UNIDAD 2
MARCOS DE REFERENCIA EN LA GESTIÓN DE SERVICIOS DE TI(COBIT E ITIL)
2.1
Definición y antecedentes.
Dirigir: Alinear la gestión de TI al negocio
Crear:
Asegurar la creación de valor
Proteger: Administrar los riesgos
Actuar: Administrar el uso de los recursos
Monitorear: Administrar el desempeño
Proteger: Administrar los riesgos
Actuar: Administrar el uso de los recursos
Monitorear: Administrar el desempeño
Los
marcos de Referencia deben:
· Fomentar el foco en el cliente
· Posicionar TI en la cadena de valor
· Estandarizar procesos
· Mejorar la comunicación Negocio-TI gracias a un lenguaje común
Así como lograr una gestión de TI Predecible:
· Entrega más rápida de información
· Mejora de los niveles de servicio
· Disminución de los costos
· Garantías de continuidad
Principales Marcos de referencia: ITIL (Information
Technology Infrastructure Library) COBIT (control Objectives for Information
and related Technologies) eTOM (Enhanced Telecom Operations Map) MOF
(Microsoft Operations Framework).
Misión: Investigar,
desarrollar, publicar y promover un conjunto de objetivos de control de TI
rectores, actualizados, internacionales y generalmente aceptados para ser
utilizados en la gestión cotidiana de TI.
Visión: Consolidarse como un líder mundialmente reconocido
en materia de gobierno, control y aseguramiento de la gestión de TI.
COBIT: Control Objetives por Information and
related Technologies
Creado por
Information Systems Audit and Control Association con la participación de IT Governance
Institute.
Las siglas COBIT significan Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas (Control Objectives for
Information Systems and related Technology). El modelo es el resultado de una
investigación con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).
El COBIT es un modelo de evaluación y monitoreo que enfatiza
en el control de negocios y la seguridad IT y que abarca controles específicos
de IT desde una perspectiva de negocios.
Se aplica a los sistemas de información de toda la empresa, incluyendo
los computadores personales y las redes. Está basado en la filosofía de que los
recursos TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.
- Abarca más de 150 capítulos en 50 países.
- En 1992 comenzó la actualización de los objetivos de control de ISACA.
- En 1996 presentó el primer marco de referencia para la gestión de TI.
- En 2000 se presentó la 3ra edición de los manuales.
- En diciembre de 2005 se presentaron los principales manuales de la 4ta versión.
- Es el estándar de los organismos de control gubernamentales.
ITIL Information Technologies Infraestructure
Library
En 1987, la OGC (Office of Government Commerce)
Del gobierno británico, inició un proyecto llamado GITIMM (Government IT
Infrastructure Management Method).
- Comisionó a varias firmas de consultoría para investigar y documentar las mejores prácticas de planificación y operación de la infraestructura de IT.
- El sector privado se interesó rápidamente y antes de la primera publicación del libro “Help Desk”, GITIMM se transformó en ITIL.
Definición ITIL
Es una serie de libros con las
mejores prácticas de IT; Marco de
referencia de dominio público, probado empíricamente, está bajo constante desarrollo,
es soportado por herramientas, es el estándar de facto mundial para
Administración de Servicios de IT. Utilizado por la mayoría de los grandes
data-centers de mundo. ITIL Complaint” en un slogan utilizado por el software
específico. Tiene su propio grupo de usuarios internacional (IT Service Management
Fórum). Funcional a la certificación ISO 9000 y base para la certificación
ISO/IEC 20000.
Referencias:
http://www.proactivanet.com/UserFiles/File/Noticias/Gestion%20del%20Servicio%20de%20TI%20-%20Introduccion%20y%20Tendencias.pdf
http://www.cicomra.org.ar/cicomra2/asp/Present.%20E.%20Poggi%20-%20Gestion%20TI.pdf
2.2 Procesos de negocio a los que apoya.
PROCESOS
DE NEGOCIO A LOS QUE APOYA COBIT
Clasifica los procesos de negocio relacionados
con las Tecnologías de la Información en 4 dominios:
§ Planificación y Organización
§ Adquisición e Implementación
§ Entrega y Soporte
§ Supervisión y Evaluación
En definitiva, cada
dominio contiene procesos de negocio (desglosables en actividades) para los
cuales se pueden establecer objetivos de control e implementar controles
organizativos o automatizados:
PLANIFICACIÓN Y ORGANIZACIÓN
Cobit
presenta 10 procesos:
§ PO1 – Definición
de un plan estratégico: gestión del valor, alineación con las necesidades del
negocio, planes estratégicos y tácticos.
§ P02 – Definición
de la arquitectura de información: modelo de arquitectura, diccionario de
datos, clasificación de la información, gestión de la integridad.
§ P03 – Determinar
las directrices tecnológicas: análisis de tecnologías emergentes, monitorizar
tendencias y regulaciones.
§ P04 – Definición
de procesos IT, organización y relaciones: análisis de los procesos, comités,
estructura organizativa, responsabilidades, propietarios de la información,
supervisión, segregación de funciones, políticas de contratación.
§ P05 – Gestión
de la inversión en tecnología: gestión financiera, priorización de proyectos,
presupuestos, gestión de los costes y beneficios.
§ P06 – Gestión
de la comunicación: políticas y procedimientos, concienciación de usuarios.
§ P07 – Gestión
de los recursos humanos de las tecnologías de la información: contratación,
competencias del personal, roles, planes de formación, evaluación del desempeño
de los empleados.
§ P08 – Gestión
de la calidad: mejora continua, orientación al cliente, sistemas de medición y
monitorización de la calidad, estándares de desarrollo y adquisición.
§ P09 – Validación
y gestión del riesgo de las tecnologías de la información
§ P10 – Gestión
de proyectos: planificación, definición de alcance, asignación de recursos,
etc.
ADQUISICIÓN E IMPLEMENTACIÓN
Con el
objeto de garantizar que las adquisiciones de aplicaciones comerciales, el
desarrollo de herramientas a medida y su posterior mantenimiento se encuentre
alineado con las necesidades del negocio, el estándar Cobit define los
siguientes 7 procesos:
- AI1 – Identificación de soluciones:
análisis funcional y técnico, análisis del riesgo, estudio de la
viabilidad.
- AI2 – Adquisición y mantenimiento de
aplicaciones: Diseño, controles sobre la seguridad, desarrollo,
configuración, verificación de la calidad, mantenimiento.
- AI3 – Adquisición y mantenimiento de la
infraestructura tecnológica: Plan de infraestructuras, controles de
protección y disponibilidad, mantenimiento.
- AI4 – Facilidad de uso: Formación a
gerencia, usuarios, operadores y personal de soporte.
- AI5 – Obtención de recursos tecnológicos:
control y asignación los recursos disponibles, gestión de contratos con
proveedores, procedimientos de selección de proveedores.
- AI6 – Gestión de cambios: Procedimientos
de solicitud/autorización de cambios, verificación del impacto y
priorización, cambios de emergencia, seguimiento de los cambios,
actualización de documentos.
- AI7 – Instalación y acreditación de
soluciones y cambios: Formación, pruebas técnicas y de usuario,
conversiones de datos, test de aceptación por el cliente, traspaso a
producción.
ENTREGA Y SOPORTE
La entrega y soporte
de servicios se encuentran constituidos por diversos procesos orientados a
asegurar la eficacia y eficiencia de los sistemas de información.
El estándar Cobit ha
definido 13 procesos diferentes:
§ DS1 – Definición y
gestión de los niveles de servicio: SLA con usuarios/clientes
§ DS2 – Gestión de servicios
de terceros: gestión de las relaciones con proveedores, valoración del riesgo
(non-disclousure agreements NDA), monitorización del servicio.
§ DS3 – Gestión del
rendimiento y la capacidad: planes de capacidad, monitorización del
rendimiento, disponibilidad de recursos.
§ DS4 – Asegurar la
continuidad del servicio: plan de continuidad, recursos críticos, recuperación
de servicios, copias de seguridad.
§ DS5 – Garantizar la
seguridad de los sistemas: gestión de identidades, gestión de usuarios,
monitorización y tests de seguridad, protecciones de seguridad, prevención y
corrección de software malicioso, seguridad de la red, intercambio de datos
sensibles.
§ DS6 – Identificar y
asignar costes
§ DS7 – Formación a
usuarios: identificar necesidades, planes de formación.
§ DS8 – Gestión de
incidentes y Help Desk: registro y escalado de incidencias, análisis de
tendencias.
§ DS9 – Gestión de
configuraciones: definición de configuraciones base, análisis de integridad de
configuraciones.
§ DS10 – Gestión de
problemas: identificación y clasificación, seguimiento, integración con la
gestión de incidentes y configuraciones.
§ DS11 – Gestión de los
datos: acuerdos para la retención y almacenaje de los datos, copias de
seguridad, pruebas de recuperación.
§ DS12 – Gestión del entorno
físico: acceso físico, medidas de seguridad, medidas de protección
medioambientales.
§ DS13 – Gestión de las
operaciones: planificación de tareas, mantenimiento preventivo.
SUPERVISIÓN Y EVALUACIÓN
Esta supervisión
implica paralelamente la verificación de los controles por parte de auditores
(internos o externos), ofreciendo una visión objetiva de la situación y con
independencia del responsable del proceso.
El estándar Cobit
define los siguientes 4 procesos:
- ME1 – Monitorización y evaluación del
rendimiento
- ME2 – Monitorización y evaluación del
control interno
- ME3 – Asegurar el cumplimiento con
requerimientos externos
- ME4 – Buen gobierno
http://repositorio.espe.edu.ec/bitstream/21000/789/1/T-ESPE-021869.pdf
PROCESOS
DE NEGOCIO A LOS QUE APOYA ITIL
ITIL propone una
terminología estándar e independiente de la industria y la tecnología, para
definir “qué hacer” y “qué no hacer” al aplicar en una organización la
administración de servicios de las TI o Service Management. El marco de ITIL
apoya, pero no dicta los procesos de negocios en una organización, por lo que
sus mejores prácticas adquieren distintas formas y matices, adaptándose a las
necesidades individuales de cada entidad.
Con ITIL se definieron modelos de procesos,
mediante un enfoque de rompecabezas, en el que los componentes, a pesar de
tener elementos particulares y específicos, dependen en mayor o menor medida
unos de otros.
Perspectiva de Negocios
(The Business Perspective)
La perspectiva de
negocios tiene como objetivo principal proporcionar a la alta dirección, el
diseño, la arquitectura y los componentes fundamentales para definir la
Infraestructura de Tecnologías de Información y Comunicaciones (TIC)
indispensable para impulsar los procesos estratégicos del negocio, con base en
los estándares y mejores prácticas definidos para la administración del
servicio (Service Management).
Administración de la
Infraestructura de TIC (ICT Infraestructure Management)
Cubre todos los
aspectos de administración de la infraestructura de las TIC, desde la
identificación de los requerimientos tecnológicos del negocio, por medio del
análisis y definición de alternativas de solución, hasta la prueba,
instalación, liberación, soporte en operación, y mantenimiento de los
componentes de las TIC y servicios de las TI.
Soporte de Servicios
(Service Support)
Se enfoca a
establecer el soporte de servicios como un conjunto de procesos integrados.
Tiene como misión definir los procesos necesarios para lograr los objetivos, la
continuidad y la calidad de los servicios de tecnologías de información,
consiguiendo con ello, la satisfacción del cliente, además de contribuir a la
obtención de los objetivos organizacionales.
Entrega de Servicios
(Service Delivery)
Cubre aspectos
indispensables que deben considerarse para la implementación de servicios de
las TI. Los componentes incluidos son: administración de los niveles de
servicio, administración financiera de servicios de las TI, administración de
la continuidad de los servicios de las TI y administración de la
disponibilidad.
Planeación para
implementar la Administración de Servicios (Planning to implement Service
Management)
Se enfoca en los
elementos claves que deben considerarse al planear la puesta en marcha de la
administración de servicios de las TIC. Los pasos requeridos para implantar o
mejorar la provisión de servicios son explicados a detalle en este componente,
tomando como pilar las necesidades del negocio en materia de las TI, para así
garantizar que los servicios proporcionados, realmente se ajusten a los
requerimientos del negocio y contribuyan al logro de su misión.
Administración de la Seguridad
(Security Management)
Se concentra en el
proceso de satisfacer los requerimientos de seguridad identificados en los
acuerdos de niveles de servicio de las TI, y en establecer los mecanismos
necesarios para brindar soporte técnico a los usuarios, con el propósito de
garantizar la continuidad de los servicios de TI dentro de la organización.
Administración de
Aplicaciones (Application Management)
Tiene la misión de
dirigir las complejas tareas para administrar las aplicaciones a lo largo de su
ciclo de vida, desde la identificación de las necesidades del negocio hasta su
propio retiro.
Bibliografía: OGC ITIL. (2002) “Best
Practice for Application Management” (2da. Edición) Londres, Inglaterra: TSO
(The Stationery Office).
2.3 Fases.
Fases COBIT
COBIT se divide en tres
fases:
·
Dominios
·
Procesos
·
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o
una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus procesos y una descripción general de las actividades de cada uno:
Dominio: Planificación y organización
Este dominio cubre la estrategia y las tácticas y
se refiere a la identificación de la forma en que la tecnología de información
puede contribuir de la mejor manera al logro de los objetivos de negocio.
Además, la consecución de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, deberán
establecerse una organización y una infraestructura tecnológica apropiadas.
Procesos:
PO1
Definición de un plan Estratégico
Objetivo:
Lograr un balance óptimo entre
las oportunidades de tecnología de información y los requerimientos de TI de
negocio, para asegurar sus logros futuros.
Su realización se concreta a través un proceso de planeación estratégica
emprendido en intervalos regulares dando lugar a planes a largo plazo, los que
deberán ser traducidos periódicamente en planes operacionales estableciendo
metas claras y concretas a corto plazo, teniendo en cuenta:
·La
definición de objetivos de negocio y necesidades de TI, la alta gerencia será
la responsable de desarrollar e implementar planes a largo y corto plazo que
satisfagan la misión y las metas generales de la organización.
·El
inventario de soluciones tecnológicas e infraestructura actual, se deberá
evaluar los sistemas existentes en términos de: nivel de automatización de
negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y
debilidades, con el propósito de determinar el nivel de soporte que reciben los
requerimientos del negocio de los sistemas existentes.
·Los cambios
organizacionales, se deberá asegurar que se establezca un proceso para
modificar oportunamente y con precisión el plan a largo plazo de tecnología de
información con el fin de adaptar los cambios al plan a largo plazo de la
organización y los cambios en las condiciones de la TI.
· Estudios de
factibilidad oportunos, para que se puedan obtener resultados efectivos
PO2
Definición de la Arquitectura de Información
Dominio: Adquisición e implementación
Para llevar a cabo la estrategia de TI, las
soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como
implementadas e integradas dentro del proceso del negocio. Además, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes.
Procesos:
·
AI1
Identificación de Soluciones Automatizadas
Objetivo: Asegurar el
mejor enfoque para cumplir con los requerimientos del usuario
Para ello se realiza un análisis claro de las
oportunidades alternativas comparadas contra los requerimientos de los usuarios
y toma en consideración:
·Definición
de requerimientos de información para poder aprobar un proyecto de desarrollo.
· Estudios de
factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos
para el desarrollo de un proyecto.
·Arquitectura
de información para tener en consideración el modelo de datos al definir
soluciones y analizar la factibilidad de las mismas.
·Seguridad
con relación de costo-beneficio favorable para controlar que los costos no
excedan los beneficios.
·Pistas de
auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben
proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de
usuarios contra divulgación o mal uso)
· Contratación
de terceros con el objeto de adquirir productos con buena calidad y excelente
estado.
· Aceptación
de instalaciones y tecnología a través del contrato con el Proveedor donde se
acuerda un plan de aceptación para las instalaciones y tecnología específica a
ser proporcionada.
· AI2
Adquisición y mantenimiento del software aplicativo
Fases ITIL
El ciclo de vida del servicio es un
acercamiento a la gestión de las áreas de Tecnología que pone énfasis en la
Estrategia, Diseño, Transición, Operación y Mejora Continua de los servicios
proporcionados al negocio, a través de diferentes funciones, procesos y
sistemas necesarios para gestionar estos servicios a lo largo de su ciclo de
vida.
El Ciclo de Vida de la Gestión del Servicio consta de cinco fases:
Estrategia del Servicio.
En esta fase se presenta el cómo alinear los servicios proporcionados
por TI a los objetivos estratégicos del negocio. Los requerimientos del
servicio son identificados y estipulados dentro del Paquete del Nivel del
Servicio (SLP) en un conjunto definido de resultados a entregar al negocio,
estableciendo además su validez financiera y generando las bases para su
diseño, transición y operación. Aquí se expone el cómo transformar la Gestión
del Servicio en un activo estratégico.
Diseño del Servicio.
Aquí se diseñan y desarrollan los servicios, los procesos y las
capacidades de la Gestión del Servicio a fin de asegurar el cumplimiento del
valor establecido como parte de la estrategia. Se utilizan los principios y
métodos de diseño para convertir objetivos estratégicos en planes tácticos que
garanticen y mejoren los niveles de disponibilidad, capacidad, seguridad y
continuidad de todos los servicios.
Transición de Servicios.
Es en esta fase en donde se desarrollan y mejoran las capacidades para
la transición de nuevos servicios y/o cambios a los ya existentes, asegurando
los requerimientos de la estrategia de servicio. Es una guía para gestionar la
complejidad relacionada con los cambios a servicios y gestión de procesos
de servicios, previniendo consecuencias indeseables, como fallas e
interrupciones.
Operación del Servicio.
Esta fase demuestra cómo se puede alcanzar la efectividad y eficiencia
en la entrega y soporte de servicios para asegurar valor tanto al cliente como
al proveedor del servicio. La Operación del Servicio es donde los planes,
diseños y optimizaciones son ejecutados y medidos. Desde el punto de vista del
cliente, la Operación del Servicio es donde realmente se aprecia el valor del
servicio.
Mejora Continua del Servicio.
Se preocupa de crear y mantener el valor para el cliente a través de un
mejor diseño, introducción y operación de los servicios, asociando esfuerzos de
mejora y resultados con la Estrategia, Diseño, Transición y Operación del
Servicio, identificando las oportunidades para mejorar las debilidades o fallas
dentro de cualquiera de éstas etapas.
Referencia:http://www.customercareassoc.com/index.php?option=com_content&view=article&id=41&Itemid=21
No hay comentarios:
Publicar un comentario