Pasos para implementar la norma ISO 27001: Paso 3 - Definir el Alcance y redactar la Política del Sistema de Gestión de Seguridad de la Información

En los artículos anteriores comentamos sobre lo importante que es para el proyecto de implementación del Sistema de Gestión de Seguridad de la Información-SGSI, el apoyo de la Alta Gerencia y tener un procedimiento para el control de documentos y registros. Pues bien ahora en este tercer paso debemos realizar dos documentos muy importantes para la implementación del SGSI y que son la base para los siguientes documentos que son requisitos de la norma. Estos documentos son el Alcance del SGSI y la Política del SGSI.

Alcance del SGSI  

Antes de iniciar con las actividades que demanda el proyecto de implementación del SGSI, se debe definir su alcance. En este documento se debe determinar lo que abarcará el Sistema, es decir, los procesos o partes de la Organización que serán incluidos. El Comité del Proyecto en coordinación con las autoridades de la Organización, debe definir cuáles son los procesos críticos y decidir que de ello es lo que se quiere proteger.

En el alcance se debe dejar claramente especificadas las actividades de la Organización, las ubicaciones físicas que tienen que considerarse y la tecnología con que se cuenta.

Así mismo, en este documento, se debe considerar los recursos económicos y recurso humano que va a estar incluido en el proyecto de implementación del Sistema. Igualmente se debe indicar los recursos que se requieren para el mantenimiento posterior a la implementación.

Política de Seguridad de la Información

El objetivo de la Política de Seguridad de la Información es reflejar a todo su personal lo que la Organización quiere conseguir al implementar el Sistema de Gestión de Seguridad de la Información. Este documento debe ser redactado de manera sencilla y clara para que los Directivos y en general todo el personal sean capaces de apoyar y controlar todo lo que ocurre en el Sistema.

A continuación se indica brevemente las consideraciones a tener en cuenta al momento de redactar la política de seguridad de la información:

·        Cada Organización tiene sus particularidades, por tanto es necesario que la política de seguridad de la información sea adaptada a la realidad y necesidades de la Organización. Probablemente si la Organización es pequeña no requiera de todas las consideraciones que se estimen para una gran Organización.

·        Debe ser explícito el compromiso que tiene la Alta Gerencia para cumplir con los requisitos que exige la norma y para mejorar continuamente el Sistema de Gestión de Seguridad de la Información.

·        La política debe ser debidamente comunicada a toda la Organización y demás partes interesadas, para ello es importante definir el responsable de la comunicación inicial y continua.

·        La política debe ser revisada en forma continua, para asegurar cubrir nuevos riesgos a los activos de información. Se debe definir el periodo que será revisada y el responsable de gestionar esta tarea.

·        La política “principal” no debe ser un documento extenso, para ello se realizará políticas diversas detalladas, por ejemplo: política de control de accesos, política de clasificación, etc.   

Estos documentos son obligatorios y básicos para el desarrollo del proyecto, tome todo el tiempo necesario para que éstos cuenten con el aporte y consenso de todo el personal que involucra la Seguridad de la Información.

Pasos para implementar la norma ISO 27001: Paso 2 - Procedimiento para control de documentos y registros

En el artículo anterior comentamos sobre lo importante que es al inicio contar con el apoyo al proyecto de la Alta Gerencia, a continuación se debe implementar un procedimiento muy importante para mantener un orden en la documentación que será clave para el Sistema de Gestión de Seguridad de la Información (SGSI). Este documento es el procedimiento para control de documentos y registros.

Para la implementación del SGSI es necesario un procedimiento inicial o base para la elaboración, modificación, anulación y aprobación de los documentos que integran el Sistema de Gestión de Seguridad de la Información.

El procedimiento de control de documentos y registros debe aplicar a todos los documentos del SGSI desde el requerimiento o necesidad, cuando se requiera modificarlo, hasta la publicación, mantenimiento y posible anulación.

Mediante este procedimiento, se debe establecer los controles a los registros que integran el Sistema de Gestión de Seguridad de la Información para la identificación de los registros, su almacenamiento, tiempo de vida y la disponibilidad.

Cuando implemente el procedimiento para control de documentos y registros, debe tener en cuenta lo siguiente:

·        Mantener identificada la información.

·        Considerar el formato más adecuado, ya sea en papel o electrónico.

·        Como se va a considerar el lanzamiento del documento, quiénes y cómo se revisarán y aprobarán, así como el flujo a seguir.

·         Cómo asegurará la disponibilidad del documento, es decir, el lugar, el acceso, la alta disponibilidad, la confidencialidad y el respaldo. Esta disponibilidad debe ser para todos los interesados: personal interno y externo a la Organización

·        Identificación de los cambios realizados a los documentos, ya sea el texto cambiado, la persona que lo cambió, la frecuencia de cambios, el responsable de validar los cambios y la posibilidad de restaurar una copia anterior.

Es necesario señalar que elaborar el Procedimiento para control de documentos y registros no es obligatorio según la ISO 27001, pero teniendo en cuenta lo especificado líneas arriba, es aconsejable que se tome el tiempo para realizarlo.

Implementación de la norma ISO 27001:Paso 1 - Lograr el apoyo al proyecto de la Alta Gerencia

En el artículo anterior se indicó los doce pasos para implementar la norma ISO 27001, a continuación revisaremos el primero:

Lograr el apoyo al proyecto de la Alta Gerencia

La implementación del Sistema de Gestión de Seguridad de la Información (SGSI)  es muy complejo, está lleno de actividades y recursos necesarios para realizar en un largo período de tiempo, por tanto corresponde tomarse como un proyecto, de tal manera que permita mantener un orden y ser medible en el tiempo.

Siendo la implementación del SGSI un proyecto estratégico para la Organización, se debe involucrar desde el inicio a la Alta Dirección. Su liderazgo, compromiso y la implicación, son esenciales para la implementación, el desarrollo y la continuidad de un sistema de gestión efectivo y eficiente para obtener los beneficios que se esperan.

Adicionalmente al aporte de los recursos necesarios para el sistema, es muy importante que la Alta Dirección genere un marco propicio a través de una política de seguridad adecuada para la organización y auspiciando una campaña de concienciación masiva a todo el personal, de tal manera que todos se involucren en el logro de los objetivos de la organización.

Por todo ello, sin el compromiso y la completa participación de la alta dirección es imposible implementar un SGSI.  

          

Habiendo entendido la importancia del apoyo de la Alta Gerencia, debemos realizar nuestra mejor estrategia para lograr su apoyo, tanto al inicio, como en el transcurso de todo el proyecto. A continuación le sugiero algunas acciones para obtener el éxito:

·        Haga un análisis empresarial: Reúnase con los Gerentes y personas claves en cada Área de la Organización para conocer los servicios informáticos y la información más importante de la que depende su operación. Evalúe el impacto si estas Áreas perdieran estos servicios o la información, de tal manera de dimensionar los costos que generará a la Organización si no se toman acciones inmediatas. Esto deberá presentar a la Alta Gerencia, para que puedan informarse y reflexionar sobre el apoyo necesario al proyecto.

·         Busque mantener informada a la Alta Gerencia: Mantenga indicadores actualizados a lo largo del proyecto y genere informes de éstos, para que la Alta Gerencia visualice el progreso que se viene realizado y mantenga el apoyo al proyecto.

·        Genere y mantenga las políticas: Adicional a las acciones y mecanismos que implemente, genere y mantenga las políticas de seguridad adecuada. Debe buscar consenso sobre las nuevas políticas o los cambios realizados, involucrando a la Alta Gerencia y el personal clave de la Organización, de tal manera que servirán de apoyo a su rápida aplicación.

·        Sea muy transparente: Ante todo sea muy transparente al momento de informar los problemas, no use estadísticas engañosas y explique las acciones que se vienen tomando y aquellas nuevas que se realizarán con los recursos actuales o con nuevos recursos. Debe argumentar adecuadamente para conseguir el apoyo que requiere.

·        Auditorias internas y externas: Sugiera y gestione para que se realicen auditorías internas y externas a la organización, de tal manera que se pueda conocer las mejoras, pero también atacar rápidamente nuevos riesgos.

Pasos para implementar la norma ISO 27001

Implementar la norma ISO 27001 es complejo, porque abarca muchos cambios que realizar, de acuerdo a la madurez de la Organización, en orden de tecnología, documentación (procedimientos, instructivos, registros, etc.), mecanismos y concienciación de las buenas prácticas de seguridad de la información.  

En muchos países es de carácter obligatorio la implementación de la norma. En el Perú es  obligatorio para todas las entidades del estado la implementación de la norma de seguridad de la información, la cual toma la denominación NTP:ISO/IEC-27001:2014.

Como un apoyo para la implementación de la norma, a continuación proporciono una lista sugerida de los pasos que se debe cumplir si está pensando en implementarla. El siguiente es solo un resumen, pero en las próximas semanas iré publicando el detalle de cada uno de los pasos sugeridos:

1. Lograr el apoyo al proyecto de la Alta Gerencia

Siendo la implementación de la norma muy compleja, llena de actividades y recursos necesarios para realizar en un largo período de tiempo, corresponde tomarse como un proyecto, de tal manera que permita mantener un orden y ser medible en el tiempo. Este proyecto debe contar con un comité de gestión en el que involucre directamente la participación del máximo responsable de la Organización, ya que se debe asegurar la emisión de las directivas y aprobación de recursos necesarios o el proyecto va camino al fracaso.

2.  Implementar Procedimiento para control de documentos y registros

El proyecto incluye muchos documentos necesarios a implementar, por lo que se hace muy importante que antes de iniciar se establezca la forma que se emitirán, aprobarán y mantener cada uno de estos documentos: políticas, procedimientos, instructivos, registros, etc.

3. Definir el Alcance y redactar la Política del Sistema de Gestión de Seguridad de la Información

Estos dos documentos son los más importantes en la implementación de la norma y sirven de base para los demás documentos. En el documento de Alcance, quedará  establecido si se tendrá en cuenta a toda la Organización o a parte de ella. La Política de Seguridad debe contemplar el objetivo del Sistema de Gestión de Seguridad de la Información (SGSI) y en breve como la Organización piensa lograrlo.

4. Establecer la Metodología de Evaluación de riesgos

En este documento se establecen las reglas para la identificación de los activos de información, las amenazas, las vulnerabilidades y medir el riesgo, para finalmente obtener el tratamiento que se debe seguir en cada uno.

5. Emitir la Declaración de aplicabilidad

En la Declaración de aplicabilidad, se incluye todos los controles de seguridad del anexo A de la norma ISO/IEC 27001 (114 controles), indicando aquellos que se van a considerar en el SGSI y aquellos que no serán parte. Será un documento que marque en gran medida el rumbo del proyecto, en tanto para cada uno de los controles se deberá implementar documentos, tecnología y mecanismos necesarios.

6. Redactar Informe de evaluación y tratamiento de riesgos

En esta sección se contempla la evaluación de los activos de información según la Metodología de Evaluación de riesgos establecida.

7.  Realizar Plan de tratamiento de riesgos

Se realiza la programación para mitigar los riesgos según indicados después de la Declaración de aplicabilidad.

8.  Definir indicadores

Importante que se definan los indicadores que permitan medir la eficacia de los controles que se han implementado y los que se implementarán.

9.  Redactar las políticas y procedimientos obligatorios

Esta sección es muy tediosa, porque corresponde la redacción de todas las políticas y procedimientos obligatorios, de acuerdo a la Declaración de aplicabilidad.

10.  Implementar un programa de capacitación y concienciación

Es necesario profundizar en los empleados la aplicabilidad de las políticas, procedimientos y en general todo aquello que modifica la forma de trabajar de la Organización, como parte del proyecto.

11.  Implementación de los controles obligatorios

Puede ser la sección más complicada el implementar los controles, según la Declaración de aplicabilidad, las políticas y procedimientos redactados y aceptados por el Comité de Gestión de Seguridad de la Información.

12.  Supervisión y Auditorías internas

Para asegurar que en el Sistema de Gestión de la Seguridad de la Información, es necesario ejecutar programas de supervisión constantes y auditorías internas que evalúen el nivel de madurez del Sistema.

GESTIÓN DEL CONOCIMIENTO

A continuación un resumen de lo especificado para la Gestión del Conocimiento en el libro oficina de Transición del Servicio.

Gestión del Conocimiento

La capacidad para entregar un servicio o proceso de calidad radica en una ampliación significativa de la capacidad de aquellos implicados a la hora de responder a las circunstancias. Una herramienta sumamente importante para responder ante las situaciones adversas, es el conocimiento.

Una Gestión del Conocimiento eficaz es un potente activo para las personas en todos los roles a través de todas las etapas del ciclo de vida del servicio. Es un método excelente para que individuos y equipos compartan datos, información y conocimiento sobre todas las facetas de un servicio de TI. Se recomienda la creación de un único sistema para Gestión de Conocimiento.

Objetivos de la Gestión del Conocimiento

El objetivo de la Gestión del Conocimiento es mejorar la calidad de la toma de decisiones garantizando que estén disponibles datos e información seguros y fiables a través del ciclo de vida del servicio: De ello se desprenden los siguientes objetivos:

• Facilitar que el proveedor de servicio sea más eficiente y mejorar la calidad del servicio, aumentar la satisfacción y reducir el coste del servicio.
• Asegurar que el personal tenga un entendimiento claro y común del valor que sus servicios proporcionan a clientes y las formas en las que se materializan los beneficios del uso de esos servicios.
• Asegurar que, en un momento y lugar dados, el personal del proveedor de servicio tenga información adecuada sobre:

o   Quién está utilizando actualmente sus servicios.

o   Los estados actuales de consumo.

o   Restricciones de la entrega del servicio.

• Dificultades a las que se enfrenta el cliente para aprovecharse completamente de los beneficios esperados del servicio.

Estructura de Datos para la Información, Conocimiento y Saber

Los Datos son un conjunto de hechos discretos sobre eventos. Las actividades con respecto a los datos representan la capacidad para:

• Capturar datos precisos
• Analizar, sintetizar y a continuación transformar los datos en información
• Identificar datos relevantes y concentrar recursos en su captura

La Información proviene al proporcionar contexto a los datos. La actividad clave es gestionar el contenido para facilitar la captura, solicitud, detección, reutilización y aprendizaje de la experiencia para que no se repitan errores y no se duplique el trabajo.

El Conocimiento está compuesto por las experiencias, ideas, entendimientos, valores y juicios de los individuos. El conocimiento es dinámico y se basa en el contexto. El conocimiento sitúa la información en un formato “fácil de utilizar” que puede facilitar la toma de decisiones.

El Saber dispone de la aplicación y del contexto para proporcionar sentido común.

Transferencia de conocimiento

Durante el ciclo de vida del servicio es necesario que una organización se centre en recuperar, compartir y utilizar su conocimiento mediante la resolución de problemas, aprendizaje dinámico, planificación estratégica y toma de decisiones. Para lograrlo, es necesario transferir el conocimiento a otras partes de la organización en puntos específicos en el ciclo de vida.

Tradicionalmente la transferencia de conocimiento se ha basado en la documentación y formación formal en aulas. En muchos casos la formación inicial se proporciona a un representante de un grupo de trabajo al que se requiere transmitir el conocimiento a sus colegas. En muchas ocasiones son apropiadas otras técnicas y herramientas útiles. El valor de las técnicas a considerar incluye lo siguiente:

Estilos de aprendizaje: Los estilos de aprendizaje varían con la edad, cultura, actitud y personalidad, por lo que es necesario evaluar los mecanismos y herramientas necesarias, tales como la utilización de diseño gráfico, desarrollos, equipos, etc. También los ejercicios de simulación pueden constituir una consideración útil.

Visualización del conocimiento: La transferencia de conocimiento se puede mejorar utilizando medios visuales basados y no basados en medios informáticos, por ejemplo diagramas, imágenes y fotografías. Se centra en transferencia de conocimiento entre personas y tiempo por objetivo transferir ideas, experiencias, actitudes, valores, expectativas, perspectivas, opiniones y predicciones utilizando varias visualizaciones complementarias.

Comportamiento dirigido: La transferencia de conocimiento tiene por objetivo garantizar que el personal sea capaz de decidir sobre las acciones correctas para realizar sus tareas en cualquier circunstancia previsible. Para tareas predecibles y consistentes, el procedimiento puede incorporarse dentro de herramientas de software que el personal utilice para esas tareas.

Seminarios, seminarios virtuales y anuncios: Los eventos basados en la tecnología como seminarios virtuales, ofrecen la capacidad de proporcionar un mecanismo de entrega de conocimiento de alto perfil con la capacidad de retenerlo on-line y ofrecerlo a otras ubicaciones y a nuevo personal.

Publicaciones y boletines de noticias: Todos los mecanismos y herramientas son útiles, estas técnicas pueden favorecer el entretenimiento y pueden estar orientadas a grupos específicos.

Definición de la arquitectura de la información

Para mejorar la eficacia del uso de los datos, en términos de entrega del conocimiento requerido, es esencial que una arquitectura relevante se corresponda con la situación organizativa y con los requisitos de conocimiento. Esto a su vez radica en:

• Crear y actualizar frecuentemente un modelo de información de Gestión de Servicio que permita crear, utilizar y compartir información que sea flexible, puntual y rentable.
• Definir sistemas que optimicen el uso de la información a la vez que se mantiene la integridad de los datos y de la información.
• Adoptar esquemas de clasificación de datos que estén en uso en la organización, y si fuera necesario, negociar cambios para permitir aplicarlos dentro del área de Gestión del Servicio.

Establecimiento de procedimientos de gestión de los datos y de la información

Cuando se establecen los requisitos y la arquitectura, se puede establecer la gestión de los datos y de la información para dar soporte a Gestión del Conocimiento. Pasos claves requeridos implican establecer mecanismos para:

• Identificar los datos y la información a recopilar del ciclo de vida del servicio.
• Definir el procedimiento requerido para mantener los datos y la información y ponerlos a disposición de aquellos que los requieran.
• Almacenar y extraer.
• Establecer la autoridad y responsabilidad para todos los elementos requeridos de la información.
• Definir y anunciar derechos, obligaciones para la retención, transmisión y acceso a elementos de información.
• Establecer los métodos de backup y recuperación de datos e información.

Métricas e indicadores clave de rendimiento

Las medidas habituales de la contribución de un proveedor de servicio de TI son:

• Éxito en la implementación y operación post-implementación de servicios nuevos o modificados con pocos errores asociados con el conocimiento.
• Aumento de la capacidad de respuesta ante las demandas cambiantes del negocio, es decir, mayor porcentaje de preguntas y cuestiones resueltas a través del acceso a internet /intranet mediante el uso de sistemas de búsqueda.
• Mejora de la accesibilidad y gestión de estándares y políticas.
• Difusión de conocimiento.
• Reducción del tiempo y esfuerzo requeridos para dar soporte y mantener los servicios.
• Reducción del tiempo para encontrar información para el diagnóstico y resolución de incidencias y problemas.
• Reducción de la dependencia del personal con respecto al conocimiento.

Indicadores relevantes para el negocio/cliente

La Gestión del Conocimiento es un proceso facilitador y por tanto es necesario deducir su eficacia a partir de la medida indirecta. Los elementos de la calidad del servicio que se verán influenciados positivamente por una buena Gestión del Conocimiento podrían incluir:

• Reducción en la categoría de errores “error de usuario” debido a la transferencia dirigida de conocimiento, combinado con menores costos de formación del usuario.
• Reducción del tiempo de resolución de incidencias, problemas y errores influenciado por una formación mejor dirigida al personal de soporte y por una base de conocimiento relevante, mantenida y accesible que contenga soluciones provisionales.
• Mejora de las experiencias del cliente como por ejemplo:

o   Aumento de la rapidez de resolución de una consulta

o   La capacidad para resolver problemas directamente sin soporte externo

o   Menos transferencia de problemas a otras personas y resolución con menores niveles de personal

•    Reducción del tiempo de la transición y duración del soporte post-implementación

GESTIÓN DE CAMBIOS

La Gestión de cambios tiene razones proactivas y reactivas. Ejemplos de cambios proactivos,  son por ejemplo, reducir los costes, mejorar los servicios o elevar la eficacia del soporte. Como ejemplo de cambio reactivo, tenemos la de dar soluciones a las interrupciones del servicio.

La Gestión de cambios se hace necesario para que la gestión de TI sea más eficiente y eficaz para los intereses del negocio, mitigando la exposición al riesgo, minimizando la severidad del impacto e interrupción y realizar un cambio con éxito en el primer intento.

Definitivamente, la Gestión de cambios, una pieza clave para lograr una Gestión de acuerdo a ITIL, por ello la recomendación es su implementación tan pronto como sea posible. A continuación un resumen de lo que ITIL enmarca sobre la Gestión de Cambios. Si tiene alguna sugerencia o consulta referente al tema, agradeceré me deje su comentario.

Objetivo

El objetivo del proceso de Gestión de Cambios es garantizar que los cambios son registrados, evaluados, autorizados, priorizados, planificados, probados, implementados, documentados y revisados de una manera controlada.

La Gestión de Cambios tiene como propósito asegurar lo siguiente:

1. Utilizar métodos y procedimientos estandarizados.
2. Registrar los cambios en los activos del servicio y en los elementos de configuración en la Base de Datos de la Gestión de Configuración (CMDB).
3. Mitigar los riesgos del negocio.

Ámbito

Un cambio del servicio es la adición, modificación o eliminación de un servicio autorizado, planificado o soportado, y de su documentación asociada.

El ámbito de la Gestión de Cambios cubre cambios en los activos del servicio y en los elementos de configuración, a lo largo de todo el ciclo de vida del servicio.

Cada organización define los cambios que cubre el proceso de la Gestión de Cambios y aquellos que se excluyen. Existen cambios a nivel de organización que no deben formar parte de la Gestión de Cambios, o también cambios menores como la reparación habitual de un equipo menor de cómputo.

Valor para el negocio

La Gestión de Cambios es muy importante para la continuidad del negocio, por tanto es clave para el cumplimiento de las metas de la organización. La Gestión de Cambios añade valor a TI en los siguientes puntos:

1. Priorizar los cambios que requiere el negocio.
2. Cumplir con los tiempos y costos del servicio acordados con el cliente.
3. Reducir la interrupción del servicio, siendo más eficientes en la implementación de los cambios.
4. Realizar un seguimiento de los cambios durante el ciclo de vida del servicio.
5. Reducir el Tempo Medio de Restauración del Servicio, a través de cambios exitosos con cada vez más rápidos.

Proceso de Gestión de Cambios

El proceso de Gestión de Cambios tiene métodos para realizar eficazmente los cambios del servicio. A continuación las actividades generales:

• Planificar y controlar los cambios
• Programación del cambio y de la entrega
• Comunicaciones
• Tomar la decisión del cambio y autoriza el cambio
• Garantizar que existan planes de corrección
• Medida y control
• Informes de gestión
• Entender el impacto del cambio
• Mejora continua

Las actividades típicas son las siguientes:

1. Crear y registrar la RFC
2. Revisar la RFC
3. Analizar y evaluar el cambio
4. Autorizar el cambio
5. Actualizaciones del plan
6. Coordinar la implementación del cambio
7. Revisar y cerrar el cambio
   

Indicadores clave de rendimiento (KPI)

ITIL recomienda algunos indicadores clave de rendimiento:

• Número de cambios implementados que cumplen las especificaciones del cliente.
• Reducción de cambios sin la debida autorización.
• Reducción de acumulación de peticiones de cambio.
• Reducción de soluciones de emergencia.
• Reducción de cambios sin planificación.
• Reducción de cambios fallidos.
• Reducción de incidencias derivadas de cambios.

Funciones del Rol Gerente de Cambios

1. Recibir, registrar y asignar las solicitudes de cambio (RFC).
2. Convocar el CAB o ECAB.
3. Presidir las reuniones de CAB o ECAB.
4. Administrar las fechas/calendario de los cambios.
5. Actualizar los registros derivados de los cambios.
6. Cerrar las solicitudes de cambios.
7. Revisar y reasignar cambios pendientes.
8. Dar conformidad a cambios implementados.
9. Generar reportes de gestión.

Comité de Cambios (CAB)

El CAB es un organismo formado para evaluar e intervenir en la aprobación de los cambios. El CAB es convocado por el Gerente de Cambios y sus miembros se eligen teniendo en cuenta de cubrir el punto técnico y del negocio.

Un CAB puede ser integrado por Clientes, Representante de un área determinada o de un grupo de usuarios, Consultores especialistas, Representantes de un proveedor, Gerente de Problemas, Gerente de Nivele de Servicio.

Comité de Cambios de Emergencia (ECAB)

Un ECAB es la reunión del CAB o parte de él, para revisar y aprobar cambios de emergencia. Son cambios que por su gravedad y urgencia no pueden esperar a ser programados y revisados detalladamente. Es importante que los cambios de emergencia sean el menor número posible, ya que estos tienen riesgos más elevados de fallar y tener consecuencias, incluso más altas que el incidente original.

GESTIÓN DEL NIVEL DE SERVICIO

Para una adecuada gestión de TI es necesario que el responsable de TI y un representante de la organización, tomen acuerdos con respecto a los servicios que brinda TI. La Gestión de Nivel de Servicio, incluye la negociación, acuerdos y planteamiento de los objetivos entre el encargado de TI y el representante de la organización. Los objetivos para cada servicio, deberán garantizar el tiempo y calidad de respuesta que requiere el negocio, así como, estar alineados a los objetivos del negocio, de tal manera que asegure que TI aporta el valor esperado.

A continuación un resumen de lo que ITIL nos indica sobre la Gestión de Nivel de Servicio.

Objetivo y Valor para el negocio

La Gestión de Nivel de Servicio tiene por objetivo garantizar que se realice los servicios, actuales y futuros, de TI con los niveles acordados.

Cuando los servicios de TI se encuentran debidamente documentados, con las especificaciones de cada uno de ellos, éstos se hacen fácil medirse y por tanto ser monitoreados y mejorados en el tiempo.

La Gestión de Nivel de Servicio genera un valor muy importante para la organización, ya que los acuerdos y métricas que se generan del servicio, proporcionan la información necesaria para retroalimentarse y mejorar los servicios de TI.

Actividades de la Gestión de Nivel de Servicio

Las actividades dentro del proceso de Nivel de Servicio deben incluir:

• Determinar, negociar, documentar y acordar los requerimientos para los servicios nuevos o modificados en los SLR (Requisito de Nivel de Servicio), administrarlos y revisarlos a través del Ciclo de Vida del Servicio en los SLA (Acuerdo de Nivel de Servicio).
• Monitorear y medir la eficiencia de los servicios con respecto a los objetivos de los SLAs.
• Revisar, medir y mejorar la satisfacción del cliente.
• Generar los informes de los servicios.
• Controlar y supervisar las mejoras de los servicios, mediante un Plan de Mejora del Servicio (SIP).
• Revisar en forma continua los SLAs y OLAs.
• Documentar y mantener los contratos y las relaciones con el negocio, los clientes y accionistas.
• Documentar, mantener y operar procedimientos para registrar y resolver las no conformidades. Así mismo, registrar y distribuir las conformidades.
• Generar y mantener plantillas y estándares de documentos actualizados con respecto a la gestión.

Diseño e implementación de los SLA

Mediante el Catálogo de Servicios, la Gestión de Nivel de Servicio debe diseñar los SLAs más apropiados que incluyan los servicios y clientes, que mejor se adecuen a las necesidades de la organización. Puede optarse por alguna de las siguientes opciones:

·      SLA basado en el servicio

Contempla un servicio para todos los clientes de ese servicio. Por ejemplo, diseñar un SLA para el servicio de correo electrónico de una organización, incluyendo a todos los clientes, y sea que estos se conecten de diferentes lugares y a través de diferentes medios. Para mejorar la eficacia del servicio, también puede utilizarse clases de servicio, por ejemplo, oro, plata y bronce.

·      SLA basado en el cliente

Se incluyen todos los servicios a acordar con un grupo de clientes individuales. Por ejemplo, se puede realizar un acuerdo con un área determinada, donde se incluyan todos los sistemas de información que tiene esta área.

·      SLA multinivel

Es un diseño en capas que reduce las actualizaciones frecuentes. Una estructura de tres capas, como ejemplo, es la siguiente:

-     Nivel corporativo: Cubre los aspectos genéricos del acuerdo para los clientes de toda la organización. Estos aspectos deben ser poco volátiles y así no requerir actualizaciones frecuentes.

-     Nivel cliente: Cubre los aspectos del acuerdo para un grupo particular de clientes, sin importar el servicio que se utiliza.

-     Nivel Servicio: Cubre los aspectos del acuerdo para un servicio específico con un grupo de clientes también específico.

Entradas del Proceso de Gestión del Nivel de Servicio

Para el proceso se tienen varias fuentes de información, siendo las siguientes:

• Estrategia y planeamiento de la empresa.
• Requisitos de negocio.
• Portafolio y Catálogo de Servicios.
• Información generada de la Gestión de Cambios.
• Conformidades y no conformidades de los clientes.

Salidas del Proceso de Gestión del Nivel de Servicio

Las salidas que debe contener la gestión de nivel de servicio son las siguientes:

• Informes del servicio
• Plan de mejora del servicio.
• Plantillas para SLAs, SLRs y OLAs.
• SLAs, SLRs y OLAs.

KPIs

La Gestión de Nivel de Servicio tiene múltiples KPIs, a continuación algunos de ellos:

• Porcentaje de reducción de los objetivos incumplidos de los SLA.
• Porcentaje de reducción de incumplimientos del SLA debido a Acuerdos de Nivel Operativo (OLA) internos.
• Porcentaje de reducción de incumplimientos de SLA debido a contratos de soporte de terceros.
• Porcentaje de incremento de SLA acordados con respecto a servicios operativos que se están aplicando.
• Incremento del porcentaje de servicios cubierto por SLA.
• Reducción del número y severidad de los incumplimientos de los SLA.

Funciones del Rol Gerente de Nivel de Servicio

• Conocer las necesidades del negocio y de sus clientes.
• Negociar con clientes y proveedores los SLA, OLA, y UC.
• Monitorear la calidad del servicio respecto a lo establecido en los SLA.
• Identificar y documentar los requerimientos adicionales a los servicios actuales y nuevos.
• Realizar y mantener la relación y la comunicación de los proveedores, clientes y usuarios.
• Mantener informado al Director y Organización de TI sobre los resultados del proceso.
• Dar mantenimiento a la información de los otros procesos de TI que interactúa el proceso de Gestión de Nivel de Servicio.