MANUAL OPERATIVO DE SISTEMAS Y COMUNICACIONES -FVS

(1)

Firma de Autorizaciones

Elaboró Revisó Aprobó

Firma: Firma: Firma:

Stella Gutiérrez Contratista Sistemas y Comunicaciones Miguel Segura Contratista Sistemas y Comunicaciones Harold Martínez Subgerente Técnico Control de Cambios

Fecha Versión Descripción

23/6/2014 1.0 Creación y emisión de la primera versión del

(2)

TABLA DE CONTENIDO

1 INTRODUCCIÓN --- 4

2 ESTRUCTURA ORGANIZACIONAL --- 5

2.1 Descripción de los roles de TI --- 6

2.1.1 Indicadores de gestión Oficina de Tecnologías de la Información 7 3 Proceso Mantenimiento y Soporte técnico integral de bienes para la seguridad, defensa y justicia --- 9

3.1 Servicio de Soporte y Mantenimiento de Equipos de Computo del FVS (Mesa de Ayuda) --- 9

3.1.1 Misión de la Mesa de Ayuda 9 3.1.2 Visión de la Mesa de Ayuda 9 3.1.3 Objetivos de la Mesa de Ayuda 9 3.1.4 Responsabilidades Básicas de la Mesa de Ayuda 10 3.1.5 Políticas de la Mesa de Ayuda 10 3.1.6 Función y Actividades de la Mesa de Ayuda 11 3.1.7 Indicadores de Desempeño de la Mesa de Ayuda 16 3.1.7.1 Efectividad de la documentación de las solicitudes de servicio 16 3.1.7.2 Nivel de efectividad de las soluciones 17 3.1.7.3 Nivel de resolución de solicitudes de servicio en la Mesa de Ayuda 17 3.1.7.4 Nivel de cumplimiento del SLAs de la Mesa de Ayuda 18 3.1.7.5 Nivel de satisfacción del usuario 18 3.1.8 Matriz de riesgos y objetivos de control del Centro de Servicio 19 3.2 Mantenimiento Correctivo --- 21

3.3 Mantenimiento Preventivo --- 22

4 PROCESO GESTIÓN TICS --- 25

4.1 Gestión de Cambios --- 25

4.2 Gestión de Configuraciones y seguridad --- 27

4.3 Gestión de Continuidad --- 30

4.4 Gestión de Disponibilidad --- 32

4.5 Gestión de Pruebas --- 34

(3)

LISTADO DE TABLAS

TABLA 1–ROLES DE TI --- 6

LISTADO DE FIGURAS

FIGURA 1–ORGANIGRAMA FONDO DE VIGILANCIA Y SEGURIDAD --- 5

FIGURA 2–ORGANIGRAMA OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN --- 5

FIGURA 3–CLASIFICACIÓN DE EVENTOS POR SOLICITUD --- 12

FIGURA 4–IMPACTO VS URGENCIA EN ATENCIÓN --- 14

(4)

1 INTRODUCCIÓN

El Fondo de Vigilancia y Seguridad ha identificado dentro de sus procesos y procedimientos, la necesidad de establecer directrices específicas para la oficina de Tecnologías de la Información las cuales se alinearan a las mejores prácticas del mercado en la materia, en este caso ITIL. El manual operativo de Tecnologías de la Información – TI - direcciona las actividades del día a día que realiza la oficina de Tecnologías de la Información en lo relacionado al apoyo, soporte, mantenimiento, seguridad y continuidad operativa del negocio del Fondo de Vigilancia y Seguridad.

El manual operativo también determina las habilidades que deben desarrollar los funcionarios de la oficina de Tecnologías de la Información para cumplir de forma óptima sus responsabilidades. Es importante recalcar que este manual deberá ser revisado y actualizado a medida que los procesos y procedimientos se consoliden y aumenten su nivel de madurez; a fin de que adquieran un dinamismo que permita la satisfacción de las cambiantes necesidades del negocio.

(5)

2 ESTRUCTURA ORGANIZACIONAL

La estructura organizacional del Fondo de Vigilancia y Seguridad se presenta a continuación.

Figura 1 – Organigrama Fondo de Vigilancia y Seguridad

De esta estructura organización se desprende de la Subgerencia Técnica y el grupo funcional de sistemas la cual está organizada por grupos de trabajo, como se presenta a continuación.

(6)

2.1 Descripción de los roles de TI

Los siguientes son los roles definidos para la oficina de Tecnologías de la Información del Fondo de Vigilancia y Seguridad.

Tabla 1 – Roles de TI

Id Rol Descripción

1 Líder oficina de Tecnologías de la Información Encargado de dirigir las decisiones relacionadas con las tecnologías de la información requeridas por el Fondo de Vigilancia y Seguridad.

2 Asistente oficina de Tecnologías de la Información

Apoyo directo al Coordinador de la Oficina de Tecnologías de la Información en la gestión de las tecnologías de información.

3 Administrador de Sistemas de Información Responsable de controlar las versiones de hardware y software que se encuentran instaladas en el Fondo de Vigilancia y Seguridad.

Persona encargada de evaluar las necesidades de los usuarios y clientes del Fondo de Vigilancia y Seguridad y de transformar estas necesidades en requerimientos funcionales y no funcionales que puedan ser implantados como una solución de TI. Responsable de definir el plan de pruebas que debe cumplir una tecnología de la información previo a ser implantada en el Fondo de Vigilancia y Seguridad.

Responsable de definir los criterios de aceptación y pautas de calidad que debe cumplir una solución de TI, antes de ser implantada en el Fondo de Vigilancia y Seguridad.

Encargado de dar soporte a la información del Fondo de Vigilancia y Seguridad que se encuentra almacenada en las bases de datos que se encuentran en las instalaciones del Fondo de Vigilancia y Seguridad o en el centro de datos en el que se encuentra la infraestructura tecnológica.

4 Administrador de Red Encargado de dar soporte a toda la infraestructura

de comunicaciones internas y externas del Fondo de Vigilancia y Seguridad.

Encargado de velar por disponibilidad y estabilidad de la infraestructura física y de hardware del Fondo de Vigilancia y Seguridad.

(7)

Id Rol Descripción

Esta persona es responsable por garantizar que no se modifique ni hardware, ni software sin seguir un proceso que evalúe el impacto del cambio.

Responsable de garantizar la disponibilidad de la infraestructura tecnológica, definir los planes de continuidad y supervisar los cambios que se le deben realizar a la infraestructura para garantizar la continuidad del negocio.

Responsable de supervisar la infraestructura de TI y garantizar que la capacidad de TI sea la adecuada para responder a las necesidades del Fondo de Vigilancia y Seguridad.

5 Administrador de seguridad y procesos Encargado custodiar la información confidencial y definir las políticas de seguridad de TI, enmarcadas en las políticas de seguridad del Fondo de Vigilancia y Seguridad.

6 Administrador Mesa de Ayuda Encargado de coordinar el punto de contacto con los usuarios y de distribuir la carga de las solicitudes, requerimientos, quejas, incidentes

2.1.1 Indicadores de gestión Oficina de Tecnologías de la Información

Indicadores del Líder oficina de Tecnologías de la Información

 Procesos monitoreados

 Tiempo de aprobación de la documentación  Cumplimiento del presupuesto del área a su cargo  Mejora en el manejo del liderazgo para el cambio  Mejora en la satisfacción de los usuarios internos  Mejora del clima organizacional del área a su cargo

Indicadores del asistente

 Disponibilidad

 Cumplimiento de las tareas asignadas

(8)

 Cumplimiento de las estrategias de datos e información.  Número de fallas en las repositorios de datos e información  Entrega oportuna de reportes de monitoreo

 Entrega oportuna de datos de procesos tabulados  Documentos desactualizados

 Documentos aprobados sin publicar

Indicadores del Administrador de Red

 Número de fallas de red e infraestructura  Entrega oportuna de reportes de monitoreo  Documentos desactualizados

 Documentos aprobados sin publicar

Indicadores del Oficial de Seguridad

 Cumplimiento de las estrategias de seguridad.  Número de incidentes de seguridad.

 Documentos desactualizados  Documentos aprobados sin publicar

Indicadores del equipo de soporte y mantenimiento de la Mesa de Ayuda:  Tiempo de resolución de eventos

 Variación en los registros de los elementos de configuración  Tiempo de atención de incidentes o problemas

 Incidentes y problemas documentados

(9)

3 PROCESO MANTENIMIENTO Y SOPORTE TÉCNICO INTEGRAL

DE BIENES PARA LA SEGURIDAD, DEFENSA Y JUSTICIA

3.1 Servicio de Soporte y Mantenimiento de Equipos de Computo del

FVS (Mesa de Ayuda)

La Mesa de Ayuda del Fondo de Vigilancia y Seguridad es el primer nivel de soporte y único punto de contacto para los usuarios, sin importar el tipo de solicitud (reportes de incidentes, consultas, solicitudes de cambio, instalaciones, entre otros), para luego ser tratada de acuerdo a sus características y remitida al proceso y a los dueños o responsables de los procesos y/o procedimientos adecuados. Por esta razón la Mesa de Ayuda es una función y no un proceso ya que no realiza actividades de un único proceso sino que es un “multiplexor” de procesos.

Por lo tanto, la Mesa de Ayuda del Fondo de Vigilancia y Seguridad puede recibir, registrar y monitorear fallas, solicitudes, requerimientos, quejas, consultas y felicitaciones, ya que es el encargado de atender reportes de incidentes y solicitudes de servicio, y mantener al usuario informado durante todo el proceso de resolución. Se encarga del registro, priorización y trámite de los incidentes, solicitudes de servicio, accesos entre otros.

Es importante recalcar que la Mesa de Ayuda será el único punto de entrada de solicitudes de servicios, mas no será el único punto de salida de todas las comunicaciones desde los procesos de gestión hacia las áreas de negocio, pues se contempla que algunos procesos tengan contacto con las áreas o usuarios de forma directa, con el fin de realizar un proceso más ágil y eficiente.

3.1.1 Misión de la Mesa de Ayuda

Atender todas las solicitudes de usuario relacionadas con servicios de TI del Fondo de Vigilancia y Seguridad, para escalarlas, darles seguimiento, documentarlas y comunicarlas a todos los usuarios y los involucrados de los procesos y procedimientos de la oficina de Tecnologías de la Información.

3.1.2 Visión de la Mesa de Ayuda

Ser el único punto de contacto para todas las solicitudes de servicios y reportes de incidentes de todos los usuarios de los servicios de TI, respondiendo de manera eficiente y apoyándose en aplicaciones que faciliten el acceso al conocimiento de la gestión de servicios.

3.1.3 Objetivos de la Mesa de Ayuda

 Ser el único punto de atención de solicitudes de servicios de usuario.

 Atender, registrar y documentar el proceso de resolución de incidentes, incluido su cierre.  Solucionar de manera eficiente las solicitudes utilizando el conocimiento generado.

(10)

 Escalar, comunicar y dar seguimiento a los incidentes o solicitudes de servicio que no pueden ser atendidos de acuerdo a los Acuerdos de Niveles de Servicio (SLA) acordados.  Medir el nivel de satisfacción de los usuarios de los servicios de TI.

 Asegurar el cumplimiento de los niveles de disponibilidad y calidad acordados.

3.1.4 Responsabilidades Básicas de la Mesa de Ayuda

 Recepción de llamadas y de otras solicitudes vía correo electrónico y Web.  Registro de todas las llamadas entrantes.

 Clasificación de las solicitudes acorde con la definición de criterios  Asignación y seguimiento a la resolución

 Seguimiento a actividades específicas para la solución dentro de las ventanas de tiempo acordadas.

 Confirmación de satisfacción y cierre de las solicitudes.

Junto con una gestión de incidentes activa, la Mesa de Ayuda es una fuente de información de gestión. Los siguientes son los reportes más comunes que tendrá a su cargo la Mesa de Ayuda:  Revisiones diarias de los estados de los incidentes y problemas (escalamiento de

llamadas, posibles brechas de servicio, todos los incidentes sobresalientes)

 Revisiones de gestión semanales (no disponibilidad del servicio, incidentes mayores, errores conocidos y cambios, brechas de servicio, incidentes que resultaron de un problema común, tendencias, satisfacción del cliente)

 Reportes proactivos de servicio (cambios planeados para la siguiente semana, usuarios insatisfechos de la semana anterior, componentes de configuración pobres, incidentes mayores con sus formas de dar solución de la semana pasada.

3.1.5 Políticas de la Mesa de Ayuda

El horario de atención del Centro de Servicio es el siguiente:

 Lunes a Viernes de 7:00 a.m. a 6:00 p.m. excluyendo festivos.  Sábados de 7:00 a.m. a 1:00 p.m.

El tiempo de atención de aquellas solicitudes ingresadas fuera del horario de atención, comenzará a contar a partir del inicio de la jornada de atención del siguiente día.

(11)

La función de la Mesa de Ayuda está compuesta por tres niveles de soporte, distribuidos de la siguiente manera:

 El nivel 0 hace referencia a un nivel de autoayuda en donde los mismos clientes y/o usuarios son los encargados del soporte, existe registro de dicho evento dentro de la aplicación que soporta la Mesa de Ayuda.

 El primer nivel está compuesto por los agentes y los técnicos de soporte.  El segundo nivel son los especialistas.

La Mesa de Ayuda atiende solicitudes, requerimientos, eventos, fallos, quejas y felicitaciones que pueden ser de servicios de TI como de otro tipo de servicios de Negocio.

Todas las solicitudes, requerimientos y eventos registrados en la Mesa de Ayuda deben generar un tiquete para el control y monitoreo por parte del soporte de primer nivel.

El desempeño de la función de la Mesa de Ayuda será evaluado periódicamente según los indicadores definidos en este documento y los Acuerdos de Niveles de Servicio aprobados para la Operación del Servicio.

Las escalas de tiempo para la solución de incidentes deben acordarse para cada una de las etapas de la gestión de incidentes basados en los Acuerdos de Niveles de Servicio y los objetivos de respuesta.

La prioridad de un incidente puede ser dinámica, en el caso de que las circunstancias cambien o un incidente no sea resuelto dentro de los límites de tiempo del Acuerdo de Nivel de Servicio, la prioridad debe modificarse para reflejar la urgencia e impacto de la nueva situación. Estos pueden considerarse dentro de los incidentes mayores.

Los incidentes mayores son aquellos que interrumpen el servicio crítico del negocio del Fondo de Vigilancia y Seguridad, su impacto es alto y su urgencia crítica ya sea por su naturaleza o porque superó las ventanas de tiempo establecidas dentro de sus niveles de servicio acordados.

3.1.6 Función y Actividades de la Mesa de Ayuda

Como se mencionó anteriormente la función principal de la Mesa de Ayuda es gestionar la relación con los usuarios manteniéndoles puntualmente informado de todos aquellos procesos de su interés.

A continuación se describen las actividades que deberán ser ejecutadas para atender las solicitudes de servicio TI de los usuarios del Fondo de Vigilancia y Seguridad que se reciben a través de la Mesa de Ayuda y hacen parte del soporte del servicio de TI. Esta descripción es la explicación al Diagrama general de Soporte del Servicio y Operación de la Mesa de Ayuda.

(12)

La Mesa de Ayuda es la encargada de recibir, registrar y clasificar todos los eventos reportados por los usuarios de la entidad. Entendiendo un Evento como cualquier cambio significativo en un elemento de configuración y/o en un servicio.

Para el Fondo de Vigilancia y Seguridad un evento puede clasificarse en:

Figura 3 – Clasificación de eventos por solicitud

Clasificación de Solicitudes:

 Acción de Rutina: Hace referencia a aquellos eventos no significativos, que por su naturaleza pueden ser resueltos a través de un soporte de nivel 0, es decir, auto ayuda.  Incidente: Interrupción no planificada de un servicio de TI o reducción en la calidad de un

servicio de TI. También hace referencia al fallo de un elemento de configuración que no ha impactado todavía en el servicio.

 Comentarios: Hace referencia a eventos relacionados con: quejas, felicitaciones o comentarios.

 Problema: Causa de uno o más incidentes. En el momento en el que se crea el registro del problema, no es frecuente conocer su causa, por lo que es necesario realizar su investigación mediante el proceso de gestión de problemas.

 Cambio: Adición, modificación o eliminación de algo (servicios de TI, elementos de configuración, requerimientos.) que podría afectar a los Servicios de TI. Este tipo de evento se administran a través del proceso de gestión de cambios.

 Daño físico elemento: Hace referencia a daño en elementos o partes de equipos informáticos y requirieren mantenimiento correctivo.

Estos eventos los puede comunicar el usuario a los agentes de la Mesa de Ayuda a través de un correo electrónico, vía telefónica o vía sistema Web habilitado para notificar la solicitud.

(13)

Esta atención de solicitudes tiene en cuenta los siguientes aspectos:

El primer nivel de soporte busca una respuesta a la consulta realizada por el usuario con la ayuda de la aplicación de la Mesa de Ayuda.

Dado el caso que no se encontrara alguna respuesta, se escala la solicitud a un equipo más especializado dentro del segundo nivel de soporte, quién tendrá la tarea de buscar e informar la respuesta a dicha consulta.

Si el segundo nivel de soporte no encuentra respuesta escalará la solicitud al proveedor, pero siempre estará controlando el estado y cumplimiento dentro de los tiempos y estándares definidos de la solicitud escalada.

Reporte de Incidentes

Para el caso de los incidentes, estos son registrados y administrados dentro de la aplicación de apoyo de la Mesa de Ayuda, generando un tiquete con el cual los agentes de la Mesa de Ayuda deben realizar un seguimiento al proceso de respuesta y solución del mismo.

La Mesa de Ayuda remite al proceso de gestión de incidentes la solicitud de servicio del usuario y verifica el estado de la misma, hasta el momento en que se brinde una solución definitiva o temporal. Cabe resaltar que a partir de esta remisión la solicitud de usuario se convierte en un reporte de incidentes y su administración se realiza teniendo en cuenta el proceso de gestión de incidentes.

Definición de prioridad de atención de un incidente

Un aspecto importante durante la operación de la Mesa de Ayuda y los procesos y procedimientos de TICS relacionados, es la definición de prioridad a un incidente según su impacto y su urgencia, ya que con esta definición se definen los acuerdos de niveles de servicio de la Mesa de Ayuda que determinarán los tiempos máximos de respuesta para la solución de un incidente.

Por este motivo, la prioridad de un incidente para el Fondo de Vigilancia y Seguridad se determina teniendo en cuenta tanto la urgencia del incidente, es decir la rapidez con la que la entidad necesita la solución, y el nivel de impacto que el incidente le está causando a la misma. Es importante aclarar, que la prioridad de un incidente puede ser dinámica, en el caso de que las circunstancias cambien o un incidente no es resuelto dentro de los límites de tiempo del Acuerdo de Nivel de Servicio, la prioridad debe modificarse para reflejar la urgencia e impacto de la nueva situación.

Para el Fondo de Vigilancia y Seguridad se definió la siguiente estructura de prioridad de atención de un incidente según Impacto vs. Urgencia:

(14)

Figura 4 – Impacto vs Urgencia en atención

Impacto: medida de la criticidad del incidente para el negocio, es equivalente al nivel con que un incidente contribuye a la distorsión o incumplimiento del nivel de servicio acordado.

Urgencia: Efecto que el incidente tendrá en el negocio. Es una valoración de la rapidez con la que una incidencia tiene que resolverse.

Prioridad de atención Impacto vs. Urgencia

Prioridad: asignación de esfuerzo (tiempo, costos y recursos) basados en el impacto, la urgencia y en la disponibilidad de los recursos requeridos.

Impacto

Urgencia Figura 5 – Prioridad de atención

Matriz de Prioridad de atención Impacto vs. Urgencia

Prioridad 1 - Crítica: Corresponde a los incidentes que deben ser atendidos inmediatamente. El tiempo de solución se encuentra en el rango de 0 horas y 1 hora.

Prioridad 2 - Alta: Corresponde a los incidentes que deben ser atendidos con prioridad alta. El tiempo de solución se encuentra en el rango de 1 hora y 4 horas.

Prioridad 3 - Media: Corresponde a los incidentes que deben ser atendidos con prioridad media. El tiempo de solución se encuentra en el rango de 4 horas y 24 horas.

(15)

Prioridad 4 - Baja: Corresponde a los incidentes que deben ser atendidos con prioridad baja. El tiempo de solución se encuentra en el rango 24 horas y 48 horas.

Prioridad 5 - Planeada: Corresponde a los incidentes que deben ser atendidos sujetos a una planeación de la solución. El tiempo de solución se fija por demanda.

Matriz de Prioridad de atención Impacto vs. Urgencia en Horas

El Administrador de la Mesa de Ayuda estará realizando un control y seguimiento al estado de los incidentes y vigilará que los tiempos establecidos para la prioridad de atención se estén cumpliendo.

En caso de que ninguno de los dos niveles de soporte sea capaz de dar una respuesta al incidente, se clasifica entonces como un problema, ingresando de esta manera al proceso de Gestión de Problemas.

Reporte de Problemas

Otra forma como pueden identificarse problemas es a partir del análisis realizado por el Administrador de la Mesa de Ayuda, respecto a los indicadores de desempeño y estadísticas de gestión de la Mesa de Ayuda. Durante este análisis el líder puede identificar de manera proactiva problemas que deben ser administrados a través del proceso de Gestión de Problemas.

Igualmente, a partir del monitoreo programado de las bases de datos de configuración (CMDB por sus siglas en ingles Configuration Management Data Base) de los sistemas de información existentes y a la infraestructura de TI, se pueden identificar proactivamente problemas en algún elemento de configuración TI, por lo que este monitoreo debe hacerse de manera regular.

Solicitud de Cambio

Durante todo este ciclo de soporte del servicio, se puede generar la necesidad de un cambio, para esto, se debe realizar una solicitud de cambio (RFC por sus siglas en ingles Request for Change). Esta solicitud se puede generar desde el proceso de gestión de problemas o porque la solución a un incidente o problema genera la necesidad de un cambio.

El primer nivel de soporte del Centro de Servicios genera una solicitud de cambio para toda adición, modificación o eliminación de servicios de TI, elementos de configuración, y requerimientos, y la canaliza al proceso de gestión de cambios, el cual se encargará de atender todo lo referente al cambio.

Registro de Comentarios

En caso de tratarse de quejas, felicitaciones o comentarios se procede a registrar toda la información dada dentro de la aplicación de apoyo a la Mesa de Ayuda para su análisis y atención.

(16)

Cierre de solicitudes de servicio

Es importante que se documente toda la información del caso dentro de la aplicación de la Mesa de Ayuda e informar al usuario sobre la resolución de la solicitud de servicio registrada con el fin de proceder a cerrar la solicitud de servicio.

El cierre de la solicitud termina con una encuesta al cliente con el fin de identificar nuevas oportunidades de negocio, evaluar las necesidades de los clientes y su grado de satisfacción con el servicio prestado.

Repositorio de Información

La Mesa de Ayuda debe ser la principal fuente de información de los clientes y usuarios, informando sobre:

 Nuevos servicios.

 El lanzamiento de nuevas versiones para la corrección de errores.  El cumplimiento de los SLAs.

 Documentación sobre las soluciones generadas.

Relaciones con los proveedores

La Mesa de Ayuda también es responsable de la relación con los proveedores de servicios de mantenimiento externos. Teniendo en cuenta que es imprescindible, para ofrecer un servicio de calidad, una estrecha relación entre los responsables externos del mantenimiento y la Gestión de Incidentes que debe ser canalizada a través de la aplicación de apoyo de la Mesa de Ayuda.

3.1.7 Indicadores de Desempeño de la Mesa de Ayuda

A continuación se presentan los indicadores que permitirán monitorear el desempeño de la Mesa de Ayuda, en función de los objetivos previamente descritos.

3.1.7.1 Efectividad de la documentación de las solicitudes de servicio

Objetivo: Garantizar que las solicitudes de Servicio son registradas y documentadas de forma adecuada.

Meta: 95%

Responsable: Administrador de la Mesa de Ayuda

Descripción: Comparación del total de solicitudes registradas y documentadas efectivamente con respecto al total de llamadas / casos entrantes a la Mesa de Ayuda

Formula:

Y

X

100 )

(



(17)

X = # solicitudes documentadas Y = # solicitudes entrantes.

Unidad de medida: Porcentaje

Recolección de la Información: Frecuencia por solicitud, responsable operador de la Mesa de Ayuda

Reporte y Análisis: Frecuencia mensual, responsable Administrador de la Mesa de Ayuda

3.1.7.2 Nivel de efectividad de las soluciones

Objetivo: Maximizar el nivel de efectividad de las soluciones proporcionadas por la Mesa de Ayuda.

Meta: 95%

Descripción: Realizar una comparación entre la cantidad total de consultas realizadas a la Mesa de Ayuda y la cantidad de consultas recurrentes pertenecientes a un mismo tipo de usuario y relacionados al mismo tema, esto para un período específico de tiempo.

Formula:

Y

X

Y

)

100 (





%

X = cantidad de consultas recurrentes realizadas a la Mesa de Ayuda, pertenecientes a un mismo tipo de usuario y relacionadas a un mismo tema

Y = # cantidad total de consultas realizadas a la Mesa de Ayuda.

Recolección de la Información: Frecuencia semanal, responsable operador de la Mesa de Ayuda

3.1.7.3 Nivel de resolución de solicitudes de servicio en la Mesa de Ayuda

Objetivo: Corroborar que la Mesa de Ayuda utiliza el conocimiento generado en el día a día para solucionar, eficientemente, las solicitudes de servicio reportadas por usuarios.

Meta: 90%

Descripción: Efectuar una comparación entre el total de las llamadas recibidas en la Mesa de Ayuda y el número de llamadas que son solucionadas en el primer nivel de soporte.

(18)

Formula:

Y

X

100 )

(



%

X = # llamadas solucionadas por la Mesa de Ayuda en el período Y = Total de llamadas recibidas en el periodo

Recolección de la Información: Frecuencia semanal, responsable operador de la Mesa de Ayuda

3.1.7.4 Nivel de cumplimiento del SLAs de la Mesa de Ayuda

Objetivo: Asegurar el cumplimiento de los niveles de disponibilidad y calidad acordados para la atención de usuarios en la Mesa de Ayuda.

Meta: 90%

Descripción: Determinar la cantidad de las solicitudes de servicio cerradas que cumplen con los SLAs acordados con respecto al total de solicitudes atendidas en el período.

Formula:

Y

X

100 )

(



%

X = Total de solicitudes cerradas que cumplen con los SLAs. Y = Total de solicitudes

Recolección de la Información: Frecuencia mensual, responsable operador de la Mesa de Ayuda

3.1.7.5 Nivel de satisfacción del usuario

Objetivo: Evaluar nivel de satisfacción de los usuarios de TI con respecto al servicio brindado por la Mesa de Ayuda.

(19)

Meta: 95%

Descripción: Realizar una verificación de los niveles de satisfacción de los usuarios, obtenidos como resultado de la aplicación de la encuesta de cierre de las solicitudes de servicio para un período de tiempo específico.

Formula:

n

X



%

X = niveles de satisfacción de los usuarios obtenido en la encuesta. N = # encuestas aplicadas

Recolección de la Información: Frecuencia mensual, responsable operador de la Mesa de Ayuda

3.1.8 Matriz de riesgos y objetivos de control del Centro de Servicio

La siguiente tabla describe los riesgos identificados a la función de la Mesa de Ayuda del Fondo de Vigilancia y Seguridad con sus respectivos controles asociados.

RIESGO CONTROL ASOCIADO AL

RIESGO ACTIVIDAD ASOCIADA AL CONTROL

Inducción inadecuada del personal de la Mesa de Ayuda

Verificar que el recurso humano de la Mesa de Ayuda tenga las competencias necesarias y el conocimiento apropiado para cumplir con sus actividades respectivas

Realizar para cada nuevo ingreso de personal un proceso de inducción y acompañamiento.

Practicar evaluaciones periódicas sobre las responsabilidades básicas y los temas que deben dominar los operadores de la Mesa de Ayuda para desempeñar adecuadamente sus labores.

Evaluar el desempeño de los operadores de la Mesa de Ayuda.

Monitorear periódicamente la atención de solicitudes de servicio de la Mesa de Ayuda, mediante la revisión de una muestra aleatoria de las solicitudes recibidas.

No existe la

información necesaria

Garantizar el registro de la información necesaria para la

Verificar que la información de una muestra de las solicitudes de servicio se esté

(20)

para la solución de consultas

elaboración de reportes o atención de consultas

registrando y actualizando adecuadamente dentro de la aplicación de apoyo de la Mesa de Ayuda.

Verificar que la información redactada en el registro de solicitudes de servicio sea coherente y detalle lo necesario para comprender las acciones realizadas y poder utilizarlas en un futuro efectivamente.

Procesamiento erróneo de solicitudes de servicios

Verificar que las etapas de registro, análisis, atención o escalamiento y cierre de las solicitudes de servicio se tramiten de una forma adecuada

Revisar una muestra de solicitudes de servicio escaladas, para validar que se haya remitido al nivel y al especialista correspondiente según el tipo de solicitud.

Clasificación incorrecta de las prioridades de solicitudes de servicios

Determinar un procedimiento formal para el análisis y priorización de las solicitudes de servicio, según los Niveles de Servicio acordados

Revisar periódicamente el procedimiento para la priorización de las solicitudes de servicios determinando su nivel de cumplimiento con el acuerdo de nivel de servicio (SLA por su sigla en ingles Service Level Agreement).

Capacidad insuficiente de la Mesa de Ayuda

Proveer los recursos necesario dentro de la Mesa de Ayuda para la atención de solicitudes de servicio

Realizar un estudio de capacidad de la Mesa de Ayuda para identificar la cantidad de recurso humano y tecnológico que se necesita, en proporción a la demanda de solicitudes de servicio en el periodo.

Determinar la cantidad de solicitudes de servicio que no son atendidas por la Mesa de Ayuda.

Incumplimiento de los niveles de servicio acordados

Mantener el cumplimiento con los Niveles de Servicio acordados para la Mesa de Ayuda

Verificar el cumplimiento de los acuerdos de niveles del servicio establecidos por el negocio para la Mesa de Ayuda.

Saturación del Centro de Servicio con solicitudes del servicio fuera del alcance de la función

Garantizar que el Centro de Servicio atienda únicamente las solicitudes de servicio que estén acorde a sus funciones

Identificar el tipo de solicitudes de servicios atendidas por la Mesa de Ayuda, clasificando las llamadas en las siguientes categorías: Incidentes

Cambios Consultas

(21)

Comentarios Fuera del alcance

Generar un reporte de las áreas que realizaron consultas fuera del alcance de las funciones de la Mesa de Ayuda.

3.2 Mantenimiento Correctivo

Descripción: Corresponde al flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los incidentes asociados a mantenimiento correctivo que se suceden en la plataforma tecnológica del Fondo de Vigilancia y Seguridad.

Objetivo: Restablecer la normalidad de los servicios de tecnología de información en el menor tiempo posible de manera eficiente minimizando el impacto en el normal funcionamiento de los servicios en los procesos de negocio.

Alcance: Los incidentes son detectados por el registro de solicitudes, clasificación de eventos de tecnología o mediante reportes de la gestión de incidentes emitidos por la Mesa de Ayuda. Incluye la asignación y escalonamiento de incidentes en busca de su solución rápida. Finaliza con el reporte de la solución del incidente al usuario que identificó la necesidad de atención para que efectúe el cierre respectivo en el aplicativo de la Mesa de Ayuda.

Indicadores del Proceso

 Porcentaje de incidentes resueltos  Nivel de satisfacción del usuario

Premisas y Políticas de Operación

Corresponde a la gestión directa con los usuarios a cargo de los técnicos de soporte, quienes serán los responsables del cumplimiento en los tiempos y estándares definidos para la ejecución de los procedimientos, tareas y actividades asociadas al mantenimiento correctivo del bien objeto del servicio.

La prioridad de un incidente depende directamente de la relación impacto versus urgencia y será definida por el agente de la Mesa de Ayuda al momento de registrar la solicitud de servicio de un usuario en el aplicativo que soporte a la Mesa de Ayuda.

(22)

La siguiente relación permite ver los posibles estados de atención en los que pueden estar clasificados los incidentes de la plataforma tecnológica del Fondo de Vigilancia y Seguridad:

Registrado: Evento de TI que ha sido registrado dentro del aplicativo soporte de la Mesa de Ayuda y que se encuentra pendiente de clasificación.

Clasificado: Incidente al cual se ha identificado en la estructura de servicios de tecnología (línea de servicio de TI – Infraestructura, Sistemas de Información, Bases de datos, entre otros).

Priorizado: Incidente al cual se la ha asignado el impacto y la urgencia de acuerdo a las definiciones establecidas por el Fondo de Vigilancia y Seguridad.

Asignado: Incidente al que se le asignó un agente, técnico de soporte, especialista, proveedor o fabricante para su respectiva solución.

Atendido: Incidente que está actualmente en el proceso de atención por el actor asignado (agente, técnico de soporte, especialista, proveedor o fabricante).

Solución parcial: Incidente al cual se le ha encontrado una solución parcial, mientras se analiza la solución definitiva.

Solución Definitiva: Incidente solucionado de forma definitiva pero que no ha sido cerrado.

Cierre definitivo: Incidente cerrado en forma definitiva por el usuario al dar validez a la solución.

3.3 Mantenimiento Preventivo

Descripción: Corresponde al flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los Mantenimientos Preventivos que se requieren en la plataforma tecnológica del Fondo de Vigilancia y Seguridad.

Objetivo: Realizar mantenimientos preventivos de forma periódica de manera eficiente minimizando el impacto en el normal funcionamiento de los servicios que garanticen la normalidad de los servicios de tecnología de información.

Alcance: Se inicia con la planeación y programación de los mantenimientos preventivos a realizarse por año (uno semestral), clasificándolos por elementos de tecnología y/o importancia del servicio.

Finaliza con el reporte de mantenimientos preventivos realizado y la aprobación por parte del usuario final.

(23)

 Nivel de satisfacción del usuario

Los mantenimientos preventivos deben realizarse en horario no laboral.  Lunes a Viernes de 7:00 p.m. a 6:00 a.m. excluyendo festivos.  Sábados y domingos de 8:00 a.m. a 5:00 p.m.

Todas las solicitudes, requerimientos y eventos registrados en la Mesa de Ayuda deben generar un tiquete para el control y monitoreo por parte del soporte de primer nivel.

El escalamiento de incidentes se divide en dos tipos: escalamiento vertical y escalamiento funcional.

Escalamiento Vertical: corresponde a la asignación del incidente a otro nivel de atención o soporte. (Por ejemplo: de primer a segundo nivel, de segundo a especialista).

Escalamiento Funcional: corresponde a la asignación del incidente a otro actor del proceso pero en el mismo nivel de atención o soporte. (Por ejemplo: del agente de la mesa de ayuda al técnico de soporte, de un especialista a otro).

La siguiente relación permite ver los posibles estados de atención en los que pueden estar clasificados los incidentes de la plataforma tecnológica del Fondo de Vigilancia y Seguridad:

Registrado: Evento de TI que ha sido registrado dentro del aplicativo soporte de la Mesa de Ayuda y que se encuentra pendiente de clasificación.

Clasificado: Incidente al cual se ha identificado en la estructura de servicios de tecnología (línea de servicio de TI – Infraestructura, Sistemas de Información, Bases de datos, entre otros).

Priorizado: Incidente al cual se la ha asignado el impacto y la urgencia de acuerdo a las definiciones establecidas por el Fondo de Vigilancia y Seguridad.

Asignado: Incidente al que se le asignó un agente, técnico de soporte, especialista, proveedor o fabricante para su respectiva solución.

En trámite primer nivel: Incidente que se encuentra en la primera instancia de atención.

En trámite segundo nivel: Incidente que se encuentra en la segunda instancia de atención.

En trámite especialista: Incidente que se encuentra asignado a un especialista específico.

Atendido: Incidente que está actualmente en el proceso de atención por el actor asignado (agente, técnico de soporte, especialista, proveedor o fabricante).

(24)

Solución parcial: Incidente al cual se le ha encontrado una solución parcial, mientras se analiza la solución definitiva.

Solución Definitiva: Incidente solucionado de forma definitiva pero que no ha sido cerrado.

Cierre definitivo: Incidente cerrado en forma definitiva por el usuario al dar validez a la solución.

Reabierto: Incidente que es nuevamente abierto por el usuario al no encontrarse satisfecho con la solución planteada.

(25)

4 PROCESO GESTIÓN TICS

4.1 Gestión de Cambios

Descripción: Corresponde al flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los cambios en los elementos de configuración de la infraestructura tecnológica del Fondo de Vigilancia y Seguridad.

Se relacionan los puntos de control identificados.

Objetivo: Evaluar y planificar los cambios a los elementos de configuración de la plataforma tecnológica para asegurar que se lleven a cabo de la forma más eficiente, siguiendo los procedimientos establecidos y garantizando en todo momento la calidad y continuidad de los servicios de tecnología y de negocio del Fondo de Vigilancia y Seguridad.

Objetivos específicos: Garantizar que los cambios a los elementos de configuración cumplan con los siguientes requisitos:

 Se encuentren claramente justificados.

 Se llevan a cabo sin perjuicio de la calidad del servicio de tecnología.

 Sean convenientemente registrados, analizados, autorizados, priorizados, planeados, probados, implementados, documentados y se han revisado sus resultados de manera estructurada y controlada.

 Sean cuidadosamente evaluados en un entorno de prueba.

 Contar con la posibilidad de poder deshacer las modificaciones realizadas mediante planes de "retirada del cambio" (vuelta a atrás) en caso de un incorrecto funcionamiento tras su implementación.

Alcance: Las principales razones para la realización de cambios en la infraestructura de TI son:  Solución de errores conocidos.

 Desarrollo de nuevos servicios.  Mejora de los servicios existentes.  Imperativo de tipo legal o normativo.

Satisface los requerimientos de cambios a la plataforma tecnológica y del negocio de acuerdo con la estrategia definida por el Fondo de Vigilancia y Seguridad, mientras se reducen los errores y defectos, enfocándose en controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura tecnológica.

(26)

Incluye la definición y comunicación de los procedimientos de cambio, cambios de emergencia, evaluación del impacto, la asignación de prioridad y categorización, autorización de cambios y finaliza con el seguimiento y reporte de los cambios realizados.

 Porcentaje de cambios que causaron incidentes post implantación  Número de cambios que no entregaron el resultado esperado  Satisfacción del usuario

Toda solicitud de cambio se evalúa de una forma estructurada en cuanto al impacto sobre la plataforma tecnológica y la correcta prestación de los servicios.

Los cambios de emergencia que no sigan el proceso de cambio establecido deben ser formalmente documentados, de ser imposible hacerlo de forma paralela a su implantación debe realizarse después de la implantación del mismo.

Se debe mantener informado, tanto al solicitante del cambio como a los interesados relevantes, acerca del estado del cambio, su evolución y resultado de su implantación. (Entre ellos a los responsables de las aplicaciones, los procedimientos, los procesos, los parámetros del sistema y del servicio y las plataformas fundamentales afectadas)

Generar un plan detallado de las actividades a ejecutar para llevar a buen término la realización del cambio.

Contar con un protocolo de revisión después de ser implantado el cambio para garantizar la completa y correcta ejecución del plan del cambio.

Registros

 Acuerdos de Nivel de Servicio - ANS, versión 1.0.  Petición de cambios - RFC, versión 1.0.

Requisitos de las Normas de Calidad

 Norma de Calidad ISO 9001:2000

 Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004

Puntos de Control

C1: Clasificación del cambio, según los requerimientos del negocio. C2: Planificación de las actividades requeridas para realizar el cambio.

C3: Identificación de posibles fallas asociadas a los cambios efectuadas en la infraestructura tecnológica.

(27)

C4: Planes de retirada o disolución de un cambio.

Riesgo asociado al punto de control

R1: Análisis y categorización errónea del cambio solicitado. R2: Realización de cambios sin la debida planeación del mismo.

R3: Desencadenamiento de nuevas fallas o errores al aplicar un cambio a la infraestructura tecnológica.

R4: No contar con la opción de vuelta a atrás a la aplicación después del cambio.

Glosario

Cambios estándar: son aquellos cambios a los elementos de configuración que se definen como "preaprobados" ó cuyo impacto es insignificante en la prestación de los servicios.

Cambios No estándar: son aquellos cambios a los elementos de configuración que necesitan de consulta o aprobación por parte del Líder de la Oficina de tecnologías de la información y quien él considere, debido al nivel de impacto a la infraestructura tecnológica y a la prestación de los servicios.

Elemento de Configuración (EC): componente tecnológico que necesita ser administrado con el objeto de proveer un servicio de tecnología. Los EC pueden ser de tipo hardware, software, infraestructura, recurso humano y documentación formal (Por ejemplo: documentación sobre las fichas técnicas de los servicios y los acuerdos de nivel de servicio ANS firmados y aprobados).

4.2 Gestión de Configuraciones y seguridad

Descripción: Corresponde a la representación de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los elementos de configuración y seguridad de la plataforma tecnológica del Fondo de Vigilancia y Seguridad.

Objetivo: Identificar, controlar y administrar la información sobre los activos de los servicios de tecnología, elementos de configuración y sus interrelaciones; protegiéndolos y asegurando su integridad a través del ciclo de vida, manteniendo un registro actualizado de todos los elementos de configuración de la infraestructura tecnológica del Fondo de Vigilancia y Seguridad junto con sus interrelaciones.

Objetivos específicos:

 Proporcionar información precisa y fiable al resto de la organización de todos los elementos que configuran la infraestructura tecnológica del Fondo de Vigilancia y Seguridad.

(28)

 Describir la interrelación entre los diferentes elementos de configuración.

 Servir de apoyo a los otros procesos de tecnología de información, en particular, a la Gestión de Incidentes y Cambios.

Alcance

Los beneficios que busca una correcta gestión de configuraciones incluyen, entre otros:

 Resolución más rápida de los problemas, que redunda en una mayor calidad de servicio. Una fuente habitual de problemas es la incompatibilidad entre diferentes elementos de configuración, drivers desactualizados, o problemas de sus interrelaciones.

 Una gestión de cambios eficiente al conocer la estructura previa para diseñar un cambio que no genere nuevas incompatibilidades o problemas.

 Reducción de costos al mantener el conocimiento detallado de todos los elementos de configuración y su valor económico para la entidad.

 El control periódico a las licencias de los aplicativos con que cuenta el Fondo de Vigilancia y Seguridad permite identificar tanto copias ilegales de software que pueden suponer peligros para la infraestructura tecnológica en forma de virus, software malicioso o software malintencionado; como el incumplimientos de los requisitos legales y derechos de autor que pueden repercutir negativamente en la entidad.

 Mayor nivel de seguridad al detectar vulnerabilidades en la infraestructura tecnológica.  Mayor rapidez en la restauración del servicio al conocer todos los elementos de

configuración y sus interrelaciones.

 Número de licencias de software sin usar

 Número de configuraciones realizadas sin autorización

 Número de incidentes causados por la mala documentación en los cambios de los elementos de configuración (EC)

 Número de peticiones de cambio (RFC) sin la correspondiente actualización de los elementos de configuración (EC)

 Satisfacción del usuario

Los tipos de elementos de configuración que se contemplan en el Fondo de Vigilancia y Seguridad son:

 Hardware, incluyendo componentes de redes  Software, incluyendo sistemas operativos

(29)

 Sistemas de información, incluyendo aplicaciones comerciales  Base de datos

 Documentación (Licencias de uso, ANS, contratos de tercerización y aprovisionamiento de tecnología)

 Documentación de cambios (RFC)

 Información sobre procesos y procedimientos de TI

Un elemento de configuración se puede subdividir en otra cantidad de componentes (elementos de configuración).

Los diferentes estados que pueden asociarse a un elemento de configuración son:  En desarrollo  En prueba  En producción  En reparación  Obsoleto  Archivado

Los roles involucrados en la ejecución de este proceso son:  Gestor de Configuraciones

 Analista de Configuraciones

Las principales dificultades que deben ser administradas por el procedimiento de gestión de configuraciones son:

Incorrecta planificación: es esencial programar correctamente las actividades necesarias para evitar duplicaciones o incorrecciones de los elementos de configuración.

Herramientas inadecuadas: es necesario disponer de herramientas tecnológicas adecuadas para agilizar los procedimientos de registro y actualización de los elementos de configuración.

Falta de organización: es importante que haya una correcta asignación de recursos y responsabilidades al personal especializado.

Falta de compromiso: los beneficios de la gestión de configuraciones no son inmediatos y casi siempre indirectos, lo que puede provocar el desinterés por parte de los actores implicados y consecuentemente por la Dirección de la Entidad.

(30)

C1: Aprobación de la estrategia para la administración de las configuraciones. C2: Diferencias en auditoría de control interno.

R1: No obtener la aprobación de la estrategia para la administración de las configuraciones. R2: Las diferencias encontradas por control interno en las auditoras internas sean reiterativas y constantes.

Glosario

Elemento de Configuración (EC): componente necesario e indispensable para entregar un servicio, que es único y que puede ser definido a través de sus propiedades o características. Si se requiere cambiarlo o actualizarlo se necesita registrar una solicitud de cambio - RFC.

4.3 Gestión de Continuidad

Descripción: Corresponde a las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar una adecuada administración de los riesgos y el plan de continuidad de tecnología de información en el Fondo de Vigilancia y Seguridad.

Objetivo: Reducir el impacto y tiempo de recuperación en caso de desastre para aumentar las posibilidades de sobrevivencia del negocio después de sufrir una eventualidad o catástrofe.

Alcance: El proceso gestión de continuidad del servicio comprende las actividades macro que se describen a continuación:

 Establecer las políticas para la Gestión de la Continuidad del Servicio de TI (ITSCM).  Evaluar el impacto en el negocio de una interrupción de los servicios TI.

 Analizar y prever los riesgos a los que está expuesto la infraestructura TI.  Establecer las estrategias de continuidad del servicio TI.

 Adoptar medidas proactivas de prevención del riesgo.

 Desarrollar los planes de contingencia de TI alineados al plan de continuidad del negocio.  Poner a prueba los planes definidos, revisándolos periódicamente para adaptarlos a las

necesidades reales del negocio.

 Formar al personal sobre los procedimientos necesarios para la pronta recuperación del servicio.

(31)

 Nivel de avance en la implementación del plan de continuidad.  Cantidad de riesgos de tecnología mitigados.

Objetivo: Maximizar el nivel de efectividad en la mitigación de los riesgos de tecnología detectados a los sistemas de información del FVS y su infraestructura tecnologica.

Meta: 75%

Responsable: Líder de infraestructura

Descripción: Realizar una comparación entre la cantidad total de riesgos identificados y la cantidad de riesgos mitigados, esto para un período específico de tiempo.

Formula:

Y

X

Y

)

100 (





%

X = cantidad de riesgos mitigados

Y = # cantidad total de riesgos identificados Unidad de medida: Porcentaje

Recolección de la Información: Frecuencia semestral, responsable administrador de infraestructura

Reporte y Análisis: Frecuencia mensual, responsable Administrador de infraestructura

La Gestión de la Continuidad del Servicio está llamada al fracaso si el Fondo de Vigilancia y Seguridad no destina recursos suficientes, tanto humanos como de infraestructura tecnológica (software y hardware).

Para lograr el efecto de continuidad esperado se desagregan las actividades del proceso en las siguientes etapas: análisis de riesgos, planificación, generación, prueba y operación de las estrategias de continuidad a incluir en el plan de contingencia de los servicio de tecnología informática.

La evaluación de los riesgos de tecnología debe ser una actividad que anticipa y previene la ocurrencia de una eventualidad, con un enfoque en la identificación, medición y control de riesgos, velando por que el Fondo de Vigilancia y Seguridad logre sus objetivos con un menor impacto de riesgo posible.

(32)

C1: Completitud del Plan de Continuidad. C2: Completitud de la Matriz de Riesgos.

R1: Plan de Continuidad no incluya todas las dimensiones de tecnología. R2: Matriz de Riesgos no contemple la totalidad de los riesgos identificados.

Glosario

Continuidad: habilidad para continuar operando la plataforma tecnológica en momentos de desastres naturales u otras fuerzas de causa mayor evitando que éstas tengan consecuencias catastróficas para la entidad y su negocio.

Matriz de Riesgo: es una herramienta de control y gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes, críticos y sensibles adicionando el tipo y nivel de riesgos inherentes, los factores exógenos y endógenos relacionados con estas actividades, ésta herramienta permite evaluar el impacto y la importancia de mitigación de los riesgos que pueden impactar los resultados y los objetivos estratégicos de la organización.

4.4 Gestión de Disponibilidad

Descripción: La Gestión de la Disponibilidad es responsable de optimizar y monitorear los servicios TI del Fondo de Vigilancia y Seguridad, para que funcionen ininterrumpidamente y de manera fiable, cumpliendo los ANS.

Objetivo: La Gestión de la Disponibilidad asegura que los servicios TI estén disponibles y funcionen correctamente siempre que los usuarios deseen hacer uso de ellos en el marco de los ANS vigentes.

Las responsabilidades de la Gestión de la Disponibilidad incluyen:  Determinar los requisitos de disponibilidad con los usuarios.

 Garantizar el nivel de disponibilidad establecido para los servicios TI.  Monitorizar la disponibilidad de los sistemas TI.

 Proponer mejoras en la infraestructura y servicios TI con el objetivo de aumentar los niveles de disponibilidad.

 Supervisar el cumplimiento de los contratos de soporte acordados con proveedores internos y externos.

(33)

Alcance: La Gestión de Disponibilidad comprende las siguientes etapas:  Analizar requerimientos de disponibilidad

 Planificar la disponibilidad  Mantener la disponibilidad  Monitorear la disponibilidad  Aplicar métodos y técnicas

 Disponibilidad: porcentaje de tiempo sobre el total acordado en que los servicios TI han sido accesibles al usuario y han funcionado correctamente.

 Confiabilidad: medida del tiempo durante el cual los servicios han funcionado correctamente de forma ininterrumpida.

 Mantenibilidad: capacidad de mantener el servicio operativo y recuperarlo en caso de interrupción.

Premisas y Políticas de Operación del Proceso

Los roles involucrados en la ejecución de este proceso son:  Gestor de Disponibilidad

Registros

 Plan de Disponibilidad  Informes de Disponibilidad

 Informes de Prevención y Análisis de Fallas

Documentos de referencia

 Acuerdos de Nivel de Servicio - ANS, versión 1.0.

C1: Analizar si se interrumpe el servicio por mantenimiento C2: Verificar Cumplimiento de Niveles de Servicio

(34)

R1: Degradación del servicio, pérdida de información, entre otros por la falta de mantenimiento de los servicios que afectan la disponibilidad.

R2: Incumplimiento de los Niveles de Servicio acordados.

Glosario

CFIA: Que son las siglas de Component Failure Impact Analysis (Análisis del Impacto de Fallo de Componentes).

FTA: Que son las siglas de Failure Tree Analysis (Análisis del Árbol de Fallos).

CRAMM: Que son las siglas de CCTA Risk Analysis and Management Method (Método de Gestión y Análisis de Riesgos de la CCTA).

SOA: Que son las siglas de Service Outage Analysis (Análisis de Interrupción del Servicio).

4.5 Gestión de Pruebas

Descripción: Corresponde a la representación gráfica del flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen en la ejecución del plan de pruebas.

Dentro del diagrama se relacionan los puntos de control identificados y algunos comentarios a tener en cuenta al momento de la ejecución del proceso.

Este proceso se encarga de asegurar que un paquete de software cumple con las especificaciones requeridas por el Fondo de Vigilancia y Seguridad.

Objetivo: Asegurar la correcta definición del plan de pruebas y la verificación y validación de un paquete de software

Alcance: Desde la definición del plan de pruebas hasta la ejecución de todos los casos de prueba

 Número de pruebas ejecutadas

 Porcentaje de casos de prueba exitosos  Porcentaje de casos de prueba fallidos  Porcentaje de casos de prueba redefinidos

(35)

El plan de pruebas se inicia cuando se tienen las especificaciones funcionales aprobadas.

Registros

 Plan de pruebas  Reporte de las pruebas

C1: Validar datos de prueba C2: Evaluar el tipo de error

R1: Evitar pérdida de tiempo por realizar las pruebas con datos que no son pertinentes.

R2: Identificar errores causados por casos de prueba mal formulados, evitando disputas con los proveedores.

Glosario

Prueba: Verificar y validar que un paquete de software cumple con los requerimientos solicitados.

Caso de prueba: Secuencia de pasos para verificar una característica del software

4.6 Diseño de aplicaciones y nuevos requerimientos

Descripción: Corresponde al flujo de las actividades, procedimientos y tareas que deben ser ejecutadas por los actores que intervienen de forma directa para realizar de forma adecuada la documentación de los requerimientos informáticos de tecnología de información en el Fondo de Vigilancia y Seguridad.

Este procedimiento cubre las actividades que van desde la identificación de las necesidades informáticas de los usuarios del Fondo de Vigilancia y Seguridad, hasta la identificación de todas las características técnicas y funcionales que se deben cumplir en un sistema de información y documentarlas como requerimientos informáticos.

(36)

Objetivo: Asegurar la correcta documentación de los requerimientos de información del Fondo de Vigilancia y Seguridad.

Alcance: La documentación de los requerimientos funcionales y técnicos que se le van a entregar a un proveedor de soluciones informáticas.

 Número de requerimientos descartados por falta de completitud.  Número de requerimientos documentados

 Número de requerimientos construidos

 Todos los requerimientos deben ser validados por los usuarios

 Todo requerimiento debe ser valorado por un proveedor para determinar la viabilidad del mismo.

C1: Analizar los requerimientos

R1: Generar requerimientos que no sean viables, realizables o verificables

Glosario

Requerimiento: Un requerimiento es la especificación formal de las necesidades informáticas de los usuarios del Fondo de Vigilancia y Seguridad, de modo que este documentado de tal forma que sea claro, viable, realizable y verificable.