Estudio detallado de los sistemas de información del SNIP actualmente operando –resumen final
1. Especialista en Servidores y Comunicaciones
Contrato I-086-0-2703-JCACERES
CONTRATO DE PRÉSTAMO N° 2703/OC-PE
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Estudio Detallado de los Sistemas de
Información del SNIP Actualmente
Operando –resumen final
Octubre/2014
2. Equipo Consultor del
Proyecto
Área técnica específica
Unidades directamente
involucradas
Proyecto específico
MEF-BID
Cooperación Técnica N°
2703/OC-PE
“Mejoramiento de la Gestión de la Inversión Pública Territorial”
COMPONENTE 2: “Mejoramiento de la Gestión de los Entes Rectores”
Sub Componente 2.4: Articulación de los sistemas de información de
los sistemas administrativos (SNIP II)
“Estudio detallado de los
Sistemas de Información
del SNIP actualmente
operando”
DGPI
Sistemas de
Información del SNIP:
desarrollo,
implementación,
mantenimiento
Supervisor DGPI
Coordinador
Técnico
Especialista en
Aplicaciones
Especialista en
Servidores y
Comunicaciones
Especialista en
Seguridad de la
Información
OGTI
Centro de Datos:
alojamiento de
servidores y centro de
comunicaciones
Jefe de
Infraestructura
Tecnológica
Provee
facilidades e
información
preliminar
Provee
información
complementaria
3. 3
ENTREGABLES
PRODUCTOS
METODOLOGÍA GENERAL DEL TRABAJO PARA LA PRESENTE CONSULTORÍA
Planes de
mitigación de
riesgos
inicialmente
identificados
Análisis de
la
información
existente
Reuniones
de
coordinación
técnica
Visitas
presenciales
técnicas
Evaluación
técnica
Desarrollo
del
informe
1 Plan de trabajo X
2
Análisis de la documentación
existente con el fin de determinar su
aplicabilidad para la consultoría
particular del proyecto
X
Análisis de la plataforma de
servidores que soportan la operación
de los aplicativos
X X X X X
Situación del estado de la red de
comunicaciones externa con la cual
operan los aplicativos
X X X X X
3
Evaluación del estado situacional de
los servidores y de las
comunicaciones
X X X X X
Identificación de los principales
problemas para plantear alternativas
de solución
X X X X X
4
Informe técnico consolidado y
resumen ejecutivo
X X
X X
PROYECTO Evaluación continua de riesgos X X X X X X
Actividades realizadas conforme a los TDR
No
aplica
Se solicitó información específica de los
servidores y comunicaciones con los que
opera el SNIP, se analizó y evaluó la que se
logró recabar, y se emitieron los informes
correspondientes, en cumplimiento de los
TDR y del cronograma establecido
Presentación final
4. 4
Gestión y
provisión de
servicios
Planificación
Diseño y desarrollo
Implantación/despliegue
Monitoreo y control
Técnico Complejidad
Ecosistema tecnológico
Controles de la seguridad de la información
Normas técnicas peruanas
Estándares internacionales
Mejores prácticas en la industria
Externo Gobierno de TI –nivel de madurez
Disposiciones legales
Normas Técnicas Peruanas
Estándares internacionales
Mejores prácticas en la industria
Crisis internacional
Cambio de prioridades
Organización Seguridad, autorizaciones y facilidades
Disponibilidad, oportunidad y calidad de la
información
Identificación y participación de áreas y actores
involucrados y/o relacionados
Modelo general para las evaluaciones realizadasAseguramientodelacalidad
Lo que se
evaluó
Bases para las
evaluaciones
Riesgos
inicialmente
identificados
Lecciones
aprendidas
5. 5
DGPI: 0, no adecuadoNivel de madurez
de los Sistemas
de Información
del SNIP
Condiciones negativas a las que están expuestos
los Sistemas de Información del SNIP
Resultados impredecibles y
pobremente controlados,
carencia de protocolosOGTI: 1, desarrollo básico
RIESGOS Alto Moderado Total Responsabilidad
Organización 2 2 4
Extracción no autorizada de datos 1 1
Impredecible el tiempo de recuperación ante incidentes 1 1
Inestabilidad de la operación 1 1
Reactividad, el estar siempre resolviendo urgencias, carencia
de previsión, re-trabajos, alta dependencia en personas
1 1
Técnico 3 3
Actuación tardía frente a degradación imprevista del servicio 1 1
Interrupciones no autorizadas del servicio 1 1
Interrupciones no programadas del servicio 1 1
Total 5 2 7 100%
Riesgo 71% 29% 100%
57%
43%
GESTIÓN
6. 6
Alternativas de solución de alto nivel:
implantación de procesos, como mínimo:
• Monitoreo, control
• Gestión del servicio
• Gestión de configuraciones
• Gestión de cambios
Garantizar el soporte eficiente
y efectivo de los servicios
• Despliegue
• Capacidad, escalabilidad, rendimiento
• Disponibilidad, integridad, confidencialidad,
• Sostenibilidad, sustentabilidad
Garantizar la provisión
eficiente y continua de
servicios
• Roles, privilegios, autorizaciones, control de acceso
• Disponibilidad, integridad de bases de datos
• Protección de datos personales
• Trazabilidad de operaciones y/o acciones
Garantizar la eficiencia del
diseño, desarrollo, despliegue
y mantenimiento de los
servicios que son provistos,
incluyendo la seguridad
informática desde la
concepción de estos servicios
7. 7
ANÁLISIS Y EVALUACIÓN CONCLUSIONES
CONSULTORÍAS PREVIAS NO APLICA
PLATAFORMA DE SERVIDORES LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN
EN RIESGO ALTO.
LA DGPI DEBE MEJORAR Y TIENE AMPLIO
MARGEN PARA HACERLO.
PLATAFORMA DE COMUNICACIONES LA OGTI DEBE MEJORAR Y TIENE AMPLIO
MARGEN PARA HACERLO
Conclusiones
CONCLUSIÓN GENERAL
Se debe y se tiene amplio margen para
mejorar en cuanto a la gestión de los servicios
de TI y a la gestión de la seguridad de la
información de los Sistemas de Información
del SNIP, iniciando por los controles de
seguridad informática correspondientes Si no mido, no controlo.
Si no controlo, no gestiono.
Si no gestiono, no mejoro.
8. 8
Acciones a tomar sobre la situación actual, en el INMEDIATO A
CORTO PLAZO, considerando la condición de RIESGO ALTO en que
se encuentran los Sistemas de Información del SNIP
Acciones a tomar para un nuevo Sistema de Información del SNIP
Se sugiere que las recomendaciones vertidas sean sinceradas por la DGPI en cuanto a su
disponibilidad de recursos, tanto de personal interno como externo y económicos o financieros, y de
necesidades particulares como inicio, duración, alcance, necesidades de servicio, aspectos políticos.
Recomendaciones
Pilar de gestión considerado Total Responsabilidad
Persona 3 13%
Proceso 17 74%
Tecnología 3 13%
Total 23 100%
Pilar de gestión considerado Total Responsabilidad
Persona 9 29%
Proceso 15 48%
Tecnología 7 23%
Total 31 100%
Establecer primero
procesos, luego
identificar y
adoptar la
tecnología más
adecuada, y
dimensionarla
apropiadamente
9. Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
10. Soporte operativo enfocado en los Sistemas de Información
del SNIP
FACTOR EVALUADO
Nivel técnico
Personal con conocimiento técnico
Cantidad de personal técnico a cargo
Orientación (Mayormente “Apagar
incendios”)
Conocimiento de estándares
internacionales o normas técnicas
peruanas
Aplicación de estándares
internacionales o normas técnicas
peruanas (No se encontró evidencia)
Conocimiento de mejores prácticas en
la industria
Aplicación de mejores prácticas en la
industria (No se encontró evidencia)
Sujeto a auditorías de seguridad de la
información (No se encontró evidencia
del levantamiento de observaciones)
Experiencia en gestión de proyectos
1
3
4
1
3
1 1
No adecuado En desarrollo
medio
En desarrollo
básico
Desarrollo
superior
Estado óptimo
Responsable OGTI Responsable DGPI Ambos responsables
14 factores evaluados
4 de
DGPI
6 entre
AMBOS
4 de
OGTI
100%
11. Gestión del servicio -de TI- en los servidores donde operan los Sistemas
de Información del SNIP
2
4
3
2
1
No cumple normativaCumple parcialmente las
normativas
Estado óptimoNo aplica
Soporte de los servicios Provisión de los servicios
Incidentes
Problemas
Cambios
Ayuda
Finanzas
Continuidad
Disponibilidad
SLA
Capacidades
Seguridad
Configuraciones
Versiones
ÁREA 12 OBJETIVOS
Soportedelos
servicios
Gestión de incidentes
Gestión de problemas
Gestión de configuraciones
Gestión de cambios
Gestión de versiones
Gestión de ayuda
Provisióndelosservicios
Gestión de acuerdos de
nivel de servicio
Gestión de finanzas para
las TIC
Planificación de
capacidades
Gestión de la continuidad
del servicio
Gestión de la disponibilidad
Gestión de seguridad de
las TIC
0
Servicios
críticos
Limitado
y/o
reactivo
12 objetivos evaluados
5
CRÍTICOS
6
PARCIALES
1 NO
APLICA
Responsable DGPI
12. Gestión de controles de la seguridad de la información en los servidores
donde operan los Sistemas de Información del SNIP
11 DOMINIOS, 133 CONTROLES
Política de seguridad
Organización de la seguridad de la
información
Gestión de activos
Seguridad ligada a los recursos
humanos
Seguridad física y del entorno
-OGTI
Gestión de comunicaciones y
operaciones
Control de accesos
Adquisición, desarrollo y
mantenimiento de sistemas de
información
Gestión de incidentes de
seguridad de la información
Gestión de la continuidad del
negocio
Cumplimiento regulatorio
1
2
1
2
4
No cumple normativa Cumple parcialmente las
normativas
Estado óptimo No aplica
Responsable OGTI Responsable DGPI
Ambos responsables No aplica
Activos
Comunicaciones
y operaciones
Control de
accesos
Adquisición,
desarrollo y
mantenimiento
de sistemas de
información
Seguridad
física y del
entorno: OGTI
Cumplimiento
regulatorio
Seguridad
de la
información
Política Organización
RRHH
Continuidad del negocio
1
0
Limitado
y/o
reactivo
11 dominios evaluados
4
CRÍTICOS
2
PARCIALES
4 NO
APLICAN
1 OGTI
13. 15 Características generales
98 Características específicas
15 CARACTERÍSTICAS GENERALES DE
APLICACIÓN EVALUADA
Obsolescencia de servidores
Administración de redes
Operaciones diarias
Bases de datos
Monitorización
Control
Seguridad de datos y sistemas, controles
de seguridad
Contingencia
Seguridad del área
Capacitación
Acuerdos de nivel de servicio
Costo total de propiedad
Protección del medio ambiente
Gestión
Planeamiento de capacidad e
infraestructura
56
5
1
36
41
53
0
4
No cumple
Cumplimiento parcial
Estado óptimo
No aplica
No cumple
Cumplimiento parcial
Estado óptimo
No aplica
DGPIOGTI
90%
8%
2%
0%
44%
56%
0%
0%
No cumple
Cumplimiento parcial
Estado óptimo
No aplica
No cumple
Cumplimiento parcial
Estado óptimo
No aplica
DGPIOGTI
Cumplimiento de 98
características específicas
% de cumplimiento de las
características que aplican
Tecnología vigente
14. COMPONENTE MADUREZ CARACTERÍSTICAS ENCONTRADAS RESPONSABLE CALIFICACIÓN
Servidores
(configuración lógica,
soporte técnico de software
base y software aplicativo)
Nivel 0-1 Existe reactividad
Existe desorganización de funciones
La solución de problemas se realiza
mediante un enfoque ad hoc aplicado
de manera individual o caso por caso
Existe dependencia en personas
Se actúa como “bombero”
DGPI No adecuado
Servidores
(instalación física, soporte
técnico de infraestructura y
de hardware)
Nivel 1
Existencia de algunos procedimientos,
no documentados, no detallados
Existe alguna evidencia de
aproximación a, y algún logro del
atributo definido en el proceso
evaluado
Existe alto grado de dependencia en
personas
Se actúa como “bombero”
OGTI En desarrollo
medio
Nivel de madurez alcanzado en los servidores donde operan los
Sistemas de Información del SNIP
15. COMPONENTE MADUREZ CARACTERÍSTICAS ENCONTRADAS RESPONSABLE CALIFICACIÓN
Equipos de comunicación Nivel 1 Existencia de algunos procedimientos,
no documentados, no detallados
Existe alguna evidencia de
aproximación a, y algún logro del
atributo definido en el proceso evaluado
Existe alto grado de dependencia en
personas
Se actúa como “bombero”
OGTI En desarrollo
medio
Nivel de madurez alcanzado en los equipos de comunicaciones con los
que operan los Sistemas de Información del SNIP
16. 161
El no contar con procesos establecidos y sus procedimientos documentados para
garantizar la disponibilidad de los servidores y equipos de comunicación que
brindan servicio a los Sistemas de Información del SNIP actualmente en operación
refuerza negativamente la reactividad, el estar siempre resolviendo urgencias,
a la carencia de previsión, a los re-trabajos, lo que incidiría en una pérdida de
eficiencia en el servicio y de confianza en la gestión del servicio.
Organización 0.9 0.6 0.54 Alto
2
El no contar con procesos establecidos y sus procedimientos documentados de
operación y mantenimiento de los servidores y equipos de comunicación que
brindan servicio a los Sistemas de Información del SNIP actualmente en operación
podría facilitar un número creciente de interrupciones no programadas del
servicio, lo que incidiría en un incremento en las quejas de los usuarios a nivel
nacional por la no disponibilidad del servicio.
Técnico 0.7 0.8 0.56 Alto
3
El no contar con procesos establecidos y sus procedimientos documentados de
funcionamiento y operación de los servidores y equipos de comunicación que
brindan servicio a los Sistemas de Información del SNIP actualmente en operación
podría conducir a una actuación tardía frente a degradación imprevista del
servicio, lo que incidiría en un incremento en las reclamaciones de los usuarios,
sobre todo del interior del país.
Técnico 0.5 0.8 0.40 Alto
4
El no contar con procesos establecidos y sus procedimientos documentados de
operación y seguridad de los servidores y equipos de comunicación que brindan
servicio a los Sistemas de Información del SNIP actualmente en operación podría
facilitar un número creciente de interrupciones no autorizadas del servicio, lo
que incidiría en un incremento en las quejas de los usuarios a nivel nacional por la
no disponibilidad del servicio y pérdida de confianza en la seguridad de la
información registrada.
Técnico 0.5 0.8 0.40 Alto
5
El no contar con procesos establecidos y sus procedimientos documentados para
el soporte y operación de los servidores y equipos de comunicación que brindan
servicio a los Sistemas de Información del SNIP actualmente en operación podría
facilitar la inestabilidad de la operación, lo que incidiría en una pérdida de
confianza en la gestión del servicio.
Organización 0.5 0.8 0.40 Alto
6
El no contar con procesos establecidos y sus procedimientos documentados de
control y seguridad de los servidores y equipos de comunicación que brindan
servicio a los Sistemas de Información del SNIP actualmente en operación podría
facilitar la extracción no autorizada de datos incurriéndose en un incidente de
seguridad de la información con implicancias de carácter legal que podrían afectar
negativamente la imagen institucional.
Organización 0.3 0.8 0.24 Moderado
7
El no contar con procesos establecidos y sus procedimientos documentados para
garantizar la continuidad operativa de los servidores y equipos de comunicación
que brindan servicio a los Sistemas de Información del SNIP actualmente en
operación podría hacer impredecible el tiempo de recuperación ante
incidentes, lo que incidiría en una pérdida de confianza en la planificación y
gestión del servicio.
Organización 0.3 0.8 0.24 Moderado
Total Categoría Organización 4 5
Porcentaje de responsabilidad 57% Porcentaje de responsabilidad 71%
Total Categoría Técnico 3 Nivel de riesgo Moderado 2
Porcentaje de participación 43% Porcentaje de participación 29%
Nivel de
riesgoRESUMEN
Nivel de riesgo Alto
N° Riesgo Categoría Probabilidad Impacto Severidad
RIESGO ALTO
17. 17
CONCLUSIÓN
Se debe y se tiene amplio margen
para mejorar en cuanto a la
gestión de los servicios de TI y a la
gestión de la seguridad de la
información de los Sistemas de
Información del SNIP
N°
CONCLUSIONES SOBRE LA RED DE
COMUNICACIONES
1 LA RED DE COMUNICACIONES QUE PRESTA
SERVICIO A LOS SISTEMAS DE INFORMACIÓN DEL
SNIP ESTÁN SUJETOS A LOS PROCEDIMIENTOS
BÁSICOS DE OGTI
2 LA OGTI DEBE MEJORAR Y TIENE AMPLIO MARGEN
PARA HACERLO
3 LA ORGANIZACIÓN DEBE REALIZAR UN ANÁLISIS
EXHAUSTIVO DE RIESGOS DE TI
N°
CONCLUSIONES SOBRE LA PLATAFORMA DE SERVIDORES
1 LA DGPI NO CONSIDERA PRIORITARIA LA APLICACIÓN DE MEJORES
PRÁCTICAS EN LA INDUSTRIA. LOS SISTEMAS DE INFORMACIÓN DEL SNIP
NO OBTIENEN LOS BENEFICIOS DE ADOPTAR LAS MEJORES PRÁCTICAS EN
LA INDUSTRIA
2 LA DGPI NO ABORDA CON PRIORIDAD NI ADECUADAMENTE EL
CUMPLIMIENTO DE LA NORMA TÉCNICA PERUANA “NTP ISO/IEC 20000-
2:2008. TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DEL SERVICIO. PARTE
2: CÓDIGO DE BUENAS PRÁCTICAS”. LOS SISTEMAS DE INFORMACIÓN DEL
SNIP NO SE ENCUENTRAN ADECUADAMENTE GESTIONADOS
3 LA DGPI NO ABORDA CON PRIORIDAD NI ADECUADAMENTE EL
CUMPLIMIENTO DE LA NORMA TÉCNICA PERUANA “NTP ISO/IEC 17799:2007
EDI. TECNOLOGÍA DE LA INFORMACIÓN. CÓDIGO DE BUENAS PRÁCTICAS
PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. 2ª EDICIÓN”. LA
SEGURIDAD DE LA INFORMACIÓN DE LOS SISTEMAS DE INFORMACIÓN DEL
SNIP NO SE ENCUENTRA ADECUADAMENTE GESTIONADA
4 EL NIVEL DE MADUREZ ALCANZADO CON REFERENCIA A LOS SISTEMAS DE
INFORMACIÓN DEL SNIP ESTÁ ENTRE 0 (NO SE RECONOCEN PROCESOS) Y
1 (RESULTADOS IMPREDECIBLES Y POBREMENTE CONTROLADOS)
5 SE REQUIERE EL DESARROLLO DE UN ANÁLISIS DE BRECHA PARA
ESTABLECER ACCIONES DE REMEDIACIÓN URGENTES, DE CORTO,
MEDIANO Y LARGO PLAZO, Y LOGRAR EL OBJETIVO ESPECÍFICO DE
CUMPLIMIENTO REQUERIDO EN CADA CASO CON LA POSTERIOR
IMPLEMENTACIÓN DE LAS RECOMENDACIONES ATENDIENDO AL
CRONOGRAMA QUE ESTE ANÁLISIS PROPONGA
6 LA DGPI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO
7 LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN EXPUESTOS A RIESGOS
ALTOS
8 LA ORGANIZACIÓN DEBE REALIZAR UN ANÁLISIS EXHAUSTIVO DE RIESGOS
DE TI EN LOS SISTEMAS DE INFORMACIÓN DEL SNIP
9 LA RESISTENCIA A PROPORCIONAR INFORMACIÓN O A HACERLA TANGIBLE
EN LOS PROCEDIMIENTOS DOCUMENTADOS CORRESPONDIENTES
AMERITA UNA EVALUACIÓN EXHAUSTIVA Y LAS MEDIDAS CORRECTIVAS
URGENTES Y NECESARIAS YA QUE SON FUENTE DE RIESGOS
N°
CONCLUSIONES DE CONSULTORÍAS
PREVIAS
1 EL MATERIAL DE CONSULTORÍAS PREVIAS NO APLICA
PARA LA PRESENTE CONSULTORÍA DE SERVIDORES Y
COMUNICACIONES RELACIONADAS CON EL
APLICATIVO SNIP
2 LIMITADO ENFOQUE EN SERVIDORES
18. 18
Recomendaciones
Se sugiere que las recomendaciones vertidas sean sinceradas por la
DGPI en cuanto a su disponibilidad de recursos, tanto de personal
interno como externo y económicos o financieros, y de necesidades
particulares como inicio, duración, alcance, necesidades de servicio,
aspectos políticos.
Las siguientes recomendaciones se proporcionan siguiendo un modelo
de gestión para la sostenibilidad de los servicios de TI.
Un modelo de gestión es un modelo de referencia para la organización y
gestión de una empresa que permite establecer un enfoque y un marco
de referencia objetivo, riguroso y estructurado para el diagnóstico de la
organización, así como determinar las líneas de mejora continua hacia las
cuales deben orientarse los esfuerzos de la organización. Es, por tanto, un
referente estratégico que identifica las áreas sobre las que hay que actuar
y evaluar para alcanzar la excelencia dentro de una organización.
19. 19
Proceso Persona Tecnología
1 Desarrollar capacidad de reacción X
2 Desarrollar sentido y orientación a la proactividad X
3 Estrategia Acuerdos de nivel de servicio X
4 Estrategia Costo total de propiedad X
5 Estrategia Calidad y mejora continua X
6 Gestión de activos X
7 Gestión de ayuda X
8 Gestión de cambios X
9 Gestión de comunicaciones y operaciones X
10 Gestión de incidentes X
11 Gestión de incidentes de seguridad de la información X
12
Gestión de la adquisición, desarrollo y mantenimiento de
sistemas de información
X
13 Gestión de la configuración X
14 Gestión de la continuidad del servicio X
15 Gestión de la disponibilidad X
16 Gestión de problemas X
17 Gestión de servicios X
18 Gestión de versiones X
19 Implementar monitoreo, control y soporte proactivo X
20
Interiorizar el uso de normas técnicas, estándares
internacionales y mejores prácticas de la industria
X
21 Planificación de capacidades X
22 Sistema aprobado y probado para el control de accesos X
23 Trazabilidad de las operaciones o acciones realizadas X
Sub total de pilares de gestión considerados 17 3 3
Porcentaje de contribución de los pilares de gestión 73.9% 13.0% 13.0%
Pilar de gestión considerado
N°
Recomendaciones de implementación
(orden alfabético)
Resumen
Recomendaciones de acciones a tomar sobre la situación actual, en el
inmediato a corto plazo, considerando la condición de RIESGO ALTO en
que se encuentran los Sistemas de Información del SNIP
20. 20
N°
Recomendaciones de acciones a tomar sobre un nuevo sistema de información del SNIP
(orden alfabético)
Pilar de gestión considerado
Proceso Persona Tecnología
1 Control de la calidad de los servicios X
2 Control de la confidencialidad para el acceso y uso de los servicios X
3 Control de la disponibilidad de los equipos de comunicaciones que permiten la operación de los servicios X
4 Control de la disponibilidad del hardware y software de servidores que permiten la operación de los servicios X
5 Control de la integridad de las bases de datos X
6 Control del rendimiento de los servicios X
7
Dar cumplimiento a la Norma Técnica Peruana "NTP ISO 9000:2007 SISTEMAS DE GESTION DE LA CALIDAD.
Fundamentos y vocabulario. 5a. ed.", o norma vigente
X
8
Dar cumplimiento a la Norma Técnica Peruana "NTP ISO/IEC 27001:2008 EDI Tecnología de Información. Técnicas de
Seguridad. Sistemas de gestión de seguridad de la Información" o norma vigente
X
9
Dar cumplimiento a la Norma Técnica Peruana “NTP ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de
buenas prácticas para la gestión de la seguridad de la información. 2ª Edición”, o norma vigente
X
10
Dar cumplimiento a la Norma Técnica Peruana “NTP ISO/IEC 20000-2:2008. Tecnología de la información. Gestión del
servicio. Parte 2: Código de buenas prácticas”, o norma vigente
X
11 Desarrollar Acuerdos de Nivel Operacional (entre áreas de la organización relacionadas con el servicio) X
12 Desarrollar una base de datos de gestión de configuraciones X
13 Establecer Requisitos de nivel de servicio (para el ciudadano) X
14 Establecer una estrategia Costo total de propiedad X
15
Evaluación de mejores prácticas en la industria que deberán ser adoptadas por la organización y el proveedor de servicios
externos complementarios
X
16
Evaluación de otras normas técnicas peruanas relevantes a las que deberá dar cumplimiento la organización y el proveedor
de servicios externos complementarios
X
17
Evaluación de otros estándares internacionales relevantes que deberán ser aplicados por la organización y el proveedor de
servicios externos complementarios
X
18 Gestión de cambios X
19 Gestión de configuraciones X
20 Gestión de la capacidad del servicio X
21 Gestión de la continuidad del servicio X
22 Gestión de la seguridad de la información X
23 Gestión del soporte tercerizado (servicios externos complementarios) X
24 Gestionar la mejora continua del servicio en todo nivel X
25 Gestionar los niveles de calidad del servicio (entre las áreas involucradas con el servicio y el recibido por el ciudadano) X
26 Implementar Acuerdos de nivel de servicio (transparentes y útiles para el ciudadano) X
27 Monitoreo de la confidencialidad para el acceso y uso de los servicios X
28 Monitoreo de la disponibilidad de los equipos de comunicaciones que permiten la operación de los servicios X
29 Monitoreo de la disponibilidad del hardware y software de servidores que permiten la operación de los servicios X
30 Monitoreo de la integridad de las bases de datos X
31 Monitoreo del rendimiento de los servicios X
Resumen
Sub total de pilares de gestión considerados 15 9 7
Porcentaje de contribución de los pilares de gestión 48.4% 29.0% 22.6%
21. 21
Lecciones aprendidas
Identificar con la debida anticipación las diferentes unidades de la organización
interesadas e involucradas con el desarrollo de la consultoría.
En todo proyecto la gestión de los interesados y la gestión de las comunicaciones
son puntos de vital importancia y máximo cuidado.
Identificar en estos interesados sus esquemas de seguridad o procedimientos
propios para la provisión o entrega de información necesaria y oportuna.
En todo proyecto el tratamiento de requisitos es una actividad exigida.
Abordar la reticencia por parte de aquellos que directamente controlan la
información para proveerla, escudándose erróneamente en aspectos de
seguridad o confidencialidad.
La organización es dueña y responsable de los datos y de todas las formas que haya
establecido para su tratamiento o transformación, no las personas.
Asegurar que la información necesaria se encuentre disponible por un número
de medios diferentes (documento impreso, documento digital, entre otros), y
accesible.
Con anticipación.