Security Management (Proceso)

La Gestión de la Seguridad esta estrechamente relacionada con prácticamente todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización.

Para que esa colaboración sea eficaz es necesario que la Gestión de la Seguridad:

  • Establezca una clara y definida política de seguridad que sirva de guía a todos los otros procesos.
  • Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos.
  • Implemente el Plan de Seguridad.
  • Monitorice y evalúe el cumplimiento de dicho plan.
  • Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades.
  • Realice periódicamente auditorías de seguridad.

Política de Seguridad

Es imprescindible disponer de un marco general en el que encuadrar todos los subprocesos asociados a la Gestión de la Seguridad. Su complejidad e intricadas interrelaciones necesitan de una política global clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos.

En particular la Política de Seguridad debe determinar:

  • La relación con la política general del negocio.
  • La coordinación con los otros procesos TI.
  • Los protocolos de acceso a la información.
  • Los procedimientos de análisis de riesgos.
  • Los programas de formación.
  • El nivel de monitorización de la seguridad.
  • Qué informes deben ser emitidos periódicamente.
  • El alcance del Plan de Seguridad.
  • La estructura y responsables del proceso de Gestión de la Seguridad.
  • Los procesos y procedimientos empleados.
  • Los responsables de cada subproceso.
  • Los auditores externos e internos de seguridad.
  • Los recursos necesarios: software, hardware y personal.
Plan de Seguridad

El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs.

Este plan ha de ser desarrollado en colaboración con la Gestión de Niveles de Servicio que es la responsable en última instancia tanto de la calidad del servicio prestado a los clientes como la del servicio recibido por la propia organización TI y los proveedores externos.

El Plan de Seguridad debe diseñarse para ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio.

Siempre que sea posible deben definirse métricas e indicadores clave que permitan evaluar los niveles de seguridad acordados.

Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las fases del servicio y para todos los estamentos implicados. “Una cadena es tan resistente como el más débil de sus eslabones”, por lo que carece de sentido, por ejemplo, establecer una estrictas normas de acceso si una aplicación tiene vulnerabilidades frente a inyecciones de SQL. Quizá con ello podamos engañar a algún cliente durante algún tiempo ofreciendo la imagen de “fortaleza” pero esto valdrá de poco si alguien descubre que la “puerta de atrás está abierta”.


Aplicación de las Medidas de Seguridad

Por muy buena que sea la planificación de la seguridad resultará inútil si las medidas previstas no se ponen en práctica.

Es responsabilidad de la Gestión de Seguridad coordinar la implementación de los protocolos y medidas de seguridad establecidas en la Política y el Plan de Seguridad.

En primer lugar la Gestión de la Seguridad debe verificar que:

  • El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto.
  • Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad.
  • Se imparte la formación pertinente.

Es también responsabilidad directa de la Gestión de la Seguridad:

  • Asignar los recursos necesarios.
  • Generar la documentación de referencia necesaria.
  • Colaborar con el Service Desk y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad.
  • Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad.
  • Colaborar con la Gestión de Cambios y Versiones para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en producción o entornos de pruebas.
  • Proponer RFCs a la Gestión de Cambios que aumenten los niveles de seguridad.
  • Colaborar con la Gestión de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre.
  • Establecer las políticas y protocolos de acceso a la información.
  • Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la Seguridad respecto a todas estas cuestiones y que incluso permita que ésta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumpla con sus responsabilidades.


Evaluación y Mantenimiento

Evaluación

No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs.

Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditorías de seguridad externas y/o internas realizadas por personal independiente de la Gestión de la Seguridad.

Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmaran en RFCs que habrán de ser evaluados por la Gestión de Cambios.

Independientemente de estas evaluaciones de carácter periódico se deberán generar informes independientes cada vez que ocurra algún incidente grave relacionado con la seguridad. De nuevo, si la Gestión de la Seguridad lo considera oportuno, estos informes se acompañaran de las RFCs correspondientes.

Mantenimiento

La Gestión de la Seguridad es un proceso continuo y se han de mantener al día el Plan de Seguridad y las secciones de seguridad de los SLAs.

Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluación arriba citada o de cambios implementados en la infraestructura o servicios TI.

No hay nada más peligroso que la falsa sensación de seguridad que ofrecen medidas de seguridad obsoletas.

Es asimismo importante que la Gestión de la Seguridad esté al día en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegación de servicio, etcétera, y que adopte las medidas necesarias de actualización de equipos de hardware y software, sin olvidar el apartado de formación: el factor humano es normalmente el eslabón más débil de la cadena.


Control del Proceso

Al igual que en el resto de procesos TI es necesario realizar un riguroso control del proceso para asegurar que la Gestión de la Seguridad cumple sus objetivos.

Una buena Gestión de la Seguridad debe traducirse en una:

  • Disminución del número de incidentes relacionados con la seguridad.
  • Un acceso eficiente a la información por el personal autorizado.
  • Gestión proactiva que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradación de la calidad del servicio.

La correcta elaboración de informes permite evaluar el rendimiento de la Gestión de Seguridad y aporta información de vital importancia a otras áreas de la infraestructura TI.

Entre la documentación generada cabría destacar:

  • Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor.
  • Relación de incidentes relacionados con la seguridad calificados por su impacto sobre la calidad del servicio.
  • Evaluación de los programas de formación impartidos y sus resultados.
  • Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI.
  • Auditorías de seguridad.
  • Informes sobre el grado de implementación y cumplimiento de los planes de seguridad establecidos.
Anuncios

Security Management (Objetivos)

Los principales objetivos de la Gestión de la Seguridad se resumen en:

  • Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio.
  • Asegurar el cumplimiento de los estándares de seguridad acordados.
  • Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

La correcta Gestión de la Seguridad no es responsabilidad (exclusiva) de “expertos en seguridad” que desconocen los otros procesos de negocio. Si caemos en la tentación de establecer la seguridad como una prioridad en sí misma limitaremos las oportunidades de negocio que nos ofrece el flujo de información entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicación.

La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando se necesita por aquellos que tengan autorización para utilizarla.

Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes para, a renglón seguido, garantizar su cumplimiento.

La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio.

Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera.

 

Los principales beneficios de una correcta Gestión de la Seguridad:

  • Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera.
  • Se minimiza el número de incidentes.
  • Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.
  • Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
  • Se cumplen los reglamentos sobre protección de datos.
  • Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

Las principales dificultades a la hora de implementar la Gestión de la Seguridad se resumen en:

  • No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso.
  • Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio.
  • No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, …).
  • El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad.
  • Falta de coordinación entre los diferentes procesos lo que impide una correcta evaluación de los riesgos.

Availability Management (Proceso)

Entre las actividades que la Gestión de la Disponibilidad se encuentran:

  • Determinar cuales son los requisitos de disponibilidad reales del negocio.
  • Desarrollar un plan de disponibilidad donde se estimen las necesidades de disponibilidad futura a corto y medio plazo.
  • Mantenimiento del servicio en operación y recuperación del mismo en caso de fallo.
  • Realizar diagnósticos periódicos sobre la disponibilidad de los sistemas y servicios.
  • Evaluar la capacidad de servicio de los proveedores internos y externos.
  • Monitorizar la disponibilidad de los servicios TI.
  • Elaborar informes de seguimiento con la información recopilada sobre disponibilidad, fiabilidad, matenibilidad y cumplimiento deOLAs y UCs.
  • Evaluar el impacto de las políticas de seguridad en la disponibilidad.
  • Asesorar a la Gestión del Cambio sobre el posible impacto de un cambio en la disponibilidad.

Requisitos de Disponibilidad

Es indispensable cuantificar los requisitos de disponibilidad para la correcta elaboración de losSLAs.

La disponibilidad propuesta debe encontrase en línea tanto con los necesidades reales del negocio como con las posibilidades de la organización TI.

Aunque en principio todos los clientes estarán de acuerdo con unas elevadas cotas de disponibilidad es importante hacerles ver que una alta disponibilidad puede generar unos costes injustificados dadas sus necesidades reales. Quizá unas pocas horas sin un determinado servicio pueden representar poco más allá de una pequeña inconveniencia mientras que la certeza de un servicio prácticamente continuo y sin interrupciones puede requerir la replicación de sistemas u otras medidas igualmente costosas que no van a tener una repercusión real en la rentabilidad del negocio.

Para llevar a cabo eficientemente está tarea es necesario que la Gestión de la Disponibilidad:

  • Identifique las actividades clave del negocio.
  • Cuantifique los intervalos razonables de interrupción de los diferentes servicios dependiendo de sus respectivos impactos.
  • Establezca los protocolos de mantenimiento y revisión de los servicios TI.
  • Determine las franjas horaria de disponibilidad de los servicios TI (24/7, 12/5, …).

Planificación

La correcta planificación de la disponibilidad permite establecer unos niveles de disponibilidad adecuados tanto en lo que respecta a las necesidades reales del negocio como a las posibilidades de la organización TI.

El documento que debe recoger los objetivos de disponibilidad presentes y futuros y que medidas son necesarias para su cumplimiento es el Plan de Disponibilidad.

Este plan debe recoger:

  • La situación actual de disponibilidad de los servicios TI. Obviamente esta información debe ser actualizada periódicamente.
  • Herramientas para la monitorización de la disponibilidad.
  • Métodos y técnicas de análisis a utilizar.
  • Definiciones relevantes y precisas de las métricas a utilizar.
  • Planes de mejora de la disponibilidad.
  • Expectativas futuras de disponibilidad.

Es imprescindible que este plan proponga los cambios necesarios para que se cumplan los estándares previstos y colabore con la Gestión de Cambios y la Gestión de Versiones en su implementación (en caso de ser aprobados, claro está).

Para que este plan sea realista debe contar con la colaboración de los otros procesos TI involucrados.

Diseño para la Disponibilidad

Es crucial para una correcta Gestión de la Disponibilidad participar desde el inicio en el desarrollo de los nuevos servicios TI de forma que estos cumplan los estándares plasmados en el Plan de Disponibilidad.

Un diferente nivel de disponibilidad puede requerir cambios drásticos en los recursos utilizados o en las actividades necesarias para suministrar un determinado servicio TI. Si éste se diseña sin tener en cuenta futuras necesidades de disponibilidad puede ser necesario un completo rediseño al cabo de poco tiempo, incurriendo en costes adicionales innecesarios.


Mantenimiento y Seguridad

Aunque hayamos realizado un correcto diseño de los servicios según el Plan de Disponibilidad y se hayan tomado todas las medidas preventivas necesarias, tarde o temprano, nos habremos de enfrentar a interrupciones del servicio.

En esos casos es necesario recuperar el servicio lo antes posible para que no tenga un efecto indeseado sobre los niveles de disponibilidad acordados.

Aunque la responsabilidad de restaurar el servicio corresponde a la Gestión de Incidentes y las actividades de recuperación han de ser coordinadas por el Service Desk, la Gestión de la Disponibilidad debe prestar su asesoramiento mediante planes de recuperación que tengan en cuenta:

  • Las necesidades de disponibilidad del negocio.
  • Las implicaciones del incidente en la infraestructura TI y los procesos necesarios para restaurar el servicio.
Gestión de las Interrupciones de Mantenimiento

Independientemente de las interrupciones del servicio causadas por incidencias es habitualmente necesario interrumpir el servicio para realizar labores de mantenimiento y/o actualización.

Estas interrupciones programadas pueden afectar a la disponibilidad del servicio y por lo tanto han de ser cuidadosamente planificadas para minimizar su impacto.

En aquellos casos en que los servicios no son 24/7 es obvio que, siempre que ello sea posible, deben aprovecharse las franjas horarias de inactividad para realizar las tareas que implican una degradación o interrupción del servicio.

Si el servicio es 24/7 y la interrupción es necesaria se debe:

  • Consultar con el cliente en que franja horaria la interrupción del servicio afectará menos a sus actividades de negocio.
  • Informar con la antelación suficiente a todos los agentes implicados.
  • Incorporar dicha información a los SLAs.
Seguridad

Uno de los aspectos esenciales para obtener altos niveles de fiabilidad y disponibilidad es una correcta Gestión de la Seguridad.

Los aspectos relativos a la seguridad deben ser tomados en cuenta en todas las etapas del proceso.

Es tan importante determinar cuándo el servicio estará disponible como el “quién y cómo” va a utilizarlo. La disponibilidad y seguridad son interdependientes y cualquier fallo en una de ellas afectará gravemente a la otra.


Monitorización de la Disponibilidad

La monitorización de la disponibilidad del servicio y la elaboración de los informes correspondientes son dos de las principales actividades de la Gestión de la Disponibilidad.

Desde el momento de la interrupción del servicio hasta su restitución o “tiempo de parada” el incidente pasa por distintas fases que deben ser individualizadamente analizadas:

  • Tiempo de detección: es el tiempo que transcurre desde que ocurre el fallo hasta que la organización TI tiene constancia del mismo.
  • Tiempo de respuesta: es el tiempo que transcurre desde la detección del problema hasta que se realiza un registro y diagnóstico del incidente.
  • Tiempo de reparación/recuperación: periodo de tiempo utilizado para reparar el fallo o encontrar un “workaround” o solución temporal al mismo y devolver el sistema a la situación anterior a la interrupción del servicio.

Es importante determinar métricas que permitan medir con precisión las diferentes fases del ciclo de vida de la interrupción del servicio. El cliente debe conocer estas métricas y dar su conformidad a las mismas para evitar malentendidos. En algunos casos es difícil determinar si el sistema está “caído o en funcionamiento” y la interpretación puede diferir entre proveedores y clientes, por lo tanto, estás métricas deben de poder expresarse en términos que el cliente pueda entender.

Algunos de los parámetros que suele utilizar la Gestión de la Disponibilidad y que debe poner a disposición del cliente en los informes de disponibilidad correspondientes incluyen:

  • Tiempo Medio de Parada (Downtime) : que es el tiempo promedio de duración de una interrupción de servicio, e incluye el tiempo de detección, respuesta y resolución.
  • Tiempo Medio entre Fallos (Uptime): es el tiempo medio durante el cual el servicio esta disponible sin interrupciones.
  • Tiempo Medio entre Incidentes: es el tiempo medio transcurrido entre incidentes que es igual a la suma del Tiempo Medio de Parada y el Tiempo Medio entre Fallos. El Tiempo Medio entre Incidentes es una medida de la fiabilidad del sistema.

Métodos y Técnicas

Aunque llevamos hablando ya un buen rato de disponibilidad aún no hemos aportado un método para cuantificarla.

Es habitual definir la disponibilidad en tanto por ciento de la siguiente manera:

donde:

ASTse corresponde con el tiempo acordado de servicio,DT es el tiempo de interrupción del servicio durante las franjas horarias de disponibilidad acordadas.

Por ejemplo, si el servicio es 24/7 y en el último mes el sistema ha estado caído durante 4 horas por tareas de mantenimiento la disponibilidad real del servicio fue:

La Gestión de la Disponibilidad tiene a su disposición un buen número de métodos y técnicas que le permiten determinar que factores intervienen en la disponibilidad del servicio y que le permiten consecuentemente prever que tipo de recursos se deben asignar para las labores de prevención, mantenimiento y recuperación, así como elaborar planes de mejora a partir de dichos análisis.

Entre dichas técnicas se cuentan:

CFIA

Que son las siglas de Component Failure Impact Analysis (Análisis del Impacto de Fallo de Componentes).

Mediante esté metodo se identifica el impacto que tiene en la disponibilidad de los servicios TI el fallo de cada elemento de configuración involucrado. Es evidente que este método requiere una CMDB correctamente actualizada.

FTA

Que son las siglas de Failure Tree Analysis (Análisis del Árbol de Fallos).

Su objetivo es estudiar como se “propagan” los fallos a traves de la infraestructura TI para comprender mejor su impacto en la disponibilidad del servicio.

CRAMM

Que son las siglas de CCTA Risk Analysis and Management Method (Método de Gestión y Análisis de Riesgos de la CCTA).

Su objetivo es identificar los riesgos y vulnerabilidades a los que se haya expuesta la infraestructura TI con el objetivo de adoptar contramedidas que los reduzcan o que permitan recuperar rápidamente el servicio en caso de interrupción del mismo.

SOA

Que son las siglas de Service Outage Analysis (Análisis de Interrupción del Servicio).

Ésta técnica tiene como objetivo analizar las causas de los fallos detectados y proponer soluciones a los mismos.

Se diferencia de los anteriores métodos en que realiza el análisis desde el punto de vista del cliente haciendo especial énfasis en aspectos no exclusivamente técnicos ligados directamente a la infraestructura TI.


Control del Proceso

La Gestión de la Disponibilidad debe elaborar periódicamente informes sobre su gestión que incluyan información relevante tanto para los clientes como para el resto de la organización TI.

Estos informes deben incluir:

  • Técnicas y métodos utilizados para la prevención y el análisis de fallos.
  • Información estadística sobre:
    • Tiempos de detección y respuesta a los fallos.
    • Tiempos de reparación y recuperación del servicio.
    • Tiempo medio de servicio entre fallos.
  • Disponibilidad real de los diferentes servicios.
  • Cumplimiento de los SLAs en todo lo referente a la disponibilidad y fiabilidad del servicio.
  • Cumplimiento de los OLAs y UCs en todo lo referente a la capacidad de servicio prestada por los proveedores internos y externos.

Para que toda esta información sea fácil y correctamente analizada es imprescindible el establecimiento de métricas precisas que permitan determinar de forma inequívoca parámetros tales como tiempos de parada y funcionamiento. Por ejemplo, en el caso de un servicio online de comercio electrónico se puede considerar que tiempos de respuesta superiores a 10 segundos son equivalentes a que el sistema esta caído, aunque estrictamente hablando el sistema termine respondiendo.

Availability Management (Objetivos)

El objetivo primordial de la Gestión de la Disponibilidad es asegurar que los servicios TI estén disponibles y funcionen correctamente siempre que los clientes y usuarios deseen hacer uso de ellos en el marco de los SLAs en vigor.

Las responsabilidades de la Gestión de la Disponibilidad incluyen:

  • Determinar los requisitos de disponibilidad en estrecha colaboración con los clientes.
  • Garantizar el nivel de disponibilidad establecido para los servicios TI.
  • Monitorizar la disponibilidad de los sistemas TI.
  • Proponer mejoras en la infraestructura y servicios TI con el objetivo de aumentar los niveles de disponibilidad.
  • Supervisar el cumplimiento de los OLAs y UCs acordados con proveedores internos y externos.

Los indicadores clave sobre los que se sustenta el proceso de Gestión de la Disponibilidad se resumen en:

  • Disponibilidad: porcentaje de tiempo sobre el total acordado en que los servicios TI han sido accesibles al usuario y han funcionado correctamente.
  • Fiabilidad: medida del tiempo durante el cual los servicios han funcionado correctamente de forma ininterrumpida.
  • Mantenibilidad: capacidad de mantener el servicio operativo y recuperarlo en caso de interrupción.
  • Capacidad de Servicio: determina la disponibilidad de los servicios internos y externos contratados y su adecuación a los OLAs y UCsen vigor. Cuando un servicio TI es subcontratado en su totalidad la disponibilidad y la capacidad de servicio son términos equivalentes.

La disponibilidad depende del correcto diseño de los servicios TI, la fiabilidad de los CIs involucrados, su correcto mantenimiento y la calidad de los servicios internos y externos acordados.

Los principales beneficios de una correcta Gestión de la Disponibilidad son:

  • Cumplimiento de los niveles de disponibilidad acordados.
  • Se reducen los costes asociados a un alto nivel de disponibilidad.
  • El cliente percibe una mayor calidad de servicio.
  • Se aumentan progresivamente los niveles de disponibilidad.
  • Se reduce el número de incidentes.

Las principales dificultades con las que topa la Gestión de la Disponibilidad son:

  • No se monitoriza correctamente la disponibilidad real del servicio.
  • No existe compromiso con el proceso dentro de la organización TI.
  • No se dispone de las herramientas de software y personal adecuado.
  • Los objetivos de disponibilidad no están alineados con las necesidades del cliente.
  • Falta de coordinación con los otros procesos.
  • Los proveedores internos y externos no reconocen la autoridad del Gestor de la Disponibilidad por falta de apoyo de la dirección.

Financial Management (Proceso)

Las principales actividades de la Gestión Financiera se resumen se resumen en:

  • Presupuestos:
    • Análisis de la situación financiera.
    • Fijación de políticas financieras.
    • Elaboración de presupuestos.
  • Contabilidad:
    • Identificación de los costes.
    • Definición de elementos de coste.
    • Monitorización de los costes.
  • Fijación de precios:
    • Elaboración de una política de fijación de precios.
    • Establecimiento de tarifas por los servicios prestados o productos ofrecidos.

Presupuestos

La elaboración de presupuestos TI tiene como objetivos principales:

  • Planificar el gasto e inversión TI a largo plazo.
  • Asegurar que los servicios TI están suficientemente financiados.
  • Establecer objetivos claros que permitan evaluar el rendimiento de la organización TI.

Los presupuestos realizados pueden tener diferentes horizontes temporales. Pueden ser a corto plazo, incluyendo los costes de los servicios prestados en la actualidad, o resultar de una proyección sobre la evolución prevista del negocio en dos o más años.

Aunque no existe una única manera de realizar un presupuesto TI son métodos habituales:

  • Presupuesto incremental: el presupuesto se realiza en base al histórico de presupuestos anteriores, adaptándolos a las modificaciones en los costes y el desarrollo de nuevas tecnologías, y teniendo en consideración la aparición de nuevas líneas de servicios.
  • Presupuesto “desde cero”: se replantea toda la estructura de costes e inversiones a partir de una “hoja en blanco” en base a los servicios prestados en la actualidad y las expectativas de crecimiento en el periodo presupuestado.

Para que estos presupuestos sean realistas y sirvan realmente de referencia a la organización TI es necesario identificar previamente todos los elementos de coste.

La estimación de los costes asociados a esos elementos no es siempre una tarea sencilla y a menudo influyen factores externos que no se hallan bajo el control directo de la organización TI, como por ejemplo el aumento del precio de las licencias del software, etc.

Es imprescindible que los presupuestos tengan en cuenta estas incertidumbres y se muestren precavidos al respecto para evitar que se conviertan en papel mojado al menor vaivén del mercado.


Contabilidad

En principio, la contabilidad asociada a los servicios TI sigue patrones similares a la contabilidad asociada a otros servicios o departamentos. Sin embargo, la complejidad de las interrelaciones TI dificulta el proceso cuando los responsables de su contabilidad desconocen sus mecanismos básicos y la tecnología que los sustenta.

Es esencial que el proceso contable tenga en cuenta esa complejidad y a su vez no alcance un excesivo nivel de detalle que lo encarezca más allá de lo razonable.

Las actividades contables deben permitir:

  • Una correcta evaluación de los costes reales para su comparación con los presupuestados.
  • Tomar decisiones de negocio basadas en los costes de los servicios.
  • Evaluar la eficiencia financiera de cada uno de los servicios TI prestados.
  • Facturar adecuadamente, si es de aplicación, los servicios TI.

Si se desea considerar a la organización TI como otra unidad de negocio es necesario conocer en detalle tanto sus costes como sus “ingresos” (aunque estos últimos en muchos casos sólo sean nominales pues el cliente es la propia organización).

Es una de las actividades principales de la Gestión Financiera identificar los denominados elementos de coste que se pueden clasificar de forma genérica en:

  • costes de hardware y software,
  • costes de Personal,
  • costes generales,

asignando a cada servicio/cliente su parte proporcional.


Política de Precios

No es habitual que se fijen los precios de los servicios TI cuando el cliente es la propia organización, pero éste es un paso esencial si buscamos que se utilice eficientemente la infraestructura TI.

Para que la organización TI pueda funcionar como una verdadera unidad de negocio es imprescindible tanto conocer los costes reales de los servicios prestados como establecer una política de precios que, cuando menos, permita recuperar los costes en los que se ha incurrido.

En primer lugar debe establecerse una política de fijación de precios. Existen múltiples opciones, entre ellas:

  • Coste más margen: se establecen los costes totales del servicio y se les añade un margen de beneficios (que puede ser del 0% para “clientes internos”).
  • Precio de mercado: se cobran los servicios en función de las tarifas vigentes en el mercado para servicios de similar naturaleza.
  • Precio negociado: se negocia directamente con el cliente cuál es el precio estipulado por los servicios.
  • Precio flexible: que depende de la capacidad TI realmente utilizada y/o de los objetivos cumplidos.

Una vez determinada la política de fijación de precios se deben determinar las tarifas de los servicios en función de:

  • La política elegida.
  • Los servicios solicitados.
  • Factores de escala y necesidades de disponibilidad.
  • Los costes asociados.
  • Los precios vigentes en el mercado.

En algunas ocasiones estas tarifas serán usadas para una facturación real mientras que en otras sólo se utilizarán de referencia para evaluar el rendimiento teórico de la organización TI.


Supervisión

No es tarea de la Gestión Financiera de los Servicios TI sino de la Gestión de Niveles de Servicio negociar con los clientes y elaborar el catálogo de servicios. Sin embargo, es recomendable que, en los aspectos económicos, su actividad sea supervisada por la Gestión Financiera.

Para ello es necesario que exista una comunicación fluida y convenientemente estructurada entre ambos procesos.

Por un lado la Gestión de Niveles de Servicio debe proveer información a la Gestión Financiera sobre:

  • El tipo de servicios demandados por los clientes.
  • Los SLAs contratados.
  • Los contratos de soporte (UCs) en vigor.
  • Tendencias del mercado y Planes de Mejora del Servicio (SIP).

Mientras que la Gestión Financiera debe aportar información sobre:

  • Los costes reales de los servicios.
  • Previsiones de costes.
  • Desviaciones en las previsiones de costes respecto a los gastos reales.
  • Métodos y condiciones de pago.

Sin una estrecha colaboración entre ambos procesos será imposible llegar a acuerdos que sean rentables y a su vez satisfactorios para el cliente.


Control del Proceso

El responsable de el proceso de Gestión Financiera no ha de ser de manera imprescindible un miembro de la organización TI, es, sin embrago, imprescindible que disponga de ciertos conocimiento sobre los servicios TI y/o esté correctamente asesorado por especialistas en todo lo referente a la tecnología.

Para poder evaluar la función de la Gestión Financiera es necesario establecer tanto unos criterios claros para evaluar su éxito como unos indicadores de rendimiento específicos.

Entre los primeros cabe destacar:

  • ¿Conoce la organización los costes reales de los servicios TI?
  • ¿Los clientes perciben la política de precios como coherente y ajustada al mercado?
  • ¿Colaboran los responsables de los otros procesos TI con la Gestión Financiera?
  • ¿Están los gastos en servicios e infraestructuras TI realmente alineados con los procesos de negocio?
  • ¿Opera la organización TI como una verdadera unidad de negocio?

En lo que respecta a los indicadores de rendimiento, estos deben incluir métricas que permitan evaluar si:

  • Los gastos TI están correctamente planificados y presupuestados.
  • Se cumplen los objetivos de costes e ingresos.
  • Se lleva a cabo una contabilidad precisa asociada a cada servicio.
  • Se conoce el ROI de las inversiones TI.
  • La organización TI funciona de manera “rentable”.

La correcta elaboración de informes internos de gestión permite evaluar el rendimiento de la Gestión de Financiera según los parámetros arriba descritos y aporta información de vital importancia a la organización en su conjunto.

Entre la documentación generada cabría destacar:

  • Resúmenes contables.
  • Análisis de eficiencia de cada uno de los servicios TI.
  • Planes de inversión TI basados en el histórico del negocio y en previsiones de evolución de la tecnología.
  • Planes de reducción de costes por servicio.

Financial Management (Conceptos)

Categorías de coste

La clasificación de costes por servicio o producto puede realizarse en virtud de uno a más criterios:

Costes atribuibles, directa o indirectamente a la prestación del servicio o elaboración del producto:

  • Costes Directos: son los costes relacionados específica y exclusivamente con un producto o servicio, como por ejemplo, los servidores web asociados a los servicios de Internet.
  • Costes indirectos: aquellos que nos son específicos y exclusivos de un servicio, como por ejemplo, la “conectividad” de la organización TI de la que dependen tanto los servicios web como la propia plataforma general de comunicaciones. Estos costes son más difíciles de determinar y por lo general son prorrateados entre los diferentes servicios y productos.

Costes que dependen o no del “cuánto”:

  • Costes fijos: son independientes del volumen de producción y están normalmente relacionados con gastos en inmovilizado material.
  • Costes variables: incluyen aquellos costes que dependen del volumen de producción y engloban, por ejemplo, los gastos de personal que presta los servicios, los fungibles, etc.

Costes que dependen del horizonte temporal:

  • Costes de capital: que proviene de la amortización del inmovilizado material o inversiones a largo plazo.
  • Costes de Operación: son los costes asociados al funcionamiento diario de la organización TI.
Tipos de coste

Es imprescindible distinguir entre los diferentes tipos de coste para diseñar una política de precios clara y consistente.

SLA Management (Proceso)

Las principales actividades de la Gestión de Niveles de Servicio se resumen en:

  • Planificación:
    • Asignación de recursos.
    • Elaboración de un catálogo de servicios.
    • Desarrollo de SLAs tipo.
    • Herramientas para la monitorización de la calidad del servicio.
    • Análisis e identificación de las necesidades del cliente.
    • Elaboración del los Requisitos de Nivel de servicio(SLR), Hojas de Especificación del Servicio y Plan de Calidad del Servicio(SQP).
  • Implementación de los Acuerdos de Nivel del Servicio:
    • Negociación.
    • Acuerdos de Nivel de Operación.
    • Contratos de Soporte.
  • Supervisión y revisión de los Acuerdos de Nivel de Servicio:
    • Elaboración de informes de rendimiento.
    • Control de los proveedores externos.
    • Elaboración de Programas de Mejora del Servicio (SIP).

Planificación

La correcta planificación de la Gestión de Niveles de Servicio requiere la implicación de prácticamente todos los estamentos de la organización TI. Y, si esto no fuera ya de por sí una labor lo suficientemente compleja, resulta imprescindible la colaboración activa de los clientes y usuarios de los servicios TI.

El objetivo primordial de la Gestión de Niveles de Servicio es definir, negociar y monitorizar la calidad de los servicios TI ofrecidos. Si los servicios no se adecuan a las necesidades del cliente, la calidad de los mismos es deficiente o sus costes son desproporcionados, tendremos clientes insatisfechos y la organización TI será responsable de las consecuencias que se deriven de ello.

Todo el proceso de planificación previo debe estar orientado a dar respuestas a las siguiente preguntas:

  • ¿Qué servicios debemos ofrecer a nuestros clientes?
  • ¿Cuáles son las necesidades de nuestros clientes?
  • ¿Cuál es el nivel adecuado de calidad de servicio?
  • ¿Quiénes y cómo se van a suministrar esos servicios?
  • ¿Cuáles serán los indicadores clave de rendimiento para los servicios prestados?
  • ¿Disponemos de los recursos necesarios para proveer los servicios propuestos con los niveles de calidad acordados?

La respuesta a cada una de estas preguntas debe darse en forma de documentos, algunos de carácter interno y otros accesibles a los clientes, que pasamos a describir sucintamente a continuación.

En primer lugar la Gestión de Niveles de Servicio debe poner a disposición de toda la organización, pero en especial a disposición del Service Desk y la fuerza de ventas un Catálogo de Servicios.

Este catálogo de servicios debe describir, en un lenguaje comprensible para los no expertos, los productos y servicios ofrecidos junto a indicaciones generales del nivel de servicio ofrecido, tales como disponibilidad, tiempos de respuesta, etc.

La elaboración de este Catálogo de Servicios puede resultar una tarea compleja pues es necesario alinear aspectos técnicos con políticas de negocio pero es un documento imprescindible pues:

  • Sirve de guía a los clientes a la hora de seleccionar un servicio que se adapte a sus necesidades.
  • Delimita las funciones y compromisos de la organización TI.
  • Puede ser utilizado como herramienta de venta.
  • Evita malentendidos entre los diferentes actores implicados en la prestación de servicios.

Sin embargo, en la mayoría de los casos, por muy detallado y completo que sea el Catálogo de Servicios, la complejidad de los servicios ofrecidos requiere un largo y extenso periodo de negociación con el cliente.

Los resultados de esta interacción/negociación deben ser incorporados al documento de Requisitos de Nivel de Servicio (SLR) que debe reflejar las necesidades del cliente y sus expectativas respecto a:

  • La funcionalidad y características del servicio.
  • La disponibilidad del servicio.
  • La interacción del servicio con su infraestructura TI o de otro tipo.
  • La continuidad del servicio.
  • Los niveles de calidad del servicio.
  • Tiempo y procedimientos de implantación del servicio.
  • La escalabilidad del servicio ofrecido.
  • Etc.

La información contenida en el SLR debe servir de base para elaborar la documentación interna que permita determinar “cómo” se prestara el servicio y “quién o quiénes” serán responsables del mismo.

Las Hojas de Especificación del Servicio deben contener:

  • Una descripción detallada, con todos los detalles técnicos necesarios, sobre como se prestará el servicio.
  • Cuáles serán los indicadores internos de rendimiento y calidad del servicio.
  • Cómo se implementará el servicio.

Si la prestación del servicio requiere la interacción con los servicios TI del cliente o presentas exigencias técnicas a su infraestructura, está información deberá reflejarse en una Hoja de Especificaciones “externa” que habrá de acordarse con el cliente y su responsables técnicos.

El Plan de Calidad del Servicio (SQP) debe ser el documento maestro para la gestión interna de los servicios prestados y contener información detallada sobre todos los procesos TI involucrados en la prestación de los servicios.

En función de los requisitos plasmados en las Hojas de Especificación del Servicio se elabora un plan global que permita asignar los recursos a la organización TI, establecer metas claras basadas en los indicadores de rendimiento elegidos y asegurar que los niveles de calidad ofrecidos se adaptan a las necesidades de los clientes y a los compromisos asumidos por la organización.

En caso de que se estimen insuficientes los recursos internos o sencillamente se considere oportuno externalizar parte de los servicios el SQP servirá de documento guía para el establecimiento de los contratos con los proveedores externos.


Implementación

La fase de planificación debe concluir con la elaboración y aceptación de los acuerdos necesarios para la prestación del servicio.

Estos acuerdos incluyen los Acuerdos de Nivel de Servicio, Niveles de Operación y Contratos de Soporte.

Acuerdos de Nivel de Servicio

Los SLAs deben contener una descripción del servicio que abarque desde los aspectos más generales hasta los detalles más específicos del servicio.

Es conveniente estructurar los SLAs más complejos en diversos documentos de forma que cada grupo involucrado reciba exclusivamente la información correspondiente al nivel en que se integra, ya sea en el lado del cliente como del proveedor.

La elaboración de un SLA requiere tomar en cuenta aspectos no tecnológicos entre los que se encuentran:

  • La naturaleza del negocio del cliente.
  • Aspectos organizativos del proveedor y cliente.
  • Aspectos culturales locales.
Acuerdos de Nivel de Operación

Los OLAs son documentos de carácter interno de la propia organización TI que determinan los procesos y procedimiento necesarios para ofrecer los niveles de servicio acordados con los clientes.

El OLA, por su naturaleza, involucra detalles sobre la prestación del servicio que deben ser opacos para el cliente pero que resultan imprescindibles a la organización TI para su organización.

Contratos de Soporte

Los Contratos de Soporte (UCs) determinan las responsabilidades de los proveedores externos en el proceso de prestación de servicios.

Mientras que los OLAs son documentos internos susceptibles de cierto dinamismo, los Contratos de Soporte deben representar compromisos claros y perfectamente delimitados. A pesar de esta diferencia crucial, los UCs pueden considerarse como una extensión “externa” de los OLAs en el sentido de que persiguen el mismo fin: organizar los procesos y procedimientos necesarios para la correcta provisión del servicio.


Monitorización

El proceso de monitorización de los niveles de servicio es imprescindible si queremos mejorar progresivamente la calidad del servicio ofrecido, su rentabilidad y la satisfacción de los clientes y usuarios.

La monitorización de la calidad del servicio requiere el seguimiento tanto de procedimientos y parámetros internos de la organización como los relacionados con la percepción de los usuarios.

Para llevar a cabo esta tarea de manera eficiente es necesario haber establecido con anterioridad unos baremos de calidad del servicio que han de servir de guía en la elaboración de los informes correspondientes.

Las principales fuentes principales de información las constituyen:

  • La documentación disponible: SLAs, OLAs, UCs, etc.
  • La Gestión de Incidentes: que debe informar de las incidencias en el servicio y los tiempos de recuperación.
  • La Gestión de la Capacidad y la Disponibilidad: que debe proporcionar la información sobre la infraestructura utilizada para satisfacer la calidad de servicios acordada.
  • El Centro de Servicios (Service Desk): que mediante su trato diario con los clientes, usuarios y organización TI supervisa la calidad de los servicios y conoce la percepción del cliente respecto a los mismos.

Los informes de rendimiento elaborados deben cubrir factores clave tales como:

  • Cumplimiento de los SLAs, con información sobre la frecuencia y el impacto de los incidentes responsables de la degradación del servicio.
  • Quejas, justificadas o no, de los clientes y usuarios.
  • Utilización de la capacidad predefinida.
  • Disponibilidad del servicio.
  • Tiempos de respuesta.
  • Costes reales del servicio ofrecido.
  • Problemas detectados y cambios realizados para restaurar la calidad del servicio.
  • Calidad del servicio de los proveedores externos: nivel de cumplimiento de los OLAs.

Revisión

La correcta Gestión de Niveles de Servicio es un proceso continuo que requiere la continua revisión de la calidad de los servicios ofrecidos.

Esta revisión debe realizarse en base a parámetros objetivos y metrizables resultado de la experiencia previa, los SLAs en vigencia y la evolución del Catálogo de Servicios.

Este proceso de revisión no debe limitarse a aquellos SLAs que por una razón u otra han sido incumplidos, aunque, evidentemente, en estos casos sea inexcusable, sino que debe tener como objetivo mejorar y homogeneizar la calidad del servicio.

El resultado de la revisión debe ser un Programa de Mejora del Servicio (SIP) que tome en cuenta factores tales como:

  • Problemas relacionados con el servicio TI y sus posibles causas.
  • Nuevas necesidades del cliente.
  • Avances tecnológicos.
  • Cumplimiento de los niveles de servicio.
  • Evaluación de los costes reales del servicio.
  • Implicaciones de una degradación de la calidad del servicio en la estructura organizativa del cliente.
  • Evaluación del rendimiento y capacitación del personal involucrado.
  • Reasignación de recursos.
  • Cumplimiento de los OLAs y UCs relacionados.
  • Percepción del cliente y usuarios sobre la calidad de servicio.
  • Necesidades de formación adicional a los usuarios de los servicios.

El SIP debe ser el documento base para negociar la renovación del SLA con el cliente y debe constituir un documento de referencia para la gestión de otros procesos TI como la Gestión de Cambios, Gestión de Problemas, etc.