FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE …

FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE

SEGURIDAD INFORMÁTICA BRINDADOS POR INDRA-COLOMBIA MEDIANTE

LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE

DE BOGOTÁ.

IAN FELIPE MARTINEZ RODRIGUEZ

OMAR ALFREDO RODRIGUEZ MANCERA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD INGENIERÍA

INGENIERÍA DE SISTEMAS

BOGOTÁ

2019

FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE


LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE DE

BOGOTÁ.

IAN FELIPE MARTINEZ RODRIGUEZ

OMAR ALFREDO RODRIGUEZ MANCERA

MODALIDAD DE GRADO SEMINARIO DE PERFECCIONAMIENTO

REQUISITO PARA OBTENER EL TÍTULO DE INGENIERO DE SISTEMAS

DIRECTOR

ING. EDWIN ALEXANDER WALTEROS GARCÍA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD INGENIERÍA

INGENIERÍA DE SISTEMAS

BOGOTÁ

2019

NOTA DE ACEPTACIÓN

.

.

.

.

.

.

PRIMER JURADO

Bogotá, Marzo, 2019

AGRADECIMIENTOS

Queremos agradecer en primer lugar a Dios, por guiarnos en el camino y

fortalecernos espiritualmente para empezar un camino lleno de éxito.

Queremos mostrar nuestra gratitud a todas aquellas personas que estuvieron

presentes en la realización de esta meta, de este sueño que es tan importante para

nosotros, agradecer todas sus ayudas, sus palabras motivadoras, sus

conocimientos, sus consejos y su dedicación.

Mostramos los más sinceros agradecimientos a nuestro tutor de proyecto, quien con

su conocimiento y su guía fue una pieza clave para poder desarrollar este trabajo.

A todos los compañeros, quienes a través de tiempo fuimos fortaleciendo una

amistad y creando una familia, muchas gracias por toda su colaboración, por

compartir experiencias, alegrías, frustraciones, llantos, tristezas, peleas,

celebraciones y múltiples factores que ayudaron a que hoy seamos como una

familia, por aportarnos confianza y por crecer juntos en este proyecto, muchas

gracias.

Por último, queremos agradecer a la base de todo, a nuestras familias, en especial

a nuestros padres, que quienes con sus consejos fueron el motor de arranque y una

constante motivación, muchas gracias por su paciencia y comprensión, y sobre todo

por su amor.

CONTENIDO 1. DESCRIPCIÓN DEL PROBLEMA ......................................................................................... 2

1.1 FORMULACIÓN DEL PROBLEMA ............................................................................ 2

1.2 OBJETIVOS.................................................................................................................. 4

1.2.1 OBJETIVO GENERAL ............................................................................................... 4

1.2.2 OBJETIVOS ESPECÍFICOS ..................................................................................... 4

2. MARCOS DE REFERENCIA ................................................................................................. 5

2.1 MARCO TEORICO ........................................................................................................... 5

2.1.1 ITIL .............................................................................................................................. 5

2.1.1.1 FASES DEL CICLO DE VIDA DETERMINADAS EN ITIL V3 ......................... 7

2.1.2 SCRUM ..................................................................................................................... 22

2.1.2.1 PRINCIPIOS DE SCRUM ................................................................................ 22

2.1.2.2 EVENTOS SCRUM ........................................................................................... 23

2.2 MARCO INSTITUCIONAL .............................................................................................. 24

2.2.1 INDRA ....................................................................................................................... 25

2.2.1.1 PROPOSITOS Y VALORES ............................................................................ 25

2.2.1.2 SERVICIOS Y PRODUCTOS .......................................................................... 26

3. METODOLOGÍA.................................................................................................................... 28

3.1 POBLACIÓN .................................................................................................................... 29

3.2 TECNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN ...................................... 29

3.3 TÉCNICAS, HERRAMIENTAS Y MÉTODOS PARA EL DISEÑO E IMPLEMENTACIÓN DE LOS SISTEMAS DE GESTION. ................................................. 32

4. DIAGNOSTICO ..................................................................................................................... 34

4.1 DIAGNOSTICO DE LAS CONDICIONES ACTUALES ............................................... 34

4.2 DETERMINACIÓN DE FACTORES CRITICOS .......................................................... 39

4.3 IDENTIFICACIÓN DE HALLAZGOS SIGNIFICATIVOS ............................................. 40

5. FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE SEGURIDAD INFORMÁTICA BRINDADOS POR INDRA-COLOMBIA MEDIANTE LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE DE BOGOTÁ .................................................................................................................................... 41

5.1 PLAN DE MEJORAMIENTO .......................................................................................... 41

6. CONCLUSIONES ................................................................................................................. 46

7. RECOMENDACIONES ........................................................................................................ 47

BIBLIOGRAFIA .......................................................................................................................... 48

INDICE DE ILUSTRACIONES

Ilustración 1 Ciclo de vida ITIL Ciclo de vida del servicio. ........................................ 6

Ilustración 2 Las 4p del diseño ................................................................................. 8

Ilustración 3 Catálogo de Servicios .......................................................................... 9

Ilustración 4 Niveles de Servicio ........................................................................... 10

Ilustración 5 Indicadores ANS ................................................................................ 11

Ilustración 6 Procesos de la transición del servicio ................................................ 13

Ilustración 7 Gestión del Conocimiento ................................................................. 13

Ilustración 8 Modelo DIKW..................................................................................... 14

Ilustración 9 Transición del Servicio ....................................................................... 15

Ilustración 10 Procesos de la transición del servicio .............................................. 17

Ilustración 11 Ciclo Deming ................................................................................... 18

Ilustración 12 Proceso de mejora continua ............................................................ 20

Ilustración 13 Pasos para la mejora continua ........................................................ 21

Ilustración 14 Principios De Scrum ........................................................................ 22

Ilustración 15 Eventos Scrum ................................................................................ 23

Ilustración 16 Planteamiento De Hallazgos............................................................ 31

Ilustración 17 Modelo de operación del I-CSOC .................................................... 36

INDICE DE TABLAS

Tabla 1 Estrategia del servicio ................................................................................. 8

Tabla 2 Procesos de la estrategia del servicio. ...................................................... 12

Tabla 3 Transición Del Servicio ............................................................................. 14

Tabla 4 Operación Del Servicio ............................................................................. 16

Tabla 5 Procesos para la mejora continua de los servicios ................................... 19

Tabla 6 Ciberseguridad .......................................................................................... 27

GLOSARIO

ANS: Acuerdo de nivel de servicio (en inglés Service Level Agreement o SLA), es

un acuerdo escrito entre un proveedor de servicio y su cliente con objeto de fijar el

nivel acordado para la calidad de dicho servicio1.

BRIEF: Es un documento, simplificado en lo más posible, que sirve como punto de

partida y referencia para iniciar el proceso creativo de una campaña2.

CIBERSEGURIDAD: Es la Protección de activos de información, a través del

tratamiento de amenazas que ponen en riesgo la información que es procesada,

almacenada y transportada por los sistemas de información que se encuentran

interconectados3.

CONFIDENCIALIDAD: Propiedad que determina que la información no esté

disponible ni sea revelada a individuos, entidades o procesos no autorizados4.

EFICACIA: Nivel de consecución de metas y objetivos. La eficacia hace referencia

a nuestra capacidad para lograr lo que nos proponemos5.

EFICIENCIA: Es la relación entre los recursos utilizados en un proyecto y los logros

conseguidos con el mismo. Se entiende que la eficiencia se da cuando se utilizan

menos recursos para lograr un mismo objetivo. O, al contrario, cuando se logran

más objetivos con los mismos o menos recursos6.

IMPLEMENTACIÓN: Una implementación es la ejecución u/o puesta en marcha de

una idea programada, ya sea, de una aplicación informática, un plan, modelo

científico, diseño especifico, estándar, algoritmo o política7.

INCIDENTE: Interrupción no planificada de un servicio, reducción en la calidad de

un servicio o un evento que aún no ha tenido impacto en el servicio para el cliente8.

INTEGRIDAD: Propiedad de salvaguardar la exactitud y estado completo de los

activos9.

METODOLOGÍA: Se define como el grupo de mecanismos o procedimientos

racionales, empleados para el logro de un objetivo, o serie de objetivos que dirige

una investigación científica10.

NOC: Es un Centro de Operaciones de Red cuyas siglas en inglés corresponden a

Network Operation Center, son los encargados de garantizar la disponibilidad de las

plataformas, así como la seguridad de infraestructuras y servicios11.

PARTES INTERESADAS (stakeholders): Personas y organizaciones que están

activamente involucradas en el proyecto, o cuyos intereses pueden ser negativa o

positivamente afectados como consecuencia de la ejecución del proyecto o de su

terminación12.

PHISHING: Técnica utilizada por los delincuentes para obtener información

confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito

haciéndose pasar por una comunicación confiable y legítima13.

PROCESO: Es un conjunto estructurado de actividades diseñadas para lograr un

objetivo específico. Tiene una o más entradas definidas y las transforma en salidas

definidas14.

PRODUCT BACKLOG: Es un listado de todas las tareas que se pretenden hacer

durante el desarrollo de un proyecto15.

PRODUCT OWNER (El gerente del producto): Su principal misión es encargarse

de que exista una priorización clara de los objetivos a conseguir, con el propósito

de maximizar el valor del trabajo que lleva a cabo el equipo16.

RIESGO: Es la incertidumbre del resultado, ya sea que se trate de una oportunidad

o de una amenaza. Requiere la identificación y el control de la exposición al riesgo,

el cual puede tener un impacto en el alcance de los objetivos de negocio en una

organización17.

SCRUM MASTER: Su principal misión es conseguir un equipo de alto rendimiento

(entendiendo como equipo al Equipo de desarrollo y al Cliente / Product Owner, así

como sus relaciones con la organización y stakeholders) 18.

SEGURIDAD DE LA INFORMACIÓN: Preservación de la confidencialidad,

integridad y accesibilidad de la información19.

SERVICE MAGNAMENT: Es la orientación de los esfuerzos de gestión hacia la

aplicación de servicios que beneficien a la organización20.

SERVICIO: Medio para entregar valor para el cliente facilitando los resultados que

el cliente quiere alcanzar21.

SERVICIO TI: Se define como servicios a los medios para entregar valor a los

clientes, facilitando sus tareas para obtener resultados, sin que ellos deban asumir

los costos específicos ni los riesgos asociados22.

SOC: Centro de Operaciones de Seguridad cuyas siglas en inglés que

corresponden con Security Operations Center, se encargan de mantener la

seguridad de la información en la organización También es el responsable de

realizar los cambios requeridos o necesarios en la infraestructura de seguridad.

Debe mantener la integridad, disponibilidad y confidencialidad de los recursos23.

SPAM: Son los mensajes no solicitados, no deseados o de remitente desconocido

y que son sumamente molestosos24.

SPRINT: Es un intervalo prefijado durante el cual se crea un incremento de producto

"Hecho o Terminado" utilizable, potencialmente entregable. A lo largo del desarrollo

hay Sprints consecutivos de duración constante25.

TIC: Es la abreviatura de Tecnologías de la Información y la Comunicación, son el

conjunto de tecnologías desarrolladas en la actualidad para una información y

comunicación más eficiente, las cuales han modificado tanto la forma de acceder al

conocimiento como las relaciones humanas26.

1

INTRODUCCIÓN

Actualmente los Sistemas de Gestión Tecnológica se entienden como las prácticas

que integran el conocimiento con los procesos mediante el uso de tecnologías, con

el fin de dar cumplimiento a objetivos estratégicos previamente definidos. De ahí

deriva la importancia de tener claridad sobre el diseño, la transición y la operación

de los diferentes servicios que una compañía pueda prestar, en este caso puntual

haciendo referencia a las Tecnologías de la Información y la Comunicación.

De igual manera los diferentes Sistemas de Gestión Tecnológica se enfocan en la

correcta administración de recursos para generar innovación y valor agregado en

los servicios, de tal manera que el desarrollo del negocio propuesto sea cumplido a

cabalidad a través de la tecnología como principal medio.

Ahora bien, Indra al ser una empresa Multinacional enfocada en la prestación de

diversos servicios mediante las telecomunicaciones, ha adoptado los Sistemas de

Gestión Tecnológica de tal forma que ha logrado sobresalir en el mercado y ser

referencia en la implementación de la tecnología como parte de la transición,

integración y el mejoramiento continuo en la gestión de negocio.

Uno de los principales servicios desarrollados por Indra para ser ofrecido a los

diferentes targets interesados, está determinado en el brief de la seguridad

informática. Este servicio fue elaborado dentro de los lineamientos de los Sistemas

de Gestión Tecnológica y ha sido implementado mediante los tres Centros de

Operaciones de Ciberseguridad de Indra (I-CSOC) establecidos a nivel mundial;

estando situados geográficamente en Madrid - España, Bogotá - Colombia y Ciudad

de México – México, catalogados y clasificados jerárquicamente en ese orden.

A través de este servicio, se ha logrado hacer acreedores a varias grandes marcas

y proyectos de importancia en el mercado, sin embargo, en la transición del diseño

a la operación se han notado varias posibles mejoras a implementar. Por lo que se

ha buscado la forma correcta de relacionar el conocimiento obtenido mediante la

experiencia y las bases fundamentales teóricas, con el propósito de dar una gestión

valida y específica en los procesos de mejora continua del servicio

2

1. DESCRIPCIÓN DEL PROBLEMA

1.1 FORMULACIÓN DEL PROBLEMA

Indra es una de las principales compañías globales de tecnología y consultoría, siendo un socio tecnológico para las operaciones clave de los negocios de sus clientes en todo el mundo. Es un proveedor líder mundial de soluciones propias en segmentos específicos de los mercados de Transporte y Defensa, y la empresa líder en consultoría de transformación digital y Tecnologías de la Información en España y Latinoamérica a través de su filial Minsait. Su modelo de negocio está basado en una oferta integral de productos propios, con un enfoque end-to-end, de alto valor y con un elevado componente de innovación1. Se radicó en Colombia hace más de veinte años y se ha convertido en una de las principales compañías aliadas del gobierno y diversos sectores que buscan implementar soluciones mediante la tecnología. Desde hace poco más de tres años desde la administración de soluciones mundial, se tomó la decisión de implementar el Segundo Centro de Operaciones de Ciberseguridad de Indra a nivel mundial (I-CSOC) en Bogotá, Colombia, teniendo como antecedente el éxito que tuvo el I-CSOC de Madrid, España.

A través de la implementación de este proyecto, se evidenciaron necesidades

como la creación de un Centro de Operaciones de Red (NOC) para monitorear

toda la infraestructura física, el comportamiento de las comunicaciones y la

seguridad física sobre los dispositivos que componen la arquitectura de los

diversos proyectos, así como la organización correcta de una serie de analistas

de seguridad, que mediante sus conocimientos implementados a través de

procesos, fueran capaces de solucionar las diversas situaciones que se pudiesen

llegar a presentar en cuanto a la gestión de atención frente a Incidentes y

Requerimientos de seguridad expresados por los debidos usuarios finales.

1 Indra: Indra Company [en línea] [Consultado: 01 de marzo de 2019] Disponible en internet https://www.indracompany.com/

3

Es necesario comprender que todos y cada uno de los proyectos y servicio

desarrollados e implementados por Indra junto con sus debidos procesos y

operaciones están determinadas bajo el marco de la implementación de buenas

prácticas de ITIL V3 y regulados por la norma ISO/IEC 20000, marcos que hacen

énfasis en la constante mejora continua en función del tiempo y los resultados

obtenidos.

Indra, al ser una empresa prestadora de servicios referentes a TI, se ha

encargado de certificarse en la norma ISO/IEC 20000, norma regida por

ICONTEC y valida a nivel internacional. La norma ISO/IEC 2000 utiliza un

enfoque exhaustivo de la gestión de servicios de TI y define un conjunto de

procesos necesarios para ofrecer un servicio efectivo.2

Ahora bien, los servicios determinados por Indra para ser operados por el I-

CSOC, son servicios de seguridad informática y de la información relacionados y

adjudicados por la compañía, los cuales son recibidos por una línea de analistas

de seguridad, una base de especialistas Junior y una fortaleza de especialistas

de infraestructura. Equipo de trabajo que diariamente atienden las diferentes

incidencias y solicitudes entrantes, encargándose de gestionarlas de manera

correcta y de validar que en lo posible éstas sean mitigadas.

Sin embargo, se ha evidenciado durante la prestación del servicio a través del

tiempo, diferentes falencias al nivel de los analistas de seguridad frente a los

resultados esperados, la integración del grupo y la falta de implementación del

proceso de mejora continúa.

Por lo que, con este trabajo se pretende realizar la formulación de una serie de

cambios para mitigar la problemática evidenciada, la cual está acreditada

principalmente al grupo de analistas de seguridad, problemática contextualizada

en:

¿Qué acciones de mejora se pueden implementar basadas en el proceso de

mejora continua desarrollado por ITIL V3 sobre los procesos ejecutados por los

analistas de seguridad del I-CSOC de Bogotá, adaptando la metodología de

Scrum para evidenciar mejores resultados frente al servicio prestado?

2 Iso 20000: DNGV [en línea] [Consultado: 03 de marzo de 2019] Disponible en internet https://www.dnvgl.es/services/iso-20000-gestion-de-servicios-de-ti-tecnologias-de-la-informacion--3347

4

1.2 OBJETIVOS

1.2.1 OBJETIVO GENERAL

Formular acciones de mejora mediante la implementación de la metodología de

Scrum y el proceso de mejora continua determinado por el marco de desarrollo de

buenas prácticas ITIL V3, para evidenciar una evolución en el servicio prestado por

los analistas de seguridad en el I-CSOC (Centro de Operaciones de Ciberseguridad

de Indra) de Bogotá, Colombia.

1.2.2 OBJETIVOS ESPECÍFICOS

❖ Adecuar la fase de mejora continua definido en el ciclo de vida del servicio

dictaminado por ITIL V3, sobre los servicios prestado por el grupo de

analistas del I-CSOC

❖ Proponer correcciones sobre los procesos ejecutados por el grupo de

analistas de seguridad del I-CSOC

❖ Adaptar la metodología de Scrum a los procesos desarrollados por el grupo

de analistas del I-CSOC

❖ Definir responsabilidades y responsables frente a operaciones, así como

sistemas de medida y métricas proyectadas

5

2. MARCOS DE REFERENCIA

2.1 MARCO TEORICO

2.1.1 ITIL

ITIL nace del acrónimo de Biblioteca de Infraestructura de Tecnologías de la

Información (por sus siglas en inglés, Information Technology Infrastructure Library)

y se define como un conjunto de conceptos y buenas prácticas usadas para

la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías

de la información y las operaciones relacionadas con la misma3

ITIL debe ser entendido cómo un marco de referencia no solo frente a las buenas

prácticas, sino que también hace énfasis en la administración de servicios de

Tecnologías de la Información TI. Es ideal tener como punto de referencia para el

entendimiento del mismo qué se entiende por administración de servicios y

claramente qué se entiende por servicios.

Para ITIL un servicio es el medio para entregar valor a los clientes sin tener

exposición a costos y riesgos específicos, así mismo la administración de los

servicios son entendidas como un conjunto de habilidades organizacionales

especializada en proveer valor a los clientes en su respectiva forma de servicios.4

En efecto el servicio prestado debe ser el factor de más alta importancia en la

relación creada entre proveedor – cliente, sabiendo que en el caso específico de las

TI los servicios son conformados por una combinación de tecnologías, recursos y

procesos.

Para generar el cumplimiento del servicio prestado de cara al cliente, se hace

necesario garantizar el servicio contratado y definir el valor que el mismo genera

sobre la organización que lo adquirió

3 ¿QUÉ ES ITIL?: SEGURIDAD INFORMÁTICA [en línea] [Consultado: 05 de marzo de 2019]

Disponible en internet https://seguinfo.wordpress.com/2008/12/03/%C2%BFque-es-itil-2/

4 ITIL: TESIS: USO DEL CICLO DE VIDA DE ITIL PARA LA DOPCIÓN DE SERVICIOS EN LA NUBE PARA PYMES MEXICANAS: UNIVERSIDAD IBEROAMERICANA [en línea] [Consultado: 05 de marzo de 2019] Disponible en internet http://www.bib.uia.mx/tesis/pdf/015835/015835.pdf

6

Ahora bien, lo que se entiende por servicio dentro del marco referencial y

metodológico de ITIL está categorizado de la siguiente manera:

Servicio CORE: Se define como el servicio núcleo y está directamente

percibido por el cliente.

Servicio de Soporte: Se proporciona de manera paralela al Servicio, pero no

es evidente al cliente, su funcionalidad si bien tiene repercusiones y

consecuencias frente al servicio CORE, éste es trasparente a los ojos del

cliente

Servicios de Mejora: Se entiende como todos los agregados a un Servicio, y

si bien no son esenciales para la entrega del mismo, éste aumenta el valor

del servicio.

Los servicios de TI como cualquier otro tipo de servicios, debe contar con una

correcta administración para garantizar la entrega de valor que éste debe significar

en los clientes que decidan contratarlo. Si bien es cierto, el concepto de servicio de

TI puede ser muy subjetivo dependiendo de factores como el mercado, el contexto,

la demanda y el valor que se espera generar a través del mismo, para ITIL V3 está

determinado en crear una estrategia clara del servicio a prestar, diseñar el servicio,

realizar una transición del servicio, comenzar a operar el servicio establecido y

generar una constante y evidente mejora continua sobre el servicio, estos elementos

en la correcta configuración determinan el ciclo de vida del SERVICIO. Esto

desarrollado en el marco de las necesidades expresadas por el negocio o del

cliente.

Ilustración 1 Ciclo de vida ITIL Ciclo de vida del servicio. Fuente: https://www.servicetonic.es/itil/introduccion-a-itil-v3/

https://www.servicetonic.es/itil/introduccion-a-itil-v3/

7

2.1.1.1 FASES DEL CICLO DE VIDA DETERMINADAS EN ITIL V3

El ciclo de vida de un servicio puede ser entendido como un modelo de organización

enfocado en el valor que este debe generar en la organización a través de la

tecnología y los procesos de TI. De igual manera también se entiende como la

gestión estructurada sobre un servicio y el impacto que este genera sobre un

componente o sistema entero.

A este punto se hace necesario comprender que ITIL V3 como marco de referencia

sobre buenas prácticas está conformado por 5 Fases, que a su vez se estructuran

por medio de 26 procesos y que en sumatoria generar todo el ciclo de vida del

SERVICIO. Dicha estructuración está determinada de la siguiente manera:

2.1.1.1.1 ESTRATEGIA DEL SERVICIO

Esta fase se encarga de definir la perspectiva, la posición, los planes y patrones

que una organización debe ejecutar para convertirse en proveedora de un servicio,

y así dar cumplimiento a los resultados del negocio. (REFERENCIA)

Se compone por los primeros 5 (Cinco) Procesos definidos en ITIL V3:

PROCESO OBJETIVO

1) Gestión estratégica de los Servicios

Desarrollar la capacidad de pensar y actuar de una

manera estratégica para determinar qué servicios han de prestarse en pro de suplir una necesidad

2) Gestión de la demanda

Monitorizar y analizar los patrones de actividad del CORE de negocio con el fin de predecir de manera acertada una posible demanda sobre servicios específicos

3) Gestión del Portafolio

de Servicios

Definir el debido portafolio de servicios con el cual se pretender ser competente en el mercado, el cual debe incluir los servicios que se ofrecen, los mercados a los que se apunta, el target sobre el cual se ejecutarán y los factores diferenciadores

4) Gestión Financiera

Asegurar el correcto nivel de financiamiento para el diseño, desarrollo y entrega de los servicios que se brindan en el portafolio, asegurando únicamente la prestación de los mismos y teniendo como frente el Modelo de Inversión el cual debe ser argumentado y el ROI (Retorno Óptimo de la Inversión) estimado

8

5) Gestión de Relaciones del Negocio

Identificar la demanda establecida para cada servicio, desde los requerimientos para la prestación de los mismos, como el cumplimiento. Además, se encarga de establecer la relación Cliente – Proveedor basada en el entendimiento del cliente y su negocio, generando acuerdos sobre el servicio a dar.

Tabla 1 Estrategia del servicio Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos

2.1.1.1.2 DISEÑO DEL SERVICIO

La implementación de ITIL V3 como práctica a nivel de diseño del servicio va muy

de la mano con la preparación, planificación y uso eficiente y efectivo sobre las 4P:

Personas, Procesos, Producto y Socios

Ilustración 2 Las 4p del diseño

Fuente: Overti: http://ecitil.blogspot.com/2011/10/las-4p-del-diseno.html

http://ecitil.blogspot.com/2011/10/las-4p-del-diseno.html

9

En esta fase se involucran los 5 aspectos del diseño de un servicio

Solución del Servicio: Requisitos, recursos y capacidades funcionales

necesarios y acordados

Sistema de información gerencial y herramientas: Portafolio de Servicios

para la gestión y control de los servicios a lo largo del ciclo de vida

Arquitectura Tecnológica y de Gestión: Herramientas que se requieren

para proporcionar los servicios

Procesos: Los necesarios para el diseño, la transición, la operación y la

mejora continua

Métodos y Métricas: En función de los servicios, las arquitecturas y sus

principales componentes

(REFERENCIA)

Ésta fase está compuesta por los siguientes 8 (Ocho) Procesos definidos en ITIL

V3:

PROCESO OBJETIVO

6) Coordinación del diseño

Asegurar que la organización cumpla las metas y

objetivos del diseño de servicio proporcionado, manteniendo control sobre las actividades y procesos

7) Gestión Del Catálogo de Servicios (SCM)

Proveer y mantener una fuente de información para todos

los servicios producidos y en desarrollo, en dónde se describan los servicios de manera entendible al cliente y al personal no especializado. Debe estar disponible para todos aquellos interesados

Ilustración 3 Catálogo de Servicios

Fuente: Overti: http://www.overti.es/procesos-itsm/gestion-catalogo-servicios-itsm.aspx

10

8) Gestión de niveles del servicio (SLM)

Definir, documentar, acordar, monitorear, reportar y

revisar los niveles de servicio de TI ofrecidos, mediante el desarrollo de metas específicas y medibles a través del establecimiento mutuo de ANS (SLAs) Y KPI (OLAs)

Ilustración 4 Niveles de Servicio

Fuente: Osiatis- ITIL Gestión de servicios TI – Niveles de Servicio – Introducción y Objetivos

9) Gestión de Proveedores

Asegurar que los proveedores operan conforme los

objetivos incluidos en los contratos y acuerdos establecidos al mismo tiempo que se da cumplimiento a todos los términos y condiciones.

Se encarga de la relación existente entre los diferentes proveedores con los que se cuentan para la prestación del servicio.

Lo anterior en función de la calidad conforme el precio

acordado a través de los UC (Contrato de soporte)

10) Gestión de la Disponibilidad

Asegurar que la disponibilidad acordada en los niveles de

servicio a manera de cumplimiento y garantía. Optimizar y monitorear los servicios de TI en lineamiento

con los ANS (SLAs) definidos, mediante el cumplimiento de los siguientes indicadores

11

Ilustración 5 Indicadores ANS

Fuente: Overti: http://www.overti.es/procesos-itsm/gestion-catalogo-servicios-itsm.aspx

Proporcionar un punto de enfoque y gestión para todos los asuntos relacionados con la disponibilidad del servicio y lo que se haya definido dentro de la misma.

11) Gestión de la Capacidad

Asegurar que la capacidad de los servicios de TI y de la infraestructura de TI cumplen con los requerimientos de capacidad y rendimiento en tiempo y forma, de acuerdo a lo establecido.

Alcanzar y cubrir las necesidades actuales y futuras de acuerdo a la capacidad y rendimiento establecido y proyectado.

Gestionar la demanda de los servicios

12) Gestión de la Continuidad de Servicios de TI

Soportar el proceso general de la Gestión de la continuidad del negocio, al asegurarse que las instalaciones técnicas lógicas que componen el servicio no generen una interrupción de manera imprevista y puedan reanudarse dentro de los tiempos establecidos sin tener afectación sobre el usuario.

La continuidad del servicio es igual a la continuidad del negocio

13) Gestión de Seguridad de la Información

Alinear la seguridad de TI con la seguridad del negocio Apoyándose en la triada de la seguridad

Confidencialidad: la información debe ser solo

accesible a sus destinatarios predeterminados Integridad: la información debe ser correcta y

completa.

http://www.overti.es/procesos-itsm/gestion-catalogo-servicios-itsm.aspx

12

Disponibilidad: se debe tener accesos a la información cuando se necesite.

Proteger los intereses de aquellos que dependen de la

información, los sistemas y las comunicaciones que se generan mediante el manejo de la misma

Crear Políticas y planes de seguridad para el negocio y su

data

Tabla 2 Procesos de la estrategia del servicio. Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos

2.1.1.1.3 TRANCISIÓN DEL SERVICIO

La transición del servicio mencionada en ITIL V3 está basada en permitir que los

servicios definidos y establecidos en la fase de DISEÑO DEL SERVICIO se

integren a través de la producción.

La transición del servicio también debe ser entendida como la garantía existente

entre los recursos que se planifican y coordinan adecuadamente para dar

cumplimiento a cabalidad sobre las especificaciones destinadas en el diseño

Por lo cual en esta fase se planifican todos los procesos de transición necesarios

sobre los servicios y la coordinación de los recursos que estos requieren

En esta fase se desarrollan los siguientes 7 (Siete) procesos definidos en ITIL V3

PROCESO OBJETIVO

14) Planificación y soporte de la transición

Planificar todos los procesos de transición de los servicios

y de la coordinación de los recursos que requieren para hacer efectiva la transición del diseño a la operación

15) Gestión De activos de servicio y configuración

Asegurar que los activos requeridos para entregar el

servicio estén debidamente controlados Asegurar que la información sobre los activos es precisa y

confiable, además de garantizar la disponibilidad de la misma cuándo y dónde se necesite

La información mencionada debe ser detallada junto con su configuración y relaciones, esto con el fin de poderlos auditar de manera correcta. La información debe reposar

13

en una BASE DE DATOS (CMDB Integrada) que contiene todos los CI (Configuración Ítems)

16) Gestión de Cambios

Controlar el ciclo de vida de todos los cambios,

permitiendo que se realicen cambios que son beneficiosos y minimizando la irrupción del servicio de TI

Supervisar y aprobar la introducción o modificación sobre

servicios prestados, garantizando que todos los cambios se encuentren planificados, evaluados, probados, implementados y documentados mediante la implementación de (RFC’s) Solicitudes de cambios

Mitigar el mayor porcentaje de riesgos al establecer

cambios Garantizar un Roll back en caso de que un cambio no

funcione de acuerdo a lo proyectado

17) Gestión de Liberación e implementación

Planificar, programar y controlar la construcción, prueba e

implementación de liberaciones de nuevos versionamientos sobre los servicios prestados

Proteger la integridad de los servicios previamente existentes y en producción

Ilustración 6 Procesos de la transición del servicio

Fuente: It-processmaps: https://www.servicetonic.es/itil/6-itil-transicion-de-servicios/

18) Gestión del Conocimiento

Compartir perspectivas, ideas, experiencias e información Asegurar que la información está disponible en el lugar

designado y en el momento adecuado– Repositorio- Evitar realizar reprocesos en la documentación Promover la correcta toma de decisión basados en la

información existente (Base de datos SKMS)

Ilustración 7 Gestión del Conocimiento

Fuente: It-processmaps: https://www.servicetonic.es/itil/6-itil-transicion-de-servicios

14

Ilustración 8 Modelo DIKW

Fuente: It-processmaps: http://borradoresynotas.blogspot.com/2016/03/modelo-dikw.html

19) Validación y Pruebas del Servicio

Garantizar el funcionamiento sobre los nuevos versionamientos de los servicios implementados cumplan con los requisitos mínimos de calidad acordados con el cliente

Comprobar que los cambios ejecutados no generarán incidencias ni afectaciones del servicio de manera inesperada cuando se encuentren en operación

20) Evaluación de Cambios

Verificar que los cambios implementados pueden ser evaluados bajo las métricas predefinidas con el cliente

Proporcionar los informes relacionados con los cambios implementados, los resultados obtenidos frente a los esperados, la alineación del negoció

Corroborar si se tuvo que hacer uso de los ROLL BACK para contrarrestar los cambios ejecutados y garantizar el servicio

Verificar si los RFC’s generados para los cambios pueden darse por cerrados y argumentar con evidencia valida el cierre de los mismos

Tabla 3 Transición Del Servicio Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos

15

En esta fase, la transición se ejecuta mediante una serie de procesos determinados

a continuación

Ilustración 9 Transición del Servicio Fuente: It-processmaps: http://wiki.es.it-processmaps.com/ITIL_Transici _del_Servicio [15]

2.1.1.1.4 OPERACIÓN DEL SERVICIO

La operación del servicio es considerada en ITIL V3 como la fase de mayor

relevancia y por ende la más crítica. En este punto del servicio se evalúa si

realmente el servicio está cumpliendo en dar valor al cliente y su negocio y es en

este punto en dónde realmente se mide la calidad del servicio ofrecido y alinea el

CORE del servicio con el del negocio involucrando a todas las partes interesadas

Esta fase está compuesta por los siguientes 5 (Cinco) procesos definidos en ITIL

V3

http://wiki.es.it-processmaps.com/ITIL_Transici%20_del_Servicio%20%5b15

16

PROCESO OBJETIVO

21) Gestión de Incidentes

Restaurar la operación normal del servicio afectado lo más rápido posible minimizando el impacto en el negocio y asegurando que se mantengan los niveles acordados de calidad y disponibilidad, entendiendo como Operación Normal del Servicio lo que se haya definido dentro de los ANS (SLA’s)

22) Gestión de Problemas

Gestionar el ciclo de vida de los problemas desde la identificación del mismo hasta una mayor investigación, documentación y eventual mente una mitigación Minimizando el impacto negativo problemas en la prestación del servicio

Buscar la causa exacta de todo tipo de alteración real y/o potencial del servicio para determinar las posibles soluciones de la misma

23) Gestión de Eventos

Gestionar los eventos durante su respectivo ciclo de vida, incluyendo las actividades para detectarlos (monitoreo y rastreo), pasando por la determinación del sentido que el evento generado tenga hasta llegar a la acción de control más apropiada para su correcto escalamiento o su tratamiento para mantener la normalidad de la operación

24) Gestión de Peticiones

Dar gestión y atención a todas y cada una de las peticiones generadas por los usuarios, proporcionando la información adecuada y dando un acceso efectivo, eficiente a los servicios de TI relacionados con la petición, manteniendo la satisfacción de los clientes

25) Gestión de Acceso

Brindar a los usuarios los permisos necesarios para acceder y hacer uso de los servicios ofrecidos en el catálogo de servicios y contratados

Tabla 4 Operación Del Servicio Fuente: Osiatis- ITIL Gestión de servicios TI – Estrategia de Servicio – Introducción y Objetivos

En esta fase se encuentran las únicas 4 (cuatro) funciones.

Entiéndase por función como toda actividad que debe ser ejecutada por funcionarios

–personas- los cuales se deben encargar de que los servicios logren su objetivo

propuesto

17

Ilustración 10 Procesos de la transición del servicio

Fuente: It-processmaps: http://wiki.es.it-processmaps.com/ITIL_Transici _del_Servicio

Service Desk: Es una unidad funcional compuesta por un número dedicado

de personal encargado de hacer frente a una variedad de actividades, de

servicios, por lo general realizadas a través de llamadas telefónicas,

interfaces web, o atención de eventos de infraestructura reportados. Son el

único punto de contacto con los usuarios

Gestión Técnica: Se encarga de planificar y mantener una infraestructura

técnica estable para soportar los procesos de negocio de la organización a

través del uso de habilidades técnicas

Gestión de la operación de TI: Mantiene el buen estado de los componentes

para lograr estabilidad en la operación diaria de los procesos y las actividades

de la organización. Realizan verificaciones y mejoras regulares sobre los

servicios

Gestión de Aplicaciones: Brindan soporte a los procesos de negocio de la

organización, ayudándolo a identificar peticiones funcionales y de

administración para las aplicaciones

http://wiki.es.it-processmaps.com/ITIL_Transici%20_del_Servicio

18

2.1.1.1.5 MEJORA CONTINUA DE LOS SERVICIOS

Esta es la última fase del ciclo de vida de un servicio y el último proceso estructurado

por ITIL V3. Con este se completan los 26 procesos antes mencionados.

En esta fase y proceso se busca mantener y mejorar todos los procesos y

actividades involucrados en la gestión y la prestación de los servicios de TI.

De Igual manera, es en este punto en dónde se realiza el soporte debido sobre las

fases de estrategia y diseño del servicio, para la creación de nuevos servicios,

procesos y actividades asociadas.

Todo esto se genera a través del ciclo DEMING, también conocido como el ciclo

PDCA

Ilustración 11 Ciclo Deming Fuente: It-processmaps: http://gestionyestrategias.blogspot.com/2015/03/15-ciclo-de-vida-de-los-proyectos-de-ti.html

http://gestionyestrategias.blogspot.com/2015/03/15-ciclo-de-vida-de-los-proyectos-de-ti.html

19

Ciclo mediante el cual se realizan las siguientes gestiones en cada una de las fases

del ciclo de vida del servicio

ETAPA META

PLANIFICAR

Se definen los objetivos que van a establecer y los medios que se van a utilizar para conseguirlos

HACER Implementar la visión preestablecida

VERIFICAR

Comprobar que se alcanzan los objetivos previstos con los recursos que se asignaron para lograrlo

ACTUAR Analizar y corregir las desviaciones detectadas y proponer mejoras para los procesos utilizados

Tabla 5 Procesos para la mejora continua de los servicios Fuente: J. van Bon, Gestión de Servicios TI basado en ITIL® V3

Ahora bien, para poder hacer efectivo el proceso de mejora continua, es necesario

tener una Línea Base.

Se comprende como los señaladores o puntos de partida para posteriormente sobre

la mejora implementada realizar una comparación entre lo que había y lo que se

logró.

También se encarga de determinar un punto inicial de data sobre la cual un servicio

y/o proceso requiere mejoras. Se establecen mediante métricas de avance,

tomando como punto 0 el momento actual del servicio y como objetivo el

cumplimiento de la mejora propuesta. La importancia de la medición se da en

relación a la capacidad de cuestionar y evidenciar el antes y el después.

El sistema de Línea base permite conocer y llevar la trazabilidad sobre las mejoras

propuestas y ejecutadas sobre cada una de las fases del ciclo de vida de un servicio,

sustentándose en función del tiempo y siempre alineándose al CORE del negocio

Con el fin de dar una correcta gestión a la fase y proceso de mejora continua, se

establece la utilización del ENFOQUE CSI (CSI Approach) de la mano de la Línea

base.

20

Ilustración 12 Proceso de mejora continua Fuente: It-processmaps: http://wiki.es.it-processmaps.com/ITIL_Transici _del_Servicio

El enfoque CSI permite adoptar una visión entendiendo los objetivos de alto nivel

del negocio. La visión siempre debe ir alineada al negocio y a la estrategia TI

establecida

De igual manera permite evaluar la situación actual obteniendo un panorama real

de dónde se encuentra la organización en el presente para entender y acordar

oportunidades de mejora profundizando los principios definidos

Este proceso debe asegurar que el impulso para la mejora de la calidad se

mantenga, asegurando que los cambios que se introduzcan sean acordes a lo

estimado.

Por último, la fase de mejora continua detalla su procedimiento bajo el marco de

referencia de EL PROCESO DE MEJORA CONTINUA EN 7 PASOS.

21

Ilustración 13 Pasos para la mejora continua Fuente: It-processmaps: https://www.pymesycalidad20.com/7-pasos-para-la-mejora-continua-de-los-servicios.html

Guía mediante la cual se expresan a detalle cada uno de los procedimientos a

ejecutar en cada fase del ciclo DEMING, y sobre el cual se plantean una serie de

preguntas e ítems que cumplidos a cabalidad lograrán la correcta implementación

sobre la fase de mejora continua en las fases del ciclo de vida del servicio

Dando como consecuencia un servicio mucho más robusto, soportado, maduro y

alineado con el negocio y las expectativas del cliente frente a la generación de valor

a través del mismo

https://www.pymesycalidad20.com/7-pasos-para-la-mejora-continua-de-los-servicios.html

22

2.1.2 SCRUM

2.1.2.1 PRINCIPIOS DE SCRUM

Los principios de Scrum son el fundamento sobre el que se basa su framework.

Estos principios pueden aplicarse a cualquier tipo de proyecto u organización y

deben respetarse a fin de garantizar la aplicación adecuada de Scrum. Los aspectos

y procesos de Scrum pueden modificase para cumplir con los requerimientos del

proyecto, o la organización que lo usa, pero sus principios no están abiertos a

discusión ni pueden modificarse, y deben aplicarse como se describe en el

framework presentado en Una guía para el conocimiento de Scrum. El mantener los

principios intactos y usarlos apropiadamente infunde confianza en el usuario del

framework de Scrum respecto al cumplimiento de los objetivos del proyecto. Los

principios se consideran los lineamientos básicos para la aplicación del framework

de Scrum.

Los principios, son aplicables a lo siguiente:

Portafolios, programas, y/o proyectos de cualquier industria

Productos, servicios, o cualquier otro resultado que se entregue a los

stakeholders

Proyectos de cualquier tamaño y complejidad

Ilustración 14 Principios De Scrum

23

El término “producto” puede ser entendido como un producto, servicio, o cualquier

otro entregable. Scrum puede aplicarse de manera efectiva a cualquier proyecto en

cualquier industria: desde proyectos pequeños o equipos con tan sólo seis

miembros, hasta proyectos grandes y complejos con hasta varios cientos de

miembros por equipo.

Scrum se puede aplicarse de manera efectiva a cualquier proyecto en cualquier

industria: desde proyectos o equipos pequeños con tan sólo seis miembros, hasta

proyectos grandes y complejos con cientos de miembros por equipo.

2.1.2.2 EVENTOS SCRUM

Los eventos se usan en Scrum para crear un patrón constante y minimizar la

necesidad de reuniones no definidas

Ilustración 15 Eventos Scrum Fuente: slideshare: https://es.slideshare.net/benq2011/introduccin-a-scrum-by-jlvg

https://es.slideshare.net/benq2011/introduccin-a-scrum-by-jlvg

24

2.1.2.2.1 SPRINT.

Es un bloque de tiempo (time-box) de un mes o menos durante el cual se crea un

incremento de producto “Terminado”, utilizable y potencialmente desplegable. Es

más conveniente si la duración de los Sprints es consistente a lo largo del esfuerzo

de desarrollo. Cada nuevo Sprint comienza inmediatamente después de la

finalización del Sprint previo

• El alcance puede ser clarificado y renegociado entre el Dueño de Producto y el

Equipo de Desarrollo a medida que se va aprendiendo más.

• No se realizan cambios que puedan afectar al Objetivo del Sprint (Sprint Goal).

2.1.2.2.2 DAILY SCRUM

El Scrum Diario es una reunión con un bloque de tiempo de 15 minutos para que el

Equipo de Desarrollo sincronice sus actividades y cree un plan para las siguientes

24 horas. Esto se lleva a cabo inspeccionando el trabajo avanzado desde el último

Scrum Diario y haciendo una proyección acerca del trabajo que podría completarse

antes del siguiente.

2.1.2.2.3 REVIEW

Es una reunión restringida a un bloque de tiempo de cuatro horas para Sprints de

un mes. Para Sprints más cortos, se reserva un tiempo proporcionalmente menor.

El Scrum Master se asegura de que el evento se lleve a cabo y que los asistentes

entiendan su propósito. Además, les enseña a todos a mantener el evento dentro

del bloque de tiempo fijado.

2.1.2.2.4 RETROSPECTIVE

La retrospectiva cubre lo relacionado a la revisión de los entregables y al trabajo

que se ha realizado y determina las formas para mejorar las prácticas y métodos

implementados para realizar el trabajo del proyecto. En las grandes organizaciones,

el proceso de revisión y retrospectiva también puede incluir el convocar a reuniones

de Scrum.

2.2 MARCO INSTITUCIONAL

El congreso de la república de Colombia promueve la ley 1273 de 2009 que se le

denomina como “De la protección de información y de los datos”, además incluye el

tratamiento integral de los sistemas que manejen las tecnologías de la información.

La ley tipifica una serie de actos relacionados con el manejo de los datos, por lo que

25

es de gran importancia que las empresas tomen las medidas para que se blinden

jurídicamente y así evitar incurrir en algún delito que tenga relación con la normativa.

Esta ley define como delitos el acceso ilegal a uno o varios sistemas de tipo

informático, la interceptación de datos, interrumpir de forma ilegal el funcionamiento

de un sistema informático, daños a nivel informático y también el uso de software

dañino. (MINTIC, 2009).

2.2.1 INDRA

Indra es una de las principales compañías globales de tecnología y consultoría y el

socio tecnológico para las operaciones clave de los negocios de sus clientes en todo

el mundo. Es un proveedor líder mundial de soluciones propias en segmentos

específicos de los mercados de Transporte y Defensa, y la empresa líder en

consultoría de transformación digital y Tecnologías de la Información en España y

Latinoamérica a través de su filial Minsait. Su modelo de negocio está basado en

una oferta integral de productos propios, con un enfoque end-to-end, de alto valor y

con un elevado componente de innovación. En el ejercicio 2018, Indra tuvo unos

ingresos de 3.104 millones de euros, 43.000 empleados, presencia local en 46

países y operaciones comerciales en más de 140 países.

2.2.1.1 PROPOSITOS Y VALORES

El propósito y los nuevos valores definidos para Indra identifican a la compañía. “At

the Core” es el concepto que se presenta junto a Indra, ya que define y refleja su

evolución estratégica: Indra es el socio tecnológico de las operaciones clave de sus

clientes, se sitúa en el corazón de sus negocios y pone foco en lo que realmente

importa.

Por su parte, los nuevos valores que identifican y guían a Indra son:

Liderazgo. Generando impacto real a través de resultados tangibles

Flexibilidad. Potenciando la cercanía al cliente y diferenciando a Indra de sus

competidores

Enfoque. Proyectando avance en una clara dirección, clave en la

especialización de los negocios

Fiabilidad. Construyendo confianza y relaciones a largo plazo basadas en la

experiencia y en la excelencia

26

2.2.1.2 SERVICIOS Y PRODUCTOS

Consultoría de negocio

Impulsamos a las principales empresas internacionales a crear valor y mantener sus

ventajas competitivas a través de:

1. Estrategia desde un enfoque práctico 2. Metas alineadas con la ejecución de la estrategia

3. Resultados rápidos y tangibles

Consultoría y tecnología digital

Impulsamos digitalmente a empresas, organizaciones e instituciones:

1. Transformando el modelo de relación y la forma de conectar con

clientes/ciudadanos, 2. Construyendo soluciones tecnológicas sobre arquitecturas de nueva

generación 3. Integrando tecnologías de terceros, elemento clave en el soporte de modelos

de gestión avanzada de clientes 4. Digitalizando y robotizando procesos que incrementan la eficiencia y la

productividad de las operaciones 5. Desplegando arquitecturas Big Data y desarrollando modelos de analítica

avanzada e inteligencia artificial que sofistican la toma de decisiones

Consultoría ERP

Optimizando los procesos de tu organización con soluciones líderes de gestión

empresarial

Desarrollamos procesos end-to end con SAP S/4HANA y MS-Dynamics aportando

valor a las áreas financiera, logística y de recursos humanos. Migramos soluciones

para innovar y mejorar la experiencia de usuario.

Ciberseguridad

Somos más de 300 expertos que dejan huella a través del desarrollo de tecnologías

de seguridad, habilitando negocios digitales y protegiéndolos, a través de una

aproximación holística basada en riesgos y con foco en la prevención, protección,

detección y respuesta ante incidentes.

Combinamos el conocimiento de identidad digital, biometrías, firma electrónica,

criptografía distribuida, blockchain e inteligencia artificial, para crear soluciones con

impacto en tu negocio y experiencia de usuario digital.

27

Concentramos el talento de Ciberseguridad en CyberDefence: centros

especializados y distribuidos en España, México y Colombia, que combinan un alto

nivel de especialización (Red Team, Blue Team, CSIRT y arquitectos de seguridad)

gracias a nuestra propuesta de deception y las plataformas Advanced Security

Analytics y Cyber range.

Servicios de Ciberdefensa Desarrollando respuestas integrales ante Ciber Amenazas

Gestión del riesgo IT/OT Impulsamos los negocios a través de la convergencia entre IT/OT, potenciando la optimización de procesos, la reducción de costes, la escalabilidad y la flexibilidad. Haciendo frente a los retos del futuro y al riesgo que afronta el entorno IT y OT a través de soluciones para operadores de infraestructuras críticas.

Identidad Digital Damos respuesta a los retos que plantea la evolución del concepto de Identidad Digital, entendido como la huella que dejamos en la Red a través de los distintos perfiles (empresarial, público, social) que creamos a partir de las cuentas que utilizamos o las Apps de los dispositivos IoE (Internet del Todo).

Fronteras Inteligentes Mejoramos la seguridad, agilizando el tránsito y detectando el fraude a través de soluciones innovadoras con impacto en la gestión de fronteras reguladas y no reguladas, que mejoran la experiencia del viajero. Impulsando una actividad migratoria global, creciente y dinamizadora de la economía.

Cyber Range Impulsamos la capacitación intensiva y continua a nivel individual y grupal en técnicas y tácticas de análisis forense, a través de soluciones de Ciberseguridad y experimentación tecnológica, construyendo respuestas ante ciberataques y técnicas de programación segura.

Tabla 6 Ciberseguridad

28

Operaciones

En un contexto con usuarios exigentes, cambio continuo de entorno y a gran

velocidad, competidores disruptivos y poca capacidad de diferenciación, las

operaciones afrontan el reto de responder con máxima agilidad y siempre

manteniendo los costes bajo control.

En Minsait te ayudamos a conseguir una verdadera optimización operativa con foco

en el cliente, a través de tecnologías flexibles de integración, automatización,

digitalización, robotización y metodologías lean.

3. METODOLOGÍA

La metodología implementada para la recolección de datos que permiten ser a este

proyecto viable y sustentable dentro de los lineamientos establecidos y el alcance

de la FORMULACIÓN DE ACCIONES DE MEJORA, fue determinada mediante el

método de investigación, el cual dictamina que el mejor desarrollo para realizar el

levantamiento de información es a través de:

La Observación

La recopilación Documental

La entrevista

El análisis de la información (Revisión)

La comparación

El planteamiento de hallazgos

29

3.1 POBLACIÓN

La formulación de acciones de mejora a establecer está enfocadas a los procesos

ejecutados únicamente por los Analistas de Seguridad y a los Especialistas Junior

del I-CSOC de INDRA ubicado en Bogotá, Colombia. Procesos previamente

definidos para la gestión de la prestación de los servicios que como I-CSOC se han

determinado en el catálogo de servicios a ofrecer y han sido contratados por varias

Marcas y Proyectos.

En la actualidad el I-CSOC cuenta con un grupo de Analistas de Ciberseguridad

conformado por 9 (Nueve) Ingenieros los cuales trabajan transversalmente para los

diferentes proyectos que han contratado los servicios de seguridad informática y de

la información que presta el I-CSOC.

Adicionalmente y como complemento se tiene conformado un grupo de

Especialistas Junior, estructurado por 3 (Tres) Ingenieros los cuales representan el

liderazgo y la guía sobre cada uno de los proyectos. Este grupo de recursos

humanos, si bien cuentan con el conocimiento transversal de la totalidad de los

proyectos, deben asumir las responsabilidades y el puesto específico sobre uno o

varios de los mismos, con el fin de ser el puente de comunicación más óptimo entre

el cliente y los servicios.

3.2 TECNICAS PARA LA RECOLECCIÓN DE INFORMACIÓN

Se determinó que la técnica de recolección más efectiva para realizar el

levantamiento de la información sobre los procesos ejecutados por los analistas de

Ciberseguridad y los Especialistas Junior para el desarrollo de la prestación de los

servicios está fundamentada en la misma técnica mencionada y fomentada por el

método de investigación, el cual se da cumplimiento a través de:

OBSERVACIÓN: Por medio del acompañamiento sobre la operación y

prestación de los servicios, se determinó el control de observación para

realizar el primer levantamiento de información sobre los procesos

ejecutados actualmente. Dónde se evidencio la distribución física de las

instalaciones del I-CSOC, los puestos de trabajos de los analistas, las

herramientas utilizadas y las 14 pantallas que conforman el Video Wall

mediante el cual se tiene un acceso visual sobre las alarmas e incidentes.

30

RECOPILACIÓN DOCUMENTAL: A través de la Observación se evidenció

que los analistas y los especialistas junior cuentan con una serie de

documentos sobre los cuales apoyan la gestión.

Documentos como:

-Bitácoras diarias

-Manuales sobre las herramientas utilizadas

-Manuales de procedimientos establecidos

-Guías de escalamientos sobre procedimientos

-Matrices de direccionamientos sobre la red

-Gestores de contraseñas

Se realizó la validación de dicha documentación en sitio, entendiendo que

por controles sobre las NORMAS ISO/IEC 20000 y 27000 NO TENEMOS

PERMITIDO la divulgación de los documentos oficiales sobre los servicios y

procedimientos establecidos en el I-CSOC

ENTREVISTA: Se planteó y realizó una entrevista a cada uno de los analistas

y especialistas en dónde se indago bajo las siguientes preguntas:

- ¿Qué rol desempeña dentro de la operación del I-CSCO?

- ¿Conoce todos los procesos y procedimientos establecidos para el correcto

desarrollo de la operación y la prestación del servicio? Menciónelos

- ¿Existe documentación sobre todos los procesos y procedimientos?

De no existir alguno mencione Cuál y la razón por que la que considere que

no esté documentado

- ¿Considera que la gestión cómo grupo de analistas se está desarrollando

correctamente? De haber inconformidades menciónelas

- ¿Está de acuerdo con la gestión de la capacidad y disponibilidad

establecida para los servicios operados? De existir inconformidades

menciónelas

-Si pudiera implementar una mejora sobre los procesos establecidos ¿Cuál

sería y por qué?

Las entrevistas se realizaron individualmente y sobre las respuestas se

tomaron decisiones para la implementación de la mejora continua. Sin

embargo, no podemos hacer uso público de las entrevistas y sus respuestas

entendiendo que por controles sobre las NORMAS ISO/IEC 20000 y 27000

31

NO TENEMOS PERMITIDO la divulgación de los documentos oficiales sobre

los servicios y procedimientos establecidos en el I-CSOC

EL ANALISIS DE LA INFORMACIÓN: Conforme se realizó el levantamiento

de la información, se corroboró la práctica con la teoría frente a la prestación

de los diversos servicios y se estimó el lineamiento entre lo propuesto y lo

desarrollado.

Se realizó una toma de decisiones las cuales se verán reflejadas en el plan

de mejoras propuesto

LA COMPARACIÓN: Se solicitaron los documentos y los resultados de la

operación de los años anteriores para realizar una comparación sobre el

rendimiento obtenido, las gráficas de gestión, satisfacción e implementación

con el fin de poder realizar el comparativo ideal y evidenciar el avance y la

mejora obtenida durante los 3 (Tres) años que lleva la implementación del

I-CSOC en Bogotá, Colombia.

EL PLANTEAMIENTO DE HALLAZGOS: Para el presente se determinó a un

hallazgo como todo proceso, procedimiento, actividad, ejecutable, entrega de

informe y elemento que se relacionara directamente con la prestación de los

servicios ofrecidos y contratados por el I-CSOC.

Por lo que, en efecto un hallazgo puede entenderse como positivo y negativo,

teniendo como horizonte la mejora continua sobre los servicios prestados y

como consecuencia el cambio e implementación de nuevos procedimientos

y responsables.

Un hallazgo es el resultado de evaluar una evidencia contra un criterio. Los

hallazgos pueden ser clasificados de la siguiente manera

Ilustración 16 Planteamiento De Hallazgos Fuente: It-processmaps: https://www.pymesycalidad20.com/7-pasos-para-la-mejora-continua-de-los-servicios.html

32

3.3 TÉCNICAS, HERRAMIENTAS Y MÉTODOS PARA EL DISEÑO E

IMPLEMENTACIÓN DE LOS SISTEMAS DE GESTION.

Los enfoques metodológicos planteados para la formulación de acciones de mejora

para los servicios de seguridad informática brindados por Indra-Colombia para el I-

CSOC en la sede de Bogotá, Colombia, están determinado mediante la

implementación de la fase de mejora continua sobre el marco de buenas prácticas

de ITIL V3 y la adaptación de varios eventos de Scrum dentro de los lineamientos

posibles.

Es necesario entender que las herramientas a utilizar van a ser los procesos

definidos por las metodologías mismas, y para generar la formulación de mejoras

de manera correcta, se delimitadas en las siguientes etapas:

IDENTIFICACIÓN DE BUENAS PRÁCTICAS: Comprendiendo que todos los

servicios prestados por el I-CSOC están estructurados y gestionados dentro

del marco de referencias de buenas prácticas de ITIL V3, porque es una de

las políticas de INDRA a razón de la certificación de la norma ISO/IEC 20000,

se sabe que la implementación de buenas prácticas está implícita en la

prestación del servicio.

Sin embargo, mediante el levantamiento de información se identificó que hay

varios ítems, procesos, acciones y elementos que entran a la perfección

sobre la fase de mejora continua.

En primer orden, la idea es identificar a los ingenieros que sobresalen en la

ejecución de los procedimientos establecidos, para adaptar el valor agregado

sobre el cual resaltan y plantearlo como una mejora general para ejecución

de los procesos al nivel del grupo de analistas. Aprendiendo y adaptando las

habilidades de los que ejecutan los procesos de manera eficiente y eficaz se

garantizará una evolución de la prestación del servicio evidente de cara con

el cliente y así mismo se reflejará en la mejora porcentual del cumplimiento

sobre las métricas de ANS Y KPI, así como de la satisfacción sobre el

servicio.

Cabe resaltar que la mejor de las buenas prácticas es la proactividad, la

mitigación de reprocesos y el cuestionamiento sobre lo que se ejecuta en pro

de reducir tiempos de respuesta y facilitar el trabajo.

33

También se debe entender como buena práctica la motivación hacia la

mejora y la medición sobre lo ejecutado, comprendiendo que si no se mide

no sé tiene certeza de qué tan acorde estamos con la línea de negocio, el

CORE del negocio y lo proyectado para el servicio.

DEFINICIÓN DE PROCESOS: Si bien es cierto, por definición un servicio

estructurado bajo el marco de buenas prácticas de ITIL y auditado bajo la

norma ISO/IEC 20000 debe contar con procedimiento establecidos y

documentados, también debe contemplarse la definición de actualización

sobre estos procedimientos, la eliminación de procedimientos que ya no sean

eficientes y la inclusión de los nuevos procedimientos desarrollados para

mejorar la prestación del servicio.

Esta definición sobre el catálogo de procesos internos para la prestación del

servicio debe ser tarea exclusiva de los Especialistas Junior, pues son ellos

la representación entre el cliente y el servicio, conociendo a detalle las

ejecuciones estimadas y las proyectadas sobre las cuales el servicio se

presta.

A este punto se hace importante generar plantillas generales sobre la

documentación y actualización de los procesos y procedimientos, dónde se

tengan a consideración la implementación de flujos de trabajo, flujos de

escalamiento y relevancia sobre ANS Y KPI de cada uno de los proyectos.

También se propone la creación de ambientes de pruebas sobre casos de

uso como documentación práctica. Considerándose como definición y

documentación de un proceso y procedimiento cualquier tipo de tecnología

que facilite el entendimiento del mismo (Audio, video, manual entre otros)

La idea principal de este ítem es poder brindar una documentación tan

robusta sobre la Gestión del Conocimiento que al ser entregada a un nuevo

recurso humano del I-CSOC, éste por medio del estudio autodidacta sea

capaz de comprender la operación y la gestión sobre los servicios en el

menor tiempo posible.

INFORMACIÓN COMPLEMENTARIA: En este ítem se establecen todo tipo

de conocimiento externo que pueda aportar con el crecimiento y la evolución

del equipo de trabajo conformado por Analistas de Ciberseguridad y

Especialistas junior para la mejora en la prestación del servicio.

34

Es aquí en dónde todas las certificaciones que se estiman los Analistas y

Especialistas adquieran, se desarrollen dentro de un cronograma de tiempo

específico, identificando las herramientas de gestión necesarias para

conseguirlo, háblese entonces de centros de aprendizaje de proveedores y

partners, así como centro de educativos conexos a INDRA que brinden las

capacitaciones que se requieran.

Dentro del plan de mejora continua no sólo se establece la mejora de los

procesos y procedimientos, sino que también se plantea la mejora en la

habilidad técnica y de análisis sobre cada uno de los miembros del equipo,

en pro de aumentar el valor sobre la ejecución y la operación desarrollada

por el I-CSOC

Toda información adicional pertinente a los proyectos que permita la mejora

y aporte valor, estará designada sobre este punto.

4. DIAGNOSTICO

4.1 DIAGNOSTICO DE LAS CONDICIONES ACTUALES

Para el año en curso, el I-CSOC cuenta 6 (Seis) proyectos adjudicados:

SENA (Servicio Nacional de Aprendizaje) – PAA (Protección de amenazas

Avanzadas)

SICOV (Sistema de Control y Vigilancia para Puertos y Transporte)

GEB (Grupo de Energía Bogotá)

ARN (Agencia para la Reincorporación y la Normalización)

MAKRO (Cadenas de tiendas de autoservicio de abastecimiento alimenticio)

TUYA (Marca para soluciones Financieras del Grupo éxito Colombia)

Cada proyecto contrató una serie de servicios de seguridad informática y de la

información conforme sus necesidades y la alineación de su negocio para dar valor

a través de los mismos

35

Ahora bien, los principales servicios prestados por el I-CSOC de Bogotá,

determinados en:

SOC (Centro de Operaciones de Seguridad)

Administración de la red a nivel de Firewall

Gestión de Incidentes y Requerimientos a nivel de Red

PAA (Protección de Amenazas Avanzadas)

Administración y control sobre amenazas avanzas determinadas en

Malware

Prevención y Mitigación de SPAM

Gobierno y Autoridad a nivel de Antivirus y Agentes Antimalware

Contención, cuarentena y desinfección sobre host que representen

peligro para la red

MONITOREO

Sobre Marcas, dominios de páginas web, phishing y suplantación de

identidad

Sobre perdida, robo y mal gestiona miento sobre información

Actividad de ingresos sospechosos a cuentas de correos y dominios de

cada proyecto

Reporte sobre incidencias en monitoreo

Prevención y Mitigación de phishing

Para cada uno de los servicios existen establecidos procedimientos, monitoreo,

registros, controles, herramientas de gestión, evidencias de gestión y procesos

sobre los cuales los analistas tienen responsabilidades, administración y acción.

Es necesario c aclarar que el I-CSOC ofrece sus servicios 7x24x365 (Todo el año)

dado que así se determinó en la fase de diseño del servicio.

Lo que implica que los analistas de seguridad cumplen un horario por turnos

rotativos semanales de domingo a domingo con un día de descanso, dicho horario

está determinad en:

Turno de la Mañana:6 am -2 pm (3 Analistas)

Turno Cruzado: 8 am - 5 pm (2 Analistas)

Turno de la Tarde: 2pm – 10 pm (3 Analistas)

Turno de la Noche: 10 pm – 6 am (1 Analista)

36

Para el caso de los especialistas Junior, al entender que ellos son el frente de la

operación de cara con el cliente, se maneja un horario Cruzado de Lunes a viernes.

Cada uno de los turnos establecidos para dar cumplimiento a la operación y la

prestación de los servicios tiene una serie de actividades ya definidas, entendiendo

que los procedimientos implementados están directamente ligados cada uno de los

proyectos.

Por lo que el modelo de operación del I-CSOC está determinados de la siguiente

manera:

Ilustración 17 Modelo de operación del I-CSOC

Es necesario comprender que dentro de los analistas existen roles, los cuales son:

ANALISTAS TURNO MAÑAN Y TARDE: Se encargan de atender las

actividades definidas para cada uno de los proyectos, cada analista es

responsable de dos proyectos.

ANALISTAS TURNO CRUZADO: Cumplen la función de Dispatcher para

todos los proyectos

ANALISTA TURNO NOCHE: Se encarga de atender las actividades

complementarias definidas para TODOS los proyectos

Y las actividades determinadas para cada proyecto en cada uno de los turnos es el

siguiente:

37

SENA – PAA:

TURNO MAÑANA y TARDE:

Verifica que las direcciones IP públicas del proyecto no se

encuentren en listas negras

Verifica el estado del Back Log en la plataforma de gestión de

Incidentes y de requerimientos del proyecto (Service Manager de

HP) y se asegura que se encuentre alineado al Back Log

registrado en la bitácora para el día en gestión

Atiende los Incidentes y requerimientos designados por el

Dispatcher

Gestiona el correo del proyecto

Gestiona las llamadas

Da cierre a los casos que así se determinen y cuenten con

autorización

Monitorea las herramientas destinadas para el control del proyecto

(HX Y NX de la firma de FIREYE para el control y prevención de

afectación por malware en los hosts atados a la red, al igual que

la consola EPO de McAfee para el análisis de los eventos de

seguridad relacionados al antivirus)

Realiza entrega de informe de disponibilidad sobre las

herramientas utilizadas

Genera la entrega de Turno con la actualización del Back Log y

las novedades pertinentes

SICOV:



Incidentes y de requerimientos del proyecto (Service Manager de)

y se asegura que se encuentre alineado al Back Log registrado en

la bitácora para el día en gestión

Realiza el filtro de registro y control sobre los Incidentes y

requerimientos que llegan (No lo hace el Dispatcher)




autorización


(Whats Up Gold y Servidores del proyecto que gestionan el

38

monitoreo y disponibilidad de la infraestructura del mismo.

SPLUNK para verificar el estado y la capacidad de logs obtenidos

en el día)

Realiza entrega de informe de disponibilidad sobre las

herramientas utilizadas



GEB:



Incidentes y de requerimientos del proyecto (Service Manager de)

y se asegura que se encuentre alineado al Back Log registrado en

la bitácora para el día en gestión

Atiende los Incidentes y requerimientos designados por el

Dispatcher




autorización


(CAS de Microsoft para validar el acceso de las cuentas de correo

con los respectivos dominios y verificar si existen incidentes con

accesos restringidos y/o desde el exterior del país, SPLUNK para

el monitoreo de suplantaciones de tipo phishing sobre dominios

del proyecto)



MAKRO Y ARN

Estos proyectos se encuentran en la fase de transición del diseño a la

operación por lo que aún se están definiendo los modelos de operación sobre

los servicios contratados

39

TUYA:



(SPLUNK para el monitoreo de suplantaciones de tipo phishing

sobre dominios del proyecto)

DISPATCHER:

TURNO CRUZADO:

Su actividad principal es estar atento a todas las herramientas de

monitoreo y gestión de incidentes y requerimientos de todos los

proyectos para distribuir de manera correcta a los analistas los

casos sobre los cuales ellos deben realizar la gestión, de igual

manera tiene la potestad para devolver los casos que no se

consideren aptos a la mesa de servicio para que la información

requerida sea completada y así poderlos gestionar

4.2 DETERMINACIÓN DE FACTORES CRITICOS

Los Factores que determinan la criticidad sobre la operación son:

Los riesgos latentes sobre la perdida en las métricas de tipo ANS Y KPI que

cada uno de los proyectos tienen definidas

La falta de completa documentación o en su defecto la desactualización

sobre la existente

La falta de conocimiento técnico sobre las herramientas utilizadas para dar

la gestión de la prestación del servicio

La presencia de re-procesos sobre la prestación del servicio

La Inutilización de procesos definidos

La no priorización sobre los servicios

La ausencia de ambientes prácticos que permitan afianzar conocimientos y

procedimientos

La falta de motivación en el grupo de trabajo

La ausencia de mediciones sobre el trabajo de los analistas

40

4.3 IDENTIFICACIÓN DE HALLAZGOS SIGNIFICATIVOS

Frente a la operación, lo estimado y comparado entre el deber ser y la realidad

quedó demostró que:

Muchos de los procedimientos establecidos NO ESTAN CORRECTAMENTE

DOCUMENTADOS O NOSE ENCUENTRAN DOCUMENTADOS

No existe ningún tipo de reunión periódica que permita conocer los avances

de la gestión, los resultados frente a lo esperado de la operación del I-

CSOC

Se hace necesaria la implementación de la retroalimentación grupal,

teniendo en mente la transversalidad de los analistas

Existen procedimiento que están siendo ejecutados por los Especialistas Jr.

que DEBEN ser atendidos por los analistas de Ciberseguridad

Los documentos utilizados cuentan con falencias de gestión, se hace

necesario la actualización de los mismos y la optimización del a data para

evitar reprocesos que afectan el tiempo de gestión

No existen casos de uso establecidos a manera de práctica, por lo que se

hace necesario gestionar con los especialistas Jr. y los analistas la

identificación de los mismos y crear ambientes en dónde se puedan ejecutar

lo más recurrentes. Esto con el fin de evaluar el conocimiento técnico y

procedimental de los analistas sobre los diferentes proyectos

La fase de mejora continua no está completamente alineada al CORE del

negocio, existen procesos y procedimientos que no se han actualizado desde

el comienzo de la implementación del I-SOC

Se evidencian avances en organización y estructuración frente a los grupos

de trabajo y las responsabilidades asignadas, sin embargo, no se evidencia

documento alguno que lo soporte ni que se pueda consultar

La gestión y base del conocimiento está siendo tramitada para mejorar las

habilidades de los analistas, se está retomando la iniciativa de actualización

y aprendizaje sobre nuevos conceptos, herramientas y gestiones

41

5. FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE


LA IMPLEMENTACIÓN DE ITIL V3 Y SCRUM PARA EL I-CSOC EN LA SEDE

DE BOGOTÁ

5.1 PLAN DE MEJORAMIENTO

Las acciones de mejora de acuerdo al levantamiento de información obtenido, están

enfocadas en los siguientes ITEMS a cumplirse de acuerdo a las metodologías

utilizadas como herramientas para dar una correcta gestión a la mejora continua

sobre lo servicios prestaos por el I-CSOC de Indra en Bogotá, Colombia.

1. IDENTIFICAR LAS ESTRATEGIAS DE MEJORA:

Se hace necesario retomar la estructuración de una visión mucho más

apropiada frente a lo que como I-CSOC se espera en función del tiempo y de

la evolución. Teniendo en cuenta que el funcionamiento del I-CSOC comenzó

hace más de 3 (Tres) años, se sobre entiende que el objetivo buscado ha

cambiado, con esto en mente, la primera acción de mejora que se propone

es reestructurar los valores del I-CSOC, sobre todo la VISIÓN.

Una vez implementada esta mejora, se plantea implementar los valores de

manera física dentro de las instalaciones dónde se prestan los servicios, con

el objetivo de tenerlos presentes y recalcarlos sobre los analistas y en general

sobre todos los recursos.

También se propone establecer sistemas de medición INTERNOS para los

procesos y procedimientos realizados en pro de la prestación de los servicios.

Es importante medir para conocer en tiempo real los porcentajes alcanzados

frente a los proyectados, si se está generando un cumplimiento, un riesgo o

una perdida frente a los mismos.

2. DEFINIR LO QUE SE VA A MEDIR:

A través del levantamiento de información, mediante la observación, se

encontró que, pese a los diferentes controles y documentos gestionados en

la prestación del servicio, no existe una métrica interna, ni parámetros

estándares para medir. Por lo que la segunda acción de mejora recomienda

42

para cada proyecto estipular cuales van a ser los procesos a medir a nivel

interno y establecer cómo se van a medir, de igual manera establecer

periodos de medición, presentación de informes –en lo posible gráficos y

concisos – y toma de mejoras oportunas sobre mediciones.

3. DEFINICIÓN DE METAS SOBRE OPERACIÓN

Una vez estipulados los ítems y parámetros a medir, es necesario definir

metas reales alcanzables progresivamente sobre la operación. Por lo que la

tercera acción de mejora es establecer mediante el análisis del

comportamiento de la operación durante al menos el último año y la

comparación entre los resultaos planteados y lo obtenidos, metas aplicables

a los nuevos sistemas de medición internos.

4. PROCESAR LOS DATOS:

Para el ámbito relacionado con la data y la información, conforme se realizó

la recopilación documental, se evidenciaron varias falencias y se plantean

varias acciones de mejora:

En Los formatos tales como las bitácoras de gestión diaria sobre la

operación de cada uno de los proyectos NO DEBEN existir

asignaciones especificas a analistas por caso, TODOS LOS

ANALISTAS están en la capacidad de gestionar y/o continuar con la

gestión de un Incidente o Requerimiento sin importar quien haya sido

el último en documentarlo.

Es necesaria la creación y validación de plantillas para la

documentación de los casos, porque sin importar el analista que lo

gestione, todos deben entender cómo se está gestionando y qué hace

falta para mitigar el Incidente o solucionar el requerimiento.

Se evidenció que no todos los analistas cuentan con los mismos

perfiles de accesos sobre las plataformas, por lo que SE HACE

NECESARIO estipular un perfil genérico de accesos sobre todas las

plataformas a las que deban acceder los analistas, entendiendo que

al ser transversales todos deben contar con perfiles en cada una de

las herramientas de gestión y monitoreo. NO SE ACEPTARÁN

43

USUARIOS GENERICOS porque incumplen con varias de las

normativas estipuladas en la ISO/IEC 27000

Se debe realizar un análisis a profundidad sobre la calibración de las

herramientas de gestión, asegurarse que la disponibilidad y capacidad

de las mismas está alineadas al CORE del I-CSOC y dar la garantía a

los analistas que las herramientas permitirán una gestión eficaz

Todos los formatos deben ser actualizados y modificados conforme

sean necesarios, un claro ejemplo de ellos son las bitácoras de gestión

diaria. Muchas de ellas solicitan datos que no se están utilizando, o

peor aún, información que genera re-procesos. Entre más concisas y

completas sean para los procesos que sobre ellas se ejecutan, mucho

mejor será la operación.

5. ANALIZAR LA INFORMACIÓN Y LOS DATOS

Mediante el análisis de la información recolectada y los datos de la misma se

evidenció la falta de presentación sobre los resultados esperados y los

reales, por lo que esta acción de mejora esta enfatizada en generar

presentaciones sobre las diferentes tendencias que se muestran en la data

conforme se generan cumplimientos de los servicios. Además, se considera

necesario que los analistas conozcan los resultados de su operación para

hacer evidente el cumplimiento o no de los objetivos estipulados,

A este punto también se presenta el planteamiento de tomar decisiones

grupales sobre los resultados presentados y analizados, crear acciones de

mejoras continuas y dejar estipuladas responsabilidades y responsables

sobre dichas acciones presentadas y concluidas de la data.

6. PRESENTAR Y UTILIZAR LA INFORMACIÓN

Es Necesario tomar elementos de la metodología ágil de SCRUM para

generar una cultura de comportamiento correcto frente al grupo de trabajo;

por lo que se formula la acción de mejora sobre la implementación de eventos

adaptados a la operación del I-CSOC tales como:

44

SPRINT: Definición de un periodo de tiempo sobre el cual se realizará la

gestión y evaluación sobre la prestación del servicio hacia los diferentes

proyectos, se sugiere que los SPRINT para la operación del I-CSOC se

determine mensualmente, a razón de que las diferentes métricas

establecidas por proyectos se encuentran determinadas en ese mismo

periodo

DAILY SCRUM: Crear una reunión corta diaria entre todos los analistas que

no supere los 10 minutos, la cual se realizará de pie, en el intercambio de

turnos. En dicha reunión cada analista contestara las siguientes 3 (tres)

preguntas de manera concisa:

¿Qué hice hoy? – Haciendo referencia a la gestión prestada durante

el turno

¿Qué me falta hacer? – Haciendo énfasis en la gestión que falta por

realizar, la misma que se evidencia en las entregas de turno

¿Qué problemas tuve? – Haciendo énfasis en los problemas durante

la gestión. En este punto los demás analistas pueden entrar a apoyar

con soluciones frente a los problemas obtenidos

Este evento debe realizarse con todos los analistas para comenzar a

fomentar la transparencia de la operación y la gestión realizada y a realizar

sobre todos los proyectos. Al ser transversales los analistas deben conocer

el estado de ejecución de los proyectos y ser capaces de dar gestión y de

ser necesario apoyar las operaciones. De igual manera el fin principal es

presentar la información, resumir la gestión y contextualizar al grupo sobre

el Dónde estamos Y Para Dónde vamos.

REVIEW: Implementar una reunión mensual de no más de 30 minutos en

dónde se logre evidencias avances, planes de acción parar mejorar y

conocer los resultados de la operación del I-CSOC

RETROSPECTIVE: Implementar una reunión mensual, ojalá fuera de las

instalaciones del I-CSOC en dónde se haga una retrospectiva del trabajo

grupal, las skills, habilidades y conocimientos técnicos que se han mejorado

y los que haya por mejorar. Está reunión debe estar enfocada en el grupo

de trabajo, en resaltar las buenas acciones, en identificar las mejores

gestiones y resaltándolas.

45

7. IMPLEMENTAR LAS MEJORAS:

Se estima que la implementación de las mejoras indicadas se de en un

tiempo no mayor a tres meses, para poder evidenciar una mejora potencial

sobre la operación establecida a nivel la prestación de servicios con todos

los proyectos que se encuentran ligados al I-CSOC de Indra en Bogotá,

Colombia.

Para gestionar la correcta manera de la implementación sobre las acciones

de mejora se recomienda crear una matriz RACI en dónde se identifiquen los

responsables, los informados, los consultados y los encargados de ejecutar

las actividades.

Cómo última pero no menos importante, la acción de mejora relevante a

estimar es la creación de matrices de responsabilidad sobre los procesos y

procedimientos a ejecutar en general sobre todos los proyectos. Es necesario

identificar responsabilidades y responsables para evaluar sobre los objetivos

estructurados para evolucionar como I-CSOC y seguir siendo uno de los SOC

a nivel mundial tomado como referencia. Y por qué no, lograr ser el mejor

SOC a nivel Latinoamérica.

Cabe resaltar que la implementación de las acciones de mejora propuestas

al estar desarrolladas dentro de la fase de MEJORA CONTINUA mencionada

por ITIL V3 representa un ciclo, y cómo ciclo no terminan al implementarse.

Lo ideal es volver a retomar los 7 puntos mencionados y permitir una

constante mejora continua en pro de estar alineados cada vez más al CORE

del negocio y de los clientes actuales y lo los proyectados a tener

De igual manera es necesario entender que como I-CSOC se tiene una

proyección de crecimiento bastante amplia y las futuras acciones de mejora

deben tener en cuenta la gestión de la capacidad del servicio, la gestión de

la disponibilidad del servicio y la gestión del cambio. Porque sobre estas tres

se realizará la expansión de funciones, creación de servicio y estimación de

nuevos procesos a implementar en la operación

46

6. CONCLUSIONES

La adecuación de la fase de mejora continua estimada en el ciclo de vida de ITIL

V3 sobre los servicios que se operan y gestionan desde el I-CSOC de Indra en

Bogotá, Colombia se dará de manera progresiva conforme las acciones de mejora

planteadas comiencen a ser establecidas.

Se logró identificar y gestionar de manera correcta todas y cada una las 7 etapas

mencionadas en “El proceso de mejora continua en 7 Pasos”. Además, se enfatizó

en la importancia de éste ciclo como constante mejora en función del tiempo.

Sobre el modelo de operaciones del I-CSOC se evidenciaron múltiples hallazgos,

los cuales permitieron determinar las correcciones necesarias sobre los procesos y

procedimientos ejecutados por los analistas de seguridad y los especialistas JR.

Con el objetivo de gestionar una mejor prestación de los servicios establecidos.

Sobre estas correcciones se proyecta una evolución en la prestación de los servicios

y como consecuencia un valor agregado potencializado sobre los negocios del

cliente. De igual manera las correcciones realizadas se realizaron pensando en la

expansión de los servicios que ofrece INDRA en Colombia en pro de lograr una

gestión sin problemas.

La fusión de las metodologías de ITIL y SCRUM permiten un planteamiento mucho

más acertado para que el grupo de analistas y especialistas JR. mediante sus

funciones logren una prestación de servicios más óptima. La adaptación de los

eventos de SCRUM sobre el plan de desarrollo y trabajo establecido para la

operación del I-CSOC darán campo a un nuevo nivel de autogestión sobre el grupo

de trabajo y de esto se derivarán múltiples nuevas ramas de aplicación sobre

mitologías agiles y de buenas prácticas.

La definición de y utilización de herramientas como las matrices RACI permiten un

control más concreto sobre los responsables y las responsabilidades asignadas, al

igual que un cronograma de gestión para delimitar las fechas máximas en las que

se realizarán las actividades establecidas.

47

7. RECOMENDACIONES

Para garantizar la sostenibilidad de la operación a través de las mejoras propuestas,

es necesario comprender que estas se desarrollaron mediante la fase de mejora

continua del marco de referencias de buenas prácticas de ITIL V3. Dónde se

estipula que está fase es un ciclo que debe continuar en gestión una vez se cumpla.

El principal objetivo sobre la gestión de esta fase es precisamente convertir esta

práctica en una función que permita al I-CSOC generar una autogestión sobre la

evolución proyectada, de la mano de la metodología sobre la cual se gestionan

todos los proyectos que están directamente relacionados.

Si bien es cierto que las mejoras establecidas son pensadas para el momento actual

de la operación y lograr una evolución evidente en el tiempo establecido, también

se pueden implementar con una proyección mayor, siempre cuando los factores

como la capacidad y disponibilidad se adapten; es decir, la mejora continua tiene la

capacidad de evolucionar y adecuarse conforme los factores así lo determinan.

En caso de generar una expansión de servicios, se sobre entiende que la cantidad

de analistas deberá aumentar, de igual manera la cantidad de procesos y

procedimientos y sobre ese supuesto las mejoras propuestas funcionaran en el

mismo nivel.

Al comprender que las metodologías en función del planteamiento realizado fueron

SCRUM E ITILV3, se evidencia una correcta manera de fusionar e implementar más

de una metodología de trabajo y de buenas prácticas, lo que induce a que el

planteamiento está dispuesto a ser adaptable frente a cualquier otra adición

ejecutada mediante cualquier otro tipo de metodología. La ventaja de usar

elementos relacionados a este tipo de metodologías está determinada en la

adaptabilidad y compatibilidad

La Adecuación de los procedimientos de gestión de información y atención a

usuarios frente a un modelo de trabajo basado en normas de calidad como ITIL y

SCRUM permiten utilizar los resultados de las mediciones periódicas de la calidad

en el servicio como oportunidades de mejora, tanto para los procesos de servicio de

la organización, como para los procesos de utilización del sistema interno

48

BIBLIOGRAFIA

[1] ANS: TECHTARGET: [en línea] [Consultado: 01 de marzo de 2019]

Disponible en internet

https://searchdatacenter.techtarget.com/es/definicion/Acuerdo-de-nivel-de-

servicio-o-SLA

[2] BRIEF: DIMENSIONEMPRESARIAL: [en línea] [Consultado: 01 de marzo

de 2019] Disponible en internet http://dimensionempresarial.com/el-brief-

publicitario/

[3] CIBERSEGURIDAD: ICEMD: [en línea] [Consultado: 01 de marzo de 2019]

Disponible en internet https://www.icemd.com/digital-

knowledge/articulos/definicion-ciberseguridad-riesgo/

[4] CONFIDENCIALIDAD: BOGOTATURISMO: [en línea] [Consultado: 01 de

marzo de 2019] Disponible en internet

http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/

file/Norma.%20NTC-ISO-IEC%2027001.pdf

[5] EFICACIA: HISTORIASYPOLITICA: [en línea] [Consultado: 05 de marzo de

2019] Disponible en internet http://historiasypolitica.com/eficiencia-y-

eficacia-en-administraciones-publicas-y-organizaciones-empresariales/

[6] EFICIENCIA: HISTORIASYPOLITICA: [en línea] [Consultado: 08 de marzo

de 2019] Disponible en internet http://historiasypolitica.com/eficiencia-y-

eficacia-en-administraciones-publicas-y-organizaciones-empresariales/

[7] IMPLEMENTACIÓN: OSUNA1-2: [en línea] [Consultado: 03 de marzo de

2019] Disponible en internet http://osuna1-2.blogspot.com/2017/10/el-

control-y-la-implementacion.html

[8] INCIDENTE: PROACTIVANET: [en línea] [Consultado: 10 de marzo de

2019] Disponible en internet

https://www.proactivanet.com/UserFiles/File/Noticias/El%20Mapa%20gener

al%20de%20ITIL%20-%20Conceptos%20Clave.pdf

[9] NTEGRIDAD: MINTIC: [en línea] [Consultado: 5 de marzo de 2019]

Disponible en internet https://www.mintic.gov.co/gestionti/615/articles-

5482_G5_Gestion_Clasificacion.pdf

https://searchdatacenter.techtarget.com/es/definicion/Acuerdo-de-nivel-de-servicio-o-SLA

https://searchdatacenter.techtarget.com/es/definicion/Acuerdo-de-nivel-de-servicio-o-SLA

http://dimensionempresarial.com/el-brief-publicitario/

http://dimensionempresarial.com/el-brief-publicitario/

https://www.icemd.com/digital-knowledge/articulos/definicion-ciberseguridad-riesgo/

https://www.icemd.com/digital-knowledge/articulos/definicion-ciberseguridad-riesgo/

http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf


http://historiasypolitica.com/eficiencia-y-eficacia-en-administraciones-publicas-y-organizaciones-empresariales/




http://osuna1-2.blogspot.com/2017/10/el-control-y-la-implementacion.html

http://osuna1-2.blogspot.com/2017/10/el-control-y-la-implementacion.html

https://www.proactivanet.com/UserFiles/File/Noticias/El%20Mapa%20general%20de%20ITIL%20-%20Conceptos%20Clave.pdf

https://www.proactivanet.com/UserFiles/File/Noticias/El%20Mapa%20general%20de%20ITIL%20-%20Conceptos%20Clave.pdf

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

49

[10] METODOLOGÍA: CONCEPTODEFINICION: [en línea] [Consultado: 01 de


https://conceptodefinicion.de/metodologia/

[11] NOC: ZENTIUS: [en línea] [Consultado: 04 de marzo de 2019] Disponible

en internet https://blog.zentius.com/conoce-las-diferencias-entre-un-noc-

y-soc-para-tu-red-empresarial

[12] PARTES INTERESADAS: BEEVA: [en línea] [Consultado: 01 de marzo de

2019] Disponible en internet https://www.beeva.com/beeva-view/estrategia-

negocio/como-gestionar-a-los-stakeholders-de-forma-eficaz/

[13] PHISHING: SEGU-INFO: [en línea] [Consultado: 01 de marzo de 2019]

Disponible en internet https://www.segu-info.com.ar/malware/phishing.htm

[14] PROCESO: ETIMOSOFTGESTIONTI: [en línea] [Consultado: 02 de marzo

de 2019] Disponible en internet

https://etimosoftgestionti.wordpress.com/2014/11/24/procesos-y-funciones-

en-itil/

[15] PRODUCT BACKLOG: SCRUM INSTITUTE: [en línea] [Consultado: 02 de

marzo de 2019] Disponible en internet https://www.scrum-

institute.org/The_Scrum_Product_Backlog.php

[16] PRODUCT OWNER : MEETUP [en línea] [Consultado: 10 de marzo de

2019] Disponible en internet https://www.meetup.com/es/Agiles-

Panama/events/258306621/

[17] RIESGO: BOGOTATURISMO: [en línea] [Consultado: 06 de marzo de




[18] SCRUM MASTER: PROYECTOSAGILES: [en línea] [Consultado: 03 de


https://proyectosagiles.org/facilitador-scrum-master/

[19] SEGURIDAD DE LA INFORMACIÓN: ISO27000 [en línea] [Consultado: 01

de marzo de 2019] Disponible en internet http://www.iso27000.es/sgsi.html

https://conceptodefinicion.de/metodologia/

https://blog.zentius.com/conoce-las-diferencias-entre-un-noc-y-soc-para-tu-red-empresarial

https://blog.zentius.com/conoce-las-diferencias-entre-un-noc-y-soc-para-tu-red-empresarial

https://www.beeva.com/beeva-view/estrategia-negocio/como-gestionar-a-los-stakeholders-de-forma-eficaz/

https://www.beeva.com/beeva-view/estrategia-negocio/como-gestionar-a-los-stakeholders-de-forma-eficaz/

https://www.segu-info.com.ar/malware/phishing.htm

https://etimosoftgestionti.wordpress.com/2014/11/24/procesos-y-funciones-en-itil/

https://etimosoftgestionti.wordpress.com/2014/11/24/procesos-y-funciones-en-itil/

https://www.scrum-institute.org/The_Scrum_Product_Backlog.php

https://www.scrum-institute.org/The_Scrum_Product_Backlog.php

https://www.meetup.com/es/Agiles-Panama/events/258306621/

https://www.meetup.com/es/Agiles-Panama/events/258306621/



https://proyectosagiles.org/facilitador-scrum-master/

http://www.iso27000.es/sgsi.html

50

[20] SERVICE MAGNAMENT: OPENSERVICE [en línea] [Consultado: 02 de


https://www.openservice.mx/blog/service-management-y-sus-4-

caracteristicas-basicas/

[21] SERVICIO: BOGOTATURISMO: [en línea] [Consultado: 11 de marzo de




[22] SERVICIO TI: BOGOTATURISMO: [en línea] [Consultado: 05 de marzo de




[23] SOC: CONSULMATIC: [en línea] [Consultado: 01 de marzo de 2019]

Disponible en internet http://consulmatic.com/node/62

[24] SPAM: SEGURIDADPC: [en línea] [Consultado: 15 de marzo de 2019] Disponible en

internet http://www.seguridadpc.net/spam.htm

[25] SPRINT: YCOINBOUND: [en línea] [Consultado: 15 de marzo de 2019] Disponible en

internet https://www.ycoinbound.com/blog/qu%C3%A9-es-un-sprint-de-scrum

[26] TIC: SIGNIFICADOS: [en línea] [Consultado: 15 de marzo de 2019] Disponible en internet https://www.significados.com/tic/

https://www.openservice.mx/blog/service-management-y-sus-4-caracteristicas-basicas/

https://www.openservice.mx/blog/service-management-y-sus-4-caracteristicas-basicas/





http://consulmatic.com/node/62

http://www.seguridadpc.net/spam.htm

https://www.ycoinbound.com/blog/qu%C3%A9-es-un-sprint-de-scrum

https://www.significados.com/tic/

FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE …

Documents

Transcript of FORMULACIÓN DE ACCIONES DE MEJORA PARA LOS SERVICIOS DE …