FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE
SEGURIDAD INFORMÁTICA BRINDADOS POR INDRA-COLOMBIA MEDIANTE
LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE
DE BOGOTÁ.
IAN FELIPE MARTINEZ RODRIGUEZ
OMAR ALFREDO RODRIGUEZ MANCERA
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD INGENIERÍA
INGENIERÍA DE SISTEMAS
BOGOTÁ
2019
FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE
SEGURIDAD INFORMÁTICA BRINDADOS POR INDRA-COLOMBIA MEDIANTE
LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE DE
BOGOTÁ.
IAN FELIPE MARTINEZ RODRIGUEZ
OMAR ALFREDO RODRIGUEZ MANCERA
MODALIDAD DE GRADO SEMINARIO DE PERFECCIONAMIENTO
REQUISITO PARA OBTENER EL TÍTULO DE INGENIERO DE SISTEMAS
DIRECTOR
ING. EDWIN ALEXANDER WALTEROS GARCÍA
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD INGENIERÍA
INGENIERÍA DE SISTEMAS
BOGOTÁ
2019
NOTA DE ACEPTACIÓN
.
.
.
.
.
.
PRIMER JURADO
Bogotá, Marzo, 2019
AGRADECIMIENTOS
Queremos agradecer en primer lugar a Dios, por guiarnos en el camino y
fortalecernos espiritualmente para empezar un camino lleno de éxito.
Queremos mostrar nuestra gratitud a todas aquellas personas que estuvieron
presentes en la realización de esta meta, de este sueño que es tan importante para
nosotros, agradecer todas sus ayudas, sus palabras motivadoras, sus
conocimientos, sus consejos y su dedicación.
Mostramos los más sinceros agradecimientos a nuestro tutor de proyecto, quien con
su conocimiento y su guía fue una pieza clave para poder desarrollar este trabajo.
A todos los compañeros, quienes a través de tiempo fuimos fortaleciendo una
amistad y creando una familia, muchas gracias por toda su colaboración, por
compartir experiencias, alegrías, frustraciones, llantos, tristezas, peleas,
celebraciones y múltiples factores que ayudaron a que hoy seamos como una
familia, por aportarnos confianza y por crecer juntos en este proyecto, muchas
gracias.
Por último, queremos agradecer a la base de todo, a nuestras familias, en especial
a nuestros padres, que quienes con sus consejos fueron el motor de arranque y una
constante motivación, muchas gracias por su paciencia y comprensión, y sobre todo
por su amor.
CONTENIDO 1. DESCRIPCIÓN DEL PROBLEMA ......................................................................................... 2
1.1 FORMULACIÓN DEL PROBLEMA ............................................................................ 2
1.2 OBJETIVOS.................................................................................................................. 4
1.2.1 OBJETIVO GENERAL ............................................................................................... 4
1.2.2 OBJETIVOS ESPECÍFICOS ..................................................................................... 4
2. MARCOS DE REFERENCIA ................................................................................................. 5
2.1 MARCO TEORICO ........................................................................................................... 5
2.1.1 ITIL .............................................................................................................................. 5
2.1.1.1 FASES DEL CICLO DE VIDA DETERMINADAS EN ITIL V3 ......................... 7
2.1.2 SCRUM ..................................................................................................................... 22
2.1.2.1 PRINCIPIOS DE SCRUM ................................................................................ 22
2.1.2.2 EVENTOS SCRUM ........................................................................................... 23
2.2 MARCO INSTITUCIONAL .............................................................................................. 24
2.2.1 INDRA ....................................................................................................................... 25
2.2.1.1 PROPOSITOS Y VALORES ............................................................................ 25
2.2.1.2 SERVICIOS Y PRODUCTOS .......................................................................... 26
3. METODOLOGÍA.................................................................................................................... 28
3.1 POBLACIÓN .................................................................................................................... 29
3.2 TECNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN ...................................... 29
3.3 TÉCNICAS, HERRAMIENTAS Y MÉTODOS PARA EL DISEÑO E IMPLEMENTACIÓN DE LOS SISTEMAS DE GESTION. ................................................. 32
4. DIAGNOSTICO ..................................................................................................................... 34
4.1 DIAGNOSTICO DE LAS CONDICIONES ACTUALES ............................................... 34
4.2 DETERMINACIÓN DE FACTORES CRITICOS .......................................................... 39
4.3 IDENTIFICACIÓN DE HALLAZGOS SIGNIFICATIVOS ............................................. 40
5. FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE SEGURIDAD INFORMÁTICA BRINDADOS POR INDRA-COLOMBIA MEDIANTE LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE DE BOGOTÁ .................................................................................................................................... 41
5.1 PLAN DE MEJORAMIENTO .......................................................................................... 41
6. CONCLUSIONES ................................................................................................................. 46
7. RECOMENDACIONES ........................................................................................................ 47
BIBLIOGRAFIA .......................................................................................................................... 48
INDICE DE ILUSTRACIONES
Ilustración 1 Ciclo de vida ITIL Ciclo de vida del servicio. ........................................ 6
Ilustración 2 Las 4p del diseño ................................................................................. 8
Ilustración 3 Catálogo de Servicios .......................................................................... 9
Ilustración 4 Niveles de Servicio ........................................................................... 10
Ilustración 5 Indicadores ANS ................................................................................ 11
Ilustración 6 Procesos de la transición del servicio ................................................ 13
Ilustración 7 Gestión del Conocimiento ................................................................. 13
Ilustración 8 Modelo DIKW..................................................................................... 14
Ilustración 9 Transición del Servicio ....................................................................... 15
Ilustración 10 Procesos de la transición del servicio .............................................. 17
Ilustración 11 Ciclo Deming ................................................................................... 18
Ilustración 12 Proceso de mejora continua ............................................................ 20
Ilustración 13 Pasos para la mejora continua ........................................................ 21
Ilustración 14 Principios De Scrum ........................................................................ 22
Ilustración 15 Eventos Scrum ................................................................................ 23
Ilustración 16 Planteamiento De Hallazgos............................................................ 31
Ilustración 17 Modelo de operación del I-CSOC .................................................... 36
INDICE DE TABLAS
Tabla 1 Estrategia del servicio ................................................................................. 8
Tabla 2 Procesos de la estrategia del servicio. ...................................................... 12
Tabla 3 Transición Del Servicio ............................................................................. 14
Tabla 4 Operación Del Servicio ............................................................................. 16
Tabla 5 Procesos para la mejora continua de los servicios ................................... 19
Tabla 6 Ciberseguridad .......................................................................................... 27
GLOSARIO
ANS: Acuerdo de nivel de servicio (en inglés Service Level Agreement o SLA), es
un acuerdo escrito entre un proveedor de servicio y su cliente con objeto de fijar el
nivel acordado para la calidad de dicho servicio1.
BRIEF: Es un documento, simplificado en lo más posible, que sirve como punto de
partida y referencia para iniciar el proceso creativo de una campaña2.
CIBERSEGURIDAD: Es la Protección de activos de información, a través del
tratamiento de amenazas que ponen en riesgo la información que es procesada,
almacenada y transportada por los sistemas de información que se encuentran
interconectados3.
CONFIDENCIALIDAD: Propiedad que determina que la información no esté
disponible ni sea revelada a individuos, entidades o procesos no autorizados4.
EFICACIA: Nivel de consecución de metas y objetivos. La eficacia hace referencia
a nuestra capacidad para lograr lo que nos proponemos5.
EFICIENCIA: Es la relación entre los recursos utilizados en un proyecto y los logros
conseguidos con el mismo. Se entiende que la eficiencia se da cuando se utilizan
menos recursos para lograr un mismo objetivo. O, al contrario, cuando se logran
más objetivos con los mismos o menos recursos6.
IMPLEMENTACIÓN: Una implementación es la ejecución u/o puesta en marcha de
una idea programada, ya sea, de una aplicación informática, un plan, modelo
científico, diseño especifico, estándar, algoritmo o política7.
INCIDENTE: Interrupción no planificada de un servicio, reducción en la calidad de
un servicio o un evento que aún no ha tenido impacto en el servicio para el cliente8.
INTEGRIDAD: Propiedad de salvaguardar la exactitud y estado completo de los
activos9.
METODOLOGÍA: Se define como el grupo de mecanismos o procedimientos
racionales, empleados para el logro de un objetivo, o serie de objetivos que dirige
una investigación científica10.
NOC: Es un Centro de Operaciones de Red cuyas siglas en inglés corresponden a
Network Operation Center, son los encargados de garantizar la disponibilidad de las
plataformas, así como la seguridad de infraestructuras y servicios11.
PARTES INTERESADAS (stakeholders): Personas y organizaciones que están
activamente involucradas en el proyecto, o cuyos intereses pueden ser negativa o
positivamente afectados como consecuencia de la ejecución del proyecto o de su
terminación12.
PHISHING: Técnica utilizada por los delincuentes para obtener información
confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito
haciéndose pasar por una comunicación confiable y legítima13.
PROCESO: Es un conjunto estructurado de actividades diseñadas para lograr un
objetivo específico. Tiene una o más entradas definidas y las transforma en salidas
definidas14.
PRODUCT BACKLOG: Es un listado de todas las tareas que se pretenden hacer
durante el desarrollo de un proyecto15.
PRODUCT OWNER (El gerente del producto): Su principal misión es encargarse
de que exista una priorización clara de los objetivos a conseguir, con el propósito
de maximizar el valor del trabajo que lleva a cabo el equipo16.
RIESGO: Es la incertidumbre del resultado, ya sea que se trate de una oportunidad
o de una amenaza. Requiere la identificación y el control de la exposición al riesgo,
el cual puede tener un impacto en el alcance de los objetivos de negocio en una
organización17.
SCRUM MASTER: Su principal misión es conseguir un equipo de alto rendimiento
(entendiendo como equipo al Equipo de desarrollo y al Cliente / Product Owner, así
como sus relaciones con la organización y stakeholders) 18.
SEGURIDAD DE LA INFORMACIÓN: Preservación de la confidencialidad,
integridad y accesibilidad de la información19.
SERVICE MAGNAMENT: Es la orientación de los esfuerzos de gestión hacia la
aplicación de servicios que beneficien a la organización20.
SERVICIO: Medio para entregar valor para el cliente facilitando los resultados que
el cliente quiere alcanzar21.
SERVICIO TI: Se define como servicios a los medios para entregar valor a los
clientes, facilitando sus tareas para obtener resultados, sin que ellos deban asumir
los costos específicos ni los riesgos asociados22.
SOC: Centro de Operaciones de Seguridad cuyas siglas en inglés que
corresponden con Security Operations Center, se encargan de mantener la
seguridad de la información en la organización También es el responsable de
realizar los cambios requeridos o necesarios en la infraestructura de seguridad.
Debe mantener la integridad, disponibilidad y confidencialidad de los recursos23.
SPAM: Son los mensajes no solicitados, no deseados o de remitente desconocido
y que son sumamente molestosos24.
SPRINT: Es un intervalo prefijado durante el cual se crea un incremento de producto
"Hecho o Terminado" utilizable, potencialmente entregable. A lo largo del desarrollo
hay Sprints consecutivos de duración constante25.
TIC: Es la abreviatura de Tecnologías de la Información y la Comunicación, son el
conjunto de tecnologías desarrolladas en la actualidad para una información y
comunicación más eficiente, las cuales han modificado tanto la forma de acceder al
conocimiento como las relaciones humanas26.
1
INTRODUCCIÓN
Actualmente los Sistemas de Gestión Tecnológica se entienden como las prácticas
que integran el conocimiento con los procesos mediante el uso de tecnologías, con
el fin de dar cumplimiento a objetivos estratégicos previamente definidos. De ahí
deriva la importancia de tener claridad sobre el diseño, la transición y la operación
de los diferentes servicios que una compañía pueda prestar, en este caso puntual
haciendo referencia a las Tecnologías de la Información y la Comunicación.
De igual manera los diferentes Sistemas de Gestión Tecnológica se enfocan en la
correcta administración de recursos para generar innovación y valor agregado en
los servicios, de tal manera que el desarrollo del negocio propuesto sea cumplido a
cabalidad a través de la tecnología como principal medio.
Ahora bien, Indra al ser una empresa Multinacional enfocada en la prestación de
diversos servicios mediante las telecomunicaciones, ha adoptado los Sistemas de
Gestión Tecnológica de tal forma que ha logrado sobresalir en el mercado y ser
referencia en la implementación de la tecnología como parte de la transición,
integración y el mejoramiento continuo en la gestión de negocio.
Uno de los principales servicios desarrollados por Indra para ser ofrecido a los
diferentes targets interesados, está determinado en el brief de la seguridad
informática. Este servicio fue elaborado dentro de los lineamientos de los Sistemas
de Gestión Tecnológica y ha sido implementado mediante los tres Centros de
Operaciones de Ciberseguridad de Indra (I-CSOC) establecidos a nivel mundial;
estando situados geográficamente en Madrid - España, Bogotá - Colombia y Ciudad
de México – México, catalogados y clasificados jerárquicamente en ese orden.
A través de este servicio, se ha logrado hacer acreedores a varias grandes marcas
y proyectos de importancia en el mercado, sin embargo, en la transición del diseño
a la operación se han notado varias posibles mejoras a implementar. Por lo que se
ha buscado la forma correcta de relacionar el conocimiento obtenido mediante la
experiencia y las bases fundamentales teóricas, con el propósito de dar una gestión
valida y específica en los procesos de mejora continua del servicio
2
1. DESCRIPCIÓN DEL PROBLEMA
1.1 FORMULACIÓN DEL PROBLEMA
Indra es una de las principales compañías globales de tecnología y consultoría, siendo un socio tecnológico para las operaciones clave de los negocios de sus clientes en todo el mundo. Es un proveedor líder mundial de soluciones propias en segmentos específicos de los mercados de Transporte y Defensa, y la empresa líder en consultoría de transformación digital y Tecnologías de la Información en España y Latinoamérica a través de su filial Minsait. Su modelo de negocio está basado en una oferta integral de productos propios, con un enfoque end-to-end, de alto valor y con un elevado componente de innovación1. Se radicó en Colombia hace más de veinte años y se ha convertido en una de las principales compañías aliadas del gobierno y diversos sectores que buscan implementar soluciones mediante la tecnología. Desde hace poco más de tres años desde la administración de soluciones mundial, se tomó la decisión de implementar el Segundo Centro de Operaciones de Ciberseguridad de Indra a nivel mundial (I-CSOC) en Bogotá, Colombia, teniendo como antecedente el éxito que tuvo el I-CSOC de Madrid, España.
A través de la implementación de este proyecto, se evidenciaron necesidades
como la creación de un Centro de Operaciones de Red (NOC) para monitorear
toda la infraestructura física, el comportamiento de las comunicaciones y la
seguridad física sobre los dispositivos que componen la arquitectura de los
diversos proyectos, así como la organización correcta de una serie de analistas
de seguridad, que mediante sus conocimientos implementados a través de
procesos, fueran capaces de solucionar las diversas situaciones que se pudiesen
llegar a presentar en cuanto a la gestión de atención frente a Incidentes y
Requerimientos de seguridad expresados por los debidos usuarios finales.
1 Indra: Indra Company [en línea] [Consultado: 01 de marzo de 2019] Disponible en internet https://www.indracompany.com/
3
Es necesario comprender que todos y cada uno de los proyectos y servicio
desarrollados e implementados por Indra junto con sus debidos procesos y
operaciones están determinadas bajo el marco de la implementación de buenas
prácticas de ITIL V3 y regulados por la norma ISO/IEC 20000, marcos que hacen
énfasis en la constante mejora continua en función del tiempo y los resultados
obtenidos.
Indra, al ser una empresa prestadora de servicios referentes a TI, se ha
encargado de certificarse en la norma ISO/IEC 20000, norma regida por
ICONTEC y valida a nivel internacional. La norma ISO/IEC 2000 utiliza un
enfoque exhaustivo de la gestión de servicios de TI y define un conjunto de
procesos necesarios para ofrecer un servicio efectivo.2
Ahora bien, los servicios determinados por Indra para ser operados por el I-
CSOC, son servicios de seguridad informática y de la información relacionados y
adjudicados por la compañía, los cuales son recibidos por una línea de analistas
de seguridad, una base de especialistas Junior y una fortaleza de especialistas
de infraestructura. Equipo de trabajo que diariamente atienden las diferentes
incidencias y solicitudes entrantes, encargándose de gestionarlas de manera
correcta y de validar que en lo posible éstas sean mitigadas.
Sin embargo, se ha evidenciado durante la prestación del servicio a través del
tiempo, diferentes falencias al nivel de los analistas de seguridad frente a los
resultados esperados, la integración del grupo y la falta de implementación del
proceso de mejora continúa.
Por lo que, con este trabajo se pretende realizar la formulación de una serie de
cambios para mitigar la problemática evidenciada, la cual está acreditada
principalmente al grupo de analistas de seguridad, problemática contextualizada
en:
¿Qué acciones de mejora se pueden implementar basadas en el proceso de
mejora continua desarrollado por ITIL V3 sobre los procesos ejecutados por los
analistas de seguridad del I-CSOC de Bogotá, adaptando la metodología de
Scrum para evidenciar mejores resultados frente al servicio prestado?
2 Iso 20000: DNGV [en línea] [Consultado: 03 de marzo de 2019] Disponible en internet https://www.dnvgl.es/services/iso-20000-gestion-de-servicios-de-ti-tecnologias-de-la-informacion--3347
4
1.2 OBJETIVOS
1.2.1 OBJETIVO GENERAL
Formular acciones de mejora mediante la implementación de la metodología de
Scrum y el proceso de mejora continua determinado por el marco de desarrollo de
buenas prácticas ITIL V3, para evidenciar una evolución en el servicio prestado por
los analistas de seguridad en el I-CSOC (Centro de Operaciones de Ciberseguridad
de Indra) de Bogotá, Colombia.
1.2.2 OBJETIVOS ESPECÍFICOS
❖ Adecuar la fase de mejora continua definido en el ciclo de vida del servicio
dictaminado por ITIL V3, sobre los servicios prestado por el grupo de
analistas del I-CSOC
❖ Proponer correcciones sobre los procesos ejecutados por el grupo de
analistas de seguridad del I-CSOC
❖ Adaptar la metodología de Scrum a los procesos desarrollados por el grupo
de analistas del I-CSOC
❖ Definir responsabilidades y responsables frente a operaciones, así como
sistemas de medida y métricas proyectadas
5
2. MARCOS DE REFERENCIA
2.1 MARCO TEORICO
2.1.1 ITIL
ITIL nace del acrónimo de Biblioteca de Infraestructura de Tecnologías de la
Información (por sus siglas en inglés, Information Technology Infrastructure Library)
y se define como un conjunto de conceptos y buenas prácticas usadas para
la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías
de la información y las operaciones relacionadas con la misma3
ITIL debe ser entendido cómo un marco de referencia no solo frente a las buenas
prácticas, sino que también hace énfasis en la administración de servicios de
Tecnologías de la Información TI. Es ideal tener como punto de referencia para el
entendimiento del mismo qué se entiende por administración de servicios y
claramente qué se entiende por servicios.
Para ITIL un servicio es el medio para entregar valor a los clientes sin tener
exposición a costos y riesgos específicos, así mismo la administración de los
servicios son entendidas como un conjunto de habilidades organizacionales
especializada en proveer valor a los clientes en su respectiva forma de servicios.4
En efecto el servicio prestado debe ser el factor de más alta importancia en la
relación creada entre proveedor – cliente, sabiendo que en el caso específico de las
TI los servicios son conformados por una combinación de tecnologías, recursos y
procesos.
Para generar el cumplimiento del servicio prestado de cara al cliente, se hace
necesario garantizar el servicio contratado y definir el valor que el mismo genera
sobre la organización que lo adquirió
3 ¿QUÉ ES ITIL?: SEGURIDAD INFORMÁTICA [en línea] [Consultado: 05 de marzo de 2019]
Disponible en internet https://seguinfo.wordpress.com/2008/12/03/%C2%BFque-es-itil-2/
4 ITIL: TESIS: USO DEL CICLO DE VIDA DE ITIL PARA LA DOPCIÓN DE SERVICIOS EN LA NUBE PARA PYMES MEXICANAS: UNIVERSIDAD IBEROAMERICANA [en línea] [Consultado: 05 de marzo de 2019] Disponible en internet http://www.bib.uia.mx/tesis/pdf/015835/015835.pdf
6
Ahora bien, lo que se entiende por servicio dentro del marco referencial y
metodológico de ITIL está categorizado de la siguiente manera:
Servicio CORE: Se define como el servicio núcleo y está directamente
percibido por el cliente.
Servicio de Soporte: Se proporciona de manera paralela al Servicio, pero no
es evidente al cliente, su funcionalidad si bien tiene repercusiones y
consecuencias frente al servicio CORE, éste es trasparente a los ojos del
cliente
Servicios de Mejora: Se entiende como todos los agregados a un Servicio, y
si bien no son esenciales para la entrega del mismo, éste aumenta el valor
del servicio.
Los servicios de TI como cualquier otro tipo de servicios, debe contar con una
correcta administración para garantizar la entrega de valor que éste debe significar
en los clientes que decidan contratarlo. Si bien es cierto, el concepto de servicio de
TI puede ser muy subjetivo dependiendo de factores como el mercado, el contexto,
la demanda y el valor que se espera generar a través del mismo, para ITIL V3 está
determinado en crear una estrategia clara del servicio a prestar, diseñar el servicio,
realizar una transición del servicio, comenzar a operar el servicio establecido y
generar una constante y evidente mejora continua sobre el servicio, estos elementos
en la correcta configuración determinan el ciclo de vida del SERVICIO. Esto
desarrollado en el marco de las necesidades expresadas por el negocio o del
cliente.
Ilustración 1 Ciclo de vida ITIL Ciclo de vida del servicio. Fuente: https://www.servicetonic.es/itil/introduccion-a-itil-v3/
7
2.1.1.1 FASES DEL CICLO DE VIDA DETERMINADAS EN ITIL V3
El ciclo de vida de un servicio puede ser entendido como un modelo de organización
enfocado en el valor que este debe generar en la organización a través de la
tecnología y los procesos de TI. De igual manera también se entiende como la
gestión estructurada sobre un servicio y el impacto que este genera sobre un
componente o sistema entero.
A este punto se hace necesario comprender que ITIL V3 como marco de referencia
sobre buenas prácticas está conformado por 5 Fases, que a su vez se estructuran
por medio de 26 procesos y que en sumatoria generar todo el ciclo de vida del
SERVICIO. Dicha estructuración está determinada de la siguiente manera:
2.1.1.1.1 ESTRATEGIA DEL SERVICIO
Esta fase se encarga de definir la perspectiva, la posición, los planes y patrones
que una organización debe ejecutar para convertirse en proveedora de un servicio,
y así dar cumplimiento a los resultados del negocio. (REFERENCIA)
Se compone por los primeros 5 (Cinco) Procesos definidos en ITIL V3:
PROCESO OBJETIVO
1) Gestión estratégica de los Servicios
Desarrollar la capacidad de pensar y actuar de una
manera estratégica para determinar qué servicios han de prestarse en pro de suplir una necesidad
2) Gestión de la demanda
Monitorizar y analizar los patrones de actividad del CORE de negocio con el fin de predecir de manera acertada una posible demanda sobre servicios específicos
3) Gestión del Portafolio
de Servicios
Definir el debido portafolio de servicios con el cual se pretender ser competente en el mercado, el cual debe incluir los servicios que se ofrecen, los mercados a los que se apunta, el target sobre el cual se ejecutarán y los factores diferenciadores
4) Gestión Financiera
Asegurar el correcto nivel de financiamiento para el diseño, desarrollo y entrega de los servicios que se brindan en el portafolio, asegurando únicamente la prestación de los mismos y teniendo como frente el Modelo de Inversión el cual debe ser argumentado y el ROI (Retorno Óptimo de la Inversión) estimado
8
5) Gestión de Relaciones del Negocio
Identificar la demanda establecida para cada servicio, desde los requerimientos para la prestación de los mismos, como el cumplimiento. Además, se encarga de establecer la relación Cliente – Proveedor basada en el entendimiento del cliente y su negocio, generando acuerdos sobre el servicio a dar.
Tabla 1 Estrategia del servicio Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos
2.1.1.1.2 DISEÑO DEL SERVICIO
La implementación de ITIL V3 como práctica a nivel de diseño del servicio va muy
de la mano con la preparación, planificación y uso eficiente y efectivo sobre las 4P:
Personas, Procesos, Producto y Socios
Ilustración 2 Las 4p del diseño
Fuente: Overti: http://ecitil.blogspot.com/2011/10/las-4p-del-diseno.html
9
En esta fase se involucran los 5 aspectos del diseño de un servicio
Solución del Servicio: Requisitos, recursos y capacidades funcionales
necesarios y acordados
Sistema de información gerencial y herramientas: Portafolio de Servicios
para la gestión y control de los servicios a lo largo del ciclo de vida
Arquitectura Tecnológica y de Gestión: Herramientas que se requieren
para proporcionar los servicios
Procesos: Los necesarios para el diseño, la transición, la operación y la
mejora continua
Métodos y Métricas: En función de los servicios, las arquitecturas y sus
principales componentes
(REFERENCIA)
Ésta fase está compuesta por los siguientes 8 (Ocho) Procesos definidos en ITIL
V3:
PROCESO OBJETIVO
6) Coordinación del diseño
Asegurar que la organización cumpla las metas y
objetivos del diseño de servicio proporcionado, manteniendo control sobre las actividades y procesos
7) Gestión Del Catálogo de Servicios (SCM)
Proveer y mantener una fuente de información para todos
los servicios producidos y en desarrollo, en dónde se describan los servicios de manera entendible al cliente y al personal no especializado. Debe estar disponible para todos aquellos interesados
Ilustración 3 Catálogo de Servicios
Fuente: Overti: http://www.overti.es/procesos-itsm/gestion-catalogo-servicios-itsm.aspx
10
8) Gestión de niveles del servicio (SLM)
Definir, documentar, acordar, monitorear, reportar y
revisar los niveles de servicio de TI ofrecidos, mediante el desarrollo de metas específicas y medibles a través del establecimiento mutuo de ANS (SLAs) Y KPI (OLAs)
Ilustración 4 Niveles de Servicio
Fuente: Osiatis- ITIL Gestión de servicios TI – Niveles de Servicio – Introducción y Objetivos
9) Gestión de Proveedores
Asegurar que los proveedores operan conforme los
objetivos incluidos en los contratos y acuerdos establecidos al mismo tiempo que se da cumplimiento a todos los términos y condiciones.
Se encarga de la relación existente entre los diferentes proveedores con los que se cuentan para la prestación del servicio.
Lo anterior en función de la calidad conforme el precio
acordado a través de los UC (Contrato de soporte)
10) Gestión de la Disponibilidad
Asegurar que la disponibilidad acordada en los niveles de
servicio a manera de cumplimiento y garantía. Optimizar y monitorear los servicios de TI en lineamiento
con los ANS (SLAs) definidos, mediante el cumplimiento de los siguientes indicadores
11
Ilustración 5 Indicadores ANS
Fuente: Overti: http://www.overti.es/procesos-itsm/gestion-catalogo-servicios-itsm.aspx
Proporcionar un punto de enfoque y gestión para todos los asuntos relacionados con la disponibilidad del servicio y lo que se haya definido dentro de la misma.
11) Gestión de la Capacidad
Asegurar que la capacidad de los servicios de TI y de la infraestructura de TI cumplen con los requerimientos de capacidad y rendimiento en tiempo y forma, de acuerdo a lo establecido.
Alcanzar y cubrir las necesidades actuales y futuras de acuerdo a la capacidad y rendimiento establecido y proyectado.
Gestionar la demanda de los servicios
12) Gestión de la Continuidad de Servicios de TI
Soportar el proceso general de la Gestión de la continuidad del negocio, al asegurarse que las instalaciones técnicas lógicas que componen el servicio no generen una interrupción de manera imprevista y puedan reanudarse dentro de los tiempos establecidos sin tener afectación sobre el usuario.
La continuidad del servicio es igual a la continuidad del negocio
13) Gestión de Seguridad de la Información
Alinear la seguridad de TI con la seguridad del negocio Apoyándose en la triada de la seguridad
Confidencialidad: la información debe ser solo
accesible a sus destinatarios predeterminados Integridad: la información debe ser correcta y
completa.
12
Disponibilidad: se debe tener accesos a la información cuando se necesite.
Proteger los intereses de aquellos que dependen de la
información, los sistemas y las comunicaciones que se generan mediante el manejo de la misma
Crear Políticas y planes de seguridad para el negocio y su
data
Tabla 2 Procesos de la estrategia del servicio. Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos
2.1.1.1.3 TRANCISIÓN DEL SERVICIO
La transición del servicio mencionada en ITIL V3 está basada en permitir que los
servicios definidos y establecidos en la fase de DISEÑO DEL SERVICIO se
integren a través de la producción.
La transición del servicio también debe ser entendida como la garantía existente
entre los recursos que se planifican y coordinan adecuadamente para dar
cumplimiento a cabalidad sobre las especificaciones destinadas en el diseño
Por lo cual en esta fase se planifican todos los procesos de transición necesarios
sobre los servicios y la coordinación de los recursos que estos requieren
En esta fase se desarrollan los siguientes 7 (Siete) procesos definidos en ITIL V3
PROCESO OBJETIVO
14) Planificación y soporte de la transición
Planificar todos los procesos de transición de los servicios
y de la coordinación de los recursos que requieren para hacer efectiva la transición del diseño a la operación
15) Gestión De activos de servicio y configuración
Asegurar que los activos requeridos para entregar el
servicio estén debidamente controlados Asegurar que la información sobre los activos es precisa y
confiable, además de garantizar la disponibilidad de la misma cuándo y dónde se necesite
La información mencionada debe ser detallada junto con su configuración y relaciones, esto con el fin de poderlos auditar de manera correcta. La información debe reposar
13
en una BASE DE DATOS (CMDB Integrada) que contiene todos los CI (Configuración Ítems)
16) Gestión de Cambios
Controlar el ciclo de vida de todos los cambios,
permitiendo que se realicen cambios que son beneficiosos y minimizando la irrupción del servicio de TI
Supervisar y aprobar la introducción o modificación sobre
servicios prestados, garantizando que todos los cambios se encuentren planificados, evaluados, probados, implementados y documentados mediante la implementación de (RFC’s) Solicitudes de cambios
Mitigar el mayor porcentaje de riesgos al establecer
cambios Garantizar un Roll back en caso de que un cambio no
funcione de acuerdo a lo proyectado
17) Gestión de Liberación e implementación
Planificar, programar y controlar la construcción, prueba e
implementación de liberaciones de nuevos versionamientos sobre los servicios prestados
Proteger la integridad de los servicios previamente existentes y en producción
Ilustración 6 Procesos de la transición del servicio
Fuente: It-processmaps: https://www.servicetonic.es/itil/6-itil-transicion-de-servicios/
18) Gestión del Conocimiento
Compartir perspectivas, ideas, experiencias e información Asegurar que la información está disponible en el lugar
designado y en el momento adecuado– Repositorio- Evitar realizar reprocesos en la documentación Promover la correcta toma de decisión basados en la
información existente (Base de datos SKMS)
Ilustración 7 Gestión del Conocimiento
Fuente: It-processmaps: https://www.servicetonic.es/itil/6-itil-transicion-de-servicios
14
Ilustración 8 Modelo DIKW
Fuente: It-processmaps: http://borradoresynotas.blogspot.com/2016/03/modelo-dikw.html
19) Validación y Pruebas del Servicio
Garantizar el funcionamiento sobre los nuevos versionamientos de los servicios implementados cumplan con los requisitos mínimos de calidad acordados con el cliente
Comprobar que los cambios ejecutados no generarán incidencias ni afectaciones del servicio de manera inesperada cuando se encuentren en operación
20) Evaluación de Cambios
Verificar que los cambios implementados pueden ser evaluados bajo las métricas predefinidas con el cliente
Proporcionar los informes relacionados con los cambios implementados, los resultados obtenidos frente a los esperados, la alineación del negoció
Corroborar si se tuvo que hacer uso de los ROLL BACK para contrarrestar los cambios ejecutados y garantizar el servicio
Verificar si los RFC’s generados para los cambios pueden darse por cerrados y argumentar con evidencia valida el cierre de los mismos
Tabla 3 Transición Del Servicio Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos
15
En esta fase, la transición se ejecuta mediante una serie de procesos determinados
a continuación
Ilustración 9 Transición del Servicio Fuente: It-processmaps: http://wiki.es.it-processmaps.com/ITIL_Transici _del_Servicio [15]
2.1.1.1.4 OPERACIÓN DEL SERVICIO
La operación del servicio es considerada en ITIL V3 como la fase de mayor
relevancia y por ende la más crítica. En este punto del servicio se evalúa si
realmente el servicio está cumpliendo en dar valor al cliente y su negocio y es en
este punto en dónde realmente se mide la calidad del servicio ofrecido y alinea el
CORE del servicio con el del negocio involucrando a todas las partes interesadas
Esta fase está compuesta por los siguientes 5 (Cinco) procesos definidos en ITIL
V3
16
PROCESO OBJETIVO
21) Gestión de Incidentes
Restaurar la operación normal del servicio afectado lo más rápido posible minimizando el impacto en el negocio y asegurando que se mantengan los niveles acordados de calidad y disponibilidad, entendiendo como Operación Normal del Servicio lo que se haya definido dentro de los ANS (SLA’s)
22) Gestión de Problemas
Gestionar el ciclo de vida de los problemas desde la identificación del mismo hasta una mayor investigación, documentación y eventual mente una mitigación Minimizando el impacto negativo problemas en la prestación del servicio
Buscar la causa exacta de todo tipo de alteración real y/o potencial del servicio para determinar las posibles soluciones de la misma
23) Gestión de Eventos
Gestionar los eventos durante su respectivo ciclo de vida, incluyendo las actividades para detectarlos (monitoreo y rastreo), pasando por la determinación del sentido que el evento generado tenga hasta llegar a la acción de control más apropiada para su correcto escalamiento o su tratamiento para mantener la normalidad de la operación
24) Gestión de Peticiones
Dar gestión y atención a todas y cada una de las peticiones generadas por los usuarios, proporcionando la información adecuada y dando un acceso efectivo, eficiente a los servicios de TI relacionados con la petición, manteniendo la satisfacción de los clientes
25) Gestión de Acceso
Brindar a los usuarios los permisos necesarios para acceder y hacer uso de los servicios ofrecidos en el catálogo de servicios y contratados
Tabla 4 Operación Del Servicio Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos
En esta fase se encuentran las únicas 4 (cuatro) funciones.
Entiéndase por función como toda actividad que debe ser ejecutada por funcionarios
–personas- los cuales se deben encargar de que los servicios logren su objetivo
propuesto
17
Ilustración 10 Procesos de la transición del servicio
Fuente: It-processmaps: http://wiki.es.it-processmaps.com/ITIL_Transici _del_Servicio
Service Desk: Es una unidad funcional compuesta por un número dedicado
de personal encargado de hacer frente a una variedad de actividades, de
servicios, por lo general realizadas a través de llamadas telefónicas,
interfaces web, o atención de eventos de infraestructura reportados. Son el
único punto de contacto con los usuarios
Gestión Técnica: Se encarga de planificar y mantener una infraestructura
técnica estable para soportar los procesos de negocio de la organización a
través del uso de habilidades técnicas
Gestión de la operación de TI: Mantiene el buen estado de los componentes
para lograr estabilidad en la operación diaria de los procesos y las actividades
de la organización. Realizan verificaciones y mejoras regulares sobre los
servicios
Gestión de Aplicaciones: Brindan soporte a los procesos de negocio de la
organización, ayudándolo a identificar peticiones funcionales y de
administración para las aplicaciones
18
2.1.1.1.5 MEJORA CONTINUA DE LOS SERVICIOS
Esta es la última fase del ciclo de vida de un servicio y el último proceso estructurado
por ITIL V3. Con este se completan los 26 procesos antes mencionados.
En esta fase y proceso se busca mantener y mejorar todos los procesos y
actividades involucrados en la gestión y la prestación de los servicios de TI.
De Igual manera, es en este punto en dónde se realiza el soporte debido sobre las
fases de estrategia y diseño del servicio, para la creación de nuevos servicios,
procesos y actividades asociadas.
Todo esto se genera a través del ciclo DEMING, también conocido como el ciclo
PDCA
Ilustración 11 Ciclo Deming Fuente: It-processmaps: http://gestionyestrategias.blogspot.com/2015/03/15-ciclo-de-vida-de-los-proyectos-de-ti.html
19
Ciclo mediante el cual se realizan las siguientes gestiones en cada una de las fases
del ciclo de vida del servicio
ETAPA META
PLANIFICAR
Se definen los objetivos que van a establecer y los medios que se van a utilizar para conseguirlos
HACER Implementar la visión preestablecida
VERIFICAR
Comprobar que se alcanzan los objetivos previstos con los recursos que se asignaron para lograrlo
ACTUAR Analizar y corregir las desviaciones detectadas y proponer mejoras para los procesos utilizados
Tabla 5 Procesos para la mejora continua de los servicios Fuente: J. van Bon, Gestión de Servicios TI basado en ITIL® V3
Ahora bien, para poder hacer efectivo el proceso de mejora continua, es necesario
tener una Línea Base.
Se comprende como los señaladores o puntos de partida para posteriormente sobre
la mejora implementada realizar una comparación entre lo que había y lo que se
logró.
También se encarga de determinar un punto inicial de data sobre la cual un servicio
y/o proceso requiere mejoras. Se establecen mediante métricas de avance,
tomando como punto 0 el momento actual del servicio y como objetivo el
cumplimiento de la mejora propuesta. La importancia de la medición se da en
relación a la capacidad de cuestionar y evidenciar el antes y el después.
El sistema de Línea base permite conocer y llevar la trazabilidad sobre las mejoras
propuestas y ejecutadas sobre cada una de las fases del ciclo de vida de un servicio,
sustentándose en función del tiempo y siempre alineándose al CORE del negocio
Con el fin de dar una correcta gestión a la fase y proceso de mejora continua, se
establece la utilización del ENFOQUE CSI (CSI Approach) de la mano de la Línea
base.
20
Ilustración 12 Proceso de mejora continua Fuente: It-processmaps: http://wiki.es.it-processmaps.com/ITIL_Transici _del_Servicio
El enfoque CSI permite adoptar una visión entendiendo los objetivos de alto nivel
del negocio. La visión siempre debe ir alineada al negocio y a la estrategia TI
establecida
De igual manera permite evaluar la situación actual obteniendo un panorama real
de dónde se encuentra la organización en el presente para entender y acordar
oportunidades de mejora profundizando los principios definidos
Este proceso debe asegurar que el impulso para la mejora de la calidad se
mantenga, asegurando que los cambios que se introduzcan sean acordes a lo
estimado.
Por último, la fase de mejora continua detalla su procedimiento bajo el marco de
referencia de EL PROCESO DE MEJORA CONTINUA EN 7 PASOS.
21
Ilustración 13 Pasos para la mejora continua Fuente: It-processmaps: https://www.pymesycalidad20.com/7-pasos-para-la-mejora-continua-de-los-servicios.html
Guía mediante la cual se expresan a detalle cada uno de los procedimientos a
ejecutar en cada fase del ciclo DEMING, y sobre el cual se plantean una serie de
preguntas e ítems que cumplidos a cabalidad lograrán la correcta implementación
sobre la fase de mejora continua en las fases del ciclo de vida del servicio
Dando como consecuencia un servicio mucho más robusto, soportado, maduro y
alineado con el negocio y las expectativas del cliente frente a la generación de valor
a través del mismo
22
2.1.2 SCRUM
2.1.2.1 PRINCIPIOS DE SCRUM
Los principios de Scrum son el fundamento sobre el que se basa su framework.
Estos principios pueden aplicarse a cualquier tipo de proyecto u organización y
deben respetarse a fin de garantizar la aplicación adecuada de Scrum. Los aspectos
y procesos de Scrum pueden modificase para cumplir con los requerimientos del
proyecto, o la organización que lo usa, pero sus principios no están abiertos a
discusión ni pueden modificarse, y deben aplicarse como se describe en el
framework presentado en Una guía para el conocimiento de Scrum. El mantener los
principios intactos y usarlos apropiadamente infunde confianza en el usuario del
framework de Scrum respecto al cumplimiento de los objetivos del proyecto. Los
principios se consideran los lineamientos básicos para la aplicación del framework
de Scrum.
Los principios, son aplicables a lo siguiente:
Portafolios, programas, y/o proyectos de cualquier industria
Productos, servicios, o cualquier otro resultado que se entregue a los
stakeholders
Proyectos de cualquier tamaño y complejidad
Ilustración 14 Principios De Scrum
23
El término “producto” puede ser entendido como un producto, servicio, o cualquier
otro entregable. Scrum puede aplicarse de manera efectiva a cualquier proyecto en
cualquier industria: desde proyectos pequeños o equipos con tan sólo seis
miembros, hasta proyectos grandes y complejos con hasta varios cientos de
miembros por equipo.
Scrum se puede aplicarse de manera efectiva a cualquier proyecto en cualquier
industria: desde proyectos o equipos pequeños con tan sólo seis miembros, hasta
proyectos grandes y complejos con cientos de miembros por equipo.
2.1.2.2 EVENTOS SCRUM
Los eventos se usan en Scrum para crear un patrón constante y minimizar la
necesidad de reuniones no definidas
Ilustración 15 Eventos Scrum Fuente: slideshare: https://es.slideshare.net/benq2011/introduccin-a-scrum-by-jlvg
24
2.1.2.2.1 SPRINT.
Es un bloque de tiempo (time-box) de un mes o menos durante el cual se crea un
incremento de producto “Terminado”, utilizable y potencialmente desplegable. Es
más conveniente si la duración de los Sprints es consistente a lo largo del esfuerzo
de desarrollo. Cada nuevo Sprint comienza inmediatamente después de la
finalización del Sprint previo
• El alcance puede ser clarificado y renegociado entre el Dueño de Producto y el
Equipo de Desarrollo a medida que se va aprendiendo más.
• No se realizan cambios que puedan afectar al Objetivo del Sprint (Sprint Goal).
2.1.2.2.2 DAILY SCRUM
El Scrum Diario es una reunión con un bloque de tiempo de 15 minutos para que el
Equipo de Desarrollo sincronice sus actividades y cree un plan para las siguientes
24 horas. Esto se lleva a cabo inspeccionando el trabajo avanzado desde el último
Scrum Diario y haciendo una proyección acerca del trabajo que podría completarse
antes del siguiente.
2.1.2.2.3 REVIEW
Es una reunión restringida a un bloque de tiempo de cuatro horas para Sprints de
un mes. Para Sprints más cortos, se reserva un tiempo proporcionalmente menor.
El Scrum Master se asegura de que el evento se lleve a cabo y que los asistentes
entiendan su propósito. Además, les enseña a todos a mantener el evento dentro
del bloque de tiempo fijado.
2.1.2.2.4 RETROSPECTIVE
La retrospectiva cubre lo relacionado a la revisión de los entregables y al trabajo
que se ha realizado y determina las formas para mejorar las prácticas y métodos
implementados para realizar el trabajo del proyecto. En las grandes organizaciones,
el proceso de revisión y retrospectiva también puede incluir el convocar a reuniones
de Scrum.
2.2 MARCO INSTITUCIONAL
El congreso de la república de Colombia promueve la ley 1273 de 2009 que se le
denomina como “De la protección de información y de los datos”, además incluye el
tratamiento integral de los sistemas que manejen las tecnologías de la información.
La ley tipifica una serie de actos relacionados con el manejo de los datos, por lo que
25
es de gran importancia que las empresas tomen las medidas para que se blinden
jurídicamente y así evitar incurrir en algún delito que tenga relación con la normativa.
Esta ley define como delitos el acceso ilegal a uno o varios sistemas de tipo
informático, la interceptación de datos, interrumpir de forma ilegal el funcionamiento
de un sistema informático, daños a nivel informático y también el uso de software
dañino. (MINTIC, 2009).
2.2.1 INDRA
Indra es una de las principales compañías globales de tecnología y consultoría y el
socio tecnológico para las operaciones clave de los negocios de sus clientes en todo
el mundo. Es un proveedor líder mundial de soluciones propias en segmentos
específicos de los mercados de Transporte y Defensa, y la empresa líder en
consultoría de transformación digital y Tecnologías de la Información en España y
Latinoamérica a través de su filial Minsait. Su modelo de negocio está basado en
una oferta integral de productos propios, con un enfoque end-to-end, de alto valor y
con un elevado componente de innovación. En el ejercicio 2018, Indra tuvo unos
ingresos de 3.104 millones de euros, 43.000 empleados, presencia local en 46
países y operaciones comerciales en más de 140 países.
2.2.1.1 PROPOSITOS Y VALORES
El propósito y los nuevos valores definidos para Indra identifican a la compañía. “At
the Core” es el concepto que se presenta junto a Indra, ya que define y refleja su
evolución estratégica: Indra es el socio tecnológico de las operaciones clave de sus
clientes, se sitúa en el corazón de sus negocios y pone foco en lo que realmente
importa.
Por su parte, los nuevos valores que identifican y guían a Indra son:
Liderazgo. Generando impacto real a través de resultados tangibles
Flexibilidad. Potenciando la cercanía al cliente y diferenciando a Indra de sus
competidores
Enfoque. Proyectando avance en una clara dirección, clave en la
especialización de los negocios
Fiabilidad. Construyendo confianza y relaciones a largo plazo basadas en la
experiencia y en la excelencia
26
2.2.1.2 SERVICIOS Y PRODUCTOS
Consultoría de negocio
Impulsamos a las principales empresas internacionales a crear valor y mantener sus
ventajas competitivas a través de:
1. Estrategia desde un enfoque práctico 2. Metas alineadas con la ejecución de la estrategia
3. Resultados rápidos y tangibles
Consultoría y tecnología digital
Impulsamos digitalmente a empresas, organizaciones e instituciones:
1. Transformando el modelo de relación y la forma de conectar con
clientes/ciudadanos, 2. Construyendo soluciones tecnológicas sobre arquitecturas de nueva
generación 3. Integrando tecnologías de terceros, elemento clave en el soporte de modelos
de gestión avanzada de clientes 4. Digitalizando y robotizando procesos que incrementan la eficiencia y la
productividad de las operaciones 5. Desplegando arquitecturas Big Data y desarrollando modelos de analítica
avanzada e inteligencia artificial que sofistican la toma de decisiones
Consultoría ERP
Optimizando los procesos de tu organización con soluciones líderes de gestión
empresarial
Desarrollamos procesos end-to end con SAP S/4HANA y MS-Dynamics aportando
valor a las áreas financiera, logística y de recursos humanos. Migramos soluciones
para innovar y mejorar la experiencia de usuario.
Ciberseguridad
Somos más de 300 expertos que dejan huella a través del desarrollo de tecnologías
de seguridad, habilitando negocios digitales y protegiéndolos, a través de una
aproximación holística basada en riesgos y con foco en la prevención, protección,
detección y respuesta ante incidentes.
Combinamos el conocimiento de identidad digital, biometrías, firma electrónica,
criptografía distribuida, blockchain e inteligencia artificial, para crear soluciones con
impacto en tu negocio y experiencia de usuario digital.
27
Concentramos el talento de Ciberseguridad en CyberDefence: centros
especializados y distribuidos en España, México y Colombia, que combinan un alto
nivel de especialización (Red Team, Blue Team, CSIRT y arquitectos de seguridad)
gracias a nuestra propuesta de deception y las plataformas Advanced Security
Analytics y Cyber range.
Servicios de Ciberdefensa Desarrollando respuestas integrales ante Ciber Amenazas
Gestión del riesgo IT/OT Impulsamos los negocios a través de la convergencia entre IT/OT, potenciando la optimización de procesos, la reducción de costes, la escalabilidad y la flexibilidad. Haciendo frente a los retos del futuro y al riesgo que afronta el entorno IT y OT a través de soluciones para operadores de infraestructuras críticas.
Identidad Digital Damos respuesta a los retos que plantea la evolución del concepto de Identidad Digital, entendido como la huella que dejamos en la Red a través de los distintos perfiles (empresarial, público, social) que creamos a partir de las cuentas que utilizamos o las Apps de los dispositivos IoE (Internet del Todo).
Fronteras Inteligentes Mejoramos la seguridad, agilizando el tránsito y detectando el fraude a través de soluciones innovadoras con impacto en la gestión de fronteras reguladas y no reguladas, que mejoran la experiencia del viajero. Impulsando una actividad migratoria global, creciente y dinamizadora de la economía.
Cyber Range Impulsamos la capacitación intensiva y continua a nivel individual y grupal en técnicas y tácticas de análisis forense, a través de soluciones de Ciberseguridad y experimentación tecnológica, construyendo respuestas ante ciberataques y técnicas de programación segura.
Tabla 6 Ciberseguridad
28
Operaciones
En un contexto con usuarios exigentes, cambio continuo de entorno y a gran
velocidad, competidores disruptivos y poca capacidad de diferenciación, las
operaciones afrontan el reto de responder con máxima agilidad y siempre
manteniendo los costes bajo control.
En Minsait te ayudamos a conseguir una verdadera optimización operativa con foco
en el cliente, a través de tecnologías flexibles de integración, automatización,
digitalización, robotización y metodologías lean.
3. METODOLOGÍA
La metodología implementada para la recolección de datos que permiten ser a este
proyecto viable y sustentable dentro de los lineamientos establecidos y el alcance
de la FORMULACIÓN DE ACCIONES DE MEJORA, fue determinada mediante el
método de investigación, el cual dictamina que el mejor desarrollo para realizar el
levantamiento de información es a través de:
La Observación
La recopilación Documental
La entrevista
El análisis de la información (Revisión)
La comparación
El planteamiento de hallazgos
29
3.1 POBLACIÓN
La formulación de acciones de mejora a establecer está enfocadas a los procesos
ejecutados únicamente por los Analistas de Seguridad y a los Especialistas Junior
del I-CSOC de INDRA ubicado en Bogotá, Colombia. Procesos previamente
definidos para la gestión de la prestación de los servicios que como I-CSOC se han
determinado en el catálogo de servicios a ofrecer y han sido contratados por varias
Marcas y Proyectos.
En la actualidad el I-CSOC cuenta con un grupo de Analistas de Ciberseguridad
conformado por 9 (Nueve) Ingenieros los cuales trabajan transversalmente para los
diferentes proyectos que han contratado los servicios de seguridad informática y de
la información que presta el I-CSOC.
Adicionalmente y como complemento se tiene conformado un grupo de
Especialistas Junior, estructurado por 3 (Tres) Ingenieros los cuales representan el
liderazgo y la guía sobre cada uno de los proyectos. Este grupo de recursos
humanos, si bien cuentan con el conocimiento transversal de la totalidad de los
proyectos, deben asumir las responsabilidades y el puesto específico sobre uno o
varios de los mismos, con el fin de ser el puente de comunicación más óptimo entre
el cliente y los servicios.
3.2 TECNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN
Se determinó que la técnica de recolección más efectiva para realizar el
levantamiento de la información sobre los procesos ejecutados por los analistas de
Ciberseguridad y los Especialistas Junior para el desarrollo de la prestación de los
servicios está fundamentada en la misma técnica mencionada y fomentada por el
método de investigación, el cual se da cumplimiento a través de:
OBSERVACIÓN: Por medio del acompañamiento sobre la operación y
prestación de los servicios, se determinó el control de observación para
realizar el primer levantamiento de información sobre los procesos
ejecutados actualmente. Dónde se evidencio la distribución física de las
instalaciones del I-CSOC, los puestos de trabajos de los analistas, las
herramientas utilizadas y las 14 pantallas que conforman el Video Wall
mediante el cual se tiene un acceso visual sobre las alarmas e incidentes.
30
RECOPILACIÓN DOCUMENTAL: A través de la Observación se evidenció
que los analistas y los especialistas junior cuentan con una serie de
documentos sobre los cuales apoyan la gestión.
Documentos como:
-Bitácoras diarias
-Manuales sobre las herramientas utilizadas
-Manuales de procedimientos establecidos
-Guías de escalamientos sobre procedimientos
-Matrices de direccionamientos sobre la red
-Gestores de contraseñas
Se realizó la validación de dicha documentación en sitio, entendiendo que
por controles sobre las NORMAS ISO/IEC 20000 y 27000 NO TENEMOS
PERMITIDO la divulgación de los documentos oficiales sobre los servicios y
procedimientos establecidos en el I-CSOC
ENTREVISTA: Se planteó y realizó una entrevista a cada uno de los analistas
y especialistas en dónde se indago bajo las siguientes preguntas:
- ¿Qué rol desempeña dentro de la operación del I-CSCO?
- ¿Conoce todos los procesos y procedimientos establecidos para el correcto
desarrollo de la operación y la prestación del servicio? Menciónelos
- ¿Existe documentación sobre todos los procesos y procedimientos?
De no existir alguno mencione Cuál y la razón por que la que considere que
no esté documentado
- ¿Considera que la gestión cómo grupo de analistas se está desarrollando
correctamente? De haber inconformidades menciónelas
- ¿Está de acuerdo con la gestión de la capacidad y disponibilidad
establecida para los servicios operados? De existir inconformidades
menciónelas
-Si pudiera implementar una mejora sobre los procesos establecidos ¿Cuál
sería y por qué?
Las entrevistas se realizaron individualmente y sobre las respuestas se
tomaron decisiones para la implementación de la mejora continua. Sin
embargo, no podemos hacer uso público de las entrevistas y sus respuestas
entendiendo que por controles sobre las NORMAS ISO/IEC 20000 y 27000
31
NO TENEMOS PERMITIDO la divulgación de los documentos oficiales sobre
los servicios y procedimientos establecidos en el I-CSOC
EL ANALISIS DE LA INFORMACIÓN: Conforme se realizó el levantamiento
de la información, se corroboró la práctica con la teoría frente a la prestación
de los diversos servicios y se estimó el lineamiento entre lo propuesto y lo
desarrollado.
Se realizó una toma de decisiones las cuales se verán reflejadas en el plan
de mejoras propuesto
LA COMPARACIÓN: Se solicitaron los documentos y los resultados de la
operación de los años anteriores para realizar una comparación sobre el
rendimiento obtenido, las gráficas de gestión, satisfacción e implementación
con el fin de poder realizar el comparativo ideal y evidenciar el avance y la
mejora obtenida durante los 3 (Tres) años que lleva la implementación del
I-CSOC en Bogotá, Colombia.
EL PLANTEAMIENTO DE HALLAZGOS: Para el presente se determinó a un
hallazgo como todo proceso, procedimiento, actividad, ejecutable, entrega de
informe y elemento que se relacionara directamente con la prestación de los
servicios ofrecidos y contratados por el I-CSOC.
Por lo que, en efecto un hallazgo puede entenderse como positivo y negativo,
teniendo como horizonte la mejora continua sobre los servicios prestados y
como consecuencia el cambio e implementación de nuevos procedimientos
y responsables.
Un hallazgo es el resultado de evaluar una evidencia contra un criterio. Los
hallazgos pueden ser clasificados de la siguiente manera
Ilustración 16 Planteamiento De Hallazgos Fuente: It-processmaps: https://www.pymesycalidad20.com/7-pasos-para-la-mejora-continua-de-los-servicios.html
32
3.3 TÉCNICAS, HERRAMIENTAS Y MÉTODOS PARA EL DISEÑO E
IMPLEMENTACIÓN DE LOS SISTEMAS DE GESTION.
Los enfoques metodológicos planteados para la formulación de acciones de mejora
para los servicios de seguridad informática brindados por Indra-Colombia para el I-
CSOC en la sede de Bogotá, Colombia, están determinado mediante la
implementación de la fase de mejora continua sobre el marco de buenas prácticas
de ITIL V3 y la adaptación de varios eventos de Scrum dentro de los lineamientos
posibles.
Es necesario entender que las herramientas a utilizar van a ser los procesos
definidos por las metodologías mismas, y para generar la formulación de mejoras
de manera correcta, se delimitadas en las siguientes etapas:
IDENTIFICACIÓN DE BUENAS PRÁCTICAS: Comprendiendo que todos los
servicios prestados por el I-CSOC están estructurados y gestionados dentro
del marco de referencias de buenas prácticas de ITIL V3, porque es una de
las políticas de INDRA a razón de la certificación de la norma ISO/IEC 20000,
se sabe que la implementación de buenas prácticas está implícita en la
prestación del servicio.
Sin embargo, mediante el levantamiento de información se identificó que hay
varios ítems, procesos, acciones y elementos que entran a la perfección
sobre la fase de mejora continua.
En primer orden, la idea es identificar a los ingenieros que sobresalen en la
ejecución de los procedimientos establecidos, para adaptar el valor agregado
sobre el cual resaltan y plantearlo como una mejora general para ejecución
de los procesos al nivel del grupo de analistas. Aprendiendo y adaptando las
habilidades de los que ejecutan los procesos de manera eficiente y eficaz se
garantizará una evolución de la prestación del servicio evidente de cara con
el cliente y así mismo se reflejará en la mejora porcentual del cumplimiento
sobre las métricas de ANS Y KPI, así como de la satisfacción sobre el
servicio.
Cabe resaltar que la mejor de las buenas prácticas es la proactividad, la
mitigación de reprocesos y el cuestionamiento sobre lo que se ejecuta en pro
de reducir tiempos de respuesta y facilitar el trabajo.
33
También se debe entender como buena práctica la motivación hacia la
mejora y la medición sobre lo ejecutado, comprendiendo que si no se mide
no sé tiene certeza de qué tan acorde estamos con la línea de negocio, el
CORE del negocio y lo proyectado para el servicio.
DEFINICIÓN DE PROCESOS: Si bien es cierto, por definición un servicio
estructurado bajo el marco de buenas prácticas de ITIL y auditado bajo la
norma ISO/IEC 20000 debe contar con procedimiento establecidos y
documentados, también debe contemplarse la definición de actualización
sobre estos procedimientos, la eliminación de procedimientos que ya no sean
eficientes y la inclusión de los nuevos procedimientos desarrollados para
mejorar la prestación del servicio.
Esta definición sobre el catálogo de procesos internos para la prestación del
servicio debe ser tarea exclusiva de los Especialistas Junior, pues son ellos
la representación entre el cliente y el servicio, conociendo a detalle las
ejecuciones estimadas y las proyectadas sobre las cuales el servicio se
presta.
A este punto se hace importante generar plantillas generales sobre la
documentación y actualización de los procesos y procedimientos, dónde se
tengan a consideración la implementación de flujos de trabajo, flujos de
escalamiento y relevancia sobre ANS Y KPI de cada uno de los proyectos.
También se propone la creación de ambientes de pruebas sobre casos de
uso como documentación práctica. Considerándose como definición y
documentación de un proceso y procedimiento cualquier tipo de tecnología
que facilite el entendimiento del mismo (Audio, video, manual entre otros)
La idea principal de este ítem es poder brindar una documentación tan
robusta sobre la Gestión del Conocimiento que al ser entregada a un nuevo
recurso humano del I-CSOC, éste por medio del estudio autodidacta sea
capaz de comprender la operación y la gestión sobre los servicios en el
menor tiempo posible.
INFORMACIÓN COMPLEMENTARIA: En este ítem se establecen todo tipo
de conocimiento externo que pueda aportar con el crecimiento y la evolución
del equipo de trabajo conformado por Analistas de Ciberseguridad y
Especialistas junior para la mejora en la prestación del servicio.
34
Es aquí en dónde todas las certificaciones que se estiman los Analistas y
Especialistas adquieran, se desarrollen dentro de un cronograma de tiempo
específico, identificando las herramientas de gestión necesarias para
conseguirlo, háblese entonces de centros de aprendizaje de proveedores y
partners, así como centro de educativos conexos a INDRA que brinden las
capacitaciones que se requieran.
Dentro del plan de mejora continua no sólo se establece la mejora de los
procesos y procedimientos, sino que también se plantea la mejora en la
habilidad técnica y de análisis sobre cada uno de los miembros del equipo,
en pro de aumentar el valor sobre la ejecución y la operación desarrollada
por el I-CSOC
Toda información adicional pertinente a los proyectos que permita la mejora
y aporte valor, estará designada sobre este punto.
4. DIAGNOSTICO
4.1 DIAGNOSTICO DE LAS CONDICIONES ACTUALES
Para el año en curso, el I-CSOC cuenta 6 (Seis) proyectos adjudicados:
SENA (Servicio Nacional de Aprendizaje) – PAA (Protección de amenazas
Avanzadas)
SICOV (Sistema de Control y Vigilancia para Puertos y Transporte)
GEB (Grupo de Energía Bogotá)
ARN (Agencia para la Reincorporación y la Normalización)
MAKRO (Cadenas de tiendas de autoservicio de abastecimiento alimenticio)
TUYA (Marca para soluciones Financieras del Grupo éxito Colombia)
Cada proyecto contrató una serie de servicios de seguridad informática y de la
información conforme sus necesidades y la alineación de su negocio para dar valor
a través de los mismos
35
Ahora bien, los principales servicios prestados por el I-CSOC de Bogotá,
determinados en:
SOC (Centro de Operaciones de Seguridad)
Administración de la red a nivel de Firewall
Gestión de Incidentes y Requerimientos a nivel de Red
PAA (Protección de Amenazas Avanzadas)
Administración y control sobre amenazas avanzas determinadas en
Malware
Prevención y Mitigación de SPAM
Gobierno y Autoridad a nivel de Antivirus y Agentes Antimalware
Contención, cuarentena y desinfección sobre host que representen
peligro para la red
MONITOREO
Sobre Marcas, dominios de páginas web, phishing y suplantación de
identidad
Sobre perdida, robo y mal gestiona miento sobre información
Actividad de ingresos sospechosos a cuentas de correos y dominios de
cada proyecto
Reporte sobre incidencias en monitoreo
Prevención y Mitigación de phishing
Para cada uno de los servicios existen establecidos procedimientos, monitoreo,
registros, controles, herramientas de gestión, evidencias de gestión y procesos
sobre los cuales los analistas tienen responsabilidades, administración y acción.
Es necesario c aclarar que el I-CSOC ofrece sus servicios 7x24x365 (Todo el año)
dado que así se determinó en la fase de diseño del servicio.
Lo que implica que los analistas de seguridad cumplen un horario por turnos
rotativos semanales de domingo a domingo con un día de descanso, dicho horario
está determinad en:
Turno de la Mañana:6 am -2 pm (3 Analistas)
Turno Cruzado: 8 am - 5 pm (2 Analistas)
Turno de la Tarde: 2pm – 10 pm (3 Analistas)
Turno de la Noche: 10 pm – 6 am (1 Analista)
36
Para el caso de los especialistas Junior, al entender que ellos son el frente de la
operación de cara con el cliente, se maneja un horario Cruzado de Lunes a viernes.
Cada uno de los turnos establecidos para dar cumplimiento a la operación y la
prestación de los servicios tiene una serie de actividades ya definidas, entendiendo
que los procedimientos implementados están directamente ligados cada uno de los
proyectos.
Por lo que el modelo de operación del I-CSOC está determinados de la siguiente
manera:
Ilustración 17 Modelo de operación del I-CSOC
Es necesario comprender que dentro de los analistas existen roles, los cuales son:
ANALISTAS TURNO MAÑAN Y TARDE: Se encargan de atender las
actividades definidas para cada uno de los proyectos, cada analista es
responsable de dos proyectos.
ANALISTAS TURNO CRUZADO: Cumplen la función de Dispatcher para
todos los proyectos
ANALISTA TURNO NOCHE: Se encarga de atender las actividades
complementarias definidas para TODOS los proyectos
Y las actividades determinadas para cada proyecto en cada uno de los turnos es el
siguiente:
37
SENA – PAA:
TURNO MAÑANA y TARDE:
Verifica que las direcciones IP públicas del proyecto no se
encuentren en listas negras
Verifica el estado del Back Log en la plataforma de gestión de
Incidentes y de requerimientos del proyecto (Service Manager de
HP) y se asegura que se encuentre alineado al Back Log
registrado en la bitácora para el día en gestión
Atiende los Incidentes y requerimientos designados por el
Dispatcher
Gestiona el correo del proyecto
Gestiona las llamadas
Da cierre a los casos que así se determinen y cuenten con
autorización
Monitorea las herramientas destinadas para el control del proyecto
(HX Y NX de la firma de FIREYE para el control y prevención de
afectación por malware en los hosts atados a la red, al igual que
la consola EPO de McAfee para el análisis de los eventos de
seguridad relacionados al antivirus)
Realiza entrega de informe de disponibilidad sobre las
herramientas utilizadas
Genera la entrega de Turno con la actualización del Back Log y
las novedades pertinentes
SICOV:
TURNO MAÑANA y TARDE:
Verifica el estado del Back Log en la plataforma de gestión de
Incidentes y de requerimientos del proyecto (Service Manager de)
y se asegura que se encuentre alineado al Back Log registrado en
la bitácora para el día en gestión
Realiza el filtro de registro y control sobre los Incidentes y
requerimientos que llegan (No lo hace el Dispatcher)
Gestiona el correo del proyecto
Gestiona las llamadas
Da cierre a los casos que así se determinen y cuenten con
autorización
Monitorea las herramientas destinadas para el control del proyecto
(Whats Up Gold y Servidores del proyecto que gestionan el
38
monitoreo y disponibilidad de la infraestructura del mismo.
SPLUNK para verificar el estado y la capacidad de logs obtenidos
en el día)
Realiza entrega de informe de disponibilidad sobre las
herramientas utilizadas
Genera la entrega de Turno con la actualización del Back Log y
las novedades pertinentes
GEB:
TURNO MAÑANA y TARDE:
Verifica el estado del Back Log en la plataforma de gestión de
Incidentes y de requerimientos del proyecto (Service Manager de)
y se asegura que se encuentre alineado al Back Log registrado en
la bitácora para el día en gestión
Atiende los Incidentes y requerimientos designados por el
Dispatcher
Gestiona el correo del proyecto
Gestiona las llamadas
Da cierre a los casos que así se determinen y cuenten con
autorización
Monitorea las herramientas destinadas para el control del proyecto
(CAS de Microsoft para validar el acceso de las cuentas de correo
con los respectivos dominios y verificar si existen incidentes con
accesos restringidos y/o desde el exterior del país, SPLUNK para
el monitoreo de suplantaciones de tipo phishing sobre dominios
del proyecto)
Genera la entrega de Turno con la actualización del Back Log y
las novedades pertinentes
MAKRO Y ARN
Estos proyectos se encuentran en la fase de transición del diseño a la
operación por lo que aún se están definiendo los modelos de operación sobre
los servicios contratados
39
TUYA:
TURNO MAÑANA y TARDE:
Monitorea las herramientas destinadas para el control del proyecto
(SPLUNK para el monitoreo de suplantaciones de tipo phishing
sobre dominios del proyecto)
DISPATCHER:
TURNO CRUZADO:
Su actividad principal es estar atento a todas las herramientas de
monitoreo y gestión de incidentes y requerimientos de todos los
proyectos para distribuir de manera correcta a los analistas los
casos sobre los cuales ellos deben realizar la gestión, de igual
manera tiene la potestad para devolver los casos que no se
consideren aptos a la mesa de servicio para que la información
requerida sea completada y así poderlos gestionar
4.2 DETERMINACIÓN DE FACTORES CRITICOS
Los Factores que determinan la criticidad sobre la operación son:
Los riesgos latentes sobre la perdida en las métricas de tipo ANS Y KPI que
cada uno de los proyectos tienen definidas
La falta de completa documentación o en su defecto la desactualización
sobre la existente
La falta de conocimiento técnico sobre las herramientas utilizadas para dar
la gestión de la prestación del servicio
La presencia de re-procesos sobre la prestación del servicio
La Inutilización de procesos definidos
La no priorización sobre los servicios
La ausencia de ambientes prácticos que permitan afianzar conocimientos y
procedimientos
La falta de motivación en el grupo de trabajo
La ausencia de mediciones sobre el trabajo de los analistas
40
4.3 IDENTIFICACIÓN DE HALLAZGOS SIGNIFICATIVOS
Frente a la operación, lo estimado y comparado entre el deber ser y la realidad
quedó demostró que:
Muchos de los procedimientos establecidos NO ESTAN CORRECTAMENTE
DOCUMENTADOS O NOSE ENCUENTRAN DOCUMENTADOS
No existe ningún tipo de reunión periódica que permita conocer los avances
de la gestión, los resultados frente a lo esperado de la operación del I-
CSOC
Se hace necesaria la implementación de la retroalimentación grupal,
teniendo en mente la transversalidad de los analistas
Existen procedimiento que están siendo ejecutados por los Especialistas Jr.
que DEBEN ser atendidos por los analistas de Ciberseguridad
Los documentos utilizados cuentan con falencias de gestión, se hace
necesario la actualización de los mismos y la optimización del a data para
evitar reprocesos que afectan el tiempo de gestión
No existen casos de uso establecidos a manera de práctica, por lo que se
hace necesario gestionar con los especialistas Jr. y los analistas la
identificación de los mismos y crear ambientes en dónde se puedan ejecutar
lo más recurrentes. Esto con el fin de evaluar el conocimiento técnico y
procedimental de los analistas sobre los diferentes proyectos
La fase de mejora continua no está completamente alineada al CORE del
negocio, existen procesos y procedimientos que no se han actualizado desde
el comienzo de la implementación del I-SOC
Se evidencian avances en organización y estructuración frente a los grupos
de trabajo y las responsabilidades asignadas, sin embargo, no se evidencia
documento alguno que lo soporte ni que se pueda consultar
La gestión y base del conocimiento está siendo tramitada para mejorar las
habilidades de los analistas, se está retomando la iniciativa de actualización
y aprendizaje sobre nuevos conceptos, herramientas y gestiones
41
5. FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE
SEGURIDAD INFORMÁTICA BRINDADOS POR INDRA-COLOMBIA MEDIANTE
LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE
DE BOGOTÁ
5.1 PLAN DE MEJORAMIENTO
Las acciones de mejora de acuerdo al levantamiento de información obtenido, están
enfocadas en los siguientes ITEMS a cumplirse de acuerdo a las metodologías
utilizadas como herramientas para dar una correcta gestión a la mejora continua
sobre lo servicios prestaos por el I-CSOC de Indra en Bogotá, Colombia.
1. IDENTIFICAR LAS ESTRATEGIAS DE MEJORA:
Se hace necesario retomar la estructuración de una visión mucho más
apropiada frente a lo que como I-CSOC se espera en función del tiempo y de
la evolución. Teniendo en cuenta que el funcionamiento del I-CSOC comenzó
hace más de 3 (Tres) años, se sobre entiende que el objetivo buscado ha
cambiado, con esto en mente, la primera acción de mejora que se propone
es reestructurar los valores del I-CSOC, sobre todo la VISIÓN.
Una vez implementada esta mejora, se plantea implementar los valores de
manera física dentro de las instalaciones dónde se prestan los servicios, con
el objetivo de tenerlos presentes y recalcarlos sobre los analistas y en general
sobre todos los recursos.
También se propone establecer sistemas de medición INTERNOS para los
procesos y procedimientos realizados en pro de la prestación de los servicios.
Es importante medir para conocer en tiempo real los porcentajes alcanzados
frente a los proyectados, si se está generando un cumplimiento, un riesgo o
una perdida frente a los mismos.
2. DEFINIR LO QUE SE VA A MEDIR:
A través del levantamiento de información, mediante la observación, se
encontró que, pese a los diferentes controles y documentos gestionados en
la prestación del servicio, no existe una métrica interna, ni parámetros
estándares para medir. Por lo que la segunda acción de mejora recomienda
42
para cada proyecto estipular cuales van a ser los procesos a medir a nivel
interno y establecer cómo se van a medir, de igual manera establecer
periodos de medición, presentación de informes –en lo posible gráficos y
concisos – y toma de mejoras oportunas sobre mediciones.
3. DEFINICIÓN DE METAS SOBRE OPERACIÓN
Una vez estipulados los ítems y parámetros a medir, es necesario definir
metas reales alcanzables progresivamente sobre la operación. Por lo que la
tercera acción de mejora es establecer mediante el análisis del
comportamiento de la operación durante al menos el último año y la
comparación entre los resultaos planteados y lo obtenidos, metas aplicables
a los nuevos sistemas de medición internos.
4. PROCESAR LOS DATOS:
Para el ámbito relacionado con la data y la información, conforme se realizó
la recopilación documental, se evidenciaron varias falencias y se plantean
varias acciones de mejora:
En Los formatos tales como las bitácoras de gestión diaria sobre la
operación de cada uno de los proyectos NO DEBEN existir
asignaciones especificas a analistas por caso, TODOS LOS
ANALISTAS están en la capacidad de gestionar y/o continuar con la
gestión de un Incidente o Requerimiento sin importar quien haya sido
el último en documentarlo.
Es necesaria la creación y validación de plantillas para la
documentación de los casos, porque sin importar el analista que lo
gestione, todos deben entender cómo se está gestionando y qué hace
falta para mitigar el Incidente o solucionar el requerimiento.
Se evidenció que no todos los analistas cuentan con los mismos
perfiles de accesos sobre las plataformas, por lo que SE HACE
NECESARIO estipular un perfil genérico de accesos sobre todas las
plataformas a las que deban acceder los analistas, entendiendo que
al ser transversales todos deben contar con perfiles en cada una de
las herramientas de gestión y monitoreo. NO SE ACEPTARÁN
43
USUARIOS GENERICOS porque incumplen con varias de las
normativas estipuladas en la ISO/IEC 27000
Se debe realizar un análisis a profundidad sobre la calibración de las
herramientas de gestión, asegurarse que la disponibilidad y capacidad
de las mismas está alineadas al CORE del I-CSOC y dar la garantía a
los analistas que las herramientas permitirán una gestión eficaz
Todos los formatos deben ser actualizados y modificados conforme
sean necesarios, un claro ejemplo de ellos son las bitácoras de gestión
diaria. Muchas de ellas solicitan datos que no se están utilizando, o
peor aún, información que genera re-procesos. Entre más concisas y
completas sean para los procesos que sobre ellas se ejecutan, mucho
mejor será la operación.
5. ANALIZAR LA INFORMACIÓN Y LOS DATOS
Mediante el análisis de la información recolectada y los datos de la misma se
evidenció la falta de presentación sobre los resultados esperados y los
reales, por lo que esta acción de mejora esta enfatizada en generar
presentaciones sobre las diferentes tendencias que se muestran en la data
conforme se generan cumplimientos de los servicios. Además, se considera
necesario que los analistas conozcan los resultados de su operación para
hacer evidente el cumplimiento o no de los objetivos estipulados,
A este punto también se presenta el planteamiento de tomar decisiones
grupales sobre los resultados presentados y analizados, crear acciones de
mejoras continuas y dejar estipuladas responsabilidades y responsables
sobre dichas acciones presentadas y concluidas de la data.
6. PRESENTAR Y UTILIZAR LA INFORMACIÓN
Es Necesario tomar elementos de la metodología ágil de SCRUM para
generar una cultura de comportamiento correcto frente al grupo de trabajo;
por lo que se formula la acción de mejora sobre la implementación de eventos
adaptados a la operación del I-CSOC tales como:
44
SPRINT: Definición de un periodo de tiempo sobre el cual se realizará la
gestión y evaluación sobre la prestación del servicio hacia los diferentes
proyectos, se sugiere que los SPRINT para la operación del I-CSOC se
determine mensualmente, a razón de que las diferentes métricas
establecidas por proyectos se encuentran determinadas en ese mismo
periodo
DAILY SCRUM: Crear una reunión corta diaria entre todos los analistas que
no supere los 10 minutos, la cual se realizará de pie, en el intercambio de
turnos. En dicha reunión cada analista contestara las siguientes 3 (tres)
preguntas de manera concisa:
¿Qué hice hoy? – Haciendo referencia a la gestión prestada durante
el turno
¿Qué me falta hacer? – Haciendo énfasis en la gestión que falta por
realizar, la misma que se evidencia en las entregas de turno
¿Qué problemas tuve? – Haciendo énfasis en los problemas durante
la gestión. En este punto los demás analistas pueden entrar a apoyar
con soluciones frente a los problemas obtenidos
Este evento debe realizarse con todos los analistas para comenzar a
fomentar la transparencia de la operación y la gestión realizada y a realizar
sobre todos los proyectos. Al ser transversales los analistas deben conocer
el estado de ejecución de los proyectos y ser capaces de dar gestión y de
ser necesario apoyar las operaciones. De igual manera el fin principal es
presentar la información, resumir la gestión y contextualizar al grupo sobre
el Dónde estamos Y Para Dónde vamos.
REVIEW: Implementar una reunión mensual de no más de 30 minutos en
dónde se logre evidencias avances, planes de acción parar mejorar y
conocer los resultados de la operación del I-CSOC
RETROSPECTIVE: Implementar una reunión mensual, ojalá fuera de las
instalaciones del I-CSOC en dónde se haga una retrospectiva del trabajo
grupal, las skills, habilidades y conocimientos técnicos que se han mejorado
y los que haya por mejorar. Está reunión debe estar enfocada en el grupo
de trabajo, en resaltar las buenas acciones, en identificar las mejores
gestiones y resaltándolas.
45
7. IMPLEMENTAR LAS MEJORAS:
Se estima que la implementación de las mejoras indicadas se de en un
tiempo no mayor a tres meses, para poder evidenciar una mejora potencial
sobre la operación establecida a nivel la prestación de servicios con todos
los proyectos que se encuentran ligados al I-CSOC de Indra en Bogotá,
Colombia.
Para gestionar la correcta manera de la implementación sobre las acciones
de mejora se recomienda crear una matriz RACI en dónde se identifiquen los
responsables, los informados, los consultados y los encargados de ejecutar
las actividades.
Cómo última pero no menos importante, la acción de mejora relevante a
estimar es la creación de matrices de responsabilidad sobre los procesos y
procedimientos a ejecutar en general sobre todos los proyectos. Es necesario
identificar responsabilidades y responsables para evaluar sobre los objetivos
estructurados para evolucionar como I-CSOC y seguir siendo uno de los SOC
a nivel mundial tomado como referencia. Y por qué no, lograr ser el mejor
SOC a nivel Latinoamérica.
Cabe resaltar que la implementación de las acciones de mejora propuestas
al estar desarrolladas dentro de la fase de MEJORA CONTINUA mencionada
por ITIL V3 representa un ciclo, y cómo ciclo no terminan al implementarse.
Lo ideal es volver a retomar los 7 puntos mencionados y permitir una
constante mejora continua en pro de estar alineados cada vez más al CORE
del negocio y de los clientes actuales y lo los proyectados a tener
De igual manera es necesario entender que como I-CSOC se tiene una
proyección de crecimiento bastante amplia y las futuras acciones de mejora
deben tener en cuenta la gestión de la capacidad del servicio, la gestión de
la disponibilidad del servicio y la gestión del cambio. Porque sobre estas tres
se realizará la expansión de funciones, creación de servicio y estimación de
nuevos procesos a implementar en la operación
46
6. CONCLUSIONES
La adecuación de la fase de mejora continua estimada en el ciclo de vida de ITIL
V3 sobre los servicios que se operan y gestionan desde el I-CSOC de Indra en
Bogotá, Colombia se dará de manera progresiva conforme las acciones de mejora
planteadas comiencen a ser establecidas.
Se logró identificar y gestionar de manera correcta todas y cada una las 7 etapas
mencionadas en “El proceso de mejora continua en 7 Pasos”. Además, se enfatizó
en la importancia de éste ciclo como constante mejora en función del tiempo.
Sobre el modelo de operaciones del I-CSOC se evidenciaron múltiples hallazgos,
los cuales permitieron determinar las correcciones necesarias sobre los procesos y
procedimientos ejecutados por los analistas de seguridad y los especialistas JR.
Con el objetivo de gestionar una mejor prestación de los servicios establecidos.
Sobre estas correcciones se proyecta una evolución en la prestación de los servicios
y como consecuencia un valor agregado potencializado sobre los negocios del
cliente. De igual manera las correcciones realizadas se realizaron pensando en la
expansión de los servicios que ofrece INDRA en Colombia en pro de lograr una
gestión sin problemas.
La fusión de las metodologías de ITIL y SCRUM permiten un planteamiento mucho
más acertado para que el grupo de analistas y especialistas JR. mediante sus
funciones logren una prestación de servicios más óptima. La adaptación de los
eventos de SCRUM sobre el plan de desarrollo y trabajo establecido para la
operación del I-CSOC darán campo a un nuevo nivel de autogestión sobre el grupo
de trabajo y de esto se derivarán múltiples nuevas ramas de aplicación sobre
mitologías agiles y de buenas prácticas.
La definición de y utilización de herramientas como las matrices RACI permiten un
control más concreto sobre los responsables y las responsabilidades asignadas, al
igual que un cronograma de gestión para delimitar las fechas máximas en las que
se realizarán las actividades establecidas.
47
7. RECOMENDACIONES
Para garantizar la sostenibilidad de la operación a través de las mejoras propuestas,
es necesario comprender que estas se desarrollaron mediante la fase de mejora
continua del marco de referencias de buenas prácticas de ITIL V3. Dónde se
estipula que está fase es un ciclo que debe continuar en gestión una vez se cumpla.
El principal objetivo sobre la gestión de esta fase es precisamente convertir esta
práctica en una función que permita al I-CSOC generar una autogestión sobre la
evolución proyectada, de la mano de la metodología sobre la cual se gestionan
todos los proyectos que están directamente relacionados.
Si bien es cierto que las mejoras establecidas son pensadas para el momento actual
de la operación y lograr una evolución evidente en el tiempo establecido, también
se pueden implementar con una proyección mayor, siempre cuando los factores
como la capacidad y disponibilidad se adapten; es decir, la mejora continua tiene la
capacidad de evolucionar y adecuarse conforme los factores así lo determinan.
En caso de generar una expansión de servicios, se sobre entiende que la cantidad
de analistas deberá aumentar, de igual manera la cantidad de procesos y
procedimientos y sobre ese supuesto las mejoras propuestas funcionaran en el
mismo nivel.
Al comprender que las metodologías en función del planteamiento realizado fueron
SCRUM E ITILV3, se evidencia una correcta manera de fusionar e implementar más
de una metodología de trabajo y de buenas prácticas, lo que induce a que el
planteamiento está dispuesto a ser adaptable frente a cualquier otra adición
ejecutada mediante cualquier otro tipo de metodología. La ventaja de usar
elementos relacionados a este tipo de metodologías está determinada en la
adaptabilidad y compatibilidad
La Adecuación de los procedimientos de gestión de información y atención a
usuarios frente a un modelo de trabajo basado en normas de calidad como ITIL y
SCRUM permiten utilizar los resultados de las mediciones periódicas de la calidad
en el servicio como oportunidades de mejora, tanto para los procesos de servicio de
la organización, como para los procesos de utilización del sistema interno
48
BIBLIOGRAFIA
[1] ANS: TECHTARGET: [en línea] [Consultado: 01 de marzo de 2019]
Disponible en internet
https://searchdatacenter.techtarget.com/es/definicion/Acuerdo-de-nivel-de-
servicio-o-SLA
[2] BRIEF: DIMENSIONEMPRESARIAL: [en línea] [Consultado: 01 de marzo
de 2019] Disponible en internet http://dimensionempresarial.com/el-brief-
publicitario/
[3] CIBERSEGURIDAD: ICEMD: [en línea] [Consultado: 01 de marzo de 2019]
Disponible en internet https://www.icemd.com/digital-
knowledge/articulos/definicion-ciberseguridad-riesgo/
[4] CONFIDENCIALIDAD: BOGOTATURISMO: [en línea] [Consultado: 01 de
marzo de 2019] Disponible en internet
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/
file/Norma.%20NTC-ISO-IEC%2027001.pdf
[5] EFICACIA: HISTORIASYPOLITICA: [en línea] [Consultado: 05 de marzo de
2019] Disponible en internet http://historiasypolitica.com/eficiencia-y-
eficacia-en-administraciones-publicas-y-organizaciones-empresariales/
[6] EFICIENCIA: HISTORIASYPOLITICA: [en línea] [Consultado: 08 de marzo
de 2019] Disponible en internet http://historiasypolitica.com/eficiencia-y-
eficacia-en-administraciones-publicas-y-organizaciones-empresariales/
[7] IMPLEMENTACIÓN: OSUNA1-2: [en línea] [Consultado: 03 de marzo de
2019] Disponible en internet http://osuna1-2.blogspot.com/2017/10/el-
control-y-la-implementacion.html
[8] INCIDENTE: PROACTIVANET: [en línea] [Consultado: 10 de marzo de
2019] Disponible en internet
https://www.proactivanet.com/UserFiles/File/Noticias/El%20Mapa%20gener
al%20de%20ITIL%20-%20Conceptos%20Clave.pdf
[9] NTEGRIDAD: MINTIC: [en línea] [Consultado: 5 de marzo de 2019]
Disponible en internet https://www.mintic.gov.co/gestionti/615/articles-
5482_G5_Gestion_Clasificacion.pdf
49
[10] METODOLOGÍA: CONCEPTODEFINICION: [en línea] [Consultado: 01 de
marzo de 2019] Disponible en internet
https://conceptodefinicion.de/metodologia/
[11] NOC: ZENTIUS: [en línea] [Consultado: 04 de marzo de 2019] Disponible
en internet https://blog.zentius.com/conoce-las-diferencias-entre-un-noc-
y-soc-para-tu-red-empresarial
[12] PARTES INTERESADAS: BEEVA: [en línea] [Consultado: 01 de marzo de
2019] Disponible en internet https://www.beeva.com/beeva-view/estrategia-
negocio/como-gestionar-a-los-stakeholders-de-forma-eficaz/
[13] PHISHING: SEGU-INFO: [en línea] [Consultado: 01 de marzo de 2019]
Disponible en internet https://www.segu-info.com.ar/malware/phishing.htm
[14] PROCESO: ETIMOSOFTGESTIONTI: [en línea] [Consultado: 02 de marzo
de 2019] Disponible en internet
https://etimosoftgestionti.wordpress.com/2014/11/24/procesos-y-funciones-
en-itil/
[15] PRODUCT BACKLOG: SCRUM INSTITUTE: [en línea] [Consultado: 02 de
marzo de 2019] Disponible en internet https://www.scrum-
institute.org/The_Scrum_Product_Backlog.php
[16] PRODUCT OWNER : MEETUP [en línea] [Consultado: 10 de marzo de
2019] Disponible en internet https://www.meetup.com/es/Agiles-
Panama/events/258306621/
[17] RIESGO: BOGOTATURISMO: [en línea] [Consultado: 06 de marzo de
2019] Disponible en internet
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/
file/Norma.%20NTC-ISO-IEC%2027001.pdf
[18] SCRUM MASTER: PROYECTOSAGILES: [en línea] [Consultado: 03 de
marzo de 2019] Disponible en internet
https://proyectosagiles.org/facilitador-scrum-master/
[19] SEGURIDAD DE LA INFORMACIÓN: ISO27000 [en línea] [Consultado: 01
de marzo de 2019] Disponible en internet http://www.iso27000.es/sgsi.html
50
[20] SERVICE MAGNAMENT: OPENSERVICE [en línea] [Consultado: 02 de
marzo de 2019] Disponible en internet
https://www.openservice.mx/blog/service-management-y-sus-4-
caracteristicas-basicas/
[21] SERVICIO: BOGOTATURISMO: [en línea] [Consultado: 11 de marzo de
2019] Disponible en internet
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/
file/Norma.%20NTC-ISO-IEC%2027001.pdf
[22] SERVICIO TI: BOGOTATURISMO: [en línea] [Consultado: 05 de marzo de
2019] Disponible en internet
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/
file/Norma.%20NTC-ISO-IEC%2027001.pdf
[23] SOC: CONSULMATIC: [en línea] [Consultado: 01 de marzo de 2019]
Disponible en internet http://consulmatic.com/node/62
[24] SPAM: SEGURIDADPC: [en línea] [Consultado: 15 de marzo de 2019] Disponible en
internet http://www.seguridadpc.net/spam.htm
[25] SPRINT: YCOINBOUND: [en línea] [Consultado: 15 de marzo de 2019] Disponible en
internet https://www.ycoinbound.com/blog/qu%C3%A9-es-un-sprint-de-scrum
[26] TIC: SIGNIFICADOS: [en línea] [Consultado: 15 de marzo de 2019] Disponible en internet https://www.significados.com/tic/