DESARROLLO DE PROCESOS DE GESTIÓN DE SERVICIOS DE EXPLOTACIÓN SIGUIENDO EL MODELO CMMI

Transcripción

1 Universidad Politécnica de Madrid Facultad de Informática Estudios de Doctorado DESRROLLO DE PROCESOS DE GESTIÓN DE SERVICIOS DE EXPLOTCIÓN SIGUIENDO EL MODELO CMMI lumno: Sr. Juan Raggio Pérez Tutor: Sr. Tomás San Feliu Gilabert

2 INDICE 1 INTRODUCCIÓN SERVICIOS DE EXPLOTCIÓN PROXIMCIÓN LOS SERVICIOS DE EXPLOTCIÓN MODELOS PR GESTIONR L EXPLOTCIÓN DE LOS SISTEMS DE TI COBIT EL MODELO ITIL (IT Infrastructure Library) MOF (MICROSOFT OPERTIONS FRMEWORK) CMMI MODELO DE GESTIÓN PR LOS SERVICIOS DE EXPLOTCIÓN ESTRUCTUR CMMI POR ETPS NIVELES DE MDUREZ CMMI CMMI EN L GESTIÓN DE SERVICIOS DE EXPLOTCIÓN CONCLUSIONES NEXO LEY SRBNES OXLEY NEXO - B SIX SIGM REFERENCIS Pág. 2 de 61

3 1 INTRODUCCIÓN La necesidad de disponer de unos servicios de explotación alineados con los requerimientos del negocio, se ha vuelto un requisito dentro de las organizaciones. demás si añadimos el hecho de una posible externalización de estos servicios, estaremos ante un conjunto de actividades que, de alguna forma, deben ser controlados bajo un modelo o esquema. Otro ejemplo de la importancia que tienen los servicios de explotación para las organizaciones y para los organismos externos, lo podemos encontrar en el modelo que ha generado ISC para el cumplimiento de la Ley Sarbanes Oxley en el ámbito de los sistemas de información, modelo que se presenta en uno de los nexos de este documento. La línea que sigue este documento es la exponer la complejidad y heterogeneidad de los servicios de explotación, a través de un listado de servicios tomados de una operativa real y de los modelos que existen y que implementados desde distintos ámbitos o entornos se utilizan para el control y gestión de los mismos. Posteriormente se presenta el modelo CMMI como paradigma de la gestión de los servicios de explotación para el que hacer a través de su transición desde una orientación software a una hardware y para el como hacerlo mediante su conjunción con otros esquemas o modelos. Pág. 3 de 61

4 2 SERVICIOS DE EXPLOTCIÓN 2.1 PROXIMCIÓN LOS SERVICIOS DE EXPLOTCIÓN La siguiente lista presenta un amplio conjunto de servicios que quedan dentro del ámbito de lo que se considera la explotación de los sistemas de TI: SERVICIOS DE HELP DESK El Servicio de Help Desk proporciona un punto único de contacto para los requerimientos de usuario de los usuarios finales receptores de servicios. Cualquier usuario final, ante cualquier tipo de incidencia o consulta informática relacionada con los servicios que le pueda surgir, se podrá poner en contacto con el help-desk, bien a través de un portal web, bien telefónicamente. En ambos casos el help-desk será el encargado de resolverla o bien de distribuirla a los grupos de solución que corresponda, gestionando el seguimiento de la incidencia hasta su solución y cierre. SERVICIO DE INFORMCIÓN L USURIO El objetivo de este servicio es proporcionar un medio para informar a todos los usuarios sobre las novedades, incidencias, indisponibilidades y eventos varios, relacionados con los servicios, ajustándose a los requerimientos acordados. GESTIÓN Y CONTROL DE SISTEMS Este servicio fija la utilización de procedimientos y disciplinas para gestionar los sistemas de información. El Manual de Procedimientos contendrá, entre otros, los siguientes procedimientos para la gestión y control de los sistemas: Gestión de la disponibilidad. Es el proceso de coordinación de la información, de las herramientas y de los procedimientos correspondientes necesarios para maximizar la disponibilidad del Servicio. Gestión de la capacidad. Es el proceso de desarrollo y mantenimiento de los planes tácticos y estratégicos que posibilitan, mediante el seguimiento continuado de los entornos operativos, la verificación de que éstos se ajustan a las necesidades de negocio. El objetivo principal de este proceso es el uso eficiente de los recursos de TI. Servicios de Gestión de espacio y almacenamiento. El objetivo de este proceso es el uso eficiente del espacio de los dispositivos de almacenamiento, maximizando su utilización. Gestión de cambios. Proceso de recepción, evaluación, aprobación, planificación, prueba, coordinación, ejecución, verificación y control de los cambios que afectan a la prestación de servicios y a los entornos operativos. El objetivo principal de este proceso es asegurar que los cambios se realizan de forma correcta, en el plazo programado, con los recursos previstos y con el mínimo impacto en el servicio. Gestión de la configuración. Es el proceso que regula tanto los cambios en la configuración de las máquinas y del software como el mantenimiento de los esquemas de configuración de los sistemas. El objetivo principal de este proceso es facilitar la integración de actividades de configuración a través de plataformas y tecnologías. Gestión de rendimiento. Proceso de control, evaluación, análisis y elaboración de informes sobre el rendimiento de los sistemas en comparación con los Niveles de Servicio. El objetivo principal de este proceso es mantener el óptimo funcionamiento y rendimiento de los recursos de TI. Gestión de incidencias. El objetivo de este proceso es la identificación, registro, seguimiento, coordinación entre los grupos de resolución y corrección de los elementos que afectan a la prestación de los distintos servicios. Gestión de problemas. El objetivo de este proceso es la identificación, registro, seguimiento, resolución y corrección de las causas-origen del problema que afectan a la prestación de los servicios. Gestión de copia y recuperación. Este proceso cubre la planificación, prueba e implementación de estándares y procedimientos de copia y restauración, así como de recuperación, requeridos para prestar de la manera acordada un servicio de IT en caso de fallo. El objetivo de este proceso es garantizar la recuperación consistente de los sistemas, subsistemas y aplicaciones. Pág. 4 de 61

5 SOPORTE Y MNTENIMIENTO DE SISTEMS Soporte de Bases de Datos. Diseño físico, instalación, mantenimiento y administración de las bases de datos. Soporte de Hardware. Estandarizar las tareas de instalación, mantenimiento y desinstalación del hardware objeto del servicio. Soporte de Software. Soporte asociado a los sistemas y subsistemas operativos, compiladores, bases de datos, lenguajes de programación, productos y herramientas operativas necesarias para la prestación del servicio. dicionalmente, el proceso de Soporte de Software gestiona las peticiones de distribución de Software y mantiene los repositorios correspondientes. segura también el correcto control de las diferentes versiones del Software. OPERCIÓN Y MONITORIZCIÓN DE LOS SISTEMS. Control de las Operaciones Batch. Este proceso tiene por objetivo gestionar las operaciones de los trabajos por lotes, incluyendo la planificación y preparación de los recursos, jobs y ficheros involucrados. Incluye también los controles para monitorizar los trabajos y la obtención de copias de seguridad en los puntos oportunos. Control de Entorno de Impresión. Tiene por objetivo la gestión de las colas y subsistemas de impresión para la ejecución de las tareas de impresión. Esto implica asegurarse de que las impresoras están operativas. Control de Operaciones con Cintas. El proceso de Control de Operaciones con Cintas tiene por objetivo controlar los recursos de cintas magnéticas y los inventarios de medios magnéticos. Monitorización de Operaciones. Su objetivo es mantener la vigilancia continua sobre la disponibilidad y estado de los recursos (infraestructura TI, Infraestructura de Red, Sistemas, Subsistemas y aplicaciones que permitan la monitorización automática), con el fin de informar, registrar y actuar de forma proactiva y reactiva ante eventos que puedan afectar al Servicio. Mejora de operaciones. Su objetivo es el soporte efectivo y eficiente de los procesos operacionales proporcionando información para la mejora continua de los mismos. SOPORTE CTIVIDDES DE PREPRODUCCIÓN, DESRROLLO Y PRUEBS Gestión de los entornos de Pre-producción, Desarrollo y Pruebas de todos los sistema, y soporte técnico a los equipos de desarrollo y mantenimiento de las aplicaciones. SERVICIO DE ELBORCIÓN DE INFORMES El objetivo de este proceso es proporcionar los informes necesarios para: realizar el seguimiento de los servicios contratados y cumplimiento de los NS acordados, obtener información sobre los servicios estructurada de tal manera que pueda ser valiosa para el seguimiento del negocio y el funcionamiento de las distintas unidades. SERVICIO DE CONSOLIDCIÓN Y REUBICCIÓN Instalar, readaptar y reubicar las máquinas según se estime necesario para realizar las actividades de acuerdo con los Niveles de Servicio, y sin que se cause perjuicios en las operaciones de negocio. Pág. 5 de 61

6 SERVICIO DE SEGURIDD Desarrollo de un documento detallado que definirá los controles de seguridad acordados y que recogerá, entre otra información, la relación de responsabilidades y las medidas de seguridad a fijar. Gestión de la Seguridad. Revisión de las políticas y procedimientos de seguridad para comprobar su efectividad y recomendar mejoras. Seguridad Física. segurar los controles de seguridad física. Control de acceso lógico. Gestión de controles de seguridad lógica Seguridad en la Red de Área Local y WN. Gestión de la seguridad en los elementos de electrónica de red (switches, routers, hubs) y cableado de la red de área local y red WN. OTROS SERVICIOS. Tecnología. Su objetivo es revisar las propuestas de proveedores que afecten a la prestación de los servicios para facilitar la compatibilidad de los sistemas existentes y futuros con los estándares cambiantes de la industria. Relación con el Proveedor y Valoración de Productos. Su objetivo es disponer de información actualizada de los últimos desarrollos tecnológicos de los productos, de mano de los proveedores de telecomunicaciones y de servicios o productos. Reuniones de Revisión de los Servicios. Mantener reuniones de revisión con los proveedores de los servicios. SERVICIOS DE MICROINFORMÁTIC. Gestión de inventario de equipos. Su objetivo es el registro, mantenimiento y disponibilidad de la información correcta acerca del hardware y del software instalado en los equipos. Gestión de incidencias (soporta a usuarios). Se identificará la fuente de las incidencias, y se aportará una solución. Servicio de Mantenimiento del Hardware. Instalación, configuración, cambio, actualización y desinstalación de componentes hardware. Gestión de Backup y Recuperación de Servidores. backup de los Servidores del Entorno Microinformático con herramientas, de forma remota y centralizada en la medida de lo posible. Gestión LN/WN WN. Instalación, soporte, configuración, cambio o desinstalación de todos los elementos que conforman la red LN/WN. Homologación de hardware y software. Se homologará el nuevo software y hardware sobre la plataforma vigente en cada momento. Esta lista solo pretende dar una visión aproximada del amplio conjunto de actividades que pueden quedar recogidas dentro de lo que se conocen como servicios de explotación. Hablar de servicios de explotación resulta complejo dado que es un actividad que en su mas amplia expresión presenta múltiples interacciones con otras actividades de TI, como el desarrollo de software entendido como la construcción de herramientas ad-hoc para la gestión de nuestros sistemas. Es por esto que se observa la necesidad de modelar de alguna forma estos servicios, con el objetivo de permitir su control y mejora continua. quí es donde entran esquemas como los proporcionados por COBIT, ITIL, MOF y CMMI. Pág. 6 de 61

7 3 MODELOS PR GESTIONR L EXPLOTCIÓN DE LOS SISTEMS DE TI 3.1 COBIT El modelo COBIT (Objetivos de Control para la Información y las Tecnologías) promovido desde la Governance, Control and udit for Information and Related Technology y esponsorizado por la Information Systems udit and Control Foundation (ISCF), proporciona prácticas sanas a través de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica, para ayudar a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos. COBIT se estructura sobre la base de los siguientes elementos: Resumen Ejecutivo. Es una síntesis ejecutiva que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT. Marco Referencial. Describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la información y los recursos de TI que son impactados de forma directa por cada objetivo de control. Objetivos de Control Detallado. Contienen declaraciones de los resultados deseados o propósitos a ser alcanzados mediante la implementación de los 302 objetivos de control detallados y específicos a través de los 34 procesos de TI. Guías de uditoria. Herramienta para la aplicación del Marco Referencial y los Objetivos de Control. Proporcionan una estructura sencilla para auditar y evaluar controles, con base en prácticas de auditoria generalmente aceptadas y compatibles con el sistema COBIT. Guías Gerenciales. Conformada por Modelos de Madurez, Factores Críticos de Éxito, Indicadores Clave de objetivos e Indicadores Claves de Rendimiento. Proporciona un marco para dar respuesta a la gerencia en aspectos referentes al control y medida de la actividad de IT referente a los 34 procesos de IT. MRCO REFERENCIL Marco referencial sobre la base de tres puntos estratégicos: (1) recursos de TI (2) requerimientos de negocio para la información (3) procesos de TI Pág. 7 de 61

8 RECURSOS DE TI - Datos. Con el fin de asegurar que los requerimientos de negocio para la información son satisfechos, deben definirse Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc. - plicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados. - Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. - Instalaciones. Recursos para alojar y dar soporte a los sistemas de información. - Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información. REQUERIMIENTOS DE NEGOCIO - Requerimientos de Calidad Calidad Costo Entrega (de servicio) - Requerimientos Fiduciarios (COSO) Efectividad & Eficiencia de operaciones Confiabilidad de la información Cumplimiento de la las leyes y regulaciones - Requerimientos de Seguridad Confidencialidad Integridad Disponibilidad partir de estos requerimientos se extraen siete categorías distintas: Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos. Confidencialidad. Se refiere a la protección de información sensible contra divulgación no autorizada. Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la información. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. Pág. 8 de 61

9 DOMINIOS Planificación y organización Cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. demás, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. dquisición e implementación Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. demás, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Entrega y Soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. Monitoreo Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Pág. 9 de 61

10 La siguiente tabla proporciona una indicación por proceso y dominio de TI de los criterios de información que se ven afectados por los objetivos de alto nivel, así como una indicación de los recursos de TI que son aplicables. Pág. 10 de 61

11 Sobre la base del esquema presentado, intentemos identificar los objetivos de control y objetivos de control detallado para la gestión de los servicios de explotación de TI: I - dquisición e Implementación I-1 Identificar soluciones I-3 I-4 I-5 I-6 I-1.1 Definición de requerimientos de información I-1.2 Formulación de acciones alternativas I-1.4 Requerimientos de servicios de terceros I-1.5 Estudios de factibilidad tecnológica I-1.7 rquitectura tecnológica I-1.10 Diseño de pistas de auditoria I-1.12 Selección de software del sistema dquirir y mantener la arquitectura tecnológica I-3.1 Evaluación de nuevo hardware y software I-3.2 Mantenimiento preventivo para hardware I-3.3 Seguridad del software del sistema I-3.4 Instalación del software del sistema I-3.5 Mantenimiento del software del sistema I-3.6 Controles para cambios del software del sistema I-3.7 Uso y monitoreo de utilidades del sistema Procedimientos de desarrollo y mantenimiento de sistemas I-4.1 Requerimientos Operacionales y Niveles de Servicio I-4.2 Manual de Procedimientos para Usuario I-4.3 Manual de Operación I-3.5 Material de Entrenamiento Instalar y acreditar sistemas I-5.1 Entrenamiento I-5.3 Plan de Implementación I-5.12 Promoción a Producción dministrar cambios I-6.1 Inicio y Control de Solicitudes de Cambio I-6.2 nálisis de Impacto I-6.3 Control de Cambios I-6.4 Cambios de Emergencia I-6.5 Documentación y Procedimientos I-6.6 Mantenimiento utorizado I-6.7 Política de Liberación de Software I-6.8 Distribución de Software DS - Entrega y Soporte DS-1 Definir Niveles de Servicio DS-2 DS-3 DS-1.1 Marco de Referencia para acuerdos de Nivel de Servicio DS-1.2 spectos sobre los cuerdos de Nivel de Servicio DS-1.3 Procedimientos de Desempeño DS-1.4 Monitoreo y Reporte DS-1.5 Revisión de Contratos y cuerdos de Nivel de Servicio DS-1.7 Programa de Mejoramiento del Servicio dministrar servicios prestados por terceros DS-2.3 Contratos con Terceros DS-2.5 Contratos con Outsourcing DS-2.6 Continuidad del Servicios DS-2.7 Relaciones de Seguridad DS-2.8 Monitoreo dministrar desempeño y capacidad DS-3.5 dministración de Desempeño Proactivo DS-3.6 Pronóstico de Carga de Trabajo DS-3.7 dministración de Capacidad de Recursos DS-3.8 Disponibilidad de Recursos DS-3.9 Calendario / Programación de recursos Pág. 11 de 61

12 DS-5 DS-8 DS-9 DS-10 DS-11 DS-13 Garantizar la Seguridad de Sistemas DS-5.3 Seguridad de cceso a Datos en Línea DS-5.9 dministración Centralizada de Identificación y Derechos de cceso DS-5.17 Protección de las funciones de seguridad DS-5.19 Prevención, Detección y Corrección de Software Malicioso DS-5.20 rquitecturas de Firewall y conexión a redes públicas poyar y asistir a los clientes de TI DS-8.1 Help Desk DS-8.2 Registro de consultas del Cliente DS-8.3 Escalado de consultas del Cliente DS-8.4 Monitoreo de tención a Clientes DS-8.5 nálisis y Reporte de Tendencia dministrar la configuración DS-9.1 Registro de la Configuración DS-9.2 Base de la Configuración DS-9.4 Control de la Configuración DS-9.5 Software no utorizado DS-9.6 lmacenamiento de Software DS-9.7 Procedimientos para la dministración dela Configuración DS-9.8 Contabilidad y registro del Software dministrar problemas e incidentes DS-10.1 Sistema de dministración de Problemas DS-10.2 Escalamiento de Problemas DS-10.3 Seguimiento de Problemas y Pistas de uditoría DS-10.4 utorizaciones para acceso temporal y de emergencia. DS-10.5 Prioridades en Procesos de Emergencia dministrar datos DS Protección de Información Sensitiva durante transmisión y transporte DS Protección de Información Sensitiva a ser Desechada DS dministración de lmacenamiento DS Períodos de Retención y Términos de lmacenamiento DS Sistema de dministración de la Librería de Medios DS Responsabilidades de la dministración de la Librería de Medios DS Respaldo y Restauración DS Funciones de Respaldo DS lmacenamiento de Respaldo dministrar operaciones DS-13.1 Manual de Instrucciones y procedimientos de Operaciones de procesamiento DS-13.2 Documentación del Proceso de Inicio y de otras operaciones DS-13.3 Calendario / programación de Trabajos DS-13.4 Ejecución de los Trabajos estándar programados DS-13.5 Continuidad de Procesamiento DS-13.6 Bitácoras de Operación DS-13.8 Operaciones Remotas Como vemos COBIT proporciona un esquema de referencia para abordar esta gestión, pero puede resultar un poco difícil llegar a delimitar las acciones concretas que se deben ejecutar para poner en practica estos objetivos de control. Podemos acudir a las Guías de uditoria las cuales dan puntos de referencia sobre los aspectos perseguidos con el control pero como su propio nombre indica están plenamente orientadas hacia la actividad de auditoria. También podemos hacer uso de la Guías o Directrices Gerenciales de COBIT, las cuales ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genéricas orientadas a proveer a la dministración la dirección para mantener bajo control la información de la empresa y sus procesos relacionados, para monitorear el logro de las metas Pág. 12 de 61

13 organizacionales, para monitorear el desempeño de cada proceso de TI y para llevar a cabo un benchmarking de los logros que se producen en la organización.[1] Las Directrices Gerenciales de COBIT son genéricas y son acciones orientadas al propósito de responder los siguientes tipos de preguntas gerenciales: Qué tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cuáles son los indicadores de buen desempeño? Cuáles son los factores críticos de éxito? Cuáles son los riesgos de no lograr nuestros objetivos? Qué hacen otros? Cómo nos podemos medir y comparar? Las Guías Gerenciales de COBIT se construyen sobre: - Factores Críticos de Éxito(Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la dministración para lograr control sobre y dentro de los procesos de TI. - Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators), los cuales definen los mecanismos de medición que indicarán a la Gerencia después del hecho si un proceso de TI ha satisfecho los requerimientos del negocio. - Modelos de Madurez, para el control sobre los procesos de TI de tal forma que la dministración puede ubicarse en el punto donde la organización está hoy, donde está en relación con los mejores de su clase en su industria y con los estándares internacionales y así mismo determinar a donde quiere llegar. Los modelos de madurez establecidos por COBIT para cada uno de los 34 Objetivos de Control son: No existe (0). usencia total de procesos reconocidos como tal. La organización no ha reconocido la necesidad de su existencia. Inicial /d Hoc (1). Existen evidencias de que la organización ha reconocido de que existe la necesidad y que se debe trabajar en paliarla. Sin embrago los procesos no están estandarizados y cada persona realiza y desarrolla su procesos en base a su buen criterio. No existe una visión global de gestión, por lo que la gestión no es organizada. Repetible pero intuitivo (2). Se han desarrollado procesos, a tal nivel que llegan a ser usados por diferentes personas para realizar la misma tarea. La formación no esta normalizada y por tanto los procedimientos no se comunican de manera formal, por lo que su difusión queda en manos del individuo. Hay un alto grado de dependencia del conocimiento del individuo y por tanto los errores suelen ser comunes. Proceso definido (3). Los procesos están estandarizados y documentados, y son comunicados a través de la formación. Sin embrago son los individuos los que trabajan con estos procedimientos y los que pueden detectar desviaciones en los mismos. Los procedimientos en si no son sofisticados pero son la formalización de practicas existentes. Gestionado y medido (4)..ES posible monitorizar y medir el cumplimento de los procedimientos y tomar acciones cuando se observe que los procedimientos no funcionan eficazmente. Los procesos están bajo constante mejora y proporcionan buenas practicas. La automatización y las herramientas son usadas de forma fragmentada y limitada. Pág. 13 de 61

14 Optimizado (5). Los procesos han sido refinados hasta el nivel de buenas practicas, basados en los resultados de la mejora continua y modelos de madurez de otras organiaciones. Los sistemas de TI son usados de una forma integra para automatizar el workflow, además de proporcionar herramientas para mejora las calidad y la eficacia, lo que hace que la empresa se adapte de forma rápida al cambio. - Indicadores Clave de desempeño(key Performance Indicators), los cuales son indicadores primarios que definen la medida para conocer qué tan bien se está ejecutando el proceso de TI frente o comparado contra el objetivo que se busca. Todo esto pone de manifiesto que si bien el modelo COBIT a través de sus objetivos de control nos informa de lo que debemos hacer para gestionar los servicios de explotación aún necesitamos de algún otro modelo, como ITIL, que nos indique el como.[2] Pág. 14 de 61

15 3.2 EL MODELO ITIL (IT Infrastructure Library) Information Technology Infraestructure Library, en adelante ITIL, surge como modelo desde la CCT (UK) orientado hacia la gestión de las operaciones y servicios de los sistemas y tecnologías de la información y comunicación (Information and Communications technology Systems - ICT). Este modelo está solidamente establecido en Europa, ustralia y US. ITIL es un marco de buenas practicas documentadas de forma abstracta, con el objetivo de poder ser aplicadas en cualquier organización de TI. Está específicamente desarrollado para los servicios de mantenimiento y operación de TI, y proporciona objetivos de servicio además de actividades e indicadores clave de servicio. El marco de actuación de ITIL queda representado en le siguiente grafico. CLIENTES EL NEGOCIO USURIOS SERVICIOS GESTION DE L PLICCIÓN GESTIÓN DEL SERVICIO SERVICIO ENTREGDO SERVICIO SOPORTDO SERVÏCIO DE ESCRITORIO GESTIÓN DEL NIVEL DE SERVICIO GESTIÓN DE INCIDENTES GESTIÓN DE L CPCIDD GESTIÓN DE PROBLEMS GESTIÓN FINNCIER GESTIÓN DE L CONFIGURCIÓN GESTIÓN DE L DISPONIBILIDD GESTIÓN DEL CMBIO CONTINUIDD DEL SERVICIO GESTIÓN DE VERSIONES GESTIÓN DE L INFRESTRUCTUR DE ICT DISEÑO Y PLNIFICCIÓN DESRROLLO OPERCIONES SOPORTE TÉCNICO SOCIOS (partners) TECNOLOGÍ Pág. 15 de 61

16 Si vemos los servicios de explotación como el conjunto de actividades y el mantenimiento diario de los de los sistemas y tecnologías de la información, entonces asimilamos estas actividades al proceso de Operaciones del ICT Infrastructure Management (ICTIM) recogido en ITIL. Dentro de ICTIM, el proceso de Operaciones asegura la efectividad en la gestión operacional de las tecnologías e infraestructuras, al recoger todas las actividades y medidas que permiten y mantiene el uso de los sistemas de información y telecomunicaciones. ITIL define el proceso de Operaciones como: Todas las actividades y medidas necesarias para habilitar y/ mantener el optimo uso de los sistemas y tecnologías de la información y comunicación con el propósito de alcanzar los cuerdos de Nivel de Servicio y objetivos de negocio fijados. ITIL ve a todos los procesos como un conjunto de entradas que bajo la aplicación de un determinado conjunto de funciones provocan unas salidas,. demás considera estas funcionas sujetas a un ciclo de mejora continuo con el objeto de mantenerlas alineadas a las necesidades cambiantes del negocio: NORMLIZR COMPRR CONTROL MONITORIZR Input FUNCION Output Pág. 16 de 61

17 CONCEPTOS BÁSICOS EN ITIL PR EL PROCESO DE OPERCIONES Objeto Gestionado (Managed Object) Un Objeto Gestionado (MO) es para el modelo de gestión del Open Systems Interconneection (OSI) un recurso que esta sujeto a gestión. Un MO es la representación de un recurso de infraestructura técnica a ser gestionado.. Un MO se define en base a los atributos que posee, las operaciones que puede realizar, las notificaciones que puede dar y las relaciones que puede establecer con otro MO. Dominio de Gestión (Management Domain) Un dominio de gestión es un conjunto de MO, al los que se les puede aplicar un conjunto común de Políticas de Sistemas de Gestión. Un dominio de gestión posee al menos dos de las siguientes propiedades: - Un nombre único. - Identificación de una colección de MO, los cuales son miembros del dominio. - Identificación de relaciones inter-dominios aplicables a las relaciones de un dominio con otro (reglas, practicas, procedimientos). OBJETIVOS PRINCIPLES DE ITIL PR EL PROCESO DE OPERCIONES - Operar, gestionar y mantener un esquema de infraestructura tecnológica de sistemas de información y comunicaciones de principio a fin que facilite la entrega de los servicios de ICT al negocio, y que suponga la comunión entre los requerimientos y objetivos acordados. - segurar que la infraestructura de ICT es fiable, robusta, segura, consistente y posibilita la eficiencia y efectividad de los procesos de negocio de la organización. - segurar que todas los requerimientos operacionales de los proceso de ICT están cubiertos y proporcionan un nivel de servicio operacional en línea con los cuerdos de Nivel de Servicio fijados. LCNCE DE ITIL PR EL PROCESO DE OPERCIONES: Entrada La infraestructura de ICT. cuerdos de Nivel de Operación (OL 1 ), los cuales fijan y documentan los objetivos y requerimientos para la infraestructura de ICT. Es crucial que estos acuerdos estén soportados por cuerdos de Nivel de Servicio (SL 2 ). Contratos consistentes y que incluyan cuerdos de Nivel de Servicios. 1 OL (Operational Level greement - cuerdo de Nivel de Operaciones); es un acuerdo interno que contempla los servicios que dan soporte a la organización de TI para que ésta a su vez proporcionen servicios a terceros. 2 SL (Service Level greement - cuerdo de Nivel de Servicio); acuerdo establecido entre TI y los clientes a los que presta el servicio. Pág. 17 de 61

18 Procesos y procedimientos operacionales. Estrategias, planes, políticas, estándares y arquitecturas. Procesos Eventos, avisos, alertas y alarmas a ser procesadas y gestionadas: - Progreso y resolución de todos los mensajes de eventos, avisos, alertas y alarmas. - Relación con la gestión de incidentes y problemas. - Relación con la disponibilidad, seguridad y gestión de la capacidad. Gestión total de la infraestructura operacional de ICT: - Rendimiento y configuración adaptada a la infraestructura operacional en conjunción con la Gestión de la Capacidad y la Gestión del Cambio. - Configuración y reconfiguración de los Objetivos de Gestión (MO). - daptación del Sistemas y rendimiento. Planificación de la Carga De Trabajo: - Planificación de la gestión y mantenimiento de los Procesos Batch. - Gestión de la impresión y de los datos de salida. Revisión y Mantenimiento: - Backups y restauración. - Mantenimiento de la infraestructura de ICT. - dministración de las bases de datos. - Mantenimiento de la documentación. - Disponibilidad, y test de esfuerzo y recuperación. - Chequeo de la salud de la infraestructura. - Revisión de logs. Gestión del lmacenamiento: - Mantenimiento de los datos y de los ficheros del sistema. - Gestión y dministración de las bases de datos. - Gestión de medios. - Revisión de logs. - Gestión y planificación de Backups. - Reportes de uso. Relación con las otras áreas de ICT, especialmente con la Soporte Técnico, el soporte externalizado, y los ingenieros y técnicos de mantenimiento. Proactividad para la mejora de los procesos de operaciones bajo la Gestión de Control de Cambios. Entregables Una estable y segura infraestructura de ICT. Pág. 18 de 61

19 Una Librería de Documentos segura que contenga el detalle de todas los procesos operacionales. Un log o base de datos de todas los eventos, alertas y alarmas operacionales. La mayoría de estos debería alimentar al proceso de Gestión de Incidencias y ser recogidos como incidentes. Un conjunto de scripts operacionales. Un conjunto de trabajos operacionales para todos los trabajo batch, gestión de la impresión y calendario de backups de datos y ficheros del sistema. Gestión de reportes y de la información. Reporte de las revisiones por excepción. Reporte de auditoria para la eficiencia, efectividad y cumplimiento. IMPLICCIONES DE L GESTIÓN DE PROCESOS DE OPERCIONES EN ITIL Control y gestión operacional de los servicios, componentes y sus configuraciones: - Instalación. - Desinstalación. - Distribución. - Control de la Operación. - Desarrollo y mantenimiento de un conjunto de herramientas para la gestión operacional. - Configuración y reconfiguración. - Procesos de mantenimiento preventivo. - Inventario y Mantenimiento. Gestión de todas los eventos de la infraestructura de ICT: - Monitorizar eventos. - Detección de eventos. - Registro (log) de eventos. - Examen y filtrado de eventos. - Procesado, correlación y escalado de eventos. - Resolución de eventos. - Cierre de eventos. - Gestión del ciclo de vida de los eventos. - grupado de eventos. - Reporte de eventos. Gestión y planificación de las cargas de trabajo y de las salidas: - Planificar las cargas de trabajo y su gestión. - Planificación y gestión de las salidas de datos y de impresión. - Control y Distribución segura de los datos de salida. - Planificación de las pruebas de carga y de los test de fallo. Gestión del almacenamiento, de backups y de los procesos de restauración: Pág. 19 de 61

20 - Gestión del almacenamiento y su ubicación. - Sistemas de backup y restauración. - Gestión de la información. - Gestión y dministración de las bases de datos. Gestión y control de todos los aspectos de la seguridad operacional de ICT: - Monitoreo de la seguridad. - Control de la seguridad tanto física como lógica. Gestión de los procesos de soporte operacional: - Mantenimiento de la documentación operacional - Recogida de todo tipo de información y logs relacionados con la operación de ICT. - nálisis de la información. - Scripting. Proactividad en la gestión operacional de los procesos: - Revisión de los procesos relacionados con la operación en la búsqueda de la eficiencia, la eficacia y el cumplimiento. - uditoria interna o externa de todos los procesos operacionales. - Instigar la acción para buscar remedios y mejoras en la infraestructura operacional. - Instigar la acción para buscar remedios y mejoras en los procesos operacionales. - daptación operacional. TÉCNICS, HERRMIENTS Y TECNOLOGÍS Técnicas Centro de Operaciones, en el que se integren procesos, personas y productos del área de operaciones y del área de gestión de incidentes. nálisis de eventos y tendencias. Revisiones y valoraciones internas. Benchmarking Externo. Proceso de mejora continua. Herramientas Herramientas para la gestión de sistemas y redes. Herramientas para la gestión del entorno. Herramientas para la gestión del servicio, de aplicaciones y de bases de datos. Herramientas de diagnostico. Pág. 20 de 61