Búsqueda


28 de enero de 2007

Qué nos da ITIL

Para entender un poco mejor qué puede obtener un departamento de Informática al implementar o asimilar parte de los contenidos de ITIL lo mejor es ponernos por un momento en situación: si pensamos en las actividades que se llevan a cabo dentro de una organización de este tipo, por una parte tenemos el tradicional área de desarrollo, donde expertos de todo tipo pasan sus horas creando nuevas aplicaciones o modificando las que ya existen. Por otra parte, solemos encontrarnos con un área de sistemas, que se encarga de asegurar que las máquinas e infraestructuras de comunicaciones sobre las que corren estas aplicaciones funcionan correctamente y un área de explotación, producción u operaciones que se encarga de asegurar que las aplicaciones corren bien sobre las infraestructuras y que todo está en su sitio. Por último, solemos encontrarnos con un área de soporte que se encarga de recibir las peticiones/dudas/incidencias de los usuarios y trata de resolverlas, contando (a veces) con el apoyo de las otras áreas.

Bueno, pues ITIL lo que trata de de poner todo esto en orden y de recomendarnos aquellas prácticas recomendadas para que todas las piezas engranen bien. Para empezar, aparecen dos planteamientos fundamentales: orientación a procesos y orientación a cliente.

Orientación a Procesos

En este aspecto, los libros centrales de Soporte y Provisión de Servicios plantean un modelo de procesos compuesto por 10 procesos centrales que se encargan de realizar todas las actividades relativas al soporte de los servicios (en un planteamiento muy operativo y orientado al día a día) y a la provisión de los servicios (en un planteamiento un poco más táctico y con visión de futuro).

Este modelo establece los siguientes procesos:

  • Gestión de la Configuración: Un proceso cuyo objetivo es mantener un estricto control sobre el inventario, elementos que lo componen y sus relaciones entre ellos con el fin de proporcionar información sobre la infraestructura (tanto física como lógica) que soporta los servicios TIC a todos los demás procesos del modelo.
  • Gestión de la Incidencia: Un proceso cuyo objetivo es atender las incidencias reportadas (tanto por usuarios como por herramientas de monitorización) y resolverlas en el menor plazo posible.
  • Gestión del Problema: Con el objetivo de investigar las causas raíces que se esconden detrás de las incidencias, trata de identificar la causa raíz, proponer soluciones temporales, proponer soluciones definitivas y evaluar los resultados de la aplicación de estas soluciones.
  • Gestión del Cambio: Trata de utilizar medios y procedimientos estandarizados en la realización de cambios en la infraestructura que proporciona los servicios, de tal forma que se minimice el riesgo y el impacto en clientes y usuarios. En definitiva, trata de que los cambios se hagan con mucho cuidado.
  • Gestión de la Entrega: Se encarga de asegurar mecanismos estandarizados en el despliegue de los cambios sobre la infraestructura real y tiene mucha relación con la capacidad de la organización de homologar entornos.
  • Gestión Financiera: Es el proceso responsable de asegurar tres aspectos financieros en la provisión de servicios TIC: contabilidad de costes, realización de presupuestos y establecimiento de políticas de facturación por los servicios.
  • Gestión de la Capacidad:  Tiene como responsabilidad el asegurar que los servicios TIC se proporcionan a los usuarios bajo unos parámetros de capacidad adecuados en el momento adecuado, mediante la monitorización y ajuste tanto de los componentes como de los servicios "extremo a extremo".
  • Gestión de la Disponibilidad: Muy ligado a la gestión de la Capacidad, se encarga de asegurar que los requerimientos de disponibilidad de los servicios TIC se cumplen y que los servicios se diseñan en términos de disponiblidad.
  • Gestión de la Continuidad: Un proceso que se encarga de asegurar que existan los planes de contingencia para los servicios TIC y que éstos se pueden ejecutar de forma adecuada llegado el caso en que sea necesario.
  • Gestión del Nivel de Servicio:  Es el proceso que se encarga de detectar las necesidades del cliente en cuanto a los servicios TIC que deben ser proporcionados y los diferentes grados de calidad y cantidad en los que deben ser proporcionados. Se encarga de la realización, seguimiento y revisión de los ANS.

Orientación a Clientes

Bajo este punto de vista, ITIL nos proporciona dos instrumentos de vital importancia: por una parte está la recomendación del diseño e implantación de un ServiceDesk (o Punto Único de Contacto) donde los usuarios pueden llamar para solicitar cualquier actividad por parte del departamento de Informática. Aquí no sólo se puede registrar incidencias, sino también solicitar documentación, pedir cambios en la infraestructura, plantear una queja o una mejora, etc..

El otro instrumento clave es el proceso de Gestión de Nivel de Servicio, profundamente orientado a establecer las relaciones con los clientes y que debe gestionar sus expectativas, de tal forma que se definan claramente los objetivos que debe plantearse la organización TI para stisfacer mejor las necesidades de sus clientes.

Conclusiones

En los libros de ITIL encontraremos todo el conjunto de recomendaciones, donde se nos dice el cómo organizar, de tal forma que obtenemos una guía amplia y detallada de las prácticas recomendadas. También encontraremos, como parte del modelo orientado a procesos, las actividades más importantes de los procesos, roles y responsabilidades y relaciones entre los diferentes procesos.

Así, lo que obtenemos es un paquete de recomendaciones ligadas a la organización del departamento de IT que no tienen nada que ver con la tecnología (por eso estamos utilizando recomendaciones que empezaron en los 80 y aún son válidas) que nos plantean un departamento organizado por procesos y orientado al cliente.

Recomendaciones

Por último, si has llegado hasta este punto del post es que no te ha parecido demasiado simple, te ha interesado y posiblemente quieras saber más. Si es así, te recomiendo que comiences tu estudio asegurándote bien de tener claros los conceptos siguientes:

  • Proceso
  • Organización por procesos
  • Servicio TIC
  • Servicio Profesional
  • La diferencia entre los dos anteriores
  • Cliente
  • Usuario
  • La diferencia entre los dos anteriores

5 minutos por el planeta

Leo en Calentamiento Global una convocatoria a la que me suscribo y, desde aqui, trato de conseguir que tenga la máxima difusión posible.

Se trata de realizar una parada en el consumo de energía el próximo 1 de Febrero, de 19:55 a 20:00 (horario Español) para hacer notar la necesidad a las autoridades de cara a las próximas elecciones.

Por nuestro futuro, por nuestros hijos, por el planeta: ¡PARO!

¿Qué es ITIL?

Aprovechando esos vacíos de inspiración que no me ofrecen ideas acerca de las que escribir, o las que me ofrecen son de aquellas en las que "me ata un juramento" y por lo tanto no puedo hablar sobre ellas hasta que no se hagan más oficiales, me ha dado por pensar en mi principal lectora: mi madre.

Es lectora fiel y tenaz que desde hace poco menos de un año (la vida que tiene este blog) trata de entender a qué está dedicado este rinconcito de la red y sueña con que, de tanto y tanto leer, al final acabe recibiendo su inyección de comprensión aunque sólo sea por ósmosis.

No sería la primera persona que me dice que los temas tratados en este blog son demasiado densos o quizás que no da cabida a los lectores que se inician en este mundillo.

Es cierto, lo reconozco y por esta razón me dejaré ir de vez en cuando con algún que otro artículo de iniciación; y este es el primero de ellos.

En la gran mayoría de los artículos escritos hasta el momento en este blog se nombra algo llamado ITIL .

¿Y eso qué es?

Bueno, para poder responder a esta pregunta nos tendríamos que remontar allá a finales de los 80, cuando el gobierno británico se planteó la necesidad de externalizar algunas de las áreas de informática de algunas de las organizaciones gubernamentales. De repente se dieron cuenta de que no había nada que permitiera expresar claramente qué era lo que querían externalizar (no las horas/hombre, las máquinas, el soporte... querían externalizar el servicio) y cómo querían que se organizara esa provisión de servicios y la relación entre los proveedores, los responsables del gobierno y los usuarios de los servicios.

Así que comenzaron a desarrollar una serie de recomendaciones al respecto de cómo se debía organizar un área de informática alrededor del concepto de Servicio TIC y enfocada a la provisión de estos servicios TIC al usuario final.

Y así nació un conjunto de libros con prácticas recomendadas (que en ese subidón de egolatría que les dió llamaron Best Practices como si aquello fueran las mejores prácticas del mundo mundial) que se llamó la Biblioteca de Infraestructuras de las Tecnologías de la Información.

Esta biblioteca ha ido evolucionando y mejorando con el paso del tiempo. Poco a poco ha ido ganando seguidores y se ha ido consolidando su uso en organizaciones de todo tipo y tamaño, de forma que hoy es aceptada por la práctica totalidad de la comunidad como el estándar de facto en la gestión de servicios TIC.

A principios de la priméra década del 2000 se comenzó la publicación de la segunda versión de la biblioteca, que consolidó su posicionamiento en el área de la explotación y mantenimiento de los servicios ya implantados, con un núcleo muy fuerte en las actividades orientadas al ITSM en los libros Service Support y Service Delivery que son los que en general todo el mundo tiene en mente cuando habla de ITIL.

En estos dos libros se plantea un modelo de procesos que tiene que dar lugar a una provisión y soporte de servicios TIC ordenada y alineada con las necesidades del negocio, de tal forma que el área de Informática centre su atención y sus esfuerzos en aquello que realmente es importante para la organización.

En estos momentos se está llevando a acabo un proyecto de Refresco  de los contenidos de ITIL, de tal forma que se espera que durante el año 2007 se comience la publicación de la tercera versión de ITIL, que nos llevará a un concepto más amplio en la organización de los servicios TIC, ya que además del "mantenimiento de servicios que ya están en marcha", tiene libros enfocados a la estrategia, al diseño y construcción, transición y mejora contínua de los servicios provisionados.

En la actualidad ha conseguido extenderse como estándard de facto y no sólo de facto, ya que la norma ISO 20.000 está directamente basada en el modelo de procesos definido en el núcleo de ITIL y existen mecanismos que permiten certificar no sólo el conocimiento de las personas, sino el cumplimiento y adecuación al modelo por parte de las organizaciones.

Postdata: Lo malo que tienen estos artículos de iniciación es que uno no sabe dónde parar! ¿Que hago? Sigo explicando ahora proceso por proceso, o lo dejamos por aqui? :-)

23 de enero de 2007

La cáscara de plátano

El post de hoy viene provocado por una frase de estas que se convierten en "citas citables" que dijo un alumno en uno de los cursos que llevo dando este mes. La frase en cuestión vino a ser algo así como

Una cáscara de plátano tirada en el suelo,

es un problema

Me gustó, le pedí permiso, y me la "cedió" con fines educativos y pasará a formar parte del conocimiento colectivo.

Efectivamente, una cáscara de plátano tirada en la acera, es un problema. Si de repente te pegas el batacazo, se habrá producido una incidencia (que quedará cerrada cuando te puedas recuperar del tortazo que te has dado), y cuando se hayan caido 10 personas alguien (el Gestor de Problemas) se preguntará por qué se cae tanta gente en esa acera y será una investigación de problemas reactiva porque estás investigando la causa de incidencias que ya se están produciendo.

Sin embargo, si por cualquier otra vía llegas a saber que hay una cáscara de plátano tirada en la acera (por ejemplo, porque realizas inspecciones oculares periódicas de la acera), entonces habrás dado con el problema de forma proactiva, ya que aún no se ha caido nadie.

Una vez que sabes que hay un problema, puedes poner un cartel al principio de la calle que diga "peligro: cáscara de plátano tirada en la acera, ¡No la pise!" y si no la pisas habrás aplicado un Workarround o "solución temporal", y esto lo harás mientras piensas cuál es la solución técnica más adecuada para retirar la cáscara de plátano de la acera. Ahora lo que tienes es un error conocido, o problema para el cual tienes documentada una solución temporal.

Le pasas a la Gestión de Cambios la RFC (Request for Change) indicando que habría que retirar la cáscara de plátano de la acera, y el CAB (Change Advisory Board) realiza el análisis de riesgo e impacto, pensando qué ocurrirá si retiramos la cáscara de plátano, cómo afectará eso al hormiguero que se alimenta de ella y si retirarla proporciona un ROI decente o no... cuando se aprueba el Cambio, llegará un equipo de limpieza a la acera que retirará la cáscara, limpiará la acera y la abrillantará para dejarla impecable y por último documentará el estado final de la acera, indicando detalladamente el nuevo destino de la cáscara de plátano en el contenedor de basura biodegradable (de esto último se encargará la Gestión de Configuraciones).

Ahora hemos resuelto el problema, y la gente no se caerá de nuevo en la acera por resbalones por culpa de una cáscara de plátano. Problema Cerrado.

El próximo que pase por la acera se resbalará porque la abrillantaron tanto que ahora resbala igualmente... problema provocado por el cambio anterior: volvemos a comenzar el ciclo.

Así que ya sabes:

¿te das cuenta de que hay una cáscara de plátano en tus servicios?

¿No la pisas, o además la retiras y la reciclas?

¿Abrillantas la acera?

17 de enero de 2007

COBIT 4.1 en el horno

De entre todas las noticias que trae el segundo número de la revista COBIT Focus, publicado en Diciembre del 2006 por la ISACA y el ITGI , hay uno que es especialmente llamativo, no porque el contenido sea clarificador sino porque es una noticia importante: el ITGI planea presentar la versión 4.1 de COBIT a finales del primer trimestre del 2007, osea de aquí a un par de meses.

La nueva revisión comprende las siguientes mejoras:

  1. Un paquete de correcciones al texto original de la versión 4, corrigiendo algunos errores e incoherencias reportadas por los usuarios.
  2. A nivel de Objetivos de Control detallado, se ha modificado su definición, alineandola más hacia la vertiente de prácticas de gestión.
  3. Mejoras en el conjunto de Objetivos de Control Detallados, agrupando, redefiniendo, eliminando y creando otros. Por ejemplo, los objetivos AI5.4, AI5.5 y AI5.6 se han agrupado en uno único.
  4. Modificaciones substanciales al Objetivo de Control ME3 (Ensure Regulatory Compliance), añadiendo nuevos OC Detallados para recomendar no sólo el cumplimiento de leyes y regulaciones externas a la organización sino también las políticas internas y requerimientos contractuales
  5. Ampliación en la lista de Objetivos de Negocio y Objetivos TI, gracias a un estudio proporcionado por la UAMS.
  6. Revisión del resumen ejecutivo con una mejor explicación del proceso de medición, la aportación del mismo, el concepto de "cascada" de métricas y objetivos de actividad e información ampliada sobre los conceptos de Val IT.

AI5.4 Software Acquisition
Ensure that the organisation’s interests are protected in all acquisition contractual agreements. Include and enforce the rights and obligations of all parties in the contractual terms for the acquisition of software involved in the supply and ongoing use of software. These rights and obligations may include ownership and licensing of intellectual property, maintenance, warranties, arbitration procedures, upgrade terms, and fitness for purpose including security, escrow and access rights.


AI5.5 Acquisition of Development Resources
Ensure that the organisation’s interests are protected in all acquisition contractual agreements. Include and enforce the rights and obligations of all parties in the contractual terms for the acquisition of development resources. These rights and obligations may include ownership and licensing of intellectual property, fitness for purpose including development methodologies, languages, testing, quality management processes including required performance criteria, performance review, basis for payment, warranties, arbitration procedures, human resource management and compliance with the organisation’s policies.


AI5.6 Acquisition of Infrastructure, Facilities and Related Services
Include and enforce the rights and obligations of all parties in the contractual terms, including acceptance criteria, for the acquisition of infrastructure, facilities and related services. These rights and obligations may include service levels, maintenance procedures, access controls, security, performance review, basis for payment and arbitration procedures.

Otra parte importante de la noticia es que se hará coincidir esta nueva publicación con la publicación de algunos títulos complementarios en el mundo COBIT que se estaban echando de menos:

  • COBIT® Control Practices: Guidance to Achieve Control
    Objectives for Successful IT Governance, 2nd Edition
  • IT Governance Implementation Guide: Using COBIT® and Val
    IT™, 2nd Edition.
  • COBIT® Security Baseline 2nd Edition
  • COBIT® Quickstart, 2nd Edition
  • IT Assurance Guide: Using COBIT®.

Esta última publicación promete ser interesante y necesaria, ya que está orientada a remplazar el libro COBIT® Audit Guidelines, que no se ha revisado desde COBIT 3 y que necesita un repaso desde hace tiempo.

Habrá que permanecer atentos, porque además de este atractivo paquete de nuevas nuevas, se está cocinando en el horno de la ISACA un variado surtido de títulos dentro de la serie de herramientas de mapeo de COBIT con otros estándares:

  • COBIT® Mapping: Mapping PRINCE2 With COBIT® 4.0
  • COBIT® Mapping: Mapping ITIL With COBIT® 4.0
  • COBIT® Mapping: Mapping ISO/IEC 17799:2005 With COBIT® 4.0
  • COBIT® Mapping: Mapping TOGAF With COBIT® 4.0

que sumados a los que se presentaron ya en el 2006,

  • COBIT® Mapping: Mapping SEI’s CMM for Software With COBIT® 4.0
  • COBIT® Mapping: Mapping PMBOK® With COBIT® 4.0

le dan a COBIT una presencia más que considerable en el mundo de los estándares.

¿Te Gusta Leer?

12 de enero de 2007

La importancia de las palabras

Durante las próximas semanas voy a hacer una especie de maratón formativa que me va a dejar seco: voy a impartir la friolera de 5 cursos de temas diferentes a personas diferentes y uno de estos cursos tiene como título "Inmersión en Estándares de Gestión TIC", en el que se da una visión de ave rapaz sobre ITIL, COBIT, ISO20.000, CMMI-DEV, CMMI-SVC, ISO27001, SIX SIGMA y, lo más interesante, cómo integrar, mezclar, combinar y aprovechar todo esto para "tunear" las prácticas de ITSM que tengas montada o quieras montar.

Evidentemente, esto es a vista de ave rapaz, y no se puede entrar en mucho detalle, principalmente por dos razones: la primera y más importante, el tiempo. ¿Te imaginas la magnitud que tendría una formación detallada en todas estas áreas?. La segunda razón es el tamaño de nuestras cabezas: tanto conocimiento no cabe "de golpe y sin procesar" en la cabeza de nadie, empezando por la mía.

Pero claro, para poder preparar el curso he tenido que refrescar muchos conocimientos que tenía por ahí guardados y ampliar unos cuantos que no tenía (por ejemplo, CMMI-SVC, que aún no se ha publicado) y a base de pasarme horas estudiando y pensando en qué quería explicar y cómo lo quería hacer, he acabado pensando en que, a priori, parece que las tres grandes encajan bien entre ellas.

ITIL, COBIT e ISO27001 ya se han hecho cuadrar, tanto en el artículo "Combinando Estándares" de este blog como en las publicaciones del itSMF e ISACA que en él se referencian. Pero hay dos nuevos players en la arena: CMMI-SVC e ISO 20.000

El título de este artículo viene precisamente del gran peligro que puede suponer la lectura en diagonal de tanto estándard sin pararnos a mirar aquella parte de los manuales que todos nos saltamos cuando ya sabemos un poco: el glosario

Si nos dicen que CMMI-SVC está orientado a proporcionar una guía hacia el modelo de madurez en la provisión de servicios y que entre otras, las áreas de proceso que incluirá son la gestión de la capacidad o la gestión de problemas, pensaremos de forma inmediata que ya tenemos (al fin!) un modelo de madurez serio para ITIL, ¿no?

Hasta aquí, es lo más normal del mundo. El problema viene cuando de repente piensas "pero... ¿se están refiriendo a lo mismo? ¿TODOS se refieren a lo mismo?"

La clave de todo es el servicio: ITSM, ITIL, ISO20.000 y CMMI-SVC están orientadas todas a servicios IT, por lo que si no nos miramos el glosario, están todas orientadas a la idea que tenga el lector de lo que es un servicio IT. Esta forma de verlo era válida hasta hace poco, en que no había certificación; pero a la que aparece un "sello" que te certifica en ISO20.000 o en CMMI nivel 3, es obligatorio que el concepto certificado sea exactamente el mismo, o las certificaciones no tendrían valor.

Así que me fui directo al glosario:

Service Support: ARG! No tiene definición de servicios en el glosario!

Service Delivery: One or more IT systems which enable a business process.

Planning to Implement: One or more IT systems that enable a business process.

COBIT 4: ARG! Tampoco tiene definición

A estas alturas ya estaba preocupado. De todas formas, por ahora no había entrado en los "cuerpos certificadores", así que las interpretaciones podían ser todo lo libres que uno quisiera (se acuerdan de aquello del "Estilo Campechano"? ).

El siguiente paso fue buscar en las áreas de certificación:

BS15000: ARG! No define el término service ni IT Service

ISO 20.000:1 o 20.000:2 ARG!!!! Tampoco define los términos.

Versión Española de la ISO 20.000 ¡¡Tampoco!!

CMMI-SVC: En las FAQS aparece algo...

The CMMI for Services team defines a service as a product whose primary value is delivered to a customer or end user in a form that is intangible, non-storable, and dependent on the direct application of labor.

Yo diría que la aproximación a servicio que está dando CMMI se parece bien poco a la que está dando ITIL en el glosario, ¿No?

Es más, el típico servicio (ITIL) que todo el mundo usa siempre en cada uno de los discursos es el correo electrónico, y eso, si bien podríamos decir que es intangible y quizás no almacenable (ja!) lo que seguro que no es es dependiente de la aplicación directa del trabajo, ¿No?

Es decir, mientras que ITIL habla de un servicio como una agrupación de hardware, software, comunicaciones, etc.., CMMI habla de servicio como lo que normalmente entendemos como "Servicios Profesionales": mantenimiento de equipos, gestión de la red, formación, etc.

¿Serán mapeables estos dos estándares?

Seguramente los harán mapear, porque hay el esfuerzo de mucha gente en juego. Pero gestionar, medir, evaluar y administrar un servicio tecnológico no tiene nada que ver con hacerlo con un servicio profesional.

¿Y las ISO ?

Esa es mi gran duda. Me parece haber leido en algún sitio que las ISO20000 están orientadas a Servicios TI y eso significa (al menos bajo mi punto de vista) un servicio al estilo ITIL.

Ahora bien... hago dos promesas formales:

  1. Leeré los glosarios de todo standard nuevo que caiga en mis manos.
  2. Prometo tener más cuidado a la hora de definir los servicios en un Catálogo de Servicios. 

Con respecto a este último punto, prometo escribir algún día un post: los servicios al estilo CMMI, los servicios profesionales, deben ir en la Carta de Servicios (documento para el cliente).   

10 de enero de 2007

Los premios 20Blogs

Cada año, el periódico 20 Minutos convoca los premios 20Blogs en los que los lectores dan sus votos a los mejores blogs del año en 20 categorías diferentes y posteriormente el jurado seleccionará a los mejores en cada categoría.

Me he dejado tentar, y he inscrito Gobierno de las TIC en el concurso, en la categoría de mejor blog de Tecnología, ya que no había una categoría que le encajara más a la temática del blog.

Si te gusta lo que lees, si crees que vale la pena, o simplemente si quieres darme unos pocos ánimos para seguir escribiendo, ¡márcate un votito!

:-) GRACIAS

PS: La dirección para votar es esta:

http://www.20minutos.es/premios_20_blogs/busqueda/gobierno+de+las+tic/

Actualización 10-Enero

Hoy me he enterado de que para poder votar hay que tener un blog inscrito en el concurso, así que los que votan son los bloggers y no sus lectores.

Así que si no tienes un blog inscrito, te puedes ahorrar el trámite... :-(

Actualización 11-Enero

Desde luego, el concurso para mi ya tiene ganadora y es "Mi vecina Martier". Lo recomiendo especialmente por originalidad, diseño, contenidos, de todo vamos! ¡Qué Nivel!



Actualización 13-Enero


La vecina Martier se lo sigue currando para pedir el voto... se lo merece!!





4 de enero de 2007

Podrá Windows hacer esto?

Perdón por el off-topic. Un amigo me ha pasado hoy esta demostración de cómo se puede ser un "bacileta" con los entornos de ventanas de Linux, y realmente me ha dejado con la boca abierta.

¿Podrá mi PC con Windows XP hacer esto algún día?

¿Sirve para algo que mi PC lo haga?