Beruflich Dokumente
Kultur Dokumente
Departamento de Informática
Magíster en Tecnologías de la Información
culloa@cuftech.cl
Resumen: Las empresas que utilizan tecnologías de la información para la entrega de sus servicios,
presentan problemas en el cómo abordar de forma viable y eficiente la gestión de la configuración, de los
sistemas informáticos y la gestión del cambio, inherente de la evolución, mejora continua de los servicios,
regulaciones contractuales y legales. El trabajo desarrollado, aborda desde una perspectiva aplicada, el uso
de las buenas prácticas de ITIL v3 referentes a la gestión de la configuración y gestión del cambio, en
conjunto con el análisis de las distintas opciones de software libre existentes hoy en día, para implementar
una base de datos para la gestión de la configuración (CMDB por sus siglas en inglés). En este trabajo,
usando como caso de estudio una empresa procesadora de tarjetas de crédito para el sector bancario y
financiero, se postula que una solución de este tipo mejorará la capacidad de gestión, al reducir los tiempos
asociados a los procesos de gestión de la configuración y gestión de cambios. En cuanto a los resultados la
empresa se benefició logrando la reducción de los tiempos de gestión y aprobación de cambios y la cantidad
de incidentes relacionados, además de lograr una serie de beneficios adicionales, tales como: mejoras en la
capacidad de gestión, cumplimiento de requerimientos y control sobre la configuración, entre otros.
Palabras Clave: ITIL, Gestión de Configuración, Gestión de Cambio, CMDB.
1 Introducción
Las empresas cada día incorporan más tecnologías de la información dentro de sus servicios, existiendo un
ecosistema de infraestructura (servidores, comunicaciones, software, etc.) junto a los procesos de negocios, que
en su conjunto componen el servicio; la complejidad inherente de los sistemas, presenta desafíos a la hora de
implementar, configurar y mantener los distintos componentes, de una forma eficiente por parte de las áreas de
TI en las compañías.
Esta tesina, está vinculada a una empresa de tecnología chilena, creada a partir de capitales privados el año
2005, con 11 años de presencia en el mercado, con la misión de entregar servicios de procesamiento de tarjetas
de crédito y otros procesamientos de datos a comercios, retail en general, bancos e instituciones financieras;
respondiendo a la creciente necesidad de la industria de incorporar plataformas tecnológicas que entreguen
ventajas competitivas, sin perder el foco de su negocio, con clientes a nivel nacional, entregando servicios de
alta calidad, con un fuerte enfoque en la mejora continua de sus procesos.
Los directivos de la empresa, el año 2008, dentro de sus estrategias, deciden enfocarse en entregar servicios de
calidad y de clase mundial, para ello la compañía se somete a la certificación bajo las normas ISO 9001:2008[6]
y NCh 2909:2004[7], definiendo, estructurando y documentando sus procesos operacionales, aplicando un
Sistema de Gestión de la Calidad Integrado (SGCI) de forma transversal en toda la compañía (el cual hasta el
día de hoy se encuentra en vigencia) que permite mejorar continuamente los procesos, con el objetivo de
proporcionar a los potenciales y actuales clientes, productos y servicios de excelencia; considerando la calidad,
como una actividad prioritaria dentro de la organización, entendiéndose como el aseguramiento de la
satisfacción de las necesidades del cliente en todo momento y la entrega de un producto de óptima calidad.
Los requerimientos contractuales que adicionalmente establecen los clientes, enfocados a la confidencialidad,
disponibilidad e integridad de la información (a partir de requerimientos de continuidad del negocio y la
recuperación ante desastres), plantea desafíos a la organización, que deben ser abordados para no perder
ventajas competitivas. Adicionalmente, existen normas legales que deben cumplirse (circular N°40 de la SBIF
[3]) los cuales definen requerimientos para la seguridad de la información y continuidad operacional, que deben
ser resueltos por las compañías del sector; dentro del alcance están los requerimientos de contar con procesos
para la gestión de la configuración de sus servicios.
El problema que enfrenta este trabajo, consiste en cómo abordar de forma viable y eficiente la gestión de la
configuración de los distintos sistemas, dado que no existe claridad en la relación entre los sistemas y los
servicios; tampoco en la relación de los componentes y los impactos que podría provocar el cambio en uno de
éstos. La documentación de los sistemas es deficiente, siendo lenta la gestión, implicando tiempos y esfuerzos
para mantenerla actualizada, la empresa es auditada de forma interna y externa, las cuales consideran aspectos
de gestión de servicios TI, siendo hoy difícil entregar evidencias respecto de la gestión de la configuración y
los cambios realizados a la plataforma de servicios. En la gestión de incidentes y problemas, se desconocen los
cambios que se han realizado sobre los componentes, lo cual dificulta la resolución en tiempo y forma.
La contribución más importante que se pretende lograr es, facilitar la introducción y puesta en marcha de la
gestión de la configuración en las organizaciones, aterrizando los conceptos asociados para apoyar su
comprensión y aplicación de forma correcta. Si bien existen publicaciones que realizan la introducción a la
gestión de la configuración, no lo realizan aplicando herramientas de software libre; el presente trabajo se
diferencia, por establecer una definición base para la gestión de la configuración, apoyándose en la
implementación de herramientas de software de código abierto, demostrando que existen alternativas a
productos de software comerciales para resolver de igual forma las necesidades de gestión de la configuración.
El trabajo realizado profundiza principalmente en el área de la gestión TI, el estudio del conjunto de buenas
prácticas de ITIL, y la revisión de las normas ISO/IEC 20000, 22301, la normativa legal establecida por la SBIF
[3] referente a la emisión y procesamiento de tarjetas de crédito.
En el capítulo 2, se define el marco teórico y estado del arte que sustenta la base teórica necesaria para abordar
el problema. En el capítulo 3, se detalla la especificación del problema, la hipótesis de solución, revisando la
situación actual y un diagnóstico de estado. En el capítulo 4, se aborda la implementación de la CMDB,
considerando las alternativas de software open source existentes, definiendo los alcances y límites de la
implementación. En el capítulo 5, se aplican los procesos ITIL bajo alcance, definiendo y especificando la
metodología de análisis de riesgos e impactos en la configuración. Analizando los resultados obtenidos y las
verificaciones realizadas post implementación para validar la hipótesis planteada. Finalmente en el capítulo 6,
se describen las conclusiones obtenidas.
ITIL nació en la década de 1980, a través de la Agencia Central de Computación y Telecomunicaciones del
Gobierno Británico (Central Computer and Telecommunications Agency - CCTA), que ideó y desarrolló una
guía para que las oficinas del sector público británico fueran más eficientes en su trabajo y por tanto se redujeran
los costos derivados de los recursos TI. Sin embargo, esta guía demostró ser útil para cualquier organización,
pudiendo adaptarse según sus circunstancias y necesidades. De hecho resultó ser tan útil que actualmente ITIL
recoge la gestión de los servicios TI como uno de sus apartados, habiéndose ampliado el conjunto de “buenas
prácticas” a gestión de la seguridad de la información, gestión de niveles de servicio, perspectiva de negocio,
gestión de activos software y gestión de aplicaciones. Estas buenas prácticas provienen de las mejores
soluciones posibles que diversos expertos han puesto en marcha en sus organizaciones a la hora de entregar
servicios TI, por lo que en ocasiones el modelo puede carecer de coherencia. En la actualidad ITIL pertenece a
la Oficina de Comercio Británico (Office of Government Commerce - OGC), pero puede ser utilizado para su
aplicación libremente.
ITIL no comenzó a ser utilizada de manera común hasta aproximadamente 1990; desde esa fecha el crecimiento
de la biblioteca se situó en aproximadamente 30 publicaciones, que hacían de su utilización un proceso
complejo. Se hizo necesaria por tanto, una revisión que agrupara los libros, según conjuntos estructurados en
los procesos que estuvieran más íntimamente relacionados, enmarcando la gran cantidad de publicaciones
existente en ocho volúmenes, denominándose desde entonces como ITIL v2. La última versión vio la luz en
2007, denominada como ITIL v3. En esta versión, se ha realizado una actualización, agrupando los elementos
principales de ITIL [14] en 5 volúmenes, que pueden encontrarse en la actualidad con los siguientes títulos (en
inglés original).
El objetivo de este proceso es mantener la información acerca de los elementos de configuración (Configuration
Items o CI) requeridos para la prestación de un servicio de TI, incluyendo las relaciones entre ellos.
El proceso de activos del servicio y gestión de la configuración abarca los siguientes subprocesos:
● Soporte a la gestión de la configuración: Se debe definir y actualizar la estructura del sistema de gestión de
la configuración (Configuration Management System, CMS) de manera que contenga la información
relacionada con los elementos de configuración (CI), incluyendo sus atributos y relaciones.
● Verificación y auditoría de configuraciones: Realizar controles periódicos, asegurando que la información
contenida en el CMS sea una representación exacta de los elementos de configuración (CI) instalados en el
entorno de producción real.
El Sistema de Gestión de la Configuración es un modelo lógico coherente de la infraestructura de la
organización de TI, típicamente compuesto de varias Bases de Datos de la Gestión de Configuración
(Configuration Management Database, CMDB) que operan como subsistemas físicos. Se usa para almacenar
información acerca de los Elementos de Configuración (CI's) controlados por la Gestión de la Configuración.
Los CI’s son principalmente equipo o aplicaciones, y se caracterizan por sus atributos (registrados en el Registro
de la Configuración de los CI's) y su relación con otros CI's.
4 Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado
Universidad Técnica Federico Santa María
Departamento de Informática
Magíster en Tecnologías de la Información
El objetivo es controlar el ciclo de vida de los cambios, viabilizando los cambios beneficiosos con un mínimo
de interrupciones en la prestación de los servicios de TI. Las actividades y objetivos de los procesos son
esencialmente idénticos en ITIL v2 e ITIL v3; en esta última se incorpora el concepto de modelo de cambio,
Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 5
Universidad Técnica Federico Santa María
Departamento de Informática
Magíster en Tecnologías de la Información
donde la definición de diferentes tipos de cambios, mediante modelos, sirve para clasificarlos; además, se
muestra cómo tratar los diferentes tipos de cambios, es decir, según qué reglas deben tratarse los cambios. Estas
reglas también establecen quién puede autorizar qué cambios en la organización. Los cambios de emergencia
en ITIL v3 son autorizados por el consejo consultor para cambios de emergencia (ECAB), que en ITIL v2 se
denominaba comité de emergencia (EC).
● Soporte a la gestión de cambios: Proveer plantillas y orientación para la autorización de cambios, facilitando
la información sobre cambios de activos y proyectados a los encargados de otros procesos de gestión de
servicios TI.
● Registro y pre evaluación de solicitudes de cambio: Descartar las solicitudes que no contengan toda la
información necesaria para su evaluación o que no resulten viables.
● Clasificación de solicitudes de cambio: Verificar que la prioridad de un cambio propuesto haya sido
determinada correctamente por el proponente y determina el nivel de autoridad adecuado para aprobar o
rechazar determinadas solicitudes de cambios (RFC).
● Evaluación de solicitudes de cambios urgentes: Autorizar, ajustar o rechazar una solicitud de cambio urgente
lo antes posible. Se recurre a este subproceso cuando los procedimientos regulares de gestión de cambios
no son aplicables, dada la acción inmediata requerida en casos de emergencia.
● Evaluación de cambios - gestor de cambios: Autorizar o rechazar un cambio propuesto, así como asegurar
una programación preliminar y la incorporación del mismo al calendario de cambios.
● Evaluación de cambios - CAB: Autorizar o rechazar un cambio propuesto, así como asegurar una
programación preliminar y la incorporación del mismo al calendario de cambios.
● Programación de cambios: Acordar la programación preliminar para la implementación de cambios y
asignar responsabilidad por la implementación de los mismos a la gestión de proyectos y la gestión de
versiones.
● Evaluación de cambios: Evaluar la implementación de cambios y los resultados obtenidos, de manera que
se constate la presencia del historial completo de actividades para referencia futura y asegurar que se hayan
analizado errores y aprendido lecciones.
Existe una serie de normas bajo el estándar ISO/IEC, que han sido creados para unificar criterios y definir los
lineamientos para la gestión de servicios de TI, dentro de los cuales se considera la norma ISO/IEC 20000[2]
para la gestión de servicios TI (ITSM), la cual describe un conjunto de procesos de gestión, diseñados para
ayudar a las organizaciones a ofrecer servicios más eficaces; esta norma proporciona la metodología y el marco
para ayudar a manejar la ITSM, además permite demostrar a las organizaciones que aplican las mejores
prácticas, siendo posible aplicar en organizaciones independiente de su tamaño o negocio.
A diferencia de un estándar, ITIL es un marco práctico (framework) de las “mejores prácticas”, que se centra
en la adaptación de los servicios de TI con las necesidades más amplias del negocio, Como empresa no es
posible obtener una certificación en ITIL, en cambio ISO 20000 se basa en los principios fundamentales de
ITIL y es un estándar bajo el cual las empresas pueden certificarse. Una de las razones para la creación de ITIL
v3, era lograr una mejor alineación con la norma ISO 20000. Como resultado, ITIL ofrece una amplia gama de
recomendaciones de buenas prácticas, que son base para la aplicación de la norma ISO 20000, siendo ITIL un
camino para certificarse en esta norma.
Otros estándares que hacen mención a la gestión de la configuración y el control de cambios son los
correspondientes a las normas ISO 27001 e ISO 22301. La norma ISO 27001:2013[11] es un estándar de la
seguridad de la información, indica cómo establecer un sistema de gestión de la seguridad de información
auditado y certificado de forma independiente. Dentro de los controles que componen la norma, existe una
relación con los de la norma ISO 20000 [2], en lo referente a la gestión de la configuración y la gestión del
cambio.
Tabla 1: Relación controles ISO 20000 v/s ISO 27001. Fuente: Elaboración propia.
Figura 2: Relación procesos ISO 20000 v/s ISO 27001. Fuente: urtanta.com.
ISO 22301[9] es la nueva norma internacional de gestión de continuidad de negocio, creada en respuesta a la
demanda internacional que obtuvo la norma británica original BS 25999-2. La norma identifica los fundamentos
de un sistema de gestión de continuidad de negocio, estableciendo el proceso, los principios y la terminología
de gestión de la continuidad de negocio. El objetivo es que la organización se mantenga en funcionamiento
durante y después de una interrupción; garantizando de esta forma que los productos y servicios serán
entregados a los clientes oportunamente. Esta norma también contempla controles, que tienen relación con la
gestión de la configuración y el control de cambios sobre los sistemas de información.
Tabla 2: Relación controles ISO 20000 v/s ISO 22301. Fuente: Elaboración propia.
2.3 Cobit
COBIT [4] nace de la mano de ISACA a mediados de los años 90, como un marco para la auditoría de las TI.
Progresivamente evoluciona, incluyendo prácticas de control y de gestión, hasta llegar en la última versión,
COBIT 5, a convertirse en un marco de referencia para el gobierno y la gestión de las TI de las empresas.
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI, manteniendo un balance
entre la realización de beneficios, la utilización de recursos y los niveles de riesgo asumidos. COBIT posibilita
que las TI sean gobernadas y gestionadas en forma holística para toda la organización, tomando en
consideración el negocio y áreas funcionales de punta a punta, así como los interesados internos y externos.
COBIT se puede aplicar a organizaciones de todos los tamaños, tanto en el sector privado, público o entidades
sin fines de lucro. COBIT es empleado en todo el mundo, por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología, los que proveen calidad,
confiabilidad y control de TI.
Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prácticas de gobierno y gestión para describir las
acciones que son ejemplo de mejores prácticas de su aplicación. COBIT 5, ha cambiado su enfoque de objetivos
de control a una visión por proceso.
Los 5 principios que Cobit promueve son:
1. Satisfacer las necesidades del accionista
2. Considerar la empresa de punta a punta
3. Aplicar un único modelo de referencia integrado
4. Posibilitar un enfoque holístico
5. Separar gobierno de la gestión.
Los 7 habilitadores que componen Cobit son:
1. Principios, políticas y modelos de referencia
2. Procesos
3. Estructuras organizacionales
4. Cultura, ética y comportamiento
5. Información
6. Servicios, infraestructura y aplicaciones
7. Gente, habilidades y competencias.
El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de los accionistas, las
condiciones y opciones; establecer la dirección a través de la priorización y la toma de decisiones; y monitorear
el desempeño, el cumplimiento y el progreso, versus la dirección y objetivos acordados (EDM, por Evaluar,
Dirigir, Monitorizar).
Por su parte la gestión, se ocupa de planificar, construir, ejecutar y monitorear las actividades alineadas con la
dirección establecida por el organismo de gobierno, para el logro de los objetivos empresariales (PBRM ó
Planificar, Construir, Ejecutar y Monitorear, por su sigla en inglés).
Por su parte Cobit, tiene un fuerte enfoque en la gestión de alto nivel, estableciendo las bases para la definición
y ejecución del gobierno de TI dentro de las empresas, por lo que las posibilidades de aplicación en el problema
presentado quedan fuera del alcance de la solución (de ejecución operativa y práctica) que se busca.
En la actualidad, la Empresa cuenta con un procedimiento para la gestión de cambios, vigente desde febrero de
2015, basado en ITIL; sin embargo, el procedimiento, se aplica de forma manual (no existe automatización del
proceso), lo cual lo vuelve, lento, engorroso y propenso a errores, dado que no existe un repositorio que
contenga la información de la configuración. La información de gestión de los cambios, se registra en
documentos con un formato predefinido, el cual es registrado posteriormente en una intranet, en donde se
resguarda y archiva; esto implica, que la obtención de estadísticas o análisis sobre los cambios, se vuelve muy
lento y difícil de procesar, no existe una relación entre los documentos de registro de la configuración y los de
control de cambios, lo cual impide realizar una gestión de cambios y/o de la configuración de forma eficiente,
en los tiempos que el negocio los necesita.
En la industria del procesamiento de tarjetas de crédito, en la cual opera la Empresa, existe una normativa legal,
generada por la Superintendencia de Bancos e Instituciones Financieras (SBIF) que corresponde a la circular
N°40, la cual define los requerimientos que deben cumplir los operadores de tarjeta, estableciendo que la entidad
(Operador): mantiene una estrategia para abordar la gestión de proyectos y metodologías para el desarrollo y
adquisición de programas y equipos computacionales, como asimismo para la mantención de sistemas y
aplicaciones de negocios; deben existir políticas para la administración del cambio y la función de
aseguramiento de calidad en todos sus productos, servicios e información.
3.2. Diagnóstico
A partir de la situación actual, se detectan los siguientes problemas y oportunidades de mejora:
Respecto de la gestión de cambios, la compañía cuenta con el proceso definido (basado en las buenas prácticas
ITIL), sin embargo la gestión de la información es compleja (se lleva de forma similar a la gestión de la
configuración, con documentos de texto), lo cual implica altos tiempos de gestión y de respuesta final, dado
que los ciclos de aprobación, llegan a ser en algunos casos de más de un día y medio. Al contar con la
información de la configuración centralizada en la CMDB, se facilitan las actividades del proceso de gestión
de cambios; utilizando los flujos de trabajo predefinidos por el software open source a utilizar y realizando los
ajustes correspondientes (de acuerdo a la realidad de la Empresa), será posible agilizar los ciclos de aprobación
y obtener mejoras en los siguientes ámbitos: disponibilidad, integridad y confidencialidad de la información, la
cual pasa a ser corporativa y administrada en un repositorio centralizado.
Para la selección del software open source a implementar, se debe proceder a establecer los criterios, definidos
como necesarios para cumplir con los requerimientos, que permitan dar solución al problema. Se asigna una
ponderación a cada criterio, siendo los más relevantes: que el software sea de código abierto, incorpore las
buenas prácticas de ITIL, cuente con las funcionalidades de gestión de la configuración y gestión del cambio y
posea un historial de las modificaciones realizadas; para posteriormente a partir del análisis de cada software,
obtener de forma objetiva la mejor solución.
Arquitectura Cliente/Servidor 5%
Documentación Requerido 2%
Funcionalidades
Otros
Configuración Simple 3%
Las alternativas de software open source como solución de CMDB, evaluadas son las siguientes:
Combodo iTop, es una aplicación orientada a la gestión de servicios TI, se adapta a las necesidades de las
empresas digitales (proveedores de infraestructura o de servicios de aplicaciones, software y
telecomunicaciones) para gestionar múltiples clientes, contratos y SLAs. Permite contar con una solución única
para la gestión de múltiples clientes a la vez, protegiendo la confidencialidad de la información.
La aplicación ha sido diseñada por profesionales de los servicios TI, con un enfoque en la gestión de
infraestructuras compartidas, permitiendo analizar el impacto de un incidente o un cambio en los diferentes
servicios y contratos que se deben cumplir. Mantiene un único repositorio, compartido por todos los equipos,
contando además con opciones de sincronización con versiones satélites de iTop.
iTop está diseñado para funcionar con equipos pequeños y medianos de TI, su facilidad de uso, permite de
forma rápida centralizar los datos de dispositivos, software, usuarios, ubicaciones, etc. Siendo una herramienta
de colaboración que ofrece la capacidad de responder de mejor forma y en menor tiempo. La versión
comunitaria es 100% funcional y de código abierto.
En el núcleo de iTop, el modelo de datos CMDB es un repositorio modificable y ampliable, para el registro de
todos los componentes y relaciones técnicas, funcionales y organizacionales, dentro del sistema de información.
OneCMDB, es una aplicación CMDB dirigida a empresas pequeñas y medianas. Se puede utilizar como una
CMDB independiente para realizar un seguimiento de los activos de software y hardware, junto con sus
relaciones; gracias a su API abierta, puede ser también un motor de gestión de la configuración flexible y potente
para otros softwares de administración de servicios.
Es fácil de instalar y configurar, ya sea manualmente o a partir de otras fuentes de datos. Tiene un modelo de
datos especificado por el usuario, el que puede ser modificado y mejorado sin necesidad de programación.
OneCMDB permite crear un modelo de datos CMDB propio, sin escribir una sola línea de código; es posible
poblar la base de datos, a través del autodescubrimiento de equipos en la red, puede obtener datos de diversas
fuentes externas, a través de una importación flexible y cuenta con un mecanismo para transformar la
información de configuración importada/exportada de la red (se integra con otros softwares como Nagios).
Está disponible para su descarga gratuita e incluye su código fuente.
Una característica importante, es que no se requieren conocimientos de modelado de base de datos, para utilizar
la aplicación; se abstrae al diseñador CMDB de cómo se almacenan los elementos de configuración (CI), el
diseñador puede centrarse en la organización de los elementos de configuración, sus atributos y relaciones más
que en las consultas SQL y su correspondiente código (C++/Java), los elementos de configuración, atributos,
relaciones, etc. son gestionados a través de una interfaz gráfica de usuario.
Por último, la estructura de la CMDB se puede ampliar fácilmente y modificarse en una etapa posterior, incluso
cuando se encuentra en producción.
Se compone de una parte servidor (OneCMDB Core) y una interfaz de usuario basada en web (OneCMDB
escritorio). La interfaz de usuario permite a los usuarios ver, buscar y navegar la CMDB. También permite a
los diseñadores gestionar el modelo de datos de la CMDB. Tiene una API abierta, para que sea fácil integrarse
con otras aplicaciones como mesa de ayuda y gestión del cambio por ejemplo.
I-doit, permite documentar la infraestructura IT, y sus relaciones, almacenando toda la información en un
repositorio centralizado; además de la documentación técnica, permite la gestión de contratos de servicios, la
gestión operativa de los objetos documentados y los planes de respuesta a emergencias, para los componentes
y sistemas, todos los documentos en la aplicación están sujetos a control de versiones, permitiendo el
seguimiento de cambios de forma clara y trazable.
Además de las dependencias directas derivadas de datos de la conexión o la asignación de software para
sistemas, permite documentar asignaciones entre componentes de forma manual, resultantes indirectamente de
los procesos de negocio relacionados. Es posible definir dependencias entre objetos en varias direcciones;
reconociendo que servicios o funciones ya no estarán disponibles, en caso de alguna falla.
La aplicación cuenta con un módulo para la gestión de flujos de trabajo, el cual permite la creación, asignación
y seguimiento de los pedidos y listas de control, con un sistema de notificaciones basado en estados; los trabajos
en la infraestructura de TI pueden ser coordinados y documentados de forma clara. El módulo se puede ampliar
de forma simple con procesos adicionales, siendo capaz de controlar, por ejemplo, la adquisición de
componentes, incluyendo desde la especificación, gestión de compra y el paso a producción.
I-doit, permite el manejo de múltiples clientes de forma paralela, pero independientes unos de otros; la
documentación de cada cliente se lleva a cabo en un espacio independiente, lo cual asegura que la información
no podrá cruzarse entre clientes, esto permite la gestión completa en una única plataforma.
Considera los registros de auditoría necesaria sobre los objetos, referente a todos los cambios realizados, en
combinación con opciones adicionales de comentarios, permiten complementar la información del historial.
La aplicación es flexible, se pueden definir el nivel de detalles de documentación para objetos determinados, la
vista de páginas es personalizable y cuenta con opciones de selección de idioma (multilenguaje).
CMDBuild, es una aplicación web, con la que se pueden configurar soluciones personalizadas para el gobierno
TI, o más en general para la gestión de activos. Se basa en la separación entre el “motor” y la “lógica de
negocio”. El núcleo se mantiene idéntico para todos los usuarios, pero la particularidad de cada usuario, está
contenida en los elementos dinámicos del sistema, en un modelo de datos totalmente configurable, incluyendo
flujos de trabajo e informes, que los usuarios pueden crear o importar al sistema, a través de descriptores XML.
CMDBuild permite la gestión de CMDB y la gestión de flujos de apoyo, de acuerdo a las mejores prácticas de
ITIL, el objetivo es facilitar a los operadores mantener un completo control de sus activos, así como la gestión
del ciclo de vida de una manera integral.
La aplicación tiene una función simple, pero potente que permite a cada usuario configurar y cambiar el modelo
de datos de la instancia de la aplicación. No se trata simplemente de la posibilidad de definir algunos campos,
al igual que otros productos, CMDBuild también puede crear desde cero, una base de datos totalmente
personalizada en términos de: "clases", es decir, tablas de la base; "Atributos" de las clases, tales columnas de
las tablas (de todos los tipos posibles); "Dominio", que son los tipos de relaciones, incluso con cualquier atributo
adicional específico; "búsquedas", que son las listas de valores asociados a unas clases específicas que se
atribuyen; "Herencia", que es la posibilidad de "especializar" una clase específica mediante la adición de
"atributos", "dominios" y compartir los "atributos" y "dominios" de la superclase (también multinivel); "vistas"
en base a filtros o consultas SQL.
Uno de los valores más importantes de CMDBuild, es la posibilidad de configurar fácilmente los flujos de
trabajo, a través del cual se pueden gestionar de manera colaborativa, todas las actividades que debe realizar
para gestionar la infraestructura de TI.
Los documentos, son elementos importantes de información, que pueden estar relacionados con cualquier
elemento de configuración, almacenada en la CMDB: manuales y documentos técnicos, contratos, formularios,
capturas de pantalla de error, dibujos técnicos, las imágenes de los objetos y lugares, vídeos, etc.
El módulo de gestión de datos de la interfaz de CMDBuild, para cada hoja de datos incluye una página especial
(TAB), que enumera todos los archivos adjuntos. Es posible, por tanto, visualizar documentos o adjuntar otros
nuevos.
Open Source SI SI SI SI
Tecnologías PHP, Apache, IIS Java, Hibernate PHP, Apache Java, Tomcat
ITIL Compliant SI SI NO SI
Documentación SI SI SI SI
Versión comercial SI NO SI SI
Última versión 2.3 (2016) 2.1 (2009) 1.4 (2014) 2.4 (2016)
Funcionalidades
Análisis de impacto SI NO NO SI
Relación entre CI SI SI SI SI
Gestión de configuración SI SI SI SI
Gestión de cambios SI SI NO SI
Gestión de incidentes SI NO NO SI
Gestión de problemas SI NO NO SI
Gestión de requerimientos SI NO NO NO
Mesa de ayuda SI NO NO NO
Historial SI SI SI SI
Otros
Valores predefinidos SI NO SI NO
Como resultado del análisis realizado a las distintas opciones de software CMDB de código abierto, se decide
implementar la solución iTop, la cual cubre los requerimientos necesarios para la implementación en la
organización, con un cumplimiento del 100% de los requerimientos.
KPI Descripción
Esfuerzo para verificaciones Promedio de esfuerzo de trabajo para verificaciones físicas del contenido de
de CMS CMS
Cobertura del CMS Porcentaje de elementos de configuración cuyos datos están incluidos en la CMS
Cantidad de errores de CMS Número de ocasiones en las que se detectaron errores en el contenido de la CMS
● Registro
○ El primer paso del proceso de cambio es registrar adecuadamente las RFC, los orígenes de las RFC
pueden ser de distinta índole (Gestión de problemas, nuevos servicios, estrategia empresarial,
actualización de software de terceros, imperativo legal, otros).
● Aceptación
○ Tras el registro de la RFC se debe evaluar preliminarmente su pertinencia. Una RFC puede ser rechazada
si se considera que el cambio no está justificado o se puede solicitar su modificación si se considera que
algunos aspectos son susceptibles de mejora; en cualquiera de los casos la RFC debe ser devuelta al
departamento o persona que la solicitó con el objetivo de que se puedan realizar las revisiones y/o
modificaciones correspondientes.
● Clasificación
○ Tras su aceptación se deben asignar a la RFC una prioridad y categoría dependiendo de la urgencia y el
impacto de la misma.
● Aprobación
○ El TOE (Grupo de Ingeniería) debe reunirse periódicamente para analizar y eventualmente aprobar los
RFCs pendientes y elaborar el FSC (Future Schedule Change ) o calendario de cambio correspondiente.
● Planificación
○ Una vez aprobado el cambio (en caso contrario se seguiría el proceso ya descrito para el caso de no
aceptación) debe evaluarse si éste ha de ser implementado aisladamente o dentro de un "paquete de
cambios" que formalmente equivaldrían a un solo cambio.
● Implementación
○ Aunque la Gestión de Cambios NO es la encargada de implementar el cambio, algo de lo que se
encarga habitualmente la Gestión de Versiones, si lo es de supervisar y coordinar todo el proceso.
● Evaluación
○ Antes de proceder al cierre del cambio es necesario realizar una evaluación que permita valorar
realmente el impacto del mismo en la calidad del servicio y en la productividad de la organización.
● Cierre
○ Si la evaluación final determina que el proceso y los resultados han sido satisfactorios se procederá al
cierre de la RFC y toda la información se incluirá en la PIR (Post Implementation Revisión) asociada.
Tabla 6: KPI proceso de gestión del cambio, Fuente: IT Process Map [5].
KPI Descripción
Cantidad de cambios mayores Cantidad de cambios mayores evaluados por el CAB (Consejo
Consultor para Cambios)
Tiempo para autorización para Tiempo medio transcurrido desde la solicitud de una RFC (Solicitud de
cambios Cambio) a la Gestión de Cambios hasta la autorización para el cambio
Cantidad de cambios urgentes Cantidad de cambios urgentes evaluados por el ECAB (Consejo
Consultor para Cambios de Emergencia)
● Gestor de Cambios, controla el ciclo de vida de todos los Cambios. Su objetivo primario es viabilizar la
realización de Cambios beneficiosos con un mínimo de interrupciones en la prestación de servicios de TI.
En caso de Cambios de gran envergadura, el Gestor de Cambios buscará la autorización del Comité de
Cambios.
● Consejo Consultor para Cambios (CAB), se trata de un grupo de personas que aconseja al Gestor de Cambios
en la evaluación, establecimiento de prioridades y programación de cambios.
El Consejo Consultor para Cambios (Change Advisory Board, CAB) se compone de representantes de todas
las áreas de la organización de TI, la empresa, y terceros como, por ejemplo, suministradores.
● Consejo Consultor Cambios de Emergencia. (ECAB), se trata de un subgrupo del Comité de Cambios que
toma decisiones relacionadas con cambios de emergencia cuyo impacto es significativo.
● Propietario del Cambio, se trata de una persona que propone un cambio y que cuenta con una asignación
presupuestaria para su implementación. En la mayoría de los casos, el Propietario del Cambio coincide con
quien da inicio a una Solicitud de Cambio (RFC).
Se definen los usuarios a los cuales se les asignarán los roles correspondientes, para realizar las actividades
definidas, según cada proceso, considerando las capacitaciones correspondientes tanto a nivel de los procesos,
como del uso de la herramienta de software (iTop).
Los servicios que son prestados por la Empresa, se encuentran definidos de acuerdo a la evaluación de impacto
al negocio (BIA) basado en la norma ISO/IEC 22301, esta información se utiliza como base para la definición
de servicios a ser registrados en la CMDB, los cuales serán asociados a los ítems de configuración
correspondientes.
Se realiza el registro de la infraestructura en la CMDB, incorporando la información obtenida de los documentos
existentes y complementando la información técnica que la aplicación tiene especificada como base.
Servidores físicos:
Servidores virtuales:
A partir del registro de la infraestructura en el sistema CMDB, se realizan las relaciones entre ítems de
configuración, de manera que sea posible establecer las evaluaciones de impacto respectivas, ante el cambio o
incidencia sobre un ítem de configuración determinado.
La metodología empleada para el análisis de impacto y evaluación de riesgos está basada en la norma ISO/IEC
22301 referente a la continuidad operacional, a partir del cálculo de impactos entregado por la aplicación iTop
y el análisis de impacto (BIA) que permite identificar los servicios críticos, en donde se encuentran definidos:
la magnitud de impacto y el tiempo máximo soportado sin operación. (Ver cuadro 7)
Figura 10: Vista gráfica del análisis de impacto calculado. Fuente: iTop.
Abril/Septiembre 2016
5.4. Validación
Se planteó la hipótesis de que a partir de la implementación de una CMDB de código abierto, basada en ITIL y
la aplicación de las buenas prácticas que esta propone, se mejorará la capacidad de gestión reduciendo los
tiempos asociados a los procesos de gestión de la configuración y gestión de cambios. De acuerdo a los
resultados obtenidos, se redujeron los tiempos en la gestión de la configuración y en la gestión de cambios
(tiempo promedio de aprobación), reduciendo además la cantidad de incidentes sobre la plataforma a partir de
los RFC aplicados.
6. Conclusiones
En la actualidad todas las compañías, ya sean pequeñas, medianas o grandes corporaciones, se plantean desafíos
para mejorar sus servicios, sus procesos y ser más competitivos, incorporando las tecnologías de la información
dentro de su organización. Esto presenta oportunidades para la mejora continua y la aplicación de innovación,
a partir de la utilización de herramientas de software que se enfocan en atender una necesidad y/o resolver un
problema. Por otra parte, la existencia de un conjunto de buenas prácticas y estándares en TI, que han
evolucionado a través de los años, presenta una oportunidad y responsabilidad a su vez, para las áreas de TI de
las organizaciones, para aportar al crecimiento y aplicar innovación dentro de las empresas.
El trabajo realizado, confirma que el uso de software open source, es una opción válida, para resolver los
problemas que se presentan en las empresas, existiendo una multitud de proyectos de desarrollo para atender
requerimientos específicos, demostrando que es posible implementar herramientas de código abierto en las
empresas y obtener las ventajas que este tipo de software presenta (disminución de la dependencia de
vendedores de código propietario, reducción de costos, solución de errores y nuevas funcionalidades en menores
tiempos, entre otros), considerando desde el aspecto económico, hasta la velocidad de desarrollo de nuevas
funcionalidades y aportes de una comunidad activa de desarrolladores, con la disposición para resolver los
problemas; creando software de calidad, con capacidades de hacer frente a las opciones de software comercial
existentes. La Empresa se benefició logrando la reducción de los tiempos de gestión y aprobación de cambios
y la cantidad de incidentes relacionados, además de lograr una serie de beneficios adicionales, tales como:
mejoras en la capacidad de gestión, cumplimiento de requerimientos, control sobre la configuración, entre otros.
La ejecución del trabajo dentro de la Empresa, fue realizada de forma dinámica, con una rápida adopción del
uso de la herramienta de software. Esto se produjo en mayor medida, por el nivel de madurez de la organización,
su trabajo previo con la aplicación de normas y su cultura organizacional. En empresas con un nivel de madurez
menor, el proceso habría sido más lento y complejo. En cuanto a los costos de implementación, la Empresa
utilizó su infraestructura actual de servidores, para instalar la aplicación (utilizando máquinas virtuales), por lo
cual, el costo en este apartado para la compañía fue cero, la inversión más importante estuvo dada por las
horas/hombre utilizadas en el despliegue, configuración inicial y capacitación en el uso de la herramienta.
Como resultado del uso de las buenas prácticas ITIL dentro de las empresas, se convierte en algo imprescindible,
cuando los mercados, la regulación y la misma competencia entre compañías, exigen la búsqueda de formas de
realizar de mejor forma los procesos. Al aplicar los procesos de ITIL de gestión de la configuración y gestión
de cambios, la Empresa logró resolver una serie de deficiencias, aplicando mejoras en la gestión de dichos
procesos; con el resultado final de entregar servicios de calidad, cumpliendo los requerimientos normativos de
la industria, generando ventajas competitivas con respecto a su competencia y con una inversión casi nula, el
retorno en la mejora de la gestión fue inmediato; el trabajo realizado es replicable en otras compañías y no está
restringido a una industria en particular, esto dado que se utilizó el conjunto de buenas prácticas de ITIL.
En vista de que ITIL cuenta con un conjunto de buenas prácticas y solo se ha implementado una parcialidad, el
trabajo realizado puede ser ampliado, implementando las buenas prácticas restantes definidas en ITIL v3,
teniendo en consideración además, que el software utilizado para la implementación de la solución, incorpora
todos los procesos de ITIL, con el conocimiento adquirido, se pueden emprender trabajos futuros de mejora
continua e incorporación de las buenas prácticas restantes de forma gradual, lo que permitirá aumentar la
madurez de la organización, con todos los beneficios que ello conlleva, con las posibilidades de extender este
trabajo en el futuro con la aplicación de un gobierno de TI basado en Cobit y/o desarrollar proyectos que
permitan a las compañías certificarse bajo las normas ISO/IEC 20000, 27001 y 22301.
Referencias
[1] ITIL Library, (Online), Available: http://www.itlibrary.org/, 2016.
[2] ISO 20000, (Online), Available: http://wiki.en.it-processmaps.com/index.php/ISO_20000, 2016.
[3] SBIF, Circular N° 40 para emisores y operadores de tarjetas de crédito, (Online), Available.
https://www.sbif.cl/sbifweb3/internet/archivos/norma_10284_1.pdf, 2014.
[4] ISACA, Framework COBIT 5, (Online), Available: http://www.isaca.org/cobit/pages/default.aspx, 2014.
[5] ITIL Process Maps, IT Process Wiki (Online), Available: http://wiki.es.it-processmaps.com/index.php/Portada, 2016.
[6] ISO 9001, (Online), Available: https://www.iso.org/standard/46486.html, 2008.
[7] Nch2909, (Online), Available: http://www.inn.cl/, 2004.
[8] ISO 27001, (Online), Available: https://www.iso.org/isoiec-27001-information-security.html, 2013.
[9] ISO 22301, (Online), Available: https://www.iso.org/standard/50038.html, 2012.
[10] J. H. Kyurkchiev, K. Kaloyanova, Sofia University, Logical design for configuration management based on ITIL,
2012.
[11] J. D. Hernando, Universidad Carlos III de Madrid, Implantación de directrices ITIL en un departamento de soporte y
operaciones de una empresa, 2012.
[12] Ming-Shian Wu, Department of Humanities and Information Applications, Aletheia University., The Benefit and Cost
Factors of CMDB Implementations: An Investigation of three Organizations in Taiwan, 2014.
[13] J. Osorio, Primer congreso del conocimiento de la CMDB, Construir una CMDB paso a paso, 2011.
[14] OGC, TSO, ITIL Version 3 (ITILv3) - the ITIL Service Lifecycle Publication Suite, 2010.
[15] J. Sergio R., B-able, ITIL V3 Manual Integro, 2010.
[16] J. Cristian B., ITIL v3 Conjunto de mejores prácticas, gestión de servicios TI, 2010.
[17] Inteco, Guía avanzada de gestión de la configuración, 2008
[18] Ed Chen, (Online), Available: http://pdca.edchen.org/2014/07/itil-v30-framework-illustrated.html, 2014.
Anexo 1
Combodo iTop
Características generales:
OneCMDB
Características generales:
● Código abierto, está disponible para su descarga gratuita e incluye su código fuente. Se puede usar,
modificar y redistribuir bajo los términos de licencia.
● Fácilmente configurable, permite crear y utilizar el modelo CMDB que mejor se adapte a la organización,
tiene un conjunto de modelos de datos predefinidos, que a su vez pueden ser adaptados.
● Simplicidad, permite a los desarrolladores empezar a trabajar rápidamente y fácilmente, presenta un
innovador enfoque orientado a objetos, para la gestión de la configuración. Los desarrolladores no tienen
que escribir una sola línea de código, para crear un modelo CMDB, se abstrae a los desarrolladores de la
base de datos relacional subyacente, que se utiliza para almacenar los elementos de configuración.
● Opciones de usar distintos motores de datos, se puede utilizar con diferentes motores de bases de datos
relacionales.
Características generales:
● Historial de cambios, cuenta con un módulo completo de auditoría centralizada, con el registro de cambios
realizados en todo el sistema.
● Flujos de trabajo personalizables, permite definir el ciclo de vida de entradas o listas de tareas a realizar
ajustándolo a cada organización.
● Plantillas, cuenta con formatos preconfigurados para la documentación de objetos.
● CMDB base, parametrizada para el registro y documentación de ítems de configuración.
CMDBuild
Características generales:
Anexo 2
Anexo 3
Arquitectura Cliente/Servidor 5% 5% 0% 5% 5%
Documentación Requerido 2% 2% 2% 2% 2%
Funcionalidades
Otros
Configuración Simple 3% 3% 0% 3% 0%