione de manera satisfactoria debe ser protegido de ataques y amenazas externas. La información debe ser confidencial lo que implica que sea necesario el uso de más recursos para su protección. El uso de los activos IT de una manera y/o para un fin u objetivo diferente al inicial representará un peligro para la entidad. En este sentido se debe controlar el uso de los recursos para garantizar que no se violan las leyes, acuerdos, que existen para los datos que se están tratando. La funcionalidad de estos activos IT debe ser apropiados para obtener así un eficiente uso de los recursos disponibles. Cabe destacar que no todos los sistemas tienen la misma importancia, por ejemplo los sistemas de quirófano y los sistemas de aplicaciones en tiempo real son mucho más sensibles a retardos, pérdidas, mientras que los sistemas de agenda no lo son tanto. En cambio si comparamos la criticidad en cuanto a pérdida de información, los sistemas de agenda tienen una gran importancia ya que contienen información personal que debe ser protegida de acuerdo con la LOPD Roles y Responsabilidades Gestión Política La aprobación de la política de seguridad se hará previo acuerdo del Responsable de Sistemas de Información de Gestmaster S.A. y el Director de Sistemas de la red de hospitales o en su defecto en Responsable de los equipos informáticos de la entidad. Los representantes que pueden decidir sobre las políticas implantadas en la red de hospitales se enumeran a continuación: Director de Sistemas de Información de la red de hospitales. Comité de Política de Tecnologías de la Información (CPTI). Módulo Gestión de Redes y Servicios Curso Página 118

119 Comité de Dirección de Tecnologías de la Información (CDTI). Equipo Ejecutivo Director Representante de la Administración Pública Municipal. Representante de la Administración Pública Autonómica Implementación Política Cada miembro de la entidad será responsable de consultar y cumplir con los estatutos asignados al perfil de usuario al cual pertenece. La seguridad de los sistemas será responsabilidad del Responsable de Gestión IT Responsable de Gestión IT El responsable de Gestión IT será el encargado de: Custodiar todas las plataformas estratégicas del sistema. Custodiar los sistemas de comunicación. Custodiar todos los sistemas de información, entendiendo por sistemas de información el lugar donde se almacenan los datos, es decir las Bases de Datos. Custodiar todos los sistemas de computadores de los laboratorios. Custodiar las aplicaciones estratégicas que se encuentran bajo su control de gestión como por ejemplo aplicaciones de facturación, nóminas,. Asegurar que los usuarios pueden acceder a las aplicaciones que tienen permisos Plan de Seguridad El plan de Seguridad debe contener los siguientes puntos: Diagnóstico de la situación Análisis de riesgos Grado de cumplimiento de normativas y estándares de certificación Plan de proyecto de seguridad Gestión de riesgos Módulo Gestión de Redes y Servicios Curso Página 119

120 18. ANEXO IV. HERRAMIENTAS DE GESTIÓN Altiris La herramienta Altiris SecurityExpressions ofrece una gestión integral de los elementos de seguridad que se desean garantizar. A continuación se detallan dos muestras de pantallas con información relativa a la gestión de seguridad: Figura 17: Pantalla de Altiris SecurityExpressions Figura 18: Reporte de Seguridad Intellitactics TM SAM Intellitactics Security Manager es una solución de gestión de seguridad que proporciona seguridad tanto a nivel de operaciones como ante riesgos externos. Esta solución combina la gestión de eventos de seguridad (SEM) con la gestión de seguridad de información (SIM) para incrementar una efectiva seguridad con aplicaciones en tiempo real, por lo que proporciona una herramienta que permite detectar y parar ataques, resolver incidentes y reforzar las políticas de seguridad. Figura 19: Pantalla de Intellitactics TM SAM Módulo Gestión de Redes y Servicios Curso Página 120

121 18.3. System Center Operations Manager 2007 System Center Operations Manager 2007 es una aplicación de monitorización de fallos y rendimiento de Microsoft. Esta herramienta permite: Monitorización de servicios extremo a extremo Mejor gestión para toda la plataforma Windows Seguridad y Fiabilidad Eficiencia Operativa Figura 20: Pantalla de System Center Operations Manager NetMRG NetMRG es una herramienta Open Source que permite monitorizar, reportar y graficar la red. Está basada en RRDTOOL que es la herramienta gráfica que permite crear gráficos basados en los parámetros de nuestra red en la aplicación NetMRG. La interfaz de esta aplicación es Web por lo que se permite la monitorización de nuestra red desde cualquier ubicación donde se tenga acceso a Internet, siempre y cuando se tengan los permisos adecuados. El funcionamiento de NetMRG es el siguiente: <> WEB CROND GATHERER / C++ MySQL SCRIPTS RRDTOOL Figura 21: Estructura de NetMRG Módulo Gestión de Redes y Servicios Curso Página 121

122 A continuación se muestra una captura de pantalla de la interfaz donde se obtienen los resultados de la monitorización: Figura 22: Diferentes Perspectivas de la Interfaz de NetMRG Módulo Gestión de Redes y Servicios Curso Página 122