septiembre 20, 2021

BitCuco

¡Hola Mundo!

ITIL – Diseño del Servicio


El diseño del servicio para ITIL v3 es un componente más en el ciclo de vida de un Servicio; concretamente es el segundo aspecto a considerar, tras la estrategia.

Basado en Manual ITIL v3 íntegro. Obra de Sergio Ríos Huércano y BitCuco solo la comparte al público sin propósitos comerciales, la licencia se muestra aquí:

Manual ITIL v3 Integro

Manual ITIL V3 Integro by Sergio Ríos Huércano is licensed under a Creative Commons Reconocimiento-NoComercial-SinObraDerivada 3.0 Unported License.

Diseño de Servicio en ITIL

El diseño en ITIL es la trasposición de la estrategia de negocio a un modelo de desarrollo del Servicio. Este modelo deberá ser planificado, monitorizado, mejorado, mostrado al cliente y gestionado internamente para que se ajuste a la estrategia de la empresa y para que esta estrategia se redefina según las propias necesidades que se van derivando de su puesta en marcha y mantenimiento según los requerimientos, expectativas y los aspectos de valor que tenga el cliente, y que además internamente se considere que deben ser mejorados para dar al Servicio un soporte coherente, equilibrado, justo en costes y eficaz en los resultados.

Este modelo de desarrollo en ITIL se basa en diferentes niveles de gestión, entre los que hay que negociar con el cliente y los proveedores, gestionar el servicio para mantenerlo activo y en unas condiciones apropiadas, así como disponer de seguridad para alejar cualquier posible problemática con la información contenida en nuestro servicio, además de saber y poder reconstruir los servicios tras cualquier tipo de incidencia.

Continuación de las dos partes anteriores:

Gestión de los niveles de servicio en ITIL

El objetivo fundamental de la Gestión de los Niveles de Servicio en ITIL es tratar de acotar con el cliente un marco de referencia en el que se registren todas las vicisitudes del proyecto de manera que se pueda llevar a cabo un Servicio TI con la mayor calidad posible a un coste aceptable.

Este marco se ha de desarrollar sobre una serie de aspectos que han de ser definidos para y con el cliente. Estos elementos están enmarcados en Documentos de Detalle tales como:

  • Catálogo de Servicios
  • Requisitos de Nivel de Servicio (SLR Service Level Requirements)
  • Hojas de Especificación del Servicio (Specsheet)
  • Acuerdo de Nivel de Servicio (SLA Service Level Agreement)
  • Programa de Mejora del Servicio (SIP Service Improvement Program)
  • Plan de Calidad del Servicio (SQP Service Quality Plan)
  • Acuerdo del Nivel de Operaciones (OLA Operational Level Agreement)
  • Contrato de Soporte (UC Underprinning Contract) La definición y desarrollo de esta documentación trata de obtener un beneficio, como es mantener una calidad en el Servicio TI, actuando sobre un flujo cíclico de planificaciones, seguimientos, acuerdos, informes, revisiones/verificaciones y validaciones tratando de limar cualquier dificultad o incumplimiento del contrato de Servicio. Cada documento supone una buena práctica en sí mismo, pero hay que tener en cuenta que dependiendo del servicio y de la calidad que se quiera ofrecer al cliente se utilizarán más o menos documentación.

El ciclo de la calidad de ITIL que puede asumirse como buena práctica para la Gestión de los Niveles de Servicio en ITIL tiene una serie de variantes y/o modelos similares en otras metodologías ya comentadas, fundamentalmente ISO. El siguiente ciclo de la calidad muestra cómo se define una sistemática y una metodología que aporta una gestión integral en busca de la mejora:

La Gestión de los Niveles de Servicio de ITIL por tanto se trata de un proceso complejo en el que se deben de controlar multitud de operaciones. Estas operaciones se encuadran en los pasos definidos en la figura anterior en las que dependiendo del desarrollo del proyecto se opera a través de los procedimientos y documentos adecuados.

Procedimientos de la gestión de los niveles de servicio en ITIL

Planificación

El objetivo de la planificación de un Servicio en ITIL es orientarlo hacia cómo poner en marcha las actuaciones necesarias que permitan ofrecer a nuestros clientes un servicio acorde a sus necesidades. El proceso de Planificación debe encargarse por tanto de conocer cuáles son éstas, cómo ofrecerlas, qué capacidades tenemos, qué nivel de servicio ofrecer y cómo gestionarlas.

Todas estas cuestiones, como buena práctica en gestión, han de estar documentadas de manera que queden registrados, utilizarse como guías y controlarse como monitorización (o medición) de cumplimiento.

Algunos de estos documentos serán de uso interno y otros serán utilizados como base de desarrollo y negociación con los clientes.

Dentro de la Planificación por tanto sólo se utilizan una serie de documentos que se encuadran dentro de este proceso. Estos documentos son los siguientes:

  • Catálogo de Servicios
  • Requisitos de Nivel de Servicio (SLR Service Level Requirements)
  • Hojas de Especificación del Servicio (Specsheet)
  • Plan de Calidad del Servicio (SQP Service Quality Plan)

Catálogo de Servicios

Documento de ITIL que ha de derivar (en ciertos aspectos) de la identificación de nuestra Cartera de Servicios TI.

El objetivo de este documento es describir con mucho detalle los servicios que la empresa ofrece, con la tecnicidad suficiente y el de manera comprensible para que el cliente pueda comprender y discernir si sus necesidades pueden ser suplidas por la organización.

Es una herramienta que deriva de la Estrategia Empresarial, pues es un instrumento de comunicación muy potente si está bien realizado, orientado y presentado a un posible cliente potencial (diana o general).

Por regla general un cliente no comprenderá cómo aplicar los servicios que la Organización ofrece así que es muy importante que este documento sea un elemento sólido a la hora de comenzar cualquier tipo de negociación con el cliente ya que debe delimitar los compromisos hasta los que la organización está dispuesta a llegar.

SLR o Requisitos de Nivel de Servicio

Se trata de un documento de ITIL que recoge las necesidades del cliente, detallándose en la medida de lo posible para que se puedan desarrollar los siguientes documentos que actuarán como guías que describirán las soluciones que la Empresa ofrece.

Suele realizarse tras el contacto con el cliente, que debe haber conocido nuestros servicios previamente a través de nuestro Catálogo de Servicios. Es por eso que este elemento incorporará los resultados de las negociaciones mantenidas de cara a describir los siguientes conceptos:

  1. La funcionalidad y características del servicio.
  2. El nivel de calidad del servicio.
  3. La interacción del servicio con su infraestructura TI.
  4. La planificación de la implantación del servicio.
  5. La disponibilidad del servicio.
  6. La continuidad del servicio.
  7. La integración del servicio con otros servicios del cliente.
  8. La escalabilidad del servicio.

Los SLR se desarrollan sobre un documento que puede ser complejo. La mejor opción de gestión resulta ser una traducción a Hojas de Especificaciones o Specsheets desde donde se pueden trazar operaciones.

Ejemplo de un índice de contenidos para un documento SLR:

  • Definición del Servicio TI
  • Servicios de TI niveles necesarios para apoyar las funciones de Negocios.
  • Usuario/satisfacción el cliente (Indicadores de medición)
  • Información adicional (Financiación)

Hojas de Especificaciones

Las Hojas de Especificaciones de ITIL son documentos técnicos que reúnen las condiciones para determinar detalladamente cada aspecto de los SLR.

Debe realizarse de manera que con cada documento se conozca cómo se va a gestionar cada detalle del servicio. Se puede reflejar de la siguiente manera:

  1. Responsabilidades
  2. Funciones de las personas implicadas
  3. Detalle técnico de las operaciones
  4. Indicadores y monitorización de las actividades
  5. Puesta en marcha o implantación

El objetivo es conseguir traducir las necesidades del cliente internamente de manera que se pueda planificar y empezar conocer el alcance del proyecto así como se utilicen posteriormente para desarrollar otros documentos externos (OLA y UC) para que el cliente conozca nuestro servicio, ya que quedará detallada la relación entre la funcionalidad de lo que pide el cliente y la tecnología necesaria para ello.

Las Hojas de Especificaciones aportan información para el desarrollo del Plan de Calidad del Servicio.

Plan de Calidad del Servicio o Service Quality Plan (SQP)


Un Plan de Calidad de ITIL es un documento asociado a una serie de procesos cuyo objetivo es regir las actuaciones que se llevarán a cabo para el desarrollo del servicio al cliente. Es por tanto un documento de régimen interno.

Para definir los niveles de calidad que se quieren ofrecer, estos han de estar acordes a las necesidades del cliente. Así se determinará en el documento:

  1. Una planificación con objetivos para cada servicio.
  2. Una estimación de recursos necesarios.
  3. Unos Indicadores clave de rendimiento asociados a objetivos.
  4. Una documentación que permita evaluar a los proveedores y controlar su rendimiento.

Este será el documento que debe conseguir una perfecta cohesión entre los recursos (personales y tecnológicos) disponibles y la ejecución o desarrollo del servicio y sus operaciones, de manera que en un plazo estimado se cumplan los objetivos planificados y se pueda suministrar perfectamente el servicio al cliente.

Desarrollo, Realización

Desarrollo, implementación o realización. Diferentes términos que definen un objetivo que no es otro que el trabajo necesario para la puesta en marcha del Servicio para el cliente basado en la documentación realizada en la planificación anterior.

Para comenzar a implementar el servicio en ITIL, es necesario que se haya acordado formalmente con el cliente la planificación previa. El desarrollo posterior vendrá avalado por tanto por unas decisiones que soporten todas las actuaciones que han de llevarse a cabo, validadas por el cliente, elemento no excluyente para que la nueva documentación también tenga que ser acordada y validada por este.

La documentación que servirá de guía para este proceso es la siguiente:

  1. Acuerdo de Nivel de Servicio (Service Level Agreement – SLAs)
  2. Acuerdos de Nivel de Operación (Operation Level Agreement – OLAs)
  3. Contratos de Soporte (Underpinning Contract – UCs) Acuerdo de Nivel de Servicio (Service Level Agreement – SLAs) El objetivo principal de un Acuerdo de Nivel de Servicio es detallar absolutamente todos los elementos del Acuerdo de cara al cliente e internamente. Debe contener todo tipo de información, desde la puramente técnica (aunque serán ampliamente desarrollados en los OLAs y UCs) a aspectos más bien relacionados con el cliente, la localización, la identidad de éste, la cultura local, la gestión financiera y cómo cerrar los acuerdos alcanzados tras las verificaciones. Es, como puede verse, un documento en el que cabe todo lo relativo al Servicio a brindar. Una recomendación interesante es, si el documento es muy extenso y complejo, segmentarlo en una serie de documentos más concretos para facilitar la división de tareas y la gestión del cambio, así como la comunicación al cliente de los aspectos que le interesen realmente. Al tratarse de un elemento muy importante, a continuación se muestra un ejemplo de lo que ha de contener un Documento de SLA, de manera que quede aproximadamente enmarcado lo que ha de contener de cara a utilizarlo como una Buena Práctica. El índice sería aproximadamente el siguiente, tratándose de un documento exhaustivo:

1. Introducción

  1. Objetivos y propuestas
  2. Partes del Acuerdo
  3. Fecha de Comienzo
  4. Duración del Acuerdo
  5. Exclusiones del Acuerdo
  6. Términos y Definiciones

2. Ámbito de Trabajo

  • Servicios
  • Disponibilidad del Servicio
  • Lugar de puesta en marcha del Servicio
  • Gestión de Cambios del Servicio
  • Retrasos del Cliente

3. Desarrollo, Indicadores y Monitorización

  • Gestión del Cambio en las personas
  • Indicadores
  • Monitorización del Servicio
  • Informes del SLA
  • Revisiones y Validaciones del SLA

4. Gestión de los Problemas

  1. Gestión del Service Desk
  2. Definición de Problema
  3. Escalabilidad de los Problemas

5. Gestión Financiera

  • Tasas
  • Gastos Reembolsables
  • Facturas
  • Términos del Pago
  • Intereses por Pago Retrasado

6. Obligaciones y Responsabilidades del Cliente

  • Equipamiento e Instalaciones del Cliente
  • Proceso de Facturación
  • Aprendizaje de Personal del Cliente
  • Acuerdos e Información

7. Legalidad

  • Derechos de Propiedad Intelectual
  • Confidencialidad
  • Conformidad Legal
  • Resolución de Disputas
  • Entrega y Finalización

Acuerdos de Nivel de Operación (Operation Level Agreement – OLAs)

El objetivo último de este Acuerdo de ITIL es disponer de una referencia sobre cómo proceder en el desarrollo del Servicio, con dos componentes fundamentales: es un documento completamente técnico, y es exclusivamente de uso interno en la Organización.

En este se desarrollan todos los acuerdos sobre las necesidades del cliente desarrollando los procesos y procedimientos internos que intervienen en la puesta en marcha del Servicio TI.

Un ejemplo de cómo ha de estructurarse este documento de ITIL lo podemos encontrar en el índice siguiente:

  1. Objetivos y Metas
  2. Grupos de Interés del Servicio
  3. Revisión del Servicio
  4. Acuerdo de Servicio
    1. Ámbito del Servicio
    2. Componentes del Servicio
    3. Necesidades del Cliente
    4. Requerimentos del Proveedor de Servicios
  5. Gestión del Servicio
    1. Disponibilidad del Servicio
    2. Monitorización del Servicio
    3. Informes del Servicio
    4. Mantenimiento del Servicio
    5. Solicitudes del Servicio
    6. Excepciones del Servicio
  6. Procedimientos
    1. Gestión del Cambio
    2. Gestión de la Entrega
    3. Gestión de las Incidencias
    4. Gestión de los Problemas
    5. Gestión de la Configuración

Contratos de Soporte (Underpinning Contract – UCs)

El objetivo de estos documentos de ITIL es organizar los procesos y procedimientos necesarios para la correcta provisión del servicio de cara a los proveedores externos relacionados con el Servicio.

Trata de asegurar y delimitar las responsabilidades de los proveedores que interactúen con el servicio, ya sea una contratación para la implementación o bien una contratación de soporte o suministros.

En el caso en el que se trate de Contratos no Comerciales tipo, sino contratos a otras empresas para el desarrollo y/o implementación del Servicio, es recomendable estructurar los documentos como sigue:

  1. Nombre del Servicio de TI
  2. Liquidación de información
  3. Personas de contacto
  4. Duración del contrato
  5. Descripción del servicio
  6. Relaciones con otros Servicios de TI
  7. Los procedimientos para solicitar el Servicio de TI
  8. Responsabilidades
  9. Garantía de calidad y de nivel de servicio de Información
  10. Servicios de contabilidad
  11. Glosario

Seguimiento, Verificación, Validación

Seguimiento o monitorización. El objetivo que persigue la monitorización de las actuaciones en ITIL es mantener o mejorar el nivel de calidad del Servicio ofertado mediante la medición de indicadores de rendimiento.

La manera de realizar el seguimiento de los procesos en ITIL viene reflejada previamente por la documentación generada, principalmente con el SQP, aunque también de los SLRs y OLAs ya que no sólo hay que medir aspectos técnicos, sino también de satisfacción de los usuarios, rendimiento de los procesos, así como optimización de estos y por tanto su rentabilidad. La gestión de incidencias, capacidad, disponibilidad, problemas y preguntas más frecuentes realizadas en el Centro de Servicios de ITIL– “Service Desk” (aspectos aún no desarrollados en el Manual) serán claves para establecer unos indicadores de rendimiento que faciliten una monitorización adecuada a cada tipo de Servicio TI ofrecido.

La monitorización en ITIL se refleja en informes. Estos informes serán los que han de transformar los datos en información disponible para la correcta gestión y toma de decisiones en el Servicio. Los informes de rendimiento deben cubrir por tanto aspectos clave tales como:

  • –  Incidencias/problemas detectados: cumplimiento de los SLAs.
  • –  Quejas y reclamaciones de los usuarios.
  • –  Disponibilidad del servicio.
  • –  Tiempos de respuesta.
  • –  Baremos de Capacidad.
  • –  Control de los Proveedores Externos: cumplimiento de los OLAs.

Mejora

Revisión o mejora. El objetivo de este proceso de ITIL es mantener la revisión constante de la calidad del Servicio.

Todo proceso de mejora continua ha de tener un marco de referencia. En este caso se trata de realizar una revisión constante de todos los procesos llevados a cabo desde la firma del Acuerdo de Nivel de Servicio (SLA) e incluso el Catálogo de Servicio, ya que este ha podido quedar obsoleto durante el transcurso de la ejecución de este Servicio.

El proceso de revisión del Servicio en ITIL se implementa sobre un documento, que ha de reunir, tras el análisis de los datos de los indicadores, todas las actuaciones a realizar para mejorar el servicio ofrecido al cliente. Este documento es el Programa de Mejora del Servicio.

Este documento ha de reunir todos los datos posibles sobre el proceso de prestación del Servicio, de manera que se analicen desde aspectos puramente tecnológicos a los propios de los recursos humanos, la infraestructura TI puesta en servicio, los proveedores, las incidencias y la satisfacción del cliente, serían sólo algunos ejemplos.

Este documento de ITIL es la base para nutrir de información de valor a los otros procesos (Gestión de Cambios, incidencias, problemas, continuidad, etc.) que se mantienen y hacen mejorar el Servicio.


Programa de Mejora del Servicio (SIP Service Improvement Program)

El Programa de Mejora del Servicio en ITIL es un documento interno que ha de reflejar todas las mejoras a realizar, con plazos y priorización, costes y responsabilidades, de cara a poder realizar posteriormente un informe que pueda ser utilizado para mostrar al cliente las mejoras realizadas y poder establecer las actuaciones futuras y/o nuevos acuerdos para un nuevo contrato que se reflejará en un nuevo SLA.

Este documento se puede definir según el siguiente esquema:

  1. Proceso o Servicio tratado
  2. Responsable del proceso o servicios
  3. Propietario de la mejora
  4. Autorización de la dirección
  5. Descripción de la iniciativa
  6. Origen de la medida
  7. Detalle
    1. Resultados esperados de la iniciativa
    2. Estimación de gastos
    3. Resultado deseado específicos de la iniciativa
  8. Planificación
    1. Fecha prevista
    2. Situación actual

Como resumen y nota aclaratoria acerca de la documentación relativa a la Gestión de los Niveles de Servicio en ITIL:

  • Planificación: Catálogo de Servicios, Requisitos de Nivel de Servicio (SLR Service Level Requirements), Hojas de Especificación del Servicio (Specsheet), Plan de Calidad del Servicio (SQP Service Quality Plan).
  • Desarrollo: Acuerdo de Nivel de Servicio (Service Level Agreement – SLAs), Acuerdos de Nivel de Operación (Operation Level Agreement – OLAs), Contratos de Soporte (Underpinning Contract – UCs)
  • Seguimiento/Monitorización: no existen documentos tipo asociados, sino informes personalizados del estado del servicio.
  • Revisión/Mejora: Programa de Mejora (Service Improvement Program). Relación de la Gestión de los Niveles de Servicio con otros de ITIL:
    • –  Gestión del Catálogo de Servicios: permite acercar los servicios a los clientes y clientes potenciales de cara a una negociación futura.
    • –  Gestión de Cambios: los cambios en el servicio han de reflejarse en múltiples documentos, como el SQP, SLA, OLA, SLR, SIP.
    • –  Gestión de la Disponibilidad: la disponibilidad hace variar el nivel de servicio ofrecido, por lo que debe reflejarse en los SLA y SLR.
  •  Gestión de la Continuidad: al igual que la disponibilidad hace variar el nivel de servicio ofrecido, por lo que debe reflejarse en los SLA y SLR y ser monitorizado constantemente y mejora a través del SIP.
  • Gestión de Activos y Configuración: los activos y la configuración de estos pueden modificar la continuidad del servicio y la disponibilidad de este.
  • Gestión de la Capacidad: la capacidad interactúa directamente con el nivel del servicio, por lo que se relaciona con el Catálogo, los SLA y SLR.
  • Gestión de la Demanda: la demanda de servicios debe verse reflejada en los SLR, los OLAs y el SIP.
  • Gestión de Problemas: la gestión de problemas se deriva en los SIP, SQP, y los OLA, así como en el Service Desk.
  • Gestión de Incidencias: proveniente del Service Desk, se refleja en los OLA y SIP.
  • Gestión Financiera: la gestión financiera puede modificar la calidad de un servicio y la contratación con terceros. Hace cambiar el Catálogo de Servicios, los SLA y los SLR.
  • Centro de Servicios (Service Desk): gestiona fundamentalmente las incidencias. –

Gestión del catálogo de Servicio

El Catálogo de Servicios está íntimamente relacionado con muchos de los elementos de ITIL. Puede decirse que deriva de la Cartera de Servicios, aplicada a la Gestión de los Niveles de Servicio. No es un documento únicamente comercial, sino que tiene valor tanto dentro como fuera de la Organización, ya que delimita qué Servicios puede ofrecer a sus clientes la Organización y hasta que Nivel puede desarrollar esos servicios. Internamente ha de estar muy difundido, fundamentalmente en las personas que tratan con los clientes (SLAs) y en el Centro de Servicios (Service Desk), para que las personas encargadas de mantenerlo puedan conocer hasta dónde puede llegar la empresa en sus niveles de gestión de servicios en caso de consultas de clientes o usuarios. Por tanto este documento debe estar escrito de manera que no trate los servicios de manera excesivamente técnica, sino que esté equilibrado entre técnica, calidad y nivel del servicio para que sea comprensible y asumible para cualquier tipo de persona.

Gestión de la Disponibilidad

El objetivo principal de la Gestión de la Disponibilidad para ITIL es ofrecer una base para la satisfacción del cliente. Es decir, todos los servicios deben estar a punto siempre con respecto a los SLAs y a la infraestructura TI que la empresa ofrece.

La Gestión de la Disponibilidad se encuentra localizada por tanto en medio de varios procesos internos de la empresa, en contacto directo con la Gestión de los Niveles de Servicio, la Gestión de Incidencias, la Gestión de Problemas, la Gestión de Configuraciones, la Gestión de Capacidad y la Gestión de la Continuidad del Servicio. Esto supone ser la responsable de dar respuesta rápida para ofrecer soluciones, por lo que la medición, el seguimiento y la monitorización de procesos, unidas a las reuniones basadas en informes y el análisis de la información para proponer acciones que mejoren el Servicio son sus principales tareas asignadas.

Las actividades anteriormente relacionadas establecen por tanto una gran entrada y salida de documentación. Es por eso que se necesita establecer un proceso que ponga en marcha lo que será una Gestión de la Disponibilidad en ITIL, donde las actividades a realizar estarán relacionadas con esta documentación, siendo las siguientes:

  • Análisis de los acuerdos.
  • Planificación.
  • Continuidad del Servicio (Mantenimiento).
  • Seguridad del Servicio.
  • Seguimiento.
itil


Las entradas de información para elaborar documentación serán las siguientes:

Análisis
Planificación SLAs y SLRs
Continuidad Informes de Gestión de Incidencias, informes del Análisis previo, OLAs, UCs y SLAs
Seguridad Informes de Gestión de Seguridad, OLAs, UCs
Seguimiento OLAs, UCs, SQP

La documentación elaborada en los subprocesos será la siguiente:

Análisis SLA
Planificación Plan de Disponibilidad
Continuidad SLA, Procedimiento de Gestión de la Continuidad
Seguridad Documento de Identificación de Responsabilidades, Procedimiento de Seguridad
Seguimiento SIP

Para realizar una correcta Gestión de la Disponibilidad del Servicio, es necesario establecer unas pautas de trabajo que permitan a la Organización definir las necesidades del cliente para ofrecer un servicio que se ajuste a sus necesidades de disponibilidad. En este sentido se pueden encontrar tres fases: Planificación, Control y Monitorización

Planificación

El objetivo de la planificación en ITIL es determinar un nivel de disponibilidad del servicio que permita a la organización alcanzar sus objetivos, a un coste justo.

Esta planificación se manifiesta sobre un Plan de Disponibilidad, en el que se reflejarán los objetivos y necesidades de disponibilidad. Estos deben estar equilibrados entre los demandados por el cliente y los que la organización puede ofrecer.

Es importante que o bien el cliente tenga claro qué ocurrirá en el futuro con sus necesidades o bien la organización oriente y asesore al cliente sobre las necesidades futuras de su infraestructura, ya que cambios en el volumen de negocio y/o en los servicios pueden provocar modificaciones sustanciales en la forma de gestionar la infraestructura, y por tanto los cambios, las versiones y las incidencias pueden provocar desviaciones sobre la disponibilidad. Este plan debe contener información sobre el estado de la infraestructura en el momento de presentación del Plan, cómo se medirá la eficiencia y la eficacia de esta (metodología de monitorización), monitorización de los servicios, planes de mejora ante deficiencias, así como las expectativas de la infraestructura en el futuro (como se comentó en el párrafo anterior). Estos elementos son los que configuran los Requisitos de Disponibilidad.

Teniendo en cuenta todas estas variables, las expectativas futuras tendrán relación con:

1. La gestión financiera de la organización y sus recursos económicos
2. La metodología de monitorización, que deberá contener modelos de Análisis de Impacto para calcular

pérdidas por fallos de disponibilidad y por fallo de componentes de la infraestructura, así como permitirá conocer qué elementos han de ser subcontratados a proveedores (controlados estos a su vez por los UCs).

Estos dos elementos de ITIL configuran el Diseño de la Disponibilidad.

La disponibilidad requerida por el cliente no siempre va a poder ser mantenida, ya sea por interrupciones no debidas propiamente a la infraestructura, como por operaciones de mantenimiento, cambios y/o interrupciones no controladas. La Gestión de Incidencias debe estar constantemente alerta ante estas posibilidades, por lo que los protocolos de respuesta y la instrucción a los participantes de subsanar las incidencias en estos casos debe estar determinada según detección temprana, registro, escalado (o no) y comunicación, todos estos coordinados por el Centro de Servicios (Service Desk). Todos los elementos anteriores determinan el Diseño del Mantenimiento.

Existen varios tipos de disponibilidad, según los requerimientos horarios del cliente; así los más comunes son el servicio 24/7 y el 12/5, que responden a horas de disponibilidad/días a la semana. Esta información ha de quedar registrada convenientemente en los SLAs, así como en los Planes de Disponibilidad.

Una vez planificado y diseñado el servicio en temas de disponibilidad será necesario, una vez puesto en marcha, controlar los aspectos definidos en el Plan de Disponibilidad y los SLAs.

Control de la Disponibilidad

La Disponibilidad en ITIL se encuentra intermediando entre la mayoría de los aspectos relacionados con la gestión de la infraestructura y el servicio que presta. Tener controlados los perfiles de acceso, los mismos accesos al servicio y las autorizaciones aporta estabilidad para la disponibilidad del servicio. Estos aspectos determinan la Seguridad de la Disponibilidad. La Gestión de la Seguridad (Apartado 3.4. Gestión de la Seguridad) del sistema está, por tanto, íntimamente relacionada con la Disponibilidad.

Como se comentó en el apartado previo, existirán momentos en los que no exista disponibilidad en el servicio, ya sea porque el cliente necesita una disponibilidad variable, o bien por causas externas o internas a la infraestructura. Es necesario por tanto planificar todas las actuaciones de mantenimiento que han de ser realizadas sobre la infraestructura o el servicio en estos momentos, para evitar de nuevo disminuciones en la disponibilidad del servicio por otro tipo de operaciones que debían haber sido programadas, ya sean operaciones en hardware como en software. Estos aspectos se relacionan con la Gestión del Mantenimiento.

Todos los aspectos comentados en el control de la disponibilidad configuran el desarrollo del Plan de Disponibilidad, que como todos los documentos de gestión existentes ha de ser actualizado tanto para uso externo (en cuanto al estado del servicio en determinados momentos para ofrecer al cliente una información detallada) como para uso interno (actualización de objetivos, programa de mantenimiento, nuevos análisis de impacto, cálculos de disponibilidad como objetivos internos de mejora, y análisis de Interrupción y Riesgo del Servicio).

Monitorización

La monitorización de la disponibilidad del servicio en ITIL se realiza según una serie de técnicas (e indicadores) que posteriormente podrán ayudar a determinar qué factores intervienen en la disponibilidad del servicio de cara a ofrecer información que permita elaborar informes para saber dónde y cómo actuar para prevenir, mejorar y/o informar.

Algunos de estos han sido comentados en el desarrollo del plan de disponibilidad. En general se deben realizar los siguientes estudios:

  • Cálculo de la Disponibilidad
  • Análisis de Impacto de Fallos de Componentes (CFIA)
  • Análisis de la Interrupción del Servicio (SOA)
  • Análisis del Árbol de Fallos (FTA)
  • Método de Gestión y Análisis de Riesgos de la CCTA (CRAMM)

Cálculo de la Disponibilidad

Análisis de fallos de componentes (CFIA)

Esta técnica nos indica que debemos mantener una base de datos totalmente actualizada en la que se recoja e identifique el impacto por fallo que cada elemento de la configuración de la infraestructura de cara a ofrecer el servicio acordado.

Análisis de la interrupción del Servicio (SOA)

Este método trata de analizar las causas de los fallos detectados y proponer soluciones desde el enfoque y el punto de vista del cliente, siendo por tanto fallos no solamente técnicos que afectan a la infraestructura TI.

Análisis del árbol de fallos (FTA)

El análisis de los fallos según el método del árbol permite estudiar de dónde provienen y cómo se desarrollan, realizando un estudio más profundo que permite comprender y medir el impacto de estos fallos en la disponibilidad del servicio.

Método de gestión y análisis de riesgos de la CCTA (CRAMM)

Se compone de tres etapas, cada una con el apoyo de los cuestionarios de objetivos y directrices. Las tres etapas de CRAMM son los siguientes:

Fase 1. Establecimiento de los objetivos de la seguridad:

  • Definir los límites para el estudio.
  • La identificación y valoración de los activos físicos que forman parte del sistema.
  • Determinar el “valor” de los datos recogidos mediante entrevistas a los usuarios acerca de los impactos potenciales de negocio que podrían derivarse de no disponibilidad, la destrucción, la divulgación o modificación.
  • La identificación y valoración de los activos de software que forman parte del sistema.

Fase 2. Evaluación de los riesgos para el sistema propuesto y los requisitos para la seguridad

  • Identificar y evaluar el tipo y el nivel de amenazas que pueden afectar el sistema.
  • Evaluar el alcance de las vulnerabilidades del sistema a las amenazas detectadas.
  • La combinación de la amenaza y la vulnerabilidad con los valores de los activos a calcular las medidas de los riesgos.

Fase 3. Identificación y selección de medidas para contrarrestar las incidencias que sean acordes con las medidas de riesgos calculados en la Fase 2.

  • CRAMM dispone de una biblioteca muy extensa que consiste en más de 3000 medidas que además están detalladas, organizadas en más de 70 agrupaciones lógicas.

Indicadores

Los indicadores en ITL son la muestra de la medición de las incidencias, los tiempos de resolución y los tiempos transcurridos y calificados como fallos de disponibilidad del servicio. Estos han de establecerse de manera que permitan informar correctamente al cliente de manera que pueda entender el trabajo realizado por la organización en la resolución de las incidencias del servicio, el tiempo transcurrido por acción y la eficiencia en la resolución.

La importancia de la definición de estos indicadores proviene de la posibilidad de establecer con el cliente un punto de vista común que permita acuerdos entre el cliente y la organización en cuanto a la gestión de la disponibilidad del servicio.

Todas las métricas, métodos e indicadores detallados en el apartado de monitorización en ITIL deben ser los que aporten información constante durante el proceso de Gestión de la Disponibilidad. La monitorización será por tanto el control de esta disponibilidad apoyada por toda la información obtenida por la aplicación de las técnicas en caso de que ocurra una pérdida de disponibilidad.

Una gestión correcta de la disponibilidad en el servicio se compone de tres fases:

  • Detección: tiempo que transcurre hasta que la organización detecta que ha ocurrido un fallo en la disponibilidad. Una estructura bien protocolizada, con herramientas de detección temprana disminuirán este tiempo.
  • Respuesta: tiempo que transcurre hasta que se registra y diagnostica el incidente. Las diversas técnicas de análisis vistas anteriormente entran en este momento para dar una respuesta eficaz durante este tiempo.
  • Recuperación: tiempo que transcurre hasta que la organización encuentra una solución o al menos pone en marcha de nuevo el servicio. Finalmente, y como punto de interés en el proceso de Gestión de la Disponibilidad podemos indicar que el mayor beneficio de la elaboración del Plan de Disponibilidad se da tanto para el cliente como para la organización que presta el servicio ya que todas las estimaciones realizadas para la correcta disponibilidad permite asignar un coste y un precio determinados al servicio, que no provocará grandes sorpresas y deberá ser razonable desde el inicio para ambos.

Una correcta Planificación en ITIL debe disponer de un Plan de Disponibilidad, pero también de un Mantenimiento y de ciertos aspectos técnicos de Seguridad/Disponibilidad. Ultimar toda la información y disponer de ella al instante permite a la Organización poder ofrecer un cálculo del porcentaje de Disponibilidad final ofrecida al cliente.

Relaciones de La Gestión de la Disponibilidad con otros procesos de ITIL:

  • Gestión de los Niveles de Servicio: se incluye la gestión de la disponibilidad en los SLA
  • Gestión de las Configuraciones: aporta información para la Configuración de los Componentes
  • Gestión de la Continuidad: interactúa totalmente con la disponibilidad porque las medidas que se tomen en cualquier proceso afectan directamente al otro.
  • Gestión de la Capacidad: la modificación de la capacidad de la infraestructura hay que programarla en momentos de fallos de disponibilidad.
  • Gestión de los Problemas: resolución de problemas de disponibilidad
  • Gestión de las Incidencias: información sobre las incidencias ocurridas y los tiempos de detección, respuesta y recuperación.
  • Gestión de la Seguridad: uno de los aspectos básicos de la seguridad es la continua disponibilidad de la información.
  • Gestión de Cambios: las mejoras que se localizan a través de las incidencias que interactúan con la disponibilidad generan Peticiones de Cambio (RFCs) (ver en Tema 4 apartado 1 “Gestión de Cambios”).
  • Gestión de Versiones: las modificaciones en software han de realizarse en paradas de disponibilidad del servicio.

Gestión de la Seguridad de la Información

La Gestión de la Seguridad de la información, al igual que otros elementos de gestión de las buenas prácticas de ITIL, implica gestionar correctamente las implicaciones que se deriven de la puesta en marcha de un servicio IT en ámbitos de seguridad, de manera que este servicio no sea (en este caso) mermado, atacado o colapsado por elementos que interfieran en los flujos correctos de información.

La información es la fuente principal en muchos casos de los éxitos o fracasos de las organizaciones. Ésta además se interrelaciona totalmente con ITIL y su modelo de Gestión, ya que la información posee tres pilares o propiedades que la hacen susceptible de ser un aspecto a cuidar. Estas propiedades son las siguientes:

  1. Disponibilidad: los clientes o usuarios deben tener acceso a la información siempre que lo necesiten.
  2. Integridad: esta propiedad asegura que la información es correcta, completa y no ha sido modificada por agentes no autorizados. La información es susceptible de ser modificada en sus diferentes fases de comunicación y/o transcripción y esta modificación, si no se realiza por personas autorizadas, supone una pérdida de integridad. Otra pérdida de integridad ocurre cuando la información pierde su capacidad de ser legible y/o comprensible.
  3. Confidencialidad: la información sólo debe ser accesible para aquellos clientes y/o usuarios a los que está dirigida.

A estos tres pilares básicos puede añadirse un cuarto, que complementa y da coherencia en un ámbito geográfico a la información. Este pilar es la legalidad. La legalidad nos aporta poder pasar de disponer de una información a gestionarla según baremos, indicaciones y de manera formal.

4. Legalidad: esta cuarta propiedad nos asegura que la información que estamos utilizando cumple los requisitos legales del ámbito que le atañe y en el que está envuelta.

El objetivo de la Gestión de la Seguridad en ITIL será por tanto cumplir con los requisitos de seguridad de los SLAs relacionados con la legislación, las políticas externas y los contratos, de manera que el servicio disponga de un nivel de seguridad concreto, para evitar la dependencia de los aspectos externos.

La implantación de medidas, controles y procedimientos de seguridad se realiza normalmente sin considerar toda la información vital que ha de ser protegida por la organización, y tampoco los elementos y la infraestructura que la contienen, distribuyen y transmiten. Aplicando estas medidas conseguimos minimizar los riesgos, acercando y adaptando la seguridad a los cambios que siempre se producen en el entorno y en la organización.

Sin embargo la seguridad no es considerada por muchos como una prioridad con respecto a otros elementos de gestión para evitar interferencias con las políticas de expansión de las líneas de negocio de las organizaciones.

Aún así la Gestión de la Seguridad debe estar siempre activa y atenta a los cambios que se produzcan de manera que pueda evaluar previamente y determinar, como otro aspecto de valoración más los cambios que se vayan a acometer o se hayan acometido en la infraestructura, la apertura de nuevas líneas de negocio, la aceptación de información por parte de diversas fuentes, etc.

La mejora continua permite a la organización estar al tanto de las modificaciones y cómo ponerlas en marcha en materia de seguridad, preparando a la organización para evitar (reduciendo o previendo) fallos de seguridad que puedan acarrear emergencias y fallos en la continuidad e integridad del servicio.

De esta manera, se deben establecer tres fases de actuación en materia de seguridad:

  • Planificación: estableciendo objetivos que definan una Política y un Plan de Seguridad.
  • Seguimiento: manteniendo, evaluando y supervisando los procesos que aseguran la seguridad de la información confrontándolos con lo establecido en el Plan de Seguridad, los SLAs y la Política de Seguridad de la Organización.
  • Ejecución: poniendo en marcha las mejoras detectadas a través del seguimiento y dispuestas en el Plan de Seguridad y los Planes de Mejora (SIP y RFCs).

La Gestión de la Seguridad en ITIL está íntimamente relacionada con multitud de procesos (como pudo verse en la Gestión de la Disponibilidad) y por tanto requiere de una coordinación correcta con toda la organización que gestione la infraestructura y el servicio. Así se establecen unos documentos y protocolos de actuación desarrollados en los puntos siguientes:

  • Debe existir una Política de Seguridad que sirva de guía y ejemplo a la organización.
  • De esta Política deben derivar unos objetivos que se han de ver plasmados en un Plan de Seguridad que incluirá los niveles de seguridad acordados con el cliente se según sus necesidades en los SLAs y con los proveedores, a través de los UCs.
  • Este Plan de Seguridad debe ser puesto en marcha y seguido, así como evaluado.
  • El Plan de Seguridad debe disponer de un listado (base de datos) donde se detallen los elementos a seguir (activos) y sus vulnerabilidades, así como los riesgos reales y potenciales. Estas relaciones pueden verse fácilmente a través de la siguiente figura:
itil

3.4.1. PLANIFICACIÓN DE LA GESTIÓN DE LA SEGURIDAD

El objetivo de la planificación en ITIL es establecer un cronograma y definir unas responsabilidades para la ejecución del Plan de Seguridad y su mantenimiento.

Debido a la complejidad que entraña ser un aspecto de gestión horizontal, es decir, que toca prácticamente el resto de procesos del servicio, es recomendable que exista un documento rector donde se determinen fundamentalmente las responsabilidades de llevar a cabo esta gestión, los recursos de los que tendrá que hacer uso y por supuesto una planificación basada en objetivos. Este documento es la Política de Seguridad, que debería incluir:

  • –  Responsabilidades
  • –  Porqué de las medidas de seguridad
  • –  Objetivos
  • –  Estructura organizativa
  • –  Coherencia con estrategia de negocio
  • –  Seguridad de los activos y de la información

Esta política en ITIL debe estar en línea con los requerimientos del negocio y la estrategia de la organización, de manera que sirva de marco desde el que desarrollar procesos y procedimientos que se desplieguen por toda la infraestructura que apoya al Servicio TI, con el fin de garantizar las dimensiones de la información (Confidencialidad, Integridad, Disponibilidad y Legalidad).

De esta Política por tanto debe derivar un Plan de Seguridad, cuyo objetivo es trasponer las necesidades de seguridad a los Niveles de Servicio pactados con el cliente (SLA), los Niveles de Servicio de Gestión Interna (OLA) y a los proveedores a través de los Contratos de Soporte (UC).

Un Plan de Seguridad debe definir al menos lo siguientes puntos:

  • Alcance de la Seguridad
  • Objetivos
  • Protocolos a poner en marcha
  • Responsabilidades por funciones
  • Protocolos de actuación entre procesos
  • Seguimiento, identificación y evaluación de riesgos (indicadores)
  • Recursos y personas
  • Herramientas
  • Mejora de Seguridad (Auditorías y mejora interna)

Con respecto a los puntos a tratar, la definición de alguno de estos sería la siguiente:

  • Alcance de la Seguridad: hasta dónde se desplegará en el servicio la gestión de la seguridad.
  • Objetivos: establecer objetivos de seguridad acordes con las necesidades del cliente y con la estrategia de la organización.
  • Protocolos y responsabilidades: establecer procesos definidos y difundidos de actuación con respecto a las actuaciones en seguridad, incidencias y soluciones, integrando correctamente la red de responsabilidades por proceso, actividad y actuación.
  • Seguimiento: muy ligado a los objetivos y protocolos, el seguimiento trabaja a través de indicadores de rendimiento que aportan información sobre cómo se están ejecutando los protocolos de actuación, las mejoras derivadas del análisis de estos y si se están logrando los objetivos propuestos.
  • Mejora de Seguridad: las auditorías de seguridad son elementos clave para la mejora continua y el seguimiento de la gestión de la seguridad ya que aseguran, por parte de agentes muy cualificados, internos o externos, si la seguridad está siendo la correcta y en qué aspectos se puede mejorar. Este Plan está definido para ofrecer al cliente una seguridad en la gestión de su información. Así los protocolos, las personas y el alcance nunca deben estar diseñados para restringir los accesos ni la disponibilidad de la información de manera que se limite el desarrollo del negocio del cliente. ITIL v3 página 38: @Biable_es | www.biable.es

Ejecución

El objetivo principal de la Ejecución en ITIL es poner en marcha el plan de seguridad y conseguir los objetivos definidos en él.

La Gestión de la Seguridad en ITIL se presenta como un conjunto integrado en la gestión del servicio y la infraestructura, pero que a la vez está por encima de todos ellos. En este sentido ha de ser la encargada de difundir las necesidades de seguridad a todas las personas implicadas conocen el alcance, los protocolos y cómo actuar en cada caso y/o responsabilidad asignada. Para ello deberán dar la formación pertinente y asegurarse de que las todas personas han recibido y entendido correctamente sus funciones y responsabilidades en cuanto a la gestión de la seguridad de la información. Es por tanto necesario que las personas encargadas de la Gestión de la Seguridad dispongan de cierta autoridad para obtener información, ejecutar protocolos de modificaciones y plantear prioridades en la Gestión del Servicio, siendo necesario por tanto que esta autoridad sea reconocida por la Organización.

Los responsables de Seguridad en ITIL deben controlar por tanto que el plan se está llevando a cabo y cerciorarse de que se está llevando a cabo correctamente cada uno de los siguientes aspectos:

  • La asignación de funciones y responsabilidades se ha desplegado
  • La documentación se mantiene al día, se actualiza y se utiliza
  • Las políticas y los protocolos se están poniendo en práctica
  • Se mantiene la identificación y evaluación de riesgos
  • Los presupuestos para posibles intervenciones de seguridad están asignados
  • Gestión de recursos
  • Colaboración con otras áreas para una correcta gestión de la seguridad del servicio
  • Coordinación con Service Desk y Gestión de Incidencias
  • Control de los proveedores para el cumplimiento de los UCs.
  • Colaborar con Gestión de la Continuidad
  • Colaborar con Gestión de Cambios
  • Apoyar las Peticiones de Cambios (Request for Change RFCs) derivadas de la Gestión de Cambios en Seguridad
  • Colaborar con la Gestión de la Disponibilidad –

Seguimiento

El objetivo del seguimiento en ITIL es monitorizar el servicio para conocer si se están cumpliendo los objetivos planteados con respecto a la Seguridad y la evolución de la ejecución del Plan de Seguridad.

De acuerdo con la monitorización, se habrán establecido métodos de medición para conocer el grado de rendimiento de los procesos, protocolos y planes puestos en marcha de manera que pueda realizarse un seguimiento correcto, que permita conocer si se está cumpliendo lo pactado en los SLAs con el cliente.

Estas mediciones estarán basadas en indicadores que deberán dar a conocer objetivamente la capacidad de los procesos para alcanzar los objetivos y resultados esperados y planificados.

Sumados a estos indicadores (como puede verse el sistema de indicadores se extiende por todos los procesos de Gestión de ITIL), deben realizarse auditorías de seguimiento y de mejora. Se debería establecer en el Plan de Seguridad un Plan de Auditorías programadas y no programadas que aporten a la organización una visión (interna o externa si se prefiere) de cómo se están llevando a cabo las actuaciones con una evaluación in situ.

Finalmente se deberán de recoger las conclusiones obtenidas tanto por la medición del rendimiento de los procesos y planes puestos en marcha, como de las auditorías (internas o externas) realizadas. Esta información ha de ser estudiada y analizada para elaborar informes de seguimiento interno y para el cliente (si es necesario). Estos informes pueden ser la base para la mejora del Servicio, adjuntando a estos los documentos de RFCs correspondientes si es necesario comunicar modificaciones a la Gestión de Cambios y actuando sobre la Mejora del Servicio (SIPs) si los cambios proporcionarán mejoras a los procesos del servicio.

Mejora o Mantenimiento

El objetivo de la aplicación de mejoras en ITIL es tratar de progresar en la Gestión de la Seguridad, incrementando la eficacia y la eficiencia de la respuesta a incidencias de seguridad.

La mejora debe ser constante porque los aspectos relacionados con la seguridad cambian a diario, y siendo la seguridad un elemento vinculado a la continuidad y disponibilidad de la información, entre otros, un error puede provocar desviaciones en las SLAs y por tanto incumplimiento de contrato. Esta mejora continua es aplicable a todos los procesos de Gestión y está basada en el Modelo PDCA (ver Tema 6), donde existe entrada de información y salida de documentación a través de un ciclo de análisis y modificaciones.

Existen multitud de ataques a la seguridad que en ITIL hay que tratar de evitar. Como se ha comentado anteriormente estos ataques e incidencias se controlan a través de la infraestructura (firewall, software de seguridad, etc.), y protocolos de actuación rápida y actualizaciones constantes en las medidas de seguridad. Además de esto, la infraestructura debe estar diseñada (en cuanto al software) para evitar otras muchas posibilidades. Aquí se indican algunas de las más comunes que pueden interferir en la seguridad o simplemente colapsar el sistema a través de un ataque que no provoque problemas de seguridad, pero si de disponibilidad y que debe ser atajado desde la Gestión de la Seguridad:

  • Phishing o falsa identidad
  • Inyecciones de SQL en campos no protegidos
  • Spyware
  • Spam
  • Virus
  • Clickjacking

Relaciones de La Gestión de la Seguridad con otros procesos de ITIL:

  • Gestión de la Disponibilidad: evita las incidencias de seguridad para mantener la disponibilidad del servicio.
  • Gestión de Cambios: minimiza los riesgos de seguridad al realizar cambios en la infraestructura, en el software y en las personas implicadas en el Servicio.
  • Gestión de la Continuidad: minimiza los riesgos de seguridad para mantener un nivel correcto de continuidad del Servicio.
  • Gestión de los Niveles de Servicio: la gestión de la seguridad se implementa en los SLAs, OLAs y UCs.
  • Gestión de Incidentes: las incidencias de seguridad son gestionadas a través del sistema de gestión de incidencias por lo que debe existir una comunicación eficaz.
  • Gestión de Configuraciones: las nuevas configuraciones de la infraestructura y el software asociado pueden traer problemas de seguridad. Una correcta gestión puede evitarlos o paliarlos en un tiempo adecuado.
  • Gestión de Versiones: al igual que las configuraciones, las nuevas versiones de software deben ser evaluadas para evitar problemas de continuidad o disponibilidad del Servicio y monitorizadas por tanto por la Gestión de la Seguridad.

Sobre el Autor

BitCuco

BitCuco. El Blog para los desarrolladores emergentes.