Página 1 de 8 Fecha de Vigencia: 28 / 09 / 15 VERSIÓN 1 Adopción del procedimiento HISTORIAL DE CAMBIOS NATURALEZA DEL CAMBIO CONTROL DE REVISIONES ELABORÓ CARGO FECHA Hilda Lucy Pabón Benítez Coordinadora de Servicios Tecnológicos 22/09/15 REVISÓ CARGO FECHA Martha Lucia Jiménez Medina Directora DIGIT 22/09/15 APROBÓ METODOLÓGICAMENTE CARGO FECHA Liz Alexi Jerez Araque Jefe Oficina Asesora de Planeación y Desarrollo Organizacional 28/09/15
Página 2 de 8 1. OBJETIVO Mantener un registro actualizado de todos los elementos de configuración de la infraestructura de TI (hardware, software, documentación y recursos humanos) y sus interrelaciones. 2. ALCANCE Inicia desde la identificación de los activos de los servicios de TI, control, mantenimiento y actualización de los mismos, hasta la entrega de información actualizada que soporte los procesos de Gestión de Incidentes, requerimientos de servicio de TI, problemas y cambios. 3. BASE LEGAL Decreto 3355 de 2009, Artículo 19, en el cual se establecen las funciones de la Dirección de Gestión de Información y Tecnología del Ministerio de Relaciones Exteriores Decreto 2573 de 12 de diciembre del 2014, Por el cual se establecen los lineamientos generales da la estrategia de Gobierno en línea de la. Resolución 5813 de 2011, por la cual se crean Grupos Internos de Trabajo de Ministerio de Relaciones Exteriores. 4. DEFINICIONES Activos de los Servicios de TI: Cualquier Recurso o Capacidad requeridos para la prestación de un servicio de TI. Los activos pueden clasificarse como: Administrativos, Organizativos, de Proceso, de Conocimiento, Personas, Información, Aplicaciones, Infraestructura. Atributo: Es una característica de información asociada al elemento de configuración, ejemplos: nombre del elemento, versión, ubicación física, serial, marca, estado. Base de Datos de la Gestión de Configuraciones - CMDB (por sus siglas en ingles Configuration Management DataBase): además de los elementos de configuración, brinda una imagen global de la infraestructura TI de la Entidad. Elementos de Configuración - CI (por sus siglas en ingles de Configuration Item): Todos los elementos de hardware, software, documentación, procesos que soportan la operación del servicio. Indicador clave de desempeño o KPI (por sus siglas en ingles key performance indicator): Métrica que se utiliza para ayudar a gestionar un proceso. Línea Base de Configuración: Es una captura de las características de uno o varios elementos de configuración en un momento específico para compararlas en el tiempo. Matriz RACI: Modelo útil para la asignación de responsabilidades en la ejecución de tareas o actividades, RACI por las iniciales de los tipos de responsabilidad (R. Responsable; A. Dueño; C. Consulta; I. Informado). La asignación de responsabilidades de la gestión de configuración se encuentra en el Anexo 1 Matriz RACI para el proceso de gestión de configuración.
Página 3 de 8 5. DOCUMENTOS ASOCIADOS GR-MA-01 Manual de Seguridad de la Información DE-MA-01 Manual de Calidad Manual de gobierno en línea ISO20000 Sistema gestión de servicios de TI ITIL Foundation Gestión de servicios TI 6. REGISTROS Plan de Configuración Registro del elemento de configuración -CMDB Informe de evaluación de gestión de configuración y activos de los servicios de TI. 7. POLÍTICAS DE OPERACIÓN Este proceso es coordinado por el Gestor de Gestión de Configuración y sus responsabilidades se encuentran relacionadas en el Anexo 2 Rol del gestor de gestión de configuración de los servicios de TI de este documento. Los administradores de los recursos de TI deben mantener informado al gestor de la configuración de todos los cambios y adquisiciones de componentes para actualizar la CMDB. El registro de todos los componentes debe iniciarse desde la aprobación de la compra y mantenerse actualizado su estado en todo momento. Así mismo, debe estar correctamente registrado todo el software en producción. La información de los activos, servicios de TI y sus relaciones deben estar almacenados en una base de datos centralizada llamada CMDB. En la base de datos de gestión de la configuración se incluirán exclusivamente activos de propiedad del Ministerio que soportan los servicios de TI. Todas las modificaciones que se realicen sobre la CMDB deberán ser realizadas por el Gestor de Configuraciones. El coordinador de servicios tecnológicos debe realizar auditorías semestrales para asegurar que la información registrada en la CMDB coincide con la configuración real de la infraestructura. El informe de evaluación es el documento que contiene los resultados de los indicadores de gestión de configuración y activos de los servicios de TI, el análisis y las propuestas de mejora para el mismo. Su contenido se detalla en el Anexo 3 Estructura del informe de evaluación de gestión de configuración y activos de los servicios de TI.
Página 4 de 8 8. DESARROLLO DEL PROCEDIMIENTO GESTION DE CONFIGURACION Y ACTIVOS DE LOS SERVICIOS DE TI DIRECCION DE GESTION DE INFORMACIÓN Y TECNOLOGIA OBSERVACIONES Inicio 1. Planificación y actualización de la configuración Gestor de la Configuración Plan de configuración 1. Planificación de la configuración Definir: -Responsable -Herramienta a utilizar -Análisis de recursos existentes -Establecer claramente: Alcance, nivel de detalle y profundidad, nomenclatura. -Proceso de implementación orden de importancia, organigrama -Coordinar con otros procesos 2. Clasificación y registro de CI en la CMDB Gestor de la Configuración CMDB 2 Clasificación y registro de CIs con Base en la planeación. 3. Monitoreo y control de CIs Gestor de la Configuración Monitoreo y Control de CIs 3.a Augurar que todos lo componentes estén registrados en CMDB conforme lo planeado. 3.b. Conocer el estado de todos los componentes 3.c. Actualizar las interrelaciones entre las CIs 3.d. Informar sobre el estado de las licencias 4. Auditoria CMDB Coordinador de servicios tecnológicos 5. Evaluación del proceso de Gestión configuración Gestor de la Configuración Informe Auditoria Informe de evaluación de gestión de Configuración y Activos de los servicios de TI 4.a. Auditorias CMDB debe realizarse al menos: - Tras la implementación de una nueva CMDB - Antes y después de cambios mayores de infraestructura. 4.b. Auditoria de aspectos tales como: - Uso correcto de nomenclatura en los registros de los CIs. -Estado de CIs actualizado. -Cumplimiento de los niveles de alcance y detalle predeterminados. -Adecuación de la estructura de la CMDB con la estructura TI real. 5. Elaborar informe que permita evaluar el rendimiento de la gestión de la configuración y apuntar información importante para otras áreas de infraestructura de TI. Si Ajustes al PLAN? No Fin
Página 5 de 8 9. PUNTOS DE CONTROL PUNTOS DE CONTROL No. ACTIVIDAD 4 DESCRIPCION DE LA ACTIVIDAD CRITICA O VULNERABLE Diferencias encontradas entre la CMDB y el ambiente real de infraestructura de la entidad. DESCRIPCION DEL CONTROL Identificar el número de diferencias de la CMDB y la infraestructura de la Entidad FRECUENCIA RESPONSABLE REGISTRO Bimensual Informe de Gestor de evaluación de gestión de gestión de configuración de Configuración y los servicios de Activos de los TI servicios de TI
Página 6 de 8 10. ANEXOS: ANEXO 1 MATRIZ RACI PARA EL PROCESO DE GESTION DE CONFIGURACION Actividades Coordinador de Servicios tecnológicos Administrador del CI Gestor de configuración Director de TI Planificación y actualización de la configuración A C R I Clasificación y registro del ítem de configuración en la CMDB Monitoreo y control de elementos de configuración I C-I R Auditorías a la CMDB R C-I A I Evaluación del proceso de gestión de la configuración A-I C I R I R. Responsable A. Dueño C. Consulta I. Informado I C - I R
Página 7 de 8 ANEXO 2 ROL DEL GESTOR DE GESTION DE CONFIGURACION DE LOS SERVICIOS DE TI El gestor de configuración de los servicios de TI es el responsable de asegurar que el procedimiento para la gestión de configuración y activos de los servicios de TI se cumpla, dentro de sus responsabilidades se destacan: 1. Garantizar la calidad y actualización de la información almacenada en la CMDB. 2. Dar su concepto al gestor de cambios, en el momento que sea requerido, basado en el impacto que el elemento modificado pueda tener dentro de la entidad. 3. Realizar los ajustes al procedimiento, y velar por la calidad de ejecución de los mismos. 4. Definir el plan de configuración: los estándares para la identificación, clasificación, y ubicación de los Elementos de Configuraciones. 5. Planear y ejecutar el cargue inicial de información en la CMDB y definir los procedimientos de control para mantenerla actualizada. 6. Crea líneas base de elementos de configuración asociados a servicios críticos. 7. Elaborar informes de evaluación del proceso y proponer acciones de mejora continua. 8. Revisión y ajustes periódicos al proceso de gestión de configuración de los servicios de TI.
Página 8 de 8 ANEXO 3 ESTRUCTURA DEL INFORME DE EVALUACIÓN DE GESTIÓN DE CONFIGURACIÓN Y ACTIVOS DE LOS SERVICIOS DE TI El informe de evaluación de la gestión de configuración y activos de los servicios de TI debe permitir evaluar el rendimiento del proceso y proveer información importante a otras áreas de gestión de TI. Todos los reportes e indicadores de gestión (KPI) serán generados a través del módulo de reportes de la herramienta para la gestión de configuración y activos de los servicios de TI. 1. Periodo evaluado Indica el rango de tiempo que se evalúa en el siguiente informe. La periodicidad será bimensual 2. Responsable de la generación del informe de gestión Nombre de la persona responsable de la elaboración del informe 3. Dirigido a Indicar el nombre y cargo de las personas a quienes el informe será presentado 4. Reportes del proceso Alcance y nivel de detalle de la CMDB Desviaciones entre información almacenada en la CMDB y la obtenida de las auditorías de configuración Información sobre CIs que han estado involucrados en incidentes Informe sobre configuraciones no autorizadas y/o sin licencias Calidad del proceso de clasificación y registro Información estadística y composición de la infraestructura de TI 5. Hallazgos identificados a partir de los reportes Detallar hechos relevantes que deben ser comunicados a los interesados del proceso 6. Indicadores de gestión del proceso KPI Para este proceso los KPI que se deben medir son: Nombre KPI Valor Máximo Valor Mínimo Umbral Valor esperado Número de diferencias encontradas entre la CMDB y el ambiente de infraestructura de la entidad. 20% 0% 10% > 20% <10% 7. Análisis y propuesta de mejora Realizar un análisis de los reportes obtenidos, identificando oportunidades de mejora y/o fortalezas evidenciadas. Con base en las oportunidades de mejora, se definen y acuerdan las acciones correctivas dentro del proceso