La pieza integradora 1
OBJETIVO Presentar la CMDB como elemento integrador para: Análisis de riesgos de los sistemas de información. Gestión de incidencias. Gestión de inventario. Monitorización de los recursos. 2
AYUNTAMIENTO DE A CORUÑA 20 técnicos de TI. 80 servidores. 90 aplicaciones. 1600 usuarios. CPD principal y de respaldo. SAN almacenamiento. 50 edificios conectados por fibra óptica. 3
ANTECENDENTES Debilidades Actividad centrada en la adquisición, implantación y soporte; escasa planificación, control y corrección. Dinámica reactiva en lugar de preventiva. Carencias en información actualizada del parque tecnológico. Insuficiente participación de TI en la toma de decisiones de negocio. 4
ANTECEDENTES Objetivos Mayor organización mediante la formalización de las actividades. Participación de TI en la Organización proporcional a la dependencia que la Organización tiene de TI. 5
ANTECENDETES (2006) Adquisición de aplicaciones: Gestión de incidencias e inventario. 6
ANTECEDENTES (2007) Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos Sede electrónica. Registro electrónico. Comunicaciones y notificaciones electrónicas. Tablón de edictos. Documentos y Archivo electrónicos. Gestión electrónica de procedimientos administrativos. 7
ANTECEDENTES (2009) Proyecto de mejora basado en ITIL Capacitación y Gestión del conocimiento. Incorporación de mejores prácticas ITIL. Mejorar la visibilidad interna y externa. Mejorar coordinación con el resto de la Organización. 8
ANTECEDENTES (2009) Capacitación y Gestión del Conocimiento Capacitar a los técnicos en ITIL. Sensibilizar Organización sobre beneficios en ITIL. Articular conocimiento mediante KB. Incorporación de mejores prácticas ITIL Service Desk. Gestión de incidencias. Gestión de configuraciones (CMDB). 9
ANTECEDENTES (2009) Mejorar visibilidad interna y externa Transmitir actividades relevantes del Departamento. Conocer necesidades y opinión de la Organización. Aplicar puntos anteriores al propio Departamento. Mejorar coordinación con el resto de la Organización Consensuar adquisición y desarrollo de TI. Identificar responsabilidades y autorizaciones respecto a los activos de información. 10
ANTECEDENTES (2010) ENS (Esquema Nacional de Seguridad) Aprobación del Plan de Adaptación al ENS (2010-2014). Punto de partida: Análisis de Riesgos de los sistemas de información (MAGERIT). Monitorización de servicios e infraestructura Despliegue de herramienta para monitorización de disponibilidad de servicios e infraestructura de TI (ZABBIX). 11
ANTECEDENTES (2009) Programa de mejora Departamento de Informática Corporativa (104 soluciones) 12
CASO DE ÉXITO MAGERIT ZABBIX define (alcance) define monitoriza CMDB genera alimenta vincula INVENTARIO vincula INCIDENCIA 13
MAGERIT - CMDB MAGERIT: Entrevistas con áreas de negocio y TI. Identificación de servicios de negocio. Identificación de activos de TI que les dan soporte. Relación de dependencias. Valoración de criticidad y riesgos de los servicios de negocio. Dimensiones analizadas: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad. 14
MAGERIT - CMDB MAGERIT define el alcance de la CMDB. CI : servicios de negocio, datos, servicios internos, equipamiento, instalaciones, etc. Alcance CMDB establecido siguiendo criterios objetivos, cuantificables y consensuados de criticidad para el negocio. 15
MAGERIT - CMDB En MAGERIT las relaciones entre activos son de dependencia. En CMDB se enriquecen las relaciones entre CIs, definiéndose tipos de relaciones. El modelo de CIs de la CMDB tiene mayor valor semántico que el modelo de activos de MAGERIT. Estudio de la disponibilidad Depende de / Es utilizado por. Nombre directo Depende de Es responsable de Incluye Instalado en Se ejecuta en Usa habitualmente Nombre inverso Es utilizado por Es responsabilidad de Pertenece Utiliza Ejecuta Es usado habitualmente por 16
INVENTARIO - CMDB Inventario contiene exclusivamente elementos tecnológicos: CMDB Servidores, aplicaciones, sistemas operativos, routers, switches, PC, impresoras, dispositivos móviles, portátiles, cabina de almacenamiento, robot de cintas, etc. CMDB contiene elementos tecnológicos y lógicos (servicios), y sus relaciones: En CMDB aparecen los CI tecnológicos considerados en el alcance, que son proporcionados por el inventario. Inventario En CMDB se crean manualmente los CI lógicos (servicios) definidos en el alcance. En CMDB se crean manualmente las relaciones entre los CI. 17
CMDB - ZABBIX Zabbix monitoriza una infraestructura de TI desde una ubicación central mediante sondas y agentes. Zabbix representa en web la infraestructura mediante mapas y hosts. Un mapa contiene mapas y/o hosts. Los mapas son navegables. Zabbix permite definir plantillas que reconocen eventos establecidos y ejecutan una acción, además de resaltar el host y mapas afectados. 18
CMDB - ZABBIX Conceptualmente, se realiza la siguiente equivalencia para los CI que interese monitorizar: CMDB CI con IP Servicio Relación depende de... ZABBIX Host Mapa Mapa contiene... En la CMDB se le indica para cada CI si se desea monitorizar en Zabbix y, en caso afirmativo, si se trata de un host o un mapa. CMDB y Zabbix proporcionan capa de servicios web: CMDB envía datos del host o servicio nuevo a Zabbix y los servicios (mapas) con los que está relacionado según depende de. Zabbix devuelve URLs de los mapas que contienen el nuevo servicio o host. La CMDB almacena las URLs en el CI. 19
INCIDENCIA CMDB / INVENTARIO El Service Desk puede vincular una incidencia a un elementos del inventario (hardware o software) y/o a un CI de la CMDB (tecnológico o lógico). 20
INCIDENCIA CMDB - ZABBIX Haciendo clic en el enlace CMDB CI, el técnico puede acceder a la información del CI vinculado a la incidencia. 21
INCIDENCIA CMDB - ZABBIX Haciendo clic en la URL de Zabbix asociada al CI, el técnico puede consultar en tiempo real el estado del mapa o host asociado. 22
INCIDENCIA CMDB - ZABBIX 23
INCIDENCIA CMDB - ZABBIX Beneficios para la Gestión de Incidencias Facilita la identificación de la causa de la incidencia. Facilita la identificación de problemas (incidencia de gran impacto). Facilita decisiones de escalado. Reduce tiempos de resolución. 24
ZABBIX - INCIDENCIA La aplicación de incidencias permite la creación automática de una incidencia a partir de un correo electrónico. Zabbix, ante la detección de un evento, dispara acciones, entre ellas, la ejecución de scripts. Combinando ambas funcionalidades, un evento en Zabbix puede crear automáticamente una incidencia. 25
CONCLUSIONES Necesidad de adopción de marcos formales: Permiten medir la actividad para evaluar y corregir, justificar y negociar. Mejoran la entrega de valor y el alineamiento estratégico con el negocio. Facilitan la integración de los proyectos: cooperación vs colisión entre proyectos. Provocan un cambio de mentalidad en los técnicos. 26
PERSPECTIVAS FUTURAS Plan de Adaptación al ENS RD 3/2010 (Anexo II): Medidas de seguridad marco operacional Planificación: op.pl.1 Análisis de riesgos. op.pl.3 Adquisición de nuevos componentes. op.pl.4 Dimensionamiento / Gestión de las capacidades. Control de acceso: op.acc.1 Segregación de funciones y tareas. Continuidad del servicio: op.cont.1 Análisis de impacto. op.cont.2 Plan de continuidad. 27
PERSPECTIVAS FUTURAS Plan de Adaptación al ENS RD 3/2010 (Anexo II): Medidas de seguridad marco operacional Explotación: op.exp.1 Inventario de activos. op.exp.3 Gestión de la configuración. op.exp.5 Gestión de cambios. op.exp.7 Gestión de incidencias. En todas ellas, la CMDB juega un papel fundamental. 28
GRACIAS 29