Entrega y soporte en COBIT
Durante la entrega y el soporte del servicio, el estándar COBIT define 13 procesos. En ellos se cubren aspectos como la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte a los usuarios y la administración de los datos y de las instalaciones.
Procesos
editarDS1 Definir y administrar los niveles de servicio
editarEste proceso tiene como objetivo generar una definición documentada y un acuerdo de los servicios de TI y los niveles del servicio para hacer efectiva la comunicación entre la gerencia y los clientes. Para ello, se define un marco de trabajo que brinde un proceso formal de administración hacia el cliente, basándose en requerimientos y definiciones del servicio (generando un catálogo de servicios), acuerdos (a niveles de servicio y de operación) y fuentes de financiamiento. Por otro lado, para cada servicio se definen los criterios de desempeño y será necesario monitorizar, reportar y analizarlos para identificar tendencias. Por último, la retroalimentación del DSI consiste en la revisión de los niveles y contratos con los proveedores para asegurar su efectividad.
DS2 Administrar los servicios de terceros
editarEl objetivo de este proceso es asegurar que los servicios provistos por terceros cumplan los requisitos del negocio. Para ello, será necesario un proceso efectivo para administrar los terceros. Identificaremos y categorizaremos los servicios (en cuanto a tipo, significado y criticidad) y generaremos una documentación formal de relación con los proveedores, en el que se definen roles, responsabilidades y expectativas. Por otro lado, habrá que administrar los riesgos de los proveedores y monitorizarlos convenientemente.
DS3 Administrar el desempeño y la capacidad
editarEste proceso cubre la necesidad de administrar el desempeño y capacidad de los recursos de TI. Para ello, se define un proceso para planear la revisión del desempeño y capacidades actual. En dicho plan se deberán medir la (REVISAR/TERMINAR)
DS4 Garantizar la continuidad del servicio
editarEn este proceso nos aseguraremos de que se brinda continuidad a los servicios de ti, desarrollando, manteniendo y probando plantes de continuidad de ti, realizando respaldos de la información y entrenando a nuestros empleados sobre los planes de continuidad. Será necesario definir un marco que ayude a lograr una infraestructura sólida y que agilice la recuperación en caso de desastres. Para lograr que sea eficaz, habrá que centrarse en los recursos más críticos y mantener el plan de continuidad con el tiempo. Con ello lograremos disminuir las interrupciones y su impacto sobre procesos clave.
DS5 Garantizar la seguridad de los sistemas
editarDado que en al mayoría de los casos, la información es vital, este proceso se encarga de mantener la integridad de la información su protección. De esto se encarga la seguridad, que incluye el establecimiento y mantenimiento de roles responsables de la seguridad, política, estándares y procedimientos.
DS6 Identificar y asignar costos
editarEl objetivo de este proceso es lograr que la asignación de costos de TI sea justo y equitativo. Para ello, se necesita construir un sistema para capturar dichos costos, distribuirlos y reportarlos a los usuarios. Para poder capturarlos, será necesario identificarlos con respecto a los servicios debidamente alineados con los procesos del negocio. De cara a los usuarios, se debe crear un modelo de costos que ayude al cálculo de las tarifas por los servicios. Los usuarios podrán identificar, medir y predecir los costos generados por dicho servicio. Un factor a tener en cuenta es la variación entre los presupuestos y los costos actuales para realimentar y mantener el modelo de costos, que debe ser revisado regularmente.
DS7 Educar y entrenar a los usuarios
editarCualquier usuario de un sistema de TI tiene que pasar por una fase de aprendizaje. Si se quiere lograr que los usuarios se eduquen de una forma efectiva en los sistemas, es necesario identificar las necesidades del entrenamiento. Tras identificarlas, se genera un programa de entrenamiento que será ejecutado y posteriormente medido para conocer la eficacia del mismo y su posible mejora. Se deberán tener en cuenta la disminución de errores, el incremento de la productividad y otras labores como la ejecución correcta de los propios procesos. Algunas de los aspectos que debe contener el programa de entrenamiento son las estrategias y valores de la empresa, software e infraestructura, habilidades, etc.
DS8 Administrar la mesa de servicio y los incidentes
editarTodo servicio de TI en ejecución puede generar consultas y problemas a los usuarios. Para ello, el objetivo de este proceso es mantener una mesa de servicio que se encargue de registrar, comunicar, atender y analizar las llamadas e incidentes reportados. Es apropiado que una buena mesa mantenga un registro de incidencias capaz de gestionar las consultas de forma apropiada y eficaz, análisis de tendencias y un equipo encargado de analizar la raíz y resolución de los incidentes. Manteniendo un proceso de reporte efectivo se puede lograr no solo mejorar la mesa del servicio, sino identificar y reforzar otros procesos.
DS9 Administrar la configuración
editarDescripción del proceso: Es un ciclo continuo PDCA (Plan, Do, Ceck, Act ) que consiste en realizar la organicación del proceso, implantarlo, comprobar su funcionamiento mediante monitorización y evaluación, y actuar en consecuencia a este chequeo. Asegurar la integridad del hardware y/o software requiere el establecimiento de una política de repostorio y backup eficaz. Este proceso incluye los procesos explicados en el ciclo anterior (PDCA). Una política adecuada de configuración proporciona la disponibilidad del sistema, disminuyendo los problemas de producción y resolviéndolos más rápido. El control sobre los procesos IT administra la configuración que satisface los requerimientos del negocio optimizando la infraestructura y los recursos. Estos objetivos se consiguen estableciendo un repositori central de todos los objetos de configuración, identificando los elementos de configuración y manteniéndolos, y revisando la integridad de éstos y es medido mediante el número de problemas de negocio causados por configuraciones no adecuadas, por número de desviaciones entre el repositorio de configuración y la configuración actual y mediante el porcentaje de licencias compradas y no guardadas en el repositorio.
DS10 Administrar los problemas
editarDescripción del proceso: Sistema de administración que registra el estado y progreso de todos los incidentes para asegurarse de que estos son resueltos y que la causa es investigada para prevenir futuras ocurrencias.
Objetivos de control:
- Administración de problemas de sistema.
- Escalado adecuado de problemas.
- Auditoría y registro de problemas.
- Autorizaciones de acceso temporales.
- priorizaciones de emergencia.
Indicadores de objetivos:
- Medidas de reducción del impacto de los problemas sobre recursos IT.
- Medidas de reducción del tiempo transcurrido desde el primer síntoma hasta la resolución del problema.
- Medidas de reducción de problemas sin resolver.
- Medidas del incremento del número de problemas evitados con acciones preventivas.
- Reducción del tiempo entre la identificación del problema y el escalado de problemas de alto riesgo.
Indicadores de rendimiento:
- Tiempo transcurrido desde el primer síntoma del problema y la entrada al sistema de administración.
- Tiempo transcurrido entre el registro del problema y la resolución o el escalado del mismo.
- Tiempo transcurrido entre la evaluación y la aplicación de parches del fabricante.
- Porcentaje de problemas reportados cuya solución ya era conocida.
- Frecuencia de encuentros de coordinación de administración del personal.
- Frecuencia de informes de análisis de problemas.
Factores críticos de éxito:
- Integración clara de administración de problemas y disponibilidad y administración de cambios.
- Accesibilidad a los datos de configuración.
- Buena relación entre la comunicación, los síntomas, el diagnóstico y la solución de problemas al personal adecuado.
- Entreanmiento adecuado al personal de soporte en la resolución de problemas.
- Clarificar los roles y responsabilidades disponibles ante incidentes.
- Implicar a los fabricantes durante la investigación y la resolución del problema.
- Análisis post-mortem del tratamiento del problema.
DS11 Administrar los datos
editarDescripción del proceso: Aplicación y generación de controles sobre las operaciones de TI para asegurar el tratamiento correcto de los datos durante su entrada, actualización y almacenamiento. Incluye el establecimiento de procedimientos efectivos para administrar los métodos de backup y recovery. Una administración eficiente de los datos asegura la calidad, la eficacia en su generación y la disponibilidad de los datos de negocio. Estos objetivos son conseguidos mediante backup de los datos y pruebas de restauración, administración de datos en dispositivos situados en ubicaciones físicas diferentes y securizadno los dispositivos de almacenamiento.
Medidas:
- Porcentaje de usuarios satisfechos con la disponibilidad de los datos.
- Porcentaje de restauraciones de datos realizadas con éxito.
- Número de incidentes dónde los datos son sensibles son restaurados tras fallos en los dispositivos de almacenamiento.
DS12 Administrar el ambiente físico
editarDescripción del proceso: Define e implementa procedimientos para otorgar, limitar y revocar el acceso a las instalaciones, edificios y áreas de acuerdo a las necesidades del negocio, incluidas las emergencias. El acceso a las instalaciones, edificios y áreas debe justificarse, autorizarse, y quedar registrado y controlado. Esto debería aplicarse a todas las personas que entren en las instalaciones, incluido el personal, el personal temporal, clientes, proveedores, visitantes o cualquier otro tercero.
Medidas de seguridad físicas: Define e implementa los objetivos descritos en el proceso de administración de seguridad del ambiente físico para asegurar la prevención, detección y mitigación de riesgos relacionados cn el robo, la temperatura, el fuego, el humo, el agua, etc.
DS13 Administrar las operaciones
editarDescripción del proceso: el procsamiento completo y preciso de los datos requiere una gestión eficaz del tratamiento de los datos. Este proceso incluye la definición de políticas y procedimientos para la administración de procesamientos programados (generalmente procedmientos de backups), la protección de datos sensibles, la monitorización del rendimiento de la infraestructura y asegurarse del mantenimiento preventivo del hardware. Una administración efectiva de las operaciones ayuda a mantener la integridad de los datos y reducir los retrasos de negocio. El control sobre los procesos IT de administración de operaciones que satisface los requerimientos del negocio asegura que la infraestrucutura puede resistir y recuperarse de posibles errores y fallos, enfocándose en los objetivos definidos en la descripción del proceso.
Medidas:
- Número de niveles de servicio afectados por incidentes operacionales.
- Horas sin servicio causadas por incidentes operacionales.
- Porcentaje de problemas de hardware no ocurridos incluidos en la administración programada de prevención.