Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Monterrey
Monterrey, Nuevo León a 20 de febrero de 2008
Lic. Arturo Azuara Flores:
Director de Asesoría Legal del Sistema
Por medio de la presente hago constar que soy autor y titular de la obra titulada
"Implementación de mejores prácticas de administración de servicios de
informática mediante la implantación de ISO9001:2000 en Banjercito S. N. C",
en los sucesivo LA OBRA, en virtud de lo cual autorizo a el Instituto Tecnológico y de Estudios Superiores de Monterrey (EL INSTITUTO) para que efectúe la divulgación, publicación, comunicación pública, distribución y reproducción, así como la digitalización de la misma, con fines académicos o propios al objeto de EL INSTITUTO.
El Instituto se compromete a respetar en todo momento mi autoría y a otorgarme el crédito correspondiente en todas las actividades mencionadas anteriormente de la obra.
"Implementación de Mejores Prácticas de Administración de
Servicios de Informática Mediante la Implantación de ISO
9001:2000 en Banjercito S.N.C."-Edición Única
Title "Implementación de Mejores Prácticas de Administración
de Servicios de Informática Mediante la Implantación de ISO 9001:2000 en Banjercito S.N.C."-Edición Única
Authors Mario Alberto Lozano García
Affiliation ITESM-Campus Estado de México
Issue Date 2007-10-01
Item type Tesis
Rights Open Access
Downloaded 19-Jan-2017 06:13:11
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY
IMPLEMENTACIÓN DE MEJORES PRÁCTICAS DE
ADMINISTRACIÓN DE SERVICIOS DE INFORMÁTICA
MEDIANTE LA IMPLANTACIÓN DE ISO 9001:2000 EN
BANJERCITO S.N.C.
TESIS QUE PRESENTA
MARIO ALBERTO LOZANO GARCÍA
MAESTRÍA EN CIENCIAS COMPUTACIONALES MCC95, Redes Computacionales
Asunto:
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY RECTORIA ZONA CENTRO
PROGRAMA DE GRADUADOS EN CIENCIAS COMPUTACIONALES
PORTADA
TESIS
“IMPLEMENTACIÓN DE MEJORES PRÁCTICAS DE ADMINISTRACIÓN DE SERVICIOS DE INFORMÁTICA MEDIANTE LA IMPLANTACIÓN DE ISO 9001:2000
EN BANJERCITO S.N.C.”
Aspirante: ING. MARIO ALBERTO LOZANO GARCÍA.
Asesor: DR. MIGUEL GONZÁLEZ MENDOZA
Asesor externo: MSc. TERESA LUCIO NIETO
Comité de Tesis:
DR. GUILLERMO RODRÍGUEZ ABITIA Presidente
DR. RAUL ANTONIO TREJO RAMÍREZ Secretario
MSc. TERESA LUCIO NIETO Vocal
DR. MIGUEL GONZÁLEZ MENDOZA Vocal
Campus: Estado de México Matrícula: 471035
Especialidad y plan: MCC95
Firma del aspirante:
2
ÍNDICE
PORTADA ... 1
ÍNDICE ... 2
1 INTRODUCCIÓN↑... 6
2 ANTECEDENTES↑...12
2.1 ANTECEDENTES DE BANJERCITO[1]... 12
2.2 +DEFINICIONES DE BANJERCITO ... 13
2.3 ESTRUCTURA ORGANIZACIONAL ... 14
2.3.1 LA DIRECCIÓN DE INFORMÁTICA... 14
2.3.2 LA SUBDIRECCIÓN DE SERVICIOS DE INFORMÁTICA... 14
2.4 OBJETIVOS POR ÁREA... 16
2.4.1 DIRECCIÓN DE INFORMÁTICA... 16
2.4.2 SUBDIRECCIÓN DE DESARROLLO DE SISTEMAS... 16
2.4.3 SUBDIRECCIÓN DE SERVICIOS DE INFORMÁTICA... 16
2.4.4 GERENCIA DE TELECOMUNICACIONES... 16
2.4.5 GERENCIA DE CENTRO DE CÓMPUTO Y SEGURIDAD... 17
2.4.6 DEPARTAMENTO DE ADMINISTRACIÓN DE REDES... 18
2.4.7 DEPARTAMENTO DE MESA DE AYUDA... 19
2.5 MODELO DE ADMINISTRACIÓN INICIAL PROPIO ... 20
2.6 REQUERIMIENTOS DE LA CNBV ... 22
2.7 RED DE SUCURSALES, CAJEROS AUTOMÁTICOS Y MÓDULOS DE INTERNACIÓN TEMPORAL DE VEHÍCULOS[1] ... 23
2.7.1 SUCURSALES... 23
2.7.2 CAJEROS... 23
2.7.3 RED DE MÓDULOS IITV... 23
3
3 MODELOS DE REFERENCIA Y ENTIDADES CERTIFICADORAS↑...26
3.1 MODELOS DE MEJORES PRÁCTICAS DE ADMINISTRACIÓN DE IT ... 26
3.1.1 COBIT... 26
3.1.2 ITIL... 27
3.1.3 MODELO HP-ITSM... 33
3.1.4 MICROSOFT – MOF... 34
3.2 ESTANDARES DE CERTIFICACIÓN DE SISTEMAS DE GESTION... 37
3.2.1 ISO 9000... 37
3.2.2 BS 15000... 39
3.2.3 ISO/IEC 20000... 40
3.3 CONCLUSIÓN DE USAR ITIL E ISO 9001... 42
4 CONSIDERACIONES DE IMPLEMENTACIÓN↑...44
4.1 EVALUACIÓN PREVIA USANDO UN DIAGNÓSTICO DE PROCESOS BAJO EL ESQUEMA DE ITIL 44 4.2 EVALUACIÓN PREVIA DEL LA SATISFACCIÓN DEL CLIENTE ... 46
4.2.1 SELECCIÓN DE LA MUESTRA... 46
4.2.2 RESUMEN DE LOS RESULTADOS DE LA EVALUACIÓN PREVIA... 47
4.3 LA IMPLANTACIÓN DE ITIL E ISO 9001:2000 CRONOLÓGICAMENTE SE REALIZÓ INICIALMENTE DESARROLLANDO: ... 48
4.3.1 INICIATIVA DE ITIL DENTRO DE BANJERCITO... 48
4.3.2 ALCANCE DEL PROYECTO DE IMPLEMENTACIÓN DE ITIL... 48
4.3.3 PROMOCIÓN DEL CONCEPTO DE ITIL... 48
4.3.4 ESTABLECIMIENTO DEL CATÁLOGO DE SERVICIOS... 48
4.3.5 ESTABLECIMIENTO DE HERRAMIENTAS... 49
4.3.6 SEGUIMIENTO Y DEPURACIÓN... 49
4.3.7 ESTABLECIMIENTO DE NIVELES DE SERVICIO (SLA)... 49
4.3.8 RESISTENCIA AL CAMBIO... 50
4.3.9 LIMITANTES DEL PROCESO... 50
4.3.10 PROCESOS ALTERNOS... 51
4.3.11 UNIDAD DE OBJETIVO Y CONTINUIDAD EN EL PROCESO... 51
4.3.12 DOCUMENTACIÓN... 52
4.3.13 CONGRUENCIA... 52
4.3.14 BENEFICIOS... 52
4.3.15 ROI (RETORNO DE INVERSIÓN).... 52
4.4 SISTEMA DE GESTIÓN ISO 9001:2000... 53
4.5 ETAPA I. CAPACITACIÓN INICIAL ... 54
4.6 ETAPA II. DEFINICIÓN DE LA POLÍTICA, LA MISIÓN, LA VISIÓN, LOS OBJETIVOS ESTRATÉGICOS, MANUAL DE ORGANIZACIÓN, DESCRIPCIÓN DE PUESTOS, PROCESOS Y PROCEDIMIENTOS INTERNOS EXISTENTES... 55
4.6.1 DETERMINACIÓN DE LOS OBJETIVOS... 61
4.6.2 DETERMINACIÓN DE OBJETIVOS ESTRATÉGICOS... 67
4.7 ETAPA III.- DOCUMENTACIÓN... 68
4.7.1 MANUAL DE GESTIÓN DE CALIDAD:... 68
4.7.2 PROCEDIMIENTOS DE GESTIÓN:... 68
4
4.8 ETAPA IV.- DIFUSIÓN DE LA DOCUMENTACIÓN E IMPLANTACIÓN DEL SISTEMA DE
GESTIÓN DE CALIDAD ... 70
4.9 ETAPA V.- CAPACITACIÓN INTERMEDIA... 71
4.10 ETAPA VI.- AUDITORÍA INTERNA Y REVISIÓN POR LA DIRECCIÓN... 71
4.11 ETAPA VI.- LA AUDITORÍA DE CERTIFICACIÓN EXTERNA... 73
4.12 PROGRAMA DE TRABAJO... 74
5 RESULTADOS DE LA IMPLEMENTACIÓN↑...75
5.1 ESTRUCTURA DE LA DOCUMENTACIÓN ... 75
5.1.1 GUÍAS Y DESCRIPCIONES GENERALES.... 75
5.1.2 SISTEMA DE GESTIÓN.... 75
5.1.3 RESPONSABILIDADES DE LA DIRECCIÓN.... 75
5.1.4 GESTIÓN DE LOS RECURSOS... 76
5.1.5 REALIZACIÓN DEL PRODUCTO... 76
5.1.6 MEDICIÓN, ANÁLISIS Y MEJORA... 77
5.1.7 SECCION 9.0 DESCRIPCIÓN GENERAL DE LOS PROCESOS... 77
5.1.8 SECCION 10.0 MAPAS DE PROCESO DE SEGUNDO NIVEL... 77
5.2 RESUMEN DE CADA UNO DE LAS SECCIONES. ... 78
5.3 RESULTADOS ... 114
5.3.1 EXPLICACIÓN DEL CUMPLIMENTO... 115
5.3.2 FORTALEZAS PARA LA IMPLEMENTACIÓN DE ISO 20000:... 120
5.4 COMPARACIÓN DE EVALUACIÓNES... 122
5.5 COMPARACION DE RESULTADOS DE LA SATISFACCIÓN DEL CLIENTE... 124
6 CONCLUSIONES Y RECOMENDACIONES FUTURAS↑...125
6.1 CONCLUSIONES... 125
6.2 RECOMENDACIONES FUTURAS ... 126
REFERENCIAS Y BIBLIOGRAFÍA ↑...128
ANEXOS ↑...130
ANEXO A. DESCRIPCIÓN DETALLADA DE FUNCIONES DE INFORMÁTICA EN BANJERCITO 130 ANEXO B. OBJETIVOS DE CONTROL COBITTM... 169
ANEXO C. LISTA DE SERVICIOS GENERALES. ... 178
ANEXO D. RFP PARA SISTEMA DE MESA DE AYUDA. ... 185
5
ANEXO F. ENCUESTA DE LA GERENCIA DE CÓMPUTO Y CONTROL DE ACCESOS... 193
ANEXO G. REPORTE DE ACCIÓN PREVENTIVA ... 195
ANEXO H. REPORTE DE ACCION CORRECTIVA ... 198
6
1
INTRODUCCIÓN
↑
Esta tesis es el resultado del trabajo de investigación realizado a lo largo de cuatro años en la Subdirección de Servicios de Informática del Banco Nacional del Ejercito Fuerza Aérea y Armada, en ella se describe las definiciones de diseño establecidas y cursos de acción emprendidos para la mejora continua de los servicios de informática dentro de la Institución.
El Banco Nacional del Ejército, Fuerza Aérea y Armada (Banjercito S.N.C.) se constituyó
el 16 de mayo de 1947 y ha evolucionado con el Sistema Financiero Mexicano, actualmente se organiza bajo la figura de las denominadas Sociedades Nacionales de Crédito.
Conforme a su Ley Orgánica tiene como misión principal la de proporcionar el servicio de Banca y Crédito a un sector estratégico de la sociedad mexicana, los miembros del Ejército, Fuerza Aérea y Armada así como atender las directrices señaladas por las autoridades Financieras y Sectoriales.
Con esta crítica misión y sus valores de Disciplina, Productividad, Honestidad, Servicio, Compromiso y Lealtad, Banjercito, S.N.C. requiere mejorar los servicios que provee para ofrecer a los miembros de las Fuerzas Armadas una Institución sólida desde el punto de vista financiero y operativo, con compromiso y calidad en el servicio, cuyo quehacer logre incrementar el bienestar del personal Militar.
Por lo anterior, la pregunta de investigación definida fue: ¿Cómo mejorar en calidad y operativamente los servicios que entrega Banjercito, S.N.C. mediante la mejora de sus procesos de Tecnología de la Información y Comunicaciones?
7
para los negocios actuales y sacándola del relego en que se encontraba como solo una herramienta secundaria.
Las tecnologías de Información y comunicaciones como lo establece la CNBV son de vital importancia para el negocio bancario por lo que es una necesidad constante buscar nuevas formas de mejorarlas ya que impacta directamente en el servicio intencionado y la competitividad, por lo que se convierte en un Área Estratégica para el Negocio.
La estructura organizacional de las TIC en Banjercito S.N.C. incluye una dirección de Informática y dos Subdirecciones una para el desarrollo y mantenimiento de aplicaciones y otra para la administración de todos los servicios de Informática.
La Subdirección de Servicios de Informática es el área encargada de administrar los recursos tecnológicos del banco (Telecomunicaciones, Redes y Centro de Cómputo) y de brindar atención y soporte técnico a sucursales, módulos y corporativo (Mesa de Ayuda) para asegurar la continuidad de sus operaciones.
Se cuenta con un conmutador con el que se implementa una red de telefonía privada a nivel nacional. Los servicios de Telecomunicaciones se materializan con dos redes WAN una de “frame relay” y otra de “Clear Channell” directa con una amplia infraestructura de ruteadores Cisco con la que se monitorea y se lleva el servicio de comunicaciones a todas las sucursales que actualmente son 52 Sucursales Nacionales, 48 Módulos de Importación Temporal de Vehículos en las fronteras y 10 consulares en los Estados Unidos.
La administración de los servicios de Informática en Banjercito, S.N.C. se realizaba de forma intuitiva sin que existieran las definiciones necesarias para un proceso de mejora constante, por lo que tomando como referencia la administración de procesos Militares, se definió un modelo propio el cual permitía dar las definiciones necesarias, sin embargo aun cuando este modelo funcionaba adecuadamente fue su adopción por otras áreas la que generaba dudas sobre su validez ya que era un modelo desconocido.
Una vez identificada la necesidad de establecer un modelo aceptado ser realizó el estudio y comparación de diversas estrategias y metodologías usadas internacionalmente de calidad así como de administración de Servicios de informática tales como:
• COBIT: Objetivos de Control para la información y Tecnologías relacionadas (Control
Objectives for Information and related Technology, COBIT tiene 34 objetivos de alto nivel que cubren 318 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación.
• ITIL, es la Librería de Infraestructura de Tecnología de Información, ITIL es un conjunto de
8
todos los sectores. La metodología ITIL propone aprovechar al máximo los recursos TIC de la compañía con el fin de hacerle frente a un ambiente más competitivo, entendiendo que la satisfacción de los clientes es altamente dependiente del uso de la tecnología, lo cual que determina requerimientos de calidad superiores para los servicios diseñados y prestados de acuerdo con las emergentes necesidades del negocio y los usuarios.
• HP-ITSM: La Administración de Servicios de Tecnología de Información (ITSM) es un
modelo de referencia, creado por Hewlett Packard y utilizado como guía para la definición e implantación de los procesos de TI, necesarios para gestionar servicios de TIC este modelo está basado en las mejores prácticas del mercado (estándar ITIL) y en la experiencia de HP, y garantiza que los tres pilares (procesos, personas y tecnología) involucradas en la gestión de TI estén en armonía. Uno de los aspectos que genera valor de este modelo es que presenta una evaluación del estado actual y el estado deseado, visualizando el potencial GAP que existe; además administra costos, calidad, y riesgos durante el completo ciclo de vida del servicio.
• MS-MOF: Es un modelo que surge a la sombra de MICROSOFT, para dar cobertura a la
implantación de sus propios productos. Aunque esto no debe limitar su uso dado que sus preceptos pueden ser aislados. MOF es un marco de referencia que adopta y se adapta al modelo ITIL, modelo éste generalmente aceptado como el que aglutina las mejores prácticas de operaciones dentro de IT. La visión de MOF es crear una probada y completa guía de operaciones para alcanzar fiabilidad, disponibilidad, soportabilidad y operatividad en sistemas de misión crítica en producción sobre la plataforma de productos Microsoft. Es decir, MOF combina los estándares industriales de colaboración con directrices específicas para utilizar productos y tecnologías de Microsoft.
• ISO 9000: La familia de normas ISO 9000 es un conjunto de normas que tratan sobre la
Gestión de calidad establecidas por la Organización Internacional para la Estandarización,
ISO que se pueden aplicar en cualquier tipo de organización (empresa de producción,
empresa de servicios, administración pública, etc.) y actualmente se encuentra implementada en 887,770 empresas en 161 países. ISO 9001:2000 tiene muchas semejanzas con el famoso “Ciclo de Deming”: acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Está estructurada en cuatro grandes bloques, completamente lógicos, y esto significa que con el modelo de sistema de gestión de calidad basado en ISO se puede desarrollar en su seno cualquier actividad. La ISO 9000:2000 se presenta como una estructura válida para diseñar e implantar cualquier sistema de gestión, no solo el de calidad, e incluso, para integrar diferentes sistemas.
• ISO/IEC 20000: La norma International Standarization Organization/International
9
describe las mejores prácticas para la Administración de Servicios de IT dentro del ámbito de la parte 1, las secciones que la integran incluyen: Procesos de entrega del servicio, Procesos de relaciones, Procesos de Resolución, Procesos de Control y Procesos de Administración de liberaciones. Este par de normas es el primer estándar en el mundo para la Administración de Servicios de Informática y es completamente compatible y soportado por el marco de referencia de ITIL.
Tras la comparación de los conceptos anteriores se llegó a la conclusión de implementar una mezcla de ITIL e ISO 9001:2000 que permitiera administrar paulatinamente el cambio y al mismo tiempo establecer una metodología y ruta para modelos más avanzados como ISO 20,000.
Las consideraciones de implementación fueron 1) Una iniciativa de ITIL y 2) La implementación de un sistema de Gestión basado en la Norma ISO 9001:2000.
De principal interés es el proceso de definición de la política de calidad y Objetivos de calidad basados en las funciones realizadas por las cuatro áreas sustantivas que para este efecto fueron descritas como los Macro procesos de Administración:
• Administración y operación del Centro de Cómputo.
• Administración y mantenimiento de las Telecomunicaciones.
• Administración de Redes.
• Operación de la Mesa de Ayuda.
Política de Calidad
“En la Subdirección de Servicios de Informática estamos comprometidos con el logro de los objetivos de la Institución y la satisfacción de las necesidades de nuestros usuarios en sucursales, módulos de IITV y corporativo, a los que les ofrecemos nuestros servicios de:
• Control de Acceso a los sistemas informáticos Institucionales, Atención de incidentes y
Asistencia técnica a Usuarios.
• Configuración, Operación, Mantenimiento y Monitoreo de Equipo de Cómputo y
Comunicaciones.
• Habilitación de servicios de Informática y Comunicaciones.
• Control y Ejecución de las copias de seguridad de la información de los sistemas informáticos
Institucionales.
• Impresión de Estados de Cuenta y Números de Identificación Personal.
• Control, custodia, asignación y registro de las licencias de uso de software en la Institución.
Todo con mejora continua de nuestros procesos y eficacia de nuestro Sistema de Gestión de Calidad dentro del marco normativo”.
Objetivos de la calidad
10
• Mantener un alto nivel de Atención a usuarios.
• Cumplir cabalmente con los niveles de servicio acordados.
• Reducir la incertidumbre en los tiempos de atención negociando nuevos acuerdos de nivel de
servicio y renegociando los existentes.
El proceso de implantación fue el siguiente:
ITIL
• Promoción del concepto de ITIL. Definición del alcance del Proyecto de Implementación
de ITIL
• Integración de herramienta que nos permitiera cumplir con ITIL para la mesa de ayuda.
• La integración de cada servicio a sus mejores prácticas, buscando establecer entregables
que funcionaran y que dieran resultados para posteriormente hacerlos crecer.
• Desbordar la administración de los servicios para darles el seguimiento.
• Extraer la información y mejorar los servicios.
Sistema de Gestión ISO 9001:2000
Una vez establecida la iniciativa de ITIL, Banjercito a través de la Dirección de Informática y la específicamente la Subdirección de Servicios de Informática tomó la decisión estratégica de entrar en una etapa de certificación de sus procesos administrativos y operativos del área de servicios de Informática adoptando para ello un Sistema de Gestión de la Calidad basado en la Norma Internacional ISO 9001:2000. La implantación requirió un Diseño, Desarrollo e Implementación del Sistema de Gestión de Calidad, con base en el modelo definido en la norma con siete etapas.
Etapa I. Capacitación Inicial.
Etapa II. Definición de La política, La misión, La visión, Los objetivos estratégicos,
Manual de organización, Descripción de puestos, Procesos y procedimientos internos existentes
Etapa III. Documentación
Etapa IV. Difusión de la documentación e implantación del Sistema de Gestión de Calidad
Etapa V. Capacitación Intermedia
Etapa VI. Auditoría Interna y Revisión por la Dirección
Etapa VII. La auditoría de certificación Externa.
De conformidad a la estructura del sistema de Gestión ISO 9001:2000 se desarrolló el contenido del sistema de gestión de calidad materializado en un manual el siguiente contenido:
Capítulo 1 CONTENIDO. Capítulo 2 INTRODUCCIÓN.
Capítulo 3 ALCANCE DEL SISTEMA.
11
Capítulo 5: Responsabilidades de la Dirección: contiene los requisitos que debe cumplir la dirección de la organización, tales como definir la política, asegurar que las responsabilidades y autoridades están definidas, aprobar objetivos, el compromiso de la dirección con la calidad, etc. Capítulo 6: Gestión de los recursos: la Norma distingue 3 tipos de recursos sobre los cuales se debe actuar: RRHH, infraestructura, y ambiente de trabajo. Aquí se contienen los requisitos exigidos en su gestión.
Capítulo 7: Realización del producto: aquí están contenidos los requisitos puramente productivos, desde la atención al cliente, hasta la entrega del producto o el servicio.
Capítulo 8: Medición, análisis y mejora: aquí se sitúan los requisitos para los procesos que recopilan información, la analizan, y que actúan en consecuencia. El objetivo es mejorar continuamente la capacidad de la organización para suministrar productos que cumplan los requisitos. El objetivo declarado en la Norma, es que la organización busque sin descanso la satisfacción del cliente a través del cumplimiento de los requisitos.
Capítulo 9.0 DESCRIPCIÓN GENERAL DE LOS PROCESOS Capítulo 10.0 MAPAS DE PROCESO DE SEGUNDO NIVEL
Ahora que Banjercito ya cuenta con un sistema de Gestión de calidad en cumplimiento a ISO 90001, cuyo sistema documental representa un avance significativo puede ser tomado en consideración para la estimación de los tiempos y recursos del proyecto de establecimiento de un sistema de Gestión de Tecnologías de la Información ISO 20000.
A través de la implementación del Sistema de Gestión de calidad a los procesos de servicios de Informática dentro de Banjercito S. N. C. se crearon las siguientes bases:
• Se implementaron las herramientas necesarias.
• Se establecieron SLA’s.
• Se tienen un proceso Medición.
• Administración de Incidentes.
• Administración de Problemas.
12
2
ANTECEDENTES
↑
2.1
ANTECEDENTES DE BANJERCITO[1]
El 16 de mayo de 1947 se constituyó el Banco Nacional del Ejército, Fuerza Aérea y Armada, bajo la figura jurídica de una Sociedad Anónima de Capital Variable, iniciando formalmente operaciones el día 15 de Julio del mismo año.
El Banco ha evolucionado a la par del desarrollo experimentado por el Sistema Financiero Mexicano y actualmente se organiza bajo la figura de las denominadas Sociedades Nacionales de Crédito, Instituciones de Banca de Desarrollo que forman parte de la Administración Pública Federal, pero mantienen personalidad jurídica y patrimonio propios.
ASEGURADORAS
AFI ANZADORAS INSTITUCI ONES DE SEGUROS Y DE FI ANZAS COMISI ÓN NACI ONAL
DE SEGUROS Y FI ANZAS
BANCA MÚLTI PLE BANCA DE DESARROLLO SOCIEDADES FINANCIERAS DE OBJETO LI MITADO INSTITUCI ONES DE CRÉDITO ALMACENES GENERALES DE DEPÓSI TO ARRENDADORAS FINANCIERAS EMPRESAS DE FACTORAJE FINANCIERO CASAS DE CAMBI O
UNI ONES DE CRÉDITO
SOCIEDADES DE AHORRO Y
PRÉSTAMO ORGANIZACI ONES
AUXI LI ARES DEL CRÉDITO
BOLSA DE VALORES BMV - MEXDER
CASAS DE BOLSA ORGANISMOS DE APOYO SOCIEDADES OPERADORAS DE SOCI EDAD DE I NVERSI ÓN
DE INSTRUMENTOS DE DEUDA COMUNES SINCAS SOCIEDADES DE INVERSIÓN ORGANI ZACI ONES
BURSÁTI LES COMI SIÓN NACIONAL
BANCARI A Y DE VALORES
ADMI NISTRADORAS DE FONDOS
PARA EL RETI RO
SOC. DE I NVERSI ÓN ESPECI ALIZADAS DE
FONDOS PARA EL RETI RO COMI SIÓN NACIONAL
DEL SISTEMA DE AHORRO P/ EL RETIRO SECRETARÍ A DE HACIENDA
Y CRÉDI TO PÚBLI CO
BANCO DE MÉXI CO CONDUSEF IPAB
[image:15.612.102.541.389.719.2]BANJERCI TO
13
El Banco Nacional del Ejército, Fuerza Aérea y Armada S.N.C. conforme a su Ley Orgánica tiene como objetivo primario el proporcionar el servicio de Banca y Crédito a un sector estratégico de la sociedad mexicana, los miembros del Ejército, Fuerza Aérea y Armada con esa misión Banjercito, S.N.C. está en una constante búsqueda de mejorar los servicios que provee.
2.2
+DEFINICIONES DE BANJERCITO
Misión
"Proporcionar el servicio de Banca y Crédito a un sector estratégico de la sociedad: los miembros del Ejército, Fuerza Aérea y Armada de México, así como atender las directrices señaladas por las autoridades Financieras y Sectoriales".
Visión
"Ofrecer a los miembros de las Fuerzas Armadas una Institución sólida desde el punto de vista financiero y operativo, con compromiso y calidad en el servicio, cuyo quehacer logre incrementar el bienestar del personal del Ejército, Fuerza Aérea y Armada, bajo estrictos criterios de rentabilidad acordes con su ubicación en el Sistema Financiero".
Objetivo
"Alcanzar el máximo de eficiencia en la prestación de nuestros servicios de Banca y Crédito, bajo condiciones de oportunidad, rentabilidad y excelencia en la atención de los clientes".
Valores
"Disciplina, Productividad, Honestidad, Servicio, Compromiso y Lealtad".
1. Disciplina. Aplicación estricta de las normas y procedimientos institucionales en nuestro
quehacer diario, con criterios de eficiencia, oportunidad y confiabilidad.
2. Productividad. La mejora continua en cada uno de nuestros procesos para atender de la mejor
manera las necesidades de nuestros clientes, en un ambiente de modernización, simplificación y oportunidad en las tareas diarias.
3. Honestidad. Actuar con integridad, rectitud y apego a derecho, evitando conductas irregúlales
que afecten los intereses de nuestra institución y los derechos de nuestros clientes.
4. Servicio. Atender con calidad y servicio las necesidades de cada uno de nuestros clientes, con
amabilidad, prontitud y con la confianza de que Banjercito es su mejor banco.
5. Compromiso. Conjuntar el esfuerzo necesario para superar y cumplir con las expectativas de
nuestros clientes, reuniendo las características y medios necesarios para aportarles soluciones y beneficios.
6. Lealtad. Formar parte de un gran equipo, que busca identificar y reconocer los intereses de
Banjercito como propios, sobre cualquier circunstancia ajena a su razón de ser.
Slogan
14
Las tecnologías de Información y comunicaciones como lo establece la CNBV son de vital importancia para el negocio por lo que es una necesidad constante buscar nuevas formas de mejorarlas ya que impacta directamente en el servicio intencionado y la competitividad del negocio, por lo que se convierte en un Área Estratégica para el Negocio.
2.3
ESTRUCTURA ORGANIZACIONAL
La estructura organizacional de las TIC en Banjercito S.N.C. incluye una dirección de Informática y dos Subdirecciones.
2.3.1 LA DIRECCIÓN DE INFORMÁTICA
Para ofrecer servicios de banca y crédito de calidad a los miembros del Ejército, Fuerza Aérea y Armada de México y cumplir con los requerimientos de la CNBV se requiere contar con los sistemas de apoyo e infraestructura tecnológica necesaria que permitan realizar y soportar las operaciones de las diferentes áreas de negocio de Banjercito, S.N.C., motivo por lo que se cuenta con una Dirección de Informática, la cual cuenta con dos Subdirecciones una para el desarrollo y mantenimiento de aplicaciones y otra para la administración de todos los servicios de Informática.
Fig. 2. Organización de Informática.
2.3.2 LA SUBDIRECCIÓN DE SERVICIOS DE INFORMÁTICA
La Subdirección de Servicios de Informática es el área encargada de administrar los recursos tecnológicos del banco (Telecomunicaciones, Redes y Centro de Cómputo) y de brindar atención y soporte técnico a sucursales, módulos y corporativo (Mesa de Ayuda) para asegurar la continuidad de sus operaciones.
Se cuenta con un conmutador con el que se implementa una red de telefonía privada a nivel nacional. Los servicios de Telecomunicaciones se materializan con dos redes WAN una de “frame relay” y otra de “Clear Channell” directa con una amplia infraestructura de ruteadores cisco con la que se monitorea y se lleva el servicio de comunicaciones a todas las sucursales que
Dirección de Informática
Subdirección de
15
[image:18.612.122.520.100.318.2]actualmente son 52 Sucursales Nacionales, 48 Módulos de Importación Temporal de Vehículos en las fronteras y 10 consulares en los Estados Unidos.
Fig. 3. Organización de la Subdirección de Servicios de Informática.
Subdirección de Servicios de
Informática
Gerencia del Centro de
Cómputo
Gerencia de Tele comunicaciones
Departamento de Administración de
Redes
Jefatura de Tele
comunicaciones Jefatura de Telefonía
Departamento de Mesa de
16
2.4
OBJETIVOS POR ÁREA
2.4.1 DIRECCIÓN DE INFORMÁTICA
Objetivo: Promover el mejoramiento integral del Banco, mediante el desarrollo de sistemas de información, el empleo de tecnología de la información y la aplicación de metodología de sistemas.
2.4.2 SUBDIRECCIÓN DE DESARROLLO DE SISTEMAS
Objetivo: Automatizar los requerimientos de información de las diferentes áreas de Administración, Operativas, de Negocio y de Control que por el alcance de su operación, volumen de procesamientos de información y requerimientos del negocio y servicio de la Institución requieran ser satisfechos mediante el desarrollo de Sistemas Integrales que utilicen las base de datos de la Institución, con base en los lineamientos y políticas institucionales con el fin de garantizar un adecuado nivel de servicio y de funcionamiento de Banjercito.
2.4.3 SUBDIRECCIÓN DE SERVICIOS DE INFORMÁTICA
Objetivo: Administrar los recursos de cómputo, comunicaciones, redes, soporte técnico y mecanismos de seguridad de acceso a los equipos y sistemas, así como el apoyo y soporte a los usuarios.
2.4.4 GERENCIA DE TELECOMUNICACIONES
Objetivos:
• Administrar los recursos de la red de voz y datos, manteniéndola en óptimo estado, para
ofrecer un servicio de calidad en el corporativo, sucursales, módulos IITV y cajeros automáticos.
• Apoyar a la Dirección de Informática en materia de telecomunicaciones y telefonía.
2.4.4.1 Desarrollo de las telecomunicaciones:
Las telecomunicaciones son una parte fundamental de cualquier Institución Bancaria ya que estas son las encargadas de transportar las operaciones en forma de datos digitales entre los diferentes dispositivos que integran su red de voz y datos, por lo que Banjercito S.N.C. cuenta con la Gerencia de Telecomunicaciones la cual cuenta con personal calificado, que se encarga de mantener en óptimas condiciones de operación la red de Telecomunicaciones, así como de mejorarla al aplicar nuevas tecnologías, esto significa que la red ha pasado por diferentes etapas como la migración de los medios de comunicación analógicos a medios digitales con mayor capacidad de transmisión, integración de nuevos protocolos como TCP/IP siendo uno de los más empleados en la actualidad lo que ha implicado la adquisición e instalación de equipos ruteadores, switches, firewall´s, conmutadores, enlaces de radio, sistemas de monitoreo, etc., permitiendo así ofrecer servicios Bancarios a través de Internet y Banca por teléfono.
17
voz y de datos a las sucursales, estos equipos eran obsoletos por lo que en el 2002 se realizó un macro proyecto para migrar a una tecnología actual la cual integró en un solo equipo los servicios de voz y datos teniendo como resultado la implementación de equipos ruteadores de la marca Cisco.
En el 2001 Banjercito también contaba con una red corporativa sin segmentación teniendo problemas internos de conectividad en ese mismo año se instalaron equipos switches marca cisco de capa dos y en combinación con dos ruteadores cisco se logró segmentar la red del corporativo.
En el 2003 se integraron equipos Firewall e IVR en la red de telecomunicaciones para ofrecer los servicios de Banca Electrónica y banca por teléfono, con esta nueva infraestructura se proporcionó el servicio de Internet corporativo eliminando los accesos Dial-up a Internet, en este mismo año los equipos Frad´s que integraban la red de módulos IITV fue sustituida por equipos ruteadores Cisco.
2.4.5 GERENCIA DE CENTRO DE CÓMPUTO Y SEGURIDAD
Objetivo: Administrar los recursos de los equipos centrales de la unidad de centro de cómputo, soporte técnico y mecanismos de seguridad que permitan garantizar la integridad de la información.
2.4.5.1 Departamento de Centro de Cómputo y Seguridad de Acceso a Usuarios
Objetivo: Supervisar la operación del centro de cómputo, control y administración de las medidas de seguridad de acceso, instalación y actualización de sistemas operativos de los equipos centrales.
2.4.5.2 Desarrollo del Centro de Cómputo:
En los años 1985-1986, la Institución tenía un equipo IBM modelo 9336, cuya Tecnología de procesamiento de datos, utilizaba diskettes flexibles, mismos que se generaban en el área de captura de datos y que después de haber sido efectuado el proceso, los resultados pasaban a impresión a la Mesa de Control de Datos para hacer la validación respectiva y entregar al usuario los resultados obtenidos.
En los años 1987-1992, la Institución contaba con un equipo IBM modelo 9375, cuya Tecnología de procesamiento de datos, era igual a la del equipo anterior, con la única diferencia de contar con mayor capacidad en discos, así como con una mejora en el tiempo del procesamiento de datos.
18
condiciones de atender al público, una vez que se había habilitado la línea de comunicación para tal efecto.
[image:21.612.87.560.173.491.2]Asimismo la evolución del los equipos centrales nos ha mantenido como un Centro de Cómputo líder y vanguardista en el ramo tecnológico contando actualmente con plataformas SUN Microsystems, IBM iSeries, y Dell.
Tabla 1. Evolución de sistemas centrales del Centro de cómputo.
Evolución de equipo de PRODUCCIÓN
Año Sistema Modelo Marca RAM HD
1966 370 115 IBM
1969 Honey Well 8 KB
1978 370 125 IBM
1981 4331 IBM
1988 9375 IBM 8 MB 3.2 GB
1990 AS/400 B50 IBM
1991 AS/400 D50 IBM 32 MB 4.8 GB
1991 E90 IBM
1992 E90 IBM
1993 E90 IBM
1998 AS/400 530 IBM 1280 MB 43 GB
1999 AS/400 620 IBM 1664 MB 70 GB
2000 AS/400 730 IBM 3072 MB 257.4 GB
2001 AS/400 730 IBM 3072 MB 257.4 GB
2002 AS/400 730 IBM 3072 MB 257.4 GB
2003 iSeries 830 IBM 9 GB 828 GB
2004 iSeries 825 IBM 24 GB 2 TB
2005 iSeries 570 IBM 65 GB 5 TB
2.4.6 DEPARTAMENTO DE ADMINISTRACIÓN DE REDES
Objetivo: Funcionario encargado de la instalación, administración, supervisión y puesta en marcha de todas las redes de datos de equipos de cómputo a nivel nacional.
2.4.6.1 Desarrollo de la Administración de Redes
En el año 1990 el Banjercito, S.N.C. se trabajaba con equipos con procesador 80286 y 80386 bajo un esquema “Stand Alone” y en el caso de las sucursales sobre Redes Novell Netware ver 3.12 bajo un sistema de cableados coaxiales RG58.
19
En este año los equipos del corporativo comenzaban a trabajar por medio de emulaciones 5250 las cuales se conectaban por medio de cableados Twinaxiales mediante el software PC Support software que también permitía la emulación de impresoras para el nuevo sistema central.
Durante los años 1992 a 1994 los equipos en el corporativo se fueron cambiando a modelo 486.
En 1998 se comenzó con los primeros centros de impresión y servidores de archivos mediante el sistema operativo IBM OS/2 ver 2.1 y los cableados pasaron a utilizar cable UTP nivel 5 hasta este año aún se llamaba Gerencia de Enlaces de Informática.
Hasta que en el año 1999 derivado de crecimiento de las operaciones del banco se crea la Jefatura de Administración de Redes (donde se contaba con 7 empleados y 1 Jefe de área, los cuales se encontraban operando bajo el siguiente es quema: 2 encargados para cableado, 2 personas asignadas a Corporativo y 3 Para sucursales y módulos de IITV) para administrar eficientemente el sistema de redes de la institución.
2.4.7 DEPARTAMENTO DE MESA DE AYUDA
Objetivo: Administrar los recursos de hardware, software de computadoras personales y servicios a los usuarios de las oficinas centrales, módulos de IITV y Sucursales, así como la verificación de hardware, software de PC’s, servicios a usuarios y la operación diaria de sucursales y módulos
2.4.7.1 Desarrollo de la Mesa de Ayuda
Esta área se creo en el año de 1995 con el nombre de “Help Desk”, la conformaron en total 4 personas que se escogieron de las áreas de sistemas, Centro de Cómputo y redes, que tenían perfiles diferentes de acuerdo a sus actividades.
El objetivo de formar un equipo de trabajo con personas de estas características, era de ofrecer soporte técnico a los usuarios que tuvieran un equipo de cómputo o que utilizaran las aplicaciones que administraba el sistema AS/400.
Se trató de evitar que el usuario llamara a todas las áreas para la solución de su problema, y que reportara todo lo relacionado con este tipo de apoyo a la nueva área “Help Desk”, para ello
se creo un número telefónico similar al 911 de emergencias, que hasta la fecha es el 56-26-05-11.
Las personas que iniciaron en esta área proporcionaban el soporte a usuarios, donde los procedimientos de solución no existían, ni tampoco el control de los reportes, no se registraba ni se documentaba en ningún lado esta atención que realizábamos.
20
Para el año de 1998 el área cambio de nombre, ahora como Apoyo a Usuarios seguía teniendo el mismo numero telefónico más otras extensiones para atender los requerimientos de los usuarios, tampoco se tenían procedimientos y se empezó a llevar un control de reportes en forma manual, donde se anotaba lo que solicitaban y como se resolvía. Además se contrataba a empresas externas para que dieran el mantenimiento preventivo y correctivo, mismas que eran controladas por esta área.
En el año 2000 el área adoptó el nombre de Mesa de Ayuda, el cual se conserva a la fecha, siguiendo las mismas formas manuales de control de reportes.
Para el año 2001 se dejó de contratar a personas externas para que aplicara el mantenimiento correctivo de equipos de cómputo, y se logró que se contratara a personas que realizaran esta actividad.
A principios del año 2002 se empezó a registrar los reportes atendidos en Mesa de Ayuda en hojas de Excel y a mediados de este mismo año se empezaron a realizar gráficas mensuales de desempeño de las actividades del área.
El sistema Unicenter Service Plus entró en operación en el área, en noviembre del 2003, el cual permite registrar todos los incidentes reportados a Mesa de Ayuda, así como documentarlos y escalarlos a áreas de segundo nivel lo que permite más claridad en las funciones que tiene cada área.
A la fecha el área de Mesa de Ayuda, atiende reportes de software y hardware, donde se tiene una responsabilidad de atención oportuna, acertada y profesional con el usuario que requiera apoyo técnico sea Corporativo, Sucursales y Módulos IITV.
Esta área ha crecido de acuerdo a las necesidades de la Institución, contamos con más equipos de cómputo, herramientas de diagnóstico, sistemas de monitoreo, etc. que nos permiten orientar y resolver mejor los problemas reportados a esta área.
2.5
MODELO DE ADMINISTRACIÓN INICIAL PROPIO
La administración de los servicios de Informática en Banjercito, S.N.C. se realizaba de forma intuitiva ya que solo se atendían requerimientos de necesidades y se realizaba un proceso de entrega del servicio, sin que existieran las definiciones necesarias para un proceso de mejora constante.
21
El modelo inicial propio generado de los conceptos antes mencionados incluía la definición de los elementos organizacionales recurrentes y el establecimiento de un diagrama entidad-relación, el cual permitía dar las definiciones necesarias, sin embargo aun cuando este modelo funcionaba adecuadamente, fue su adopción por otras áreas la que generaba dudas sobre su validez ya que era un modelo desconocido.
PROCESO ELEMENTO ORGANIZACIONAL Unidad organizacional * titular R.H. R.M RECURSO Entregan Proyectos
BIEN O SERVICIO
Son Resultado de Proyectos de Mejora Proyectos de Innovación Dentro de: Requieren Se Gastan en SUBDIVISION Conformada por: NIVEL DEL ELEMENTO ORGANIZACIONAL * idnivel De: Es la clasificación para: MISION OBJETIVO Tipo de objetivo Tener: Ser de: Realiza: Realizada por: Tiene Son de INDICADOR •Indicador •Unidad de medida Formar parte de ACTIVIDAD Es el conjunto de: ¿QUIÉN GASTA? ¿CÓMO GASTA? ¿PARA QUE GASTA?
Participa en : Instrumentado por:
FUNCION Ser de:Tener:
[image:24.612.148.493.448.707.2]META *meta *ańo TipoActividad TIPO DE INDICADOR Política Siguen Rige PROCEDIMIENTO? R.F. Paga Cliente/ciudadano Intangibles? Satisfaccion Buena imagen Credibilidad etc
Fig. 4. Modelo de referencia propio.
Asimismo se definió la forma de cómo se visualiza al área como sigue:
Centro de Computo Conmutador Telecomunicaciones Mesa de Ayuda C R S S Redes Redes Redes Redes
22
A través del área de desarrollo se tuvo contacto con algunos modelos de desarrollo como Cobit o MMI y encontramos que existían varios modelos que podrían usarse sin embargo, hay algunos modelos ya anticuados por lo que se hizo la investigación adecuada y se encontró que ITIL y se acoplaba perfectamente a las funciones realizada.(Entrevista concedida por autor al Tecnológico de Monterrey el 19 de marzo del 2005).
2.6
REQUERIMIENTOS DE LA CNBV
La Comisión Nacional Bancaria y de Valores en el documento conocido como circular única de Bancos[1] establece que:
Artículo 11.- Las Instituciones en el desarrollo de la Actividad Crediticia, deberán contar para
cada una de las etapas, con procesos, personal adecuado y sistemas de cómputo que permitan el logro de sus objetivos en materia de crédito, ajustándose a las presentes disposiciones, así como a las metodologías, modelos, políticas y procedimientos establecidos en su manual de crédito.
Artículo 12.- Las Instituciones deberán contar con sistemas de información de crédito, para la
gestión de los créditos en las diferentes etapas del proceso crediticio, los cuales como mínimo deberán:
I. Permitir la debida interrelación e interfaces entre las distintas áreas que participan en el
proceso crediticio.
II. Generar reportes confiables, evitar entradas múltiples y la manipulación de datos, así
como permitir la conciliación automática, oportuna y transparente de la contabilidad.
III. Mantener controles adecuados que garanticen la confidencialidad de la información,
procuren su seguridad tanto física como lógica, así como medidas para la recuperación de la información en casos de contingencia.
IV. Proporcionar la información necesaria para la toma de decisiones en materia de crédito,
por parte del Consejo, la Dirección General y las áreas de negocio encargadas de la operación crediticia.
Artículo 307.- Las Instituciones que convengan la celebración de sus operaciones y la prestación
de servicios bancarios con el público, mediante el uso de Medios Electrónicos, deberán contar con medidas de seguridad para que la información transmitida, almacenada o procesada a través de dichos medios únicamente pueda ser accedida por parte de los Usuarios, así como por aquellas personas expresamente autorizadas por la propia Institución en función de las actividades que realizan.
Artículo 316.- Las Instituciones deberán contar con áreas de soporte técnico y operacional
23
operación continua de la infraestructura informática y de dar pronta solución definitiva o provisional, para restaurar el servicio, en caso de presentarse algún incidente.
Dichas incidencias deberán informarse periódicamente al comité de auditoria de la Institución de que se trate, a efecto de que se adopten las medidas conducentes para prevenir o evitar que se presenten nuevamente.
2.7
RED DE SUCURSALES, CAJEROS AUTOMÁTICOS Y MÓDULOS
DE INTERNACIÓN TEMPORAL DE
VEHÍCULOS[1]2.7.1 SUCURSALES
Banjercito cuenta con 51 sucursales en la República Mexicana, estratégicamente ubicadas en Zonas Militares, Unidades Habitacionales y Unidades de Trabajo, teniendo además, la posibilidad de utilizar más de 460 mil cajeros automáticos en México y el resto del país, eso sin contar la amplia gama de comercios afiliados autorizados para recibir el pago de su compra a través de las tarjetas de débito VISA Electrón y crédito VISA-MasterCard.
2.7.2 CAJEROS
Banjercito le facilita el acceso a sus recursos a través del uso de un medio electrónico (cajeros automáticos) que permite realizar transacciones de Consulta de Saldos, Retiros y otros, mediante la utilización de Tarjetas de Crédito y Tarjeta de Débito expedidas tanto por Banjercito, como por otros Bancos Nacionales e Internacionales afiliados al sistema RED.
2.7.3 RED DE MÓDULOS IITV
Banjercito, S.N.C. cuenta con 48 módulos para tramitar el permiso para importar temporalmente tu vehículo a México así mismo cuenta con la Expedición permisos de Importación Temporal de Vehículos en los consulados de Chicago, Houston, Dallas, Austin, Fort Worth, Los Angeles, Sacramento, San Bernardino, Phoenix, Alburquerque y Denver.
Toda esta gama de puntos de conexión es donde tenemos que entregar los servicios, servicios que era necesario mejorar en un principio.
Para hacer frente a la modernidad es necesario evolucionar hacia una forma de trabajo sistémica, consistente y efectiva, con un apego a la tecnología y una visión vanguardista donde el principal objetivo sea brindar un servicio ágil, oportuno y de alta calidad que cumpla con los objetivos estratégicos de Banjercito S.N.C., los requisitos establecidos por la Comisión Nacional Bancaria y de Valores así como con las expectativas del cliente.
24
2.8
BREVE DESCRIPCIÓN DEL PLAN DE RECUPERACIÓN EN CASO
DE DESASTRE DRP.
De conformidad con las disposiciones emitidas por la Comisión Nacional Bancaria y de Valores (Circular única) se establece que: como parte del proceso de administración de riesgos, el seguimiento del riesgo tecnológico requiere del diseño de planes de contingencia, a fin de asegurar la capacidad y continuidad de los sistemas implementados para la celebración de operaciones bancarias, a través de cualquier medio tecnológico.
Por lo anterior Banjercito, S.N.C. cuenta con un Plan de de Recuperación de Desastres (DRP), elaborado en abril de 2004, del cual se ha efectuado la actualización correspondiente, asimismo existe procedimientos en los Manuales de Políticas y Procedimientos de Informática y de Tecnología y Seguridad Informática para su actualización.
Este plan considera diversas estrategias de recuperación que varían desde la replicación en tiempo real hasta la recuperación a través de respaldos, determinadas por la criticidad del sistema y el tiempo disponible para su recuperación contra la afectación económica, y de otros factores tangibles e intangibles como lo es la perdida de credibilidad.
Se incorpora el plan de recuperación de cada sistema como parte de su implementación y desde las etapas de desarrollo, mantenimiento y puesta en producción. Asimismo se consideran la especificación de Recursos Tecnológicos.
Cuenta con los datos del líder y suplente que se encuentran descritos e incluye en el Grupo de recuperación los siguientes equipos:
Equipo de acción Equipo de transportes Equipo de suministros. Equipo de reubicación
El DRP plasma las posibles afectaciones reales y contiene la identificación de los diferentes escenarios de desastre que pueden ocurrir en las instalaciones e infraestructura tecnológica de BANJERCITO así como en su ambiente operativo.
Dentro del mismo DRP se encuentran algunos puntos que sirven como base para el Plan de continuidad del negocio (BCP)
El proceso de diseño y actualización de los Planes de Contingencia tanto para la continuidad del negocio como para los medios tecnológicos consta de:
• Diseño y Actualización del Análisis de Impacto al Negocio (BIA).
• Diseño y Actualización de los Planes de Contingencia para la continuidad del negocio y de
recuperación tecnológica en caso de Desastres.
25
• Autorización de las Estrategias de Recuperación al Comité de Dirección.
• Implantar las Estrategias de Recuperación y actualizarlas en caso de cambios.
• Desarrollo de un Plan detallado de Continuidad del Negocio.
• Prueba y Mantenimiento del Plan de Continuidad y Recuperación.
26
3
MODELOS DE REFERENCIA Y ENTIDADES
CERTIFICADORAS
↑
3.1
MODELOS DE MEJORES PRÁCTICAS DE ADMINISTRACIÓN DE
IT
3.1.1 COBIT
Los Objetivos de Control para la información y Tecnologías relacionadas (Control Objectives
for Information and related Technology, COBIT) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992, [12].
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en Diciembre de 2005, y la versión 4.1 estará disponible en Mayo de 2007.
En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 318 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.
27
Plane ación y organiza ción
M onit oreo y evalu ación
Orga niza ción
de TI im plem e nt aciónAdquisición e
Entre ga y soport e
• Administrar RH
• Asegurar cum plim iento con requerim ientos ext ernos • Determ inar riesgos • Administrar proy ectos • Administ rar calidad
• Monitorear el proceso • Det erminar la adecuación del control interno • Obt ener aseguramiento independiente
• Proveer para auditoría independiente
• Definir niveles de servicio • Administ rar servicios ext ernos • Administrar desem peńo y capacidad • Asegurar servicio continuo • Asegurar la seguridad del sist em a • I dentificar y atribuir costos • Educar y capacitar usuarios
• Asistir a usuarios de TI • Adm inistrar la configuración • Adm inistrar problem as e incidentes
• Adm inist rar facilidades • Adm inistrar datos • Adm inistrar operaciones
• I dentificar soluciones • Adquirir ( desarrollar) y m ant ener las aplicaciones de soft ware
• Adquirir y m antener infraestructura tecnológica • Adm inist rar
procedim ient os de TI • I nstalar y acreditar sistem as
• Adm inist rar cambios • Definir el plan de TI
• Definir la arquitectura de inform ación • Definir la dirección t ecnológica • Definir la organización • Adm inist rar la inversión de TI • Com unicar la dirección de la gerencia
Marco COBITTM– 4 dominios
Plane ación y organiza ción
M onit oreo y evalu ación
Orga niza ción
de TI im plem e nt aciónAdquisición e
Entre ga y soport e Plane ación y organiza ción
M onit oreo y evalu ación
Orga niza ción
de TI im plem e nt aciónAdquisición e
Entre ga y soport e
• Administrar RH
• Asegurar cum plim iento con requerim ientos ext ernos • Determ inar riesgos • Administrar proy ectos • Administ rar calidad
• Monitorear el proceso • Det erminar la adecuación del control interno • Obt ener aseguramiento independiente
• Proveer para auditoría independiente
• Definir niveles de servicio • Administ rar servicios ext ernos • Administrar desem peńo y capacidad • Asegurar servicio continuo • Asegurar la seguridad del sist em a • I dentificar y atribuir costos • Educar y capacitar usuarios
• Asistir a usuarios de TI • Adm inistrar la configuración • Adm inistrar problem as e incidentes
• Adm inist rar facilidades • Adm inistrar datos • Adm inistrar operaciones
• I dentificar soluciones • Adquirir ( desarrollar) y m ant ener las aplicaciones de soft ware
• Adquirir y m antener infraestructura tecnológica • Adm inist rar
procedim ient os de TI • I nstalar y acreditar sistem as
• Adm inist rar cambios • Definir el plan de TI
• Definir la arquitectura de inform ación • Definir la dirección t ecnológica • Definir la organización • Adm inist rar la inversión de TI • Com unicar la dirección de la gerencia
[image:30.612.104.536.57.330.2]Marco COBITTM– 4 dominios
Fig. 6. Modelo COBIT.
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.
Está diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso, [11].
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.
3.1.2 ITIL
28
La metodología ITIL propone aprovechar al máximo los recursos TIC de la compañía con el fin de hacerle frente a un ambiente más competitivo, entendiendo que la satisfacción de los clientes es altamente dependiente del uso de la tecnología, lo cual que determina requerimientos de calidad superiores para los servicios diseñados y prestados de acuerdo con las emergentes necesidades del negocio y los usuarios.
Para lograr los objetivos clave de la Gestión de Servicios de TIC, dichos procesos deben englobar las denominadas “3-P”: Personas, Procesos y Productos, de forma efectiva, eficiente y rentable. Sólo entonces las organizaciones de TI podrán asegurar la prestación de servicios innovadores y de calidad, en consonancia con los procesos del negocio.
Según la OGC [3] se describen los cinco servicios de gestión que necesita el cliente y lo esencial para proporcionar esos servicios. En los libros para la entrega del servicio[4] se describen cinco servicios de gestión de cómo el cliente puede tener acceso a los servicios adecuados para contribuir a su negocio. El Diagrama del modelo ITIL se muestra en la Fig. 5.
Parte de la filosofía de ITIL esta basada en sistemas de calidad como el de la serie de ISO
9000 y de marcos de referencia de calidad Total como el de la European Foundation for Quality
Management, EFQM. ITIL soporta estos sistemas de calidad con una clara descripción de los procesos y mejores prácticas en administración de servicios de IT. Esto puede reducir significativamente el tiempo requerido para obtener certificaciones ISO, [5].
29
3.1.2.1 Descripción de los principales libros que conforman la librería de ITIL1
El corazón del marco de referencia de ITIL son el Soporte al Servicio y la Entrega del Servicio los que son descritos en los libros como:
3.1.2.2 Entrega del Servicio (Service Delivery)
El libro de ITIL sobre la entrega del servicio describe los servicios que los clientes necesitan para soportar el negocio y que se necesita para proveer estos servicios. Los siguientes temas son abordados en el libro de Entrega del Servicio:
• Administración del Nivel de Servicio (Service Level Management).
• Administración financiera para servicios de IT (Financial Management for IT Services).
• Administración de la Capacidad (Capacity Management).
• Administración de la continuidad de los servicios de IT (IT Service Continuity Management).
• Administración de la Disponibilidad (Availability Management).
La compleja interrelación entre los procesos descritos en los libros de Soporte al Servicio y Entrega del Servicio es casi imposible de mostrar en un diagrama.
3.1.2.3 Administración del Nivel de Servicio (Service Level Management)
El objetivo de la Administración del Nivel de Servicio es el de establecer acuerdos claros con los clientes sobre el tipo y calidad de servicios de IT que serán entregados, y el de implementar estos acuerdos en consecuencia, la Administración del Nivel de Servicio requiere información sobre las necesidades de los clientes, instalaciones provistas por la organización de IT y los recursos financieros disponibles.
La Administración del Nivel de Servicio trata el servicio provisto al cliente (enfoque de cliente) creando servicios basados en las necesidades del cliente (lista de requerimientos) más que de la base de lo que es técnicamente posible (presión del suministro), y la organización de IT puede mejorar la satisfacción de los clientes. El capítulo sobre la Administración del Nivel de Servicio en el libro de Entrega del Servicio describe:
• Como al definir claramente los acuerdos en un Acuerdo de Nivel de Servicio puede optimizar
los servicios de IT a un costo que puede ser justificado por el cliente.
• Como el servicio puede ser monitoreado, discutido y mejorado cuando sea necesario.
• Como el servicio puede ser soportado por el Contratos de apuntalamiento con los proveedores
de la organización de IT.
3.1.2.4 Administración financiera para servicios de IT (Financial Management for IT
Services)
30
La Administración financiera para servicios de IT trata de la entrega prudente de servicios de IT por ejemplo, la Administración financiera para servicios de IT provee información sobre los costos en los que se incurre mientras se proveen los servicios de IT. Esto permite la apropiada consideración de costos y beneficios (precio y rendimiento) cuando se tiene que decidir sobre cambios a la infraestructura de IT o servicios de IT. La identificación, colocación, pronostico y monitoreo de los costos, como se discute en el capítulo de Administración financiera para servicios de IT en el libro de de Entrega del Servicio, son todos tratados con el termino “costear”, el cual es referida como Presupuesto y contabilidad. Estas actividades apoyan la conciencia del costo (¿Que costos genera que?) y también puede ser utilizada para bosquejar los presupuestos. Con respecto al flujo de ingresos de la organización de IT, La Administración financiera para servicios de IT describe varios métodos de cobro, incluyendo el establecimiento de metas para el cobro y precio así como aspectos de presupuestado.
3.1.2.5 Administración de la Capacidad (Capacity Management)
La Administración de la Capacidad es el proceso para optimizar el costo, la coordinación para la adquisición, y despliegue de los recursos de IT, para apoyar los acuerdos hechos con el cliente. La Administración de la Capacidad trata la administración de los recursos, administración del rendimiento, administración de la demanda, modelado, planeo de la capacidad, administración de la carga y la determinación del tamaño de las aplicaciones. La Administración de la Capacidad enfatiza la planeación y la alineación con la demanda, para asegurar que los niveles de Servicio acordados puedan ser cumplidos en el futuro.
3.1.2.6 Administración de la Disponibilidad (Availability Management)
La Administración de la Disponibilidad es el proceso para asegurar el despliegue adecuado de los recursos, métodos y técnicas para apoyar la disponibilidad de los servicios de IT acordados con el cliente. La Administración de la Disponibilidad trata asuntos tales como la optimización del mantenimiento, y medidas de diseño para minimizar el número de incidentes.
3.1.2.7 Administración de la continuidad de los servicios de IT (IT Service Continuity
Management)
Este proceso trata la preparación y planeo de las medidas para la recuperación en caso de desastre de los servicios de IT. Conocido como Planeo de Contingencia en otros libros de ITIL enfatiza las ligas con todas las medidas necesarias para salvaguardad la continuidad de la organización del cliente en el evento de un desastre (Administración de la continuidad del Negocio) así como las medidas para prevenir tales desastres. La Administración de la continuidad de los servicios de IT es el proceso de planeo y coordinación de necesidades de recursos técnicos y financieros para asegurar la continuidad del servicio después de un desastre como se haya acordado con el cliente.
31
El libro de ITIL sobre el soporte del servicio describe como los clientes y los usuarios pueden acceder a los servicios apropiados para apoyar sus actividades y el negocio, y como esos servicios son soportados.
Este libro cubre los siguientes temas:
• La Mesa de Servicio (Service Desk).
• Administración de Incidentes (Incident Management).
• Administración de Problemas (Problem Management).
• Administración de la Configuración (Configuration Management).
• Administración del Cambio (Change Management).
• Administración de Liberaciones (Release Management).
3.1.2.9 La Mesa de Servicio (Service Desk)
La mesa de ayuda es el punto inicial de contacto entre las organizaciones de IT y los usuarios. Los libros anteriores de ITIL la referían como la Mesa de Ayuda. La principal tarea de la Mesa de Ayuda era el de registrar, resolver y monitorear problemas. Una Mesa de Servicios puede tener un rol más amplio (por ejemplo recibir requerimientos de Cambio-RFC) y puede realizar actividades que pertenecen a varios procesos. Es el punto inicial de contacto con el proveedor de servicio para los usuarios.
3.1.2.10 Administración de Incidentes (Incident Management)
La distinción entre incidentes y problemas es probablemente una de las mejor conocidas, pero no siempre la más popular de las contribuciones hechas por ITIL al campo de la administración de servicios. Sin embargo esta distinción puede en ocasiones ser confusa, tiene una ventaja mayor en el que se hace una distinción entre el retorno rápido del servicio y identificar y remediar la causa del incidente.
El proceso de Administración de Incidentes ayuda a resolver el incidente y restablece la entrega del servicio rápidamente. Los incidentes son registrados, y la calidad de los registros determina la efectividad de un número de otros procesos.
3.1.2.11 Administración de Problemas (Problem Management)
Si se sospecha de un problema dentro de la Infraestructura de IT, la Administración de Problemas ayuda a identificar la causa subyacente. Se puede sospechar de un problema porque hay incidentes, pero obviamente el objetivo es el de ser preactivos y prevenir las alteraciones cuando sea posible.
32
contingencia o una alternativa permanente ha sido identificado, entonces el problema permanece clasificado como un error conocido.
3.1.2.12 Administración de la Configuración (Configuration Management)
La Administración de la Configuración trata sobre el control de una infraestructura de IT cambiante (estandarización y monitoreo del estatus), identificando todos los componentes significantes dentro de la infraestructura, recogiendo, registrando y manejando los detalles sobre los componentes, y proveyendo la información sobre ellos a todos los otros procesos.
3.1.2.13 Administración del Cambio (Change Management)
La Administración del Cambio trata de la aprobación e implementación controlada de cambios a la Infraestructura de IT. El objetivo del procesos es el de valorar los cambios y asegurase que pueden ser implementados con un impacto adverso mínimo a los servicios de IT. Mientras que al mismo tiempo asegura la habilidad de trazar los cambio, mediante una consulta y coordinación efectiva a través de la organización. Los cambios son hechos en consulta con el estatus de las actividades de monitoreo de la Administración de la configuración, con el iniciador de una solicitud de Cambio, con la administración de problemas y con muchos otros procesos. Los cambios son implementados mediante el seguimiento de una ruta especifica de definición, planeando y probando, aceptando, implementando y evaluando.
3.1.2.14 Administración de Liberaciones (Release Management)
Una liberación es un conjunto de elementos de configuración (CI) que son probados e introducidos juntos al ambiente productivo. El principal objetivo de la Administración de Liberaciones es el de asegurar el despliegue exitoso de liberaciones, incluyendo integración, pruebas y almacenamiento. La Administración de Liberaciones asegura que solo las versiones probadas y correctas de un software y hardware autorizado son provistas. La Administración de Liberaciones esta relacionada muy cercanamente con las actividades de Administración de la Configuración y Administración del Cambio. La implementación actual de los cambios es llevada a cabo a través de actividades de Administración de liberaciones.
3.1.2.15 Administración de la Seguridad (Security Management)
El objetivo de la Administración de la seguridad es el de proteger el valor de la información, en términos de confidencialidad, integridad y disponibilidad. Esto esta basado en los requerimientos establecidos en los acuerdos de nivel de servicio que se relacionan con los requerimientos contractuales, legislación y política de la organización. La Administración de la Seguridad ayuda a proveer los niveles básicos de seguridad independientemente de los requerimientos externos.
3.1.2.16 Administración de la Infraestructura de TI y Comunicaciones (ICT Infrastructure
