facultad de ciencias administrativasbibdigital.epn.edu.ec/bitstream/15000/8386/3/cd-2873.pdf ·...
TRANSCRIPT
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN DE SERVICIOS
DE TECNOLOGÍAS DE LA INFORMACIÓN PARA UNA
ORGANIZACIÓN DE SERVICIOS DE EDUCACIÓN EN UNA ETAPA
PILOTO. CASO DE ESTUDIO: CENTRO DE EDUCACIÓN
CONTINUA DE LA ESCUELA POLITÉCNICA NACIONAL
TESIS PREVIA A LA OBTENCIÓN DEL GRADO DE MAGISTER EN GERENCIA
EMPRESARIAL, MBA, MENCIÓN EN PROYECTOS
JOSÉ GABRIEL MONTÚFAR SILVA
RÓMULO HOMERO PASPUEL ORMAZA
Director: Alfonso Ricardo Monar Monar, Prof. MBA, Ing.
Quito, abril 2010
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ORDEN DE ENCUADERNACIÓN
De acuerdo con lo estipulado en el Art. 17 del instructivo para la Aplicación del
Reglamento del Sistema de Estudios, dictado por la Comisión de Docencia y
Bienestar Estudiantil el 9 de agosto del 2000, y una vez comprobado que se han
realizado las correcciones, modificaciones y mas sugerencias realizadas por los
miembros del Tribunal Examinador al informe de la tesis de grado presentado por:
José Gabriel Montúfar Silva y Rómulo Homero Paspuel Ormaza
Se emite la presente orden de empastado, con fecha: 27 de abril de 2010.
Para constancia firman los miembros del Tribunal Examinador:
NOMBRE FUNCIÓN FIRMA
Ing. Ricardo Monar Director
Ing. Miriam Peñafiel Examinador
Ing. Patricio López Examinador
_________________________
Ing. Wilson Abad
DECANO
DECLARACIÓN
Nosotros, José Gabriel Montúfar Silva, y Rómulo Homero Paspuel Ormaza,
declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que
no ha sido previamente presentada para ningún grado o calificación profesional; y,
que hemos consultado las referencias bibliográficas que se incluyen en este
documento.
La Escuela Politécnica Nacional puede hacer uso de los derechos
correspondientes a este trabajo, según lo establecido por la Ley de Propiedad
Intelectual, por su Reglamento y por la normatividad institucional vigente.
JOSE GABRIEL
MONTÚFAR SILVA
ROMULO HOMERO
PASPUEL ORMAZA
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por José Gabriel Montúfar Silva
y Rómulo Homero Paspuel Ormaza, bajo mi supervisión.
Ricardo Monar, Prof. MBA, Ing.
DIRECTOR
AGRADECIMIENTOS
A Dios por darnos la fé para superar exitosamente los inconvenientes y retos
encontrados durante el periodo de realización de esta tesis,
A nuestros padres y familia por ser el apoyo afectivo y constante,
constituyéndose en el soporte y motivación constante para la terminación de este
trabajo,
Al Ingeniero Ricardo Monar, por habernos dirigido y apoyado en la realización de
este trabajo de investigación.
Al Centro de Educación Continua de la Escuela Politécnica Nacional, por
brindarnos la oportunidad de realizar este trabajo, en aras de mejorar la
excelencia en el servicio que entrega día a día a la sociedad ecuatoriana a través
de sus eventos de capacitación,
Al equipo de la Coordinación de Gestión de Tecnología, que apoyaron
incondicionalmente para lograr un trabajo acoplado a su realidad en búsqueda del
mejoramiento continuo,
DEDICATORIA
A mis padres Héctor y Aida, que con su ejemplo y amor han inculcado en mí
siempre los valores de superación constante, nobleza, respeto y honestidad.
A Judith, que con su apoyo constante constituyó una fuente de infinita motivación
para lograr la culminación exitosa de este trabajo.
José Gabriel
El desarrollo de la tesis la dedico a Dios por ser quien ha estado a mi lado en todo
momento dándome las fuerzas necesarias para continuar mejorando y seguir
adelante rompiendo todas las barreras que se me presenten.
También la dedico a mi esposa Maricela Mejía, por ser mi inspiración y motivación
para superarme cada día y así poder lograr que la vida nos depare un futuro mejor.
Rómulo Homero
ÍNDICE DE CONTENIDO
LISTA DE FIGURAS ……………………………...……………………………………… i
LISTA DE TABLAS …………………………….………..…..……………….....……… iii
LISTA DE ANEXOS …………………………….……..…………………...…………… iv
RESUMEN …………………………….………………………………………………… v
ABSTRACT …………………………….………….…..……………………...………… vi
1� FUNDAMENTO TEÓRICO ...........................................................................1�
1.1� GESTIÓN DE SERVICIOS DE TECNOLOGÍA DE LA INFORMACIÓN
EN UNA ORGANIZACIÓN............................................................................1�
1.2� SERVICIOS Y CALIDAD...............................................................................2�
1.2.1� Servicios .............................................................................................................2�
1.2.2� Calidad ...............................................................................................................3�
1.2.3� Calidad en el Servicio .........................................................................................7�
1.3� ORGANIZACIÓN Y POLÍTICAS ............................................................... 10�
1.3.1� La Organización ............................................................................................... 10�
1.3.2� Políticas ............................................................................................................ 15�
1.3.3� Cumplimiento de políticas ................................................................................ 16�
1.3.4� Las políticas y los sistemas de gestión .............................................................. 16�
1.3.5� Comunicación .................................................................................................. 17�
1.4� GESTIÓN DE PROCESOS ........................................................................... 17�
1.4.1� Objetivos generales .......................................................................................... 18�
1.4.2� Principios de la gestión por procesos ................................................................ 19�
1.5� TECNOLOGÍA DE LA INFORMACIÓN EN UNA ORGANIZACIÓN DE
SERVICIOS ................................................................................................... 20�
1.5.1� Organización orientada al Servicio ................................................................... 22�
1.6� ESTÁNDARES Y MEJORES PRÁCTICAS DE TI EN UNA
ORGANIZACIÓN ......................................................................................... 24�
1.6.1� Biblioteca de Infraestructura de Tecnologías de Información (ITIL) ................. 25�
1.6.2� Organizacion internacional para la estandarizacion (ISO) ................................. 34�
1.6.3� COBIT ............................................................................................................. 57�
1.6.4� Otros estándares de TI ..................................................................................... 59�
2� MARCO REFERENCIAL DE LA UNIDAD DE GESTIÓN DE
TECNOLOGÍA DEL CEC ............................................................................ 73�
2.1� ESTRUCTURA ORGANIZACIONAL DEL CENTRO DE EDUCACION
CONTINUA ................................................................................................... 73�
2.1.1� Historia ............................................................................................................ 73�
2.1.2� Base Legal ........................................................................................................ 74�
2.1.3� Sistema de Gestión de Calidad ISO 9001:2008 ................................................. 74�
2.1.4� Organigrama del CEC ...................................................................................... 75�
2.1.5� Mapa de procesos ............................................................................................. 75�
2.1.6� Cultura organizacional ...................................................................................... 77�
2.2� ANÁLISIS DE SITUACIÓN ACTUAL DE LA COORDINACIÓN DE
GESTIÓN DE TECNOLOGÍA ..................................................................... 79�
2.2.1� Coordinación de Gestión de Tecnología ............................................................ 79�
2.2.2� Caracterización del Proceso de Gestión DE TecnologíA ................................... 81�
2.2.3� Indicadores ....................................................................................................... 81�
2.2.4� Análisis de producto no conforme..................................................................... 82�
2.2.5� Aplicaciones utilizadas ..................................................................................... 84�
2.2.6� Estructura de la Coordinación y Equipo de Trabajo .......................................... 86�
2.2.7� Analisis FODA de la Coordinación de Gestión de Tecnología .......................... 94�
2.3� CLIENTE INTERNO Y EXTERNO .......................................................... 100�
2.4� PROCESOS DE TI ...................................................................................... 100�
2.5� CICLO DE ALINEACIÓN DE TI Y EL NEGOCIO ................................. 101�
3� DISEÑO DEL MODELO DE GESTIÓN DE SERVICIOS DE
TECNOLOGÍAS DE LA INFORMACIÓN ............................................... 102�
3.1� DEFINICIÓN DE ESTÁNDARES Y/O MEJORES PRÁCTICAS PARA
LA GOBERNABILIDAD DE TI ................................................................. 102�
3.1.1� Gobierno de TI ............................................................................................... 104�
3.1.2� Operaciones .................................................................................................... 107�
3.1.3� Seguridades, continuidad del negocio y administracion de riesgos .................. 108�
3.1.4� Seguridades .................................................................................................... 108�
3.2� ALINEACIÓN DE ESTÁNDARES Y/O MEJORES PRÁCTICAS ........ 111�
3.3� ALINEACIÓN DE TI CON LOS OBJETIVOS DEL NEGOCIO ............ 117�
3.3.1� Definición de estrategia de alineamiento ......................................................... 118�
3.3.2� Procedimiento de Planificación de TI a partir de la Estrategia de Negocio ...... 119�
3.3.3� Esquema General del Procedimiento para Elaborar un Plan de TI ................... 119�
3.3.4� Consideraciones Adicionales .......................................................................... 121�
3.4� REQUISITOS PARA IMPLEMENTACIÓN. ............................................ 122�
3.4.1� Priorización .................................................................................................... 122�
3.4.2� Modelo de Madurez ........................................................................................ 124�
3.4.3� Fases de Implementación ................................................................................ 125�
3.5� MODELO DE GESTIÓN DE SERVICIOS DE TI. ................................... 127�
3.5.1� Descripción de los PROCESOS para la Gestión de Servicios de TI................. 129�
3.5.2� Implementación de Procesos ........................................................................... 140�
3.5.3� Implementación de Servicios .......................................................................... 141�
4� APLICACIÓN Y EVALUACIÓN DEL MODELO EN ETAPA PILOTO
...................................................................................................................... 145�
4.1� DEFINIR EL ALCANCE REQUERIDO PARA LA APLICACIÓN DEL
MODELO DE GESTIÓN DE SERVICIOS DE TI. ................................... 145�
4.1.1� Enfoque de implantación de ITIL V3 .............................................................. 145�
4.1.2� Situación de la Coordinación de Gestión de Tecnología .................................. 146�
4.1.3� Alcance de la Etapa Piloto .............................................................................. 150�
4.2� APLICACIÓN DEL MODELO EN ETAPA PILOTO. ............................. 151�
4.2.1� Gestión del Catálogo de Servicios................................................................... 151�
4.2.2� Gestión del Nivel de servicio .......................................................................... 160�
4.2.3� Mesa de Servicios ........................................................................................... 164�
4.2.4� Servicio de Provisión de Tecnológia para cursos de capacitación .................... 172�
4.3� EVALUACIÓN DE APLICACIÓN DEL MODELO ................................. 178�
4.3.1� Catálogo de Servicios ..................................................................................... 178�
4.3.2� Gestión de Niveles de Servicio ....................................................................... 179�
4.3.3� Mesa de Servicios ........................................................................................... 183�
4.3.4� Servicio de Provisión de Tecnologia para Cursos de Capacitacion .................. 186�
5� CONCLUSIONES Y RECOMENDACIONES .......................................... 190�
5.1� CONCLUSIONES ........................................................................................ 190�
5.2� RECOMENDACIONES .............................................................................. 192�
6� BIBLIOGRAFIA ......................................................................................... 195�
7� ANEXOS ...................................................................................................... 196�
i
LISTA DE FIGURAS
Figura 1.1 - Procesos de la cadena de valor ........................................................ 18�
Figura 1.2 - TI en el negocio................................................................................. 21�
Figura 1.3 - Mapa mundial de Estados con comités miembros de la ISO ............ 35�
Figura 1.4 - Estructura ISO 20000 ........................................................................ 40�
Figura 1.5 - Ciclo PHVA ....................................................................................... 43�
Figura 1.6 - Arranque de Proyecto ....................................................................... 43�
Figura 1.7 - PDCA – Planificación ........................................................................ 44�
Figura 1.8 - PDCA – Implementación ................................................................... 47�
Figura 1.9 - PDCA – Seguimiento ........................................................................ 48�
Figura 1.10 - PDCA - Mejora Continua ................................................................. 49�
Figura 1.11 - Modelo del Proceso MOF ............................................................... 60�
Figura 2.1 - Organigrama del Centro de Educación Continua .............................. 75�
Figura 2.2 - Mapa de Procesos del Centro de Educación Continua ..................... 76�
Figura 2.3 - Caracterización del Proceso de Gestión de Tecnología ................... 81�
Figura 2.4 - Organigrama interno de la Coordinación de Gestión de Tecnología. 86�
Figura 3.1 - Gobierno Organizacional Vs Gobierno de TI .................................. 104�
Figura 3.2 - Alineamiento de las actividades organizaciones Vs las de TI ......... 105�
Figura 3.3 - Modelo de Gobernabilidad de TI ..................................................... 106�
Figura 3.4 - Alineación de Estándares ............................................................... 112�
Figura 3.5 - Esquema para la alineación de mejores prácticas y servicios de TI 117�
Figura 3.6 - Esquema de alineamiento ............................................................... 118�
Figura 3.7 - Fases del proceso de implantación de gobierno de TI .................... 126�
Figura 3.8 - Plan de Implementación del Modelo de Gestión de Servicios de TI 127�
Figura 3.9 - Modelo de Gestión de Servicios de TI para la CGT ........................ 129�
Figura 4.1 - Roseta de Resultados de Encuestas con base a ITIL V3 para análisis
de situación actual .............................................................................................. 146�
Figura 4.2- Resultados de las encuestas con base a Modelo de Capacidad y
Madurez ............................................................................................................. 149�
Figura 4.3 – Flujograma del Catálogo de Servicios ............................................ 153�
Figura 4.4 - Diagrama del Catálogo de Servicios de TI de la CGT ..................... 160�
ii
Figura 4.5 - Flujograma de Gestión de Niveles de Servicio ............................... 161�
Figura 4.6 – Estructura Organizacional de la Mesa de Servicios Centralizada .. 165�
Figura 4.7 - Pantalla de Aplicación OTRS .......................................................... 167�
Figura 4.8 - Pantalla Acceso OTRS - Clientes ................................................... 168�
Figura 4.9 - Pantalla Acceso OTRS - Usuarios .................................................. 168�
Figura 4.10 - Flujo de Trabajo de la Mesa de Ayuda .......................................... 169�
Figura 4.11 - Encuesta de Satisfacción por Soporte Técnico ............................. 170�
Figura 4.12 - Encuesta de Satisfacción de Clientes ........................................... 171�
Figura 4.13- Flujo del Proceso de Provisión de Tecnología para Cursos ........... 175�
Figura 4.14 - Evaluación de GSN - Porcentaje de Requerimientos cumplidos .. 181�
Figura 4.15 - Evaluación de GNS - Satisfacción de cliente ................................ 182�
Figura 4.16 - Evaluación de GNS- Satisfacción de Usuarios (Personal del UGT)
........................................................................................................................... 182�
Figura 4.17 - Mesa de Servicios - Tickets generados en un mes ....................... 184�
Figura 4.18 - Mesa de Servicios - Tickets receptados por distintos canales ...... 185�
Figura 4.19 - Mesa de Servicios - Nivel de Resolución de Tickets ..................... 185�
Figura 4.20 - Servicio PTCC - Porcentaje de errores en instalación .................. 187�
Figura 4.21 - Servicio PTCC - Frecuencia de Requerimientos ........................... 187�
Figura 4.22 - Servicio PTCC - Duración promedio en resolución de incidentes . 188�
Figura 4.23 - Servicio PTCC - Porcentaje de Requerimientos resueltos a tiempo
........................................................................................................................... 189�
Figura 4.24 - Servicio PTCC - Satisfacción del Cliente ...................................... 189�
iii
LISTA DE TABLAS
Tabla 2.1 – Funciones y Perfil para la Coordinación ............................................ 87�
Tabla 2.2 - Funciones y Perfil para la Sub-Coordinación de Software ................. 89�
Tabla 2.3 - Funciones y Perfil para la Sub-Coordinación de Hardware ................ 90�
Tabla 2.4 - Funciones y Perfil para la Sub-Coordinación de Telecomunicaciones 91�
Tabla 2.5 - Funciones y Perfil para el Administrador de TI ................................... 93�
Tabla 3.1- Dominios de COBIT .......................................................................... 112�
Tabla 3.2 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Planeación y
Organización ...................................................................................................... 114�
Tabla 3.3 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Adquisición e
implementación .................................................................................................. 114�
Tabla 3.4 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Entrega y Soporte ... 115�
Tabla 3.5 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Monitoreo ................. 116�
Tabla 3.6 Metodología de Priorización ............................................................... 123�
Tabla 3.7 - Roles y Responsables ...................................................................... 141�
Tabla 3.8 - Definición de un Servicio de TI ......................................................... 142�
Tabla 4.1 - Modelo de Encuesta del Modelo de Capacidad y Madurez ............. 148�
Tabla 4.2- Matriz de Priorización ........................................................................ 150�
Tabla 4.3 - Catálogo de Servicios - Características de un Servicio .................... 154�
Tabla 4.4 - Roles del Catálogo de Servicios ...................................................... 157�
Tabla 4.5 - Listado de Servicios de TI de la CGT ............................................... 157�
Tabla 4.6 - Roles de Gestión de Niveles de Servicio ......................................... 163�
Tabla 4.7 - Definición del Servicio de Provisión de Tecnología para Cursos de
Capacitación ....................................................................................................... 172�
Tabla 4.8 - Indicadores del Servicio de Provisión de Tecnología para Cursos de
Capacitación ....................................................................................................... 177�
Tabla 4.9 – Evaluación de GNS - Indicadores de Cumplimiento ........................ 180�
iv
LISTA DE ANEXOS
ANEXO A - Procedimientos de la Unidad de Gestión Tecnológica del CEC. .... 196�
ANEXO B - Encuestas ITIL V3 a personal de CGT ............................................ 196�
ANEXO C - Encuestas CMM a personal de CGT .............................................. 196�
ANEXO D - Catálogo de Servicios de la CGT del CEC-EPN 2010 .................... 196�
ANEXO E - SLA Servicio de Provisión de Tecnología para Cursos de
Capacitación ....................................................................................................... 196�
v
RESUMEN
La presente tesis se fundamenta en los conceptos de: servicios de tecnologías de
la información (TI), gestión de procesos, calidad, estándares de seguridad de la
información y mejores prácticas de tecnologías de la información con base en
ITIL, COBIT, y a la norma ISO 20000. Inicialmente se realiza un estudio de la
Coordinación de Gestión de Tecnología (CGT) del Centro de Educación Continua
(CEC) de la Escuela Politécnica Nacional (EPN), el trabajo comprende una
revisión de la estructura organizacional, los procesos de negocio del CEC y su
relación con los procesos de la CGT; con estos antecedentes se diseña un
Modelo de Gestión de Servicios de TI a ser propuesto, en base al marco del
Gobierno de TI, Gestión de Servicios de TI, y las mejores prácticas ITIL que
soportan estos conceptos.
El modelo de Gestión de Servicios de TI diseñado para la CGT, define
adicionalmente un plan de implementación, como un entregable de esta
investigación; en un periodo de tiempo piloto, estableciendo la estrategia que
identifique el servicio de TI más crítico; fundamentando este trabajo en reuniones
de trabajo y encuestas al equipo técnico de la CGT, que permiten conocer y
entender cuál es su percepción para a partir de ahí alinearla con los conceptos de
gestión de los procesos y servicios de TI, utilizando el enfoque que recomiendan
los estándares y mejores prácticas que fundamentan la propuesta.
La tesis define un modelo de servicios de TI a ser implementado en la CGT en
una etapa piloto, culminando el trabajo con su evaluación en un periodo de tiempo
piloto, cuyo resultado permite presentar algunas recomendaciones que en el corto
plazo contribuirán en la obtención de mejores resultados y alinearse con el
proceso de mejoramiento continuo del CEC.
Palabras clave: ITIL v3, ISO 20000, COBIT, Gestión de Servicios de TI, Gobierno
de TI, CEC.
vi
vii
ABSTRACT
This thesis is based on the concepts of IT services, quality, process management,
standards of information security and best practices of information technology
based on ITIL, COBIT, and ISO 20000. After describe a study of Technology
Management Coordination (CGT) of Continuing Education Center (CEC) of the
National Polytechnic School, this document includes a review of the organizational
structure, a FODA analysis, business processes and their relationship with the
process of the CGT, with this background in designing a model of IT Service
Management, based on the framework of IT Service Management within the IT
governance framework and best practices that support these concepts .
The model of IT Service Management designed for the CGT, additionally define an
implementation plan as a deliverable of this research in a pilot period, setting the
strategy that identifies the most critical IT service basing this work at meetings
survey work and technical team of the CGT, which allowed to know and
understand what their perception of the management of IT processes and
services, using the approach recommended standards and best practices,
leveraging the proposal.
The thesis culminates with the evaluation of the model implemented in the pilot
period in the CGT, whose outcome can make some recommendations in the short
time it will help in obtaining better results and align with the process of continuous
improvement of the CEC.
Keywords: ITIL V3, ISO 20000, COBIT, IT Service Management, IT Governance,
CEC
1
1 FUNDAMENTO TEÓRICO
El fundamento teórico para la presente tesis revisa los conceptos de gestión de
servicios, calidad, gestión de procesos, estándares y mejores prácticas
relacionadas a la gestión de tecnologías de la información.
1.1 GESTIÓN DE SERVICIOS DE TECNOLOGÍA DE LA
INFORMACIÓN EN UNA ORGANIZACIÓN
Actualmente los negocios tienden a desarrollarse con base a la innovación
tecnológica, en este contexto los departamentos de Tecnologías de Información, y
las actividades en ellos desarrolladas, constituyen una área clave de soporte a los
procesos de negocio, por lo cual es fundamental medir su rentabilidad, eficacia y
la calidad de servicios ofrecidos a toda la organización.
La Gestión de Servicios de Tecnologías de la Información (TI) es una disciplina
basada en procesos, enfocada en alinear los Servicios de TI con las necesidades
de la organización, poniendo énfasis en los beneficios que puede percibir el
cliente final y por ende lograr el éxito de la organización.
Entre los objetivos de una efectiva gestión de servicios TI se pueden presentar los
siguientes:
• Alinear los procesos de negocio y la infraestructura TI,
• Aumentar la eficiencia,
• Reducir los riesgos asociados a los Servicios de TI,
• Proporcionar una adecuada gestión de la calidad,
• Generar rentabilidad.
2
1.2 SERVICIOS Y CALIDAD
1.2.1 SERVICIOS
El concepto de servicio en economía y marketing define como un conjunto de
actividades que buscan responder a una o más necesidades de un cliente. Es el
equivalente no material de un bien. La presentación de un servicio no resulta en
un tangible de posesión, así es como un servicio se diferencia de proveer un bien
físico.
Un servicio es el resultado de llevar a cabo necesariamente al menos una
actividad en la interfaz entre el proveedor y el cliente y generalmente es
intangible1. La prestación de un servicio puede implicar, por ejemplo:
• Una actividad realizada sobre un producto tangible suministrado por el
cliente (por ejemplo, reparación de un automóvil).
• Una actividad realizada sobre un producto intangible suministrado por el
cliente (por ejemplo, la declaración de ingresos necesaria para preparar la
devolución de los impuestos).
• La entrega de un producto intangible (por ejemplo, la entrega de
información en el contexto de la transmisión de conocimiento-
capacitación).
• La creación de una ambientación para el cliente (por ejemplo, en centros
de capacitación y restaurantes).
Las características principales que poseen los servicios, y que los distinguen de
los bienes son:
• Intangibilidad
Es la característica más básica de los servicios, consiste en que éstos no pueden
verse, probarse, sentirse, oírse ni olerse antes de la compra. Esta característica
1 Definición de Servicio en la serie de Normas ISO 9000
3
dificulta una serie de acciones que pudieran ser deseables de hacer. Los servicios
no se pueden representar fácilmente, incluso es complejo medir su calidad antes
de la prestación.
• Heterogeneidad (o Variabilidad)
Dos servicios similares nunca serán idénticos o iguales. Esto por varios motivos:
Las entregas de un mismo servicio son realizadas por personas, a personas, en
momentos y lugares distintos. Cambiando uno solo de estos factores el servicio
ya no es el mismo, incluso cambiando solo el estado de ánimo de la persona que
entrega o la que recibe el servicio. Por esto es necesario prestar atención a las
personas que prestaran los servicios a nombre de la organización.
• Inseparabilidad
En los servicios la producción y el consumo son simultáneos. A estas funciones
muchas veces se puede agregar la función de venta. Esta inseparabilidad también
se da con la persona que presta el servicio.
• Perecibilidad
Los servicios no se pueden almacenar, por la simultaneidad entre producción y
consumo. La principal consecuencia de esto es que un servicio no prestado, no se
puede realizar en otro momento. Ejemplo: un curso de capacitación con uno o
más asientos vacios.
• Ausencia de Propiedad
Los compradores de servicios-clientes adquieren un derecho, (a recibir una
prestación), uso, acceso o arriendo de algo, pero no la propiedad del mismo.
Luego de la prestación sólo existen como experiencias vividas y nuevo
conocimiento en la mayoría de casos.
1.2.2 CALIDAD
La palabra calidad tiene múltiples significados: se define como un conjunto de
propiedades inherentes a un objeto que le confieren capacidad para satisfacer
necesidades implícitas o explícitas. La calidad de un producto/servicio es la
4
percepción que el cliente tiene del mismo, es una fijación mental del consumidor
que asume conformidad con dicho producto y la capacidad del mismo para
satisfacer sus necesidades. Por tanto, debe definirse en el contexto que se esté
considerando, por ejemplo, la calidad del servicio postal, del servicio dental, del
producto, de vida, etc.
La calidad significa llegar a un estándar más alto en lugar de estar satisfecho con
alguno que se encuentre por debajo de lo que se espera cumpla con las
expectativas. También podría definirse como cualidad innata, característica
absoluta y universalmente reconocida, aunque, en resumen la calidad es hacer
las cosas bien a la primera, es decir, que el producto satisfaga al cliente al menor
costo posible. Es el resultado de una actitud enérgica y comprometida de
esfuerzos sinceros de una ejecución talentosa.
La calidad no puede definirse fácilmente, por ser una apreciación subjetiva. La
Real Academia Española da múltiples definiciones para el término calidad. Desde
la asociada a procesos de producción hasta las condiciones impuestas en un
juego o a un contrato.
La calidad de un producto/servicio tiene muchos factores en su producción para
ofrecer al consumidor lo que realmente necesita del producto para satisfacer sus
necesidades.
• Definición desde una perspectiva de producto
La calidad es diferenciarse cualitativa y cuantitativamente respecto de algún
atributo requerido, esto incluye la cantidad de un atributo no cuantificable en
forma monetaria que contiene cada unidad de un atributo.
• Definición desde una perspectiva de usuario
La calidad implica la capacidad de satisfacer los deseos de los consumidores. La
calidad de un producto depende de cómo éste responda a las preferencias y a las
5
necesidades de los clientes, por lo que se dice que la calidad es adecuación al
uso.
• Definiciones desde una perspectiva de las tecnologías de la información o
calidad de datos
La calidad de datos implica que los datos capturados, procesados, almacenados y
entregados son un fiel reflejo de la realidad que se desea tratar mediante
sistemas informáticos. Esto supone que los datos no contengan errores, sean
veraces, consistentes y actualizados.
• Definición desde una perspectiva de producción
La calidad puede definirse como la conformidad relativa con las especificaciones,
a lo que al grado en que un producto cumple las especificaciones del diseño,
entre otras cosas, mayor su calidad.
• Definición desde una perspectiva de valor
La calidad significa aportar valor al cliente, esto es, ofrecer unas condiciones de
uso del producto o servicio superiores a las que el cliente espera recibir y a un
precio accesible. También, la calidad se refiere a minimizar las pérdidas que un
producto pueda causar a la sociedad humana mostrando cierto interés por parte
de la organización a mantener la satisfacción del cliente.
Una visión actual del concepto de calidad indica que calidad es entregar al cliente
no lo que quiere, sino lo que nunca se había imaginado que quería y que una vez
que lo obtenga, se dé cuenta que era lo que siempre había querido.
• Definición ISO 9000:2005
La calidad es el grado en el que un conjunto de características inherentes cumple
con los requisitos.
6
1.2.2.1 Factores relacionados con la calidad
Para conseguir una buena calidad en el producto hay que tener en cuenta tres
aspectos importantes (dimensiones básicas de la calidad).
1. Dimensión técnica: engloba los aspectos científicos y tecnológicos que
afectan al producto.
2. Dimensión humana: cuida las buenas relaciones entre clientes y
proveedores.
3. Dimensión económica: intenta minimizar costos tanto para el cliente como
para la organización.
Otros factores relacionados con la calidad son:
• Cantidad justa y deseada de producto que hay que fabricar y que se
ofrece.
• Rapidez de distribución de productos o de atención al cliente.
• Precio exacto (según la oferta y la demanda del producto).
1.2.2.2 Parámetros de la calidad
• Calidad de diseño.- Es el grado en el que un producto se ve reflejado en
su diseño.
• Calidad de conformidad.- Es el grado de fidelidad de un producto respecto
a su diseño.
• Calidad de uso.- El producto debe ser fácil de utilizar, seguro, fiable, etc.
• El cliente es el nuevo objetivo.- Las nuevas teorías sitúan al cliente como
parte activa de la calificación de la calidad de un producto, intentando
crear un estándar con base al punto subjetivo de un cliente.
7
1.2.3 CALIDAD EN EL SERVICIO
La calidad en el servicio difiere de la calidad en los bienes. No se puede verificar
la calidad de un servicio a través de un departamento de aseguramiento de
calidad, porque la mayoría de veces el cliente sólo tiene oportunidad de evaluar el
servicio hasta que ya ha sido recibido.
Los servicios no se pueden estandarizar acorde a las expectativas del cliente,
debido a que cada cliente es distinto y sus necesidades de servicio también lo son
aunque en apariencia todos requieren el mismo servicio. Es por esta subjetividad
que no se pueden dictar recetas o procedimientos inflexibles para mantener
satisfechos a los clientes.
La calidad en el servicio no es una estrategia aplicable únicamente en las
organizaciones del sector de servicios. Las empresas manufactureras y
comerciales desarrollan una buena cantidad de actividades de servicio, como
ventas (mediante representantes o en mostrador, centros telefónicos, etc.),
distribución, cobranza, devoluciones o reclamaciones e incluso, asesoría técnica.
Los clientes evalúan el servicio a través de la suma de evaluaciones de cinco
factores:
1. Elementos tangibles:
Se refiere a la apariencia de las instalaciones de la organización, la presentación
del personal y hasta los equipos utilizados en determinada organización (de
cómputo, oficina, transporte, etc.). Una evaluación favorable en este rubro invita al
cliente para que realice su primera transacción con la organización.
Es importante mencionar que los aspectos tangibles pueden provocar que un
cliente realice la primera operación comercial con nosotros, pero no lograrán
convencer al cliente de que vuelva a comprar.
8
2. Cumplimiento de promesa:
Significa entregar correcta y oportunamente el servicio acordado. Es decir, que si
usted prometió entregar un pedido de 30 toneladas de materia prima a su cliente
industrial el viernes de las 8 de la mañana, deberá cumplir con esas dos variables.
Entregar a las 8 de la mañana 20 toneladas es incumplimiento, lo mismo que
entregar las 30 toneladas el sábado.
El cumplimiento de promesa es uno de los dos factores más importantes que orilla
a un cliente a volver a comprar en la organización.
3. Actitud de servicio:
Con mucha frecuencia los clientes perciben falta de actitud de servicio por parte
de los colaboradores; esto significa que no sienten la disposición quienes los
atienden para escuchar y resolver sus problemas o emergencias de la manera
más conveniente.
Este es el factor que más critican los clientes, y es el segundo más importante en
su evaluación. Después del cumplimiento, las actitudes influyen en el cliente para
que vuelva a nuestra organización.
4. Competencia del personal:
El cliente califica qué tan competente es el colaborador para atenderlo
correctamente; si es cortés, si conoce la organización donde trabaja y los
productos o servicios que vende, si domina las condiciones de venta y las
políticas, en fin, si es capaz de inspirar confianza con sus conocimientos como
para que se le pida orientación.
Muchos clientes saben bien lo que quieren comprar, pero aquellos que requieren
de orientación o de consejos y sugerencias pueden no tomarlas en cuenta aunque
9
sean acertadas si no perciben que quien los atiende es lo suficientemente
competente.
5. Empatía:
Aunque la mayoría de las personas define a la empatía como ponerse en los
zapatos del cliente, también se puede relacionar con aspectos como:
• Facilidad de contacto:
Se refiere a que el negocio tiene que estar ubicado estratégicamente, en un
lugar accesible a sus clientes y también la facilidad y oportunidad con la
que los clientes puede comunicar con el personal de su empresa para
satisfacer las inquietudes del cliente.
• Comunicación:
Algo que buscan los clientes es un mayor nivel de comunicación de parte
de la empresa que les vende, además en un idioma que ellos puedan
entender claramente.
• Gustos y necesidades:
Al cliente le gusta ser tratado como si fuese único, que se le brinde los
servicios que necesita y en las condiciones más adecuadas para él y que
se le ofrezca algo adicional, esto es, que se superen sus expectativas.
10
1.3 ORGANIZACIÓN Y POLÍTICAS
1.3.1 LA ORGANIZACIÓN
La organización es una estructura, en la cual se determina las jerarquías
necesarias y agrupación de actividades, con el fin de simplificar las mismas y sus
funciones dentro del grupo social.
Esencialmente, la organización nació de la necesidad humana de interactuar. Los
hombres se han visto obligados a cooperar para obtener sus fines personales, por
razón de sus limitaciones físicas, biológicas, sicológicas y sociales. En la mayor
parte de los casos, esta cooperación puede ser más productiva o menos costosa
si se dispone de una estructura en la organización.
La estructura en la organización debe estar diseñada de manera que sea
perfectamente clara para todos quienes debe realizar determinada tarea y quien
es responsable por determinados resultados; en esta forma se eliminan las
dificultades que ocasiona la imprecisión en la asignación de responsabilidades y
se logra un sistema de comunicación y de toma de decisiones que refleja y
promueve los objetivos de la organización.
A continuación se enumeran y explican los elementos de la organización los
cuales, una vez comprendidos y asimilados coadyuvarán en una mejor
administración:
1.3.1.1 Definiciones
• Organización.- es un conjunto de cargos cuyas reglas y normas de
comportamiento, deben sujetarse a todos sus miembros y así, valerse el
medio que permite a una empresa alcanzar determinados objetivos. De
acuerdo a la Norma ISO 9000: 2005
• Estructura organizacional.- es la disposición de responsabilidades,
autoridades y relaciones entre el personal según la Norma ISO 9000: 2005.
11
También es un medio del que se sirve una organización cualesquiera para
conseguir sus objetivos con eficacia y eficiencia.
• Departamento.- es una o varias divisiones de la organización.
Departamento es un área bien determinada, una división o sucursal de una
organización sobre la cual un responsable tiene autoridad para el
desempeño de actividades específicas.
1.3.1.2 Elementos de la organización
• Jerarquización.- dispone de las funciones del grupo social por orden de
rango, grado o importancia.
• Departamentalización.- divide y agrupa todas las funciones y actividades,
en unidades específicas, con base en su similitud.
• Coordinación.- es la sincronización de los recursos y los esfuerzos de un
grupo social, con el fin de lograr oportunidad, unidad, armonía y rapidez, en
desarrollo de los objetivos.
1.3.1.3 Tipos de organización
• Organización formal.- la organización formal es la determinación de los
estándares de interrelación entre los órganos o cargos, definidos por las
normas, directrices y reglamentos de la organización para lograr los
objetivos. Las características básicas son:
• Consta de escalas jerárquicas o niveles funcionales establecidos en
el organigrama.
• Es racional.
• Es una de las principales características de la teoría clásica.
• Según Taylor (defensor de este tipo de organización) la
organización debe basarse en la división del trabajo y por
12
consiguiente en la especialización del obrero, pretendiendo una
organización funcional especializada.
• Distribución de la autoridad y de la responsabilidad
• Organización Lineal.- es la estructura más simple y más antigua, está
basada en la organización de los antiguos ejércitos y en la organización
eclesiástica medieval. Las características son:
• Posee el principio de autoridad vertical o principio esencial (tiene
una jerarquización de la autoridad en la cual los superiores son
obedecidos por sus respectivos subalternos).
• Tiene líneas formales de comunicación ascendente y descendente,
únicamente se comunican los órganos o cargos entre sí a través de
las líneas presentes del organigrama excepto los situados en la
cima del mismo.
• Centralizar las decisiones, une al órgano o cargo subordinado con
su superior, y así sucesivamente hasta la cúpula de la organización
• Posee configuración piramidal a medida que se eleva la jerárquica
disminuye el número de cargos u órganos.
• Organización Funcional.- la organización por funciones reúne, en un
departamento, a todos los que se dedican a una actividad o a varias
relacionadas, que se llama funciones. Es probable que la organización
funcional sea la forma más lógica y básica de departamentalización. Las
características son:
• Autoridad funcional o dividida: es una autoridad sustentada en el
conocimiento. Ningún superior tiene autoridad total sobre los
subordinados, sino autoridad parcial y relativa.
• Línea directa de comunicación: directa y sin intermediarios, busca la
mayor rapidez posible en las comunicaciones entre los diferentes
niveles.
13
• Descentralización de las decisiones: las decisiones se delegan a los
órganos o cargos especializados.
• Énfasis en la especialización: especialización de todos los órganos
a cargo.
• Organización De Tipo Línea-Staff.- es el resultado de la combinación de la
organización lineal y la funcional para tratar de aumentar las ventajas de
esos dos tipos de organización y reducir sus desventajas formando la
llamada organización jerárquica-consultiva. Las principales funciones del
staff son los servicios, consultoría y asesoría, monitoreo, planeación y
control. La características son:
• Fusión de la estructura lineal con la estructura funcional, cada
órgano responde ante un solo y único órgano superior; es el
principio de la autoridad única.
• Coexistencia de las líneas formales de comunicación con las líneas
directas de comunicación, se produce una conciliación de las líneas
formales de comunicación entre superiores y subordinados.
• Separación entre órganos operacionales (ejecutivos), y órganos de
apoyo (asesoría), la organización línea-staff representan un modelo
de organización en el cual los órganos especializados y grupos de
especialistas aconsejan a los jefes de línea respecto de algunos
aspectos de sus actividades.
• Jerarquía versus especialización, la jerarquía (línea) asegura el
mando y la disciplina, mientras la especialización (staff) provee los
servicios de consultoría y de asesoría.
• La organización línea-staff ha sido la forma de organización más
ampliamente aplicada y utilizada.
• Organización Por Producto/Mercadeo.- la organización por
producto/mercadeo, con frecuencia llamada organización por división,
reúne en una unidad de trabajo a todos los que participan en la producción
y comercialización de un producto o un grupo relacionado de productos, a
14
todos los que tratan con cierto tipo de cliente. Cuando la
departamentalización de una empresa se torna demasiado compleja para
coordinar la estructura funcional, la alta dirección, por regla general, creará
divisiones semi autónomas. En cada división, los gerentes y los
colaboradores diseñan, producen y comercializan sus propios productos.
Puede seguir uno de estos patrones:
• División por producto.
• División geográfica es usada por empresas de servicios, financieras
y otras no fabriles.
• División por cliente, la organización se divide de acuerdo con los
diferentes usos que los clientes dan a los productos.
• Organización Matricial.- la estructura matricial, en ocasiones llamada
sistema de mando múltiple. Una organización con una estructura matricial
cuenta con dos tipos de estructura al mismo tiempo. Los colaboradores
tienen, de hecho, dos jefes; es decir, trabajan con dos cadenas de mando.
Una cadena de mando es la de funciones o divisiones, el tipo que se
diagrama en forma vertical. El segundo es una disposición horizontal que
combina al personal de diversas divisiones o departamentos funcionales
para formar un equipo de proyecto o negocio, encabezado por un gerente
de proyecto a un grupo, que es experto en el campo de especialización
asignado al equipo.
• Organización por procesos.- este tipo de organización orienta a la
organización en función de sus procesos, y no de sus departamentos.
Significa que ahora, cada equipo o célula de personas maneja todo o gran
parte de un proceso (conjunto de actividades mutuamente relacionadas o
que interactúan, las cuales transforman elementos de entrada en
resultados). La organización basada en procesos es la tendencia de
organización actual. Siendo aplicable a todo tipo de compañías u
organismos, porque el 100% de las empresas privadas y públicas tienen
15
procesos que las cruzan, y departamentos verticales que se relacionan
con ellos.
1.3.2 POLÍTICAS
La palabra "política" designa la forma en que se dirige algo y ello puede
conseguirse estableciendo unos objetivos y disponiendo los medios y recursos
para lograr alcanzarlos.
Las políticas de la organización son líneas maestras o criterios de decisión para la
selección de alternativas estratégicas. Estas líneas generales de actuación,
acotan y canalizan las estrategias y suelen tener una vigencia superior a las
estrategias.
1.3.2.1 Conceptos complementarios
• La Misión es una frase concisa, que expresa la razón de la existencia de la
organización, su propósito básico hacia el que apuntan sus actividades, y
los valores que guían las actividades de sus colaboradores.
• Visión es una frase concisa que describe las metas de mediano y largo
plazo. La Visión es externa, orientada al mercado, y debería expresar de
una manera colorida y visionaria cómo quiere la organización ser percibida
por el mundo.
• Objetivos los objetivos indican las acciones concretas que deben realizarse
exitosamente para dar por cumplidas las políticas, luego deben ser
cuantitativos y medibles.
En el momento de establecer los objetivos es fundamental definir:
• La meta
• Responsable del cumplimiento del objetivo
• Plazo de cumplimiento
• Variable a medir
16
• Método y frecuencia de medición
1.3.3 CUMPLIMIENTO DE POLÍTICAS
Si bien puede parecer trivial, el primer requisito es definir políticas “cumplibles”.
Para ello, al definir las políticas, es necesario identificar y analizar los factores
internos y externos que influyen en el cumplimiento de las mismas.
El análisis interno incluirá:
• La cultura de la empresa
• Los recursos disponibles
• Otras debilidades y fortalezas de la empresa
El análisis externo incluirá:
• Las variables del entorno, tanto nacional como internacional
• Económico
• Sociales
• Tecnológicas
• Político-legales
• La competencia
• Otras amenazas y oportunidades
El entorno rápidamente cambiante en el cual la empresa se desenvuelve obliga a
revisar y actualizar constantemente las políticas.
1.3.4 LAS POLÍTICAS Y LOS SISTEMAS DE GESTIÓN
Las estadísticas que emite ISO anualmente muestran un constante incremento
en el número de empresas que certifican Sistemas de Gestión de la Calidad y
Ambientales. Por otro lado, con el objeto de cumplir con la legislación vigente, las
empresas desarrollan e implementan Sistemas de Seguridad y Salud Ocupacional
y Sistemas Administrativo-Contables. Estos sistemas, así como otros que las
17
empresas incorporan de acuerdo a sus necesidades, requieren compromisos
específicos.
De manera que, al definir las políticas, es conveniente considerar los requisitos
tanto de los sistemas vigentes como de aquellos cuya incorporación está prevista
en un futuro próximo.
1.3.5 COMUNICACIÓN
De nada sirven las políticas si no son comunicadas y comprendidas por todos los
integrantes de la empresa.
Comprendidas significa que cada empleado es capaz de describir, con sus
propias palabras, la manera que su trabajo contribuye al cumplimiento de las
políticas y reglas del negocio de la organización.
1.4 GESTIÓN DE PROCESOS
En la última década, la Gestión por Procesos ha despertado un interés creciente,
siendo ampliamente utilizada por muchas organizaciones que utilizan
referenciales de Gestión de Calidad y/o Calidad Total. El enfoque basado en
procesos consiste en la identificación y gestión sistemática de los procesos
desarrollados en la organización y en particular las interacciones entre tales
procesos (ISO 9000:2005).
La Gestión por Procesos se basa en la modelización de los sistemas como un
conjunto de procesos interrelacionados mediante vínculos causa-efecto. El
propósito final de la Gestión por Procesos es asegurar que todos los procesos de
una organización se desarrollan de forma coordinada, mejorando la efectividad y
la satisfacción de todas las partes interesadas (clientes, accionistas, personal,
proveedores, sociedad en general).
El Modelo Europeo de Excelencia (EFQM) se refiere asimismo a la Gestión por
Procesos en su enunciado: “La satisfacción del cliente, la satisfacción de los
18
colaboradores y un impacto positivo en la sociedad se consiguen mediante el
liderazgo en política y estrategia, una acertada gestión de personal, el uso
eficiente de los recursos y una adecuada definición de los procesos, lo que
conduce finalmente a la excelencia de los resultados empresariales”.
La gestión por Procesos tiene su base en la identificación, control y mejora de los
procesos de la empresa y pueden clasificarse en: procesos claves o
fundamentales, procesos estratégicos o de dirección y procesos de apoyo. Como
se muestra en el Figura 1-1. Adicionalmente este modelo considera los procesos
el elemento más importante, especialmente de las empresas que basa su sistema
de gestión en la Calidad Total.
Figura 1.1 - Procesos de la cadena de valor
1.4.1 OBJETIVOS GENERALES
Los objetivos Generales de la Gestión por Procesos son:
• Mayor beneficio económico debido tanto a la reducción de costos
asociados al proceso como al incremento de rendimiento de los procesos.
• Mayor satisfacción del cliente debido a la reducción del plazo de servicio y
mejora de la calidad del producto.
• Mayor satisfacción del personal debido a una mejor definición de procesos
y tareas.
• Mayor conocimiento y control de los procesos.
19
• Conseguir un mejor flujo de información y materiales.
• Disminución de los tiempos de proceso del producto.
• Mayor flexibilidad frente a las necesidades de los clientes
1.4.2 PRINCIPIOS DE LA GESTIÓN POR PROCESOS
Un proceso es un conjunto de actividades que se desarrollan en una secuencia
determinada permitiendo obtener unos productos o salidas a partir de unas
entradas. Los procesos pueden ser industriales en los que entran y salen
materiales o de gestión en los que entran y sale información.
1. Los procesos existen en cualquier organización aunque nunca se hayan
identificado ni definido: los procesos constituyen lo que se hace y cómo se
hace.
2. En una organización, prácticamente cualquier actividad o tarea puede ser
encuadrada en algún proceso.
3. No existen procesos sin un producto.
4. No existe cliente sin un producto.
5. No existe producto sin un proceso.
La gestión por procesos conlleva a:
1. Una estructura coherente de procesos que representa el funcionamiento de
la organización.
2. Un sistema de indicadores que permita evaluar la eficacia y eficiencia de
los procesos tanto desde el punto de vista interno (indicadores de
rendimiento) como externo (indicadores de percepción).
3. Una designación de responsables de proceso, que deben supervisar y
mejorar el cumplimiento de todos los requisitos y objetivos del proceso
asignado (costes, calidad, productividad, ambiente, seguridad y salud
laboral, moral).
20
Cuando se define y analiza un proceso, es necesario investigar todas las
oportunidades de simplificación y mejora del mismo. Para ello, es conveniente
tener presentes los siguientes criterios:
• Se deben eliminar todas las actividades que no añaden valor.
• Los detalles de los procesos son importantes porque determinan el
consumo de recursos, el cumplimiento de especificaciones, en definitiva: la
eficiencia de los procesos. La calidad y productividad requieren atención
en los detalles.
• No se puede mejorar un proceso sin datos. En consecuencia: son
necesarios indicadores que permitan revisar la eficacia y eficiencia de los
procesos (al menos para los procesos clave y estratégicos).
• Las causas de los problemas son atribuibles siempre a los procesos,
nunca a las personas.
• En la dinámica de mejora de procesos, se pueden distinguir dos fases bien
diferenciadas: la estabilización y la mejora del proceso. La estabilización
tiene por objeto normalizar el proceso de forma que se llegue a un estado
de control, en el que la variabilidad es conocida y puede ser controlada. La
mejora, tiene por objeto reducir los márgenes de variabilidad del proceso
y/o mejorar sus niveles de eficacia y eficiencia.
1.5 TECNOLOGÍA DE LA INFORMACIÓN EN UNA
ORGANIZACIÓN DE SERVICIOS
Las organizaciones y las empresas poseen maneras de operar que dependen en
gran medida de las tecnologías que sean adoptadas. Las grandes corporaciones
que nacieron a mediados del siglo XIX, surgieron producto de las facilidades que
otorgaban las nuevas tecnologías implementadas, como el ferrocarril y el
telégrafo, que permitieron que la centralización y jerarquización de las industrias
21
florecieran, como nunca antes lo pudieron haber hecho con las antiguas
tecnologías. Ahora la rapidez y confiabilidad con que se transportan los bienes y
la información, han creado el ambiente propicio para la aparición de este nuevo
tipo de organizaciones. Un esquema genérico de una organización fundamentada
en tecnología se describe en la Figura 1.2:
Figura 1.2 - TI en el negocio
De este mismo modo, como las tecnologías son el timón de la arquitectura
organizacional, bien las nuevas TI pueden ser un generador de nuevos modelos
que desplacen a los actuales. Las actuales tecnologías como las computadoras y
la Internet, permiten que la información fluya fácilmente a través de la
organización, descentralizando la toma de decisiones, haciendo desaparecer la
burocracia, y creando una estructura más horizontal y flexible.
Esto da paso a un modelo de trabajo en donde no se requiere de un liderazgo
omnipotente y centralizado, sino liderazgos funcionales por procesos, en donde
cada uno trabaje en forma interrelacionada con el objetivo final de llevar a cabo la
tarea y lograr un producto para el cliente. Esto genera la atomización de la
empresa, en donde los procesos que la conforman pueden ir variando, naciendo o
desapareciendo, para proyectos individuales en donde cada proceso utilizado sea
el idóneo para esa ocasión en particular. Esta interrelación de procesos, o
actividades de las empresas, ya se logra observar por ejemplo en empresas del
área de la publicidad, en donde existen agencias contratadas directamente por
clientes que desean una campaña mediática, en donde se solicitan entre otras
cosas piezas audiovisuales creativas. Las agencias de publicidad, si no cuentan
22
con los recursos necesarios, tercerizan los diseños e ideas a una agencia
creativa, o incluso a una persona individual que funcione como creativo, fuera de
la empresa.
Las TI permiten que los trabajos solicitados puedan ser entregados en cosa de
segundos desde una casa particular u otro lugar ajeno a la agencia, lográndose
un dominio de la nueva cadena de suministros, ausente de mayores riesgos o
demoras que la estructura original, con creativos dentro de la agencia de
publicidad.
1.5.1 ORGANIZACIÓN ORIENTADA AL SERVICIO
Para definir a una organización orientada al servicio, se requiere contestar las
preguntas:
• ¿Están definidos los procesos que generan los servicios?,
• ¿Están determinados y documentados los servicios a través de un
Catálogo de servicios con niveles establecidos?,
• ¿Cuáles son los beneficios de una organización orientada a servicios para
sus accionistas, colaboradores, clientes y proveedores?
A continuación se esbozan los lineamientos para diseñar una organización
orientada a servicios:
1.5.1.1 Entrenar a toda la organización en la provisión de los servicios definidos
En todos los niveles, iniciando el entrenamiento a los involucrados directamente y
luego a los colaboradores complementarios del servicio.
1.5.1.2 Establecer un Centro de Servicio
Como punto de contacto entre los proveedores del servicio y el cliente o usuario
del mismo y que debe funcionar como centro neurálgico de todos los procesos de
soporte al servicio.
23
1.5.1.3 Construir un catálogo de servicios
Describir los servicios ofrecidos de manera no técnica y comprensible para
clientes y personal no especializado, utilizase como guía para orientar y dirigir a
los clientes, incluir, en líneas generales, los niveles de servicio asociados con
cada uno de los servicios ofrecidos y debe encontrarse a disposición del Centro
de Servicio y todo el personal que se halle en contacto directo con los clientes.
1.5.1.4 Establecer un Programa de Calidad de Servicios
El Programa debe incorporar toda la información necesaria para posibilitar una
gestión eficiente de los niveles de calidad del servicio como: Objetivos de cada
servicio, estimación de recursos, Indicadores clave de rendimiento y
procedimientos de monitorización de proveedores. La finalidad es que la
organización conozca los procesos y procedimientos involucrados en el suministro
de los servicios prestados, asegurando que estos se alineen con los procesos de
negocio y mantengan unos niveles de calidad adecuados.
1.5.1.5 Constituir un Acuerdo de Nivel de Servicio (ANS) y un Acuerdo de Nivel
de Operación (AO)
El ANS debe recoger en un lenguaje no técnico, o cuando menos comprensible
para el cliente, todos los detalles de los servicios brindados. Tras su firma, el ANS
debe considerarse el documento de referencia para la relación con el cliente en
todo lo que respecta a la provisión de los servicios acordados, por tanto, es
imprescindible que contenga claramente definidos los aspectos esenciales del
servicio tales como su descripción, disponibilidad, niveles de calidad, tiempos de
recuperación, etc. El AO es un documento interno de la organización donde se
especifican las responsabilidades y compromisos de las diferentes áreas de la
organización en la prestación de un determinado servicio.
Los beneficios de una organización orientada a los servicios respecto a una
organización funcional y/u orientada a procesos es simple: le da alta flexibilidad a
la organización permitiéndole ofrecer más en corto tiempo, adecuarse a los
24
cambios del mercado, mejorar su imagen corporativa, y todo ello se traduce en
rentabilidad y valor agregado.
1.6 ESTÁNDARES Y MEJORES PRÁCTICAS DE TI EN UNA
ORGANIZACIÓN
En una organización el entorno de la tecnología de la información (TI) es complejo
controlar y costoso de administrar. La infraestructura básica de TI se caracteriza
por procesos manuales y localizados; un mínimo control central; y políticas y
estándares de TI inexistentes o no aplicados respecto a servicios críticos de:
seguridad, respaldos, administración, implementación, cumplimiento y otras
prácticas de TI comunes.
Al cambiar a una infraestructura estandarizada de TI, la organización se beneficia
de mejores prácticas tales como ISO, ITIL, COBIT, Microsoft Operations
Framework (MOF),
La Gestión de Tecnologías de Información en las empresas se puede basar tanto
en la implantación de estándares establecidos y reconocidos internacionalmente
como también la utilización de mejores prácticas. Existe un sin número de
estándares relacionados a Tecnologías de la Información que serán estudiados
más adelante. Por mejores prácticas se entiende un conjunto coherente de
acciones que han rendido servicio en un determinado contexto y que se espera
que, en contextos similares, rindan similares resultados. Las mejores prácticas
(best practices, en inglés) dependen de las épocas, de las modas y hasta de la
empresa consultora o del autor que las difunde. No es de extrañar que algunas
sean incluso contradictorias entre ellas.
Algunos consideran las mejores prácticas como un conjunto heterogéneo de
términos o teorías, unas nuevas e innovadoras, y otras que simplemente
renombran prácticas administrativas que ya se utilizaban en la práctica profesional
pero que nadie había presentado como propias. Estas teorías mencionan: calidad
total, justo a tiempo (just in time), estudio de referencia (benchmarking),
25
reingeniería (reengineering management) externalización (outsourcing),
redimensionamiento (resizing), gestión basada en actividades, gestión basada en
el valor (value-based management), gestión por objetivos, destrucción creativa,
etc. Otros, en cambio, reconocen que las mejores prácticas son sólo un buen
comienzo, mejor que una hoja en blanco, pero que no reemplazan al sentido
común y a la reflexión y que, mientras se usen de manera racional y coherente,
pueden acelerar la puesta en servicio de mejoras en los procesos de las
organizaciones.
1.6.1 BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGÍAS DE
INFORMACIÓN (ITIL)
ITIL toma este nombre por tener su origen en un conjunto de libros, cada uno
dedicado a una práctica específica dentro de la gestión de TI. Tras la publicación
inicial de estos libros, su número creció rápidamente (dentro la versión 1) hasta
unos 30 libros. Para hacer a ITIL más accesible y menos costosa a aquellos que
deseen explorarla, uno de los objetivos del proyecto de actualización ITIL versión
2 fue agrupar los libros según unos conjuntos lógicos destinados a tratar los
procesos de administración que cada uno cubre. De esta forma, diversos
aspectos de los sistemas de TIC, de las aplicaciones y del servicio se presentan
en conjuntos temáticos. Actualmente existe la nueva versión ITIL v3 que fue
publicada en junio de 2007.
Frecuentemente abreviada como ITIL, es un marco de trabajo de las mejores
prácticas destinadas a facilitar la entrega de servicios de tecnologías de la
información (TI) de alta calidad. ITIL resume un extenso conjunto de
procedimientos de gestión ideados para ayudar a las organizaciones a lograr
calidad y eficiencia en las operaciones de TI. Estos procedimientos son
independientes del proveedor y han sido desarrollados para servir de guía para
que abarque toda la infraestructura, desarrollo y operaciones de TI.
Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada
hasta mediados de los años 1990. Esta mayor adopción y conocimiento ha
llevado a varios estándares, incluyendo la norma internacional ISO/IEC 20000 –
26
Administración de Servicios, que cubre los elementos de Gestión de Servicios de
TI de ITIL.
ITIL se construye con base a una vista del proceso-modelo de control y gestión de
las operaciones a menudo atribuida a W. Edwards Deming. Las recomendaciones
de ITIL fueron desarrolladas en los años 1980 por la Central Computer and
Telecommunications Agency (CCTA) del gobierno británico como respuesta a la
creciente dependencia de las tecnologías de la información y al reconocimiento de
que sin prácticas estándar, los contratos de las agencias estatales y del sector
privado creaban independientemente sus propias prácticas de gestión de TI y
duplicaban esfuerzos dentro de sus proyectos de TICs, lo que resultaba en
errores comunes y mayores costos.
ITIL fue publicado como un conjunto de libros, cada uno dedicado a un área
específica dentro de la Gestión de TI, como se define en el Gráfico 3. Los
nombres ITIL e IT Infrastructure Library (‘Biblioteca de infraestructura de TI’) son
marcas registradas de la Office of Government Commerce (‘Oficina de comercio
gubernamental’, OGC), que es una división del Ministerio de Hacienda del Reino
Unido.
En abril de 2001 la CCTA fue integrada en la OGC, desapareciendo como
organización separada.
1.6.1.1 Certificación
Las personas particulares pueden conseguir varias certificaciones oficiales ITIL.
Los estándares de calificación ITIL son gestionados por la ITIL Certification
Management Board (ICMB) que agrupa a la OGC, a itSMF International y a los
dos Institutos Examinadores existentes: EXIN (con sede en los Países Bajos) e
ISEB (con sede en el Reino Unido). Existen tres niveles de certificación ITIL para
profesionales:
Foundation Certificate (Certificado Básico): acredita un conocimiento básico de
ITIL en gestión de servicios de tecnologías de la información y la comprensión de
27
la terminología propia de ITIL. Está destinado a aquellas personas que deseen
conocer las buenas prácticas especificadas en ITIL.
Practitioner's Certificate (Certificado de Responsable): destinado a quienes tienen
responsabilidad en el diseño de procesos de administración de departamentos de
tecnologías de la información y en la planificación de las actividades asociadas a
los procesos.
Manager's Certificate (Certificado de Director): garantiza que quien lo posee
dispone de profundos conocimientos en todas las materias relacionadas con la
administración de departamentos de tecnologías de la información, y lo habilita
para dirigir la implantación de soluciones basadas en ITIL.
No es posible certificar una organización o sistema de gestión como “conforme a
ITIL”, pero una organización que haya implementado las guías de ITIL sobre
Gestión de los Servicios de TI puede lograr certificarse bajo la ISO/IEC 20000.
La versión 3 de ITIL cambió ligeramente el esquema de Certificaciones, existiendo
certificaciones puentes, que definen 3 niveles:
• Basic Level (Equivalente a ITIL Foundation en v2)
• Management and Capability Level (Equivalente a los niveles Practitioner y
Manager en ITIL v2)
• Advanced Level (nuevo en v3)
1.6.1.2 Visión general de la biblioteca
Aunque el tema de Gestión de Servicios (Soporte al Servicio y Entrega de
Servicios) es el más ampliamente difundido e implementado, el conjunto de
mejores prácticas ITIL provee un conjunto completo de prácticas que abarca los
procesos y requerimientos técnicos y operacionales, que se relacionan con la
gestión estratégica, la gestión de operaciones y la gestión financiera de una
organización moderna.
28
1.6.1.3 Los cinco libros de ITIL versión 3
ITIL v3 consta de 5 libros que formarán una estructura articulada en torno al
concepto de ciclo de vida del servicio de TI y cuyos títulos son:
1. Service Strategy (Estrategia de Servicio). 2. Service Design (Diseño del Servicio).
3. Service Transition (Transición del Servicio).
4. Service Operation (Operación del Servicio).
5. Continual Service Improvement (Mejora Continua del Servicio).
Estos libros, tomados como un todo, muestran la idea del ciclo de vida de un
servicio de TI: partiendo de su diseño, se produce un periodo de transición en el
que se desarrolla e implanta el servicio, el cual posteriormente se operará, y todo
ello auspiciado por una estrategia, y bajo el amparo de una mejora continua.
Con este orden en torno a un ciclo de vida se pretende dar una mayor coherencia
a los distintos libros y procesos de ITIL, de tal forma que resulte más intuitiva y
práctica su aplicación y se puedan observar como un conjunto bien constituido.
Además, con esta estructura de ciclo de vida, según The Stationary Office TSO se
alcanzarán los siguientes beneficios:
1. Establecer la integración de la estrategia de negocio con la estrategia de
los servicios de TI.
2. Facilitar el diseño de servicio ágiles y el cálculo del ROI.
3. Proporcionar modelos de transición de servicios que sean válidos para una
gran variedad de innovaciones.
4. Desmitificar la gestión de los proveedores de servicio y los modelos de
subcontratación.
5. Aumentar la facilidad de implantación y de gestión de servicios para
ajustarse a las necesidades de negocio actuales, que son dinámicas,
arriesgadas, volátiles y rápidamente cambiantes.
6. Mejorar la medición y demostrar el valor de los servicios de TI.
29
7. Identificar los desencadenantes de la mejora y el cambio en cualquier
punto del ciclo de vida del servicio.
8. Solventar las actuales deficiencias de ITIL.
La versión 3 de ITIL ha crecido en eficacia y ha decrecido en peso, pues en cada
edición, los libros han aumentado su utilidad y disminuido su número. Esta
versión tiene 5 libros que son:
1.6.1.3.1 Service Strategy (Estrategia de Servicio)
Busca las reglas de juego para el deseado alineamiento perfecto entre las TI y el
negocio; nada nuevo en su espíritu si se compara con la actual versión, la cual
está impregnada en su totalidad de éste ánimo. Pero sí resulta significativo que se
dedique un volumen específico a este ansiado fin y que se articule con acierto
como el eje director sobre el que orbitan el resto de libros.
Explica el alineamiento entre las TI y el negocio, de tal suerte que “cada uno
aporte lo mejor al otro”. Esto, que resulta importante que se indique, pues hasta la
fecha, y por experiencia, este alineamiento sólo se ha entendido en una dirección:
en cómo las TI se deben adaptar al negocio, y rara vez en su totalidad, es decir,
concibiendo el alineamiento como un caminar juntos.
Los conceptos de este libro versan en torno a:
• Definición del servicio.
• Estrategia de la gestión de servicio y planificación del valor.
Establecimiento de la dirección y del gobierno de los servicios de las TI.
Consecución del valor.
• Relación entre los planes de negocio y las estrategias de los servicios de
TI.
• Arquetipos de servicios.
• Tipos de proveedores de servicio.
• Formulación, implantación y revisión de las estrategias de negocio.
30
1.6.1.3.2 Service Design (Diseño de Servicio)
Una vez definida la estrategia de servicio, en este volumen se detalla cómo
diseñar tal servicio. Dicho en el incomparable lenguaje al que tiene
acostumbrados la OGC: “producir e implementar políticas de las TI, arquitecturas
y documentos para el diseño de servicios y procesos de TI apropiados e
innovadores”.
Los conceptos de este libro versan en torno a:
• El ciclo de vida del servicio.
• Los objetivos y elementos en el diseño de los servicios.
• Selección del modelo de diseño de servicios.
• Servicios, personas, procesos, conocimiento y herramientas.
• Modelo de costes.
• Análisis de riesgos y beneficios.
• Implementación del diseño de los servicios.
1.6.1.3.3 Service Transition (Transición de Servicios)
Siguiendo con el modelo de ciclo de vida, este libro aborda el estado en el que el
ya diseñado servicio de TI se debe poner en producción. Este libro se centra en el
rol de gestión de cambios y en las prácticas de lanzamiento, de la forma más
amplia posible y con visión de largo plazo, de tal forma que se consideren los
riesgos, beneficios, mecanismos de entrega y facilidad en la subsiguiente
operación continua de los servicios.
Los conceptos de este libro versan en torno a:
• Gestión del cambio cultural y organizacional.
• Gestión del conocimiento.
• Sistemas base de conocimiento para la gestión de servicios.
• Análisis y gestión de riesgos.
• Principios de la transición de servicios.
31
1.6.1.3.4 Service Operations (Operación del Servicio)
El ciclo de vida de un servicio se termina con su operación, la cual debe ser de tal
forma que “lleve al sumamente deseado estado estable de los servicios de
gestión en el día a día”. Este libro echa mano de los conceptos existentes en los
conocidos libros de Service Support y Service Delivery de la actual versión de
ITIL, con el fin de asegurar su integración con el resto de libros e incorporar el
conocimiento anterior.
Los conceptos de este libro versan en torno a:
• Estados del ciclo de vida de la operación de servicios.
• Principios de la operación de servicios.
• Gestión de aplicaciones.
• Gestión de la infraestructura.
• Gestión de la operación.
• Control de procesos y funciones.
• Prácticas escalables.
1.6.1.3.5 Continual Service Improvement (Mejora Continua del Servicio)
Este es otro elemento, que al igual que el libro de Estrategia de Servicio, inspira
todo el conjunto de ITIL v3, ya que la mejora continua es un componente
intrínseco en la orientación a proceso dentro de una gestión de la calidad. No
obstante, no todos los procesos de la actual versión de ITIL hablan por igual y con
la misma claridad sobre su revisión y mejora: algunos lo incluyen en sus
actividades, y otros no. Es por tanto un acierto que ITIL v3 lo indique de forma
explícita, para remarcar así su importancia, y ofrecer pautas claras y definidas
sobre cómo actuar en este importante aspecto.
Además, este libro presenta otra novedad destacable, cual es la de incluir en la
mejora continua el momento último de la retirada de un servicio.
Los conceptos de este libro versan en torno a:
• Elementos de negocio y de tecnología que llevan a la mejora.
32
• Beneficios para el negocio, financieros y de organización.
• Principios de la mejora continúa de servicios.
• Implantación de la mejora de servicios.
1.6.1.4 Mejoras esperadas
Empezando por el continente, por fortuna con ITIL v3 tiene una misma y única
estructura para cada capítulo. Todos los capítulos tendrán el mismo índice,
cuestión que es de agradecer, pues con ITIL v2 la claridad expositiva de cada
proceso queda al albur de cada autor, convirtiendo su lectura en una suerte de
mosaico desconcertante.
Cada libro describe una estructura genérica de cada capítulo, que es:
• Introducción, visión general y contexto.
• La gestión de servicios como una práctica.
• El ciclo de vida de un servicio.
• Rol de los procesos en un ciclo de vida.
• Rol de las funciones en un ciclo de vida.
• Fundamentos de la práctica.
• Principios de la práctica.
• Procesos.
Diseño de la organización y de las estructuras, roles y responsabilidades.
• Retos, factores críticos de éxito y riesgos.
• Guías suplementarias.
• Referencias.
1.6.1.5 Beneficios de la versión 3
• Preservar los conceptos principales de los actuales Service Support y
Service Delivery, lo que se aplicará en el libro de Service Operation.
• Mostrar qué tipo de estructuras de organización son más adecuadas para
la gestión de servicios de TI.
• ¿Cómo solventar las cuestiones relativas al cambio cultural?.
• Indicar referencias con otras mejores prácticas en uso.
33
• Incluir actuales casos de negocio, casos de estudio, plantillas y paquetes
para el trabajo de implementación.
• ¿Cómo desarrollar ITIL en entornos con múltiples modelos de
subcontratación de proveedores y servicios (entornos multi-sourced)?.
• Alineamiento con otros marcos de referencia, tales como CobIT, CMM, Six
Sigma, eTom, etc.
• ¿Cómo implementar ITIL en distintos tamaños de organización: desde
pequeña y mediana empresa a grandes corporaciones?.
• ¿Cómo determinar el retorno de la inversión?.
• Mejorar las definiciones y los términos estándares.
• ¿Cómo alinearse con el gobierno de las TI (IT Governance)?.
• ¿Cómo satisfacer las necesidades de la dirección ejecutiva?.
• Guías para la evaluación de herramientas.
• Mejora de las métricas y ejemplos de su utilización.
• Mostrar las ganancias rápidas (quick wins) en cada proceso.
• Que ITIL siga siendo una mejor práctica y no se convierta en una norma.
1.6.1.6 Críticas a ITIL
Hay mucha confusión sobre ITIL, procedente de todo tipo de malentendidos sobre
su naturaleza. ITIL como afirma la OGC es un conjunto de buenas prácticas. La
OGC no afirma que dichas mejoras prácticas describan procesos puros, ni
tampoco que ITIL sea un marco diseñado como un modelo coherente. Eso es lo
que la mayoría de sus usuarios hacen de ella, probablemente porque tienen una
gran necesidad de dicho modelo.
ITIL ha recibido críticas de varios frentes. Entre ellas:
• Convertirse en esclavo de definiciones desactualizadas
• Dejar que ITIL se convierta en religión.
• ITIL no describe el abanico completo de procesos necesarios para ser
líderes.
34
• El hecho de que muchos defensores de ITIL parecen creer que es un
marco holístico y completo para el gobierno de TI.
1.6.2 ORGANIZACION INTERNACIONAL PARA LA ESTANDARIZACIÓN
(ISO)
La Organización Internacional para la Estandarización o International Organization
for Standardization es el organismo encargado de promover el desarrollo de las
normas internacionales de fabricación, comercio y comunicación para todas las
ramas industriales a excepción de la eléctrica y la electrónica, las
telecomunicaciones, la meteorología legal, los temas alimenticios.
Su función principal es la de buscar la estandarización de normas de productos y
seguridad para las empresas u organizaciones a nivel internacional. La ISO
(Internartional Organization for Standardization) es una red de los institutos de
normas nacionales de 157 países, sobre la base de un miembro por cada país,
con una Secretaría Central en Ginebra, Suiza, que coordina el sistema. La
Organización Internacional de Normalización (ISO), está compuesta por
delegaciones gubernamentales y no gubernamentales subdivididos en una serie
de subcomités. Las normas desarrolladas por ISO son voluntarias,
comprendiendo que ISO es un organismo no gubernamental y no depende de
ningún otro organismo internacional, por lo tanto, no tiene autoridad para imponer
sus normas a ningún país.
Dichas normas se conocen como normas ISO y su finalidad es la coordinación de
las normas nacionales, en consonancia con el Acta Final de la Organización
Mundial del Comercio, con el propósito de facilitar el comercio, facilitar el
intercambio de información y contribuir con unos estándares comunes para el
desarrollo y transferencia de tecnologías.
Figura 1.3 - Mapa mundial de Estados con comités miembros de la
Miembros natos miembros correspondientes
otros Estados clasificados ISO 3166
1.6.2.1 Estructura de la organización
La Organización ISO está compuesta por tres tipos de miembros:
• Miembros natos, uno por país, recayendo la representación en el
organismo nacional más representativo.
• Miembros correspondientes
desarrollo y que todavía no poseen un comité na
No toman parte activa en el proceso de normalizació
puntualmente informados acerca de los trabajos que
• Miembros suscritos, países con reducidas economías a los que se les
exige el pago de tasas menores
1.6.2.2 Nombre de la organización
ISO no es un acrónimo; proviene del
común el pensar que ISO significa
similar; en inglés su nombre es
mientras que en francés
Normalisation; el uso del acrónimo conduciría a nombres distinto
Mapa mundial de Estados con comités miembros de la ISO
miembros correspondientes miembros suscritos
otros Estados clasificados ISO 3166-1, no miembros de la ISO
Estructura de la organización
compuesta por tres tipos de miembros:
, uno por país, recayendo la representación en el
organismo nacional más representativo.
Miembros correspondientes, de los organismos de países en vías de
desarrollo y que todavía no poseen un comité nacional de normalización.
No toman parte activa en el proceso de normalización pero están
puntualmente informados acerca de los trabajos que les interesen.
, países con reducidas economías a los que se les
exige el pago de tasas menores que a los correspondientes.
Nombre de la organización
; proviene del griego iso, que significa igual. Es un error
común el pensar que ISO significa International Standards Organization
su nombre es International Organization for Standardi
francés se denomina Organisation Internationale de
; el uso del acrónimo conduciría a nombres distintos: IOS en inglés y
35
Mapa mundial de Estados con comités miembros de la ISO
miembros suscritos
, uno por país, recayendo la representación en el
, de los organismos de países en vías de
cional de normalización.
n pero están
les interesen.
, países con reducidas economías a los que se les
gnifica igual. Es un error
International Standards Organization, o algo
International Organization for Standardization,
Organisation Internationale de
s: IOS en inglés y
36
OIN en francés, por lo que los fundadores de la organización eligieron ISO como
la forma corta y universal de su nombre.
1.6.2.3 La familia de normas ISO 9000:
La familia de normas ISO 9000 son normas de "calidad" establecidas por la
Organización Internacional para la Estandarización (ISO) que se pueden aplicar
en cualquier tipo de organización. Se componen de estándares y guías
relacionados con sistemas de gestión y de herramientas específicas como los
métodos de auditoría (el proceso de verificar que los sistemas de gestión cumplen
con el estándar).
Su implantación en estas organizaciones, aunque supone un duro trabajo, ofrece
una gran cantidad de ventajas para sus empresas. Los principales beneficios son:
• Reducción de rechazos e incidencias en la producción o prestación del
servicio
• Aumento de la productividad
• Mayor compromiso con los requisitos del cliente
La familia de normas apareció por primera vez en 1987 teniendo como base una
norma estándar británica (BS), y se extendió principalmente a partir de su versión
de 1994, estando actualmente en su versión 9000-2005.
La principal norma de la familia es: ISO 9001:2008 - Sistemas de Gestión de la
Calidad - Requisitos.
Y otra norma es vinculante a la anterior: ISO 9004:2000 - Sistemas de Gestión de
la Calidad.
Y otra norma es vinculante a la anterior: ISO 9000:2005 – Fundamentos y
vocabulario.
Con la revisión de 2000 se ha conseguido una norma bastante menos burocrática
para organizaciones de todo tipo, y además se puede aplicar sin problemas en
empresas de servicios e incluso en la Administración Pública.
37
Para verificar que se cumple con los requisitos de la norma, existen unas
entidades de certificación que dan sus propios certificados y permiten el sello.
Estas entidades están vigiladas por organismos nacionales que les dan su
acreditación.
1.6.2.3.1 Marco Conceptual
El marco conceptual de cumplimiento debe verificarse para que la organización
implemente su Sistema de gestión de la calidad.
Una organización que cumple con la ISO 9001:2008 sólo cumple con los
requisitos básicos en cuanto a normas de "calidad". Si quiere ir más allá y lograr
la excelencia, debería cumplir requisitos adicionales.
En la versión 2000, se dice que el sistema de calidad debe demostrar que la
organización es capaz de:
• Suministrar un producto o servicio que de manera consistente, cumpla con
los requisitos de los clientes y las reglamentaciones correspondientes.
• Lograr una satisfacción del cliente mediante la aplicación efectiva del
sistema, incluyendo la prevención de no-conformidades y el proceso de
mejora continua.
• El modelo del sistema de calidad consiste en 5 requisitos generales que se
dejan agrupar en cuatro subsistemas interactivos de gestión de calidad y
que se deben normar en la organización:
� Sistema de Gestión de Calidad, Marco General
� Responsabilidad de la Dirección;
� Gestión de los Recursos;
� Realización del Producto o Servicio;
� Medición, Análisis y Mejora
38
En la versión vigente se incluyeron nuevas mejoras:
• Facilitar la comunicación entre la organización y los clientes.
• Incluir nuevos elementos como la información, comunicación,
infraestructuras y protección del ambiente de trabajo.
• Adaptación de terminología, por ejemplo, usar el término organización por
proveedor.
La ISO 9000:2005 contiene las definiciones de los términos que se utilizan en los
sistemas de gestión de calidad. Es decir que si alguien necesita conocer qué se
entiende por "sistema de gestión de la calidad", "no conformidad", "producto", por
ejemplo, debe referirse a esta norma.
1.6.2.3.2 Norma ISO 9001:2008 - Sistemas de Gestión de la Calidad, Requisitos
Existen aproximadamente 900.000 empresas en el mundo que cuentan con la
certificación ISO 9001. La ISO 9001 es una norma internacional que se aplica a
los sistemas de gestión de calidad (SGC) y que se centra en todos los elementos
de administración de calidad con los que una empresa debe contar para tener un
sistema efectivo que le permita administrar y mejorar la calidad de sus productos
o servicios. Los clientes se inclinan por los proveedores que cuentan con esta
certificación porque de este modo se aseguran de que la empresa seleccionada
disponga de un buen sistema de gestión de calidad (SGC)
1.6.2.3.3 ISO 9004 - Sistemas de gestión de calidad - Instrucciones para mejorar el
rendimiento
La ISO 9004:2009 establece estos directrices para la mejora. Esta norma es
entonces una guía para la mejora destinada a aquellas organizaciones que
quieren ir más allá de los requisitos básicos de calidad de la ISO 9001:2008. La
ISO 9004:2000 no es una norma certificable, y su cumplimiento no puede ser
exigido por una entidad certificadora. Tiene una principal diferencia en la gestión
del sistema de calidad de la versión 2000, en la nueva versión se propone
complementarla con una visión integral y dinámica de mejora continua, orientada
a que el cliente se pueda sentir satisfecho.
39
1.6.2.4 ISO 20000 – Administración de Servicios
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las
organizaciones ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission) el 14 de Diciembre de 2005, es el
estándar reconocido internacionalmente en gestión de servicios de TI. La serie
20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad
de normalización y certificación británica BSI - British Standard Institute.
El estándar se compone de dos partes:
ISO/IEC 20000-1:2005 - Especificación. (Preparada por BSI como BS 15000-1) y
ISO/IEC 20000-2:2005 - Código de Prácticas. (Preparada por BSI como BS
15000-2).
1.6.2.4.1 ISO 20000-1 Especificación
Especificaciones en las cuales se describe la adopción de un proceso de mejora
integrado para el desempeño y gestión de los servicios acorde a los requisitos del
negocio y del cliente. Así como la definición de los requerimientos necesarios para
realizar una entrega de servicios de TI alineados con las necesidades del negocio,
con calidad y valor añadido para los clientes, asegurando una optimización de los
costos y garantizando la seguridad de la entrega en todo momento. El
cumplimiento de esta parte, garantiza además, que se está realizando un ciclo de
mejora continua en la gestión de servicios de TI. La especificación supone un
completo sistema de gestión (organizado según ISO 9001) basado en procesos
de gestión de servicio, políticas, objetivos y controles. Este documento
comprende 10 secciones
1. Alcance.
2. Términos y definiciones.
3. Requisitos de un sistema de gestión.
4. Planificación e implantación de la gestión de servicio.
5. Planificación e implantación de servicios nuevos o modificados.
40
6. Proceso de entrega de servicios.
7. Procesos de relación.
8. Procesos de resolución.
9. Procesos de control.
10. Procesos de liberación.
1.6.2.4.2 ISO 20000-2 Mejores Prácticas
Representa el conjunto de mejores prácticas adoptadas y aceptadas por la
industria en materia de Gestión de Servicio de TI para la gestión de los servicios y
dentro del ámbito indicado por la norma ISO 20000-1. Está basada en ITIL y sirve
como guía y soporte en el establecimiento de acciones de mejora en el servicio o
preparación de auditorías contra el estándar ISO/IEC 20000-1:2005 como se
muestra en la Figura 1.4.
Figura 1.4 - Estructura ISO 20000
ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma
predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores
prácticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de
obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una
adecuada referencia para aquellas organizaciones que desean la implantación de
éste norma mediante la introducción de un paso intermedio.
41
1.6.2.4.3 Ventajas de la norma ISO 20000
La reputación de la ISO y el reconocimiento internacional del IT Service
Management System (Sistema de gestión de servicios de tecnología de la
información) que conlleva la norma ISO 20000 es un verdadero refuerzo para la
reputación de cualquier empresa. Reduce el riesgo, ofreciendo apoyo fiable de
profesionales de la tecnología de la información (internos o subcontratados),
cuando y donde más se necesita. Esto ayuda a poner cualquier situación de
tecnología de la información bajo control inmediato y disminuye sus daños
potenciales, mejorando la productividad de los colaboradores y la fiabilidad del
sistema de tecnología de la información. Y lo que es más, la certificación aporta
valores agregados, motivación a la organización y demuestra la fiabilidad y
calidad de los servicios de tecnología de la información para colaboradores,
partes interesadas y clientes.
La certificación de su Sistema de gestión de servicios de tecnología de
información le ayudará a la organización a desarrollar y mejorar su rendimiento.
Su certificado IT Service Management System según la norma ISO 20000 le va a
permitir demostrar altos niveles de calidad y fiabilidad de los servicios de
tecnología de información, cuando presente ofertas para contratos internacionales
o cuando realice ampliaciones locales para aumentar su volumen de negocio.
La evaluación periódica realizada al sistema le ayudará a utilizar, supervisar y
mejorar continuamente su sistema de gestión de los servicios de tecnología de la
información y sus procesos. Esto mejorará la fiabilidad de sus operaciones
internas para satisfacer las necesidades de los clientes y también para aumentar
su rendimiento global. Lo más probable es que también consiga una mejora
importante en motivación, compromiso y comprensión de su responsabilidad por
parte del personal.
La norma ISO 20000 se puede vincular también con la norma ISO 27000 (norma
internacional para seguridad de la información). Integrando las auditorías de estos
sistemas de gestión podrá ahorrar tiempo y dinero.
42
1.6.2.5 ISO 27000 - Sistemas de Gestión de la Seguridad de la Información –
Fundamentos
La seguridad de la información tiene asignada la serie 27000 dentro de los
estándares ISO/IEC:
ISO 27000: Contiene términos y definiciones que se emplean en toda la serie
27000.
La Organización Internacional de Estandarización (ISO), a través de las normas
recogidas en ISO/IEC 27000, establece una implementación efectiva de la
seguridad de la información empresarial.
En resumen, estas normas reflejan objetivos de seguridad, sugeridos como
buenas prácticas sobre los cuales se puede medir el estado actual de las normas
de seguridad de la información en la organización, por tanto se ha definido en el
siguiente esquema los requerimientos de la norma. Usando el ciclo: Planificar
(Plan) – Hacer (Do) – Verificar (Chek) y Actuar (Act).
43
Esquema para implementación de un proyecto de certificación SGSI (Sistema de
Gestión de Seguridad de la Información) Ciclo PHVA Planificar-Hacer-Verificar-
Actuar:
Figura 1.5 - Ciclo PHVA
a. Fase de Requerimientos para inicio del proyecto:
Figura 1.6 - Arranque de Proyecto
Recomendaciones de buenas prácticas:
1. Contar con el compromiso de la Alta Gerencia: una de las bases
fundamentales sobre las que inicia un proyecto de este tipo es el apoyo
44
claro y decidido de la Dirección de la organización. No sólo por ser un
punto contemplado de forma especial por la norma sino porque el cambio
de cultura y concienciación que lleva consigo el proceso haciendo
necesario el impulso constante de la Dirección.
2. Planificación, fechas, definición de responsables: como en todo proyecto
de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican
sus efectos positivos sobre el resto de fases.
b. Fase de Planificación:
Figura 1.7 - PDCA – Planificación
Recomendaciones de buenas prácticas:
1. Definir alcance del SGSI (Sistema de Gestión de Seguridad de la
Información): en función de características del negocio, organización,
localización, activos y tecnología. Definir el alcance y los límites del SGSI.
El SGSI no tiene por qué abarcar toda la organización, de hecho, es
recomendable empezar por un alcance limitado.
45
2. Definir política de seguridad: que incluya el marco general y los objetivos
de seguridad de la información de la organización, tener en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad, y que
esté alineada con la gestión de riesgo general, establezca criterios de
evaluación de riesgo y que sean aprobados por la Dirección. La política de
seguridad es un documento muy general, una especie de "declaración de
intenciones" de la Dirección, por lo que no pasará de dos o tres páginas.
(Fuente: www.iso27000.es)
3. Definir el enfoque de evaluación de riesgos: definir una metodología de
evaluación de riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de riesgos y determinar el
nivel de riesgo aceptable. Existen muchas metodologías de evaluación de
riesgos aceptadas internacionalmente; la organización puede optar por una
de ellas, hacer una combinación de varias o crear la suya propia. ISO
27001 no impone ninguna ni da indicaciones adicionales sobre cómo
definirla (ISO 27005 proporciona ayuda en este sentido dado que es una
guía para la gestión del riesgo de la seguridad de la información). El riesgo
nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es
necesario definir una estrategia de aceptación de riesgo.
4. Inventario de activos: todos aquellos activos de información que tienen
algún valor para la organización y que quedan dentro del alcance del SGSI.
5. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos
del inventario.
6. Identificar los impactos: los que podría suponer una pérdida de la
confidencialidad, la integridad o la disponibilidad de cada uno de los
activos.
7. Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo
de seguridad es decir, que una amenaza explote una vulnerabilidad y la
46
probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y
determinar si el riesgo es aceptable en función de los niveles definidos
previamente o requiere tratamiento.
8. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede
ser reducido mitigado mediante controles, eliminado: ejemplo: levantando
planes de mitigación, o eliminando el activo; aceptado (de forma
consciente) o transferido por ejemplo, con un contrato de seguro o un
contrato de outsourcing.
9. Selección de controles: seleccionar controles para el tratamiento de riesgo
en función de la evaluación anterior. Utilizar para ello los controles de ISO
27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas)
y otros controles adicionales si se consideran necesarios.
10. Aprobación por parte de la Dirección del riesgo residual y autorización de
implantar el SGSI: hay que tener presente que los riesgos de seguridad de
la información son riesgos de negocio y sólo la Alta Gerencia-Dirección
puede tomar decisiones sobre su aceptación o tratamiento. El riesgo
residual es el que queda, aún después de haber aplicado controles (el
"riesgo cero" no existe prácticamente en ningún caso).
11. Desarrollar una declaración de Aplicabilidad: la llamada SOA (Statement of
Applicability) es una lista de todos los controles seleccionados y la razón de
su selección, los controles actualmente implementados y la justificación de
cualquier control de la norma ISO 27001 excluido. Es en definitiva, un
resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
47
c. Fase de Implementación:
Figura 1.8 - PDCA – Implementación
Recomendaciones de buenas prácticas:
1. Definir plan de gestión de riesgos: que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad
de la información.
2. Implantar plan de gestión de riesgos: con la meta de alcanzar los objetivos
de control identificados.
3. Implementar los controles: todos los que se seleccionaron en la fase
anterior.
4. Formación y concienciación: de todo el personal en lo relativo a la
seguridad de la información.
5. Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
6. Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
48
7. Implantar procedimientos y controles de detección y respuesta a incidentes
de seguridad.
d. Fase de Seguimiento:
Figura 1.9 - PDCA – Seguimiento
Recomendaciones de buenas prácticas:
1. Ejecutar procedimientos y controles de monitorización y revisión: para
detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, determinar si las actividades de seguridad de la
información están desarrollándose como estaba planificado, detectar y
prevenir incidentes de seguridad mediante el uso de indicadores y
comprobar si las acciones tomadas para resolver incidentes de seguridad
han sido eficaces.
2. Revisar regularmente la eficacia del SGSI: en función de los resultados de
auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y
retroalimentaciones de todos los interesados.
3. Medir la eficacia de los controles: para verificar que cumple con los
requisitos de seguridad.
4. Revisar regularmente la evaluación de riesgos: los cambios en la
organización, tecnología, procesos y objetivos de negocio, amenazas,
49
eficacia de los controles o el entorno tienen una influencia sobre los riesgos
evaluados, el riesgo residual y el nivel de riesgo aceptado.
5. Realizar regularmente auditorías internas: para determinar si los controles,
procesos y procedimientos del SGSI mantienen la conformidad con los
requisitos de ISO 27001, el entorno legal, los requisitos y objetivos de
seguridad de la organización, están implementados y mantenidos con
eficacia y tienen el rendimiento esperado.
6. Revisar regularmente el SGSI por parte de la Dirección: para determinar si
el alcance definido sigue siendo el adecuado, identificar mejoras al
proceso del SGSI, a la política de seguridad o a los objetivos de seguridad
de la información.
7. Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorización y las revisiones.
8. Registrar acciones y eventos que puedan tener impacto en la eficacia o el
rendimiento del SGSI: sirven como evidencia documental de conformidad
con los requisitos y uso eficaz del SGSI.
d. Fase de Mejora continua:
Figura 1.10 - PDCA - Mejora Continua
50
Recomendaciones de buenas prácticas:
1. Implantar mejoras: poner en marcha todas las mejoras que se hayan
propuesto en la fase anterior.
2. Acciones correctivas: para solucionar no conformidades detectadas.
3. Acciones preventivas: para prevenir potenciales no conformidades.
4. Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
5. Asegurarse que las mejoras alcanzan los objetivos pretendidos: la eficacia
de cualquier acción, medida o cambio debe comprobarse siempre.
• Resumen de Aspectos Fundamentales
A continuación se resumen los aspectos más relevantes que recomiendan las
mejores prácticas para implementar un SGSI
• Contar con el compromiso y apoyo de la Dirección de la organización,
• Definición clara de un alcance apropiado,
• Concienciación y formación del personal,
• Evaluación de riesgos exhaustiva y adecuada a la organización,
• Compromiso de mejora continua,
• Establecimiento de políticas y normas,
• Organización y comunicación,
• Integración del SGSI en la organización,
• Factores de éxito:
A continuación se resumen los factores más relevantes a tomar en cuenta al
momento de implementar un SGSI
51
• La concienciación del colaborador (usuario interno) por la seguridad. Principal
objetivo a conseguir.
• Realización de comités de dirección con descubrimiento continuo de no
conformidades o acciones de mejora.
• Creación de un sistema de gestión de incidencias que recoja notificaciones
continúas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a un niveles
asumible.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes
descontrolados, desmotivación, alejamiento de los objetivos iníciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de
negocio.
52
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y
medidas de tipo organizativo.
• Falta de comunicación de los progresos al personal de la organización.
Consejos básicos
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un
centro de trabajo, un proceso de negocio clave, un único centro de proceso de
datos o un área sensible concreta; una vez conseguido el éxito y observados los
beneficios, ampliar gradualmente el alcance en sucesivas fases.
• Comprender en detalle el proceso de implantación: iniciarlo en base a
cuestiones exclusivamente técnicas es un error frecuente que rápidamente
sobrecarga de problemas la implantación; adquirir experiencia de otras
implantaciones, asistir a cursos de formación o contar con asesoramiento de
consultores externos especializados.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
• La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al
inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas
para desarrollar las buenas prácticas, además de ser uno de los puntos
fundamentales de la norma.
53
• La certificación como objetivo: aunque se puede alcanzar la conformidad con la
norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un
objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito.
• No reinventar la rueda: aunque el objetivo sea tomar como referencia la ISO
27001, es bueno obtener información relativa a la gestión de la seguridad de la
información de otros métodos y marcos reconocidos.
• Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles
como estructura de trabajo, ahorrando tiempo, esfuerzo y creando sinergias; es
conveniente pedir ayuda e implicar a auditores internos y responsables de otros
sistemas de gestión.
• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en
el proyecto debe ser capaz de trabajar con continuidad en el proyecto.
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes
del intento de certificación para demostrar que el SGSI funciona adecuadamente.
(Fuente: www.iso27000.es)
1.6.2.6 ISO 27001 - Sistemas de Gestión de la Seguridad de la Información
Es el estándar para la seguridad de la información ISO/IEC 27001 (Information
technology - Security techniques - Information security management systems -
Requirements) fue aprobado y publicado como estándar internacional en Octubre
de 2005 por la International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el
conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en
54
ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la
norma británica British Standard BS 7799-2:2002.
1.6.2.6.1 Conceptos básicos
Para la correcta administración de la Seguridad de la Información, se deben
establecer y mantener programas que busquen cumplir con los tres
requerimientos de mayor importancia: La confidencialidad, integridad y la
disponibilidad de los recursos de las organizaciones, siendo los tres
requerimientos básicos definidos como:
• Confidencialidad
Para la Seguridad de Información, la confidencialidad busca prevenir el acceso no
autorizado ya sea en forma intencional o no intencional de la información. La
pérdida de la confidencialidad puede ocurrir de muchas maneras, como por
ejemplo con la publicación intencional de información confidencial de la
organización.
• Integridad
Para la Seguridad de la Información, el concepto de Integridad busca asegurar:
Que no se realicen modificaciones por personas no autorizadas a los datos,
información o procesos, que no se realicen modificaciones no autorizadas por
personal autorizado a los datos, información o procesos, que los datos o
información sea consistente tanto interna como externamente.
• Disponibilidad
Para la Seguridad de Información, la disponibilidad busca el acceso confiable y
oportuno a los datos, información o recursos para el personal apropiado.
1.6.2.6.2 Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele
tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en
seguridad de la información y el alcance, entendiendo por alcance el ámbito de la
55
organización que va a estar sometido al Sistema de Gestión de Seguridad de la
Información (en adelante SGSI) elegido. En general, es recomendable la ayuda
de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de información y sus procesos de trabajo a las exigencias de las
normativas legales de protección de datos (p.ej., en España la conocida LOPD y
sus normas de desarrollo) o que hayan realizado un acercamiento progresivo a la
seguridad de la información mediante la aplicación de las buenas prácticas de
ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar
ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de
todas las áreas de la organización que se vean afectadas por el SGSI, liderado
por la dirección y asesorado por consultores externos especializados en
seguridad informática, derecho de las nuevas tecnologías, protección de datos y
sistemas de gestión.
1.6.2.6.3 Certificación
La certificación de un SGSI es un proceso mediante el cual una entidad de
certificación externa, independiente y acreditada audita el sistema, determinando
su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y,
en caso positivo, emite el correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones interesadas
eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005,
las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su
primera certificación con éxito o mediante su re certificación trienal, puesto que la
certificación BS 7799-2 ha quedado reemplazada.
La norma muestra las correspondencias del Sistema de Gestión de la Seguridad
de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO
56
9001:2008 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004
(ver ISO 14000), hasta el punto de poder llegar a certificar una organización en
varias normas y en base a un sistema de gestión común.
1.6.2.6.4 Seguridad de la información
La información hoy en día, es uno de los más importantes activos no solo para la
organización, sino para cada individuo. Por este motivo la misma requiere ser
asegurada y protegida en forma apropiada. La Seguridad de la Información es el
conjunto de metodologías, prácticas y procedimientos que buscan proteger la
información como activo valioso, con el fin de minimizar las amenazas y riesgos
continuos a los que está expuesta, a efectos de asegurar la continuidad del
negocio, minimizar los daños a la organización y maximizar el retorno de
inversiones y las oportunidades del negocio. Y en el caso de cada individuo de
proteger la identidad y la privacidad.
Con frecuencia el concepto de Seguridad de la Información es usado para hacer
referencia o de forma alterna a la Seguridad informática, Seguridad de
Computación o Aseguramiento de la Información ya que estas áreas se
correlacionan entre si y comparten las metas comunes de proteger la
confidencialidad, integridad, disponibilidad y fiabilidad de la información; sin
embargo, hay algunas diferencias sutiles entre estas áreas. Estas diferencias se
acentúan principalmente en las metodologías usadas y las áreas de
concentración. Siendo una de las principales características diferenciales de la
Seguridad de la Información que ésta busca proteger la información sin importar
la forma en que la misma pueda tomar: electrónico, impresión, u otras formas.
• Para las organizaciones: El propósito de la Seguridad de la Información es
proteger los recursos de la organización como son la información, las
comunicaciones, el hardware y el software que le pertenecen. Para lograrlo
se seleccionan y establecen los controles apropiados. La Seguridad de la
información ayuda a la misión de la organización protegiendo sus recursos
57
físicos y financieros, reputación, posición legal, colaboradores y otros
activos tangibles e intangibles.
• Para los individuos: El propósito de la Seguridad de la Información es
proteger la privacidad e identidad de los mismos evitando que su
información caiga en manos no adecuadas y sea usada de forma no
apropiada.
1.6.3 COBIT
Cobit viene del inglés Control Objectives for Information and related Technology,
que significa Objetivos de Control para la información y Tecnologías relacionadas.
Se trata de un conjunto de buenas prácticas para el manejo de información que
ha sido creado por la Asociación para la Auditoría y Control de Sistemas de
Información, (ISACA, en inglés: Information Systems Audit and Control
Association), y el Instituto de Administración de las Tecnologías de la Información
(ITGI, en inglés: IT Governance Institute) en 1992.
Cobit ha tenido varias ediciones, siendo publicada la primera en 1996; la segunda
edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible
en 2003); y la cuarta edición en Diciembre de 2005, y la versión 4.1 está
disponible desde Mayo de 2007.
La cuarta edición de Cobit está clasificada en cuatro dominios:
• Planificación y Organización
• Adquisición e Implementación
• Entrega y Soporte
• Supervisión y Evaluación.
Representa los esfuerzos de literalmente cientos de expertos de voluntario de en
el mundo entero. Lo ofrecen como un descargado libre (gratis) de
www.isaca.org/cobit, y, como una ventaja especial para miembros ISACA.
58
Es un marco de gobernación TI que permite a gerentes acortar el hueco entre
exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite el
desarrollo claro de política y la práctica buena para el control de TI en todas
partes de organizaciones.
El nuevo volumen, contiene más de 200 páginas, incluye una descripción
ejecutiva, el marco, el contenido principal (el control de nivel objetivos de control,
detallados, directrices de dirección y el modelo de madurez) para cada uno de los
34 procesos, y varios apéndices.
1.6.3.1 Propósito
Independientemente de la realidad tecnológica de cada caso concreto, COBIT
determina, con el respaldo de las principales normas técnicas internacionales, un
conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la
eficiencia en TI que son necesarias para alinear TI con el negocio, identificar
riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el
cumplimiento de metas y el nivel de madurez de los procesos de la organización.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas
generalmente aceptadas, indicadores, procesos y las mejores prácticas para
ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología
de información y desarrollo de la gobernación apropiada TI y el control en una
empresa.
Proporciona ventajas a gerentes, y usuarios de TI. Los gerentes se benefician de
COBIT porque les provee de fundamento de TI sobre el cual basará sus
decisiones e inversiones. La toma de decisiones es más eficaz porque COBIT
ayuda la dirección en la definición de un plan de TI estratégico, la definición de la
arquitectura de la información, la adquisición del hardware necesario TI y el
software para ejecutar una estrategia TI, la aseguración del servicio continuo, y la
supervisión del funcionamiento del sistema TI.
Los usuarios de IT se benefician de COBIT debido al aseguramiento
proporcionado a ellos.
59
La misión de COBIT es " para investigar, desarrollar, hacer público y promover un
conjunto, actualizado, internacional de objetivos de control de tecnología de
información generalmente aceptados para el empleo cotidiano por directores
comerciales e interventores. " Los gerentes, interventores, y usuarios se
benefician del desarrollo de COBIT porque esto les ayuda a entender sus
sistemas TI y decidir el nivel de seguridad (valor) y control que es necesario para
proteger los activos de sus empresas por el desarrollo de un modelo de
gobernación TI.
1.6.4 OTROS ESTÁNDARES DE TI
Adicionalmente se describen algunos estándares que aportan al desarrollo de
este trabajo:
• Microsoft Operations Framework (MOF)
• Modelo de Capacidad y Madurez (CMM)
• Business Service Management (BSM)
• SIX SIGMA, trata sobre las cualificaciones y disciplinas para implementar
COBIT e ITIL de forma medible estadísticamente.
• Calidad Total TQM
• Project Managmente Body of Knowledge (PMBOK)
1.6.4.1 Microsoft Operations Framework (MOF)
La Estructura de operaciones de Microsoft (MOF, Microsoft Operations
Framework) es una colección de recomendaciones, principios y modelos.
Proporciona una guía técnica completa para lograr confiabilidad, disponibilidad y
capacidad de soporte técnico y de administración del sistema de producción
crítico con productos y tecnologías de Microsoft. MOF está basado en la
Biblioteca de infraestructuras de TI (ITIL) y aporta concreción a la plataforma de
Microsoft.
1.6.4.1.1 Descripción general
60
MOF se basa en un conjunto de principios que subyacen a los dos modelos que
componen los elementos centrales de la estructura: el modelo de equipo y el
modelo de proceso para operaciones. Estos principios subyacentes proporcionan
directrices coherentes en relación con el diseño y desarrollo de todo el contenido
entregado en MOF. Los modelos dividen las guías de operaciones en tres
categorías fundamentales: personas, proceso y tecnología.
Mientras que las categorías de personas y proceso son modelos definidos
expresamente, el componente de tecnología no es independiente, sino que se
extiende completamente por MOF. El enfoque de tecnología para MOF estará en
habilitar tecnologías y recomendaciones para lograr alta disponibilidad,
confiabilidad y capacidad de soporte y de administración de sistemas en la
plataforma de Microsoft. Esto incluirá guías acerca de la interoperabilidad con
otras plataformas de tecnología.
1.6.4.1.2 Diseño y aplicación
MOF aborda la naturaleza dinámica en constante evolución de los entornos
informáticos distribuidos actuales. Esta estructura consta de seis principios que
son básicos en el diseño y fundamentales para su aplicación.
Figura 1.11 - Modelo del Proceso MOF
61
En el Gráfico 6 se observa que el modelo de proceso MOF se desplaza en sentido
de las agujas del reloj y se divide en los cuatro cuadrantes integrados siguientes:
1. Cambios
2. Operaciones
3. Soporte técnico
4. Optimización
Estos cuadrantes forman un ciclo de vida en espiral que se aplica a las
operaciones de TI, desde una aplicación específica hasta un entorno de
operaciones completo con varios centros de datos. El modelo de proceso está
respaldado por funciones de administración de servicios (SMF), y un modelo de
equipo y un modelo de riesgos integrados. Cada cuadrante se complementa con
una revisión de la administración de operaciones (también conocida como hito de
revisión), durante la cual se evalúa la eficacia de las SMF de ese cuadrante. Se
debe tener en cuenta que, aunque el modelo describe los cuadrantes de MOF de
forma secuencial, las actividades de todos los cuadrantes pueden ocurrir al mismo
tiempo.
En resumen, los cuadrantes abarcan las siguientes actividades:
• Cambios
Los cambios se planean y se prueban durante la fase de cambios. Después de
una revisión de la preparación de la versión, el cambio se presenta al entorno de
producción y entra en la fase de operaciones. La revisión de la preparación de la
versión no debe ser la primera vez que se evalúa la versión; debe ser una revisión
final antes de la implementación real. El uso de SMF ofrece un proceso y una
serie de tareas, y garantiza el éxito de la implementación y el lanzamiento de las
versiones administradas.
• Operaciones
El objetivo de una revisión de operaciones es facilitar los procesos, los
procedimientos y las herramientas que simplifiquen y proporcionen eficacia al
62
soporte técnico del sistema. Las SMF de este cuadrante se deben considerar
como las actividades típicas del centro de datos, como la administración, la
supervisión y el procesamiento por lotes del sistema. Estas actividades garantizan
el funcionamiento correcto y predecible de la versión.
• Soporte técnico
La fase de soporte técnico es el proceso de mantenimiento del sistema con estas
herramientas y procedimientos. Este cuadrante contiene las SMF principales
necesarias para proporcionar soporte técnico continuo a los usuarios de las
soluciones de servicio de TI. Al igual que ocurre con cualquier proceso, sistema,
aplicación o servicio, los problemas pueden empezar cuando se inician las
operaciones. Los colaboradores de soporte técnico y operaciones deben
identificar, asignar y resolver problemas con rapidez para satisfacer los requisitos
establecidos en los acuerdos de nivel de servicio (SLA). La revisión del SLA
permite medir la eficacia del rendimiento del sistema. Los problemas que surjan a
partir de la revisión del SLA pueden revelar áreas que requieran mejoras.
• Optimización
La misión de servicio de este cuadrante es reducir costos mientras se mantienen
o mejoran los niveles de servicio. Es posible que la mejora del sistema requiera
un cambio del hardware, el software o los procedimientos. En la revisión aprobada
de la versión se evalúan las propuestas de cambio, teniendo en cuenta factores
como los costos, los riesgos y los beneficios. Los cambios aprobados se
incorporan al cuadrante de cambios y el proceso comienza de nuevo. Este
proceso iterativo suele producirse cuando los distintos equipos introducen
cambios en el sistema gradualmente para obtener mejoras.
1.6.4.2 Modelo de Capacidad y Madurez (CMM)
Es el Modelo de Capacidad y Madurez (Capability Maturity Mode) es un modelo
de evaluación y evolución de los procesos de software. Fue elaborado en 1987
sobre la base de una escala de madurez con 5 niveles y constituye una
herramienta eficaz de evaluación de los procesos en materia de desarrollo de
63
programas. Este modelo reposa esencialmente sobre buenas prácticas
constatadas en diversas empresas y es lo que ha hecho su éxito a través del
mundo, como por ejemplo la conformidad del modelo CMM es notablemente
requerida para obtener contratos en USA.
Fue desarrollado inicialmente para los procesos relativos al software por la
Universidad Carnegie-Mellon para el SEI (Software Engineering Institute).
El SEI es un centro de investigación y desarrollo patrocinado por el Departamento
de Defensa de los Estados Unidos de América y gestionado por la Universidad
Carnegie-Mellon. CMM es una marca registrada del SEI.
A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los
Estados Unidos de América, desarrolló una primera definición de un modelo de
madurez de procesos en el desarrollo de software, que se publicó en septiembre
de 1987. Este trabajo evolucionó al modelo CMM o SW-CMM (CMM for Software).
Este modelo establece un conjunto de prácticas o procesos clave agrupados en
Áreas Clave de Proceso (KPA - Key Process Area). Para cada área de proceso
define un conjunto de buenas prácticas que habrán de ser:
• Definidas en un procedimiento documentado
• Provistas (la organización) de los medios y formación necesarios
• Ejecutadas de un modo sistemático, universal y uniforme
(institucionalizadas)
• Medidas
• Verificadas
A su vez estas Áreas de Proceso se agrupan en cinco "niveles de madurez", de
modo que una organización que tenga institucionalizadas todas las prácticas
incluidas en un nivel y sus inferiores, se considera que ha alcanzado ese nivel de
madurez.
Los niveles son:
64
1 - Inicial.
2 - Repetible.
3 - Definido.
4 - Gestionado.
5 - Optimizado.
Así es como el modelo CMM establece una medida del progreso, conforme al
avance en niveles de madurez. Cada nivel a su vez cuenta con un número de
áreas de proceso que deben lograrse. El alcanzar estas áreas o estados se
detecta mediante la satisfacción o insatisfacción de varias metas claras y
cuantificables. Con la excepción del primer nivel, cada uno de los restantes
Niveles de Madurez está compuesto por un cierto número de Áreas Claves de
Proceso, conocidas a través de la documentación del CMM por su sigla inglesa:
KPA.
Cada KPA identifica un conjunto de actividades y prácticas interrelacionadas, las
cuales cuando son realizadas en forma colectiva permiten alcanzar las metas
fundamentales del proceso. Las KPAs pueden clasificarse en 3 tipos de proceso:
Gestión, Organizacional e Ingeniería.
Las prácticas que deben ser realizadas por cada Área Clave de Proceso están
organizadas en 5 características comunes, las cuales constituyen propiedades
que indican si la implementación y la institucionalización de un proceso clave es
efectivo, repetible y duradero.
Estas 5 características son:
1. Compromiso de la realización,
2. La capacidad de realización,
3. Las actividades realizadas,
4. Las mediciones y el análisis,
5. La verificación de la implementación.
Las organizaciones que utilizan CMM para mejorar sus procesos disponen de una
guía útil para orientar sus esfuerzos. Además, el SEI proporciona formación a
65
evaluadores certificados (Lead Assesors) capacitados para evaluar y certificar el
nivel CMM en el que se encuentra una organización. Esta certificación es
requerida por el Departamento de Defensa de los Estados Unidos, pero también
es utilizada por multitud de organizaciones de todo el mundo para valorar a sus
subcontratistas de software.
Se considera típico que una organización dedique unos 18 meses para progresar
un nivel, aunque algunas consiguen mejorarlo. En cualquier caso requiere un
amplio esfuerzo y un compromiso intenso de la dirección.
Como consecuencia, muchas organizaciones que realizan funciones de desarrollo
de software o, en general, outsourcing de procesos de software, adoptan el
modelo CMM y se certifican en alguno de sus niveles. Esto explica que uno de los
países en el que más organizaciones certificadas existan sea India, donde han
florecido las factorías de software que trabajan para clientes estadounidenses y
europeos.
• SE-CMM - Modelo de Capacidad y Madurez en la Ingeniería de Sistemas
fue publicado por el SEI en noviembre de 1995. Está dedicado a las
actividades de ingeniería de sistemas. Define 18 áreas de proceso
divididas en tres grupos:
Ingeniería (7)
Proyectos (5)
Organizativas (6)
No utiliza niveles de madurez generales sino que en cada área de proceso
una organización puede alcanzar un determinado nivel de madurez.
Al igual que el SW-CMM, ha sido integrado en el CMMI.
• IPD-CMM.- Modelo de Capacidad y Madurez para el desarrollo Integrado
de Productos fue propuesto como un borrador por el SEI en 1997, pero
quedó integrado en el CMMI al publicarse este en el año 2000.
66
• P-CMM.- Modelo de Capacidad y Madurez para Recursos Humanos
• SA-CMM.- Modelo de Capacidad y Madurez para la Adquisición de
Software
• SSE-CMM.- System Security Engineering Capability Maturity Model o
Modelo de Capacidad y Madurez en la Ingeniería de Seguridad de
Sistemas es un modelo derivado del CMM y que describe las
características esenciales de los procesos que deben existir en una
organización para asegurar una buena seguridad de sistemas.
Ha sido desarrollado por la "International Systems Security Engineering
Association (ISSEA)", organización sin ánimo de lucro patrocinada por un buen
número de compañías dedicadas a la seguridad de sistemas.
Nació a partir de 1993 bajo los auspicios de la Agencia Nacional de Seguridad
(NSA) de los E.U.A., con la participación de numerosas compañías de los
sectores de tecnologías de la información, seguridad y defensa. La primera
versión data de 1997 y la actual (v3.0) fue publicada en junio de 2003.
Características:
• Herramienta para que las organizaciones evalúen las prácticas de
ingeniería de seguridad y definan mejoras a las mismas.
• Mecanismo estándar para que los clientes puedan evaluar la capacidad
de los proveedores de ingeniería de seguridad.
• Base para la organización de un mecanismo de evaluación y
certificación.
A diferencia del CMM original, las áreas de proceso no están agrupadas en
función de los niveles de madurez, sino que define 22 áreas para cada una de las
cuales se puede alcanzar un nivel en función del cumplimiento de unas
"características comunes".
67
Existen 11 áreas de procesos de ingeniería y otras 11 dedicadas a la gestión de
proyectos y organización.
Crítica al modelo CMM
Frecuentemente se critica al modelo CMM por no ser más específico en la
definición de los procesos. Para guiar a las organizaciones a definir y mejorar sus
procesos indica qué actividades han de realizar, pero nada sobre cómo hacerlo.
Esto es así tanto en lo referente a la ingeniería como a las herramientas o
técnicas de gestión, aunque hace una curiosa excepción en las revisiones por
pares (peer reviews).
Del mismo modo, aunque insiste continuamente en la necesidad de las métricas,
no da ninguna guía concreta del tipo de métricas que son aceptables para una
correcta práctica profesional.
También resulta muy complejo, más todavía el CMMI, lo que hace que durante
algún tiempo resulte para mucha gente algo esotérico.
1.6.4.3 Business Service Management (BSM)
Business Service Management hace un enfoque hacia el alineamiento de la
infraestructura hacia el negocio, dando mucho énfasis al tema de IT, buscando la
protección de los activos tecnológicos frente a fallos, es decir a asegurar su
disponibilidad y una adecuada calidad de servicio.
Desde este punto de vista, el retorno de la inversión (ROI) de un Sistema de
Gestión de Servicios es claro: Las tecnologías de la información (IT) son el
negocio.
Asegurar el buen funcionamiento de la infraestructura tecnológica mediante un
sistema de gestión bien definido e implantado constituye la base para asegurar el
buen funcionamiento del negocio.
68
Esta afirmación Negocio relacionado a Tecnologías está muy encuadrada dentro
de las nuevas normativas y estándares.
1.6.4.4 Six Sigma
Es una metodología de mejora de procesos, centrada en la eliminación de
defectos o fallas en la entrega de un producto o servicio al cliente. La meta de Six
Sigma es llegar a un máximo de 3,4 “defectos” por millón de eventos u
oportunidades, entendiéndose como “defecto”, cualquier evento en que un
producto o un servicio no logra cumplir los requerimientos del cliente.
Obtener 3,4 defectos en un millón de oportunidades es una meta bastante
ambiciosa, pero lograble, si se considera que normalmente en un proceso el
porcentaje de defectos es cercano al 10%, o sea 100.000 defectos en un millón
de instancias. 3,4 defectos en un millón de oportunidades es casi decir “cero
defectos”.
Dentro de los beneficios que se obtienen del Seis Sigma están: mejoramiento de
la rentabilidad y la productividad. Una diferencia importante con relación a otras
metodologías es la orientación al cliente.
1.6.4.4.1 El proceso Six Sigma
El proceso Seis Sigma se caracteriza por 5 etapas bien concretas:
1. Definir el problema o el defecto
2. Medir y recopilar datos
3. Analizar datos
4. Mejorar
5. Controlar
Las metodologías son en siglas: DMAIC, DMADV y PDCA-SDCA
DMAIC = (Definir, Medir, Analizar, Mejorar y Controlar)
DMADV = (Definir, Medir, Analizar, Diseñar y Verificar)
PDCA-SDCA = (Planificar, Ejecutar, Verificar y Actuar)-(Estandarizar, Ejecutar,
Verificar y Actuar)
69
D (DEFINIR)
En la fase de definición se identifican los posibles proyectos Seis Sigma,
que deben ser evaluados por la dirección para evitar la inadecuada
utilización de recursos. Una vez seleccionado el proyecto, se prepara y se
selecciona el equipo más adecuado para ejecutarlo, asignándole la
prioridad necesaria.
¿Qué procesos existen en su área? ¿De cuáles actividades (procesos) es
usted el responsable? ¿Quién o quiénes son los dueños de estos
procesos? ¿Qué personas interactúan en el proceso, directa e
indirectamente? ¿Quiénes podrían ser parte de un equipo para cambiar el
proceso? ¿Tiene actualmente información del proceso? ¿Qué tipo de
información tiene? ¿Qué procesos tienen mayor prioridad de mejorarse?
M (MEDIR)
La fase de medición consiste en la caracterización del proceso
identificando los requisitos clave de los clientes, las características clave
del producto (o variables del resultado) y los parámetros (variables de
entrada) que afectan al funcionamiento del proceso y a las características o
variables clave. A partir de esta caracterización se define el sistema de
medida y se mide la capacidad del proceso.
¿Sabe quiénes son sus clientes? ¿Conoce las necesidades de sus
clientes? ¿Sabe qué es crítico para su cliente, derivado de su proceso?
¿Cómo se desarrolla el proceso? ¿Cuáles son los pasos? ¿Qué tipo de
pasos compone el proceso? ¿Cuáles son los parámetros de medición del
proceso y cómo se relacionan con las necesidades del cliente? ¿Por qué
son esos los parámetros? ¿Cómo obtiene la información? ¿Qué tan exacto
o preciso es su sistema de medición?
A (ANALIZAR)
En la fase, análisis, el equipo evalúa los datos de resultados actuales e
históricos. Se desarrollan y comprueban hipótesis sobre posibles relaciones
causa-efecto utilizando las herramientas estadísticas pertinentes. De esta
forma el equipo confirma los determinantes del proceso, es decir las
70
variables clave de entrada o "pocos vitales" que afectan a las variables de
respuesta del proceso.
¿Cuáles son las especificaciones del cliente para sus parámetros de
medición? ¿Cómo se desempeña el proceso actual con respecto a esos
parámetros? Muestre los datos. ¿Cuáles son los objetivos de mejora del
proceso? ¿Cómo los definió? ¿Cuáles son las posibles fuentes de variación
del proceso? Muestre cuáles y qué son. ¿Cuáles de esas fuentes de
variación controla y cuáles no? De las fuentes de variación que controla
¿Cómo las controla y cuál es el método para documentarlas? ¿Monitorea
las fuentes de variación que no controla?
I (MEJORAR)
En la fase de mejora el equipo trata de determinar la relación causa-efecto
(relación matemática entre las variables de entrada y la variable de
respuesta que interese) para predecir, mejorar y optimizar el
funcionamiento del proceso. Por último se determina el rango operacional
de los parámetros o variables de entrada del proceso.
¿Las fuentes de variación dependen de un proveedor? Si es así, ¿Cuáles
son? ¿Quién es el proveedor? y ¿Qué está haciendo para monitorearlas
y/o controlarlas? ¿Qué relación hay entre los parámetros de medición y las
variables críticas? ¿Interactúan las variables críticas? ¿Cómo lo definió?
Muestre los datos. ¿Qué ajustes a las variables son necesarios para
optimizar el proceso? ¿Cómo los definió? Muestre los datos
C (CONTROLAR)
Fase, control, consiste en diseñar y documentar los controles necesarios
para asegurar que lo conseguido mediante el proyecto Seis Sigma se
mantenga una vez que se hayan implementado los cambios. Cuando se
han logrado los objetivos y la misión se dé por finalizada, el equipo informa
a la dirección y se disuelve.
Para las variables ajustadas ¿Qué tan exacto o preciso es su sistema de
medición? ¿Cómo lo definió? Muestre los datos. ¿Qué tanto se ha
mejorado el proceso después de los cambios? ¿Cómo lo define? Muestre
71
los datos. ¿Cómo hace que los cambios se mantengan? ¿Cómo monitorea
los procesos? ¿Cuánto tiempo o dinero ha ahorrado con los cambios?
¿Cómo lo está documentando? Muestre los datos
1.6.4.5 Calidad total (TQM)
La Calidad Total (TQM), es uno de los estados más evolucionados dentro de las
sucesivas transformaciones que ha sufrido el término Calidad a lo largo del
tiempo. En un primer momento se habla de Control de Calidad, primera etapa en
la gestión de la Calidad que se basa en técnicas de inspección aplicadas a
Producción. Posteriormente nace el Aseguramiento de la Calidad, fase que
persigue garantizar un nivel continuo de la calidad del producto o servicio
proporcionado. Finalmente se llega al concepto de Mejora Continua y que incluye
las dos fases anteriores.
1.6.4.5.1 Principios fundamentales de TQM
• Principios fundamentales de este sistema de gestión son los siguientes:
• Consecución de la plena satisfacción de las necesidades y expectativas del
cliente (interno y externo).
• Desarrollo de un proceso de mejora continua en todas las actividades y
procesos llevados a cabo en la empresa (implantar la mejora continua tiene
un principio pero no un fin).
• Total compromiso de la Dirección y un liderazgo activo de todo el equipo
directivo.
• Participación de todos los miembros de la organización y fomento del
trabajo en equipo hacia una Gestión de Calidad Total.
• Involucramiento del proveedor en el sistema de Calidad Total de la
empresa, dado el fundamental papel de éste en la consecución de la
Calidad en la empresa.
• Identificación y Gestión de los Procesos Clave de la organización,
superando las barreras departamentales y estructurales que esconden
dichos procesos.
72
• Toma de decisiones de gestión basada en datos y hechos objetivos sobre
gestión basada en la intuición. Y dominio del manejo de la información.
La filosofía de la Calidad Total proporciona una concepción global que fomenta la
Mejora Continua en la organización y el involucramiento de todos sus miembros,
centrándose en la satisfacción tanto del cliente interno como del externo.
Podemos definir esta filosofía del siguiente modo: Gestión (el cuerpo directivo
está totalmente comprometido) de la Calidad (los requerimientos del cliente son
comprendidos y asumidos exactamente) Total (todo miembro de la organización
está involucrado, incluso el cliente y el proveedor, cuando esto sea posible).
1.6.4.6 Project Managment Body of Knowledge (PMBOK)
La Guía del PMBOK®, es desarrollada por el Project Management Institute PMI
y contiene la descripción general para la Dirección y Gestión de Proyectos
reconocidos como buenas prácticas. Ahora está vigente la cuarta edición, y es el
único estándar ANSI para la gestión de proyectos. Los programas y
certificaciones otorgados por el PMI están relacionadas con el PMBOK.
73
2 MARCO REFERENCIAL DE LA UNIDAD DE GESTIÓN
DE TECNOLOGÍA DEL CEC
La Unidad/Coordinación de Gestión de Tecnología del Centro de Educación
Continua es la encargada de brindar el soporte tecnológico a las unidades del
negocio del Centro de Educación Continua.
2.1 ESTRUCTURA ORGANIZACIONAL DEL CENTRO DE
EDUCACION CONTINUA
En esta sección se revisa la Historia, Base Legal, Organización, Mapa de
Procesos, Cultura Organizacional del Centro de Educación Continua. También se
revisa el Sistema de Gestión de Calidad ISO 9001:2008 que ha sido logrado en
base a su gestión.
2.1.1 HISTORIA
En el año 1989, la Escuela Politécnica Nacional firma un convenio con el
Ministerio de Educación, para capacitar a profesores de colegios secundarios.
Desde el año 1991 al 1995, el Centro prestó servicios de capacitación y
actualización a diferentes empresas e instituciones, sin embargo en mayo de
1995 fue creado como Centro de Educación Continua, mediante normativo de la
Escuela Politécnica Nacional; con la finalidad de impartir conocimientos y
desarrollar actividades académicas que propendan a la actualización permanente
de conocimientos de los miembros de la comunidad de la Escuela Politécnica, de
los egresados de la institución, de las empresas públicas y privadas y de la
comunidad en general.
En agosto del año 2000 el Consejo Politécnico crea el CEC-EPN con autonomía
económica, administrativa y financiera, como Centro de Transferencia y
Desarrollo de Tecnologías de Estudios para la Comunidad de la Escuela
74
Politécnica Nacional, con la finalidad de capacitar y emprender actividades en pro
de la comunidad.
El 11 de octubre de 2005, el Consejo Politécnico resuelve suprimir el Centro de
Transferencia y Desarrollo de Tecnologías de Estudios para la Comunidad y
dispone que todas las actividades continúen ejecutándose ininterrumpidamente a
través del Centro de Educación Continua reactivado el 4 de enero de 2005 por el
mismo Consejo Politécnico.
2.1.2 BASE LEGAL
El CEC-EPN fue creado bajo el amparo de la Ley de Centros de Transferencia y
Desarrollo de Tecnologías, expedida por el Congreso Nacional en noviembre de
1999 como una entidad adscrita a la Escuela Politécnica Nacional.
El CEC-EPN desarrolla sus actividades con sujeción a la citada ley, a la normativa
legal que rige para el sector público y según el siguiente marco legal:
1. Constitución de la República del Ecuador.
2. Ley de Educación Superior.
3. Estatuto de la Escuela Politécnica Nacional.
4. Reglamento Orgánico Funcional del CEC-EPN, del 14 de agosto del 2001.
5. El Reglamento de Adquisición de Bienes del Comité de Menor Cuantía.
6. Reglamento de Lingüística.
7. Instructivos dictados por la Dirección Ejecutiva.
8. Convenios suscritos con organismos públicos y privados.
2.1.3 SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2008
El Centro de Educación Continua obtuvo la certificación ISO 9001:2008 en el mes
de marzo del 2006, de esa fecha a la presente ha mantenido la certificación y da
seguimiento al Sistema de Gestión de Calidad (SGC), mediante auditorías
internas y externas periódicas.
75
2.1.4 ORGANIGRAMA DEL CEC
Este organigrama, como se muestra en la figura 2.1 se encuentra distribuido por
Coordinaciones, cuya explicación de funciones se describen en el mapa de
procesos.
Figura 2.1 - Organigrama del Centro de Educación Continua
(Fuente: Manual de Calidad CEC)
2.1.5 MAPA DE PROCESOS
En la figura 2.2 se presenta la Cádena de Valor del CEC:
76
Figura 2.2 - Mapa de Procesos del Centro de Educación Continua
Fuente: Manual de Calidad CEC
2.1.5.1 Procesos Gobernantes
• Dirección: Es el proceso encargado de dictar las directrices y directivas
para el trabajo diario y revisión constante del Sistema de Gestión de
Calidad.
2.1.5.2 Procesos Productivos
• Coordinación de Lingüística: Es la unidad encargada de entregar productos
y servicios de capacitación y educación continua en Idiomas
• Coordinación de Capacitación: Es la unidad encargada de entregar
productos y servicios de capacitación y educación continua en áreas de
desarrollo tecnológico y empresarial
2.1.5.3 Procesos de Apoyo
• Coordinación Administrativa-Financiera: Encargada de la gestión
administrativa-financiera,
CENTRO DE EDUCACIÓN CONTINUA DE LA ESCUELA POLITECNICA NACIONAL CEC-EPN
MAPA DE PROCESOS
CLI
EN
TE
S
CLI
EN
TE
S
DIRECCIÓN
PROCESOS APOYO
DESARROLLO TECNOLÓGICO
PROCESOS ESTRATEGICOS
FINANCIERO-ADMINISTRATIVO
CALIDAD Y TALENTO HUMANO
LINGUÍSTICA
CAPACITACIÓN Y CONSULTORIA
SO
CIE
DA
D
SO
CIE
DA
D PROCESOS PRODUCTIVOS
MARKETING
77
• Coordinación de Calidad y Talento Humano: Encargada del sistema de
gestión de la calidad y de la administración del talento humano,
• Coordinación de Marketing: Encargada de la imagen, estrategias de
mercadeo y enlace con el medio externo,
• Coordinación de Gestión de Tecnología: Encargada de administrar la
infraestructura tecnológica y la entrega de servicios de soporte de
tecnologías de la información a la organización,
2.1.6 CULTURA ORGANIZACIONAL
• Visión CEC 2012
“Seremos el primer centro de educación continua en el ecuador, que ofrece
servicios de capacitación y consultoría a la medida y con excelencia”. Fuente:
Manual de Calidad CEC
• Misión
“El Centro de Educación Continua realiza y coordina y realiza capacitación y
consultoría con profesionales altamente calificados y tecnología avanzada para
aportar al desarrollo del talento humano y a la competitividad de nuestros
clientes”. Fuente: Manual de Calidad CEC.
• Valores
- Respeto: Es un valor necesario para lograr un ambiente laboral
saludable,
- Responsabilidad: Entregar con calidad y profesionalismo el trabajo
diario,
- Compromiso: Es el cumplimiento de los objetivos planteados,
cumpliendo deberes y obligaciones.
78
- Transparencia: Es actuar de manera íntegra, correcta e intachable.
- Flexibilidad: Es tener la apertura por adaptarse a las necesidades
del entorno y clientes internos y externos.
• Políticas
A continuación se describen las políticas del CEC, tomados del Manual de
Calidad:
- Brindar servicios que satisfagan los requerimientos de nuestros
clientes con estándares de calidad internacionales.
- Promover el desarrollo de la organización a través de la formación
de equipos de trabajo y desarrollo profesional de sus integrantes.
- Fortalecer nuestra labor a través de alianzas, asociaciones y
convenios con otros sectores afines a los objetivos del CEC-EPN.
- Coordinar y colaborar con la Escuela Politécnica Nacional para
fortalecer su vinculación con la sociedad.
- Mantener un sistema de administración eficiente y eficaz.
- Mantener informada a la comunidad sobre las actividades y
resultados del CEC-EPN.
• Objetivos Generales
1. Planificar, diseñar, organizar y ejecutar eventos de capacitación que permitan
actualizar conocimientos a los diferentes sectores de la sociedad y público en
general, así como a los profesionales, colaboradores y trabajadores de la Escuela
Politécnica Nacional, para potenciar su competitividad y desempeño laboral.
79
2. Ofertar servicios de traducción, interpretación y consultoría de vanguardia en
los campos de la ciencia y tecnología.
• Objetivos Específicos
1. Fortalecer el sistema de comunicación interna y con la EPN para mejorar la
gestión administrativa, financiera y técnica para lograr mayor agilidad en los
procesos y trámites.
2. Mejorar la infraestructura de aulas, equipos, biblioteca, bares, baños y otras
que ofrezcan mayor seguridad y funcionalidad;
3. Diseñar estrategias adecuadas que permitan enfrentar los retos que impone un
mundo globalizado.
2.2 ANÁLISIS DE SITUACIÓN ACTUAL DE LA COORDINACIÓN
DE GESTIÓN DE TECNOLOGÍA
2.2.1 COORDINACIÓN DE GESTIÓN DE TECNOLOGÍA
La Coordinación CGT es la responsable de gestionar todas las tareas
relacionadas con el desarrollo de las Tecnologías de la Información y
Telecomunicaciones TICs, las cuales sirven de soporte para el normal
desempeño de actividades del CEC-EPN.
2.2.1.1 Misión de la coordinación de Gestión de Tecnología
Garantizar con calidad, oportunidad, continuidad, seguridad, mejoramiento y
soporte, el desarrollo y evolución de los servicios informáticos, que permitan el
desenvolvimiento de las actividades de la manera más eficiente y al menor costo.
Tomado: del Procedimiento de Tecnología
80
2.2.1.2 Objetivos de la Coordinación
Fundamental:
- Proveer el soporte tecnológico en cuanto a infraestructura de
laboratorios y red institucional que permitan el normal desarrollo de las
actividades planificadas por todas las unidades del CEC-EPN.
Específicos:
- Instalar, administrar y operar las herramientas tecnológicas necesarias
que garanticen el desarrollo de las actividades y la comunicación
eficaz.
- Asegurar un manejo óptimo de los recursos tecnológicos a través de la
adecuada adquisición, asignación, custodia, mantenimiento,
actualización, contingencia, capacitación y control con criterios de costo
– beneficio.
- Análisis, diseño y desarrollo de aplicativos que permitan la
automatización de procesos operativos y manuales.
- Proveer información oportuna y confiable (íntegra y consistente) que
facilite una toma de decisiones eficaz al CEC-EPN
81
2.2.2 CARACTERIZACIÓN DEL PROCESO DE GESTIÓN DE TECNOLOGÍA
Figura 2.3 - Caracterización del Proceso de Gestión de Tecnología
Fuente: Documento de Proceso de Tecnología
2.2.3 INDICADORES
• Índice de satisfacción del usuario en lo referente a infraestructura: equipos,
software, red:
Mide mediante encuestas la satisfacción del cliente externo que asiste a los
eventos de capacitación del CEC,
82
• Índice de pedidos y sugerencias del cliente:
Es el cociente del número de requerimientos solicitados por los usuarios
internos y externos cumplidos, sobre el número de requerimientos totales,
• Número de mantenimientos correctivos realizados Cliente Interno:
Número de mantenimientos correctivos realizados por el equipo técnico
enfocados a la solución de requerimientos del Cliente Interno,
• Número de mantenimientos preventivos realizados Cliente Externos:
Número de mantenimientos preventivos realizados por el equipo técnico
enfocados a la solución de requerimientos del Cliente Externo,
• Índice de satisfacción del cliente interno:
Mide la efectividad y calidad del servicio entregado a los Clientes internos
El enfoque de estos indicadores permite medir los objetivos definidos y tener bajo
control los procesos de la Coordinación de Gestión de Tecnología
2.2.4 ANÁLISIS DE PRODUCTO NO CONFORME
De acuerdo a los servicios entregados se puede establecer:
a. Laboratorios / Auditorios con equipo instalado
Criterio de Aceptación:
Cuando de acuerdo al requerimiento para uso de infraestructura
tecnológica, es configurado y validado por personal de la UGT.
Criterio de Rechazo (Producto No Conforme):
Se considera a aquel requerimiento cuyo promedio final de evaluación
en lo referente a infraestructura tecnológica: equipo, software utilizado,
y red, tiene una evaluación menor a 2.8 sobre 4.0
b. Soluciones de Software desarrolladas
Criterio de Aceptación:
83
Cuando el requerimiento de desarrollo de software es validado por el
usuario, quien lo solicitó.
Criterio de Rechazo (Producto No Conforme):
Se considera a aquel producto de software cuyas especificaciones
establecidas en el requerimiento inicial, no se han cumplido en su
totalidad, ni dentro del tiempo previsto para su implantación.
c. Soluciones de Software implantadas
Criterio de Aceptación:
• Cuando la solución de desarrollo es instalada en el equipo a ser
utilizado y es aceptada por el usuario, quien lo solicitó.
• Cuando ha existido capacitación sobre la herramienta desarrollada
Criterio de Rechazo (Producto No Conforme):
Se considera a aquel producto de software que no ha sido instalado de
acuerdo a los requerimientos definidos por el usuario. Y dentro del
tiempo previsto para la implantación.
d. Mantenimiento preventivo realizado
Criterio de Aceptación:
Cuando el trabajo realizado es entregado al responsable del área
técnica por el proveedor o cuando el trabajo de mantenimiento
preventivo es validado por otra persona de la UGT
Criterio de Rechazo (Producto No Conforme):
Se considera a aquel trabajo que no cumple con las especificaciones
del mantenimiento.
e. Mantenimiento correctivo realizado
Criterio de Aceptación:
84
Cuando el trabajo realizado (hardware o software) es entregado al
custodio o usuario del equipo en las condiciones suficientes para
realizar sus actividades
Criterio de Rechazo (Producto No Conforme):
Se considera a aquel trabajo que no cumple con las especificaciones
del mantenimiento.
f. Recursos disponibles para uso y aplicación de usuarios
Criterio de Aceptación:
Cuando los recursos de la red institucional esté disponible para su uso
Criterio de Rechazo (Producto No Conforme):
Cuando los recursos de la red institucional no estén disponibles para su
uso
Fuente: Manual de calidad CEC
2.2.5 APLICACIONES UTILIZADAS
a. Base de Datos del Sistema SISCEC
Sistema informático que maneja información académica de los cursos de la
Coordinación de Capacitación y consultoría que imparte el CEC-EPN.
BDD sobre la cual se desarrollo: SQL Server 2000
SO sobre el cual está alojada: Windows 2000 Server
b. Base de Datos del Sistema SISINFCEC
Sistema informático que maneja información académica de los cursos de la
Coordinación de Lingüística e Intercambios Culturales que imparte el CEC-EPN.
BDD sobre la cual se desarrollo: SQL Server 2005
SO sobre el cual está alojada: Windows 2003 Server
c. Aplicación SYSNOTE
85
Sistema informático que maneja información académica de ingreso de notas y
asistencias vía web de los cursos de la Coordinación de Lingüística e
Intercambios Culturales que imparte el CEC-EPN.
Funciona sobre la misma base de datos de académica del SISINFCEC
BDD sobre la cual se desarrollo: SQL Server 2005
SO sobre el cual está alojada: Windows 2003 Server
d. Base de datos del Sistema de Inventarios
Sistema informático que maneja información de inventarios y sus custodios
responsables por cada unidad del CEC-EPN.
BDD sobre la cual se desarrollo: Ms Access
SO sobre el cual está alojada: Windows 2003 Server
e. Base de datos del Sistema de Administración de Vacaciones
Sistema informático que maneja información de colaboradores del CEC-EPN y su
disponibilidad de vacaciones.
BDD sobre la cual se desarrollo: Ms Access 2003
SO sobre el cual está alojada: Windows XP Pro
f. Base de datos del Sistema de Administración de Asistencias de
Colaboradores
Sistema informático que maneja información de asistencia de los colaboradores
del CEC-EPN.
BDD sobre la cual se desarrollo: Visual Fox Pro
SO sobre el cual está alojada: Windows 2003 Server
g. Base de Datos del Sistema OLYMPO
Sistema encargado del manejo automatizado de la contabilidad y facturación del
CEC-EPN.
86
BDD sobre la cual se desarrollo: SQL Server 2005
SO sobre el cual está alojada: Windows 2003 Server
h. Base de Datos del Sistema Impuestos
Sistema encargado del manejo automatizado de impuestos facturación del CEC-
EPN.
BDD sobre la cual se desarrollo: Fox Pro
SO sobre el cual está alojada: Windows 2000 Pro
i. Repositorio de datos EPN
SO sobre el cual está alojada: Linux Cantos 4.5
j. Repositorio de datos Araucaria
SO sobre el cual está alojada: Windows 2003 Server
2.2.6 ESTRUCTURA DE LA COORDINACIÓN Y EQUIPO DE TRABAJO
El responsable del proceso es el Coordinador quien tiene la responsabilidad de la
efectiva gestión y administración. El equipo de trabajo se encuentra distribuido por
funciones de acuerdo al siguiente organigrama interno:
Figura 2.4 - Organigrama interno de la Coordinación de Gestión de Tecnología
Fuente: Manual de Procesos del CEC
COORDINADOR
SUB COORDINACIÓN
TÉCNICA DE HARDWARE
(Administración Hardware)
SUB COORDINACIÓN TÉCNICA
DE TELECOMUNICACIONES
(Administración de redes de
ADMINISTRADOR DE TI
SUB COORDINACIÓN TÉCNICA
DE SOFTWARE
(Administración de Software)
87
Las Funciones y Perfil para la Coordinación de de la CGT se encuentran
detallados en la Tabla 2.1, para la Sub-Coordinación técnica de Software de la
CGT se encuentran detalladas en la Tabla 2.2, para la Sub-Coordinación técnica
de Hardware de la CGT se encuentran detalladas en la Tabla 2.3, para la Sub-
Coordinación técnica de Telecomunicaciones de la CGT se encuentran detalladas
en la Tabla 2.4 y para la Administración de TI de la CGT se encuentran detalladas
en la Tabla 2.5 las mismas que han sido tomadas del Manual de Funciones y Manual
del Proceso de Tecnología CEC.
Tabla 2.1 – Funciones y Perfil para la Coordinación
DATOS DE IDENTIFICACIÓN
NOMBRE DEL CARGO:
Coordinador
POSICIÓN EN EL ORGANIGRAMA DEL
CARGO:
Pertenece a la Coordinación de Gestión de
Tecnología responsable del proceso de Gestión
de Desarrollo Tecnológico, reporta a Dirección
DIVISIÓN/PROCESO/PROYECTO
CGT
COORDINACIÓN: Gestión de Tecnología
REPORTA A: Director
RESUMEN DE ACTIVIDADES
Tareas generales / típicas / RELEVANTES:
- Planificar y monitorear los proyectos y planes desarrollados por la
Coordinación: Mantenimiento, Implementación y Soporte
- Responsabilidad sobre adquisiciones tecnológicas
- Asesorar en proyectos de tecnologías de la información telecomunicaciones a
la organización
- Coordinar la administración de la infraestructura tecnológica del CEC-EPN
- Coordinar el desarrollo de los proyectos de desarrollo de software
- Coordinar la administración de la red del CEC-EPN
- Coordinar la administración de aplicaciones y soluciones de software a medida
- Recopilar la documentación inherente a las soluciones, como manuales de
usuario y técnico
- Desarrollar proyectos de soluciones en tecnología en base al análisis de
problemas en el flujo de información con usuarios internos y externos
88
- Encargarse de coordinar la capacitación a usuarios sobre las herramientas
desarrolladas
- Desarrollar planes de renovación de los equipos
- Dar soporte a las actividades relativas a tecnología en el CEC-EPN, hardware,
software y comunicaciones
Tareas ocasionales / complementarias / otras:
- Representa al CEC-EPN, en eventos como reuniones, seminarios, charlas
referentes a los temas de tecnologías de la información y comunicaciones
- Llevar los datos e información desarrollada, con el respectivo nivel de
seguridades y respaldos
Competencias:
Conocimiento Organizacional
Dominio Técnico
Compromiso Organizacional
Educación: Instrucción Superior:
Tercer Nivel: Ingeniería de Sistemas o Telecomunicaciones
Cuarto Nivel: Especialización en: Administración,
Tecnologías de la Información, Industrial
Formación: Proyectos
Lenguajes y programación, base de datos, manejo de redes
– interfaces, comunicaciones, seguridad de información
Sistemas operativos:
administración Windows server
Linux
Redes: LAN, WAN, inalámbricas
Habilidades: Comprensión de información
Expresión Verbal
Juicio Critico
Solución de problemas
Experiencia: Años: 5 años
Administración Informática,
Gestión de Proyectos,
Tecnologías de la información y telecomunicaciones,
Sistemas de Gestión de la Calidad,
Estándares de Tecnologías de la información
89
Tabla 2.2 - Funciones y Perfil para la Sub-Coordinación de Software
DATOS DE IDENTIFICACIÓN
NOMBRE DEL CARGO:
Sub Coordinador Técnico de
Software
POSICIÓN EN EL ORGANIGRAMA DEL CARGO:
Pertenece a la Coordinación de Gestión de Tecnología
responsable del proceso de Gestión de Desarrollo
Tecnológico, reporta al Coordinador y a Dirección
DIVISIÓN/PROCESO/PROYE
CTO: CGT
COORDINACIÓN:
Gestión de Tecnologías
REPORTA A: Director, Coordinador de la Unidad
RESUMEN DE ACTIVIDADES
Tareas generales / típicas / RELEVANTES:
- Coordinar las acciones de: instalación, actualización de software y control de
virus de los laboratorios de computación y red administrativa
- Ejecutar proyectos de desarrollo de software para usuarios internos y externos
- Administrar las soluciones de software desarrolladas en la institución
- Administrar la infraestructura instalada
- Diseñar y mantener un sistema de mantenimiento correctivo y preventivo de
todos los equipos informáticos y de comunicaciones del Centro.
- Dar soporte técnico en presentaciones comerciales de servicios de
capacitación y consultoría
- Las demás que le asigne el Director o Coordinador
Tareas ocasionales / complementarias / otras:
- Representa al CEC-EPN, en eventos como reuniones, seminarios, charlas
referentes a los temas de tecnologías de la información y comunicaciones
- Llevar los datos e información desarrollada, con el respectivo nivel de
seguridades y respaldos
Competencias:
Conocimiento Organizacional,
Dominio Técnico en Hardware, Software de Base y de
Aplicaciones,
Compromiso Organizacional
Educación: Instrucción Superior: Tercer Nivel: Ingeniería de Sistemas
Formación: Administración y mantenimiento de equipos Informáticos y
telecomunicaciones
90
Ensamblaje de computadores
Programación
Habilidades: Comprensión de información
Expresión Verbal
Juicio Critico
Solución de problemas
Experiencia: Años: 3 años
Administración Informática,
Sistemas Operativos,
Mantenimiento de Hardware y Software,
Fuente: Manual de Funciones y Manual del Proceso de Tecnología CEC
Tabla 2.3 - Funciones y Perfil para la Sub-Coordinación de Hardware
DATOS DE IDENTIFICACIÓN
NOMBRE DEL CARGO:
Sub Coordinador Técnico de Hardware
POSICIÓN EN EL ORGANIGRAMA DEL
CARGO:
Pertenece a la CGT responsable del proceso
de Gestión de Tecnología, reporta al
Coordinador y a Dirección
DIVISIÓN/PROCESO/PROYECTO: CGT COORDINACIÓN: CGT
REPORTA A: Director, Coordinador
RESUMEN DE ACTIVIDADES
Tareas generales / típicas / RELEVANTES:
- Ejecutar las acciones de instalación, actualización de software y control de
virus de los laboratorios de computación y red administrativa
- Administrar la infraestructura instalada
- Administrar los servicios de red, Internet y Correo electrónico
- Soporte técnico al proyecto de educación virtual
- Brindar asistencia técnica a los usuarios de los equipos
- Administrar los respaldos de la información generada
- Dar soporte técnico en presentaciones comerciales de servicios de
capacitación y consultoría.
- Las demás que le asigne el Director o Coordinador
91
Tareas ocasionales / complementarias / otras:
! Representa al CEC-EPN, en eventos como reuniones, seminarios, charlas
referentes a los temas de tecnologías de la información y comunicaciones
! Llevar los datos e información desarrollada, con el respectivo nivel de
seguridades y respaldos
Competencias:
Conocimiento Organizacional,
Dominio Técnico en Hardware, Software de Base y de
Aplicaciones,
Compromiso Organizacional
Educación: Instrucción Superior: Tercer Nivel: Ingeniería de Sistemas
Formación: Administración y mantenimiento de equipos Informáticos y
telecomunicaciones
Ensamblaje de computadores
Programación
Habilidades: Comprensión de información
Expresión Verbal
Juicio Critico
Solución de problemas
Experiencia: Años: 3 años
Administración Informática,
Sistemas Operativos,
Mantenimiento de Hardware y Software,
Fuente: Manual de Funciones y Manual del Proceso de Tecnología CEC
Tabla 2.4 - Funciones y Perfil para la Sub-Coordinación de Telecomunicaciones
DATOS DE IDENTIFICACIÓN
NOMBRE DEL CARGO:
Sub Coordinador Técnico
de Telecomunicaciones
POSICIÓN EN EL ORGANIGRAMA DEL CARGO:
Pertenece a la CGT responsable del proceso de Gestión
de Desarrollo Tecnológico, reporta al Coordinador y a
Dirección
DIVISIÓN/PROCESO/PR
OYECTO: CGT
FECHA DE INICIO:
PLAZO:
COORDINACIÓN:
CGT
REPORTA A: Director, Coordinador
92
RESUMEN DE ACTIVIDADES
Tareas generales / típicas / RELEVANTES:
! Planificar y coordinar el uso y mantenimiento de equipos del CEC-EPN
especialmente el ubicado en el edificio Araucaria.
! Brindar asistencia técnica a los usuarios de los equipos
! Desarrollar manuales y procedimientos para los procesos de control de bienes
! Administrar los respaldos de la información generada
! Controlar y custodiar los activos fijos de la Institución.
! Verificar físicamente los bienes de propiedad del CEC-EPN al menos una vez
cada semestre.
! Entregar los bienes a los usuarios, elaborar y firmar acta de entrega recepción.
! Administrar la red telefónica
! Diseñar e implementar proyectos eléctricos y de redes
! Administrar los enlaces de comunicaciones entre sedes del CEC-EPN.
! Las demás que le asigne el Director o Coordinador Técnico
Tareas ocasionales / complementarias / otras:
! Representa al CEC-EPN, en eventos como reuniones, seminarios, charlas
referentes a los temas de tecnologías de la información y comunicaciones
! Llevar los datos e información desarrollada, con el respectivo nivel de
seguridades y respaldos
Competencias:
Conocimiento Organizacional
Dominio Técnico
Compromiso Organizacional
Educación: Instrucción Superior: Tercer Nivel: Ingeniería de
Telecomunicaciones
Formación: Administración y mantenimiento de equipos Informáticos y
telecomunicaciones
Lenguajes de Programación
Diseño y Mantenimiento de Redes
Habilidades: Comprensión de información
Expresión Verbal
Juicio Critico
Solución de problemas
93
Experiencia: Años: 3 años
Administración de Redes,
Administración Informática,
Gestión de Proyectos,
Fuente: Manual de Funciones y Manual del Proceso de Tecnología del CEC
Tabla 2.5 - Funciones y Perfil para el Administrador de TI
DATOS DE IDENTIFICACIÓN
NOMBRE DEL CARGO:
Administrador de IT
POSICIÓN EN EL ORGANIGRAMA DEL CARGO:
Pertenece a la CGT responsable del proceso de Gestión
de Desarrollo Tecnológico, reporta al Coordinador, Sub
Coordinadores y a Dirección
DIVISIÓN/PROCESO/PR
OYECTO: CGT
COORDINACIÓN: CGT
REPORTA A: Director, Coordinador y Sub Coordinadores
RESUMEN DE ACTIVIDADES
Tareas generales / típicas / RELEVANTES:
! Instalación, actualización de software y control de virus de los laboratorios de
computadoras y de la red administrativa
! Implementar soluciones de software
! Administrar las soluciones de software
! Dar soporte técnico a usuarios internos y externos
! Las demás que le asigne el Coordinador / Sub Coordinador
Tareas ocasionales / complementarias / otras:
! Representa al CEC-EPN, en eventos como reuniones, seminarios, charlas
referentes a los temas de tecnologías de la información y comunicaciones
! Llevar los datos e información desarrollada, con el respectivo nivel de
seguridades y respaldos
Competencias:
Interés por el orden y calidad
Iniciativa
Orientación de servicio al cliente
Educación: Instrucción Superior: Egresado de Ingeniería de Sistemas o
Telecomunicaciones,
94
Formación: Software y hardware,
Programación,
Administración de redes,
Habilidades: Aprendizaje activo
Expresión Verbal
Organización de Información
Experiencia: Años: 1 año
Desarrollo de software,
Mantenimiento de Hardware y Software,
Administración de equipos: Ambientes Windows-Linux
Fuente: Manual de Funciones y Manual del Proceso de Tecnología CEC
2.2.7 ANALISIS FODA DE LA COORDINACIÓN DE GESTIÓN DE
TECNOLOGÍA
El análisis FODA de la Coordinación de Gestión de Tecnología, se desarrolló
mediante reuniones de trabajo con los miembros del equipo técnico de la
Coordinación para levantamiento de datos, y revisiones del documento con el
responsable de la Coordinación adicionalmente del Subcoordinador de
Telecomunicaciones como los dos miembros más antiguos del equipo, a
continuación se describe el resultado de este trabajo realizado en el mes de
Octubre del 2009,
FORTALEZAS (Análisis Interno)
1. Personal con conocimiento y experiencia en Informática y en soporte técnico,
2. Responsabilidad en el manejo de información,
3. Deseo e iniciativa del personal de la CGT en actualizarse en las nuevas tecnologías informáticas,
4. Personal plenamente identificado con la Institución,
95
5. Infraestructura tecnológica moderna y propia,
6. Buena capacidad/infraestructura instalada, capaz de prestar servicios a otras Instituciones,
7. Proyección de una imagen positiva y eficiente a nivel institucional con certificación ISO 9000,
8. Posibilidad de acceso a información y recursos informáticos de última generación,
9. Personal responsable en la utilización y manejo de materiales a su cargo
10. Licenciamiento Microsoft (a través de contrato de la EPN),
OPORTUNIDADES (Análisis externo)
1. El avance tecnológico proporciona un abanico de posibilidades que pueden
ser aplicadas en los procesos de la Unidad,
2. Disponibilidad de encontrar en el mercado tecnologías de punta,
3. Interés creciente por parte de los colaboradores a asistir a cursos de
actualización,
4. Existencia en el mercado de centros de especialización en informática,
5. Creciente demanda en el mercado por servicios de capacitación en TICs y
Computación e Informática,
6. Apoyo económico por parte del CEC-EPN para realizar capacitación
interna en tecnología,
7. Interés por parte de la EPN y CEC para consolidarse como líder en
servicios basados en tecnologías y sistemas de información e Idiomas.
96
8. Necesidad de proporcionar servicios de capacitación (Informática,
Administración e Idiomas) a través del portal Web, o virtual, con posibilidad
de convertirse en proveedor de servicios para la EPN.
9. Necesidad de implementar transacciones en línea para beneficio de
clientes.
DEBILIDADES (Análisis Interno)
1. Escasos convenios y programas de capacitación externa al CEC.
2. Ambientes reducidos para la realización de las actividades.
3. Falta de recursos económicos para disponer de una infraestructura
informática acorde a todas las necesidades.
4. Cultura organizacional de la Institución no orientada a la innovación de
procesos y a la aplicación de tecnologías de la información y tele
comunicaciones.
5. Sistema de comunicación interna no acorde con nuevas herramientas
informáticas.
6. Infraestructura con seguridad informática limitada.
7. Recursos humano limitado para la carga de trabajo que mantiene la CGT.
8. Inventario no actualizado de software licenciado.
9. Acuerdos de Servicios no definidos con Usuarios.
AMENAZAS (Análisis externo)
1. Situación económica del País, que se expresa en el limitado presupuesto
para la gestión de la CGT en especial para adquisición de equipos de
97
cómputo y Licencias de software. (Actualmente el presupuesto es
centralizado y administrado por la EPN),
2. Exigencia cada vez mayor demanda de los usuarios de una atención
oportuna y segura, en solicitudes de servicio. (Al no satisfacer sus
expectativas, existe probabilidad de que no regresen nuevamente a
comprar los servicios del CEC),
3. Constante amenazas de virus en la red,
4. Sin compromiso de guardar confidencialidad de usuarios internos con
respecto a las claves de acceso, por parte del personal que labora con los
sistemas de información,
5. Miedo al cambio por parte de los usuarios internos en utilizar sistemas de
información desconocidos y actualización de nuevas herramientas,
6. Fallas de los equipos, ya sea por antigüedad, obsolescencia o no
existencia de equipos backup,
7. Elevados costos de hardware y software,
8. Creciente demanda por servicios informáticos relacionados a
capacitación (competencia),
9. Retraso de proveedores en la entrega de insumos y repuestos necesarios
para las normales actividades, (dado las regulaciones establecidas por el
Gobierno para la EPN),
10. Riesgos de pérdida de la información,
11. Existen requerimientos de usuarios internos no acordes a la realidad,
En base al análisis FODA de la CGT que se encuentra se definen las estrategias:
98
ESTRATEGIAS F/O (Acciones Ofensivas)
a. Fortalecer la buena disposición de colaboradores de la CGT, en lograr la
actualización constante en Tecnologías de Información y Comunicaciones
(TICs) (F4,F7,O6)
b. Suscribir convenios con empresas proveedoras de software de base y
aplicaciones, lo cual permitirá implantar programas pilotos de testing,
(F1F2, F4, F5O1, O2).
c. Implementar planificación de capacitación tanto con Instituciones
especializadas como con Instructores Internos, de tal modo que pueda
brindarse entrenamiento e inducciones a usuarios internos de la CGT y del
CEC en tecnología e informática, potenciando la gestión de las diferentes
Unidades en beneficio de la institución (F5,F7,03,04)
d. Mejorar e implementar nuevos servicios de capacitación y consultoría a
través del sitio web de la institución, (F1,F4,F7,O1,O6)
e. Obtener planes de licenciamiento de software, acordes con las actividades
propias de la institución (F5,F7,F9,O2,O6)
ESTRATEGIAS D/O (Acciones Ofensivas)
a. Suscribir convenios con Institucionales especializadas con el propósito de
mantener capacitado al personal informático en temas referidos a
estándares y buenas prácticas de TICs, lenguajes de programación, bases
de datos, telecomunicaciones, y nuevas herramientas informáticas (D1, D5,
O1, O6).
b. Establecer un proceso de soporte a usuarios internos, (F1,D7,O1)
99
ESTRATEGIAS F/A (Acciones Defensivas)
a. Realizar campañas de capacitación a los usuarios con el fin de lograr un
adecuado manejo y experticia de nuevos sistemas internos existentes,
recibir feedback e implementar nuevos de ser el caso (F1,A2,A5)
b. Obtener del mercado constantemente tecnologías compatibles con los
servicios que brinda la institución (F1,F4,A2,A8)
c. Establecer cronogramas y ejecutar planes de mantenimiento correctivo y
preventivo periódicos del parque tecnológico de la Institución
(F1,F2,F4,A2,A6,A7,A8)
d. Establecer políticas internas sobre ahorro y reciclaje de insumos y
materiales (F1,F4,F9,A1,A9)
ESTRATEGIAS D/A (Acciones Defensivas)
a. Formular y ejecutar un plan integral de gestión de TICs que permita el
desarrollo tecnológico acorde a las prioridades y objetivos institucionales
(D4,D6,A2,A8)
b. Formular un plan de contingencia, que asegure la protección y
renovación del hardware, y la información generada, ante la presencia de
algún fenómeno natural, provocado o amenaza de seguridad (D5,A3,A4)
c. Concienciar a colaboradores de la institución sobre la importancia de seguir
las políticas, reglas y normas de acceso restringido a los sistemas y
manejo de claves (D5,A3,A4)
d. Destinar ambientes adecuados para el óptimo funcionamiento del parque
tecnológico, acondicionado de acuerdo a sus necesidades (D5,A6,A7)
100
e. Formalizar el manejo de procesos de la Unidad e implementar el uso de
estándares de tecnología y buenas prácticas como guías para
mejoramiento continuo
En función de este análisis, se deriva que una de las debilidades es el soporte a
usuarios internos del CEC, la solución y seguimiento a sus requerimientos. Otro
de los problemas detectados es la identificación de los servicios que provee la
CGT, su priorización de atención a las solicitudes de los usuarios.
2.3 CLIENTE INTERNO Y EXTERNO
La Coordinación de Gestión de Tecnología del CEC brinda soporte a clientes
internos y externos cuyas definiciones son:
Cliente Interno.- son todos los colaboradores del CEC que interactúan con la
Coordinación de Gestión de Tecnología.
Cliente externo.- son las personas naturales o jurídicas que utilizan los productos
del CEC.
2.4 PROCESOS DE TI
Al momento no se encuentran definidos procesos de Tecnologías de Información,
lo que se han definido son procedimientos que se realizan por la Coordinación de
Gestión Tecnológica. Los procedimientos que mantiene la Coordinación de
Gestión de Tecnología se describen a continuación:
• CEC-IT-01: Requerimientos para cursos de Capacitación
• CEC-IT-02: Desarrollo de Proyectos de Hardware
• CEC-IT-03: Desarrollo de Proyectos de Software
• CEC-IT-04: Mantenimiento Preventivo
• CEC-IT-05: Mantenimiento Correctivo
• CEC-IT-06: Respaldos de Información
101
La descripción de cada uno de los procedimientos se encuentran descritos en el
ANEXO A
2.5 CICLO DE ALINEACIÓN DE TI Y EL NEGOCIO
La alineación de TI de la Coordinación de Gestión Tecnológica con los objetivos
del Negocio y las respectivas unidades internas del CEC, se encuentran en el
plan estratégico del CEC. Este documento es revisado al menos una vez por año
por la Alta Gerencia y los represntantes de cada Coordinación. Se lo hace en
talleres de presentación de resultados y ajustes a metas organizacionales.
102
3 DISEÑO DEL MODELO DE GESTIÓN DE SERVICIOS
DE TECNOLOGÍAS DE LA INFORMACIÓN
El diseño del modelo está fundamentado en la utilización de estándares y mejores
prácticas de tecnología ITIL, fundametado en un análisis sobre madurez de
procesos. Se define como estrategia el analizar el Modelo de Gestión de Servicios
de TI dentro del marco de Gobierno de TI.
3.1 DEFINICIÓN DE ESTÁNDARES Y/O MEJORES PRÁCTICAS
PARA LA GOBERNABILIDAD DE TI
Los servicios de TI no deben mantener su enfoque solo en la tecnología,
actualmente es de vital importancia considerar adicionalmente la calidad con la
que se proveen y que logren en el tiempo buenas relaciones con los clientes
internos/externos, incluyendo a proveedores.
Usualmente la gestión de servicios de TI involucra: los procesos, recursos,
infraestructura, hardware/software, y fundamentalmente al talento humano, para
lo cual es extremadamente importante mantener una base de conocimiento dentro
de la organización para que estas prácticas sean exitosas en el tiempo.
Los objetivos de una buena gestión de servicios TI son:
• Alinear los procesos de negocio y la infraestructura TI,
• Proporcionar una adecuada gestión de la calidad,
• Aumentar la eficiencia,
• Reducir los riesgos asociados a los Servicios TI,
• Generar rentabilidad,
Para el Gobierno de TI existe una serie de estándares y mejores prácticas que
dan soporte al cumplimiento efectivo de la gobernabilidad de TI. En esta sección
103
de este trabajo de investigación se plantea la selección de los estándares o
mejores prácticas de acuerdo al ámbito de acción.
Al realizar la definición de estándares se tiene que analizar su selección y
aplicación de acuerdo a los requerimientos, políticas y estrategias que a la
organización mejor se adapten, a su uso e implantación, valorando los beneficios
que brinden, así como las debilidades.
Se escoge para este modelo el empleo de estándares y mejores prácticas, dado
que fueron ideados para ayudar a las organizaciones a lograr calidad y eficiencia
en las operaciones de TI. Estos procedimientos son independientes del proveedor
y han sido desarrollados para servir como guía que abarque toda infraestructura,
desarrollo y operaciones de TI.
• COBIT 4.0 Control OBjectives for Information and related Technology
Guía que permite integrar los requerimientos de control, los problemas
técnicos y los riesgos,
• ITIL v 3.0 Information Technology Infrastructure Library
Serie de mejores prácticas para la administración de servicios de TI con
calidad y costo justificable,
• ISO/IEC 20000 Gestión de Servicios de TI versión: versión: 14
diciembre 2005 (International Organization for Standardization) e IEC
(International Electrotechnical Commission)
Estándar específico para la Gestión de Servicios de TI, y su objetivo es
aportar los requisitos necesarios, dentro del marco de un sistema completo
e integrado, que permita que una organización provea servicios TI
gestionados, de calidad y que satisfagan los requisitos de negocio de sus
clientes.
Fuente: www.iso.org
104
• ISO/IEC 27001: Requisitos del sistema de gestión de seguridad de la
información: versión 2007 (International Organization for�
Standardization) e IEC (International Electrotechnical Commission).
Es un conjunto de estándares desarrollados por ISO que proporcionan un
marco de referencia de la seguridad de la información utilizable por
cualquier tipo de organización, pública o privada, grande o pequeña.
Fuente: www.iso.org
3.1.1 GOBIERNO DE TI
Para lograr el éxito en la economía de la información, el Gobierno de la
organización (Alta Gerencia) y el Gobierno de TI no pueden ser considerados
separadamente.
El gobierno de TI efectivo de la organización se enfoca en el conocimiento y la
experiencia en forma individual y grupal, donde puede ser más productivo,
monitorizado y medido el rendimiento, así como provisto el aseguramiento para
aspectos críticos. TI, por mucho tiempo considerada aislada dentro del logro de
los objetivos de la empresa, debe ahora ser considerada como una parte integral
de la estrategia.
Figura 3.1 - Gobierno Organizacional Vs Gobierno de TI
Las actividades de la organización requieren información de las actividades de TI
con el fin de satisfacer y dar soporte a los objetivos del negocio. Organizaciones
exitosas aseguran la interdependencia entre su plan estratégico y sus planes de
de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de
105
su información para maximizar sus beneficios, capitalizar oportunidades y ganar
ventaja competitiva. En las figuras 3.1 y 3.2 podemos visualizar la interrelación
entre las actividades y gobierno de TI con los de la organización.
Figura 3.2 - Alineamiento de las actividades organizaciones Vs las de TI
Fuente: Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de
TI, Roberto C. Arbeláez, M.Sc, CISSP, CISA: [email protected]. 2009
Para asegurar que la Alta Gerencia alcance los objetivos de negocio, ésta debe
dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre
la gestión de riesgos y los beneficios encontrados. Para cumplir esto, se necesita
identificar las actividades más importantes que deben ser desarrolladas, midiendo
el progreso hacia el cumplimiento de las metas y determinando lo bien que se
están desarrollando los procesos de TI. Aún más, necesita tener la habilidad de
evaluar el nivel de madurez de la organización y los modelos de mejores
prácticas, temas que se revisarán posteriormente.
El gobierno de TI es el grupo de liderazgo de las estructuras y los procesos
organizacionales que aseguran que las TI de la organización soportan y extienden
las estrategias y los objetivos organizacionales.
El gobierno de TI forma parte del gobierno corporativo, a continuación en el
siguiente gráfico se define el marco de gobernabilidad de TI, ver Figura 3.3:
106
Figura 3.3 - Modelo de Gobernabilidad de TI
Fuente: Pink Elephant, Gestión de Servicios de TI www.pinkelephant.com
El gobierno de TI se encuentra soportado por estándares y mejores prácticas:
! Para el control y auditoria de TI: Los marcos de trabajo son COBIT, y
COSO (Committee of Sponsoring Organizations of the Treadway
Commission. Comité de Organizaciones Patrocinadoras de la Comisión
Treadway. Se centra en el control interno, especialmente el financiero).
! Para la Administración de Proyectos: se plantea la utilización de PMI, el
cual es un estándar reconocido mundialmente por su efectividad en varios
ámbitos.
! Para el Desarrollo de Software: El empleo de metodologías como CMMI,
ASL, RUP.
107
! Para la Administración de Servicios de TI: ITIL y el Estándar ISO 20000
! Para el Manejo de Seguridades: El Estándar ISO 27000
! Para los sistemas de calidad: Six Sigma, ISO 9000
! Para la planeación de TI: Estrategias de SI TSO
De ser el caso cuando la organización tenga otros estándares o mejores prácticas
no mencionadas en este esquema, simplemente deberá alinearlas dependiendo
de su especialidad dentro del marco de gobernabilidad de TI.
3.1.2 OPERACIONES
Los procesos de datos e información, producto de las operaciones y procesos del
negocio, requieren la aplicación de técnicas y medidas de control en el marco de
un sistema de gestión que garantice la prestación de los servicios y la reducción
de vulnerabilidad a amenazas generadoras de riesgo que pongan en peligro la
estabilidad del sistema operacional, organizacional y del sistema macro del
negocio. Todo lo anterior, justifica la necesidad de optimizar los recursos de TI en
apoyo y alineación con los objetivos de negocio a través de procesos efectivos de
"Gestión de servicios de TI".
En las organizaciones existe un área, departamento, unidad o proceso de TI que
genera y provee los servicios de TI y un grupo de clientes internos (usuarios) y
externos (clientes) que demandan esos servicios y esperan su prestación
oportuna y con calidad. Las relaciones y comunicaciones entre el proveedor de TI
y los clientes de TI deben ser canalizadas a través de un sistema que garantice la
optimación de los procesos de entrega y soporte de servicios a través de la
consolidación de Gestión de Servicio TI.
Las inversiones en la infraestructura de TI y en los activos de información de las
organizaciones cada vez son más importantes, lo cual justifica la implantación de
108
sistemas que aseguren el rendimiento de los procesos basados en servicios de TI
para asegurar la reducción del costo total de propiedad (TCO) y un retorno de la
inversión (ROI) razonable. Hasta ahora, solo algunas empresas de alto nivel y
gran tamaño han asumido e incorporado a su cultura organizacional y estrategias
de negocio, los procesos de Gestión de Servicio TI basada en estándares y
mejores prácticas de aceptación internacional.
Este nuevo paradigma basado en el servicio debe tener un acercamiento a las
organizaciones de cualquier tamaño, las empresas deben adoptar y adaptar los
estándares y mejores prácticas bajo un enfoque de "Calidad de Servicio" y
oportunidad para el cambio del negocio con la aplicación de estándares
actualizados. Este paradigma se fundamenta en el mejoramiento continuo de la
Cultura de Servicio TI.
3.1.3 SEGURIDADES, CONTINUIDAD DEL NEGOCIO Y
ADMINISTRACION DE RIESGOS
La seguridad, continuidad y riesgos asociados con las tecnologías de la
información se constituyen en factores clave en el éxito de la organización,
mientras más maduros esten estos procesos, se cuenten con planes de
mitigación de riesgos, de acciones preventivas y correctivas, se asegurará la
normal operación del negocio, a continuación se describen estos elementos:
3.1.4 SEGURIDADES
Tiene como fin la protección de la información y de los sistemas de información
del acceso, uso, divulgación, interrupción o destrucción no autorizada.
La Seguridad de la Información se refiere a la confidencialidad, integridad y
disponibilidad de la información y datos, independientemente de la forma los
datos pueden ser: electrónicos, impresos, de audio u otras formas.
109
Además, la seguridad de la información involucra la implementación de
estrategias que cubran los procesos en donde la información es el activo
primordial. Estas estrategias deben tener como punto primordial el
establecimiento de políticas, controles de seguridad, tecnologías y procedimientos
para detectar amenazas que puedan explotar vulnerabilidades y que pongan en
riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto
información como los sistemas que la almacenan y administran.
Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que
las políticas y controles establecidos para la protección de la información deberán
revisarse y adecuarse, de ser necesario, ante los nuevos riesgos que surjan, a fin
de tomar las acciones que permitan reducirlos y en el mejor de los casos
eliminarlos.
Estandares de Seguridad de la Información:
ISO/IEC 27001 Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información
(SGSI)
ISO/IEC 27002 Especifica las fases para la implantación de un SGSI en una
pequeña/mediana empresa de la mano de un esqueleto de implantación de un
SGSI y consulta los espacios dedicados a la implantación de controles para
obtener un conocimiento y posibles soluciones de implantación a cada uno de
ellos.
La familia de normas ISO/IEC 27000-series / ISO/IEC 17799
3.1.4.1 Gestión de la continuidad
La gestión de la continuidad del negocio es la actividad que se lleva a cabo en
una organización para asegurar que todos los procesos de negocio críticos
estarán disponibles para los clientes, proveedores, y otras entidades que deben
acceder a ellos. Estas actividades incluyen un gran número de tareas diarias
como gestión de proyectos, copias de seguridad de los sistemas, control de
110
cambios y helpdesk. La gestión de la continuidad no se implanta cuando ocurre
un desastre, si no que hace referencia a todas aquellas actividades que se llevan
a cabo diariamente para mantener el servicio y facilitar la recuperación en caso de
su ausencia.
La base de la gestión de la continuidad son las políticas, guías, estándares y
procedimientos implementados por la organización. Todo el diseño,
implementación, soporte y mantenimiento de los sistemas debe estar
fundamentado en la obtención de un buen plan de continuidad del negocio,
recuperación de desastres y en algunos casos, soporte al sistema. En ocasiones
la gestión de la continuidad se confunde con la gestión de la recuperación tras un
desastre, pero son conceptos diferentes. La recuperación de desastres es una
pequeña parte de la gestión de la continuidad.
El término continuidad del negocio describe una filosofía o metodología de
desarrollar la actividad del negocio, mientras que la planificación de la continuidad
de negocio es la actividad que determina cual debe ser esta metodología. El plan
de continuidad del negocio puede ser visto como la metodología utilizada por los
usuarios de la organización diariamente para asegurar el desarrollo normal del
negocio.
3.1.4.2 Gestión del Riesgo Informático
Los riesgos de seguridad de información deben ser considerados en el contexto
del negocio, y las interrelaciones con las funciones internas a la organización,
tales como recursos humanos, desarrollo, producción, operaciones,
administración, TI, finanzas, etc. Identificando a los clientes para obtener un
panorama global y completo de riesgos.
Teniendo en cuenta que la materialización de un riesgo causaría daños o
pérdidas financieras o administrativas a una empresa u organización, se tiene la
necesidad de poder estimar la magnitud del impacto del riesgo a que se
encuentra expuesto mediante la aplicación de controles.
111
Dichos controles, para que sean efectivos, deben ser implementados en conjunto
formando una arquitectura de seguridad con la finalidad de preservar las
propiedades de confidencialidad, integridad y disponibilidad de los recursos
objetos de riesgo.
ISO/IEC 27005 Esta Norma proporciona directrices para la Gestión del riesgo de
Seguridad de la Información en una Organización. Sin embargo, esta Norma no
proporciona ninguna metodología específica para el análisis y la gestión del riesgo
de la seguridad de la información.
3.2 ALINEACIÓN DE ESTÁNDARES Y/O MEJORES PRÁCTICAS
Empezar por definir un marco de trabajo, con los estándares definidos e
identificados la unidad organizacional donde serán aplicados, se debe realizar los
mapeos de dominios, procesos involucrados para evitar la redundancia de
actividades.
Después de definir los estándares, es necesario hacer una alineación para
conseguir una estandarización organizacional de conceptos, nomenclatura, y
procesos a ser utilizados.
Ejemplo: Trabajar con los estándares COBIT e ISO 20000 para la Gestión de
Servicios, se debe establecer la interrelación entre estos estándares, unificar la
nomenclatura, y definir los ítems a aplicar, ya que un estándar o mejor práctica no
se va a seguir al pie de la letra, sino se debe extraer las partes relevantes de
acuerdo a las necesidades y lineamientos de la organización.
A continuación se presenta un ejemplo del esquema mencionado para la
alineación de los estándares/mejores prácticas. Figura 3.4.
112
Esquema de alineamiento
Figura 3.4 - Alineación de Estándares
3.1.4.1 Dominios y Procesos
A continuación en la Tabla 3.1 se describen los dominios de acción para el uso de
los estándares con base al estándar COBIT, ITIL e ISO 27001.
Tabla 3.1- Dominios de COBIT
I
Planeación y
Organización
II
Adquisición e
implementación
III
Entrega y Soporte
IV
Monitoreo
•Definir plan
estratégico de TI
•Definir arquitectura de
información
•Determinar la
dirección tecnológica
•Definir la organización
•Identificar
Soluciones
•Adquirir y mantener
software de
aplicación
•Adquirir y mantener
arquitectura de
•Definir Nivel de
Servicio
•Administrar
servicios prestados
por terceros
•Administrar
desempeño y
•Monitorear los
procesos
•Evaluar lo
adecuado del
control interno
•Obtener
aseguramiento
113
de las relaciones de TI
•Manejar la inversión
en TI
•Comunicar la dirección
y aspiraciones de la
gerencia
•Administrar recurso
humano
•Asegurar el
cumplimiento de
requerimientos
externos
•Evaluar riesgos
•Administrar proyectos
•Administrar calidad
tecnología
•Desarrollar y
mantener
procedimientos
relacionados con TI
•Instalar y acreditar
sistemas
•Administrar
cambios
capacidad
•Asegurar servicio
continuo
•Garantizar
seguridad de
sistemas
•Identificar y
asignar costos
•Educar y entrenar
a los usuarios
•Apoyar y asistir a
los clientes de TI
•Administrar la
configuración
•Administrar
problemas e
incidentes
•Administrar datos
•Administrar
instalaciones
•Administrar
operaciones
independiente
•Proporcionar
auditoría
independiente
Fuente: Cobit versión 4.0
Con base a los dominios COBIT utilizados se realiza un alineamiento con las
mejores prácticas de ITIL e ISO 27000 que se presenta en la tabla 3.2 la
alineación del dominio Planeación y Organización, en la tabla 3.3 la alineación del
dominio Adquisición e implementación, en la tabla 3.4 la alineación del dominio
Entrega y Soporte y en la tabla 3.5 la alineación del dominio Monitoreo.
114
Tabla 3.2 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Planeación y Organización
DOMINIO COBIT:
Planeación y
Organización
ITIL
ISO 27000
Definir plan estratégico de
TI
•Alineación de negocio con
sistemas de información
•Administración de
infraestructura de TIC
•Administración de la
provisión de servicios
•Monitoreo y revisión de
procesos
•Seguridad de
infraestructura de
información
Definir arquitectura de
información
•Administración de
infraestructura de TIC
•Administración del ciclo de
vida de aplicaciones
•Requerimientos de
seguridad de sistemas
•Intercambio de información
y software
•Responsabilidad de activos
•Clasificación de
Información
•Manejo de medios
•Seguridad de
infraestructura de
información
•Requerimientos del
negocio para acceso de
información
Tabla 3.3 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Adquisición e implementación
DOMINIO COBIT:
Adquisición e
Implementación
ITIL
ISO 27000
•Adquirir y mantener
•Administración de
•Seguridad de sistemas de
115
arquitectura de tecnología
infraestructura de TIC
archivos
•Procedimiento de
Seguridad de equipo
operativos y
responsabilidades
•Control de acceso al
sistema operativo
•Monitoreo de acceso a
sistemas
•Auditoria de sistemas
•Seguridad en desarrollo y
procesos de soporte
•Instalar y acreditar
sistemas
•Administración de
infraestructura de TIC
•Administración de
liberaciones
•Administración del ciclo de
vida de aplicaciones
•Administración de Cambios
•Seguridad de sistemas
•Planeación y aceptación de
sistemas de archivos
•Procedimientos operativos
y responsabilidades
•Seguridad en desarrollo y
procesos de soporte
•Infraestructura de sistemas
de información
•Responsabilidad de activos
Tabla 3.4 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Entrega y Soporte
DOMINIO COBIT:
Entrega y Soporte
ITIL
ISO 27000
•Administrar servicios
•Administración de
•Infraestructura de sistemas
116
prestados por terceros
relaciones con proveedores
•Administración del Nivel de
Servicio
de información
•Seguridad de acceso a
terceros
•Planeación y aceptación de
sistemas
•Procedimientos operativos
y responsabilidades
•Seguridad en desarrollo y
procesos de soporte
•Controles criptográficos
Tabla 3.5 - Alineación COBIT-ITIL-ISO 27000 - Dominio: Monitoreo
DOMINIO COBIT:
Monitoreo del proceso
ITIL
ISO 27000
Monitoreo del proceso
•Administración de
infraestructura de TIC
•Administración del Nivel de
Servicio
•Mesa de Servicio
•Administración de
perspectiva con el negocio
•Cumplimiento con
requerimientos legales•
•Seguridad de acceso a
terceros
•Planeación y aceptación de
sistemas
•Procedimientos operativos
y responsabilidades
•Seguridad en desarrollo y
procesos de soporte
•Controles criptográficos
117
Esquema para la alineación con estándares/mejores prácticas y servicios de
TI
Figura 3.5 - Esquema para la alineación de mejores prácticas y servicios de TI
Fuentes: Para lograr este resumen se utilizaron las fuentes bibliográficas
Aligning COBIT, ITIL and ISO 17799 for Business Benefit
http://www.itgovernance.co.uk/files/ITIL-COBiTISO17799JointFramework.pdf
ITIL: What is it? How does ITIL link to COBIT and ISO 17799
http://www.isacaottawa.ca/itil_16may2009.pdf
COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance
http://www.forrester.com/Resea
3.3 ALINEACIÓN DE TI CON LOS OBJETIVOS DEL NEGOCIO
Los planes operacionales de la Coordinación de Gestión de Tecnología CGT por
definición deben ser coherentes con los objetivos estratégicos del Centro. Se
busca entonces, derribar las barreras de comunicación existentes entre la CGT y
la organización. La situación resultante, establece una comunicación directa entre
los objetivos de la organización y los objetivos de la CGT. El plan tecnológico,
además de contener los proyectos a desarrollar, debe contener de manera clara
las prioridades del CEC para la asignación de recursos que soportarán estas
118
implementaciones. Ver Figura 3.12 sobre el esquema de alineamiento de
estrategias.
Alineamiento de estrategias
Figura 3.6 - Esquema de alineamiento
El papel del responsable de la CGT es el de un interlocutor de los requerimientos
organizacionales y de responder a las necesidades de los procesos productivos
alineando la propuesta del Plan de TI.
3.3.1 DEFINICIÓN DE ESTRATEGIA DE ALINEAMIENTO
En esta fase, la CGT debe plantearse como un reto el sacar mayor provecho de
las nuevas tecnologías de información mediante su uso adecuado y novedoso a
partir de la correcta aplicación de éstas, consiguiendo ventajas competitivas.
La mejor manera de lograr este objetivo es integrar las posibilidades de las TICs
con la estrategia de la empresa. A esta metodología se le conoce como
integración “activa” de las estrategias de TI en el negocio.
Estrategia / Necesidades
Corporativas
Estrategia / Necesidades de cada
Unidad de Negocio
Plan de TI
119
3.3.2 PROCEDIMIENTO DE PLANIFICACIÓN DE TI A PARTIR DE LA
ESTRATEGIA DE NEGOCIO
Un Plan de Sistemas y Tecnologías de Información debe incluir en función de la
estrategía y objetivos de la organización:
• Una lista de proyectos a desarrollar en el corto, mediano y largo plazo,
• Una descripción exacta de la situación actual al momento de elaborar el
plan,
• La prioridad de cada proyecto,
• Para los proyectos a desarrollar en el primer año, el detalle suficiente para
poder ser incluidos en el presupuesto anual de la organización,
• Mecanismos de evaluación y definición de métricas adecuadas,
• Una lista de áreas de oportunidad para que TI sea utilizado como
herramienta de soporte del negocio.,
Este plan deberá ser elaborado en conjunto la Dirección - Alta Gerencia de la
organización, con el Coordinador de Gestión de Tecnología. Es importante
señalar que el contenido del plan en esta fase es muy poco tecnológico, ya que la
perspectiva bajo la que se elabora este plan es fundamentalmente la de reglas del
negocio. Este debe integrar las necesidades de información emanadas del cruce
de las directrices estratégicas de la organización con las funciones de negocio de
las distintas unidades del CEC.
3.3.3 ESQUEMA GENERAL DEL PROCEDIMIENTO PARA ELABORAR UN
PLAN DE TI
Las actividades que se describen en este procedimiento deben entenderse como
recomendaciones que hay que tener en cuenta para elaborar un plan de TI, y no
cómo hacerlo. Los componentes de los equipos de trabajo serían entonces:
120
Comité de Tecnologías y Sistemas de Información. Es el órgano con
responsabilidad última sobre la aplicabilidad de las tecnologías, requerimientos u
aplicaciones a utilizar. Estará conformado por el Director General, los
Coordinadores de las unidades funcionales y el Coordinador de TI. Dependiendo
del caso este Comité solicitará el soporte de un Experto-Consultor externo.
Equipo de trabajo. Lleva a cabo el trabajo operativo encaminado a elaborar el
Plan tecnológico. Está dirigido formalmente por el Coordinador de TI (CTI), y por
el Líder operativo de proyecto (LOP) designado.
Grupo Base. Está integrado por el Coordinador de TI, el LOP y los técnicos de
desarrollo y soporte, eventualmente también constituido por consultores o
recursos externos, involucrados dependiendo de la complejidad del proyecto a ser
implementado.
Las fases principales del procedimiento de planificación son las siguientes:
Fase I. Presentación y compromiso del equipo.
En esta fase, se constituye el equipo de trabajo que llevará a cabo el esfuerzo de
planificación y su presentación a la organización. Es imprescindible que todas las
unidades de la organización sean conscientes de que un Plan de TI es un plan de
toda la organización.
Fase II. Descripción de la situación actual.
El siguiente paso es describir la situación actual de la organización desde dos
puntos de vista: 1) El Negocio, y 2) Los sistemas existentes.
Fase III. Elaboración del Plan de TI.
En esta fase se lleva a cabo la planificación propiamente dicha. El primer paso es
documentar las necesidades de información de las distintas áreas funcionales del
negocio. Una vez documentadas, se deben formular propuestas de actuación que
incidan directamente con las líneas estratégicas de la organización.
121
Fase IV. Programación de actividades.
En esta fase se detallan las acciones específicas en forma de proyectos a llevar a
cabo durante el primer año de vigencia del plan.
Fuente: Gestión Administrativa: Tecnológico de Monterrey: Sergio Martín Huerta Contreras
http://homepages.mty.itesm.mx/al782836/Resumen1.htm
3.3.4 CONSIDERACIONES ADICIONALES
El procedimiento descrito puede variar dependiendo de factores como el tipo de
organización y tamaño. Sin embargo, al menos los siguientes aspectos del
procedimiento deben permanecer:
Descripción y crítica de los sistemas existentes. Esto implica incluir en el informe
el resultado de los análisis de las funciones de negocio utilizadas.
• Esquema global de la estructura de las nuevas soluciones, detallando
procesos y estructuras de datos,
• Uso de mejores prácticas y estándares,
• Descripción detallada del Plan de TI,
• Calendario de actividades en el período planificado, con el presupuesto
correspondiente,
• El “espíritu” que preside todo el procedimiento: Centrado en el negocio, y
desarrollado por personal de la propia organización.
El proceso puede durar desde 1 a 2 semanas hasta 4 a 5 meses, dependiendo de
la complejidad y el tamaño del negocio. En los casos de más larga duración es
importante que el director operativo del proyecto lo planifique y lo controle; de otro
modo, se alargaría aún más.
Adicionalmente se recomienda utilizar herramientas informatizadas que puedan
ser útiles en el desarrollo del proceso de planificación.
122
Finalmente, desde un punto de vista operativo, es importante que los resultados
de las distintas actividades vayan registrándose en documentos diseñados para
tal efecto.
3.4 REQUISITOS PARA IMPLEMENTACIÓN.
El proceso de implantación de gobierno de TI asiste a los diferentes niveles de la
organización, definiendo una estrategia planificada que le ayude en la
implementación de las necesidades de Gobierno de TI.
Identificar qué componentes de mejores prácticas o estándares deben ser
mejorados desde las necesidades iníciales hasta la implantación total de la
solución propuesta. La guía de implementación presenta un proyecto que puede
ser de largo plazo y que requiere prácticas estrictas de gestión de proyectos.
3.4.1 PRIORIZACIÓN
Para evitar implementaciones costosas y fuera de alcance, se necesita asignar
prioridad a los estándares y mejores prácticas, tomando en cuenta:
• Que la estrategia de TI está en la agenda de la alta gerencia,
• Guiar a la alta gerencia ayudando a alinear las iniciativas de TI con las
necesidades reales del negocio y asegurarse que se observa el impacto
potencial del negocio en los riesgos asociados a TI y en planes de
beneficio costo,
• Establecer un grupo de administración de TI o un consejo de gobierno de
TI con responsabilidades para comunicar los problemas de TI a la alta
gerencia, y plantear sus soluciones,
123
• Insistir en que exista un marco de administración para el gobierno de TI
con visión común, y un marco de mejores prácticas para administración de
servicios, basado en estándares,
Para poder valorizar y priorizar los requerimientos se puede utilizar una
herramienta de análisis llamada MATRIZ DE PRIORIZACION como se observa la
tabla 3.6, que compara cada uno de los problemas a tratar con todos los demás
(filas vs columnas), valorando y puntuando dicha comparación, en base al
esquema siguiente:
Tabla 3.6 Metodología de Priorización
124
3.4.2 MODELO DE MADUREZ
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un método de asignación de puntos para que una
organización pueda calificarse desde Inexistente hasta Optimizada (de 0 a 5).
Este planteamiento se basa en el Modelo de Madurez que el Software
Engineering Institute definió para la madurez de la capacidad de desarrollo de
software. Cualquiera sea el modelo, las escalas no deben estar demasiado
simplificadas, lo que haría que el sistema fuera difícil de usar y sugeriría una
precisión que no es justificable.
Modelo Genérico de Madurez
0 Inexistente. Total falta de un proceso reconocible. La organización ni
siquiera ha reconocido que hay un problema que resolver.
1 Inicial. Hay evidencia de que la organización ha reconocido que los
problemas existen y que necesitan ser resueltos. Sin embargo, no hay
procesos estandarizados pero en cambio hay métodos ad hoc que tienden
a ser aplicados en forma individual o caso por caso. El método general de
la administración es desorganizado.
2 Repetible. Los procesos se han desarrollado hasta el punto en que
diferentes personas siguen procedimientos similares emprendiendo la
misma tarea. No hay capacitación o comunicación formal de
procedimientos estándar y la responsabilidad se deja a la persona. Hay un
alto grado de confianza en los conocimientos de las personas y por lo tanto
es probable que haya errores.
3 Definida. Los procedimientos han sido estandarizados y documentados,
y comunicados a través de capacitación. Sin embargo se ha dejado en
manos de la persona el seguimiento de estos procesos, y es improbable
125
que se detecten desviaciones. Los procedimientos mismos no son
sofisticados sino que son la formalización de las prácticas existentes.
4 Administrada. Es posible monitorear y medir el cumplimiento de los
procedimientos y emprender acción donde los procesos parecen no estar
funcionando efectivamente. Los procesos están bajo constante
mejoramiento y proveen buena práctica. Se usan la automatización y las
herramientas en una forma limitada o fragmentada.
5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor
práctica, basados en los resultados de mejoramiento continuo y diseño de
la madurez con otras organizaciones. TI se usa en una forma integrada
para automatizar el flujo de trabajo, suministrando herramientas para
mejorar la calidad y la efectividad, haciendo que la empresa se adapte con
rapidez.
Las escalas del Modelo de Madurez ayudarán al responsable de la Coordinación
de Gestión Tecnológica a explicar a la Alta gerencia dónde existen deficiencias en
la administración de TI y a fijarse objetivos para donde necesitan estar
comparando las prácticas de control de su organización con los ejemplos de la
mejor práctica. El nivel correcto de madurez estará influenciado por los objetivos
de negocio y el entorno operativo de la empresa. Específicamente, el nivel de
madurez de control dependerá de la dependencia de TI que tenga la empresa, de
la sofisticación de la tecnología y, lo que es más importante, del valor de su
información
3.4.3 FASES DE IMPLEMENTACIÓN
Es de vital importancia el poder tener un plan de implementación para lo que se
plantea las fases del proceso de implantación de gobierno de TI en una
organización, que se describen en la Figura 3.7:
126
Figura 3.7 - Fases del proceso de implantación de gobierno de TI
Las fases del proceso de implantación de gobierno de TI en una organización son:
1. Identificar necesidades. Los siguientes cuatro pasos son necesarios en la
fase inicial de un proyecto de implantación de Gobierno de TI:
a) Entender el entorno en el que se va a desarrollar el proceso de
implantación de gobierno de TI y establecer un proyecto adecuado.
b) Entender los objetivos de negocio y cómo trasladarlos a objetivos de TI.
c) Entender los riesgos potenciales y la forma en la que estos pueden
afectar a los objetivos de TI.
d) Definir el alcance del proyecto y qué procesos deben ser implantados o
mejorados.
2. Análisis de la solución. Esta fase prevé la solución y está compuesta de tres
pasos. Se debe fijar el estado de madurez actual de los procesos de TI
seleccionados y el estado de madurez objetivo en el que se desea que estén tras
implantar la solución. El análisis de la distancia entre la situación actual y la
situación en la que se desea estar se convierte en oportunidades de mejora.
3. Planificación de la solución. En esta fase se identifican iniciativas de mejora
factibles y se las traslada a proyectos justificados. Tras su aprobación, dichos
127
proyectos deben ser integrados en la estrategia de mejora con un plan detallado
para alcanzar la solución.
4. Implementar la solución. Conforme los proyectos van avanzando, el resultado
del mismo debe ser monitorizado y dichos resultados deben servir para tomar
decisiones acerca de las siguientes iteraciones sobre cada uno de los procesos
que se han implementado.
Ulizando las fases de implementaación descritas, se propone el siguiente
cronograma para implementación del modelo en un fase piloto. Figura 3.8
Figura 3.8 - Plan de Implementación del Modelo de Gestión de Servicios de TI
3.5 MODELO DE GESTIÓN DE SERVICIOS DE TI.
La Gestión de Servicios de TI está basada en un conjunto de procesos y
procedimientos, cuyo fin es alinear Servicios de TI ofrecidos por la Coordinación
de Gestión de Tecnología (CGT) con los objetivos estratégicos del Centro de
Educación Continua (CEC). En este marco el Sistema de Gestión de Servicios de
TI establecerá un conjunto integrado entre aplicaciones, procesos, infraestructura,
128
información, personas, conocimiento, para alcanzar un óptimo apoyo a los
objetivos del CEC.
Tomando como referencia el estándar ISO/IEC 20000, las mejores prácticas de
ITIL V3, los objetivos de control COBIT y acorde a situación de la CGT se diseñan
las siguientes fases para la implantación de un Sistema de Gestión de Servicios
de TI y también se elegirá un Servicio de TI de la CGT para planificarlo, diseñarlo,
implantarlo y ponerlo en funcionamiento, el servicio de TI elegido servirá como
modelo para la implantación de los demás servicios de TI que ofrece la CGT.
En la Figura 3.9 se detallan los procesos considerados para el Modelo de Gestión
de Servicios de TI para la CGT, el gráfico trata de mostrar que todos los procesos
están relacionados entre si, y que tienen siempre una relación con los clientes y el
nivel Directivo de la CGT. Lo que se trata recalcar es que el existo de la Gestión
de Servicios de TI esta interrelacionado con todos los procesos que permiten
proveer los Servicios de TI.
129
Figura 3.9 - Modelo de Gestión de Servicios de TI para la CGT
Con base al Modelo de Servicios ITIL se describen los procesos y prácticas que
se recomienda ser implementadas en la Coordinación de Gestión de Tecnología
del Centro de Educación Continua.
En esta fase inicial se planifican e implementaran funciones y procesos que
faciliten la administración de los Servicios de TI que ofrecerá la CGT al CEC.
3.5.1 DESCRIPCIÓN DE LOS PROCESOS PARA LA GESTIÓN DE SERVICIOS
DE TI
Esta fase de descripción se fundamenta en ITIL V3, donde se indica paso a paso
el orden de cada uno de estos procesos, que para esta propuesta se presentan a
continuación.
130
3.5.1.1 Planificación de Servicios
Para el servicio a ser implementado se debe definir una estrategia del servicio,
realizar un análisis de la demanda y financiero.
3.5.1.1.1 Gestión de la Demanda
Este es un proceso crítico en la planificación del servicio ya que existe el riesgo
de tener subutilización debido a la existencia de un exceso de capacidad instalada
lo genera costo a la empresa y sobre utilización de la capacidad instalada
generando sobre todo insatisfacción en clientes. La primera fuente de análisis
son: los procesos del negocio, siendo su análisis clave para identificar los
patrones de las actividades y los perfiles de los usuarios.
3.5.1.1.2 Gestión de Financiera
Es una herramienta que permite tanto al negocio como a TI, cuantificar en
términos económicos el valor del Servicio de TI. Para cuantificar el valor de un
Servicio de TI se deberá analizar todas las partes involucradas desde
proveedores, recursos, talento humano, usuarios y considerar también que en
cualquiera de estos grupos de involucrados existirán gastos compartidos, gastos
directos e indirectos, los cuales deberán ser identificados, con el fin de obtener un
valor del Servicio de TI que refleje la realidad.
3.5.1.2 Diseño del Servicio
El diseño de servicios de TI debe estar acorde a las prácticas que rigen TI, los
procesos y políticas, garantizan la calidad de la prestación de servicios, y la
satisfacción del cliente.
También debe ser de manera eficaz a fin de que no se requiera cambios de gran
impacto en su ciclo de vida. Sin embargo, la mejora continua debería integrarse
en todas las actividades del diseño de servicios para garantizar que las soluciones
y diseños sean cada vez más efectivos en el tiempo e identificar las tendencias
del negocio que ofrecer oportunidades de mejora.
131
Para diseñar un Servicio de TI se deberá realizar acuerdos de nivel de servicio,
diseñar la capacidad, disponibilidad, continuidad, seguridad de la Información,
contratos con los proveedores.
3.5.1.2.1 Gestión del Catálogo de Servicios
La Gestión del Catálogo de Servicios de TI tiene como finalidad asegurarse de la
realización y edición del Catálogo de Servicios de TI, el cual debe contener
información de los servicios operacionales y los que se están desarrollando. La
gestión del catálogo provee información para los procesos de Gestión de
Servicios de TI.
3.5.1.2.2 Gestión del Nivel de Servicio
En esta etapa se debe acordar y documentar apropiadamente los objetivos del
Servicio de TI con los representantes del negocio y luego revisar con los
proveedores del Servicio de TI la capacidad de entrega acorde a los niveles que
se acuerden. En este proceso se deben definir, producir y mantener los
siguientes documentos:
Acuerdo de Nivel de Servicio SLA.- Es un documento formal que deberá
ser mantenido entre TI y los representantes del negocio, donde se
presentan las condiciones en las que el Servicio de TI operara.
Solicitud de Nivel de Servicio SLR.- Este documento servirá para la
solicitud de un cambio o mejora de un servicio de TI que está operando, el
cual deberá ser llenado por los Representantes del Negocio.
Acuerdo de Nivel Operacional OLA.- Este documento especifica los
acuerdos internos entre TI sobre las responsabilidades individuales y
compartidas para la provisión de un Servicio de TI.
132
3.5.1.2.3 Gestión de la Capacidad del Servicio
La Gestión de la Capacidad debe garantizar un costo justificable de
infraestructura operativa de TI en su conjunto y se relacione de acuerdo a las
necesidades actuales y futuras del negocio.
Este proceso se involucra desde que se crea hasta que expira el Servicio de TI y
es un factor crítico de éxito para su provisión, la capacidad debe estar alineada a
la demanda.
También se debe realizar y mantener actualizado un Plan de Capacidad del
Servicio de TI , el cual refleje las necesidades actuales y futuras del negocio como
también requerimientos cuantificados en términos de recursos, costos, beneficios,
impactos, etc.
Analizar los eventos, entradas, salidas que se interrelacionan con la Capacidad de
Servicio de TI, así como también definir algunos Indicadores Clave de
Rendimiento para realizar el seguimiento y monitoreo de la situación actual de la
capacidad del Servicio de TI, para poder prevenir oportunamente desfases y
contar con elementos para la mejora.
3.5.1.2.4 Gestión de la Disponibilidad del Servicio
El objetivo de la Disponibilidad del Servicio es asegurar que los niveles de
entrega del servicio este acorde a las necesidades actuales del negocio de forma
efectiva.
Se debe elaborar y mantener actualizado un plan de disponibilidad que refleje las
necesidades actuales y futuras del negocio, también se debe asistir con el
diagnóstico y resolución de incidentes relacionados con la disponibilidad.
Analizar los eventos, entradas, salidas que se interrelacionan con la
Disponibilidad de Servicio de TI, así como también definir algunos Indicadores
133
clave de rendimiento para monitorear el funcionamiento de la disponibilidad del
Servicio de TI.
3.5.1.2.5 Gestión de Proveedores
El objetivo de la Gestión de Proveedores es la administración de los proveedores
y los contratos generados para garantizar que se cumplan a cabalidad las
cláusulas acordadas y de esta manera asegurar y garantizar la efectiva
disponibilidad de los recursos que utiliza el Servicio de TI para su entrega.
Entre algunas de las actividades que deberían desarrollarse en esta fase son:
Identificación de las necesidades del Negocio para enviar una solicitud de
servicios requeridos a los proveedores, realizar las evaluaciones y selección de
las mejores ofertas, calificación de nuevos proveedores, revisiones y evaluación
periódicas de los contratos actuales.
3.5.1.3 Transición de Servicios
Esta fase tiene como misión implantar un nuevo servicio de TI o actualizar uno
que esté operando, haciéndolo de una manera eficiente, segura, controlada y
documentada, logrando así evitar un impacto negativo y minimizar el riesgo en la
implantación.
Para controlar los impactos que involucra un cambio se debe fundamentar en una
política de transición del Servicio la cual indicará las actividades que permiten
realizar el cambio de manera controlada y mantener un historial de los cambios
realizados con la finalidad de poder responder a cualquier incidente provocado al
ejecutar el cambio.
Lo relevante de esta fase es: que todo cambio debe ser probado, validado y
documentado indicando temas como: ¿Quién solicita el cambio?, ¿Qué
componentes se cambian?, ¿Qué o quienes se afectan con el cambio?, ¿Cómo
se puede volver al estado anterior?.
134
Estos son temas que permitirán reaccionar en caso de alguna novedad o
incidente y no necesariamente a la persona que hizo el cambio ya que toda la
información deberá estar documentada y almacenada en el Sistema de Gestión
del Conocimiento.
3.5.1.3.1 Gestión de Cambios
El objetivo de la Gestión de cambios es garantizar que los cambios sean
debidamente priorizados, evaluados, planeados, autorizados, probados,
implementados, documentados. Para cumplir con el objetivo se debe contar con
una Política de Gestión de Cambios y un Sistema que permita realizar el
seguimiento de las fases de las actividades para la realización de un cambio.
Este proceso se asegura que todos los cambios sean debidamente registrados,
evaluados, autorizados, planeados e implementados, documentados y revisados
de una manera controlada y estén alineados con la Gestión de Cambios del
Negocio adicionalmente con la Gestión de Cambios de los Proveedores.
La Gestión de Cambios asegura que métodos y procesos estandarizados sean
utilizados para eficientemente para manejar un cambio y que todos los cambios
realizados en los elementos de configuración sean debidamente documentados y
registrados en un sistema de administración de cambios, los cambios
generalmente son iniciados con un documento de solicitud de cambio más
conocido por sus siglas en ingles RFC (Request Form Change).
3.5.1.3.2 Gestión de Configuraciones
Se debe definir e implementar un Sistema para la Gestión de los elementos de
configuración que utilice una Base de datos (Configuration Managment Data Base
CMDB) en la cual se tenga un inventario de todos los ítems de configuración de
TI. Para lo cual deberá hacerse una adquisición, desarrollo o utilizar alguna de las
herramientas de código fuente libre para este efecto.
La Gestión de Configuraciones tiene como finalidad identificar, controlar, auditar,
verificar los elementos de configuración y componentes de los servicios,
135
incluyendo las versiones, documentación de línea base, los atributos y relaciones
entre ellos, para la integración y conformación de los Servicios de TI. También
debe garantizar el custodio para los elementos de configuración y activos
sensibles de TI brindando seguridad, durabilidad en ambientes propicios para tal
efecto.
La Gestión de Configuraciones también es responsable de mantener un inventario
de los elementos de configuración como de los componentes de los servicios y
garantizar que todos los cambios realizados sean controlados y registrados.
3.5.1.3.3 Gestión de Implantación y Versión de Servicios
En este proceso se deben realizar planes de implementación y de liberaciones-
entregas con las partes relacionadas, también debe asegurarse que los
componentes para la implantación y liberación sean rastreables, probados y
verificados, caso contrario se deberá asegurar el restablecimiento al punto de
partida inicial.
Debe garantizarse la transferencia del conocimiento hacia los clientes o usuarios
sobre los beneficios del servicio para optimizar su uso en las actividades del
negocio.
Las liberaciones de componentes de un servicio de TI deben acogerse a las
Políticas de Liberaciones de la Coordinación de TI donde se normarán las
acciones a tomar para una nueva liberación.
3.5.1.3.4 Gestión de Validación y Pruebas del Servicio
Este proceso contribuye a asegurar la calidad del Servicio de TI ya que si no ha
sido probado lo suficiente antes de estar en producción el índice de riesgo de
ocurrencia de error es elevado, por lo que el objetivo principal de este proceso es
planear e implantar una conjunto de pruebas y validaciones en función de los
requerimientos del negocio y los acuerdos establecidos en los niveles de servicio,
previamente a su operación en producción.
136
3.5.1.4 Operación de Servicios
Esta etapa de operación del servicio implica la gestión de las actividades e
infraestructura que día a día son entregadas a clientes garantizando el correcto
funcionamiento del Servicio de TI.
El personal responsable de la operación del servicio debe tener competencias,
procesos y herramientas de soporte que les permita tener una visión global de la
operación y entrega del servicio para detectar algunas anomalías o fallas que
afecten la calidad del servicio entregado, antes de su ocurrencia (Mantenimientos
preventivos).
3.5.1.4.1 Gestión de Operaciones y Tecnología
Existen un conjunto de funciones que se deben definir para la normal operación
de los Servicios de TI implementados:
• Mesa de Servicios – Centro de Ayuda al Usuario
Se debe determinar un modelo de Mesa de Servicios Informáticos acorde a la
estructura de la organización, validando si la organización-CEC tiene sucursales,
horarios de trabajo, número de usuarios etc.
También se deben detallar los recursos a ser utilizados, como líneas telefónicas,
computadores, espacio físico, cuentas de email, etc.
El centro de ayuda al usuario o Mesa de Servicios es el primer punto de contacto
para los usuarios cuando hay una interrupción de servicio, una solicitud de
servicio o un cambio en un servicio. Frecuentemente el usuario se contacta vía
telefónica, email, o alguna interface Web.
Para la estructuración de un Centro de ayuda al usuario debe considerarse la
ubicación pueden ser locales, centralizados, virtuales, o permanentes las 24
horas, 7 días a la semana, dependerá de los requerimientos del negocio.
137
El entorno, la infraestructura y recursos necesarios para el funcionamiento deben
ser cuidadosamente definidos para una efectiva puesta en marcha y operación de
este servicio.
• Gestión de Operaciones de TI
La Gestión de Operaciones es un equipo o grupo de personas que se encargan
de ejecutar las tareas o actividades del día a día, para mantener el status quo,
entregar los Servicios de TI acorde a los Acuerdos de nivel de servicio.
Las actividades o tareas a ejecutarse como respaldos, generación de reportes,
revisión y control de respaldos en discos magnéticos DVS, entre otros, serán
especificadas por cada Servicio de TI al ser implantado.
Es importante mantener una documentación actualizada acorde a las actividades
y procedimientos que se ejecutan diariamente, él o los responsables de la
ejecución de las actividades deben registrar o documentar la gestión y resultados
de la ejecución de las tareas.
• Gestión de Aplicaciones
El proceso de Gestión de Aplicaciones es el que administra el ciclo de vida de una
aplicación, esta función será ejecutada por el departamento involucrado en la
administración y soporte de las aplicaciones.
La Gestión de Aplicaciones juega un rol importante en el diseño, pruebas y mejora
continua de las aplicaciones que forman parte de los servicios de TI, como
también pueden definirse proyectos de desarrollo de aplicaciones.
• Gestión Técnica
La Gestión Técnica se refiere al grupo, o equipo de trabajo que provee soporte
técnico y administrativo de la Infraestructura de TI. También provee los recursos
para entregar los Servicios de TI durante todo el ciclo de vida y se asegura de
138
que todos los recursos sean efectivamente diseñados, probados, construidos,
mejorados y optimizados para un efectivo soporte tecnológico de los Servicios de
TI.
3.5.1.4.2 Gestión de Incidentes
La Gestión de incidentes tiene por finalidad restablecer el servicio lo más pronto
posible en caso de fallo, y regresar a la operación normal para minimizar el
impacto negativo, los parámetros de operación normal estarán definidos en los
SLAs (Acuerdos de Niveles de Servicio), por lo que por cada servicio de TI se
debe comunicar a todos los implicados en su operación, validando y garantizando
que las definiciones de estos parámetros se cumplan debidamente.
3.5.1.4.3 Gestión de Problemas
Un incidente es una interrupción no planeada o una disminución en la calidad del
servicio de TI, también puede ser una falla de elemento de configuración que no
ha impactado aun al Servicio o que no ha sido reportada por algún usuario. Y un
problema es la causa de uno o más incidentes.
Este proceso es el responsable de prevenir y resolver los incidentes desde su
origen, en el menor tiempo posible definiendo actividades que mitiguen o
solventen el problema a ser implementadas a través de un control de tareas a
realizar para lo cual se deberá coordinar con la Gestión de Cambios y Gestión de
Liberaciones.
Los incidentes y problemas suscitados deben ser debidamente documentados y
las actividades realizadas para su solución, desde este punto de vista este
proceso es una parte clave en la alimentación de la administración de
conocimiento y uso de lecciones aprendidas para uso futuro del equipo técnico.
3.5.1.5 Mejora Continua de Servicios
La mejora continua del Servicio de TI debe enfocarse en maximizar la efectividad
y optimizar el costo de los servicios, la manera para alcanzar estos objetivos es
139
que las oportunidades de mejora sean identificadas a través del ciclo de vida de
un Servicio de TI.
Un punto importante para la mejora continua de un servicio es el levantamiento de
una línea base que es la situación actual que será el punto inicial para futuras
comparaciones. La línea base deberá ser documentada y definida en función de
métricas definidas en la fase de planificación del servicio.
3.5.1.5.1 Definición de indicadores en función de objetivos y metas.
Para la definición de indicadores existen algunos métodos que nos permiten
identificar los ratios de meta o de rendimiento, tal es así el proceso de mejora
continua define 7 pasos descritos en las mejores prácticas de ITIL, que se
mencionan a continuación:
1. Definir que debería medir,
2. Definir que puede medir,
3. Recolectar los datos,
4. Procesar los datos,
5. Analizar los datos,
6. Presentar y utilizar la información,
7. Implementar acciones correctivas,
Mediante este proceso de mejora continua se brinda los lineamientos a ser
aplicados a un Servicio de TI para lograr una mayor efectividad y eficiencia en la
entrega al usuario-cliente.
Fuente: ITIL Versión 3.0
140
3.5.2 IMPLEMENTACIÓN DE PROCESOS
Para la implementación de cada uno de los procesos o funciones descritas en la
sección anterior se debe recurrir a la información de las mejores prácticas de ITIL
V3 donde se explica y profundiza los componentes de cada uno de los procesos.
Para la implementación de los procesos se plantea el siguiente formato que
describe los componentes minimos que debería contener un proceso.
3.5.2.1 Objetivo
El objetivo describe lo que se pretende lograr con la ejecución del proceso.
3.5.2.2 Meta
Se debe indicar lo que se desea alcanzar con la ejecución del proceso.
3.5.2.3 Definiciones
Si existen términos definidos para el servicio o por la unidad de negocio, deberán
ser descritos en esta sección.
3.5.2.4 Políticas
Las políticas son las reglas con las que se rige la ejecución del proceso. Son las
prohibiciones o permisiones para la debida ejecución del proceso.
3.5.2.5 Flujograma
Se debe realizar un Flujograma de las actividades que se realizan para la
ejecución del proceso. La nomenclatura debe ser básica y estándar definida para
diagramas de flujo con la finalidad de que sea interpretada por cualquier persona.
3.5.2.6 Actividades
Se debe detallar y describir cada una de las actividades que se describen en el
Flujograma. Con la finalidad de que sea claro y entendible para todos
141
involucrados intervinientes en la ejecución del proceso o para otras personas
interesadas.
3.5.2.7 Entradas y salidas
Las entradas son los insumos que el proceso necesita para iniciar su ejecución,
las entradas podrían ser, informes, datos, solicitudes, formularios, archivos
digitales, etc.
Las salidas son los productos que genera el proceso.
3.5.2.8 Indicadores de Rendimiento
Los indicadores son identificadores que nos permiten evaluar la eficiencia y
eficacia de un proceso. Los indicadores generalmente están en función de los
objetivos.
3.5.2.9 Roles y Responsables
Los roles son definidos para el proceso y los responsables son los encargados de
ejecutar el rol. Se presenta en la tabla 3.7 un ejemplo para el registro de los roles
y responsables del proceso.
Tabla 3.7 - Roles y Responsables
ROL RESPONSABLE
3.5.3 IMPLEMENTACIÓN DE SERVICIOS
Para la Implantación de Servicios de TI se debe inicialmente identificar en el
proceso de Gestión de Catálogo de Servicios, aquí se presenta un formato de los
puntos que debería considerar un Servicio de TI para ser provisto a las áreas de
negocio del Centro de Educación Continua.
142
3.5.3.1 Objetivo del Servicio de TI
Se debe establecer cuál es el objetivo del Servicio de TI a ser provisto a las
Unidades del negocio del CEC.
3.5.3.2 Definición del Servicio
En la tabla 3.8 se describen las características y fundamentos del Servicio de TI
Tabla 3.8 - Definición de un Servicio de TI
Elemento Descripción
Servicio Nombre del Servicio
Estado Identificador del estado:
• Propuesto – Servicio en fase de desarrollo
• Producción – Servicio que está disponible a los clientes
• Archivado – Servicio que ya no está disponible a los clientes
Descripción Ofrece una breve descripción de los servicios a los clientes en
términos no técnicos.
Características
estándar
Describe las características y funciones de la disponibilidad del
Servicio a los colaboradores del CEC que reciben el servicio –
estos son provistos bajo los acuerdos de nivel de servicio
Características
opcionales
Describe características y funciones del servicio disponibles a
unidades de negocio y jerarquías especiales del CEC. Estas
características son únicamente provistas bajo acuerdos de nivel
de servicio especiales en los que se establece cuales son estas
jerarquías o unidades de negocio
Ice
Canales de
Entrega
Identifica cuales serán los canales de entrega del servicio como
podrían ser:
• Computadores personales
• Intranet, Internet
• Dispositivos móviles, etc.
Horas de
disponibilidad
Identifica los periodos de tiempo y horas operativas que el
servicio estará disponible para su entrega.
Requerimientos
del usuario
Indica los pre-requisitos que los colaboradores del CEC deberían
tener para recibir satisfactoriamente el Servicio
143
Elemento Descripción
Disposición del
Servicio
Identifica donde los colaboradores del CEC pueden obtener el
Servicio
Soporte del
Servicio
Identifica donde los colaboradores del CEC pueden ir para recibir
ayuda o soporte en el caso de ocurrir algún incidente o
problema.
Costo Estándar Indica algún costo que un empleado o unidad del CEC implica
con la utilización de las características estándar del servicio.
Costo Opcional Indica algún costo que un empleado o unidad del CEC implica
con la utilización de las características opcionales del servicio
Mercado del
Servicio
Describe expectativas para la entrega de servicio a los clientes
en términos no técnicos.
3.5.3.3 Flujograma del Proceso
Se debe realizar el Flujograma del Proceso que genera como resultado el Servicio
de TI. El Flujograma debe detallar las actividades y responsables de cada una de
ellas.
3.5.3.4 Actividades del Proceso
Se debe describir las actividades del proceso que tiene como resultado el Servicio
de TI.
3.5.3.5 Recursos para la provisión del Servicio de TI
En esta sección se describen los recursos necesarios para la provisión del
Servicio de TI.
3.5.3.6 Clientes del Servicio
Se debe detallar quienes son los clientes que recibirán el Servicio de TI.
144
3.5.3.7 Acuerdo de Nivel del Servicio
Se debe describir el Acuerdo de Nivel de Servicio acordado entre la CGT y las
unidades de negocio que reciben el Servicio de TI. Se debe realizar un formato
tipo plantilla.
3.5.3.8 Indicadores
Se deben definir los indicadores para poder evaluar la entrega del servicio y de
esta manera poder realizar una mejora continua sobre el servicio de TI.
145
4 APLICACIÓN Y EVALUACIÓN DEL MODELO EN
ETAPA PILOTO
La aplicación y evaluación del modelo de Gestión de Servicios de TI en la
Coordinación de Gestión Técnica (CGT) del Centro de Educación Continua (CEC)
de la Escuela Politécnica Nacional se realiza luego de la definición y diseño del
modelo. La aplicación y evaluación del modelo de Gestión de Servicios en la CGT
del Centro de Educación Continua de la Escuela Politécnica Nacional se
desarrolló durante dos meses, en el primer mes se realizaron, las encuestas,
políticas, definición de alcance y durante el segundo mes se procedió a la
implementación y evaluación de la implantación del modelo dentro de la CGT.
4.1 DEFINIR EL ALCANCE REQUERIDO PARA LA APLICACIÓN
DEL MODELO DE GESTIÓN DE SERVICIOS DE TI.
Para la definición del alcance de la implantación del Modelo de Gestión de
Servicios de TI en esta etapa piloto, se analiza desde dos premisas, la definición
de las mejores prácticas ITIL V3 donde su visión se enfoca en los Servicios de TI
y sobre la situación actual de la CGT en el CEC.
4.1.1 ENFOQUE DE IMPLANTACIÓN DE ITIL V3
Acorde a las recomendaciones y mejores prácticas de ITIL V3 en las que se
establece que la implantación debe ser enfocada de arriba hacia abajo desde la
perspectiva del negocio, también será quien determine la estrategia de TI, es
decir que los usuarios visualicen tempranamente la utilidad que brindan los
Servicios TI hacia los procesos del negocio.
ITIL V3 considera también los procesos de TI, pero enfocándose más en los
servicios de TI, teniendo presente que aunque los procesos son importantes,
estos son secundarios y su función sirve para planificar, entregar y dar soporte a
los servicios de TI, todo sometido a un ciclo de mejora continua.
146
4.1.2 SITUACIÓN DE LA COORDINACIÓN DE GESTIÓN DE TECNOLOGÍA
El análisis de la CGT se realiza con base a una encuesta basada en ITIL V3,
construcción de la matriz de priorización, encuesta del Modelo de Capacidad y
Madurez (CMM) y por el análisis FODA realizado a la CGT.
4.1.2.1 Encuesta basada en ITIL V3
Con base a ITIL V3 se realizaron encuestas al personal técnico de la CGT con lo
que se consiguió evaluar los 9 procesos de gestión de tecnología. Las encuestas
realizadas al personal de la CGT se presentan en el ANEXO B y los resultados se
muestran en la figura 4.1.
Figura 4.1 - Roseta de Resultados de Encuestas con base a ITIL V3 para análisis de
situación actual
4.1.2.2 Modelo de Capacidad y Madurez
Con base al estándar del Modelo de Capacidad y Madurez (CMM) permitió con
este fundamento realizar las encuestas al personal de la CGT sobre el nivel de
madurez que tienen para los procesos de gestión de tecnología. En la Tabla 4.1
se muestra el formato para la Evaluación del Gobierno de TI dentro de la CGT y la
priorización de tareas, mediante esta herramienta podremos analizar cuál es el
nivel de madurez sobre la gestión de TI y su estado actual en una escala de 1 a
5, siendo 5 el valor óptimo.
147
Las encuestas realizadas al personal de la CGT se prestan en el ANEXO C y los
resultados de las encuestas se visualizan en la Figura 4.2.
Los parámetros evaluados son:
• Conciencia y Comunicación,
• Políticas, normas y procedimientos,
• Fijación y medición de metas,
• Habilidades y entrenamiento,
• Responsabilidad y transparencia,
• Herramientas y automatización,
1
48
Tab
la 4
.1 -
Mo
del
o d
e E
ncu
esta
del
Mo
del
o d
e C
apac
idad
y M
adu
rez
�����
���
��
��
� ��
��
���
����
��
���
���
��
�
���
�
��
���
������������� �������
������������ �������
������������ �������
������������ �������
������������ �������
������������ �������
�� �����������
�� �����������
�� �����������
�� �����������
�� �����������
�� �����������
�������� �������� ������
�������� �������� ������
�������� �������� ������
�������� �������� ������
�������� �������� ������
�������� �������� ������
�������� �������� ��� ���
�������� �������� ��� ���
�������� �������� ��� ���
�������� �������� ��� ���
�������� �������� ��� ���
�������� �������� ��� ���
���������������������
���������������������
���������������������
���������������������
���������������������
���������������������
���
��
����
�
���
���
� �
�
��
��
����
���
�
�����
�� �
��
���
�
!�
��
���
��
�
�
"��
#�$
����
�
���
���
��
�
��
���
���
%��
&��
����
��
���
�
�
���
��
��
�
'��
(�
�!
���
����
��
�
��
��
�
���
����
)��
&�
����
��
����
�
��
�
�����
����
*!
���
����
�����
� ������������������������
������������������ ��
����������������� �����������
��������������������������
��� ����������������������
� �������������������
�
�����������������
� �� ��
���������!��� ���
"������������ ������������
�� �������������� �����
#������� ���������$�� ���%�
� ��������������������%�
���&��������� ������
�������
������� ������
������������� �������
����������������������
����������������#�"����
���������'���&�������������
��������������� ����
�� ������������� ��������
����������������!� ������
�����
���� ��������������������
��(����������� �����������
������������ ���������
)������������ ������������
�������� ����� ������������
������������������
�������
'���������� �������
����������*��
�������(����������
��������������������
���� ��������������
��������� ���
+� ���������
����� �����
������� ������%�
���� ��������������
����� ���������
����������
�$����������
��
���
��
��
����� ���� ������ �������
� �������������������������
������������������ �����
�����!����������������������
� �����������%� �����������
���������������������� ��
���������������������������
���������� ����������
��!�,� �� ����������������
�������������
-
�����������������
� �� ��
�������������������
�������������������
������������
)������������&��������
� �������������
����������������� �(�����
�� ������ �������.����������
�������!�������������������
(������� �������%
!������������!����������
���������������������
!�������������� ����&������
���������.)�#�"������������
"����/0�&�����������������
�� ���������� ��������
���������
+�(��������� � �� �����
�������������
�� ������������%����
������������� ��!��������
�� ������������� ���� ���%�
�������
����������� ����%
0�������(�������
��!����������������%�
���� �����
�����������
��� ������"���� �����
10���������1�
�����������
�� ���������
����� ������� ��
���������� ����
��������������� ���
���� ����������
+�
,�
��
������
��������������(�����
����������� �������%��������
����������� �������������
�������������� ������
� ������
����������
��� ����������� ��� ����%�
!� ������������ �����%�
������������������� &������
��������������������������
��������������� ������������
� �����������������������
������������ ��������� �
�� ���2��� � ����,�3�
4
������������������������
������������������ ��*��
�������������������� ������
�������!� ��������� ���� ����
�� �������������(������
� ��������������!�����
���&�����%��� ������
� ������
��������� ��������
����� ������������%
���!��������������
�!���������� ���������������
����������� ����� �������
������������5��
������������������
��������
����������������(���������
� �� ������� ������������
� �����$����������������
��� ���������%��� �����
������������������ �
��!� ���%
0�������(�������
��!������%�����������
� ������������!������%�
��� ��������&������
���� ��������������
������������
������� ��������������
�� ����������� ��
� ��������(��������
�5�������������������
���� ������� ����
(�
!�
���
����������
�����������������
� �������������������������
������ ��������
�����������������������
����������� �������%�
�$�������������� �����
(������������ �����(���
������
���������������������
*�� �����������
��(���� �������������������
����������������
�����������������
6
��� ������������������������
����� ��*���� ���������������
������������ �����
7 ����������
��� �����
�����(������� ���8�����
�����������(�������������
�$�� �������������������
$���������1���&����1�
��!� ����
*��9� ������!����������
���������������� ���
!������� ��%�����
������������������� ���
��!� �����������������������
� ��������� ����
.�����!���������(���������
�&���
��� � �� ������� ��
� ������������� ����������
��!� ������������!�����������
�������!�����
:������������������
��!� ����
��������
�������(��������
"��!����������
� �(�����%������ ��
1�����1�
+� ���������
���� ���������� �
�� �������������
�����������������%�
�� �������������������
������������������
��
����
������������
�*���� ���������������������
������������������������
��(����������(����� �����
���� ���������������
������
�����!�,� ������ ������
�������������������� ������
���������� &�%�������!�� ����
����������������� �!��������
�����!���������� ���������
�������� �����������
��� �����(����
;
�� ��������������������
� �������"�����������
���� ���������������
���������%
�!� ������������ ��
� ���������� ���������
7��&��������� ������
�������
������������!� ������
������������ ����<�����
������������������������
+�(��������� � �� ������� ��
���� ���������������!��������
7���������� �������������
�$����
0�������(���������
��������(���������
������������*��
�������(����������
(�������������������
�� ��������
+� ���������
������� ������
��� ��� ����<���$�����
�����!� ���
��������������������
�� ���������
149
Figura 4.2- Resultados de las encuestas con base a Modelo de Capacidad y Madurez
Temas Evaluados Puntuación
Conciencia y Comunicación 3.00
Políticas 3.75
Fijación y medición de metas 2.00
Habilidades y entrenamiento 3.00
Responsabilidad y transparencia 3.00
Herramientas y automatización 1.00
Se evidencia que se tiene debilidad en lo referente a Herramientas y
Automatización con estado de madurez: Repetible.
4.1.2.3 FODA de la CGT
El FODA de la CGT desarrollado en el Capítulo 2: literal 2.2.7 con la participación
del personal-equipo técnico de la CGT, se utiliza también como insumo para
comprender los requerimientos prioritarios al momento de realizar una mejora en
la gestión de la Coordinación de la Gestión de Tecnología.
En función de estos tres insumos, se deriva que una de las debilidades es el
soporte a usuarios internos del CEC, la solución y seguimiento a sus
150
requerimientos. Otro de los problemas detectados es la identificación de los
servicios que provee la CGT, su priorización de atención a las solicitudes de los
usuarios.
4.1.3 ALCANCE DE LA ETAPA PILOTO
Para ajustar el alcance del piloto se utilizó la Matriz de priorización buscando
encontrar los procesos más críticos (La herramienta: Matriz de Priorización se
encuentra descrita en el Capítulo 3: literal 3.4.1 de esta tesis). Esta ejecución
permitió comparar cada uno de los procesos de ITIL entre sí, valorando y
puntuando uno a uno determinando el siguiente resultado mostrado en la tabla
4.2:
Tabla 4.2- Matriz de Priorización
������
Mesa
de
Ser
vicio
Ges
tión
de
Seg
uri
dad
Ges
tión
de
Inci
den
tes
Ges
tión
de
Pro
ble
mas
Ges
tión
de
Con
figu
raci
on
es
Ges
tión
de
Ver
sion
es
Ges
tión
de
Cam
bio
s
Ges
tión
de
Niv
eles
de
Ser
vici
o
Ges
tión
de
Con
tin
uid
ad d
e
Ser
vici
os
de
TI
Ges
tión
Fin
an
cier
a d
e T
I
Ges
tión
de
Dis
pon
ibil
idad
Ges
tión
de
Cap
aci
da
d
-����
Mesa de Servicio =� ;� ;� ;� ;� ;� ;� 6� ;� =� ;� ;� ���
Gestión de Seguridad =� =� =� ;� ;� ;� ;� =� ;� ;� ;� ;� .�
Gestión de Incidentes =� ;� =� =� ;� ;� ;� =� ;� ;� ;� =� /�
Gestión de Problemas =� ;� =� =� ;� ;� ;� ;� ;� ;� ;� ;� 0�
Gestión de Configuraciones =� ;� =� ;� ;� =� ;� =� ;� =� ;� ;� /�
Gestión de Versiones =� ;� ;� =� ;� =� ;� =� =� ;� ;� ;� /�
Gestión de Cambios =� ;� ;� ;� ;� ;� =� ;� ;� =� =� ;� .�Gestión de Niveles de
Servicio =� ;� ;� ;� ;� ;� ;� =� ;� ;� ;� ;� �1�
Gestión de Continuidad de
Servicios de TI =� ;� ;� ;� =� ;� =� ;� =� ;� =� ;� /�
Gestión Financiera de TI =� =� =� ;� ;� ;� ;� ;� ;� =� ;� ;� .�
Gestión de Disponibilidad =� ;� ;� ;� ;� ;� ;� ;� =� =� =� =� /�
Gestión de Capacidad =� ;� ;� =� =� =� ;� ;� ;� ;� ;� =� /�
151
En función de los análisis realizados en la sección 4.1.2 y la matriz de priorización
de la tabla 4.3, la implantación de la Gestión de Servicios de TI inicia enfocada en
los procesos del negocio, definiendo los Servicios de TI de la CGT, y los
mecanismos que son requeridos para la provisión de estos servicios de TI a los
procesos del CEC.
De esta forma el alcance de la implantación piloto del Modelo de Gestión de
servicios de TI en el CEC cubre la fase de implantación de:
• Gestión del Catálogo de Servicios,
• Gestión de Niveles de Servicio,
• Definición e implantación de una Mesa de Servicios y
• La implantación del Servicio de Provisión de Tecnología para la realización
de cursos de capacitación.
4.2 APLICACIÓN DEL MODELO EN ETAPA PILOTO.
La Aplicación de Modelo de Gestión de Servicios de TI se fundamentó en
reuniones de trabajo con el equipo de técnicos de la CGT, a través de entrevistas
y encuestas definiendo como objetivos: La gestión del Catálogo de Servicios,
gestión de Niveles de Servicio, la definición e implantación de una Mesa de
Servicios y finalmente la implantación del Servicio de Provisión de Tecnología
para los Cursos de Capacitación.
4.2.1 GESTIÓN DEL CATÁLOGO DE SERVICIOS
La implantación del proceso de Gestión del Catálogo de Servicios en la CGT se
inicia con la definición del proceso y la aplicación respectiva en la CGT, lo que da
como entregable la definición de los servicios de TI en el documento de Catálogo
de Servicios de TI de la CGT.
152
4.2.1.1 Definición del Proceso
4.2.1.1.1 Objetivo
Administrar la información contenida en el Catálogo de Servicios y asegurarse
que es consistente y que la información contenida refleje los detalles, estado,
interfaces y dependencias actualizadas de todos los servicios que están en
producción o están siendo preparados para entrar en producción.
4.2.1.1.2 Meta
Asegurar que el Catálogo de Servicios está elaborado, actualizado y que
contiene información de todos los servicios operacionales y los que están siendo
preparados para operar.
4.2.1.1.3 Definiciones
• Usuarios.- Personal que labora en la Coordinación de Gestión de
Tecnología del Centro de Educación Continua,
• Clientes.- Personal que labora en las demás unidades del Centro de
Educación Continua.
4.2.1.1.4 Políticas
• Los solicitudes de nuevos Servicios serán canalizados a través de la Mesa
de Servicios MSI.
• La actualización de un Servicio de TI debe ser autorizada por el
Coordinador de la CGT y el cliente del servicio.
• La actualización del Catálogo de Servicios será responsabilidad del
Coordinador de la CGT.
153
4.2.1.1.5 Flujograma
Figura 4.3 – Flujograma del Catálogo de Servicios
4.2.1.1.6 Actividades
Las actividades de la Gestión del Catálogo de Servicios son:
• Identificación de servicios de TI,
• Definición y diseño de los servicios TI,
154
• Identificación de las interfaces y dependencias entre todos los servicios y
los servicios de soporte dentro del Catálogo de Servicios,
• Interfaces y dependencias entre todos los servicios, los componentes y
elementos de configuraciones dentro el Catálogo de servicios,
• Producción y mantenimiento adecuado del Catálogo de servicios.
4.2.1.1.7 Entradas y salidas
Las entradas de información que son relevantes para el proceso de Gestión del
Catálogo de servicios:
• Información de la Coordinación de Capacitación y Consultoría del CEC.
• Planes estratégicos y financieros institucionales del CEC.
• Nuevos requerimientos tecnológicos solicitados por el personal del CEC y
que no se encuentren en el Catálogo de Servicios levantado
• Análisis de impacto al negocio donde se provee prioridades y riesgos
asociados a un servicio o que requiera cambios de un servicio.
• Retroalimentación de todos los procesos en producción.
Las salidas del proceso de Gestión del Catálogo de Servicios son:
• La información de un Catálogo de Servicios de TI debe contener las
siguientes características, descritas en la tabla 4.3 siguiente:
Tabla 4.3 - Catálogo de Servicios - Características de un Servicio
Elemento Descripción
Servicio Nombre del Servicio
Estado
Identificador del estado:
• Propuesto – Servicio en fase de desarrollo
• Producción – Servicio que está disponible a los clientes
• Archivado – Servicio que ya no está disponible a los
clientes
Descripción
Ofrece una breve descripción de los servicios a los
155
clientes en términos no técnicos.
Características
estándar
Describe las características y funciones de la
disponibilidad del Servicio a los clientes-colaboradores del
CEC que reciben el servicio – estos son provistos bajo los
Acuerdos de nivel de servicio - SLA
Características
opcionales
Describe características y funciones del servicio
disponibles a unidades de negocio y jerarquías especiales
del CEC. Estas características son únicamente provistas
bajo acuerdos de nivel de servicio especiales en los que
se establece cuales son estas jerarquías o unidades de
negocio
Canales de
Entrega
Identifica cuales serán los canales de entrega del servicio
como podrían ser:
• Computadores personales
• Intranet, Internet
• Dispositivos móviles, etc.
Horas de
disponibilidad
Identifica los periodos de tiempo y horas operativas que el
servicio estará disponible para su entrega.
Requerimientos
del usuario
Indica los pre-requisitos que los colaboradores del CEC
deberían tener para recibir satisfactoriamente el Servicio
Disposición del
Servicio
Identifica donde los colaboradores del CEC pueden
obtener el Servicio
156
Soporte del
Servicio
Identifica el lugar y los medios por los que los usuarios
internos del CEC pueden recurrir para recibir ayuda o
soporte en el caso de ocurrir algún incidente o problema.
Costo Estándar
Indica algún costo del servicio que un usuario o unidad del
CEC deberá asumirlo.
Costo Opcional
Indica algún costo opcional - adicional del servicio que un
usuario o unidad del CEC deberá asumirlo.
Mercado del
Servicio
Describe expectativas para la entrega de servicio a los
clientes en términos no técnicos.
4.2.1.1.8 Indicadores de Rendimiento
Los indicadores clave de rendimiento asociados al Catálogo de servicios y su
administración son:
• El número de Servicios de TI registrado y administrado dentro del Catálogo
de servicios.
• Porcentaje de Servicios de TI que son implantados y se encuentran en un
entorno de producción.
• El número de variaciones detectadas entre la información contenida dentro
del Catálogo de Servicios y la situación real de la CGT.
• Porcentaje de incidentes dentro de la información relacionada y apropiada
al servicio.
157
4.2.1.1.9 Roles y Responsables
Los roles y responsables de la Gestión del Catálogo de Servicios de TI se definen
en la tabla 4.4 siguiente:
Tabla 4.4 - Roles del Catálogo de Servicios
Rol Responsable
Identificación de Servicios Clientes y Usuarios
Definición de Servicios Usuarios
Aprobación y Actualización Coordinador de la CGT
4.2.1.2 Catálogo de Servicios de TI de la CGT
Para el Catálogo de Servicios de TI de la CGT en la tabla 4.5 se presenta una
lista de los Servicios de TI identificados y levantados desde la información
estudiada en el Capítulo 2 – Situación actual de la CGT y validado en reuniones
de trabajo con el Coordinador de la CGT.
El Catálogo de Servicios de TI desarrollado como producto de la tesis propuesto y
entregado a la CGT consta de información detallada de cada Servicio de TI que la
CGT provee al CEC. El documento del Catálogo de Servicios de TI se presenta
en el ANEXO D.
Tabla 4.5 - Listado de Servicios de TI de la CGT
Nro Servicio Breve Descripción
1
Servicio de provisión de
tecnología a cursos de
capacitación:
Es el soporte que se brinda a usuarios
internos y/o externos en cursos que utilizan
laboratorio de computadores, o son en
Auditorio son requeridos por las Unidades de
Capacitación y Consultoría, Lingüística, u otra
Unidad interna al CEC-EPN, para cursos
abiertos, cerrados o in-house.
158
2
Servicio de soporte a
Sistemas Académicos:
Es el soporte que se brinda a usuarios
internos y/o externos en el ámbito de los
Sistemas académicos desarrollados por la
Coordinación de Gestión de Tecnología del
CEC-EPN.
3
Servicio de soporte a
Sistemas Financieros:
Es el soporte que se brinda a usuarios
internos y/o externos en el ámbito de los
Sistemas Financieros instalados en la
Coordinación Administrativa-Financiera en
producción en el CEC-EPN
4
Servicio de soporte a
Sistemas Administrativos:
Es el soporte que se brinda a usuarios
internos y/o externos en el ámbito de los
Sistemas Administrativos instalados en el
CEC-EPN
5
Servicio de soporte a
Sistema de Servicio al
cliente:
Es el soporte que se brinda a usuarios
internos en el sistema de turnos de atención
para los procesos de matriculación y
facturación de servicios instalado en la Sede
Araucaria
6
Servicio de Correo
electrónico:
Es el soporte para envío/recepción de
mensajería electrónica con confidencialidad, a
través de los canales de Internet y
administrador de correo.
7
Servicio de Internet
,
Es el soporte para la correcta provisión del
servicio de internet para usuarios internos y
externos
159
8
Servicio de Telefonía:
Es el soporte al servicio de comunicación a
través de la red de voz
9
Servicio de Seguridad de
Datos:
Es el soporte a usuarios internos/externos
para garantizar que la data generada por los
usuarios en su gestión diaria, bases de datos y
configuraciones, y que es crítica para su
normal desempeño, mediante su respaldo.
10
Servicio de Soporte
técnico:
Es el soporte para usuarios internos para la
instalación de equipos de computación,
computadora, impresora, red e instalación de
programas que son requeridos para su trabajo
diario.
11
Servicio de Desarrollo de
Aplicaciones:
Es el soporte para él: Diagnóstico, Análisis,
Diseño, Desarrollo, Pruebas, Producción, Post
implementación para proyectos de desarrollo
de software, incluye actualización de
aplicativos.
12
Servicio de Asesoría y
Consultoría TI
Es el soporte para el desarrollo de proyectos
de TI, requeridos por el medio externo a nivel
de Consultoría y Asesoría.
4.2.1.2.1 Diagrama del Catálogo del Servicios del CEC
En base al Catálogo de Servicios de TI identificados y procesos del negocio del
CEC se visualiza en el siguiente gráfico la interrelación entre ellos en la Figura
4.4.
160
Figura 4.4 - Diagrama del Catálogo de Servicios de TI de la CGT
4.2.2 GESTIÓN DEL NIVEL DE SERVICIO
4.2.2.1 Definición del Proceso
4.2.2.1.1 Objetivo
El objetivo de la Gestión del Nivel de Servicio es mantener y mejorar la calidad de
los Servicios de TI provistos por la CGT al CEC, con un proceso de revisión
constante de acuerdos, monitoreo y reportes que permitan lograr los objetivos
organizacionales.
4.2.2.1.2 Meta
Asegurar que un nivel de acuerdo sea provisto por cada uno de los Servicio de TI.
Y que nuevos servicios sean entregados acorde a las metas planteadas por los
clientes.
4.2.2.1.3 Políticas
• Los Acuerdos de Nivel de Servicio deberán ser acordados y firmados entre
el responsable de la CGT, el cliente del servicio de TI y el Director del CEC
o su representante.
161
• Los Contratos de Soporte entre la CGT y los proveedores externos deben
serán validados por el Coordinador de de la CGT, y firmados por el Director
del CEC como representante legal,
• Todos los Servicios de TI deben contar con un Acuerdo de Nivel de
Servicio.
• Los acuerdos de Nivel Operacional serán acordados y firmados entre los
técnicos-miembros del equipo y el Coordinador de la CGT.
4.2.2.1.4 Flujograma de Gestión de Niveles de Servicio
Figura 4.5 - Flujograma de Gestión de Niveles de Servicio
4.2.2.1.5 Actividades
Las actividades dentro del proceso de Gestión de Niveles de Servicio son:
• Determinar, negociar, documentar y acordar nuevos requerimientos o
modificaciones de Acuerdos de Nivel de Servicio.
• Monitorear y medir el rendimiento del servicio en base a lo establecido en
los Acuerdos de nivel de Servicio.
• Recopilar, medir y mejorar la satisfacción del cliente.
• Producir reportes del servicio y su entrega.
162
• Conducir a la revisión del servicio y procurar al mejoramiento dentro de un
plan de visionamiento de mejora de servicios.
• Revisión constante de los Acuerdos de Nivel de Servicio, los contratos y
otros acuerdos establecidos.
• Desarrollar y mantener procedimientos operativos para registro y
resolución de inconformidades y mantener un registro de las valoraciones
positivas de los clientes.
• Registrar y gestionar todas las quejas y valoraciones positivas de los
servicios
• Proveer información apropiada de gestión para medir el rendimiento y
demostrar los logros alcanzados por el servicio.
• Mantener actualizado y disponibles las plantillas de documentos de la
Gestión de Niveles de Servicio.
4.2.2.1.6 Entradas, salidas
Las entradas para el proceso son:
• Información del CEC, el plan estratégico, plan financiero, y futuros
requerimientos de las unidades internas de negocio.
• Requerimientos del CEC, detalles de algún acuerdo, nuevo o actualización
de los requerimientos de las unidades internas de negocio.
• El Catálogo de Servicios de la CGT.
• Retroalimentación de los usuarios o clientes, quejas o valoraciones
positivas.
Las salidas del proceso son:
• Los Acuerdos de Nivel de Servicio comúnmente conocidos como SLA que
deben contener una descripción del servicio que abarque desde los
aspectos más generales hasta los detalles más específicos del servicio. La
elaboración de un SLA requiere tomar en cuenta aspectos no tecnológicos
entre los que se encuentran:
o Enfoque hacia la naturaleza del negocio del cliente.
163
o Aspectos organizativos del proveedor y cliente.
o Aspectos culturales.
• Acuerdos de Nivel de Operación conocidos como OLA son documentos de
carácter interno de la propia organización TI que determinan los procesos y
procedimiento necesarios para ofrecer los niveles de servicio acordados
con los clientes.
• Los Contratos con Proveedores CP determinan las responsabilidades de
los proveedores externos en el proceso de prestación de servicios.
• Reportes e informes del rendimiento de los servicios.
4.2.2.1.7 Indicadores de Rendimiento
Los indicadores claves para este proceso se han determinado en función de su
fase inicial:
• Porcentaje de Servicios de TI que cuentan con SLA,
• Porcentaje de Servicios de TI que cuentan con SLA actualizados,
• Número de Servicios que cuentan con información de reportes periódicos y
una activa revisión,
• Plantillas utilizadas en el proceso actualizadas y validadas.
4.2.2.1.8 Roles y Responsables
Los roles y responsables para el proceso de Gestión de Niveles de Servicio se
establecen de la siguiente manera:
Tabla 4.6 - Roles de Gestión de Niveles de Servicio
Rol Responsable
Revisión y Aprobación de SLA,
OLA y CS
Coordinador de la CGT, clientes y/o
Proveedores
Elaboración de SLA Personal de la CGT y Clientes
Elaboración de CS Coordinador de la CGT
Elaboración de OLA Coordinador y personal de la CGT
164
4.2.3 MESA DE SERVICIOS
La Mesa de Servicio es una de las Funciones de la Operación de Servicios dentro
del Ciclo de Vida de Servicios de ITIL V3, y que será implementada como alcance
en esta fase piloto.
La Mesa de Servicio es el primer punto de contacto, para el personal que trabaja
en el CEC, en los casos de; existir una interrupción de un servicio, requerir de un
Servicio de TI o realizar una solicitud cambio. La Mesa de Servicios provee un
punto de comunicación entre el personal del CEC y punto de coordinación para el
personal técnico de la CGT.
4.2.3.1 Objetivos de la Mesa de Servicios
• El objetivo de la Mesa de Servicios es servir de punto de contacto entre el
personal del CEC y el personal técnico de la CGT.
• Otro objetivo de es restaurar el servicio normal al personal de CEC
rápidamente como sea posible.
4.2.3.2 Estructura Organizacional de la Mesa de Servicios
El CEC funciona en diferentes locaciones físicas que son:
• Edificio de Ingeniería Civil, en el 5to piso. Ubicado en la EPN. Ladrón de
Guevara,
• Edificio Araucaria, Planta baja, Mezanine, 1ro, 2do, 3ro, 7mo. Ubicado en
la Reina Victoria y Baquedano (Esquina).
• Departamento Financiero ubicado en la Baquedano y Reina Victoria
diagonal al Edificio Araucaria.
• Antiguo Colegio Menor ubicado en la Ladrón de Guevara (diagonal a la
EPN)
• Edificio Veintimilla, 1er piso ubicado en la av. 6 de Diciembre y veintimilla
(Esquina).
165
La CGT se encuentra físicamente en el edificio de Ingeniería Civil de la EPN y
desde ahí se brinda todo el soporte técnico a las diferentes localidades del CEC.
De acuerdo a estas características la estructura de la Mesa de Servicio que se
implanta para la CGT es Centralizada, debido a que de todas las sedes del CEC
se encuentran intercomunicadas lo que facilita este tipo de estructura.
Figura 4.6 – Estructura Organizacional de la Mesa de Servicios Centralizada
4.2.3.2.1 Ubicación Física
La ubicación para la Mesa de Servicios será en la CGT que se encuentra en el
5to piso del Edificio de Ingeniería Civil de la EPN. Lugar que presta las facilidades
de acceso y de telecomunicaciones.
4.2.3.2.2 Medios de Contacto
El personal de CEC podrá acceder a la mesa de Servicio mediante los siguientes
métodos:
166
• Por vía telefónica: Para contactarse vía telefónica deberá marcar la
extensión 104 o 111.
• Por correo electrónico: para lo cual pueden escribir un email a
• Por la intranet: para lo cual deben ingresar a la intranet del CEC: app.cec-
epn.edu.ec en la opción Soporte Técnico. Ingresar con su usuario y
contraseña de windows e ingresar el requerimiento.
4.2.3.3 Herramientas para la Gestión de la Mesa de Servicios
Para llevar el control y como medio de facilidad de la Mesa de Servicios se ha
decidido utilizar la herramienta OTRS que es un software libre y que ofrece varias
funcionalidades para la Gestión de Servicios de TI, además que está fuertemente
alineado a los procesos y a la Gestión de Servicios de TI de ITIL V3.
OTRS puede ejecutarse en plataformas WINDOWS y LINUX, para nuestro caso
se ejecutara sobre LINUX y una base de datos MySQL, el Front End es
desarrollado bajo el lenguaje Perl.
El Software OTRS es una plataforma que gestiona las peticiones de los clientes
(tickets) y permite dar el seguimiento de estos hasta que sean cerrados por el
personal técnico de la CGT (usuarios).
El software permite la Gestión de la Mesa de Servicios, en función del diseño
planteado en esta sección y además se completa con componentes que permiten
la Gestión de Incidentes, Gestión de Problemas, Gestión de Configuraciones,
Gestión de Niveles de Servicio, Gestión del Catálogo de Servicio, y Gestión de
Conocimiento. Con estos componentes OTRS se convierte en una fuerte
herramienta para la Gestión de Servicios.
167
Figura 4.7 - Pantalla de Aplicación OTRS
4.2.3.4 Roles en la Mesa de Servicio
Entre los roles de la Mesa de Servicio de la CGT son de dos tipos:
• Clientes: Son el personal que trabaja en el CEC, al momento el CEC
cuenta con alrededor de 55 personas tiempo completo.
• Usuarios o Agentes: Personal Técnico que trabaja en la CGT del CEC, al
momento existen 5 personas.
En la herramienta OTRS los clientes ingresan a la aplicación mediante una
interfaz web que está disponible en la intranet, para ingresar deben proporcionar
su usuario y contraseña mismos que utiliza para autenticarse en la red, figura 2.
Esto es posible a que OTRS esté integrado con el servidor Active Directory del
CEC a través del protocolo LDAP.
168
Figura 4.8 - Pantalla Acceso OTRS - Clientes
El personal técnico de la CGT (usuarios) de igual manera ingresan a OTRS que
está disponible en el enlace apps.cec-epn.eduec/otrs utilizando su usuario y
contraseña de red.
Figura 4.9 - Pantalla Acceso OTRS - Usuarios
169
4.2.3.5 Personal de la Mesa de Servicio
El personal de la mesa de servicio que responderá a los requerimientos tenemos
clasificados por:
4.2.3.5.1 Soporte de Primer Nivel – Service Desk
Para el soporte de primer nivel deben existir una o dos personas que realicen la
recepción de requerimientos desde los clientes.
4.2.3.5.2 Soporte de Segundo Nivel
Este soporte ya es especializado en áreas técnicas y serán realizados por los 4
técnicos.
4.2.3.5.3 Soporte de Tercer Nivel
Este nivel será realizado por el Coordinador de la Unidad y será el soporte de
última instancia.
En el sistema OTRS se crea un rol, por cada uno de estos niveles de soporte,
para los usuarios que den soporte de primer nivel
4.2.3.6 Flujo de Trabajo de la Mesa de Servicio
Figura 4.10 - Flujo de Trabajo de la Mesa de Ayuda
170
4.2.3.7 Métricas de la Mesa de Servicio
Las métricas establecidas para la Mesa de Servicios se basan en el rendimiento y
satisfacción de los clientes y usuarios:
• El número de recepción de solicitudes vía telefónica, email o intranet, por
día, semana, mes.
• En número de solicitudes resueltas en primer nivel, en segundo nivel.
• Tickets resueltos por cada uno de los usuarios
El software OTRS proporciona estadísticas de cada uno de estos tipos o de ser el
caso también se podría personalizar un tipo de estadística que sea requerida para
la evaluación de la Mesa de Servicios.
4.2.3.7.1 Encuestas de satisfacción de Clientes y Usuarios
Para medir el rendimiento y conocer la percepción y satisfacción de los clientes
sobre la Mesa de Ayuda, se emplearan encuestas:
• Encuestas al cierre de cada requerimiento solicitado por los clientes.
• Encuestas periódicas de satisfacción de los clientes y usuarios.
En OTRS cuando cada ticket es cerrado se envía una solicitud de encuesta al
cliente para que califique el servicio entregado por la Mesa de Servicio y por el
responsable que atendió el ticket.
Pregunta Opciones
¿Cómo califica el soporte recibido por la Mesa
de Servicios?
5. Excelente
4. Muy buena
3. Buena
2. Regular
1. Mala
Figura 4.11 - Encuesta de Satisfacción por Soporte Técnico
171
¿La actitud y atención de la Mesa de Servicio
fue?
5. Excelente
4. Muy buena
3. Buena
2. Regular
1. Mala
¿Su solicitud fue resuelta? 5. Completamente
3. Parcialmente
1. No fue resuelta
Califique el tiempo de solución de su solicitud 5. Inmediato
4. Rápido
3. Aceptable
2 Lento
1. Muy Lento
Figura 4.12 - Encuesta de Satisfacción de Clientes
Pregunta Opciones
Nivel de Satisfacción del Cliente
Totalmente satisfecho
Satisfecho
Medianamente Satisfecho
Insatisfecho
¿Cómo califica el Desempeño de la Mesa
de Servicios?
Excelente
Muy buena
Buena
Regular
Mala
Con que frecuencia usted contacta a la
Mesa de Servicio
Más de 1 vez por semana
Una vez por semana
Todos los días
Nunca
En promedio con qué rapidez son resueltos
sus problemas
Minutos
Horas
Días
172
4.2.4 SERVICIO DE PROVISIÓN DE TECNOLÓGIA PARA CURSOS DE
CAPACITACIÓN
El servicio de provisión de tecnología para cursos de capacitación es uno de los
más importantes que la CGT brinda a las unidades de negocio del CEC, por este
motivo ha sido seleccionado en esta fase para ser implementado.
4.2.4.1 Objetivo del Servicio
El objetivo de este servicio es dotar de los recursos tecnológicos y del soporte
requerido para llevar a cabo un curso de capacitación eficientemente.
4.2.4.2 Definición del Servicio
En la tabla 4-5 se describen las características y fundamentos básicos que provee
este servicio.
Tabla 4.7 - Definición del Servicio de Provisión de Tecnología para Cursos de Capacitación
Elemento Descripción
Servicio Servicio de provisión de tecnología a cursos de capacitación
Estado En producción
Descripción Es el soporte que se brinda a usuarios internos o
externos en cursos que utilizan laboratorio de
computadores, son requeridos por las Unidades de
Capacitación y Consultoría, Lingüística, u otra Unidad
interna al CEC-EPN para cursos abiertos, cerrados o
in-house.
Semanas
Meses
¿Lo mantienen informado acerca del
estado de los problemas que no pueden
ser solucionados inmediatamente?
Si
No
173
Características
Estándar del Servicio
1. Análisis de disponibilidad de HW y SW requerido.
2. Instalación y Configuración de Perfiles de acceso,
HW, SW, y Red.
3. Soporte presencial de un técnico de la CGT mientras
dure el evento
Características
Opcionales del
Servicio
1. Soporte presencial de un técnico adicional de la CGT
durante el tiempo de duración del evento o el
requerido.
2. Generación de un manual de usuario sobre
información de acceso a los requerimientos,
Canales de Entrega - Laboratorio de computadores configurado en función
de los requerimientos descritos en el Ticket
- Soporte de un técnico de la CGT, mientras dure el
evento, para atender requerimientos de:
- Instructor: problemas en equipos, como en
requerimientos de Infraestructura.
- Usuarios externos: problemas con los computadores:
HW, SW, Red
Horas de Servicio Lunes a viernes: 7h00 a 21h00; Sábado de 8h00 a
13h00
Otro Horario: previamente acordado
Requerimientos de
usuario
Para recibir el servicio la Unidad Solicitante o Usuario
Externo, debe generar un requerimiento a la CGT,
mismo que será gestionado en función de la
disponibilidad de infraestructura del CEC-EPN,
Se debe entregar el formulario de requerimientos CEC-
RT-02 correctamente lleno, con firma del Coordinador o
su delegado y entregado al menos dos días laborables
(48h) antes de iniciado el evento,
Inicio del Servicio Desde que el requerimiento es recibido por la CGT, y
generado el respectivo Ticket.
Servicio de Soporte Se debe contactar con el técnico de la CGT designado
174
en ese horario
Costo Estándar Costo Hora Soporte presencial: 4,16 USD / Hora por
técnico (*)
Costo Opcional En el caso de requerir el soporte de un proveedor
externo, el costo hora será facturado en función de la
tarifa dispuesta para el efecto,
Expectativas del
Servicio
Soporte a cursos que utilizan laboratorio de
computadores:
- Instalación y configuración de computadores y
equipos de proyección para el evento, Tiempo de
Solución: 8 horas.
- Instalación de programas requeridos, configuraciones
y presentaciones o documentación a ser usada por el
instructor en el evento, Tiempo de Solución: 8 horas.
- Soporte de un técnico de la CGT en caso de fallo,
Tiempo de Solución: inmediato. En caso de error grave
se instalará equipo BackUp
- Soporte de un técnico de la CGT en caso de requerir
información del curso en un medio magnético, Tiempo
de Solución: inmediato
- Soporte de un técnico de la CGT en caso de que
requerimientos de instructor o estudiantes, Tiempo de
Solución: inmediato.
Nota (*) Previsto Sueldo de 700 USD por mes, con 168
Horas de trabajo
Observaciones: Este servicio puede ser brindado en las instalaciones del CEC-
EPN, o del Usuario Externo
175
4.2.4.3 Flujograma del Proceso
Figura 4.13- Flujo del Proceso de Provisión de Tecnología para Cursos
176
4.2.4.4 Actividades del Proceso
1. Los requerimientos deben ser enviados con 5 días laborables de
anticipación en el caso de Cursos Abiertos y con 3 días laborables de
anticipación en el caso de Cursos Cerrados e In-Company. Es requisito
que exista disponibilidad de laboratorios para poder cumplir con los
requerimientos
2. Se requiere que el formulario CEC-RT-02 sea presentado mediante
memorando interno o adjuntado por correo electrónico al administrador del
laboratorio, a la dirección: [email protected]
3. Los requerimientos de hardware, software e Internet deben estar detallados
de la manera más clara posible, para Software: Nombre de la aplicación,
versión, e idioma. En el caso de Hardware los requerimientos mínimos.
4. Se debe especificar si es necesario que se habilite el servicio de Internet
por cada evento,
5. El formulario CEC-RT-02 será llenado para todos los cursos o eventos en
los cuales se requiera la instalación de hardware, software y red, ya sean
abiertos, cerrados o in company.
En el caso de presentarse algún inconveniente con los equipos el usuario ya sea
este instructor o estudiante pueden dirigir su pedido o sugerencia mediante del
formulario DCC-RE-14.
4.2.4.5 Recursos del proceso
Los recursos requeridos para brindar este servicio se detallan a continuación:
• Recurso Humano 3 Ingenieros de Sistemas, 1 Ingeniero de
Telecomunicaciones.
• Un Administrador de Laboratorios.
• Listado de disponibilidad de los siguientes recursos:
177
- Software Base (Sistema Operativo, Software de Ofimática, Antivirus)
- Hardware (Computadores, Infocus, pizarras)
- Servicios de Red
- Software especializado en función del Curso de Capacitación
4.2.4.6 Clientes del Servicio
Los clientes del Servicio son las Sub Coordinadoras y Coordinador de la
Coordinación de Capacitación y Consultoría.
4.2.4.7 Acuerdo de Nivel del Servicio
El acuerdo del Nivel de Servicio realizado en función del proceso establecido en el
punto 4.2.2 de este capítulo es presentado en el ANEXO E.
4.2.4.8 Indicadores
Los indicadores definidos para este servicio son:
Tabla 4.8 - Indicadores del Servicio de Provisión de Tecnología para Cursos de
Capacitación
Indicador Composición
1 Porcentaje de errores - defectos en instalación
Nro de errores reportados / Nro de requerimientos
2 Frecuencia de requerimientos provenientes de la CCC hacia la CGT
Nro de requerimientos en un periodo de tiempo
3 Duración promedio entre el registro de un problema/incidente y la identificación de la causa raíz.
Tiempo promedio entre el reporte de un problema y el registro de la incidencia
4 Porcentaje de requerimientos resueltos en el tiempo requerido,
(Nro de requerimientos totales - Nro de requerimientos resueltos a tiempo ) / Nro de Requerimientos Totales
5 Satisfacción del Cliente
Servicio: Excelente, Muy Bueno, Bueno ,Regular, Malo
178
4.3 EVALUACIÓN DE APLICACIÓN DEL MODELO
Con base a la implantación del modelo de Gestión de Servicios de TI en la
Coordinación de Gestión del CEC la cual ha tomado un tiempo de dos meses, en
los que se ha inducido y capacitado al personal en esta nueva visión de gestionar
la Coordinación de Gestión Técnica vista desde el punto de vista de los Servicios
de TI y el modelo propuesto para la implantación con base a estándares y
mejores prácticas.
En la capacitación al personal de la CGT se explicó la propuesta del Modelo de
Gestión de Servicios, las definiciones y objetivos de cada uno de los procesos del
modelo como también el alcance de la implantación piloto del modelo de Gestión
de Servicios de TI.
4.3.1 CATÁLOGO DE SERVICIOS
El Catálogo de Servicios de TI ha sido el primer proceso que se ha implementado
el cual ha permitido reconocer el alcance del soporte que brinda la CGT y
reconocer todas las tareas que se realiza para de esta manera poder
dimensionar los recursos y personal requeridos para poder responder a los
requerimientos de los usuarios de forma oportuna y eficiente.
El catalogo de Servicios de la CGT cuenta con 12 Servicios de TI que ofrece a las
unidades del negocio del CEC. La elaboración de este Catálogo de Servicios ha
permitido que la CGT centre sus mayores esfuerzos en los Servicios de TI y los
clientes que se benefician de estos servicios.
En esta fase piloto se ha identificado los Servicios de TI que provee la CGT, se ha
definido cada uno de los Servicios de TI para finalmente proceder a la elaboración
del Catálogo de Servicios de TI, indicando que el estado de cada Servicio de TI se
encuentra en desarrollo ya que ningún servicio como tal está implantando en la
CGT, al momento la CGT continua con la operación tradicional de las actividades,
pero el personal está consciente de todas las tareas que deberían realizar el
cambio a una nueva forma de gestión.
179
Con la implantación de este proceso se ha logrado que la CGT visualice los
procesos del negocio y la alineación con los Servicios de TI con la finalidad de
brindar un soporte tecnológico que cubra las necesidades.
4.3.2 GESTIÓN DE NIVELES DE SERVICIO
El resultado de realizar e implantar esta propuesta se lo ha podido plasmar al
desarrollar un primer Acuerdo de Servicio SLA entre las Coordinaciones de
Capacitación y Consultoría y de Gestión de Tecnología: para la provisión de
tecnología para cursos de Capacitación, el reto continua en establecer los SLAs
los 12 servicios identificados para establecer claramente los alcances y
responsabilidades de la CGT ante sus clientes (usuarios internos externos).
4.3.2.1 Designación de un responsable
La necesidad de designación a un responsable dedicado a gestionar niveles de
servicio (Responsable de la Coordinación de Gestión de Tecnología / Calidad o su
delegado) cuyas principales tareas deben estar enfocadas a:
• Elaborar y mantener actualizado el Catálogo de los servicios de la
Coordinación,
• Determinar la estructura general de los SLAs,
• Negociar los SLAs, con clientes y proveedores,
• Supervisar el cumplimiento de los acuerdos de provisión del servicio con
clientes y proveedores,
• Mantener informados a la Dirección y al equipo de TI de la CGT sobre el
rendimiento de todo el proceso,
• Determinar los Planes de Mejora del Servicio que solucionen las
deficiencias en la calidad de los servicios prestados y/o adapten estos
servicios a las nuevas necesidades de los clientes y a los últimos avances
tecnológicos,
180
• Interactuar con los otros procesos TI para asegurar que todos ellos reciben
y aportan la información necesaria para el óptimo funcionamiento del CEC-
EPN.
4.3.2.2 Indicadores de cumplimiento a nivel de desempeño
Indicadores de cumplimiento a nivel de desempeño y satisfacción del cliente
interno y externo del proceso de Gestión de Niveles de Servicio GNS.
Tabla 4.9 – Evaluación de GNS - Indicadores de Cumplimiento
Nombre del Indicador Composición
Eficacia (Porcentaje de requerimientos cumplidos)
Número de requerimientos atendidos / Numero de Requerimientos Solicitados
Eficiencia (Porcentaje de requerimientos cumplidos a tiempo, optimizando recursos)
Número de requerimientos atendidos a tiempo / Numero de Requerimientos Solicitados
Satisfacción del cliente (Usuario Interno)
Servicio: 5 Excelente, 4 Muy Bueno, 3 Bueno , 2 Regular, 1 Malo
Satisfacción del cliente (Usuario Externo)
Servicio: 5 Excelente, 4 Muy Bueno, 3 Bueno , 2 Regular, 1 Malo
181
Eficiencia Porcentaje de requerimientos cumplidos a tiempo, optimizando
recursos
Las pruebas se realizaron para un grupo objetivo de 19 eventos de capacitación,
Figura 4.14 - Evaluación de GSN - Porcentaje de Requerimientos cumplidos
Promedio Mensual Eventos
Indicador antes del Piloto Indicador después del Piloto
19
100%
100%
Se tomó una muestra igual de número de eventos, en el mismo periodo de tiempo
(19), se cumplió en los dos casos con un índice de eficacia del cumplimiento del
servicio del 100%.
Satisfacción de clientes
;;
6
-
6
>
�
- -
=
6
-
>
?
;=
;6
������; ������6 ������4 ������-
�����*�
"����*�
182
Figura 4.15 - Evaluación de GNS - Satisfacción de cliente
Promedio Mensual Eventos
Indicador antes del Piloto Indicador después del Piloto
19
3,30 Bueno
4,15 Muy Bueno
Se evidencia una mejora del 17,00% en este indicador con franca tendencia a
superarlo. La meta es mantenerse en la franja de 4,5 a 5.
Satisfacción de usuarios (Personal Técnico)
Figura 4.16 - Evaluación de GNS- Satisfacción de Usuarios (Personal del UGT)
4��
4
4��4�6
-
4�-
-��-�@
=
=��
;
;��
6
6��
4
4��
-
-��
�
; 6 4 -
�����*�
"����*�
44�6
4��
--�6 -�4
-�@ -�>
=
=��
;
;��
6
6��
4
4��
-
-��
�
; 6 4 -
�����*�
"����*�
183
Promedio Mensual Eventos
Indicador antes del Piloto Indicador después del Piloto
19
3,43 Bueno
4,50 Muy Bueno
Se evidencia una mejora del 21,40% en este indicador con franca tendencia a
superarlo. La meta es mantenerse en la franja de 4,5 a 5.
4.3.2.3 Establecer planes de mejora continua
Se hace importante el establecimiento de planes de mejora continua:
• Definición de un comité de seguimiento de indicadores de Acuerdos de
Servicios,
• Implementar un procedimiento para revisión periódica de indicadores, de
ser posible automatizarlo,
• Difundir a los usuarios internos de la CGT los resultados,
4.3.3 MESA DE SERVICIOS
La implantación de la mesa de servicios en la CGT ha generado cierta resistencia
al cambio por parte de los clientes quienes lo ven más burocrático e improductivo
el solicitar sus requerimientos formalmente a través de la herramienta Mesa de
Servicios.
Por parte del personal técnico de la CGT este mecanismo ha ayudado a tener un
mayor control de sus actividades realizadas y las que tienen pendientes,
permitiéndoles también priorizar las que tienen mayor urgencia de ser resueltas.
En este periodo de implantación se han podido concientizar ciertos clientes-
usuarios que realizar sus requerimientos por este medio, tiene beneficios como el
permitir dar seguimiento a sus solicitudes ya que el personal de la CGT tiene que
cerrar el ticket generado por el requerimiento.
Los resultados que se han obten
función de los indicadores fijados para la Mesa de
En la Figura 4-17 se puede observar
través de la mesa de servicio durante el avance de
Figura 4.17 - Mesa de Servicios
En la Figura 4-18 se puede ver el ingreso de los tickets por los dife
y de lo que se puede concluir es que el mayor ingre
electrónico. Este resultado es debido a que algunos
política de enviar los requerimientos por email así
significativo. Pero lo que se pretende es que la ma
sean realizados vía interface Web.
=
�=
;==
;�=
6==
6�=
; ���������
A@
Los resultados que se han obtenido en un periodo de un mes de implantaci
función de los indicadores fijados para la Mesa de Servicios:
se puede observar el incremento de ingreso de solicitudes a
través de la mesa de servicio durante el avance de las semanas de implantación.
Mesa de Servicios - Tickets generados en un mes
se puede ver el ingreso de los tickets por los diferentes canales
y de lo que se puede concluir es que el mayor ingreso es por medio de co
electrónico. Este resultado es debido a que algunos clientes ya tenían esta
política de enviar los requerimientos por email así que el cambio no ha sido
significativo. Pero lo que se pretende es que la mayor parte de requerimientos
interface Web.
; ���������6���������
4 ��������-���������
A@
;@A6=6
;A-
���2����3��������������
184
s de implantación en
el incremento de ingreso de solicitudes a
las semanas de implantación.
rentes canales
so es por medio de correo
clientes ya tenían esta
que el cambio no ha sido
yor parte de requerimientos
185
Figura 4.18 - Mesa de Servicios - Tickets receptados por distintos canales
En la Figura 4.19 Se puede observar en qué nivel de la Mesa de Servicios son
resueltos los tickets, de lo observado se tiene que los tickets son resueltos en
primer nivel debido a que los usuarios de primer nivel tienen un perfil elevado para
este rol lo que es ventajoso para los clientes ya que disminuye el tiempo de
respuesta de los requerimientos de los clientes.
Figura 4.19 - Mesa de Servicios - Nivel de Resolución de Tickets
>=
?6
?A A;
;4
6A6�
;?
6-
>?
???�
=
;=
6=
4=
-=
�=
>=
@=
?=
A=
;==
; ��������� 6��������� 4 �������� -���������
����
)���!���
B�(
���2���� ����!�������������!�������������������
��
A@
;;�
;=6
-6
?6?@
A6
=
6=
-=
>=
?=
;==
;6=
;-=
; ��������� 6��������� 4 �������� -���������
��������;� �<����
��������6���<����
���������(������ ������2���
186
4.3.4 SERVICIO DE PROVISIÓN DE TECNOLOGIA PARA CURSOS DE
CAPACITACION
Este servicio ha permitido llevar mayor control de las peticiones realizadas por los
clientes a la CGT. Los clientes (usuarios internos) conocen el mecanismo de
solicitud para requerir este servicio y también el tiempo que tiene la CGT para
proveerlo. Al permitirles calificar el servicio los clientes sienten que se les brinda
mayor y mejor atención y este input permite a la CGT el establecer planes de
mejora continua en el corto plazo.
Para este servicio se definieron los siguientes objetivos:
• Revisar disponibilidad de HW y SW requerido,
• Instalar y Configurar perfiles de acceso, HW, SW, y Red,
• Dar soporte presencial de recursos de la CGT mientras dure el evento
• Mejorar la satisfacción del Cliente
En función de los indicadores establecidos para este servicios se realizan las
evaluaciones de cada uno de ellos.
4.3.4.1 Porcentaje de errores - defectos en instalación
Permite hacer el seguimiento de quejas por defectos en errores de instalación se
tienen 8 casos para 120 instalaciones realizadas en el periodo de seguimiento del
piloto, lo que corresponde al 7% de errores. Se ha acordado como parte del SLA
establecer como meta, menos del 7% en errores en instalación, como se puede
ver gráficamente en la Figura 4-20.
187
Figura 4.20 - Servicio PTCC - Porcentaje de errores en instalación
4.3.4.2 Frecuencia de requerimientos provenientes de la CCC hacia la CGT:
Dada la revisión de requerimientos de la CCC a la CGT se producen un promedio
de 4,75 requerimientos por semana. Aunque este tema está supeditado a la
temporada y demanda de clientes. Con este input se ha podido realizar una
evaluación de la capacidad instalada para la realización de cursos y el soporte en
instalación y configuración de computadores es de atención máxima de 6 eventos
por semana. Lo que está definido en el Acuerdo de Servicio. Se puede ver
gráficamente en la Figura 4-21.
Figura 4.21 - Servicio PTCC - Frecuencia de Requerimientos
6
;
4
6
=
=��
;
;��
6
6��
4
4��
������; ������6 ������4 ������-
�� ���;
;;
6
-
6
>
�
- -
=
6
-
>
?
;=
;6
; 6 4 -
"� ��������;
"� ��������6
188
La disponibilidad del soporte a cursos (usuarios externos) como usuarios internos
está en función del horario de atención del centro,
4.3.4.3 Duración promedio entre el registro de un problema/incidente y la
identificación de la causa raíz.
Para una muestra de 19 eventos realizados en 1 mes, se pudo evidenciar que el
tiempo entre el registro del incidente hasta la identificación de la causa es 0,37
horas. El contar con este indicador permite en la herramienta registrar en la base
de conocimiento de incidencias un promedio de 1 hora los eventos.
Figura 4.22 - Servicio PTCC - Duración promedio en resolución de incidentes
4.3.4.4 Porcentaje de requerimientos resueltos en el tiempo requerido:
Con base a los criterios de priorización para incidentes reportados a este servicio.
Se cumplieron todas las solicitudes en el tiempo acordado y por prioridad. Como
se puede observar en la Figura 4.23
=�4
=�6
=�>
=�-
=
=�;
=�6
=�4
=�-
=��
=�>
=�@
������; ������6 ������4 ������-
)���������
������!������
189
Figura 4.23 - Servicio PTCC - Porcentaje de Requerimientos resueltos a tiempo
4.3.4.5 Satisfacción del Cliente:
Se tiene un indicador de satisfacción del cliente externo de 4.5 lo que está en la
franja de excelente 4.5 a 5.0 para el cliente Coordinación de Capacitación y
Consultoría (usuario interno). El compromiso es mantener el índice en este rango.
Gráficamente se puede observar en la figura 4.24
Figura 4.24 - Servicio PTCC - Satisfacción del Cliente
> � - -
;== ;== ;== ;==
=
6=
-=
>=
?=
;==
;6=
������; ������6 ������4 ������-
�� ���
C���������
-�6
-�46
-�@
-�>
4�A
-
-�;
-�6
-�4
-�-
-��
-�>
-�@
-�?
������; ������6 ������4 ������-
190
5 CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
• Los procesos en el tiempo tienden a ser estáticos, dando como resultado
su obsolescencia en el corto plazo este trabajo se enfoca a aportar con el
criterio de mejora continua entregando un modelo, que fue implementado
en una fase piloto, que permitió identificar desde la óptica de las mejores
prácticas cual es el proceso más débil, su implementación y búsqueda de
su mejoramiento obteniéndose resultados que aportan positivamente a la
satisfacción del cliente interno y externo.
• Se logró la definición del modelo de gestión de servicios de TI para el CEC
y su implementación en una fase piloto del proceso de Mesa de servicios
que fué definido como priorizado y que se constituye como el fronting para
la recepción, y gestión efectiva de requerimientos de usuarios internos.
• Los procedimientos actuales de la CGT y sus servicios fueron revisados y
analizados en conjunto con los colaboradores técnicos, para en función de
este estudio plantear la propuesta del modelo.
• El modelo incluye los indicadores que permiten obtener la retroalimentación
de la efectividad del modelo implementado en esta fase piloto, y en función
de estos ir buscando las acciones que permitan lograr la mejora continua.
• El uso de mejores prácticas y estándares internacionales no se convierte
en un conjunto de restricciones o en una receta para la implementación de
un proceso. Este trabajo de tesis se lo ha visualizado como una guía
acoplada a la realidad de la Coordinación de Gestión de Tecnología del
Centro de Educación Continua, que se materializa en una propuesta de un
Modelo de procesos de gestión tecnológica, cuya implementación sea
ordenada en función de las priorizaciones y que sobretodo no genere
costos altos,
191
• El contar con procesos automatizados evidencia el grado de madurez y la
optimización buscada en términos de efectividad y costos, convirtiéndose
en un valor agregado que la CGT brinda a sus usuarios,
• Se entrega una propuesta de implementación de procesos, implementada
en una fase piloto, se constituye un reto en el mediano y largo plazo el
continuar con el despliegue del modelo propuesto,
• La necesidad de productos y servicios de calidad es algo bien comprendido
y es un requerimiento exigido por los clientes, por tanto cualquier esfuerzo
en aras de cumplir con este requerimiento, permitirá posicionar mejor al
CEC y garantizar la satisfacción del cliente,
• El alinear la estrategia de la Coordinación de Gestión de Tecnología, hacia
el uso de estándares de tecnología y las mejores prácticas de tecnologías
de la información, que son tendencias a nivel mundial contribuirán a la
mejora continua del servicio que ofrece el Centro de Educación Continua a
sus usuarios externos (clientes) y usuarios internos (otras unidades
internas del CEC),
• El definir el Catálogo de servicios de la Coordinación de Gestión de
Tecnología permitirá al equipo técnico de trabajo tener claridad en el
alcance, estandarizar tiempos de respuesta, y levantar fuentes de consulta
de lecciones aprendidas, como relevantes consecuencias del uso de las
mejores prácticas,
• El contar con Acuerdos de Niveles de Servicios SLAs, entre las diferentes
Unidades internas del CEC permitirá que los flujos de trabajo sean más
efectivos, y no genere conflictos entre los usuarios internos,
• El uso de herramientas de soporte tecnológico, como lo es en este trabajo
la Mesa de Servicios Informáticos, reduce el tiempo de solución de los
192
requerimientos de usuarios, contribuyendo a una efectiva administración de
la CGT y en la satisfacción del cliente, generando valor agregado a los
servicios de TI.
• Al definir indicadores y poder cuantificar el soporte de la Mesa de servicios
informáticos del CEC, permitirá identificar oportunidades de mejora,
corrección de errores frecuentes, crear una base de soluciones de errores
históricas, enfocar capacitaciones especializadas a los miembros del
equipo de la CGT, y contar con información para toma de decisiones,
• Durante el desarrollo de este trabajo se utilizaron metodologías como el
FODA (Fortalezas, debilidades, Oportunidades y Amenazas); de análisis de
madurez y alineamiento organizacional, mediante la ejecución de
encuestas internas y entrevistas al equipo de técnicos de la CGT, con esto
se logró tener información desde la fuente para entender la situación
actual, y proyectar la mejor alternativa de solución.
5.2 RECOMENDACIONES
• La cultura organizacional tiene que estar abierta y comprometida a los
cambios de metodologías, a las tendencias innovadoras, a la actualización
constante, y sobre todo mantener siempre un enfoque hacia el cliente, este
entorno le permitirá al CEC ser una organización competitiva y que genere
ventajas comparativas hacia la competencia. No mirar al estándar o a los
procesos como restricciones o simples requisitos, sino más bien como
herramientas que le permitan ser una organización proactiva siempre
escuchando la voz del cliente,
• Si bien es cierto el Centro de Educación Continua, cuenta con la
certificación ISO 9001, el uso de estándares y mejores prácticas a todo
nivel en sus procesos internos de soporte potenciarán la entrega de los
servicios, logrando eficiencia y eficacia organizacional.
193
• Que la Alta Gerencia apoye a las iniciativas de mejoramiento de las
Unidades/Coordinaciones internas de soporte en función de las estrategias
organizacionales.
• Hacer revisiones periódicas de los requerimientos reportados por usuarios
internos y externos, con estos insumos crear mecanismos de identificación
de causas y planes de mitigación preventivos y correctivos: como
capacitación y entrenamiento a usuarios internos, definición de
procedimientos con el objetivo de disminuir su recurrencia y aumentar su
satisfacción.
• Se recomienda la especialización de los recursos del equipo de Gestión de
Tecnología, capacitándolos en sus competencias técnicas, en los enfoques
internos: hardware, software, telecomunicaciones. Adicionalmente en
temas relacionados con calidad y procesos.
• Implementar el modelo propuesto de gestión de tecnología de información,
proyecto incluido en el Plan operativo anual de la CGT 2010, este trabajo
permitirá el crecimiento y el desarrollo organizacional. Este modelo está
fundamentado en ITIL v 3.0 que es una mejor práctica que se encuentra
posicionada y cuenta con millones de usuarios a nivel mundial,
actualmente muchas organizaciones siguen implementándola a nivel
nacional. El contar con esta propuesta siendo una organización de
servicios educativos se convierte en un valor agregado,
• Se recomienda difundir las políticas y procedimientos levantados sobre
cada servicio a toda la organización mediante campañas informativas
internas: por email, mensajes distribuidos por la red de computadores, o
cualquier otro medio, que permitirá mejorar el índice de satisfacción de los
usuarios.
• Hacia otros tesarios que se interesen por seguir especializándose en este
tipo de trabajos, el ámbito de las herramientas de gestión es un campo
194
abierto a la innovación al planteamiento de propuestas constituyéndose un
reto constante para las organizaciones y profesionales, mientras más
iniciativas de estas exista, más probabilidades de ser más competitivos a
nivel nacional como internacional existirá.
195
6 BIBLIOGRAFIA
• ISO 9001:2008, Quality management systems — Requirements
• www.iso27000.es - www.iso27001.es: Portal con información en español
sobre la serie 27000 y los sistemas de gestión de seguridad de la
información
• http://20000.standardsdirect.org/
• http://es.wikipedia.org/wiki/Six_Sigma
• http://www.pmi.org/
• Libros digitales de ITIL V3
• www.pinkelephant.com/
• www.isaca.org/cobit/
• http://technet.microsoft.com/es-es/library/bb232042(EXCHG.80).aspx
(MOF)
• Manual de Procesos del Centro de Educación Continua.
196
7 ANEXOS
ANEXO A - Procedimientos de la Coordinación de Gestión de Tecnología del CEC.
ANEXO B - Encuestas ITIL V3 a personal de CGT
ANEXO C - Encuestas CMM a personal de CGT
ANEXO D - Catálogo de Servicios de la CGT del CEC-EPN 2010
ANEXO E - SLA Servicio de Provisión de Tecnología para Cursos de Capacitación
ANEXO A - Procedimientos de la
Coordinación de Gestión de Tecnología
del CEC.
ANEXO B - Encuestas ITIL V3 a personal
de la CGT
ANEXO C - Encuestas CMM a personal
de la CGT
ANEXO D - Catálogo de Servicios de la
CGT del CEC-EPN 2010
ANEXO E - SLA Servicio de Provisión de
Tecnología para Cursos de Capacitación