Blog sobre ITSM y recursos para profesionales de TI

Evaluación de riesgos de TI y prestación de servicios ITSM

En el momento en que llevamos a cabo nuestra transformación digital debemos de agregar cambios constantes a nuestros sistemas implementados, ya sea en nuestro viejo sistema o sobre las nuevas herramientas, lo cual implica riesgos para nuestra empresa que ponen en peligro nuestra inversión. Es por ello que debemos de tomar medidas adicionales para proteger a nuestra organización. En este blog hablaremos sobre los posibles riesgos en la implementación de actualizaciones ya sea de hardware y software y como prevenirlos con la ayuda de Remedyforce.

Al planificar un cambio en el centro de datos, como implementar un nuevo servidor, agregar una nueva línea de telecomunicaciones, una aplicación móvil o un servicio basado en la web, es importante comprender los riesgos y las consecuencias que pueden ocurrir después de la implementación de un nuevo proyecto. Hoy, analizaremos el papel que desempeña la evaluación de riesgos al planificar un cambio en el centro de datos en un entorno de administración de servicios de TI (ITSM) y cómo un enfoque formal de evaluación de riesgos lo ayuda a identificar, evaluar y responder a los riesgos asociados con cualquier cambio nuevo.

¿Por qué utilizar la evaluación de riesgos?

No hay cambio sin riesgo. Un riesgo es simplemente algo que introduce incertidumbre en el proceso, por lo que es posible que no obtengas el resultado que buscas. Siempre que cambies o agregues un servicio en un centro de datos corporativo o en la nube, se agrega algún riesgo al sistema.

La evaluación y la planificación de riesgos le permiten identificar riesgos potenciales en los servicios del centro de datos nuevos y modificados para determinar cómo responderá el sistema a cada uno, si ocurre.

La evaluación y planificación de riesgos pertenecen a la fase de Diseño del Servicio del Ciclo de Vida del Servicio de ITIL , donde cada riesgo potencial se puede identificar y planificar. En general, se puede responder a los riesgos de las siguientes maneras y estas respuestas informarán y afectarán el diseño del nuevo servicio, además, pueden cambiar la planificación de la gestión.

Evasión
No implementa ninguna parte del servicio que pueda desencadenar el riesgo específico. Evita el riesgo al no implementar el cambio propuesto.

Contingencia
Se ejecuta una respuesta después de que comienza a ocurrir el riesgo. El sistema busca una señal de advertencia (desencadenante) de que el riesgo está sucediendo y ejecuta un "Plan B" para hacer frente al riesgo a medida que ocurre.

Mitigación (reducción)
Toma medidas para reducir la probabilidad de que ocurra un riesgo. El riesgo aún no se ha producido, pero su planificación de mitigación de riesgos hace que sea menos probable que ocurra.

Retención
No hay planificación en respuesta a un posible riesgo. Implementa el cambio, acepta que el riesgo y las pérdidas que lo acompañan pueden ocurrir y maneja la situación después del hecho.

Del impacto a la respuesta

Al realizar la evaluación de riesgos para un nuevo servicio, es importante observar qué tan probable es que ocurra el riesgo (probabilidad ) y cuánto daño puede causar (su nivel de riesgo o impacto ).

Hay muchas formas diferentes de determinar y clasificar la probabilidad y el impacto de cada riesgo. Los riesgos generalmente se clasifican desde el impacto más alto / probabilidad más alta hasta el impacto más bajo / probabilidad más baja, y los riesgos clasificados más altos requieren más atención durante la implementación.

Las clasificaciones de riesgo pueden tener un efecto significativo en el diseño del servicio, afectando varios elementos en el proceso de entrega, que incluyen:

Respuesta de evitación
Si el riesgo es lo suficientemente grave, si tu organización puede cancelar el proyecto por completo 

Respuesta de contingencia
Qué riesgos necesitan planes de contingencia (Plan B), cuando se manifiestan

Respuesta de mitigación
Qué riesgos requieren la modificación de la prestación del servicio para reducir la probabilidad de que ocurran

¿Qué riesgos se pueden ignorar porque su probabilidad de que ocurra es demasiado baja o su impacto es mínimo en el servicio o equipo que se entrega?

Algunos paquetes de software, como BMC Remedy , incluyen cuestionarios de evaluación de riesgos automatizados para este propósito. Una vez completado, el sistema Remedy utiliza los cuestionarios para determinar los niveles de riesgo y crea un Informe de cambio que puede ayudar a determinar las próximas acciones.

La clave para la evaluación de riesgos es que una vez que comprendas los riesgos más importantes involucrados con cada cambio, la probabilidad y el impacto que conlleva cada uno, puede determinar qué respuestas (evasión, contingencia, mitigación y retención) deben emplearse para implementar con éxito el nuevo cambio.

Proyectos de evaluación de riesgos y Data Center

Generalmente podemos clasificar la mayoría de los cambios de TI en dos categorías.

Cambios de equipo
Servidores, conmutadores, firewalls, enrutadores, puntos de acceso inalámbricos, sistemas UPS, filtros web, sistemas telefónicos, generadores, etc.

Cambios en el servicio externo
Líneas de telecomunicaciones, líneas telefónicas, proveedores de servicios de Internet, proveedores de correo electrónico, servicios web, aplicaciones móviles, etc.

Dentro de estas categorías generales de cambios de equipos y cambios de servicios externos, podemos crear una tabla que muestre las categorías de riesgo específicas asociadas con los cambios del Centro de datos.

Categorías de riesgo específicas para cambios en el centro de datos

  • Error de configuración
  • Ataque cibernético
  • Equipo defectuoso
  • Falla en el equipo
  • Error humano
  • Problema legal o comercial que resulta en la pérdida del servicio
  • Desastre natural (inundación, terremoto, tornado / huracán, incendio, etc.)
  • Problema de poder (organización interna)
  • Problema de poder (organización externa)
  • El componente reemplazable falla (baterías, discos duros, ventiladores, filtros, etc.)
  • Interrupción del servicio causada por fallas del proveedor o socio comercial

Estas categorías definen los riesgos generales asociados con los proyectos del centro de datos. La mayoría de las organizaciones deberían poder identificar sus propios riesgos específicos dentro de cada categoría y poder clasificar cada riesgo por su probabilidad, impacto y respuestas. También debe considerar los riesgos estándar del proyecto, como la resistencia al cambio; problemas de personal; sobrecostos presupuestarios; acceso a recursos, etc. al planificar un proyecto de centro de datos de TI.

BMC Remedyforce es una herramienta de gestión de servicios de TI que se adapta fácilmente a las necesidades de las empresas medianas. Basado en la nube de Salesforce, le permite combinar perfectamente la gestión de operaciones de TI (ITOM) y las capacidades cognitivas para garantizar que el negocio sea eficiente, seguro y cumpla con las normas. Contacta a nuestro equipo de especialistas para encontrar la solución que se adapta a las necesidades de su negocio.

Remedyforce - Solicita una demostración

Consulta la información original en inglés.