Altran360

El blog de innovación y tecnología de Altran España

Outsourcing de sistemas con ITIL, un caso de éxito

| 1 Comentario

El 80% de los incidentes de seguridad son internos, debido a errores humanos y debido a cambios incontrolados. Altran y la Universidad Autónoma de Barcelona son conscientes de ello y han comenzado a tratar la seguridad, con este outsourcing de sistemas, desde un punto de vista organizativo, mediante la aplicación de ITIL, que le han permitido controlar todos los procesos del Servei d’Informatica, disminuyendo así los riesgos intrínsecos en la tan necesaria implantación del cambio dentro de un departamento de tecnologías de la información. “El control de los procesos del Servei d’Informàtica ha permitido poder afrontar la seguridad en todo su ciclo de vida”

Antecedentes y contexto

Altran dentro de su área de consultoría y organización gestiona el outsourcing de sistemas de información de la Universidad Autònoma de Barcelona. El servicio se desglosa en dos grandes áreas, el centro de atención a usuarios (CAS) y la administración de toda la infraestructura de sistemas y comunicaciones corporativos del Servei d’Informàtica (SI) de la UAB. El servicio da soporte aproximadamente a 40.000 alumnos  y unos 5.000 trabajadores que incluyen profesorado y personal de administración y servicios.

La infraestructura consta de un total de 170 servidores centrales en entornos heterogéneos (Solaris, Microsoft y Linux) y unos 700 dispositivos de red. La gestión del SI ha pasado por diferentes fases. En un inicio se basó en una gestión de recursos totalmente interna que fue evolucionando hacia un modelo de outsourcing y finalmente en una gestión basada en SLA.

La motivación

La primera experiencia del SI en outsourcing se basó en el control de la calidad de servicio recibida mediante SLA con el proveedor. Se daba por hecho que si los indicadores eran positivos, debía serlo de igual manera la calidad de servicio percibida por el usuario final. Con el tiempo, la experiencia demostró que si bien es importante la correcta gestión de los indicadores del outsourcing de sistemas de información, lo realmente relevante era la alineación con las directrices de la universidad y, por tanto, la orientación hacia el usuario.

Era necesario entonces que Altran y el Servei d’Informàtica trabajaran de forma conjunta, gestionando así un único SLA con la comunidad universitaria, sin eliminar los UCs (Underpinning Contract) entre ellos.

cmdb outsourcing de sistemas

Gestión de configuraciones CMDB

Otro objetivo a alcanzar era el de abordar el control de la seguridad de los sistemas, las comunicaciones y los procesos críticos de la organización mediante una correcta gestión de TI, mejorando así algunas de las áreas clave en la prestación de este tipo de  servicio y que tienen un mayor impacto sobre la operativa diaria de la Universidad:

  • Disponibilidad de los servicios.
  • Rendimiento de los recursos informáticos.
  • Adecuada comunicación y notificación con el usuario.
  • Gestión optima de los recursos humanos y materiales.
  • Reducción del riesgo de operación, aumentando así la confidencialidad, integridad y disponibilidad de los servicios.
  • Simplificación y mejora de los procesos.

Para poder alcanzar los objetivos anteriores se planteó la necesidad de una gestión global del servicio que permitiera un ciclo de mejora continua (Plan-Do-Check-Act).

La decisión

Teniendo como punto de partida la necesidad de cubrir todos los objetivos nombrados anteriormente, se valoran estándares, metodologías y “buenas practicas” existentes. ITIL se ha convertido en los últimos años en un estándar de facto en la industria de TI, focalizándose en crear un marco de trabajo conjunto entre el departamento de TI y las áreas de negocio para aportar calidad de servicio y una organización más eficaz y eficiente.

El hecho de que ITIL sea un conjunto de “buenas prácticas” y no una metodología o estándar posibilita una mejor adaptación o adecuación a la realidad de cada organización.

Altran posee un amplio conocimiento en la gestión de servicios de outsourcing de sistemas de información basado en ITIL y aportó su experiencia en la desarrollo del proyecto.

Nace el proyecto

Debido al alcance del proyecto la Dirección de Tecnologies de la Informació i la Comunicació de la Universitat Autònoma tuvo claro que debía impulsar y liderar el proyecto desde el inicio.

Un proyecto que pretende crear un marco de trabajo conjunto entre el departamento de TI (interno y outsourced) y la organización debe llevarse a cabo  con la participación horizontal tanto del proveedor externo del servicio (Altran) como del Gestor interno del servicio (SI), y verticalmente con representación de todas las áreas tecnológicas y organizativas involucradas.

El proyecto se estructuró en diferentes fases haciéndolas coincidir con los procesos de gestión propios de ITIL y abordando en una primera fase aquellas que mas impacto tenían en el servicio, que aportaban una mayor percepción de mejora y que representaban una sólida base sobre las que sustentar los demás procesos:

  • Gestión de Incidentes /Service Desk y Gestion de Problemas.
  • Gestión de Cambios.
  • Gestión de configuración.
  • Gestion de disponibilidad.

Los otros procesos de ITIL no quedaron en el olvido, y se han ido realizando tareas básicas para abordarlos posteriormente, como son creación de catálogo de servicios, SLAs asociados, inventario de proyectos, estimación de costes, etc.

La gestión de seguridad es trasversal y por tanto se ha ido abordando durante el desarrollo de cada uno de los procesos. Todas las fases del proyecto contemplan las siguientes pasos:

  • Monitorización, toma de datos del estado de madurez del proceso.
  • Análisis y plan de acción.
  • Aplicación de las recomendaciones.

Gestión de Incidentes/ Service Desk y Gestión de Problemas

Partíamos de un Help Desk resolutivo y técnico con un SLA que incluía la resolución del 80% de los incidentes sin escalado a segundo nivel. El objetivo ha sido conservar o aumentar la capacidad de resolución, disminuyendo el tiempo  medio empleado y aumentando el indicador de incidencias resueltas en primera llamada.

Para conseguirlo se centralizó la gestión de los incidentes en el Service Desk, haciendo especial hincapié en:

  • Aumentar el perfil técnico del Service Desk.
  • Dotarle de nuevos procedimientos y herramientas de comunicación con el usuario (correo electrónico, formularios web, autoservicio, herramientas de administración y control remoto, etc.).
  • Elaborar un “libro” de procedimientos de soporte técnico e información organizativa.

En resumen, siguiendo las recomendaciones de ITIL, el Service Desk es el gestor de incidentes en todo su ciclo de vida, participa activamente en la identificación de problemas a partir de las incidencias y es el origen de toda comunicación tanto hacia el usuario como a las demás áreas internas o proveedores externos.

Paralelamente, se desarrolló el proceso de gestión de problemas. El objetivo que queríamos conseguir era detectar los problemas del servicio y encontrar de la manera más eficaz y eficiente la solución definitiva de los mismos.

Para conseguirlo, el primer paso fue asignar el rol de gestor de problemas, que nos ayudaría a:

  • Centralizar la gestión de los problemas.
  • Impulsar y mantener un seguimiento de su resolución .
  • Documentar e informar de todos los errores conocidos (Known Errors) y de sus soluciones temporales (Workarounds).

El desarrollo de estos dos procesos nos ha permitido cerrar un primer círculo de comunicación con el usuario (incidencias-resolución) y la mejora del conocimiento del estado del servicio. La información que nos aportaron estos dos procesos fue la base para abordar con éxito las fases siguientes.

Gestión de cambios

Los cambios existen:

“El cambio es la única cosa inmutable” y estos pueden causar errores:

“Los errores humanos son la causa del 75% de los incidentes”. Nuestro objetivo fue controlar los cambios manteniendo el dinamismo necesario para cumplir los objetivos de la Universidad. Para conseguirlo se creo una comisión encargada de gestionar los cambios, el CAB (Change Advisory Board). La comisión esta compuesta por miembros representativos de diferentes áreas (técnicas, organizativas y de soporte), tanto del Servei d’Informàtica como de ALTRAN. Su misión es centralizar las peticiones de cambio, homogeneizar la información requerida,  evaluar el impacto (técnico, organizativo y económico) de los cambios y el análisis posterior a su implantación. Para que este proceso no se ralentizara el CAB desglosó las peticiones en tres tipos:

  • pre-aprobadas: son las que pueden ser realizadas directamente por las áreas técnicas con autorización implícita del CAB, ya que se dispone del procedimiento y de los datos necesarios para su ejecución. Se gestionan mediante un formulario Web.
  • de aprobación rápida: Un núcleo reducido del CAB, revisa, evalúa y aprueba las peticiones que tengan un impacto controlado en la organización.
  • de gran impacto: son las que por la magnitud de su impacto (coste, recursos, planificación, notificación, etc.) requieren ser aprobadas por más de una persona. El CAB asegurará que se ha realizado una correcta comunicación, que disponen de la documentación apropiada, que hay plan de marcha atrás, que se dispone de los recursos necesarios, etc. disminuyendo así los riesgos asociados a su implantación.

Este proceso ha sido el núcleo central del grupo de “soporte al servicio” y su correcta gestión ha aportado al servicio:

  • Mayor disponibilidad.
  • Menos errores y más eficacia en la implantación de cambios.
  • Control de recursos.
  • Focalización en la proactividad, teniendo que dedicar menos tiempo a la corrección de errores.

El último paso que realizamos fue el de establecer un procedimiento para registrar y documentar todos los cambios que se realizan en la infraestructura de TI.

Gestión de configuración

Los cambios de la infraestructura de TI, el inventario de los servicios, los proyectos, los elementos hardware/software y sus interrelaciones  forman el núcleo de nuestra CMDB. Pero esta se extiende mucho más allá, englobando las incidencias y problemas registrados en la herramienta de ticketing del Service Desk, la documentación del servicio compartida en un WiKi y la monitorización activa de los servicios y servidores. La verdadera potencia de una CMDB reside en la capacidad de correlación de toda esta información.

Gestión de la disponibilidad

“Tan importante como mejorar el servicio es medir la calidad del mismo”. Nuestro objetivo en el proceso de la gestión de la disponibilidad fue la obtención de indicadores y medidas que den mecanismos y datos suficientes para garantizar el funcionamiento correcto de los servicios. La entrada de datos al  proceso se produce desde la CMDB y la monitorización activa de servicios y servidores. El Gestor de disponibilidad utiliza técnicas de medición de nivel de servicio reportando así a los otros procesos:

  • Riesgos y vulnerabilidades a que esta expuesta la infraestructura de TI, para adoptar contramedidas que la reduzcan o que permitan recuperar rápidamente el servicio en caso de interrupción del mismo. (Proactiva).
  • Análisis de interrupción del servicio, reportando puntos de mejora para una recuperación más rápida (Reactiva).

Si la Gestión de incidencias/Service Desk es el proceso que nos da la visión del usuario sobre la calidad del soporte técnico, el proceso de la gestión de la disponibilidad es el que nos da la visión que puede percibir el usuario sobre la calidad de los servicios.

Conclusión

Podríamos enmarcar las conclusiones dentro de dos apartados.

conclusion

Lo conseguido

La implantación del proyecto de Mejora de Gestión de TI ha permitido mejorar el control de los procesos de TI que se realizan en el Servei d’Informàtica de la UAB, enfocando el servicio a las necesidades del usuario, controlando los riesgos y por tanto aumentando su disponibilidad y calidad.

En el primer mes de rodaje de los procesos implantados se han registrado 2570 incidencias en el Service Desk: el 78,23 % de las llamadas se han resuelto sin escalado y de estas el 95,53 % se han resuelto en menos de 8 h. Se han registrado 10 problemas,  de los cuales 5 han pasado a ser  errores conocidos con un workaround documentado, 4 han desencadenado una RFC y 1 ha quedado solucionado definitivamente.

Se han clasificado y evaluado 77 RFCs, 33 pre-aprobadas, 34 de aprobación rápida y 10 de gran impacto. Hemos detectado en el análisis posterior a las implantaciones 8 cambios con posibilidades de mejora sustancial, tanto en planificación como en prevención de riesgos.

La correcta gestión de los procesos nos ha permitido visualizar el impacto de los cambios e incidencias en la disponibilidad de los servicios.

La causa del éxito

Los proyectos de implantación de Best Practices de ITIL tratan con infraestructuras, procesos y personas. Para este tipo de proyectos, y especialmente para el nuestro que se ha llevado a cabo conjuntamente entre el gestor interno (SI) y el proveedor tecnológico (Altran), es muy importante la involucración directa de la dirección de TI y que esta sea la responsable de enlazar la estrategia de TI con los objetivos de negocio.

Los procesos de ITIL implantados deben de estar sujetos a un constante ciclo de mejora y adaptándose dinámicamente a los cambios en los objetivos de negocio. Se han creado roles y grupos de trabajo que favorecen esta realimentación en los procesos.

En cartera

Queda pendiente, que una vez consolidada la madurez de los procesos implantados, demos un paso más y afrontemos la adaptación a nuestro entorno de los procesos de Service Delivery de ITIL.

Manel Cantos

Autor: Manel Cantos

Solution Manager en infraestructuras TI y consultor experto en el ámbito de la seguridad de la información. Ingeniero de Telecomunicaciones Certificado en CISA, CISM, CISSP, CGEIT e ITIL Expert entre otras

Un Comentario

  1. Pingback: Caso de éxito: servicios de seguridad de la información

Deja un comentario

Campos requeridos marcados con *.