Implementación de Una CMDB Open Source Basada en ITIL para Mejorar La Gestión de La Configuración de Servicios TI

Universidad Técnica Federico Santa María
Departamento de Informática
Magíster en Tecnologías de la Información
Implementación de una CMDB Open Source Basada en ITIL para

Mejorar la Gestión de la Configuración de Servicios TI
Cristian Ulloa Fuentes
culloa@cuftech.cl
Resumen: Las empresas que utilizan tecnologías de la información para la entrega de sus servicios,
presentan problemas en el cómo abordar de forma viable y eficiente la gestión de la configuración, de los
sistemas informáticos y la gestión del cambio, inherente de la evolución, mejora continua de los servicios,
regulaciones contractuales y legales. El trabajo desarrollado, aborda desde una perspectiva aplicada, el uso
de las buenas prácticas de ITIL v3 referentes a la gestión de la configuración y gestión del cambio, en
conjunto con el análisis de las distintas opciones de software libre existentes hoy en día, para implementar
una base de datos para la gestión de la configuración (CMDB por sus siglas en inglés). En este trabajo,
usando como caso de estudio una empresa procesadora de tarjetas de crédito para el sector bancario y
financiero, se postula que una solución de este tipo mejorará la capacidad de gestión, al reducir los tiempos
asociados a los procesos de gestión de la configuración y gestión de cambios. En cuanto a los resultados la
empresa se benefició logrando la reducción de los tiempos de gestión y aprobación de cambios y la cantidad
de incidentes relacionados, además de lograr una serie de beneficios adicionales, tales como: mejoras en la
capacidad de gestión, cumplimiento de requerimientos y control sobre la configuración, entre otros.
Palabras Clave: ITIL, Gestión de Configuración, Gestión de Cambio, CMDB.
1 Introducción
Las empresas cada día incorporan más tecnologías de la información dentro de sus servicios, existiendo un
ecosistema de infraestructura (servidores, comunicaciones, software, etc.) junto a los procesos de negocios, que
en su conjunto componen el servicio; la complejidad inherente de los sistemas, presenta desafíos a la hora de
implementar, configurar y mantener los distintos componentes, de una forma eficiente por parte de las áreas de
TI en las compañías.
1.1 Descripción general del problema
Esta tesina, está vinculada a una empresa de tecnología chilena, creada a partir de capitales privados el año
2005, con 11 años de presencia en el mercado, con la misión de entregar servicios de procesamiento de tarjetas
de crédito y otros procesamientos de datos a comercios, retail en general, bancos e instituciones financieras;
respondiendo a la creciente necesidad de la industria de incorporar plataformas tecnológicas que entreguen
ventajas competitivas, sin perder el foco de su negocio, con clientes a nivel nacional, entregando servicios de
alta calidad, con un fuerte enfoque en la mejora continua de sus procesos.
Los directivos de la empresa, el año 2008, dentro de sus estrategias, deciden enfocarse en entregar servicios de
calidad y de clase mundial, para ello la compañía se somete a la certificación bajo las normas ISO 9001:2008[6]
y NCh 2909:2004[7], definiendo, estructurando y documentando sus procesos operacionales, aplicando un
Sistema de Gestión de la Calidad Integrado (SGCI) de forma transversal en toda la compañía (el cual hasta el
día de hoy se encuentra en vigencia) que permite mejorar continuamente los procesos, con el objetivo de
proporcionar a los potenciales y actuales clientes, productos y servicios de excelencia; considerando la calidad,
como una actividad prioritaria dentro de la organización, entendiéndose como el aseguramiento de la
satisfacción de las necesidades del cliente en todo momento y la entrega de un producto de óptima calidad.
Los requerimientos contractuales que adicionalmente establecen los clientes, enfocados a la confidencialidad,
disponibilidad e integridad de la información (a partir de requerimientos de continuidad del negocio y la
recuperación ante desastres), plantea desafíos a la organización, que deben ser abordados para no perder
ventajas competitivas. Adicionalmente, existen normas legales que deben cumplirse (circular N°40 de la SBIF
Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 1

[3]) los cuales definen requerimientos para la seguridad de la información y continuidad operacional, que deben
ser resueltos por las compañías del sector; dentro del alcance están los requerimientos de contar con procesos
para la gestión de la configuración de sus servicios.
El problema que enfrenta este trabajo, consiste en cómo abordar de forma viable y eficiente la gestión de la
configuración de los distintos sistemas, dado que no existe claridad en la relación entre los sistemas y los
servicios; tampoco en la relación de los componentes y los impactos que podría provocar el cambio en uno de
éstos. La documentación de los sistemas es deficiente, siendo lenta la gestión, implicando tiempos y esfuerzos
para mantenerla actualizada, la empresa es auditada de forma interna y externa, las cuales consideran aspectos
de gestión de servicios TI, siendo hoy difícil entregar evidencias respecto de la gestión de la configuración y
los cambios realizados a la plataforma de servicios. En la gestión de incidentes y problemas, se desconocen los
cambios que se han realizado sobre los componentes, lo cual dificulta la resolución en tiempo y forma.
Para abordar el problema, actualmente están las alternativas de:
1. La aplicación de las buenas prácticas que establece ITIL v3[1]

2. Afrontarlo desde un punto de vista puramente normativo, aplicando el conjunto de requerimientos ISO/IEC
27001[8] de seguridad de la información o ISO/IEC 22301[11] orientadas a la continuidad del negocio,
3. La aplicación del framework COBIT 5[4] como herramienta de gobierno y gestión TI.
La contribución más importante que se pretende lograr es, facilitar la introducción y puesta en marcha de la
gestión de la configuración en las organizaciones, aterrizando los conceptos asociados para apoyar su
comprensión y aplicación de forma correcta. Si bien existen publicaciones que realizan la introducción a la
gestión de la configuración, no lo realizan aplicando herramientas de software libre; el presente trabajo se
diferencia, por establecer una definición base para la gestión de la configuración, apoyándose en la
implementación de herramientas de software de código abierto, demostrando que existen alternativas a
productos de software comerciales para resolver de igual forma las necesidades de gestión de la configuración.
El trabajo realizado profundiza principalmente en el área de la gestión TI, el estudio del conjunto de buenas
prácticas de ITIL, y la revisión de las normas ISO/IEC 20000, 22301, la normativa legal establecida por la SBIF
[3] referente a la emisión y procesamiento de tarjetas de crédito.
1.2 Definición del trabajo

La estrategia de solución, consta de una definición de los requerimientos necesarios para la implementación de
una CMDB (Configuration Management Database), la validación de la definición y establecimiento de métricas
de control, aplicación práctica dentro de la organización y análisis de los resultados (correcciones y/o mejoras
basadas en el ciclo PDCA de Deming de mejora continua).
Hipótesis:
La implementación de una CMDB con software libre, basada en ITIL y la aplicación de buenas prácticas
que esta propone, mejorará la capacidad de gestión reduciendo los tiempos asociados a los procesos de
gestión de la configuración y gestión de cambios.
La metodología para validar la hipótesis:

Se compararán los tiempos de gestión actual v/s los de gestión post implementación de la solución.
Considerará la obtención de indicadores previos a la aplicación práctica del trabajo los cuales son: cantidad
de incidentes producidos y tiempo de aprobación de los cambios y los tiempos utilizados para la gestión de
la configuración; que permitan establecer una comparación a partir de un antes y un después de la ejecución,
a fin de validar los resultados, considerando además encuestas de percepción a los miembros de la
organización en todos los niveles jerárquicos.
Los aportes más relevantes de este trabajo, están dados por el establecimiento de una forma práctica de
implementar una CMDB a partir del uso de software Open Source, facilitar la comprensión de los conceptos
asociados a la gestión de la configuración basada en ITIL, para que sean aplicados de forma correcta.
Además, estableciendo una lógica y un cronograma de implementación de los requerimientos, a partir de
las necesidades del negocio, se facilitará el control, la administración y la documentación de la
configuración, reduciendo los costos operativos.
2 Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado
Finalmente, se puede decir que el trabajo genera beneficios como:

● Mejorar la continuidad operacional de los servicios.
● Conocer el impacto de los cambios sobre la configuración de un servicio.
● Confianza de clientes y socios estratégicos por la garantía de calidad y gestión sobre los servicios.
● Mejoras en la imagen de la empresa y elemento diferenciador de la competencia.
1.3 Organización del informe

El documento se encuentra estructurado de la siguiente forma.
En el capítulo 2, se define el marco teórico y estado del arte que sustenta la base teórica necesaria para abordar
el problema. En el capítulo 3, se detalla la especificación del problema, la hipótesis de solución, revisando la
situación actual y un diagnóstico de estado. En el capítulo 4, se aborda la implementación de la CMDB,
considerando las alternativas de software open source existentes, definiendo los alcances y límites de la
implementación. En el capítulo 5, se aplican los procesos ITIL bajo alcance, definiendo y especificando la
metodología de análisis de riesgos e impactos en la configuración. Analizando los resultados obtenidos y las
verificaciones realizadas post implementación para validar la hipótesis planteada. Finalmente en el capítulo 6,
se describen las conclusiones obtenidas.
2. Marco Teórico y Estado del Arte

A continuación se presenta la investigación realizada respecto de buenas prácticas, estándares y trabajos
relacionados con el problema a resolver, que serán base para el desarrollo de la solución.
2.1 ITIL (Information Technology Infrastructure Library o Biblioteca de Infraestructura de Tecnologías

de la Información)
ITIL [1] es un compendio de publicaciones, o biblioteca, que describen de manera sistemática un conjunto de
“buenas prácticas” para la gestión de los servicios de Tecnología de la Información (TI). Las organizaciones,
cada vez dependen más de las herramientas informáticas, para llevar a cabo su trabajo diario. Este trabajo
además está gestionado y controlado, a través de otros sistemas informáticos, pudiendo estar éstos a su vez,
dentro de una red controlada por otros sistemas, y así sucesivamente. Por tanto, la complejidad de estos sistemas
hizo crecer la demanda y necesidad de las entidades (públicas y privadas) de disponer de un modelo, que les
permitiera gestionar su infraestructura TI más fácilmente y que pudieran dar soporte a los objetivos de negocio.
ITIL nació en la década de 1980, a través de la Agencia Central de Computación y Telecomunicaciones del
Gobierno Británico (Central Computer and Telecommunications Agency - CCTA), que ideó y desarrolló una
guía para que las oficinas del sector público británico fueran más eficientes en su trabajo y por tanto se redujeran
los costos derivados de los recursos TI. Sin embargo, esta guía demostró ser útil para cualquier organización,
pudiendo adaptarse según sus circunstancias y necesidades. De hecho resultó ser tan útil que actualmente ITIL
recoge la gestión de los servicios TI como uno de sus apartados, habiéndose ampliado el conjunto de “buenas
prácticas” a gestión de la seguridad de la información, gestión de niveles de servicio, perspectiva de negocio,
gestión de activos software y gestión de aplicaciones. Estas buenas prácticas provienen de las mejores
soluciones posibles que diversos expertos han puesto en marcha en sus organizaciones a la hora de entregar
servicios TI, por lo que en ocasiones el modelo puede carecer de coherencia. En la actualidad ITIL pertenece a
la Oficina de Comercio Británico (Office of Government Commerce - OGC), pero puede ser utilizado para su
aplicación libremente.
ITIL no comenzó a ser utilizada de manera común hasta aproximadamente 1990; desde esa fecha el crecimiento
de la biblioteca se situó en aproximadamente 30 publicaciones, que hacían de su utilización un proceso
complejo. Se hizo necesaria por tanto, una revisión que agrupara los libros, según conjuntos estructurados en
los procesos que estuvieran más íntimamente relacionados, enmarcando la gran cantidad de publicaciones
existente en ocho volúmenes, denominándose desde entonces como ITIL v2. La última versión vio la luz en
2007, denominada como ITIL v3. En esta versión, se ha realizado una actualización, agrupando los elementos

principales de ITIL [14] en 5 volúmenes, que pueden encontrarse en la actualidad con los siguientes títulos (en
inglés original).
1. ITIL v3 Service Strategy (SS)

2. ITIL v3 Service Design (SD)
3. ITIL v3 Service Operation (SO)
4. ITIL v3 Continual Service Improvement (CST)
5. ITIL v3 Service Transition (ST)
Figura 1: Framework ITIL v3, Fuente: Ed Chen PDCA [18].
2.1.1 Transición del servicio
2.1.1.1 Activos del servicio y gestión de la configuración
El objetivo de este proceso es mantener la información acerca de los elementos de configuración (Configuration
Items o CI) requeridos para la prestación de un servicio de TI, incluyendo las relaciones entre ellos.
El proceso de activos del servicio y gestión de la configuración abarca los siguientes subprocesos:
● Soporte a la gestión de la configuración: Se debe definir y actualizar la estructura del sistema de gestión de
la configuración (Configuration Management System, CMS) de manera que contenga la información
relacionada con los elementos de configuración (CI), incluyendo sus atributos y relaciones.
● Verificación y auditoría de configuraciones: Realizar controles periódicos, asegurando que la información
contenida en el CMS sea una representación exacta de los elementos de configuración (CI) instalados en el
entorno de producción real.
El Sistema de Gestión de la Configuración es un modelo lógico coherente de la infraestructura de la
organización de TI, típicamente compuesto de varias Bases de Datos de la Gestión de Configuración
(Configuration Management Database, CMDB) que operan como subsistemas físicos. Se usa para almacenar
información acerca de los Elementos de Configuración (CI's) controlados por la Gestión de la Configuración.
Los CI’s son principalmente equipo o aplicaciones, y se caracterizan por sus atributos (registrados en el Registro
de la Configuración de los CI's) y su relación con otros CI's.
Dependiendo del tipo de CI, los atributos típicos de un registro de CI incluyen:

1. Identificador único (ID)
2. Nombre
3. Descripción
4. Propietario del CI / persona a cargo
5. Clasificación
1. Categoría (por ej. Servicio, Equipo, Aplicación, Documento, Personal ...)
2. Tipo (por ej. Servidor, Impresora, ... – particularización de la clasificación
en categorías)
6. Información del manufacturero
1. Nombre del manufacturero
2. Número de serie
3. Número de licencia / referencia al contrato de licencia
7. Versión
8. Historia de modificaciones del Registro de CI
1. Fecha de creación
2. Modificaciones
3. Descripción de la modificación
4. Fecha
5. Persona a cargo
9. Localización
1. Localización física, si aplica
2. Localización lógica, si aplica (por ej. directorio del servidor)
10. Historia del estado (descripción del ciclo de vida de un CI con los datos de su estado, por
ejemplo, "A Prueba", "Activo", "Bajo Mantenimiento", "Fuera de operación" ...)
1. Estado y versión actual
2. Historia del estado y versión (cambios históricos al estado del CI o Cambios
planificados para el futuro)
1. Cambio de estado
2. Descripción
3. Hora y fecha del Cambio de estado
11. Relación a Servicios de TI
12. Relación a otros CI’s, por ej:
1. Es un componente de
2. Está asociado con
3. Utiliza
4. Es una característica de
5. Es una versión nueva de
6. Será reemplazado por
13. Relación con otros objetos de datos en la Gestión de Servicios de TI
1. Registros de Incidentes
2. Registros de Problemas
3. Errores Conocidos
4. Registros de Cambios
14. Detalles de la licencia
15. Referencias a documentos
1. Documentación de contratos
2. Documentación Operativa
3. Documentación del Usuario
4. Documentación relevante en emergencias
5. Otra documentación
2.1.1.2 Gestión de cambios
El objetivo es controlar el ciclo de vida de los cambios, viabilizando los cambios beneficiosos con un mínimo
de interrupciones en la prestación de los servicios de TI. Las actividades y objetivos de los procesos son
esencialmente idénticos en ITIL v2 e ITIL v3; en esta última se incorpora el concepto de modelo de cambio,
donde la definición de diferentes tipos de cambios, mediante modelos, sirve para clasificarlos; además, se
muestra cómo tratar los diferentes tipos de cambios, es decir, según qué reglas deben tratarse los cambios. Estas
reglas también establecen quién puede autorizar qué cambios en la organización. Los cambios de emergencia
en ITIL v3 son autorizados por el consejo consultor para cambios de emergencia (ECAB), que en ITIL v2 se
denominaba comité de emergencia (EC).
El proceso de gestión de cambios, cuenta con los siguientes subprocesos:
● Soporte a la gestión de cambios: Proveer plantillas y orientación para la autorización de cambios, facilitando
la información sobre cambios de activos y proyectados a los encargados de otros procesos de gestión de
servicios TI.
● Registro y pre evaluación de solicitudes de cambio: Descartar las solicitudes que no contengan toda la
información necesaria para su evaluación o que no resulten viables.
● Clasificación de solicitudes de cambio: Verificar que la prioridad de un cambio propuesto haya sido
determinada correctamente por el proponente y determina el nivel de autoridad adecuado para aprobar o
rechazar determinadas solicitudes de cambios (RFC).
● Evaluación de solicitudes de cambios urgentes: Autorizar, ajustar o rechazar una solicitud de cambio urgente
lo antes posible. Se recurre a este subproceso cuando los procedimientos regulares de gestión de cambios
no son aplicables, dada la acción inmediata requerida en casos de emergencia.
● Evaluación de cambios - gestor de cambios: Autorizar o rechazar un cambio propuesto, así como asegurar
una programación preliminar y la incorporación del mismo al calendario de cambios.
● Evaluación de cambios - CAB: Autorizar o rechazar un cambio propuesto, así como asegurar una
programación preliminar y la incorporación del mismo al calendario de cambios.
● Programación de cambios: Acordar la programación preliminar para la implementación de cambios y
asignar responsabilidad por la implementación de los mismos a la gestión de proyectos y la gestión de
versiones.
● Evaluación de cambios: Evaluar la implementación de cambios y los resultados obtenidos, de manera que
se constate la presencia del historial completo de actividades para referencia futura y asegurar que se hayan
analizado errores y aprendido lecciones.
2.2 Normativa ISO/IEC
Existe una serie de normas bajo el estándar ISO/IEC, que han sido creados para unificar criterios y definir los
lineamientos para la gestión de servicios de TI, dentro de los cuales se considera la norma ISO/IEC 20000[2]
para la gestión de servicios TI (ITSM), la cual describe un conjunto de procesos de gestión, diseñados para
ayudar a las organizaciones a ofrecer servicios más eficaces; esta norma proporciona la metodología y el marco
para ayudar a manejar la ITSM, además permite demostrar a las organizaciones que aplican las mejores
prácticas, siendo posible aplicar en organizaciones independiente de su tamaño o negocio.
A diferencia de un estándar, ITIL es un marco práctico (framework) de las “mejores prácticas”, que se centra
en la adaptación de los servicios de TI con las necesidades más amplias del negocio, Como empresa no es
posible obtener una certificación en ITIL, en cambio ISO 20000 se basa en los principios fundamentales de
ITIL y es un estándar bajo el cual las empresas pueden certificarse. Una de las razones para la creación de ITIL
v3, era lograr una mejor alineación con la norma ISO 20000. Como resultado, ITIL ofrece una amplia gama de
recomendaciones de buenas prácticas, que son base para la aplicación de la norma ISO 20000, siendo ITIL un
camino para certificarse en esta norma.
Otros estándares que hacen mención a la gestión de la configuración y el control de cambios son los
correspondientes a las normas ISO 27001 e ISO 22301. La norma ISO 27001:2013[11] es un estándar de la
seguridad de la información, indica cómo establecer un sistema de gestión de la seguridad de información
auditado y certificado de forma independiente. Dentro de los controles que componen la norma, existe una
relación con los de la norma ISO 20000 [2], en lo referente a la gestión de la configuración y la gestión del
cambio.

Tabla 1: Relación controles ISO 20000 v/s ISO 27001. Fuente: Elaboración propia.
Proceso ISO 20000 Controles Anexo ISO 27001
Gestión de la configuración 7. Gestión de activos.

12.4.1 Control de software de explotación.
Gestión del cambio 10.1.2 Gestión de cambios.

10.1.4 Separación de los recursos de desarrollo, prueba y operación.
12.5.1 Procedimiento de control de cambios.
12.5.2 Revisión técnica de los cambios en el sistema operativo.
12.5.3 Restricciones en los cambios a los paquetes de software.
Figura 2: Relación procesos ISO 20000 v/s ISO 27001. Fuente: urtanta.com.
ISO 22301[9] es la nueva norma internacional de gestión de continuidad de negocio, creada en respuesta a la
demanda internacional que obtuvo la norma británica original BS 25999-2. La norma identifica los fundamentos
de un sistema de gestión de continuidad de negocio, estableciendo el proceso, los principios y la terminología
de gestión de la continuidad de negocio. El objetivo es que la organización se mantenga en funcionamiento
durante y después de una interrupción; garantizando de esta forma que los productos y servicios serán
entregados a los clientes oportunamente. Esta norma también contempla controles, que tienen relación con la
gestión de la configuración y el control de cambios sobre los sistemas de información.
Tabla 2: Relación controles ISO 20000 v/s ISO 22301. Fuente: Elaboración propia.
Proceso ISO 20000 Controles Anexo ISO 22301
Gestión de la configuración 8. Operación

8.1 Plan operacional y control.
Gestión del cambio 8. Operación

8.1 Plan operacional y control.
2.3 Cobit
COBIT [4] nace de la mano de ISACA a mediados de los años 90, como un marco para la auditoría de las TI.
Progresivamente evoluciona, incluyendo prácticas de control y de gestión, hasta llegar en la última versión,
COBIT 5, a convertirse en un marco de referencia para el gobierno y la gestión de las TI de las empresas.
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI, manteniendo un balance
entre la realización de beneficios, la utilización de recursos y los niveles de riesgo asumidos. COBIT posibilita
que las TI sean gobernadas y gestionadas en forma holística para toda la organización, tomando en

consideración el negocio y áreas funcionales de punta a punta, así como los interesados internos y externos.
COBIT se puede aplicar a organizaciones de todos los tamaños, tanto en el sector privado, público o entidades
sin fines de lucro. COBIT es empleado en todo el mundo, por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología, los que proveen calidad,
confiabilidad y control de TI.
Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prácticas de gobierno y gestión para describir las
acciones que son ejemplo de mejores prácticas de su aplicación. COBIT 5, ha cambiado su enfoque de objetivos
de control a una visión por proceso.
Los 5 principios que Cobit promueve son:
1. Satisfacer las necesidades del accionista
2. Considerar la empresa de punta a punta
3. Aplicar un único modelo de referencia integrado
4. Posibilitar un enfoque holístico
5. Separar gobierno de la gestión.
Los 7 habilitadores que componen Cobit son:
1. Principios, políticas y modelos de referencia
2. Procesos
3. Estructuras organizacionales
4. Cultura, ética y comportamiento
5. Información
6. Servicios, infraestructura y aplicaciones
7. Gente, habilidades y competencias.
El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de los accionistas, las
condiciones y opciones; establecer la dirección a través de la priorización y la toma de decisiones; y monitorear
el desempeño, el cumplimiento y el progreso, versus la dirección y objetivos acordados (EDM, por Evaluar,
Dirigir, Monitorizar).
Por su parte la gestión, se ocupa de planificar, construir, ejecutar y monitorear las actividades alineadas con la
dirección establecida por el organismo de gobierno, para el logro de los objetivos empresariales (PBRM ó
Planificar, Construir, Ejecutar y Monitorear, por su sigla en inglés).
2.4 Estado del Arte

Referente a las alternativas de solución para el problema presentado, se realizó la investigación de trabajos
relacionados, con distintos enfoques para abordar una solución, encontrando que se han desarrollado soluciones
orientadas a cuantificar los beneficios y los factores críticos de costo en la implementación de una CMDB[12],
modelos de evaluación para la selección de una herramienta de CMDB comercial[13], diseño de una CMDB a
partir de las definiciones de ITIL[10], y guías de implementación de las buenas prácticas de ITIL[11]. Sin
embargo, ninguno de estos trabajos aborda la solución de la problemática presentada a partir de la aplicación
práctica de herramientas de software de código abierto, como alternativa a la gestión de la configuración y el
cambio.
A partir del estudio de las buenas prácticas de ITIL [15], éstas ofrecen una alternativa práctica de solución de la
gestión de la configuración y cambios, estableciendo las definiciones y procesos que apoyan de mejor forma la
solución a la problemática presentada. La diferencia básica entre la norma ISO 20000 e ITIL, es que la norma
proporciona la metodología y el marco, mientras que ITIL define los detalles (las mejores prácticas) sobre cómo
manejar cada proceso de TI; es posible decir que la norma ISO 20000 define qué hacer, mientras que ITIL
indica cómo hacerlo.
La norma ISO 22301, proporciona un marco que permite a las organizaciones, identificar sus amenazas y
fortalecer su capacidad, para así disminuir la posibilidad de ocurrencia de un incidente disruptivo, y en caso de
producirse, estar preparada para responder de forma adecuada, reduciendo drásticamente el daño potencial que
ese incidente puede causar a la organización. Sin embargo, no tiene un aporte directo en la solución de la
problemática presentada.
Por su parte Cobit, tiene un fuerte enfoque en la gestión de alto nivel, estableciendo las bases para la definición
y ejecución del gobierno de TI dentro de las empresas, por lo que las posibilidades de aplicación en el problema
presentado quedan fuera del alcance de la solución (de ejecución operativa y práctica) que se busca.
3. Especificación del problema

3.1. Situación actual
En la empresa que se seleccionó como caso de estudio la gestión de la configuración es registrada en

documentos de texto, con un formato definido, existiendo tantos documentos, como sistemas, servicios,
hardware y software existe (a la fecha son más de 57 documentos, faltando una cantidad no determinada de
componentes por documentar a la fecha), haciendo muy poco eficiente la gestión y mantención de la
información. El control de los documentos es realizado por una única persona responsable, lo cual impacta en
los tiempos de respuesta, dada la alta dependencia del recurso (concentración y especialización de funciones),
para mantener actualizada la información a partir del volumen de cambios realizados. No existe una relación
entre los documentos, que permita determinar, los impactos sobre el cambio en la configuración de algún
componente y los criterios para establecer el impacto, están basados en el juicio experto.
En la actualidad, la Empresa cuenta con un procedimiento para la gestión de cambios, vigente desde febrero de
2015, basado en ITIL; sin embargo, el procedimiento, se aplica de forma manual (no existe automatización del
proceso), lo cual lo vuelve, lento, engorroso y propenso a errores, dado que no existe un repositorio que
contenga la información de la configuración. La información de gestión de los cambios, se registra en
documentos con un formato predefinido, el cual es registrado posteriormente en una intranet, en donde se
resguarda y archiva; esto implica, que la obtención de estadísticas o análisis sobre los cambios, se vuelve muy
lento y difícil de procesar, no existe una relación entre los documentos de registro de la configuración y los de
control de cambios, lo cual impide realizar una gestión de cambios y/o de la configuración de forma eficiente,
en los tiempos que el negocio los necesita.
En la industria del procesamiento de tarjetas de crédito, en la cual opera la Empresa, existe una normativa legal,
generada por la Superintendencia de Bancos e Instituciones Financieras (SBIF) que corresponde a la circular
N°40, la cual define los requerimientos que deben cumplir los operadores de tarjeta, estableciendo que la entidad
(Operador): mantiene una estrategia para abordar la gestión de proyectos y metodologías para el desarrollo y
adquisición de programas y equipos computacionales, como asimismo para la mantención de sistemas y
aplicaciones de negocios; deben existir políticas para la administración del cambio y la función de
aseguramiento de calidad en todos sus productos, servicios e información.
3.2. Diagnóstico
A partir de la situación actual, se detectan los siguientes problemas y oportunidades de mejora:
La gestión de la configuración, no se encuentra definida como proceso, la información es manejada en

documentos de textos independientes entre sí, a partir de un formato definido, no se contemplan detalles
técnicos y las capacidades de mantener la información actualizada se encuentra limitada, dado que los recursos
(personas) dedicados a su mantención son utilizados también en otras actividades.
A partir de este escenario, se presenta la oportunidad de formalizar el proceso de gestión de la configuración,

aplicando las buenas prácticas de ITIL, incorporando la información que actualmente se administra en una
CMDB, complementando con la información técnica faltante. La Empresa adicionalmente, por los
requerimientos legales que debe cumplir, cuenta con sus procesos de negocio e infraestructura asociada,
definida, bajo los términos de continuidad operacional, en base a la norma ISO/IEC 22301, por lo cual existe la
información necesaria para realizar la implementación de una primera etapa de la CMDB.
Respecto de la gestión de cambios, la compañía cuenta con el proceso definido (basado en las buenas prácticas
ITIL), sin embargo la gestión de la información es compleja (se lleva de forma similar a la gestión de la
configuración, con documentos de texto), lo cual implica altos tiempos de gestión y de respuesta final, dado
que los ciclos de aprobación, llegan a ser en algunos casos de más de un día y medio. Al contar con la

información de la configuración centralizada en la CMDB, se facilitan las actividades del proceso de gestión
de cambios; utilizando los flujos de trabajo predefinidos por el software open source a utilizar y realizando los
ajustes correspondientes (de acuerdo a la realidad de la Empresa), será posible agilizar los ciclos de aprobación
y obtener mejoras en los siguientes ámbitos: disponibilidad, integridad y confidencialidad de la información, la
cual pasa a ser corporativa y administrada en un repositorio centralizado.
4. Diseño de una Solución de CMDB basada en Software Open Source

4.1. Metodología y criterios de selección del software a utilizar
Para la selección del software open source a implementar, se debe proceder a establecer los criterios, definidos
como necesarios para cumplir con los requerimientos, que permitan dar solución al problema. Se asigna una
ponderación a cada criterio, siendo los más relevantes: que el software sea de código abierto, incorpore las
buenas prácticas de ITIL, cuente con las funcionalidades de gestión de la configuración y gestión del cambio y
posea un historial de las modificaciones realizadas; para posteriormente a partir del análisis de cada software,
obtener de forma objetiva la mejor solución.
Criterios para la selección de softwares CMDB de código abierto
Tabla 3: Criterios para la selección, Fuente: Elaboración propia.
Criterio Valor % Ponderación
Open Source Requerido 10%
Arquitectura Cliente/Servidor 5%
Tecnologías Código abierto (php, apache) 5%
Motor de datos MySQL 5%
ITIL Compliant Requerido 10%
Soporte Requerido, Comunidad 5%
Documentación Requerido 2%
Uso de software de 3ros. No Requerido 2%
Funcionalidades
Análisis de impacto Requerido 5%
Relación entre CI Requerido 5%
Gestión de configuración Requerido 10%
Gestión de cambios Requerido 10%
Gestión de incidentes Opcional 2%
Gestión de problemas Opcional 2%
Gestión de requerimientos Opcional 2%
Mesa de ayuda Opcional 2%

Historial Requerido 10%
Otros
Facilidad de uso Alta 5%
Configuración Simple 3%
4.2. Análisis de alternativa de software open source disponibles
Las alternativas de software open source como solución de CMDB, evaluadas son las siguientes:
Combodo iTop, es una aplicación orientada a la gestión de servicios TI, se adapta a las necesidades de las
empresas digitales (proveedores de infraestructura o de servicios de aplicaciones, software y
telecomunicaciones) para gestionar múltiples clientes, contratos y SLAs. Permite contar con una solución única
para la gestión de múltiples clientes a la vez, protegiendo la confidencialidad de la información.
La aplicación ha sido diseñada por profesionales de los servicios TI, con un enfoque en la gestión de
infraestructuras compartidas, permitiendo analizar el impacto de un incidente o un cambio en los diferentes
servicios y contratos que se deben cumplir. Mantiene un único repositorio, compartido por todos los equipos,
contando además con opciones de sincronización con versiones satélites de iTop.
iTop está diseñado para funcionar con equipos pequeños y medianos de TI, su facilidad de uso, permite de
forma rápida centralizar los datos de dispositivos, software, usuarios, ubicaciones, etc. Siendo una herramienta
de colaboración que ofrece la capacidad de responder de mejor forma y en menor tiempo. La versión
comunitaria es 100% funcional y de código abierto.
En el núcleo de iTop, el modelo de datos CMDB es un repositorio modificable y ampliable, para el registro de
todos los componentes y relaciones técnicas, funcionales y organizacionales, dentro del sistema de información.
OneCMDB, es una aplicación CMDB dirigida a empresas pequeñas y medianas. Se puede utilizar como una
CMDB independiente para realizar un seguimiento de los activos de software y hardware, junto con sus
relaciones; gracias a su API abierta, puede ser también un motor de gestión de la configuración flexible y potente
para otros softwares de administración de servicios.
Es fácil de instalar y configurar, ya sea manualmente o a partir de otras fuentes de datos. Tiene un modelo de
datos especificado por el usuario, el que puede ser modificado y mejorado sin necesidad de programación.
OneCMDB permite crear un modelo de datos CMDB propio, sin escribir una sola línea de código; es posible
poblar la base de datos, a través del autodescubrimiento de equipos en la red, puede obtener datos de diversas
fuentes externas, a través de una importación flexible y cuenta con un mecanismo para transformar la
información de configuración importada/exportada de la red (se integra con otros softwares como Nagios).
Está disponible para su descarga gratuita e incluye su código fuente.
Una característica importante, es que no se requieren conocimientos de modelado de base de datos, para utilizar
la aplicación; se abstrae al diseñador CMDB de cómo se almacenan los elementos de configuración (CI), el
diseñador puede centrarse en la organización de los elementos de configuración, sus atributos y relaciones más
que en las consultas SQL y su correspondiente código (C++/Java), los elementos de configuración, atributos,
relaciones, etc. son gestionados a través de una interfaz gráfica de usuario.
El diseño y mantenimiento de la aplicación, se ve facilitado por el uso de plantillas y un enfoque orientado a

objetos.
Por último, la estructura de la CMDB se puede ampliar fácilmente y modificarse en una etapa posterior, incluso
cuando se encuentra en producción.
Se compone de una parte servidor (OneCMDB Core) y una interfaz de usuario basada en web (OneCMDB
escritorio). La interfaz de usuario permite a los usuarios ver, buscar y navegar la CMDB. También permite a
los diseñadores gestionar el modelo de datos de la CMDB. Tiene una API abierta, para que sea fácil integrarse
con otras aplicaciones como mesa de ayuda y gestión del cambio por ejemplo.

I-doit, permite documentar la infraestructura IT, y sus relaciones, almacenando toda la información en un
repositorio centralizado; además de la documentación técnica, permite la gestión de contratos de servicios, la
gestión operativa de los objetos documentados y los planes de respuesta a emergencias, para los componentes
y sistemas, todos los documentos en la aplicación están sujetos a control de versiones, permitiendo el
seguimiento de cambios de forma clara y trazable.
Además de las dependencias directas derivadas de datos de la conexión o la asignación de software para
sistemas, permite documentar asignaciones entre componentes de forma manual, resultantes indirectamente de
los procesos de negocio relacionados. Es posible definir dependencias entre objetos en varias direcciones;
reconociendo que servicios o funciones ya no estarán disponibles, en caso de alguna falla.
La aplicación cuenta con un módulo para la gestión de flujos de trabajo, el cual permite la creación, asignación
y seguimiento de los pedidos y listas de control, con un sistema de notificaciones basado en estados; los trabajos
en la infraestructura de TI pueden ser coordinados y documentados de forma clara. El módulo se puede ampliar
de forma simple con procesos adicionales, siendo capaz de controlar, por ejemplo, la adquisición de
componentes, incluyendo desde la especificación, gestión de compra y el paso a producción.
I-doit, permite el manejo de múltiples clientes de forma paralela, pero independientes unos de otros; la
documentación de cada cliente se lleva a cabo en un espacio independiente, lo cual asegura que la información
no podrá cruzarse entre clientes, esto permite la gestión completa en una única plataforma.
Considera los registros de auditoría necesaria sobre los objetos, referente a todos los cambios realizados, en
combinación con opciones adicionales de comentarios, permiten complementar la información del historial.
La aplicación es flexible, se pueden definir el nivel de detalles de documentación para objetos determinados, la
vista de páginas es personalizable y cuenta con opciones de selección de idioma (multilenguaje).
CMDBuild, es una aplicación web, con la que se pueden configurar soluciones personalizadas para el gobierno
TI, o más en general para la gestión de activos. Se basa en la separación entre el “motor” y la “lógica de
negocio”. El núcleo se mantiene idéntico para todos los usuarios, pero la particularidad de cada usuario, está
contenida en los elementos dinámicos del sistema, en un modelo de datos totalmente configurable, incluyendo
flujos de trabajo e informes, que los usuarios pueden crear o importar al sistema, a través de descriptores XML.
CMDBuild permite la gestión de CMDB y la gestión de flujos de apoyo, de acuerdo a las mejores prácticas de
ITIL, el objetivo es facilitar a los operadores mantener un completo control de sus activos, así como la gestión
del ciclo de vida de una manera integral.
La aplicación tiene una función simple, pero potente que permite a cada usuario configurar y cambiar el modelo
de datos de la instancia de la aplicación. No se trata simplemente de la posibilidad de definir algunos campos,
al igual que otros productos, CMDBuild también puede crear desde cero, una base de datos totalmente
personalizada en términos de: "clases", es decir, tablas de la base; "Atributos" de las clases, tales columnas de
las tablas (de todos los tipos posibles); "Dominio", que son los tipos de relaciones, incluso con cualquier atributo
adicional específico; "búsquedas", que son las listas de valores asociados a unas clases específicas que se
atribuyen; "Herencia", que es la posibilidad de "especializar" una clase específica mediante la adición de
"atributos", "dominios" y compartir los "atributos" y "dominios" de la superclase (también multinivel); "vistas"
en base a filtros o consultas SQL.
Uno de los valores más importantes de CMDBuild, es la posibilidad de configurar fácilmente los flujos de
trabajo, a través del cual se pueden gestionar de manera colaborativa, todas las actividades que debe realizar
para gestionar la infraestructura de TI.
Los documentos, son elementos importantes de información, que pueden estar relacionados con cualquier
elemento de configuración, almacenada en la CMDB: manuales y documentos técnicos, contratos, formularios,
capturas de pantalla de error, dibujos técnicos, las imágenes de los objetos y lugares, vídeos, etc.
El módulo de gestión de datos de la interfaz de CMDBuild, para cada hoja de datos incluye una página especial
(TAB), que enumera todos los archivos adjuntos. Es posible, por tanto, visualizar documentos o adjuntar otros
nuevos.

Cuadro comparativo entre software CMDB de código abierto
Tabla 4: Comparativa entre aplicaciones CMDB, Fuente: Elaboración propia.
Nombre Producto iTop OneCMDB i-doit CMDBuild
Open Source SI SI SI SI
Arquitectura Cliente/Servidor Desktop Cliente/Servidor Cliente/Servidor
Tecnologías PHP, Apache, IIS Java, Hibernate PHP, Apache Java, Tomcat
Motor de datos MySQL HSQLDB MySQL PostgreSQL
ITIL Compliant SI SI NO SI
Comunidad - Comunidad - Comunidad -

Soporte Comunidad
Comercial Comercial Comercial
Documentación SI SI SI SI
Uso de software de 3ros. NO SI NO SI
Versión comercial SI NO SI SI
Última versión 2.3 (2016) 2.1 (2009) 1.4 (2014) 2.4 (2016)
Funcionalidades
Análisis de impacto SI NO NO SI
Relación entre CI SI SI SI SI
Gestión de configuración SI SI SI SI
Gestión de cambios SI SI NO SI
Gestión de incidentes SI NO NO SI
Gestión de problemas SI NO NO SI
Gestión de requerimientos SI NO NO NO
Mesa de ayuda SI NO NO NO
Historial SI SI SI SI
Otros
Facilidad de uso Alta Baja Alta Alta
Configuración Simple Compleja Simple Compleja
Valores predefinidos SI NO SI NO
Cumplimiento criterios (%) 100% 67% 67% 86%

Como resultado del análisis realizado a las distintas opciones de software CMDB de código abierto, se decide
implementar la solución iTop, la cual cubre los requerimientos necesarios para la implementación en la
organización, con un cumplimiento del 100% de los requerimientos.
4.3. Definición del alcance y sus límites
El alcance de la solución a desarrollar contempla la implementación de la instalación y configuración de una

base de datos para la gestión de la configuración basada en ITIL de código abierto, considerando la puesta en
marcha de los procesos de gestión de la configuración y de gestión del cambio. La implementación se limita
solo a los dos procesos anteriormente mencionados; sin embargo se contempla la recopilación de la información
necesaria de otros procesos ITIL para generar la CMDB, sin entrar en los detalles de cada uno, los cuales están
fuera del alcance del presente trabajo; se encuentran fuera de alcance los detalles de la instalación del software
CMDB iTop, los cuales se encuentran respectivamente documentados en los manuales de instalación del
software y son de acceso público en el sitio web oficial.
4.4. Especificación de los procesos ITIL bajo alcance

Proceso de gestión de la configuración:
● Soporte a la Gestión de la Configuración

○ Objetivos: Definir y actualizar la estructura del CMS de manera que contenga la información relacionada
con los Elementos de Configuración (CI), incluyendo sus atributos y relaciones.
● Control de configuración
○ Objetivos: Asegurarse de que no hay elementos de configuración (CI) que son añadidos o modificados
sin la autorización requerida, y que tales modificaciones se registran adecuadamente en el CMS.
Nota: El control de la configuración de ITIL, se centra principalmente en la revisión de modificaciones
en el Sistema de Gestión de la Configuración (CMS), para asegurarse de que la información almacenada
en el CMS se ha completado y las modificaciones se han realizado por usuarios autorizados.
● Verificación y Auditoría de Configuraciones
○ Objetivo: Llevar a cabo controles periódicos, asegurando que la información contenida en el CMS sea
una representación exacta de los Elementos de Configuración (CI) instalados en el entorno de producción
real.
Figura 3: Proceso de gestión de la configuración, Fuente: IT Process Map [5]

KPIs del proceso:

Tabla 5: KPI proceso de gestión de la configuración, Fuente: IT Process Map [5].
KPI Descripción
Frecuencia de verificación Frecuencia de verificaciones físicas del contenido de CMS
Duración de verificación Duración promedio de verificaciones físicas del contenido de CMS
Esfuerzo para verificaciones Promedio de esfuerzo de trabajo para verificaciones físicas del contenido de
de CMS CMS
Cobertura del CMS Porcentaje de elementos de configuración cuyos datos están incluidos en la CMS
Actualización automática de Porcentaje de elementos de configuración cuyos datos en la CMS se actualizan

CMS automáticamente
Cantidad de errores de CMS Número de ocasiones en las que se detectaron errores en el contenido de la CMS
Rol ITIL asociado:
● Gestor de Configuración, es responsable de dar mantenimiento a la información requerida sobre Elementos

de Configuración y de prestar servicios de TI.
Proceso de gestión del cambio:
● Registro
○ El primer paso del proceso de cambio es registrar adecuadamente las RFC, los orígenes de las RFC
pueden ser de distinta índole (Gestión de problemas, nuevos servicios, estrategia empresarial,
actualización de software de terceros, imperativo legal, otros).
● Aceptación
○ Tras el registro de la RFC se debe evaluar preliminarmente su pertinencia. Una RFC puede ser rechazada
si se considera que el cambio no está justificado o se puede solicitar su modificación si se considera que
algunos aspectos son susceptibles de mejora; en cualquiera de los casos la RFC debe ser devuelta al
departamento o persona que la solicitó con el objetivo de que se puedan realizar las revisiones y/o
modificaciones correspondientes.
● Clasificación
○ Tras su aceptación se deben asignar a la RFC una prioridad y categoría dependiendo de la urgencia y el
impacto de la misma.
● Aprobación
○ El TOE (Grupo de Ingeniería) debe reunirse periódicamente para analizar y eventualmente aprobar los
RFCs pendientes y elaborar el FSC (Future Schedule Change ) o calendario de cambio correspondiente.
● Planificación
○ Una vez aprobado el cambio (en caso contrario se seguiría el proceso ya descrito para el caso de no
aceptación) debe evaluarse si éste ha de ser implementado aisladamente o dentro de un "paquete de
cambios" que formalmente equivaldrían a un solo cambio.
● Implementación
○ Aunque la Gestión de Cambios NO es la encargada de implementar el cambio, algo de lo que se
encarga habitualmente la Gestión de Versiones, si lo es de supervisar y coordinar todo el proceso.
● Evaluación
○ Antes de proceder al cierre del cambio es necesario realizar una evaluación que permita valorar
realmente el impacto del mismo en la calidad del servicio y en la productividad de la organización.
● Cierre
○ Si la evaluación final determina que el proceso y los resultados han sido satisfactorios se procederá al
cierre de la RFC y toda la información se incluirá en la PIR (Post Implementation Revisión) asociada.

Figura 4: Proceso de gestión de cambios. Fuente: Interno Empresa
KPIs del proceso:
Tabla 6: KPI proceso de gestión del cambio, Fuente: IT Process Map [5].
KPI Descripción
Cantidad de cambios mayores Cantidad de cambios mayores evaluados por el CAB (Consejo
Consultor para Cambios)
Cantidad de reuniones de CAB Cantidad de reuniones de CAB
Tiempo para autorización para Tiempo medio transcurrido desde la solicitud de una RFC (Solicitud de
cambios Cambio) a la Gestión de Cambios hasta la autorización para el cambio

Tasa de aceptación de cambios Cantidad de RFC's aceptadas vs. rechazadas
Cantidad de cambios urgentes Cantidad de cambios urgentes evaluados por el ECAB (Consejo
Consultor para Cambios de Emergencia)
Rol ITIL asociado:
● Gestor de Cambios, controla el ciclo de vida de todos los Cambios. Su objetivo primario es viabilizar la
realización de Cambios beneficiosos con un mínimo de interrupciones en la prestación de servicios de TI.
En caso de Cambios de gran envergadura, el Gestor de Cambios buscará la autorización del Comité de
Cambios.
● Consejo Consultor para Cambios (CAB), se trata de un grupo de personas que aconseja al Gestor de Cambios
en la evaluación, establecimiento de prioridades y programación de cambios.
El Consejo Consultor para Cambios (Change Advisory Board, CAB) se compone de representantes de todas
las áreas de la organización de TI, la empresa, y terceros como, por ejemplo, suministradores.
● Consejo Consultor Cambios de Emergencia. (ECAB), se trata de un subgrupo del Comité de Cambios que
toma decisiones relacionadas con cambios de emergencia cuyo impacto es significativo.
● Propietario del Cambio, se trata de una persona que propone un cambio y que cuenta con una asignación
presupuestaria para su implementación. En la mayoría de los casos, el Propietario del Cambio coincide con
quien da inicio a una Solicitud de Cambio (RFC).
Se definen los usuarios a los cuales se les asignarán los roles correspondientes, para realizar las actividades
definidas, según cada proceso, considerando las capacitaciones correspondientes tanto a nivel de los procesos,
como del uso de la herramienta de software (iTop).
5. Implementación, análisis de resultados y validación
5.1. Identificación y especificación de servicios
Los servicios que son prestados por la Empresa, se encuentran definidos de acuerdo a la evaluación de impacto
al negocio (BIA) basado en la norma ISO/IEC 22301, esta información se utiliza como base para la definición
de servicios a ser registrados en la CMDB, los cuales serán asociados a los ítems de configuración
correspondientes.
Se realiza el registro de la infraestructura en la CMDB, incorporando la información obtenida de los documentos
existentes y complementando la información técnica que la aplicación tiene especificada como base.
Servidores físicos:
Figura 5: Lista de servidores físicos. Fuente: iTop.
Servidores virtuales:
Figura 6: Lista de servidores virtuales. Fuente: iTop.

Servidores base de datos:
Figura 7: Lista de servidores de base de datos. Fuente: iTop.
A partir del registro de la infraestructura en el sistema CMDB, se realizan las relaciones entre ítems de
configuración, de manera que sea posible establecer las evaluaciones de impacto respectivas, ante el cambio o
incidencia sobre un ítem de configuración determinado.
Figura 8: Vista gráfica del análisis de impacto en CMDB. Fuente: iTop.
5.2. Metodología de análisis, impacto y evaluación de riesgo en la configuración
La metodología empleada para el análisis de impacto y evaluación de riesgos está basada en la norma ISO/IEC
22301 referente a la continuidad operacional, a partir del cálculo de impactos entregado por la aplicación iTop
y el análisis de impacto (BIA) que permite identificar los servicios críticos, en donde se encuentran definidos:
la magnitud de impacto y el tiempo máximo soportado sin operación. (Ver cuadro 7)
Figura 9: Vista de análisis de impacto calculado por la aplicación. Fuente: iTop.

Figura 10: Vista gráfica del análisis de impacto calculado. Fuente: iTop.
5.3. Resultados obtenidos
● Se implementa el proceso de gestión de la configuración a través de la CMDB, logrando la reducción de

tiempos y esfuerzos en un 50%, en las actividades de mantención de la información de la configuración.
Los aspectos más destacados por los usuarios finales son:
○ La disponibilidad de la información de forma centralizada.
○ Eliminación del uso de archivos independientes para cada ítem de configuración.
○ Facilidad de uso del software para el registro de la configuración, con la posibilidad de adjuntar archivos
complementarios. (manuales, especificaciones técnicas, diagramas, etc.)
● Se implementa el proceso de gestión de cambios, gestionado a través de la CMDB, considerando un periodo

de marcha blanca del sistema de 2 semanas, realizando el registro y gestión del 100% de los cambios, se
reduce en un 66% los tiempos de aprobación y en 88% los rechazos de requerimientos de cambios por
información incompleta o inconsistencias, adicionalmente se facilita el análisis de impactos de los cambios
a partir de la información entregada por la CMDB. Los aspectos más destacados por los usuarios finales
son:
○ Registro centralizado y auditable de los cambios realizados y en proceso sobre los servicios de
producción.
○ Identificación y asignación de los colaboradores participantes en una actividad de cambio.
○ Visibilidad del impacto ante un cambio a través de una vista gráfica, con apoyo del mismo sistema para
identificar los ítems de configuración relacionados que se ven comprometidos ante un cambio,
incluyendo los procesos de negocio.
Tabla 7: Estadísticas de gestión de cambios actual. Fuente: Elaboración propia.
Enero/Diciembre 2015 Enero/Marzo 2016
Total RFC emitidas 35 12
Total RFC Cambios Emergencia 7 3
Total IMC emitidas por problemas sobre cambios 12 4
Tiempo promedio aprobación 1.2 días 1.7 días

Tabla 8: Estadísticas de gestión de cambios post implementación. Fuente: Elaboración propia.
Abril/Septiembre 2016
Total RFC emitidas 20
Total RFC Cambios Emergencia 1
Total IMC emitidas por problemas sobre cambios 2
Tiempo promedio aprobación 0,5 días
Figura 11: Comparación de tiempos de aprobación. Fuente: Elaboración propia.
Figura 12: Rechazos de requerimientos de cambios. Fuente: Elaboración propia.
5.4. Validación
Se planteó la hipótesis de que a partir de la implementación de una CMDB de código abierto, basada en ITIL y
la aplicación de las buenas prácticas que esta propone, se mejorará la capacidad de gestión reduciendo los
tiempos asociados a los procesos de gestión de la configuración y gestión de cambios. De acuerdo a los
resultados obtenidos, se redujeron los tiempos en la gestión de la configuración y en la gestión de cambios
(tiempo promedio de aprobación), reduciendo además la cantidad de incidentes sobre la plataforma a partir de
los RFC aplicados.

Adicionalmente se obtienen los siguientes beneficios:
● Mejora de la capacidad de gestión.

○ A partir del uso de la CMDB para la gestión de los procesos, la información se encuentra centralizada y
segura.
● Reducción de riesgos, aumento de la seguridad y continuidad operacional.
○ Apoyado por el análisis de impacto y la relación entre componentes con que cuenta la herramienta de
software utilizada.
● Cumplimiento de requerimientos legales y contractuales.
○ La compañía cuenta con un repositorio centralizado de la información, puede demostrar con evidencia,
gestiona la configuración, gestiona el cambio y es completamente auditable.
● Control y administración de la configuración (reducción de costos operativos asociados a las horas/hombre
dedicadas a la gestión de la información).
● Mejoras en la continuidad operacional de los servicios.
○ Esta se ve reflejada por la reducción de incidentes sobre la plataforma a partir de los RFC aplicados
● Conocer el impacto de los cambios sobre la configuración de un servicio.
○ Le permite a la organización conocer con antelación los impactos que los cambios pueden tener y tomar
mejores decisiones a partir de la nueva información con que disponen.
● Confianza de clientes y socios estratégicos por la garantía de calidad y gestión sobre los servicios.
○ La organización es capaz de demostrar a sus clientes y socios estratégicos que cuenta con procesos de
gestión y que tiene el control sobre su plataforma de servicios.
● Mejoras en la imagen de la empresa y elemento diferenciador de la competencia.
○ Usando la implementación de CMDB y la aplicación de las buenas prácticas de ITIL como argumento
de venta.
6. Conclusiones
En la actualidad todas las compañías, ya sean pequeñas, medianas o grandes corporaciones, se plantean desafíos
para mejorar sus servicios, sus procesos y ser más competitivos, incorporando las tecnologías de la información
dentro de su organización. Esto presenta oportunidades para la mejora continua y la aplicación de innovación,
a partir de la utilización de herramientas de software que se enfocan en atender una necesidad y/o resolver un
problema. Por otra parte, la existencia de un conjunto de buenas prácticas y estándares en TI, que han
evolucionado a través de los años, presenta una oportunidad y responsabilidad a su vez, para las áreas de TI de
las organizaciones, para aportar al crecimiento y aplicar innovación dentro de las empresas.
El trabajo realizado, confirma que el uso de software open source, es una opción válida, para resolver los
problemas que se presentan en las empresas, existiendo una multitud de proyectos de desarrollo para atender
requerimientos específicos, demostrando que es posible implementar herramientas de código abierto en las
empresas y obtener las ventajas que este tipo de software presenta (disminución de la dependencia de
vendedores de código propietario, reducción de costos, solución de errores y nuevas funcionalidades en menores
tiempos, entre otros), considerando desde el aspecto económico, hasta la velocidad de desarrollo de nuevas
funcionalidades y aportes de una comunidad activa de desarrolladores, con la disposición para resolver los
problemas; creando software de calidad, con capacidades de hacer frente a las opciones de software comercial
existentes. La Empresa se benefició logrando la reducción de los tiempos de gestión y aprobación de cambios
y la cantidad de incidentes relacionados, además de lograr una serie de beneficios adicionales, tales como:
mejoras en la capacidad de gestión, cumplimiento de requerimientos, control sobre la configuración, entre otros.
La ejecución del trabajo dentro de la Empresa, fue realizada de forma dinámica, con una rápida adopción del
uso de la herramienta de software. Esto se produjo en mayor medida, por el nivel de madurez de la organización,
su trabajo previo con la aplicación de normas y su cultura organizacional. En empresas con un nivel de madurez
menor, el proceso habría sido más lento y complejo. En cuanto a los costos de implementación, la Empresa
utilizó su infraestructura actual de servidores, para instalar la aplicación (utilizando máquinas virtuales), por lo
cual, el costo en este apartado para la compañía fue cero, la inversión más importante estuvo dada por las
horas/hombre utilizadas en el despliegue, configuración inicial y capacitación en el uso de la herramienta.

Como resultado del uso de las buenas prácticas ITIL dentro de las empresas, se convierte en algo imprescindible,
cuando los mercados, la regulación y la misma competencia entre compañías, exigen la búsqueda de formas de
realizar de mejor forma los procesos. Al aplicar los procesos de ITIL de gestión de la configuración y gestión
de cambios, la Empresa logró resolver una serie de deficiencias, aplicando mejoras en la gestión de dichos
procesos; con el resultado final de entregar servicios de calidad, cumpliendo los requerimientos normativos de
la industria, generando ventajas competitivas con respecto a su competencia y con una inversión casi nula, el
retorno en la mejora de la gestión fue inmediato; el trabajo realizado es replicable en otras compañías y no está
restringido a una industria en particular, esto dado que se utilizó el conjunto de buenas prácticas de ITIL.
En vista de que ITIL cuenta con un conjunto de buenas prácticas y solo se ha implementado una parcialidad, el
trabajo realizado puede ser ampliado, implementando las buenas prácticas restantes definidas en ITIL v3,
teniendo en consideración además, que el software utilizado para la implementación de la solución, incorpora
todos los procesos de ITIL, con el conocimiento adquirido, se pueden emprender trabajos futuros de mejora
continua e incorporación de las buenas prácticas restantes de forma gradual, lo que permitirá aumentar la
madurez de la organización, con todos los beneficios que ello conlleva, con las posibilidades de extender este
trabajo en el futuro con la aplicación de un gobierno de TI basado en Cobit y/o desarrollar proyectos que
permitan a las compañías certificarse bajo las normas ISO/IEC 20000, 27001 y 22301.
Referencias
[1] ITIL Library, (Online), Available: http://www.itlibrary.org/, 2016.
[2] ISO 20000, (Online), Available: http://wiki.en.it-processmaps.com/index.php/ISO_20000, 2016.
[3] SBIF, Circular N° 40 para emisores y operadores de tarjetas de crédito, (Online), Available.
https://www.sbif.cl/sbifweb3/internet/archivos/norma_10284_1.pdf, 2014.
[4] ISACA, Framework COBIT 5, (Online), Available: http://www.isaca.org/cobit/pages/default.aspx, 2014.
[5] ITIL Process Maps, IT Process Wiki (Online), Available: http://wiki.es.it-processmaps.com/index.php/Portada, 2016.
[6] ISO 9001, (Online), Available: https://www.iso.org/standard/46486.html, 2008.
[7] Nch2909, (Online), Available: http://www.inn.cl/, 2004.
[8] ISO 27001, (Online), Available: https://www.iso.org/isoiec-27001-information-security.html, 2013.
[9] ISO 22301, (Online), Available: https://www.iso.org/standard/50038.html, 2012.
[10] J. H. Kyurkchiev, K. Kaloyanova, Sofia University, Logical design for configuration management based on ITIL,
2012.
[11] J. D. Hernando, Universidad Carlos III de Madrid, Implantación de directrices ITIL en un departamento de soporte y
operaciones de una empresa, 2012.
[12] Ming-Shian Wu, Department of Humanities and Information Applications, Aletheia University., The Benefit and Cost
Factors of CMDB Implementations: An Investigation of three Organizations in Taiwan, 2014.
[13] J. Osorio, Primer congreso del conocimiento de la CMDB, Construir una CMDB paso a paso, 2011.
[14] OGC, TSO, ITIL Version 3 (ITILv3) - the ITIL Service Lifecycle Publication Suite, 2010.
[15] J. Sergio R., B-able, ITIL V3 Manual Integro, 2010.
[16] J. Cristian B., ITIL v3 Conjunto de mejores prácticas, gestión de servicios TI, 2010.
[17] Inteco, Guía avanzada de gestión de la configuración, 2008
[18] Ed Chen, (Online), Available: http://pdca.edchen.org/2014/07/itil-v30-framework-illustrated.html, 2014.

Anexo 1
Detalles de productos de software Open Source
Combodo iTop
Características generales:
● CMDB personalizable, basada en ITIL.

● Flujos de trabajo personalizables, permite definir el ciclo de vida de entradas o listas de tareas a realizar
ajustándolo a cada organización.
● Perfiles de usuario, cada usuario tiene definido un rol o un conjunto de estos, definiendo de forma
personalizable la información que se presenta en pantalla.
● Portal de usuarios, ofrece a los usuarios finales, de forma sencilla la posibilidad de generar solicitudes de
intervención y seguir el progreso.
● Mesa de ayuda, para la gestión diaria de las actividades de prestación de servicios.
● Gestión del cambio, para realizar un seguimiento de todas las modificaciones, desde un simple parche de
rutina hasta el paso a producción. Considerando una referencia al CAB para presentar la programación,
anticipar el impacto y preparar a los usuarios.
● Gestión de problemas, para evitar la repetición de incidentes, el módulo de gestión de problemas es la
herramienta de los analistas, lo que contribuye a la base de conocimiento de los errores comunes.
● Administración de incidentes, se enlaza con los componentes del SI, gestionando la participación e
información de todos los usuarios implicados.
Figura 1: Vista de interfaz de usuario iTop, Fuente: Combodo.

Figura 2: Vista de análisis de impacto iTop, Fuente: Combodo.
OneCMDB
● Código abierto, está disponible para su descarga gratuita e incluye su código fuente. Se puede usar,
modificar y redistribuir bajo los términos de licencia.
● Fácilmente configurable, permite crear y utilizar el modelo CMDB que mejor se adapte a la organización,
tiene un conjunto de modelos de datos predefinidos, que a su vez pueden ser adaptados.
● Simplicidad, permite a los desarrolladores empezar a trabajar rápidamente y fácilmente, presenta un
innovador enfoque orientado a objetos, para la gestión de la configuración. Los desarrolladores no tienen
que escribir una sola línea de código, para crear un modelo CMDB, se abstrae a los desarrolladores de la
base de datos relacional subyacente, que se utiliza para almacenar los elementos de configuración.
● Opciones de usar distintos motores de datos, se puede utilizar con diferentes motores de bases de datos
relacionales.
Figura 3: Vista de relaciones, Fuente: OneCMDB.

Figura 4: Vista de detalles de CI, Fuente: OneCMDB.

I-doit
● Historial de cambios, cuenta con un módulo completo de auditoría centralizada, con el registro de cambios
realizados en todo el sistema.
● Flujos de trabajo personalizables, permite definir el ciclo de vida de entradas o listas de tareas a realizar
ajustándolo a cada organización.
● Plantillas, cuenta con formatos preconfigurados para la documentación de objetos.
● CMDB base, parametrizada para el registro y documentación de ítems de configuración.
Figura 5: Vista de interfaz de usuario i-doit, Fuente: Synetics GmbH.

Figura 6: Vista de relaciones entre CIs en i-doit, Fuente: Synetics GmbH.
CMDBuild
● Modelo de datos, 100% customizable de acuerdo a las necesidades de la organización.

● Motor de flujos de trabajo, permite el diseño de flujos en aplicaciones externas, con la posibilidad de
importar vía XML, las definiciones del proceso.
● Interfaz móvil, cuenta con interfaz para facilitar el acceso a la información, desde dispositivos móviles.
● Historial, cuenta con un módulo específico, para la gestión del historial de cambios y modificaciones
realizadas sobre todo el sistema.
● Gestión de documentos, permite adjuntar documentos y recursos en múltiples formatos (documentos,
imágenes, videos, entre otros.
● Gráficos de relación, cuenta con gráficos dinámicos para ver la relación entre componentes y el análisis de
impacto ante cambios o incidentes.
Figura 7: Vista de ítems de configuración en CMDBuild. Fuente: Tecnoteca srl.

Figura 8: Vista de relaciones entre CIs en CMDBuild, Fuente: Tecnoteca srl.

Anexo 2
Detalles de análisis BIA
Cuadro 1: Especificación de servicios a partir de análisis BIA, Fuente: Interno Empresa.

Anexo 3
Cuadro de cálculo de cumplimiento de criterios de evaluación de softwares CMDB
Criterio Valor % iTop One i-doit CMD

Ponderación CMDB build
Open Source Requerido 10% 10% 10% 10% 10%
Arquitectura Cliente/Servidor 5% 5% 0% 5% 5%
Tecnologías Código abierto (php, 5% 5% 5% 5% 5%

apache)
Motor de datos MySQL 5% 5% 0% 5% 5%
ITIL Compliant Requerido 10% 10% 10% 0% 10%
Soporte Requerido, Comunidad 5% 5% 5% 5% 5%
Documentación Requerido 2% 2% 2% 2% 2%
Uso de software de 3ros. No Requerido 2% 2% 0% 2% 0%
Funcionalidades
Análisis de impacto Requerido 5% 5% 0% 0% 5%
Relación entre CI Requerido 5% 5% 5% 5% 5%
Gestión de configuración Requerido 10% 10% 10% 10% 10%
Gestión de cambios Requerido 10% 10% 10% 0% 10%
Gestión de incidentes Opcional 2% 2% 0% 0% 2%
Gestión de problemas Opcional 2% 2% 0% 0% 2%
Gestión de requerimientos Opcional 2% 2% 0% 0% 0%
Mesa de ayuda Opcional 2% 2% 0% 0% 0%
Historial Requerido 10% 10% 10% 10% 10%
Otros
Facilidad de uso Alta 5% 5% 0% 5% 5%
Configuración Simple 3% 3% 0% 3% 0%
Cumplimiento criterios (%) 100% 100% 67% 67% 86%
Cuadro 1: Cálculo de cumplimiento de criterios de evaluación, Fuente: Elaboración propia.

Implementación de Una CMDB Open Source Basada en ITIL para Mejorar La Gestión de La Configuración de Servicios TI

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Implementación de Una CMDB Open Source Basada en ITIL para Mejorar La Gestión de La Configuración de Servicios TI

Hochgeladen von

Copyright:

Verfügbare Formate

Universidad Técnica Federico Santa María

Implementación de una CMDB Open Source Basada en ITIL para

Cristian Ulloa Fuentes

1.1 Descripción general del problema

Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 1

Para abordar el problema, actualmente están las alternativas de:

1. La aplicación de las buenas prácticas que establece ITIL v3[1]

1.2 Definición del trabajo

La metodología para validar la hipótesis:

Finalmente, se puede decir que el trabajo genera beneficios como:

1.3 Organización del informe

2. Marco Teórico y Estado del Arte

2.1 ITIL (Information Technology Infrastructure Library o Biblioteca de Infraestructura de Tecnologías

Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 3

1. ITIL v3 Service Strategy (SS)

Figura 1: Framework ITIL v3, Fuente: Ed Chen PDCA [18].

2.1.1 Transición del servicio

2.1.1.1 Activos del servicio y gestión de la configuración

Dependiendo del tipo de CI, los atributos típicos de un registro de CI incluyen:

El proceso de gestión de cambios, cuenta con los siguientes subprocesos:

2.2 Normativa ISO/IEC

6 Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado

Proceso ISO 20000 Controles Anexo ISO 27001

Gestión de la configuración 7. Gestión de activos.

Gestión del cambio 10.1.2 Gestión de cambios.

Proceso ISO 20000 Controles Anexo ISO 22301

Gestión de la configuración 8. Operación

Gestión del cambio 8. Operación

Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 7

2.4 Estado del Arte

3. Especificación del problema

En la empresa que se seleccionó como caso de estudio la gestión de la configuración es registrada en

La gestión de la configuración, no se encuentra definida como proceso, la información es manejada en

A partir de este escenario, se presenta la oportunidad de formalizar el proceso de gestión de la configuración,

Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 9

4. Diseño de una Solución de CMDB basada en Software Open Source

Criterios para la selección de softwares CMDB de código abierto

Tabla 3: Criterios para la selección, Fuente: Elaboración propia.

Criterio Valor % Ponderación

Open Source Requerido 10%

Tecnologías Código abierto (php, apache) 5%

Motor de datos MySQL 5%

ITIL Compliant Requerido 10%

Soporte Requerido, Comunidad 5%

Uso de software de 3ros. No Requerido 2%

Análisis de impacto Requerido 5%

Relación entre CI Requerido 5%

Gestión de configuración Requerido 10%

Gestión de cambios Requerido 10%

Gestión de incidentes Opcional 2%

Gestión de problemas Opcional 2%

Gestión de requerimientos Opcional 2%

Mesa de ayuda Opcional 2%

10 Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado

Historial Requerido 10%

Facilidad de uso Alta 5%

4.2. Análisis de alternativa de software open source disponibles

El diseño y mantenimiento de la aplicación, se ve facilitado por el uso de plantillas y un enfoque orientado a

Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado 11

12 Por motivos de confidencialidad de la información, el nombre de la empresa no puede ser informado

Cuadro comparativo entre software CMDB de código abierto

Tabla 4: Comparativa entre aplicaciones CMDB, Fuente: Elaboración propia.

Nombre Producto iTop OneCMDB i-doit CMDBuild