T E S I S INSTITUTO POLITÉCNICO NACIONAL DESARROLLO DE UNA NUEVA METODOLOGÍA DE ADMINISTRACIÓN INFORMÁTICA PARA EMPRESAS U ORGANIZACIONES MEXICANAS

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN DESARROLLO DE UNA NUEVA METODOLOGÍA DE ADMINISTRACIÓN INFORMÁTICA PARA EMPRESAS U ORGANIZACIONES MEXICANAS T E S I S QUÉ PARA OBTENER EL GRADO DE MAESTRO EN CIENCIAS EN INFORMÁTICA P R E S E N T A : LILIANA MACEDO MARTÍNEZ DIRECTORES: M.C. ELIZABETH ACOSTA GONZAGA M.C. ABRAHAM GORDILLO MEJÍA M É X I C O, D. F. 2 A D E M A R Z O D E

2 1

3 2

4 Resumen En el presente trabajo de tesis se aborda el tratamiento del problema de la administración informática en México enfocándonos en las PyME por ser mayoría, intenta marcar un enfoque en organizaciones de pequeña escala en comparación de las áreas informáticas en Europa. Teniendo en cuenta que por el hecho de que los europeos se encuentran muy revolucionados en estas áreas cuentan con una mayor experiencia y acervo en cuanto a la administración informática y el fallo en cuanto a sus aplicaciones a nivel nacional se encuentra estrechamente vinculado a las características sociales y al enfoque del macro al micro. Todo esto se trata a partir de dos metodologías base para esta área las cuales son COBIT e ITIL; en primer lugar se realiza un desglose de estas dos metodologías ya que por ser compatibles se complementan a la perfección y se desarrolla una tercer metodología que intenta fusionar COBIT e ITIL sin repetir esfuerzos y además adaptando a las características de el micro espacio que se destina en las PyME al área informática, todo esto contemplando además características sociales. Y posteriormente se muestra un caso practico en el que se muestra un ejemplo de las primeras faces de este modelo que fue diseñado, con una aplicación sencilla que no requiere las incontables pilas de papeleo establecidas en los modelos base (ITIL y COBIT), además de mostrar como hacerlo en las áreas que no nos proporcionan información inicial sobre los bienes informáticos, es decir, un ejemplo de como partir desde cero, cuando aun no contamos con los requisitos o entradas iniciales. Este caso práctico propone algunas alternativas, sin embargo aclara que los cambios deben ser graduales y que se modifican en cada vuelta del ciclo de Deming, no en masa como fue en varios de los casos analizados como fracasos. El caso practico se enfoca en estos primeros aspectos ya que son los de mayor confusión por no estar claramente contemplados en la metodologías base y por ser el pilar de la construcción de las siguientes fases del modelo de administración informática propuesto. 3

5 Abstract This thesis deals with the treatment of the problem of information management in Mexico to focus on SME s, being the majority, try to dial a focus on small-scale organizations compare computer areas in Europe. Taking into account the fact that Europeans are very revolutionized in these areas have more experience and heritage in terms of computing and fault management in their national applications is closely linked to the social and macro to micro approach. All this comes from two basic methodologies for this area which are COBIT and ITIL: first is a breakdown of these two methodologies as being compatible complement each other perfectly and developed a third methodology that attempts to merge COBIT and ITIL without repeated efforts and adapting well to the characteristics of the micro space in SME s is intended to IT area, all looking well social characteristics. And then shows a case study which shows an example of the very early stages of this model was designed with a simple application that does not require the countless piles of paper laid on base models (ITIL and COBIT), plus show how to do it in areas that do not provide initial information on IT assets, namely, an example of starting from scratch, even when we have no requirements or initial entries. This case study suggests some alternatives, however clear that changes must be gradual and that are modified in each round of the Deming cycle, not mass as it was in several of the cases analyzed as failures. The case study focuses on these areas first because they are the most confusion by not clearly covered by the basic methodologies and be the mainstay of the construction of the following phases of computing administration model proposed. 4

6 INDICE GENERAL INTRODUCCIÓN Capítulo I. MARCO DE REFERENCIA 1.1 EL PROCESO ADMINISTRATIVO ADMINISTRACIÓN INFORMÁTICA ETAPAS DEL PROCESO ADMIISTRATIVO PLANEACIÓN ORGANIZACIÓN EJECUCIÓN CONTROL 1.2 ITIL (BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN) QUÉ ES ITIL? RAZONES DEL ÉXITO DE ITIL LA PLUSVALIA DE ITIL NÚCLEO DE SERVICIOS DE ITIL CONTROL DE CALIDAD DEL CICLO DE VIDA ESTRATEGIA DE SERVICIOS CARACTERÍSTICAS DE LOS PROCESOS CÓMO DEFINIR LA ESTRATEGIA DE SERVICIO DEFINICIÓN DEL VALOR DE LOS SERVICIOS DESARROLLO DE CAPACIDADES ESTRATÉGICAS TIPOS DE SERVICIOS Y NECESIDADES LA CARTERA DE SERVICIOS Y EL CATALOGO DE SERVICIOS DESARROLLO ORGANIZACIONAL DISEÑO DE SERVICIOS BENEFICIOS DE UN BUEN DISEÑO DE SERVICIOS E IDENTIFICACIÓN DE LOS REQUERIMIENTOS DE SERVICIOS ADMINISTRACIÓN DEL CATALOGO DE SERVICIOS ADMINISTRACIÓN DE LA CALIDAD DE LOS SERVICIOS ADMINISTRACIÓN DE LA CAPACIDAD ADMINISTRACIÓN DE LA DISPONIBILIDAD ADMINISTRACIÓN CONTINÚA DE LOS SERVICIOS IT ADMINISTRACIÓN DE LA SEGURIDAD E LA INFORMACIÓN ADMINISTRACIÓN DE PROVEEDORES TRANSICIÓN DE SERVICIOS TRANSICIÓN DE SERVICIOS Y SOPORTE ADMINISTRACIÓN DE CAMBIOS ADMINISTRACIÓN DE CONFIGURACIÓN Y FONDOS ADMINISTRACIÓN DE DESPLIEGUE Y LIBERACIÓN 5

7 LIBERACIÓN DE PRUEBAS Y VALIDACIÓN DE SERVICIOS OPERACIÓN DE SERVICIO ADMINISTRACIÓN DE EVENTOS ADMINISTRACIÓN DE INCIDENTES CUMPLIMIENTO DE SOLICITUDES ADMINISTRACIÓN DE ACCESOS ADMINISTRACIÓN DE OPERACIONES DE TI MEJORA CONTINUA DE SERVICIOS (CSI) PASOS PARA LA MEJORA DE PROCESOS MANEJADORES DEL NEGOCIO MANEJADORES DE LA TECNOLOGÍA MEDICIÓN DE LOS SERVICIOS REPORTANDO SERVICIOS 1.3 CASOS PRÁCTICOS DE ÉXITO Y DE FRACASO DE ITIL CASO CIO CONSULTORES U.S. (MÉXICO) CASO QUINT QUEST HOLANDA (LATINOAMÉRICA) CASO TRANSBANK CHILE PUNTOS FAVORABLES, COLOQUIO ITIL 2008, ESPAÑA 1.4 COBIT 1.4 COBIT- (OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE INFORMACIÓN Y TECNOLOGÍA RELACIONAD) MARCO DE TRABAJO COBIT POR QUÉ? QUIÉN? QUÉ? CÓMO? METAS DE NEGOCIO Y DE TI RECURSOS DE TI ORIENTADO A PROCESOS IMPULSADOS POR MEDICIÓN MODELO DEL MARCO DE TRABAJO COBIT PLANEACIÓN Y ORGANIZACIÓN ADQUICISIÓN E IMPLEMENTACIÓN ENTREGA Y SOPORTE MONITOREO Y EVALUACIÓN 1.5 CULTURA ORGANIZACIONAL FACTORES DE LA CULTURA ORGANIZACIONAL ELEMENTOS DE LA CULTURA ORGANIZACIONAL CLIMA ORGANIZACIONAL DIVISIÓN DEL TRABAJO DEPARTAMENTALIZACIÓN JERARQUIZACIÓN COORDINACIÓN FUNCIONES DE LA CULTURA ORGANIZACIONAL 6

8 1.5.4 EVALUACIÓN DE LA CULTURA ORGANIZACIONAL REPERCUSIONES CULTURA ORGANIZACIONAL EN MÉXICO Capítulo II. ESTADO DEL ARTE 2.1 IMPLICACIONES DE ITIL EN EL PROCESO PROCESOS DE NEGOCIO ELEMENTOS DE LOS PROCESOS DE NEGOCIO RELACIONES ENTRE ACTIVIDADES Y RECURSOS RELACIONES ENTRE MÚLTIPLES ACTIVIDADES Y UN RECURSO TIPOS DE DEPENDENCIA RELACIÓN ENTRE UNA ACTIVIDAD Y MÚLTIPLES RECURSOS LA DEPENDENCIA ENTRE UNA ACTIVIDAD Y VARIOS RECURSOS TIPOS DE DEPENDENCIA CARACTERÍSTICAS ESTÁTICAS DE LAS ACTIVIDADES REINGENIERÍA DE PROCESOS ELEMENTOS ESENCIALES DE LA REINGENIERÍA DE PROCESOS MÉTODO DEL PROCESO DE REINGENIERÍA 2.2 Fases de COBIT que se complementan con ITIL TABLAS Y DIAGRAMAS DE SIMILITUDES ENTRE COBIT E ITIL TABLAS Y DIAGRAMAS DE DIFERENCIAS ENTRE COBIT E ITIL TABLAS Y DIAGRAMAS DE COMPLEMENTACION ENTRE COBIT E ITIL Capítulo III. IMPLEMENTACION ITIL/COBIT 3.1 Situación actual ( en UPIICSA) Entrada 1.1 REPORTE COSTO/ BENEFICIO Entrada 1.2 EVALUACIÓN DE RIESGO Entrada 1.3 PORTAFOLIO DE PROYECTOS, SERVICIOS Y DE PROGRAMAS ACTUALIZADOS Entrada 1.4 REQUERIMIENTO DE SERVICIOS NUEVOS/ACTUALIZADOS Entrada 1.5 ESTRATEGIAS Y PRIORIDADES DEL NEGOCIO, Y SU DIRECCIÓN PARA TI Entrada 1.6 ENTRADAS A DESEMPEÑO DE PLANEACIÓN DE TI Entrada 1.7 REPORTE DEL ESTADO DE GOBIERNO DE TI Actividad o proceso A. ADMINISTRACIÓN DEL VALOR DE TI A.1 Definir características de los procesos A.2 Medibles y Controlados A.3 Resultados específicos A.4 Entregados al consumidor A.5 Responden a un evento en específico A.6 Creación del valor Actividad o Proceso B. ALINEACIÓN DE TI CON EL NEGOCIO Requisitos de negocio (objetivos) Requisitos de TI (influye) Servicios de la Información Criterios de la información 7

9 Alineación B.1 Establecer fondos de los servicios B.2 Tipos de proveedores de servicios Actividad o Proceso C. EVALUACIÓN DEL DESEMPEÑO Y LA CAPACIDAD ACTUAL C.1 Establecer recursos y capacidades de los servicios Actividad o Proceso D. PLAN ESTRATÉGICO DE TI D.1 Estructurar los servicios D.2 Definición del mercado de servicios Actividad o Proceso E. PLANES TÁCTICOS DE TI E.1 Desarrollo de ofertas de servicios Actividad o Proceso F. ADMINISTRACIÓN DEL PORTAFOLIO DE TI F.1 Portafolio de servicios F.2 Administración de la demanda F.3 Valoración de los servicios F.3.1 Los más distintivos F.3.2 Los más rentables F.3.3 Los clientes más satisfechos F.3.4 Los clientes más rentables F.3.5 Actividades más distintivas y eficaces 3.2 Propuesta de solución 3.3 Medición de la solución 3.4Repercusiones de la implementación ITIL/COBIT en la cultura organizacional CONCLUSIONES REFERENCIAS BIBLIOGRAFICAS ÍNDICE DE TABLAS ÍNDICE DE FIGURAS RELACIÓN DE ANEXOS ANEXOS 8

10 INTRODUCCÓN Objetivo: Propuesta y desarrollo de una metodología de la administración informática, basada en las ya existentes mejores prácticas de la administración y gobierno de TI, tales como ITIL (Biblioteca de Infraestructura de Tecnologías de Información) y COBIT (Objetivos de Control para tecnología de la información y relacionada). Se buscará la integración de estas mejores prácticas y de algunas otras características no presentes en ellas, que con sus respectivas adaptaciones y adopciones, tengan una buena implementación en un contexto y cultura completamente diferente a la de su país de origen, en este caso para organizaciones del sector educativo en México. Justificación: Las metodologías de la administración informática existentes como son las mencionadas ITIL y COBIT, son llevados a la práctica con mucho éxito en organizaciones y empresas extranjeras en países como E.U., Canadá, Alemania, etc.; mientras que en las organizaciones y empresas instaladas en México se han llevado poco a la práctica y las que lo han hecho, en algunos casos han fracasado. Esto se debe a que estas metodologías de la administración de TI no fueron desarrolladas pensando en nuestro contexto y cultura por lo que no se adaptan a nuestras condiciones ni nosotros nos adoptamos a lo que nos indican. Surgiendo de ahí la necesidad de replantear estos paradigmas y considerando específicamente estos dos ya que son los que más han tenido éxito. Alcances: La metodología estará diseñada para su implementación nacional en el sector educativo (en este caso de estudio UPIICSA). Integrará información teórica de diferentes metodologías de la administración informática probadas exitosamente. Se integrarán experiencias de la práctica de administración informática de algunas empresas u organizaciones. Limitaciones: Dicho trabajo no implementará la solución propuesta debido a déficit de recursos y tiempo. Se limitará su diseño en base a las condiciones actuales del país. No contemplará el estudio de empresas u organizaciones informales (es decir, aquellas que no cuenten con un área informática o infraestructura de computo). 9

11 Y no contemplará el diseño del paradigma de administración informática para dichas empresas y negocios informales. Descripción del problema: Las organizaciones y empresas a nivel nacional y especialmente la pequeña y mediana empresa poseen escaso conocimiento de las mejores prácticas de la administración de servicios y del gobierno de TI, éstas, englobadas en la administración informática y las pocas que la han practicado a través de cualquiera de los modelos mencionados anteriormente han fracasado; lo que genera pérdidas económicas, en tiempo, en oportunidades y en recursos; así como desaprovechamiento de los recursos existentes de tecnología informática, inseguridad ante la adquisición de nuevas tecnologías, rezago tecnológico y por lo tanto imposibilidad de competencia ante otros mercados, entro otros muchos inconvenientes de la mala o nula administración informática en las organizaciones y empresas. Dado lo anterior, además de otros factores que no solo afectan a la gerencia de TI sino a la organización en su conjunto; actualmente nos encontramos en una época de grandes avances tecnológicos, en la que es tan importante la tecnología y el desarrollo tecnológico como su adecuada gestión por medio de las mejores prácticas, para sacarles el mejor provecho posible exprimiendo su potencial. De manera que no se esté adquiriendo supercomputadoras para que solo se le dé el uso de paquetería de oficina hablando de una pequeña anomalía ya que las empresas y organizaciones corren grandes riesgos en la adquisición de software o hardware muy costoso, cuyas inversiones son capaces de marcar un retroceso en el desarrollo de la empresa u organización y todo eso por no llevar a cabo una buena gestión de riesgos. Por otro lado también se busca la calidad y la eficiencia ya que la competencia en el mercado que es cada vez más dura, ya que el mercado se encuentra saturado y con muy buenas ofertas y como es bien sabido las tecnologías informáticas en sus mejores prácticas nos pueden proporcionar esa calidad y eficiencia basándonos en ciertos estándares que estos paradigmas nos proporcionan de manera detallada. Todas estas problemáticas o dificultades mencionadas tienen mucho que ver con la toma de decisiones y las decisiones tomadas sin fundamentos suelen ser infortunadas mientras que por otro lado las decisiones tomadas en bases ya experimentadas con éxito tienden a ser favorables. Por lo que es necesario tener una buena metodología de la administración informática; pero no cualquiera debe ser uno específico para nuestras necesidades de manera que incremente nuestras posibilidades y oportunidades y nos mejore el rendimiento actual. 10

12 Capítulo I. MARCO DE REFERENCIA En este capitulo se revisaran los conceptos teóricos base con las que ya se cuenta sobre la administración, ITIL, COBIT y la cultura organizacional. Ya que sobre esto se encuentra conformado el trabajo posterior de los siguientes capítulos. Para empezar veremos que es y en que consiste el proceso administrativo. 1.1 EL PROCESO ADMINISTRATIVO El proceso administrativo consta de cuatro etapas, las cuales pueden variar en la conceptualización de los nombres asignados pero es inminente que su función es la misma y es vital para el desarrollo del proceso administrativo. Su objetivo es lograr los objetivos de la organización en el menor tiempo y con la mayor calidad posible y este proceso afecta a recursos humanos, materiales, y técnicos ADMINISTRACIÓN INFORMÁTICA La administración informática está conformada por la planeación, organización, ejecución y control de un conjunto articulado y coherente de actividades orientadas a alcanzar la automatización de la información utilizando dispositivos electrónicos y sistemas computacionales con una metodología definida y una duración limitada. Estas etapas se deben llevar a cabo de forma secuencial; de manera que cada etapa genera el resultado necesario para poder iniciar la siguiente etapa y es incorrecto saltarse alguna de ellas o llevar un orden diferente al indicado, ya que de ser así existiría una gran carencia de administración ETAPAS DEL PROCESO ADMINISTRATIVO Las cuatro etapas mencionadas anteriormente son: 1. Planeación 2. Organización 3. Ejecución (Dirección) 4. Control PLANEACIÓN Esta etapa se refiere al desarrollo de ideas, en base a la información que se tiene, y resolver la pregunta, qué se quiere hacer?, y una vez que se ha analizado la información con la que se cuenta, se puedan elaborar las estrategias, objetivos, planes y programas que se desean realizar, así como revisar que esta sea concordante y lógico para los propósitos que se persiguen. Para poder llevar a cabo esta planeación se necesita conocer bien los detalles relacionados con la organización, para el caso específico de este estudio serán los detalles de la tecnología y la información con la que cuenta la organización, ya que es vital para que la planeación se adecue 11

13 a las necesidades, y por otro lado también es necesario tener una visión futurista bien equilibrada con el presente con el fin de prever las posibles situaciones que se puedan presentar y opciones que mejor convengan para esta administración. El no tener una buena planeación invalidaría el resto del proceso administrativo, dejando problemáticas y la necesidad de una nueva planeación que contemple factores correctivos y por lo tanto más insumos de recursos innecesarios. La planeación debe hacerse previamente a la siguiente etapa, si no es así, es casi un hecho que se llevara a cabo durante la siguiente etapa y esta conllevara resultados desastrosos. Por otro lado la planeación no concluye antes de iniciar la siguiente etapa que es la organización, sino que permanece durante esta para hacer los ajustes necesarios y que esta planeación no se vea afectada durante el proceso administrativo ORGANIZACIÓN En esta etapa es donde pensamos Cómo hacerlo?, puesto que en la anterior ya decidimos qué vamos a hacer? en esta decidiremos el cómo y consiste básicamente en la división del trabajo, de personal, de recursos materia y de tecnología, y no debemos olvidarnos de la información ya que en esta etapa también decidimos quiénes mantendrán comunicación?, a través de qué medios?, y bajo Qué circunstancias? En esta asignación de tareas es muy importante considerar el perfil del personal al cual se le asignan las tareas, sin olvidarnos del tiempo, dejando cierta holgura para evitar retrasos. También se designa los alcances y limitaciones que se tendrán tanto a nivel personal como a nivel tecnológico, el hecho de definirlos debe hacerse con exactitud y precisión, pero sin olvidar dejar siempre la flexibilidad de moldear las situaciones que se presenten de acuerdo a lo que más convenga a la organización. El proceso de organización es muy laborioso por que debe contemplar todos los aspectos, incluso aquellos que no han sido especificados o documentados para obtener éxito en esta etapa, puesto que lo que no haya sido especificado se tendrá que improvisar y por lo tanto generara conflictos internos y externos. Por otro lado debemos recordar que es válido realizar ajustes en la planeación durante esta etapa, ya que debido a que este análisis es mucho más detallado que el de la etapa anterior podemos identificar aspectos de la planeación no convenientes organizacionalmente o bien no factibles lo que nos daría lugar a modificaciones en la planeación para perseguir el logro de los objetivos. Dichas modificaciones deben ser mínimas y en el menor tiempo posible, procurando no afectar otros aspectos, o áreas que se vean involucradas dentro de esta planeación EJECUCIÓN Esta etapa es conocida también como Dirección y consiste en liderar y gerenciar al recurso humano para que explote sus conocimientos y le de uso racional a los recursos con que se cuenta, para lo cual pondrá en marcha lo realizado en la etapa de planeación, dando órdenes, coordinando, supervisando y motivando, atendiendo entre otras cosas a los documentos 12

14 elaborados en la etapa de organización como son manuales, procedimientos, estándares, métodos, etc. En esta etapa el administrador tiene un contacto más directo con las acciones a realizar y una comunicación más flexible y personalizada con los trabajadores y puede intervenir durante la ejecución de las tareas para que estas se realicen de mejor manera; así como fomentar la creatividad del personal para que este desarrolle de forma más eficiente las actividades que le fueron designadas. Por lo que podríamos decir que la ejecución consiste en poner en marcha la organización y planeación; y mantener activo y vigente este proceso. Buscando siempre mejorar lo ya establecido en las etapas anteriores o incluso lo no establecido; puesto que a diferencia de la dirección, en la ejecución si es válido realizar ciertas modificaciones en la organización siempre y cuando estas modificaciones sean para la mejora del o de los procesos involucrados en las actividades designadas CONTROL (Retroalimentación y auditoria) El control nos responde a la pregunta Cómo se ha realizado? Y cosiste básicamente en dos procesos que serían, medir y corregir. Es decir se compara lo planeado y lo descrito en la organización con los resultados reales obtenidos de la ejecución; es decir, lo ideal contra lo real. Puesto que aunque nosotras tratemos de ser lo más precisos y apegados a la realidad en cuanto a nuestra planeación y organización, siempre existirán factores variables y factores inesperados que afecten en el momento de la ejecución. Lo que nos genera la necesidad de medir que tanto nos hemos desviado de lo estipulado, Qué tanto hemos realizado de lo estipulado?, Qué tan bien lo hemos realizado?, Cómo se ha modificado?, razones de la modificación, etc. Una vez que se ha medido esta desviación de lo ideal contra lo real, es necesaria aplicar acciones correctivas para que no se pierda el logro de los objetivos, ni la calidad de las tareas. De tal forma que no se pierda o disminuya el valor de procesos realizados. Este proceso administrativo concluye en esta etapa; sin embargo la administración nunca concluye de manera general ya que al finalizar esta etapa de contra el siguiente paso es volver a planear sobre los mismos objetivos pero diferentes proyectos de manera que se forma un ciclo que no concluye, (ver figura 1.1). Imagen 1.1 Proceso administrativo (Elaboración propia) 13

15 1.2 ITIL (BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN) QUÉ ES ITIL? ITIL (Information Technology Infrastructure Library) - Biblioteca de Infraestructura de Tecnologías de Información. ITIL fue desarrollado a finales de los 1980 s para mantener actualizados, los cambios frecuentes que se dan durante la administración de servicios. (Por ejemplo: en la infraestructura, en la asignación de recursos, e manejo de tiempos, la documentación requerida, el tipo y número de empleados, etc.) Esta administración de servicios se refiere al manejo profesional y responsable de la tecnología, proporcionando como resultado valor agregado y mayor control sobre ésta. Y un servicio significa entregar valor a los consumidores así como facilitar las siguientes fases del proceso administrativo que se quieren llevar a cabo, con nuestros costos y riesgos específicos 1 (Majad, Nieves, 2007) El verdadero valor de ITIL se basa en que sus beneficios (la entrega de una alta ejecución de los servicios proporcionados) son viables a todo tipo de organización, ya sea esta grande, mediana o pequeña. El estándar formal de ITSM,(Information Technology Service Management) The British Standard está basado sobre las prácticas de ITIL, fue establecido y seguido por varios estándares nacionales en países. Desde la publicación del ISO 20000: 2005, (lanzado oficialmente en el año 2006 homologando las prácticas de ITIL) este estándar se fue introduciendo y gano rápidamente reconocimiento global. Posteriormente en el año 2004 fue lanzada la segunda versión de ITIL la cual consta de 9 libros y su principal diferencia con respecto a la primera versión es que se encuentra más enfocado en cuanto a la relación entre tecnología y negocios; prestando mayor importancia a los servicios al cliente RAZONES DEL ÉXITO DE ITIL En la siguiente lista se encuentran algunas de las características principales que han hecho a ITIL un estándar global: 1. NO ES PROPIETARIO 2. NO PRESCRIBE 3. MEJORES PRÁCTICAS 4. BUENAS PRÁCTICAS Para mayor especificación Ver anexo 14 14

16 ITIL prácticas de la administración de servicios NÚCLEO DE SERVICIOS DE ITIL Las prácticas de administración de servicios están comprimidas en 3 principales escenarios de productos y servicios: Escenarios Libros Contenidos Introducción a los servicios de ITIL. Practicas administradas Estrategia de Servicios Diseño de Servicios Practicas fundamentales Practicas principales Actividades y procesos del ciclo de vida Estructuras y roles organizacionales Consideraciones tecnológicas Implementación de las practicas Factores críticos, riesgos y cambios Guía complementaria Ejemplos y plantillas Ciclo de Deming en los servicios Mercado de los servicios Comercialización de los servicios Portafolio de servicios Administración financiera Administración de la demanda Desarrollo organizacional Riesgos de estrategia Catalogo de servicios Disponibilidad Capacidad Continuidad Administración de la calidad de los servicios 15

17 Transición de los Servicios Operación de los Servicios Mejora continua de los Servicios Combina las practicas en: Cambios, configuraciones, actives, liberación y despliegue Administración y adecuación de programas y riesgos Prevenir consecuencias indeseadas mientras se realiza la innovación Introducir sistemas de administración del conocimiento Mantener estabilidad en la operación de servicios durante los cambios en diseño, escala, alcances y niveles de servicio. Prácticas de administración técnica de solicitudes, requerimientos, problemas, incidentes, eventos Guía sobre cómo mantener el valor para los consumidores a través de mejores diseños, transiciones y operaciones ITIL prácticas de la administración de servicios. Guía complementaria ITIL servicio de soporte vía web En-línea Guía para sectores específicos de la industria. Prácticas de ITIL ilustradas en la vida real Glosario de términos Definiciones Casos de estudio Expertos en-línea Tabla 1.1 Core guide(elaboración propia) Como vemos en esta tabla se debe iniciar por comprender como funciona el ciclo de vida de Deming y en qué consiste este. 16

18 1.2.4 CONTROL DE CALIDAD DEL CICLO DE VIDA ITIL toma para su desarrollo el ciclo de vida de Deming, por que ayuda a alinear las prácticas de ITIL con estructuras externas, prácticas como COBIT e ISO/IEC ya que todas están enfocadas a la administración y compartes las mismas fases marcadas en dicho ciclo, el cual se muestra en la imagen 1.2, que como podemos ver se basa en cuatro etapas que son: PLAN (planear), DO (hacer), CHECK (revisar), ACT (actuar). Una vez cumplido este ciclo se vuelve a llevar a cabo n veces y no tienen fin ya que las organizaciones no son estáticas sino se encuentran en constante evolución así como su medio o contexto en el que se encuentran también se encuentra en constante evolución por lo que los servicios TI se deben encontrar en constante movimiento. Imagen 1.2 Ciclo de vida de Deming (Majid, Nieves, 2007) El servicio del ciclo de vida contiene 5 elementos. Estos elementos son: 1. La estrategia de los servicios 2. El diseño de los servicios 3. La operación de los servicios 4. La transición de los servicios 5. La mejora continua de los servicios Y como se puede observar en la imagen 1.3 partimos de las estrategias de los servicios y estos vienen desde el corazón del ciclo de vida que tiene que ver con los objetivos del negocio; así que estas estrategias van enfocadas a cumplir los objetivos del negocio. Posteriormente en el siguiente nivel encontramos al diseño, operación y transición de los servicios ya que estos tres elementos se encuentran íntimamente ligados, la transición de los servicios se hará de acuerdo al diseño de los mismos, modificando su operación y a la vez el diseño tendrá que basarse en su operación actual para poder planear su operación futura. Y finalmente en la última capa tenemos la mejora continua de servicios que se refiere a ese análisis continuo, a las auditorias y a la mejora del servicio a los ojos del consumidor que van cambiando con el paso del tiempo. 17

19 Imagen 1.3 Elementos del ciclo de vida (Majid, Nieves, 2007) ESTRATEGIA DE SERVICIOS La estrategia de servicios se subdivide en etapas y estas tienen un orden secuencial ya que se la información generada en cada una de estas etapas es complementaria para las subsiguientes, en la imagen se muestran las etapas a través de recuadros y su orden secuencial con flechas, y dentro de cada una de las llaves que se extienden a su derecha se encuentran puntos clave que se desarrollan y se obtienen para cada una de estas etapas. Imagen 1.4 Estrategia de servicio 1 18

20 Todos estos elementos clave son esenciales y por lo tanto para prescindir de alguno de ellos se requiere no solo de una justificación valida, sino también de un valor que supla su ausencia para las siguientes etapas CARACTERÍSTICAS DE LOS PROCESOS ADMINISTRATIVOS EN ITIL 1. Son medibles y controlados en la ejecución 2. Tienen resultados específicos 3. Son entregados al consumidor 4. Responden a un evento específico Ver anexo 15 El feedback permite la mejora continua del servicio ya que es parte del análisis, es administrado por la perspectiva del negocio y medido en términos de valor del negocio. Un ejemplo del control del sistema de feedback se encuentra en la imagen 1.5: Imagen 1.5 Control del feedback (Majid, Nieves, 2007) CÓMO DEFINIR LA ESTRATEGIA DE SERVICIO Una vez que se han considerado los elementos clave dentro de la estrategia de servicios imagen 1.4, habrá que identificar como definir todos estos puntos clave, el cómo hacerlo se puede encontrar de forma genérica en la imagen 1.5 que se muestra a continuación. 3 (Majid, Nieves, 2007) 19

21 Imagen 1.6 Estrategia de servicios 2 Para poder llevar a cabo las actividades señaladas en la imagen 1.6 y con el propósito de definir la estrategia de servicios es necesaria la comprensión de los siguientes conceptos: Creación del valor Fondos de los servicios Tipos de proveedores de servicios Recursos y capacidades de servicios Estructura de los servicios Definición del mercado de servicios Desarrollo de ofertas de servicio Administración financiera Portafolio de servicios Administración de la demanda Valoración de los servicios Retorno de inversión (ROI) A partir de aquí empezaremos por definir el valor de los servicios existentes para de esta manera poder crear o agregar valor, ya sea a los mismos servicios o a nuevos servicios DEFINICIÓN DEL VALOR DE LOS SERVICIOS Se basa en las siguientes preguntas: Cuáles de nuestros servicios o sus variedades son los más distintivos? Cuáles de nuestros servicios o sus variedades son los más rentables? Cuáles de nuestros clientes son los más satisfechos? Qué clientes, canales, u ocasiones de compra son los más rentables? Qué actividades en nuestra cadena de valor son las más distintivas y eficaces? 20

22 DESARROLLO DE CAPACIDADES ESTRATÉGICAS Se pueden guiar contestando las siguientes preguntas: Qué servicios podemos ofrecer y a quién? Qué nos diferencia de la competencia? Cómo creamos verdadero valor para nuestros consumidores? Qué podemos hacer para tener una inversión estratégica? Cómo podemos definir la calidad de los servicios? Cómo hacemos una asignación de recursos eficiente a través de la cartera de servicios? Cómo resolvemos los conflictos de demanda para los recursos compartidos? TIPOS DE SERVICIOS Y NECESIDADES La estrategia de servicios define tres tipos de servicios con las que los consumidores participan en la valoración de servicios: Tipo 1- Servicios internos Tipo 2- Servicios compartidos Tipo 3- Servicios externos Ver anexo LA CARTERA DE SERVICIOS Y EL CATALOGO DE SERVICIOS La cartera de servicios solo contiene aquellos servicios que son evidentes para el consumidor y son lo que le son ofrecidos inicialmente, sin incluir aquellos otros servicios que van integrados dentro del servicio que se le ofrecen al consumidor, estos servicios algunas ocasiones son identificados por el consumidor, sin embargo en algunas otras ocasiones no se percata de que son otro servicio extra que se encuentra incluido en que se le ofreció. Es por ello que esta cartera de servicios debe poner especial atención en que la mezcla ofertada del catálogo de servicios sea la adecuada para el mercado al que lo dirige. Imagen 1.7 Cartera de servicio (Majid, Nieves, 2007) 21

23 En la imagen 1.7 vemos una representación de estos elementos que intervienen en la cartera de servicios, como se secciona el mercado según el tipo de clientes a los que ofrecemos los servicios y finalmente esta tercer parte de los servicios que contiene la cartera de servicios y que es en la que se basan los planes de mejora de servicios. Tal como se muestra en la imagen 1.8 el catálogo de servicios contiene el listado completo de todos los servicios que proporciona el área de TI, no solo aquellos que se le ofrecen directamente al consumidor, sino todos aquellos que van implícitos y que son realizados y proporcionados por la organización, aquellos que incluso han dejado de ser evidentes por su cotidianeidad, pero que son la base para el catálogo de servicios. Imagen 1.8 Catálogo de servicios (Majid Iqbal y Michael Nieves, service lifecycle, pag.32) Cuando la cartera de servicios tomo ese carácter dinámico con respecto a los procesos, se deben de tomar en cuenta los siguientes puntos y ponerlos en práctica. Definición Análisis Aprobación Autorizar Ver anexo DESARROLLO ORGANIZACIONAL Generalmente dentro de las organizaciones se hace la división de áreas de acuerdo a las funciones que realiza el personal y dentro de estos grupos se marca una jerarquía; sin embargo cuando estas áreas o departamentos exceden la cantidad de personal y superan este número en más de 20 personas, el departamento comienza a perder la definición de estas funciones o actividades conceptuadas inicialmente. En este caso se recomienda realizar alguna de las siguientes subdivisiones o un hibrido de ellas, para conservar claridad 22

24 en las tareas correspondientes a cada departamento, estas son descritas en ITIL tal cual se muestra a continuación (Majid, Nieves, 2007): Para mayor especificación Ver anexo 16 Función Producto Mercado o consumidores Geográfica Procesos DISEÑO DE SERVICIOS Imagen 1.9 Estrategia de servicios 3 El diseño de servicios surge después del análisis de la estrategia de servicios y se involucra íntimamente con el diseño de servicios tal y como se muestra en la imagen. Imagen 1.10 Diseño de servicios (Majid, Nieves, 2007) En la imagen se puede observar como el diseño de servicios se desprende de la estrategia de servicios y tiene cuatro etapas importantes las cuales son: diseño de la solución, arquitecturas, 23

25 estándares y las propuestas de diseño de servicios. Sin embargo en la siguiente imagen se pueden ver cuáles son los elementos clave en el diseño de servicios. Imagen 1.11 Diseño de servicios BENEFICIOS DE UN BUEN DISEÑO DE SERVICIOS E IDENTIFICACIÓN DE LOS REQUERIMIENTOS DE SERVICIOS Significados Ver anexo 17 Reduce los costos totales (TCO) Provee calidad en el servicio Provee consistencia en el servicio Fácil implementación de nuevos servicios o cambios en los servicios Provee alineación de los servicios Mayor eficiencia en la ejecución de servicios Provee control de las TI Administración de servicios y procesos TI más efectivos Proveerán información y decisiones de mercado 24

26 Imagen 1.12 Diseño de servicios 2 Diseño de las actividades de los procesos: Levantamiento de requerimientos, análisis e ingeniería de los requerimientos claramente documentados y acordados. Diseño de los servicios, tecnología, procesos, información y medición de los procesos apropiados para conocer los requerimientos de los negocios. Examen y revisión de todos los procesos y sus documentos del diseño de servicios, incluyendo diseño, planes, arquitecturas y políticas Enlace con otros diseños, actividades planeadas y roles Producción y mantenimiento de las políticas de TI, diseño de los documento incluyendo diseño, planes, arquitecturas y políticas Revisión de todo el diseño de documentos y planeación del desarrollo e implementación de estrategias de TI, usando planes de trabajo, programadores y plan de proyectos Evaluación de riesgos y administración del proceso de diseño y resultados Asegurar la alineación con todo el corporativo y las políticas y estrategias de TI ADMINISTRACIÓN DEL CATALOGO DE SERVICIOS El catalogo se administrar de la siguiente manera: (Reflexión exacta de una lista de contenga los elementos de la tabla para cada uno de los servicios) SERVICIO Detalles Estado Interface Dependencias Tabla 1.2 Administración de catalogo Este catálogo empieza durante el desarrollo; contiene una vista de los usuarios y de los servicios de TI en uso: Usuario Servicio Uso Procesos Calidad del Calidad que esperan común de negocio servicio recibido recibir en el servicio Tabla 1.3 Administración de catálogo 2 25

27 Las actividades que puede incluir la Administración del catálogo de servicios son: Definición de los servicios Catálogo de servicios (generación, mantenimiento, precisión y actualización) Catálogo de servicios Portafolio de servicios(interfaces, dependencias y consistencia) Catálogo de servicios CMS [change management services] (interfaces, dependencias y soporte) Imagen 1.13 Catálogo de servicios El catálogo de servicios tiene dos aspectos a considerar: El catálogo de servicios del negocio: Contiene los detalles de todos los servicios TI desarrollados para el consumidor, junto con las relaciones entre las unidades de negocio y los procesos de negocio. Esto es lo que el consumidor ve en el catálogo de servicios. El catálogo de servicios técnico: Contienen los detalles de todos los servicios TI desarrollados para el consumidor, junto con el soporte de servicios, la distribución de los servicios, componentes y configuración de datos necesaria para soportar los servicios del negocio. Esto puede ir al pie del catálogo de servicios del negocio y no debe estar visible para los consumidores. Ver anexo ADMINISTRACIÓN DE LA CALIDAD DE LOS SERVICIOS La Administración del Nivel de Servicios (SLM) es un proceso vital, este es responsable de acordar y documentar el nivel de servicios acordado. Y equilibrar entre el Nivel de Servicios Acordado (SLA s) y el Nivel de Servicios Requerido (SLR s) para cada actividad con TI. Ver anexo ADMINISTRACIÓN DE LA CAPACIDAD Durante este proceso lo que se busca es encontrar y aplicar el balance correcto entre la capacidad de los servicios y las demandas del negocio, es decir, que se cuente con la capacidad suficiente para satisfacer los requerimientos de todos los consumidores, considerando los tiempos, y los resultados del análisis costo beneficio, de tal manera que se pueda ofrecer buenos servicios y que el costo de estos servicios no supere el beneficio obtenido. 26

28 El tener la capacidad adecuada es una de las claves fundamentales del éxito del negocio y para lograrlo es necesario considerarlo durante todo el proceso de diseño de los servicios. La administración de capacidades es esencialmente un balance entre los siguientes casos: Balancear costos y recursos necesarios Balancear los suministros y las demandas La administración de capacidades puede incluir: Monitorear las actividades del negocio y los niveles de servicio: Monitoreo Imagen 1.14 Monitoreo Afinar las actividades del proyecto para hacer más eficiente el uso de los recursos TI Comprender las demandas y acuerdos con los consumidores actuales y futuros Influenciar la administración de la demanda Producir un plan de capacidades que continúen con la calidad definida en los SLAs y cómo serán definidos en los SLRs y el servicio de portafolios Identificar y resolver los incidentes y/o Mejorar proactivamente los servicios o componentes de ejecución con cualquier costo justificable y conocer las necesidades del negocio Elementos de la administración de capacidades Imagen 1.15 Administración de capacidades (Majid, Nieves, 2007) 27

29 ADMINISTRACIÓN DE LA DISPONIBILIDAD Es la manera en la que se consigue la fidelidad del cliente, ya que el contar con disponibilidad de los servicios es aumentar la calidad de los mismos, puesto que es una parte muy visible para el consumidor. El proceso de administración de la disponibilidad puede incluir: Monitoreo de todos los aspectos de disponibilidad, recuperación y mantenimiento de los servicios TI y componentes de soporte con los eventos, alarmas e intensidad apropiados, con las pólizas de recuperación automatizadas. Mantenimiento de métodos, técnicas y cálculos para todas las métricas y reportes de disponibilidad Asistir con la evolución de riesgos y administración de actividades Reunir las mediciones, análisis y producción regular con reportes actuales de servicios y componentes de la disponibilidad Entender los acuerdos actuales y futuros de la demanda de los servicios TI y su disponibilidad Influenciar en el diseño de servicios y sus componentes para alinearlos con las necesidades del negocio Producir un plan de disponibilidad para proveer servicios en línea con disponibilidad a lo definido en los SLAs y pronosticar futuros requerimientos de los niveles de disponibilidad definidos en los SLRs Mantener un programa de pruebas para todos los componentes y mecanismos fuertes y débiles. Ayudar con la identificación y resolución de incidentes y problemas asociados con los servicios o los componentes no disponibles Mejorar proactivamente los servicios o componentes de disponibilidad con cualquier costo justificable y conocer las necesidades del negocio El proceso de administración de disponibilidad tiene dos elementos clave: Actividades de reacción Actividades proactivas La administración de la disponibilidad es completa en dos niveles interconectados: Disponibilidad del servicio Disponibilidad de los componentes 28

30 ADMINISTRACIÓN CONTINÚA DE LOS SERVICIOS IT Cuando los servicios fallan lo último que se desea tener son grandes consecuencias por eso en esta parte se evalúa el nivel de seguridad necesario para proteger los activos y prever la recuperación del desastre. La meta de ITSCM es dar soporte a la administración continua del negocio asegurando las técnicas y servicios requeridos por TI, puede ser resumido en requerimientos, acuerdos y escalas de tiempo en el negocio. Ver anexo ADMINISTRACIÓN DE LA SEGURIDAD EN LA INFORMACIÓN La información es uno de los bienes más valiosos de las organizaciones; ya que hoy en día la información representa fuentes de conocimiento incalculables y que ponen en manos de quien posee este conocimiento el futuro y porvenir de la organización. Este conocimiento es considerado una propiedad intelectual que no debe ser distribuido por el bienestar organizacional. Aunque no existe la suficiente legislación para el tratamiento de la información, así como de su uso indebido se sigue trabajando sobre ello, pero puesto que aún no está bien definido es responsabilidad de la organización, así como de sus proveedores el mantener la seguridad de la información que representa un capital intelectual. Las actividades de ISCM pueden estar enfocadas y manejadas por Políticas de Seguridad de la Información y especificado punto por punto las políticas de seguridad. Las políticas pueden cubrir todas las aéreas de seguridad, ser apropiadas y conocer las necesidades del negocio y pueden incluir: Una política de seguridad de la información Usar la política de fondos de TI Una política de control de accesos Una política de control de password Una política de correo electrónico Una política de internet Una política anti virus Una política de clasificación de información Una política de acceso remoto Una política de acceso a proveedores a los servicios TI, información y componentes Una política de disposición de fondos (Majid, Nieves, 2007) Todas las políticas de seguridad pueden ser revisadas y de ser necesario registrarlas en una base anual por lo menos. Cinco elementos de los sistemas de administración de la seguridad de la información (ISMS) son: 29

31 Control Planeación Implementación Evaluación Mantenimiento Ver anexo ADMINISTRACIÓN DE PROVEEDORES Esta parte está muy apegada al contexto del negocio y puede ser mejor dirigido enfocándonos en los beneficios del negocio para la organización. El proceso de administración de proveedores puede incluir: Implementar y hacer políticas de proveedores Mantener un SCD (Supplier Contract Database) base de datos de contratos de proveedores Categorizar contratos y proveedores y evaluar riesgos Seleccionar y evaluar contratos y proveedores Desarrollar, negociar y acordar contratos Revisar, renovar y terminar contratos Administrar proveedores y hacer uso de sus servicios Acordar e implementar planes de mejora de proveedores y servicios Mantener contratos, términos y condiciones estándar Mantener contractual la resolución de disputas Mantener la subcontratación de proveedores (Majid, Nieves, 2007) La satisfacción del consumidor influye de manera considerable en el nivel de servicios; es decir, en la calidad de los servicios prestados. Para motivar a los empleados a esforzarse en aumentar la calidad de los servicios es una buena práctica el publicar estos niveles, ya que por instinto de competencia comienzan a esforzarse por elevar este nivel de servicios o de calidad. 30

32 1.2.7 TRANSICIÓN DE SERVICIOS Imagen 1.16 Diseño de servicios 3 Una vez concluido el diseño de los servicios se procede a la transición de los servicios, la transición se refiere a la modificación de los servicios actuales (puede incluir creación, agregación o eliminación de servicios) para llevarlos hasta lo planeado y diseñado en las etapas anteriores; para esto se marcan los puntos clave de la transición en la imagen 1.17 Imagen 1.17 Transición de servicios 1 31

33 PREPARANDOSE PARA EL CAMBIO En la imagen siguiente se muestra el cómo hacer dicha transición de servicios, donde algunas llaves solo cuentan con numeración para no repetir el texto ya que son textos idénticos. Imagen 1.18 Transición de servicios TRANSICIÓN DE SERVICIOS Y SOPORTE Las organizaciones deben decidir el más apropiado aprovechamiento de la transición de servicios de su negocio de acuerdo a su: Tamaño Naturaleza Núcleo (corazón) Servicios de soporte Número y frecuencia de requerimientos Necesidad especial de los usuarios La estrategia de transición de servicios define la organización de la transición de servicios y la asignación de recursos. Los aspectos a considerar son: Propósitos, metas y objetivos de la transición de servicios Contexto, consumidores y portafolios de contratos Alcance: inclusión y exclusión Aplicación de estándares, acuerdos, leyes, reglamentos y requerimientos contractuales Organizaciones y usuarios potenciales en transición 32

34 Grupo de trabajo de la transición de servicios Criterios Identificación de requerimientos y contenidos de los servicios nuevos o modificados Personal Propuestas o aproximaciones Entrega de las actividades de transición incluyendo la documentación opcional y obligatoria para cada etapa Programas hito (puntos clave optimizados) Requerimientos financieros: fondos y presupuestos (Majid, Nieves, 2007) Al momento de diseñar los servicios se deben tener en consideración las preferencias de los consumidores, así como del mercado que se pretende abarcar, así como las opciones que nos presentan los proveedores todo esto incluido en el paquete de diseño de servicios (SDP) e incluye la siguiente información que es requerida por el equipo de transición de servicios: Aplicación de paquete de servicios Especificación de servicios Modelos de servicios Requerimientos de diseño de arquitectura para entregar un servicio nuevo o modificado incluyendo las obligaciones Definición y diseño para cada liberación de paquete Diseño detallado de cómo los componentes del servicio pueden ser ensamblado e integrados en la liberación de paquetes Liberación y desarrollo de planes Criterios de aceptación de servicio ADMINISTRACIÓN DE CAMBIOS El propósito de la administración de cambios es asegurar que: Los métodos y procedimientos estandarizados sean usados para la eficiencia y promoción de manejo de cambios Todos los cambios de configuración y fondos de servicios son grabados en el sistema de administración de configuración Optimizar la reducción de riesgos del negocio ADMINISTRACIÓN DE CONFIGURACIÓN Y FONDOS Los servicios y sistemas tienen un alto nivel de dependencia si falla uno falla el otro, por ello los fondos de los servicios tienen configuraciones específicas para las funciones de ejecución y últimamente el servicio de recolección de entregas. 33

35 La administración de fondos y configuración de servicios (SACM) nos permite ver una precisa representación de los servicios, liberación o desarrollos permitidos: Mejor pronóstico y planeación de cambios Los cambios y liberaciones deben ser evaluados, planeados y entregados exitosamente Los incidentes y problemas serán resueltos con el nivel de servicios indicado Mejor adherencia de los estándares, leyes y reglamentos obligatorios Más oportunidades de negocio habilitadas para demostrar control de fondos y servicios Los cambios deben ser trazados por los requerimientos Creación de la habilidad de identificar los costos para los servicios (Majid, Nieves, 2007) ADMINISTRACIÓN DE DESPLIEGUE Y LIBERACIÓN El objetivo del despliegue y liberación es: Tener claro y comprendido el despliegue de planes que permitan al consumidor y a los proyectos de cambio el negocio alinear sus actividades con sus planes Un paquete de liberación puede construir, instalar, probar y desplegar eficientemente un grupo de despliegue o disparar el desarrollo exitoso de un programa Los servicios nuevos o cambiados, los sistemas permitidos, tecnología y organización son capaces de entregar los acuerdos de requerimientos, utilidad, garantías y nivel de servicios Esta transferencia de conocimiento permite a los consumidores y usuarios optimizar el uso de los servicios que soportan las actividades del negocio La destreza y conocimiento es transferido a operaciones y el personal de soporte que les permite realizar entregas más efectivas y eficientes y dar soporte y mantenimiento de acuerdo a las garantías y nivel de servicios Es mínimo el impacto impredecible de los servicios de producción, operación y soporte de la organización Consumidores, usuarios y el personal de administración de servicios están satisfechos con los participantes de la transición de servicios, externos, documentación de usuarios y el entrenamiento. Los siguientes factores pueden ser tomados en cuenta cuando se decide el nivel apropiado de unidades liberadas: La facilidad y cantidad de cambios necesarios para liberar y desplegar una unidad liberada La cantidad de recursos y tiempo necesario para construir, probar, distribuir e implementar las unidades liberadas La complejidad de las vistas entre las unidades propuestas y el resto de los servicios e infraestructura TI La habilidad de almacenamiento en la construcción, pruebas, distribución y desarrollo de vida. 34

36 LIBERACIÓN DE PRUEBAS Y VALIDACIÓN DE SERVICIOS Una vez realizada la transición de los servicios, ya que se han implementado todos los cambios y modificación es momento de probar que los servicios son tal y como se diseñaron. Así como revisar que sus relaciones no hayan sido afectadas de forma negativa OPERACIÓN DE SERVICIO Imagen 1.19 Transición de servicios 3 El siguiente paso es operar o bien definir los detalles del uso y organización de estos servicios. A continuación se muestran los elementos clave. Imagen 1.20 Operación de servicios 1 35

37 VALOR DEL NEGOCIO Para el consumidor la vista de operación de servicio es donde el valor del negocio se encuentra. En todas las etapas de ITIL hay procesos, funciones y actividades que se distinguen con trabajo conjunto que entrega los objetivos de operación de servicios. Imagen 1.21 Transición de servicios 2 La operación de servicios es una de las fases o etapas más grande ya que se encarga de afinar todos los planes y requiere de mucho tiempo para lograr el detalle necesario ADMINISTRACIÓN DE EVENTOS Cumplimiento de requerimientos Administración de incidentes Administración de problemas Administración de accesos Las funciones de: Escritorio de servicios Administración técnica Administración de operaciones de IT Administración de aplicaciones Monitoreo y control 36

38 ADMINISTRACION DE EVENTOS Un evento puede definirse como cualquier suceso detectable o perceptible. (Majid, Nieves, 2007) La operación de servicios efectivos depende del conocimiento del estado de la infraestructura y detectar cualquier desviación normal o inesperada en la operación. Esto es proporcionado por un buen monitoreo y control de sistemas, los cuales están basados en dos tipos de herramientas: Herramientas de monitoreo activo Herramienta de monitoreo pasivo La administración de eventos puede ser aplicada a cualquier aspecto de la administración de servicios ya que esta necesita ser controlada y puede ser automatizada. Esto incluye: Configuración(CI): CI s constantes ( ej. Un switch en una red necesita permanecer encendido y las herramientas de administración de eventos confirman esto a través del monitoreo por la respuesta de los pings) CI s variables. La administración de eventos puede ser usada para automatizar esta y actualizar los CMS (ej. Actualizar el servidor de archivos) Condiciones de desarrollo (ej. detección de fuego y humo) Monitoreo de licencias de software, se usa para asegurar la óptima y legal utilización y asignación de licencias Seguridad ( ej. Detección de intrusos) Actividad normal (seguimiento del uso de una aplicación o ejecución de un servidor) ADMINISTRACIÓN DE INCIDENTES La administración de incidentes incluye cualquier evento que haya sido interrumpido o terminado de forma inesperada un servicio. Esto incluye eventos que son comunicados directamente por el usuario, eventos que arroja el escritorio de servicios, una interferencia en el administrador de eventos o de la herramienta de administración de eventos. Los incidentes pueden ser reportados y/o conectados con el personal técnico CUMPLIMIENTO DE SOLICITUDES Muchos de estos son pequeños cambios bajos riesgos, ocurrencia frecuente, bajos costos; o pueden ser solamente requerimientos de información. En muchos de los casos los requerimientos de servicios ocurren de manera constante y cuando este es el caso es recomendable establecer un flujo predefinido, para evitar el consumo de recursos innecesarios. Ver anexo 7 37

39 ADMINISTRACIÓN DE ACCESOS La administración de accesos es el proceso que nos ayuda a garantizar que los usuarios tendrán acceso a los servicios a los cuales están autorizados, mientras que los usuarios que carecen de esta autorización no deben poder acceder estos servicios. Esta administración de accesos se basa en proporcionar la disponibilidad acordada en los requerimientos, mientras por otro lado se mantiene una buena seguridad de la información para evitar posibles robos del capital intelectual. En esto la organización maneja la confidencialidad, disponibilidad e integridad de los datos de la organización y la propiedad intelectual. La administración de accesos asegura que el usuario tenga el uso correcto de un servicio, pero esto no asegura que el acceso esté disponible para todos los equipos acordados, esta es aportada por la administración de disponibilidad. Administración de accesos es el proceso que se ejecuta por todas las funciones técnicas y de administración de aplicaciones y es usual no separar estas funciones. Sin embargo es como un solo punto de control de coordinación, usualmente en la administración de operaciones de TI o en el escritorio de servicios. La administración de accesos puede ser iniciado por la requisición de un servicio arrojado por el escritorio de servicios ADMINISTRACIÓN DE OPERACIONES DE TI Generalmente la administración de operaciones tiene las siguientes características: Estas actividades aseguran que el dispositivo, sistema o proceso que está actualmente trabajando o corriendo estará disponible cuando los planes se convierten en acciones. Se enfoca en el diario o en el corte de actividades, aunque este puede ser señalado y estas actividades serán realizadas y repetidas en un largo periodo Estas actividades son ejecutadas por personal técnico especializado, que generalmente tienen que ser sometidos a entrenamiento técnico para que aprendan como realizar estas actividades. Se enfoca en construcciones repetitivas, de acciones consistentes, si se repiten frecuentemente estas pueden alcanzar un alto nivel de calidad y asegurara el éxito de la operación. Aquí es donde el actual valor de la organización es entregado y medido. Esta depende de la inversión en equipo o recursos humanos o ambas. El valor generado excede el costo de la inversión y todas las organizaciones en general si el negocio es exitoso. Ver anexo 8 38

40 Imagen 1.22 Operación de servicios MEJORA CONTINUA DE SERVICIOS (CSI) PROPÓSITOS DEL CSI Lo que busca la CSI es la alineación de los servicios TI con los cambios que necesita el negocio para identificar e implementar mejoras a los servicios TI. Esto soporta las actividades del ciclo de vida aprovechando lo que arrojan las estrategias, diseño, transiciones y operaciones de servicios. En efecto CSI es acerca de mirar la forma de proveer servicios efectivos y eficientes con bajos costos. OBJETIVOS DE LOS CSI Revisar, analizar y hacer recomendaciones sobre mejores oportunidades en cada fase del ciclo de vida: estrategia, diseño, transición y operación de servicios Revisar y analizar los resultados logrados en el nivel de servicios Identificar e implementar actividades individuales para proveer calidad, eficiencia y efectividad en los servicios TI permitidos por los procesos ITSM Proveer costos efecticos de entrega de servicios TI sin sacrificar la satisfacción del cliente Asegurar la aplicación de los métodos de administración de calidad es soportado y usado continuamente en la mejora de actividades Las siguientes actividades soportan el proceso continuo del plan de mejoras: 39

41 Revisar la administración de la información y tendencias que aseguren que los servicios tienen el nivel de servicio acordado Revisar la administración de la información y tendencias que aseguren que la salida permita a los procesos ITSM logran los resultados deseados Periódicamente conducir evaluaciones maduras acerca de las actividades de los procesos y los roles asociados que demuestran las áreas de mejora, las que se conservan o las de preocupación Periódicamente conducir auditorías internas verificando a los empleados y el cumplimiento de los procesos Revisar la existencia de entregas por relevancia Hacer recomendaciones de acuerdo a lo aprobado Conducir periódicamente valoraciones de la satisfacción del consumidor Conducir interna y externamente revisión de servicios para identificar oportunidades de CSI (Majid, Nieves, 2007) PASOS PARA LA MEJORA DE PROCESOS La mejora de procesos puede sumariarse en seis pasos: Entender la visión para alinear el negocio con las estrategias de TI Evaluar la situación actual de la organización en términos de negocios, personal, procesos y tecnología. Entender y acordar las prioridades para las mejoras. Detallar el plan de CSI para lograr mayor calidad en el servicio y mejorar los procesos ITSM. Verificar las medidas y métricas en el plan para asegurar que los puntos clave fueron logrados. Asegurar que el momento en el que se mejora la calidad es mantenido MANEJADORES DEL NEGOCIO Cada día se incrementa el uso y la importancia de los servicios TI abarcando cada vez más áreas dentro y fuera de las organizaciones, obteniendo mejores resultados. Sin embargo esto ha ocasionado que se tenga mayor conocimiento de ellos y por lo tanto se tenga una mayor exigencia hacia los servicios TI, lo que implica un alto nivel de competencia entre los proveedores de los mismos. Este alto nivel fortalece la necesidad de expandir los CSI, significa que: Las TI harán más que permitir la existencia de operaciones de negocio; las TI permitirán cambiar y ser parte de un componente integral del programa de cambios del negocio Es adicionalmente enfocado en la calidad de TI en términos de rentabilidad, disponibilidad, estabilidad, capacidad, seguridad y especialmente en riesgos Las TI y el gobierno de las TI son un componente integral en el gobierno de la corporación La ejecución de las TI hace más visible: las salidas técnicas, la insatisfacción del consumidor y el incremento de los temas abordados 40

42 Las organizaciones TI incrementan su propia posición y aunque no lo realizan solo ellos permiten la administración tecnológica del negocio y los servicios entregados en capacidad y calidad de la demanda del negocio Es mejor demostrado el valor del dinero Las TI con el comercio electrónico no solo soportan los procesos primarios del negocio, son el núcleo de esos procesos (Majid, Nieves, 2007) MANEJADORES DE LA TECNOLOGÍA La tecnología y su desarrollo dentro de las organizaciones nos proveen rápidas soluciones, convirtiéndose en factores casi indispensables en las operaciones. Y como resultado los servicios TI mejoran: El entendimiento de las operaciones del negocio y advierten las grande y pequeñas oportunidades de TI Son diseñadas para que con agilidad permitan predecir las necesidades del negocio Acomoda más cambios del negocio en reducidos ciclos de tiempo y coincidan con una reducida vista del ciclo del negocio Mantener o proveer la calidad existente de los servicios, mientras agregan o remueven componentes tecnológicos Asegurar que la calidad entregada y soportada coincide con el uso de la nueva tecnología Trae incremento de costos sobre control (Majid, Nieves, 2007) MEDICIÓN DE LOS SERVICIOS Elementos críticos en la medición de un servicio son: Integración de los planes del negocio Enfocarse en las metas y objetivos del negocio Estudios costo/beneficio Balancear la aproximación sobre lo que es medible Habilidad para soportar los cambios Medición de la ejecución de: Si es preciso y fiable Si está bien definido, específica y claramente Si es relevante para los objetivos conocidos Si no crea un comportamiento negativo Liderar la mejora de oportunidades El objetivo de la ejecución es: Ser inteligente 41

43 REPORTANDO SERVICIOS Un dato es colocado y monitoreado por las TI en el desarrollo diario de la calidad del servicio del negocio, se esperó solo un pequeño grupo de intereses e importancia real del negocio. La mayoría de los datos significantes son situados en la administración interna de las necesidades de TI. Los negocios como son representados en históricamente en los pasados periodos de ejecución, aportan su experiencia; esperando que esta haga crecer estos eventos históricos y que las IT presten más escenarios de acción. Las TI necesitan ser construidas aprovechando estos reportes. ANEXO CASOS PRÁCTICOS DE ÉXITO Y DE FRACASO DE ITIL CASO CIO CONSULTORES U.S. (MÉXICO) En la práctica de ITIL veremos que han sido documentados algunos casos de éxito sin embargo muy pocos casos de fracaso han sido documentados; pero existen estadísticas muy claras que se describirán más adelante. Uno de los casos de éxito de ITIL nos lo muestra la compañía CIO consultores que fue la responsable de su implantación, este fue implantado en la empresa SENCE (Servicio Nacional de Capacitación y Empleo) en el año del 2006 y nos menciona las actividades que realizaron: Capacitación en Fundamentos de Gestión de Servicios TI Workshop de Definición de la función de Mesa de Servicio y Gestión de Incidentes Workshop de Definición de Gestión de Problemas Workshop de Definición de Gestión de Configuración Workshop de Definición de Gestión del Nivel de Servicio Workshop de Definición de Gestión de Continuidad de Servicios TI Revisión y Seguimiento de la implementación de los procesos Coaching a los dueños de procesos Capacitación en realización de auditorías internas Como vemos una gran parte del trabajo de la implantación de ITIL no es solo la puesta en marcha de estas mejores prácticas; sino la capacitación del personal interno de la empresa de manera que se conforme una cultura organizacional orientada a él buen desarrollo de estos procesos y su importancia. CIO consultores proporciona cuatro tipos de servicios referentes a la implantación de ITIL, estos son: Evaluación: este sirve para cuando ITIL ya fue implementado pero se desea obtener resultados más eficientes y eficaces. 42

44 Implementación: es para cuando una empresa u organización parte de cero sin ninguna implementación anterior de ITIL o alguno de sus estándares homólogos. El programa de mejora continua: esta consiste en la evolución de ITIL a fin de obtener mayores grados de madurez organizacional y mejor desarrollo de ITIL. Educación y capacitación: este se enfoca a interrogar al personal clave de la organización con respecto a los procesos de ITIL y educarlos para que realicen mejores prácticas con respecto a ITIL. Y por otro lado, un punto significativo también es la reingeniería de los procesos la cual es descrita a continuación en la explicación de los servicios prestados por CIO (CIO, 2006) en la implantación de ITIL: Rediseño de Procesos Esta asesoría permite comprender los factores críticos de éxito de nuestros clientes, analizar y diseñar procesos y flujos de trabajo dentro y fuera de su compañía para mejorar su performance a través de un rediseño adecuado a sus necesidades. Para ello, es necesario involucrarse desde la raíz de la problemática, siguiendo los siguientes pasos: Desarrollar la visión del negocio, identificando los objetivos de los procesos a partir de metas como reducciones de costos, mejoras de calidad, reducción de tiempos, etc. Comprender y evaluar los procesos actuales Identificar los procesos a rediseñar Identificar herramientas tecnológicas relevantes que puedan influenciar el diseño Determinar las oportunidades de mejoras de los procesos analizados, la factibilidad y valoración de su implementación, el impacto en el negocio, las inversiones requeridas y la priorización de estas iniciativas Repensar la estructura organizacional y las habilidades requeridas de las personas que la conforman Resultados Los resultados de este servicio son: Nuevos procesos más eficientes en costos, tiempos y respuesta y que están alineados con los objetivos estratégicos de la organización Casos de negocios en los cuales se identifican los proyectos a desarrollar para implementar los cambios requeridos para los nuevos procesos Plan y metodología de implementación de los proyectos 4 [ ] 43

45 Imagen 1.23 Reingeniería de procesos CASO QUINT QUEST HOLANDA (LATINOAMÉRICA) En este caso nos comenta que la implantación de ITIL por sí sola no fue suficiente, es decir, no fue exitosa debido a que les hacía falta precisar las propuestas de mejora que no habían sido claramente definidas, de manera que con el uso de esta herramienta de evaluación Quint Quest se obtuvieron los beneficios esperados por ITIL, lo que nos quiere decir que requirió un complemento extra para convertir un caso de fracaso en éxito. Quint Quest tenía como cliente a un banco de nivel internacional, el cual tenía desplegados sus servicios por todo Latinoamérica, lo que pretendía para su reducción de gastos era centralizar los servicios de TI y algunas otras operaciones en México para evitarse los costos de infraestructura tecnológica en el resto de los países latinoamericanos; creando para estos fines una nueva unidad organizacional. Sin embargo al realizar esta nueva implementación de la unidad organizacional, se le presentaron varias situaciones complicadas que no estaban consideradas, entre ellas la presión que ejercía el tener que adaptarse en tan poco tiempo y a la par el hecho de tener que reducir los costos y sobre todo el tener que seguir operando y prestando los servicios mientras se realizaba la migración de los mismos. En un periodo 44

46 cercano la dirección del banco intento llevar a cabo la implementación de ITIL; sin embargo esta no les había dado los resultados esperados por lo que decidieron confiarle el caso a Quint Quest. Y una vez que Quin Quest tuvo este caso en su poder lo primero que hizo fue realizar una evaluación a través de sus herramientas estandarizadas, de esta manera se pudieron identificar fácilmente los focos rojos de la organización que requerían atención inmediata, esta identificación no llevó más de un par de semanas y el banco comenzó a ver resultados en tan solo año y medio obtuvo un punto y medio adicional de madurez lo que significa una evolución más rápida de lo común y demostró que era un factor clave para determinar el éxito de la implementación de ITIL CASO TRANSBANK CHILE Este caso fue implementado en un administrador de tarjetas de crédito y la empresa SONDA fue quien llevo a cabo la implantación, y un dato importante que menciona este caso es que nos dice la empresa ya contaba con cierto grado de madurez de manera que ITIL fue a optimizar y mejorar este grado de madurez pero no parte de cero. Gonzalo Díaz de Valdés, subgerente en transbank nos comenta su experiencia (SONDA, 2006): Transbank es una empresa chilena que se dedica a la administración de tarjetas de crédito como las terminales en diferentes locales y negocios, debido a la gran cantidad de usuarios que atienden y a sus múltiples requisiciones fue necesario crear una mesa de ayuda, de la cual nos comentan que no contaban con un único punto de contacto para recoger los requerimientos del cliente, lo que implicaba duplicación de información, de esfuerzos y por ende de costos; ya que estos no eran canalizados con el personal indicado. De ahí nació la idea de implementar ITIL, la empresa encargada de llevar a cabo esta tarea fue SONDA, la cual inicio por capacitar al personal para que el servicio tuviera un mayor nivel de calidad y proporciono buenos resultados PUNTOS FAVORABLES, COLOQUIO ITIL 2008, ESPAÑA En un coloquio en Madrid, España, el 26 de junio de 2008, algunos expositores comparten los puntos más relevantes considerados por ellos en casos prácticos, experiencias y resultados de la implantación de ITIL: Autor Función Aportación Puntos relevantes Fernando Pereira Jesús García Romanos Director de Tecnología CAIXA GALICIA Especialista Tivoli Business Automation IBM Problemática a la hora de iniciar un proyecto ITIL. Fases del proyecto y pasos a seguir para mejorar la Gestión de Servicios. Análisis de las necesidades de la empresa Qué se puede llegar a hacer con la implantación de ITIL: la gestión del cambio en la prestación de servicios TIC Entender los costos Evaluar los riesgos de implantación de este tipo de proyectos de mejora de la Gestión de Servicios Realizar encuestas periódicas sobre el grado de satisfacción del cliente Cuáles han sido los errores en la implantación que hay que evitar Beneficios para el negocio. Por qué la gestión del cambio? Elementos clave de la gestión del cambio: actividades, roles y productos Indicadores clave de rendimiento (KPIs) de la gestión del cambio 45

47 Carles Galcerán Enterprise Solutions Engineer ASG Cómo garantizar que la infraestructura de TI soporta los procesos ITIL Gestionar la tecnología subyacente y asegurar que las infraestructuras de TI mejoran el rendimiento del negocio Implantar una efectiva monitorización, información y gestión de TI y obtener los máximos beneficios de ITIL Se ha conseguido un aumento de la satisfacción del cliente, reducción de costes y crecimiento de beneficios? Juan Francisco Hernández Ballesteros Gerente del Instituto de Informática y Comunicaciones CABILDO INSULAR DE TENERIFE Definición, cálculo y extracción de métricas, índices e indicadores basados en ITIL. Cómo organizar, dirigir y mejorar los procesos de Gestión del Nivel de Servicio, SLA y Service Level Management en ITIL Se ha conseguido optimizar la calidad de los servicios aplicando las mejores prácticas de ITIL? Consulta del estado de los incidentes activos, históricos de incidencias y cumplimiento de los SLA Convivencia de ITIL y otras metodologías del ciclo de vida del software Métricas ITIL, qué se está midiendo en las empresas? Cómo se ha planteado la medición de los resultados de los procesos ITIL Julio Blanco Rosa Juan Manuel Dévora Lorenzo Gerente de Consultoría de Negocio - Financial Management Services- ATOS CONSULTING Jefe del Servicio de Aplicaciones Corporativas UNIVERSIDAD REY JUAN CARLOS Raúl Álvarez Director de Preventa para España y Portugal BMC SOFTWARE Cómo puede ITIL ayudar a la mejora de la Gestión Financiera del área de IT El rol del Director de IT en el proceso de implantación de ITIL: cómo se justifica ITIL. Es necesario un cambio cultural basado en una reorganización corporativa para adaptarse al esquema basado en procesos? ITIL: de la V2 a la V3 Rentabilidad, eficacia, control en áreas de TI: necesidades actuales Cuál es el grado de productividad: es eficiente su área de TI? Cuál es el coste real de los servicios (TCO): son rentables? Cuál es la aportación real de ITIL en la gestión de los costes Cómo se entiende ITIL y la organización: adapt & adopt Cómo encajar la gestión de servicios TI dentro de la estrategia de la organización Cómo justificar ITIL a los propios miembros de la organización de TI Qué utilizar y cómo indicadores de TI como ayuda a procesos de negocio y de gestión La evolución de ITIL en base a la evolución del sector y su adaptación a las nuevas tendencias, estándares y tecnologías Mejoras y cambio de orientación de la reciente v3 de ITIL sobre la v2 El rol de los nuevos procesos y los nuevos libros dentro de las 46

48 Antonio Folgueras Ana Ramos Juan Manuel Dévora Lorenzo Profesor Informática UNIVERSIDAD CARLOS III Responsable de Implantación Proyecto ISO BRITISH TELECOM Carmelo Martínez Responsable del Proyecto de Implantación ITIL Jefe del Servicio de Aplicaciones Corporativas UNIVERSIDAD REY JUAN CARLOS Factores críticos de éxito para garantizar la innovación estratégica en entornos ITIL: aplicación a la subcontratación Visión práctica de ITIL: factores críticos de éxito para la implantación. El valor de la certificación ISO Tools Roundtable organizaciones de TI actuales Qué aporta la versión 3 de ITIL Qué mejoras ofrece sobre la versión 2 Qué deben hacer las organizaciones Particularidades cuando hay uno o varios proveedores de outsourcing Cómo afecta tanto en positivo como negativo las mejores prácticas de ITIL en las decisiones de los servicios de outsourcing La importancia de definir objetivos realistas Mapa de ruta : desde la venta interna del proyecto hasta la certificación Integración con otros Sistemas de Gestión y prácticas: ISO 27000, CMMI, COBIT Dinámica de grupo para analizar y debatir qué criterios tener en cuenta para elegir la herramienta de software que le ayude a registrar y gestionar todo el flujo de información y mejorar la gestión de procesos de TI. La implantación de herramientas es suficiente para adaptarse a ITIL? Creación de un detallado plan de implantación progresiva del Service Desk Monitorización de redes, sistemas y aplicaciones: herramienta de manejo y administración de incidencias, problemas y cambios para el departamento de TI Cómo convencer a las distintas partes de una organización para implantar ITIL: ahí comienza el cambio Tabla 1.4 Coloquio en Madrid 47

49 1.4 COBIT 1.4 COBIT- (OBJETIVOS DE CONTROL PARA TECNOLOGÍAS DE INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS) Es propiedad de ITGI o Instituto de Gobierno de las Tecnologías Informáticas. Como su nombre lo indica a lo que se dedica es a establecer puntos clave para el control de las tecnologías informáticas. La versión 4.1 que es la versión educativa así definida por el autor nos hace un compendio de los libros existentes en uno solo, el cual por sus dimensiones se encuentra resumido. Esta versión al igual que los libros se encuentra dividida de la siguiente manera: SECCIONES: Marco de trabajo COBIT Planear y organizar Adquirir e implementar CONTENIDOS: La necesidad de un marco de trabajo de control para el gobierno de TI Orientado al negocio Orientado a procesos Planear y organizar (PO) Adquirir e implementar (AI) Entregar y dar soporte (DS) Monitorear y evaluar (ME) Basado en controles Impulsado por la medición El modelo del marco de trabajo de COBIT Definir un Plan Estratégico de TI Definir la Arquitectura de la Información Determinar la Dirección Tecnológica Definir los Procesos, Organización y Relaciones de TI Administrar la Inversión en TI Comunicar las Aspiraciones y la Dirección de la Gerencia Administrar Recursos Humanos de TI Administrar la Calidad Evaluar y Administrar los Riesgos de TI Administrar Proyectos Identificar soluciones automatizadas Adquirir y mantener software aplicativo Adquirir y mantener infraestructura tecnológica Facilitar la operación y el uso Adquirir recursos de TI Administrar cambios Instalar y acreditar soluciones y cambios 48

50 Entregar y dar soporte Monitorear y evaluar Definir y administrar los niveles de servicio Administrar los servicios de terceros Administrar el desempeño y la capacidad Garantizar la continuidad del servicio Garantizar la seguridad de los sistemas Identificar y asignar costos Educar y entrenar a los usuarios Administrar la mesa de servicio y los incidentes Administrar la configuración Administrar los problemas Administrar los datos Administrar el ambiente físico Administrar las operaciones Monitorear y Evaluar el Desempeño de TI Monitorear y Evaluar el Control Interno Garantizar el Cumplimiento Regulatorio Proporcionar Gobierno de TI Tabla 1.5 Contenidos COBIT Y adicional cuenta con diferentes apéndices que a los que se hacen referencia durante las secciones anteriores MARCO DE TRABAJO COBIT En el marco de trabajo nos indica desglosando una serie de razones y motivos por los cuales es necesaria la implementación de COBIT y este motivo o razón es principalmente la ventaja competitiva. Ya que como es bien sabido las TI son cada vez más utilizadas e importantes dentro de las empresas y organizaciones; ya que estas le proporcionan y le garantizan en muchos de los casos un lugar preferencial en el mercado, sin importar que este sea un mercado de servicios o productos. Por lo que la información que estas tecnologías sostienen y almacenan se ha convertido en un recurso valioso, tan valioso que se le puede asignar un valor monetario y que en algunas de estas empresas u organizaciones no solo es un activo más, sino el activo más atesorado debido a las consecuencias fatales que representaría su mal uso. Todo este gran proceso de COBIT se define a través de una serie de preguntas básicas, estas preguntas son: Qué?, Quién?, Por qué? y Cómo? Se empezara describiendo el Por qué? 49

51 POR QUÉ IMPLEMENTAR COBIT? Por qué responde a las necesidades que se cubren a través de la implementación de COBIT, estas necesidades se enlistan en un grupo de factores clave considerados por la alta dirección y que son requeridos por las TI (Zapata, Soriano, 2007): Garantice el logro de sus objetivos Tenga suficiente flexibilidad para aprender y adaptarse Cuente con un manejo juicioso de los riesgos que enfrenta Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas Una vez definidas las necesidades de la empresa u organización es de vital importancia el definir las tareas que a las empresas y organizaciones corresponde para obtener el éxito deseado (Zapata, Soriano, 2007): Alinear la estrategia de TI con la estrategia del negocio Asegurar que los inversionistas y accionistas logran un debido cuidado estandarizado para la mitigación de los riesgos de TI Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos Medir el desempeño de TI Una vez definidos los factores a considerar tanto en las TI, como en las empresas u organizaciones, es momento de verles desde un punto de vista integral, en el que desde luego deben desarrollar tareas conjuntas; estas tareas que realizan de manera conjunta son (Zapata, Soriano, 2007): Se forme un vínculo con los requerimientos del negocio El desempeño real con respecto a estos requerimientos sea transparente Se organicen sus actividades en un modelo de procesos generalmente aceptado Se identifiquen los principales recursos a ser apalancados Se definan los objetivos de control Gerenciales a ser considerados Existen múltiples razones más por las cuales se debe implementar COBIT, sin embargo ya se han definido las principales anteriormente. Ahora que ya sabemos las razones por las que se debe implementar COBIT, debemos saber para quienes fue desarrollada esta metodología, a qué personas, empresas u organizaciones les es de utilidad? 50

52 QUIÉN DEBE CONOCER COBIT AL IMPLEMENTAR? Existen tres tipos de personas a las cuales les pueden interesar estos objetivos de control debido a la naturaleza de su función dentro de la empresa u organización estos son: Personal interno cuya función es generar valor a través de las inversiones de TI: Los que toman decisiones de inversiones, de requerimientos y los que utilizan estos servicios. Personal interno y externo que brinda los servicios de TI: Los administradores de TI, los encargados de incrementar la eficiencia y los que operan los servicios. Personal interno y externo encargados del control de riesgos: Los encargados de seguridad, entrega, los asegurados y aseguradores QUÉ ACCIONES SEGUIR PARA LOGRAR QUE COBIT FUNCIONE? Las acciones a seguir se muestran en el siguiente listado (Zapata, Soriano, 2007) Brindar un enfoque de negocios que permita la alineación entre las metas de negocio y de TI. Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el contenido. Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas. Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en general para todos los Interesados. Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por reguladores y auditores externos CÓMO ENFOCAR LAS ACCIONES ENMARCADAS EN COBIT? Sin embargo no nos seria tal útil el saber qué hacer, si no sabemos cómo hacerlo es por ello que de forma complementaria y opcional COBIT también nos indica cómo hacerlo y esto es cumpliendo con las siguientes características: 1.- Ser orientado a negocios 2.- Ser orientado a procesos 3.- Basarse en controles 4.- Impulsarse por mediciones Para cumplir con estos objetivos del negocio se requiere que la información cumpla con ciertos estándares de calidad, a estos se les llama requerimientos de información, los cuales son: a) Efectividad: relevante, pertinente, oportuna, correcta, consistente y utilizable. b) Eficiencia: optimo uso de los recursos. c) Confidencialidad: protección de la información. d) Integridad: Precisión, completitud y cumplimiento de expectativas. 51

53 e) Disponibilidad: la información al alcance de quien lo requiera y tenga autorización a ella. f) Cumplimiento: cumplimiento de las leyes, reglas, acuerdos, normas y políticas establecidas. g) Confiabilidad: Proporcionar la información apropiada para la administración de la misma METAS DE NEGOCIO Y DE TI En el siguiente cuadro se muestra una relación muy general de las metas del negocio con la estructura o arquitectura de la empresa, en él se muestra el desglose e impacto que tienen las metas dentro de la organización: Imagen 1.24 Metas de negocio y de TI (Zapata, Soriano, 2007) En la parte superior se muestra una línea de prioridad, así como de orden consecutivo de definición ya que primero se debe iniciar por establecer las estrategias del negocio o empresa, ya que el resto de las metas y objetivos se deben alinear con respecto a estas; ya que en las estrategias de la empresa se encuentran definidas acciones que sustentan la existencia de la misma. Siguiendo en orden de importancia y de sucesión se deben definir las Metas de negocio y de TI las cuales deben apoyar en su definición las estrategias de la empresa, estas metas son tanto del negocio como de las TI ya que las TI le proporcionan valor al negocio y por lo tanto no es correcto ni útil el separarlas como metas por separado, ya que su finalidad es conjunta y busca el logro de los mismos propósitos, solo vistos desde un enfoque diferente. Después las metas de TI, no son una separación como se mencionaba anteriormente, sino por el contrario sería la especificación de los mismos pero desde el enfoque de las TI. La arquitectura empresarial para las TI, nos da la plataforma o bien la estructura sobre la cual se sustentan las actividades desempeñadas por las TI para la misma organización y para los clientes que estos mantienen. 52

54 Una vez llevadas a cabo todas las especificaciones y acciones necesarias para el cumplimiento y logro de las metas de la empresa y de las TI es necesario medir los resultados obtenidos, para saber hasta qué grado estas fueron efectivas, así como saber que nuevas medidas debemos tomar. Y finalmente podemos ver por quien son impulsadas todas estas decisiones. En el caso de las metas de empresa y de TI vemos en la imagen de arriba que es definida por los requerimientos de negocio e influenciada por la alta dirección; así de esta manera se obtienen la especificación de los servicios que se deben prestar y los criterios que aplican a la información proporcionada. Y la arquitectura está definida por los procesos que se llevan a cabo de TI RECURSOS DE TI En la imagen 1.24 se describió que los recursos de TI son definidos y especificados por la empresa y se ven influenciados por la alta dirección pero no solo es necesario ver su procedencia y su naturaleza, sino que también es muy importante clasificar estos requerimientos, estas clasificaciones son (Zapata, Soriano, 2007): Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran ORIENTADO A PROCESOS COBIT se divide en cuatro dominios los cuales son: Planear y organizar, adquirir e implementar, entregar y dar soporte, y finalmente monitorear y evaluar. Estos cuatro dominios son equivalentes a las cuatro fases del proceso administrativo quedando la relación de la siguiente manera. COBIT 1.- Planear y organizar P O PROCESO ADMINISTRATIO 1.-Planear Qué cubre este dominio? Estrategias y tácticas orientadas al logro de objetivos del negocio Cuestionamientos Están alineadas las estrategias de TI y del negocio? La empresa está alcanzando un uso óptimo de sus recursos? Entienden todas las personas dentro de la organización los objetivos de TI? Se entienden y administran los riesgos de TI? 53

55 Planificar y organizar Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? 2.- Adquirir e implementar A I 2.-Construir Identificar, desarrollar, adquirir e implementar soluciones a los procesos de negocio Es probable que los nuevos proyectos generen soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarán a las operaciones actuales del negocio? 3.- Entregar y dar soporte D S 3.-Ejecutar Entrega, instalación, administración, soporte, continuidad y prestación del servicio Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 4.-Monitorear y evaluar M E 4.-Monitorear Evaluar calidad y cumplimiento de los requerimiento s de control Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? Tabla 1.6 Dominios y fases de COBIT Entre los procesos más importantes que se deben de llevar a cabo durante la implementación de COBIT es: 1.-Proporcionar un modelo de procesos de referencia (define y delimita responsabilidades). 2.-Proporcionar un lenguaje común para todos los que se encuentren involucrados con las TI 3.- medición y monitoreo del desempeño de las TI COBIT divide su marco de trabajo en 34 procesos los cuales se encuentran relacionados con sus dóminos de la siguiente manera: PO1 Definir el plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección de la tecnología PO4 Definir procesos, organización y relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las aspiraciones y la dirección de la gerencia PO7 Administrar recursos humanos de TI 54

56 Monitoreo y evaluación Entrega y soporte Adquirir e implementar PO8 Administrar calidad PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el software aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 instalar y acreditar soluciones y cambios DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar ya signar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicios y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones ME1 Monitorear y evaluar el desempeño de TI ME2 Monitorear y evaluar el control interno ME3 Garantizar cumplimiento regulatorio ME4 proporcionar gobierno de TI Tabla 1.7 Marco de trabajo Estos 34 procesos son solo una guía, es decir no se deben aplicar los 34 forzosamente ni únicamente, la lista deberá ser ajustada a las necesidades y requerimientos de la empresa u organización. Todos estos procesos requieren de controles y para ellos es necesario definir antes en qué consiste este control. Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos (Zapata, Soriano, 2007). COBIT maneja 6 controles de procesos de manera general, sin embargo al igual que los procesos el resto de los controles serán definidos y especificados según los requerimientos de la empresa u organización. 55

57 CONTROL PC1 Metas y Objetivos del Proceso PC2 Propiedad del Proceso PC3 Proceso Repetible PC4 Roles y Responsabilidades PC5 Políticas, Planes y Procedimientos PC6 Desempeño del Proceso DEFINICIÓN Definir y comunicar procesos, metas y objetivos específicos, medibles, accionables, reales, orientados a resultado y en tiempo, con métricas adecuadas Definir, roles, responsabilidades y dueños para cada proceso Diseñar procesos capaces de formar secuencias lógicas flexibles. Asignar sores y responsables de entregas finales Asegurar que las políticas, planes y procedimientos son accesibles, correctos, entendidos y actualizados y revisar ejecución Consultar métricas que proporcionen visión de las salidas y desempeño de los procesos para el logro de las metas Tabla 1.8 Controles de procesos En la siguiente matriz se definen los responsables, quien debe ser consultado y la información que es proporcionada, todo esto en base a los controles establecidos anteriormente y dependiendo de sus funciones. Imagen 1.25 Matriz RACI (Zapata, Soriano, 2007) Y es importante contar que estos roles y responsabilidades son aplicados solo a los proceso clave en la matriz. Y como nos lo indica la R para quien realiza la actividad, A quien la autoriza, C o I son personas involucradas en el proceso, consultado e informado respectivamente. Sin embargo no solo existen los controles a nivel de procesos, sino también los controles a nivel de negocio, ya que son sumamente importantes para el buen funcionamiento desde un nivel holístico. Estos controles son: Niveles en los que impactan: Dirección ejecutiva Que se hace: Ejemplos: Responsabilidad de: Ejecutar la Fijar objetivos Del consejo y se estrategia del Establecen políticas comunica a toda la 56

58 Procesos de negocio Soporte a procesos negocio Controles de aplicación (automatizados generalmente) Procedimientos manuales Controles a actividades de servicio de TI (controles generales) Se decide sobre los recursos con enfoque estratégico Integridad (Completitud) Precisión Validez Autorización Segregación de funciones Desarrollo de sistemas Administración de cambios Seguridad Operaciones de computo empresa. Del negocio (definición y uso) De TI (automatizar, implementar y mantener la integridad) Del negocio (definición y uso) De TI (desarrollo de los controles de aplicación) Tabla 1.9 Holística de los controles Para ello existen seis controles de aplicación recomendados, sin embargo no están definidos de forma estricta son ajustables a las necesidades del negocio, incluso reemplazables, estos son (Zapata, Soriano, 2007): 1. Preparación y Autorización de Información Fuente 2. Recolección y Entrada de Información Fuente 3. Chequeos de Exactitud, Integridad y Autenticidad 4. Integridad y Validez del Procesamiento 5. Revisión de Salidas, Reconciliación y Manejo de Errores 6. Autenticación e Integridad de Transacciones IMPULSADOS POR MEDICIÓN Es muy importante que todas estas medidas de control así como de administración que se llevan a cabo dentro de la organización estén ajustadas a la capacidad de desempeño y desarrollo de la organización; es decir, que se encuentren en el nivel adecuado para su situación actual, no exagerar o ser demasiado veniales al punto de la desconsideración. Sino encontrar el punto medio que ajuste a las necesidades del negocio u organización. Para ello es necesario saber de dónde se parte?, a dónde se quiere llegar? y a través de que mejoras se lograra? COBIT proporciona una serie de herramientas útiles para realizar estas mediciones, estas son: Modelos de madurez: basados en o Identificación de puntos clave o Y mejoras en cuanto a capacidad 57

59 Modelos de madurez Metas y medición del desempeño para TI: que miden? o Satisfacción de las necesidades del negocio y de TI o Desempeño de los procesos internos o Metas de actividades Preguntas relacionadas Necesidades a evaluar Principios a considerar Niveles Resultados Qué está haciendo nuestra competencia? Cuáles son las mejores prácticas? Comparar con nuestra posición y en base a esto: estamos haciendo lo suficiente? Cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de TI? 1. Una medición relativa de dónde se encuentra la empresa 2. Una manera de decidir hacia dónde ir de forma eficiente 3. Una herramienta para medir el avance contra la meta Conciencia y comunicación Políticas, estándares y procedimientos Herramientas y automatización Habilidades y experiencia Responsabilidad y rendición de cuentas Establecimiento y medición de metas 0 - No se aplican procesos administrativos en lo absoluto (NO EXISTE) 1 - Los procesos son ad-hoc y desorganizados (INICIAL) 2 - Los procesos siguen un patrón regular (REPETIBLE) 3 - Los procesos se documentan y se comunican (DEFINIDO) 4 - Los procesos se monitorean y se miden (ADMINISTRADO) 5 - Las buenas prácticas se siguen y se automatizan (OPTIMIZADO) Un conjunto de requerimientos de acuerdo al nivel de madurez Una escala que facilite la medición y se preste a si misma a la comparación La base para establecer el estado actual y el estado deseado Determinar qué se requiere hacer para alcanzar el nivel seleccionado Una visión generalizada de cómo se administra TI en la empresa 58

60 Métricas y medición del desempeño Tabla de atributos de madurez (Anexo 2.1) Medidas de Resultado, (indicador clave de meta KGIs) indican cuando las metas se han (pasados) conseguido. Indicadores desempeño (indicadores clave de desempeño KPIs) indican si es probable conseguir la meta(futuros) Las metas están definidas de arriba hacia abajo por lo que: Meta de negocio determina Meta de TI definen Meta de proceso establecen Meta de actividad Tabla 1.10 Herramientas de medición MODELO DEL MARCO DE TRABAJO COBIT Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría para medir a TI) Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI (cómo sería medido el dueño del proceso de TI) Métricas de desempeño de los procesos (miden qué tan bien se desempeña el proceso para indicar si es probable alcanzar las metas). Disponibilidad de información necesaria para dar soporte a las necesidades del negocio Ausencia de riesgos de integridad y de confidencialidad Eficiencia en costos de procesos y operaciones Confirmación de confiabilidad, efectividad y cumplimiento Este modelo cumple la función primordial de relacionar los requerimientos con los objetivos de TI, tal como se muestra en las ilustraciones, extraídas del libro de COBIT: Imagen 1.26 Modelo1 (Zapata, Soriano, 2007) Imagen 1.27 Modelo2 (Zapata, Soriano, 2007) En las que observamos tanto el principio de definir la métricas de arriba hacia abajo (lógicamente) como los procesos que intervienen y toda su estructuración basada en las 59

61 herramientas mencionadas anteriormente; de manera que en la primer imagen se puede observar el flujo que existe entre cada uno de estos factores, mientras que en la segunda lo que se muestra es su estructura. Por lo que ambas nos muestran la forma en cómo se relacionan solo que vista desde diferentes perspectivas. Para su descripción Ver anexo CULTURA ORGANIZACIONAL La cultura organizacional es aquello que caracteriza o identifica a una organización en su ambiente; son las creencias, reglas no escritas, filosofías, valores, ideologías, etc. Es todo aquello que hace que los miembros de la organización se identifiquen entre sí por perseguir fines comunes y compartir todas estas creencias e ideologías que los diferencian de otras organizaciones y determinan la forma de actuar y las acciones a realizar, así como las reacciones que presentaran; es decir se convierten en una comunidad que comparte inevitablemente características comunes. Y que desarrollan un sentimiento de identidad con la organización y entre los miembros que la integra, reforzando los intereses comunes y los sentimientos de pertinencia y aceptación. La cultura organizacional tiene como todo su lado negativo y su lado positivo; sin embargo los líderes organizacionales pueden y preferentemente deben hacer que la balanza se incline para favorecer a la organización. Este lado positivo es que a través de las filosofías, reglas no escritas y los demás factores que involucra la cultura organizacional mencionados anteriormente, se puede obtener un mayor esfuerzo del trabajador, al inculcarle una cultura de superación laboral, en la que incluso pueden rendir u ofrecer resultados más allá de lo que sus obligaciones les marcan y un factor humano que no debemos olvidar y que ha dado buenos resultados en el fomento de cierta cultura organizacional es la ambición. El lado negativo se refiere a que la responsabilidad de llevar a cabo las actividades que inculcan una buena cultura organizacional que beneficie a la organización está en manos de unos cuantos, es decir de los directores o lideres dentro de la organización, que comparados con el número total de empleados de una organización resultan siendo un número mínimo de personal sobre todo en aquellas que no han obtenido un buen grado de madurez; lo que implica mucho trabajo y esfuerzo para envolverlos en la cultura organizacional. Una de las definiciones más aceptadas de cultura organizacional es la Schein: 60

62 Cultura organizacional es el patrón de premisas básicas que un determinado grupo inventó, descubrió o desarrolló en el proceso de aprender a resolver sus problemas de adaptación externa y de integración interna y que funcionaron suficientemente bien a punto de ser consideradas válidas y, por ende, de ser enseñadas a nuevos miembros del grupo como la manera correcta de percibir, pensar y sentir en relación a estos problemas (SCHEIN, 1984) FACTORES DE LA CULTURA ORGANIZACIONAL Algunos de los factores a considerar mientras se lleva a cabo la introducción de una cultura organizacional son los siguientes: 1. Filosofía organizacional 2. Organigramas 3. Credos 4. Misión 5. Material de reclutamiento 6. Hábitos de trabajo 7. Socialización 8. Comportamiento de los miembros 9. Modelos y sistemas de comunicación 10. Diseño de las instalaciones de trabajo 11. Capacitación del personal 12. Apoyo de los líderes 13. Sistemas de motivación 14. Criterios de promoción 15. Criterios de toma de decisiones 16. Reglas verbales 17. Especificación de los valores 18. Administración de espacios y tiempos 19. Criterios de evaluación del personal 20. Acontecimientos relevantes 21. Formas de transmisión de la cultura 22. Procedimientos de respuesta ante incidentes y problemas 23. Los niveles jerárquicos 24. El grado de descentralización 25. Sistemas y procedimientos organizacionales Todos estos múltiples aspectos se deben considerar y manejar para buscar obtener los aspectos positivos de la organización, todo esto se hace a través de diferentes elementos subestimados sobre todo en las organizaciones con poco grado de madurez. 61

63 1.5.2 ELEMENTOS DE LA CULTURA ORGANIZACIONAL Estos elementos no comprenden todos los puntos enumerados anteriormente, pero si la mayoría de ellos por lo que es fundamental para el desarrollo de la cultura organizacional la consideración de ellos, estos son: CLIMA ORGANIZACIONAL Según Hall (1996) el clima organizacional se define como un conjunto de propiedades del ambiente laboral, percibidas directamente o indirectamente por los empleados que se supone son una fuerza que influye en la conducta del empleado (Hall, 1996). Las categorías o subdivisiones de clima organizacional son los siguientes: 1. Desvinculación 2. Obstaculización 3. Esprit (Espíritu de trabajo) 4. Intimidad 5. Alejamiento 6. Énfasis en la producción 7. Empuje 8. Consideración 9. Estructura 10. Responsabilidad 11. Recompensa 12. Riesgo 13. Cordialidad 14. Apoyo 15. Normas 16. Conflicto 17. Identidad 18. Conflicto e inconsecuencia 19. Formalización 20. Adecuación de la planeación 21. Selección basada en capacidad y desempeño 22. Tolerancia de errores La división anterior es una de las modernas sin embargo una de las divisiones más clásicas, resulta un poco más simple debido a que la subdivisión no es tan amplia esta subdivisión es: 1. Clima de tipo autoritario. I. Autoritario explotador II. Autoritarismo paternalista. 2. Clima de tipo Participativo. 62

64 III. Consultivo. IV. Participación en grupo DIVISIÓN DEL TRABAJO Esta división consiste en formar los equipos de trabajo de acuerdo a sus características y funciones, así como especialización; y repartir las tareas a desempeñar entre estos equipos, áreas o departamentos DEPARTAMENTALIZACIÓN La departamentalización no es más que el resultado de la organización y división del trabajo; ya que se conforman grupos de colaboradores con características similares que comparten actividades en común a fin de que estos sirvan de apoyo mutuo y esto es determinado en base a las tareas asignadas a cada grupo JERARQUIZACIÓN La jerarquía debe asignar los puestos, así como su nivel de mando según las funciones a desempeñar, esto debe ser con consideración de los puestos de liderazgo, las actitudes y las capacidades necesarias para que estos líderes tengan y puedan desempeñar sus funciones dentro de una estructura organizacional que favorezca estas actividades y les proporcione las facultades necesarias COORDINACIÓN La coordinación reduce el impacto aislante de los elementos anteriores; ya que tanto la división del trabajo, como la departamentalización, y jerarquización son factores que inherente mente llevan a una separación, provocando que los miembros se aíslen o formen subcomunidades dentro de la organización y estas subcomunidades no comparten los mismos intereses, si no son guiadas durante estos procesos. De esta manera la coordinación establece relaciones y por lo tanto medios de comunicación entre los trabajadores de diferentes departamentos, grupos o áreas. 63

65 1.5.4 FUNCIONES DE LA CULTURA ORGANIZACIONAL Motiva o limita las prácticas de la gerencia interna sobre el desarrollo de las políticas de una organización pública. (Peters 1999) Para competir en el mercado y para actuar consecuentemente. (Toca, 2005) Ofrecer a los clientes productos y servicios con valor agregado y de garantizar utilidades para la empresa. (Toca, 2005) Tiene como propósito el controlar y modelar a los empleados de una empresa. (Urrea, 2000). Estructura la descripción mental, tanto en los ciudadanos cómo en los funcionarios públicos, de lo que es y ha de ser el buen gobierno y la administración apropiada (Peters, 1999). Los valores políticos de una sociedad contribuyen en el moldeamiento de sus organizaciones públicas. (Peters, 1999). Los valores políticos de una sociedad contribuyen en la definición de los límites de la acción administrativa de las organizaciones públicas. (Peters, 1999). permite establecer criterios y reglas de acción para un mejor desempeño de las organizaciones en lo social (Peters, 1999) Enfrentar problemas de adaptación externa e integración interna en las organizaciones. (Schein, 1988). Enseñar a los nuevos miembros de la organización- el modo(s) correcto (s) de percibir, pensar y sentir problemas relevantes a la organización. (Schein, 1988). Moldear a sus miembros y establecer los parámetros de conducta en la organización o al entrar en relación con esta. Definir límites, estableciendo distinciones entre una organización y otra. (Etkin, Schvarstein, 1992) Transmitir un sentido de identidad a los miembros de la organización. (Etkin, Schvarstein, 1992) Facilitar la traducción, articulación, identificación e interiorización de los objetivos generales, respecto a los objetivos compartiméntales e individuales en la organización. (Etkin, Schvarstein, 1992) Tender a ser un silencioso sistema de control comportamental. (Etkin, Schvarstein, 1992) EVALUACIÓN DE LA CULTURA ORGANIZACIONAL Una manera de evaluar a la organización con respecto a su cultura organizacional, es revisar los puntos que se mencionan a continuación, estos puntos fueron sustraídos de la siguiente página ( al igual que el análisis de los mismos: La identidad de miembros, esto se refiere al grado en que los empleados se identifican con la organización como un todo y no solo con su tipo de trabajo. Las actividades laborales se organizan en torno a grupos y no a personas. 64

66 Las decisiones de la administración toman en cuenta las recuperaciones que los resultados tendrán en los miembros de la organización. Se fomenta que las unidades de la organización funcionen en forma coordinada o interdependiente. El empleado de reglas, reglamentos y supervisión directa para vigilar y controlar la conducta de los empleados. Fomenta que los empleados sean innovadores y arriesgados. Criterios para recompensar: se refiere a la distribución de recompensas, como por ejemplo aumento de sueldos y ascensos de acuerdo al rendimiento del empleado y no por su antigüedad, favoritismo y otros factores ajenos al rendimiento. Los empleados atiendan abiertamente sus conflictos y críticas. Enfoque hacia un sistema abierto: grado en que la organización controla y responde a los cambios del entorno externo REPERCUSIONES Se resalta que muchas organizaciones tienen muchas subculturas que influyen en la conducta de sus miembros. La cultura refuerza el compromiso con las organizaciones y aumenta la consistencia de la conducta de los empleados. La cultura es valiosa porque reduce la ambigüedad (indica a los empleados hacer las cosas y que es importante). Cuando el entorno de la organización está sujeto a cambios rápidos, la cultura organizacional arraigada podría no resultar adecuada, ya que puede ser un peso para la organización y dificultar las respuestas a los cambios del entorno CULTURA ORGANIZACIONAL EN MÉXICO Existen pocos estudios realizados en México sobre la cultura organizacional, sin embargo estos pocos han dado interesantes resultados En un estudio realizado por Bueno en 1995 a empresas Mexicanas de autopartes pudo concluir que estas no contaban con el mismo nivel de madurez productiva, cada uno presenta problemas desarrollados por el contexto en el que laboran, y muchos de los programas solo quedan en la documentación ya que surgieron de decisiones individuales sin tomar en cuenta a la comunidad de la organización y por lo tanto nunca fueron llevados a cabo los programas. En una entrevista realizada en 1996 a Lee Crawford, Director Administrativo de la División Delphi de General Motors, estos comentaron algunos puntos que consideraron clave para el éxito de la cultura organizacional en México, estos son: a.- Llegar a tener inicialmente un estilo de liderazgo de dictador benevolente, hasta que los administradores mexicanos alcancen la madurez y ganen confidencia en su estilo administrativo, entonces se podrá tener un estilo más participativo. Sin embargo, el 65

67 entrevistado comprobó que a pesar de que "todos me dijeron que los trabajadores mexicanos requieren un dictador benevolente. Que usted no puede usar los equipos de trabajo" quienes así le aconsejaban, estaban equivocados en sus apreciaciones b.- Aprender a controlar lo que se dice. Crawford aprendió que la administración mexicana tiene un alto nivel de orgullo y de deseo para satisfacer que se debe de tener cuidado con lo que se pregunta: "realmente tuve que atemperar mi estilo porque aprendí que los administradores mexicanos me tomarían literalmente" ejemplifica el entrevistado. c.- Dar cumplimientos antes que los criticismos. A los trabajadores mexicanos no les gusta que se hable directamente de los errores. d.- El conocimiento es respetado en el caso de administradoras femeninas y no existen problemas, según el entrevistado, para la aceptación de so role por parte de los empleados masculinos. e.- Tradicionalmente, los trabajadores mexicanos dan su lealtad a los administradores como individuos, más que a las organizaciones, aunque sin embargo, ahora se enfatiza más la lealtad a las organizaciones que a los individuos. f.- El trabajo en equipo se desarrolla más en las plantas de General Motors del interior de México que en las de sus fronteras, debido a que existe una mayor atmósfera familiar, y por tanto existe una mayor esprit de corps. Sin embargo, el entrevistado no encuentra diferencia entre el diseño de grupos de trabajo formados con gente pagada por hora y sindicalizada de planta de México con plantas de Estados Unidos relacionadas con el trabajo en equipos. g.- Algunos de los temas que el entrevistado piensa son importantes a considerarse por las organizaciones cuando se selecciona personal para trabajar en México, son: enviar el mínimo número de gente, que hablen el español, que realmente aprendan la cultura y el lenguaje y en contratar a la mejor persona, ya que "se les puede enseñar el Inglés, pero no se les puede enseñar a ser inteligentes". h.- Las relaciones interpersonales son muy importantes. "Si usted reconoce esto y lo tiene como parte de su filosofía operacional, consigue el retorno sobre la inversión", sostiene el entrevistado. i.- Se tienen dificultades debido a las tremendas conexiones familiares existentes, pero a medida que se alcanza la madurez, las personas empiezan a crecer y desarrollarse fuera de estos problemas y visualizan otras oportunidades. j.- "La fuerza de trabajo es tremendamente a las ideas y tremendamente creativo en todos los niveles" afirma el entrevistado, aceptado que quizás esto es de naturaleza cultural y afirmando que "hemos sido capaces de realizar muchas cosas aquí que muchas gente me dijo era anticultural" y ejemplifica con la creación de un Fondo Unido para fines de asistencia sociales en proyectos comunitarios, el cual se le dijo que nunca podría realizarse porque "había tal desconfianza de México, del sistema mexicano, de las burocracias existentes". 66

68 Capítulo II. ESTADO DEL ARTE 2.1 IMPLICACIONES DE ITIL EN EL PROCESO ADMINISTRATIVO ITIL es una metodología para administración informática por lo que lleva la consigo las mismas etapas del proceso administrativo, solo que las nombra de diferente manera, sin embargo estas siguen cumpliendo los propósitos especificas del proceso administrativo, ya que como se menciona anteriormente la metodología de ITIL se encuentra basada en el ciclo de vida de Deming tal y como se muestra en el siguiente cuadro: Proceso Desglose del proceso ITIL Administrativo administrativo PLANEACIÓN Qué se quiere hacer? ESTRATEGIA DE Qué se va hacer? SERVICIOS ORGANIZACIÓN Cómo se va a hacer? DISEÑO DE SERVICIOS EJECUCIÓN Ayudar a que se haga Ver que se haga TRANSICIÓN DE SERVICIOS Mejorar lo que se está haciendo Cómo se ha realizado? OPERACIÓN DE CONTROL Corregir lo realizado SERVICIOS Tabla 2.1 Proceso administrativo e ITIL Sin embargo dentro de las fases o etapas de ITIL también se desarrolla el proceso administrativo de forma individual dentro de ellas, es decir la estrategia de servicios cumple con el proceso administrativo, al igual que el diseño, etc. De manera que es indispensable iniciar con la estrategia de servicios que equivale a la planeación según el proceso ya que como hemos visto anteriormente es indispensable y de su corrección y veracidad depende el resto del proceso y por otro lado al ser la primer fase marca la pauta para el nivel de exactitud y seguridad que se deberá seguir durante el proceso administrativo. Además de que como se vio tiene un alto grado de complejidad ya que no cuenta con tantos ejemplos y líneas de acción como el resto de las etapas por lo que propicia que esta sea más propensa a errores; esta parte de la estrategia de servicios esta vista en un alto grado de forma subjetiva, ya que aunque se basa en indicadores clave tanto del mercado como de la misma organización o negocio, se ve influenciada de manera importante por la alta dirección. Haciendo la aclaración de que la alta dirección no cuenta con el mismo enfoque que el área informática. Pudiendo hacer la conjetura de que esto conflictúa la determinación de la estrategia de servicios. 67

69 Este proceso se puntualiza un poco más en el siguiente cuadro: ESTRATEGIA DE SERVICIOS Proceso Administrativo Desglose del proceso administrativo Estrategia de servicios PLANEACIÓN Qué se quiere hacer? Crear valor Qué se va hacer? Asignar fondos a los servicios, definir los tipos de servicios, estructurar los servicios ORGANIZACIÓN Cómo se va a hacer? Definir el mercado, desarrollar la oferta, desarrollar la estrategia de comercialización EJECUCIÓN Ayudar a que se haga Preparar su ejecución Ver que se haga Mejorar lo que se está haciendo CONTROL Cómo se ha realizado? Revisar los fundamentos de las Corregir lo realizado estrategias de servicios Tabla 2.2 Estrategia de servicios Por otro lado este mismo proceso es observable en el proceso de negocios que correspondería de alguna manera al proceso administrativo, pero con puntualidad a los elementos que encontramos en los negocios como son los actores, los objetivos y los recursos. Y que nos ayuda a observar la relación de ITIL con el proceso administrativo pero visto desde un ángulo diferente PROCESOS DE NEGOCIO Un proceso de negocio es un conjunto de actividades que deben cumplir un objetivo. Las características de estos procesos es que son: observables, medibles, mejorables y repetitivos ELEMENTOS DE LOS PROCESOS DE NEGOCIO Actor: Es el elemento encargado de realizar la actividad. Pueden ser individuos, grupos de personas o departamentos del área de negocios de una empresa. Objetivo: Es una característica propia que indica el propósito de su existencia dentro del proceso de negocio al que pertenece. Recurso: Es todo aquello que es usado o afectado por las actividades. A menudo son considerados como entradas, salidas o resultados, o herramientas. 68

70 OBJETIVO LOGRA ACTOR EJECUTA ACTIVIDAD GENERA RECURSO USA Imagen 2.1 Elementos del proceso de negocio RELACIONES ENTRE ACTIVIDADES Y RECURSOS RELACIONES ENTRE MÚLTIPLES ACTIVIDADES Y UN RECURSO 1. Compartiendo el recurso como entrada 2. El recurso es la salida de una actividad y la entrada de otra 3. El recurso es la salida de ambas actividades ENTRADA COMPARTIDA PRODUCTOR/CONSUMIDOR SALIDA COMPARTIDA ACTIVIDADES RECURSOS Imagen 2.2 Relaciones entre actividades y recursos TIPOS DE DEPENDENCIA Interdependientes: Cuando dos actividades necesitan como entrada un mismo recurso. Dentro de las entradas compartidas se consideran en particular dos dimensiones diferentes: Compatibilidad: Describe cuántas actividades pueden usar un recurso simultáneamente. Reusabilidad: Reusabilidad describe la cantidad de actividades que pueden usar un recurso ya utilizado. Dependencia de precedencia (Productor/consumidor): Si el resultado de una actividad es la entrada para otra. Y requiere la ejecución de las actividades en el orden correcto, es también llamada relación de orden. Salida compartida: Esta situación se presenta cuando dos actividades generan el mismo recurso o salida. 69

71 RELACIÓN ENTRE UNA ACTIVIDAD Y MÚLTIPLES RECURSOS LA DEPENDENCIA ENTRE UNA ACTIVIDAD Y VARIOS RECURSOS 1. Una actividad consume múltiples recursos 2. Cuando consume un recurso y produce otro 3. Cuando produce múltiples recursos Actividad y múltiples entradas Actividad consume una entrada y produce una salida Actividad y múltiples salidas ACTIVIDAD RECURSOS Imagen 2.3Relacion entre una actividad y múltiples recursos TIPOS DE DEPENDENCIA Convergencia: Cuando una actividad se relaciona con otras, a través de los recursos generados por estas últimas, debe esperar que dichas actividades terminen de generar los recursos y existir una sincronización en la disponibilidad de los múltiples recursos para que la actividad pueda realizarse. Naturaleza intrínseca: la generación de uno o más recursos CARACTERÍSTICAS ESTÁTICAS DE LAS ACTIVIDADES Nivel de Importancia Capacidad de Automatización: no-automatizada, semi-automatizada, automatizada Capacidad: cantidad de producto que puede ser obtenido durante un periodo de tiempo Re-ejecución: propiedad para poder ejecutarse de nuevo Ubicación REINGENIERÍA DE PROCESOS Consiste en volver a crear las actividades dentro de los procesos de una empresa para optimizarlos u obtener alguna ventaja ya sea en: rentabilidad, productividad, tiempo de respuesta, y calidad. Haciendo de esta manera a la empresa u organización mas competitiva dentro de su mercado. 70

72 ELEMENTOS ESENCIALES DE LA REINGENIERÍA DE PROCESOS 1. Poseer una visión audaz 2. Aplicación clara del enfoque sistémico 3. Tener claro lo que se busca y apoyo de la alta dirección 4. Diseño de una metodología específica 5. Aplicación de un liderazgo efectivo La reingeniería es un salto destinado a lograr una ventaja competitiva absoluta y/o relativa MÉTODO DEL PROCESO DE REINGENIERÍA El método del proceso de reingeniería que se presenta está estructurado con cuatro fases que son: Preparación para el cambio Preparar a la fuerza de trabajo para el compromiso y el cambio Rediseño de los procesos Evaluar los resultados obtenidos De modo que tanto la reingeniería de procesos como el proceso del negocio conforman el proceso administrativo dentro de ITIL. Estas múltiples comparaciones en las tablas con respecto a las fases de ITIL se debe a que al establecer la clara relación, también es fácil observar lo que implica la metodología de ITIL en el proceso administrativo, haciendo evidente que este proceso es ajustable según las especificaciones que ITIL marca; y que implica de manera imperiosa la inclusión de términos y metodologías modernas, ya que así como la tecnología evoluciona de manera acelerada, así sus procesos administrativos tienen que evolucionar y adecuarse a ella de manera acelerada. Es por ello que se marca la siguiente relación que nos permitirá observar lo dicho: ITIL ESTRATEGIA DE SERVICIOS DISEÑO DE SERVICIOS Elementos de la reingeniería de procesos Tener claro lo que se busca, Poseer una visión audaz Diseño de una metodología específica Metodología del proceso de reingeniería Preparación para el cambio Preparar a la fuerza de trabajo para el compromiso y el cambio 71

73 TRANSICIÓN DE SERVICIOS OPERACIÓN DE SERVICIOS Apoyo de la alta dirección Aplicación de un liderazgo efectivo, Aplicación clara del enfoque sistémico Rediseño de los procesos Evaluar los resultados obtenidos Tabla 2.3 ITIL y la reingeniería de procesos Con la combinación de estas técnicas se tiene una mayor de probabilidad de éxito en esta parte; que como habíamos mencionado anteriormente cuanta con un mayor grado de complejidad. Ahora si a esto se le adhieren los aspectos que COBIT abarca, la probabilidad de éxito será mayor, ya que como lo mencionan sus mismos autores; ITIL y COBIT son dos metodologías complementarias entre si y perfectamente compatibles. 2.2 Fases de COBIT que se complementan con ITIL A lo largo del desarrollo del presente trabajo se pueden observar ciertas similitudes entre ITIL y COBIT, pero también sus diferencias TABLAS Y DIAGRAMAS DE SIMILITUDES ENTRE COBIT E ITIL Esto se muestra en el cuadro comparativo entre las fases de ITIL y de COBIT: ITIL COBIT Esta es una propuesta Estrategia de servicios comparativa según las Planear y Organizar Diseño de servicios similitudes que presentan Transición de servicios Adquirir e implementar COBIT e ITIL en sus fases Operación de servicios Entregar y dar soporte sin embargo no es la única forma en la que se podrían Mejora continua Monitorear y evaluar representar. Tabla 2.4 ITIL y COBIT Lo que para COBIT corresponde a la fase de planear y organizar, se encontraría directamente vinculado con dos fases de ITIL que serían la estrategia de servicios que realiza la parte de la planeación; ya que durante la estrategia de servicios se responde claramente a la pregunta Qué se quiere hacer? Que es la que fundamenta la parte de la planeación. Pero por otro lado cuando se realiza esta estrategia de servicios no se toma de lleno la parte de la organización, que aunque es tomada en consideración para desarrollar una efectiva estrategia no se lleva a cabo como tal; es por ello que se vincula más a la parte del diseño ya que esta parte si fortalece y desarrolla una organización clara y nítida sobre los servicios del negocio u organización. 72

74 Sin embargo la fase correspondiente a Adquirir e implementar queda claramente fuera de la fase de diseño, ya que por orden lógico del ciclo de vida de Deming y por orden del proceso administrativo antes de adquirir e implementar se tuvo que haber llevado a cabo el diseño de forma clara y detallada hasta su fin. Por ello se vincula con la Transición de servicios ya que durante la transición como se vi anteriormente es una etapa de cambios donde se realizan todas las modificaciones planeadas, esas modificaciones abarcan la parte en la que se adquiere el nuevo valor que se agrega en materia de TI y no solo el que se adquiere sino también el que cambia según la organización para generar mayor valor a la organización y la implementación es uno de los últimos pasos que se llevan a cabo durante la transición. Mientras que entregar y dar soporte es parte de la operación de servicios puesto que la entrega se realiza para poder llevar a cabo la operación y el soporte se realiza mientas que se está operando el servicio y no hay manera de que la entrega o soporte se realicen durante la transición. Y por último la fase de monitorear y evaluar se relaciona directamente con la mejora continua ya que se encuentran ligadas; sin embargo es necesario aclarar que la mejora continua no es una fase o etapa considerada por ITIL y es por ello que se encuentra remarcada con otro color en la tabla, pero si es considerada por la metodología ITIL como una premisa de acción inherente al ciclo; es decir, por el hecho de considerar que la administración es un ciclo este debe repetirse siempre con el propósito de mejorar la administración que ya existe. Y es por ello que ITIL lo considera parte del ciclo que involucra el llevar a cabo esta metodología, mas no le considera un apartado especial como fase o etapa del proceso. Una vez aclarado lo anterior se puede profundizar en su vínculo, ya que para propiciar la mejora continua es necesario monitorear y evaluar el desempeño anterior, de otra manera no abría la posibilidad de mejorar algo que no ha sido evaluado TABLAS Y DIAGRAMAS DE DIFERENCIAS ENTRE COBIT E ITIL Mientras en sus diferencias podemos observar que mientras COBIT nos descubre el que debemos hacer, ITIL se encarga de decirnos como lo debemos hacer y aunque sus etapas o fases se pueden vincular claramente, estas no son las mismas ni tampoco es posible que una sustituya a la otra. Si observamos la vinculación de la tabla anterior con un poco más de detalle podremos ver como las etapas se complementan y por otro lado las que coinciden exactamente en COBIT nos dice que se debe definir un plan estratégico de TI y nos proporciona los lineamientos necesarios para hacerlo, pero ITIL nos indica cómo definir estas estrategias, es por ello no se sustituyen como se muestra en los siguientes cuadros: 73

75 Planear y organizar 1 Definir un plan estratégico de TI Estrategia de servicios 1 Características de los procesos 2 Cómo definir tu estrategia de servicio? 3 Valoración de los servicios 2 Definir la arquitectura de la información 4 Desarrollo de capacidades estratégicas 3 Determinar la dirección tecnológica 4 Definir los Procesos, Organización y Relaciones de TI 6 Comunicar las Aspiraciones y la Dirección de la Gerencia 5 Tipos de servicios y necesidades 6 La cartera de servicios 7 Catálogo de servicios 8 Desarrollo Organizacional Diseño de servicios 1 Beneficios de un buen diseño de servicios 5 Administrar la Inversión en TI 2 Identificación de los requerimientos de los servicios 3 Administración del catálogo de servicios 8 Administrar la Calidad 4 Administración de la calidad de los servicios 5 Administración de la capacidad 6 Administración de la disponibilidad 7 Administración continúa de los servicios IT 7 Administrar los Recursos Humanos de TI 9 Evaluar y Administrar los Riesgos de TI 8 Administración de la seguridad y la información 10 Administrar Proyectos Tabla 2.5 Fase 1 9 Administración de proveedores 74

76 Transición de servicios Adquirir e implementar 1 Identificar soluciones automatizadas 1 Transición de servicios y soporte 2 Administración de cambios 2 Adquirir y Mantener Software Aplicativo 3 Adquirir y Mantener Infraestructura Tecnológica 4 Facilitar la Operación y el Uso 5 Adquirir Recursos de TI 6 Administrar Cambios 3 Administración de configuración y fondos 4 Administración de despliegue y liberación 7 Instalar y Acreditar Soluciones y Cambios 5 Liberación de pruebas y validación de servicios Tabla 2.6 Fase 2 Operación de servicios Entregar y dar soporte 1 Definir y Administrar los Niveles de Servicio 2 Administrar los Servicios de Terceros 1 Administración de eventos 3 Administrar el Desempeño y la Capacidad 4 Garantizar la Continuidad del Servicio 75

77 5 Garantizar la Seguridad de los Sistemas 2 Administración de incidentes 3 Cumplimiento de solicitudes 4 Administración de accesos 6 Identificar y Asignar Costos 7 Educar y Entrenar a los Usuarios 8 Administrar la Mesa de Servicio y los Incidentes 9 Administrar la Configuración 10 Administración de Problemas 11 Administración de Datos 12 Administración del Ambiente Físico 5 Administración de operaciones de TI 13 Administración de Operaciones Mejora continua de servicios 1 Pasos para la mejora de procesos 2 Manejadores del negocio 3 Manejadores de la tecnología 4 Medición de los servicios Tabla 2.7 Fase 3 Monitorear y evaluar 1 Monitorear y Evaluar el Desempeño de TI 2 Monitorear y Evaluar el Control Interno 3 Garantizar el Cumplimiento con Requerimientos Externos 5 Reportando servicios 4 Proporcionar Gobierno de TI Tabla 2.8 Fase TABLAS Y DIAGRAMAS DE COMPLEMENTACION ENTRE COBIT E ITIL Ya que se complementan, sería ideal el conjuntarlos para conformar una sola metodología compuesta de ambas, siempre y cuando una vez que estas se hallas conjuntado evitar en primer lugar evitar la duplicación de acciones, y especificar cuando estas acciones lleven diferente sentido aunque se nombren de manera similar. 76

78 En los siguientes cuadros se muestra se hace esta complementación en algunos de los procesos delimitados por COBIT e ITIL. Esta correspondencia y complementación se realiza en base a los fundamentos teóricos y los casos prácticos mencionados anteriormente Entradas 1 Reportes de costo / beneficio Evaluación de riesgo Portafolio de proyectos, servicios y de programas actualizados Requerimientos de servicios nuevos / actualizados Estrategia y prioridades del negocio, y su dirección para TI Entradas a desempeño de planeación de TI Reporte del estado del gobierno de TI Tabla 2.9 Entrada 1 Actividades o procesos 1 a) Administración del valor de TI 1. Definir características de los procesos 2. Medibles y controlados 3. Resultados específicos 4. Entregados al consumidor 5. Responden a un evento en especifico 6. Creación de valor b) Alineación de TI con el negocio 1. Establecer fondos de los servicios 2. Tipos de proveedores de servicios c) Evaluación del Desempeño y la Capacidad Actual 1. Establecer recursos y capacidades de los servicios d) Plan Estratégico de TI 1. Estructurar los servicios 2. Definición del mercado de servicios e) Planes Tácticos de TI 1. Desarrollo de ofertas de servicios f) Administración del Portafolio de TI 1. Portafolio de servicios 2. Administración de la demanda 3. Valoración de los servicios 3.1 Los más distintivos 3.2 Los más rentables 3.3 Los clientes más satisfechos 3.4 Los clientes más rentables 3.5 Actividades más distintivas y eficaces 4. Retorno de la inversión Tabla 2.10 Actividad o proceso 1 77

79 Salidas 1 Plan estratégico de TI Plan táctico de TI Modificación los portafolios de proyectos y servicios de TI Estrategia de contratación externa de TI Estrategia de adquisición de TI Tabla 2.11 Salida 1 Entradas 2 Planes estratégicos y tácticos de TI Estudio de viabilidad y requerimientos del negocio Revisión post implementación Entrada de desempeño a planes de TI Tabla 2.12 Entrada 2 Actividades o procesos 2 a) Modelo de Arquitectura de Información Empresarial 1. Qué servicios podemos ofrecer y a quién? 2. Qué nos diferencia de la competencia? 3. Cómo creamos verdadero valor para nuestros competidores 4. Qué podemos hacer para hacer una inversión estratégica? 5. Cómo podemos definir la calidad de los servicios? 6. Cómo hacemos una asignación de recursos eficiente a través de la cartera de servicios? 7. Cómo resolvemos los conflictos de demanda para los recursos compartidos? b) Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos c) Esquema de Clasificación de Datos d) Administración de Integridad Tabla 2.13 Actividad o proceso 2 Salidas 2 Esquema, procedimientos y herramientas de clasificación de datos Optimización del Plan de sistemas Diccionarios de datos Arquitectura de información Tabla 2.14 Salida 2 Entradas 3 Planes estratégicos y tácticos de TI Plan optimizado de sistemas del negocio y arquitectura de información Actualizaciones Información de desempeño y capacidad Tabla 2.15 Entrada 3 Actividades o procesos 3 a) Planeación de la Dirección Tecnológica 1. Definir el tipo de servicios 1.1 Internos 1.2 Externos 1.3 Compartidos 78

80 b) Plan de Infraestructura Tecnológica 1. Determinación de cartera de servicios c) Monitoreo de Tendencias y Regulaciones Futuras d) Estándares Tecnológicos e) Consejo de Arquitectura de TI 1. Determinación e catálogo de servicios Tabla 2.16 Actividad o proceso 3 Salidas 3 Oportunidades y estándares tecnológicos Plan de infraestructura tecnológica y actualizaciones Requerimientos de infraestructura Tabla 2.17 Salida 3 Entradas 4 Planes estratégicos y tácticos de TI Políticas y procedimientos de TI y RH, matriz de habilidades de TI, descripciones de puestos Actividades de mejoramiento de calidad Planes de actividades para corregir riesgos relacionados con TI Planes de acciones correctivas Reportes de efectividad de los controles de TI Catálogo de requerimientos legales y regulatorios relacionados con los servicios de TI Mejoras al marco de procesos Tabla 2.18 Entrada 4 Actividades o procesos 4 a) Marco de trabajo de procesos TI b) Comité Estratégico de TI c) Comité Directivo de TI d) Ubicación Organizacional de la Función de TI e) Estructura Organizacional 1. Función 2. Producto 3. Mercado o consumidores 4. Geográficas 5. Procesos f) Establecimiento de Roles y Responsabilidades g) Responsabilidad de Aseguramiento de Calidad de TI h) Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento i) Propiedad de Datos y de Sistemas j) Supervisión k) Segregación de Funciones l) Personal de TI m) Personal Clave de TI n) Políticas y Procedimientos para Personal Contratado o) Relaciones Tabla 2.19 Actividad o proceso 4 79

81 Salidas 4 Marco de trabajo para el proceso de TI Dueños de sistemas documentados Organización y relaciones de TI Marco de procesos, roles documentados y responsabilidades de TI Roles y responsabilidades documentados Tabla 2.20 Salida 4 Entradas 5 Planes estratégicos y tácticos de TI, portafolios de proyectos y servicios Directrices de administración de riesgos relativos a TI Reportes sobre la efectividad de los controles de TI Tabla 2.21 Entrada 5 Actividades o procesos 5 a) Ambiente de Políticas y de Control Organización por: Función Producto Mercado o consumidores Geográficas Procesos b) Riesgo Corporativo y Marco de Referencia de Control Interno de TI c) Administración de Políticas para TI d) Implantación de Políticas de TI e) Comunicación de los Objetivos y la Dirección de TI Tabla 2.22 Actividad o proceso 5 Salidas 5 Marco de control empresarial para TI Políticas para TI Tabla 2.23 Salida 5 Entradas 6 Plan de infraestructura de tecnología; estándares y oportunidades, actualizaciones periódicas del estado de tecnología Estándares de adquisición y desarrollo Directrices de administración de proyecto y planes detallados de proyecto Estudio de factibilidad de los requerimientos del negocio Descripción del proceso de cambio Plan de desempeño y capacidad (requerimientos) Tabla 2.24 Entrada 6 Actividades o procesos 6 a) Plan de Adquisición de Infraestructura Tecnológica 1. Definir el tipo de servicios 1.4 Internos 1.5 Externos 1.6 Compartidos 2. Determinación de cartera de servicios 80

82 b) Protección y Disponibilidad del Recurso de Infraestructura c) Mantenimiento de la Infraestructura d) Ambiente de Prueba de Factibilidad Tabla 2.25 Actividad o proceso 6 Salidas 6 Decisiones de adquisición Sistema configurado para realizar prueba / instalación Requerimientos de ambiente físico Actualizaciones de estándares de tecnología Requerimientos de monitoreo del sistema Conocimiento de la infraestructura AI4 OLAs planeadas inicialmente Tabla 2.26 Salida 6 Entrada 7 Plan estratégico de TI Planes detallados de proyectos Planes de acciones correctivas Monitoreo de Controles Internos Reporte de desempeño de procesos Reportes de costo-beneficio Reportes de desempeño del proyecto Reportes del estatus de los cambios Reportes de desempeño del proceso Reportes de satisfacción del usuario Reportes de la efectividad de los controles de TI Reportes sobre el cumplimiento de las actividades de TI respecto a requerimientos legales y regulatorios externos Reportes sobre el estatus del gobierno de TI Tabla 2.27 Entrada 7 Actividades o procesos 7 a) Sistema de Administración de Calidad b) Estándares y Prácticas de Calidad Afinar las actividades del proyecto para hacer más eficiente el uso de los recursos TI c) Estándares de Desarrollo y de Adquisición d) Enfoque en el Cliente de TI Comprender las demandas y acuerdos con los consumidores actuales y futuros Influenciar la administración de la demanda e) Mejora Continua Producir un plan de capacidades que continúen con la calidad definida en los SLAs y cómo serán definidos en los SLRs y el servicio de portafolios Identificar y resolver los incidentes y/o mejorar proactivamente los servicios o componentes de ejecución con cualquier costo justificable y conocer las necesidades del negocio f) Medición, Monitoreo y Revisión de la Calidad 81

83 Monitorear las actividades del negocio y los niveles de servicio a) Enfoque del Monitoreo b) Definición y Recolección de Datos de Monitoreo Integración de los planes del negocio Enfocarse en las metas y objetivos del negocio c) Método de Monitoreo d) Evaluación del Desempeño Estudios costo/beneficio e) Reportes al Consejo Directivo y a Ejecutivos f) Acciones Correctivas g) Habilidad para soportar los cambios h) Monitoreo del Marco de Trabajo de Control Interno i) Revisiones de Auditoría Balancear la aproximación sobre lo que es medible j) Excepciones de Control k) Control de Auto Evaluación l) Aseguramiento del Control Interno m) Control Interno para Terceros n) Acciones Correctivas Tabla 2.28 Actividad o proceso 7 Salidas 7 Estándares de adquisición Estándares de desarrollo Requerimientos de estándares y métricas de calidad Medidas para la mejora de la calidad Reporte sobre la efectividad de los controles de TI Indicadores de desempeño a planeación de TI Planes de acciones correctivas Tendencias y eventos de riesgos históricos Reporte de desempeño del proceso Tabla 2.29 Salida 7 En estos cuadros, delimitados por una entrada, un proceso y una salida, como en todo sistema de información; se encuentra que la salida de uno de los procesos genera la entrada o parte de la entrada del siguiente proceso. La salida de uno corresponde parcialmente al siguiente ya que la información que se requiere de entrada en el proceso subsiguiente pudo haber sido generada no durante el proceso que le antecede exactamente sino, dos o tres procesos anteriores. Y una vez que los procesos son reorganizados en el siguiente diagrama de flujo se eliminan las duplicaciones innecesarias además de que se ve paso a paso en orden sucesivo: 82

84 DIAGRAMA 1 (Planeación y dirección) Evaluación del desempeño y la capacidad actual Procesos de Negocio Administración del valor de TI Reingeniería de procesos Modelo de arquitectura de TI Plan estratégico de TI Planes tácticos de TI Alineación de TI con el negocio Comité estratégico de TI Consejo de arquitectura de TI Diccionario de datos empresarial y reglas de sintaxis de datos Administración del portafolio de TI Propiedad de datos y de sistemas Esquema de calificación de datos Administración de integridad 83

85 DIAGRAMA 2 (Infraestructura tecnológica) Planeación de la dirección tecnológica Comité directivo de TI Plan de adquisición de infraestructura tecnológica Estándares de desarrollo y de adquisición Plan de infraestructura tecnológica Estándares tecnológicos Protección y disponibilidad de recursos de infraestructura Mantenimiento de la infraestructura Ambiente de prueba de factibilidad 84

86 DIAGRAMA 3 (Organización) Comunicación de los objetivos y de la dirección de TI Estructura organizacional Ubicación organizacional de la función de TI Segregación de funciones Relaciones Establecimiento de roles y responsabilidades Políticas y procedimientos para personal contratado Personal clave de TI Personal de TI 85

87 DIAGRAMA 4 (Seguridad y políticas) Responsabilidad sobre el riesgo, la seguridad y el cumplimiento Riesgo corporativo y marco de control interno de TI Implantación de políticas de TI Ambiente de políticas y de control Administración de políticas para TI Sistema de administración y calidad Enfoque en el cliente de TI Estándares y prácticas de calidad Mejora continua Medición, monitoreo y revisión de calidad Reportes al consejo directivo y a ejecutivos 86

88 DIAGRAMA 5 (Monitoreo y evaluación) Responsabilidad de aseguramiento de TI Supervisión Enfoque del monitoreo Monitoreo del marco de trabajo de control interno Monitoreo de tendencias y regulaciones futuras Aseguramiento del control interno Métodos del monitoreo Control interno para terceros Definición y recolección de datos del monitoreo Control de auto evaluación Evaluación del desempeño Excepciones de control Revisiones de auditoria Acciones correctivas Medición, monitoreo y revisión de calidad Reportes al consejo directivo y a ejecutivos 87

89 Capítulo III. IMPLEMENTACION DE LA METODOLOGÍA HIBRIDA ITIL/COBIT (1 ER FASE) El modelado que se realizo en el capitulo anterior comprende todos los elementos que marca ITIL y COBOT, pero ya realizando la complementación que ambos autores de las metodologías mencionan, tanto para obtener una metodología mas solida y compactarla haciéndola mas funcional para las PyME. Por lo anterior se busco aplicar su primera fase en la UPIICSA (Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas) del IPN (Instituto Politécnico Nacional) que cuenta con ciertas características que se pueden encontrar en las PyME y se mencionan a continuación. 3.1 Situación actual ( en UPIICSA) El caso práctico de la metodología conformada anteriormente se llevará a cabo en un área de la UPIICSA denominada la UDI (Unidad de informática), solo se aplicaran los primeros 6 procedimientos o pasos de la metodología hibrida ITIL/COBIT, esperando conformar una análisis inicial, puesto que esta primer parte es determinante para el correcto desarrollo de la misma, en la secuencia lógica planteada. La UDI es la unidad responsable de la administración de bienes informáticos dentro de la UPIICSA, y esta presta servicios a alumnos, docentes y personal administrativo, teniendo como sus principales clientes a los alumnos ya que son mayoría. Pero el servicio prestado no es satisfactorio, esto se determino a través de encuestas realizadas a alumnos (en UPIICSA, periodo 2011b) docentes y administrativos; estos niveles de satisfacción, calidad del servicio, etc. son analizados mas adelante a profundidad. Los clientes manifiestan tiempos muy prolongados para obtención de un servicio, equipo insuficiente y de mala calidad, así como dificultad en el acceso a los servicios prestados, etc. Por otro lado también se realizo una serie de encuestas a la responsable de la UDI (formato de encuesta en el anexo 10) de las cuales se obtuvieron una serie de datos significativos, de entre los cuales destaca la carencia de una metodología de administración informática para el trabajo realizado en esta área. De manera que, la implementación de una metodología informática dentro de la UDI seria el primer aspecto a considerar, para obtener cambios favorables que ayuden a la resolución de las problemáticas actuales, que se encuentran registradas dentro del siguiente análisis que ya conforma parte de la primer fase de la metodología hibrida. 88

90 Para esto es necesario llevar el orden planteado por lo que empezaremos definiendo las entradas (ver tabla 2.9) necesarias para realizar estas actividades: Entrada 1.1 REPORTE COSTO/ BENEFICIO El cual se generaría a partir de la primera encuesta de la tabla que recolecta las características del software actual y el software deseado. Después de realizar la recolección de datos sugerida (ver anexo 10), no se logró obtener el dato sobre el costo beneficio debido a la inexistencia de dicha información, puesto que no se tiene el dato exacto ni estimado; sin embargo se proporcionó la siguiente información que ayudara a realizar un estimado del estudio de costo beneficio. C O S T O E Q U I P O D E C Ó M P U T O Los datos clave para este proceso fueron proporcionados por la responsable de la UDI durante las encuestas realizadas y son los siguientes: la UDI proporciona servicio a todo el equipo de la escuela (UPIICSA) y a la vez se sirve de estos equipos para poder proporcionar sus servicios por lo que el universo de la muestra son 1120 equipos, los costos se encuentran diversificados en más de 100 modelos diferentes y así como diferente antigüedad (debido a que el equipo de mayor antigüedad no es reemplazado sino transferido a diferentes áreas y solo es reemplazado cuando este queda inutilizable). A partir del tamaño del universo determinaremos el tamaño de la muestra a realizar para poder determinar el costo del equipo de manera probabilística y estadística: Determinación del tamaño de la muestra: La siguiente formula estadística, nos ayuda a determinar el numero de equipos que tienen que ser estudiados, para que los datos obtenidos sean una representación valida del universo o totalidad de equipos. Donde: N= Total de la población = 1120 Z 2 = Seguridad de la muestra (para este caso 95% = 1.96) 89

91 p= proporción esperada ( cuando se desconoce el dato se utiliza el 0.05) q= 1 p (en este caso = 0.95) d= precisión (error esperado= 3%) n= 1120* *0.05*0.95 / (1120-1) *0.05*0.95 = n 172 equipos Nuestro estudio tomara una muestra de 172 equipos, tomando en cuenta las características especificadas en equipo de cómputo puesto a licitación por el IPN en el diario oficial el 22/09/2009 Ver anexo 11. En la licitación se solicitan un total de 222 equipos por lo que a través de proporciones (reglas de tres) utilizamos el porcentaje de equipos de cada categoría (tipo de computadoras) para llevarlo al tamaño de la muestra calculado que es de 172 equipos. Posteriormente del rango de precios (limite superior, precio máximo, limite inferior, precio mínimo) se calcula la media (limite superior más limite inferior entre dos) y se divide entre el número de quipos obteniendo el costo unitario. Y finalmente se multiplica el costo unitario por el total de equipos para obtener el costo total. Tipo de computadoras Cantidad % precios Costo Unitario Costo Total MICROCOMPUTADORAS DE NIVEL BÁSICO MICROCOMPUTADORAS DE USO GENÉRICO MICROCOMPUTADORA DE DESARROLLO COMPUTADORA LAPTOP TIPO % 31 $3, $3,990 $3,595 $111, % 91 $3, $6,970 $5,100.5 $464, % 48 $3, $6,970 $5,100.5 $244, % 2 $2, $3,900 $3,124.5 $6,249 Total % 172 $826,663.5 Tabla 3.1 Muestra HW. El costo de los 172 equipos está en un promedio de $826,663.5 sin embargo debemos considerar que el equipo ya no es nuevo. Para esto tomamos en cuenta las estadísticas de la compañía con la mayor venta de PC en los últimos años (HP) que nos indica que la vida útil de una pc fluctúa entre 3 y 5 años, dándole un mayor tiempo a los países tercermundistas, así que 90

92 consideraremos el máximo de 5 años. La media seria exactamente 2.5 años ya que no todo el equipo es antiguo. Por otro lado la depreciación del equipo de cómputo está en 33% anual* quedando de la siguiente manera: * Tiempo Costo inicial Depreciación Costo después de depreciación 1 años $ $ $ año $ $ $ año $ $ /2 = $ $ Tabla 3.2 Depreciación del equipo El costo de los 172 equipos de cómputo sería de $309,859.5, si esa muestra la extendemos a los 1120 equipos considerados en el universo tendremos que el costo es de $2,017,689.8 Nota: Se menosprecia cualquier otro tipo de periféricos como impresoras, diademas, micrófonos, etc. debido a que se encuentran en cantidad muy limitada y los costos son mínimos comparados con el universo existente. S O F T W A R E Por otro lado tenemos también la administración del software del cual tampoco se cuenta con referente a costos sin embargo consideraremos los mismo aspectos que con el equipo de cómputo, cada programa dentro de la organización (UPIICSA) requiere alrededor de 10 a 20 tipos de software y repiten o comparten dentro de los diferentes programas algunos de ellos. Existen 5 programas de licenciatura y 4 de maestría lo que da un total de 9 programas. Estos datos de igual manera son proporcionados por la jefa de la UDI durante las encuestas. Todos comparten 6 software de base para los equipos. Como cada programa existente requiere un promedio de 15 software s y por los 9 programas que hay, tendríamos 135 software s debido a que se comparten entre los diferentes programas algunos tipos de software aumentaremos el margen de error en el cálculo del tamaño de la muestra para la estimación del costo. 91

93 Determinación del tamaño de la muestra: Dónde: N= Total de la población = 1120 Z 2 = Seguridad de la muestra (para este caso 75% = 1.15) p= proporción esperada ( cuando se desconoce el dato se utiliza el 0.05) q= 1 p (en este caso = 0.95) d= precisión (error esperado= 3%) n= 135*1.152*0.05*0.95 / 0.032(135-1)+1.152*0.05*0.95 = n 46 software s El estudio tomara una muestra de 46 licencias basadas en la licitación N publicada en el SAD, todas las licencias se estimaran para un año desde el sitio oficial. La realización de esta tabla lleva los mismos procedimientos y formulas utilizadas anteriormente para la licitación del equipo de cómputo. Tipo de software Cantidad % Costo unitario Costo Total Windows (7 profesional) $1700+iva = $1972 $ Office (actualización) $1400+iva= $1624 $ Avast (actualización) = $ $ Acrobat = $ $

94 Netop (cada 21 licencias) Dreamweaver (CS5) $1342 $ $3404 $ Auto-cad $ $ Visual Basic (actualización) = $ $ SQL server ISA server dólares = $ dólares = $17.59 $ $17.59 Data protection (Starter edition) $ $ ILM server dólares = $ $ Total 805 $ Tabla 3.3 Tamaño de muestra Este sería el costo aproximado para 46 software $171,290.65, pero puesto que estimamos alrededor de 135 software el costo total del software sería de $502, P E R S O N A L El personal se divide en 5 áreas de servicios, puesto que los suministros de materiales y equipo no se realizan dentro de la UDI sino pertenece a otro organismo, y se encuentra repartido de la siguiente manera (Información recolectada durante las encuestas ala jefa de la UDI): Área Personal Contratación Costo/quincenal Capacitación 1 1 base $5000 Desarrollo 1 1 base $7000 Redes y Comunicaciones 2 1 base $6800 titulado 1honorarios (1 93

95 titulado y 1 pasante) Diseño 2 1 base 1 honorarios $5000 pasante $6000 titulado $5000 pasante (1 titulado, el resto pasantes) Soporte técnico 8 3 base 5 honorarios (2 titulados y 6 pasantes) $5000 titulado (2 empleados) = $10000 $3900 pasante (6 empleados)= $23400 Total $68200 Costo anual $ Tabla 3.4 Personal C O S T O T O T A L A N U A L D E L A U D I Costos Equipo $2,017,689.8 Software $502, Personal $1,636,800 Total Anual $4, 157, B E N E F I C I O Tabla 3.5 Costos El beneficio se medirá en el nivel de demanda de la escuela, puesto que los principales clientes de la UDI son los alumnos ya que son la mayor población dentro de la escuela y dependiendo de todos los servicios que la escuela ofrece es la demanda que esta recibe, y de esta manera se balancearan los beneficios obtenidos para poderlos comparar con los costos realizados. 94

96 El ingreso del alumnado es anual por lo que quedara acorde a los costos. El Universal informo que para el ciclo 2010, el IPN recibió una demanda de ingreso de jóvenes de los cuales quedaran fuera de la casa de estudios. Lo que indica un rechazo del 80.45% M A T R I C U L A D E U P I I C S A : Clave Carrera Ingreso Ago-Dic Ingreso Ene-Jul Total de ingreso 601 Ing. Industrial Lic. En C. de la Informática Ing. En trasporte Lic. En Admón. Industrial Ing. En Informática Total 2935 Tabla 3.6 matricula UPIICSA Según la OCDE México tiene un gasto por alumno de nivel superior para el gobierno de 6971 dólares, considerando que las carreras van de 3 hasta 7 años tendríamos un promedio de 4 años. Si repartimos los 6971 dólares entre los 4 años tendríamos que por año se gasta alrededor de 1, dólares al año por alumno. El ingreso total aproximado para UPIICSA sería de 2935* = 5,114, dólares, de los cuales según datos proporcionados por la OCDE, el 90% son consumidos por el personal (en la UPIICSA 4,603, dólares anuales para personal según el porcentaje), quedando así 511, dólares (después de restarle al ingreso total anual de la UPIICSA el 90% del personal; es decir 5,114, ,603, = 511, ) para el resto de los gastos. Si lo dividimos entre sus 6 principales sub áreas de forma equitativa tendríamos que a cada división le correspondería un ingreso anual de /6 = dólares anuales, en pesos serian $997, Del costo total anual de la UDI consideraremos los siguientes aspectos: Costos Aspectos Equipo $2,017,689.8 No se considerara como costo anual, debido a que 95

97 Software $502, Ninguno según la entrevista realizada, el equipo no se reemplaza cada año y tiene una vida indefinida de uso. Personal $1,636,800 El costo del personal se despreciara debido a que el 90% es considerado dentro de los gastos de la OCDE Costo a comparar $502, Tabla 3.7 Costo anual Costo $502, / Beneficio $997, Nota: Considerar que todas las cifras presentadas en dicho estudio son estimadas en referentes oficiales y externos a la UPIICSA. Y puesto que el beneficio es mayor que el costo, los estudios y el análisis puede continuar debido a que eso indica que si es una organización factible. Entrada 1.2 EVALUACIÓN DE RIESGO (Riegos observados mediante auditorias contables y financieras) La cual se obtiene a partir de una auditoria ya sea interna o externa, al área de UDI. Dado que las auditorias se realizan a nivel institución no existen datos exactos sobre las auditorias por unidad dentro de cada escuela, sin embargo se puede considerar que el factor de riesgo que existe en la institución es el mismo, o bien, muy similar al factor de riesgo para la UDI. Por lo tanto utilizaremos los datos de las auditorías realizadas por el órgano interno de control en el IPN. II. Durante el periodo comprendido del 1 de enero al 31 de marzo de 2011, se concluyeron un total de 2 auditorias y 1 seguimiento por parte del órgano interno de control (OIC) a la operación del instituto politécnico nacional. CLAVE DESCRIPCIÓN ÁREAS REVISADAS 700 ACTIVIDADES SUSTANTIVAS SECRETARÍA ACADÉMICA 700 7/2001 VERIFICAR EL SECRETARÍA DE ACUERDO PROCESO DE GESTIÓN ESTRATÉGICA PLANEACIÓN, PROGRAMACIÓN Y PRESUEPUESTACIÓN SEGUIMIENTO VARIAS UNIDADES RESPONSABLES NÚMERO DE REVISIONES EFECTUADAS NÚMERO DE OBSERVACIONES DETERMINADAS

98 II. Durante el periodo comprendido del 1 de enero al 31 de marzo de 2001, no se realizaron revisiones de control, se llevo a cabo 1 seguimiento por parte de este OIC a las acciones de mejora pendientes. CLAVE DESCRIPCIÓN ÁREAS REVISADAS NUMERO DE REVISIONES EFECTUADAS NUMERO DE ACCIONES DE MEJORA DETERMINADAS 500 SEGUIMIENTO VARIAS UNIDADES 1 0 RESPONSABLES Tabla 3.8 Licitación Según los resultados de la Secretaria de la Función Pública correspondientes al año 2010, se tiene que: Se han realizado 3000 auditorías en el año y se tuvieron 10,000 observaciones, de las cuales 70% se debieron a faltas a la normatividad, 5% a actos de corrupción y el resto a circunstancias diversas. Por lo que tendríamos un promedio alrededor de 3.3 observaciones por auditoria, como promedio nacional, lo que sería nuestro referente. Mientras que en el IPN el órgano interno de control detecto después de 4 actividades (2 auditorías, 2 seguimientos) un total de 9 observaciones. Lo que indicaría 2.25 observaciones por auditoria. El factor de riego ideal sería 0 ya que es lo que se pretende minimizar los riesgos al máximo, sin embargo no es posible llegar al cero ya que siempre va existir algún riesgo por la simple existencia del factor humano. Pero considerando lo anterior encontramos 2.25 observaciones está por debajo del promedio, lo que quiere decir que el riesgo se encuentra en un nivel aceptable, aun no es alarmante; mas no debemos olvidar que se encuentra aún muy lejos del objetivo que sería acercarnos lo más posible al 0, por lo que aún requiere de atención y trabajo en esta parte. 97

99 Entrada 1.3 PORTAFOLIO DE PROYECTOS, SERVICIOS Y DE PROGRAMAS ACTUALIZADOS Procesos asignados a la UDI: PORTAFOLIO DE SERVICIOS DE LA UDI: PORCESOS PRINCIPALES (Se encuentran dentro del marco estructural de las UDI del IPN) 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a internet PROCESOS SECUNDARIOS (Se encuentran fuera del marco estructural) 4.- Mantenimiento de la página web de la UPIICSA 5.- Respaldo de servidores 6.- Configuración e instalación de red 7.- Capacitación (Cursos) 8.- Reparación y transferencia de equipos 9.- Plotteo e impresión PROCESOS TERCIARIOS (Se encuentra dentro del marco estructural pero han sido centralizados, llevándolos fuera de la unidad) 10.- Telefonía 11.- Teleconferencia 12.- Videoconferencia 13.- Video por internet 98

100 PORTAFOLIO DE PROGRAMAS 1. Implantar y vigilar las políticas de seguridad 2. Verificar el software especializado y de uso específico (compiladores, interpretes, BD, SO y paquetería) 3. Verificar que se cuente con las licencias de instalación y que el software no sea malicioso 4. Bloquear accesos no autorizados 5. Informar actualizaciones, modificaciones y desarrollos. 6. Llevar una bitácora de incidentes de seguridad 7. Tener planes de contingencia para recuperación de sistema 8. Consultar los servicios a instalar en el servidor 9. Permitir acceso a personal técnico especializado de la coordinación 10. Mantener disponibles y actualizados croquis de las instalaciones eléctricas y de red PORTAFOLIO DE PROYECTOS PROYECTO 1. Automatización de los procesos que esta área gestiona. Actualmente todos los servicios que proporciona la UDI se realizan de manera manual, es decir, la solicitud de cualquiera de los servicios se hace a través de listas o formularios impresos, mediante la solicitud verbal, etc. y considerando que es la Unidad de Informática como proyecto inicial se está automatizando tanto los procesos como los servicios, debido a que el área existe desde 1987, este proceso se alarga; ya que en el proceso se involucra resistencia al cambio por la simple costumbre o habito de realizarlo de cierta manera. Este proyecto involucra: Digitalización de reportes e informes, con estandarización de formatos. Centralización de los datos a través de un servidor común para el área o unidad. Creación de respaldos a través de dispositivos de almacenamiento masivo para la información. Facilitar la solicitud de servicios al cliente (vía telefónica, correo electrónico u oral) Contabilización y registro del equipo actual de la escuela etc. Dado que la información inicial con la que se cuenta dentro de la unidad al inicio de la planeación de dicho proyecto es insuficiente se inician las acciones y se continúa con la 99

101 planeación sobre la marcha por lo que no se pueden definir aun los resultados esperados de manera completa y detallada. PROYECTO 2. Agregar los nuevos servicios a la estructura organizacional de esta unidad Los procesos marcados como secundarios anteriormente, no se marcan dentro de la estructura organizacional, sino como servicios derivados de los anteriores, que fueron necesarios a lo largo del tiempo, sin embargo, estos servicios se han convertido en primarios por lo que consumen gran parte de los recursos y es necesario que sean contemplados en la estructura organizacional, así como redefinidos ya que no se cuenta con información exacta o precisa de estos. Este proyecto aún se encuentra de la fase de análisis por lo que aún no se sabe si es viable o factible y por lo tanto no se puede proporcionar más información sobre ello. Cabe mencionar que contemplar solo dos proyectos en el portafolio de servicios no es considerado aceptable ya que se cuanta con un numero superior de servicios que de proyectos. Y los dos proyectos no abarcan toda la gama de servicios. Entrada 1.4 REQUERIMIENTO DE SERVICIOS NUEVOS/ACTUALIZADOS Estos servicios que como mencionamos anteriormente se están realizando de manera empírica, sin tener una secuencialización planeada incluida dentro de la estrategia, por lo que se consideraran nuevos, ya que requieren de toda la parte de planeación y análisis que se ha invertido en los servicios ya estructurados. Mantenimiento de la página web de la UPIICSA Respaldo de servidores Configuración de red Capacitación Reparación y transferencia de equipos Plotteo e impresión Por lo anteriormente mencionado se puede considerar que ya se cuenta con un listado de servicios nuevos o actualizados y estos ya están incluso listos para ser analizados puesto que ya están en uso. 100

102 Entrada 1.5 ESTRATEGIAS Y PRIORIDADES DEL NEGOCIO, Y SU DIRECCIÓN PARA TI Según lo establecido el propósito de UDI es: Lograr un aprovechamiento óptimo y el mayor rendimiento de su aplicación, bajo los criterios de modernización tecnológica, trasparencia, eficiencia y racionalidad. 1. Maximizar recursos 2. Lograr eficiencia y eficacia en su aplicación 3. Procurar la modernización tecnología Sus estrategias para lograrlo se encuentran delimitadas en el Reglamento para la Operación, Administración y uso de Red Institucional de Computo y de Telecomunicaciones del IPN. Sus prioridades serian la eficiencia y eficacia; así como la maximización de los recursos y su dirección para TI la modernización tecnológica. Entrada 1.6 ENTRADAS A DESEMPEÑO DE PLANEACIÓN DE TI Los proyectos planteados por la UDI se manejan bajo modelo prueba y error, ya que los planes no se encuentran documentados y de la misma manera se va planeando sobre la marcha. Por lo que las entradas a desempeño de planeación son escasas pero existen. Una vez determinadas las características con las que cuenta el área actual tendremos que ubicarlo en un nivel dentro de la categorización de COBIT, que es la siguiente: 0 No Existente Cuando no se lleva a cabo la planeación estratégica de TI. No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio. 1 Inicial / Ad Hoc Cuando la gerencia de TI conoce la necesidad de una planeación estratégica de TI. La planeación de TI se realiza según se necesite como respuesta a un requerimiento de negocio específico. La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia de TI. La alineación de los requerimientos de las aplicaciones y tecnología del negocio se lleva a cabo de modo reactivo en lugar de hacerlo por medio de una estrategia organizacional. La posición de riesgo estratégico se identifica de manera informal proyecto por proyecto. 101

103 2 Repetible pero Intuitivo Cuando la planeación estratégica de TI se comparte con la gerencia del negocio según se necesite. La actualización de los planes de TI ocurre como respuesta a las solicitudes de la dirección. Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. Los riesgos y beneficios al usuario, resultado de decisiones estratégicas importantes se reconocen de forma intuitiva. 3 Definido Cuando una política define cómo y cuándo realizar la planeación estratégica de TI. La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. El proceso de planeación de TI es razonablemente sólido y garantiza que es factible realizar una planeación adecuada. Sin embargo, se otorga discrecionalidad a gerentes individuales específicos con respecto a la implantación del proceso, y no existen procedimientos para analizar el proceso. La estrategia general de TI incluye una definición consistente de los riesgos que la organización está dispuesta a tomar como innovador o como seguidor. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. La planeación estratégica de TI se discute en reuniones de la dirección del negocio. 4 Administrado y Medible Cuando la planeación estratégica de TI es una práctica estándar y las excepciones son advertidas por la dirección. La planeación estratégica de TI es una función administrativa definida con responsabilidades de alto nivel. La dirección puede monitorear el proceso estratégico de TI, tomar decisiones informadas con base en el plan y medir su efectividad. La planeación de TI de corto y largo plazo sucede y se distribuye en forma de cascada hacia la organización, y las actualizaciones se realizan según son necesarias. La estrategia de TI y la estrategia organizacional se vuelven cada vez más coordinadas al abordar procesos de negocio y capacidades de valor agregado y al apalancar el uso de aplicaciones y tecnologías por medio de la re-ingeniería de procesos de negocio. Existen procesos bien definidos para determinar el uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas. 5 Optimizado Cuando la planeación estratégica de TI es un proceso documentado y vivo, que cada vez más se toma en cuenta en el establecimiento de las metas del negocio y da como resultado un valor observable de negocios por medio de las inversiones en TI. Las consideraciones de riesgo y de valor agregado se actualizan de modo constante en el proceso de planeación estratégica de TI. Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio. Se realizan evaluaciones por comparación contra normas industriales bien entendidas y confiables y se integran con el proceso de formulación de la estrategia. El plan estratégico especifica cómo los nuevos avances tecnológicos pueden impulsar creación de nuevas capacidades de negocio y mejorar la ventaja competitiva de la organización. 102

104 Visto lo anterior podemos observar que las entradas se encontrarían en un primer nivel de desempeño el Inicial / Ad Hoc por las características antes mencionadas y puesto que la dirección no se encuentra estrechamente vinculada con la planeación de proyectos de esta área. Entrada 1.7 REPORTE DEL ESTADO DE GOBIERNO DE TI La ubicación del gobierno de TI (para este caso la UDI dentro del Instituto Politécnico Nacional) se encuentra dentro de los niveles altos de la jerarquía tal y como y se muestra en el organigrama de la UPIICSA (Ver anexo 13). Y se encuentra directamente vinculado con la Coordinación de enlace y gestión técnica, ya que parte de las políticas y lineamientos que debe cumplir la UDI se desprenden de esta área. Vista la estructura se ve la necesidad de contar con un plan estratégico y táctico que se alineé con los objetivos del IPN, de la UPIICSA y de la Coordinación de enlace y gestión técnica, y que de otra manera no se estaría respetando la jerarquización definida, así como tampoco seria de utilidad alguna la UDI al no favorecer estos objetivos. Una vez recolectadas todas las entradas de información necesarias se pueden implementar las actividades o procesos (tabla 2.10), puesto que se cuenta con todo lo necesario a fin de organizar y modelar la información para el logro de los objetivos delimitados. Estas actividades o procesos ayudaran a encontrar esas modificaciones dentro de la administración que nos proporcionaran resultados beneficiosos para la organización. Actividad o proceso A. ADMINISTRACIÓN DEL VALOR DE TI Los datos obtenidos anteriormente son considerados entradas, esto quiere decir que es información aun sin evaluar, y que nos servirá para analizar las circunstancias actuales, y esta es suficiente para continuar con la administración de los procesos. A.1 Definir características de los procesos PROCESOS RESPONSABLE HARDWARE REQUERIDO SOFTWARE REQUERIDO PERSONAL REQUERIDO Nombre Tipo y cantidad Tipo y cantidad Perfil y cantida d 1.- Asignación Sujeto PC 30 sw 6 personas y uso de sistemas de cómputo FLUJO DEL PROCESO 1.- Realización a) Vía telefónica b) vía verbal 2.- Se atiende 3.- Se cierra el reporte 2.- Correo electrónico del reporte Sujeto 2 1 PC Excel 1 persona 103

105 COSTOS DISPONIBILIDAD Lunes a viernes CAPACIDAD SEGURIDAD DURACIÓN COMUNICACIÓN FLUJO DEL PROCESO 3.- Acceso a internet FLUJO DEL PROCESO 1.- Registro manual del alumno Sujeto Llenado de un formato 2.-Se solicita la creación 1120 PC + Laptop s personales 2.- Alta del acceso ninguno Tabla 3.9 Características del proceso A.2 Medibles y Controlados 2 personas PROCESOS 1.- asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a internet n/a n/a n/a 9am a 9pm 8am a 10pm 9am a 9pm A.3 Resultados específicos 90 /día Claves de acceso, antivirus Indeterminada n/a 20/día n/a 2 semanas 1 interno + 1 externo = 2 7/día Registro 1 día n/a de MAC Tabla 3.10 Medibles y controlados PROCESOS Beneficios Prioridad/beneficio Importancia del 1 (poca) al 5 (mucha) 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a internet Atención mediata 4.5 Disminuye los tiempos, evita colisiones, 3 comunicación segura Disminuye los tiempos, evita colisiones, 5 comunicación segura Tabla 3.11 Resultados específicos 104

106 A.4 Entregados al consumidor PROCESOS 1.- asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a internet Consumidor o usuario beneficiado Consumidor interno o externo a la organización Docentes, Interno administrativos y jefaturas Alumnos, Interno docentes, administrativos y jefaturas Alumnos, Interno docentes, administrativos y jefaturas Tabla 3.12 Entregados al consumidor Cumplió con sus expectativas Siempre 5, Nunca A.5 Responden a un evento en específico PROCESOS 1.- asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a internet El proceso es solicitado o se genera de forma automática Solicitado Automático para nuevo ingreso, solicitado para el resto Solicitado Cuando se solicita o genera el proceso Equipo nuevo, reemplazos o fallas Nuevo ingreso y perdida Nuevo ingreso y requisición de docentes Cada que se realiza Indeter minado Cada 2 semanas Indeter minado Cuáles son los requisitos para generar el proceso Solicitarlo de manera verbal Anotarse en una lista Llenar un formato de solicitud Tabla 3.13 Responden a un evento especifico Dado que objetivo de la administración de TI es alcanzar los estándares mas altos de calidad y aumentar los beneficios de las TI, los resultados anteriores distan mucho del puntaje más alto que fue considerado como 5 (si todos los niveles estuvieran en 5 o el máximo deseado estarían en un nivel optimo); por lo anterior se continua con el análisis para cumplir con el ciclo de Deming y la mejora continua. (Datos proporcionados por la jefa de la UDI) 105

107 A.6 Creación del valor Cuál es nuestro negocio? Proporcionar servicios de administración informática y mantenimiento de equipo Quiénes son nuestros consumidores? La población en general de la UPIICSA: Alumnos Docentes Administrativos Jefaturas Qué crea valor para el consumidor? La calidad y la cantidad de servicios proporcionados Quién depende de nuestros servicios? Todos los consumidores Cómo usan ellos nuestros servicios? Alumnos: Solicitan un correo electrónico para poder acezar a través de este a internet, el correo no es utilizado tan frecuentemente como medio de almacenamiento, sino, principalmente como llave de acceso al internet. Docentes: La asignación y uso de sistemas de cómputo es utilizado generalmente para procesos de reparación o instalación de sw, la utilización no es tan frecuente sin embargo para el universo de equipos existentes el personal que atiende es insuficiente, correo electrónico para almacenamiento y acceso a internet continuo ya que es asignado para cada equipo en lo individual y por zona. Administrativos: Tienen el mismo uso que los docentes Jefaturas: Tienen el mismo uso que los docentes, más la administración y mantenimiento de laboratorios de computo Porque estos son de valor para ellos? Sin la asignación y uso de sistemas de cómputo, no existiría una repartición adecuada según las necesidades de la escuela, así como también existiría una mayor pérdida de equipos por falta de reparación, lo que significaría disminución de recursos y mal uso de los recursos existentes y por lo tanto una menor productividad en las áreas de trabajo. Cuáles de nuestros servicios o sus variedades son los más distintivos? Asignación y uso de Correo Acceso a sistemas de cómputo electrónico internet Distinción del 1(poca) al 5(mucha) Tabla 3.14 Los más distintivos Cuáles de nuestros servicios o sus variedades son los más rentables? Asignación y uso de Correo Acceso a sistemas de cómputo electrónico internet Relevancia del 1 (poca) al 5 (mucha) Antivirus Software 4 Respaldos 3 Tabla 3.15 Los más rentables 106

108 Cuáles de nuestros clientes son los más satisfechos? Alumnos Docentes Administrativos Jefes de área Satisfacción del 1(poca) al 5 (mucha) Tabla 3.16 Los más satisfechos Qué clientes, canales, u ocasiones de compra son los más rentables? Alumnos Docentes Administrativos Jefes de área Relevancia del 1 (poca) al 5 (mucha) Tabla 3.17 Los clientes más rentables Qué actividades en nuestra cadena de valor son las más distintivas y eficaces? Asignación y uso de sistemas de cómputo es una de las actividades en las que más se invierten recursos y también una de las más solicitadas, sin embrago los clientes se encuentran insatisfechos por los tiempos de resolución puesto que los recursos son insuficientes. Y por otro lado los accesos a internet son de los más reconocidos por los clientes como eficientes. Actividad o Proceso B. ALINEACIÓN DE TI CON EL NEGOCIO Requisitos de negocio (objetivos) Todos los requisitos de negocio son extraídos directamente de la misión y visión tanto de la UPIICSA como del IPN Ver anexo 12, estos no son plasmados a continuación en su totalidad, ya que son bastante extensos, solo se han rescatado aquellos que influyen en este caso. 1.- Ser rectora de la educación tecnológica pública en México. 2.- Líder en la generación, aplicación, difusión y transferencia del conocimiento científico y tecnológico. 3.- Realiza investigación y extiende a la sociedad sus resultados, con calidad, responsabilidad, ética, tolerancia y compromiso social. 4.- Contribuir al desarrollo de las potencialidades, estimular los procesos de pensamiento participativo, crítico y propositivo de sus estudiantes, dotándoles de una sólida formación educativa interdisciplinaria para reforzar sus habilidades, destrezas, actitudes y valores. 5.- Aprender teórica y prácticamente, con una planta docente de un perfil de excelencia, una moderna infraestructura y un uso intensivo de las tecnologías educativas más avanzadas. 6.- Formar simultánea a los tres enfoques en torno a las funciones y líneas de acción institucionales, en constante cambio y adecuación y en la búsqueda permanente de las mejores opciones educativas. 107

109 Requisitos de TI (influye) En la siguiente tabla se evalúa el estado actual y los requerimientos del valor de TI en función las necesidades que aquejan a la organización en materia de informática. Que son principalmente Hw, Sw, datos y RH. (Datos proporcionados por la jefa de la UDI en una entrevista) PROCESOS AUTOMATIZADOS Datos que se procesan PRIORIDAD DE LOS DATOS Infraestructura utilizada Hardware COSTO DEL HARDWARE POR DIA O POR DEPRECIACIÓN CARACTERISTICAS DE EQUIPO ACTUAL CARACTERISTICAS DE EQUIPO REQUERIDO GRADO DE ACTUALIZACION REQUERIDA EN EL EQUIPO Infraestructura utilizada software COSTO DEL SOFTWARE POR LICENCIA ANUAL CARACTERISTICAS DEL SOFTWARE ACTUAL CARACTERISTICAS DEL SOFTWARE REQUERIDO GRADO DE ACTUALIZACION REQUERIDA EN EL SOFTWARE 1. Asignación y uso de los sistemas de computo Área: Academia, Laboratorio, Jefatura Resguardante: Nombre Tipo: Sistema o equipo (Descripción) Modelo: Detalle Servicio: Asignación, reparación o baja Atiende: Nombre Tiempo: Duración del servicio 2. Correo electrónico 3. Acceso a Internet Alumno: Nombre Boleta: Boleta Usuario: xxx@ipn.mx Contraseña:xxxxxxxxxx Área: Academia, Laboratorio, Jefatura Solicitante: Nombre Extensión: del área MAC: del equipo que se le dará acceso Password: de acceso 1120 PC s 1 PC 1120 PC s + Lao-Top s Por depreciación anual (33%) = $ Por depreciación anual (33%) = Por depreciación anual (33%) = $ sw s diferentes Excel y correo S.O. de servidor y MSelectrónico DOS $ $1624 $

110 Recursos humanos 8 personas 1 persona 2 personas PERFIL DE LOS DESARROLLADORES DEL PROCESO PERFIL NECESARIO PARA EL PROCESO DESARROLLADO GRADO DE CAPACITACION REQUERIDA POR LOS DESARROLLADORES DEL PROCESO Tabla 3.18Requisitos de TI En las siguientes solo se plantean algunas preguntas clave mencionadas anteriormente en las metodologías mencionadas para evitar la ambigüedad de datos, pudiendo ser modificables dependiendo de las características de cada organización. Prioridad de los datos ASIGNACION Y USO DE LOS SISTEMAS DE CÓMPUTO 1. Del 1 al 5 que tan necesarios son los datos procesados para las funciones de la organización 5 Indispensables siempre 4 Indispensables con frecuencia 3 Indispensables a veces. 2 No indispensables 1 Datos secundarios 2. Con que frecuencia se entregan o actualizan los datos procesados? 5 Más de una vez al día 4 Diario 3 Cada semana 2 Cada mes 1 Cada año 3. Con que frecuencia se consultan los datos procesados? 5 Más de una vez al día 4 Diario 3 Cada semana 2 Cada mes 1 Cada año 4. Si los datos no estuvieran disponibles cuando estos se requirieran, cuantos procesos más afectarían? 5 Todos 4 La mayoría 3 La mitad 2 Pocos 1 Ninguno 5. Cuánto tiempo se tardaría en recuperar los datos en caso de emergencia? 5 Unas horas 4 Un día 3 Algunos días 2 Algunos meses 1 Irrecuperables Promedio = 2.6 Tabla 3.19 Datos 1 CORREO ELECTRONICO 1. Del 1 al 5 que tan necesarios son los datos procesados para las funciones de la organización 5 Indispensables siempre 4 Indispensables con frecuencia 3 Indispensables a veces. 2 No indispensables 1 Datos secundarios 2. Con que frecuencia se entregan o actualizan los datos procesados? 5 Más de una vez al día 4 Diario 3 Cada semana 2 Cada mes 1 Cada año 3. Con que frecuencia se consultan los datos procesados? 5 Más de una vez al día 4 Diario 3 Cada semana 2 Cada mes 1 Cada año 109

111 4. Si los datos no estuvieran disponibles cuando estos se requirieran, cuantos procesos más afectarían? 5 Todos 4 La mayoría 3 La mitad 2 Pocos 1 Ninguno 5. Cuánto tiempo se tardaría en recuperar los datos en caso de emergencia? 5 Unas horas 4 Un día 3 Algunos días 2 Algunos meses 1 Irrecuperables Promedio = 2.4 Tabla 3.20 Datos 2 ACCESO A INTERNET 1. Del 1 al 5 que tan necesarios son los datos procesados para las funciones de la organización 5 Indispensables siempre 4 Indispensables con frecuencia 3 Indispensables a veces. 2 No indispensables 1 Datos secundarios 2. Con que frecuencia se entregan o actualizan los datos procesados? 5 Más de una vez al día 4 Diario 3 Cada semana 2 Cada mes 1 Cada año 3. Con que frecuencia se consultan los datos procesados? 5 Más de una vez al día 4 Diario 3 Cada semana 2 Cada mes 1 Cada año 4. Si los datos no estuvieran disponibles cuando estos se requirieran, cuantos procesos más afectarían? 5 Todos 4 La mayoría 3 La mitad 2 Pocos 1 Ninguno 5. Cuánto tiempo se tardaría en recuperar los datos en caso de emergencia? 5 Unas horas 4 Un día 3 Algunos días 2 Algunos meses 1 Irrecuperables Promedio = 3.2 Características del equipo actual Tabla 3.21 Datos 3 ASIGNACION Y USO DE LOS SISTEMAS DE CÓMPUTO 1. Dispositivos de entrada 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 2. Dispositivos de salida 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 3. Unidades de procesamiento 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 4. Unidades de almacenamiento 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes Promedio = 2.5 Tabla 3.22 Equipo 1 110

112 CORREO ELECTRONICO 1. Dispositivos de entrada 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 2. Dispositivos de salida 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 3. Unidades de procesamiento 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 4. Unidades de almacenamiento 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes Promedio = 4 Tabla 3.23 Equipo 2 ACCESO A INTERNET 1. Dispositivos de entrada 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 2. Dispositivos de salida 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 3. Unidades de procesamiento 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes 4. Unidades de almacenamiento 5 suficientes y adecuados 4 adecuados e insuficientes 3 suficientes e inadecuados. 2 insuficientes e inadecuados 1 inexistentes Promedio = 4 Tabla 3.24 Equipo 3 Características del equipo requerido ASIGNACION Y USO DE LOS SISTEMAS DE CÓMPUTO 1. Dispositivos de entrada 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 2. Dispositivos de salida 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 3. Unidades de procesamiento 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 4. Unidades de almacenamiento 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad 111

113 . 1 Todo el equipo nuevo Promedio = 2.25 Tabla 3.25 Equipo 2.1 CORREO ELECTRONICO 1. Dispositivos de entrada 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 2. Dispositivos de salida 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 3. Unidades de procesamiento 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 4. Unidades de almacenamiento 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo Promedio = 4.5 Tabla 3.26 Equipo 2.2 ACCESO A INTERNET 1. Dispositivos de entrada 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 2. Dispositivos de salida 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 3. Unidades de procesamiento 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo 4. Unidades de almacenamiento 5 No se requiere 4 Mejor calidad 3 Mas equipo 2 Mas equipo y de mejor calidad. 1 Todo el equipo nuevo Promedio = 4.5 Tabla 3.27 Equipo 2.3 Características del software actual ASIGNACION Y USO DE LOS SISTEMAS DE CÓMPUTO 1. Tipo de licencia de uso 1Software libre 2Freeware 3Shareware 4Licencia de distribuidor 5Licencia de usuario final 2. Clasificación del software utilizado 1 Sw de aplicación general 2 Sw de aplicación específica 3 Sw de aplicación web 4 Sw científico y de ingeniería 5 Sw de programación 3. Se adecua a las necesidades 112

114 1 Nunca 2 Pocas veces 3 Algunas veces 4 Casi siempre 5 Siempre 4. Grado de complejidad de uso 1 Muy alto 2Alto 3Medio 4Bajo 5Nulo Promedio = 3 Tabla 3.28 Software 1 CORREO ELECTRONICO 1. Tipo de licencia de uso 1Software libre 2Freeware 3Shareware 4Licencia de distribuidor 5Licencia de usuario final 2. Clasificación del software utilizado 1 Sw de aplicación general 2 Sw de aplicación específica 3 Sw de aplicación web 4 Sw científico y de ingeniería 5 Sw de programación 3. Se adecua a las necesidades 1 Nunca 2 Pocas veces 3 Algunas veces 4 Casi siempre 5 Siempre 4. Grado de complejidad de uso 1 Muy alto 2Alto 3Medio 4Bajo 5Nulo Promedio = 3.5 Tabla 3.29 Software 2 ACCESO A INTERNET 1. Tipo de licencia de uso 1Software libre 2Freeware 3Shareware 4Licencia de distribuidor 5Licencia de usuario final 2. Clasificación del software utilizado 1 Sw de aplicación general 2 Sw de aplicación específica 3 Sw de aplicación web 4 Sw científico y de ingeniería 5 Sw de programación 3. Se adecua a las necesidades 1 Nunca 2 Pocas veces 3 Algunas veces 4 Casi siempre 5 Siempre 4. Grado de complejidad de uso 1 Muy alto 2Alto 3Medio 4Bajo 5Nulo Promedio = 3 Tabla 3.30 Software 3 Características del sw requerido ASIGNACION Y USO DE LOS SISTEMAS DE CÓMPUTO 1. Tipo de licencia de uso 1Software libre 2Freeware 3Shareware 4Licencia de distribuidor 5Licencia de usuario final 2. Clasificación del software utilizado 1 Sw de aplicación general 2 Sw de aplicación específica 3 Sw de aplicación web 4 Sw científico y de ingeniería 5 Sw de programación 3. Personas que lo utilizarían dentro del proceso 1 Ninguna 2 Pocas 3 Algunas 4 La mayoría 5 Todas Promedio = 3.6 Tabla 3.31 Software

115 CORREO ELECTRONICO 1. Tipo de licencia de uso 1Software libre 2Freeware 3Shareware 4Licencia de distribuidor 5Licencia de usuario final 2. Clasificación del software utilizado 1 Sw de aplicación general 2 Sw de aplicación específica 3 Sw de aplicación web 4 Sw científico y de ingeniería 5 Sw de programación 3. Personas que lo utilizarían dentro del proceso 1 Ninguna 2 Pocas 3 Algunas 4 La mayoría 5 Todas Promedio = 3.3 Tabla 3.32 Software 2.2 ACCESO A INTERNET 1. Tipo de licencia de uso 1Software libre 2Freeware 3Shareware 4Licencia de distribuidor 5Licencia de usuario final 2. Clasificación del software utilizado 1 Sw de aplicación general 2 Sw de aplicación específica 3 Sw de aplicación web 4 Sw científico y de ingeniería 5 Sw de programación 3. Personas que lo utilizarían dentro del proceso 1 Ninguna 2 Pocas 3 Algunas 4 La mayoría 5 Todas Promedio = 4.6 Tabla 3.33 Software 2.3 Perfil de los recursos humanos ASIGNACION Y USO DE LOS SISTEMAS DE CÓMPUTO 1. Grado de estudios 5 Posgrado 4 Licenciatura 3 Licenciatura inconclusa 2 Técnico 1 Bachillerato 2. Experiencia 5 Más de tres años 4 Tres años 3 Dos años 2 Un año 1 Menos del año 3. Horas de trabajo 5 Ocho horas 4 Horario especial 3 Medio tiempo 2 Trabajo por hora 1 Independiente Promedio = 2.3 Tabla 3.34 Personal 1 CORREO ELECTRONICO 1. Grado de estudios 5 Posgrado 4 Licenciatura 3 Licenciatura inconclusa 2 Técnico 1 Bachillerato 2. Experiencia 5 Más de tres años 4 Tres años 3 Dos años 2 Un año 1 Menos del año 3. Horas de trabajo 5 Ocho horas 4 Horario especial 3 Medio tiempo 2 Trabajo por hora 1 Independiente Promedio = 4.3 Tabla 3.35 Personal 2 114

116 ACCESO A INTERNET 1. Grado de estudios 5 Posgrado 4 Licenciatura 3 Licenciatura inconclusa 2 Técnico 1 Bachillerato 2. Experiencia 5 Más de tres años 4 Tres años 3 Dos años 2 Un año 1 Menos del año 3. Horas de trabajo 5 Ocho horas 4 Horario especial 3 Medio tiempo 2 Trabajo por hora 1 Independiente Promedio = 3.8 Tabla 3.36 Personal 3 Perfil requerido de los recursos humanos ASIGNACION Y USO DE LOS SISTEMAS DE CÓMPUTO 1. Grado de estudios 5 Posgrado 4 Licenciatura 3 Licenciatura inconclusa 2 Técnico 1 Bachillerato 2. Experiencia 5Más de tres años 4 Tres años 3 Dos años 2 Un año 1 Menos del año 3. Horas de trabajo 5 Ocho horas 4 Horario especial 3 Medio tiempo 2 Trabajo por hora 1 Independiente Promedio = 4.6 Tabla 3.37 Personal 2.1 CORREO ELECTRONICO 1. Grado de estudios 5Posgrado 4 Licenciatura 3 Licenciatura inconclusa 2 Técnico 1 Bachillerato 2. Experiencia 5 Más de tres años 4 Tres años 3 Dos años 2 Un año 1 Menos del año 3. Horas de trabajo 5 Ocho horas 4 Horario especial 3 Medio tiempo 2 Trabajo por hora 1 Independiente Promedio = 4.6 Tabla 3.38 Personal 2.2 ACCESO A INTERNET 1. Grado de estudios 5Posgrado 4 Licenciatura 3 Licenciatura inconclusa 2 Técnico 1 Bachillerato 2. Experiencia 5Más de tres años 4 Tres años 3 Dos años 2 Un año 1 Menos del año 3. Horas de trabajo 5 Ocho horas 4 Horario especial 3 Medio tiempo 2 Trabajo por hora 1 Independiente Promedio = 4.6 Tabla 3.39 Personal 2.3 Servicios de la Información De acuerdo a los siguientes criterios se evalúan los servicios de información, para trabajar sobre la misma escala se evalúan del 1 al 5, en donde 1 es poco y 5 es mucho con sus diferentes escalas. 115

117 Criterios de la información Eficiencia Se enfoca en Cómo podemos hacer mejor lo que hacemos?, Los procesos actuales se han mejorado? 4 Efectividad Se enfoca en Qué es lo que deberíamos estar haciendo?, Se han implementado nuevos procesos para el logro de objetivos? 5 Confidencialidad Prevenir la divulgación de información a personas o sistemas no autorizados. 3 Integridad Mantener los datos libres de modificaciones no autorizadas 5 Disponibilidad Encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. 3 Cumplimiento Hacer con la información todo aquello que se convino previamente en tiempo y forma. 3 Confiabilidad Grado de seguridad de que un dispositivo o sistema opera exitosamente en un ambiente específico durante un cierto período. 4 Promedio 3.8 Tabla 3.40 Criterios de la información En la siguiente grafica se muestran los datos anteriores concentrados para su mejor apreciación. Imagen 3.1 Grafica 1 116

118 Alineación 1.- Ser rectora de la educación tecnológica pública en México. Si, ya que dan mantenimiento a equipos utilizados para la educación tecnológica. 4.- Contribuir al desarrollo de las potencialidades, estimular los procesos de pensamiento participativo, crítico y propositivo de sus estudiantes, dotándoles de una sólida formación educativa interdisciplinaria para reforzar sus habilidades, destrezas, actitudes y valores. Si, puesto que los estudiantes de diferentes carreras interaccionan a través de estos equipos, los acceso a internet así como el correo electrónico. 6.- Formar simultánea a los tres enfoques en torno a las funciones y líneas de acción institucionales, en constante cambio y adecuación y en la búsqueda permanente de las mejores opciones educativas. Si, ya que se busca adecuar las opciones con las que se cuenta (personal, hardware, software e información) en sus diferentes momentos. 2.- Líder en la generación, aplicación, difusión y transferencia del conocimiento científico y tecnológico. No, ya que el equipo contemplado anteriormente no cumple con las expectativas del equipo requerido, así que se ven limitadas tanto la generación, como la aplicación, difusión y transferencia, imposibilitando el liderazgo. 3.- Realiza investigación y extiende a la sociedad sus resultados, con calidad, responsabilidad, ética, tolerancia y compromiso social. No, debido a la falta de personal demostrado en el análisis anterior, el tiempo de trabajo del personal existente es ocupado es acciones más inmediatas de tipo operaria dejando a un lado la investigación o el fomento de la misma. 5.- Aprender teórica y prácticamente, con una planta docente de un perfil de excelencia, una moderna infraestructura y un uso intensivo de las tecnologías educativas más avanzadas. No, por la falta de equipo analizado anteriormente, así como por que este es inadecuado para los múltiplos usos que se le da, se puede descartar la modernidad, así como el uso intensivo y la práctica, ya que se encuentra muy limitado. B.1 Establecer fondos de los servicios Para establecer fondos de los servicios de manera sólida se deben de cuidar dos aspectos principalmente que son la utilidad y la garantía, utilizando los datos de los requerimientos de TI y las características de los procesos se obtendrán los datos siguientes. En el primer punto de la utilidad lo podemos dividir en dos características; que sería por un lado la frecuencia de uso (capacidad de servicios por día), y por el otro la satisfacción del cliente (determinada por el cumplimiento de las expectativas del cliente). Mientras que la garantía ya se encuentra medida 117

119 en cumplimiento, sin embargo el grado de cumplimiento se encuentra especificado durante la entrevista como el mismo para los tres procesos. PROCESOS Utilidad Garantía Frecuencia de uso satisfacción de una necesidad seguridad del cumplimiento de una obligación 1.- Asignación y uso de sistemas de cómputo 90 /día Correo electrónico 20/día Acceso a internet 7/día % 66% 60% Porcentaje 54.6% 60% Tabla 3.41 Utilidad y ganancia Para el caso de la utilidad en la frecuencia de uso, se considera el límite superior como el máximo de servicios que se pueden prestar por día, teniendo así que máximo serían 90 servicios por día en cada uno de los procesos. Y para la satisfacción y el cumplimiento se maneja igual que los puntajes anteriores 1 poco y el 5 para mucho que es el máximo. Y como se puede observar los porcentajes obtenidos no son muy altos por lo que no se puede establecer de manera sólida los fondos necesarios para el mejor aprovechamiento de los servicios. Lo que quiere decir que se tendría que generar un mayor rendimiento en términos de utilidad y garantía antes de establecer los fondos. B.2 Tipos de proveedores de servicios Servicios Servicios PROCESOS internos externos Servicios combinados 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico Acceso a internet Tabla 3.42Proveedores Como se observa en cuadro anterior todos los servicios prestados son internos, esto es debido principalmente a dos situaciones; la primera es que generalmente las instituciones públicas no cuentan con el financiamiento necesario para la contratación de servicios externos, y otra situación particular de este caso es que todo lo económico no es administrado como tal por la UDI. Ya que tanto el hardware como el software que ellos administran les son proporcionados en especie; ya que al IPN le conviene más hacer contratos mayoritarios, y los sueldos de los 118

120 empleados son fijos, así como el número de empleados que se pueden contratar, de tal manera que la contratación de servicios externos se encuentra fuera de su alcance. Actividad o Proceso C. EVALUACIÓN DEL DESEMPEÑO Y LA CAPA CIDAD ACTUAL C.1 Establecer recursos y capacidades de los servicios PLANES EXISTENTES Y SISTEMAS DE INFORMACIÓN Automatización de los procesos que esta área gestiona. Agregar los nuevos servicios a la estructura organizacional de esta unidad La página web de la escuela Tabla 3.43 Capacidad actual Contribución a los objetivos del Funcionalidad Estabilidad Complejidad negocio P l a n e s E x i s t e n t e s 2. Generación, y aplicación del conocimiento científico y tecnológico 5. Una moderna infraestructura y un uso intensivo de las tecnologías educativas más avanzadas. 2. Generación, difusión y transferencia del conocimiento científico y tecnológico 5. Un uso intensivo de las tecnologías educativas más avanzadas. 1. Mayor dispon ibilidad de la in formación 2. Mayor agilidad en los p rocesos 3. Mayor calidad en los tram ites y por lo tanto más satisfacción de l cliente 4.Formas de almacenamiento más duraderos 1. Respaldo de servidores 2. Configuración de red 3.Capacitación 4. Reparac ión y transferencia de equip os 5. Plotteo e impresión Lleva tres meses aprox imada mente en marcha y ha sufrido intermitenc ia por el periodo vacacional con frecuentes variaciones Lleva en marcha aprox imada mente 10 años, sin variaciones durante a l menos 2 años S i s t e m a s d e I n f o r m a c i ó n 1.- Ser rectora de la 1.Proporcionar educación tecnológica información 2.Promoc iona r pública en México. los pla nes de 2.- Líder en la estudios y las generación, aplicación, carreras difusión y transferencia 3.Agilizar los del conocimiento trámites de científico y tecnológico. control escolar 5.- Aprender teórica y 4.Mayor prácticamente, con una actualización de moderna notif icaciones y eventos infraestructura y un uso 5. Mantener intensivo de las comunicación tecnologías educativas con agentes más avanzadas. externos Se puso en marcha en 199, hace 12 añ os y se ha modif icad o alreded or de 154 veces Poca infraestruct ur a y tiempo, resistencia al cambio Dificu ltades en un ma rco administrativo superior en jerarqu ía, falta de recursos y de personal Falta de equip o con suficiente capacidad para sus funciones 119

121 Actividad o Proceso D. PLAN ESTRATÉGICO DE TI Se manejan los siguientes datos, para este caso exclusivamente serán excluidos. 1.- Presupuesto de la inversión y operación 2.- Fuentes de financiamiento 3.- Estrategia de obtención 4.- Estrategia de adquisición 5.- Requerimientos legales y regulatorios Debido a que todo lo relativo al financiamiento de la UDI no pertenece a su administración y tampoco cuentan con información alguna; es decir, no se sabe el costo de los equipos, no se tienen estadísticas de inversiones, no se encargan de la obtención solo se requiere el equipo y algunas veces llega este y en otras ocasiones no llega. En cuanto a la adquisición, no se sabe si llegara o no llegara equipo para los próximos años, mucho menos la cantidad y la especie y mientras que los requerimientos legales se podrían obtener serian inútiles a falta de la información mencionada. Sin embargo la ausencia de esta información no afectara drásticamente la planeación estratégica de TI ya que a lo largo de los años de la administración de la UDI nunca han sido considerados para su planeación, además de que aunque no se puede precisar y calcular la información anterior; no es un factor que afecte o altere su rendimiento. Ya que la cantidad de clientes es un factor fijo, por lo tanto sus ingresos también son semifijos al mediano plazo. Lo que nos indica que no corre el riesgo de quedarse sin recursos, ni tampoco de aumentar o disminuir drásticamente estos, por lo tanto la planeación se puede hacer con lo que se tiene sin esperar modificaciones en cuanto al ámbito financiero u económico. D.1 Estructurar los servicios El primer paso sería determinar exactamente qué servicios y procesos serán considerados, desecharemos los procesos terciarios debidos a que se han modificado y durante el proceso cambiaron de administración, por lo que ya no son parte de su marco funcional. Quedando los siguientes: 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a internet De estos estructuraremos inicialmente aquellos que tiene mayor prioridad y relevancia ya que son los que tienen mayor valor y posteriormente los demás. Durante los estudios anteriores 2 servicios fueron enmarcados con mayor valor y estos fueron: 1. Acceso a Internet 2. Asignación y uso de sistemas de cómputo Posteriormente catalogaríamos al resto de los procesos según acomode a los anteriores. 120

122 Empezaremos con el ACCESO A INTERNET. Para involucrar la automatización del proceso haremos uso de otro de los servicios, esto nos permitirá agilizar y poder crear mejores estándares de calidad. CLIENTE MENSAJE DE ALERTA EMPLEADO 1 2 MAC: VLAN: Área: Solicitante (Nombre): N empleado: Extensión: MAC: Hora solicitud: Hora de respuesta: Atendió: RESPUESTA Atendió: Hora de respuesta: Password: SERVICIOS: 1.- Acceso a Internet 2.- Asignación y uso de sistemas de cómputo 3.- Correo electrónico 4.- Mantenimiento de la paina web de la UPIICSA 5.- Respaldo de servidores 6.- Configuración de red 7.- Capacitación 8.- Reparación y transferencia de equipos 9.- Plotteo e impresión Imagen 3.2 Acceso a internet 1.- El cliente realiza la solicitud desde la página de la escuela evitando de esta manera tener que asistir a la UDI. Genera una mayor satisfacción en el cliente Agiliza el proceso cortando tiempos muertos Evita perdida de información (solicitudes perdidas, letra ilegible, inf. Incompleta, etc.) 121

123 Permite la contabilización automática de registros atendidos, automatizando así reportes e informes. Almacena cada reporte evitando la inconsistencia y la perdida de los datos Registra hora de solicitud y de respuesta para medir la calidad de la atención Se promocionan el resto de los servicios aumentando su usabilidad y su funcionalidad Se eleva el nivel de seguridad al poder automatizar la validación de los datos del solicitante en una base de datos 2.-El empleado recibe una alerta a través de mensaje ya sea en correo electrónico, Messenger o algún otro programa especializado, depende de la asignación que tenga. La alerta se implementa ya que la demanda de accesos a internet es de 7 al día, lo que quiere decir que un empleado para solo este servicio sería un desperdicio puesto que hace falta empleados en el resto de los servicios. Y por otro lado el servicio es el más prioritario por lo que debe tener una respuesta rápida en el momento de la solicitud por lo que no se pueden atender al final del día y de esta manera se le puede asignar al empleado alguna otra actividad sin restarle importancia a este servicio. Nota: Cabe mencionar que este proceso se podría automatizar completamente mediante algún programa especializado de cómputo diseñado a la medida que validara los datos en una base de datos y agregara la MAC a la VLAN solicitada, y de la misma manera el programa podría generar la respuesta. Sin embargo se cuenta con equipo muy viejo por lo que el dispositivo de red no es programable con diseño a la medida, sino que sus opciones de programación son establecidas para uso exclusivo del usuario no permitiendo la manipulación por medio de otro programa. 3.- El empleado da de alta la MAC en la VLAN correspondiente Actividad principal no modificable e indispensable 4.- Responde al cliente Genera la sensación de comunicación continua al cliente agregándole niveles de satisfacción Se crea sensación de vigilancia sobre el empleado elevando sus índices de eficiencia y efectividad puesto que es medible su tiempo de respuesta 122

124 El resto de los servicios se manejaran sobre un escenario similar, esto con fines de estandarización, ya que las mejoras realizadas sobre un servicio podrían ser viables para el otro, es más fácil compartir y comparar la información, así como enlazar las 5 áreas de trabajo para que se mantenga una comunicación continua y no trabajen de forma aislada, de la misma manera ningún elemento se vuelve irremplazable ni necesario. Como ya se vio en el diagrama anterior todos los servicios partirían de la página web de la escuela siguiendo el enlace de la UDI y posteriormente eligiendo el servicio a solicitar, así que el resto de los servicios continuaran a partir de este último punto para no duplicar información. ASIGNACION Y USO DE SISTEMAS DE CÓMPUTO En esta parte separaremos tácitamente la asignación y uso de sistemas de cómputo de la reparación y reemplazo de equipo de cómputo puesto que en realidad no son servicios que estén unidos. EMPLEADO INSTALACIÓN CATALOGAR Sw existente 1 2 Fecha de solicitud Hoja de estatus: Área: Responsable: Sistema requerido: Justificación: Cotización: Fecha de solicitud: Hora de solicitud: Atiende: Respuesta: Fecha de respuesta: Hora de respuesta: Sw inexistente Tramite: Tramite: Tramite: Fecha: Fecha: Fecha: Fecha de respuesta AUTORIZACIÓN INTERNA REQUISICIÓN APROBACIÓN O NEGACIÓN EMPLEADO 1 Negación 1 2 Aprobación INSTALACIÓN Imagen 3.3 Asignación y uso de sistemas de computo 123

125 1.- El cliente realiza la solicitud desde la página de la escuela evitando de esta manera tener que asistir a la UDI. 2. Se busca en la Base de Datos si el software ya ha sido adquirido por el IPN a) Sw existente, si se cuenta con la licencia de uso. 3. El empleado acude al área correspondiente y realiza la instalación 4. Finaliza el reporte agregando los datos faltantes (atiende, respuesta y fecha de respuesta y hora de respuesta) b) Sw inexistente, no se cuenta con la licencia de uso. 3. La justificación de la adquisición es revisada por personal interno 3.a) No es autorizada 4. Se le da respuesta negativa al cliente explicando detalladamente el motivo de su rechazo 3.b) Es autorizada 4. Se crea y almacena la requisición de dicho bien y es enviada a una autoridad externa 4.a) El software es negado 5. Se le da respuesta negativa al cliente explicando detalladamente el motivo de su rechazo 4.b) El software es aprobado 5. Se le envía el sw o su licencia al empleado y esta acude a realizar su instalación 6. Finaliza el reporte agregando los datos faltantes (atiende, respuesta y fecha de respuesta y hora de respuesta) CORREO ELECTRÓNICO Imagen 3.4 Correo electrónico Nombre: Boleta: Correo alternativo: Fecha de solicitud: Atendió: Fecha de respuesta: RESPUESTA EMPLEADO LISTADO DE CORREOS CORREOS AGREGADOS EMPLEADO EXTERNO 124

126 1.- El cliente realiza la solicitud desde la página de la escuela 2.-El empleado valida los datos proporcionados, crea la lista de correos (usuarios y password) y la envía a otra área externa a la escuela 3.- El área externa los da de alta y envía la confirmación al empleado interno 4.- El empleado interno entrega la respuesta al cliente D.2 Definición del mercado de servicios Este mercado se encuentra bien definido abarca toda la población de la UPIICSA, no existe competencia dentro de este mercado ya que es la única área dedicada a prestar estos servicios sin posibilidad de perder clientes y la posibilidad de hacer crecer este mercado (aumentar la población de la UPIICSA) no está en sus manos ya que no depende directamente de la calidad de sus servicios sino de la cantidad de recursos asignados a la escuela, la cual durante los últimos años ha sido insuficiente como para aumentar su capacidad matricular. Actividad o Proceso E. PLANES TÁCTICOS DE TI E.1 Desarrollo de ofertas de servicios Los servicios no pueden ser ofertados en cuanto a costos, descuentos o promociones, debido que estos servicios no tienen un costo directo para el cliente, sin embargo si pueden ser ofertados a nivel publicidad. 1. En la página web de la escuela, dentro de la sección de la UDI, se encuentran publicados algunos de los servicios que ofrece esta área. 2. Hacer boletines informativos sobre todos los servicios que proporciona esta área y enviarlos de forma masiva a través del correo electrónico. 3. Publicar en los muros de los edificios la dirección y el teléfono al cual acudir en caso de requerir algún servicio de la UDI. 4. Ofrecer folletos informativos sobre los trámites y requisitos de cada uno de los servicios prestados. 5. Hacer concursos que involucren la investigación, aplicación y comunicación relacionadas con los servicios prestados. 125

127 Actividad o Proceso F. ADMINISTRACIÓN DEL PORTAFOLIO DE TI F.1 Portafolio de servicios Para cada uno de los servicios de los siguientes diagramas se muestran los elementos esenciales con los que debe contar un portafolio, teniendo en cuenta que dependiendo del giro y tamaño de la organización a estos se le pueden agregar mas datos o características del servicio. 1. Acceso a Internet 126

128 2. Asignación y uso de sistemas de cómputo 127

129 3. Correo electrónico 128

130 F.2 Administración de la demanda Dado que se comparten los recursos existentes para todos los servicios y estos no son administrados de forma interna, solo se administra el personal que es el que se puede reasignar de manera interna. Servicio Demanda % de recursos Acceso a Internet 7/día 5.9% 1 Asignación y uso de 90/día 76.9% 11 sistemas de computo Correo electrónico 20/día 17% 2 F.3 Valoración de los servicios Personal (Total 14) Tabla 3.44 Administración de la demanda F.3.1 Los más distintivos Servicio Distintivo Acceso a Internet 3 Asignación y uso de sistemas de computo 4 Correo electrónico 3 Tabla 3.45 F.33 los más distintivos F.3.2 Los más rentables Servicio Distintivo Acceso a Internet 5 Asignación y uso de sistemas de computo 5 Correo electrón ico 5 Tabla 3.46 F.33 los más rentables F.3.3 Los clientes más satisfechos Clientes Distintivo Alumnos 3 Docentes 4 Administrativos 4 Directivos 4 Tabla 3.47 F.33 los más satisfechos F.3.4 Los clientes más rentables Clientes Distintivo Alumnos 5 Docentes 4 Administrativos 4 Directivos 4 Tabla 3.48 F.33 los más rentables F.3.5 Actividades más distintivas y eficaces Servicio Distintivo Eficiente Promedio Acceso a Internet Asignación y uso de sistemas de

131 computo Correo electrónico Tabla 3.49 F.33 los más distintivos y eficaces 3.2 Propuesta de solución La propuesta de solución inicia partiendo del análisis realizado; ya que este análisis nos marca claramente los puntos que requieren de nuestra atención. Así como específica las necesidades o requerimientos planteados por el área y sus consumidores. Y al momento de plantear las necesidades y las deficiencias crea un hueco en el que se plantean las soluciones de manera inherente. Por lo que gran parte de la propuesta de solución se encuentra distribuida en el punto anterior. Sin embargo en esta sección se añaden algunas que no fueron mencionadas anteriormente por no haber sido respuestas evidentes y directas a cada necesidad; sino que fueron obtenidas después del análisis como respuestas secundarias. En la siguiente grafica se muestra información sumamente relevante para la determinación de algunas de estas necesidades: En la grafica anterior se pueden observar varios de los aspectos evaluados y resaltados de rojo en los puntos en los cuales requiere cambios ya que supera el nivel de requerimiento, al nivel actual y por ende el desempeño de los procesos o actividades se ve limitado. 130

132 Empezaremos por realizar una serie de recomendaciones en cuanto a adquisición: Recomendacion Prioridad 1.- Adquisición de software para el proceso de asignación y uso de sistemas de 3 cómputo, incremento tanto en cantidad como en calidad. 2.- Incremento en el personal que atiende el proceso de asignación y uso de 5 sistemas de cómputo, tanto en cantidad como en calidad. 3.- Aumento en la calidad de la Información para garantizar tanto su seguridad, 4 integridad, eficiencia, etc. En la asignación y uso de sistemas de cómputo. 4.- Adquisición de hardware para el proceso de correo electrónico, incremento 3 tanto en cantidad como en calidad. 5.- Incremento en el personal que atiende al proceso de correo electrónico, tanto 3 en cantidad como en calidad. 6.- Aumento en la calidad de la Información para garantizar tanto su seguridad, 4 integridad, eficiencia, etc. Para el proceso de correo electrónico. 7.- Adquisición de hardware para el proceso de acceso a internet, incremento 3 tanto en cantidad como en calidad. 8.- Incremento en el personal que atiende al proceso de acceso a internet, tanto en 4 cantidad como en calidad. 9.- Aumento en la calidad de la Información para garantizar tanto su seguridad, 4.5 integridad, eficiencia, etc. Para el proceso de acceso a internet. Nota: Para prioridad (5-muy urgente, 4-urgente, 3-se necesita ya, 2-puede esperar, 1-no hay prisa) Tabla 3.50 Recomendaciones i. Por otro lado denotando la existencia insuficiente de fondos para los servicios puesto que el ingreso que recibe no es suficiente, por lo que se propone desarrollen un proyecto para obtención de recursos propios y de esta manera no depender al 100% de la organización. Por ejemplo: Prestar el servicio de impresión a los alumnos, el cual se encuentra restringido a ciertas áreas y personal debido a la escasa tinta recibida. Sin embargo, sí se podrían cobrar las impresiones a los alumnos y de esta manera se recuperaría el costo de la tinta y se obtendrían recursos adicionales para el fortalecimiento de los fondos para los servicios. De esta manera no se contrapondría al reglamento ni a los lineamientos ya que el servicio es prestado solo a estudiantes y es invertido en los mismos servicios prestados solo a fin de mejorar la calidad de los mismos. (Tener en cuenta ley de transparencia) De la misma manera venta de material didáctico: folders, clips, lápices, plumas, etc. Brindar de los mismos servicios de capacitación para apoyo en asesorías a estudiantes sobre trabajos y preguntas específicas, de la misma manera con un costo de recuperación y una ganancia para equipo utilizado. 131

133 Creación de concursos o torneos de diseño o creación tecnológica como diseñar la mejor página web para la UPIICSA, o estructurar la mejor red con los mínimos recursos disponibles, innovaciones para administración de equipo dinámico, etc. Con un premio generado del mismo costo de inscripción al concurso y obtención de beneficios tecnológicos en el área. Personalización de etiquetas o stickers para ornato del material de los estudiantes como son cuadernos, libros, cd s, etc. De la misma manera con un costo de recuperación mas un plus para fomento tecnológico. ii. En cuanto a la reestructuración de los servicios se recomienda la planteada en el Plan Estratégico de TI; en el mismo supuesto de no obtener más recursos. Si se obtuvieran los recursos se tendría que replantear la estructuración de los servicios, pero en base a los recursos obtenidos; ya que aunque este proceso seria en lo ideal de forma inversa, los recursos no son proporcionados según las necesidades, sino según su existencia. Se debe tener en cuenta que el plantear más servicios y restructurar los siguientes implicaría modificar todo la forma de trabajo actual, lo que se mantendría seria mínimo y eso implicaría cambios en la cultura organizacional planteados más delante. iii. Así como de la misma manera es imperante integrar el resto de los servicios que clasificamos en dicho trabajo como fuera de estructura por las características ya mencionadas anteriormente en el análisis del caso, para ello es necesario crear su estructura individual; así como integrarla al marco de fondos, de la demanda, etc. ya que su estructuración funcional, regirá cambios significativos para la estructuración realizada. Mantenimiento de la página web de la UPIICSA Respaldo de servidores Configuración de red Capacitación Reparación y transferencia de equipos Plotteo e impresión Para este punto sería ideal llevarlo a la par de la inclusión de los nuevos servicios, ya que aunque los cambios son múltiples, es conveniente según los establecido en el cambio organizacional hacer todas las modificaciones de forma paulatina en un solo proceso, ya que la resistencia al cambio se impone cuando estos cambios no se detienen en un periodo de tiempo determinado. 132

134 Y por otro lado implicaría menos costo tanto en recursos humanos como materiales y económicos el hacer una sola transición, además de ser así como lo plantea ITIL, sin embargo todas estas modificaciones ya son planteadas a detalle en la fase de planeación y diseño, durante el análisis solo nos enfocaremos a reunir todas estas posibilidades de acuerdo a lo visto anteriormente ya que eso nos garantiza, su factibilidad, utilidad, etc. iv. En cuanto a la administración de la demanda, en caso de no haber mas personal disponible para los servicios se recomienda, se realice la repartición del personal tal y como aparece en el cuadro de administración de la demanda. Ya que la demanda no disminuirá, pues según la tendencia de los últimos años como se mostro en las gráficas de dicho apartado es ascendente. Lo que implica hacer planes para poder seguir proporcionando servicio a más clientes con los mismos recursos. Lo que nos reafirma la necesidad de la inclusión de nuevos servicios que nos proporcionen más recursos, recalcando que los nuevos servicios como son los torneos o concursos nos darán no solo recursos materiales y económicos, sino también humanos que son de los que más carece la UDI. Así como también se ve la importancia de contar con una buena administración, ya que de no estar todos los servicios informáticos bien analizados y planteados, la ejecución no podrá ser lo suficientemente eficiente para dar una buena respuesta al cliente. v. Ahora que la capacidad actual en lo ideal se debería incrementar, sin embargo por el análisis de la situación actual se puede proponer como parte de la planeación a largo plazo, perno no en el mediano, ni en el corto ya que la planeación nos indica que tiene prioridades mucho más urgentes y que el diseño, desarrollo, implementación y pruebas restantes cubrirán tanto el corto como el mediano plazo. vi. Así como fomentar el desarrollo de oferta de los servicios para aumentar la captación de los consumidores, crear una imagen favorable del área y al mismo tiempo la satisfacción del cliente que es uno de los principales objetivos plateados por la administración. Todo esto del desarrollo de la oferte parece obviarse por ser institución educativa; es decir puesto que los servicios proporcionados son los mismos por largos periodos de tiempo, estos servicios siempre se le prestan a la misma población, la población depende de esos servicios y los recursos obtenidos no dependen directamente ni de la calidad del servicio, ni del número de servicios prestados. Por lo que se presupone que no es necesario ofertarlos, promocionarlos o publicitarlos. 133

135 Sin embargo la imagen que se da a los clientes es fundamental ya que como toda organización de gran tamaño depende del buen funcionamiento hasta de las áreas más pequeñas haciendo que ninguna de estas sean insignificanticas. Al proporcionar una mejor imagen como área, también se mejora la imagen de la organización, esta tiene una mayor demanda y por lo tanto la organización tiende a crecer de manera favorable. (Téngase en cuenta que para este caso se puede ser mas selectivo en cuanto a los clientes, exigirles ciertas condiciones o bien, expandir las organización con sus áreas) Por ejemplo: Creación y distribución de volantes, carteles y pancartas con los servicios ya estructurado, los servicios por estructurar y los planteados en esta propuesta; de esta manera nos permitiría medir la demanda de cada uno de ellos al recibir las peticiones de los mismos. Establecer una área web en la cual los alumnos puedan intercambiar ideas, información, propuestas, etc. pero dentro de un marco escolar, con moderadores del mismo sitio (enseñándoles y exigiéndoles expresarse con propiedad y argumentando todos sus supuestos) y con la oportunidad de hacer llegar a las jerarquías superiores estas inquietudes ya consensadas. Crear sistemas y estándares (evaluación del tiempo de respuesta, del trato, de la cantidad, utilidad y disponibilidad, etc.) medibles tanto en equipo, como en información y personal. Hacer convenios con el área de becas, o con los docentes para fomentar y motivar la participación de los alumnos en tos concursos o torneos tecnológicos. vii. viii. No debemos olvidar incluir los proyectos con los que ya cuenta el área y que se encuentran en marcha ya que como vimos son parte fundamental para el cumplimiento de los objetivos y metas tanto de la organización (UPIICSA) como de TI (UDI). Y por último marcaremos el punto de partida del cambio que será la asignación y uso de recursos de cómputo ya que es uno de los servicios más distintivos y relevantes para el área por lo tanto debe ser el servicio más productivo. Y en esta parte se sucedería al proceso actividad 2 que será la encargada de modelar todo lo planteado anteriormente durante el primer proceso o actividad que tenga como objetivo analizar la situación de la cual parte toda la planeación, diseño, diseño, desarrollo y ejecución. 134

136 Por lo que las recomendaciones quedarian de la siguiente manera: PROPUESTAS DE SOLUCIÓN: Realizarlos primero Realizarlos despues Realizarlos al final REESTRUCTURACI ÓN DE LOS SERVICIOS PRIMARIOS Asignació n y uso de sistemas de computo Correo e lectrónico Acceso a Internet ESTRUCTURACIÓN DE LOS SERVICIOS SECUNDARIOS Mantenimie nto de la página web Respaldo de servidores Configuración de red Capacitación Reparación y transferencia de equipos Plotteo e impresión IMPLEMENTACIÓN DE NUEVOS SERVICIOS PARA OBTENCION DE RECURSOS Servicio de impresión a los alumnos Venta de material didactico Apoyo en asesorias a estudiantes Concursos o torneos de diseño o creacion tecnologica Perzonalizacion de etiquetas o stickers ADMINISTRACIÓN DE LA DEMANDA 76.9% *Sujeto a modificac iones 17% *Sujeto a modificaci ones 5.9% *Sujeto a modificaci ones *Se determinara en el diseño *Se determinara en el diseño *Se determin ara en el diseño ADQUISICIONES Asignación y uso de sistemas de computo: Incremento de personal Calidad de la Información Aquisicion de software Acceso a internet: Calidad de la Información Incremento de personal Aquisicion de hardware Correo electronico: Calidad de la Información Aquisicion de hardware Incremento de personal DESARROLLO LA OFERTA DE Lograr la satisfaccion del cliente Crear una imagen favorable Aumentar captacion de consumidor es PLANES EXISTENTES YA Automatizac ión de los procesos que esta área Agregar los nuevos servicios a la estructura organizacion 135

137 AUMENTO DE LA CAPACIDAD gestiona. Planes existentes al de esta unidad Sistemas de informacion Tabla 3.51 Propuesta Una vez finalizado todos los cambios y que estos ya se encuentren en marcha hay reiniciar el ciclo tal y como nos lo indica ITIL. Y ahí se generara una nueva etapa de análisis, en la que se reajustaran y se crearan servicios nuevamente. Estos no son todos los cambios que podrían realizarse; pero debemos considerar varios aspectos al realizar esta propuesta: uno de ellos es la capacidad actual del área, no podemos elevar demasiado el nivel de entradas a desempeño de planeación de TI ya que se encuentra en un nivel Inicial/Ad Hoc y existen cuatro niveles más para estar en uno de los más altos por lo que la transición tiene que ser paulatina. Por otro lado tampoco se cuenta con la inversión necesaria como para reinventar todo lo necesario, de tal manera que se tiene que trabajar con lo que se tiene y partir de cambios pequeños pero significativos para poder tener una base sólida sobre la cual hacer planes a largo plazo. Además uno de las principales barreras que se presentan y como ya habíamos mencionado anteriormente, es la resistencia al cambio por parte del personal y entre mas cercanos se encuentren a ellos estos cambios será más fácil que se adapten, sin embargo si un cambio es demasiado drástico, tienden a sabotearlos, y para todo esto se tendrán que generar motivaciones o bien estímulos logrando la cooperación del personal; cooperación que solo se lograra a través de un buen liderazgo. Todos estos factores serán analizados en la repercusión de ITIL y COBIT en la cultura organizacional. Esto no se encuentra dentro de la medición puesto que son factores que no se pueden medir hasta después de un largo tiempo de implementación y aun nos encontramos en la fase de análisis. 3.3 Medición de la solución La medición de la solución se hará según los factores de medición planteados por COBIT para esto solo utilizaremos los factores delimitados en PO1 ya que hasta aquí solo realizamos el primer proceso planteado para la nueva propuesta de administración informática. Uno forma de medir que se haya logrado un plan estratégico adecuado es a través de: 1. Porcentaje de objetivos de TI relacionados con la estrategia de negocio 2. Porcentaje de proyectos TI vinculados al plan táctico de TI 3. Tiempos de actualización entre el plan estratégico de TI y los planes tácticos de TI Todas estas mediciones se realizan a través unas matrices ya que es más fácil observar desde ellas los puntos de comparación, así como el porcentaje de cumplimiento de las mismas. 136

138 Publicación de servicios del area Hacer boletines informativos sobre los servicios Publicar proporcionad direccion os y telefono para requisitar Folleto servicios informativo con tramites y requisitos de los Hacer servicios concursos que involucren la investigación, aplicación y comunicación relacionadas con los servicios Rectora en educación tecnologica. Líder en conocimiento tecnológico. Realiza investigación con calidad. Dotarles a los estudiantes de una sólida formación educativa interdisciplinaria. Aprender con moderna infraestructura y un uso intensivo de las tecnologías educativas más avanzadas. Búsqueda permanente de las mejores opciones educativas. Matriz 1. Porcentaje de objetivos de TI / Estrategia del negocio Estrategias de negocio Objetivos de la UDI Maximizar recursos X X Lograr eficiencia y X X eficacia en su aplicación Procurar la modernizacio X X n tecnologica Tabla 3.52 Matriz 1 Como observamos en la tabla anterior podemos decir que el 100% de los objetivos de TI (de la UDI) están relacionados con la estrategia de negocio (de UPIICSA y el IPN) por lo que este punto se cumple en su totalidad aunque no satisfactoriamente ya que faltan objetivos para cubrir todas las estrategias relacionadas con esta área. Matriz 2. Porcentaje de proyectos de TI / plan táctico de TI Plan tactico de TI Proyectos de TI Automatizacio n de los procesos que esta área gestiona Agregar nuevos servicios a la estructura organizacional X X X X X X Tabla 3.53 Matriz 2 De igual manera el 100% de los proyectos de TI se encuentran relacionados con el plan estratégico de TI, cumpliendo en su totalidad y de forma satisfactoria ya que no hay parte del plan estratégico de TI que no se a cubierto con los proyectos y cabe mencionar que el mayor 137

139 Definicion del mercado Estructurar los servicios Tiempo de Actualización peso cae sobre el primer proyecto puesto que el segundo ya se encuentra en una fase de implementación sin contar con documentación o información del mismo. Matriz 3. Tiempos de actualizacion entre: Plan estratégico de TI / Plan táctico de TI Plan estrategico de TI S E M E S T R A L Plan tactico de TI Publicación de servicios del area Hacer boletines informativos sobre los servicios proporcionados Publicar direccion y telefono para requisitar servicios Folleto informativo con tramites y requisitos de los servicios Hacer concursos que involucren la investigación, aplicación y comunicación relacionadas con los servicios Tabla 3.54 Matriz 3 Dado que en la UDI y en general en el politecnico se manejan periodos semestrales todos los planes, proyectos, etc. Tienen como tiempo minimo de vida un semestres. Y dado que se considera que la mayoria de los cambios necesarios son urgentes y son sencillos dentro de una escala de complejidad conporativa internacional, deberian de actualizarse en el menor tiempo posible, lo idea seria actualizar todo al menos mensualmente para el plan tactico de TI, pero los presupuesto, recursos y la administracion de la organización completa no cuenta con tiempos abiertos ya que los presupuestos se asignan de manera anual a cada unidad y esta a su vez la subreparte de manera semestral, generando asi que los cambios o modificaciones solo se 138

140 puedan realizar una vez al semestre como minimo de tiempo. Mientras que el plan estrategico de TI se encuentra en buen tiempo de actulizacion ya que este se puede modificar incluso anualmente. Por lo tanto no podriamos decir que los tiempos de actualizacion se encuentran en un nivel optimo; sin embargo la UDI no cuenta con la capacidad para realizar este tipo de modificaciones y en consideracion. Y el plan estratégico de TI si es el óptimo. De esta manera para marcar un porcentaje y poderlo medir dentro de los otros niveles establecidos en las dos matrices anteriores, diríamos que cumple en un 50%. De tal manera que la medición de la solución quedaría de la siguiente manera: % Objetivos de TI / Estrategia del negocio % de proyectos de TI / plan táctico de TI Tiempos de actualización entre: Plan estratégico de TI / Plan táctico de TI Promedio 100% 100% 50% 83.33% Tabla 3.55 Medición Lo que nos indica un nivel aceptable para el nivel de partida y las mejoras esperadas de acuerdo a las limitaciones y dificultades encontradas. 3.4 Repercusiones de la implementación ITIL/COBIT en la cultura organizacional A partir de la implementación de ITIL/COBIT se generan una serie de cambios muy importantes los cuales, deben ser llevados tal y como lo marca la metodología, de otra manera no se puede confiar en que estos cambios surjan el efecto deseado, pues como ya se analizo en los casos prácticos; en México y en general en América Latina estas metodologías han tenido la tendencia a fallar a pesar de haber tenido un gran éxito en Europa y el resto de los continentes generándoles cuantiosas ganancias al optimizar la administración informática. Por lo que no basta con adecuar a metodología a las características de las organizaciones pequeñas o medianas que son las que dominan el mercado en nuestro país; es evidente que no se puede generar un nivel tan a detalle como el de una gran organización por lo que ya se redujo en la práctica de la UDI a un nivel aceptable según las capacidades del área en que se desarrolló. Pero si tenemos una vista un poco más panorámica que estas adecuaciones son insuficientes, por que como en todo lo relacionado con la tecnología, su principal punto de fallo siempre ha sido y al parecer seguirá siendo el factor humano, puesto que somos seres imperfectos y todos estos sistemas, tecnología, información, etc. Siguen siendo controlados, manipulados o 139

141 administrados por seres humanos, de tal manera que rige un papel principal en todo este entorno. En cuanto a esto volvemos a encontrar otro factor que nos indica que tan prioritario es ese factor humano, puesto que las organizaciones u empresas internacionales son las mismas en Europa, América, o cualquier otro conteniente, sin embargo estas no dan los mismos resultados en cualquier parte del mundo y muchas de ellas tienen que ajustarse según las características del país o zona. ITIL y COBIT no son la excepción y por ello es que los resultados no han sido los esperados aquí, la administración ya hecho estudios al respecto y se destacaron algunas características muy singulares en cuento al personal mexicano y la forma en como esta debe de ser administrada, estos puntos son los siguientes: Llegar a tener inicialmente un estilo de liderazgo de dictador benevolente, hasta que los administradores mexicanos alcancen la madurez y ganen confidencia en su estilo administrativo, entonces se podrá tener un estilo más participativo. Esto nos indica que como paso inicial no se someterá a votación, ni se tendrá democracia alguna; sino que se les indicara que deben hacer, es decir, decirles cuales son los planes y proyectos y que parte de ellos les corresponden, en cuanto tiempo deben entregarlos. Sin olvidar mostrarles el beneficio que pueden obtener con todo esto y dando algunas concesiones que les permitan trabajar mejor desde sus sistema de creencias. Por ejemplo: REESTRUCTURACIÓN DE LOS Asignación y uso de SERVICIOS PRIMARIOS sistemas de computo EQUIPO DE TRABAJO 11 Personas (Nombres) FECHAS DE REVISION Día/mes/año; horario FECHA PRELIMINAR DE ENTREGA Día/mes/año; hora FECHA DE ENTREGA FINAL Día/mes/año; hora Tabla 3.56 Ejemplo liderazgo directivo benevolente Correo electrónico 2 personas (Nombres) Día/mes/año; horario Día/mes/año; hora Día/mes/año; hora Acceso a Internet 1 persona (Nombres) Día/mes/año; horario Día/mes/año; hora Día/mes/año; hora Las concesiones o la benevolencia puede ser establecidas desde las cosas que se consideran importantes para los empleados, siempre y cuando con ello se logre comprometer al empleado a desarrollar más y mejor trabajo del planteado inicialmente; por ejemplo se concede el permiso de ausentarse temprano cierto día, siempre y cuando se comprometa a hacer que los cambios sean favorables y estén en tiempo y forma. 140

142 Aprender a controlar lo que se dice, se tiene un alto nivel de orgullo y de deseo para satisfacer y por otro lado tomarían literalmente lo dicho. Esto nos lleva a que los líderes deben forzosamente tener las características necesarias para dicho trabajo y deben ser sensibles con un alto grado de inteligencia emocional, por otro lado para no caer en mal entendidos, todo lo acordado, o en esta primera interacción impuesto debe encontrarse por escrito con suficiente nivel de detalle como para no dejar lugar a la duda, así como especificar un responsable que en caso de duda sobre la interpretación de lo acordado pueda aclarar el enfoque de lo dicho y comprobar que dicho responsable sabe con exactitud cual o cuales son los objetivos de dicho plan o proyecto. Para esto se recomienda: Que los líderes tomen la capacitación necesaria para aprovechar todo lo disponible. Que los líderes cuenten con el perfil requerido. Que los acuerdos escritos se circulen, ya sea impresos o por medios electrónicos a todos los subniveles. Siempre contar con un responsable en cada equipo, tanto para el desempeño de sus actividades como para bajar la información a los subniveles. Dar cumplimientos antes que los criticismos En este punto se caería nuevamente en la inteligencia emocional de los líderes para hacerles notar los errores a los empleados sin hacerles sentir una agresión, ellos nos indican la famosa técnica del sándwich en la que se inicia haciéndole halagos o cumplidos sobre lo que sí ha realizado bien en el trabajo, una vez ganada la confianza y aprecio del empleado se le hace notar sus fallas diciéndoles los puntos que podrían mejorar aún más y finalmente volviendo a algún halago o cumplido para que no le quede la sensación áspera y así desarrollar el deseo de ser cada vez mejor. Sin embargo la capacitación mencionada anteriormente les puede brindar esta y muchas otras técnicas para estar listos ante cualquier posible situación. El conocimiento es respetado en el caso de administradoras femeninas Por la cultura del machismo las mujeres deben dar un esfuerzo doble, ya que antiguamente se creía que eran incapaces para estos trabajos; sin embargo en la actualidad ya se tiene un amplio reconocimiento de su labor, pero aun así esta debe ser demostrada y constatada en múltiples ocasiones de lo contrario no contara con el respeto de los empleados y simplemente 141

143 no obtendrá resultados o bien no los esperados, puesto que las modificaciones no se llevarán a cabo. Pero esto se puede garantizar a través del perfil de contratación de los empleados. Los trabajadores mexicanos dan su lealtad a los administradores como individuos, más que a las organizaciones Según nuestra cultura se ha demostrado que es difícil que las personas se comprometan con una organización ya que carece de apreciación desde un punto vista simple, ya que las organizaciones se les considera entes materiales e inhumanos por lo que no ven retribuida esa lealtad. Sin embargo a serle leal a un individuo, en este caso a un líder si es posible, ya que en algunos de ellos encuentran en algún punto el líder benevolente, que les otorga beneficios cuando así lo requieren y por lo tanto el proporcionales su lealtad si les fructifica. Aunque este es un enfoque bastante austero sobre lo que es una organización y su distanciamiento con la concepción del individuo como ser humano debemos basarnos en estas premisas, ya que son ideas arraigadas por la cultura mexicana y que el luchar por contradecirlas no es algo que se logre en una etapa inicial, sino como nos lo dice el texto hasta que alcanza una madurez administrativa. De tal manera que el primer paso es crearles lealtad con las jerarquías superiores de la organización y posteriormente se migrara a la organización. El trabajo en equipo se desarrolla mejor cuando existe una mayor atmósfera familiar, y por tanto existe un mayor espíritu corporativo. La atmosfera familiar se refiere en cuanto a los roles que se desempeñan dentro de la organización, es decir la convivencia y la confianza se elevan dentro del grupo, se les permite compartir entre ellos experiencias del ámbito personal ( sin descuidar el trabajo), se desarrollan eventos donde puedan interactuar de manera cercana y los lideres fungen el papel de padre y madre de familia, siendo estos los reguladores de su comportamiento y desempeño, teniendo un padre que se impone sin ser injusto y una madre que accede ante suplicas dolosas y que consigue la fidelidad e los empleados, que siempre deberán fungir el rol de hijos. Las relaciones interpersonales son muy importantes. "Si usted reconoce esto y lo tiene como parte de su filosofía operacional, consigue el retorno sobre la inversión La clave de este punto esta primeramente en reconocerlo pero no solamente esto, sino que también hay que hacerles saber como deben de ser estas; es decir la filosofía operacional debe de marcar que las relaciones interpersonales deben ser con ciertas características (cordiales, conociendo a todo el que esté en su equipo, explicándoles como expresarse ante desacuerdos, 142

144 etc.), también que si se conforman equipos de trabajo la relación que sostienen los integrantes determinara el trabajo que desempeñen ( se puede considerar un beneficio el trabajar con un amigo, que será otorgado solo si se garantizan trabajos de excelencia por mencionar algo); si se identificar rivales o relaciones de tención y se ponen a un mismo nivel jerárquico se puede crear un sentido de competencia de tal manera que estas rivalidades o tenciones se manifiesten en el intento de desempeñar mejores trabajos, y así como estos ejemplos muchos más pueden nacer en base al conocimiento y valoración de estas relaciones interpersonales. Se tienen dificultades debido a las tremendas conexiones familiares existentes, pero a medida que se alcanza la madurez, las personas empiezan a crecer y desarrollarse fuera de estos problemas y visualizan otras oportunidades Dicho de otra manera las conexiones familiares no se van a romper solo se van a superar o a resolver para favorecer a la organización y esto no requiere de acciones adicionales, sino que con el avance y progreso en el resto de los puntos se llegara a esto con la madurez. "La fuerza de trabajo es tremendamente a las ideas y tremendamente creativo en todos los niveles" Se deben aprovechar las ideas innovadoras aun cuando estas aparezcan no aceptables en un primer vistazo, debemos utilizar toda esa creatividad para moldearlas y convertirlas en ideas aceptables y factibles para nuestros propósitos, cabe mencionar que no todas serán factibles, sin embrago el simple hecho de descartarlas antes de analizarlas detenidamente evitara el progreso. Es decir vale la pena invertirles esfuerzo y trabajo a todas las ideas creativas algunas de ellas dará buenos resultados. El resto de las características de una cultura organizacional ya están mas o menos planteadas pero dado que como se menciona la lealtad es en el individuo y no en la organización y hasta cambios posteriores se alcanzara la madurez para migrarla a la organización; de igual manera iniciaremos los cambios de la cultura organizacional bajo el mismo esquema partiendo de lo particular que son las características de la cultura organizacional en México, para que cuando alcance un grado de madures aceptable se implementen las características de una cultura organizacional de nivel internacional si es que así conviene en análisis posteriores de no ser así se mantendrá esta cultura hasta que el análisis dicte lo contrario. Y como ya se había mencionado la evaluación de la misma se llevará hasta después de su implementación y experimentación por determinado tiempo; es decir hasta el siguiente ciclo de análisis. 143

145 CONCLUSIONES Los conocimientos y experiencias adquiridas durante el desarrollo de esta trabajo son bastas y significativas para mi desempeño cognitivo y laboral por lo que asumo que a alguien más le servirá. En primer lugar pude observar una serie de diferencias que marcan a nuestro país y en general a América latina del resto de los países; con frecuencia tendemos a ver nuestros defectos pero pocas veces apreciamos nuestras virtudes, por ejemplo es fácil ver y apreciar que no contamos con el nivel organizacional de países supe desarrollados, pero pocas veces observamos el hecho de que nuestra creatividad supera cualquier barrera que haya sido impuesta, incluso en el aspecto económico que es del que más padecemos. Otro claro ejemplo es que aun cuando apreciamos mucho las relaciones sociales, siempre las consideramos una desventaja, un elemento que se limita nuestro crecimiento, ya que con frecuencia se escucha decir no lo hice por mi familia o porque es mi amigo, etc. sin embargo también podría ser un beneficio sabiendo manejarlo y controlarlo para así decir lo hice por ellos y quitarle el no. Con todo esto lo que pretendo es hacer ver que la administración informática, no se trata solo de organizar o de identificar las deficiencias; sino más bien se trata de pensar en positivo. Qué si se tiene?, Cómo si se puede lograr?, Por qué si intentarlo?, etc. y en esto se podría reducir toda lo plateado en la cultura organizacional estudiada en el caso de México, es decir, darnos cuenta que no hay nada de malo con nuestra cultura, lo malo es la actitud con que lo tomamos; sin en cambio en la cultura organización radica en hacer creer que si se pueden lograr todas las metas objetivos planteadas por la organización. Esto no es tarea sencilla ya que son creencias mal fundamentadas de muchos años, pero nada que no se pueda lograr con un buen líder y sobre todo con la administración adecuada. Los líderes como ya se sabe son natos o bien se forman, y la manera más fácil de conseguir uno es formándolo. Suele ser subestimada esta tarea, ya que se cree de manera empírica que solo consiste en mandar o mejor dicho dirigir, pero una vez analizados todos los aspectos mencionados más que un impositor, sería un experto negociador, puesto que debe simular que sede cuando en realidad todo el tiempo está calculando que, el beneficio obtenido sea mucho mayor que el costo implicado, y que se va a hacer más con menos, y no obstante garantizar que ciertos puntos inflexibles (objetivos y metas) se llevarán a cabo bajo convencimiento. De tal manera que si el líder es incapaz o incompetente la probabilidad de tener un bajo rendimiento en la organización es muy alto. Pero muy pocas organizaciones están dispuestas en invertir en la formación, actualización y complementación de sus líderes. Po lo que si hay buenos líderes se tendrán buenos trabajadores y es fundamental invertir en ello, el beneficio adquirido será mayor que el que se invierta en cualquier otra sección. 144

146 Y por otro lado se debe tener la administración adecuada, por eso es que ITIL y COBIT son ideales ambas han sido comprobadas en múltiples ocasiones, han obtenido resultados que superaron las expectativas y contienen un nivel de detalle suficiente para cualquier organización y se complementan perfectamente. El único displicente que tenía para su utilización en Latinoamérica era la gran diferenciación que existe entre una empresa u organización de aquí con respecto a las de las potencias mundiales y por ello en este trabajo se trató de conciliar todas estas diferencias, y al decir se trató y hago el hincapié es debido a que solo se desarrolló la primera actividad o proceso del modelo diseñado. Este match entre las dos metodologías implico no solo el análisis de las mismas, sino también la consideración de que nuestras organizaciones no son de la misma magnitud, y por lo tanto no podemos esperar el mismo nivel de detalle, además que las organizaciones de gobierno tiene una burocracia característica de nuestro país. De tal manera que lo más complejo no consiste en disminuir el nivel de detalle, sino hacerlo sin que se pierda ninguna de sus características funcionales. Ya que la correcta aplicación de estos modelos, implica una holística impecable entre la administración y la informática, puesto que la administración generalmente maneja la tecnología como un bien más dentro de la organización y para la informática la administración es un proceso implícito que no requiere gran explicitación. Cuando conjuntamos estas dos se tiene que reconocer que la tecnología dejo de ser un simple bien de la organización para convertirse en uno de los motores que articulan toda administración, así como la fuerza operaria dentro de ella, es el valor agregado, la diferenciación en el mercado, el progreso y el avance, el camino a una nueva civilización. Y por otro lado también se tiene que aceptar que la administración no puede ser solo un proceso implícito, sino que es una ciencia que se encarga de hacer el trabajo base, como la mente de un cuerpo en el que se crean las ideas y en cada una de las actividades no puede desaparecer porque cada vez que se experimenta algo necesita aprender y de esta depende hacerse cada vez más inteligente. Con la administración se piensa y se experimenta, pero la única forma de hacer que este aprendizaje sea perdurable a fin de conseguir una inteligencia es con el uso de la tecnología, de otra manera este conocimiento se pierde de por el factor humano o bien puede ser mal interpretado, y la tecnología lo hace duradero y puede generar inferencias lógicas con bases bien fundamentadas y con una mínima probabilidad de fallo. 145

147 Esta holística se extiende a todas las áreas de la organización, sin embargo con este modelo se puede ver como encajan de manera perfecta la administración y la informática y porque este modelo se encuentra bien articulado. Durante el análisis en la UDI de este modelo se pudo observar que generalmente en las organizaciones la documentación es nula, tenemos la tendencia de almacenar todo en nuestra memoria, sin hacer uso de la tecnología para almacenarla, en algunos casos se llega a generar algún documento pero como es natural con el paso del tiempo esta se deteriora o se extravía, dejando los mismo huecos de información. Para la UDI se dijo que nunca existió dicha documentación, sin embargo el cambio de administraciones imposibilita el ratificar dicho hecho y es algo muy frecuente, si todos los planes se documentaran a parte de ejecutarse se contarían con varias ventajas, por ejemplo, se tendría la oportunidad de rectificar ya que es mas fácil ver cuando algo no es lógico o no concuerda con el resto de los planes, por otro lado se cuenta con la posibilidad de que alguien mas le de continuidad a los planes y no que todo ese trabajó se pierda a lo largo del tiempo, además de que es mas accesible tanto para el entendimiento de los demás como para su distribución, lo que genera que mas de una persona pueda verlo analizarlo, generando mejores oportunidades y entrando en un ciclo de mejora continua. No importa tanto el tamaño de la organización como la forma en que esta se administra, se presupone que a menor escala de la organización se requiere menor administración sin embargo, este caso práctico nos muestra que en una organización pequeña con gran demanda también es indispensable la organización. Por otro lado las organizaciones o áreas dedicadas a la informática tienen características muy particulares, por ejemplo los dispositivos generalmente son proporcionados por rangos jerárquicos y no por la utilidad que se les da, este es uno de los tanto errores frecuentes que se tienen, ya que un dispositivo se aprovecha mas por quien mas lo usa para fines de la organización. Ese es otro punto a considerar que estos dispositivos sufren un desgaste con el uso y con el tiempo, así como una depreciación por lo que no deberían ser usados más que para los fines de la organización. Todos estos aspectos y muchos mas son de los que no se consideran pero el modelo va mas halla de la repartición de bienes, también se consideran el valor agregado que le da la tecnología a una organización. Es decir, todos sabemos que la tecnología implica un costo, pero no siempre consideramos que aumente el valor de una organización y que genera un valor extra en cada servicio proporcionado o bien en cada producto generado, cuando estos valores se consideran se deja de ver la tecnología como un gasto para convertirse en un beneficio que requiere de cierta 146

148 inversión. Pero que tanto es ese valor que se le agrega. Ese es un cálculo muy preciso y que puede determinar precios, ganancias, tiempos de recuperación de la inversión, etc. Y aunque resulta una tarea bástate laboriosa, vale la pena puesto que no se puede valoro aquello de lo cual desconocemos su valor y es una de las principales razones por las cuales se tiende a subestimar las adquisiciones tecnológicas. Por otro lado las adquisiciones, no siempre son posibles, ya que como en el caso de la UDI los recursos en general se encuentran muy limitados, pero si se logra la maximización de los mismos y no solo eso sino la generación de nuevos recursos a partir de los ya obtenidos con anterioridad, cabe mencionar que no es equipo muy moderno o sofisticado, sin embargo la tecnología aun cuando su tiempo de vida útil teórico halla concluido generalmente el buen uso y el conocimiento de las características de este prolonga esta vida, obteniendo incluso mas de lo esperado, pero claro bajo la administración adecuada. Además se encontraron cosas como el hecho de que una unidad informática no este automatizada, pareciera ilógico pero casos como este existen múltiples, ya que el contar con la tecnología no implica que se aproveche al máximo o que se conozca cual es su mejor uso o como reducir tiempos y aumentar calidad con el; todo esto y otros tantos aprendizajes mas se pudieron extraer de este trabajo. Pero en si todo esto es a fin de recalcar la importancia de implementar una metodología de administración informática, trae con si mas beneficios que el costo de su realización, sin importar el tamaño de la organización y además según la medición de la solución da muy buenos resultados y con las adecuaciones desarrolladas y la conjugación de estas metodologías complementarias seria ideal para cualquier pequeña o mediana organización, tal y como se mostro en el caso practico de la UDI en este trabajo. Generalmente se tendrá que partir de cero pero una vez hecho este trabajo el resto se generara de un manera muy lógica proporcionando tal y como se muestra en la metodología las entradas para el siguiente proceso o actividad, lo mas importante considero yo es no perderse, cuando se encuentre una ausencia de información, ya que aunque parezca imposible conseguirla, siempre habrá una manera de simularla, estimarla o aproximarla. Ya que una vez que se tiene un valor cercano en una primer interacción se podrá precisar en las siguientes y además no es valido de partir de información errónea, si se considera que existe la posibilidad de que los datos sean falsos bien vale la pena realizar nuevamente la investigación ya que el primer proceso o actividad en la raíz para los siguientes y como estos generan las entradas para el siguiente; una entrada falsa haría que todo el modelo continuara como una bola de nieve haciendo errores fatales que desembocarían en errores fatales. Por eso es tan importante un trabajo bien hecho. 147

149 REFERENCIAS BIBLIOGRAFICAS Majid Iqbal, Michael Nieves, ITIL Service Lifecycle, ver.3, Reino Unido, 2007 Majid Iqbal, Michael Nieves, ITIL Service Strategy, ver.3, Reino Unido, 2007 Majid Iqbal, Michael Nieves, ITIL Service Design, ver.3, Reino Unido, 2007 Majid Iqbal, Michael Nieves, ITIL Service Transition, ver.3, Reino Unido, 2007 Majid Iqbal, Michael Nieves, ITIL Service Operation, ver.3, Reino Unido, 2007 Majid Iqbal, Michael Nieves, ITIL Continual Service Improvement, ver.3, Reino Unido, 2007 Alexander Zapata, Roberto Soriano, COBIT, ver. 4.1, Estados Unidos, 2007 Jorge Etkin, Leonardo Schvarstein. Identidad de las organizaciones. Invarianza y cambio. Paidos, Buenos Aires 4ª reimpresión 1997 Edgar H. Schein, La cultura empresarial y el liderazgo: una visión dinámica. Plaza & Janés, "Schein, E.H. " Psicología de la organización "Prentice Hall, México" 1988 Guy Peters B., La política de la democracia, FCE, México, 1999 Urrea Galindo Fernando, Arango Gaviria Luz Gabriela, Innovación y cultura de las organizaciones en tres regiones de Colombia, Tercer mundo editores, Bogotá, 2000 Hall, H. Richard. Organizaciones: estructura y proceso. Madrid, Prentice Hall International, en_la_efectividad_de_la_implementaci%c3%b3n_de_itil_usando_la_herramienta_de_evaluaci%c3% B3n_Quint_Quest/2174,143,25/ sbank/ organizacional.htm Organizacional-En-Mexico%2F43086.html

150 ganizacional_4.htm /default2.asp vo

151 Tabla 1.1 Core guide Tabla 1.2 Administración de catalogo Tabla 1.3 Administración de catálogo 2 Tabla 1.4 Coloquio en Madrid Tabla 1.5 Contenidos COBIT Tabla 1.6 Dominios y fases de COBIT Tabla 1.7 Marco de trabajo Tabla 1.8 Controles de procesos Tabla 1.9 Holística de los controles Tabla 1.10 Herramientas de medición Tabla 2.1 Proceso administrativo e ITIL Tabla 2.2 Estrategia de servicios Tabla 2.3 ITIL y la reingeniería de procesos Tabla 2.4 ITIL y COBIT Tabla 2.5 Fase 1 Tabla 2.6 Fase 2 Tabla 2.7 Fase 3 Tabla 2.8 Fase 4 Tabla 2.9 Entrada 1 Tabla 2.10 Actividad o proceso 1 Tabla 2.11 Salida 1 Tabla 2.12 Entrada 2 Tabla 2.13 Actividad o proceso 2 Tabla 2.14 Salida 2 Tabla 2.15 Entrada 3 Tabla 2.16 Actividad o proceso 3 Tabla 2.17 Salida 3 Tabla 2.18 Entrada 4 Tabla 2.19 Actividad o proceso 4 Tabla 2.20 Salida 4 Tabla 2.21 Entrada 5 Tabla 2.22 Actividad o proceso 5 Tabla 2.23 Salida 5 Tabla 2.24 Entrada 6 Tabla 2.25 Actividad o proceso 6 Tabla 2.26 Salida 6 Tabla 2.27 Entrada 7 Tabla 2.28 Actividad o proceso 7 Tabla 2.29 Salida 7 Tabla 3.1 Muestra HW Tabla 3.2 Depreciación del equipo Tabla 3.3 Tamaño de muestra Tabla 3.4 Personal Tabla 3.5 Costos Tabla 3.6 matricula UPIICSA Tabla 3.7 Costo anual Tabla 3.8 Licitación Tabla 3.9 Características del proceso Tabla 3.10 Medibles y controlados INDICE DE TABLAS 150

152 Tabla 3.11 Resultados específicos Tabla 3.12 Entregados al consumidor Tabla 3.13 Responden a un evento especifico Tabla 3.14 Los más distintivos Tabla 3.15 Los más rentables Tabla 3.16 Los más satisfechos Tabla 3.17 Los clientes más rentables Tabla 3.18Requisitos de TI Tabla 3.19 Datos 1 Tabla 3.20 Datos 2 Tabla 3.21 Datos 3 Tabla 3.22 Equipo 1 Tabla 3.23 Equipo 2 Tabla 3.24 Equipo 3 Tabla 3.25 Equipo 2.1 Tabla 3.26 Equipo 2.2 Tabla 3.27 Equipo 2.3 Tabla 3.28 Software 1 Tabla 3.29 Software 2 Tabla 3.30 Software 3 Tabla 3.31 Software 2.1 Tabla 3.32 Software 2.2 Tabla 3.33 Software 2.3 Tabla 3.34 Personal 1 Tabla 3.35 Personal 2 Tabla 3.36 Personal 3 Tabla 3.37 Personal 2.1 Tabla 3.38 Personal 2.2 Tabla 3.39 Personal 2.3 Tabla 3.40 Criterios de la información Tabla 3.41 Utilidad y ganancia Tabla 3.42Proveedores Tabla 3.43 Capacidad actual Tabla 3.44 Administración de la demanda Tabla 3.45 F.33 los más distintivos Tabla 3.46 F.33 los más rentables Tabla 3.47 F.33 los más satisfechos Tabla 3.48 F.33 los más rentables Tabla 3.49 F.33 los más distintivos y eficaces Tabla 3.50 Recomendaciones Tabla 3.51 Propuesta Tabla 3.52 Matriz 1 Tabla 3.53 Matriz 2 Tabla 3.54 Matriz 3 Tabla 3.55 Medición Tabla 3.56 Ejemplo liderazgo directivo benevolente 151

153 INDICE DE FIGURAS Imagen 1.1 Proceso administrativo Imagen 1.2 Ciclo de vida de Deming (Majid, Nieves, 2007) Imagen 1.3 Elementos del ciclo de vida (Majid, Nieves, 2007) Imagen 1.4 Estrategia de servicio 1 Imagen 1.5 Control del feedback (Majid, Nieves, 2007) Imagen 1.6 Estrategia de servicios 2 Imagen 1.7 Cartera de servicio (Majid, Nieves, 2007) Imagen 1.8 Catálogo de servicios (Majid Iqbal y Michael Nieves, service lifecycle, pag.32) Imagen 1.9 Estrategia de servicios 3 Imagen 1.10 Diseño de servicios (Majid, Nieves, 2007) Imagen 1.11 Diseño de servicios 1 Imagen 1.12 Diseño de servicios 2 Imagen 1.13 Catálogo de servicios Imagen 1.14 Monitoreo Imagen 1.15 Administración de capacidades (Majid, Nieves, 2007) Imagen 1.16 Diseño de servicios 3 Imagen 1.17 Transición de servicios 1 Imagen 1.18 Transición de servicios 2 Imagen 1.19 Transición de servicios 3 Imagen 1.20 Operación de servicios 1 Imagen 1.21 Transición de servicios 2 Imagen 1.22 Operación de servicios 3 Imagen 1.23 Reingeniería de procesos Imagen 1.24 Metas de negocio y de TI (Zapata, Soriano, 2007) Imagen 1.26 Modelo1 (Zapata, Soriano, 2007) Imagen 1.27 Modelo2 (Zapata, Soriano, 2007) Imagen 1.28 PO1 Imagen 1.29 PO2 Imagen 1.30 PO3 Imagen 1.31 PO4_1 Imagen 1.32 PO4 Imagen 1.33 PO5 Imagen 1.34 PO6 Imagen 1.35 PO7 Imagen 1.36 PO8 Imagen PO9 Imagen 1.38 PO10 Imagen 1.39 AI1 Imagen 1.40 AI2 Imagen 1.41 AI3 Imagen 1.42 AI4 Imagen 1.43 AI5 Imagen 1.44 AI6 Imagen 1.45 AI7 Imagen 1.46 DS1 152

154 Imagen 1.47 DS2 Imagen 1.48 DS3 Imagen 1.49 DS4 Imagen 1.50 DS5 Imagen 1.51 DS6 Imagen 1.52 DS7 Imagen 1.53 DS8 Imagen 1.54 DS9 Imagen 1.55 DS10 Imagen 1.56 DS11 Imagen 1.57 DS12 Imagen 1.58 DS13 Imagen 1.59 ME1 Imagen 1.60 ME2 Imagen 1.61 ME3 Imagen 1.62 ME4 Imagen 2.1 Elementos del proceso de negocio Imagen 2.2 Relaciones entre actividades y recursos Imagen 2.3Relacion entre una actividad y múltiples recursos Imagen 3.1 Grafica 1 Imagen 3.2 Acceso a internet Imagen 3.3 Asignación y uso de sistemas de computo Imagen 3.4 Correo electrónico 153

155 Anexo 1: Tipo y finalidad de los servicios RELACIÓN DE ANEXOS Anexo 2: Cartelera de servicios, administración del portafolio de servicios, administración financiera Anexo 3: Administración del catalogo de servicios Anexo 4: Actividades clave en el proceso de SLM, PKI s Anexo 5: Proceso de ITSCM Anexo 6: Sistema de administración de la seguridad de la información (ISMS) Anexo 7: Administración de problemas Anexo 8: Administración de aplicaciones, operación de servicios y administración de proyectos, evaluación y administración de proyectos, diseño de servicios y transiciones Anexo 9: Guía complementaria Anexo 10: Encuestas a la UDI Anexo 11: Licitaciones Anexo 12: Misión, visión, UPIICSA-IPN Anexo 13: Organigrama UPIICSA Anexo 14: Razones de éxito y plusvalía de ITIL Anexo 15: Características de los procesos administrativos en ITIL Anexo 16: Tareas de los departamentos Anexo 17: Requerimientos de los servicios Anexo 18: Planeación y organización, Adquisición e implementación, Entrega y soporte, Monitoreo y evaluación COBIT 154

156 ANEXO 1 ANEXOS Tipo 1- Servicios internos. Proveen las funciones típicas para el negocio para servir a sus propias unidades. Son para el uso exclusivo de los empleados y trabajadores de la organización o negocio. Tipo 2- Servicios compartidos Funciones del negocio como finanzas, TI, recursos humanos, logística. Son el enlace entre la organización o negocio y los consumidores, proveedores y demás entes externos. Tipo 3- Servicios externos Puede ofrecer precios competitivos y manejar costos bajos para consolidar la demanda. Son los que tienen trato directo con aquellos que nos proveen y nos consumen, así como con el contexto que rodea al negocio como es su mercado, su competencia, etc Finalidad de los servicios La finalidad de los servicios tiene dos características principales: Utilidad- El consumidor la percibe como atributos del servicio y tiene efectos positivos. Garantía- Es derivada de los efectos positivos y comienza a ser una necesidad que se exige tanto en capacidad y magnitud. La finalidad de los servicios son proporcionar recursos y capacidad que combinados en varias direcciones nos dan como resultado la utilidad y la garantía de los servicios. Los recursos son entradas directas para la producción, administración, organización, el personal y conocimientos que posteriormente son usados para transformar estos recursos. Y las capacidades representan en una organización la habilidad de coordinar, controlar y desarrollar recursos para agregar valor al negocio Definiendo el mercado Se basa en los resultados del negocio ( que produce o que servicios otorga?) y en la facilidad para proporcionar el servicio ( Hasta dónde puede abarcar su mercado?). ANEXO 2 Definición: inventar servicios, asegurar los casos del negocio, y validar la cartera de datos. 155

157 Análisis: minimizar el valor de la cartera alineada a la demanda; balanceando y priorizando. Aprobación: finalizar la cartera propuesta y someter a autorización los servicios y recursos. Autorizar: Comunicar la decisión, asignar los recursos y autorizar los servicios Administración del portafolio de servicios La administración del portafolio de servicios se lleva a cabo en base a la estrategia de servicios, ya que en base a esta estrategia se definen tanto los inventarios como los posibles casos del negocio. Posteriormente se realiza un análisis de estos servicios para determinar cuáles son las proposiciones de valor, es decir cuáles de estos me dan un valor agregado ya sea a mi negocio o a mis servicios directamente y por lo tanto se les asigna una prioridad para determinar a cuales se les debe prestar más atención o cuidado. El siguiente paso es aprobar mediante una validación los servicios que conformaran el portafolio y por lo tanto generar las autorizaciones correspondientes. Y finalmente se da la tarea de transmitir que consiste en difundir o comunicar lo establecido y lo autorizado, así como proveer los recursos que sean necesarios. 156

158 Imagen 2.8 Portafolio de servicios (Majid, Nieves, 2007) Y como se puede observar en la imagen este es un ciclo ya que es un proceso constante de evolución en el que día a día las demandas y ofertas del mercado van cambiando y los servicios de TI tienen que irse adaptando a él a la mayor velocidad posible pero sin arriesgar demasiado al negocio. SERVICIOS EXTERNOS Estos servicios son proporcionados por un ente fuera de la organización para realizar actividades dentro de la organización y estas actividades que realizan generan un valor para la organización. Sin embargo la contratación de servicios externos debe estar bien sustentada ya que debemos evitar la generación de riesgos al máximo, esto se encuentra ampliamente definido en los niveles de servicio en la norma ISO/IEC SERVICIOS INTERNOS Estos servicios se refieren a aquellos que sirven a procesos dentro de la organización y no tienen contacto con los consumidores, proveedores o cualquier otro ente externo un ejemplo de este tipo de servicios podría ser el pago de nómina, ya que este servicio solo sirve a los entes dentro de la organización y no tiene relación directa con los entes externos, además de que es fundamental para la funcionalidad de la organización. SERVICIOS COMPARTIDOS Los servicios compartidos son aquellos que como su nombre lo indica sirven tanto a entes externos como internos de la organización, como por ejemplo un servicio de telecomunicaciones, tendrá que prestar este servicio para comunicar tanto a consumidores como a los propios empleados de la organización. RETORNO DE LA INVERSION- ROI (RETURN ON INVESTMENT) El propósito de calcular en cuento tiempo recuperaremos los fondos invertidos es medir la habilidad que tiene la organización de generar valor. Y aunque este no es un cálculo exacto, es decir, el cálculo es un tanto ideal y constantemente difiere de la realidad, algunas ocasiones en proporciones mínimas y otras converge totalmente por situaciones inesperadas dentro del mercado, por lo que incluso en esas diferencias mínimas no es exacto con respecto a la realidad. Sin embargo, si nos puede proporcionar un buen pronóstico de lo que podemos esperar en cuanto a la generación de valor adicional para la organización a futuro Administración Financiera 157

159 Es una herramienta que es igualmente aplicada a los tres tipos de servicios, provee una cuantificación del negocio y de las TI en términos financieros, así como el valor de los servicios de TI. Se documenta y se acuerda sobre el valor que empiezan a recibir los servicios y habilita el modelado y administración de la demanda de los servicios. La planeación nos proporciona una traducción y cualificación de la demanda esperada de los servicios TI. La planeación puede dividirse en tres aéreas principales, en las cuales cada una de ellas nos presenta resultados de tipo financiero y que son necesarias para continuar con las siguientes etapas de los servicios, estas tres áreas son: 1. Los procesos de planeación de operaciones y de capital. Dándole un mayor peso a la comunicación de los cambios esperados tanto en los procesos como en el capital de TI. 2. La demanda. Ya que sin ella no tendríamos la necesidad de usar los servicios TI 3. La reglamentación y los ambientes relacionados con la planeación. Proporcionan estándares de valoración de los servicios Evaluación de los Servicios Consiste en asignarle un valor monetario a los servicios, provocando un impacto en los consumidores y recogiendo la respuesta de los mismos para la implantación de nuevos ser o bien la reorganización de los mismos. Costos de las licencias de Hardware y Software Tasas de mantenimiento anual de hardware y software Recursos de personal usados en el soporte o mantenimiento de un servicio Cargos de utilización del centro de datos u otras instalaciones Cargos de intereses, capitales o impuestos Costos de conformidad Costos Variables Se enfocan en analizar y entender la múltiple variedad que impacta a los costos de los servicios como: Número y tipo de usuarios 158

160 Número de licencias de software Costos por operación de los centros de datos Mecanismos desarrollados Número y tipo de recursos Costos de agregar más dispositivos de almacenamiento Costos por agregar más licencias de usuario final ANEXO Actividades principales en el proceso de administración del catálogo de servicios Acordar y documentar la definición de servicios y todas sus partes relevantes Administración del portafolio de servicios Interfase A Interfase B Portafolio de servicios Catálogo de servicios Interfase C Imagen 2.13 Catálogo de servicios Producir y mantener el catálogo de servicios y contenerlo en el portafolio de servicios El catálogo de servicios con sus dependencias tal como se muestra en la imagen: Imagen 2.15 Catálogo de servicios 2 159

161 El catálogo de servicios técnicos y sus dependencias como se muestra en la imagen: Imagen 2.16 Catálogo de servicios técnicos Las interfaces y sus implicaciones: Imagen 2.17 Interfaces Elementos del catálogo de servicios Imagen 2.18 Catalogo de servicios3 (Majid, Nieves, 2007) 160

162 ANEXO Actividades clave en el proceso de SLM Determinar, negociar y documentar los SLR s, al igual que sus modificaciones. Así como administrar y revisar el ciclo de vida de los SLA s Monitorear y medir la ejecución de todos los servicios operacionales y los objetivos de la los SLAs Comprar, medir y proveer al consumidor satisfacción Producir reportes de los servicios Conducir la revisión de servicios y fomentar los Planes o Programas de Mejora de Servicios (SIP) Revisar los SLAs, el alcance de los servicios OLA (Acuerdos del nivel Operacional), contratos y cualquier otro acuerdo. Desarrollar y documentar relaciones entre el negocio, consumidores y consumidores potenciales Crear, implantar y mantener procedimientos para resolver quejas y buscar su cumplimiento (resolución) Buscar y administrar todas las quejas y su resolución Proveer la apropiada administración de la información para favorecer la ejecución de los servicios Mantener habilitados y actualizados la documentación de los SLM y sus estándares Entre las opciones se puede incluir: Servicio base SLA: un servicio para todos los consumidores de este servicio. Consumidor base SLA: acuerda con un solo consumidor o un grupo de consumidores los servicios que ellos usan. Multi nivel SLA: Pueden adoptarse diferentes estructuras, por ejemplo: Nivel corporativo: cubren todos los SLM apropiados para cada consumidor. 161

163 Nivel consumidor: cubren todos los SLM relevantes para un grupo particular de consumidores o unidad de negocio. Nivel servicio: cubren todos los SLM relevantes para un servicio específico Indicadores clave de la ejecución (PKI s - PERFORMANCE KEY INDICATORS) Son usadas para medir la eficiencia y efectividad de las actividades SLM y progreso de las SIP (programas de mejora de servicios). Estas métricas pueden ser desarrolladas por los servicios, los consumidores, y la perspectiva del negocio y pueden cubrir subjetiva y objetivamente las siguientes mediciones: Objetivas: Número o porcentaje de objetivos de servicios conseguidos Número y severidad de servicios incumplidos Número de servicios con SLAs actualizadas (al día) Numero de servicios con reportes a tiempo y activas revisiones de servicios Subjetivas: Proveer la satisfacción del cliente (Majid, Nieves, 2007) ANEXO Procesos de ITSCM Acuerdo de alcances de los procesos de ITSCM y las políticas adoptadas Análisis de Impacto del Negocio (BIA) que cuantifica el impacto que podría tener en el negocio la pérdida de los servicios TI Análisis de riesgos: identifica riesgos y evalúa riesgos identificando potenciales amenazas y que pasaría se hicieran reales esas amenazas. Incluye medidas para administrar la identificación de amenazas y cuando estas pueden ser un costo justificable Producir estrategias de ITSCM y se pueden integrar las estrategias de BCM (Business Continuity Management). Esto puede producir el seguimiento hasta incluir elementos de reducción de riesgos así como una selección apropiada y comprensiva de opciones de recuperación 162

164 Producir un plan de ITSCM con el que se pueden integrar los planes de BCM Probar los planes Poner en marcha la operación y mantenimiento de los planes (Majid, Nieves, 2007) La continuidad de servicios es implementada y administrada en cuatro etapas: 1. Inicialización: establecimiento de políticas, definición de alcances y términos, proyección de planes y asignación de recursos. 2. Requerimientos y estrategias: Análisis del impacto del negocio y pronóstico de riesgos. 3. Implementación: Ejecutar la medición de reducción de riesgos, opciones de recuperación, pruebas y planes 4. Puesta en marcha de la operación: Dar a conocer el plan de control de cambios de ITSCM y probar sobre la marcha. (Majid, Nieves, 2007) ANEXO 6 Control. Los objetivos de los elementos de control de la ISMS son: Definir y administrar tanto los grupos de trabajo como la seguridad de la información. Establecer una estructura organizacional que prepare, apruebe e implemente las políticas de seguridad de la información Asignar responsabilidades Establecer y controlar la documentación Planeación. El objetivo que persigue es idear y recomendar el nivel óptimo de seguridad, con base a los requerimientos organizacionales. Estos requerimientos pueden ser extraídos de fuentes como: el negocio, los riesgos de los servicios, planes y estrategias, SLAs y OLAs, responsabilidades, cultura y la actitud de la seguridad en la organización. Implementación. Lo que busca es asegurar que las políticas planteadas se lleven a cabo y se cumplan según lo establecido en las mismas, así como poner a disposición de los responsables de los servicios todas las herramientas, materiales, procedimientos y controles para el logro de objetivos. Entre las mediciones están: La responsabilidad de los activos: La configuración de los CMS (administración continua de los servicios) involucrados. Clasificación de la información: Los almacenes de información deben ser clasificados de acuerdo a la sensibilidad y el impacto de la información. 163

165 El éxito de la implementación de la medición y los controles de seguridad depende de los siguientes factores: El acuerdo y determinación de políticas acordes a las necesidades del negocio Procedimientos de seguridad justificados, aprobados y soportados por administradores de alto nivel Mercadeo efectivo y educación en requerimientos de seguridad Un mecanismo para mejorar Evaluación. Los objetivos de la evaluación son: Supervisar y checar el cumplimiento de las políticas y requerimientos de seguridad en los SLA s y OLA s Revisar de manera inesperada la seguridad técnica los sistemas TI Proveer información a los autores y reguladores externos si lo requieren Mantenimiento. Sus objetivos son: Dar especificaciones sobre los acuerdos de seguridad, por ejemplo SLAs y OLAs Implementar medidas y controles de seguridad Esto se puede conseguir usando un ciclo PDCA (Plan-do-check-act) planea, hazlo, chécalo y actúa, que es una forma sugerida por la ISO para el establecimiento de la ISMS o grupos de trabajo Cuando se presenta una amenaza hablamos de un incidente de seguridad. Y existe una gran probabilidad de que algo pueda salir dañado y tiene que ser reparado o corregido. La forma de medir esto depende de la importancia de la información atacada Tipos de incidentes de seguridad Preventivo: el mejor ejemplo es la restricción de accesos eso incluirá control de accesos correctos, autorizados, identificación, autentificación y control de acceso Reducible: por ejemplo hacer resguardos regulares, pruebas, mantenimiento y planes de contingencia Detectable: ejemplos procedimientos e alerta y software antivirus Reprensible: ejemplo una dirección de red temporalmente bloqueada puede ser que sean erróneos varios números de PIN Correctivo: ejemplo hacer uso de los respaldos o regresar a un punto anterior de configuración estable 164

166 ANEXO Administración de problemas Para ITIL el desconocimiento de las causas de uno o más incidentes representa un problema. La administración de problemas consiste en prevenir problemas y los incidentes que estos implican, y pretende eliminar incidentes recurrentes, así como minimizar el impacto de los incidentes que no se pueden prevenir. ANEXO Administración de aplicaciones La administración de aplicaciones juega un papel importante en el rol de diseño, pruebas e implementación de aplicaciones por parte de los servicios TI. La administración y las aplicaciones juegan un papel dual: A la administración de aplicaciones le conciernen dos tipos de conocimientos que son los técnicos y los expertos; toma el conocimiento requerido que ya fue previamente diseñado, probado, y manejado, y mejora los servicios TI. Proporciona los recursos actuales que soportan el ciclo de vida el ITSM. Asegura que los recursos son bien proporcionados y utilizados para su diseño, construcción, transición, operación. Adicionalmente a estos dos roles de alto nivel la administración de aplicaciones ejecuta estos dos roles específicos: Dar guías de operaciones TI de cómo es la mejor forma de llevar a cabo la administración de operaciones de aplicaciones. Este rol es particularmente llevado por el proceso de diseño de servicios, pero esto es solo una parte de la comunicación diaria con la administración de operaciones TI como buscar lograr estabilidad y optimizar la ejecución. La integración del ciclo de vida de la administración de aplicaciones en el ciclo de vida ITSM Operación de servicios y administración de proyectos Porque la operación de servicios es generalmente es vista como el negocio usual y frecuentemente se enfoca en la ejecución de procesos definidos en un estándar, esta es la tendencia de no usar el proceso de administración de proyectos cuando pueden apropiársela. 165

167 Usando la administración de proyectos para manejar este tipo de actividades puede tener los siguientes beneficios: Los beneficios el proyecto pueden ser claramente declarados y acordados Es más visible donde y como inicia la administración, haciendo esto más fácil para otros grupos de TI y la calidad de las contribuciones hechas para equipos operacionales del negocio Hace fácil el obtener los fundamentos para los proyectos que tradicionalmente son difíciles de justificar sus costos Mayor consistencia y calidad Logro de objetivos con resultados más creíbles para los grupos de operacionales Evaluación y administración de riesgos en operación del servicio Con frecuencia es necesario realizar evaluaciones de riesgos de la operación de servicios y necesitan ser llevados a cabo a la mayor prontitud. Lo más obvio es la evaluación de riesgos de cambios potenciales o errores conocidos, pero adicionalmente el personal de operación de servicios puede ser involucrado y evaluado en los riesgos e impactos de: Fallas o potenciales fallas,- reportes por administración de eventos o administración de problemas/incidentes, o advertir el aumento de manufactura, proveedores o contratos. Nuevos proyectos que darán como último resultado entregas en la vida de desarrollo Medio ambiente de riesgos (los servicios de TI se encuentran continuamente con diferentes tipos de riesgos, ya sean del ambiente físico, de las políticas locales, o riegos relacionados con el comercio o la industria) Los proveedores particularmente cuando son nuevos o se envuelven en componentes de un servicio clave se encuentran bajo control de una tercera parte Riesgos de seguridad- pero sugerida teórica o actualmente por eventos o incidentes relacionados con la seguridad Nuevos consumidores o servicios que serán soportados 166

168 Personal operacional en diseño de servicios y transiciones Todos los grupos de TI serán envueltos durante el diseño de servicios y la transición de servicios para asegurar que los nuevos componentes o servicios serán diseñados, probados e implementados para proporcionar los niveles correctos de funcionalidad, usabilidad, accesibilidad, capacidad, etc. Adicionalmente el personal de operación de servicios será envuelto durante las etapas tempranas de diseño de servicios y transición de servicios para asegurar que cuando el nuevo servicio aparezca en el desarrollo se para el propósito de la perspectiva de la operación de servicios y sea soportable en un futuro. Es este contexto soportable significa: Capaz de empezar a soportar en un punto de vista técnico y operativo mientras existan o pre acuerden recursos adicionalmente y niveles de destreza. Sin impacto adverso o en otras prácticas, procesos o programas operacionales o técnicos existentes Sin esperar ningún costo operacional, en marcha o incrementar el soporte dado. Sin esperar ninguna complicación legal o contractual Sin soportes complejos entre múltiples departamentos de soporte o terceras partes de la organización ANEXO GUIA COMPLEMENTARIA ITIL Y OTROS GRUPOS DE TRABAJO, PRÁCTICAS Y ESTANDARES ITIL y otros grupos de trabajo tienen una solida armonía y pueden coexistir en una organización conociendo el rango de administración de servicios necesario. Los siguientes son los más conocidos grupos de trabajo y estándares que tienen sinergia con ITIL: COBIT ISO/IEC ISO/IEC ISO/IEC 19770:

169 Administration de riesgos Administración de proyectos CMMI Six Sigma ANEXO 10 PROCESOS RESPONSA BLE HW REQUERI DO SW REQUERI DO PERSONA L REQUERI DO FLUJO DEL PROCES O COMUNICAC IÓN Nombre completo Tipo y cantidad Tipo y cantidad Perfil y cantidad Secuenci a de activida des Por quienes pasa el proceso 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a Internet 4.- Telefonía 5.- Teleconferen cia 6.- Videoconfere ncia 7.- Video por internet 168

170 PROCESOS DURACI ÓN DISPONIBILI DAD CAPACID AD COSTOS BENEFICI OS Priorida d/ benefici o Tramite 1 semana L-V de 9 a 9 20 registros/ día Inicial + depreciacio nes Menor tiempo, evita colisione s, etc. Importan cia del 1 (poca) al 5 (mucha) 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a Internet 4.- Telefonía 5.- Teleconferen cia 6.- Videoconfere ncia 7.- Video por internet 169

171 PROCESOS SEGURIDAD CONSUMIDOR O USUARIO GENERACIÓN DEL PROCESO QUE LO GENERA CUANDO SE GENERA Contraseñas, llaves, candados, etc. Alumno, docente, administrativo, jefe de área, etc. Solicitado, automático Nuevo ingreso, fallo, perdida 1 vez al semestre 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a Internet 4.- Telefonía 5.- Teleconferencia 6.- Videoconferencia 7.- Video por internet 170

172 PROCESOS REQUISITOS DEL PROCESO PROCESO MAS DISTINTIVO PROCESO MÁS RELEVANTE Ficha de pago, hoja de datos, etc. Distinción del 1 (poca) al 5 (mucha) Relevancia del 1 (poca) al 5 (mucha) 1.- Asignación y uso de sistemas de cómputo 2.- Correo electrónico 3.- Acceso a Internet 4.- Telefonía 5.- Teleconferencia 6.- Videoconferencia 7.- Video por internet Ver anexo 11 PARTIDA 9: MICROCOMPUTADORAS DE NIVEL BÁSICO CANTIDAD: 40 Equipos Abogado General 10 CIIDIR Durango 25 Coord. Cop. Académica 5 Funcionalidad Aplicaciones Equipo dimensionado para propósitos múltiples y de aplicación administrativa o académica; con capacidad de procesamiento adecuada para un nivel básico de procesamiento. MS-Office, paquetes estadísticos, correo electrónico, herramientas desarrolladas por el Instituto. 171

173 Procesador Motherboard CONCEPTO CARACTERÍSTICAS REQUERIDAS IPN Intel Core 2 DUO E7400 (2.8 GHz, 3 MB L2 Caché, 1066 MHz FSB) Sin parches ni puentes (sin alteraciones ni correcciones de ingeniería), con flash BIOS EEPROM, p&p propietario del fabricante o con derechos reservados por el mismo. Puertos: 1 serial, 1 paralelo, 8 USB 2.0, al menos 4 al frente, puerto para mouse del tipo minidin o USB y puerto para teclado del tipo minidin o USB Dos ranuras disponibles después de incluir las funciones periféricas solicitadas, de las mismas características indicadas. RAM Disco duro Controladora de disco duro 1 GB DDR3 SDRAM 1066 MHz con capacidad de expandirse a 4 GB. 160 GB, SATA 3.0, 7200 rpm Al menos 4 dispositivos SATA Monitor Monitor plano LCD de 17" (visibles), TFT de matriz activa con resolución de 1280 x 70 a 75 Hz. Base con movimiento de inclinación en la pantalla hacia delante y hacia atrás. Cumplimiento de estándares TCO y Energy Star. De la misma marca del fabricante. Controlador de video Integrated Graphics Media Accelerator X4500 3D/2D con bus PCI Express x16 con tecnología DVMT (Dynamic Video Memory Technology) con capacidad de al menos 256 MB de memoría de video, compartida de la memoria del sistema. Que tenga soporte con Windows Display Driver Model (WDDM) para Windows Vista. Deberá incluir software para su configuración y los manuales de instalación y uso. Unidad de discos compactos 48X32 CDRW/DVD Combo. Si se requiere incluir software, se deberán adicionar los controladores junto con los manuales de instalación y uso. Tarjeta de red PCI Ethernet 10/100/1000 base-tx autosensing de 32 bits con conector RJ 45 para cable UTP, plug & play. Puede estar integrada a la motherboard. Deberá incluir software para su configuración y los manuales de instalación y uso. Mouse Teclado Gabinete Óptico con puerto PS/2 o USB, 2 botones y scroll. En español, con teclas para acceso a Windows, 104/105 teclas con conector PS/2 o USB Minitorre con fuente de poder de 305 watts que asegure el funcionamiento de todos los componentes internos. Candado o chapa de seguridad con llave física. Deberá incluir la tecnología tool less que provee la capacidad para retirar los elementos principales del CPU sin herramientas (disco duro, unidad óptica,y tarjetas de expansión). 172

174 CONCEPTO CARACTERÍSTICAS REQUERIDAS IPN Tarjeta de sonido Integrado en la tarjeta madre High Definition 4 canales ADI 1884 codec, ADC 20 bits, DAC 24 bits. Bocina interna Deberá incluir software para su configuración y los manuales de instalación y uso. Diadema Norma de calidad Seguridad Software Diadema con micrófono y audio tipo USB NOM, NMX o equivalente para el equipo visto en su conjunto o en sus componentes principales. Contraseña de acceso al sistema y utilerías de configuración. Dispositivo de seguridad mecánico o electrónico interconstruido de fábrica que evite la sustracción de componentes internos del equipo. En caso de ser mecánico deberá contar con llave de combinación exclusiva serializada homologada por el fabricante. Microsoft Windows Vista Starter Edition o Microsoft Vista Home Basic. Medio (CD-ROM grabado por proceso de estampado) con los archivos de recuperación del software y controladores de los dispositivos incluidos en la configuración original de fabrica del equipo. Garantía Tres años en todas las partes que integran al equipo en las instalaciones del Instituto. PARTIDA 10: MICROCOMPUTADORAS DE USO GENÉRICO CANTIDAD: 117 CEC Los Mochis 81 ESIME Azcapotzalco 36 Funcionalidad Aplicaciones Equipo esta dimensionado para propósitos múltiples y de aplicación administrativa o académica; con capacidades de procesamiento adecuadas a un nivel de inicio para el desarrollo de materiales multimedia. MS-office, paquetes estadísticos, correo electrónico, herramientas desarrolladas por el instituto, etcétera Procesador Motherboard CONCEPTO CARACTERÍSTICAS REQUERIDAS IPN Intel Core 2 DUO E8400 (3.00 GHz, 6 MB L2 Caché, 1333 MHz FSB) Sin parches ni puentes (sin alteraciones ni correcciones de ingeniería) y con flash bios eeprom y p&p propietario del fabricante o con derechos reservados por el mismo. Con los siguientes puertos: 1 serial, 1 paralelo opcional, 10 USB 2.0, al menos 4 al frente, con puerto para mouse y teclado del tipo minidin. 173

175 CONCEPTO CARACTERÍSTICAS REQUERIDAS IPN Dos ranuras (1 PCI X16 y 1 PC1) disponibles después de incluir las funciones periféricas solicitadas, de las mismas características indicadas. Ranuras disponibles después de incluir las funciones periféricas solicitadas: 1 PCI 2.0 X16 y 1 PC1 2.0, 2 PCI. Ram Disco duro 2 GB DDR3 SDRAM 1066 MHz con capacidad de expandirse a 4 GB. 250 GB, SATA, 7200 rpm Controladora de disco duro Que soporte al menos 5 dispositivos SATA capacidad de manejo de RAID 0, 1, 5,10 Monitor Monitor plano LCD de 17" (visibles), TFT de matriz activa con resolución de 1280 x 70 a 75 Hz. Base con movimiento de inclinación en la pantalla hacia delante y hacia atrás. Cumplimiento de estándares MPR II y Energy Star. De la misma marca del fabricante. Controlador de video Integrated Graphics Media Accelerator D/2D con bus PCI Express x16 con tecnología DVMT (Dynamic Video Memory Technology) con capacidad de al menos 256 MB de memoría de video, compartida de la memoria del sistema. Que tenga soporte con Windows Display Driver Model (WDDM) para Windows Vista. Deberá incluir software para su configuración y los manuales de instalación y uso. Unidad de discos compactos Tarjeta de memoria usb Grabador DVD+/-RW. Si se requiere incluir software, se deberán adicionar los controladores junto con los manuales de instalación y uso. USB 2.0,2 GB con capacidad de arranque. Tarjeta de red PCI ethernet 10/100/1000 base-tx autosensing de 32 bits con conector RJ 45 para cable UTP, plug & play. Puede estar integrada a la motherboard. Deberá incluir software para su configuración y los manuales de instalación y uso. Mouse Teclado Gabinete Óptico con puerto PS/2 o USB, 2 botones y scroll. En español, con teclas para acceso a Windows, 104/105 teclas con conector PS/2 o USB. Minitorre con fuente de poder mínimo de 305 watts que asegure el funcionamiento de todos los componentes internos. Con sensor de apertura. Deberá incluir la tecnología tool less que provee la capacidad para retirar los elementos principales del CPU sin herramientas (disco duro, unidad óptica, unidad de disco flexible y tarjetas de expansión). Tarjeta de sonido Integrado en la tarjeta madre Alta definición 7.1 canales ADI 1884 codec, ADC 20 bits, DAC 24 bits. Bocina interna Deberá incluir software para su configuración y los manuales de instalación y uso. Diadema Diadema con micrófono y audio tipo USB 174

176 CONCEPTO Norma de calidad Seguridad CARACTERÍSTICAS REQUERIDAS IPN NOM y NMX o equivalente (ISO 9000) para el equipo visto en su conjunto o en sus componentes principales. Contraseña de acceso al sistema y utilerías de configuración. Dispositivo de seguridad mecánico o electrónico interconstruido de fábrica que evite la sustracción de componentes internos del equipo. En caso de ser mecánico deberá contar con llave de combinación exclusiva serializada homologada por el fabricante. Chip De Seguridad TPM Integrado a la Tarjeta Madre. Bit Locker de Windows Vista o Herramienta propietaria del fabricante que permita la encripción del disco duro completo a través del chip TPM 1.2. Software Microsoft Windows Vista Starter Edition o Microsoft Vista Home Basic. Medio (CD-ROM grabado por proceso de estampado) con los archivos de recuperación del software y controladores de los dispositivos incluidos en la configuración original de fabrica del equipo. Garantía Tres años en todas las partes que integran al equipo en las instalaciones del Instituto. PARTIDA 11: MICROCOMPUTADORA DE DESARROLLO CANTIDAD: 62 Equipos CEC Morelia 40 CIIDIR Durango 22 Funcionalidad Computadora pensada bajo el concepto de estación de trabajo de bajo costo, ideal para procesamiento multimedia y procesamiento numérico. Capacidad de generación de programas intermedios y avanzados. Equipo que por sus dimensiones permite ser instalada y operada en espacios de trabajo normales y provee la posibilidad de incrementar sustantivamente sus facilidades al contar con ranuras de expansión adicionales, lo que permitirá integrarle otros dispositivos que incremente su poder para el uso en apoyos didácticos y administrativos. Aplicaciones MS-Office, paquetes estadísticos, correo electrónico, herramientas desarrolladas por el instituto, etcétera Procesador Motherboard CONCEPTO CARACTERÍSTICAS REQUERIDAS IPN Intel Core 2 QUAD 9550 (2.83 GHz, 12 MB L2 Caché, 1333 MHz FSB) Sin parches ni puentes (sin alteraciones ni correcciones de ingeniería) y con flash bios eeprom y p&p propietario del fabricante o con derechos reservados por el mismo. 175

177 CONCEPTO CARACTERÍSTICAS REQUERIDAS IPN Con los siguientes puertos: 1 serial, 1 paralelo opcional, 10 usb 2.0 al menos 4 al frente, con puerto para mouse y teclado del tipo minidin. Ranuras disponibles después de incluir las funciones periféricas solicitadas: 1 PCI 2.0 X16 y 1 PC1 2.0, 2 PCI. Ram Disco duro Controladora de disco duro Monitor Controlador de video 4 GB DDR3, SDRAM 1066 MHz con capacidad de expandirse a 8 GB. 500 GB, SATA, 3 GB/seg 7200 rpm Que soporte al menos 5 dispositivos SATA Monitor plano LCD de 19" (visibles), TFT de matriz activa con resolución de 1280 x 70 a 75 Hz. Base con movimiento de inclinación en la pantalla hacia delante y hacia atrás. Cumplimiento de estándares TCO y Energy Star. De la misma marca del fabricante. Integrated Graphics Media Accelerator D/2D con bus PCI Express x16 con tecnología DVMT (Dynamic Video Memory Technology) con capacidad de al menos 256 MB de memoría de video, compartida de la memoria del sistema. Que tenga soporte con Windows Diplay Driver Model (WDDM) para Windows Vista. Deberá incluir software para su configuración y los manuales de instalación y uso. Unidad de discos compactos Tarjeta de memoria usb Grabador DVD+/-RW. Si se requiere incluir software, se deberán adicionar los controladores junto con los manuales de instalación y uso.. USB 2.0, 2 GB con capacidad de arranque. Estandares DMI 2.0 Tarjeta de red PCI ethernet 10/100/1000 base-tx autosensing de 32 bits con conector RJ 45 para cable UTP, plug & play. Puede estar integrada a la motherboard. Deberá incluir software para su configuración y los manuales de instalación y uso. Mouse Teclado Gabinete Óptico con puerto PS/2 o USB, 2 botones y scroll. En español, con teclas para acceso a Windows, 104/105 teclas con conector PS/2 o USB. Minitorre con fuente de poder mínimo de 305 watts que asegure el funcionamiento de todos los componentes internos. Con sensor de apertura. Deberá incluir la tecnología tool less que provee la capacidad para retirar los elementos principales del CPU sin herramientas (disco duro, unidad óptica, unidad de disco flexible y tarjetas de expansión). Tarjeta de sonido Integrado en la tarjeta madre Alta definición 7.1 canales ADI 1884 codec, ADC 20 bits, DAC 24 bits. Bocina interna Deberá incluir software para su configuración y los manuales de instalación y uso. Diadema Diadema con micrófono y audio tipo USB 176

178 CONCEPTO Norma de calidad Seguridad CARACTERÍSTICAS REQUERIDAS IPN NOM y NMX o equivalente (ISO 9000) para el equipo visto en su conjunto o en sus componentes principales. Contraseña de acceso al sistema y utilerías de configuración. Dispositivo de seguridad mecánico o electrónico interconstruido de fábrica que evite la sustracción de componentes internos del equipo. En caso de ser mecánico deberá contar con llave de combinación exclusiva serializada homologada por el fabricante. Chip De Seguridad TPM Integrado a la Tarjeta Madre. Bit Locker de Windows Vista o Herramienta propietaria del fabricante que permita la encripción del disco duro completo a través del chip TPM 1.2. Software Microsoft Windows Vista Starter Edition o Microsoft Vista Home Basic. Medio (CD-ROM grabado por proceso de estampado) con los archivos de recuperación del software y controladores de los dispositivos incluidos en la configuración original de fabrica del equipo. Garantía Tres años en todas las partes que integran al equipo en las instalaciones del Instituto. PARTIDA 14: COMPUTADORA LAPTOP TIPO 1 CANTIDAD: 3 Equipos CEC Los Mochis 1 CICATA Queretaro 2 Funcionalidad CONCEPTO Herramientas de productividad Procesador RAM Controlador de video Equipo portátil de nivel básico. CARACTERÍSTICAS REQUERIDAS IPN MS-Office, paquetes estadísticos, correo electrónico, herramientas desarrolladas por el instituto Intel Core2 Duo T6570 (2.1 GHz 800Mhz FSB/2MB cache) 1 GB expandible a 4 GB, DDR 2 a 667 MHz Controlador de video para una resolución externa de 1024x768x24 bits. Si se requiere software para su configuración deberá incluirse. Disco duro Pantalla 80 GB SATA pulgadas de matriz activa TFT para una resolución de 1024x

179 CONCEPTO CARACTERÍSTICAS REQUERIDAS IPN Puertos Ranuras Tarjeta de red Tarjeta de red inalámbrica Mouse Teclado Cdrw Audio Consumo de energía y batería Normas de calidad Ahorro de energía Seguridad Sistema operativo Manuales Software Transportación Soporte en internet Garantía 3 USB, 1 rj-11 (del fax/módem, en caso de que esté integrado), 1 puerto de video para monitor externo. 1 ranura para PC cards (PCMCIA) para 1 tarjeta tipo II Ethernet 10/100/ Integrada.. Puerto Inalámbrico g incluir software con controladores y diagnósticos en CD Touchpad. En español, con teclas para acceso a Windows Combo DVD con CDRW 24X velocidad de grabación Bocinas interconstruidas Incluir el adaptador de corriente alterna que el fabricante del equipo indica. Batería inteligente Litio-ion de, 24 W. con capacidad de mantener el equipo encendido al menos 3 hrs.. NOM. EPA Energy Star. Contraseña de acceso al sistema y a utilerías de configuración.cable de seguridad con candado. Bootable operating system Windows Vista Business en español y CD con los archivos de recuperación del software y controladores de los dispositivos incluidos en la configuración original de fabrica del equipo. En español del fabricante para el equipo, y del software adicional incluido con el equipo desde fabrica. CD-ROM y/o archivos de recuperación del software y controladores de los dispositivos incluidos en la configuración original de fábrica del equipo. Incluir estuche o maleta de transportación del equipo. Disponibilidad de información y asistencia técnica a través del sitio en internet y correo electrónico del fabricante del equipo y para el equipo propuesto. Debe especificarse la ubicación en internet. Puerto inalámbrico b/g. 1 año en todas las partes que integran la computadora. MISION IPN Ver anexo

180 El Instituto Politécnico Nacional es la institución educativa laica, gratuita de Estado, rectora de la educación tecnológica pública en México, líder en la generación, aplicación, difusión y transferencia del conocimiento científico y tecnológico, creada para contribuir al desarrollo económico, social y político de la nación. Para lograrlo, su comunidad forma integralmente profesionales en los niveles medio superior, superior y posgrado, realiza investigación y extiende a la sociedad sus resultados, con calidad, responsabilidad, ética, tolerancia y compromiso social. VISION IPN. Visión al 2020 Una Institución educativa innovadora, flexible, centrada en el aprendizaje; fortalecida en su carácter rector de la educación pública tecnológica en México; poseedora de personalidad jurídica y patrimonio propios, con capacidad de gobernarse a si misma; enfocada a la generación, difusión y transferencia de conocimientos de calidad; caracterizada por procesos de gestión transparentes y eficientes; con reconocimiento social amplio por sus resultados y sus contribuciones al desarrollo nacional; por todo ello, posicionada estratégicamente en los ámbito nacional e internacional de producción y difusión del conocimiento. Caracterización de la Visión: - Como una institución innovadora, incluyente, flexible, de calidad, con impacto en el desarrollo nacional, amplio reconocimiento por la excelencia profesional de sus egresados y los resultados de sus investigaciones e innovaciones tecnológicas, posicionada estratégicamente en el escenario nacional e internacional, con una gestión eficiente y eficaz; una comunidad académica centrada en el conocimiento, que forma profesionales en los niveles medio superior, licenciaturas y posgrado, comprometidos con su Institución y que fomenta la justicia, la cultura y el respeto a la diversidad. - Cuenta con una oferta educativa diversificada, bien articulada entre sus niveles medio superior, licenciatura y posgrado, posee un esquema de trabajo muy vinculado, donde los profesores de licenciatura y de posgrado transitan con facilidad entre distintos niveles, escuelas, centros y unidades, para compartir conocimientos experiencias. Los alumnos independientemente del nivel se interrelacionan a través de programas académicos, deportivos y culturales. - Con un modelo educativo que refleja una concepción integral de la formación, con enfoques multidisciplinarios, concordantes con los avances del conocimiento y los cambios en las necesidades del estudiante y la sociedad. - Su modelo académico, congruente con la filosofía expresada en el modelo educativo, es de gran flexibilidad; con estructuras jurídicas y organizacionales que le permiten realizar con calidad, pertinencia y oportunidad sus funciones de docencia, investigación, de extensión y difusión de la cultura. El modelo académico politécnico permite ofrecer programas que responden a los avances del conocimiento y los cambios en las necesidades del estudiante, del sector empleador y de la sociedad. - Con personal docente de alto nivel, bien remunerado, que se conduce como facilitadores del aprendizaje, participan en procesos de actualización permanente, y están vinculados con los sectores productivos y sociales, a través de los procesos formativos y el manejo de tecnología educativa de frontera, realizan estancias tanto en el campo laboral, como en centros de investigación; estimulan y desarrollan las mejores capacidades y habilidades del estudiante. - Sustenta un programa de apoyo a los aspirantes que han demostrado capacidad académica para cursar estudios de nivel medio superior y superior, brindándoles las mismas posibilidades de acceso a la formación, capacitación y actualización permanente. - En cumplimiento de su función formativa y de investigación mediante estructuras organizacionales flexibles, interactivas y en red; tiene plena participación en el Sistema Educativo Nacional; comparte recursos intra y extra institucionales, intercambia información y conduce proyectos educativos y de investigación conjuntos, lo que ubica su operación en rangos de excelencia definidos por indicadores internacionales, constituyéndose en referentes del Sistema Nacional de Educación Científica y Tecnológica, donde la planeación y la evaluación son la guía de su trabajo cotidiano. 179

181 - Es una institución de educación superior pública, gratuita y laica, estratégica para el desarrollo del país, con un alto nivel académico y con una oferta educativa consolidada en educación media superior, licenciatura y posgrado. Cuenta con un sistema de educación virtual con programas educativos y de formación para la vida. - Tiene integrados sus distintos niveles formativos y las diferentes modalidades educativas. Es poseedor de una importante fortaleza en materia de uso de las tecnologías de información y de comunicación, las que aplica en sus procesos académicos, de investigación y de extensión y difusión. - Sus procesos formativos, la integración de su planta docente y la investigación realizada, cumplen con normas de calidad definidas por instancias nacionales e internacionales. Los mecanismos de evaluación y la rendición de cuentas, garantizan que su comunidad y la sociedad confirmen que la calidad es una constante en todas las acciones y procesos. Ofrece todos sus programas académicos acreditados y sus egresados con la certificación correspondiente. - El modelo de investigación del IPN está basado en redes de cooperación nacional e internacional, plenamente vinculado con los sectores productivo y social, que fomenta la generación, uso, circulación y protección del conocimiento en sectores estratégicos que promueven la competitividad, la equidad y el mejoramiento de la sociedad. - La comunidad del IPN tiene una conformación multinacional y sus egresados ocupan posiciones de liderazgo; su desempeño socialmente comprometido los habilita para actuar de manera proactiva, con capacidad para diseñar soluciones originales a problemas y oportunidades emergentes. - Tiene un modelo integral de vinculación, basado en programas académicos y de investigación que impulsan la incubación y progreso de empresas, el liderazgo social y empresarial de sus alumnos, garantizando la calidad de los servicios prestados a los sectores productivos. - Como Institución rectora en la educación tecnológica, el IPN posee instalaciones modernas, funcionales y equipamiento con tecnología de punta que son utilizados eficiente, eficaz y pertinentemente en el cumplimiento de su planeación estratégica y el alcance de sus objetivos. - Posee un sistema institucional de información consolidado que permite en todas las áreas y niveles de la institución contar con información relevante, actualizada y confiable, en apoyo a la toma de decisiones. - Es una institución con manejo transparente de sus recursos, cuenta con mecanismos precisos y confiables para el rendimiento de cuentas en todas sus unidades áreas y planteles. MISIÓN UPIICSA La Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas es una Unidad Académica del Instituto Politécnico Nacional, que ofrece estudios superiores y de posgrado, en las áreas de la Ingeniería, Administración e Informática, teniendo como principio rector contribuir al desarrollo de las potencialidades, estimular los procesos de pensamiento participativo, crítico y propositivo de sus estudiantes, dotándoles de una sólida formación educativa interdisciplinaria para reforzar sus habilidades, destrezas, actitudes y valores, que les haga sensibles a las necesidades de la sociedad y les permita mantener una estrecha vinculación con el sector productivo, así como lograr un buen posicionamiento en el ámbito laboral. 180

182 VISIÓN UPIICSA La Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas aspira a ser una Unidad Académica del Instituto Politécnico Nacional, líder por su oferta académica, con calidad y pertinencia, en las áreas de la Ingeniería, la Administración y la Informática, que posibilite al estudiante el acceso a un modelo educativo flexible, inter y multidisciplinario, para aprender teórica y prácticamente, con una planta docente de un perfil de excelencia, una moderna infraestructura y un uso intensivo de las tecnologías educativas más avanzadas, para formar generaciones de profesionistas con capacidades propositivas, analíticas y con conciencia social y concepción humanística que les permitan responder, con fundamentos científicos y tecnológicos, a los retos de su práctica profesional, estableciendo una relación permanente con su entorno y las necesidades del sector productivo, participar en la construcción de un país más democrático y justo, además de entender los desafíos que plantea un mundo globalizado. La UPIICSA se propone, además, hacer coincidir las tres modalidades del proceso de enseñanza-aprendizaje para apoyar la implantación del nuevo modelo educativo, haciendo coincidir de forma simultánea a los tres enfoques en torno a las funciones y líneas de acción institucionales, en constante cambio y adecuación y en la búsqueda permanente de las mejores opciones educativas. 181

183 Ver anexo

184 Ver anexo NO ES PROPIETARIO. ITIL no está basado en ninguna plataforma tecnológica en particular por lo que es viable para cualquier tipo de organización que maneje o administre servicios de TI. 2. NO PRESCRIBE. ITIL se puede aplicar en cualquier organización sin importar su giro, sector, razón social, tamaño, internos, externos, etc.; ya que no está basado en ninguna plataforma tecnológica en específico; sino que es de uso general en los servicios de TI. 3. MEJORES PRÁCTICAS. En ITIL se encuentran documentadas las experiencias de diversos especialistas internacionales y que hoy en día son líderes además de que se encuentran proporcionando los mejores servicios de TI. 4. BUENAS PRÁCTICAS. No todas pueden ser consideradas mejores prácticas ya que todas las mejores prácticas a lo largo del tiempo se van convirtiendo en prácticas comunes; ya que con el surgimiento de nuevas mejores prácticas, estas prácticas dejan de ser las mejores para darle paso a las siguientes. Pero no por esto se dejan de aplicar estas prácticas que ya se habían establecido como mejores; sino que se van sumando a con las nuevas mejores prácticas (trabajo realizado en gran parte por la ITSM) LA PLUSVALIA DE ITIL 1. ITIL no nace de la necesidad de solucionar un desastre, sino del análisis lógico de múltiples experiencias, puede aplicarse como el remedio a un mal pero sus creadores no lo hicieron con ese fin, sino por el contrario fue el resultado de la preparación, análisis y examinación de los consumidores que arrojo la predicción de modelos de consumidores (es el resultado de años de experiencia, bien documentada). 2. El uso continúo de estas mejores prácticas de manera responsable, consistente y mesurada; en la administración de los servicios TI otorga las cualidades que proveen a los ojos de los consumidores. 3. Permite mantener a los servicios de TI en la mira, analizándolos de forma continua y por lo tanto la posibilidad de realizar los ajustes necesarios en tiempos óptimos. Dándole así la oportunidad de adaptarse según las necesidades de la organización, pero de manera estable y responsable para el consumidor. 183

185 Ver anexo Son medibles (costos, calidad, etc.) y controlados en la ejecución (duración, productividad, etc.) 6. Tienen resultados específicos. Se desea que se pueda identificar y contar de forma individual. 7. Son entregados al consumidor. Cada proceso entregado es el primordial resultado del consumidor o de la puesta en espera. 8. Responden a un evento específico. Mientras un evento este andando o en interacción, este no puede ser disparado. Ver anexo 16 Función: preferentemente por especialización, compartir recursos y reducir la duplicación. Producto: Preferentemente por servicios del negocio, con estrategias y nuevos productos, por lo general de fabricación del negocio. Mercado o consumidores: preferentemente por organización acerca de las estructuras de mercado. Da la diferencia en la forma de incrementar el conocimiento y responde a las preferencias del consumidor. Geográfica: usa las dependencias geográficas en la industria. Provee servicios en pequeños sectores geográficos, los viajes y los costos de distribución son minimizados mientras el conocimiento local es transmitido. Procesos: preferentemente de principio a fin la cobertura de un proceso. Ver anexo 17 Reduce los costos totales (TCO): Estos se reducen cuando son bien diseñados e implementados los servicios, procesos y la tecnología. Provee calidad en el servicio: la calidad de los servicios y operaciones serán mejorados. Provee consistencia en el servicio: los servicios son diseñados en base a la estrategia corporativa, sus arquitecturas y límites. Fácil implementación de nuevos servicios o cambios en los servicios. Provee alineación de los servicios: envuelve el concepto de garantizar el servicio, haciendo coincidir los nuevos servicios y los cambios de los servicios con las necesidades del negocio, con el diseño de servicios se conocen los requerimientos del nivel de servicios Mayor eficiencia en la ejecución de servicios: con la incorporación y reconocimiento de capacidades, finanzas, habilidades y la continuidad de los servicios de TI. Provee control de las TI: asistido de la implementación y comunicación de los controles efectivos de las TI Administración de servicios y procesos TI más efectivos: los procesos serán diseñados con óptima calidad y costo-beneficio. 184

186 Ver anexo PLANEACIÓN Y ORGANIZACIÓN Para esta sección se enlistan una serie de procesos que hacen posible la planeación y organización dentro del marco de COBIT el cual maneja el siguiente enfoque: Entrada Proceso Salida. En donde las entradas representan aquella información o documentación que se requiere para poder llevar a cabo los procesos (PO, AI, DS, ME) especificados en cada caso y las salidas son los resultados de dichos procesos igualmente representados en documentos o información PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI La planeación estratégica e TI es indispensable ya que: Mejora la comprensión de los interesados (en oportunidades y limitaciones) Evalúa el desempeño actual Identifica recursos humanos (capacidades y requerimientos) Determina el nivel de investigación requerido Es visible en los portafolios Uno forma de medir que se haya logrado un plan estratégico adecuado es a través de: 1. Porcentaje de objetivos de TI relacionados con la estrategia de negocio 2. Porcentaje de proyectos TI vinculados al plan táctico de TI 3. Tiempos de actualización entre el plan estratégico de TI y los planes tácticos de TI Objetivos de control para definir un plan estratégico de TI: a) Administración del valor de TI b) Alineación de TI con el negocio c) Evaluación del Desempeño y la Capacidad Actual d) Plan Estratégico de TI e) Planes Tácticos de TI f) Administración del Portafolio de TI Entradas: Reportes de costo / beneficio Evaluación de riesgo Portafolio de proyectos, servicios y de programas actualizados Requerimientos de servicios nuevos / actualizados Estrategia y prioridades del negocio, y su dirección para TI Entradas a desempeño de planeación de TI Reporte del estado del gobierno de TI Salidas: Plan estratégico de TI Plan táctico de TI Modificación los portafolios de proyectos y servicios de TI Estrategia de contratación externa de TI Estrategia de adquisición de TI Imagen 1.28 PO1 185

187 PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN Nos es útil para optimizar el uso de la información, esto se logra a través de: Desarrollo de un diccionario corporativo (con reglas de sintaxis) Esquema de clasificación de datos (con niveles de seguridad) Incrementar la responsabilidad sobre la integridad y seguridad de los datos Uno forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de datos redundantes o duplicados 2. Porcentaje de aplicaciones fuera de la arquitectura 3. Frecuencia de validación de datos Objetivos de control para definir la arquitectura de la información: a) Modelo de Arquitectura de Información Empresarial b) Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos c) Esquema de Clasificación de Datos d) Administración de Integridad Entradas: Planes estratégicos y tácticos de TI Estudio de viabilidad y requerimientos del negocio Revisión post implementación Entrada de desempeño a planes de TI Salidas: Esquema, procedimientos y herramientas de clasificación de datos Optimización del Plan de sistemas Diccionarios de datos Arquitectura de información Imagen 1.29 PO PO3 DETERMINAR LA DIRECCIÓN TECNOLÓGICA Es función de los servicios de información y nos sirve para dar soporte a la información. Para ello requiere de: Un plan de infraestructura tecnológica Actualizado regularmente Con arquitectura de sistemas Dirección tecnológica Planes de adquisición Estándares Estrategias de migración y contingencias Un comité de arquitectura (establece y administra la tecnología utilizada) Uno forma de medir que se satisfacen los requerimientos es: 1. Número y tipo de desviaciones del plan de infraestructura tecnológica 2. Frecuencia de revisiones y actualizaciones 3. Número de plataformas tecnológicas por función Objetivos de control para determinar la dirección tecnológica: 186

188 Para todas las funciones a) Planeación de la Dirección Tecnológica b) Plan de Infraestructura Tecnológica c) Monitoreo de Tendencias y Regulaciones Futuras d) Estándares Tecnológicos e) Consejo de Arquitectura de TI Entradas: Planes estratégicos y tácticos de TI Plan optimizado de sistemas del negocio y arquitectura de información Actualizaciones Información de desempeño y capacidad Salidas: Oportunidades y estándares tecnológicos Plan de infraestructura tecnológica y actualizaciones Requerimientos de infraestructura Imagen 1.30 PO PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Esta es una parte muy sensible al contexto debido a que intervienen muchos elementos del negocio dentro de esta definición, además de que debe garantizar seguridad y transparencia para todos los integrantes del negocio. Factores a considerar: Requerimientos de personal Funciones Rendición de cuentas Autoridad Roles Responsabilidades Supervisión Quiénes se encuentran involucrados? Altos ejecutivos Gerencia del negocio Comité estratégico Vigila Consejo directivo TI Comités de dirección Negocio Participa n Deben considerar: Prioridades de los recursos de TI Procesos Políticas de administración Procedimientos Imagen 1.31 PO4_1 Todo esto con una especial atención en: El control La calidad Administración de riesgos Seguridad de información, datos y sistemas Segregación de funciones Toma de decisiones Uno forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de roles documentados (descripción y autoridad) 2. Numero de unidades o procesos sin servicios TI (requeridos según la estrategia) 3. Numero de actividades de TI fuera de la estructura organizacional de TI Objetivos de control para definir los procesos, organización y relaciones de TI: a) Marco de trabajo de procesos TI b) Comité Estratégico de TI c) Comité Directivo de TI TI 187

189 d) Ubicación Organizacional de la Función de TI e) Estructura Organizacional f) Establecimiento de Roles y Responsabilidades g) Responsabilidad de Aseguramiento de Calidad de TI h) Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento i) Propiedad de Datos y de Sistemas j) Supervisión k) Segregación de Funciones l) Personal de TI m) Personal Clave de TI n) Políticas y Procedimientos para Personal Contratado o) Relaciones Entradas: Planes estratégicos y tácticos de TI Políticas y procedimientos de TI y RH, matriz de habilidades de TI, descripciones de puestos Actividades de mejoramiento de calidad Planes de actividades para corregir riesgos relacionados con TI Planes de acciones correctivas Reportes de efectividad de los controles de TI Catálogo de requerimientos legales y regulatorios relacionados con los servicios de TI Mejoras al marco de procesos Imagen 1.32 PO4 Salidas: Marco de trabajo para el proceso de TI Dueños de sistemas documentados Organización y relaciones de TI Marco de procesos, roles documentados y responsabilidades de TI Roles y responsabilidades documentados PO5 ADMINISTRAR LA INVERSIÓN EN TI Se encargan de determinar los costos, beneficios y prioridades asignadas al presupuesto determinado. Se consulta a los interesados sobre las decisiones a tomar y se aplican diversas medidas de control a fin de poder corregir lo que sea necesario, obteniendo como resultado: Transparencia y responsabilidad de los costos Materialización de los beneficios del negocio Retorno sobre las inversiones de TI Uno forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de reducción de costo en el servicio TI 2. Porcentaje de desviación del presupuesto total 3. Porcentaje de gastos de TI convertidos en incremento de ventas y/o servicios Objetivos de control para administrar la inversión de TI: 188

190 a) Marco de Trabajo para la Administración Financiera b) Prioridades Dentro del Presupuesto de TI c) Proceso Presupuestal d) Administración de Costos de TI e) Administración de Beneficios Entradas: Planes estratégicos y tácticos de TI, portafolios de proyectos y servicios Requerimientos de infraestructura Portafolio de proyectos de TI actualizado Información sobre el desempeño y la capacidad Revisiones post-implantación (resultados esperados de la inversión) Finanzas de TI Salidas: Reportes de costo /beneficio Presupuestos de TI Portafolio actualizado de servicios y proyectos de TI Imagen 1.33 PO PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA Esto se logra mediante la comunicación continua propiciando con esto la plena consciencia de los riesgos tanto del negocio como de TI pero también es indispensable el asegurar el cumplimiento de las leyes y reglamentos que refieren al negocio u organización. Uno forma de medir que se satisfacen los requerimientos es: 1. Número de interrupciones en el negocio por deficiencias de TI 2. Porcentaje de interesados que comprenden el marco de trabajo de TI 3. Porcentaje de interesados que no cumplen las políticas Objetivos de control para comunicar las aspiraciones y la dirección de la gerencia: f) Ambiente de Políticas y de Control g) Riesgo Corporativo y Marco de Referencia de Control Interno de TI h) Administración de Políticas para TI i) Implantación de Políticas de TI j) Comunicación de los Objetivos y la Dirección de TI Entradas: Planes estratégicos y tácticos de TI, portafolios de proyectos y servicios Directrices de administración de riesgos relativos a TI Reportes sobre la efectividad de los controles de TI Salidas: Marco de control empresarial para TI Políticas para TI Imagen 1.34 PO6 189

191 PO7 ADMINISTRAR LOS RECURSOS HUMANOS DE TI Objetivo: Adquirir Mantener Motivar La fuerza de trabajo De servicios TI Mediante: Seguimiento de prácticas definidas y aprobadas que apoyan el: Reclutamiento Entrenamiento Evaluación del desempeño Promoción Terminación Uno forma de medir que se satisfacen los requerimientos es: 1. Nivel de satisfacción de los interesados 2. Rotación del personal de TI 3. Porcentaje de personal de TI certificado ( de acuerdo a las necesidades) Objetivos de control para administrar los recursos humanos de TI: a) Reclutamiento y Retención del Personal b) Competencias del Personal c) Asignación de Roles d) Entrenamiento del Personal de TI e) Dependencia Sobre los Individuos f) Procedimientos de Investigación del Personal g) Evaluación del Desempeño del Empleado h) Cambios y Terminación de Trabajo Para: Creación Entrega Salidas: Políticas y procedimientos de recursos humanos de TI Matriz de habilidades de TI Descripciones de puestos Aptitudes y habilidades de los usuarios, incluyendo el entrenamiento individual Requerimientos específicos de entrenamiento Roles y responsabilidades Entradas: Organización y relaciones de TI; roles y responsabilidades documentados Estudio de factibilidad de los requerimientos del negocio PO8 ADMINISTRAR LA CALIDAD Imagen 1.35 PO7 Esto se logra mediante requerimientos (con identificadores cuantificables), procedimientos y políticas e calidad. Sin olvidar que este debe ser un proceso de mejora continua por lo que debe estar sujeto a constante monitoreo, corrección y comunicación. Uno forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de interesados satisfechos 2. Porcentaje de procesos TI que satisfagan las expectativas de calidad 3. Porcentaje de procesos que reciben revisiones de aseguramiento de calidad Objetivos de control para administrar la calidad: 190

192 k) Sistema de Administración de Calidad l) Estándares y Prácticas de Calidad m) Estándares de Desarrollo y de Adquisición n) Enfoque en el Cliente de TI o) Mejora Continua p) Medición, Monitoreo y Revisión de la Calidad Salidas: Estándares de adquisición Estándares de desarrollo Requerimientos de Estándares y métricas de calidad Medidas para la mejora de la calidad Entradas: Plan estratégico de TI Planes detallados de proyectos Planes de acciones correctivas Imagen 1.36 PO PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI Para ello se acuerda y se pone en práctica un nivel en común de riesgos de TI Cualquier impacto potencial sobre las metas se debe analizar, identificar y evaluar Se deben tomar medidas de mitigación de riesgos (en términos financieros) Uno forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de objetivos e TI cubiertos 2. Porcentaje de riegos de Ti identificados y con medidas planeadas 3. Porcentaje de planes de administración de riesgos aprobados Objetivos de control para evaluar y administrar riesgos de TI: a) Marco de Trabajo de Administración de Riesgos b) Establecimiento del Contexto del Riesgo c) Identificación de Eventos d) Evaluación de Riesgos de TI e) Respuesta a los Riesgos f) Mantenimiento y Monitoreo de un Plan de Acción de Riesgos Entradas: Planes estratégicos y tácticos de TI, portafolio de servicios de TI Plan de administración de riesgos de proyectos Riesgos de proveedores Resultados de pruebas de contingencia Amenazas y vulnerabilidades de seguridad Tendencias y eventos de riesgos históricos Apetito empresarial de riesgos de TI Salidas: Evaluación de riesgos Reporte de riesgos Directrices de administración de riesgos relacionados con TI Planes de acciones correctivas para riesgos relacionados con TI 191

193 Imagen PO PO10 ADMINISTRAR PROYECTOS Para esto se debe contar con un marco de trabajo que establezca las prioridades y orden de los proyectos, el cual debe contener: Un plan maestro Asignación de recursos Definición de entregables Aprobación de los usuarios Un enfoque de entrega por fases Aseguramiento de la calidad Un plan formal de pruebas Revisión de pruebas post-implantación Uno forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de proyectos que satisfacen las expectativas 2. Porcentaje de proyectos con revisión post-implantación 3. Porcentaje de proyectos alineados a la administración de proyectos Objetivos de control para administrar proyectos: a) Marco de Trabajo para la Administración de Programas b) Marco de Trabajo para la Administración de Proyectos c) Enfoque de Administración de Proyectos d) Compromiso de los Interesados e) Declaración de Alcance del Proyecto f) Inicio de las Fases del Proyecto g) Plan Integrado del Proyecto h) Recursos del Proyecto i) Administración de Riesgos del Proyecto j) Plan de Calidad del Proyecto k) Control de Cambios del Proyecto l) Planeación del Proyecto y Métodos de Aseguramiento m) Medición del Desempeño, Reporte y Monitoreo del Proyecto n) Cierre del Proyecto Entradas: Portafolio de proyectos (de negocio y de TI actualizados) Matriz de habilidades de TI Estándares de desarrollo Revisión post-implantación Salidas: Reportes de desempeño del proyecto Plan de administración de riesgos del proyecto Directrices de administración del proyecto Planes detallados del proyecto Portafolio actualizado de proyectos de TI 192

194 Imagen 1.38 PO ADQUISICIÓN E IMPLEMENTACIÓN AI1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS Antes de desarrollar o implementar cualquier nueva aplicación es necesario realizar un minucioso análisis es cual debe estar alineado con las necesidades y estrategias de negocio y de TI para ello se realiza lo siguiente: Definición de las necesidades Se consideran las alternativas Realizar estudio de factibilidad tecnológica y económica Realizar análisis de riesgo y de costo-beneficio Uno forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de proyectos en los que no se alcanzaron todos los beneficios 2. Porcentaje de estudios de factibilidad autorizados 3. Porcentaje de usuarios satisfechos con la funcionalidad Objetivos de control: a) Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del Negocio b) Reporte de Análisis de Riesgos c) Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos d) Requerimientos, Decisión de Factibilidad y Aprobación Imagen 1.39 AI1 193

195 AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO Para que el negocio u organización pueda contar con las aplicaciones correctas, estas deben estar acordes con las necesidades del negocio por lo que deben cubrir: Diseño de las aplicaciones Controles aplicativos Requerimientos de seguridad Desarrollo y configuración conforme a estándares Una forma de medir que se satisfacen los requerimientos es: 1. Número de problemas ocasionados por una aplicación 2. Porcentaje de usuarios satisfechos con la funcionalidad Objetivos de control: a) Diseño de Alto Nivel b) Diseño Detallado c) Control y Posibilidad de Auditar las Aplicaciones d) Seguridad y Disponibilidad de las Aplicaciones e) Configuración e Implantación de Software Aplicativo Adquirido f) Actualizaciones Importantes en Sistemas Existentes g) Desarrollo de Software Aplicativo h) Aseguramiento de la Calidad del Software i) Administración de los Requerimientos de Aplicaciones j) Mantenimiento de Software Aplicativo Imagen 1.40 AI2 194

196 AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Se puede dividir en tres actividades principales que son: adquirir, implementar y actualizar la infraestructura tecnológica. Una forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de plataformas que no se alinean con la arquitectura de TI 2. Número de procesos soportados por tecnología obsoleta 3. Infraestructura que ya no se puede soportar Objetivos de control: a) Plan de Adquisición de Infraestructura Tecnológica b) Protección y Disponibilidad del Recurso de Infraestructura c) Mantenimiento de la Infraestructura d) Ambiente de Prueba de Factibilidad Imagen 1.41 AI AI4 FACILITAR LA OPERACIÓN Y EL USO Consiste en proporcionar al usuario toda la información necesaria para el uso de los nuevos sistemas a través de la documentación de los mismos. Una forma de medir que se satisfacen los requerimientos es: 1. Número de aplicaciones que se integran de forma transparente 2. Porcentaje de propietarios satisfechos con la documentación y el entrenamiento para uso de aplicaciones 3. Número de aplicaciones con adecuado entrenamiento Objetivos de control: 195

197 e) Plan para Soluciones de Operación f) Transferencia de Conocimiento a la Gerencia del Negocio g) Transferencia de Conocimiento a Usuarios Finales h) Transferencia de Conocimiento al Personal de Operaciones y Soporte AI5 ADQUIRIR RECURSOS DE TI Debe suministrar: Personas Hardware Software Servicios Imagen 1.42 AI4 Requiere: Procedimientos de adquisición Selección de proveedores Arreglos contractuales Adquisición de TI Una forma de medir que se satisfacen los requerimientos es: 1. Número de controversias en contratos de adquisición 2. Reducción del costo de compra 3. Porcentaje de interesados satisfechos Objetivos de control: i) Control de Adquisición j) Administración de Contratos con Proveedores k) Selección de Proveedores l) Adquisición de Recursos de TI 196

198 AI6 ADMINISTRAR CAMBIOS Imagen 1.43 AI5 Los cambios se deben administrarse formalmente y controladamente: Registrar Evaluar Autorizar Revisar Una forma de medir que se satisfacen los requerimientos es: 1. Número de interrupciones o errores de datos 2. Duplicación de aplicaciones o infraestructura 3. Porcentaje de cambios que cumplen con las especificaciones del control de cambios Objetivos de control: a) Estándares y Procedimientos para Cambios b) Evaluación de Impacto, Priorización y Autorización c) Cambios de Emergencia d) Seguimiento y Reporte del Estatus de Cambio e) Cierre y Documentación del Cambio 197

199 Imagen 1.44 AI AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS Para que los sistemas que se instalan puedan funcionar después de su instalación es necesario: Pruebas adecuadas en un ambiente dedicado Definir la transición e instrucciones de migración Planear la liberación y la transición Revisar la post-implantación Una forma de medir que se satisfacen los requerimientos es: 1. Tiempo perdido o problemas provocados 2. Porcentaje de sistemas que satisfacen los beneficios 3. Porcentaje de proyectos con plan de prueba documentado y aprobado Objetivos de control: a) Entrenamiento b) Plan de Prueba c) Plan de Implantación d) Ambiente de Prueba e) Conversión de Sistemas y Datos f) Pruebas de Cambios g) Prueba de Aceptación Final h) Promoción a Producción i) Revisión Posterior a la Implantación 198

200 Imagen 1.45 AI ENTREGA Y SOPORTE DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO El punto más importante a cuidar en este paso es la alineación de los requerimientos del negocio con los servicios de TI. Una forma de medir que se satisfacen los requerimientos es: 1. Porcentaje de interesados satisfechos 2. Número de servicios proporcionados no incluidos en catalogo 3. Número de reuniones para revisión de SLA s ( Acuerdo de Nivel de Servicio) Objetivos de control: a) Marco de Trabajo de la Administración de los Niveles de Servicio b) Definición de Servicios c) Acuerdos de Niveles de Servicio d) Acuerdos de Niveles de Operación e) Monitoreo y Reporte del Cumplimento de los Niveles de Servicio f) Revisión de los Acuerdos de Niveles de Servicio y de los Contratos 199

201 En acuerdos con terceros Imagen 1.46 DS DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS Papa poder lograr satisfactoriamente esto se requiere de: Una clara definición de: Roles Responsabilidades Expectativas Y posteriormente: Revisión y monitoreo de efectividad Cumplimiento de dichos acuerdos Una forma de medir que se satisfacen los requerimientos es: 1. Número de quejas sobre los servicios contratos 2. Porcentaje de proveedores que cumplen con los requerimientos 3. Porcentaje de proveedores sujetos a monitoreo Objetivos de control: a) Identificación de Todas las Relaciones con Proveedores b) Gestión de Relaciones con Proveedores c) Administración de Riesgos del Proveedor d) Monitoreo del Desempeño del Proveedor Imagen 1.47 DS2 200

202 DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD El logro de efectivo de esta administración requiere tener una visión aproximada de las necesidades futuras para poder prever durante esta administración su desempeño y capacidad. Una forma de medir que se satisfacen los requerimientos es: 1. Número de horas perdidas por usuario por mes debido a incapacidad del sistema 2. Porcentaje de picos de excesos de utilización 3. Porcentaje de SLA s no satisfechos Objetivos de control: a) Planeación del Desempeño y la Capacidad b) Capacidad y Desempeño Actual c) Capacidad y Desempeño Futuros d) Disponibilidad de Recursos de TI e) Monitoreo y Reporte Imagen 1.48 DS DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO Para ello se requiere: Desarrollar, mantener y probar planes de continuidad de TI Almacenar respaldos fuera de las instalaciones Entrenar de forma periódica sobre los planes de continuidad Una forma de medir que se satisfacen los requerimientos es: 1. Número de horas perdidas por usuario por mes debido a interrupciones inesperadas 2. Número de procesos clave sin plan de continuidad Objetivos de control: a) Marco de Trabajo de Continuidad de TI b) Planes de Continuidad de TI c) Recursos Críticos de TI d) Mantenimiento del Plan de Continuidad de TI e) Pruebas del Plan de Continuidad de TI f) Entrenamiento del Plan de Continuidad de TI g) Distribución del Plan de Continuidad de TI h) Recuperación y Reanudación de los Servicios de TI i) Almacenamiento de Respaldos Fuera de las Instalaciones j) Revisión Post Reanudación 201

203 Imagen 1.49 DS DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS Este proceso incluye el establecimiento y mantenimiento de: Roles y responsabilidades Políticas Estándares Procedimientos Monitoreo de seguridad Pruebas Una forma de medir que se satisfacen los requerimientos es: 1. Número de incidentes que disminuyen la popularidad 2. Número de sistemas que no tienen suficiente seguridad 3. Número de violaciones en las tareas Objetivos de control: a) Administración de la Seguridad de TI b) Plan de Seguridad de TI c) Administración de Identidad d) Administración de Cuentas del Usuario e) Pruebas, Vigilancia y Monitoreo de la Seguridad f) Definición de Incidente de Seguridad g) Protección de la Tecnología de Seguridad h) Administración de Llaves Criptográficas i) Prevención, Detección y Corrección de Software Malicioso j) Seguridad de la Red k) Intercambio de Datos Sensitivos 202

204 Imagen 1.50 DS DS6 IDENTIFICAR Y ASIGNAR COSTOS Para que el proceso sea justo es necesario primero tener medidas exactas de manera cuantitativa y por otro lado concordar con los usuarios las asignaciones realizadas. Una forma de medir que se satisfacen los requerimientos es: 1. Número de facturas aceptadas y pagadas 2. Porcentaje de diferencia entre lo esperado y los costos actuales 3. Porcentaje costos que siguen lo acordado Objetivos de control: a) Definición de Servicios b) Contabilización de TI c) Modelación de Costos y Cargos d) Mantenimiento del Modelo de Costos Imagen 1.51 DS DS7 EDUCAR Y ENTRENAR A LOS USUARIOS En esta parte el proceso clave es la identificación de las necesidades de los usuarios, ya que el nivel en el que se encuentren y la capacitación que estos requieran determinara su eficiencia. Una forma de medir que se satisfacen los requerimientos es: 1. Número de soportes proporcionados 2. Porcentaje de satisfacción 3. Tiempo entre identificación y la impartición del entrenamiento 203

205 Objetivos de control: a) Identificación de Necesidades de Entrenamiento y Educación b) Impartición de Entrenamiento y Educación c) Evaluación del Entrenamiento Recibido Imagen 1.52 DS DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES La respuesta oportuna y efectiva requiere una mesa de servicios bien diseñada y debe contar con las siguientes características: Bien diseñada Bien ejecutada Con un proceso de administración de incidentes o Función de mesa de servicio con registro o Escalamiento de incidentes o Análisis de tendencia o Análisis causa-raíz o Resolución Una forma de medir que se satisfacen los requerimientos es: 1. Satisfacción del usuario 2. Porcentaje de incidentes resueltos en tiempo 3. Índice de abandono de incidentes Objetivos de control: a) Mesa de Servicios b) Registro de Consultas de Clientes c) Escalamiento de Incidentes d) Cierre de Incidentes e) Análisis de Tendencias 204

206 Imagen 1.53 DS DS9 ADMINISTRAR LA CONFIGURACIÓN Para administrar la configuración primero es necesario definir normas y verificar que estas se estén cumpliendo y no menos importante mantener actualizado el repositorio de configuraciones. Una forma de medir que se satisfacen los requerimientos es: 1. Número de incumplimientos por una mala configuración 2. Número de desviaciones entre el repositorio y la configuración actual 3. Porcentaje de licencias no registradas Objetivos de control: a) Repositorio y Línea Base de Configuración b) Identificación y Mantenimiento de Elementos de Configuración c) Revisión de Integridad de la Configuración Imagen 1.54 DS9 205