PLAN DE CONTINGENCIAS Y OTROS FACTORES RELACIONADOS Ms. Ing. Jairo E. Mrquez D.

Introduccin En las ltimas dcadas, las entidades a nivel nacional, han concedido una importancia creciente a la implementacin de planes detallados y precisos que garanticen la continuidad de sus procesos ante eventualidades de diversa ndole que afecten la prestacin de sus servicios. Si en un principio los factores de riesgo estaban asociados principalmente a contingencias de carcter natural y tecnolgico, las consecuencias derivadas de sucesos como el terrorismo, han mostrado la necesidad de incorporar nuevas amenazas en el proceso de gestin del riesgo. Es as, que los denominados Planes de Continuidad del negocio (BCP)1 buscan sostener los procesos crticos de una entidad durante y despus de una interrupcin. Plan de contingencias [1] Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el desempeo (delivery and support, vase ITIL). Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compaa. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informtica o tecnologas. Otros departamentos pueden tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No obstante, dada la importancia de las tecnologas en las organizaciones modernas, el plan de contingencias es el ms relevante. Ciclo de vida El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-checkact, es decir, planificar-hacer-comprobar-actuar). Nace de un anlisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio. Sobre dicha base se seleccionan las contramedidas ms adecuadas entre diferentes alternativas, siendo plasmadas en el plan de contingencias junto con los recursos necesarios para ponerlo en marcha. El plan debe ser revisado peridicamente. Generalmente, la revisin ser consecuencia de un nuevo anlisis de riesgo. En cualquier caso, el plan de contingencias siempre es cuestionado cuando se materializa una amenaza, actuando de la siguiente manera:

Si la amenaza estaba prevista y las contramedidas fueron eficaces: se corrigen solamente aspectos menores del plan para mejorar la eficiencia. Si la amenaza estaba prevista pero las contramedidas fueron ineficaces: debe analizarse la causa del fallo y proponer nuevas contramedidas. Si la amenaza no estaba prevista: debe promoverse un nuevo anlisis de riesgos. Es posible que las contramedidas adoptadas fueran eficaces para una amenaza no prevista. No obstante, esto no es excusa para evitar el anlisis de lo ocurrido.

Contenido El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza: El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. El plan de emergencia. Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza. El plan de recuperacin. Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza.

Por otra parte, el plan de contingencias no debe limitarse a estas medidas organizativas. Tambin debe expresar claramente:

Qu recursos materiales son necesarios. Qu personas estn implicadas en el cumplimiento del plan. Cules son las responsabilidades concretas de esas personas y su rol dentro del plan. Qu protocolos de actuacin deben seguir y cmo son.

Por ejemplo. Supongamos una pequea compaa que se dedica a la produccin de prendas textiles. Un anlisis de riesgos identificara (entre otras cosas) lo siguiente: Activos e interdependencias: Oficinas centrales Centro de proceso de datos Computadoras y almacenamiento Informacin de pedidos y facturacin Proceso de negocio de ventas Imagen corporativa. Este anlisis demuestra que una amenaza materializada en las oficinas centrales podra llegar a afectar al proceso de negocio dedicado a la venta. Aunque esto no impida a la compaa seguir comercializando productos, supondra una interrupcin temporal de las ventas. Adems afectara negativamente a la imagen corporativa provocando la prdida de clientes. As, se evaluara la siguiente amenaza y su impacto: Amenaza: Incendio. (Los activos afectados son los anteriores). Impacto: (es un ejemplo ficticio) - Perdida de un 10% de clientes. - Imposibilidad de facturar durante un mes. - Imposibilidad de admitir pedidos durante un mes. - Reconstruccin manual de pedidos y facturas a partir de otras fuentes. - Sanciones por accidente laboral. - Inversiones en equipamiento y mobiliario. Rehabilitacin del local.

Todas estas consecuencias pueden valorarse en trminos monetarios, que junto a la probabilidad de materializacin ofrecen una estimacin del riesgo. El plan de contingencias contendra someramente las siguientes contramedidas: Medidas tcnicas: Extintores contra incendios. Detectores de humo. Salidas de emergencia. Equipos informticos de respaldo. Medidas organizativas:

Seguro de incendios. Precontrato de alquiler de equipos informticos y ubicacin alternativa. Procedimiento de copia de respaldo. Procedimiento de actuacin en caso de incendio. Contratacin de un servicio de auditora de riesgos laborales. Medidas humanas: Formacin para actuar en caso de incendio. Designacin de un responsable de sala. Asignacin de roles y responsabilidades para la copia de respaldo. (Etc.)

Los subplanes contendran las siguientes previsiones: Plan de respaldo: Revisin de extintores. Simulacros de incendio. Realizacin de copias de respaldo. Custodia de las copias de respaldo (por ejemplo, en la caja fuerte de un banco). Revisin de las copias de respaldo. Plan de emergencia: Activacin del precontrato de alquiler de equipos informticos. Restauracin de las copias de respaldo. Reanudacin de la actividad. Plan de recuperacin: Evaluacin de daos. Traslado de datos desde la ubicacin de emergencia a la habitual. Reanudacin de la actividad. Desactivacin del precontrato de alquiler. Reclamaciones a la compaa de seguros.

Plan de continuidad del negocio [2] La informacin es uno de los activos ms importantes para las organizaciones, donde los sistemas de informacin y disponibilidad de estos juegan un rol preponderante para la continuidad de un negocio, por lo cual las organizaciones desarrollan e implementan lo que se conoce como BCP (Business Continuity Plan), con el objetivo de mantener la

funcionalidad de una organizacin, a un nivel mnimo aceptable durante una contingencia. Esto implica que un BCP debe contemplar todas las medidas preventivas y de recuperacin para cuando se produzca una contingencia que afecte al negocio. Este documento trata la metodologa ocupada en la Planificacin de la Continuidad del Negocio (BCP: Business Continuity Plannig). El Plan de Continuidad del Negocio (BCP) es el resultado de la aplicacin de una metodologa interdisciplinaria, llamada Cultura BCM, usada para crear y validar planes logsticos para la prctica de cmo una organizacin debe recuperar y restaurar sus funciones crticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado despus de una interrupcin no deseada o desastre. Estos planes son llamados Planes de Continuidad del Negocio. El plan logstico que se denomina un Plan de Continuidad de Negocios. En lenguaje sencillo, BCP es el cmo una organizacin se prepara para futuros incidentes que puedan poner en peligro la organizacin y su misin bsica a largo plazo. Los incidentes incluidos en la construccin de incidentes como incendios, terremotos incidentes como regional, nacional o incidentes como pandemia de enfermedades. Continuidad del Negocio es un concepto que abarca tanto la Planeacin para Recuperacin de Desastres (DRP) como la Planeacin para el Restablecimiento del Negocio. Recuperacin de Desastres es la capacidad para responder a una interrupcin de los servicios mediante la implementacin de un plan para restablecer las funciones crticas de la organizacin. Ambos se diferencian de la Planeacin de Prevencin de Prdidas, la cual implica la calendarizacin de actividades como respaldo de sistemas, autenticacin y autorizacin (seguridad), revisin de virus y monitoreo de la utilizacin de sistemas (principalmente para verificaciones de capacidad). En esta ocasin hablaremos sobre la importancia de contar con la capacidad para restablecer la infraestructura tecnolgica de la organizacin en caso de una disrupcin severa. Lo primero que se debe realizar es un Anlisis de Impacto al Negocio (BIA). ste es bsicamente un informe que nos muestra el coste ocasionado por la interrupcin de los procesos de negocio. Una vez obtenido este informe, la compaa tiene la capacidad de clasificar los procesos de negocio en funcin de su criticidad y lo que es ms importante: establecer la prioridad de recuperacin (o su orden secuencial).

En el BIA se identifican los componentes claves requeridos para continuar con las Operaciones de Negocio luego de un incidente, dentro de estos componentes se encuentran: Personal requerido Areas de trabajo Registros vitales- Backups de informacin Aplicativos Crticos Dependencias de otras reas Dependencias con Terceras partes
Criticidad de los recursos de informacin Participacin del personal de Seguridad Informtica y los usuarios finales Anlisis de todos los tipos de recursos de informacin

Tres aspectos claves para el anlisis:

Criticidad de los recursos de informacin relacionados con los procesos crticos del negocio Perodo de recuperacin crtico antes de incurrir en prdidas significativas Sistema de clasificacin de riesgos

Una estrategia de Recuperacin es una combinacin de medidas preventivas, detectivas y correctivas - Eliminar la amenaza completamente - Minimizar la probabilidad de que ocurra - Minimizar el efecto Las interrupciones ms prolongadas y ms costosas, en particular los desastres que afectan a las instalaciones, requieren recuperacin (offsite). Aplicacin El Plan de Continuidad de Negocio abarca todos los sectores de Negocio, dado con ms nfasis en aqullos donde la Disponibilidad de la Informacin es su mayor activo. A partir del 11 de Septiembre de 2001, los Planes de Continuidad de Negocio cobraron importancia abarcando con mayor cobertura a Compaas del Sector Financiero y sus asociados, donde hoy en da tiene su mayor aplicacin. No hay importancia del tamao de la empresa o institucin, un plan de continuidad puede ser aplicado tanto a empresas grandes, medianas, pequeas e incluso micro empresas. Como todo proceso, la aplicacin de un plan de continuidad involucra determinados pasos obligatorios para garantizar la funcionalidad del mismo, estas fases son: 1. 2. 3. 4. Fase de Anlisis y Evaluacin de Riesgos Seleccin de Estrategias Desarrollo del Plan Pruebas y Mantenimiento del Plan.

5.

Pruebas y Aceptacin en la Organizacin

Mantenimiento Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectar de forma crtica .No importa el tamao de la empresa o el coste de las medidas de seguridad implantadas, toda organizacin necesita un Plan de continuidad de negocio ya que tarde o temprano se encontrar con una incidencia de seguridad. Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectar de forma crtica. No importa el tamao de la empresa o el coste de las medidas de seguridad implantadas, toda organizacin necesita un Plan de continuidad de negocio ya que tarde o temprano se encontrara con una incidencia de seguridad.
Cualquier organizacin, en algn instante de tiempo, se deber enfrentar a una situacin anmala que amenace su actividad.

Un Plan de Continuidad de Negocio tiene como objetivo el mantenimiento de estos servicios y procesos crticos, as como la reduccin de impactos ante imprevistos de indisponibilidad o desastres para en un plazo razonable y con un coste acotado. Este servicio est orientado a la obtencin de un plan global que garantice la cobertura tcnica y organizativa adecuada de las reas crticas de negocio. Los objetivos del plan de continuidad de negocio son:

Salvaguardar los intereses de sus clientes y socios adems del negocio y la imagen de la organizacin. Identificar los puntos dbiles en los sistemas de la organizacin. Analizar las comunicaciones e infraestructuras. Conocer la logstica para restablecer los servicios, independientemente de los sistemas. Ofrecer alternativas viables a todos los procesos crticos de negocio.

Como complemento a lo anterior, la incorporacin del mantenimiento preventivo MP en cualquier instalacin, en particular para nuestro caso los centros informticos o de datos, juega un papel fundamental; lo cual radica en prever daos en los sistemas que son crticos para la organizacin. Para ello puede tomarse como referente la informacin citada en la tabla 1.1

NA.

Tabla 1 Lista de muestra de condiciones ambientales para mantenimiento preventivo [Tomado de Thierry Bayle. Estrategia de mantenimiento preventivo para centros de datos. Informe interno N 124. APC by Schneider Electric]

Planes Complementarios [3] En la figura 1, tomada de la publicacin especial SP800-342 del NIST, se observa una versin holstica de los diferentes tipos de planes relacionados con la atencin de desastres, incidentes y emergencias, y su interrelacin con el Plan de Continuidad del Negocio.

De esta figura se desprende la conveniencia de que un plan de continuidad del Negocio se complemente con dichos planes. Sin embargo, debido a la carencia de definiciones estndar

para estos tipos de planes, en algunos casos el alcance de los mismos puede variar entre las diferentes organizaciones. Por tal motivo, cuando se hable de estos planes durante la ejecucin del proyecto, o a futuro se piense en complementar el Plan de Continuidad del Negocio, es recomendable considerar las siguientes definiciones y conceptos segn el documento NIST SP800-34: 1. Plan de comunicacin de crisis: documento que contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los dems planes para asegurar que slo se divulguen los comunicados aprobados y que solamente el personal autorizado sea responsable de contestar las diferentes inquietudes y de diseminar los reportes de estado al personal y al pblico. 2. Planes de evacuacin por edificio: contiene los procedimientos que deben seguir los ocupantes de una instalacin o facilidad en el evento en que una situacin se convierta en una amenaza potencial a la salud y seguridad del personal, el ambiente o la propiedad. Tales eventos podran incluir fuego, terremoto, huracn, ataque criminal o una emergencia mdica. Estos planes se desarrollan por cada instalacin y son especficos a la localizacin geogrfica y al diseo estructural de la construccin. 3. Plan de continuidad de operaciones por sede o sitio (COOP por sus siglas en ingls Continuity of Operations Plan): orientado a restaurar las funciones esenciales de una sede o sitio de la entidad en una sede alterna y realizar aquellas funciones por un perodo mximo de 30 das antes de retornar a las operaciones normales. Debido a que un COOP se enfoca en sedes o sitios, se debe desarrollar y ejecutar de manera independiente del BCP. Las interrupciones menores que no requieren reubicacin en una sede alterna no se cubren en un COOP. 4. Plan de respuesta a ciber-incidentes: Establece procedimientos para responder a los ataques en el ciberespacio contra un sistema de Tecnologa Informtica (TI) de una entidad. Estos procedimientos estn diseados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes de cmputo maliciosos tales como acceso no autorizado a un sistema o dato, negacin de servicio, cambios no autorizados a hardware, software o datos (lgica maliciosa, tales como virus, gusanos o caballos de Troya). 5. Plan de contingencia de TI: orientado a ofrecer un mtodo alterno de operacin para sistemas de soporte general y para aplicaciones crticos. Debido a que un plan de contingencia de TI se debe desarrollar por cada sistema de soporte general y por cada aplicacin importante, existirn mltiples planes de contingencia. 6. Plan de recuperacin de desastres (Disaster Recovery Plan, DRP): Orientado a responder a eventos importantes, usualmente catastrficos que niegan el acceso a la

facilidad normal por un perodo extendido. Frecuentemente el DRP se refiere a un plan enfocado a TI y diseado para restaurar la operabilidad del sistema, aplicacin o facilidad de cmputo objetivo en un sitio alterno despus de una emergencia. El alcance de un DRP puede solaparse con el de un plan de contingencia de TI; sin embargo, el DRP es ms amplio en alcance y no cubre interrupciones menores que no requieren reubicacin. Dependiendo de las necesidades de la organizacin, pueden existir varios DRP. Plan de recuperacin ante desastres [4] Un plan de recuperacin ante desastres (del ingls Disaster Recovery Plan) es un proceso de recuperacin que cubre los datos, el hardware y el software crtico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Esto tambin debera incluir proyectos para enfrentarse a la prdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este artculo, el propsito es la proteccin de datos. Con el crecimiento de la tecnologa de informacin y la confianza sobre datos cruciales, el panorama ha cambiado en aos recientes a favor de la proteccin de datos irreemplazables. Esto es evidente sobre todo en la tecnologa de informacin; con los sistemas de ordenadores ms grandes que sostienen informacin digital para limitar prdida de datos y ayudar recuperacin de datos. Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperacin de desastre, sin embargo, esto lo hacen para evitar prdidas ms grandes. De las empresas que tenan una prdida principal de registros automatizados el 43 % nunca vuelve a abrir, el 51 % cierra en menos de dos aos, y slo el 6 % sobrevivir el largo plazo. [5] El mercado de proteccin de datos existente es caracterizado por varios factores: El permanente cambio de las necesidades de los clientes determinado por el crecimiento de datos, asuntos regulatorios y la creciente importancia de tener rpido acceso a los datos conservndolos en lnea. Respaldar los datos de vez en cuando teniendo tecnologas de cintas convencionales de reservas.

Como el mercado de recuperacin de desastre sigue sufriendo cambios estructurales significativos, este cambio presenta oportunidades para las empresas de la nueva generacin a que se especialicen en la planificacin de continuidad de negocio y la proteccin de datos fuera de sitio. Razones para recurrir a un DRP Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organizacin. Una evaluacin de riesgo debera ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa especfica, incluyendo: Catstrofes. Fuego. Fallos en el suministro elctrico. Ataques terroristas. Interrupciones organizadas o deliberadas. Sistema y/o fallos del equipo. Error humano. Virus informticos. Cuestiones legales. Huelgas de empleados.

Prevencin ante los desastres Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda ms que los datos de una semana. Incluir el software as como toda la informacin de datos, para facilitar la recuperacin.

Si es posible, usar una instalacin remota de reserva para reducir al mnimo la prdida de datos. Redes de rea de Almacenamiento (SANs) en mltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estn disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado equipo electrnico. El suministro de energa ininterrumpido (SAI). La prevencin de incendios - ms alarmas, extintores accesibles. El software del antivirus. El seguro en el hardware.

El plan Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: "Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que hay que tomar en cuenta. Los ms importantes son: El rbol telefnico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperacin. Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerir una conexin de red a la posicin remota de reserva (o Internet). Clientes: la notificacin de clientes sobre el problema reduce al mnimo el pnico. Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes. Instalaciones de recuperacin mviles estn tambin disponibles en muchos proveedores. Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar horas ms largas y ms agotadoras. Debe haber un sistema de apoyo para aliviar un poco de tensin. La informacin de negocio. Las reservas deben estar almacenadas completamente separadas de la empresa (Cummings, Haag y 2005 McCubbrey). La seguridad y la fiabilidad de los datos es clave en ocasiones como estas.

Business Continuity Planning (BCP) Continuidad del Negocio es un concepto que abarca tanto la Planeacin para Recuperacin de Desastres (DRP) como la Planeacin para el Restablecimiento del Negocio. Recuperacin de Desastres es la capacidad para responder a una interrupcin de los servicios mediante la implementacin de un plan para restablecer las funciones crticas de la organizacin (es decir la parte operativa del negocio). Ambos se diferencian de la

Planeacin de Prevencin de Prdidas, la cual implica la calendarizacin de actividades como respaldo de sistemas, autenticacin y autorizacin (seguridad), revisin de virus y monitoreo de la utilizacin de sistemas (principalmente para verificaciones de capacidad). En esta ocasin hablaremos sobre la importancia de contar con la capacidad para restablecer la infraestructura tecnolgica de la organizacin en caso de una disrupcin severa. Constantemente se experimentan situaciones de emergencia, directa o indirectamente, las cuales se manifiestan en respuestas equvocas ocasionadas por el temor, miedo o un extremoso pnico aterrador. Frecuentemente los administradores o responsables de los sistemas de cmputo empiezan a tomar en cuenta la seguridad de su sistema despus de haber sido objeto de un ataque, dando como resultado la prdida de informacin, horas de trabajo, incluso dinero. La seguridad en el trabajo es uno de los factores ms importantes que garantizan el crecimiento de la productividad. Velar por la seguridad fsica y lgica no es una tarea que se efecte una sola vez y garantice su eficiencia por siempre. Para mantener la seguridad se requiere realizar peridicamente tareas preventivas. El establecimiento de procedimientos y medidas de seguridad estn destinados a salvaguardar la unidad administrativa, el centro de cmputo su estructura fsica, al personal, sus procedimientos operacionales, la informacin y documentacin generada contra cualquier evento natural o humano que de forma intencional o por accidente puedan afectarlos. Proceso de recuperacin Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc. Llamar el abastecedor de software e instalar de nuevo el software. Recuperar los discos de almacenaje que estn fuera de sitio. Reinstalar todos los datos de la fuente de respaldo. Volver a ingresar los datos de las pasadas semanas. Tener estrategias peridicas de respaldos de base de datos.

Tecnologa Biblioteca de cinta virtual. Software de rplica sincrnico.

Tecnologa de almacenaje de rplica. Servicio telefnico virtual PBX/HOSTED. Backups remotos de reserva. Protector de datos continuo. Sistema para la administracin de planes (Moebius).

Terminologa: Punto Objetivo de Recuperacin (RPO, Recovery Point Objective) es cuando la infraestructura, ya comenzada nuevamente, comenzar a hacerse evidente. Bsicamente, RPO significa lo que la organizacin est dispuesta a perder en cantidad de datos. Para reducir un RPO es necesario aumentar el sincronismo de rplica de datos. Tiempo Objetivo de Recuperacin (RTO, Recovery Time Objective) es el tiempo que pasar una infraestructura antes de estar disponible. Para reducir el RTO, se requiere que la Infraestructura (Tecnolgica, Logstica, Fsica) est disponible en el menor tiempo posible pasado el evento de interrupcin. Cuando ocurre una prdida de datos crtica, sin un plan de recuperacin de desastre preventivo, la nica opcin es salvar los datos. ITIL (Information Technology Infrastructre Library) La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada ITIL (del ingls Information Technology Infrastructure Library), es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI. ITIL es un conjunto de mejores prcticas agrupadas en libros; estas fueron desarrolladas por el Gobierno Ingls en los aos 80s. Este conjunto de libros ha evolucionado a travs de los aos y ahora est en la versin tres. El organismo encargado de regular esta prctica es la OGC (Office of Governance Commerce), quien ha dado al APM Group la tarea de administrar y autorizar licencias a los Institutos de exanimacin (EI Examination

Institute) y las tareas de acreditacin de organizaciones proveedoras de servicios de educacin. Los EI aprueban a las organizaciones de entrenamiento ATO ( Acreditate Trainning Organization) como Inteli para dar educacin con base en los parmetros de contenido del curso, una ruta oficial de capacitacin, la revisin de materiales y procesos para entregar cursos con un estndar de calidad internacional. [6] Certificacin Los particulares pueden conseguir varias certificaciones oficiales ITIL. Los estndares de calificacin ITIL son gestionados por la ITIL Certification Management Board (ICMB) que agrupa a la OGC, a itSMF International y a los dos Institutos Examinadores existentes: EXIN (con sede en los Pases Bajos) e ISEB (con sede en el Reino Unido).

Fig. Ruta de certificacin.

Existen tres niveles de certificacin ITIL para profesionales: Foundation Certificate (Certificado Bsico): acredita un conocimiento bsico de ITIL en gestin de servicios de tecnologas de la informacin y la comprensin de la

terminologa propia de ITIL. Est destinado a aquellas personas que deseen conocer las buenas prcticas especificadas en ITIL. Practitioner's Certificate (Certificado de Responsable): destinado a quienes tienen responsabilidad en el diseo de procesos de administracin de departamentos de tecnologas de la informacin y en la planificacin de las actividades asociadas a los procesos. Manager's Certificate (Certificado de Director): garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administracin de departamentos de tecnologas de la informacin, y lo habilita para dirigir la implantacin de soluciones basadas en ITIL.

No es posible certificar una organizacin o sistema de gestin como conforme a ITIL, pero una organizacin que haya implementado las guas de ITIL sobre Gestin de los Servicios de TI puede lograr certificarse bajo la ISO/IEC 20000. La versin 3 de ITIL, que apareci en junio de 2007, cambi ligeramente el esquema de Certificaciones, existiendo certificaciones puentes, se definen 3 niveles: Basic Level (Equivalente a ITIL Foundation en v2) Management and Capability Level (Equivalente a los niveles Practitioner y Manager en ITIL v2) Advanced Level (nuevo en v3)

Crticas a ITIL ITIL ha recibido crticas de varios frentes. Entre ellas: El hecho de que muchos defensores de ITIL parecen creer que es un marco holstico y completo para el gobierno de TI. Su tendencia a convertirla en una religin. Como seala Jan van Bon (autor y editor de muchas publicaciones de Gestin de Servicios de TI): Hay mucha confusin sobre ITIL, procedente de todo tipo de malentendidos sobre su naturaleza. ITIL, como afirma la OGC, es un conjunto de buenas prcticas. La OGC no afirma que dichas mejores prcticas describan procesos puros, ni tampoco que ITIL sea un marco diseado como un modelo coherente. Eso es lo que la mayora de sus usuarios hacen de ella, probablemente porque tienen una gran necesidad de dicho modelo. [7] El columnista CIO Magazine Dean Meyer tambin ha expuesto algunos puntos de vista cautelosos sobre ITIL, [8] incluyendo cinco trampas tpicas tales como convertirse en esclavo de definiciones desactualizadas y dejar que ITIL se convierta en religin. Como

Meyer seala, ITIL no describe el abanico completo de procesos necesarios para ser lderes. Se centra en [...] gestionar servicios actuales. La calidad de los volmenes de la biblioteca se considera desigual. Por ejemplo, van Herwaarden y Grift sealan que la consistencia que caracterizaba los procesos de soporte al servicio [...] se pierde en gran medida en los libros de entrega de servicio. [9] Todas estas manifestaciones acerca de ITIL provienen de compaias que en un momento dado han logrado entender que `para alcanzar objetivos de manera clara es necesario practicar ciertas prcticas que cumplan con ese objetivo y los resultados demostrados son benficos para quien los desarrolla y para quien hace uso de este entorno. ITIL v3 [10] En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de "ciclo de vida del servicio" separando y ampliando algunos subprocesos hasta convertirlos en procesos especializados. Esta modificacin responde a un enfoque empresarial para grandes corporaciones que utilizan ampliamente ITIL en sus operaciones y aspira a consolidar el modelo para conseguir an mejores resultados.

Es por ello que los especialistas recomiendan que empresas emergentes o medianas no utilicen ITIL v3 si no cuentan con un modelo ITIL consolidado y aspiran a una expansin a muy largo plazo. ITIL v3 consta de 5 libros basados en el ciclo de vida del servicio:

1. Estrategia del Servicio 2. Diseo del Servicio 3. Transicin del Servicio 4. Operacin del Servicio 5. Mejora Continua del Servicio Estrategia del Servicio Se enfoca en el estudio de mercado y posibilidades mediante la bsqueda de servicios innovadores que satisfagan al cliente tomando en cuenta la real factibilidad de su puesta en marcha. Asi mismo se analizan posibles mejoras para servicios ya existentes. Se verifican los contratos con base en las nuevas ofertas de proveedores antiguos y posibles nuevos proveedores, lo que incluye la renovacin o revocacin de los contratos vigentes. Procesos Gestin Financiera Gestin del Portafolio Gestin de la Demanda

Cambios en la versin 2011 Los conceptos dentro de la publicacin se han aclarado, sin necesidad de cambiar el mensaje general. La publicacin actualizada incluye una orientacin ms prctica y con ms ejemplos. Financial Management for IT services (Gestin Financiera de TI) La gestin financiera de TI ha ampliado para incluir algunos de los elementos clave de la ITIL publicaciones anteriores que haban sido excluidos en la edicin 2007 de la Estrategia del Servicio tales como contabilidad, elaboracin de presupuestos y de cargos. Business Relationship Management (Gestin de Relaciones del Negocio) Este es un nuevo proceso que se asemeja al existente en la ISO 20.000. Se hace una diferenciacin para los distintos proveedores de servicio: tipo I, II y III. Se brinda una explicacin diferente para cada tipo de proveedor. Governance (Gobierno)

Ahora hay ms detalles sobre el concepto de Gobierno, incluida una definicin ms completa de su significado, la diferencia entre el gobierno y gestin, un marco de gobierno, y cmo la gestin del servicio se relaciona con el gobierno. Cloud Computing (Computacin en la nube) Se ha incluido en qu forma la gestin de servicios se ve afectada por la aparicin de la computacin en la nube. Se agreg un nuevo apndice que cubre especficamente la estrategia de servicio y la nube: caractersticas, tipos, tipos de servicio, y los componentes de la arquitectura de nube. [11] Diseo del Servicio Una vez identificado un posible servicio el siguiente paso consiste en analizar su viabilidad. Para ello se toman factores tales como infraestructura disponible, capacitacin del personal y se planifican aspectos como seguridad y prevencin ante desastres. Para la puesta en marcha se toman en consideracin la reasignacin de cargos (contratacin, despidos, ascensos, jubilaciones, etc.), la infraestructura y software a implementar. Procesos Gestin del Catlogo de Servicios Gestin de Niveles de Servicio Gestin de la Disponibilidad Gestin de la Capacidad Gestin de la Continuidad de los Servicios de TI Gestin de Proveedores Gestin de la Seguridad de Informacin Coordinacin del Diseo (nuevo en la versin 2011)

Cambios en la versin 2011 Las principales modificaciones del libro de ITIL V3 Diseo del Servicio en su versin 2011 incluye: un cambio a los denominados 5 aspectos del diseo y primordialmente la inclusin de un nuevo proceso de Coordinacin del Diseo. De esta manera esta fase incluye ahora 8 procesos, en lugar de 7. Nuevo Proceso ITIL V3 2011: Coordinacin del Diseo (Design Coordination Process) [12] Se adicion este proceso para hacer ms claro el flujo de actividades en el ciclo de vida del diseo. El propsito del proceso de Coordinacin del Diseo es garantizar que las metas y los objetivos de la etapa de diseo del servicio entregando y manteniendo un punto nico

de coordinacin y control de todas las actividades y procesos dentro de esta etapa del ciclo de vida de servicio. Las salidas del proceso de coordinacin del diseo son potencialmente: Diseo de servicios integrado y consistente a travs del SDP (paquete de diseo del servicio) Revisin de la arquitectura empresarial Revisin del sistema de gestin Revisin de las mtricas y mtodos de medicin Revisin de procesos Actualizacin del Portafolio de Servicios Actualizacin de los registros de cambios

Transicin del Servicio Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se analiza la informacin disponible acerca del nivel real de capacitacin de los usuarios, estado de la infraestructura, recursos IT disponibles, entre otros. Luego se prepara un escenario para realizar pruebas; se replican las bases de datos, se preparan planes de rollback (reversin) y se realizan las pruebas. Luego de ello se limpia el escenario hasta el punto de partida y se analizan los resultados, de los cuales depender la implementacin del servicio. En la evaluacin se comparan las expectativas con los resultados reales. Procesos Gestin de la Configuracin y Activos Gestin del Cambio Gestin del Conocimiento Planificacin y Apoyo a la Transicin Gestin de Release y Despliegue Gestin Validacin y Pruebas Evaluacin (Evaluacin del cambio)

Cambios en la versin 2011 [13] En la edicin ITIL V3 2011 del libro de Transicin del Servicio, se realizaron modificaciones y aclaraciones, a efectos de mejorar el entendimiento de los conceptos. Se aclar la estructura, el contenido y las relaciones entre el Sistema de Gestin de Configuraciones (CMS) y el Sistema de Gestin del Conocimiento del Servicio (SKMS) para hacer ms entendibles los conceptos. Se incorpor un nuevo contenido relacionado con la forma que que debe ser usado un Requerimiento de Cambio (RFC).

El proceso de Evaluacin (que no se ve en fundamentos sino en el Intermediate RCV) fue renombrado como Evaluacin del cambio. Se modific su propsito y alcance, a efectos de clarificar cuando debe ser usado. El proceso de Gestin de Activos y Configuraciones del Servicio tiene informacin adicional y se mejoraron los flujos de interaccin con otros procesos, incluidos Gestin de Cambio, Gestin de Versiones y Entrega, y Evaluacin del Cambio. Por ltimo se mejoraron las descripciones de los Elementos de Configuracin (CI) , Sistema de Gestin de Configuraciones (CMS) y el Sistema de Gestin del Conocimiento del Servicio (SKMS) Operacin del Servicio En este punto se monitoriza activa y pasivamente el funcionamiento del servicio, se registran eventos, incidencias, problemas, peticiones y accesos al servicio. Procesos Gestin de Incidentes Gestin de Problemas Cumplimiento de Solicitudes Gestin de Eventos Gestin de Accesos

Mejora Continua del Servicio Se utilizan herramientas de medicin y feedback para documentar la informacin referente al funcionamiento del servicio, los resultados obtenidos, problemas ocasionados, soluciones implementadas, etc. Para ello se debe verificar el nivel de conocimiento de los usuarios respecto al nuevo servicio, fomentar el registro e investigacin referentes al servicio y disponer de la informacin al resto de los usuarios. Gestin de incidentes [14] La gestin de incidentes es un rea de procesos perteneciente a la Gestin de Servicio TI. El primer objetivo de la gestin de incidentes es recuperar el nivel habitual de funcionamiento del servicio y minimizar en todo lo posible el impacto negativo en la organizacin de forma que la calidad del servicio y la disponibilidad se mantengan. Los incidentes que no pueden ser resueltos rpidamente por el equipo de ayuda al usuario, son asignados a un especialista del equipo de soporte tcnico. La resolucin del incidente debe ser ejecutada lo antes posible para restaurar el servicio rpidamente. La terminologa ITIL define un incidente como:

Cualquier evento que no forma parte del desarrollo habitual del servicio y que causa, o puede causar una interrupcin del mismo o una reduccin de la calidad de dicho servicio. El objetivo de ITIL es reiniciar el funcionamiento normal tan rpido como sea posible con el menor impacto para el negocio y el usuario con el menor coste posible.

Incidentes, Problemas y Errores Conocidos Un incidente puede coincidir con un Problema conocido (fallo sin un origen conocido) o con un Error conocido (fallo con origen conocido) bajo el control de la gestin de problemas y registrado en la base de datos de errores conocidos. En el caso de que se hayan determinado algunas estrategias de resolucin de problemas, el acceso a ellas por parte del servicio tcnico permitir una mayor velocidad a la hora de resolverlas. Cuando un incidente no es el resultado de un problema conocido o un error conocido, puede ser un fallo puntual o puede ser necesario comenzar una gestin de problemas, de forma que este incidente quede registrado para futuras referencias. Incidentes y Cambios Los incidentes son el resultado de fallos o errores en la infraestructura TI. La causa de los incidentes puede ser aparente y puede ser solucionada sin necesidad de inversiones futuras, mediante una reparacin o una peticin de cambio para solventar el error. Cuando un incidente es considerado como grave, o se observan mltiples casos de incidentes similares, puede crearse el registro de un problema (el problema puede no ser registrado hasta que se haya repetido varias veces el mismo incidente). La gestin de un problema es diferente a la gestin de incidentes, se desarrolla en otro equipo de trabajo y se controla mediante la gestin de problemas. Cuando un problema se ha identificado y se conoce la solucin, el problema se convierte en un problema conocido. Tras identificar la causa del problema, este pasa a ser un error conocido. Finalmente una peticin de cambio puede ser realizada para solventar el error. A partir de este punto, el proyecto es competencia de la gestin del cambio.

Una peticin de un nuevo servicio no se clasifica como incidente, si no como una peticin de cambio. Procesos de gestin de incidentes El proceso habitual de gestin de incidentes es el siguiente: Deteccin y registro del incidente. Clasificacin y soporte inicial. Investigacin y diagnstico. Resolucin y recuperacin. Cierre del incidente. Monitorizacin, seguimiento y comunicacin del incidente.

Ejemplos Los incidentes deben clasificarse a medida que son reportados. Algunos ejemplos de incidentes segn su clasificacin son los siguientes: Aplicaciones Servicio no disponible Fallo de la aplicacin Capacidad del disco duro excedida Hardware Cada del sistema Alerta automtica Impresora que no imprime

ITIL Gestin de Incidentes [15] Definicin del "mundo real" de la Gestin de Incidentes: es la forma en que el Centro de Servicio saca los 'incendios diarios. Un "incidente" es cualquier evento que no es parte de la operacin estndar del servicio y que causa, o puede causar, una interrupcin o una reduccin de la calidad del servicio. El objetivo de la Gestin de Incidentes es restaurar las operaciones normales tan pronto como sea posible con el menor impacto posible en cualquiera de los negocios o el usuario, a un precio rentable. Las entradas para el Manejo de Incidentes en su mayora provienen de los usuarios, pero puede tener otras fuentes, as como la gestin de la informacin o los sistemas de deteccin.

Los resultados del proceso son los RFC (Solicitudes de Cambios), resuelto e Incidentes cerrados, gestin de la informacin y la comunicacin al cliente. Actividades del Incidente proceso de Gestin: Incidente de deteccin y registro Clasificacin y soporte inicial Investigacin y diagnstico Resolucin y recuperacin Incidente cierre Propiedad de incidentes, monitoreo, rastreo y comunicacin Estos elementos proporciona una lnea de base para la revisin por la direccin.

Incidentes Introduccin a la administracin rpida Declaracin de la Misin Restaurar normales estado en el que las operaciones de servicio tan pronto como sea posible para minimizar el impacto adverso en las operaciones comerciales. Objetivo Proceso de lograr la misin proceso de aplicacin: ITIL alineados Polticas de Gestin de Incidentes, Procesos y Procedimientos Las normas de la escalada de incidentes Gestin de Incidentes dedicado Proceso Propietario Las categoras de clasificacin de incidentes Los informes de incidentes Comunicaciones de Incidentes y educacin para el personal de TI Factores Crticos de xito (FCE) Los factores crticos de xito son: Mantenimiento de la calidad del servicio Mantenimiento de Satisfaccin del Cliente Los incidentes se resuelven dentro de tiempos de servicios establecidos

Actividades principales Las actividades principales de este proceso son: o o o o o o Detectar y denunciar los incidentes Clasificar los incidentes Proporcionar apoyo incidente inicial Dar prioridad a los incidentes en funcin del impacto y la urgencia Investigar y diagnosticar los incidentes Resolver los incidentes y recuperarse de servicio por niveles de servicio acordados

o Incidentes Cerrar o Mantener la propiedad, la supervisin, el seguimiento y las comunicaciones sobre incidentes o Proporcionar informacin acerca de la gestin de calidad Gestin de incidentes y operaciones. Indicadores clave de rendimiento (KPIs) Ejemplos de indicadores de procesos clave de rendimiento (KPI) se muestran en la siguiente lista. Cada uno de ellos est asignado a un Factor Clave de xito (CSF). El mantenimiento de la calidad del servicio Nmero de incidentes de gravedad 1 (total y por categora) Nmero de incidentes de gravedad 2 (total y por categora) Nmero de otros incidentes (total y por categora) Nmero de incidentes clasificados incorrectamente Nmero de incidentes se intensificaron incorrectamente Nmero de incidentes sin pasar Service Desk Nmero de incidentes no se cierra / resueltos con soluciones Nmero de incidentes resueltos antes de notar los clientes Nmero de incidentes reabiertos El mantenimiento de Satisfaccin del Cliente Nmero de Encuestas a los usuarios / clientes enviados Nmero de Encuestas a los usuarios / clientes respondieron a Promedio de usuario / cliente encuesta puntuacin (total y por categora de pregunta) Tiempo medio de espera de cola de respuesta a incidentes Resolucin de Incidentes dentro de los tiempos de servicios establecidos Nmero de incidentes registrados Nmero de incidentes resueltos por Service Desk Nmero de incidentes se intensificaron por Service Desk Tiempo promedio para restablecer el servicio desde el punto de la primera llamada Tiempo medio para restaurar la severidad 1 incidentes Tiempo promedio para restaurar Gravedad 2 incidentes La diferencia entre Gestin de Incidentes y Gestin de Problemas Los incidentes y solicitudes de servicio se gestionan a travs formalmente un proceso por etapas hasta su conclusin. Este proceso se conoce como el "Incidente Lifecycle Management". El objetivo del ciclo de vida de la Gestin de Incidentes es restaurar el

servicio tan pronto como sea posible para cumplir con los Acuerdos de Nivel de Servicio. El proceso est dirigido principalmente a nivel de usuario. Problema ofertas de gestin con la resolucin de la causa subyacente de uno o ms incidentes. El enfoque de la Gestin de Problemas es resolver la causa raz de los errores y encontrar soluciones permanentes. Aunque se har todo lo posible para resolver el problema lo antes posible este proceso se centra en la resolucin del problema y no de la velocidad de la resolucin. Este proceso trata a nivel de empresa. Tarea. 1. Desarrollar el curso de ITIL en la pgina http://itilv3.osiatis.es/ 2. Realizar un resumen del curso y de su importancia en su rama profesional. 3. Establezca un plan de continuidad de negocios para una empresa pequea. Referencias [1] Plan de contingencias. Recuperado http://es.wikipedia.org/wiki/Plan_de_Contingencias el 2 de enero de 2013.

[2] Plan de continuidad del negocio. Recuperado el 2 de enero de 2013. http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio [3] Plan de Continuidad de Negocio BCP. Recuperado el 6 de enero de 2013. http://www.acis.org.co/index.php?id=1706 [4] Plan de recuperacin ante desastres. Recuperado el 2 de enero de 2013. http://es.wikipedia.org/wiki/Plan_de_Recuperaci%C3%B3n_ante_Desastres [5] Jim Hoffer, "Backing Up Business - Industry Trend or Event", Health Management Technology, january 2001 [6] Qu es ITIL? Recuperado el 2 de enero de 2013. http://www.inteli.com.mx/portal/index.php?option=com_content&view=article&id=12 [7] van Bon, J., ed (2002). The guide to IT service management. Addison Wesley. ISBN 0201-73792-2. [8] Meyer, Dean, 2005. Beneath the Buzz: ITIL, CIO Magazine, 31 de marzo de 2005. [9] Van Herwaarden, H. y F. Grift (2002). "IPW(tm) and the IPW Stadia Model(tm) (IPWSM)". The guide to IT service management. J. Van Bon. Londres, Addison-Wesley: 97-115. [10] Federico, Ricardo. Actualizacion ITIL V3 2011: Estrategia del Servicio (en espaol). BITCompany. Consultado el 09/10/2011.

[11] Federico, Ricardo. Actualizacin ITIL V3 2011: Diseo del Servicio (en espaol). BITCompany. Consultado el 28/10/2011. [12] ibid. [13] Gestin de incidentes. Recuperado el 2 http://es.wikipedia.org/wiki/Gesti%C3%B3n_de_incidentes [14] ITIL Gestin de Incidentes. Recuperado el 2 http://www.itlibrary.org/index.php?page=Incident_Management [15] Ibid. de enero de 2013.

de

enero

de

2013.