LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Bogotá D.C. Julio de 2016 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 TABLA DE CONTENIDO INTRODUCCIÓN -------------------------------------------------------------------------------------------------------------------------------- 3 1. OBJETIVO -------------------------------------------------------------------------------------------------------------------------------- 3 2. ALCANCE --------------------------------------------------------------------------------------------------------------------------------- 3 3. TÉRMINOS Y DEFINICIONES ---------------------------------------------------------------¡Error! Marcador no definido. 4. ADMINISTRACION DE CAMBIOS ----------------------------------------------------------¡Error! Marcador no definido. Principales actividades del Lineamiento de Administración de Cambios según ITIL® ------------------------------ 7 Descripción de Roles ----------------------------------------------------------------------------------------------------------------- 8 Matriz RACI ---------------------------------------------------------------------------------------------------------------------------- 10 Políticas para normar el Lineamiento de Administración de Cambios -------------------------------------------------- 14 Consideraciones claves ------------------------------------------------------------------------------------------------------------- 15 Reportes -------------------------------------------------------------------------------------------------------------------------------- 16 5. 6. 7. 8. MARCO LEGAL ------------------------------------------------------------------------------------------------------------------------ 16 REQUISITOS TÉCNICOS ----------------------------------------------------------------------------------------------------------- 16 DOCUMENTOS ASOCIADOS ------------------------------------------------------------------------------------------------------ 17 RESPONSABLE DEL DOCUMENTO--------------------------------------------------------------------------------------------- 17 2 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 INTRODUCCIÓN En la actualidad, los negocios requieren que los servicios de TICs sean proporcionados con calidad, balanceados en costo, para ser eficientes y efectivos, logrando soportar los objetivos de negocio. En consecuencia, las organizaciones tienen que administrar sus servicios y su infraestructura de TIC’s considerando las mejores prácticas de la industria de TI. El Área de Tecnología y Sistemas de Información consciente de esta situación, trabajó en la mejora continua, desarrollando el Lineamiento de Administración de Cambios, para controlar la infraestructura y servicios que se proporcionan a los clientes y usuarios. Los cambios dentro de la organización surgen de diferentes fuentes, unos como resultado de resolver algún incidente crítico o de alto impacto (problema), o por la creación de un nuevo servicio, el cual tendrá el objetivo de cubrir una necesidad específica del negocio u organización, algunos otros provienen de buscar proactivamente beneficios al negocio, tales como reducir costos o mejorar los servicios existentes. Para dar una respuesta apropiada a una solicitud de cambios, se debe considerar una evaluación del impacto y la disponibilidad de los servicios, recursos utilizados para realizar el cambio y de la aprobación al nivel que corresponda al cambio. Cabe señalar que el Lineamiento de la Administración de Cambios tiene un enfoque de alto nivel y canales abiertos de comunicación con todas las áreas o grupos internos de las áreas de TICs con la finalidad de lograr una transición suave cuando un cambio es implementado. 1. OBJETIVO El presente documento tiene como objetivo presentar el Lineamiento de Administración de Cambios, el cual está alineado a las mejores prácticas de ITIL® y el Marco de Trabajo Operativo de Microsoft (MOF). A continuación los objetivos particulares que el Área de Tecnología y Sistemas de Información deberá cumplir con el Lineamiento de Administración de Cambios y que el presente documento apoyará: Evaluar el impacto de todos los cambios en la infraestructura de TICs Coordinar y dar seguimiento a los cambios en los elementos de infraestructura Registrar y filtrar todas las solicitudes de cambio (RFC) Establecer criterios de asignación para categorizar los cambios Eliminar la presencia de incidentes provocados por un cambio 2. ALCANCE El alcance de los lineamientos que se definen en este documento dan cubrimiento a: • Hardware (servidores, comunicaciones, almacenamiento, equipos personales, entre otros) • Software (sistemas operativos, aplicaciones, bases de datos, etc.) • Servicios • Documentación y procedimientos de TIC´s Adicionalmente, cubre todos los CIs (Items de Configuración) de los servicios definidos en el Catálogo de Servicios de Tecnología y Sistemas de Información. 3 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 Las excepciones para el L-TI-01 Lineamiento de Administración de Cambios en el Área de Tecnología y Sistemas de Información son: Cambios con impacto considerable mayor comparado a los cambios de servicios, tales como cambios en departamentos, áreas u organización. Cambios a nivel demasiado operativo, tales como reparación de impresoras o de otros componentes de servicios rutinarios 3. TÉRMINOS Y DEFINICIONES Activo: Componente del proceso de negocios. Los activos pueden incluir, gente, edificios, sistemas computacionales, redes, registros en papel, faxes, etc. Acuerdo de Niveles de Servicio (SLA): Acuerdo escrito entre el proveedor de servicios y el cliente, con el objetivo de fijar el nivel acordado para la calidad del servicio. Cuantifica los niveles de servicio aceptados y resume cuándo, qué y cómo los productos o servicios serán entregados. Administración de Niveles de Servicio (SLM): El proceso de definir, acordar, documentar y manejar los niveles de servicio del cliente de TI, que son requeridos y justificados en costo. Ambiente: Colección de hardware, software, redes de comunicación y procedimientos que trabajan de forma conjunta para proveer un cierto tipo de servicios computacionales. Puede haber uno o más tipos de ambientes en plataformas físicas, por ejemplo, pruebas, producción o desarrollo. Análisis de Impacto: La identificación de los procesos críticos del negocio, daño potencial y pérdida que pueden causarle al negocio, resultantes de una interrupción en las operaciones de los procesos. El análisis de impacto al negocio identifica: La forma de tomar la pérdida o daño. Qué probabilidad de escalar se tiene, dentro del tiempo que le sigue al incidente. Staff mínimo, facilidades y servicios necesarios para permitirle a los procesos de negocio continuar con su operación mínima aceptable. El tiempo dentro del cual los servicios deben ser recuperados. El tiempo dentro del cual la recuperación total del negocio es alcanzada, si es identificada. Análisis de Riesgo: Identificar y evaluar el nivel de riesgo, tomando en cuenta los activos expuestos o amenazados. Calendario de Cambios Programados (FCS): Calendario que muestra a detalle todos los cambios aprobados para su implementación con sus respectivas fechas para ello. Deberá realizarse un acuerdo entre el cliente y el negocio, Administración de los Niveles de Servicio, Mesa de Servicio o Mesa de Ayuda y Manejo o Administración de la Disponibilidad. Una vez realizado el acuerdo, la mesa de servicio deberá comunicar a la comunidad usuaria cuando no se podrá disponer de los servicios que estén relacionados con los cambios planeados, a través de los medios más efectivos dentro de la organización. 4 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 Calidad del Servicio: Nivel de servicio contratado o acordado entre el proveedor de servicios y el cliente. Cambio: Modificación adicional aprobada sobre la línea base de: hardware, red, software, aplicación, ambiente, sistema, o documentación asociada. Cambios normales: Son aquellas solicitudes de cambio que son requeridas por las unidades de negocio o internamente por la organización de TI para mejorar un servicio. Este tipo de cambios se clasifican también como cambios planeados, ya que se tramitan en el proceso de administración de cambios con todos sus pasos, entre otros el de análisis y evaluación de riesgos, impacto y recursos necesarios para realizar el cambio; puede incluso participar el Comité de Aprobación de Cambios (CAB). Cambios urgentes: Son solicitudes de cambio, que por su naturaleza pueden provenir de un incidente con un alto impacto o de un problema que afecte gravemente los niveles de servicio comprometido, y cuya única solución sea a través de un cambio. Catálogo de Servicios: Estatutos escritos de los servicios de TI, usuarios beneficiados, horarios de atención, niveles de incumplimiento y opciones. Cierre: Cuando un cliente está satisfecho por la resolución del incidente que levantó. Cliente: Receptor de un servicio, normalmente servicio al cliente es responsable del costo del servicio, ya sea de manera directa a través de la transferencia de costos o indirectamente en términos de las necesidades del negocio. Comité de Aprobación de Cambios (CAB): Grupo de personas que provee de consejos expertos en el Manejo de Cambios en la implementación de ellos. Este consejo debe contar con un representante de cada una de las áreas de TI y de las unidades de negocio. Al final del análisis, el CAB autoriza o rechaza la RFC en curso. Control de Cambio: Procedimiento para asegurar que todos los cambios están controlados, incluyendo el análisis, toma de decisiones, sujeción, aprobación, implementación y post-implementación del cambio. Control de Proceso: Proceso de planeación y regulación con el objetivo de ejecutar el proceso de una manera efectiva y eficiente. Disponibilidad: Capacidad de un componente o servicio para realizar su función requerida durante un periodo de tiempo. Usualmente es expresado por una relación de disponibilidad, por ejemplo: La proporción de tiempo que el servicio está disponible para uso del servicio por el usuario, dentro del horario de servicio acordado. Documentación del Cambio: Requerimiento de Cambio (RFC), forma de control, orden y registro del cambio. Elementos de Cambios (CI): Componente de la infraestructura o elemento, tal como el requerimiento de cambio asociado a la infraestructura que es o estará bajo control de la Administración de la Cambios. Un CI puede variar mucho en complejidad, tamaño y tipo, desde un sistema completo incluyendo todo el hardware, software y documentación, hasta un solo módulo o un pequeño componente de hardware. Factores Críticos de Éxito (FCE): Un medidor del éxito o madurez de un proyecto. Puede ser un estado, entregable o meta. 5 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 Incidente: Cualquier evento que no forma parte usual o normal de la operación diaria del proceso de negocio, que causa o puede causar una interrupción o reducción en la calidad del servicio. Infraestructura de TI: La suma de los activos de la organización de TI como; hardware, software, facilidades de telecomunicación de datos, procedimientos y documentación. Interfaz: Interacción física o funcional en los límites entre elementos de la Cambios. ISO9001: Conjunto de estándares internacionales aceptados, referentes a los sistemas de administración de la calidad. ITIL: La Librería de Infraestructura de TI de la Oficina Gubernamental de Comercio de Inglaterra (OGC ITIL), Es un conjunto de guías para la administración y provisión de los servicios operativos de TI. Mesa de Servicios: Punto único de contacto dentro de la organización de TI, para los usuarios. Métrica: Elemento medible de un proceso o una función. Nivel de Servicio: Expresión de un aspecto del servicio, en términos cuantificables y definitivos. Operaciones: Todas las actividades y medidas para habilitar y/o mantener el uso de la infraestructura de TI. Prioridad: Secuencia con la que un problema o incidente tiene que ser resuelto, basado en impacto y urgencia. Problema: Causa principal desconocida de uno o varios incidentes. Proveedor: Organización encargada de proveer los servicios de TI. Recursos: Ayudan a proveer los requerimientos de los clientes de TI. Los recursos son usualmente computadoras y equipo relacionado, software, facilidades (edificio, sites, etc.) y gente. Requerimiento de Servicios: Cada servicio que no sea una falla provista por la infraestructura de TI. Servicio de TI: Conjunto de facilidades de TI y de no TI, proveídos por el servidor de dichos servicios, que satisface con una o varias necesidades de los clientes y que el cliente lo percibe como un todo. Sistema: Compuesto integral que consiste de uno o más procesos, hardware, software, facilidades y gente, que tiene la capacidad de satisfacer una necesidad u objetivo. Solicitud de Cambios (RFC): Es un formato electrónico o en papel, que contiene un conjunto de campos para llenar cierta información, que ya en forma integral crea el perfil de un requerimiento de cambios, entre otros campos contiene también: Filtrado, Evaluación, Análisis de Riesgos e Impacto y Consejo de Control de Cambios, éste último a nivel de autorización. Solución o Soporte Remoto: Incidente o problema solucionado sin la necesidad de presencia física de un elemento del staff de soporte. Esta modalidad minimiza el tiempo de falla, por lo que ayuda a minimizar el costo efectivo de falla. 6 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 Tiempo de Caída: Periodo de tiempo que un servicio o dispositivo está fuera de servicio, dentro de los tiempos de servicio acordados. Unidad de Negocio: Segmento de una entidad de negocio por el cual los ingresos son recibidos y los egresos son controlados. Los egresos e ingresos son utilizados para evaluar el desempeño por segmento. Usuario: Persona que utiliza los servicios diarios. 4. ADMINISTRACIÓN DE CAMBIOS La Administración de Cambios tiene como propósito realizar cambios en el ambiente de TI, rápidamente y sin interrupción a los servicios de TI, a través de métodos estandarizados. Esta disciplina se encarga de proporcionar un manejo eficiente y efectivo de cualquier requerimiento de cambio. La Administración de Cambios debe involucrar y hacer consciencia en cada una de los grupos del Área de Tecnología y Sistemas de Información involucradas en un cambio, informándoles sobre el impacto que tendrá dicho cambio. Adicionalmente identifica todos los sistemas, componentes de infraestructura, procesos y documentación relativa que serán afectados, con la finalidad de mitigar o eliminar un impacto adverso a causa de un cambio mal planeado y ejecutado. Principales actividades del Lineamiento de Administración de Cambios según ITIL® Las principales actividades descritas en el L-TI-01 Lineamiento de Administración de Cambios, se identifican en los métodos y técnicas que se utilizan para tener un lineamiento de Administración de Cambios, efectivo y eficiente. Se resumen como sigue: Creación y registro de cambios: Generación de registros de Requerimientos de Cambios (RFCs) en la herramienta de Administración del Servicio - Altiris, la asignación de una prioridad y categoría adecuadas. Típicamente, cualquiera dentro de la organización deberá ser capaz de levantar un requerimiento de cambio, pero en organizaciones más grandes con frecuencia hay un “pre-filtro” antes de que el procedimiento formal comience. Filtrado de RFCs: Una vez que se ha creado un RFC entonces se revisa para asegurarse de que no sea una solicitud completamente impráctica, o una para la que se ha creado previamente un requerimiento de cambio. Coordinación de evaluación del RFCs: Todas las partes afectadas por el cambio necesitan evaluar el impacto en su área de responsabilidad, por tanto el Administrador de Cambios tiene que asegurarse de que todas las partes relevantes están presentes para llevar a cabo una evaluación inicial del RFC. Autorización, o coordinación de la autorización de RFCs: Todos los RFCs necesitan aprobarse formalmente antes de progresar hacia el desarrollo de la implementación, aunque el Administrador de Cambios tiene autoridad aprobando RFCs, muchos requerimientos de cambio tienen que presentarse el Comité de Cambios (CAB) para una aprobación más formal. 7 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 Planeación y programación de cambios: Esto asegura que los cambios que tienen impacto en el negocio se programen alrededor de las necesidades del negocio más que las de TI y que no haya conflictos con otros cambios o liberaciones programados. El Administrador de Cambios deberá asegurarse que se hace uso máximo de toda ventana de oportunidad que existe para implementar cambios y versiones junto con otros cambios y versiones. Coordinación del diseño, construcción y pruebas de cambios: A pesar de que en muchos casos los equipos de desarrollo o técnicos ejecutan esto, el trabajo se hace bajo el control total del Administrador de Cambios. Cualquier asunto que surja de esta fase necesitará ser dirigido por el Administrador de Cambios. Se deberá considerar también en esta etapa la “Planeación de Remediación”, es decir, asegurar que se cuente con los planes de retorno o remedio por si el cambio falla en su implementación, aunque debe recordarse que un cambio puede no fallar inmediatamente sino algún tiempo después. Revisión RFCs después de su implementación: Se necesita evaluar la efectividad de todas los RFCs que hayan sido implementados, así como ver qué tan bien funcionó el procedimiento de Administración de Cambios. Toda lección necesita ser alimentada en un ciclo de Mejora de Servicio Continua. Requerimientos de cambio de emergencia: Los requerimientos de cambio pueden ser acelerados a través del lineamiento de cambios de emergencia, por ejemplo, cuando un Incidente Mayor ha ocurrido y tiene que hacerse un cambio lo más pronto posible para restaurar el servicio al negocio. Debido al incremento en el riesgo asociado con el procesamiento de RFCs de emergencia, éstas deberán levantarse solamente en circunstancias excepcionales. Calendario de Cambios (SC): El Calendario de Cambios contiene detalles de todos los cambios aprobados junto con sus fechas propuestas para implementación. Esto necesita estar disponible para todas las partes interesadas, incluyendo todo el personal de soporte y especialmente la Mesa de Servicio. Interrupciones Previstas del Servicio (PSO): Las Interrupciones Previstas del Servicio, o PSO, en lista todas las interrupciones de servicio programadas (como resultado de cambios aprobados) que están fuera de los tiempos muertos programados como se específica en todos los SLAs. Descripción de Roles A continuación se presenta la descripción de los principales roles de la Administración de Cambios. Por cada uno de los roles se proporciona la siguiente información: Objetivo: Propósito general del rol descrito Responsabilidades: Descripción de las actividades principales del rol Competencias: Descripción del conocimiento técnico o profesional necesario para desempeñar el rol descrito Habilidades: Descripción de cualidades y destrezas que complementan la competencia del rol descrito. Administrador de Cambios 8 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Objetivo Responsabilidades Competencias Habilidades Código L-TI-01 Versión 02 1. Asegurar que se cumpla con calidad el flujo de trabajo del proceso, políticas y procedimientos de la Administración de Cambios. Planea la estrategia de implantación y mejora continua de la Administración de Cambios Asigna actividades a los Coordinadores y Especialistas de Cambios Encabeza las reuniones del CAB (Comité de Aprobación de Cambios) y comunica los resultados de la operación de los cambios a los roles participantes Implementa, entrena y mantiene el Lineamiento de Administración de Cambios - LTI-01, incluyendo documentación. Monitorea las métricas del Procedimiento de Administración de Cambios- (P-TI-22), (para su mejora continua Toma decisiones sobre el Lineamiento de Administración de Cambios (L-TI-01), cuando interactúa con todos los procedimientos TI. Notifica al solicitante cuando el cambio ha sido implementado Experiencia en la operación de TI en la organización. Conocimiento y experiencia en tecnologías de información. Conocimiento de las herramientas para la Administración de Cambios (Deseable). Conocimientos en Administración de Proyectos. Conocimientos sobre fundamentos de ITIL o practicante en el módulo denominado “Change Management” (Deseable). Habilidades Administrativas Facilidad de palabra Capacidad de trabajo en equipo Conocimiento de la organización Especialista de Cambios 1. Implementar los cambios en coordinación de otros especialistas en tiempo y forma Objetivo considerando las decisiones tomadas por: Administrador de Cambios, Coordinador de Cambios y CAB. Administra y coordina todas las actividades necesarias para identificar, controlar, dar seguimiento, y auditar los RFC’s de TI. Asigna actividades a los Especialistas de Implementación de Cambios Representa a la Administración de Cambios en el CAB (Consejo de Control de Cambios) / CAB/EC y comunica los resultados de la operación de cambios dentro de su dominio a los roles participantes Responsabilidades Implementa, entrena y mantiene (incluyendo documentación) el Lineamiento de Administración de cambios Monitorea las métricas del procedimiento de cambios (P-TI-22), para su mejora continua. Apoya en la Planeación, prueba y cambio si así procede en el cambio Puede participar en la evaluación, revisión y cierre de un cambio Apoya en la Planeación de la Estrategia de Administración de Cambios Competencias Implementar cambios 9 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Habilidades Código L-TI-01 Versión 02 Revisar que los cambios implementados cumplan con los requerimientos de la RFC Coordinar y ejecutar los planes especificados en la RFC (p.e plan de trabajo, plan de retorno, etc.) Documentar los cambios implementados Cierra las RFCs Realiza revisiones post-implantación (PIR – Post Implementation Review) Conocimiento de la Organización de su dominio Facilidad de palabra Trabajo en equipo CAB & ECAB Objetivo Responsabilidades Competencias Habilidades 1. Ayudar a la Administración de Cambios a evaluar y colocar los cambios en orden de prioridad Llevar a cabo reuniones donde se verifique el desempeño de los Cambios aprobados por el propio CAB y en general una revisión de los Cambios Evaluar todos los cambios que les sean asignados Una vez evaluado el impacto al negocio, autorizar los cambios viables y rechazar los cambios con su debida justificación Revisar los cambios no exitosos, retornados al estado previo, o aplicados sin referencia al CAB Revisar el procedimiento de Administración de Cambios (P-TI-22) Revisar el Calendario de Cambios Programados y/ Calendario de Mantenimientos de Disponibilidad Experiencia en la operación de TI en la organización. Conocimiento y experiencia en tecnologías de información. Conocimiento de las herramientas para la Administración de Cambios (Deseable). Conocimientos en Administración de Proyectos. Conocimientos sobre fundamentos de ITIL o practicante en el módulo denominado “Change Management” (Deseable). Habilidades Administrativas Facilidad de palabra Capacidad de trabajo en equipo Conocimiento de la organización Matriz RACI Una tarea muy importante es realizar un mapeo de los roles y las responsabilidades, así como su intervención en cada una de las actividades del Lineamiento de Administración de Cambio, con motivo de conocer quién toma parte en cada actividad y con qué nivel de participación. Este mapeo se lleva a cabo con una matriz llamada RACI, donde cada letra que forma su nombre es una responsabilidad específica en la actividad. A continuación se muestra la nomenclatura a utilizar dentro de la tabla RACI definida para el Lineamiento de Administración de Cambios. 10 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Código L-TI-01 Proceso asociado: Tecnologías de Información y Comunicaciones Versión 02 RESPONSABILIDAD DESCRIPCIÓN R Responsible Responsable de ejecutar la actividad. A Accountable Encargado del cumplimiento y la calidad en la ejecución de la actividad. C Consulted I Informed Aporta conocimiento y/o información para que el responsable ejecute la actividad. Rol que debe ser informado una vez que la actividad ha finalizado. A continuación se muestra la tabla RACI definida para el Lineamiento de Administración de Cambios. Dicha tabla está conformada por los siguientes conceptos: No: Número correspondiente a la secuencia de actividades del Lineamiento de Administración de Cambios Actividad: Nombre de la actividad Roles: Nombre de los roles participantes en el Lineamiento de Administración de Cambios 1020 2000 2010 2020 2030 2040 2050 2060 A R I A C R A R A I R A C R A I R A R A R A C Monitoreo y Control I Administración de Niveles de Servicio R Administración de Configuraciones A Administración de Problemas I Automático R Administración de Incidentes Administrador de Cambios Administración de Liberaciones Levantar RFC Responder encuesta de satisfacción ¿Autoriza cierre del cambio? Revisar información del RFC ¿Es posible continuar con el RFC? Rechazar RFC e Informar al usuario ¿Es un cambio estándar? Establecer a tipo de Cambio Estándar Seleccionar dentro del Modelo de Cambios Estándar Complementar información del registro CAB/ECAB 1000 1010 Especialista de Cambios Actividad Usuario o Especialista de PUC o ingeniero No. Comités Directivos Tabla RACI: 11 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Código L-TI-01 Proceso asociado: Tecnologías de Información y Comunicaciones 2070 2080 2090 2100 2110 2120 2130 2140 2150 2160 2170 2180 2190 2200 2210 2220 2230 3000 3010 Determinar información para evaluación y Planeación Determinar impacto y urgencia Producir Plan de Implementación del RFC ¿Probado? Cerrar al usuario y cerrar el RFC Realizar el diseño de la construcción y pruebas Solicitar ejecución de diseño de construcción y pruebas a Administración de Liberaciones ¿Construcción y pruebas exitosas? Solicitar ejecución de implementación a Administración de Liberaciones ¿Puede continuar el RFC? Rechazar el RFC & Informar al Usuario ¿Fue exitosa la implementación? Invocar Plan de Retorno, notificando a Admon. Liberaciones para que lo ejecute ¿Se tiene que abortar el FC? Ajustar diseño Abortar RFC Revisar RFC Revisar RFC en función de la Evaluación y Planes ¿Requerido VoBo Comité de Subdirección? C R A I R A R I I C A R A R A R C A R I A R C A R I A R A R A R C A R I A R C A R R R C A A A C Versión 02 R A R A 12 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Código L-TI-01 Proceso asociado: Tecnologías de Información y Comunicaciones 3020 4000 4010 5000 6000 6010 Votar Revisar RFC en función de la Evaluación y Planes Votar Realizar tareas adicionales Envío de encuesta de satisfacción Cierre del RFC R I/C Versión 02 A R A/I/ C R A R A I/C A I/C R A 1000 1010 1020 2000 2010 3000 3010 4000 4010 4020 5000 5010 5020 Cambio de emergencia Responder encuesta de Satisfacción Autoriza el cierre del cambio? Registrar RFC & Asegurar CMDB Actualizada Implementación Exitosa? Revisar RFC Actualizar estado de RFC e informar al usuario Construcción & Pruebas ¿Pruebas exitosas? Implementar RFC Requerimiento Urgente Rechazado ¿Es un cambio Urgente? Requiere Construcción y pruebas? Monitoreo y Control Administración de Niveles de Servicio Administración de Configuraciones Administración de Problemas Administración de Incidentes Administrador de Cambios Automático I I Administración de Liberaciones R Comités Directivos Actividad CAB/ECAB No. Usuario , dueños de procedimiento, especialista de PUC o ingeniero Especialista de Cambios Tabla RACI No2: A/I R A R I A I R I A I I R I A/I I A/R I I A/R I I/C I/C I I I R A/I I I R A/I I I R A/I R R R A/I A/I A/I c C 13 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Código L-TI-01 Proceso asociado: Tecnologías de Información y Comunicaciones 6000 Envío de encuesta de satisfacción Cierre del RFC 6010 R I R Versión 02 A A Políticas para normar el Lineamiento de Administración de Cambios Las políticas del Lineamiento de Administración de Cambios se han creado con el objetivo de: Dar gobierno al Lineamiento de la Administración de Cambios Cumplir con los requerimientos de Área de Tecnología y Sistemas de Información Cumplir con las mejores prácticas de ITIL® A continuación las políticas del Lineamiento: Todos los cambios sin excepción deberán seguir el Lineamiento de Administración de Cambios, el cual garantice que los cambios solicitados han sido evaluados, autorizados, probados, aceptados y documentados con la finalidad de evitar impactos negativos en la calidad, confidencialidad, integridad, disponibilidad y funcionalidad de los sistemas y servicios. El Lineamiento de Administración de Cambios debe tener un único Dueño del procedimiento (Administrador), el cual es el responsable de garantizar el óptimo desempeño y calidad del procedimiento. El Administrador de Cambios define y asigna los perfiles de acceso en la herramienta de manejo de Cambios. Las claves de acceso de la herramienta de manejo de Cambios son personales, únicas e intransferibles. Todo cambio solicitado debe quedar registrado y documentado en la herramienta de manejo de Cambios. Todas las solicitudes de cambio deben realizarse a través del formato oficial, Solicitud de Cambio: RFC, el cual debe estar debidamente diligenciado. Ver Formato Acta del CAB - F-TI-04. Todos los cambios registrados deben indicar el tipo de cambio que se estará tratando (Estándares, Normales y de Emergencia). La evaluación de la prioridad de un cambio debe considerar el número de usuarios afectados y la criticidad del servicio. Los cambios programados serán integrados en el documento de Calendario de Cambios y Mantenimientos, y la última versión de este documento estará disponible para todos los usuarios de la Presidencia de la República. La publicación del Calendario de Cambios y mantenimientos será almacenada para su consulta. Los cambios tipificados como emergencia, deberán seguir el procedimiento de Cambios de Emergencia. Ver Procedimiento de Cambios de Emergencia - P-TI-22. El CAB, los Comités Directivos y el CAB de Emergencia de la Presidencia de la República son los únicos roles autorizados para la aprobación de los cambios. Los cambios tipificados como estándares tendrán aprobación implícita, y deberán de estar incluidos en la lista de cambios estándares en la herramienta de manejo de cambios. Un cambio estándar deberá estar autorizado por el CAB y contar con el procedimiento de ejecución documentado en la Base de Datos de Conocimientos. El Administrador de Cambios en conjunto con los Especialistas de Cambios, previo a la reunión del CAB, revisarán los cambios a evaluar, con el fin de determinar los asistentes, que estén directamente involucrados con los cambios a evaluar. 14 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 El CAB y ECAB deberá estar formado por el Administrador de Cambios, Especialistas de Cambios y/o por alguno de los siguientes roles: a. Administrador de incidentes b. Administrador de problemas c. Administrador de liberaciones d. Administrador de configuración e. Especialistas de cambios f. Proveedor y/o representante g. Usuarios h. Clientes y/o usuarios El CAB se reunirá a solicitud de los especialistas, siendo el acta del CAB la evidencia de dichas reuniones. Los cambios tipificados como de emergencia se implementaran lo más rápido posible y después de implementado se realizará el respectivo registro y documentación. La administración de cambios es la responsable de que se le comunique los cambios implementados a la Administración de Configuraciones, para su respectiva actualización de la CMDB. Una vez implementado el cambio, se enviará a la Administración de Configuraciones el RFC, el cual servirá como registro aprobatorio de la CMDB. El seguimiento de las actividades de mejora continua del Procedimiento de Administración de Cambios - PTI-22, será responsabilidad del Administrador de Cambios. El Punto Único de Contacto proporcionará al usuario la información del seguimiento del cambio. En caso de ausencia de las personas que cumplen un rol dentro del procedimiento, deberán designar a un representante que ejecute las responsabilidades del rol. Consideraciones claves Las Consideraciones Clave de la Administración de Cambios (o Factores Críticos de Éxito, según CobIT) son las condiciones, capacidades y actitudes fundamentales para el éxito de la implementación y operación de la disciplina en el ambiente productivo de la organización. A continuación se presentan las consideraciones clave para la Administración de Cambios: Las políticas de cambios son claras y difundidas. Las políticas de cambios son implementadas rigurosa y sistemáticamente. La Administración de Cambios está integrada fuertemente con la Administración de Liberación y es parte integral de la Administración de la Configuración. Existe una planeación rápida y eficaz, con un proceso de aprobación e inicio que cubra la identificación, categorización, valoración de impacto y asignación de prioridad de los cambios. Están disponibles herramientas que automaticen y soporten el flujo de procedimiento, planes de trabajo predefinidos y plantillas de aprobación, pruebas, configuración y distribución. Los procedimientos de aceptación de pruebas son convenientes y comprensivos, y son aplicados previo a la realización del cambio. Existe un sistema para rastrear y dar seguimiento a los cambios de manera individual, así como a los parámetros del procedimiento de cambios. Hay discriminación (distinción) de deberes entre desarrollo y producción. 15 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 Reportes Los reportes son herramientas útiles para el administrador de cambios y el área táctica de la organización, ya que muestran el comportamiento del procedimiento durante un periodo determinado. La información que proveen facilita la evaluación de la eficiencia y efectividad del procedimiento. A continuación se presenta una tabla que muestra los reportes definidos para el procedimiento de Administración de Cambios. Dicha tabla está conformada por los siguientes conceptos: Nombre: Especifica el nombre del reporte Métrica o campos que incluye: Listado de métricas y campos incluidos en el reporte Frecuencia del reporte: Lapso de tiempo en el que será generado el reporte Rol a quien se dirige: Rol al cual se dirige el reporte generado Fuente de información: Repositorio del cual se obtendrán las métricas o campos que incluye el reporte Métrica o campos que incluye Cambios por ID del cambio categoría Categoría Cambios por estado ID del cambio Estado Cambios ID del cambio relacionados con ID del incidente incidentes Nro. cambios no ID del cambio aprobados (por Causas de no aprobación causas de no aprobación) Nombre Frecuencia del reporte Mensual Mensual Mensual En línea demanda Mensual Rol a Quien se Fuente de Dirige Información Administrador de BDs de Cambios Cambios Administrador de BDs de Cambios Cambios Administrador de BDs de Cambios bajo Cambios Administrador de BDs de Cambios Cambios 5. MARCO LEGAL Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Tecnología de Información y Comunicaciones – Normograma o en el campo de documentos asociados cuando se consulta el documento. 6. REQUISITOS TÉCNICOS Estándar ISO/IEC 27001 ITIL-Guía de Mejores Prácticas Marco de Trabajo Operativo de Microsoft (MOF) Herramienta de Gestión Altiris 16 LINEAMIENTOS DE ADMINISTRACIÓN DE CAMBIOS Proceso asociado: Tecnologías de Información y Comunicaciones Código L-TI-01 Versión 02 7. DOCUMENTOS ASOCIADOS Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento. 8. RESPONSABLE DEL DOCUMENTO Jefe Área de Tecnología y Sistemas de Información 17