Security Management (Objetivos)

Los principales objetivos de la Gestión de la Seguridad se resumen en:

  • Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio.
  • Asegurar el cumplimiento de los estándares de seguridad acordados.
  • Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

La correcta Gestión de la Seguridad no es responsabilidad (exclusiva) de “expertos en seguridad” que desconocen los otros procesos de negocio. Si caemos en la tentación de establecer la seguridad como una prioridad en sí misma limitaremos las oportunidades de negocio que nos ofrece el flujo de información entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicación.

La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando se necesita por aquellos que tengan autorización para utilizarla.

Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes para, a renglón seguido, garantizar su cumplimiento.

La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio.

Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera.

 

Los principales beneficios de una correcta Gestión de la Seguridad:

  • Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera.
  • Se minimiza el número de incidentes.
  • Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.
  • Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
  • Se cumplen los reglamentos sobre protección de datos.
  • Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

Las principales dificultades a la hora de implementar la Gestión de la Seguridad se resumen en:

  • No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso.
  • Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio.
  • No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, …).
  • El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad.
  • Falta de coordinación entre los diferentes procesos lo que impide una correcta evaluación de los riesgos.

Availability Management (Objetivos)

El objetivo primordial de la Gestión de la Disponibilidad es asegurar que los servicios TI estén disponibles y funcionen correctamente siempre que los clientes y usuarios deseen hacer uso de ellos en el marco de los SLAs en vigor.

Las responsabilidades de la Gestión de la Disponibilidad incluyen:

  • Determinar los requisitos de disponibilidad en estrecha colaboración con los clientes.
  • Garantizar el nivel de disponibilidad establecido para los servicios TI.
  • Monitorizar la disponibilidad de los sistemas TI.
  • Proponer mejoras en la infraestructura y servicios TI con el objetivo de aumentar los niveles de disponibilidad.
  • Supervisar el cumplimiento de los OLAs y UCs acordados con proveedores internos y externos.

Los indicadores clave sobre los que se sustenta el proceso de Gestión de la Disponibilidad se resumen en:

  • Disponibilidad: porcentaje de tiempo sobre el total acordado en que los servicios TI han sido accesibles al usuario y han funcionado correctamente.
  • Fiabilidad: medida del tiempo durante el cual los servicios han funcionado correctamente de forma ininterrumpida.
  • Mantenibilidad: capacidad de mantener el servicio operativo y recuperarlo en caso de interrupción.
  • Capacidad de Servicio: determina la disponibilidad de los servicios internos y externos contratados y su adecuación a los OLAs y UCsen vigor. Cuando un servicio TI es subcontratado en su totalidad la disponibilidad y la capacidad de servicio son términos equivalentes.

La disponibilidad depende del correcto diseño de los servicios TI, la fiabilidad de los CIs involucrados, su correcto mantenimiento y la calidad de los servicios internos y externos acordados.

Los principales beneficios de una correcta Gestión de la Disponibilidad son:

  • Cumplimiento de los niveles de disponibilidad acordados.
  • Se reducen los costes asociados a un alto nivel de disponibilidad.
  • El cliente percibe una mayor calidad de servicio.
  • Se aumentan progresivamente los niveles de disponibilidad.
  • Se reduce el número de incidentes.

Las principales dificultades con las que topa la Gestión de la Disponibilidad son:

  • No se monitoriza correctamente la disponibilidad real del servicio.
  • No existe compromiso con el proceso dentro de la organización TI.
  • No se dispone de las herramientas de software y personal adecuado.
  • Los objetivos de disponibilidad no están alineados con las necesidades del cliente.
  • Falta de coordinación con los otros procesos.
  • Los proveedores internos y externos no reconocen la autoridad del Gestor de la Disponibilidad por falta de apoyo de la dirección.

Service Continuity Management (Objetivos)

Los objetivos principales de la Gestión de la Continuidad de los Servicios TI (ITSCM) se resumen en:

  • Garantizar la pronta recuperación de los servicios (críticos) TI tras un desastre.
  • Establecer políticas y procedimientos que eviten, en la medida de lo posible, las perniciosas consecuencias de un desastre o causa de fuerza mayor.

Aunque, a priori, las políticas proactivas que prevean y limiten los efectos de un desastre sobre los servicios TI son preferibles a las exclusivamente reactivas, es importante valorar los costes relativos y la incidencia real en la continuidad del negocio para decantarse por una de ellas o por una sabia combinación de ambas.

Una correcta ITSCM debe formar parte integrante de la Gestión de Continuidad del Negocio (BCM) y debe estar a su servicio. Los servicios TI no son sino una parte, aunque a menudo muy importante, del negocio en su conjunto y no tiene mayor sentido que, por ejemplo, un sistema de pedidos online siga funcionando a la perfección tras un desastre si nos resulta imposible suministrar la mercancía a nuestros clientes.

Es importante diferenciar entre desastres “de toda la vida”, tales como incendios, inundaciones, etcétera, y desastres “puramente informáticos”, tales como los producidos por ataques distribuidos de denegación de servicio (DDOS), virus informáticos, etcétera. Aunque es responsabilidad de la ITSCM prever los riesgos asociados en ambos casos y restaurar el servicio TI con prontitud, es evidente que recae sobre la ITSCM una responsabilidad especial en el último caso pues:

  • Sólo afectan directamente a los servicios TI pero paralizan a toda la organización.
  • Son más previsibles y más habituales.
  • La percepción del cliente es diferente: los desastres naturales son más asumibles y no se asocian a actitudes negligentes, aunque esto no sea siempre cierto.

Los principales beneficios de una correcta Gestión de la Continuidad del Servicio se resumen en:

  • Se gestionan adecuadamente los riesgos.
  • Se reduce el periodo de interrupción del servicio por causas de fuerza mayor.
  • Se mejora la confianza en la calidad del servicio entre clientes y usuarios.
  • Sirve de apoyo al proceso de Gestión de la Continuidad del Negocio.

Las principales dificultades a la hora de implementar la Gestión de la Continuidad del Servicio se resumen en:

  • Puede haber resistencia a realizar inversiones cuya rentabilidad no es inmediata.
  • No se presupuestan correctamente los costes asociados.
  • No se asignan los recursos suficientes.
  • No existe el compromiso suficiente con el proceso dentro de la organización y las tareas y actividades correspondientes se demoran perpetuamente para hacer frente a “actividades más urgentes”.
  • No se realiza un correcto análisis de riesgos y se obvian amenazas y vulnerabilidades reales.
  • El personal no esta familiarizado con las acciones y procedimientos a tomar en caso de interrupción grave de los servicios.
  • Falta de coordinación con la BCM.

Capacity Management (Objetivos)

El objetivo primordial de la Gestión de la Capacidad es poner a disposición de clientes, usuarios y el propio departamento TI los recursos informáticos necesarios para desempeñar de una manera eficiente sus tareas y todo ello sin incurrir en costes desproporcionados.

Para ello la Gestión de la Capacidad debe:

  • Conocer el estado actual de la tecnología y previsibles futuros desarrollos.
  • Conocer los planes de negocio y acuerdos de nivel de servicio para prever la capacidad necesaria.
  • Analizar el rendimiento de la infraestructura para monitorizar el uso de la capacidad existente.
  • Realizar modelos y simulaciones de capacidad para diferentes escenarios futuros previsibles.
  • Dimensionar adecuadamente los servicios y aplicaciones alineándolos a los procesos de negocio y necesidades reales del cliente.
  • Gestionar la demanda de servicios informáticos racionalizando su uso.

La Gestión de la Capacidad intenta evitar situaciones en las que se realizan inversiones innecesarias en tecnologías que no están adecuadas a las necesidades reales del negocio o están sobredimensionadas, o por el contrario, evitar situaciones en las que la productividad se ve mermada por un insuficiente o deficiente uso de las tecnologías existentes.

Ambos escenarios son habituales y a menudo se pueden encontrar conviviendo en una misma organización: directivos, clientes e informáticos deslumbrados por tecnologías que realmente no necesitan y adquieren pero que obvian aplicaciones, equipos y servicios que realmente aumentarían la productividad en sus respectivos entornos de trabajo.

Una de las principales tareas de la Gestión de la Capacidad es la de matizar la percepción de que la “capacidad es barata”. Aunque el aumento de la capacidad puede requerir, en primera instancia, de modestos desembolsos, debido a la reducción de costes en los equipos de hardware y aplicaciones informáticas, la administración y mantenimiento de infraestructuras desproporcionadas puede resultar, a la larga, muy cara.

Los principales beneficios derivados de una correcta Gestión de la Capacidad son:

  • Se optimizan el rendimiento de los recursos informáticos.
  • Se dispone de la capacidad necesaria en el momento oportuno, evitando así que se pueda resentir la calidad del servicio.
  • Se evitan gastos innecesarios producidos por compras de “última hora”.
  • Se planifica el crecimiento de la infraestructura adecuándolo a las necesidades reales de negocio.
  • Se reducen de los gastos de mantenimiento y administración asociados a equipos y aplicaciones obsoletos o innecesarios.
  • Se reducen posibles incompatibilidades y fallos en la infraestructura informática.

En resumen: se racionaliza la gestión de las compras y mantenimiento de los servicios TI con la consiguiente reducción de costes e incremento en el rendimiento.

La implementación de una adecuada política de Gestión de la Capacidad también se encuentra con algunas serias dificultades:

  • Información insuficiente para una planificación realista de la capacidad.
  • Expectativas injustificadas sobre el ahorro de costes y mejoras del rendimiento.
  • Insuficiencia de recursos para la correcta monitorización del rendimiento.
  • Infraestructuras informáticas distribuidas y excesivamente complejas en las que es difícil un correcto acceso a los datos.
  • No existe el compromiso suficiente de la dirección por implementar rigurosamente los procesos asociados.
  • La rápida evolución de las tecnologías puede obligar a una revisión permanente de los planes y escenarios contemplados.
  • Un correcto dimensionamiento de la propia Gestión de la Capacidad: un excesivo celo puede provocar costosos análisis de capacidad que podrían haber sido innecesarios con la compra de nuevo hardware o software.

Financial Management (Objetivos)

La Gestión Financiera de los Servicios Informáticos tiene como objetivo principal administrar de manera eficaz y rentable los servicios y la organización TI.

Por regla general, a mayor calidad de los servicios mayor es su coste, por lo que es necesario evaluar cuidadosamente las necesidades del cliente para que el balance entre ambos sea óptimo.

 

Para lograr este objetivo la Gestión Financiera debe:

  • Evaluar los costes reales asociados a la prestación de servicios.
  • Proporcionar a la organización TI toda la información financiera precisa para la toma de decisiones y fijación de precios.
  • Asesorar al cliente sobre el valor añadido que proporcionan los servicios TI prestados.
  • Evaluar el retorno (ROI) de las inversiones TI.
  • Llevar la contabilidad de los gastos asociados a los servicios TI.

Los principales beneficios de una correcta Gestión Financiera de los Servicios Informáticos se resumen en:

  • Se reducen los costes y aumenta la rentabilidad del servicio.
  • Se ajustan, controlan, adecuan y justifican (si es de aplicación) los precios del servicio aumentando la satisfacción del cliente.
  • Los clientes contratan servicios que le ofrecen una buena relación coste/rentabilidad.
  • La organización TI puede planificar mejor sus inversiones al conocer los costes reales de los servicios TI.
  • Los servicios TI son usados más eficazmente.
  • La organización TI funciona como una unidad de negocio y es posible evaluar claramente su rendimiento global.

Las principales dificultades a la hora de implementar la Gestión Financiera de los Servicios Informáticos se resumen en:

  • Es difícil encontrar personal que esté familiarizado tanto con los servicios TI como con aspectos financieros y/o contables.
  • Existen múltiple costes ocultos difíciles de evaluar por una deficiente organización financiera.
  • No existe una estrategia clara que permita elaborar unos presupuestos ajustados a la misma.
  • Un incremento de los costes.
  • No hay un compromiso de toda la organización con el proceso.

SLA Management (Objetivos)

La Gestión de Niveles de Servicio es el proceso por el cual se definen, negocian y supervisan la calidad de los servicios TI ofrecidos.

La Gestión de Niveles de Servicio es responsable de buscar un compromiso realista entre las necesidades y expectativas del cliente y los costes de los servicios asociados, de forma que estos sean asumibles tanto por el cliente como por la organización TI.

La Gestión de los Niveles de Servicio debe:

  • Documentar todos los servicios TI ofrecidos.
  • Presentar los servicios de forma comprensible para el cliente.
  • Centrarse en el cliente y su negocio y no en la tecnología.
  • Colaborar estrechamente con el cliente para proponer servicios TI realistas y ajustados a sus necesidades.
  • Establecer los acuerdos necesarios con clientes y proveedores para ofrecer los servicios requeridos.
  • Establecer los indicadores claves de rendimiento del servicio TI.
  • Monitorizar la calidad de los servicios acordados con el objetivo último de mejorarlos a un coste aceptable por el cliente.
  • Elaborar los informes sobre la calidad del servicio y los Planes de Mejora del Servicio (SIP).

Los principales beneficios de una correcta Gestión de Niveles de Servicio son:

  • Los servicios TI son diseñados para cumplir sus auténticos objetivos: cubrir las necesidades del cliente.
  • Se facilita la comunicación con los clientes impidiendo los malentendidos sobre las características y calidad de los servicios ofrecidos.
  • Se establecen objetivos claros y metrizables.
  • Se establecen claramente las responsabilidades respectivas de los clientes y proveedores del servicio.
  • Los clientes conocen y asumen los niveles de calidad ofrecidos y se establecen claros protocolos de actuación en caso de deterioro del servicio.
  • La constante monitorización del servicio permite detectar los “eslabones más débiles de la cadena” para su mejora.
  • La gestión TI conoce y comprende los servicios ofrecidos lo que facilita los acuerdos con proveedores y subcontratistas.
  • El personal del Service Desk dispone de la documentación necesaria (SLAs, OLAs,etc.) para llevar una relación fluida con clientes y proveedores.
  • Los SLAs ayudan a la Gestión TI tanto a calcular los cálculos de costes como a justificar su precio ante los clientes.

Lo que repercute a la larga en una mejora del servicio con la consecuente satisfacción de clientes y usuarios.

Las principales dificultades a la hora de implementar la Gestión de Niveles de Servicio se resumen en:

  • No existe una buena comunicación con clientes y usuarios por lo que los SLAs acordados no recogen sus necesidades reales.
  • Los acuerdos de nivel de servicio están basados más en deseos y expectativas del cliente que en servicios que la infraestructura TI puede ofrecer con un nivel de calidad suficiente.
  • No se alinean adecuadamente los servicios TI a los procesos de negocio del cliente.
  • Los SLAs son excesivamente prolijos y técnicos incumpliendo así sus objetivos primordiales.
  • No se dedican los recursos suficientes pues la dirección los considera como un gasto añadido y no como parte integral del servicio ofrecido.
  • Problemas de comunicación: no todos los usuarios conocen las características del servicio y los niveles de calidad acordados.
  • No se monitoriza adecuada y consistentemente el cumplimiento de los SLAs dificultando así la mejora de la calidad del servicio.
  • No existe en la organización un verdadero compromiso con la calidad del servicio TI ofrecido.

Problem Management (Objetivos)

Como se explicó en la sección de Gestión de Incidentes, esta última tiene como exclusivo objetivo el restablecer lo más rápidamente la calidad del servicio y no el determinar cuales han sido los orígenes y causas del mismo.

Cuando algún tipo de incidente se convierte en recurrente o tiene un fuerte impacto en la infraestructura TI es la función de la Gestión de Problemas el determinar sus causas y encontrar posibles soluciones.

Cabe diferenciar entre:

Problema: causa subyacente, aún no identificada, de una serie de incidentes o un incidente aislado de importancia significativa.

Error conocido: Un problema se transforma en un error conocido cuando se han determinado sus causas.

Entre la funciones principales de la Gestión de Problemas figuran:

  • Identificar, registrar y clasificar los problemas.
  • Dar soporte a la Gestión de Incidentes proporcionando información y soluciones temporales o parches.
  • Analizar y determinar las causas de los problemas y proponer soluciones.
  • Elevar RFCs a la Gestión de Cambios para llevar a cabo los cambios necesarios en la infraestructura TI.
  • Realizar un seguimiento post-implementación de todos los cambios para asegurar su correcto funcionamiento.
  • Realizar informes que documenten no sólo los orígenes y soluciones a un problema sino que también sirvan de soporte a la estructura TI en su conjunto.
  • Analizar tendencias para prevenir incidentes potenciales.

Los principales beneficios de una correcta Gestión de Problemas:

  • Un aumento de la calidad general de los servicios TI.
  • Se minimiza el número de incidentes.
  • Los incidentes se solucionan más rápidamente y, generalmente, en la primera línea de soporte TI ahorrando recursos e innecesarios escalados.
  • La documentación desarrollada es de gran utilidad para la Gestión de la Capacidad, Disponibilidad y Niveles de Servicio.

Las principales dificultades a la hora de implementar la Gestión de Problemas se resumen en:

  • Establecer una estrecha colaboración entre la Gestión de Incidentes y la de Problemas. Sin ésta la Gestión de Incidentes no dispondrá de toda la información necesaria para la rápida solución de los incidentes y la Gestión de Problemas carecerá de la información necesaria para determinar, clasificar y resolver los problemas.
  • Mantener actualizadas las bases de datos asociadas requiere un compromiso por parte de todos los agentes implicados que frecuentemente requiere un seguimiento cercano de los responsables de la infraestructura TI.
  • Aumento de los costes por la contratación de personal especializado, aunque estos se vean sobradamente compensados por los beneficios derivados.