2. diseño de los servicios ti

7/24/2019 2. Diseo de Los Servicios TI

1/33

ITIL V3. Diseo de los servicios


2/33

Contenidos1Definicin y objetivos ........................................................................................ 4

1.1Principios del diseo de servicios .............................................................

41.1.1Diseo de soluciones de servicio ....................................................... 4

1.1.2Diseo de la Cartera de Servicios...................................................... 51.1.3Diseo de la arquitectura del servicio ................................................ 51.1.4Diseo de procesos ........................................................................... 51.1.5Diseo de mtricas y sistemas de monitorizacin ............................. 6

1.2Modelos de diseo .................................................................................... 61.2.1Modelo tradicional .............................................................................. 61.2.2Modelo gil o RAD ............................................................................. 61.2.3Soluciones empaquetadas ................................................................. 7

2Procesos .......................................................................................................... 7

2.1Gestin del Catlogo de Servicios ............................................................

8

2.1.1Procesos ............................................................................................ 92.1.1.1Definicin de los servicios prestados.......................................... 92.1.1.2Mantenimiento y actualizacin del catlogo de servicios............ 9

2.1.2Control del proceso .......................................................................... 102.2Gestin de Niveles de Servicio ............................................................... 10

2.2.1Procesos ...........................................................................................112.2.1.1Planificacin de la Gestin de Niveles de Servicio...................112.2.1.2Implementacin de los Acuerdos de Niveles de Servicio.......... 122.2.1.3Monitorizacin de niveles de servicio ....................................... 132.2.1.4Revisin de la calidad de los servicios ..................................... 14

2.2.2Control del proceso ..........................................................................

14

2.3Gestin de la Capacidad ......................................................................... 152.3.1Procesos .......................................................................................... 16

2.3.1.1Planificacin de la capacidad.................................................... 162.3.1.2Gestionar los recursos para garantizar la capacidad................ 172.3.1.3Supervisin de la capacidad ..................................................... 17

2.3.2Control del proceso .......................................................................... 182.4Gestin de la Disponibilidad .................................................................... 18

2.4.1Procesos .......................................................................................... 202.4.1.1Fijar los requisitos de disponibilidad ......................................... 20

2.4.1.2Plan de disponibilidad ...............................................................

20

2.4.1.3Mantenimiento y Seguridad ...................................................... 202.4.1.4Monitorizacin de la disponibilidad ........................................... 212.4.1.5Medicin de la disponibilidad .................................................... 22

2.4.2Control del proceso .......................................................................... 232.5Gestin de la Continuidad de servicios TI............................................... 23

2.5.1Procesos .......................................................................................... 242.5.1.1Alcance ..................................................................................... 242.5.1.2Anlisis de Impacto ................................................................... 242.5.1.3Evaluacin de Riesgos ............................................................. 242.5.1.4Estrategias de continuidad........................................................ 25

2.5.1.5Organizacin y Planificacin.....................................................

25


3/33

2.5.1.6Supervisin de la continuidad ................................................... 252.5.2Control del proceso .......................................................................... 26

2.6Gestin de la Seguridad ..........................................................................

26

2.6.1Procesos .......................................................................................... 272.6.1.1Poltica y Plan de Seguridad..................................................... 272.6.1.2Aplicacin de las Medidas de Seguridad.................................. 282.6.1.3Evaluacin y mantenimiento ..................................................... 28

2.6.2Control del proceso .......................................................................... 292.7Gestin de Proveedores ......................................................................... 29

2.7.1Procesos .......................................................................................... 302.7.1.1Requisitos de contratacin........................................................ 302.7.1.2Evaluacin y Seleccin de proveedores................................... 302.7.1.3Clasificacin y Documentacin de proveedores....................... 30

2.7.1.4Gestin del Rendimiento de los proveedores...........................

312.7.1.5Renovacin o terminacin de contratos.................................... 31

2.7.2Control del proceso .......................................................................... 313Puesta en marcha .......................................................................................... 31

3.1RACI ....................................................................................................... 323.2Tecnologa ............................................................................................... 32

4Glosario .......................................................................................................... 335Referencias ................................................................................................... 33


4/33

ITIL V3. Diseo de los Servicios TI

ITIL V3 Diseo de los Servicios TI - 4 -

1 Definicin y objetivos

El objetivo de la fase de Diseo del Servicio es crear modificar servicios eincorporarlos al catlogo de servicios.

Los servicios creados o modificados deben seguir las directrices establecidas en la fasede Estrategia, verificando que los servicios diseados:

Sean adecuados a las necesidades del mercado. Sean eficientes en costes y rentables. Se cumplan los estndares de calidad adoptados. Aporten valor a clientes y usuarios.

Un servicio bien diseando debe tener en cuenta tanto los requisitos del servicio comolos recursos disponibles en la organizacin TI. Un desequilibrio entre ambos factorespuede generar servicios donde falle la funcionalidad o la garanta.

Una buena fase de Diseo del Servicio debe responder stas cuestiones:

Cules son los requisitos y necesidades de nuestros clientes? Cules son los recursos y capacidades necesarias para prestar los servicios

propuestos? Los servicios son seguros, ofrecen la disponibilidad necesaria y se garantiza la

continuidad del servicio? Son necesarias nuevas inversiones para prestar los servicios con los niveles

de calidad propuestos?

Estn todos los agentes involucrados correctamente informados sobre losobjetivos y alcance de los nuevos servicios o de las modificaciones a realizar enlos ya existentes?

Se necesita la colaboracin de proveedores externos?

1.1 Principios del diseo de servicios

ITILdefine cinco etapas esenciales en el Diseo del Servicio.

1.1.1 Diseo de soluciones de servicio

Debe recoger de forma estructurada los elementos clave del servicio a crear/modificar:

Requisitos de negocio. Requisitos del nivel de servicio (SLR). Adecuacin a la estrategia del servicio. Anlisis funcional. Anlisis de la reusabilidad de mdulos existentes en otros servicios en cartera. Anlisis de costes (TCO) y retorno a la inversin. Estudio de los recursos y capacidades involucradas Estrategias de contratacin con los proveedores externos (si estos se

consideraran necesarios)


5/33



1.1.2 Diseo de la Cartera de Servicios

La Cartera Servicioses una de las principales herramientas para la gestin del servicio.Incluye informacin de todos los servicios activos, los servicios futuros y los serviciosretirados. La Cartera de Servicios se crea durante la fase de Diseo del Servicio.

La Cartera de Servicios debe recoger los siguientes datos de cada servicio:

Los objetivos del servicio Su valor: funcionalidad y garanta Su estado Los SLAsasociados Capacidades y recursos utilizados Sus costes y retorno esperado

Los controles o mtricas de calidad asociados

Los responsables del mismo Servicios relacionados Proveedores externos involucrados (OLAsy UCs)

1.1.3 Diseo de la arquitectura del servicio

La arquitectura del servicio es una gua para el diseo y evolucin del servicio. Debetener en cuenta los siguientes aspectos:

La alineacin entre la tecnologa y el negocio. La infraestructura TI necesaria.

La Gestin de las aplicaciones.

La Gestin de los datos y la informacin. La Documentacin y Gestin del Conocimiento. Los Planes de Despliegue del servicio.

1.1.4 Diseo de procesos

La gestin basada en procesos es una de las seas de identidad de ITIL.

En la fase de diseo del servicio se han de definir los procesos involucrados con unadescripcin detallada de sus actividades, funciones, organizacin, entradas y salidas.

En particular deben establecerse los procesos de control para asegurar que losprocesos se realizan de forma eficiente y cumplen los objetivos establecidos.

Los procesos no deben ser un fin en s mismo sino que deben tener como principalobjetivo que la organizacin TI ofrezca servicios de valor al cliente de forma eficiente.

1.1.5 Diseo de mtricas y sistemas de monitorizacin

Es imprescindible disear sistemas de medicin y seguimiento que permitan evaluartanto la calidad de los servicios prestados como la eficiencia de los procesosinvolucrados.


6/33



Los resultados recopilados mediante estos sistemas de seguimiento y su anlisisposterior, basado en mtricas y mtodos preestablecidos, deben de ser la principalentrada para la fase de Mejora del Servicio.

Existen cuatro tipos principales de mtricas a considerar:

Progreso: cumplimiento de los calendarios previstos. Cumplimiento: adecuacin a las polticas y requisitos predefinidos. Eficacia: calidad de los resultados obtenidos. Rendimiento: productividad de los procesos y gestin de los recursos utilizados.

1.2 Modelos de diseo

Hay muchos modelos de desarrollo. Elegir el adecuado para cada servicio, es una delas principales decisiones de la fase de Diseo de los Servicios.

Los tres modelos ms comunes son: Tradicional, gil y Empaquetado.

Qu modelo elegir depender de factores como:

Decisiones estratgicas basadas en la criticalidad del servicio. Cuestiones financieras. Requisitos del cliente. Generacin de valor. Condiciones del mercado.

Perspectivas de negocio.

1.2.1 Modelo tradicional

Es adecuado para servicios de larga duracin que no precisen de una puesta enproduccin rpida.

Implica un estudio previo detallado de todos los aspectos tcnicos y de negocio queevite, en la medida de lo posible, la necesidad de cambios, ya sea por errores o por unafuncionalidad incompleta.

Los tiempos de desarrollo son mayores, por lo que el servicio podra estar obsoleto antes

de entrar en produccin.

1.2.2 Modelo gil o RAD

Es adecuado para servicios funcionalmente modulares que precisen de una puesta enproduccin rpida. Es un modelo incremental e iterativo que se basa en la creacin deprototipos.

Cada prototipo incorporar progresivamente los requisitos del cliente. Su principalproblema reside en que se puede entrar en un proceso inacabable de prototipos que noculmine en un servicio adecuado para su paso a produccin.


7/33



Tiene las siguientes ventajas:

El cliente uede acceder a probar cada mdulo rpidamente, por lo que se tienefeedback desde las primeras fases de desarrollo.

Al ser adecuado para servicios muy modulares, facilita el desarrollo distribuido yla externalizacin.

1.2.3 Soluciones empaquetadas

Existen en la actualidad muchas soluciones TI empaquetadas que simplifican el procesode diseo del servicio.

Sus ventajas se resumen en:

Disponible rpidamente.

Configurable. Costes (iniciales) reducidos. Actualizaciones peridicas.

Sus principales inconvenientes suelen residir en:

Dificultades de integracin con otros servicios/plataformas. Insuficiente funcionalidad debida a necesidades muy especficas. Potenciales altos costes de personalizacin y posibles incompatibilidades con

las actualizaciones.

2 Procesos

Las actividades asociadas a la fase de Diseo de los Serviciosson:

Gestin del Catlogo de Servicios: responsable de crear y mantener uncatlogo de servicios de la organizacin TI que incluya toda la informacinrelevante: gestores, estatus, proveedores, etctera.

Gestin de Niveles de Servicio: responsable de acordar y garantizar los nivelesde calidad de los servicios TI prestados.

Gestin de la Capacidad: responsable de garantizar que la organizacin TIdispone de la capacidad suficiente para prestar los servicios acordados.

Gestin de la Disponibilidad: responsable de garantizar que se cumplen losniveles de disponibilidad acordados en los SLA.

Gestin de la Continuidad de los Servicios TI: responsable de establecerplanes de contingencia que aseguren la continuidad del servicio en un tiempopredeterminado con el menor impacto posible en los servicios de carcter crtico.

Gestin de la Seguridad de la Informacin: responsable de establecer laspolticas de integridad, confidencialidad y disponibilidad de la informacin.

Gestin de Proveedores: responsable de la relacin con los proveedores y elcumplimiento de los UCs.


8/33



2.1 Gestin del Catlogo de Servicios

Hay dos tipos de catlogo de servicios, el Interno y el Externo.

El Portfolio (Catlogo Interno de Servicios), proporciona una referencia estratgica ytcnica clave dentro de la organizacin TI, ofreciendo una descripcin detallada de todoslos servicios que se prestan y los recursos asignados para ello. Se caracteriza por:

Contener informacin sobre el funcionamiento de la organizacin. Estar escrito en un lenguaje tcnico. Incluir informacin sobre todos los servicios que alguna vez ha prestado.

El Catlogo de Serviciosresume toda la informacin referente a los servicios que losclientes deben conocer para asegurar un buen entendimiento entre stos y la

organizacin TI. Se caracteriza por:

Describir los servicios ofrecidos de manera comprensible para personal noespecializado, poniendo especial cuidado en evitar el lenguaje tcnico.

Ser utilizado como gua para orientar y dirigir a los clientes. Incluir, en lneas generales, los Acuerdos de Niveles de Servicioy los precios

en vigor. Ha de recoger tambin otras polticas y condiciones de prestacin delos servicios, as como las responsabilidades asociadas a cada uno de stos.

Registrar los clientes actuales de cada servicio. Encontrarse a disposicin del Centro de Serviciosy de todo el personal que se

halle en contacto directo con los clientes.

Beneficios de crear, mantener y utilizar un Catlogo de Servicios:

Al poner por escrito las caractersticas del servicio se evitan malentendidos yabusos por ambas partes.

Al poner por escrito los responsables de cada servicio, el cliente sabe a quinacudir.

El cliente comprende el coste del servicio al entender los recursos asociados ala prestacin del mismo. Esto ayuda a incrementar su confianza hacia laorganizacin, algo crucial a la hora de renovar o ampliar el contrato de prestacinservicios.

Dificultades asociadas a una mala gestin/uso del Catlogo de Servicios:

El Catlogo de Servicios es ineficaz porque a nivel interno no se sabe quservicios estn en activo y cules han sido retirados definitivamente.

El Catlogo de Servicios es ineficaz si el personal encargado del trato con elcliente no lo usa.

El Catlogo de Servicios es ineficaz por contener jerga tcnica. El Catlogo de Servicios revela aspectos internos de la organizacin. El Catlogo de Servicios es ineficaz por no estar actualizado.

Muchas organizaciones integran el Portfolio y el Catlogo de servicios en unaherramienta que recibe el nombre de Sistema de Gestin de la Configuracin(CMS).


9/33



De este modo, la informacin contenida en ellos puede ser utilizada por otrasherramientas de gestin.

2.1.1 Procesos

Las principales actividades de la Gestin del Catlogo de Serviciosse resumen en:

Definicin de los servicios prestados. Mantenimiento y actualizacin del Catlogo de Servicios.

2.1.1.1 Definicin de los servicios prestados

Para crear el Catlogo de Serviciosse dan los siguientes pasos:

Se crea el Catlogo de Servicios eliminando los servicios inactivos delPortfolio Servicios.

Se agrupan los serviciosdel Catlogo de Servicios en familias funcionales. Se crea un breve resumen de cada servicio, al menos con los siguientes datos:

Nombre y descripcin. Propietario del servicio. Cliente/es. Otras partes implicadas (proveedores, instituciones, etc.) Fechas de versin y revisin. Niveles de servicio acordados (tiempos de respuesta, disponibilidad,continuidad, horarios, etc.) en los OLAsy SLAs. Condiciones de prestacin del servicio. Precios.

Cambios y excepciones.

2.1.1.2 Mantenimiento y actualizacin del catlogo de servicios

La gestin del Catlogo de Servicios conlleva el desempeo de otras tareasrelacionadas con su utilizacin y aprovechamiento que no deben pasarse por alto:

Definir en detalle los destinatarios y el propsito del Catlogo de Servicios. Planificar la actualizacin del Catlogo de Servicios. Ajustando en las

revisiones: Estado de los servicios. Responsables de los servicios.

Precios.

Proveedores. Definir los protocolos de aprobacin de los cambios en el Catlogo de

Servicios.

2.1.2 Control del proceso

El rendimiento de los procesos de creacin y mantenimiento del Catlogo de Serviciospuede medirse a travs de los siguientes indicadores:

N de actualizaciones enviadas al Portfolio de Servicios.


10/33



N de modificaciones efectuadas en el Catlogo de Servicios en un periododeterminado.

N de accesos o solicitudes de consulta del Catlogo de Serviciosdentro de laorganizacin TI.

2.2 Gestin de Niveles de Servicio

El objetivo primordial de la Gestin de Niveles de Servicio es definir, negociar ymonitorizar la calidad de los servicios TI ofrecidos. Si los servicios no se adecuan a lasnecesidades del cliente, la calidad de los mismos es deficiente o sus costes sondesproporcionados, tendremos clientes insatisfechos y la organizacin TI serresponsable de las consecuencias que se deriven de ello.

La Gestin de Niveles de Servicioimplica las siguientes tareas:

Documentar todos los servicios TI ofrecidos. Presentar los servicios de forma comprensible para el cliente. Centrarse en las necesidades de negocio del cliente y no en la tecnologa. Colaborar estrechamente con el cliente para proponer servicios TI realistas y

ajustados a sus necesidades, controlando que los costes sean asumibles tantopor el cliente como por la organizacin TI.

Establecer los acuerdos necesarios con clientes y proveedores para ofrecer losservicios requeridos. (SLAs)

Establecer los indicadores claves de rendimiento del servicio TI. Monitorizar la calidad de los servicios acordados con el objetivo ltimo de

mejorarlos a un coste aceptable por el cliente. Elaborar los informes sobre la calidad del servicio y los Planes de Mejora del

Servicio (SIP).

Los principales beneficios de una correcta Gestin de Niveles de Servicioson:

Los servicios TI son diseados para cubrir las necesidades del cliente. Mejora la comunicacin con los clientes, impidiendo los malentendidos sobre las

caractersticas y calidad de los servicios ofrecidos. Se establecen objetivos claros y cuantificables. Se establecen claramente las responsabilidades tanto de los clientes como de

los proveedores del servicio.

Los clientes conocen y asumen los niveles de calidad ofrecidos y se establecenclaros protocolos de actuacin en caso de deterioro del servicio. La constante monitorizacin del servicio permite detectar los "eslabones ms

dbiles de la cadena" para su mejora. La gestin TI conoce y comprende los servicios ofrecidos, lo que facilita los

acuerdos con proveedores y subcontratistas. El personal del Centro de Servicios dispone de la documentacin necesaria

(SLAs, OLAs,etc.) para llevar una relacin fluida con clientes y proveedores. Los SLAs ayudan a la Gestin TI tanto a calcular los clculos de costes como a

justificar su precio ante los clientes.

Estos beneficios repercuten, a la larga, en una mejora del servicio con la consecuente

satisfaccin de clientes y usuarios.


11/33



2.2.1 Procesos

Las principales actividades de la Gestin de Niveles de Serviciose resumen en:

Planificacin de la Gestin de Niveles de Servicio: Asignacin de recursos. Elaboracin de un catlogo de servicios. Desarrollo de SLAs tipo. Herramientas para la monitorizacin de la calidad del servicio. Anlisis e identificacin de las necesidades del cliente. Elaboracin del los Requisitos de Nivel de servicio (SLR), Hojas de

Especificacin del Servicio y Plan de Calidad del Servicio (SQP). Implementacin de los Acuerdos de Niveles de Servicio:

Negociacin.

Acuerdos de Nivel de Operacin.

Contratos de Soporte. Monitorizacin de los Niveles de Servicio:

Elaboracin de informes de rendimiento. Control de los proveedores externos. Elaboracin de Programas de Mejora del Servicio (SIP).

2.2.1.1 Planificacin de la Gestin de Niveles de Servicio

La correcta planificacin de la Gestin de Niveles de Serviciorequiere la implicacinde prcticamente todos los estamentos de la organizacin TI. Y, si esto no fuera ya depor s una labor lo suficientemente compleja, resulta imprescindible la colaboracin

activa de los clientes y usuarios de los servicios TI.

Todo el proceso de planificacin previo debe estar orientado a dar respuesta a lassiguientes preguntas:

Qu servicios debemos ofrecer a nuestros clientes? Cules son las necesidades de nuestros clientes? Cul es el nivel adecuado de calidad de servicio? Quines y cmo se van a suministrar esos servicios? Cules sern los indicadores clave de rendimiento para los servicios

prestados? Disponemos de los recursos necesarios para proveer los servicios propuestos

con los niveles de calidad acordados?

La respuesta a cada una de estas preguntas debe darse en forma de documentos,algunos de carcter interno y otros accesibles a los clientes, que pasamos adescribir sucintamente a continuacin:

Requisitos de Nivel de Servicio (SLR)

Documento que detallada las necesidades del cliente y sus expectativas respecto a:

La funcionalidad y caractersticas del servicio.

La disponibilidad del servicio.


12/33



La interaccin del servicio con su infraestructura TI o de otro tipo. La continuidad del servicio. Los niveles de calidad del servicio.

Tiempo y procedimientos de implantacin del servicio.

La escalabilidad del servicio ofrecido. Etc.

Hojas de Especificacin

Las Hojas de Especificacin del Servicio deben contener, para cada servicio, lossiguientes datos:

Todos los detalles tcnicos necesarios, sobre como se prestar el servicio. Cules sern los indicadores internos de rendimiento y calidad del servicio.

Cmo se implementar el servicio, determinando si es necesario el outsourcingde determinados procesos.

Plan de Calidad del Servicio (SQP)

Documento interno que recoge toda la informacin necesaria para gestionareficientemente los niveles de calidad del servicio:

Objetivos de cada servicio. Estimacin de recursos. Indicadores clave de rendimiento. Procedimientos de monitorizacin de proveedores.

2.2.1.2 Implementacin de los Acuerdos de Niveles de Servicio

La fase de planificacin debe concluir con la elaboracin y aceptacin de los acuerdosnecesarios para la prestacin del servicio. El contenido de stos acuerdos se describeacontinuacin:

Acuerdo de Nivel de Servicio (SLA)

Es el acuerdo firmado entre el cliente y la organizacin TI. Detalla, en un lenguajecomprensible, cuestiones esenciales del servicio:

Descripcin.

Disponibilidad. Niveles de calidad. Tiempos de recuperacin. etc.

Acuerdo de Nivel de Operacin (OLA)

Documento interno que detalla las responsabilidades y compromisos de los diferentesdepartamentos de la organizacin TI en la prestacin de un determinado servicio.

Contrato de Soporte (UC)


13/33



Un UC es un acuerdo con un proveedor externo para la prestacin de servicios nocubiertos por la propia organizacin TI.

A pesar de esta diferencia crucial, los USc pueden considerarse como una extensin"externa" de los OLAs, en el sentido de que persiguen el mismo fin: organizar losprocesos y procedimientos necesarios para la correcta provisin del servicio.

2.2.1.3 Monitorizacin de niveles de servicio

El proceso de monitorizacin de Niveles de Servicio es imprescindible si queremosmejorar progresivamente la calidad del servicio ofrecido, su rentabilidad y la satisfaccinde los clientes y usuarios.

La monitorizacin de la calidad del servicio requiere el seguimiento tanto deprocedimientos y parmetros internos de la organizacin como los relacionados con lapercepcin de los usuarios.

Para llevar a cabo esta tarea de manera eficiente es necesario haber establecido conanterioridad unos baremos de calidad del servicio que han de servir de gua en laelaboracin de los informes correspondientes.

Las principales fuentes de informacin las constituyen:

La documentacin disponible: SLAs, SLRs, OLAS, SQP, SIP, UCs, etc. La Gestin de Incidenciasy la Gestin de Problemas, que deben informar de

las incidencias en el servicio y los tiempos de recuperacin.

La Gestin de la Continuidady la Gestin de la Disponibilidad, que debenproporcionar la informacin sobre la infraestructura utilizada para satisfacer lacalidad de servicios acordada.

El Centro de Servicios (Service Desk), que mediante su trato diario con losclientes, usuarios y organizacin TI supervisa la calidad de los servicios y conocela percepcin del cliente respecto a los mismos.

Los informes de rendimiento elaborados deben cubrir factores clave tales como:

Cumplimiento de los SLAs, con informacin sobre la frecuencia y el impacto delos incidentes responsables de la degradacin del servicio.

Quejas, justificadas o no, de los clientes y usuarios.

Utilizacin de la capacidad predefinida. Disponibilidad del servicio. Tiempos de respuesta. Costes reales del servicio ofrecido. Problemas detectados y cambios realizados para restaurar la calidad del

servicio. Calidad del servicio de los proveedores externos: nivel de cumplimiento de los

OLAs.

2.2.1.4 Revisin de la calidad de los servicios


14/33



La correcta Gestin de Niveles de Servicioes un proceso continuo que requiere lacontinua revisin de la calidad de los servicios ofrecidos.

En este ltimo tramo del proceso se trata de revisar aquellos SLAs que se hanincumplido buscando las razones para, a partir de este anlisis, elaborar el ProgramaMejora del Servicio (SIP). Este documento que recoge:

Medidas correctivas de los fallos detectados en los niveles de servicio. Propuestas de mejora basadas en el avance de la tecnologa.


El objetivo de la Gestin de Niveles de Serviciono es otro que el de mejorar la calidaddel servicio y la satisfaccin del cliente, pero esto no se puede llevar a cabo sin una

buena gestin de los procesos involucrados.

Es esencial disponer de:

Unos objetivos claros y contrastables. Un equipo con experiencia liderado por un Gestor del Nivel de Servicio con la

cualificacin y experiencia necesarios. Una asignacin clara de tareas y responsabilidades. Indicadores especficos de rendimiento tales como:

Porcentaje de servicios amparados bajo SLAs. Porcentaje de incumplimiento de los SLAs clasificados por su impacto en

la calidad del servicio.

SIPs elaborados e impacto de los mismos en la calidad del servicio.

Encuestas de satisfaccin del cliente.

La correcta elaboracin de informes internos de gestin permite evaluar el rendimientode la Gestin de Niveles de Servicio y aporta informacin de vital importancia a otrasreas involucradas en el soporte y la provisin de los servicios TI.

Entre la documentacin generada cabra destacar:

Informes Estadsticos de Rendimiento: donde se detallen los SLAs, OLAs y Ucselaborados y el nivel de cumplimiento de los mismos, costes promedio asociadosal proceso, etc.

Informes de Seguimiento: donde se especifiquen las acciones de monitorizacinrealizadas, sus resultados y el grado de satisfaccin de los clientes con elservicio prestado.

Planes de Mejora (SIP): donde se especifiquen las acciones propuestas para lamejora del servicio TI y el impacto que estas han tenido en la calidad del servicio.

2.3 Gestin de la Capacidad

La Gestin de la Capacidadse encarga de que todos los servicios estn respaldadospor unos recursos informticos correctamente, garantizndose la calidad sin inversiones


15/33



innecesarias. Para ello se racionaliza la gestin de las compras y mantenimiento de losservicios TI con la consiguiente reduccin de costes e incremento en el rendimiento.

La Gestin de la Capacidad se puede enfocar desde tres puntos de vista diferentes:

Gestin de la Capacidad del Negocio (BCM). Su objeto de atencin son lasnecesidades futuras de usuarios y clientes.

Gestin de la Capacidad del Servicio (SCM): Su objeto de atencin son losservicios y los niveles de servicio (SLA).

Gestin de la Capacidad de Recursos (CCM): Su objeto de atencin son losrecursos y las tendencias de uso de los mismos.

Entre las responsabilidades de la Gestin de la Capacidad se encuentran:

Conocer el estado actual de la tecnologa y previsibles futuros desarrollos.

Conocer los planes de negocio y acuerdos de nivel de servicio para prever lacapacidad necesaria.

Analizar el rendimiento de la infraestructura para monitorizar el uso de lacapacidad existente.

Realizar modelos y simulaciones de capacidad para diferentes escenariosfuturos previsibles.

Dimensionar adecuadamente los servicios y aplicaciones alinendolos a losprocesos de negocio y necesidades reales del cliente.

Gestionar la demanda de servicios informticos racionalizando su uso.

Los principales beneficios derivados de una correcta Gestin de la Capacidad son:

Se optimiza el rendimiento de los recursos informticos. Se dispone de la capacidad necesaria, garantizando la calidad del servicio. Se evitan compras de recursos caros e innecesarios. Se planifica el crecimiento de la infraestructura adecundolo a las necesidades

reales de negocio. Se eliminan gastos asociados a equipos y aplicaciones obsoletas o

innecesarias. Se reducen posibles incompatibilidades y fallos en la infraestructura informtica.

La implementacin de una adecuada poltica de Gestin de la Capacidad tambin seencuentra con algunas serias dificultades:

Informacin insuficiente para una planificacin realista de la capacidad. Expectativas injustificadas sobre el ahorro de costes y mejoras del rendimiento. Insuficiencia de recursos para la correcta monitorizacin del rendimiento. Infraestructuras informticas distribuidas y excesivamente complejas en las que

es difcil un correcto acceso a los datos. No existe el compromiso suficiente de la direccin por implementar

rigurosamente los procesos asociados. La rpida evolucin de las tecnologas puede obligar a una revisin permanente

de los planes y escenarios contemplados.


16/33



Un correcto establecimiento de las dimensiones de la propia Gestin de laCapacidad: un excesivo celo puede provocar costosos anlisis de capacidad quepodran haber sido innecesarios con la compra de nuevo hardware o software.

2.3.1 Procesos

Las principales actividades de la Gestin de la Capacidadse resumen en:

Planificacin de la capacidad. Gestionar los recursos para garantizar la capacidad. Supervisin de la capacidad.

2.3.1.1 Planificacin de la capacidad

Plan de Capacidad

La elaboracin del Plan de Capacidades la tarea principal de la Gestin de Capacidad.El Plan de Capacidad recoge:

Capacidad actual de la infraestructura TI. Previsiones sobre necesidades futuras basadas en tendencias, previsiones de

negocio y SLAs existentes. Los cambios necesarios para adaptar la capacidad TI a las novedades

tecnolgicas y las necesidades emergentes de usuarios y clientes.

El Plan de Capacidaddebe incluir informacin sobre los costes de la capacidad actual

y prevista. Esta informacin es indispensable para que la Gestin Financierapuedaelaborar los presupuestos y previsiones financieras de manera realista.

Modelado y Benchmarking

Cuando la infraestructura informtica sea compleja, ser difcil preveer las necesidadesde capacidad futura. En esos casos podemos optar por:

Un anlisis de tendencias que permita evaluar la carga de proceso esperada enla infraestructura informtica y escalar consecuentemente su capacidad actual.

Realizar modelos y simulaciones sobre diferentes escenarios para llevar a caboprevisiones de carga y repuesta de la infraestructura informtica.

Realizar benchmarks (pruebas de rendimiento comparativas) con prototiposreales para asegurar la capacidad y el rendimiento de la futura infraestructura.

2.3.1.2 Gestionar los recursos para garantizar la capacidad

Un aspecto esencial de la Gestin de la Capacidad es el de asignar recursosadecuados de hardware, software y personal a cada servicio y aplicacin.

El correcto dimensionamiento requiere que la Gestin de la Capacidad disponga deinformacin fiable sobre:

Los niveles de servicio acordados y/o previstos (SLAs).


17/33



Niveles de rendimiento esperados. Impacto de la aplicacin o servicio en los procesos de negocio del cliente. Mrgenes de seguridad y disponibilidad.

Informes de monitorizacin de los niveles de servicio.

Costes asociados a los equipos de hardware y otros recursos TI necesarios.

En la fase de diseo de un servicio, la Gestin de la Capacidad asegura que sedispondr de la capacidad necesaria para llevar el proyecto a buen trmino. Una vez seha puesto en marcha el servicio, tambin es la encargada de analizar las tendencias deuso y prever las necesidades futuras.

2.3.1.3 Supervisin de la capacidad

La Gestin de la Capacidad es un proceso continuo e iterativo cuyo objetivo es

asegurar que el rendimiento de la infraestructura informtica se adecua a los requisitosde los SLAs

La supervisin de la capacidad implica tres tareas: monitorizar, analizar y ajustar.

Monitorizacin

Se monitoriza, analiza y evala el rendimiento y capacidad de la infraestructura TI. Losdatos obtenidos se almacenan en la Base de Datos de la Capacidad (CDB). Idealmentela CDB debe estar interrelacionada con la Base de Datos de gestin de Configuraciones(CMDB) para que esta ltima ofrezca una imagen integral de los sistemas y aplicacionescon informacin relativa a su capacidad.

Anlisis y Evaluacin

Se analizan los datos recogidos y se deciden las acciones correctivas a llevar a cabo.Suelen ser dos, aumentar la capacidad o gestionar mejor la demanda.

Ajustar

Si se ha optado por aumentar la capacidad, se elevar una peticin de cambio (RFC)a la Gestin de Cambiospara que se desencadene todo el proceso necesario para laimplementacin del cambio.

Si se ha optado por gestionar mejor la demanda, ser la propia Gestin de laCapacidad la responsable de gestionar ese subproceso.


Es imprescindible elaborar informes que permitan evaluar el rendimiento de los trabajosde monitorizacin y anlisis asociados a la Gestin de la Capacidad.

La documentacin elaborada debe incluir informacin sobre:

El % de uso de recursos. Desviaciones de la capacidad real sobre la planificada.


18/33



Tendencias en el uso de la capacidad. Mtricas usadas para el anlisis de la capacidad. Mtricas usadas para la monitorizacin del rendimiento.

Impacto en la calidad del servicio, disponibilidad y otros procesos TI.

El xito de la Gestin de la Capacidad depende de algunos indicadores clave, entre losque se encuentran:

Ms altos niveles de disponibilidad y seguridad. Mayor satisfaccin de los usuarios y clientes. Cumplimiento de los SLAs. Correcta previsin de las necesidades de capacidad. Reduccin de los costes asociados a la capacidad.

2.4 Gestin de la Disponibilidad

El entorno tecnolgico actual ofrece servicios a gran velocidad y con una disponibilidadabsoluta.Como proveedores de servicios TI nos enfrentamos al reto de evolucionar sin apenasmargen para el error pues nuestros sistemas han de encontrarse a disposicin delcliente prcticamente 24/7.

La Gestin de la Disponibilidades responsable de optimizar y monitorizar los serviciosTI para que estos funcionen ininterrumpidamente y de manera fiable, cumpliendo losSLAs y todo ello a un coste razonable. La satisfaccin del cliente y la rentabilidad de los

servicios TI dependen en gran medida de su xito.

Las responsabilidades de la Gestin de la Disponibilidad incluyen:

Fijar los requisitos de disponibilidad en estrecha colaboracin con los clientes. Garantizar el nivel de disponibilidad establecido para los servicios TI. Monitorizar la disponibilidad de los servicios TI. Proponer mejoras en los servicios TI para aumentar el nivele de disponibilidad. Supervisar el cumplimiento de los OLAs y UCs acordados con proveedores

internos y externos.

El proceso de Gestin de la Disponibilidaddebe optimizar cuatro parmetros:

Disponibilidad. Porcentaje de tiempo, sobre el total acordado, en que losservicios TI han sido accesibles al usuario y han funcionado correctamente.

Fiabilidad. Medida del tiempo durante el cual los servicios han funcionadocorrectamente de forma ininterrumpida.

Capacidad de mantenimiento. Capacidad de recuperar el servicio en caso deinterrupcin.

Capacidad de Servicio. Determina la disponibilidad de los servicios internos yexternos contratados y su adecuacin a los OLAs y UCs en vigor. Cuando unservicio TI es subcontratado en su totalidad la disponibilidad y la capacidad deservicio son trminos equivalentes.

Los principalesbeneficiosde una correcta Gestin de la Disponibilidad son:


19/33



Cumplimiento de los niveles de disponibilidad acordados. Reduccin de los costes asociados a un alto nivel de disponibilidad.

Mayor calidad de servicio para el cliente

Se aumentan progresivamente los niveles de disponibilidad. Se reduce el nmero de incidentes.

Las principales dificultades con las que topa la Gestin de la Disponibilidad son:

No se monitoriza correctamente la disponibilidad real del servicio. No existe compromiso con el proceso dentro de la organizacin TI. No se dispone de las herramientas de software y personal adecuado. Los objetivos de disponibilidad no estn alineados con las necesidades del

cliente.

Falta de coordinacin con los otros procesos.

Los proveedores internos y externos no reconocen la autoridad del Gestor de laDisponibilidad por falta de apoyo de la direccin.

2.4.1 Procesos

Entre las actividades que la Gestin de la Disponibilidadse encuentran:

Fijar los requisitos de disponibilidad. Plan de disponibilidad. Mantenimiento y seguridad. Monitorizacin la disponibilidad.

Medicin de la disponibilidad.

2.4.1.1 Fijar los requisitos de disponibilidad

El cliente debe entender que una alta disponibilidad es muy cara, por lo que quiz leinterese sufrir algn problema ocasional con unos servicios ms econmicos (menosfiables), por que la rentabilidad de su negocio puede ser mucho mayor.

El proveedor de servicios debe entender que dotarse de los recursos necesarios paraofrecer alta disponibilidad para un solo cliente puede ser muy arriesgado, si el cliente sefuese, la rentabilidad del negocio del proveedor bajara.

Una vez estudidada sta cuestin, el cliente y la organizacin fijan los SLAs.

2.4.1.2 Plan de disponibilidad

El Plan de Disponibilidad refleja las posibilidades actuales y futuras de la organizacinen cuanto a la disponibilidad que podra ofertar en sus servicios.

Este plan debe recoger:

La situacin actual de disponibilidad de los servicios TI. Planes de mejora de la disponibilidad. Expectativas futuras de disponibilidad.


20/33



Herramientas para la monitorizacin de la disponibilidad. Mtodos y tcnicas de anlisis a utilizar. Definiciones relevantes y precisas de las mtricas a utilizar.

Este plan propone los cambios necesarios para incrementar la disponibilidad. El plan seentrega a la Gestin de Cambiosy si se aprueba llega a la Gestin de Entregas yDespliegues.

2.4.1.3 Mantenimiento y Seguridad

La Gestin de la Disponibilidad es responsable de la redaccin de los planes derecuperacin ante incidencias, as como de los mecanismos de seguridad.

Es tan importante determinar cundo el servicio estar disponible como el "quin y

cmo" va a utilizarlo. La disponibilidad y seguridad son interdependientes y cualquierfallo en una de ellas afectar gravemente a la otra.

Sean cuales sean los recursos, tarde o temprano deberemos resolver interrupciones delservicio. Las interrupciones son de dos tipos: incidencias y mantenimientos.

Interrupciones por Incidencias

El objetivo es recuperar el servicio lo antes posible, evitando que la interrupcin afectea los SLAs.

Interrupciones de Mantenimiento

Todo servicio debe ser interrumpido peridicamente para tareas de mantenimiento oactualizacin. Estas interrupciones deben ser cuidadosamente planificadas paraminimizar su impacto.

Si el servicio es 24X7y la interrupcin es necesaria se debe: Consultar con el cliente acerca de la franja horaria en la que la

interrupcin del servicio afectar menos a sus actividades de negocio. Informar con antelacin suficiente a todos los agentes implicados. Incorporar dicha informacin a los SLAs.

Si el servicio no es 24X7, las tareas de actualizacin y manteniemiento serealizarn en la franja horaria de mnima actividad.

2.4.1.4 Monitorizacin de la disponibilidad

Dos de las principales actividades de la Gestin de la Disponibilidadson monitorizarla disponibilidad del servicio y elaborar los correspondientes informes.

El ciclo de vida de la interrupcin del serviciopasa por distintas fases:

Tiempo de deteccin. Tiempo que transcurre desde que ocurre el fallo hastaque la organizacin TI tiene constancia del mismo.

Tiempo de respuesta. Tiempo que transcurre desde la deteccin del problemahasta que se realiza un registro y diagnstico del incidente.


21/33



Tiempo de reparacin/recuperacin. Tiempo utilizado para reparar el fallo oencontrar una solucin temporal al mismo y devolver el sistema a la situacinanterior a la interrupcin del servicio.

El cliente debe conocer y aprobar las mtricas usadas para medir cada una de stasfases. En algunos casos es difcil determinar si el sistema est "cado o enfuncionamiento" y la interpretacin puede diferir entre proveedores y clientes, por lotanto, ests mtricas deben poder expresarse en trminos que el cliente puedaentender.

Algunos de los parmetrosque suelen utilizarse y deben aparecer en los informes dedisponibilidadson:

Tiempo Medio de Parada (MTTR). Tiempo promedio de duracin de una

interrupcin del servicio. Es la suma de: tiempo de deteccin, tiempo derespuesta y tiempo de resolucin. Tiempo Medio entre Fallos (MTBF). Tiempo medio durante el cual el servicio

est disponible sin interrupciones. Tiempo Medio entre Incidencias (MTBSI). El Tiempo Medio entre Incidentes

es una medida de la fiabilidad del sistema. MTBSI=MTTR+MTBF.

Ejemplo. Si tenemos un servicio que falla siempre el da 01 de Enero y la avera durasiempre 10 das los valores seran:

MTTR=10 das. Siempre se tardan 10 das en reparar los sistemas. MTBF=355 das. Todos los aos el servicio funciona durante 355 das.

MTBSI=365 das. Dado que el servicio siempre falla el 01 de Enero, ladistancia de un fallo y otro es de un ao.

2.4.1.5 Medicin de la disponibilidad

Hay muchas tcnicas de medicin de la disponibilidad:

Anlisis del Impacto de Fallo de Componentes (CFIA).El CFIA (siglas deComponent Failure Impact Analysis) identifica el impacto que tiene el fallo decada componente involucrado, en la disponibilidad del servicio.

Anlisis del rbol de Fallos (FTA). El FTA (siglas de Failure Tree Analysis)tiene como objetivo estudiar cmo se propagan los fallos a travs de la

infraestructura TI para comprender mejor su impacto en la disponibilidad delservicio.

Mtodo de Gestin y Anlisis de Riesgos de la CCTA (CRAMM). El CRAMM(siglas de CCTA Risk Analysis and Management Method) identifica los riesgosque afectan a la infraestructura, con el objetivo de adoptar contramedidas quelos reduzcan o que permitan recuperar rpidamente el servicio.

Anlisis de Interrupcin del Servicio (SOA). El SOA (siglas de Service OutageAnalysis) analiza desde el punto de vista del cliente las causas de los fallosdetectados y propone soluciones a los mismos.

Sin embargo, una medida bsica de la fiabilidad puede obtenerse de forma sencilla:


22/33



donde:

AST. Tiempo acordado de servicio. DT. Tiempo de interrupcin del servicio.

Ejemplo. Si el servicio es 24/7 y en el ltimo mes el sistema ha estado cado durante 4horas por tareas de mantenimiento, la disponibilidad real del servicio fue:

La disponibilidad tanto de los sistemas propios como de los sistemas externos debe sermedida peridicamente, elaborando informes de cumplimiento de OLAs y UCs.


La Gestin de la Disponibilidad debe monitorizar la disponibilidad y elaborarinformes peridicostanto para los clientes como para el resto de la organizacin TI.Estos informes deben incluir:

Tcnicas y mtodos utilizados para la prevencin y el anlisis de fallos. Informacin estadstica sobre:

Tiempos de deteccin y respuesta a los fallos.

Tiempos de reparacin y recuperacin del servicio. Tiempo medio de servicio entre fallos.

Disponibilidad real de los diferentes servicios. Cumplimiento de los SLAs en todo lo referente a la disponibilidad y fiabilidad del

servicio. Cumplimiento de los OLAs y UCs en todo lo referente a la capacidad de servicio

prestada por los proveedores internos y externos.

2.5 Gestin de la Continuidad de servicios TI

La Gestin de la Continuidad del Serviciose preocupa de impedir interrupciones delservicios, cusadas por desastres naturales o fuerzas de causa mayor.

La Gestin de la Continuidad del Servicio (ITSCM)debe equilibrar sabiamente dosestrategias:

Proactivas. Se centran en impedir o minimizar las interrupciones del servicioantes de que se den.

Reactivas. Se centran en cmo reanudar el servicio rpidamente una vez queste ha sido interrumpido.


23/33



Los beneficios de la ITSCMslo se perciben a largo plazo, es como contratar un seguromdico: cuesta dinero y es intil mientras uno est sano, pero tarde o temprano nosalegramos de haber sido previsores.

Las polticas proactivas son a priori preferibles a las exclusivamente reactivas, pero sonsiempre mas costosas y muchas veces se busca una combinacin de ambas.

La Gestin de la Continuidad del Serviciose preocupa tanto de desastres "de toda lavida", tales como incendios, inundaciones, etctera, como desastres "puramenteinformticos", tales como los producidos por ataques distribuidos de denegacin deservicio (DDOS), virus informticos, etctera. Pero se centra mas en los desastresinformticos dado que:

Los desastres naturales son considerados inevitables por los clientes, los

desastres informticos se achacan a negligencias.

Los desastres informticos son ms habituales y previsibles. Los desastres informticos paralizan toda la organizacin.

2.5.1 Procesos

Las principales actividades de la Gestin de la Continuidad de los Servicios son:

Alcance. Anlisis de Impacto. Evaluacin de Riesgos. Estrategias de continuidad .

Organizacin y Planificacin.

Supervisin de la continuidad.

2.5.1.1 Alcance

La implantacin de la Gestin de la Continuidad de los Servicios es compleja,costosa y no ofrece la contrapartida de un retorno obvio a la inversin. Por tanto el primerpaso para desarrollar una Gestin de la Continuidad del Servicio coherente esestablecer unos objetivos (alcance) razonables.

La Gestin de la Continuidad del Servicio precisa de recursos tanto humanos como deequipamiento (software y hardware). Es absurdo instaurar un alcance demasiado

ambicioso sin recursos suficiente.

La formacin del personal es esencial, todo el mundo debe conocer perfectamentelas tareas a desempear en un momento de crisis. Una emergencia no es el mejormomento para estudiar manuales.

2.5.1.2 Anlisis de Impacto

Una correcta Gestin de la Continuidad del Serviciodebe conocer qu serviciosson estratgicos para la continuidad del negocioante una catstrofe en los serviciosinformticos.


24/33



Son los servicios estratgicos los que tienen un mayor impacto en el negociocuando hay una catstrofe, por lo que debern ser reforzados con planes deprevencin y restauracin antes y despus del desastre.

2.5.1.3 Evaluacin de Riesgos

La Gestin de la Continuidad del Servicio debe conocer los riesgos a los que seenfrenta la infraestructura TI.

Cada riesgo debe ser estudiado, determinando su probabilidad y su impacto.

ste anlisis permitir proponer diferentes medidas de prevencin y recuperacin antelos riesgos que pudiesen tener un mayor impacto en el negocio.

2.5.1.4Estrategias de continuidad

La Gestin de la Continuidad del Servicio debe disear medidas preventivas ymedidas de recuperacin, que ofrezcan garantas con unos costes razonables.

Medidas preventivas. Las medidas preventivas requieren un anlisisdetallado de riesgos y vulnerabilidades. Los desastes naturales y losdesastres informticos implican medidas preventivas de diferente naturaleza.Los primeros pueden minimizarse manteniendo varios CPD geogrficamentepreparadas. Los segundos extremando los niveles de seguridad.

Medidas de recuperacin. Por muy eficientes que sean nuestras actividadesde prevencin, tarde o temprano hay algn desaste y deben ponerse en marcha

las medidas de recuperacin. En lneas generales existen tres opciones derecuperacin del servicio: Cold standby. Es la sustitucin de los servicios deteriorados por

servicios gemelos en un plazo de unos pocos das. Esta opcin deseablecuando la organizacin puede mantener sus niveles de servicio duranteese plazo sin el apoyo de la infraestructura TI.

Warm standby. Es la sustitucin de los servicios deteriorados porservicios gemelos en un plazo entre 24 y 72 horas. Esta opcin deseablecuando la organizacin puede mantener sus niveles de servicio duranteese plazo sin el apoyo de la infraestructura TI.

Hot standby. Es la sustitucin inmediata de los servicios deterioradospor servicios gemelos que ya estaban preparados para la entrada en

produccin. sta opcin es muy costosa y se aplica en organizacionesque dependen totalmente de sus sistemas informticos.

2.5.1.5 Organizacin y Planificacin

Una vez definido el alcance, analizados los riesgos y definidas unas estrategias deprevencin y recuperacin, es necesario asignar y organizar los recursos necesarios.

Con ese objetivo la Gestin de la Continuidad del Serviciodebe elaboraruna seriede documentosentre los que se incluyen:


25/33



Plan de prevencin de riesgos. Tiene como objetivo evitar o minimizar elimpacto de un desastre en la infraestructura TI.

Plan de gestin de emergencias. Tiene como objetivo determinar lasresponsabilidades y los protocolos de accin de las personas en el momento dela crisis, evitando situaciones de pnico.

Plan de recuperacin. Tiene como objetivo reiniciar el servicio, reestableciendosistemas, recuperando datos y reorganizando personal.

2.5.1.6 Supervisin de la continuidad

Una vez definidos los planes de prevencin, gestin de la emergencia y recuperacin,es indispensable que stos no queden en papel mojado y que la organizacin estpreparada para su correcta implementacin.

Ello depende de dos factores clave:

Formacin. Es intil disponer de unos completos planes de prevencin, gestinde la emergencia y recuperacin, si las personas que deben llevarlos a cabo nolos conocen y tienen una formacin especfica sobre su ejecucin mediantesimulacros.

Auditora y actualizacin de planes. Los planes de prevencin, gestin de laemergencia y recuperacin, deben ser auditados y actualizados peridicamente,puesto que las infraestructuras evolucionan continuamente.


La Gestin de la Continuidad del Servicio debe elaborar peridicamente informessobre su gestin que incluyan informacin relevante para el resto de la organizacin TI.Estos informes deben incluir:

Anlisis sobre nuevos riesgos y evaluacin de su impacto. Nuevas medidas preventivas y de recuperacin. Actividades de formacin del personal realizadas. Simulacros de prevencin y recuperacin realizados. Evaluacin de los simulacros de desastre realizados. Costes asociados a la formacin y los simulacros.

2.6 Gestin de la Seguridad

La criptologa existe desde el inicio de nuestra civilizacin, pero desde la llegada deInternet, los problemas asociados a la seguridad de la informacin se han agravadoconsiderablemente y nos afectan a todos.

La Gestin de la Seguridaddebe, por tanto, garantizar los tres pilares fundamentalesde la seguridad:

Confidencialidad. La informacin debe ser slo accesible a sus destinatariospredeterminados.

Integridad. La informacin debe ser correcta y completa.


26/33



Disponibilidad. Debemos de tener acceso a la informacin cuando lanecesitamos.

Los principales objetivos de la Gestin de la Seguridadse resumen en:

Disear una poltica de seguridad, en colaboracin con clientes y proveedores,correctamente alineada con las necesidades del negocio.

Plasmar los estndares de seguridad acordados en SLAs y UCs. Cumplir los estndares de seguridad acordados. Detectar nuevos riesgos de seguridad asociados a cualquier tipo de cambio para

minimizarlos o eliminarlos.

Los principales beneficios de una correcta Gestin de la Seguridad:

Se minimizan interrupciones del servicio asociadas a problemas de seguridad.

Se tiene acceso a la informacin cuando se necesita. Se preserva la integridad de los datos. Se preserva la confidencialidad de los datos. Se cumplen los reglamentos sobre proteccin de datos. Aumenta la confianza de los clientes respecto a la calidad del servicio.

Las principales dificultades a la hora de implementar la Gestin de la Seguridadseresumen en:

Falta de compromiso de la organizacin con el proceso. Polticas de seguridad muy restrictivas afectan negativamente al negocio.

Falta de herramientas para monitorizar/garantizar la seguridad del servicio.

Escasa o nula formacin del personal en protocolos de seguridad.

2.6.1 Procesos

La Gestin de la Seguridadest estrechamente relacionada con prcticamente todoslos otros procesos TI y necesita para su xito la colaboracin de toda la organizacin.

Para que esa colaboracin sea eficaz, es necesario que la Gestin de la Seguridad lancelos siguientes procesos:

Poltica y Plan de Seguridad.

Aplicacin de las Medidas de Seguridad.

Evaluacin y mantenimiento.

2.6.1.1 Poltica y Plan de Seguridad

La Gestin de la Seguridad debe definir un marco general donde se fijen todos losparmetros asociados a la seguridad: objetivos, responsabilidades y recursos.

El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de serincluidos como parte de los SLAs, OLAs y UCs.


27/33



Este plan ha de ser desarrollado en colaboracin con la Gestin del Nivel de Servicio,que es la responsable en ltima instancia tanto de la calidad del servicio prestado a losclientes como la del servicio recibido por la propia organizacin TI y los proveedoresexternos.

El Plan de Seguridad debe ser diseado con el fin de ofrecer un mejor y ms seguroservicio al cliente y nunca como un obstculo para el desarrollo de sus actividades denegocio.

Siempre que sea posible, deben definirse mtricas e indicadores clave que permitanevaluar los niveles de seguridad acordados.

Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos deseguridad coherentes en todas las fases del servicio y para todos los estamentos

implicados. "Una cadena es tan resistente como el ms dbil de sus eslabones", por loque carece de sentido, por ejemplo, establecer una estrictas normas de acceso si unaaplicacin tiene vulnerabilidades frente a inyecciones de SQL.

2.6.1.2 Aplicacin de las Medidas de Seguridad

Es responsabilidad de la Gestin de Seguridad coordinar la implementacin de losprotocolos y medidas de seguridad establecidas en la Poltica y el Plan de Seguridad.

Es responsabilidad de la Gestin de la Seguridad:

Establecer las polticas y protocolos de acceso a la informacin.

Formar adecuadamente al personal.

Exigir que los empleados firmen acuerdos de confidencialidad. Proponer medidas disciplinarias cuando los empleados incumplan los acuerdos

de confidencialidad. Asignar los recursos necesarios. Generar la documentacin de referencia necesaria. Colaborar con el Centro de Servicios y la Gestin de Incidentes en el

tratamiento y resolucin de incidentes relacionados con la seguridad. Instalar y mantener las herramientas de hardware y software necesarias para

garantizar la seguridad. Colaborar con la Gestin de Cambiosy la de Entregas y Desplieguespara

asegurar que no se introducen nuevas vulnerabilidades en los sistemas en

produccin o entornos de pruebas.

Proponer RFCs a la Gestin de Cambios que aumenten los niveles deseguridad.

Colaborar con la Gestin de la Continuidad del Serviciopara asegurar que nopeligra la integridad y confidencialidad de los datos en caso de desastre.

Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

2.6.1.3 Evaluacin y mantenimiento

Evaluacin


28/33



E indispensable evaluar peridicamente el cumplimiento de las medidas de seguridad,sus resultados y el cumplimiento de los SLAs.

Las evaluaciones deberan complementarse con auditoras de seguridad externas y/ointernas realizadas por personal independiente de la Gestin de la Seguridad.

Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponermejoras que se plasmarn en RFCs que habrn de ser evaluados por la Gestin deCambios.

Independientemente de estas evaluaciones de carcter peridico, se debern generarinformes especficos cada vez que ocurra algn incidente grave relacionado con laseguridad. De nuevo, si la Gestin de la Seguridad lo considera oportuno, estos informesse acompaaran de las RFCs correspondientes.

Mantenimiento

La Gestin de la Seguridades un proceso continuo, cada da aparecen nuevos riesgoso se realizan cambios en la infraestructura de servicios.

Por estas razones debe evaluarse peridicamente el Plan de Seguridad, los equipos, elpersonal y las secciones de seguridad de los SLAs.


Es necesario controlar que la Gestin de la Seguridad cumple sus objetivos, para ello

debern generarse peridicamente los siguientes informes:

Informes de cumplimiento de seguridad, en los SLAs, OLAs y UCs en vigor. Informe de incidentes de seguridad, calificados por su impacto sobre la calidad

del servicio. Informes de evaluacin de los programas de formacin impartidos y sus

resultados. Informes que identifiquen nuevos peligros y vulnerabilidades en los servicios. Informes de las auditoras de seguridad. Informes sobre el grado de implementacin y cumplimiento de los planes de

seguridad establecidos.

Una buena Gestin de la Seguridaddebe traducirse en:

Disminucin del nmero de incidentes relacionados con la seguridad. Un acceso eficiente a la informacin por el personal autorizado. Gestin proactiva, que permita identificar vulnerabilidades potenciales antes de

que estas se manifiesten y provoquen una seria degradacin de la calidad delservicio.

2.7 Gestin de Proveedores


29/33



La Gestin de Proveedores define, siguiendo las pautas marcadas desde la Estrategiadel Servicio, la estrategia de gestin de proveedores. Dicha estrategia incluye:

Seleccionar, para cada nueva necesidad, el proveedor que ofrezca el mejorservicio al menor precio.

Definir y negociar los nuevos contratos. Verificar el cumplimiento de los contratos. Actualizar los contratos que pierdan vigencia. Renovar y terminar contratos. Mantener actualizada toda la informacin relativa a los proveedores y a los

servicios prestados por cada uno. El repositorio documental donde se archivatoda la informacin relacionada con los proveedores y los servicios es la Basede Datos de Proveedores y Contratos (SCD).

2.7.1 Procesos

La Gestin de Proveedoresse ocupa de definir y gestionar:

Requisitos de contratacin . Evaluacin y Seleccin de proveedores . Clasificacin y Documentacin de proveedores . Gestin del Rendimiento de los proveedores . Renovacin o terminacin de contratos.

2.7.1.1 Requisitos de contratacin

La primera tarea que la Gestin de Proveedoresdebe llevar a cabo es analizar lasestrategias generales de la organizacin y los servicios que se prestan para definir lasnecesidades de contratacin.

Han de tenerse en cuenta, tambin, los informes econmicos proporcionados por laGestin Financiera, los niveles de calidad acordados con los clientes desde la Gestinde Niveles de Servicio, y la previsin de la capacidad necesaria para desplegar elservicio que haya definido la Gestin de la Demanda.

Por ltimo, se deben estudiar a fondo en el Catlogo de Servicioslas condiciones delservicio a prestar y el papel que desempearn los proveedores en el proceso.

Una vez recogidos y analizados estos inputs, la Gestin de Proveedores debe preparar:

Requisitos que se van a exigir a los proveedores. Caso de Negocio inicial sobre el que trabajar durante las negociaciones con los

proveedores.

2.7.1.2 Evaluacin y Seleccin de proveedores

A la hora de elegir un nuevo suministrador han de tenerse en cuenta:

Su adecuacin a los requisitos previamente definidos. Referencias de otros competidores.


30/33



Disponibilidad y capacidad. Aspectos financieros.

Una vez elegido el proveedor, se han de negociar los trminos del servicio. El resultadodebe quedar reflejado en el Contrato de Provisin del Servicio (UC), un documentolegal que atestigua la relacin entre la organizacin TI y el suministrador.

Es importante que en el UC queden reflejadas las metas y responsabilidades delproveedor de cara al cumplimiento de los SLAs.

2.7.1.3 Clasificacin y Documentacin de proveedores

Una vez que se han acordado y negociado los servicios de un determinado proveedor,es preciso crear una Base de Datos de Proveedores y Contratos (SCD)donde se

recoger toda la informacin relacionada:

Contratos de provisin del servicio (UCs). El nivel de actuacin del proveedor: Estratgico (directivos), tctico (mandos

intermedios), operativo (nivel ejecutor). Relaciones con otros elementos del ciclo de vida.

2.7.1.4 Gestin del Rendimiento de los proveedores

Esta actividad se encarga de monitorizar si se estn cumpliendo los niveles de calidady disponibilidad acordados en los contratos. Avisando al proveedor cuando se detectealguna incidencia.

2.7.1.5 Renovacin o terminacin de contratos

Esta actividad se encarga tanto de renovar como de finalizar contratos. Antes de decidirqu hacer con el contrato de un proveedor se valora:

Que el servicio se est recibiendo correctamente segn lo especificado en elcontrato.

Qu cambios tendremos en nuestra organizacin, que puedan precisar de otrosproveedores ms adecuados.

Qu cambios tendr el proveedor, que puedan implicar la bsqueda de un nuevoproveedor.


Indicadores de la calidad del proceso de Gestin de Proveedores:

La calidad de los servicios ofrecidos nunca se han visto afectada por el nivel decalidad de los servicios prestados por proveedores.

La disponibilidad de los servicios ofrecidos nunca se han visto afectados por porel rendimiento de los servicios prestados por proveedores.

3 Puesta en marcha


31/33



La fase de diseo de servicios tiene muchas actividades asociadas y cada una de ellasmuchos procesos.

Como gran parte de stos procesos son fuertemente dependientes entre s, por lo quese recomienda la implementacin simultnea de todos ellos.

Si por limitaciones presupuestarias o cualquier otra causa sto no fuera posible, debernestablecerse prioridades. En cualquier caso la organizacin TI debe ser consciente deque sin los inputs de los otros procesos cualquiera de stos implementado de formaaislada corre un alto riesgo de fracaso.

3.1 RACI

Para que la fase de diseo resulte exitosa es imprescindible organizar adecuadamentetodos los procesos y actividades implicados. La mejor forma de afrontar estos procesoses repartir las tareas y asignar responsables.

Un modelo til para la asignacin de responsabilidades en la ejecucin de tareas oactividades asignados a un proyecto es el llamado modelo RACI (tambin llamadomatriz de asignacin de responsabilidades) que es el acrnimo de:

Responsible(Encargado). Persona nica encargada de hacer la tarea. Accountable(Responsable). Responsable nica de la correcta ejecucin de la

tarea. Informed(Informado). Personas que deben ser informadas sobre el progreso de

ejecucin de la tarea.

En cada tarea debe haber un nico R y A. Si esto no fuera as la tarea se subdividirhasta que as sea. Por supuesto una persona puede ser, a priori, R o A en mltiplestareas.

Una matriz RACI tpicamente tiene un eje vertical donde se describen las tareas oentregables en orden cronolgico y en el eje horizontal los perfiles o personasimplicadas en los mismos.

3.2 Tecnologa

Es conveniente disponer de herramientas que faciliten todo el proceso de Diseo delServicio.

En lneas generales se debe tener en cuenta que todas las herramientas utilizadasdeben estar al servicio de los procesos y no al contrario.

A la hora de escoger las herramientas adecuadas puede servir de ayuda el uso de unanlisis MoSCoW:

M (must have). Funcionalidades esenciales de las que debe disponer laherramienta.


32/33



S (should have). Funcionalidades importantes de las que debe disponer laherramienta pero que pueden esperar y admiten soluciones temporales.

C (could have). Funcionalidades adicionales que mejoraran el rendimiento ousabilidad de la herramienta.

W (will not have it now). Funcionalidades accesorias que sera interesante aadiren el futuro pero que ahora son prescindibles.

4 Glosario

BCM Gestin de la capacidad del negocio

CCM Gestin de la capacidad de recursos

CDB Base de datos de la capacidad

CFIA Anlisis del impacto de fallo de componentes

CI Elemento de configuracin

CMDB Base de datos de gestin de configuraciones

CMIS Sistema de informacin de gestin de la capacidad

CMS Sistema de gestin de la configuracin

CRAMM Mtodo de gestin y anlisis de riesgo de la CCTA

CSI Mejora contnua del servicio

FTA Anlisis del rbol de fallos

IPS Proveedor de servicios de internet

ITSCM Gestin de la continuidad de los servicios de TI

MTBF Tiempo medio entre fallos

MTBSI Tiempo medio entre incidencias del servicio

MTTR Tiempo medio de parada

OLA Acuerdo de nivel de operacin

RACI Matriz de asignacin de responsabilidades:

Responsible-Accountable-Consulted-InformedEncargado-Responsable-Consultado-Informado

RAD Modelo de desarrollo gil

RFC Peticin de cambio

SCD Base de datos de proveedores y contratos

SCM Gestin de la capacidad del servicio

SIP Plan de mejora del servicio

SKMS Sistema de gestin del conocimiento del servicio

SLA Acuerdo de nivel de servicio


33/33


SLR Requisitos de nivel de servicio

SOA Anlisis de interrupcin del servicio

SQP

Plan da calidad del servicio

TCO Coste total de propiedad

UC Contrato de soporte

5 Referencias

En la elaboracin de ste resumen se han utilizado las siguientes fuentes:

http://itilv3.osiatis.es ITIL V3 Fundamentos
http://itilv3.osiatis.es/http://itilv3.osiatis.es/http://books.google.es/books?id=QHYs9yWDRsQC&pg=PA28&lpg=PA28&dq=tipo+I+tipo+II+tipo+III+proveedores+servicio+itil&source=bl&ots=z6LsXiHQLZ&sig=rGkNwrdUgS3xLFfcCnpTjW8aNq0&hl=es&sa=X&ei=HovdUayEKoi3hQequYGYBA&ved=0CDkQ6AEwAQ#v=onepage&q=tipo%20I%20tipo%20II%20tipo%20III%20proveedores%20servicio%20itil&f=falsehttp://books.google.es/books?id=QHYs9yWDRsQC&pg=PA28&lpg=PA28&dq=tipo+I+tipo+II+tipo+III+proveedores+servicio+itil&source=bl&ots=z6LsXiHQLZ&sig=rGkNwrdUgS3xLFfcCnpTjW8aNq0&hl=es&sa=X&ei=HovdUayEKoi3hQequYGYBA&ved=0CDkQ6AEwAQ#v=onepage&q=tipo%20I%20tipo%20II%20tipo%20III%20proveedores%20servicio%20itil&f=falsehttp://books.google.es/books?id=QHYs9yWDRsQC&pg=PA28&lpg=PA28&dq=tipo+I+tipo+II+tipo+III+proveedores+servicio+itil&source=bl&ots=z6LsXiHQLZ&sig=rGkNwrdUgS3xLFfcCnpTjW8aNq0&hl=es&sa=X&ei=HovdUayEKoi3hQequYGYBA&ved=0CDkQ6AEwAQ#v=onepage&q=tipo%20I%20tipo%20II%20tipo%20III%20proveedores%20servicio%20itil&f=falsehttp://itilv3.osiatis.es/

2. diseño de los servicios ti

Documents