1 Aprobación: 25/6/2014 Página 1 de Firma de Autorizaciones Elaboró Revisó Aprobó Firma: Firma: Firma: Stella Gutiérrez Miguel Segura Contratista Sistemas y Contratista Sistemas y Harold Martínez Comunicaciones Comunicaciones Subgerente Técnico Control de Cambios Versión Descripción 23/6/2014 1.0 Creación y emisión de la primera versión del documento.
Aprobación: 25/6/2014 Página 2 de TABLA DE CONTENIDO 1 INTRODUCCIÓN -------------------------------------------------------------------------------------------- 4 2 ESTRUCTURA ORGANIZACIONAL ------------------------------------------------------------------- 5 2.1 Descripción de los roles de TI ---------------------------------------------------------------------------- 6 2.1.1 Indicadores de gestión Oficina de Tecnologías de la Información 7 3 Proceso Mantenimiento y Soporte técnico integral de bienes para la seguridad, defensa y justicia -------------------------------------------------------------------------------------------------------- 9 3.1 Servicio de Soporte y Mantenimiento de Equipos de Computo del FVS (Mesa de Ayuda) ---------------------------------------------------------------------------------------------------------- 9 3.1.1 Misión de la Mesa de Ayuda 9 3.1.2 Visión de la Mesa de Ayuda 9 3.1.3 Objetivos de la Mesa de Ayuda 9 3.1.4 Responsabilidades Básicas de la Mesa de Ayuda 10 3.1.5 Políticas de la Mesa de Ayuda 10 3.1.6 Función y Actividades de la Mesa de Ayuda 11 3.1.7 Indicadores de Desempeño de la Mesa de Ayuda 16 3.1.7.1 Efectividad de la documentación de las solicitudes de servicio 16 3.1.7.2 Nivel de efectividad de las soluciones 17 3.1.7.3 Nivel de resolución de solicitudes de servicio en la Mesa de Ayuda 17 3.1.7.4 Nivel de cumplimiento del SLAs de la Mesa de Ayuda 18 3.1.7.5 Nivel de satisfacción del usuario 18 3.1.8 Matriz de riesgos y objetivos de control del Centro de Servicio 19 3.2 Mantenimiento Correctivo -------------------------------------------------------------------------------- 21 3.3 Mantenimiento Preventivo -------------------------------------------------------------------------------- 22 4 PROCESO GESTIÓN TICS ----------------------------------------------------------------------------- 25 4.1 Gestión de Cambios --------------------------------------------------------------------------------------- 25 4.2 Gestión de Configuraciones y seguridad ------------------------------------------------------------- 27 4.3 Gestión de Continuidad ----------------------------------------------------------------------------------- 30 4.4 Gestión de Disponibilidad -------------------------------------------------------------------------------- 32 4.5 Gestión de Pruebas ---------------------------------------------------------------------------------------- 34 4.6 Diseño de aplicaciones y nuevos requerimientos -------------------------------------------------- 35
Aprobación: 25/6/2014 Página 3 de LISTADO DE TABLAS TABLA 1 ROLES DE TI ------------------------------------------------------------------------------------------------ 6 LISTADO DE FIGURAS FIGURA 1 ORGANIGRAMA FONDO DE VIGILANCIA Y SEGURIDAD ------------------------------------------------------- 5 FIGURA 2 ORGANIGRAMA OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN -------------------------------------------- 5 FIGURA 3 CLASIFICACIÓN DE EVENTOS POR SOLICITUD --------------------------------------------------------------- 12 FIGURA 4 IMPACTO VS URGENCIA EN ATENCIÓN --------------------------------------------------------------------- 14 FIGURA 5 PRIORIDAD DE ATENCIÓN ---------------------------------------------------------------------------------- 14
Aprobación: 25/6/2014 Página 4 de 1 INTRODUCCIÓN El Fondo de Vigilancia y Seguridad ha identificado dentro de sus procesos y procedimientos, la necesidad de establecer directrices específicas para la oficina de Tecnologías de la Información las cuales se alinearan a las mejores prácticas del mercado en la materia, en este caso ITIL. El manual operativo de Tecnologías de la Información TI - direcciona las actividades del día a día que realiza la oficina de Tecnologías de la Información en lo relacionado al apoyo, soporte, mantenimiento, seguridad y continuidad operativa del negocio del Fondo de Vigilancia y Seguridad. El manual operativo también determina las habilidades que deben desarrollar los funcionarios de la oficina de Tecnologías de la Información para cumplir de forma óptima sus responsabilidades. Es importante recalcar que este manual deberá ser revisado y actualizado a medida que los procesos y procedimientos se consoliden y aumenten su nivel de madurez; a fin de que adquieran un dinamismo que permita la satisfacción de las cambiantes necesidades del negocio.
Aprobación: 25/6/2014 Página 5 de 2 ESTRUCTURA ORGANIZACIONAL La estructura organizacional del Fondo de Vigilancia y Seguridad se presenta a continuación. Figura 1 Organigrama Fondo de Vigilancia y Seguridad De esta estructura organización se desprende de la Subgerencia Técnica y el grupo funcional de sistemas la cual está organizada por grupos de trabajo, como se presenta a continuación. Figura 2 Organigrama Oficina de Tecnologías de la Información
Aprobación: 25/6/2014 Página 6 de 2.1 Descripción de los roles de TI Los siguientes son los roles definidos para la oficina de Tecnologías de la Información del Fondo de Vigilancia y Seguridad. Tabla 1 Roles de TI Id Rol Descripción 1 Líder oficina de Tecnologías de la Información Encargado de dirigir las decisiones relacionadas con las tecnologías de la información requeridas por el Fondo de Vigilancia y Seguridad. 2 Asistente oficina de Tecnologías de la Información Apoyo directo al Coordinador de la Oficina de Tecnologías de la Información en la gestión de las tecnologías de información. 3 Administrador de Sistemas de Información Responsable de controlar las versiones de hardware y software que se encuentran instaladas en el Fondo de Vigilancia y Seguridad. Persona encargada de evaluar las necesidades de los usuarios y clientes del Fondo de Vigilancia y Seguridad y de transformar estas necesidades en requerimientos funcionales y no funcionales que puedan ser implantados como una solución de TI. Responsable de definir el plan de pruebas que debe cumplir una tecnología de la información previo a ser implantada en el Fondo de Vigilancia y Seguridad. Responsable de definir los criterios de aceptación y pautas de calidad que debe cumplir una solución de TI, antes de ser implantada en el Fondo de Vigilancia y Seguridad. Encargado de dar soporte a la información del Fondo de Vigilancia y Seguridad que se encuentra almacenada en las bases de datos que se encuentran en las instalaciones del Fondo de Vigilancia y Seguridad o en el centro de datos en el que se encuentra la infraestructura tecnológica. 4 Administrador de Red Encargado de dar soporte a toda la infraestructura de comunicaciones internas y externas del Fondo de Vigilancia y Seguridad. Encargado de velar por disponibilidad y estabilidad de la infraestructura física y de hardware del Fondo de Vigilancia y Seguridad.
Aprobación: 25/6/2014 Página 7 de Id Rol Descripción Esta persona es responsable por garantizar que no se modifique ni hardware, ni software sin seguir un proceso que evalúe el impacto del cambio. Responsable de garantizar la disponibilidad de la infraestructura tecnológica, definir los planes de continuidad y supervisar los cambios que se le deben realizar a la infraestructura para garantizar la continuidad del negocio. Responsable de supervisar la infraestructura de TI y garantizar que la capacidad de TI sea la adecuada para responder a las necesidades del Fondo de Vigilancia y Seguridad. 5 Administrador de seguridad y procesos Encargado custodiar la información confidencial y definir las políticas de seguridad de TI, enmarcadas en las políticas de seguridad del Fondo de Vigilancia y Seguridad. 6 Administrador Mesa de Ayuda Encargado de coordinar el punto de contacto con los usuarios y de distribuir la carga de las solicitudes, requerimientos, quejas, incidentes 2.1.1 Indicadores de gestión Oficina de Tecnologías de la Información Indicadores del Líder oficina de Tecnologías de la Información Procesos monitoreados Tiempo de aprobación de la documentación Cumplimiento del presupuesto del área a su cargo Mejora en el manejo del liderazgo para el cambio Mejora en la satisfacción de los usuarios internos Mejora del clima organizacional del área a su cargo Indicadores del asistente Disponibilidad Cumplimiento de las tareas asignadas Indicadores del Administrador de Sistemas de Información
Aprobación: 25/6/2014 Página 8 de Cumplimiento de las estrategias de datos e información. Número de fallas en las repositorios de datos e información Entrega oportuna de reportes de monitoreo Entrega oportuna de datos de procesos tabulados Documentos desactualizados Documentos aprobados sin publicar Indicadores del Administrador de Red Número de fallas de red e infraestructura Entrega oportuna de reportes de monitoreo Documentos desactualizados Documentos aprobados sin publicar Indicadores del Oficial de Seguridad Cumplimiento de las estrategias de seguridad. Número de incidentes de seguridad. Documentos desactualizados Documentos aprobados sin publicar Indicadores del equipo de soporte y mantenimiento de la Mesa de Ayuda: Tiempo de resolución de eventos Variación en los registros de los elementos de configuración Tiempo de atención de incidentes o problemas Incidentes y problemas documentados Operaciones reprocesadas por fallas o errores imputables al funcionario
Aprobación: 25/6/2014 Página 9 de 3 PROCESO MANTENIMIENTO Y SOPORTE TÉCNICO INTEGRAL DE BIENES PARA LA SEGURIDAD, DEFENSA Y JUSTICIA 3.1 Servicio de Soporte y Mantenimiento de Equipos de Computo del FVS (Mesa de Ayuda) La Mesa de Ayuda del Fondo de Vigilancia y Seguridad es el primer nivel de soporte y único punto de contacto para los usuarios, sin importar el tipo de solicitud (reportes de incidentes, consultas, solicitudes de cambio, instalaciones, entre otros), para luego ser tratada de acuerdo a sus características y remitida al proceso y a los dueños o responsables de los procesos y/o procedimientos adecuados. Por esta razón la Mesa de Ayuda es una función y no un proceso ya que no realiza actividades de un único proceso sino que es un multiplexor de procesos. Por lo tanto, la Mesa de Ayuda del Fondo de Vigilancia y Seguridad puede recibir, registrar y monitorear fallas, solicitudes, requerimientos, quejas, consultas y felicitaciones, ya que es el encargado de atender reportes de incidentes y solicitudes de servicio, y mantener al usuario informado durante todo el proceso de resolución. Se encarga del registro, priorización y trámite de los incidentes, solicitudes de servicio, accesos entre otros. Es importante recalcar que la Mesa de Ayuda será el único punto de entrada de solicitudes de servicios, mas no será el único punto de salida de todas las comunicaciones desde los procesos de gestión hacia las áreas de negocio, pues se contempla que algunos procesos tengan contacto con las áreas o usuarios de forma directa, con el fin de realizar un proceso más ágil y eficiente. 3.1.1 Misión de la Mesa de Ayuda Atender todas las solicitudes de usuario relacionadas con servicios de TI del Fondo de Vigilancia y Seguridad, para escalarlas, darles seguimiento, documentarlas y comunicarlas a todos los usuarios y los involucrados de los procesos y procedimientos de la oficina de Tecnologías de la Información. 3.1.2 Visión de la Mesa de Ayuda Ser el único punto de contacto para todas las solicitudes de servicios y reportes de incidentes de todos los usuarios de los servicios de TI, respondiendo de manera eficiente y apoyándose en aplicaciones que faciliten el acceso al conocimiento de la gestión de servicios. 3.1.3 Objetivos de la Mesa de Ayuda Ser el único punto de atención de solicitudes de servicios de usuario. Atender, registrar y documentar el proceso de resolución de incidentes, incluido su cierre. Solucionar de manera eficiente las solicitudes utilizando el conocimiento generado.
Aprobación: 25/6/2014 Página 10 de Escalar, comunicar y dar seguimiento a los incidentes o solicitudes de servicio que no pueden ser atendidos de acuerdo a los Acuerdos de Niveles de Servicio (SLA) acordados. Medir el nivel de satisfacción de los usuarios de los servicios de TI. Asegurar el cumplimiento de los niveles de disponibilidad y calidad acordados. 3.1.4 Responsabilidades Básicas de la Mesa de Ayuda Recepción de llamadas y de otras solicitudes vía correo electrónico y Web. Registro de todas las llamadas entrantes. Clasificación de las solicitudes acorde con la definición de criterios Asignación y seguimiento a la resolución Seguimiento a actividades específicas para la solución dentro de las ventanas de tiempo acordadas. Confirmación de satisfacción y cierre de las solicitudes. Junto con una gestión de incidentes activa, la Mesa de Ayuda es una fuente de información de gestión. Los siguientes son los reportes más comunes que tendrá a su cargo la Mesa de Ayuda: Revisiones diarias de los estados de los incidentes y problemas (escalamiento de llamadas, posibles brechas de servicio, todos los incidentes sobresalientes) Revisiones de gestión semanales (no disponibilidad del servicio, incidentes mayores, errores conocidos y cambios, brechas de servicio, incidentes que resultaron de un problema común, tendencias, satisfacción del cliente) Reportes proactivos de servicio (cambios planeados para la siguiente semana, usuarios insatisfechos de la semana anterior, componentes de configuración pobres, incidentes mayores con sus formas de dar solución de la semana pasada. 3.1.5 Políticas de la Mesa de Ayuda El horario de atención del Centro de Servicio es el siguiente: Lunes a Viernes de 7:00 a.m. a 6:00 p.m. excluyendo festivos. Sábados de 7:00 a.m. a 1:00 p.m. El tiempo de atención de aquellas solicitudes ingresadas fuera del horario de atención, comenzará a contar a partir del inicio de la jornada de atención del siguiente día.
Aprobación: 25/6/2014 Página 11 de La función de la Mesa de Ayuda está compuesta por tres niveles de soporte, distribuidos de la siguiente manera: El nivel 0 hace referencia a un nivel de autoayuda en donde los mismos clientes y/o usuarios son los encargados del soporte, existe registro de dicho evento dentro de la aplicación que soporta la Mesa de Ayuda. El primer nivel está compuesto por los agentes y los técnicos de soporte. El segundo nivel son los especialistas. La Mesa de Ayuda atiende solicitudes, requerimientos, eventos, fallos, quejas y felicitaciones que pueden ser de servicios de TI como de otro tipo de servicios de Negocio. Todas las solicitudes, requerimientos y eventos registrados en la Mesa de Ayuda deben generar un tiquete para el control y monitoreo por parte del soporte de primer nivel. El desempeño de la función de la Mesa de Ayuda será evaluado periódicamente según los indicadores definidos en este documento y los Acuerdos de Niveles de Servicio aprobados para la Operación del Servicio. Las escalas de tiempo para la solución de incidentes deben acordarse para cada una de las etapas de la gestión de incidentes basados en los Acuerdos de Niveles de Servicio y los objetivos de respuesta. La prioridad de un incidente puede ser dinámica, en el caso de que las circunstancias cambien o un incidente no sea resuelto dentro de los límites de tiempo del Acuerdo de Nivel de Servicio, la prioridad debe modificarse para reflejar la urgencia e impacto de la nueva situación. Estos pueden considerarse dentro de los incidentes mayores. Los incidentes mayores son aquellos que interrumpen el servicio crítico del negocio del Fondo de Vigilancia y Seguridad, su impacto es alto y su urgencia crítica ya sea por su naturaleza o porque superó las ventanas de tiempo establecidas dentro de sus niveles de servicio acordados. 3.1.6 Función y Actividades de la Mesa de Ayuda Como se mencionó anteriormente la función principal de la Mesa de Ayuda es gestionar la relación con los usuarios manteniéndoles puntualmente informado de todos aquellos procesos de su interés. A continuación se describen las actividades que deberán ser ejecutadas para atender las solicitudes de servicio TI de los usuarios del Fondo de Vigilancia y Seguridad que se reciben a través de la Mesa de Ayuda y hacen parte del soporte del servicio de TI. Esta descripción es la explicación al Diagrama general de Soporte del Servicio y Operación de la Mesa de Ayuda. Registro y Clasificación de la Solicitud
Aprobación: 25/6/2014 Página 12 de La Mesa de Ayuda es la encargada de recibir, registrar y clasificar todos los eventos reportados por los usuarios de la entidad. Entendiendo un Evento como cualquier cambio significativo en un elemento de configuración y/o en un servicio. Para el Fondo de Vigilancia y Seguridad un evento puede clasificarse en: Figura 3 Clasificación de eventos por solicitud Clasificación de Solicitudes: Acción de Rutina: Hace referencia a aquellos eventos no significativos, que por su naturaleza pueden ser resueltos a través de un soporte de nivel 0, es decir, auto ayuda. Incidente: Interrupción no planificada de un servicio de TI o reducción en la calidad de un servicio de TI. También hace referencia al fallo de un elemento de configuración que no ha impactado todavía en el servicio. Comentarios: Hace referencia a eventos relacionados con: quejas, felicitaciones o comentarios. Problema: Causa de uno o más incidentes. En el momento en el que se crea el registro del problema, no es frecuente conocer su causa, por lo que es necesario realizar su investigación mediante el proceso de gestión de problemas. Cambio: Adición, modificación o eliminación de algo (servicios de TI, elementos de configuración, requerimientos.) que podría afectar a los Servicios de TI. Este tipo de evento se administran a través del proceso de gestión de cambios. Daño físico elemento: Hace referencia a daño en elementos o partes de equipos informáticos y requirieren mantenimiento correctivo. Estos eventos los puede comunicar el usuario a los agentes de la Mesa de Ayuda a través de un correo electrónico, vía telefónica o vía sistema Web habilitado para notificar la solicitud. Atención de Solicitudes
Aprobación: 25/6/2014 Página 13 de Esta atención de solicitudes tiene en cuenta los siguientes aspectos: El primer nivel de soporte busca una respuesta a la consulta realizada por el usuario con la ayuda de la aplicación de la Mesa de Ayuda. Dado el caso que no se encontrara alguna respuesta, se escala la solicitud a un equipo más especializado dentro del segundo nivel de soporte, quién tendrá la tarea de buscar e informar la respuesta a dicha consulta. Si el segundo nivel de soporte no encuentra respuesta escalará la solicitud al proveedor, pero siempre estará controlando el estado y cumplimiento dentro de los tiempos y estándares definidos de la solicitud escalada. Reporte de Incidentes Para el caso de los incidentes, estos son registrados y administrados dentro de la aplicación de apoyo de la Mesa de Ayuda, generando un tiquete con el cual los agentes de la Mesa de Ayuda deben realizar un seguimiento al proceso de respuesta y solución del mismo. La Mesa de Ayuda remite al proceso de gestión de incidentes la solicitud de servicio del usuario y verifica el estado de la misma, hasta el momento en que se brinde una solución definitiva o temporal. Cabe resaltar que a partir de esta remisión la solicitud de usuario se convierte en un reporte de incidentes y su administración se realiza teniendo en cuenta el proceso de gestión de incidentes. Definición de prioridad de atención de un incidente Un aspecto importante durante la operación de la Mesa de Ayuda y los procesos y procedimientos de TICS relacionados, es la definición de prioridad a un incidente según su impacto y su urgencia, ya que con esta definición se definen los acuerdos de niveles de servicio de la Mesa de Ayuda que determinarán los tiempos máximos de respuesta para la solución de un incidente. Por este motivo, la prioridad de un incidente para el Fondo de Vigilancia y Seguridad se determina teniendo en cuenta tanto la urgencia del incidente, es decir la rapidez con la que la entidad necesita la solución, y el nivel de impacto que el incidente le está causando a la misma. Es importante aclarar, que la prioridad de un incidente puede ser dinámica, en el caso de que las circunstancias cambien o un incidente no es resuelto dentro de los límites de tiempo del Acuerdo de Nivel de Servicio, la prioridad debe modificarse para reflejar la urgencia e impacto de la nueva situación. Para el Fondo de Vigilancia y Seguridad se definió la siguiente estructura de prioridad de atención de un incidente según Impacto vs. Urgencia:
Aprobación: 25/6/2014 Página 14 de Figura 4 Impacto vs Urgencia en atención Impacto: medida de la criticidad del incidente para el negocio, es equivalente al nivel con que un incidente contribuye a la distorsión o incumplimiento del nivel de servicio acordado. Urgencia: Efecto que el incidente tendrá en el negocio. Es una valoración de la rapidez con la que una incidencia tiene que resolverse. Prioridad de atención Impacto vs. Urgencia Prioridad: asignación de esfuerzo (tiempo, costos y recursos) basados en el impacto, la urgencia y en la disponibilidad de los recursos requeridos. Impacto Figura 5 Prioridad de atención Urgencia Matriz de Prioridad de atención Impacto vs. Urgencia Prioridad 1 - Crítica: Corresponde a los incidentes que deben ser atendidos inmediatamente. El tiempo de solución se encuentra en el rango de 0 horas y 1 hora. Prioridad 2 - Alta: Corresponde a los incidentes que deben ser atendidos con prioridad alta. El tiempo de solución se encuentra en el rango de 1 hora y 4 horas. Prioridad 3 - Media: Corresponde a los incidentes que deben ser atendidos con prioridad media. El tiempo de solución se encuentra en el rango de 4 horas y 24 horas.
Aprobación: 25/6/2014 Página 15 de Prioridad 4 - Baja: Corresponde a los incidentes que deben ser atendidos con prioridad baja. El tiempo de solución se encuentra en el rango 24 horas y 48 horas. Prioridad 5 - Planeada: Corresponde a los incidentes que deben ser atendidos sujetos a una planeación de la solución. El tiempo de solución se fija por demanda. Matriz de Prioridad de atención Impacto vs. Urgencia en Horas El Administrador de la Mesa de Ayuda estará realizando un control y seguimiento al estado de los incidentes y vigilará que los tiempos establecidos para la prioridad de atención se estén cumpliendo. En caso de que ninguno de los dos niveles de soporte sea capaz de dar una respuesta al incidente, se clasifica entonces como un problema, ingresando de esta manera al proceso de Gestión de Problemas. Reporte de Problemas Otra forma como pueden identificarse problemas es a partir del análisis realizado por el Administrador de la Mesa de Ayuda, respecto a los indicadores de desempeño y estadísticas de gestión de la Mesa de Ayuda. Durante este análisis el líder puede identificar de manera proactiva problemas que deben ser administrados a través del proceso de Gestión de Problemas. Igualmente, a partir del monitoreo programado de las bases de datos de configuración (CMDB por sus siglas en ingles Configuration Management Data Base) de los sistemas de información existentes y a la infraestructura de TI, se pueden identificar proactivamente problemas en algún elemento de configuración TI, por lo que este monitoreo debe hacerse de manera regular. Solicitud de Cambio Durante todo este ciclo de soporte del servicio, se puede generar la necesidad de un cambio, para esto, se debe realizar una solicitud de cambio (RFC por sus siglas en ingles Request for Change). Esta solicitud se puede generar desde el proceso de gestión de problemas o porque la solución a un incidente o problema genera la necesidad de un cambio. El primer nivel de soporte del Centro de Servicios genera una solicitud de cambio para toda adición, modificación o eliminación de servicios de TI, elementos de configuración, y requerimientos, y la canaliza al proceso de gestión de cambios, el cual se encargará de atender todo lo referente al cambio. Registro de Comentarios En caso de tratarse de quejas, felicitaciones o comentarios se procede a registrar toda la información dada dentro de la aplicación de apoyo a la Mesa de Ayuda para su análisis y atención.
Aprobación: 25/6/2014 Página 16 de Cierre de solicitudes de servicio Es importante que se documente toda la información del caso dentro de la aplicación de la Mesa de Ayuda e informar al usuario sobre la resolución de la solicitud de servicio registrada con el fin de proceder a cerrar la solicitud de servicio. El cierre de la solicitud termina con una encuesta al cliente con el fin de identificar nuevas oportunidades de negocio, evaluar las necesidades de los clientes y su grado de satisfacción con el servicio prestado. Repositorio de Información La Mesa de Ayuda debe ser la principal fuente de información de los clientes y usuarios, informando sobre: Nuevos servicios. El lanzamiento de nuevas versiones para la corrección de errores. El cumplimiento de los SLAs. Documentación sobre las soluciones generadas. Relaciones con los proveedores La Mesa de Ayuda también es responsable de la relación con los proveedores de servicios de mantenimiento externos. Teniendo en cuenta que es imprescindible, para ofrecer un servicio de calidad, una estrecha relación entre los responsables externos del mantenimiento y la Gestión de Incidentes que debe ser canalizada a través de la aplicación de apoyo de la Mesa de Ayuda. 3.1.7 Indicadores de Desempeño de la Mesa de Ayuda A continuación se presentan los indicadores que permitirán monitorear el desempeño de la Mesa de Ayuda, en función de los objetivos previamente descritos. 3.1.7.1 Efectividad de la documentación de las solicitudes de servicio Objetivo: Garantizar que las solicitudes de Servicio son registradas y documentadas de forma adecuada. Meta: 95% Responsable: Administrador de la Mesa de Ayuda Descripción: Comparación del total de solicitudes registradas y documentadas efectivamente con respecto al total de llamadas / casos entrantes a la Mesa de Ayuda Formula: Y X ) ( 100 %
Aprobación: 25/6/2014 Página 17 de X = # solicitudes documentadas Y = # solicitudes entrantes. Unidad de medida: Porcentaje Recolección de la Información: Frecuencia por solicitud, responsable operador de la Mesa de Ayuda Reporte y Análisis: Frecuencia mensual, responsable Administrador de la Mesa de Ayuda 3.1.7.2 Nivel de efectividad de las soluciones Objetivo: Maximizar el nivel de efectividad de las soluciones proporcionadas por la Mesa de Ayuda. Meta: 95% Responsable: Administrador de la Mesa de Ayuda Descripción: Realizar una comparación entre la cantidad total de consultas realizadas a la Mesa de Ayuda y la cantidad de consultas recurrentes pertenecientes a un mismo tipo de usuario y relacionados al mismo tema, esto para un período específico de tiempo. ( Y X ) 100 Formula: Y % X = cantidad de consultas recurrentes realizadas a la Mesa de Ayuda, pertenecientes a un mismo tipo de usuario y relacionadas a un mismo tema Y = # cantidad total de consultas realizadas a la Mesa de Ayuda. Unidad de medida: Porcentaje Recolección de la Información: Frecuencia semanal, responsable operador de la Mesa de Ayuda Reporte y Análisis: Frecuencia mensual, responsable Administrador de la Mesa de Ayuda 3.1.7.3 Nivel de resolución de solicitudes de servicio en la Mesa de Ayuda Objetivo: Corroborar que la Mesa de Ayuda utiliza el conocimiento generado en el día a día para solucionar, eficientemente, las solicitudes de servicio reportadas por usuarios. Meta: 90% Responsable: Administrador de la Mesa de Ayuda Descripción: Efectuar una comparación entre el total de las llamadas recibidas en la Mesa de Ayuda y el número de llamadas que son solucionadas en el primer nivel de soporte.
Aprobación: 25/6/2014 Página 18 de Formula: ( X 100) Y % X = # llamadas solucionadas por la Mesa de Ayuda en el período Y = Total de llamadas recibidas en el periodo Unidad de medida: Porcentaje Recolección de la Información: Frecuencia semanal, responsable operador de la Mesa de Ayuda Reporte y Análisis: Frecuencia mensual, responsable Administrador de la Mesa de Ayuda 3.1.7.4 Nivel de cumplimiento del SLAs de la Mesa de Ayuda Objetivo: Asegurar el cumplimiento de los niveles de disponibilidad y calidad acordados para la atención de usuarios en la Mesa de Ayuda. Meta: 90% Responsable: Administrador de la Mesa de Ayuda Descripción: Determinar la cantidad de las solicitudes de servicio cerradas que cumplen con los SLAs acordados con respecto al total de solicitudes atendidas en el período. Formula: ( X 100) Y % X = Total de solicitudes cerradas que cumplen con los SLAs. Y = Total de solicitudes Unidad de medida: Porcentaje Recolección de la Información: Frecuencia mensual, responsable operador de la Mesa de Ayuda Reporte y Análisis: Frecuencia mensual, responsable Administrador de la Mesa de Ayuda 3.1.7.5 Nivel de satisfacción del usuario Objetivo: Evaluar nivel de satisfacción de los usuarios de TI con respecto al servicio brindado por la Mesa de Ayuda.
Aprobación: 25/6/2014 Página 19 de Meta: 95% Responsable: Administrador de la Mesa de Ayuda Descripción: Realizar una verificación de los niveles de satisfacción de los usuarios, obtenidos como resultado de la aplicación de la encuesta de cierre de las solicitudes de servicio para un período de tiempo específico. X Formula: n % X = niveles de satisfacción de los usuarios obtenido en la encuesta. N = # encuestas aplicadas Unidad de medida: Porcentaje Recolección de la Información: Frecuencia mensual, responsable operador de la Mesa de Ayuda Reporte y Análisis: Frecuencia mensual, responsable Administrador de la Mesa de Ayuda 3.1.8 Matriz de riesgos y objetivos de control del Centro de Servicio La siguiente tabla describe los riesgos identificados a la función de la Mesa de Ayuda del Fondo de Vigilancia y Seguridad con sus respectivos controles asociados. RIESGO Inducción inadecuada del personal de la Mesa de Ayuda No existe la información necesaria CONTROL ASOCIADO AL RIESGO Verificar que el recurso humano de la Mesa de Ayuda tenga las competencias necesarias y el conocimiento apropiado para cumplir con sus actividades respectivas Garantizar el registro de la información necesaria para la ACTIVIDAD ASOCIADA AL CONTROL Realizar para cada nuevo ingreso de personal un proceso de inducción y acompañamiento. Practicar evaluaciones periódicas sobre las responsabilidades básicas y los temas que deben dominar los operadores de la Mesa de Ayuda para desempeñar adecuadamente sus labores. Evaluar el desempeño de los operadores de la Mesa de Ayuda. Monitorear periódicamente la atención de solicitudes de servicio de la Mesa de Ayuda, mediante la revisión de una muestra aleatoria de las solicitudes recibidas. Verificar que la información de una muestra de las solicitudes de servicio se esté
Aprobación: 25/6/2014 Página 20 de RIESGO para la solución de consultas Procesamiento erróneo de solicitudes de servicios Clasificación incorrecta de las prioridades de solicitudes de servicios Capacidad insuficiente de la Mesa de Ayuda Incumplimiento de los niveles de servicio acordados Saturación del Centro de Servicio con solicitudes del servicio fuera del alcance de la función CONTROL ASOCIADO AL RIESGO elaboración de reportes o atención de consultas Verificar que las etapas de registro, análisis, atención o escalamiento y cierre de las solicitudes de servicio se tramiten de una forma adecuada Determinar un procedimiento formal para el análisis y priorización de las solicitudes de servicio, según los Niveles de Servicio acordados Proveer los recursos necesario dentro de la Mesa de Ayuda para la atención de solicitudes de servicio Mantener el cumplimiento con los Niveles de Servicio acordados para la Mesa de Ayuda Garantizar que el Centro de Servicio atienda únicamente las solicitudes de servicio que estén acorde a sus funciones ACTIVIDAD ASOCIADA AL CONTROL registrando y actualizando adecuadamente dentro de la aplicación de apoyo de la Mesa de Ayuda. Verificar que la información redactada en el registro de solicitudes de servicio sea coherente y detalle lo necesario para comprender las acciones realizadas y poder utilizarlas en un futuro efectivamente. Revisar una muestra de solicitudes de servicio escaladas, para validar que se haya remitido al nivel y al especialista correspondiente según el tipo de solicitud. Revisar periódicamente el procedimiento para la priorización de las solicitudes de servicios determinando su nivel de cumplimiento con el acuerdo de nivel de servicio (SLA por su sigla en ingles Service Level Agreement). Realizar un estudio de capacidad de la Mesa de Ayuda para identificar la cantidad de recurso humano y tecnológico que se necesita, en proporción a la demanda de solicitudes de servicio en el periodo. Determinar la cantidad de solicitudes de servicio que no son atendidas por la Mesa de Ayuda. Verificar el cumplimiento de los acuerdos de niveles del servicio establecidos por el negocio para la Mesa de Ayuda. Identificar el tipo de solicitudes de servicios atendidas por la Mesa de Ayuda, clasificando las llamadas en las siguientes categorías: Incidentes Cambios Consultas
Aprobación: 25/6/2014 Página 21 de RIESGO CONTROL ASOCIADO AL RIESGO ACTIVIDAD ASOCIADA AL CONTROL Comentarios Fuera del alcance Generar un reporte de las áreas que realizaron consultas fuera del alcance de las funciones de la Mesa de Ayuda. 3.2 Mantenimiento Correctivo Descripción: Corresponde al flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los incidentes asociados a mantenimiento correctivo que se suceden en la plataforma tecnológica del Fondo de Vigilancia y Seguridad. Objetivo: Restablecer la normalidad de los servicios de tecnología de información en el menor tiempo posible de manera eficiente minimizando el impacto en el normal funcionamiento de los servicios en los procesos de negocio. Alcance: Los incidentes son detectados por el registro de solicitudes, clasificación de eventos de tecnología o mediante reportes de la gestión de incidentes emitidos por la Mesa de Ayuda. Incluye la asignación y escalonamiento de incidentes en busca de su solución rápida. Finaliza con el reporte de la solución del incidente al usuario que identificó la necesidad de atención para que efectúe el cierre respectivo en el aplicativo de la Mesa de Ayuda. Indicadores del Proceso Porcentaje de incidentes resueltos Nivel de satisfacción del usuario Premisas y Políticas de Operación Corresponde a la gestión directa con los usuarios a cargo de los técnicos de soporte, quienes serán los responsables del cumplimiento en los tiempos y estándares definidos para la ejecución de los procedimientos, tareas y actividades asociadas al mantenimiento correctivo del bien objeto del servicio. La prioridad de un incidente depende directamente de la relación impacto versus urgencia y será definida por el agente de la Mesa de Ayuda al momento de registrar la solicitud de servicio de un usuario en el aplicativo que soporte a la Mesa de Ayuda.
Aprobación: 25/6/2014 Página 22 de La siguiente relación permite ver los posibles estados de atención en los que pueden estar clasificados los incidentes de la plataforma tecnológica del Fondo de Vigilancia y Seguridad: Registrado: Evento de TI que ha sido registrado dentro del aplicativo soporte de la Mesa de Ayuda y que se encuentra pendiente de clasificación. Clasificado: Incidente al cual se ha identificado en la estructura de servicios de tecnología (línea de servicio de TI Infraestructura, Sistemas de Información, Bases de datos, entre otros). Priorizado: Incidente al cual se la ha asignado el impacto y la urgencia de acuerdo a las definiciones establecidas por el Fondo de Vigilancia y Seguridad. Asignado: Incidente al que se le asignó un agente, técnico de soporte, especialista, proveedor o fabricante para su respectiva solución. Atendido: Incidente que está actualmente en el proceso de atención por el actor asignado (agente, técnico de soporte, especialista, proveedor o fabricante). Solución parcial: Incidente al cual se le ha encontrado una solución parcial, mientras se analiza la solución definitiva. Solución Definitiva: Incidente solucionado de forma definitiva pero que no ha sido cerrado. Cierre definitivo: Incidente cerrado en forma definitiva por el usuario al dar validez a la solución. 3.3 Mantenimiento Preventivo Descripción: Corresponde al flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los Mantenimientos Preventivos que se requieren en la plataforma tecnológica del Fondo de Vigilancia y Seguridad. Objetivo: Realizar mantenimientos preventivos de forma periódica de manera eficiente minimizando el impacto en el normal funcionamiento de los servicios que garanticen la normalidad de los servicios de tecnología de información. Alcance: Se inicia con la planeación y programación de los mantenimientos preventivos a realizarse por año (uno semestral), clasificándolos por elementos de tecnología y/o importancia del servicio. Finaliza con el reporte de mantenimientos preventivos realizado y la aprobación por parte del usuario final. Indicadores del Proceso Porcentaje de mantenimientos preventivos realizado
Aprobación: 25/6/2014 Página 23 de Nivel de satisfacción del usuario Premisas y Políticas de Operación Los mantenimientos preventivos deben realizarse en horario no laboral. Lunes a Viernes de 7:00 p.m. a 6:00 a.m. excluyendo festivos. Sábados y domingos de 8:00 a.m. a 5:00 p.m. Todas las solicitudes, requerimientos y eventos registrados en la Mesa de Ayuda deben generar un tiquete para el control y monitoreo por parte del soporte de primer nivel. El escalamiento de incidentes se divide en dos tipos: escalamiento vertical y escalamiento funcional. Escalamiento Vertical: corresponde a la asignación del incidente a otro nivel de atención o soporte. (Por ejemplo: de primer a segundo nivel, de segundo a especialista). Escalamiento Funcional: corresponde a la asignación del incidente a otro actor del proceso pero en el mismo nivel de atención o soporte. (Por ejemplo: del agente de la mesa de ayuda al técnico de soporte, de un especialista a otro). La siguiente relación permite ver los posibles estados de atención en los que pueden estar clasificados los incidentes de la plataforma tecnológica del Fondo de Vigilancia y Seguridad: Registrado: Evento de TI que ha sido registrado dentro del aplicativo soporte de la Mesa de Ayuda y que se encuentra pendiente de clasificación. Clasificado: Incidente al cual se ha identificado en la estructura de servicios de tecnología (línea de servicio de TI Infraestructura, Sistemas de Información, Bases de datos, entre otros). Priorizado: Incidente al cual se la ha asignado el impacto y la urgencia de acuerdo a las definiciones establecidas por el Fondo de Vigilancia y Seguridad. Asignado: Incidente al que se le asignó un agente, técnico de soporte, especialista, proveedor o fabricante para su respectiva solución. En trámite primer nivel: Incidente que se encuentra en la primera instancia de atención. En trámite segundo nivel: Incidente que se encuentra en la segunda instancia de atención. En trámite especialista: Incidente que se encuentra asignado a un especialista específico. Atendido: Incidente que está actualmente en el proceso de atención por el actor asignado (agente, técnico de soporte, especialista, proveedor o fabricante).
Aprobación: 25/6/2014 Página 24 de Solución parcial: Incidente al cual se le ha encontrado una solución parcial, mientras se analiza la solución definitiva. Solución Definitiva: Incidente solucionado de forma definitiva pero que no ha sido cerrado. Cierre definitivo: Incidente cerrado en forma definitiva por el usuario al dar validez a la solución. Reabierto: Incidente que es nuevamente abierto por el usuario al no encontrarse satisfecho con la solución planteada. Con más de un reporte: incidente que ha sido reportado por uno o varios usuarios.
Aprobación: 25/6/2014 Página 25 de 4 PROCESO GESTIÓN TICS 4.1 Gestión de Cambios Descripción: Corresponde al flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los cambios en los elementos de configuración de la infraestructura tecnológica del Fondo de Vigilancia y Seguridad. Se relacionan los puntos de control identificados. Objetivo: Evaluar y planificar los cambios a los elementos de configuración de la plataforma tecnológica para asegurar que se lleven a cabo de la forma más eficiente, siguiendo los procedimientos establecidos y garantizando en todo momento la calidad y continuidad de los servicios de tecnología y de negocio del Fondo de Vigilancia y Seguridad. Objetivos específicos: Garantizar que los cambios a los elementos de configuración cumplan con los siguientes requisitos: Se encuentren claramente justificados. Se llevan a cabo sin perjuicio de la calidad del servicio de tecnología. Sean convenientemente registrados, analizados, autorizados, priorizados, planeados, probados, implementados, documentados y se han revisado sus resultados de manera estructurada y controlada. Sean cuidadosamente evaluados en un entorno de prueba. Contar con la posibilidad de poder deshacer las modificaciones realizadas mediante planes de "retirada del cambio" (vuelta a atrás) en caso de un incorrecto funcionamiento tras su implementación. Alcance: Las principales razones para la realización de cambios en la infraestructura de TI son: Solución de errores conocidos. Desarrollo de nuevos servicios. Mejora de los servicios existentes. Imperativo de tipo legal o normativo. Satisface los requerimientos de cambios a la plataforma tecnológica y del negocio de acuerdo con la estrategia definida por el Fondo de Vigilancia y Seguridad, mientras se reducen los errores y defectos, enfocándose en controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura tecnológica.
Aprobación: 25/6/2014 Página 26 de Incluye la definición y comunicación de los procedimientos de cambio, cambios de emergencia, evaluación del impacto, la asignación de prioridad y categorización, autorización de cambios y finaliza con el seguimiento y reporte de los cambios realizados. Indicadores del Proceso Porcentaje de cambios que causaron incidentes post implantación Número de cambios que no entregaron el resultado esperado Satisfacción del usuario Premisas y Políticas de Operación Toda solicitud de cambio se evalúa de una forma estructurada en cuanto al impacto sobre la plataforma tecnológica y la correcta prestación de los servicios. Los cambios de emergencia que no sigan el proceso de cambio establecido deben ser formalmente documentados, de ser imposible hacerlo de forma paralela a su implantación debe realizarse después de la implantación del mismo. Se debe mantener informado, tanto al solicitante del cambio como a los interesados relevantes, acerca del estado del cambio, su evolución y resultado de su implantación. (Entre ellos a los responsables de las aplicaciones, los procedimientos, los procesos, los parámetros del sistema y del servicio y las plataformas fundamentales afectadas) Generar un plan detallado de las actividades a ejecutar para llevar a buen término la realización del cambio. Contar con un protocolo de revisión después de ser implantado el cambio para garantizar la completa y correcta ejecución del plan del cambio. Registros Acuerdos de Nivel de Servicio - ANS, versión 1.0. Petición de cambios - RFC, versión 1.0. Requisitos de las Normas de Calidad Norma de Calidad ISO 9001:2000 Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004 Puntos de Control C1: Clasificación del cambio, según los requerimientos del negocio. C2: Planificación de las actividades requeridas para realizar el cambio. C3: Identificación de posibles fallas asociadas a los cambios efectuadas en la infraestructura tecnológica.
Aprobación: 25/6/2014 Página 27 de C4: Planes de retirada o disolución de un cambio. Riesgo asociado al punto de control R1: Análisis y categorización errónea del cambio solicitado. R2: Realización de cambios sin la debida planeación del mismo. R3: Desencadenamiento de nuevas fallas o errores al aplicar un cambio a la infraestructura tecnológica. R4: No contar con la opción de vuelta a atrás a la aplicación después del cambio. Glosario Cambios estándar: son aquellos cambios a los elementos de configuración que se definen como "preaprobados" ó cuyo impacto es insignificante en la prestación de los servicios. Cambios No estándar: son aquellos cambios a los elementos de configuración que necesitan de consulta o aprobación por parte del Líder de la Oficina de tecnologías de la información y quien él considere, debido al nivel de impacto a la infraestructura tecnológica y a la prestación de los servicios. Elemento de Configuración (EC): componente tecnológico que necesita ser administrado con el objeto de proveer un servicio de tecnología. Los EC pueden ser de tipo hardware, software, infraestructura, recurso humano y documentación formal (Por ejemplo: documentación sobre las fichas técnicas de los servicios y los acuerdos de nivel de servicio ANS firmados y aprobados). 4.2 Gestión de Configuraciones y seguridad Descripción: Corresponde a la representación de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los elementos de configuración y seguridad de la plataforma tecnológica del Fondo de Vigilancia y Seguridad. Objetivo: Identificar, controlar y administrar la información sobre los activos de los servicios de tecnología, elementos de configuración y sus interrelaciones; protegiéndolos y asegurando su integridad a través del ciclo de vida, manteniendo un registro actualizado de todos los elementos de configuración de la infraestructura tecnológica del Fondo de Vigilancia y Seguridad junto con sus interrelaciones. Objetivos específicos: Proporcionar información precisa y fiable al resto de la organización de todos los elementos que configuran la infraestructura tecnológica del Fondo de Vigilancia y Seguridad.
Aprobación: 25/6/2014 Página 28 de Describir la interrelación entre los diferentes elementos de configuración. Servir de apoyo a los otros procesos de tecnología de información, en particular, a la Gestión de Incidentes y Cambios. Alcance Los beneficios que busca una correcta gestión de configuraciones incluyen, entre otros: Resolución más rápida de los problemas, que redunda en una mayor calidad de servicio. Una fuente habitual de problemas es la incompatibilidad entre diferentes elementos de configuración, drivers desactualizados, o problemas de sus interrelaciones. Una gestión de cambios eficiente al conocer la estructura previa para diseñar un cambio que no genere nuevas incompatibilidades o problemas. Reducción de costos al mantener el conocimiento detallado de todos los elementos de configuración y su valor económico para la entidad. El control periódico a las licencias de los aplicativos con que cuenta el Fondo de Vigilancia y Seguridad permite identificar tanto copias ilegales de software que pueden suponer peligros para la infraestructura tecnológica en forma de virus, software malicioso o software malintencionado; como el incumplimientos de los requisitos legales y derechos de autor que pueden repercutir negativamente en la entidad. Mayor nivel de seguridad al detectar vulnerabilidades en la infraestructura tecnológica. Mayor rapidez en la restauración del servicio al conocer todos los elementos de configuración y sus interrelaciones. Indicadores del Proceso Número de licencias de software sin usar Número de configuraciones realizadas sin autorización Número de incidentes causados por la mala documentación en los cambios de los elementos de configuración (EC) Número de peticiones de cambio (RFC) sin la correspondiente actualización de los elementos de configuración (EC) Satisfacción del usuario Premisas y Políticas de Operación Los tipos de elementos de configuración que se contemplan en el Fondo de Vigilancia y Seguridad son: Hardware, incluyendo componentes de redes Software, incluyendo sistemas operativos
Aprobación: 25/6/2014 Página 29 de Sistemas de información, incluyendo aplicaciones comerciales Base de datos Documentación (Licencias de uso, ANS, contratos de tercerización y aprovisionamiento de tecnología) Documentación de cambios (RFC) Información sobre procesos y procedimientos de TI Un elemento de configuración se puede subdividir en otra cantidad de componentes (elementos de configuración). Los diferentes estados que pueden asociarse a un elemento de configuración son: En desarrollo En prueba En producción En reparación Obsoleto Archivado Los roles involucrados en la ejecución de este proceso son: Gestor de Configuraciones Analista de Configuraciones Las principales dificultades que deben ser administradas por el procedimiento de gestión de configuraciones son: Incorrecta planificación: es esencial programar correctamente las actividades necesarias para evitar duplicaciones o incorrecciones de los elementos de configuración. Herramientas inadecuadas: es necesario disponer de herramientas tecnológicas adecuadas para agilizar los procedimientos de registro y actualización de los elementos de configuración. Falta de organización: es importante que haya una correcta asignación de recursos y responsabilidades al personal especializado. Falta de compromiso: los beneficios de la gestión de configuraciones no son inmediatos y casi siempre indirectos, lo que puede provocar el desinterés por parte de los actores implicados y consecuentemente por la Dirección de la Entidad. Requisitos de las Normas de Calidad Norma de Calidad ISO 9001:2000 Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004