Implementación de una CMDB Open Source Basada en IT€¦ · Resumen: Las empresas que utilizan...

Universidad Técnica Federico Santa María

Departamento de Informática

Magíster en Tecnologías de la Información

Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 1

Implementación de una CMDB Open Source Basada en ITIL para Mejorar la Gestión de la Configuración de Servicios TI

Cristian Ulloa Fuentes

[email protected]

Resumen: Las empresas que utilizan tecnologías de la información para la entrega de sus servicios, presentan problemas en el cómo abordar de forma viable y eficiente la gestión de la configuración, de los sistemas informáticos y la gestión del cambio, inherente de la evolución, mejora continua de los servicios, regulaciones contractuales y legales. El trabajo desarrollado, aborda desde una perspectiva aplicada, el uso de las buenas prácticas de ITIL v3 referentes a la gestión de la configuración y gestión del cambio, en conjunto con el análisis de las distintas opciones de software libre existentes hoy en día, para implementar una base de datos para la gestión de la configuración (CMDB por sus siglas en inglés). En este trabajo, usando como caso de estudio una empresa procesadora de tarjetas de crédito para el sector bancario y financiero, se postula que una solución de este tipo mejorará la capacidad de gestión, al reducir los tiempos asociados a los procesos de gestión de la configuración y gestión de cambios. En cuanto a los resultados la empresa se benefició logrando la reducción de los tiempos de gestión y aprobación de cambios y la cantidad de incidentes relacionados, además de lograr una serie de beneficios adicionales, tales como: mejoras en la capacidad de gestión, cumplimiento de requerimientos y control sobre la configuración, entre otros.

Palabras Clave: ITIL, Gestión de Configuración, Gestión de Cambio, CMDB.

1 Introducción

Las empresas cada día incorporan más tecnologías de la información dentro de sus servicios, existiendo un ecosistema de infraestructura (servidores, comunicaciones, software, etc.) junto a los procesos de negocios, que en su conjunto componen el servicio; la complejidad inherente de los sistemas, presenta desafíos a la hora de implementar, configurar y mantener los distintos componentes, de una forma eficiente por parte de las áreas de TI en las compañías.

1.1 Descripción general del problema

Esta tesina, está vinculada a una empresa de tecnología chilena, creada a partir de capitales privados el año 2005, con 11 años de presencia en el mercado, con la misión de entregar servicios de procesamiento de tarjetas de crédito y otros procesamientos de datos a comercios, retail en general, bancos e instituciones financieras; respondiendo a la creciente necesidad de la industria de incorporar plataformas tecnológicas que entreguen ventajas competitivas, sin perder el foco de su negocio, con clientes a nivel nacional, entregando servicios de alta calidad, con un fuerte enfoque en la mejora continua de sus procesos. Los directivos de la empresa, el año 2008, dentro de sus estrategias, deciden enfocarse en entregar servicios de calidad y de clase mundial, para ello la compañía se somete a la certificación bajo las normas ISO 9001:2008[6] y NCh 2909:2004[7], definiendo, estructurando y documentando sus procesos operacionales, aplicando un Sistema de Gestión de la Calidad Integrado (SGCI) de forma transversal en toda la compañía (el cual hasta el día de hoy se encuentra en vigencia) que permite mejorar continuamente los procesos, con el objetivo de proporcionar a los potenciales y actuales clientes, productos y servicios de excelencia; considerando la calidad, como una actividad prioritaria dentro de la organización, entendiéndose como el aseguramiento de la satisfacción de las necesidades del cliente en todo momento y la entrega de un producto de óptima calidad. Los requerimientos contractuales que adicionalmente establecen los clientes, enfocados a la confidencialidad, disponibilidad e integridad de la información (a partir de requerimientos de continuidad del negocio y la recuperación ante desastres), plantea desafíos a la organización, que deben ser abordados para no perder ventajas competitivas. Adicionalmente, existen normas legales que deben cumplirse (circular N°40 de la SBIF




2 Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado

[3]) los cuales definen requerimientos para la seguridad de la información y continuidad operacional, que deben ser resueltos por las compañías del sector; dentro del alcance están los requerimientos de contar con procesos para la gestión de la configuración de sus servicios. El problema que enfrenta este trabajo, consiste en cómo abordar de forma viable y eficiente la gestión de la configuración de los distintos sistemas, dado que no existe claridad en la relación entre los sistemas y los servicios; tampoco en la relación de los componentes y los impactos que podría provocar el cambio en uno de éstos. La documentación de los sistemas es deficiente, siendo lenta la gestión, implicando tiempos y esfuerzos para mantenerla actualizada, la empresa es auditada de forma interna y externa, las cuales consideran aspectos de gestión de servicios TI, siendo hoy difícil entregar evidencias respecto de la gestión de la configuración y los cambios realizados a la plataforma de servicios. En la gestión de incidentes y problemas, se desconocen los cambios que se han realizado sobre los componentes, lo cual dificulta la resolución en tiempo y forma. Para abordar el problema, actualmente están las alternativas de: 1. La aplicación de las buenas prácticas que establece ITIL v3[1] 2. Afrontarlo desde un punto de vista puramente normativo, aplicando el conjunto de requerimientos ISO/IEC

27001[8] de seguridad de la información o ISO/IEC 22301[11] orientadas a la continuidad del negocio, 3. La aplicación del framework COBIT 5[4] como herramienta de gobierno y gestión TI. La contribución más importante que se pretende lograr es, facilitar la introducción y puesta en marcha de la gestión de la configuración en las organizaciones, aterrizando los conceptos asociados para apoyar su comprensión y aplicación de forma correcta. Si bien existen publicaciones que realizan la introducción a la gestión de la configuración, no lo realizan aplicando herramientas de software libre; el presente trabajo se diferencia, por establecer una definición base para la gestión de la configuración, apoyándose en la implementación de herramientas de software de código abierto, demostrando que existen alternativas a productos de software comerciales para resolver de igual forma las necesidades de gestión de la configuración. El trabajo realizado profundiza principalmente en el área de la gestión TI, el estudio del conjunto de buenas prácticas de ITIL, y la revisión de las normas ISO/IEC 20000, 22301, la normativa legal establecida por la SBIF [3] referente a la emisión y procesamiento de tarjetas de crédito.

1.2 Definición del trabajo

La estrategia de solución, consta de una definición de los requerimientos necesarios para la implementación de una CMDB (Configuration Management Database), la validación de la definición y establecimiento de métricas de control, aplicación práctica dentro de la organización y análisis de los resultados (correcciones y/o mejoras basadas en el ciclo PDCA de Deming de mejora continua).

Hipótesis: La implementación de una CMDB con software libre, basada en ITIL y la aplicación de buenas prácticas que esta propone, mejorará la capacidad de gestión reduciendo los tiempos asociados a los procesos de gestión de la configuración y gestión de cambios.

La metodología para validar la hipótesis: Se compararán los tiempos de gestión actual v/s los de gestión post implementación de la solución. Considerará la obtención de indicadores previos a la aplicación práctica del trabajo los cuales son: cantidad de incidentes producidos y tiempo de aprobación de los cambios y los tiempos utilizados para la gestión de la configuración; que permitan establecer una comparación a partir de un antes y un después de la ejecución, a fin de validar los resultados, considerando además encuestas de percepción a los miembros de la organización en todos los niveles jerárquicos. Los aportes más relevantes de este trabajo, están dados por el establecimiento de una forma práctica de implementar una CMDB a partir del uso de software Open Source, facilitar la comprensión de los conceptos asociados a la gestión de la configuración basada en ITIL, para que sean aplicados de forma correcta. Además, estableciendo una lógica y un cronograma de implementación de los requerimientos, a partir de las necesidades del negocio, se facilitará el control, la administración y la documentación de la configuración, reduciendo los costos operativos.





Finalmente, se puede decir que el trabajo genera beneficios como:

● Mejorar la continuidad operacional de los servicios. ● Conocer el impacto de los cambios sobre la configuración de un servicio. ● Confianza de clientes y socios estratégicos por la garantía de calidad y gestión sobre los servicios. ● Mejoras en la imagen de la empresa y elemento diferenciador de la competencia.

1.3 Organización del informe

El documento se encuentra estructurado de la siguiente forma. En el capítulo 2, se define el marco teórico y estado del arte que sustenta la base teórica necesaria para abordar el problema. En el capítulo 3, se detalla la especificación del problema, la hipótesis de solución, revisando la situación actual y un diagnóstico de estado. En el capítulo 4, se aborda la implementación de la CMDB, considerando las alternativas de software open source existentes, definiendo los alcances y límites de la implementación. En el capítulo 5, se aplican los procesos ITIL bajo alcance, definiendo y especificando la metodología de análisis de riesgos e impactos en la configuración. Analizando los resultados obtenidos y las verificaciones realizadas post implementación para validar la hipótesis planteada. Finalmente en el capítulo 6, se describen las conclusiones obtenidas.

2. Marco Teórico y Estado del Arte

A continuación se presenta la investigación realizada respecto de buenas prácticas, estándares y trabajos relacionados con el problema a resolver, que serán base para el desarrollo de la solución.

2.1 ITIL (Information Technology Infrastructure Lib rary o Biblioteca de Infraestructura de Tecnologías de la Información)

ITIL [1] es un compendio de publicaciones, o biblioteca, que describen de manera sistemática un conjunto de “buenas prácticas” para la gestión de los servicios de Tecnología de la Información (TI). Las organizaciones, cada vez dependen más de las herramientas informáticas, para llevar a cabo su trabajo diario. Este trabajo además está gestionado y controlado, a través de otros sistemas informáticos, pudiendo estar éstos a su vez, dentro de una red controlada por otros sistemas, y así sucesivamente. Por tanto, la complejidad de estos sistemas hizo crecer la demanda y necesidad de las entidades (públicas y privadas) de disponer de un modelo, que les permitiera gestionar su infraestructura TI más fácilmente y que pudieran dar soporte a los objetivos de negocio. ITIL nació en la década de 1980, a través de la Agencia Central de Computación y Telecomunicaciones del Gobierno Británico (Central Computer and Telecommunications Agency - CCTA), que ideó y desarrolló una guía para que las oficinas del sector público británico fueran más eficientes en su trabajo y por tanto se redujeran los costos derivados de los recursos TI. Sin embargo, esta guía demostró ser útil para cualquier organización, pudiendo adaptarse según sus circunstancias y necesidades. De hecho resultó ser tan útil que actualmente ITIL recoge la gestión de los servicios TI como uno de sus apartados, habiéndose ampliado el conjunto de “buenas prácticas” a gestión de la seguridad de la información, gestión de niveles de servicio, perspectiva de negocio, gestión de activos software y gestión de aplicaciones. Estas buenas prácticas provienen de las mejores soluciones posibles que diversos expertos han puesto en marcha en sus organizaciones a la hora de entregar servicios TI, por lo que en ocasiones el modelo puede carecer de coherencia. En la actualidad ITIL pertenece a la Oficina de Comercio Británico (Office of Government Commerce - OGC), pero puede ser utilizado para su aplicación libremente. ITIL no comenzó a ser utilizada de manera común hasta aproximadamente 1990; desde esa fecha el crecimiento de la biblioteca se situó en aproximadamente 30 publicaciones, que hacían de su utilización un proceso complejo. Se hizo necesaria por tanto, una revisión que agrupara los libros, según conjuntos estructurados en los procesos que estuvieran más íntimamente relacionados, enmarcando la gran cantidad de publicaciones existente en ocho volúmenes, denominándose desde entonces como ITIL v2. La última versión vio la luz en 2007, denominada como ITIL v3. En esta versión, se ha realizado una actualización, agrupando los elementos





principales de ITIL [14] en 5 volúmenes, que pueden encontrarse en la actualidad con los siguientes títulos (en inglés original).

1. ITIL v3 Service Strategy (SS) 2. ITIL v3 Service Design (SD) 3. ITIL v3 Service Operation (SO) 4. ITIL v3 Continual Service Improvement (CST) 5. ITIL v3 Service Transition (ST)

Figura 1: Framework ITIL v3, Fuente: Ed Chen PDCA [18].

2.1.1 Transición del servicio

2.1.1.1 Activos del servicio y gestión de la configuración

El objetivo de este proceso es mantener la información acerca de los elementos de configuración (Configuration Items o CI) requeridos para la prestación de un servicio de TI, incluyendo las relaciones entre ellos. El proceso de activos del servicio y gestión de la configuración abarca los siguientes subprocesos: ● Soporte a la gestión de la configuración: Se debe definir y actualizar la estructura del sistema de gestión de

la configuración (Configuration Management System, CMS) de manera que contenga la información relacionada con los elementos de configuración (CI), incluyendo sus atributos y relaciones.

● Verificación y auditoría de configuraciones: Realizar controles periódicos, asegurando que la información contenida en el CMS sea una representación exacta de los elementos de configuración (CI) instalados en el entorno de producción real.

El Sistema de Gestión de la Configuración es un modelo lógico coherente de la infraestructura de la organización de TI, típicamente compuesto de varias Bases de Datos de la Gestión de Configuración (Configuration Management Database, CMDB) que operan como subsistemas físicos. Se usa para almacenar información acerca de los Elementos de Configuración (CI's) controlados por la Gestión de la Configuración. Los CI’s son principalmente equipo o aplicaciones, y se caracterizan por sus atributos (registrados en el Registro de la Configuración de los CI's) y su relación con otros CI's.





Dependiendo del tipo de CI, los atributos típicos de un registro de CI incluyen:

1. Identificador único (ID) 2. Nombre 3. Descripción 4. Propietario del CI / persona a cargo 5. Clasificación

1. Categoría (por ej. Servicio, Equipo, Aplicación, Documento, Personal ...) 2. Tipo (por ej. Servidor, Impresora, ... – particularización de la clasificación

en categorías) 6. Información del manufacturero

1. Nombre del manufacturero 2. Número de serie 3. Número de licencia / referencia al contrato de licencia

7. Versión 8. Historia de modificaciones del Registro de CI

1. Fecha de creación 2. Modificaciones 3. Descripción de la modificación 4. Fecha 5. Persona a cargo

9. Localización 1. Localización física, si aplica 2. Localización lógica, si aplica (por ej. directorio del servidor)

10. Historia del estado (descripción del ciclo de vida de un CI con los datos de su estado, por ejemplo, "A Prueba", "Activo", "Bajo Mantenimiento", "Fuera de operación" ...)

1. Estado y versión actual 2. Historia del estado y versión (cambios históricos al estado del CI o Cambios

planificados para el futuro) 1. Cambio de estado 2. Descripción 3. Hora y fecha del Cambio de estado

11. Relación a Servicios de TI 12. Relación a otros CI’s, por ej:

1. Es un componente de 2. Está asociado con 3. Utiliza 4. Es una característica de 5. Es una versión nueva de 6. Será reemplazado por

13. Relación con otros objetos de datos en la Gestión de Servicios de TI 1. Registros de Incidentes 2. Registros de Problemas 3. Errores Conocidos 4. Registros de Cambios

14. Detalles de la licencia 15. Referencias a documentos

1. Documentación de contratos 2. Documentación Operativa 3. Documentación del Usuario 4. Documentación relevante en emergencias 5. Otra documentación

2.1.1.2 Gestión de cambios

El objetivo es controlar el ciclo de vida de los cambios, viabilizando los cambios beneficiosos con un mínimo de interrupciones en la prestación de los servicios de TI. Las actividades y objetivos de los procesos son esencialmente idénticos en ITIL v2 e ITIL v3; en esta última se incorpora el concepto de modelo de cambio,





donde la definición de diferentes tipos de cambios, mediante modelos, sirve para clasificarlos; además, se muestra cómo tratar los diferentes tipos de cambios, es decir, según qué reglas deben tratarse los cambios. Estas reglas también establecen quién puede autorizar qué cambios en la organización. Los cambios de emergencia en ITIL v3 son autorizados por el consejo consultor para cambios de emergencia (ECAB), que en ITIL v2 se denominaba comité de emergencia (EC). El proceso de gestión de cambios, cuenta con los siguientes subprocesos: ● Soporte a la gestión de cambios: Proveer plantillas y orientación para la autorización de cambios, facilitando

la información sobre cambios de activos y proyectados a los encargados de otros procesos de gestión de servicios TI.

● Registro y pre evaluación de solicitudes de cambio: Descartar las solicitudes que no contengan toda la información necesaria para su evaluación o que no resulten viables.

● Clasificación de solicitudes de cambio: Verificar que la prioridad de un cambio propuesto haya sido determinada correctamente por el proponente y determina el nivel de autoridad adecuado para aprobar o rechazar determinadas solicitudes de cambios (RFC).

● Evaluación de solicitudes de cambios urgentes: Autorizar, ajustar o rechazar una solicitud de cambio urgente lo antes posible. Se recurre a este subproceso cuando los procedimientos regulares de gestión de cambios no son aplicables, dada la acción inmediata requerida en casos de emergencia.

● Evaluación de cambios - gestor de cambios: Autorizar o rechazar un cambio propuesto, así como asegurar una programación preliminar y la incorporación del mismo al calendario de cambios.

● Evaluación de cambios - CAB: Autorizar o rechazar un cambio propuesto, así como asegurar una programación preliminar y la incorporación del mismo al calendario de cambios.

● Programación de cambios: Acordar la programación preliminar para la implementación de cambios y asignar responsabilidad por la implementación de los mismos a la gestión de proyectos y la gestión de versiones.

● Evaluación de cambios: Evaluar la implementación de cambios y los resultados obtenidos, de manera que se constate la presencia del historial completo de actividades para referencia futura y asegurar que se hayan analizado errores y aprendido lecciones.

2.2 Normativa ISO/IEC

Existe una serie de normas bajo el estándar ISO/IEC, que han sido creados para unificar criterios y definir los lineamientos para la gestión de servicios de TI, dentro de los cuales se considera la norma ISO/IEC 20000[2] para la gestión de servicios TI (ITSM), la cual describe un conjunto de procesos de gestión, diseñados para ayudar a las organizaciones a ofrecer servicios más eficaces; esta norma proporciona la metodología y el marco para ayudar a manejar la ITSM, además permite demostrar a las organizaciones que aplican las mejores prácticas, siendo posible aplicar en organizaciones independiente de su tamaño o negocio. A diferencia de un estándar, ITIL es un marco práctico (framework) de las “mejores prácticas”, que se centra en la adaptación de los servicios de TI con las necesidades más amplias del negocio, Como empresa no es posible obtener una certificación en ITIL, en cambio ISO 20000 se basa en los principios fundamentales de ITIL y es un estándar bajo el cual las empresas pueden certificarse. Una de las razones para la creación de ITIL v3, era lograr una mejor alineación con la norma ISO 20000. Como resultado, ITIL ofrece una amplia gama de recomendaciones de buenas prácticas, que son base para la aplicación de la norma ISO 20000, siendo ITIL un camino para certificarse en esta norma. Otros estándares que hacen mención a la gestión de la configuración y el control de cambios son los correspondientes a las normas ISO 27001 e ISO 22301. La norma ISO 27001:2013[11] es un estándar de la seguridad de la información, indica cómo establecer un sistema de gestión de la seguridad de información auditado y certificado de forma independiente. Dentro de los controles que componen la norma, existe una relación con los de la norma ISO 20000 [2], en lo referente a la gestión de la configuración y la gestión del cambio.





Tabla 1: Relación controles ISO 20000 v/s ISO 27001. Fuente: Elaboración propia.

Proceso ISO 20000 Controles Anexo ISO 27001

Gestión de la configuración 7. Gestión de activos. 12.4.1 Control de software de explotación.

Gestión del cambio 10.1.2 Gestión de cambios. 10.1.4 Separación de los recursos de desarrollo, prueba y operación. 12.5.1 Procedimiento de control de cambios. 12.5.2 Revisión técnica de los cambios en el sistema operativo. 12.5.3 Restricciones en los cambios a los paquetes de software.

Figura 2: Relación procesos ISO 20000 v/s ISO 27001. Fuente: urtanta.com.

ISO 22301[9] es la nueva norma internacional de gestión de continuidad de negocio, creada en respuesta a la demanda internacional que obtuvo la norma británica original BS 25999-2. La norma identifica los fundamentos de un sistema de gestión de continuidad de negocio, estableciendo el proceso, los principios y la terminología de gestión de la continuidad de negocio. El objetivo es que la organización se mantenga en funcionamiento durante y después de una interrupción; garantizando de esta forma que los productos y servicios serán entregados a los clientes oportunamente. Esta norma también contempla controles, que tienen relación con la gestión de la configuración y el control de cambios sobre los sistemas de información.

Tabla 2: Relación controles ISO 20000 v/s ISO 22301. Fuente: Elaboración propia.

Proceso ISO 20000 Controles Anexo ISO 22301

Gestión de la configuración 8. Operación 8.1 Plan operacional y control.

Gestión del cambio 8. Operación 8.1 Plan operacional y control.

2.3 Cobit

COBIT [4] nace de la mano de ISACA a mediados de los años 90, como un marco para la auditoría de las TI. Progresivamente evoluciona, incluyendo prácticas de control y de gestión, hasta llegar en la última versión, COBIT 5, a convertirse en un marco de referencia para el gobierno y la gestión de las TI de las empresas.

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI, manteniendo un balance entre la realización de beneficios, la utilización de recursos y los niveles de riesgo asumidos. COBIT posibilita que las TI sean gobernadas y gestionadas en forma holística para toda la organización, tomando en





consideración el negocio y áreas funcionales de punta a punta, así como los interesados internos y externos. COBIT se puede aplicar a organizaciones de todos los tamaños, tanto en el sector privado, público o entidades sin fines de lucro. COBIT es empleado en todo el mundo, por quienes tienen como responsabilidad primaria los procesos de negocio y la tecnología, aquellos de quien depende la tecnología, los que proveen calidad, confiabilidad y control de TI.

Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prácticas de gobierno y gestión para describir las acciones que son ejemplo de mejores prácticas de su aplicación. COBIT 5, ha cambiado su enfoque de objetivos de control a una visión por proceso.

Los 5 principios que Cobit promueve son:

1. Satisfacer las necesidades del accionista 2. Considerar la empresa de punta a punta 3. Aplicar un único modelo de referencia integrado 4. Posibilitar un enfoque holístico 5. Separar gobierno de la gestión.

Los 7 habilitadores que componen Cobit son:

1. Principios, políticas y modelos de referencia 2. Procesos 3. Estructuras organizacionales 4. Cultura, ética y comportamiento 5. Información 6. Servicios, infraestructura y aplicaciones 7. Gente, habilidades y competencias.

El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de los accionistas, las condiciones y opciones; establecer la dirección a través de la priorización y la toma de decisiones; y monitorear el desempeño, el cumplimiento y el progreso, versus la dirección y objetivos acordados (EDM, por Evaluar, Dirigir, Monitorizar).

Por su parte la gestión, se ocupa de planificar, construir, ejecutar y monitorear las actividades alineadas con la dirección establecida por el organismo de gobierno, para el logro de los objetivos empresariales (PBRM ó Planificar, Construir, Ejecutar y Monitorear, por su sigla en inglés).

2.4 Estado del Arte

Referente a las alternativas de solución para el problema presentado, se realizó la investigación de trabajos relacionados, con distintos enfoques para abordar una solución, encontrando que se han desarrollado soluciones orientadas a cuantificar los beneficios y los factores críticos de costo en la implementación de una CMDB[12], modelos de evaluación para la selección de una herramienta de CMDB comercial[13], diseño de una CMDB a partir de las definiciones de ITIL[10], y guías de implementación de las buenas prácticas de ITIL[11]. Sin embargo, ninguno de estos trabajos aborda la solución de la problemática presentada a partir de la aplicación práctica de herramientas de software de código abierto, como alternativa a la gestión de la configuración y el cambio.

A partir del estudio de las buenas prácticas de ITIL [15], éstas ofrecen una alternativa práctica de solución de la gestión de la configuración y cambios, estableciendo las definiciones y procesos que apoyan de mejor forma la solución a la problemática presentada. La diferencia básica entre la norma ISO 20000 e ITIL, es que la norma proporciona la metodología y el marco, mientras que ITIL define los detalles (las mejores prácticas) sobre cómo manejar cada proceso de TI; es posible decir que la norma ISO 20000 define qué hacer, mientras que ITIL indica cómo hacerlo.

La norma ISO 22301, proporciona un marco que permite a las organizaciones, identificar sus amenazas y fortalecer su capacidad, para así disminuir la posibilidad de ocurrencia de un incidente disruptivo, y en caso de producirse, estar preparada para responder de forma adecuada, reduciendo drásticamente el daño potencial que ese incidente puede causar a la organización. Sin embargo, no tiene un aporte directo en la solución de la problemática presentada.





Por su parte Cobit, tiene un fuerte enfoque en la gestión de alto nivel, estableciendo las bases para la definición y ejecución del gobierno de TI dentro de las empresas, por lo que las posibilidades de aplicación en el problema presentado quedan fuera del alcance de la solución (de ejecución operativa y práctica) que se busca.

3. Especificación del problema

3.1. Situación actual

En la empresa que se seleccionó como caso de estudio la gestión de la configuración es registrada en documentos de texto, con un formato definido, existiendo tantos documentos, como sistemas, servicios, hardware y software existe (a la fecha son más de 57 documentos, faltando una cantidad no determinada de componentes por documentar a la fecha), haciendo muy poco eficiente la gestión y mantención de la información. El control de los documentos es realizado por una única persona responsable, lo cual impacta en los tiempos de respuesta, dada la alta dependencia del recurso (concentración y especialización de funciones), para mantener actualizada la información a partir del volumen de cambios realizados. No existe una relación entre los documentos, que permita determinar, los impactos sobre el cambio en la configuración de algún componente y los criterios para establecer el impacto, están basados en el juicio experto. En la actualidad, la Empresa cuenta con un procedimiento para la gestión de cambios, vigente desde febrero de 2015, basado en ITIL; sin embargo, el procedimiento, se aplica de forma manual (no existe automatización del proceso), lo cual lo vuelve, lento, engorroso y propenso a errores, dado que no existe un repositorio que contenga la información de la configuración. La información de gestión de los cambios, se registra en documentos con un formato predefinido, el cual es registrado posteriormente en una intranet, en donde se resguarda y archiva; esto implica, que la obtención de estadísticas o análisis sobre los cambios, se vuelve muy lento y difícil de procesar, no existe una relación entre los documentos de registro de la configuración y los de control de cambios, lo cual impide realizar una gestión de cambios y/o de la configuración de forma eficiente, en los tiempos que el negocio los necesita. En la industria del procesamiento de tarjetas de crédito, en la cual opera la Empresa, existe una normativa legal, generada por la Superintendencia de Bancos e Instituciones Financieras (SBIF) que corresponde a la circular N°40, la cual define los requerimientos que deben cumplir los operadores de tarjeta, estableciendo que la entidad (Operador): mantiene una estrategia para abordar la gestión de proyectos y metodologías para el desarrollo y adquisición de programas y equipos computacionales, como asimismo para la mantención de sistemas y aplicaciones de negocios; deben existir políticas para la administración del cambio y la función de aseguramiento de calidad en todos sus productos, servicios e información.

3.2. Diagnóstico

A partir de la situación actual, se detectan los siguientes problemas y oportunidades de mejora: La gestión de la configuración, no se encuentra definida como proceso, la información es manejada en documentos de textos independientes entre sí, a partir de un formato definido, no se contemplan detalles técnicos y las capacidades de mantener la información actualizada se encuentra limitada, dado que los recursos (personas) dedicados a su mantención son utilizados también en otras actividades. A partir de este escenario, se presenta la oportunidad de formalizar el proceso de gestión de la configuración, aplicando las buenas prácticas de ITIL, incorporando la información que actualmente se administra en una CMDB, complementando con la información técnica faltante. La Empresa adicionalmente, por los requerimientos legales que debe cumplir, cuenta con sus procesos de negocio e infraestructura asociada, definida, bajo los términos de continuidad operacional, en base a la norma ISO/IEC 22301, por lo cual existe la información necesaria para realizar la implementación de una primera etapa de la CMDB. Respecto de la gestión de cambios, la compañía cuenta con el proceso definido (basado en las buenas prácticas ITIL), sin embargo la gestión de la información es compleja (se lleva de forma similar a la gestión de la configuración, con documentos de texto), lo cual implica altos tiempos de gestión y de respuesta final, dado que los ciclos de aprobación, llegan a ser en algunos casos de más de un día y medio. Al contar con la





información de la configuración centralizada en la CMDB, se facilitan las actividades del proceso de gestión de cambios; utilizando los flujos de trabajo predefinidos por el software open source a utilizar y realizando los ajustes correspondientes (de acuerdo a la realidad de la Empresa), será posible agilizar los ciclos de aprobación y obtener mejoras en los siguientes ámbitos: disponibilidad, integridad y confidencialidad de la información, la cual pasa a ser corporativa y administrada en un repositorio centralizado.

4. Diseño de una Solución de CMDB basada en Software Open Source

4.1. Metodología y criterios de selección del software a utilizar

Para la selección del software open source a implementar, se debe proceder a establecer los criterios, definidos como necesarios para cumplir con los requerimientos, que permitan dar solución al problema. Se asigna una ponderación a cada criterio, siendo los más relevantes: que el software sea de código abierto, incorpore las buenas prácticas de ITIL, cuente con las funcionalidades de gestión de la configuración y gestión del cambio y posea un historial de las modificaciones realizadas; para posteriormente a partir del análisis de cada software, obtener de forma objetiva la mejor solución.

Criterios para la selección de softwares CMDB de código abierto

Tabla 3: Criterios para la selección, Fuente: Elaboración propia.

Criterio Valor % Ponderación

Open Source Requerido 10%

Arquitectura Cliente/Servidor 5%

Tecnologías Código abierto (php, apache) 5%

Motor de datos MySQL 5%

ITIL Compliant Requerido 10%

Soporte Requerido, Comunidad 5%

Documentación Requerido 2%

Uso de software de 3ros. No Requerido 2%

Funcionalidades

Análisis de impacto Requerido 5%

Relación entre CI Requerido 5%

Gestión de configuración Requerido 10%

Gestión de cambios Requerido 10%

Gestión de incidentes Opcional 2%

Gestión de problemas Opcional 2%

Gestión de requerimientos Opcional 2%

Mesa de ayuda Opcional 2%





Historial Requerido 10%

Otros

Facilidad de uso Alta 5%

Configuración Simple 3%

4.2. Análisis de alternativa de software open source disponibles

Las alternativas de software open source como solución de CMDB, evaluadas son las siguientes: Combodo iTop, es una aplicación orientada a la gestión de servicios TI, se adapta a las necesidades de las empresas digitales (proveedores de infraestructura o de servicios de aplicaciones, software y telecomunicaciones) para gestionar múltiples clientes, contratos y SLAs. Permite contar con una solución única para la gestión de múltiples clientes a la vez, protegiendo la confidencialidad de la información. La aplicación ha sido diseñada por profesionales de los servicios TI, con un enfoque en la gestión de infraestructuras compartidas, permitiendo analizar el impacto de un incidente o un cambio en los diferentes servicios y contratos que se deben cumplir. Mantiene un único repositorio, compartido por todos los equipos, contando además con opciones de sincronización con versiones satélites de iTop. iTop está diseñado para funcionar con equipos pequeños y medianos de TI, su facilidad de uso, permite de forma rápida centralizar los datos de dispositivos, software, usuarios, ubicaciones, etc. Siendo una herramienta de colaboración que ofrece la capacidad de responder de mejor forma y en menor tiempo. La versión comunitaria es 100% funcional y de código abierto. En el núcleo de iTop, el modelo de datos CMDB es un repositorio modificable y ampliable, para el registro de todos los componentes y relaciones técnicas, funcionales y organizacionales, dentro del sistema de información. OneCMDB, es una aplicación CMDB dirigida a empresas pequeñas y medianas. Se puede utilizar como una CMDB independiente para realizar un seguimiento de los activos de software y hardware, junto con sus relaciones; gracias a su API abierta, puede ser también un motor de gestión de la configuración flexible y potente para otros softwares de administración de servicios. Es fácil de instalar y configurar, ya sea manualmente o a partir de otras fuentes de datos. Tiene un modelo de datos especificado por el usuario, el que puede ser modificado y mejorado sin necesidad de programación. OneCMDB permite crear un modelo de datos CMDB propio, sin escribir una sola línea de código; es posible poblar la base de datos, a través del autodescubrimiento de equipos en la red, puede obtener datos de diversas fuentes externas, a través de una importación flexible y cuenta con un mecanismo para transformar la información de configuración importada/exportada de la red (se integra con otros softwares como Nagios). Está disponible para su descarga gratuita e incluye su código fuente. Una característica importante, es que no se requieren conocimientos de modelado de base de datos, para utilizar la aplicación; se abstrae al diseñador CMDB de cómo se almacenan los elementos de configuración (CI), el diseñador puede centrarse en la organización de los elementos de configuración, sus atributos y relaciones más que en las consultas SQL y su correspondiente código (C++/Java), los elementos de configuración, atributos, relaciones, etc. son gestionados a través de una interfaz gráfica de usuario. El diseño y mantenimiento de la aplicación, se ve facilitado por el uso de plantillas y un enfoque orientado a objetos. Por último, la estructura de la CMDB se puede ampliar fácilmente y modificarse en una etapa posterior, incluso cuando se encuentra en producción. Se compone de una parte servidor (OneCMDB Core) y una interfaz de usuario basada en web (OneCMDB escritorio). La interfaz de usuario permite a los usuarios ver, buscar y navegar la CMDB. También permite a los diseñadores gestionar el modelo de datos de la CMDB. Tiene una API abierta, para que sea fácil integrarse con otras aplicaciones como mesa de ayuda y gestión del cambio por ejemplo.





I-doit , permite documentar la infraestructura IT, y sus relaciones, almacenando toda la información en un repositorio centralizado; además de la documentación técnica, permite la gestión de contratos de servicios, la gestión operativa de los objetos documentados y los planes de respuesta a emergencias, para los componentes y sistemas, todos los documentos en la aplicación están sujetos a control de versiones, permitiendo el seguimiento de cambios de forma clara y trazable. Además de las dependencias directas derivadas de datos de la conexión o la asignación de software para sistemas, permite documentar asignaciones entre componentes de forma manual, resultantes indirectamente de los procesos de negocio relacionados. Es posible definir dependencias entre objetos en varias direcciones; reconociendo que servicios o funciones ya no estarán disponibles, en caso de alguna falla. La aplicación cuenta con un módulo para la gestión de flujos de trabajo, el cual permite la creación, asignación y seguimiento de los pedidos y listas de control, con un sistema de notificaciones basado en estados; los trabajos en la infraestructura de TI pueden ser coordinados y documentados de forma clara. El módulo se puede ampliar de forma simple con procesos adicionales, siendo capaz de controlar, por ejemplo, la adquisición de componentes, incluyendo desde la especificación, gestión de compra y el paso a producción. I-doit, permite el manejo de múltiples clientes de forma paralela, pero independientes unos de otros; la documentación de cada cliente se lleva a cabo en un espacio independiente, lo cual asegura que la información no podrá cruzarse entre clientes, esto permite la gestión completa en una única plataforma. Considera los registros de auditoría necesaria sobre los objetos, referente a todos los cambios realizados, en combinación con opciones adicionales de comentarios, permiten complementar la información del historial. La aplicación es flexible, se pueden definir el nivel de detalles de documentación para objetos determinados, la vista de páginas es personalizable y cuenta con opciones de selección de idioma (multilenguaje). CMDBuild , es una aplicación web, con la que se pueden configurar soluciones personalizadas para el gobierno TI, o más en general para la gestión de activos. Se basa en la separación entre el “motor” y la “lógica de negocio”. El núcleo se mantiene idéntico para todos los usuarios, pero la particularidad de cada usuario, está contenida en los elementos dinámicos del sistema, en un modelo de datos totalmente configurable, incluyendo flujos de trabajo e informes, que los usuarios pueden crear o importar al sistema, a través de descriptores XML. CMDBuild permite la gestión de CMDB y la gestión de flujos de apoyo, de acuerdo a las mejores prácticas de ITIL, el objetivo es facilitar a los operadores mantener un completo control de sus activos, así como la gestión del ciclo de vida de una manera integral. La aplicación tiene una función simple, pero potente que permite a cada usuario configurar y cambiar el modelo de datos de la instancia de la aplicación. No se trata simplemente de la posibilidad de definir algunos campos, al igual que otros productos, CMDBuild también puede crear desde cero, una base de datos totalmente personalizada en términos de: "clases", es decir, tablas de la base; "Atributos" de las clases, tales columnas de las tablas (de todos los tipos posibles); "Dominio", que son los tipos de relaciones, incluso con cualquier atributo adicional específico; "búsquedas", que son las listas de valores asociados a unas clases específicas que se atribuyen; "Herencia", que es la posibilidad de "especializar" una clase específica mediante la adición de "atributos", "dominios" y compartir los "atributos" y "dominios" de la superclase (también multinivel); "vistas" en base a filtros o consultas SQL. Uno de los valores más importantes de CMDBuild, es la posibilidad de configurar fácilmente los flujos de trabajo, a través del cual se pueden gestionar de manera colaborativa, todas las actividades que debe realizar para gestionar la infraestructura de TI. Los documentos, son elementos importantes de información, que pueden estar relacionados con cualquier elemento de configuración, almacenada en la CMDB: manuales y documentos técnicos, contratos, formularios, capturas de pantalla de error, dibujos técnicos, las imágenes de los objetos y lugares, vídeos, etc. El módulo de gestión de datos de la interfaz de CMDBuild, para cada hoja de datos incluye una página especial (TAB), que enumera todos los archivos adjuntos. Es posible, por tanto, visualizar documentos o adjuntar otros nuevos.





Cuadro comparativo entre software CMDB de código abierto

Tabla 4: Comparativa entre aplicaciones CMDB, Fuente: Elaboración propia.

Nombre Producto iTop OneCMDB i-doit CMDBuild

Open Source SI SI SI SI

Arquitectura Cliente/Servidor Desktop Cliente/Servidor Cliente/Servidor

Tecnologías PHP, Apache, IIS Java, Hibernate PHP, Apache Java, Tomcat

Motor de datos MySQL HSQLDB MySQL PostgreSQL

ITIL Compliant SI SI NO SI

Soporte Comunidad - Comercial

Comunidad Comunidad - Comercial

Comunidad - Comercial

Documentación SI SI SI SI

Uso de software de 3ros. NO SI NO SI

Versión comercial SI NO SI SI

Última versión 2.3 (2016) 2.1 (2009) 1.4 (2014) 2.4 (2016)

Funcionalidades

Análisis de impacto SI NO NO SI

Relación entre CI SI SI SI SI

Gestión de configuración SI SI SI SI

Gestión de cambios SI SI NO SI

Gestión de incidentes SI NO NO SI

Gestión de problemas SI NO NO SI

Gestión de requerimientos SI NO NO NO

Mesa de ayuda SI NO NO NO

Historial SI SI SI SI

Otros

Facilidad de uso Alta Baja Alta Alta

Configuración Simple Compleja Simple Compleja

Valores predefinidos SI NO SI NO

Cumplimiento criterios (%) 100% 67% 67% 86%





Como resultado del análisis realizado a las distintas opciones de software CMDB de código abierto, se decide implementar la solución iTop, la cual cubre los requerimientos necesarios para la implementación en la organización, con un cumplimiento del 100% de los requerimientos.

4.3. Definición del alcance y sus límites

El alcance de la solución a desarrollar contempla la implementación de la instalación y configuración de una base de datos para la gestión de la configuración basada en ITIL de código abierto, considerando la puesta en marcha de los procesos de gestión de la configuración y de gestión del cambio. La implementación se limita solo a los dos procesos anteriormente mencionados; sin embargo se contempla la recopilación de la información necesaria de otros procesos ITIL para generar la CMDB, sin entrar en los detalles de cada uno, los cuales están fuera del alcance del presente trabajo; se encuentran fuera de alcance los detalles de la instalación del software CMDB iTop, los cuales se encuentran respectivamente documentados en los manuales de instalación del software y son de acceso público en el sitio web oficial.

4.4. Especificación de los procesos ITIL bajo alcance

Proceso de gestión de la configuración:

● Soporte a la Gestión de la Configuración ○ Objetivos: Definir y actualizar la estructura del CMS de manera que contenga la información relacionada

con los Elementos de Configuración (CI), incluyendo sus atributos y relaciones. ● Control de configuración ○ Objetivos: Asegurarse de que no hay elementos de configuración (CI) que son añadidos o modificados

sin la autorización requerida, y que tales modificaciones se registran adecuadamente en el CMS. Nota: El control de la configuración de ITIL, se centra principalmente en la revisión de modificaciones en el Sistema de Gestión de la Configuración (CMS), para asegurarse de que la información almacenada en el CMS se ha completado y las modificaciones se han realizado por usuarios autorizados.

● Verificación y Auditoría de Configuraciones ○ Objetivo: Llevar a cabo controles periódicos, asegurando que la información contenida en el CMS sea

una representación exacta de los Elementos de Configuración (CI) instalados en el entorno de producción real.

Figura 3: Proceso de gestión de la configuración, Fuente: IT Process Map [5]





KPIs del proceso:

Tabla 5: KPI proceso de gestión de la configuración, Fuente: IT Process Map [5].

KPI Descripción

Frecuencia de verificación Frecuencia de verificaciones físicas del contenido de CMS

Duración de verificación Duración promedio de verificaciones físicas del contenido de CMS

Esfuerzo para verificaciones de CMS

Promedio de esfuerzo de trabajo para verificaciones físicas del contenido de CMS

Cobertura del CMS Porcentaje de elementos de configuración cuyos datos están incluidos en la CMS

Actualización automática de CMS

Porcentaje de elementos de configuración cuyos datos en la CMS se actualizan automáticamente

Cantidad de errores de CMS Número de ocasiones en las que se detectaron errores en el contenido de la CMS

Rol ITIL asociado:

● Gestor de Configuración, es responsable de dar mantenimiento a la información requerida sobre Elementos de Configuración y de prestar servicios de TI.

Proceso de gestión del cambio:

● Registro ○ El primer paso del proceso de cambio es registrar adecuadamente las RFC, los orígenes de las RFC

pueden ser de distinta índole (Gestión de problemas, nuevos servicios, estrategia empresarial, actualización de software de terceros, imperativo legal, otros).

● Aceptación ○ Tras el registro de la RFC se debe evaluar preliminarmente su pertinencia. Una RFC puede ser rechazada

si se considera que el cambio no está justificado o se puede solicitar su modificación si se considera que algunos aspectos son susceptibles de mejora; en cualquiera de los casos la RFC debe ser devuelta al departamento o persona que la solicitó con el objetivo de que se puedan realizar las revisiones y/o modificaciones correspondientes.

● Clasificación ○ Tras su aceptación se deben asignar a la RFC una prioridad y categoría dependiendo de la urgencia y el

impacto de la misma. ● Aprobación ○ El TOE (Grupo de Ingeniería) debe reunirse periódicamente para analizar y eventualmente aprobar los

RFCs pendientes y elaborar el FSC (Future Schedule Change ) o calendario de cambio correspondiente. ● Planificación ○ Una vez aprobado el cambio (en caso contrario se seguiría el proceso ya descrito para el caso de no

aceptación) debe evaluarse si éste ha de ser implementado aisladamente o dentro de un "paquete de cambios" que formalmente equivaldrían a un solo cambio.

● Implementación ○ Aunque la Gestión de Cambios NO es la encargada de implementar el cambio, algo de lo que se

encarga habitualmente la Gestión de Versiones, si lo es de supervisar y coordinar todo el proceso. ● Evaluación ○ Antes de proceder al cierre del cambio es necesario realizar una evaluación que permita valorar

realmente el impacto del mismo en la calidad del servicio y en la productividad de la organización. ● Cierre ○ Si la evaluación final determina que el proceso y los resultados han sido satisfactorios se procederá al

cierre de la RFC y toda la información se incluirá en la PIR (Post Implementation Revisión) asociada.





Figura 4: Proceso de gestión de cambios. Fuente: Interno Empresa

KPIs del proceso:

Tabla 6: KPI proceso de gestión del cambio, Fuente: IT Process Map [5].

KPI Descripción

Cantidad de cambios mayores Cantidad de cambios mayores evaluados por el CAB (Consejo Consultor para Cambios)

Cantidad de reuniones de CAB Cantidad de reuniones de CAB

Tiempo para autorización para cambios

Tiempo medio transcurrido desde la solicitud de una RFC (Solicitud de Cambio) a la Gestión de Cambios hasta la autorización para el cambio





Tasa de aceptación de cambios Cantidad de RFC's aceptadas vs. rechazadas

Cantidad de cambios urgentes Cantidad de cambios urgentes evaluados por el ECAB (Consejo Consultor para Cambios de Emergencia)

Rol ITIL asociado:

● Gestor de Cambios, controla el ciclo de vida de todos los Cambios. Su objetivo primario es viabilizar la realización de Cambios beneficiosos con un mínimo de interrupciones en la prestación de servicios de TI. En caso de Cambios de gran envergadura, el Gestor de Cambios buscará la autorización del Comité de Cambios.

● Consejo Consultor para Cambios (CAB), se trata de un grupo de personas que aconseja al Gestor de Cambios en la evaluación, establecimiento de prioridades y programación de cambios. El Consejo Consultor para Cambios (Change Advisory Board, CAB) se compone de representantes de todas las áreas de la organización de TI, la empresa, y terceros como, por ejemplo, suministradores.

● Consejo Consultor Cambios de Emergencia. (ECAB), se trata de un subgrupo del Comité de Cambios que toma decisiones relacionadas con cambios de emergencia cuyo impacto es significativo.

● Propietario del Cambio, se trata de una persona que propone un cambio y que cuenta con una asignación presupuestaria para su implementación. En la mayoría de los casos, el Propietario del Cambio coincide con quien da inicio a una Solicitud de Cambio (RFC).

Se definen los usuarios a los cuales se les asignarán los roles correspondientes, para realizar las actividades definidas, según cada proceso, considerando las capacitaciones correspondientes tanto a nivel de los procesos, como del uso de la herramienta de software (iTop).

5. Implementación, análisis de resultados y validación

5.1. Identificación y especificación de servicios

Los servicios que son prestados por la Empresa, se encuentran definidos de acuerdo a la evaluación de impacto al negocio (BIA) basado en la norma ISO/IEC 22301, esta información se utiliza como base para la definición de servicios a ser registrados en la CMDB, los cuales serán asociados a los ítems de configuración correspondientes. Se realiza el registro de la infraestructura en la CMDB, incorporando la información obtenida de los documentos existentes y complementando la información técnica que la aplicación tiene especificada como base. Servidores físicos:

Figura 5: Lista de servidores físicos. Fuente: iTop.

Servidores virtuales:

Figura 6: Lista de servidores virtuales. Fuente: iTop.





Servidores base de datos:

Figura 7: Lista de servidores de base de datos. Fuente: iTop.

A partir del registro de la infraestructura en el sistema CMDB, se realizan las relaciones entre ítems de configuración, de manera que sea posible establecer las evaluaciones de impacto respectivas, ante el cambio o incidencia sobre un ítem de configuración determinado.

Figura 8: Vista gráfica del análisis de impacto en CMDB. Fuente: iTop.

5.2. Metodología de análisis, impacto y evaluación de riesgo en la configuración

La metodología empleada para el análisis de impacto y evaluación de riesgos está basada en la norma ISO/IEC 22301 referente a la continuidad operacional, a partir del cálculo de impactos entregado por la aplicación iTop y el análisis de impacto (BIA) que permite identificar los servicios críticos, en donde se encuentran definidos: la magnitud de impacto y el tiempo máximo soportado sin operación. (Ver cuadro 7)

Figura 9: Vista de análisis de impacto calculado por la aplicación. Fuente: iTop.





Figura 10: Vista gráfica del análisis de impacto calculado. Fuente: iTop.

5.3. Resultados obtenidos

● Se implementa el proceso de gestión de la configuración a través de la CMDB, logrando la reducción de tiempos y esfuerzos en un 50%, en las actividades de mantención de la información de la configuración. Los aspectos más destacados por los usuarios finales son: ○ La disponibilidad de la información de forma centralizada. ○ Eliminación del uso de archivos independientes para cada ítem de configuración. ○ Facilidad de uso del software para el registro de la configuración, con la posibilidad de adjuntar archivos

complementarios. (manuales, especificaciones técnicas, diagramas, etc.) ● Se implementa el proceso de gestión de cambios, gestionado a través de la CMDB, considerando un periodo

de marcha blanca del sistema de 2 semanas, realizando el registro y gestión del 100% de los cambios, se reduce en un 66% los tiempos de aprobación y en 88% los rechazos de requerimientos de cambios por información incompleta o inconsistencias, adicionalmente se facilita el análisis de impactos de los cambios a partir de la información entregada por la CMDB. Los aspectos más destacados por los usuarios finales son: ○ Registro centralizado y auditable de los cambios realizados y en proceso sobre los servicios de

producción. ○ Identificación y asignación de los colaboradores participantes en una actividad de cambio. ○ Visibilidad del impacto ante un cambio a través de una vista gráfica, con apoyo del mismo sistema para

identificar los ítems de configuración relacionados que se ven comprometidos ante un cambio, incluyendo los procesos de negocio.

Tabla 7: Estadísticas de gestión de cambios actual. Fuente: Elaboración propia.

Enero/Diciembre 2015 Enero/Marzo 2016

Total RFC emitidas 35 12

Total RFC Cambios Emergencia 7 3

Total IMC emitidas por problemas sobre cambios 12 4

Tiempo promedio aprobación 1.2 días 1.7 días





Tabla 8: Estadísticas de gestión de cambios post implementación. Fuente: Elaboración propia.

Abril/Septiembre 2016

Total RFC emitidas 20

Total RFC Cambios Emergencia 1

Total IMC emitidas por problemas sobre cambios 2

Tiempo promedio aprobación 0,5 días

Figura 11: Comparación de tiempos de aprobación. Fuente: Elaboración propia.

Figura 12: Rechazos de requerimientos de cambios. Fuente: Elaboración propia.

5.4. Validación

Se planteó la hipótesis de que a partir de la implementación de una CMDB de código abierto, basada en ITIL y la aplicación de las buenas prácticas que esta propone, se mejorará la capacidad de gestión reduciendo los tiempos asociados a los procesos de gestión de la configuración y gestión de cambios. De acuerdo a los resultados obtenidos, se redujeron los tiempos en la gestión de la configuración y en la gestión de cambios (tiempo promedio de aprobación), reduciendo además la cantidad de incidentes sobre la plataforma a partir de los RFC aplicados.





Adicionalmente se obtienen los siguientes beneficios: ● Mejora de la capacidad de gestión. ○ A partir del uso de la CMDB para la gestión de los procesos, la información se encuentra centralizada y

segura. ● Reducción de riesgos, aumento de la seguridad y continuidad operacional. ○ Apoyado por el análisis de impacto y la relación entre componentes con que cuenta la herramienta de

software utilizada. ● Cumplimiento de requerimientos legales y contractuales. ○ La compañía cuenta con un repositorio centralizado de la información, puede demostrar con evidencia,

gestiona la configuración, gestiona el cambio y es completamente auditable. ● Control y administración de la configuración (reducción de costos operativos asociados a las horas/hombre

dedicadas a la gestión de la información). ● Mejoras en la continuidad operacional de los servicios. ○ Esta se ve reflejada por la reducción de incidentes sobre la plataforma a partir de los RFC aplicados

● Conocer el impacto de los cambios sobre la configuración de un servicio. ○ Le permite a la organización conocer con antelación los impactos que los cambios pueden tener y tomar

mejores decisiones a partir de la nueva información con que disponen. ● Confianza de clientes y socios estratégicos por la garantía de calidad y gestión sobre los servicios. ○ La organización es capaz de demostrar a sus clientes y socios estratégicos que cuenta con procesos de

gestión y que tiene el control sobre su plataforma de servicios. ● Mejoras en la imagen de la empresa y elemento diferenciador de la competencia. ○ Usando la implementación de CMDB y la aplicación de las buenas prácticas de ITIL como argumento

de venta.

6. Conclusiones

En la actualidad todas las compañías, ya sean pequeñas, medianas o grandes corporaciones, se plantean desafíos para mejorar sus servicios, sus procesos y ser más competitivos, incorporando las tecnologías de la información dentro de su organización. Esto presenta oportunidades para la mejora continua y la aplicación de innovación, a partir de la utilización de herramientas de software que se enfocan en atender una necesidad y/o resolver un problema. Por otra parte, la existencia de un conjunto de buenas prácticas y estándares en TI, que han evolucionado a través de los años, presenta una oportunidad y responsabilidad a su vez, para las áreas de TI de las organizaciones, para aportar al crecimiento y aplicar innovación dentro de las empresas. El trabajo realizado, confirma que el uso de software open source, es una opción válida, para resolver los problemas que se presentan en las empresas, existiendo una multitud de proyectos de desarrollo para atender requerimientos específicos, demostrando que es posible implementar herramientas de código abierto en las empresas y obtener las ventajas que este tipo de software presenta (disminución de la dependencia de vendedores de código propietario, reducción de costos, solución de errores y nuevas funcionalidades en menores tiempos, entre otros), considerando desde el aspecto económico, hasta la velocidad de desarrollo de nuevas funcionalidades y aportes de una comunidad activa de desarrolladores, con la disposición para resolver los problemas; creando software de calidad, con capacidades de hacer frente a las opciones de software comercial existentes. La Empresa se benefició logrando la reducción de los tiempos de gestión y aprobación de cambios y la cantidad de incidentes relacionados, además de lograr una serie de beneficios adicionales, tales como: mejoras en la capacidad de gestión, cumplimiento de requerimientos, control sobre la configuración, entre otros. La ejecución del trabajo dentro de la Empresa, fue realizada de forma dinámica, con una rápida adopción del uso de la herramienta de software. Esto se produjo en mayor medida, por el nivel de madurez de la organización, su trabajo previo con la aplicación de normas y su cultura organizacional. En empresas con un nivel de madurez menor, el proceso habría sido más lento y complejo. En cuanto a los costos de implementación, la Empresa utilizó su infraestructura actual de servidores, para instalar la aplicación (utilizando máquinas virtuales), por lo cual, el costo en este apartado para la compañía fue cero, la inversión más importante estuvo dada por las horas/hombre utilizadas en el despliegue, configuración inicial y capacitación en el uso de la herramienta.





Como resultado del uso de las buenas prácticas ITIL dentro de las empresas, se convierte en algo imprescindible, cuando los mercados, la regulación y la misma competencia entre compañías, exigen la búsqueda de formas de realizar de mejor forma los procesos. Al aplicar los procesos de ITIL de gestión de la configuración y gestión de cambios, la Empresa logró resolver una serie de deficiencias, aplicando mejoras en la gestión de dichos procesos; con el resultado final de entregar servicios de calidad, cumpliendo los requerimientos normativos de la industria, generando ventajas competitivas con respecto a su competencia y con una inversión casi nula, el retorno en la mejora de la gestión fue inmediato; el trabajo realizado es replicable en otras compañías y no está restringido a una industria en particular, esto dado que se utilizó el conjunto de buenas prácticas de ITIL. En vista de que ITIL cuenta con un conjunto de buenas prácticas y solo se ha implementado una parcialidad, el trabajo realizado puede ser ampliado, implementando las buenas prácticas restantes definidas en ITIL v3, teniendo en consideración además, que el software utilizado para la implementación de la solución, incorpora todos los procesos de ITIL, con el conocimiento adquirido, se pueden emprender trabajos futuros de mejora continua e incorporación de las buenas prácticas restantes de forma gradual, lo que permitirá aumentar la madurez de la organización, con todos los beneficios que ello conlleva, con las posibilidades de extender este trabajo en el futuro con la aplicación de un gobierno de TI basado en Cobit y/o desarrollar proyectos que permitan a las compañías certificarse bajo las normas ISO/IEC 20000, 27001 y 22301.

Referencias

[1] ITIL Library, (Online), Available: http://www.itlibrary.org/, 2016. [2] ISO 20000, (Online), Available: http://wiki.en.it-processmaps.com/index.php/ISO_20000, 2016. [3] SBIF, Circular N° 40 para emisores y operadores de tarjetas de crédito, (Online), Available.

https://www.sbif.cl/sbifweb3/internet/archivos/norma_10284_1.pdf, 2014. [4] ISACA, Framework COBIT 5, (Online), Available: http://www.isaca.org/cobit/pages/default.aspx, 2014. [5] ITIL Process Maps, IT Process Wiki (Online), Available: http://wiki.es.it-processmaps.com/index.php/Portada, 2016. [6] ISO 9001, (Online), Available: https://www.iso.org/standard/46486.html, 2008. [7] Nch2909, (Online), Available: http://www.inn.cl/, 2004. [8] ISO 27001, (Online), Available: https://www.iso.org/isoiec-27001-information-security.html, 2013. [9] ISO 22301, (Online), Available: https://www.iso.org/standard/50038.html, 2012. [10] J. H. Kyurkchiev, K. Kaloyanova, Sofia University, Logical design for configuration management based on ITIL,

2012. [11] J. D. Hernando, Universidad Carlos III de Madrid, Implantación de directrices ITIL en un departamento de soporte y

operaciones de una empresa, 2012. [12] Ming-Shian Wu, Department of Humanities and Information Applications, Aletheia University., The Benefit and Cost

Factors of CMDB Implementations: An Investigation of three Organizations in Taiwan, 2014. [13] J. Osorio, Primer congreso del conocimiento de la CMDB, Construir una CMDB paso a paso, 2011. [14] OGC, TSO, ITIL Version 3 (ITILv3) - the ITIL Service Lifecycle Publication Suite, 2010. [15] J. Sergio R., B-able, ITIL V3 Manual Integro, 2010. [16] J. Cristian B., ITIL v3 Conjunto de mejores prácticas, gestión de servicios TI, 2010. [17] Inteco, Guía avanzada de gestión de la configuración, 2008 [18] Ed Chen, (Online), Available: http://pdca.edchen.org/2014/07/itil-v30-framework-illustrated.html, 2014.





Anexo 1

Detalles de productos de software Open Source

Combodo iTop

Características generales: ● CMDB personalizable, basada en ITIL. ● Flujos de trabajo personalizables, permite definir el ciclo de vida de entradas o listas de tareas a realizar

ajustándolo a cada organización. ● Perfiles de usuario, cada usuario tiene definido un rol o un conjunto de estos, definiendo de forma

personalizable la información que se presenta en pantalla. ● Portal de usuarios, ofrece a los usuarios finales, de forma sencilla la posibilidad de generar solicitudes de

intervención y seguir el progreso. ● Mesa de ayuda, para la gestión diaria de las actividades de prestación de servicios. ● Gestión del cambio, para realizar un seguimiento de todas las modificaciones, desde un simple parche de

rutina hasta el paso a producción. Considerando una referencia al CAB para presentar la programación, anticipar el impacto y preparar a los usuarios.

● Gestión de problemas, para evitar la repetición de incidentes, el módulo de gestión de problemas es la herramienta de los analistas, lo que contribuye a la base de conocimiento de los errores comunes.

● Administración de incidentes, se enlaza con los componentes del SI, gestionando la participación e información de todos los usuarios implicados.

Figura 1: Vista de interfaz de usuario iTop, Fuente: Combodo.





Figura 2: Vista de análisis de impacto iTop, Fuente: Combodo.

OneCMDB

Características generales: ● Código abierto, está disponible para su descarga gratuita e incluye su código fuente. Se puede usar,

modificar y redistribuir bajo los términos de licencia. ● Fácilmente configurable, permite crear y utilizar el modelo CMDB que mejor se adapte a la organización,

tiene un conjunto de modelos de datos predefinidos, que a su vez pueden ser adaptados. ● Simplicidad, permite a los desarrolladores empezar a trabajar rápidamente y fácilmente, presenta un

innovador enfoque orientado a objetos, para la gestión de la configuración. Los desarrolladores no tienen que escribir una sola línea de código, para crear un modelo CMDB, se abstrae a los desarrolladores de la base de datos relacional subyacente, que se utiliza para almacenar los elementos de configuración.

● Opciones de usar distintos motores de datos, se puede utilizar con diferentes motores de bases de datos relacionales.

Figura 3: Vista de relaciones, Fuente: OneCMDB.





Figura 4: Vista de detalles de CI, Fuente: OneCMDB.

I-doit

Características generales: ● Historial de cambios, cuenta con un módulo completo de auditoría centralizada, con el registro de cambios

realizados en todo el sistema. ● Flujos de trabajo personalizables, permite definir el ciclo de vida de entradas o listas de tareas a realizar

ajustándolo a cada organización. ● Plantillas, cuenta con formatos preconfigurados para la documentación de objetos. ● CMDB base, parametrizada para el registro y documentación de ítems de configuración.

Figura 5: Vista de interfaz de usuario i-doit, Fuente: Synetics GmbH.





Figura 6: Vista de relaciones entre CIs en i-doit, Fuente: Synetics GmbH.

CMDBuild

Características generales: ● Modelo de datos, 100% customizable de acuerdo a las necesidades de la organización. ● Motor de flujos de trabajo, permite el diseño de flujos en aplicaciones externas, con la posibilidad de

importar vía XML, las definiciones del proceso. ● Interfaz móvil, cuenta con interfaz para facilitar el acceso a la información, desde dispositivos móviles. ● Historial, cuenta con un módulo específico, para la gestión del historial de cambios y modificaciones

realizadas sobre todo el sistema. ● Gestión de documentos, permite adjuntar documentos y recursos en múltiples formatos (documentos,

imágenes, videos, entre otros. ● Gráficos de relación, cuenta con gráficos dinámicos para ver la relación entre componentes y el análisis de

impacto ante cambios o incidentes.

Figura 7: Vista de ítems de configuración en CMDBuild. Fuente: Tecnoteca srl.





Figura 8: Vista de relaciones entre CIs en CMDBuild, Fuente: Tecnoteca srl.





Anexo 2

Detalles de análisis BIA

Cuadro 1: Especificación de servicios a partir de análisis BIA, Fuente: Interno Empresa.





Anexo 3

Cuadro de cálculo de cumplimiento de criterios de evaluación de softwares CMDB

Criterio Valor % Ponderación

iTop One CMDB

i-doit CMD build

Open Source Requerido 10% 10% 10% 10% 10%

Arquitectura Cliente/Servidor 5% 5% 0% 5% 5%

Tecnologías Código abierto (php, apache)

5% 5% 5% 5% 5%

Motor de datos MySQL 5% 5% 0% 5% 5%

ITIL Compliant Requerido 10% 10% 10% 0% 10%

Soporte Requerido, Comunidad 5% 5% 5% 5% 5%

Documentación Requerido 2% 2% 2% 2% 2%

Uso de software de 3ros. No Requerido 2% 2% 0% 2% 0%

Funcionalidades

Análisis de impacto Requerido 5% 5% 0% 0% 5%

Relación entre CI Requerido 5% 5% 5% 5% 5%

Gestión de configuración Requerido 10% 10% 10% 10% 10%

Gestión de cambios Requerido 10% 10% 10% 0% 10%

Gestión de incidentes Opcional 2% 2% 0% 0% 2%

Gestión de problemas Opcional 2% 2% 0% 0% 2%

Gestión de requerimientos Opcional 2% 2% 0% 0% 0%

Mesa de ayuda Opcional 2% 2% 0% 0% 0%

Historial Requerido 10% 10% 10% 10% 10%

Otros

Facilidad de uso Alta 5% 5% 0% 5% 5%

Configuración Simple 3% 3% 0% 3% 0%

Cumplimiento criterios (%) 100% 100% 67% 67% 86%

Cuadro 1: Cálculo de cumplimiento de criterios de evaluación, Fuente: Elaboración propia.

Date post:	02-May-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

Implementación de una CMDB Open Source Basada en IT€¦ · Resumen: Las empresas que utilizan...

Documents