Título: Automatización de la gestión de configuraciones de tecnologías de la información y las comunicaciones basado en ITIL Title: Information Technologies Automated Configuration Management System based on ITIL Autores: Ing. Jorge Daniel Valle Fernández.
[email protected] MSc. Maria Ela Diaz Gómez
[email protected] RESUMEN Desde hace alrededor de una década en nuestro país se hace un uso extensivo de las tecnologías de la Información y las comunicaciones (TIC), sin embargo todavía se aprecian dificultades relacionadas a la gestión de las TIC y sobre los cambios en esta. La evidente carencia de herramientas informáticas hace necesario la creación de un sistema propio para la Gestión de Configuraciones de las TIC, alineada a las buenas prácticas reconocidas para la Gestión de las TIC. Por tal motivo, la presente investigación tiene como objetivo desarrollar un sistema informático para la Gestión de las Configuraciones de TIC. Para su diseño se siguieron las especificaciones del Proceso Unificado de Desarrollo, utilizándose como herramienta de modelado el Enterprise Architect. Se utilizó como lenguaje de programación Visual Basic.Net, con el entorno de desarrollo Visual Studio 2010, y el motor de base de datos Microsoft SQL Server 2008 para el almacenamiento y gestión de los datos. La solución fue desarrollada teniendo en cuenta las buenas prácticas para la gestión de las TIC como ITIL, CobiT y la norma ISO 20000, y exhibe como aspecto novedoso la captura de los datos de los principales elementos de configuración de forma automática. Palabras clave: configuración | gestión | tecnologías | información |comunicaciones ABSTRACT Since a decade in our country there are an extensive use of the technology information (TI), however there are difficulties related to the management of the TIC and on changes in this yet. Apparent lack of tools necessary to the creation of a system for the management of configurations, tailored to the characteristics of the company and aligned with best practices recognized for the management. For this reason, this research aims to develop a computer system for the management of configurations of TIC. For your design is followed the specifications of the unified development process, used as modeling tool Enterprise Architect. Used as Visual Basic.Net programming language, with the Visual Studio 2010 development environment, and the engine of Microsoft SQL Server 2008 database for the storage and management of data. The solution was developed to take account of good practices for the management of the IT
as ITIL, CobiT and ISO 20000 standard, and displays as a novel aspect the capture of the main elements of configuration data automatically. Key words: management, information, tecnology, configuration, comunication
INTRODUCCIÓN El intercambio de bienes, productos y servicios constituye la mayor parte de la actividad económica a través de la cual se satisfacen las necesidades de la sociedad. Sea este entre países, regiones, o al interior de los estados, no se puede concebir la actividad humana como la conocemos sin este intercambio. En este movimiento, los actores principales lo constituyen las empresas, tanto productoras como comercializadoras, las cuales son las encargadas de, con el ejercicio de su actividad económica, satisfacer las necesidades de la sociedad. En el ámbito empresarial, las Tecnologías de la Información y las comunicaciones (TIC), han impactado con fuerza en la gestión de las empresas. Hoy no se concibe una empresa de punta sin un desarrollo tecnológico también de avanzada. Una correcta Gestión de la Infraestructura de las Tecnologías de Información y Comunicaciones, alineada a los objetivos de la empresa, redunda en beneficios para la misma. En el ámbito de las TICs el término configuración, es usado para denominar la información que caracteriza a las partes en cada elemento de TI, su disposición y relaciones, que permiten a este desarrollar su funcionalidad. En nuestro país, existen varias empresas donde se hace un uso extensivo de las tecnologías de la Información y las comunicaciones, sin embargo encontramos dificultades relacionadas a la gestión de las TIC, la desactualización del conocimiento de la infraestructura de TIC, demoras e imprecisiones en las soluciones a problemas por insuficiente información, decisiones erróneas sobre el manejo de equipamiento, compras, reposición, ubicación etc., y falta de control sobre los cambios en el equipamiento. Todas estas insuficiencias están dadas por varias posibles causas como: Las carencias en las herramientas usadas para la captación de la información. Insuficiente conocimiento de la infraestructura de TIC. Inadecuada uniformidad en la información obtenida. Insuficiencia de las herramientas utilizadas para procesar y almacenar la información sobre las TIC. Insuficiencias en las herramientas de control y verificación de la información. Existe una evidente carencia en las herramientas existentes que hace necesario la creación de un sistema para la Gestión de Configuraciones de las Tecnologías TICs, ajustada a las características de estas empresas. Por tal razón, se traza como objetivo
de la investigación: desarrollar un sistema informático para la Gestión de las Configuraciones de TIC basado en las buenas prácticas en Gestión de los Servicios de las Tecnologías de la Información. Con el sistema desarrollado se pretende lograr una Gestión efectiva de las TIC, dotando así a las empresas de la necesaria base de conocimiento sobre ellas que permitirá un manejo adecuado y efectivo de los mismos.
DESARROLLO El diccionario Merriam-Webster, define las Tecnologías de Información (TI) como ―La tecnología que involucra el desarrollo, el mantenimiento, y el uso de sistemas de computadora, el software, y las redes para el procesamiento y la distribución de los datos‖(Merriam-Webster, 2014; Stair, 2000). Otra definición de TI expresa: ―aquellas herramientas y métodos empleados para recabar, retener, manipular o distribuir información. La tecnología de la información se encuentra generalmente asociada con las computadoras y las tecnologías afines aplicadas a la toma de decisiones‖(Bologna, 1996). La tecnología de la información a menudo brinda soporte a los procesos de la empresa a través de los Servicios de IT("ITIL® Español (Latinoamericano) glosario," 2011). La Gestión de los Servicios de las Tecnologías de la Información cuenta con marcos de buenas prácticas y normas establecidos, que aportan el conocimiento y las pautas para la mejora continua de la misma y la entrega de valor por parte de las TI al negocio. Entre estas, fueron revisadas: ITIL, COBIT® y la norma ISO/IEC 20000. En este apartado se realizará un análisis de estas con el objetivo de establecer las pautas que debe seguir un sistema de Gestión de Tecnologías de Información y Comunicaciones alineado a las buenas prácticas en Gestión de los Servicios de las Tecnologías de la Información. COBIT® Los Objetivos de Control para la Información y la Tecnología Relacionada (COBIT®), tienen el propósito de proporcionar un marco o estructura adecuados para la alineación del gobierno de las TI con los objetivos del negocio. Este brinda un conjunto de buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI.( IT Governance Institute., 2007) Según la versión más reciente de COBIT, COBIT 5,(ISACA, 2012) el modelo de referencia de COBIT divide a los procesos de una empresa de TI en dos áreas principales de actividad – el Gobierno y la Gestión – divididas en dominios de procesos. La Gestión de Configuraciones, es uno de los procesos pertenecientes al dominio Construir, Adquirir e Implementar, denominada BAI010, Administrar la Configuración en el marco de COBIT, y se describe como sigue: “Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la
configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido‖.(Institute, 2007)
Esto se logra a través del establecimiento de un repositorio central de elementos de la configuración, la identificación de los elementos de configuración y su mantenimiento y la revisión de la integridad de estos datos. Los objetivos de control definidos para ello son:
Repositorio y Línea Base de Configuración
Establecer una herramienta de soporte y un repositorio central que contenga toda la información relevante sobre los elementos de configuración. Monitorear y grabar todos los activos y los cambios a los activos. Mantener una línea base de los elementos de la configuración para todos los sistemas y servicios.
Identificación y Mantenimiento de Elementos de Configuración
Establecer procedimientos de configuración para soportar la gestión y rastreo de todos los cambios al repositorio de configuración. Integrar estos procedimientos con la gestión de cambios, gestión de incidentes y procedimientos de gestión de problemas.
Revisión de Integridad de la Configuración
Revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual e histórica. Revisar periódicamente el software instalado contra la política de uso de software. Reportar, actuar y corregir errores y desviaciones.( IT Governance Institute, 2007) ISO/IEC 20000 Es el estándar reconocido para la calidad en gestión de servicios de TI. La norma se alinea al marco de trabajo de buenas prácticas en materia de gestión de TI y define un conjunto de especificaciones a ser cumplimentadas por las organizaciones que pretenden una gestión de TI de alta calidad. El estándar está organizado en las siguientes cinco partes: 1. ISO/IEC 20000-1: 2011 — Requerimientos del Sistema de Gestión de Servicios. 2. ISO/IEC 20000-2: 2012 — Guías de aplicación de Sistemas de Gestión de Servicios 3. ISO/IEC 20000-3:2012 — Guías de Definición de alcance y aplicabilidad de ISO/IEC 20000-1
4. ISO/IEC TR 20000-4: 2010 — Modelo de Referencia de Procesos 5. ISO/IEC TR 20000-5: 2010 — Ejemplo de Plan de Implementación de ISO/IEC 20000-1.(Kunas, 2012) La especificación de la norma (20000-1) define un objetivo para cada una de las secciones de los procesos que la componen (Jan van Bon, 2008). En su sección 9.1 aborda la Gestión de Configuración y su objetivo como: ―Definir y controlar los componentes del servicio y de la infraestructura y mantener información precisa sobre la configuración‖. En la norma se expresa que: -
Debe existir una visión integrada para la planificación de la gestión de cambios y de la configuración.
-
Debe existir una política que defina que se considera como elemento de configuración y qué componentes lo constituyen.
-
Se debe definir la información que se debe registrar para cada elemento, y se deben incluir las relaciones y la documentación necesaria para la Gestión efectiva del Servicio.
La gestión de la configuración debe proporcionar los mecanismos para identificar, controlar y hacer el seguimiento de las versiones de los componentes identificables del servicio y de la infraestructura. Se debe asegurar que el grado de control es suficiente para cubrir las necesidades del negocio, los riesgos de fallo y la criticidad del servicio. Los cambios en los elementos de configuración deben ser fáciles de identificar y auditables cuando sea apropiado, por ejemplo para cambios y movimientos en el software y el hardware. Los procedimientos de control de configuración deben asegurar que se mantiene la integridad de los sistemas, servicios y componentes de servicio. Todos los elementos de configuración deben ser identificables de manera única, y registrados en la base de datos de gestión de la configuración, cuyo acceso para actualizaciones se debe controlar de manera estricta. Debe establecerse una línea de referencia de los elementos de configuración correspondientes. La base de datos de la gestión de la configuración se debe gestionar y verificar activamente para asegurar su fiabilidad y precisión. El estado de los elementos de configuración, sus versiones, ubicación, cambios y problemas relacionados, así como la documentación asociada deben estar visibles para quienes lo requieran.
Los procedimientos de auditoría de la configuración deben incluir el registro de deficiencias, el lanzamiento de acciones correctivas y la comunicación de su resultado. ITIL La Biblioteca de Infraestructura de Tecnologías de la Información (ITIL por sus siglas en inglés), constituye un conjunto de publicaciones de mejores prácticas para la gestión de servicios de TI. ITIL se ha constituido como el estándar de facto global para la Gestión de los Servicios de las Tecnologías de la Información. Su marco de trabajo se basa en el ciclo de vida del servicio y dicho ciclo consta de cinco etapas (estrategia del servicio, diseño del servicio, transición del servicio, operación del servicio y mejora continua del servicio). Existe una serie de publicaciones complementarias de ITIL que proporcionan orientación específica para sectores de la industria, tipos de organización, modelos operativos y arquitecturas de tecnología.("ITIL® Español (Latinoamericano) glosario," 2011). El éxito de ITIL está basado en los siguientes factores: -
Es independiente del vendedor: es aplicable a cualquier organización, pues no se basa en una plataforma tecnología o industrial específica.
-
No es prescriptiva: ofrece prácticas robustas y probadas, que pueden ser aplicadas en cualquier tipo de organización, estas pueden ser adoptadas y adaptadas a las necesidades de las organizaciones y sus clientes.
-
Mejores prácticas: Representa el conocimiento y la experiencia acumulados por empresas líderes en la prestación de servicios.
En ITIL, cuando se definen los objetivos de la gestión de configuración se indica que para una gestión efectiva y eficiente es necesario controlar la infraestructura y los servicios. Para ello la gestión de la configuración proporciona un modelo de la infraestructura o del servicio que permite la identificación, control, mantenimiento y verificación de los elementos de configuración (Configuration Ítems: CIs). (Office of Government Commerce, 2000) Según el glosario de ITIL 2011, se denominan elementos de configuración a cualquier componente u otro activo de servicio que debe ser gestionado o administrado con el fin de entregar un servicio de TI. Los elementos de configuración por lo general incluyen servicios de TI, hardware, software, edificios, personas y documentación formal como documentación del proceso y los acuerdos de niveles de servicio.("ITIL® Español (Latinoamericano) glosario," 2011). Estos deben estar bajo el control de la gestión de cambios.
El proceso de gestión de la configuración se apoya en la llamada base de datos de configuración (CMDB) cuya principal característica, es la capacidad de almacenar información sobre las relaciones entre los distintos elementos de configuración y sobre los artefactos de procesos relacionados con estos. ITIL reconoce que la práctica en las organizaciones es la existencia de otros repositorios para la gestión de la configuración, además de la CMDB, pero es esta la que tiene que mantener las relaciones entre los CIs y estos repositorios externos, utilizando para ello artefactos de procesos. El ámbito de los elementos incluidos en la CMDB y el detalle de información registrada sobre cada elemento depende de cada organización, adaptándose a la información requerida por los distintos procesos a los que la CMDB da soporte. Al conjunto de repositorios que soportan la gestión de configuración se denomina Sistema de Gestión de la Configuración (Configuration Management System: CMS. La definición exacta según el Glosario de ITIL 2011 es la de ―un conjunto de herramientas, datos e información utilizado para soportar la gestión de activos de servicio y configuración. El CMS es parte de un sistema de gestión general del conocimiento del servicio e incluye herramientas para recopilar, almacenar, gestionar, actualizar, analizar y presentar datos acerca de todos los elementos de configuración y sus relaciones. El CMS también puede incluir información acerca de incidentes, problemas, errores conocidos, cambios y liberaciones. El CMS es mantenido por la gestión de activos de servicio y configuración y es utilizado por todos los procesos de gestión de servicios de TI.‖("ITIL® Español (Latinoamericano) glosario," 2011). Alineado a este último concepto y utilizando los que se han definido a lo largo de la investigación, se define entonces un sistema de gestión de configuración como un sistema de gestión de información, formado por un conjunto de herramientas para recopilar, almacenar, controlar, actualizar, analizar y presentar datos e información acerca de todos los elementos de configuración y sus relaciones, de forma que puedan ser utilizados en los procesos de gestión de servicios de las TI. Caracterización del Sistema de Gestión de la Configuración El sistema de gestión de la configuración (CMS) da soporte a los distintos procesos y funciones que forman la gestión de servicio. Su propósito es asegurar que los activos necesarios para los servicios de TIC están debidamente controlados, proporcionar información precisa a todos los procesos que la necesiten sobre los elementos de configuración (CI) y sus relaciones en un modelo lógico y que esta información esté disponible en el momento en que se la necesite (COBIT 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa. Rolling Meadows, IL, EE.UU: ISACA., 2012).
El CMS comprende básicamente cuatro tareas: Identificación: la especificación e identificación de todos los componentes de TI y su inclusión en una base de datos, la base de datos de gestión de la configuración (CMDB). La CMDB es algo más que un simple ―registro de activos‖ y contiene información relacionada con el mantenimiento, el traslado y los problemas encontrados con los elementos de configuración. Control: la gestión de cada uno de esos elementos de configuración, especificando quién está a cargo del mismo, y estableciendo el nivel de aprobación de cambios en estos. Estado: el registro de estado de todos los elementos de configuración en la CMDB y el mantenimiento de esta información. Verificación: la revisión, auditoría y actualización de la información que contiene la CMDB. La CMDB alberga una mayor variedad de información sobre los elementos de los que dependen los servicios de TI de la organización, incluido el hardware, el software, la documentación y las personas. MATERIALES Y MÉTODOS En el transcurso de la investigación se utilizaron los siguientes métodos investigativos, que pueden dividirse en: Métodos teóricos: Análisis – Síntesis. Se descompone el Problema de la Gestión de las configuraciones en las fases o partes que componen el proceso para su análisis y profundizar en cada una de las y posibles soluciones de cada uno de ellos y luego sintetizarlos en una solución completa al problema. Método lógico - inductivo al obtener resultados sobre el estado del control de las TIC de la empresa y las manifestaciones del problema a partir del estudio de las encuestas y la guía de observación. Histórico – lógico deductivo en el estudio y análisis de la bibliografía y normas sobre las mejores prácticas establecidas para la de Gestión de las Configuraciones de TIC., búsqueda y análisis de las herramientas existentes para y el estado actual del mismo en la empresa y utilizar luego estos como punto de referencia y comparación para el estudio de las posibles herramientas a desarrollar. Hipotético-deductivo: En la elaboración de la hipótesis de la investigación y para proponer nuevas líneas de trabajo a partir de los resultados parciales que se fueron obteniendo en la búsqueda de soluciones Método sistémico: En el proceso de desarrollo del producto informático el cual integra todas sus partes como un sistema integral.
Dialéctico: En el análisis del problema se identifican sus partes fundamentales, analizando todos los aspectos del mismo como un todo con sus relaciones. Método de la Modelación: Se crearon los modelos, con la información adquirida a través de la aplicación de varias técnicas, con el objetivo de tener una mejor comprensión del problema utilizando la metodología UML para la modelación.
Métodos empíricos Observación simple, abierta y participativa pues el investigador participa como parte del grupo de TIC de la empresa y los integrantes del grupo son conscientes de que son parte de una investigación. Matemáticos-estadísticos: en el procesamiento de las encuestas y para la validación de los resultados de la investigación. Métodos de Medición en el procesamiento de las encuestas realizadas y la obtención de resultados sobre el estado actual de la empresa y en la validación de los resultados finales. Las técnicas utilizadas fueron la observación, la entrevista y la encuesta.
RESULTADOS Se implementó una aplicación web que permiten interactuar con la información a través de una conexión a internet o intranet además a interfaz de la aplicación está basada en los estándares de los sistemas de gestión de la configuración. Se utilizó como lenguaje de programación Visual Basic.Net, con el entorno de desarrollo Visual Studio 2010, y el motor de base de datos Microsoft SQL Server 2008 para el almacenamiento y gestión de los datos. La ventana principal de la aplicación presenta un cuadro de mando con el estado actual de los Elementos de Configuración.
Figura 1.1. Ventana de cambios del Sistema (izquierda) y Reporte detallado de un Elemento de Configuración (derecha) CONCLUSIONES El uso de las metodologías existentes para la Gestión de las TIC en las empresas es cada vez más un imperativo si se quiere lograr que estas sean fuente de valor agregado a las empresas. El estudio de las metodologías ITIL, CobiT, la norma ISO/IEC 20000 sobre calidad del servicio de TIC y su implantación en las empresas cubanas resulta en nuestros días una necesidad y un reto para las empresas. El estudio reveló que sin una adecuada gestión de las mismas TICs, todos los procesos en las que intervienen las TIC, se pueden ver afectados, con la consiguiente deficiencia en el servicio brindado por estas. Mediante el uso de la metodología RUP y el estudio a fondo del sistema, se pudo llevar a cabo el ciclo completo de desarrollo de un sistema que cumpliera con los requerimientos determinados en el transcurso del proceso. La aplicación del sistema Informático para la Gestión de Configuraciones mejora de manera efectiva la gestión del grupo de Informática, con una mayor rapidez de respuesta, mejor conocimiento de la infraestructura, mejor planificación en los servicios y presupuestos. El estudio realizado demuestra que la gestión de las configuraciones es un proceso flexible y adaptable a las condiciones de cualquier entorno. La aplicación de las metodologías de evaluación arrojó como resultado que el sistema realizado cumple con los objetivos planteados al inicio de la investigación y con las
métricas asociadas al proceso de gestión de configuraciones y con los estándares de calidad aplicados. REFERENCIAS BIBLIOGRÁFICAS 1. Bologna, J., & Walsh, A. M. . (1996). The Accountant´s Handbook of Information Technology (Vol. I). New York: John Wiley & Sons, Inc. 2. Chiavenato, I. (2004). Introducción a la Teoría General de la Administración (7 ed.): McGraw-Hill Interamericana. 3. Hitt Michael, B. S., Porter. (2006). Administración (9 ed.): Pearson Educación. 4. (COBIT 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa. Rolling Meadows, IL, EE.UU: ISACA., 2012) 5. (ITIL Service Transition. (2011). In Crown (Eds.) , 2011)ITIL® Español (Latinoamericano) glosario. (2011). AXELOS Limited 2011. 6. Merriam-Webster. (Ed.) (2014) Merriam-Webster. Merriam-Webster.com. 7. Stair, R. M., Reynolds, G. W. (2000). Principios de sistemas de información. Enfoque administrativo. (4 ed.): Internacional Thomson Editores S.A. 8. ITIL® Español (Latinoamericano) glosario. (2011). AXELOS Limited 2011. 9. Office of Government Commerce, O. (2000). ITIL Service Support In Crown (Eds.) 10. IT Governance Institute. Ed. (2007). COBIT® 4.1. Rolling Meadows, IL 60008 EE.UU., IT Governance Institute.