formulaciÓn de acciones de mejora para el proceso de
TRANSCRIPT
FORMULACIÓN DE ACCIONES DE MEJORA PARA EL PROCESO DE
SOPORTE TÉCNICO PRESTADO A LA DIRECCIÓN DE IMPUESTOS Y
ADUANAS NACIONALES A TRAVÉS DE LA EMPRESA COLSOF EN LA
APLICACIÓN DE LA NORMA ISO/IEC 20000-1 2011 E ITIL 4, EN LA
CIUDAD DE BOGOTÁ
PRESENTADO POR:
Jhon Hernando Martínez Urquijo
Juan Camilo Martínez Márquez
William Emilio Carrero Barón
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD INGENIERÍA
PROGRAMA INGENIERÍA DE SISTEMAS
BOGOTÁ
2020
FORMULACIÓN DE ACCIONES DE MEJORA PARA EL PROCESO DE
SOPORTE TÉCNICO PRESTADO A LA DIRECCIÓN DE IMPUESTOS Y
ADUANAS NACIONALES A TRAVÉS DE LA EMPRESA COLSOF EN LA
APLICACIÓN DE LA NORMA ISO/IEC 20000-1 2011 E ITIL 4, EN LA
CIUDAD DE BOGOTÁ
PRESENTADO POR:
Jhon Hernando Martínez Urquijo
Juan Camilo Martínez Márquez
William Emilio Carrero Barón
Modalidad de grado Seminario de perfeccionamiento
Requisito Parcial para obtener el título de Ingeniero de Sistemas
Director
Yovanny Vela
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD INGENIERÍA
PROGRAMA INGENIERÍA DE SISTEMAS
BOGOTÁ
2020
NOTA DE ACEPTACIÓN
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_________________________________
_______________________
PRIMER JURADO
_______________________
SEGUNDO JURADO
Bogotá, septiembre, 2020
Contenido INTRODUCCIÓN .......................................................................................................... 7
1. DESCRIPCIÓN DEL PROBLEMA ......................................................................... 9
1.1 PLANTEAMIENTO DEL PROBLEMA ............................................................ 9
1.2 JUSTIFICACIÓN DEL PROBLEMA ............................................................... 9
1.3 OBJETIVOS DEL PROBLEMA .................................................................... 10
1.3.1 Objetivo General .................................................................................. 10
1.3.2 Objetivos Específicos ......................................................................... 10
2. MARCO DE REFERENCIA ................................................................................. 11
2.1 MARCO TEÓRICO ....................................................................................... 11
2.2 MARCO INSTITUCIONAL ............................................................................ 14
2.2.1 Contexto empresarial COLSOF S.A.................................................... 14
2.2.2 Política y principios COLSOF S.A ...................................................... 14
2.2.3 Líneas de servicios o productos ........................................................ 16
3. METODOLOGÍA .................................................................................................. 17
4. DIAGNÓSTICO ................................................................................................... 18
5. DISEÑO DE INGENIERIA ................................................................................... 27
5.1 MODELO DE MEJORA CONTINUA ............................................................ 27
5.1.1 ¿Cuál es la visión? .............................................................................. 27
5.1.2 ¿Dónde estamos ahora? ..................................................................... 27
5.1.3 ¿Dónde queremos estar? .................................................................... 27
5.1.5 Tomar acción ....................................................................................... 30
5.1.6 ¿Llegamos? ......................................................................................... 32
5.1.7 ¿Cómo mantener el impulso? ............................................................. 32
CONCLUSIONES ....................................................................................................... 34
RECOMENDACIONES ............................................................................................... 35
GLOSARIO ................................................................................................................. 36
BIBLIOGRAFÍA .......................................................................................................... 38
Lista de Tablas
Tabla 1 Cuestionario norma ISO/IEC 20000-1 2011 ................................................... 18
Tabla 2 Descripción de Actividades ............................................................................ 30
Tabla 3 Simbología ..................................................................................................... 32
Lista de Figuras
Figura 1 Matriz de cumplimiento Numeral 4 ................................................................ 23
Figura 2 Matriz de cumplimiento Numeral 5 ................................................................ 23
Figura 3 Matriz de cumplimiento Numeral 6 ................................................................ 24
Figura 4 Matriz de cumplimiento Numeral 7 ................................................................ 24
Figura 5 Matriz de cumplimiento Numeral 8 ................................................................ 25
Figura 6 Matriz de cumplimiento Numeral 9 ................................................................ 25
Figura 7 Matriz de resultados ...................................................................................... 26
INTRODUCCIÓN
La innovación tecnológica es clave para las empresas quienes, día a día, deben
enfrentarse a una competitividad creciente en el mercado. Así pues, según
aparecen nuevos productos con nuevas funciones en el mercado, las empresas
deben innovar mediante el desarrollo o adquisición de software o licencias
tecnologías, el proceso de adquisición de derechos relativos a la tecnología de
terceros se lleva a cabo mediante un contrato de adquisición de licencia de
tecnología.
En la gran mayoría de los casos, el software se entrega con una licencia de uso.
Dicha licencia es un contrato entre el productor y el usuario que establece cuales
son los derechos y obligaciones de cada una de las partes. Al instalar, utilizar o
copiar un producto de software bajo licencia, el usuario está aceptando las
condiciones estipuladas en la misma y queda obligado por los términos de dicho
contrato.
En Colombia podemos ver el software el software como una herramienta de
productividad pues hace parte de un proceso que genera rentabilidad y ahorros
en la compañía y se pueden tener en cuenta las siguientes recomendaciones:
Guardar en un mismo sitio todos los soportes relacionados con compra de
software, que incluyen facturas, licencias y cajas, entre otras. También sugiere
revisar cuáles son los productos específicos que se requieren en un puesto de
trabajo, pues no siempre es necesario comprar el Office completo. Por ejemplo,
alguien que solo necesite escribir comunicaciones puede comprar únicamente
el Word y aquel que trabaja con tablas y números adquirir e instalar únicamente
el Excel. Advierte que el hecho de comprar el software en la caja no garantiza
su legalidad, pues detectaron que hay mucho software falsificado circulando en
diferentes países de Latinoamérica, lo que obliga a poner mucho cuidado donde
se hace la compra.
La idea de nuestro trabajo es Generar una evaluación sobre el estado actual del
control y gestión del licenciamiento de la organización DIAN que recibe el
servicio de soporte por medio de la empresa COLSOF S.A a través del proceso
de auditoria aplicando la norma ISO/IEC 20000-1 2011.
En resumen queremos realizar una evaluación inicial a través de una
metodología de auditoría sobre el control y gestión del licenciamiento, establecer
un nivel de cumplimiento en estos requisitos en un informe de auditoría y Definir
acciones de mejora frente a las falencias encontradas, enfocadas a mejorar el
control y gestión del licenciamiento.
Todo esto para realizar un plan de mejora dentro de la organización y logre
enfocarse mejor como una empresa prestadora de servicios TI con un esquema
de servicios organizacional que cumple de manera adecuada las practicas,
normas y estándares que requieren la TI en la actualidad para su óptimo
funcionamiento.
1. DESCRIPCIÓN DEL PROBLEMA
1.1 PLANTEAMIENTO DEL PROBLEMA
El uso de software pirata en empresas de Latinoamérica es del 52%, y en
Colombia el 48% del software no está licenciado, con lo cual puede llegar a
generar pérdidas de 241 millones de dólares, según informa BSA | The Software
Alliance, quienes son los principales defensores de software a nivel mundial. El
software no licenciado puede generar falencias dentro de la seguridad de la
información de una compañía, siendo blanco de hackeos para el robo y/o
filtración de información confidencial.
En el servicio de soporte técnico e infraestructura a nivel de TI que presta la
empresa COLSOF S.A para su cliente DIAN, se evidencia que no existe un
control en el licenciamiento y versionamiento de software que es instalado en los
equipos de cómputo del proyecto, puesto que no hay plan de seguimiento sobre
las licencias instaladas en los equipos, además de no contar con soportes
contables sobre las licencias que se encuentran instaladas.
Debido a la falta de control del licenciamiento de software por parte del área de
TI, se han aumentado el número de incidentes debido a la incompatibilidad con
las aplicaciones que utiliza la entidad para sus procesos.
De igual forma, no se estaría dando cumplimiento a la Ley 603 de 2000 que
exige el informe de gestión el incluye: “El estado de cumplimiento de las normas
sobre propiedad intelectual y derechos de autor por parte de la sociedad”, en
caso de incumplimiento de esta ley, las sanciones serán de hasta 8 años de
cárcel y multas de hasta 1000 SMLV.
1.2 JUSTIFICACIÓN DEL PROBLEMA
Con la realización del presente proyecto, se busca dar cumplimiento a la norma
ISO/IEC 20000-1 2011, con lo cual se logrará dar un mayor control en el
licenciamiento del software y además de cumplir con los acuerdos de servicio
que se tiene con el proyecto de la DIAN, como también, se daría cumplimiento
a la Ley 603 de 2000.
1.3 OBJETIVOS DEL PROBLEMA
1.3.1 Objetivo General
Formular acciones de mejora para el proceso de soporte técnico prestado a la
dirección de impuestos y aduanas nacionales a través de la empresa COLSOF
en la aplicación de la norma ISO/IEC 20000-1 2011 en la ciudad de Bogotá.
1.3.2 Objetivos Específicos
Realizar una evaluación inicial a través de una metodología de auditoría
sobre el control y gestión del licenciamiento.
Establecer un nivel de cumplimiento en estos requisitos en un informe de
auditoría.
Definir acciones de mejora frente a las falencias encontradas, enfocadas
a mejorar el control y gestión del licenciamiento.
2. MARCO DE REFERENCIA
2.1 MARCO TEÓRICO
ISO 20000
Se conoce a la ISO 20000 como el estándar internacional para la gestión de
servicios de TI, el cual es publicado por la Organización Internacional de
Normalización y la Comisión Electoral Internacional. Tal como menciona Valentic
en el portal de consultoría internacional advisera, con el fin de que la norma ISO
20000 se convirtiera en un marco de referencia internacional, se tuvo que ser
pactado por la mayoría de los países pertenecientes a la Organización
Internacional de Normalización (ISO por sus siglas en ingles).
Este estándar indica un conjunto de procesos de administración planteados para
ayudar a brindar servicios de TI más efectivos independientemente se realicen
de manera interna, como a clientes externos. ISO 20000 le brinda la metodología
y el marco para ayudar a administrar la gestión de servicios de TI, mientras le
permite a su organización seguir las mejores prácticas ayudando a la mejor
entrega de los servicios de TI. De igual forma se debe tener en cuenta que la
ISO 20000 es aplicable a cualquier tamaño de empresa y cualquier industria.
Se entiende que la ISO consta de ocho partes, las dos primeras son las más
utilizadas. La ISO 20000-1: 2011 la cual indica la especificación formal para la
gestión de servicios de TI. Esta define claramente todos los requisitos que
necesita para brindar servicios de TI administrados de buena forma para los
clientes internos y externos. La segunda parte, la ISO 20000-2: 2012 es el código
de práctica para la gestión de servicios de TI; Es la guía de la aplicación de los
sistemas de gestión de servicios. Valentic señala que esta parte de la norma
ayuda en la interpretación de los requisitos de la norma. Define los procesos de
gestión de mejores prácticas y es muy útil si se está preparando para una
auditoría interna o externa.
Existen una gran variedad de beneficios que se enfocan en ahorros de costos y
eficiencia al momento de gestionar los servicios de TI, algunos de estos
beneficios se pueden entender como en la mejora de imagen y credibilidad de la
organización, mejoras de la productividad, mayor satisfacción en los clientes,
integración en los procesos, reducción de costos de TI, mantener na cultura
enfocada en la mejora continua, entre otros.
ITIL
Según lo mencionado por Hall y Mathenge en el blog de BMS, ITIL (Biblioteca
de infraestructura de tecnología de la información) es un marco mundialmente
conocido en el que se ha trabajado por más de 30 años y el cual busca brindar
orientación integral, práctica y guía comprobada que busca establecer un
sistema de gestión de servicios de TI, promoviendo la mejora continua para las
empresas que utilizan servicios de TI. ITIL proporciona la orientación para
abordar los nuevos desafíos de gestión de servicios y utilizar el potencial de la
tecnología moderna en una era de nube, Agile, DevOps y transformación digital.
Hall y Mathenge también mencionan que ITIL proporciona un modelo operativo
flexible para la creación, entrega y mejora continua de los servicios. Dentro de
los componentes claves de ITIL, se encuentran el sistema de valor de servicio
(SVS) y el modelo de cuatro dimensiones. Los componentes principales de ITIL
SVS son, la cadena de valor del servicio, las prácticas, los principios de guía de
ITIL, el gobierno, y la mejora continua. En cuanto al modelo de cuatro
dimensiones, este describe un enfoque equilibrado para ITIL SVS a través de un
enfoque holístico y efectivo, estas cuatro dimensiones son las organizaciones y
personas, información y tecnología, socios y Proveedores y flujos de valor y
procesos.
Por otro lado, Smalley en su libro ITIL 4: TI de alta velocidad indica que ITIL
puede ser usado por organizaciones grandes, medianas y pequeñas de todo el
mundo ya que ITIL puede ayudarles a mejorar el valor de sus servicios. ITIL
también ayuda a las organizaciones en todas las industrias y sectores a resolver
problemas comerciales, así como a mejorar la capacidad de TI. Cuando se
empieza a adoptar ITIL, se puede obtener beneficios como la obtención de
prácticas de prestación de servicios más rápidas y flexibles para apoyar la
transformación digital, también se puede mejorar el alineamiento estratégico
entre TI y el negocio, a parte la integración se hace de una manera más fluida
entre las prácticas de entrega de software en evolución y el marco de atención
al cliente empresarial, la prestación de servicios mejora, lo mismo sucede con la
satisfacción del cliente, los costos se reducen gracias al uso mejorado de los
recursos y se mejora la gestión del riesgo empresarial y la interrupción o falla del
servicio.
ISO 20000 vs ITIL
Valentic, en su artículo “ITIL vs. ISO 20000: similitudes y diferencias y mapeo de
procesos” señala que la diferencia básica entre ISO 20000 e ITIL es que ISO
20000 le brinda la metodología y el marco proporcionando las piezas con las que
se construye el rompecabezas de la gestión de servicios de TI, mientras que ITIL
brinda los detalles y las mejores prácticas sobre cómo administrar cada proceso
de TI en la organización, como quien dice, cómo armar el rompecabezas. Una
buena forma de ver esta diferencia es que ISO 20000 dice lo que debe hacer,
mientras que ITIL le dice cómo hacerlo.
ISO 20000 no funciona en completo aislamiento. Puede implementarse
independientemente de ITIL, pero estos dos funcionan muy bien juntos. A
diferencia de un estándar, ITIL es un marco de mejores prácticas que se enfoca
en alinear los servicios de TI con las necesidades más amplias del negocio. A
diferencia de la ISO 20000, como empresa, no se puede obtener una
certificación en ITIL, solo se puede cumplir con las pautas de mejores prácticas,
mientras que la ISO 20000 se basa en los principios fundamentales de ITIL y es
un estándar contra el cual las empresas pueden certificar.
2.2 MARCO INSTITUCIONAL
2.2.1 Contexto empresarial COLSOF S.A
Somos Colombiana de Software y Hardware – COLSOF S.A, empresa líder en
el sector dedicada en integrar y suministrar soluciones tecnológicas de
informática en Colombia, cuyo propósito es garantizar que nuestros clientes
obtengan el máximo provecho de su infraestructura, y de esta manera aumenten
su competitividad en el mercado.
Desde nuestra fundación en 1987, nos hemos mantenido a la vanguardia de los
últimos adelantos tecnológicos, y hoy en día somos líderes en la región.
Contamos con un excelente grupo de profesionales especializados, que se
encargan de acompañar todos nuestros procesos comerciales, con el fin de dar
soporte las empresas que acceden a nuestras soluciones.
Alianzas y certificaciones con los más importantes fabricantes líderes
tecnológicos del mercado como son HP, Dell, Microsoft entre otros, lo que nos
ha permitido ofrecer el mejor valor agregado a nuestros clientes.
En los últimos 10 años COLSOF S.A se ha consolidado en el mercado nacional
como uno de los principales integradores de tecnología. Actualmente todos los
procesos de la compañía están certificados en ISO 9001:2008, ISO/ IEC 20000-
1, ISO / IEC 27001
2.2.2 Política y principios COLSOF S.A
Misión
Proveer soluciones de tecnología innovadoras que ayuden a nuestros clientes a
ser exitosos en sus negocios, con beneficios para nuestros trabajadores y
accionistas, protegiendo el ambiente a través del desarrollo sostenible.
Visión
Ser reconocido a nivel internacional como el proveedor de soluciones
innovadoras de tecnología.
Política del Sistema de Gestión Integral
Proveer soluciones de tecnología Innovadoras que ayuden a nuestros clientes a
ser exitosos en sus negocios, con beneficios para nuestros trabajadores y
accionistas, promoviendo un ambiente sano de convivencia laboral y
protegiendo el ambiente a través del desarrollo sostenible, aplicando los
siguientes principios corporativos que proporcionan un marco de referencia para
establecimiento y revisión de los objetivos estratégicos de COLSOF:
Identificar riesgos, evaluarlos, valorarlos e implementar los respectivos
controles.
Cuidar y preservar la infraestructura, los activos y la información de la
organización.
Prevenir y mitigar el impacto ambiental negativo y optimizar el uso de los
recursos naturales en el desarrollo de nuestras actividades.
Prevenir accidentes y enfermedades profesionales ocasionadas en el
trabajo diario.
Lograr la satisfacción de nuestros clientes internos y externos a través del
cumplimiento de los ANS pactados.
Adoptar las medidas preventivas necesarias en el control del riesgo de
lavado de activos, de la financiación del terrorismo, el contrabando y la
corrupción
Preservar la confidencialidad, integridad y disponibilidad de la información
de la organización.
Fomentar la responsabilidad social con nuestros grupos de interés
Cumplir con los requisitos legales, normativos y de otra índole aplicable a
nuestra organización.
Optimizar y mejorar continuamente los Sistemas de Gestión
implementados en nuestra organización.
2.2.3 Líneas de servicios o productos
Soluciones de Computación Personal
Somos distribuidores de las principales marcas, contamos con una amplia gama
de productos para dar respuesta a las necesidades de acceso y productividad al
personal de nuestros clientes. Manejamos una completa solución de
computación personal: Desktops, Laptops, Clientes Delgados, Workstations, así
como, distintas alternativas de equipos móviles.
Servidores y Misión Crítica
Cubrimos todas las líneas de servidores Intel, AMD en sus diferentes formatos
Torres, Racks y Blades. Asesoramos a nuestros clientes en las herramientas de
administración y Virtualización, permitiéndoles así, optimizar recursos y contar
con una infraestructura simple, confiable y de alto rendimiento.
Soluciones de Impresión
Tenemos a su disposición una amplia gama de equipos, que permitirán a su
empresa cubrir de manera confiable sus necesidades.
Impresoras láser y a color.
Impresoras multifuncionales.
Impresoras de matriz de punto multifuncionales.
Impresoras de punto de venta.
Scanners.
Dispositivos bancarios.
Software
Contamos con alianzas con los principales proveedores de software a nivel
mundial, tanto en el ámbito de productividad personal como en aplicaciones para
agilizar los procesos productivos de su negocio.
Software de Virtualización.
Software de Mesa de Ayuda.
Software de Gestión Documental.
Software Data Protección.
Antivirus.
3. METODOLOGÍA La modalidad sobre la cual se va a trabajar este proyecto, será bajo un diseño no experimental, el cual, va a ser aplicado de manera transversal en el área de TI, sobre un enfoque cualitativo, puesto que se ajusta al objetivo del proyecto. Población: La población de estudio será el área de TI y sus procesos. Técnicas de recolección de datos: La técnica de recolección de datos que se utilizará en el proyecto es la entrevista. Instrumento de recolección de datos: El instrumento que se utilizará será un
cuestionario con preguntas abiertas tipo auditoria de primera parte con
referencia a los numerales de la norma ISO/IEC 20000-1 2011
Técnica de procesamiento de datos: Se utilizará la estadística descriptiva, lo
cual, permite representar mediante gráficos la información obtenida.
Herramienta de procesamiento de datos: Se usará Microsoft Office Excel, lo cual
sirve para llevar a cabo la tabulación del cuestionario y elaboración de los
gráficos.
4. DIAGNÓSTICO
Tabla 1 Cuestionario norma ISO/IEC 20000-1 2011
LISTADO DE PREGUNTAS
OBSERVACIONES Y HALLAZGOS-
Actual Bajo Norma ISO/IEC 20000-
2011
PRESENCIA
Grado
de
Madurez
REDACCIÓN DE HALLAZGOS Y OBSERVACIONES
4.1.1
¿Cuáles son las políticas definidas con
la que la alta dirección cumple su
compromiso de gestionar el SGS?
SI 3 Se encuentra en la intranet de la empresa.
4.1.2
¿Cómo definen la política de gestión
de servicio a fin de que sea apropiada
para el prestador de servicio?
SI 4 Se establecen reuniones para definir la política de gestión del
servicio
4.1.3
¿Dónde quedan establecidos los
procedimientos documentados para la
comunicación?
SI 4 Se encuentran alojados en un repositorio
4.1.4
¿De qué forma se evidencia que se
están realizando las actividades
correspondientes para cumplir los
requisitos de servicio?
SI 4 Mediante controles de estado
4.2
¿Cómo se demuestra la trazabilidad?
El control de la definición.
¿Planificación y priorización de los
procesos?
SI 3 Mediante reuniones periódicas
4.3.1
¿Dónde se encuentra ubicado el
apartado de los procesos para la
gestión del servicio?
SI 4 Se mantienen documentados en repositorios
4.3.2 ¿De qué forma controlan e identifican
los cambios y el estado de la versión? SI 4
Mediante una bitácora electrónica que se actualiza conforme
el cambio
4.3.3 ¿Dónde se encuentran almacenados
los registros? SI 5 Almacenados en una base de datos
4.4.1
¿Cuáles son los recursos humanos,
técnicos, de información y financieros
determinados y suministrados por el
prestador de Servicios con el fin de
establecer, implementar y mantener el
SGS?
SI 4 Todos los recursos que incluyen para empezar el proyecto
4.4.2
¿De qué forma brindan
retroalimentación al personal sobre
consecución de objetivos?
SI 4 Establecen reuniones semanales
4.5.1
¿De qué manera el prestador del
servicio define documentalmente que
factores son necesarios para el alcance
del SGS?
SI 4 Se hace para la iniciación de cada proyecto
4.5.2
¿De qué forma el prestador del servicio
crea, implementa y mantiene un plan
para la gestión del servicio?
SI 4 Desde un cronograma de actividades
4.5.3
¿Dentro del plan para la gestión del
servicio que requisitos de servicio se
encuentra?
SI 4 Se encuentran debidamente documentados
4.5.4.1 ¿Dentro del plan para la gestión del
servicio como están asignadas las SI 5 Mediante un mapa jerárquico
autoridades, responsabilidades y
funciones en los procesos?
4.5.4.2
Cuál es el procedimiento documentado,
que permite realizar las auditorías
internas.
SI 5 Está en la intranet de la empresa
4.5.4.3 ¿De qué manera hacen
retroalimentación de los clientes? SI 4 Mediante reuniones periódicas y correos electrónicos
4.5.5.1
¿En cuál o cuáles documentos se
evidencia una política sobre la mejora
continua del SGS y los servicios?
SI 4 Política entregada de la gestión en la intranet
4.5.5.2
¿Cómo se utilizan los criterios de
evaluación, al momento de tomar
decisiones relacionadas a la mejora
continua?
SI 4 Evaluaciones de desempeño
5.1
¿De qué forma los cambios realizados
se encuentran determinados por la
política de la Gestión del Cambio?
SI 2 Si hay, pero no se conoce
5.2
Dentro de la planificación de los
servicios nuevos o modificados, ¿Cómo
se encuentra contemplado el
cronograma, los recursos y los criterios
de aceptación?
SI 3 Se encuentra debidamente documentado por parte del
prestador de servicio
5.3
¿Qué documentación tienen sobre los
cambios de tecnológicos que sirve para
soportar los servicios nuevos o
modificados?
NO 1 No cuentan con documentación relacionada a los cambios
tecnológicos realizados en el servicio
5.4 ¿Bajo qué pruebas se someten los
servicios nuevos o modificados para SI 1
Las pruebas que se realizan no cumplen con todas las
especificaciones técnicas estipuladas por el prestador de
servicio
identificar si se está cumpliendo con los
requisitos del servicio?
6.1
¿Cuáles son los acuerdos
documentados con el cliente sobre
todos los servicios a prestar?
SI 4 Están debidamente documentados según el acuerdo
realizado
6.2
¿Cuáles son los acuerdos que se
establecieron para la construcción de
informes de los servicios y que datos
llevan los informes?
SI 3 Los informes son entregados según el cronograma
establecido en los acuerdos
6.3.1
¿De qué manera se evalúan los riesgos
para la continuidad y disponibilidad del
servicio?
SI 3 Informes de avance, disponibilidad de tiempo y recursos
6.3.2
¿Qué planes de continuidad y
disponibilidad del servicio están
implementados?
SI 4 Se encuentran debidamente documentados
6.3.3
¿Bajo qué pruebas de requisitos se
someten los planes de continuidad del
servicio?
SI 5 Los planes de continuidad del servicio se realizan tal cual lo
estipulado en la documentación
6.4
¿Cómo se encuentran distribuidos los
costos indirectos y asignación de
costos directos?
SI 4 Lo manejan los gerentes financieros
6.5
¿Dispone usted con un plan de gestión
de la capacidad? ¿Qué incluye el plan
de gestión de la capacidad?
SI 3 Los planes de capacidad se encuentran documentados
6.6.1
¿Qué medios de comunicación utilizan
para informar sobre las políticas de la
seguridad de la información y la
importancia que tiene?
SI 4 Mediante correos electrónicos
6.6.2
¿Cuáles son los controles que realiza el
prestador de servicio para cumplir con
los requisitos de la política de la
seguridad?
SI 5 Mediante Backups
6.6.3
¿De qué forma son notificados los
cambios para evitar los riesgos en la
seguridad de la información?
SI 5 Mediante correos electrónicos a las partes interesadas
7.1
¿Cuál es el canal de comunicación que
existe entre el prestador de servicios y
el cliente?
SI 5 Mediante correos electrónicos
7.2
¿Existe documentación con el
proveedor externo el cual especifique
los alcances, objetivos y dependencias
de los servicios, cuáles son?
SI 4 La documentación existe
8.1 ¿Existe un procedimiento documentado
para todos los incidentes? SI 2
Existe, pero en el documento no se encuentran estipulados
todos los incidentes que se han producido
8.2
¿Con que periodicidad se da
información relacionada con los errores
conocidos y su solución?
SI 2 La información no se reporta a tiempo
9.1 ¿Qué documentación existe sobre los
tipos de elementos de configuración? NO 1 No se conoce el proceso
9.2 ¿Cuál es la política de cambio referente
a los elementos de configuración? NO 2
No se encuentran políticas referentes a los elementos de
configuración
9.3 ¿Existe una política relacionada con la
implementación de las versiones? NO 2
No existe políticas relacionadas con la implementación de
versiones
Cuestionario con preguntas abiertas tipo auditoria de primera parte con referencia a los numerales de la norma ISO/IEC 20000-1 2011
Analisis de numerales.
Numeral 4
Figura 1 Matriz de cumplimiento Numeral 4
No se evidencia falta de cumplimiento en este numeral, adicionalmente el nivel
de maduración que se tiene en este numeral es bastante elevado, tanto es así
que al momento de la revisión no se encuentran recomendaciones a aplicar en
este numeral.
Numeral 5
Figura 2 Matriz de cumplimiento Numeral 5
Después de haber hecho la verificación del numeral 5, se evidencia que la
organización no cuenta con documentación referente a los cambios tecnológicos
que se realizan a los servicios nuevos o modificados, esto debido a que, al
momento de realizar cualquier cambio en los servicios, no se evidencia el uso
de algún log o aplicación de seguimiento de estos cambios, de igual forma no se
tiene algún documento que indique este proceso.
Numeral 6
Figura 3 Matriz de cumplimiento Numeral 6
Algo muy parecido con el numeral 4 sucede con el numeral 6, en donde se
evidencia un cumplimiento completo en este numeral, si bien se podrían agregar
más formas en la que se comunican las políticas de seguridad de la información,
o también se podrían aumentar la cantidad de pruebas de continuidad de los
servicios, pero en términos generales se evidencia muy buena maduración con
este numeral.
Numeral 7
Figura 4 Matriz de cumplimiento Numeral 7
Este numeral que habla sobre los diferentes procesos relaciones, se evidencia
total cumplimiento en cada uno de sus numerales, por lo que no se encuentran
alguna recomendación de mejora.
Numeral 8
Figura 5 Matriz de cumplimiento Numeral 8
Si bien, se están cumpliendo con los dos numerales de este punto, se evidencia
que no se tiene visibilidad del reporte de los incidentes, por otra parte, no se está
reportando a tiempo los errores conocidos, haciendo que se tenga duplicidad
con varios tiquetes de soporte.
Numeral 9
Figura 6 Matriz de cumplimiento Numeral 9
Se evidencia una toral falta de conocimiento referente al numeral 9, ya que no
se evidencia una base de datos de elementos de configuración, tampoco se tiene
establecida una política de cambios referentes a los elementos de configuración
(tal como se vio en el numeral 5), tampoco se evidencia una política relacionada
con la implementación de las versiones, esto hace que se dificulte todo el manejo
de licenciamiento de software, perdiendo completamente el seguimiento y
posiblemente incumpliendo los términos de licenciamiento con la mayoría de
fabricantes.
Analisis de resultados
En los numerales de requisitos generales del sistemas de gestion del servicios,
proceso de prestación del servicio y procesos de relación, se evidencia un
cumplimiento bastante importante, tanto así que no se encontraron
recomendaciones, no tanto así sucede con los numerales diseño y transición de
los servicios nuevos o modificados, procesos de solución y procesos de control,
en donde se evidencia una falta importante de cumplimientos en los numerales,
todo debido a un mal manejo que se le esta dando al licenciamiento, lo cual, se
recomienda un plan de trabajo enfocado en el manejo de licenamiento para que
se puedan cumplir todos los numerales y por ende con la norma ISO/IEC 20000-
1 2011.
Figura 7 Matriz de resultados
5. DISEÑO DE INGENIERIA
FORMULACIÓN DE ACCIONES DE MEJORA PARA EL PROCESO DE
SOPORTE TÉCNICO PRESTADO A LA DIRECCIÓN DE IMPUESTOS Y
ADUANAS NACIONALES A TRAVÉS DE LA EMPRESA COLSOF EN LA
APLICACIÓN DE LA NORMA ISO/IEC 20000-1 2011 E ITIL 4, EN LA
CIUDAD DE BOGOTÁ.
5.1 MODELO DE MEJORA CONTINUA
5.1.1 ¿Cuál es la visión?
Administrar el inventario de Software licenciado en la UAE DIAN con el fin de
controlar la asignación y retiro de licencias disponibles y la emisión del concepto
técnico para dar de baja las licencias de software que no se encuentren en uso.
5.1.2 ¿Dónde estamos ahora?
En la prestación de servicios de COLSOF a su cliente DIAN después de realizar
un diagnóstico se evidencia un mal manejo del licenciamiento, ya que no se
puede llevar un control de gestión del software y el licenciamiento adquirido para
su debido manejo.
5.1.3 ¿Dónde queremos estar?
Al realizar el levante un inventario del software instalado en los computadores y
que revise toda la documentación requerida como Prueba de Licencia que
permita responder adecuadamente cuando haya una auditoría de Microsoft,
BSA, la Superintendencia de Industria y Comercio o los abogados de las firmas
fabricantes de programas informáticos para identificar o generar un informe
sobre el estado de licenciamiento y dirá cuáles ya se tienen y cuáles faltan y, en
ese segundo caso, explicará el paso mirar cómo manejar la situación y tener el
software a la orden del día y legal, lo que representara mucha tranquilidad para
la organización y permitirá focalizar la esencia y el propósito de la empresa para
cumplir sus objetivos.
5.1.4 ¿Cómo llegamos hay?
Para este punto utilizaremos la herramienta Microsoft Assessment And Planing
Toolkit, la ventaja de este software es que primero es un software que no tiene
costo la instalación y la utilización del mismo, por otro lado es un software
avalado por el fabricante de software Microsoft, esta aplicación sirve para
recolectar la información de una forma automatizado de los equipos utilizados
dentro de la organización, por medio de este software o aplicativo podemos
generar un informe de cómo está el tema de software y su respectivo
licenciamiento para llevar un control adecuado dentro de la organización en la
prestación de servicio ya que no se evidencia una debida gestión de este tema
en la operación, adicionalmente realizaremos un proceso donde aplicaremos los
siguientes puntos:
El licenciamiento de software de la Entidad está clasificado como:
1. Software de servidores, comunicaciones, seguridad y de control.
2. Software de ofimática.
3. Software apoyo a usuarios licenciado
4. Software Institucional: Servicio informático desarrollado o avalado por la
SGTIT destinado a apoyar los procesos y/o procedimientos de negocio y
apoyo de la entidad.
El registro y control del licenciamiento se realiza en la Coordinación de
Soporte Técnico al Usuario.
La administración, custodia, instalación, desinstalación, documentación y
control del licenciamiento del software base se realiza dependiendo del
tipo de licenciamiento, así: sí el licenciamiento es de usuario final, lo
llevará a cabo la Coordinación de Soporte Técnico al Usuario, sí el
licenciamiento es de servidor lo llevará a cabo la Coordinación de
Infraestructura Tecnológica.
El usuario al que se le asigne una licencia debe garantizar el uso periódico
de la misma, de lo contrario debe informar el no uso, para su
desinstalación y reasignación.
La Entidad se definirá y estandarizará el uso de software de ofimática,
razón por la cual realiza las instalaciones en todos los computadores de
escritorio y portátiles.
Para la asignación de nuevos equipos, estos deberán tener el
licenciamiento de ofimática respectivo.
Cuando el equipo de cómputo sea traslado a otro usuario, se hará con su
respectiva licencia de uso del Software de ofimática.
Cuando un equipo de cómputo sea dado de baja por obsolescencia, el
software que tenga instalado será desinstalado o borrado y la licencia
quedará a disposición de la SGTIT.
Cuando un equipo de cómputo se dañe o se pierda, se reasignará la
licencia al equipo que lo reemplace.
Todo proceso de contratación o de desarrollo de software en la Entidad,
debe contar con el concepto técnico emitido por la SGTIT como
responsable del registro, administración y control de la licencia de
software. Adicional se constituirán los soportes magnéticos y
documentales siguiendo los procedimientos establecidos.
Todo requerimiento que implique instalación de software (independiente
de la clasificación) se debe solicitar a la Mesa de Servicio de la
Coordinación de Soporte Técnico al Usuario a través la herramienta de
gestión definida por la Entidad.
El Uso de cualquier software considerado como software libre no está
autorizado en la Entidad y de ser necesario debe ser autorizado
expresamente por la Subdirección de Gestión de Tecnología de
Información y Telecomunicaciones previa evaluación de la necesidad real
de su posible uso y la validación de su licencia efectiva.
5.1.5 Tomar acción
Tabla 2 Descripción de Actividades
PHVA ACTIVIDAD
RESPONSABLES
DEPENDENCIA REGISTROS
1. Recibir software licenciado e informar a la SGTIT
Se recibe el software licenciado a través de las distintas modalidades de adquisición
de acuerdo con los lineamientos establecidos en el procedimiento “PR-FI-0292
Supervisión e Interventoría”. Se reporta ficha técnica del software adquirido a la
Coordinación de Soporte Técnico al Usuario.
Supervisor
responsable del
contrato del
software
licenciado
H Todas las
dependencias
H
Acta de recibido a
satisfacción de
licencia de
software
V
3. Actualizar el inventario de licencias
Se generan los reportes correspondientes al ingreso de licencias y la disponibilidad
de la totalidad de Licencias.
Registro de la
licencia en la
herramienta de
gestión
H
INICIO
Coordinación de
Soporte técnico al
usuario
2. Registrar Ingreso de Licencia
Se registra licencia obtenida con base en el reporte del supervisor, a través de la
herramienta de gestión, de acuerdo con los parámetros especificados en la ficha
técnica del software adquirido.
Responsable de
la Coordinación
de Soporte
Técnico al
Usuario
Coordinación de
Soporte técnico al
usuario
Subdirección de
Gestión Tecnología
de Información y
Telecomunicaciones
Reporte de
disponibilidad de
Licencias
FT-SI-2341
Autorización de
asignación o retiro
de licencias
1
4. Recibir la solicitud de asignación o inactivación de licencias
Se recibe la solicitud presentada en el formato FT-SI-2341 Autorización de
asignación o retiro de Licencias, radicada en la herramienta de Gestión por el Jefe
de la dependencia interesada
Coordinación de
Soporte técnico al
usuario
*Registro en la
herramienta de
Gestión
*FT-SI-2341
Autorización de
asignación o retiro
de licencias
5. Asignar o inactivar licencias
Registra la asignación e inactivación de licencias de acuerdo con lo descrito en el
instructivo IN-SI-0147 Asignación e inactivación de Licencias.
Responsable de
asignar o
inactivar
licencias
PHVA ACTIVIDAD
RESPONSABLES
DEPENDENCIA REGISTROS
7. Dar de baja la licencia.
Se da de baja a la licencia de acuerdo con lo establecido en el instructivo IN-SI-0148
Baja de Licencias.
Subdirector de
GTIT
H
Subdirección de
Gestión de
Tecnología de
Información y
Telecomunicaciones
Acta de
depuración de
Licencias
H
FIN
Responsable de
la Coordinación
de Soporte
Técnico al
Usuario
Coordinación de
Soporte técnico al
usuario
Reporte de
disponibilidad de
Licencias
8. Actualizar el inventario de licencias
Se generan los reportes correspondientes al ingreso de licencias y la disponibilidad
de la totalidad de Licencias.
Finaliza el procedimiento.
Acta de baja de
Licencia
Responsable de
controlar uso de
licencias
CSTU/ CIT
6. ¿Se requiere dar de baja alguna licencia?
Se verifica obsolescencia y uso de la licencia para determinar si es necesario la
baja de la licencia. Si es necesario la baja de la licencia continua con la actividad 7
de lo contrario finaliza el procedimiento.
Nota: Si el licenciamiento es de usuario final verifica la Coordinación de Soporte
Técnico al Usuario. Si la licencia es de un servidor verifica la Coordinación de
Infraestructura Tecnológica.
Si
No
Coordinación de
Soporte técnico al
usuario.
Coordinación de
Infraestructura
Tecnológica.
V
Describe cada una de las actividades y los responsables (Para mayor entendimiento de la simbología ver tabla 3)
Los símbolos definidos para los flujogramas de la DIAN y sus significados
5.1.6 ¿Llegamos?
Con este plan de mejora es damos tranquilidad para que la organización
permitirá focalizar la esencia y el propósito de la empresa para cumplir sus
objetivos mediante la implementación de las actividades y del software
expuestos en los puntos anteriores del plan de mejora y así entregamos valor a
la organización.
5.1.7 ¿Cómo mantener el impulso?
5.1.7.1 Objetivo
Mantener los equipos informáticos de la Entidad con la configuración adquirida
y el Software autorizado y licenciado por la DIAN, establecer controles mediante
los cuales se pueda determinar que los equipos informáticos se encuentran al
día en Hardware y Software. Con el fin de garantizar este objetivo, cada equipo
debe contar con mínimo una auditoria al año.
Tabla 3 Simbología
5.1.7.2 Responsables
Es responsabilidad de los líderes Informáticos a nivel nacional aplicar estos
lineamientos. Con el fin de garantizar que los equipos permanezcan con las
características adquiridas, cumplan con las políticas de seguridad y software
licenciado.
La Coordinación de Soporte Técnico al usuario tendrá la responsabilidad de
realizar seguimiento para que los equipos estén al finalizar el año 100%
auditados y con los correspondientes registros en la herramienta de gestión.
5.1.7.3 Descripción
Con el fin de poder tener control de los equipos informáticos tanto en Hardware
como en Software, se creó el siguiente instructivo en el cual se contempla desde
la verificación física del equipo, chequeo de software y desinstalación de
software no autorizados por la entidad cuando sea requerido.
La Entidad cuenta con el software de Gestión Aranda, mediante el cual se puede
tener el reporte de inventario de hardware y software que maneja cada uno de
los equipos informáticos y así mismo se puede generar las respectivas auditorias
sobre cada máquina. Dentro del instructivo se contempla que, por cada auditoría
realizada, se debe crear un caso donde se pueda adjuntar el formato de auditoria
establecido. Adicionalmente, si se requiere una desinstalación de software sobre
dicho equipo se debe crear un caso a los Agentes de Soporte en Sitio para su
atención y desinstalación.
CONCLUSIONES
En conclusión es una buena idea el levante un inventario del software instalado
en los computadores y que revise toda la documentación requerida como Prueba
de Licencia que permita responder adecuadamente cuando haya una auditoría
de Microsoft, BSA, la Superintendencia de Industria y Comercio o los abogados
de las firmas fabricantes de programas informáticos para identificar o generar un
informe sobre el estado de licenciamiento y dirá cuáles ya se tienen y cuáles
faltan y, en ese segundo caso, explicará el paso mirar cómo manejar la situación
y tener el software a la orden del día y legal, lo que representara mucha
tranquilidad para la organización y permitirá focalizar la esencia y el propósito de
la empresa para cumplir sus objetivos.
RECOMENDACIONES
Para dar cumplimiento al literal 8 Procesos de Solución, es necesario
implementar herramientas de gestión de incidentes, con el cual, se da un mayor
seguimiento en cuanto a la asignación y clasificación de los tickets, basándose
en el impacto que estos pueden generar en la organización, también, mediante
una base de conocimiento, que permita que los usuarios puedan encontrar
posibles soluciones a los incidentes, asimismo, garantizar en el cumplimiento de
las políticas de los SLA y en la generación de informes y reportes para las partes
interesadas.
Según lo evaluado en el literal 9 Se recomienda manejar la información
automatizado por medio de un software o aplicativo que genere un informe de
cómo está el tema de software y su respectivo licenciamiento para llevar un
control adecuado dentro de la organización en la prestación de servicio ya que
no se evidencia una debida gestión de este tema en la operación.
GLOSARIO
BSA: Es una entidad creada con el objetivo de luchar contra la piratería del
software.
DIAN: Dirección de Impuestos y Aduanas Nacionales
INCIDENTES: Cualquier evento que no forma parte del desarrollo habitual del
servicio y que causa, o puede causar una interrupción del mismo o una reducción
de la calidad de dicho servicio.
LICENCIAS: Es un contrato entre el autor titular de los derechos de explotación
y distribución y el comprador de dicha licencia, para utilizar la licencia de
software cumpliendo una serie de términos y condiciones establecidas por el
fabricante.
SMLV: Salario mínimo mensual legal vigente.
SOFTWARE: Conjunto de programas y rutinas que permiten a la computadora
realizar determinadas tareas.
TI: Tecnología de la información
Baja de licencias por obsolescencia: Es el retiro definitivo del patrimonio de
la Entidad de aquellas licencias presentan una tecnología inadecuada a las
circunstancias actuales, generando altos costos de mantenimiento o que estos
no se justifiquen en relación con el servicio que prestan o que las condiciones
tecnológicas del bien no garanticen la idónea prestación del servicio.
CASI: Coordinación para el Apoyo a los Sistemas de Información.
CSTU: Coordinación de Soporte Técnico al Usuario.
Sistemas de Información: Conjunto de elementos de hardware y software que
permiten obtener, almacenar, manipular, administrar, controlar, procesar,
transmitir y/o recibir datos, para satisfacer una necesidad de información, el cual
está apoyado por personas, máquinas, y/o métodos organizados. Permitiendo
automatizar los procesos de negocio, misionales, estratégicos y de apoyo.
Software base: Se refiere a los Sistemas Operativos, software de servidores,
comunicaciones, seguridad y de control, Software de ofimática.
SGTIT: Subdirección de Gestión de Tecnología de la Información y
Telecomunicaciones.
Usuario: Servidores públicos de la DIAN, de los organismos de control del
estado, de organismos internacionales, y de terceros relacionados como el
personal de la policía fiscal y aduanera, los contratistas y externos entre otros,
que tendrán a cargo las licencias que se encuentran incorporadas en sus
respectivos equipos de cómputo.
Software Libre: Es el conjunto de software en virtud del cual cualquier persona
está facultada para hacer copias de un programa de computador, distribuirlo,
explotarlo económicamente y modificarlo.
Software de ofimática: Conjunto de aplicaciones y herramientas informáticas
que se utilizan en todos los equipos de la UAE DIAN y se asignan a todos los
usuarios sin importar el proceso o el rol informático, para ejecutar y mejorar
tareas y procedimientos relacionados. El software de ofimática corresponde a
aplicaciones como Microsoft Office, Windows y los antivirus, los cuales se instala
en todos los equipos.
Software apoyo a usuarios licenciado: Conjunto de aplicaciones y
herramientas informáticas que se utilizan en áreas determinadas de la UAE
DIAN y se asignan a usuarios de acuerdo con el rol informático para ejecutar las
funciones específicas del proceso determinado.
BIBLIOGRAFÍA
Quienes somos. (2020). COLSOF.
https://www.colsof.com.co/index.php/services/quienes-somos
¿Qué es ISO 20000? (2020). 20000Academy.
https://advisera.com/20000academy/es/que-es-iso-20000/
¿Qué es ITIL? (2020). 20000Academy.
https://advisera.com/20000academy/es/que-es-itil/
Course Book Itil 4 Foundation. (2020). I&TSolutions.
ISO 20000-1 Auditor Certificate (I20000A) Sistema de Gestión de Servicios. (2020).
I&TSolutions.
Norma técnica NTC-ISO/IEC 2000-1. (2012). ICONTEC.