Transcript of Libro iso20000 gestion ti telefonica aenor junio2010 completo
- 1. ISO/IEC 20000. Gua completa de aplicacin para la gestin de
los servicios de tecnologas de la informacin
- 2. Ttulo: ISO/IEC 20000. Gua completa de aplicacin para la
gestin de los servicios de tecnologas de la informacin Telefnica,
S.A. Coordinador: Luis Morn Abad AENOR (Asociacin Espaola de
Normalizacin y Certificacin), 2009 Todos los derechos reservados.
Queda prohibida la reproduccin total o parcial en cualquier
soporte, sin la previa autorizacin escrita de AENOR. Crown
copyright 2007 All rights reserved. Material is reproduced with the
permission of the Office of Government Commerce under delegated
authority from the Controller of HMSO. ITIL is a Registered Trade
Mark of the Office of Government Commerce in the United Kingdom and
other countries. The Swirl logo is a Trade Mark of the Office of
Government Commerce. The OGC logo is Registered Trade Mark of the
Office of Government Commerce in the United Kingdom. PRINCE is a
Registered Trade Mark of the Office of Government Commerce in the
United Kingdom and other countries. IT Infrastructure Library is
Registered Trade Mark of the Office of Government Commerce in the
United Kingdom and other countries. M_o_R is Registered Trade Mark
of the Office of Government Commerce in the United Kingdom and
other countries. ISBN: 978-84-8143-662-4 Depsito Legal:
M-47292-2009 Impreso en Espaa - Printed in Spain Edita: AENOR
Maqueta y diseo de cubierta: AENOR Imprime: Xxxxxx Nota: AENOR no
se hace responsable de las opiniones expresadas por los autores en
esta obra. Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103
695 comercial@aenor.es www.aenor.es Licensed Product
- 3. Este libro est dedicado a todos los profesionales de
tecnologas de la informacin y las comunicaciones que abnegadamente
han aportado sus conocimientos y experiencia para la definicin y
difusin de las normas y las mejores prcticas que marcan el camino
de evolucin de este sector.
- 4. Agradecimientos Este libro recopila las experiencias de
profesionales que estn fuertemente involu- crados en el impulso de
las normas y las buenas prcticas internacionales relativas a la
gestin de las tecnologas de la informacin y las comunicaciones. En
la creacin de esta primera edicin del libro han participado:
Direccin de la obra (Telefnica): Luis Morn Abad Direccin tcnica y
contenido final. Alejandro Prez Snchez Contenido intermedio.
Autores principales (Telefnica): Luis Morn Abad Alejandro Prez
Snchez Juan Trujillo Gaona David Bathiely Fernndez Miguel Jos
Gonzlez-Simancas Sanz Colaboradores: Paloma Garca Lpez (AENOR)
Carlos Manuel Fernndez Snchez (AENOR) Eduardo Mndez Polo
(Telefnica) Jaime Pastor Pastor (Telefnica)
- 5. Toms Hernndez Lpez (Telefnica) Carmen Fernndez Prieto
(Telefnica) Mara Luisa Lpez de Castro (Telefnica) Julio Morilla
Padial (Telefnica) Andrs Leiva Araos (Telefnica) Ronaldo Gonalves
Tiago (Telefnica) Julio Jos Ballesteros Garca (Quint Group) Luis
Miguel Rosa Nieto (EXIN Espaa) Pablo Castro Montero (Entre
parntesis se indica la empresa en la que trabajaban a fecha
01.01.2009.) El control independiente de idoneidad tcnica de los
contenidos est avalado por profesionales de itSMF Espaa y de AENOR,
junto con otros profesio- nales independientes: Carlos Lpez Alonso
(Hewlett-Packard) por itSMF Espaa Antonio Jos Rodrguez (Quint
Group) por itSMF Espaa Ana Ramos (British Telecom) por itSMF Espaa
Leopoldo Martnez-Osorio del Ro (INDRA) por itSMF Espaa Carmen
Caballero (INDRA) por itSMF Espaa Manuel Fernando Juan Martnez
(Banco de Santander) Julio Gonzlez Sanz Boris Delgado Riss (AENOR)
Agradecer tambin a la direccin de Sistemas de Informacin de
Telefnica que de forma directa ha hecho posible esta publicacin:
Mara Fernanda Torquati (Telefnica) Jos Mara Tavera Ms (Telefnica)
Fabriciano Gangoso Alonso (Telefnica) Isidro Abad Gosalvez
(Telefnica) 8 ISO/IEC 20000. Gua completa de aplicacin para la
gestin de los servicios de tecnologas de la informacin
- 6. ndice Presentacin . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . 13 Introduccin
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . 15 Captulo 1. El camino a la excelencia
ya existe . . . . . . . . . . . . . . . . . . . . . 21 1.1. Las
Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . .
23 1.2. Normas, estndares, marcos de referencia y metodologas
reconocidas en el mbito de las TI . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . 24 1.3. Entender los
entornos de normalizacin y certificacin . . . . . . . . . . . . . .
27 1.4. Las principales normas y buenas prcticas en TI . . . . . .
. . . . . . . . . . . . . 37 Captulo 2. Entender las Normas ISO/IEC
20000 . . . . . . . . . . . . . . . . . . . 51 2.1. Introduccin a
las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . .
. 53 2.2. Objeto y campo de aplicacin de ISO/IEC 20000 . . . . . .
. . . . . . . . . . . 65 2.3. La estructura de las Normas ISO/IEC
20000 . . . . . . . . . . . . . . . . . . . . . 70 2.4. Relacin
entre ISO/IEC 20000 e ITIL . . . . . . . . . . . . . . . . . . . .
. . . . . . . 75 Captulo 3. El Sistema de Gestin del Servicio de TI
(SGSTI) . . . . . . . . . . . . 79 3.1. El sistema de gestin de
tecnologas de la informacin . . . . . . . . . . . . . . 83 Captulo
4. Planificacin e implementacin de la gestin del servicio . . . . .
107 4.1. Cmo planificar e implementar la gestin del servicio . . .
. . . . . . . . . . . 111
- 7. ISO/IEC 20000. Gua completa de aplicacin para la gestin de
los servicios de tecnologas de la informacin10 Captulo 5.
Planificacin e implementacin de nuevos servicios o de servicios
modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 149 5.1. El proceso de planificacin e implementacin de nuevos
servicios o de servicios modificados . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . 153 Captulo 6.
Procesos de provisin de servicio . . . . . . . . . . . . . . . . .
. . . . . . 191 6.1. Gestin de nivel de servicio . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . 195 6.2. Generacin
de informes del servicio . . . . . . . . . . . . . . . . . . . . .
. . . . . . 237 6.3. Gestin de la continuidad y disponibilidad del
servicio . . . . . . . . . . . . . . 279 6.4. Elaboracin de
presupuestos y contabilidad de los servicios de TI . . . . . . 331
6.5. Gestin de la capacidad . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . 369 6.6. Gestin de la seguridad de la
informacin . . . . . . . . . . . . . . . . . . . . . . 403 Captulo
7. Procesos de relaciones . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . 449 7.1. Generalidades . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 7.2.
Gestin de las relaciones con el negocio . . . . . . . . . . . . . .
. . . . . . . . . . 457 7.3. Gestin de suministradores . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . 485 Captulo
8. Procesos de resolucin . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . 535 8.1. Antecedentes . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
8.2. Gestin del incidente . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . 545 8.3. Gestin del problema . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 589 Captulo 9. Procesos de control . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . 619 9.1. Gestin de la
configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . 623 9.2. Gestin del cambio . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . 661 Captulo 10.
Procesos de entrega . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 693 10.1. Gestin de la entrega . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . 697 Captulo 11.
La certificacin conforme a ISO/IEC 20000 de la gestin del servicio
de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 733 11.1. La primera certificacin conforme a ISO/IEC 20000 .
. . . . . . . . . . . . . 737 11.2. Evidencias y registros
importantes en una certificacin . . . . . . . . . . . . . 751
- 8. ndice 11 Bibliografa y referencias . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . 763 Trminos y
definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . 767
- 9. Presentacin Las tecnologas de la informacin son cada da ms
necesarias en la gestin de las empresas. Este sector, en su
evolucin hacia la madurez, ha ido generando diversos conjuntos de
mejores prcticas que ayudan a las organizaciones a gestionar estos
entornos tec- nolgicos cada vez ms complicados y, por otra parte,
ms esenciales. Este libro nace con la intencin de ayudar a todo
tipo de empresas en la gestin de la actividad de sus departamentos
informticos. Profesionales de Telefnica y de AENOR han puesto su
mejor empeo en explicar y aportar sus aos de experien- cia en este
mbito. Para ello, se ha utilizado como eje vertebrador las Normas
UNE-ISO/IEC 20000, que se enriquecen con las buenas prcticas de
otros marcos como ITIL. Los autores han desarrollado una buena gua
sobre la forma de incorporar estas mejores prcticas de la industria
en la gestin diaria de las tecnologas. Esta publi- cacin ayudar a
las empresas a adoptar los ltimos avances en la forma de organizar
las actividades que contribuyen a que el mundo tecnolgico sea
operativo y rentable para las organizaciones y para la sociedad.
Esperamos que todo su contenido sea de gran utilidad en la mejora
de los servicios de tecnologas de la informacin prestados en su
organizacin. Telefnica
- 10. Durante la dcada de los aos 50, algunas predicciones
futuristas imaginaron que, para el ao 2000, los coches seran
capaces de volar, se ira de vacaciones a Marte, y que Estados
Unidos podra llegar a contar con nada menos que trescientos mil
ordenadores. En 1947 el director de una famosa multinacional del
sector predijo que en el mundo slo habra mercado para 5
ordenadores. Estas predicciones hoy en da nos parecen ridculas,
unas por lo exageradas, y otras por que se han que- dado muy
cortas. Las tecnologas de la informacin y las comunicaciones han
avanzado mucho ms de lo esperado, pero despus de poblar el mundo de
dispositivos de silicio, con unas capacidades de proceso
inimaginables, nos encontramos con un panorama desalentador:
Equipos que se bloquean. Sistemas que se caen. Servicios que se
interrumpen. Atencin al usuario deficiente. Prdidas de tiempo y de
productividad de los usuarios. Personal tcnico desbordado por
llamadas y peticiones de asistencia. Directores de sistemas de
informacin que ven cmo, a pesar del esfuerzo con- tinuo de su
equipo, el roce y el malestar con el resto de la empresa no cesan.
Por ello, no es de extraar que encontremos frecuentemente que los
departamentos de las tecnologas de la informacin (TI) se consideren
ms una carga que una ayuda para el negocio. Introduccin
- 11. 1 Para facilitar la lectura, en el resto del libro se ha
optado por utilizar el mismo trmino ISO/IEC 20000 para referirse a
estas normas, tanto para la serie UNE, como para la serie ISO/IEC.
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los
servicios de tecnologas de la informacin16 La dinmica industria de
tecnologas de la informacin y las comunicaciones (TIC), que es
capaz de duplicar la capacidad de proceso y de almacenamiento cada
ao y medio, lleva desarrollando, en paralelo al avance tecnolgico,
metodologas de trabajo que van ofreciendo soluciones de gestin a
estos retos planteados. El sec- tor de las TIC ha ido creando
distintas disciplinas para cubrir algunas de las facetas que
necesita la gestin global de las TIC en la empresa. Soluciones que
no siempre se han aplicado con el ahnco y el rigor necesarios.
Parece lgico que los organismos de normalizacin internacionales,
como ISO (Inter- national Organization for Standardization,
Organizacin Internacional de Normaliza- cin) e IEC (International
Electrotechnical Commission, Comisin Electrotcnica Internacional),
propicien la elaboracin de normas que van consolidando las prcti-
cas establecidas relativas a la organizacin del trabajo en las reas
de TI. Adems, estos organismos de normalizacin disponen de
mecanismos de trabajo asentados que garantizan una amplia
participacin de los agentes del sector de las TIC. Este es el caso
de las Normas ISO/IEC 20000, partes 1 y 2, y sus traducciones
oficiales al castellano, publicadas por AENOR como Normas
UNE-ISO/IEC 200001 en junio de 2007. El presente libro se centra en
explicar la aplicacin de estas dos normas. Las Normas ISO/IEC 20000
definen los procesos y las actividades esenciales para que las reas
de TI puedan prestar un servicio eficiente y alineado con las
necesida- des de la empresa u organizacin. Estas normas,
construidas sobre la base del modelo ITIL, se centran
principalmente en la ordenacin de las disciplinas de soporte y
provisin de servicios de TI. Son normas especficas para la gestin
de los servicios que ofrecen las reas o los proveedores de
tecnologas de la informacin. Las Normas ISO/IEC 20000 no son de
ndole tcnico, ni tecnolgico. En ellas se describen los principales
flujos de actividades (agrupados en forma de procesos) cuyo fin es
lograr una entrega efectiva y con la calidad requerida de los
servicios a los clien- tes y usuarios. Adems, definen un sistema
reconocido y probado de gestin que per- mite a los proveedores de
TI (ya sean reas internas u organizaciones externas) plani- ficar,
gestionar, entregar, monitorizar, informar, revisar y mejorar sus
servicios. Objeto del libro Este libro se centra en explicar y
facilitar la comprensin de las Normas ISO/IEC 20000 con un enfoque
prctico, para que su implantacin resulte efectiva en
- 12. Introduccin 17 cualquier tipo de organizacin que provea
servicios de tecnologa, tanto interna- mente a su organizacin como
externamente al mercado, tanto en grandes orga- nizaciones como en
pequeas o medianas empresas. Este libro va dirigido a todos los
profesionales del mbito de las tecnologas de la informacin y las
comunicaciones que estn involucrados en la provisin de servi- cios.
Resultar imprescindible tanto a los responsables de su gestin, como
a cual- quier otro profesional de TI: direccin, gestores,
responsables de procesos, consul- tores, tcnicos, personal de
soporte, etc. Al avanzar en este libro, el lector constatar que la
industria ya ha normalizado gran parte del conjunto de actividades
necesarias para que los servicios propor- cionados por las TI sean
fiables y eficientes. Cubren desde las actividades del da a da
inmediato, como es la atencin a los incidentes y peticiones, hasta
la defi- nicin de una estrategia que permita continuar prestando
los servicios en caso de catstrofe, todo ello, sin olvidar
conceptos como la planificacin o la mejora continua. Persiguiendo
este fin ltimo de utilidad, los contenidos de cada apartado, adems
de incluir ntegramente la norma, se han enriquecido con otras
buenas prcticas ITIL y con la amplia experiencia profesional de los
autores. Por tanto, este libro pretende ser una gua completa de
aplicacin, una ayuda y una razonable interpretacin de estas normas.
No pretende sentar jurisprudencia al respecto. Los autores dan por
hecho que puede haber otras formas de aplicar o interpretar las
directrices de las normas, ya que las particularidades de cada
negocio y organizacin tienen gran influencia. Estructura del libro
Se ha puesto nfasis en que los contenidos ayuden a la transformacin
real y per- ceptible de la gestin de las TI en toda empresa que se
inicie en el camino de la apli- cacin de ISO/IEC 20000. El captulo
1 El camino a la excelencia ya existe, introduce al lector en las
nue- vas tendencias de gestin de las TI, como son: la orientacin a
procesos, la cali- dad, las normas y las mejores prcticas. La
intencin del captulo es presentar el amplio, y cada vez ms
complejo, entorno normativo y de mejores prcticas. Se conocer
quines son los principales actores en estos mbitos y se tendr una
primera aproximacin de cmo se posiciona cada norma o iniciativa.
Este cap- tulo es un paso previo, que proporciona una visin general
de todo este escena- rio internacional, antes de zambullirse en las
especificidades de las Normas ISO/IEC 20000.
- 13. El captulo 2 Entender las Normas ISO/IEC 20000 las
posiciona en el mbito global de las TIC, para pasar despus a
explicar su alcance, su estructura, sus coin- cidencias y las
principales diferencias frente a ITIL. Este captulo resulta
esencial para entender adecuadamente los siguientes. Para facilitar
la comprensin, el ncleo central del libro, desde el captulo 3 al
10, se organiza siguiendo una estructura de captulos y numeracin de
apartados para- lela a las normas de referencia. En la figura I.1
se muestra este paralelismo inten- cionado. El captulo 3 El Sistema
de Gestin del servicio de TI (SGSTI), explica este con- cepto que
suele resultar nuevo para los profesionales de las TIC no
acostumbrados a los sistemas de gestin definidos en la normativa de
calidad ISO. Explica con detalle la creacin de un sistema de gestin
aplicado a la provisin y soporte del servicio de tecnologas de la
informacin. Este sistema de gestin constituye en s mismo el diseo
de las nuevas formas de hacer que transformarn el servicio de TI.
Su utilizacin ofrece un valor aadido y permitir alcanzar una
posicin diferencial a las organizaciones que lo implementen. En el
captulo 4 Planificacin e implementacin de la gestin del servicio,
se trata la implantacin de las Normas ISO/IEC 20000. Explica la
forma de organizar y lle- var a cabo esta transformacin que suponen
las nuevas formas de hacer, acordes con estas normas y definidas en
el sistema de gestin. Se explican los aspectos que hay que tener en
cuenta previos a la implantacin, para entrar posteriormente en el
ciclo de mejora continua. Se sigue el enfoque a las cuatro etapas
del ciclo de mejora con- tinua (PDCA, de Deming o de Shewhart), que
tambin se explica en este captulo. Los captulos del 5 al 10 se
corresponden con los principales procesos identificados en la
gestin del servicio relativos a: creacin, provisin, relaciones,
resolucin, control y entrega del servicio. En el libro, tambin se
ha considerado que las empresas, adems de mejorar sus ser- vicios
de TI, quieren obtener una certificacin que les acredite ante su
Direccin o ante sus clientes de la conformidad de su gestin frente
a los requisitos de estas nor- mas de referencia. A este respecto,
el captulo 11 es una gua que explica el proceso habitual para
obtenerla. El libro se ha preparado para que se pueda leer en tres
recorridos diferentes: Recorrido 1: lectura rpida. Paso rpido por
los conceptos del libro, sin profundizar en los procesos. Este
recorrido pasa por la lectura de los captu- los 1, 2 y 3 en
detalle, pues contienen conceptos y posicionamientos que nadie
debera descartar. A partir de este punto, el resto de los captulos
y pro- cesos tienen su introduccin y grficos que resumen los
principales concep- tos que todo involucrado en las TI debera
conocer. 18 ISO/IEC 20000. Gua completa de aplicacin para la gestin
de los servicios de tecnologas de la informacin
- 14. 19Introduccin 1 Objeto y campo de aplicacin 2 Trminos y
definiciones ndice de las Normas ISO/IEC 20000 0 Introduccin 1 El
camino de la excelencia ya exite 2 Entender las normas ISO/IEC
20000 Bibliografa 11 La certificacin conforme a ISO/IEC 20000 de la
gestin del servicio de TI 11.1 La primera certificacin conforme a
ISO/IEC 20000 11.2 Evidencia y registros importantes en una
certificacin 12 Bibliografa y referencias 13 Trminos y definiciones
ndice del libro ISO 20000 4 Planificacin e implementacin de la
gestin del servicio 5 Planificacin e implementacin de nuevos
servicios o de servicios modificados 6 Procesos de la provisin del
servicio 6.1 Gestin de nivel de servicio 6.2 Generacin de informes
del servicio 6.3 Gestin de la continuidad y disponibilidad del
servicio 6.4 Elaboracin de presupuesto y contabilidad de los
servicios de TI (gestin financiera de TI) 6.5 Gestin de la
capacidad 6.6 Gestin de la seguridad de la informacin 7 Procesos de
relaciones 7.1 Generalidades 7.2 Gestin de las relaciones con el
negocio 7.3 Gestin de suministradores 8 Procesos de resolucin 8.1
Antecedentes 8.2 Gestin del incidente 8.3 Gestin del problema 9
Procesos de control 9.1 Gestin de la configuracin 9.2 Gestin del
cambio 10 Proceso de entrega 10.1 Proceso de gestin de la entrega 3
Requisitos de un sistema de gestin 3 El Sistema de Gestin del
Servicio de TI (SGSTI) Figura I.1. La estructura del libro
transcurre paralela a las Normas ISO/IEC 20000
- 15. Recorrido 2: lectura secuencial y a fondo. De principio a
fin, que es la recomendada por los autores. Recorrido 3: manual de
consulta. La estructura del libro con temtica independiente permite
utilizarlo tambin como manual de consulta, acce- diendo
directamente a cada proceso. 20 ISO/IEC 20000. Gua completa de
aplicacin para la gestin de los servicios de tecnologas de la
informacin
- 16. 1.1. Las Normas ISO/IEC 20000 son parte del camino a la
excelencia 1.2. Normas, estndares, marcos de referencia y
metodologas reconocidas en el mbito de las TI 1.3. Entender los
entornos de normalizacin y certificacin 1.4. Las principales normas
y buenas prcticas en TI Captulo 1 El camino a la excelencia ya
existe1 38500 CMMI ITIL 9000 20000 27001 COBIT
- 17. 1.1. Las Normas ISO/IEC 20000 son parte del camino a la
excelencia Comparando la gestin habitual de las tecnologas de la
informacin con otras reas de la empresa, podremos encontrar que, en
las ms avanzadas, existen mode- los de gestin firmemente
establecidos que las hacen parecerse al modelo de una orquesta
sinfnica en la que, si bien cada msico es un excelente especialista
en su instrumento, es en la interpretacin del concierto cuando la
orquesta demuestra su autntico valor actuando como un todo. En
cambio, las reas que gestionan sistemas tecnolgicos han puesto
tradicional- mente el foco en el conocimiento y dominio de la
tecnologa. Es esencial y obvio que se necesitan buenos tcnicos para
el diseo, la construccin y el mantenimiento del hardware y del
software. Sin embargo, la situacin actual refleja que el control de
la tcnica, aunque totalmente imprescindible, no es suficiente para
satisfacer todo lo que la empresa demanda de las reas de TI. Queda
una importante asigna- tura pendiente que, por ms que se invierta
en tecnologa y en tcnicos, no se con- sigue resolver: actuar
perfectamente engranados, todos juntos y bien coordinados para
conseguir un fin comn: ser cada vez ms eficientes en costes y
capaces de evolucionar con la agilidad tpica del ecosistema
Internet (objeto de deseo de todos los negocios para sus reas de
TI). Los responsables de los departamentos de TI deben responder a
importantes des- afos: la eficiencia en costes, la calidad, el
cumplimiento de plazos, la agilidad y la satisfaccin de los
clientes y usuarios estn entre ellos. La gestin de las TI debe
evolucionar desde los modelos artesanales hacia formas de hacer ms
industrializa- das. Implementar formas de trabajo repetibles,
mejorando la calidad de lo cons- truido, la fiabilidad de los
servicios o aumentando la capacidad de produccin de la organizacin,
todo ello, dentro de un nuevo entorno ms fluido en las relaciones y
que genere menos estrs en las personas. En esta evolucin, las
buenas prcticas sectoriales recogidas en las Normas ISO/IEC 20000,
en los libros ITIL, en otras normas y marcos de referencia, marcan
el camino a recorrer para alcanzar la exce- lencia en la gestin de
las TI. Del mismo modo que un abogado debe conocer las leyes para
ejercer su profesin, o un arquitecto la legislacin y reglamentacin
sobre urbanismo y edificacin; la direccin y los profesionales de
los departamentos de TI deben conocer con detalle el conjunto de
buenas prcticas, normas o estndares que se estn consolidando en su
propio sector. La actividad de los directivos y profesionales de
las TI, debe pasar por conocer con detalle la normativa y marcos de
las mejores prcticas aceptados por el mercado, para aplicarlas
posteriormente en su organizacin. Este es un buen camino para la
mejora de las actividades. 231. El camino a la excelencia ya existe
38 50 0 CMMI ITIL 9000 20000 27001 COBIT
- 18. 1.2. Normas, estndares, marcos de referencia y metodologas
reconocidas en el mbito de las TI El mundo de la ciencia est
empeado en la bsqueda de una ley universal que sea vlida tanto para
el mundo del tomo como para las grandes galaxias. De manera anloga,
en el mbito de las TI todava no se ha conseguido definir un modelo
for- mal universal de toda su actividad que contemple desde la ms
detallada tarea tc- nica, hasta la definicin al ms alto nivel de la
estrategia alineada con el negocio. El inters por mejorar las
actividades de las TI ha hecho que se hayan ido desarro- llando
varios marcos o modelos que cubren las principales parcelas de la
gestin y del conocimiento. A veces son complementarios entre s, en
otros aspectos se sola- pan y, con frecuencia, presentan enfoques
distintos sin ofrecer una integracin clara con otros modelos o
aproximaciones. A pesar de ello, es indudable la utilidad de
trabajar con stos modelos de referencia ya definidos y los
beneficios que aportan a las organizaciones que los utilizan como
base para avanzar. Una buena representacin que permite realizar una
primera aproximacin a este mundo en ebullicin de normas, modelos y
marcos de referencia, es la realizada por la consultora Gartner
Group, presentada en la figura 1.1. En ella, se posicionan las
normas en funcin de dos conceptos: el mbito de aplicacin y el tipo
de uso de la normativa. El mbito de aplicacin de las normas ocupa
las columnas de la tabla y se divide en dos alcances: el general de
la empresa y las disciplinas especficas de TI (gobierno de TI,
gestin del servicio de TI, funciones de TI y tecnologa). El tipo de
uso de la normativa se representa en tres filas: normativa con foco
en la evalua- cin de la actividad, directrices y mejores prcticas,
y la normativa de carcter ms prescriptivo. La tabla original de
Gartner se ha actualizado con la contribucin de los autores,
incorporando nuevas normas y marcos de referencia, como: ITIL v3,
CMMI for Services, ISO/IEC15504, ISO/IEC 38500, ISO 9004, ISO14001,
ISO 90003, ISO/IEC 27001, PRINCE2, ISPL, ASL y DSDM). La dinmica de
este sector har que en breve aparezcan nuevas normas y estndares
para incorporar a ste grfico. Entre estos modelos o recomendaciones
destacan las Normas ISO/IEC 20000, que compiten por un
reconocimiento en este campo. El hecho de llegar con el res- paldo
de los organismos de normalizacin internacionales, es un claro
empuje para que se asiente como un referente en la sociedad. Como
adems, se han publicado tambin como norma nacional en muchos pases,
cumplen todo lo necesario para que los gobiernos puedan incluirlas
en sus legislaciones o regulaciones (pudiendo llegar a convertirse
en obligatorias). 24 ISO/IEC 20000. Gua completa de aplicacin para
la gestin de los servicios de tecnologas de la informacin
- 19. El veterano marco ITIL destaca como el gran compendio de
referencia, que aspira a convertirse en ese modelo universal que
estructura y organiza toda la actividad de las TI. Si bien la
versin 2, publicada en el ao 2000, ha tenido una aceptacin
excepcional, hay que esperar a ver cmo el sector va adoptando la
nueva versin 3, publicada en el ao 2007, y que presenta una visin
ms amplia y coherente de la gestin de las TI, agrupada en torno al
ciclo de vida del servicio. El marco para el desarrollo de software
CMMI (Capability Maturity Model Integra- tion) aparece como el
modelo ms aceptado para la medicin de la madurez de los procesos de
gestin en la construccin de aplicaciones. Para complicar ms el
pano- rama, en su ltima versin se crea un nuevo modelo CMMI for
Services, que se superpone en gran medida con el mbito central de
ITIL; y por tanto, tambin con las Normas ISO/IEC 20000. Adems, para
los procesos y medicin de la madurez del desarrollo, tambin la
normativa internacional inici desde 1993 su andadura. ISO e IEC han
desarrollado un modelo para la evaluacin de los procesos de desa-
rrollo de software bajo la iniciativa SPICE que ha desembocado en
la publicacin de la serie ISO/IEC 15504. En paralelo, han ido
evolucionando otro conjunto de normas relativas a la ingeniera del
software (ISO/IEC 15288, ISO/IEC 12207, ISO/IEC 25001, ISO/IEC
25030, ISO/IEC 16085, etc.). 251. El camino a la excelencia ya
existe 38 50 0 CMMI ITIL 9000 20000 27001 COBIT Figura 1.1. Mapa de
las diferentes normas y marcos de referencia relacionados con las
TI Fuente: Gartner y e.p. mbito de la empresa mbito especfico de
TIp p Calidad y medio ambiente Empresa Gobierno TI Gestin del
servicio de TI Funciones de TI (desarrollo, seg., etc.) Tecnologa
ambiente ( , g , ) uacin P l Ticket SAS 8000 SPICE ISO/IEC 15504
Evales ACC CoCo FEAF TOGAF People CMMI TQM King COBIT CMMI for
Services ITIL v3 CMMI ITIL v2 ASL ISO 90003 ISO ISO/IEC 17799 o
27002 ISO/IEC 27001SO ISO 9001 so Directrice COSO Zachman TOGAF
PMBOK eTOM (Telcos) SAS 70 ITIL v2 MOF ISO/IEC 20000 ISPL DSDM BS
25999 PAS 77 ISO/IEC 38500 ISO 14001 EFQM ISO 12207 27001ISO 9004
9001 Tipodeus rescriptivo TL 9000 PMBOK CORBA SOA XML Lean 6 Sigma
RUP SAS 70 PRINCE2 SOX Pr SOA
- 20. La gestin de la seguridad de los sistemas de informacin ha
sido una de las reas ms difundidas en el entorno normativo de las
TI, con las normas UNE-ISO/ IEC 27001 (sistema de gestin de
seguridad) y UNE-ISO/IEC 17799 (un cdigo de buenas prcticas para la
gestin de la seguridad de la informacin), que se ha renumerado como
UNE-ISO/IEC 27002. Recientemente han apare- cido unas normas
britnicas sobre la gestin de la continuidad de negocio, deno-
minadas BS 25999. En el mbito de la auditora, medicin y gobierno de
TI el modelo COBIT (Con- trol Objectives for Information and
Related Technology) est reconocido como una excelente referencia.
En relacin al gobierno de las TI, la normativa internacional de ISO
ha tomado posiciones con la nueva Norma ISO/IEC 38500 Corporate
Governance of Information Technology (tambin denominada en sus
etapas de borra- dor como 29382), inspirada en la Norma australiana
AS 8015. Como un hijo menor del modelo COBIT, para la medicin del
valor que aportan las TI al negocio, se ha definido un nuevo
sub-marco denominado ValIT. En relacin a la gestin de proyectos de
desarrollo de software, el marco lder es PMBOK (Project Management
Body of Knowledge), una metodologa reconocida por el organismo
norteamericano de normalizacin ANSI. Tambin hay que tener en cuenta
el modelo PRINCE2 (Projects In Controlled Environments) que, reali-
zado por los impulsores de ITIL, es ms sencillo que el anterior, y
resulta de utili- dad para proyectos de mejora y de implantacin de
ITIL o de ISO/IEC 20000. Otros modelos que se complementan o
solapan con los anteriores, aunque con poca aceptacin en el sector
de las TI son: en el mbito de la gestin de proveedo- res ISPL
(Information Services Procurement Library), para disponer de un
mapa completo en la construccin de aplicaciones: ASL (Application
Services Library) o DSDM (Dynamic Systems Development Method). Por
su importancia y universalidad, tambin hay que tener en cuenta la
serie de normas internacionales ISO 9000, familia de normas y
directrices que contienen los requisitos para la gestin de la
calidad general de una organizacin. Dentro de esta serie destaca la
Norma UNE-EN ISO 9001, que contiene los requisitos del sistema de
gestin de la calidad, tambin esencial para la implantacin de las
Nor- mas ISO/IEC 20000. La Norma UNE-EN ISO 9004 contiene
recomendaciones prcticas para aquellas empresas que quieran ir ms
all de los requisitos mnimos establecidos en UNE-EN ISO 9001. En el
mbito de la calidad aplicada al desarrollo de software, tambin hay
que consi- derar la Norma UNE-ISO/IEC 9003 que versa sobre las
directrices para la apli- cacin de la Norma UNE-EN ISO 9001 al
desarrollo de software. Por otra parte, la Norma ISO/IEC 12207
proporciona un marco para los procesos, actividades y tareas
relacionadas con el ciclo de vida del software. 26 ISO/IEC 20000.
Gua completa de aplicacin para la gestin de los servicios de
tecnologas de la informacin
- 21. Por otra parte, los temas medioambientales tambin tienen su
impacto en la ges- tin de TI. Deben tenerse en cuenta: la
legislacin nacional, local y la normativa sobre retirada y gestin
del equipamiento y residuos informticos; la serie de Nor- mas
ISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe
tam- bin la Norma UNE 150002 Sistemas de gestin medioambiental. Gua
para la apli- cacin de la norma UNE-EN ISO 14001:1996 en las
empresas de servicios y la gua para la aplicacin de los sistemas de
gestin medioambiental a las relaciones con sumi- nistradores y
clientes, denominada UNE 150004 EX; o el Cdigo de Conducta para la
Eficiencia Energtica en Centros de Datos publicado por la Unin
Europea. Tanta abundancia de informacin y recomendaciones resulta
confusa para las orga- nizaciones que slo desean soluciones
prcticas y directas para mejorar su gestin de las TI. De todo el
mapa anterior, se recomienda centrarse inicialmente en las normas y
marcos de mayor relevancia y ms aceptados para la mejora de TI,
como son: ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y
3) para mejorar la gestin de los servicios de TI. COBIT para la
auditora y la medicin de las TI. ISO/IEC 27001 para la gestin de la
seguridad de la informacin. ISO/IEC 15504 y CMMI for Development
para la gestin del desarrollo de software. ISO/IEC 38500 y COBIT
como referencias para el gobierno de las tecnologas de la
informacin. 1.3. Entender los entornos de normalizacin y
certificacin Tiene gran inters conocer quin es quin en el mbito de
la normalizacin y la definicin de las buenas prcticas relacionadas
con la provisin de servicios de TI. Concurren en este espacio:
organizaciones internacionales y europeas de carcter multisectorial
que producen normas (como ISO, IEC, CEN, CENELEC, ETSI, UIT),
organismos de normalizacin nacionales (AENOR en Espaa, BSI en UK,
etc.), administraciones pblicas e instituciones gubernamentales
(como OGC en UK, DoD en los EEUU), organizaciones privadas (itSMF,
ITGI), universidades (Carnegie Mellon), junto a otros organismos
del mundo de la certificacin y acre- ditacin de empresas. La figura
1.2 presenta en forma de tabla los principales acto- res. En las
columnas se muestran las instituciones generadoras de normativas y
271. El camino a la excelencia ya existe 38 50 0 CMMI ITIL 9000
20000 27001 COBIT
- 22. marcos de mejores prcticas (organismos de normalizacin
internacional, organis- mos de normalizacin en cada pas y las
principales iniciativas de organizaciones privadas aunque algunas
con el respaldo indirecto gubernamental). Las filas enu- meran
algunos organismos e instituciones. Bajo el concepto de promotor se
inclu- yen quin est principalmente detrs de las iniciativas
respaldando a las institucio- nes. Finalmente se presentan algunas
normas y marcos de cada mbito. En el mbito de la normalizacin
internacional, los organismos de normalizacin internacionales (ISO,
IEC, UIT) y los europeos (CEN, CENELEC, ETSI) dispo- nen de
procedimientos estables que garantizan la participacin de los pases
miem- bros y de la industria local. Aunque cada organismo tiene
procedimientos especfi- cos para la realizacin de la normativa, en
todos est garantizada la participacin de los pases y de sus
representantes. Para garantizar la representacin se utilizan
estruc- turas de comits, subcomits y grupos de trabajo
internacionales, que frecuente- mente se reflejan en estructuras
similares en los pases. Por tanto, no hay un ciclo nico para la
creacin de las normas, aunque todos se basan en la representacin de
los organismos de normalizacin de los pases a travs de sus miembros
nacionales (AENOR, BSI, DIN, etc.) como instrumento para garantizar
la participacin nacional. 28 ISO/IEC 20000. Gua completa de
aplicacin para la gestin de los servicios de tecnologas de la
informacin Figura 1.2. Actores en el mbito de la normalizacin
relacionados con las TI Fuente: Telefnica Normalizacin
internacional Normalizacin y acreditacin segn el pas Principales
iniciativas privadas OGC Carnegie ITGI PMI Espaa: AENOR - ENAC UK:
BSI - UKAS ISO CEN Organismose nstituciones Mellon UK: BSI - UKAS
USA: ANSI Alemania: DIN - TV Argentina: IRAM Chile: INN Mxico: DGN
IEC CENELEC UIT ETSI O ies Mxico: DGN Per: INDECOPI Australia: SA
Gobiernos Gobierno del pas OGC (UK) DoD (USA) ISACA (USA) PMI (USA)
Promotore (UK) Participan los lderes y gurs de la industria TI
(USA) (USA) (USA) itSMF SEI y ESI Participan comits normalizacin
pases Participa industria local itSMF Espaa y GT-25 (en UNE-ISO
20000) ormas PMBOKISO 9001 COBITCMMIITILISO 27001 BS 15000 ISO/IEC
20000 ISO/IEC 27001ISO 20000 ISO/IEC 20000 ISO 17799- 27002 (en UNE
ISO 20000) No Prince2BS 25999 PAS 77AS 8015 ISO/IEC 17799 27001
ISO/IEC 38500 27002
- 23. Por otra parte, el mbito de las denominadas iniciativas
privadas (ITIL, CMMI, COBIT, etc.) se centra principalmente en el
desarrollo de marcos de mejores prc- ticas y no de normativa. Los
procedimientos y la gestin de la representacin del sector quedan a
la libre eleccin de la institucin u organismo que impulsa la ini-
ciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa
en una llamada pblica de participacin para trabajar en la siguiente
edicin de estos marcos a la que suelen responder los principales
actores internacionales y gurs en la materia. El proceso de
seleccin del equipo de revisin es especfico de cada institucin, as
como el procedimiento de edicin de la nueva versin del marco de
referencia. Como se puede intuir hay que ser un autentico
especialista en la materia para com- prender los diversos esquemas
y estructuras que se han ido creando alrededor de la normalizacin y
marcos de mejores prcticas. Por la vinculacin con la temtica de
este libro se explican los procesos de creacin de las normas
ISO/IEC y de las nor- mas UNE espaolas: Ciclo de creacin de las
normas ISO/IEC. Una norma internacional se desarro- lla en el mbito
de los comits tcnicos y de los subcomits tcnicos de ISO y de IEC.
El proceso sigue seis etapas: propuesta, preparatoria, comit,
consulta, apro- bacin y publicacin. En este proceso, el documento
propuesta de norma pasa por tres estados que indican el grado de
aceptacin y apoyo que se va alcanzando de los diversos borradores:
CD (Committee Draft): es un borrador generado por un grupo de
trabajo, que ha recibido la aprobacin del grupo y se remite al
comit correspon- diente para su aprobacin. DIS (Draft of
International Standard): es el borrador de norma internacio- nal
que el comit de normalizacin ha aprobado y somete a comentarios y
votacin por parte de los pases. FDIS (Final Draft of International
Standard): es el borrador final de la norma internacional, que el
comit enva para su aprobacin final a todos los miembros para su
publicacin final como norma internacional. En la etapa 2, o
preparatoria, se emite el borrador de la norma en fase CD. En la
etapa 3 se aprueba el borrador para pasar al estado de borrador de
comit (DIS) que ser sometido a aprobacin en la etapa 4 o de
consulta. As, el borrador apro- bado pasa al estado de borrador
final de norma internacional (FDIS) que ser sometido para su
aprobacin definitiva en la etapa 5. Adems, existe el procedimiento
rpido de aprobacin, o fast-track, para documen- tos con un grado
alto de madurez, como es el caso de normas locales que se quie- ran
elevar a internacionales. En este caso, primero se somete a una
votacin para 291. El camino a la excelencia ya existe 38 50 0 CMMI
ITIL 9000 20000 27001 COBIT
- 24. aceptar que la nueva norma se cree por el procedimiento de
fast-track, para pasar directamente como DIS a la etapa 4.
Normalmente el procedimiento rpido puede durar un ao, mientras que
el normal suele durar entre 2 y 3 aos, dependiendo de la dificultad
de alcanzar el consenso en las diversas etapas. Ciclo de creacin de
las normas UNE espaolas. El proceso de elaboracin de una norma UNE
est sometido a una serie de fases que permiten asegurar que el
documento final es fruto del consenso, y que cualquier persona,
aunque no perte- nezca al comit de AENOR, productor de la norma,
pueda emitir sus opiniones o comentarios. Tras la aprobacin del
proyecto final de norma por un Comit Tc- nico de Normalizacin, el
Boletn Oficial del Estado (BOE) publica la relacin mensual de
proyectos UNE sometidos a un perodo de Informacin Pblica, durante
el cual cualquier persona o entidad interesada podr presentar
observacio- nes. Las observaciones deben realizarse a AENOR. Una
vez analizados los comen- tarios recibidos en esta fase, el comit
redactar el texto final, que ser aprobado y publicado como norma
UNE por AENOR. En la figura 1.3 se representan las etapas de estos
dos ciclos, internacional y nacional. A continuacin, se presenta
una visin general de los principales actores en este mbito
normativo que tienen cierta relevancia en la gestin de las TI,
aunque no pretende ser un tratado exhaustivo. 30 ISO/IEC 20000. Gua
completa de aplicacin para la gestin de los servicios de tecnologas
de la informacin Proceso de elaboracin de una norma ISO/IEC
internacional 1. Etapa de propuesta Se elabora la propuesta de
norma 2. Etapa preparatoria Se consensa el borrador CD 3. Etapa de
comit El comit aprueba CD DIS 4. Etapa de consulta DIS se somete a
consulta 5. Etapa de aprobacin Se aprueba DIS FDIS 6. Etapa de
publicacin FDIS se edita como norma ISO 1. Trabajos preliminares 2.
Elaboracin del proyecto de norma en el seno de un Comit Tcnico de
Normalizacin (CTN) 3. Envo de la norma al BOE para informacin
pblica 4. Elaboracin y aprobacin por el CTN de la propuesta final
de norma 5. Aprobacin de la propuesta final por AENOR 6. Publicacin
de la nueva norma UNE Proceso de elaboracin de una norma UNE
espaola Figura 1.3. Procedimientos de creacin de normas
internacionales y nacionales Fuente: ISO y e.p. Fuente: AENOR
- 25. Organismos de normalizacin internacionales ISO
(International Organization for Standardization, Organizacin
Internacional de Normalizacin). Es el organismo de normalizacin
oficial reconocido a nivel internacional. Su objetivo es poner a
disposicin de la industria un catlogo de nor- mas sobre productos y
servicios que se puedan utilizar para dar garanta de unos niveles
de calidad preestablecidos. Fue creado en febrero de 1947 y tiene
su sede en Ginebra. Cuenta en la actualidad con la representacin de
153 pases. Tiene como objetivo lograr la coordinacin internacional
y la unificacin de las normas de la industria. Coopera
estrechamente con la IEC. IEC (International Electrotechnical
Commission, Comisin Electrotcnica Interna- cional). Es la
organizacin internacional centrada en la normalizacin de los mbi-
tos elctrico, electrnico y de tecnologas relacionadas. ISO e IEC
cooperan estre- chamente en campos de inters mutuo, especialmente
en el mbito de las TI en el que desarrollan normas de forma
conjunta, las denominadas ISO/IEC. UIT (International
Telecommunication Union, Unin Internacional de Telecomuni-
caciones). Organismo internacional encargado de la elaboracin de
recomendacio- nes para el sector de las telecomunicaciones.
Organismos de normalizacin europeos CEN (European Committee for
Standardization, Comit Europeo de Normaliza- cin). Es el organismo
espejo de ISO a nivel europeo. Est centrado en la normali- zacin en
todos los campos excepto en el elctrico y en el de
telecomunicaciones. CENELEC (European Committee for
Electrotechnical Standardization, Comit Europeo de Normalizacin
Electrotcnica). Es el organismo espejo de IEC a nivel europeo. Est
dedicado a la normalizacin en el mbito elctrico y electrnico. ETSI
(European Telecommunications Standards Institute, Instituto Europeo
de Normas de Telecomunicacin). Organismo equivalente a la UIT para
Europa, cuyo campo de actividad se centra en las telecomunicaciones
y comunicaciones electrnicas. Organismos de normalizacin nacionales
AENOR (Asociacin Espaola de Normalizacin y Certificacin). Es el
orga- nismo que desarrolla la actividad de normalizacin en Espaa.
Es una organizacin privada, independiente y sin nimo de lucro,
reconocida en los mbitos nacional, 311. El camino a la excelencia
ya existe 38 50 0 CMMI ITIL 9000 20000 27001 COBIT
- 26. europeo e internacional para el desarrollo de actividades
de normalizacin y certifi- cacin (N+C) en un mbito multisectorial.
Cuenta en la actualidad con ms de 20 centros operativos repartidos
en: Espaa, Mxico, Chile, El Salvador, Italia, Portu- gal, Brasil,
Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el
des- arrollo de las actividades de N+C, a mejorar la gestin de la
calidad en las empre- sas, sus productos y servicios, proteger el
medio ambiente y, con ello, lograr el bienestar de la sociedad en
su conjunto. BSI (British Standards Institute). Organismo de
normalizacin del Reino Unido. Es destacable su actividad en la
elaboracin de nuevas normas en el mbito de la gestin de las TI.
Creador de la serie de normas BS 15000, base sobre la que se han
definido las actuales Normas ISO/IEC 20000. En general, cada pas
tiene su propio organismo de normalizacin, entre otros podemos
destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA en
Australia, etc. Otros organismos de habla hispana, con los que
AENOR mantiene una estrecha colaboracin motivada, entre otras
cosas, por la traduccin conjunta de normas internacionales al
espaol, son: IRAM en Argentina, INN en Chile, DGN en Mxico,
INDECOPI en Per, etc. Los gobiernos Es importante destacar el papel
activo de los gobiernos, instituciones gubernamen- tales y
administraciones pblicas en el campo de la normalizacin, pues
desempe- an un triple papel: como sustento de la actividad de
normalizacin mediante sub- venciones a los organismos de
normalizacin, como impulsores de algunas iniciativas destacadas, y
en su papel de exigir el cumplimiento de la normativa, bien
estableciendo una regulacin o bien en su papel de cliente
contratante de servicios al sector de las TIC. Entre estos
organismos destacan el Ministerio de Comercio Britnico (OGC, Office
of Government Commerce) en su papel de creador, impulsor y
propietario de ITIL y el Departamento de Defensa de Estados Unidos
(DoD, Departament of Defense) como impulsor de CMMI. Organismos de
acreditacin Las entidades nacionales de acreditacin son entidades
independientes cuya fun- cin es la acreditacin de entidades
certificadoras y laboratorios de ensayo. Es decir, 32 ISO/IEC
20000. Gua completa de aplicacin para la gestin de los servicios de
tecnologas de la informacin
- 27. el reconocimiento formal de que una organizacin es
competente para la realiza- cin de una determinada actividad de
evaluacin de la conformidad o la realizacin de un ensayo
determinado. Las organizaciones que podemos destacar son:
Internacionalmente: IAF (International Accreditation Forum). En
Europa: EA (European Cooperation for Accreditation). En Espaa: ENAC
(Entidad Nacional de Acreditacin en Espaa). En el Reino Unido: UKAS
(United Kingdom Accreditation System). IQNet. Un papel parecido a
la acreditacin lo realiza la Red Internacional de Cer- tificacin
(IQNet, International Certification Network), asociacin formada por
las entidades de certificacin lderes en la certificacin de empresas
en sus respectivos pases. Entre sus objetivos estn: El
reconocimiento y promocin de los certificados expedidos por sus
miem- bros en todos los sectores industriales y de servicios. La
coordinacin de los procesos de certificacin de empresas que operan
en distintos pases. Normalmente, los certificados locales emitidos
por las entidades certificadoras van acompaados de el
reconocimiento internacional de IQNet. Entidades certificadoras
Para que las empresas puedan demostrar a nivel nacional e
internacional que cum- plen las normas, necesitan un certificado.
Se trata de un instrumento para verificar la correcta implantacin
de las normas. La obtencin del certificado se realiza mediante un
proceso de evaluacin indepen- diente por parte de una entidad
certificadora o de certificacin. Un requisito importante que
asegura la solvencia para que una entidad pueda conceder una marca
de certificacin es que dicha entidad sea competente para certificar
los productos, los servicios, los sistemas de gestin o las
personas, a los que se aplica la marca de certificacin. Los
organismos de acreditacin son los encargados de acreditar a las
entidades de certificacin. Las entidades de certificacin utilizan
los servicios profesionales de los auditores. 331. El camino a la
excelencia ya existe 38 50 0 CMMI ITIL 9000 20000 27001 COBIT
- 28. Marcas de certificacin Las marcas de certificacin las
conceden las entidades correspondientes a los pro- ductos, sistemas
y servicios que cumplen con los requisitos definidos. La
certificacin, en base a normas, tiene su reflejo en los distintivos
de certifica- cin, cuya concesin significa que el producto o
servicio ha pasado por el adecuado proceso de certificacin de forma
satisfactoria. Cuando, por ejemplo, se trata de una marca de
seguridad, la concesin de la marca significar que cumple los requi-
sitos de seguridad, segn la norma de referencia. En un producto con
certificado de calidad, la etiqueta puede contener distintos
logotipos (vase la figura 1.4) dependiendo de la entidad que
otorgue el certificado. En el Reino Unido se ha desarrollado una
marca de certificacin especfica para ISO/IEC 20000, segn un acuerdo
interno entre UKAS (organismo de acreditacin de ese pas) e itSMF-UK
(captulo ingls del itSMF, Information Technology Service Management
Forum), con un reglamento especfico (esquema de certificacin). Por
el contrario, en la mayora de los pases, la certificacin ISO/IEC
20000 transcurre por los caminos habituales de la certificacin del
pas, con marcas especficas de cada entidad certificadora, y
regulado por el organismo de acreditacin del pas. Auditores Los
auditores son los nicos profesionales acreditados para realizar la
auditora del cumplimiento de los requisitos de una norma por una
organizacin. La calificacin de auditor se concede nicamente a los
candidatos que demuestren experiencia suficiente y hayan pasado los
exmenes exigidos para ello. 34 ISO/IEC 20000. Gua completa de
aplicacin para la gestin de los servicios de tecnologas de la
informacin Figura 1.4. Ejemplos de marcas de certificacin de
sistema y de producto en el caso de AENOR
- 29. En el caso de la Norma ISO/IEC 20000-1, existe una
acreditacin especfica de auditor otorgada por UKAS e itSMF-UK a
profesionales con amplia experiencia, tras superar un curso en
entidades de formacin acreditadas y superar el examen al respecto.
Esta acreditacin de auditor est vinculada al esquema de
certificacin conjunto de UKAS e itSMF-UK. Consultores Los
consultores asesoran, bien a las organizaciones o entidades que
quieren implantar las normas, o bien, una vez implantadas, que
desean certificarse. Para esta funcin existe una acreditacin
profesional especfica. La formacin que reci- ben les permite
adquirir un nivel suficiente de conocimiento de la normas, del
esquema de certificacin y de su aplicacin. Los consultores asisten
a las organizaciones en la interpretacin y aplicacin de la normas,
as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestin
del servicio. Asimismo, el consultor externo puede efectuar una
evaluacin de los nive- les de gestin del servicio y establecer el
nivel de preparacin necesario para una solicitud de certificacin y
su posterior consecucin. Actualmente, existe una acreditacin de
consultor ISO/IEC 20000 otorgada por enti- dades de formacin
acreditadas por UKAS e itSMF-UK. Otros organismos que regu- lan la
formacin profesional (EXIN, APMG) tambin estn entrando en este
campo. Las organizaciones alrededor de ITIL ITIL (Information
Technology Infrastructure Library, Biblioteca de Infraestructuras
de Tecnologas de la Informacin) es el compendio de las mejores
prcticas en la gestin de TI ms extendido y ampliamente aceptado por
la industria. La estrecha relacin entre los contenidos de las
Normas ISO/IEC 20000 y los libros ITIL, hace relevante conocer
cules son los principales miembros de este ecosistema creado para
la difusin y evolucin de estas prcticas: OGC (Office of Government
Commerce, Oficina de Comercio del Gobierno). Ofi- cina dependiente
del Ministerio de Economa y Hacienda britnico, responsable de un
amplio programa para mejorar la eficiencia de las empresas. Este
organismo (antes denominado CCTA) fue el creador de ITIL a finales
de los aos 80. TSO. Editorial inicialmente vinculada al entorno
gubernamental britnico, centrada en la publicacin de libros y
documentacin producida en este mbito. Fue privati- zada en 1996 y
ha sido comprada por el grupo Williams Lea en enero de 2007. 351.
El camino a la excelencia ya existe 38 50 0 CMMI ITIL 9000 20000
27001 COBIT
- 30. TSO se encarga de la publicacin impresa y online de los
libros ITIL, gestionando sus derechos de propiedad intelectual.
itSMF International (Information Technology Service Management
Forum, Foro internacional para la Gestin del Servicio de TI).
Creado en el Reino Unido en 1991, es una red mundial de grupos de
usuarios de TI que ofrecen mejores prc- ticas y guas basadas en
normas para la provisin de servicios de TI. La organiza- cin
internacional coordina las actividades de los captulos locales y
apoya al desa- rrollo y difusin de las evoluciones de ITIL. itSMF
est presente en pases como: Francia, Blgica, Alemania, Portugal,
Nor- uega, Japn, Brasil, Dinamarca, Austria, Finlandia, Canad,
EEUU, Singapur, Australia, Italia, Hungra, Rumania, Suecia,
Argentina, Espaa, etc. itSMF Espaa. Captulo espaol de itSMF.
Constituido como una asociacin sin nimo de lucro, acta como una
comunidad de usuarios. Centra sus intereses en las prcticas y
metodologas de gestin y gobierno de las TI. Tiene como objetivo
ayu- dar a las organizaciones a adoptar soluciones de gestin de
servicios TI e impulsar la adopcin de las mejores prcticas.
Certificacin profesional privada en el mbito de la gestin del
servicio Alrededor de la difusin de las mejores prcticas de gestin
del servicio de TI se ha ido creando una oferta de servicios de
formacin para los profesionales, deno- minadas privadas por no
tener asociadas un reconocimiento oficial del Estado, pero muy
apreciadas en el mundo empresarial. No se debe confundir esta
certifi- cacin individual de profesionales con la certificacin de
organizaciones o provee- dores de TI. En el mbito de ITIL, las
certificaciones profesionales tienen gran tradicin. Se ha
evolucionado del esquema anterior de certificaciones de ITIL v2 en
tres niveles (Foundation, Clusters y Service Manager) a uno nuevo
en ITIL v3 basado en una estructura ms flexible de cuatro capas:
Foundation para los conocimientos gene- rales iniciales,
Intermediate para el conocimiento en ms detalle de uno o varios de
los libros del ciclo de vida o de agrupaciones de procesos, ITIL
Expert que capacita para la gestin integral de los servicios que
requiere haber realizado un conjunto de cursos Intermediate e ITIL
Master, mximo grado de certificacin que ratifica la capacidad de
analizar y aplicar los conceptos ITIL a nuevas reas. La calidad de
las empresas de formacin y el control de los exmenes los gestiona
APM Group, a quin la OGC ha otorgado en 2006 la gestin de la
acreditacin de la formacin relacionada con la marca ITIL. 36
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los
servicios de tecnologas de la informacin
- 31. En el mbito de ISO/IEC 20000, la aparicin de estos esquemas
de certificacin profesional garantizados es ms reciente, destaca la
iniciativa de EXIN (Examination Institute for Information Science),
pero posiblemente aparecern otros, ya que el entorno de normativa
internacional no ejerce el concepto de propietario de marca. 1.4.
Las principales normas y buenas prcticas en TI Las Normas ISO/IEC
20000 Dado que estas normas se tratan en profundidad en el resto
del libro, nica- mente se presenta en la figura 1.5 un esquema
general de su estructuracin en 14 procesos (los 13 procesos
descritos en los captulos 6 al 10 de las normas, 371. El camino a
la excelencia ya existe 38 50 0 CMMI ITIL 9000 20000 27001 COBIT
Figura 1.5. Esquema general de los procesos de ISO/IEC 20000
Fuente: UNE-ISO/IEC y e.p. Planificacin e implementacin de la
gestin del servicio (PDCA) Planificacin e implementacin de nuevos
servicios o de servicios modificados Gestin de la capacidad Gestin
de la continuidad y disponibilidad del servicio Procesos de la
provisin del servicio Gestin de nivel de servicio Generacin de
informes del servicio Gestin de la seguridad de la informacin
Elaboracin de presupuesto y contabilidad de los servicios de TI
Proceso de entrega Proceso de gestin de la entrega Procesos de
resolucin Gestin del incidente Gestin del problema Procesos de
relaciones Gestin de las relaciones con el negocio Gestin de
suministradores Sistema de Gestin del Servicio de TI (SGSTI)
Procesos de control Gestin de la configuracin Gestin del
cambio
- 32. junto al proceso del captulo 5 Planificacin e implementacin
de nuevos servi- cios o de servicios modificados). Adems, las
normas incluyen dos aspectos muy importantes: el sistema de gestin
y la planificacin e implementacin de la gestin del servicio. En el
mbito de los servicios de TI, resulta esencial que los servicios se
provean en un marco de gestin eficaz y de calidad, para entender
claramente los requisi- tos y gestionar su cumplimiento. Las Normas
ISO/IEC 20000 articulan el pro- ceso de prestacin de los servicios
engranados sobre un sistema de gestin del servicio (vase el captulo
3). El proceso de mejora continua establecido por la Norma ISO 9001
para la fabricacin de productos o prestacin de servicios (siguiendo
el ciclo PDCA: planificar, hacer, verificar y actuar Plan, Do,
Check, Act), tambin se incorpora en esta norma como un motor de la
mejora continua de los servicios de TI (vase el captulo 4). La
serie ISO 9000, normas de calidad Segn el diccionario de la Real
Academia Espaola, la calidad se define como la pro- piedad o
conjunto de propiedades inherentes a algo que permiten juzgar su
valor. El aseguramiento de la calidad nace como una evolucin
natural del control de cali- dad, que resultaba limitado y poco
eficaz para prevenir la aparicin de defectos. Para ello, se hizo
necesario crear sistemas de calidad que incorporasen la preven- cin
como forma de funcionamiento y gestin, y que, en todo caso,
sirvieran para anticiparse a los errores antes de que estos se
produjeran. Un sistema de gestin de la calidad se centra en
garantizar que el producto o el servicio ofrecido por una
organizacin cumple con las especificaciones establecidas
previamente por la empresa y el cliente, y as, asegurar unos
niveles de calidad pre- decibles y su mejora continua a lo largo
del tiempo. El sistema de gestin de la calidad general es el
conjunto de elementos interrelacio- nados de una empresa u
organizacin por los cuales se organiza y planifica el tra- bajo de
la misma en la bsqueda de la satisfaccin de sus clientes. Sus
elementos principales son: La estructura de la organizacin. Sus
procesos. Sus documentos. Sus recursos. 38 ISO/IEC 20000. Gua
completa de aplicacin para la gestin de los servicios de tecnologas
de la informacin
- 33. ITIL (Information Technology Infrastructure Library) Es un
conjunto de publicaciones que recogen las buenas prcticas en la
gestin de servicios de las TI. Define un modelo de procesos
bastante amplio que abarca desde la definicin de la estrategia
hasta la gestin de las infraestructuras. El xito y la fama de ITIL
se han fundamentado en la calidad de sus buenas prcticas y en la
flexibilidad para que las empresas pudieran adaptarlas a sus
necesidades. Entre 1989 y 1992, la versin 1 de ITIL se centraba en
la gestin de la tecnologa y estaba claramente orientado al entorno
mainframe. Paulatinamente, las prcticas fueron evolucionando hacia
procesos y servicios. ITIL, en su versin 2 (de princi- pios del ao
2000), se estructuraba en 7 libros bsicos (adems, hay uno nuevo de
dedicado al inventariado o a la gestin de activos software y otro
enfocado a imple- mentaciones en organizaciones de TI de menor
escala como en pymes). En la figura 1.6 se muestra la evolucin
histrica de ITIL y la aparicin de ISO/IEC 20000 en los ltimos aos.
391. El camino a la excelencia ya existe 38 50 0 CMMI ITIL 9000
20000 27001 COBIT IBM,s ISMA itSMF ITIL v1: 42 libros ITIL v2: 7
libros ITIL v3: 5 libros Creacin itSMF Espaa 1986 1989 2000 2005
2007 Figura 1.6. Historia de la evolucin de la normativa de gestin
del servicio de TI ITIL v0: Service Level Management BS 15000
ISO/IEC 20000 UNE-ISO/ IEC 20000 Evolucin ISO/IEC 20000
- 34. 40 ISO/IEC 20000. Gua completa de aplicacin para la gestin
de los servicios de tecnologas de la informacin L A T E C N O L O G
A E L N E G O C I O Gestin de servicio Soporte de servicio Centro
atencin usr. Incidente Problema Configuracin Cambio Entrega
Financiero Continuidad Disponibilidad Capacidad G. nivel de
servicio Provisin de servicio Planificacin de la implantacin de
gestin del servicio Perspectiva de negocio Gestin relacin con
negocio Gestin relacin proveedores Planificacin y desarrollo
arquitectura TI Relacin formacin y comunicacin de TI con el negocio
Gestin de infraestructuras TIC Diseo y planificacin Despliegue
Operacin Soporte tcnico Gestin de aplicaciones Requerimientos
Disear y construir Despliegue Operar Optimizar Gestin de la
seguridad Planificar Implementar Evaluar Mantener Controlar Gestin
de activos Figura 1.7. Procesos definidos en los libros ITIL v2
Fuente: Libro ITIL Soporte de Servicio publicado por OGC y e.p.
ITIL v2 se ha utilizado como base para la creacin de las Normas
ISO/IEC 20000. En la figura 1.7, se muestra una representacin tpica
de ITIL v2. En ella se puede apreciar el negocio a la izquierda del
todo, en el extremo derecho se sita la tecno- loga, y, en medio,
haciendo que la tecnologa sea til para el negocio estn los pro-
cesos ITIL. De ellos, los dos libros ms valiosos por su contenido y
ms aceptados por el mercado son los relativos a la gestin de
servicio (libros Soporte de Servicio y Provisin de Servicio
publicados por OGC).
- 35. La versin 3 de ITIL, que apareci a mediados de 2007,
respeta los principales procesos del soporte y de la provisin del
servicio ya definidos en la versin ante- rior. Tambin saca a la luz
mucha de las actividades de gestin de TI no reflejadas
anteriormente, ampliando su alcance a ms de 20 procesos. Esta
versin pone mayor nfasis en la integracin de TI con el negocio. Se
estructura en torno al ciclo completo de creacin de servicios:
estrategia, diseo, transicin, operacin y mejora continua (vase la
figura 1.8). 411. El camino a la excelencia ya existe 38 50 0 CMMI
ITIL 9000 20000 27001 COBIT Figura 1.8. La estructura de los libros
ITIL v3 se articula segn el ciclo de vida de los servicios Fuente:
Libro ITIL Estrategia del Servicio publicado por OGC y e.p. Mejora
del servicio Diseo del servicio ITIL v3 Estrategia del servicio
Operacin delservicio Transicin del servicio
- 36. 42 ISO/IEC 20000. Gua completa de aplicacin para la gestin
de los servicios de tecnologas de la informacin Estrategia del
servicio Generacin de la estrategia Gestin financiera de TI Gestin
de la demanda Gestin del porfolio de servicios Diseo del servicio
Diseo de servicios nuevos o modificados Gestin del catlogo de
servicios Gestin de nivel de servicio Gestin de la capacidad Gestin
de la disponibilidad Gestin de la continuidad del servicio TI
Gestin de la seguridad de la informacin Gestin de suministradores
Transicin del servicio Planificacin y soporte de la transicin
Gestin de cambios Gestin de la configuracin y de activos del
servicio Gestin de versiones y despliegues Validacin y pruebas del
servicio Evaluacin Gestin del conocimiento Mejora continua del
servicio El proceso de mejora en 7 etapas Informes del servicio
Medicin del servicio Retorno de inversin para la mejora Preguntas
al negocio para la mejora Gestin de nivel de servicio Operacin del
servicio Procesos: Gestin de eventos Gestin de incidencias Gestin
de peticiones Gestin de problemas Gestin de accesos Funciones:
Centro de servicio al usuario Gestin tcnica Gestin de operaciones
TI Gestin de aplicaciones ESTRATEGIA DISEO TRANSICIN OPERACIN
MEJORA CONTINUA Figura 1.9. Contenido de las cinco etapas del ciclo
de vida de los servicios en ITIL v3 Fuente: Libros ITIL v3
publicados por OGC y e.p. ITIL v3 El conjunto de temtica y procesos
tratados en ITIL v3 se muestra en la figura 1.9. Otras normas y
metodologas relacionadas son: COBIT para la auditora y gobierno de
TI, ISO/IEC 27001 para la seguridad, CMMI e ISO/IEC 15504 (SPICE)
como modelos de madurez del desarrollo del software. En los
apartados siguientes se presenta una introduccin a ellas.
- 37. Monitorizar y evaluar ME1 Monitorizar y evaluar el desempeo
de TI ME2 Monitorizar y evaluar el control interno ME3 Garantizar
cumplimiento regulatorio ME4 Proporcionar gobierno de TI Entregar y
dar soporte DS1 Definir y administrar niveles de servicio DS2
Administrar servicios de terceros DS3 Administrar desempeo y
capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar
la seguridad de los sistemas DS6 Identificar y asignar costos DS7
Educar y entrenar a los usuarios DS8 Administrar la mesa de
servicio y los incidentes DS9 Administrar la configuracin DS10
Administrar los problemas DS11 Administrar los datos DS12
Administrar el ambiente fsico DS13 Administrar las operaciones
Planear y organizar PO1 Definir el plan estratgico de TI PO2
Definir la arquitectura de la informacin PO3 Determinar la direccin
tecnolgica PO4 Definir procesos, organizacin y relaciones de TI PO5
Administrar la inversin en TI PO6 Comunicar las aspiraciones y la
direccin de la gerencia PO7 Administrar recursos humanos de TI PO8
Administrar calidad PO9 Evaluar y administrar riesgos de TI PO10
Administrar proyectos Adquirir e implantar AI1 Identificar
soluciones automatizadas AI2 Adquirir y mantener el software
aplicativo AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso AI5 Adquirir recursos de TI AI6
Administrar cambios AI7 Instalar y acreditar soluciones y cambios
COBIT (Control objectives for information and related technology)
Es un conjunto de mejores prcticas e indicadores para el control y
auditora de los sistemas de informacin. Fue creado por ISACA
(Information Systems Audit and Control Association) y el ITGI (IT
Governance Institute) y ha ido extendiendo su alcance hacia las
mtricas de TI y las disciplinas de gobierno de las TI. La primera
edicin fue publicada en 1996, la segunda en 1998, la tercera en
2000 y la cuarta en Diciembre de 2005. COBIT 4 se estructura en
cuatro dominios que cubren un total de 34 objetivos principales de
control (denominados tambin procesos), que permiten garantizar un
adecuado sistema de gobierno para el entorno de las TI. En la
figura 1.10 se muestran estos dominios. 431. El camino a la
excelencia ya existe 38 50 0 CMMI ITIL 9000 20000 27001 COBIT
Figura 1.10. Los 4 dominios de COBIT para el gobierno de TI Fuente:
ISACA. Gobierno de TI Administracin de recursos
Administracinderiesgos Medicindel desempeo Entrega de valor
Alineacin estratgica
- 38. En el mbito de la certificacin de los profesionales, en
2008 ISACA ha puesto en marcha la certificacin en el gobierno de
las TI (CGEIT, Certified in the Governance of Enterprise IT).
Adems, existe la acreditacin a ttulo profesional para auditor de
las TI (CISA, Certified Information Systems Auditor) y la relativa
a la seguridad de las TI (CISM, Certified Information Security
Manager). Vinculado a COBIT, y con el fin de desarrollar las
prcticas para la medicin de del valor de la contribucin de TI al
negocio, ISACA ha creado el marco Val IT. ISO/IEC 27001 e ISO/IEC
17799 para la seguridad de las TI El objetivo de la gestin de la
seguridad de la informacin es asegurar la continui- dad de las
operaciones de la organizacin y reducir al mnimo los daos causados
por una contingencia, as como, optimizar la inversin en tecnologas
de seguridad. ISO/IEC 27001 establece los principios de:
integridad, disponibilidad y continui- dad de la informacin.
Proporciona un modelo para la creacin, implementacin, operacin,
supervisin, revisin, mantenimiento y mejora de un sistema de gestin
de la seguridad de la informacin (SGSI). Esta norma establece un
conjunto de 30 actividades para la gestin de la seguridad, define
11 reas principales de control, para cada una establece 39
objetivos de control y 133 controles (o medidas de sal- vaguarda)
de seguridad. Las reas de control son: rea: 5. Poltica de
seguridad. rea: 6. Aspectos organizativos de la seguridad de la
informacin. rea: 7. Gestin de activos. rea: 8. Seguridad ligada a
los recursos humanos. rea: 9. Seguridad fsica y ambiental. rea: 10.
Gestin de comunicaciones y operaciones. rea: 11. Control de acceso.
rea: 12. Adquisicin, desarrollo y mantenimiento de los sistemas de
infor- macin. rea: 13. Gestin de incidentes de seguridad de la
informacin. rea: 14. Gestin de la continuidad del negocio. rea: 15.
Cumplimiento. 44 ISO/IEC 20000. Gua completa de aplicacin para la
gestin de los servicios de tecnologas de la informacin
- 39. ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002)
recoge un cdigo de buenas prcticas para la gestin de la seguridad
de la informacin. Se centra en desarrollar los objetivos de control
de la seguridad, y para cada uno de ellos, se indica una gua para
su implantacin. Cada organizacin debe considerar cuntos sern
realmente los aplicables segn sus propias necesidades. CMMI
(Capability Maturity Model Integration) CMMI es una evolucin de
estndar inicial CMM, que fue desarrollado por el SEI (Software
Engineering Institute) de la universidad Carnegie Mellon, en 1986.
Fue iniciado en respuesta a la peticin del Gobierno de los EEUU
(Departamento de Defensa, DoD) de proporcionar un mtodo para
controlar la capacidad de desarro- llo de software de sus
contratistas. Originalmente, fue diseado para su uso por los
desarrolladores de software, pero hoy se ha ampliado,
proporcionando un modelo completo de evaluacin de la madurez de las
actividades de desarrollo de aplicaciones de una organizacin. Este
modelo est estructurado y repleto de prcticas de gran utilidad para
la mejora de las actividades de una organizacin de TI. En la figura
1.12 se muestra la estructura de las prcticas de CMMI en cuatro
reas denominadas constelaciones. Cada una de estas constelaciones
se pueden conside- rar equivalentes a un libro de ITIL. En el
modelo CMMI a los procesos se les deno- mina rea de proceso (PA,
Process Area). Se establece una constelacin comn (CMMI Fountation)
que contiene los procesos que son comunes, una especfica 451. El
camino a la excelencia ya existe 38 50 0 CMMI ITIL 9000 20000 27001
COBIT En la figura 1.11 se muestra la estructura de actividades
propuesta en la norma. Ciclo PDCA Planificar Hacer Verificar Actuar
4.2.1 Creacin del SGSI 4.2.2 Implementacin y operacin del SGSI
4.2.3 Supervisin y revisin del SGSI 4.2.4 Mantenimiento y mejora
del SGSI Modelo en ISO/IEC 27001Plan Planificar Do Hacer Act Actuar
Check Verificar Figura 1.11. Estructura de actividades de ISO/IEC
27001
- 40. para el desarrollo de aplicaciones (CMMI for Development),
otra para las adquisi- ciones (CMMI for Adquisition) y una nueva
para la prestacin de servicios (CMMI for Services). CMMI describe
cinco etapas evolutivas (niveles) en las cuales una organizacin se
sita segn la madurez de sus procesos: 1. Inicial (Initial). Los
procesos son caticos; pocos procesos estn realmente definidos. 2.
Repetible (Repeatable). Se establecen los procesos bsicos y se
observa cierto nivel de disciplina respecto a ellos. 3. Definido
(Defined). Todos los procesos estn definidos, documentados, nor-
malizados e integrados. 4. Gestionado (Managed). Los procesos se
miden recogiendo datos detallados de los mismos. 5. En optimizacin
(Optimizing). La mejora de los procesos es continua y pro- porciona
nuevas ideas y oportunidades. Con la publicacin en Marzo del 2009
de CMMI for Services, el SEI tambin entra en el mbito de la gestin
del servicio, con bastante solape con ITIL e ISO/IEC 20000. En la
figura 1.13 se muestran los procesos de este nuevo modelo. 46
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los
servicios de tecnologas de la informacin CMMI for Development CMMI
for Services CMMI for Acquisition CMMI Foundation 16 reas de
proceso comunes Figura 1.12. Constelaciones (reas o libros) de
CMMI
- 41. ISO/IEC 15504 (SPICE, Software Process Improvement and
Capability dEtermination) En el mbito del desarrollo del software
en enero de 1993 en el seno del comit con- junto de ISO e IEC,
surge el proyecto SPICE para el desarrollo de un estndar
internacional para la evaluacin de los procesos de construccin del
software. El resultado de este trabajo se plasm en la serie de
normas ISO/IEC 15504, que pre- sentan un modelo de referencia que
describe los procesos de una organizacin para ejecutar, adquirir,
desarrollar, operar, evolucionar y proporcionar soporte al soft-
ware. Este marco es la respuesta de la normativa internacional al
modelo de madu- rez CMMI for Development y en muchos aspectos se
solapa. La arquitectura del modelo organiza las prcticas en nmeros
de categoras utili- zando diferentes tipos de aproximaciones. La
arquitectura distingue entre: 471. El camino a la excelencia ya
existe 38 50 0 CMMI ITIL 9000 20000 27001 COBIT Support Causal
Analysis and Resolution (CAR) Configuration Management (CM)
Decision Analysis and Resolution (DAR) Measurement and Analysis
(MA) Process and Product Quality Assurance (PPQA) Service
Establishment and Delivery Incident Resolution and Prevention (IRP)
Service Delivery (SD) Service System Development (SSD) Service
System Transition (ST) Strategic Service Management (STSM) Process
Management Organizational Innovation and Deployment (OID)
Organizational Process Definition (OPD) Organizational Process
Focus (OPF) Organizational Process Performance (OPP) Organizational
Training (OT) Project Management Capacity and Availability
Management (CAM) Integrated Project Management (IPM) Project
Monitoring and Control (PMC) Project Planning (PP) Requirements
Management (REQM) Risk Management (RSKM) Quantitative Project
Management (QPM) Service Continuity (SCON) Supplier Agreement
Management (SAM) Figura 1.13. Los procesos definidos en CMMI para
servicios (CMMI-SVC) en su versin 1.2 Fuente: SEI. Las 24 reas de
proceso (PA) en CMMI-SVC
- 42. Prcticas base. Actividades esenciales de un proceso
especfico, agrupado por categoras de procedimientos y procesos de
acuerdo al tipo de actividad. Prcticas genricas. Aplicables a
cualquier proceso, que representa las actividades necesarias para
administrar el proceso y mejorar su potencia- lidad. El modelo
agrupa a los procesos en cinco categoras: Procesos
cliente-proveedor (customer-supplier). Esta categora consta de los
procesos que directamente impactan al cliente, al soporte de
desarrollo y a la transicin del software al cliente. Procesos de
ingeniera (engineering). Esta categora consta de los procesos que
directamente especifican, implementan, y mantienen un sistema, un
pro- ducto de software y la documentacin del usuario. Procesos de
proyecto (project). Esta categora consta de los procesos esta-
blecidos dentro del proyecto, coordinacin y administracin de los
recursos para producir un producto o proveer un servicio para
satisfacer al cliente. Procesos de soporte (support). Esta categora
consta de los procedimientos que establecen y soportan el desempeo
de los otros procesos del proyecto. Procesos de la organizacin
(organization). Esta categora consta de los procesos que establecen
las metas de negocio de la organizacin, los proce- sos de
desarrollo y los recursos que ayudan a la organizacin alcanzar
dichas metas. En la figura 1.14 siguiente se muestra un esquema con
estos procesos: 48 ISO/IEC 20000. Gua completa de aplicacin para la
gestin de los servicios de tecnologas de la informacin Procesos
cliente-proveedor Procesos de ingeniera Procesos de soporte
Procesos de proyecto Procesos de organizacin Figura 1.14. Las cinco
categoras de procesos definidas en SPICE Fuente: SPICE.
- 43. Existen seis niveles de capacidad en el modelo: Nivel 0:
Incompleto. Sera un fracaso general tratar de aplicar las prcticas
base a los procesos, ya que no es fcil identificar las salidas de
los procesos o el funcionamiento de los productos. Nivel 1:
Realizado. Generalmente se ejecutan las prcticas base de los pro-
cesos. La ejecucin de dichas prcticas puede no ser planificada
rigurosa- mente y ni seguida, y depender del conocimiento y
esfuerzo personal. Se identifican algunos procesos. Nivel 2:
Gestionado. Se planifica y se sigue la ejecucin de las prcticas
base en los procesos. El desempeo estar acorde con los
procedimientos especificados. La primera distincin entre el nivel 1
y el 2 es que la ejecucin de los procesos est planificada y
administrada y progresan hacia un modelo bien definido. Nivel 3:
Establecido. Las prcticas bases se ejecutan de acuerdo a una ver-
sin adaptada del estndar. Los procesos estn aprobados, bien
definidos y documentados. Nivel 4: Predecible. Se recaban y evalan
las mediciones detalladas del ren- dimiento o ejecucin. Se conoce
de forma cuantitativa el rendimiento de los procesos y es posible
su prediccin. Las prcticas se administran objetiva- mente. La
calidad de las mismas se conoce cuantitativamente. Nivel 5:
Optimizado. Se establecen en forma cuantitativa procesos y metas
eficientes, basados en los objetivos de la organizacin. Los
procesos se van mejorando de forma continua, mediante la
retroalimentacin (feedback) obtenida por los resultados de procesos
definidos, por ideas, por pilotos y por nuevas tecnologas. 491. El
camino a la excelencia ya existe 38 50 0 CMMI ITIL 9000 20000 27001
COBIT
- 44. 2.1. Introduccin a las Normas ISO/IEC 20000 2.2. Objeto y
campo de aplicacin de ISO/IEC 20000 2.3. La estructura de las
Normas ISO/IEC 20000 2.4. Relacin entre ISO/IEC 20000 e ITIL
Captulo 2 Entender las Normas ISO/IEC 20000 2 4. Planificacin e
implementacin de la gestin del servicio (PDCA) 5. Planificacin e
implementacin de nuevos servicios o de servicios modificados 6.5
Gestin de la capacidad 6.3 Gestin de la continuidad y
disponibilidad del servicio 6. Procesos de la provisin del servicio
6.1 Gestin de nivel de servicio 6.2 Generacin de informes del
servicio 6.6 Gestin de la seguridad de la informacin 6.4 Elaboracin
de presupuesto y contabilidad de los servicios de TI 10. Proceso de
entrega 10.1 Proceso de gestin de la entrega 8. Procesos de
resolucin 8.2 Gestin del incidente 8.3 Gestin del problema 7.
Procesos de relaciones 7.2 Gestin de las relaciones con el negocio
7.3 Gestin de suministradores 3. Sistema de Gestin del Servicio de
TI (SGSTI) 9. Procesos de control 9.1 Gestin de la configuracin 9.2
Gestin del cambio Fuente: UNE-ISO/IEC y e.p.
- 45. Planificacin e implementacin de la gestin del servicio
(PDCA) Planificacin e implementacin de nuevos servicios o de
servicios modificados Gestin de la capacidad Gestin de la
continuidad y disponibilidad del servicio Procesos de la provisin
del servicio Gestin de nivel de servicio Generacin de informes del
servicio Gestin de la seguridad de la informacin Elaboracin de
presupuesto y contabilidad de los servicios de TI Proceso de
entrega Proceso de gestin de la entrega Procesos de resolucin
Gestin del incidente Gestin del problema Procesos de relaciones
Gestin de las relaciones con el negocio Gestin de suministradores
Sistema de Gestin del Servicio de TI (SGSTI) Procesos de control
Gestin de la configuracin Gestin del cambio 2.1. Introduccin a las
Normas ISO/IEC 20000 La serie de Normas ISO/IEC 20000 (UNE-ISO/IEC
20000 en la versin espa- ola) es el primer conjunto de normativa
internacional especfica para la gestin de los servicios basados en
las Tecnologas de la Informacin (TI). Presentan una organizacin
cabal de las principales actividades necesarias para gestionar
estos servi- cios, agrupadas en un conjunto de procesos
considerados esenciales para la creacin, prestacin y evolucin de
los servicios de las TI. Al aplicar sus requisitos y reco-
mendaciones, las organizaciones de TI emprendern un camino
indudable de mejora en el control y la calidad de su actividad. Es
el primer gran salto hacia la excelencia demandada por la sociedad
a las TI. Se pueden considerar como normas troncales en la gestin
de las TI, pues estruc- turan en torno a procesos las actividades
ms esenciales. Alrededor del eje vertebra- dor que crean las Normas
ISO/IEC 20000 se irn construyendo y transformando el resto de las
funciones de la organizacin de las TI. Sobre este ncleo central,
creado para la gestin de las TI, se irn incorporando otras mejores
formas de hacer proporcionadas por otras normas, otros marcos de
mejores prcticas, por la expe- riencia propia de la empresa o por
las aportaciones de consultores externos. Las Normas ISO/IEC 20000
introducen en la organizacin de las TI una forma de trabajo
metdica, integrada y orientada a los procesos, haciendo especial
nfasis en garantizar la calidad del servicio a los distintos
clientes de las TI. Adems, articulan su implantacin con un sistema
de gestin especfico, que incorpora la disciplina y el rigor de ISO
90000 en la implantacin del modelo de trabajo en las TI. Las Normas
ISO/IEC 20000 forman parte del conjunto de normas producidas por la
Organizacin Internacional de Normalizacin (ISO) y la Comisin
Electrotc- nica Internacional (IEC). Su adopcin como normas
internacionales surge a raz de la iniciativa de elevar a ISO e IEC
las normas britnicas BS 15000 relativas a la gestin del servicio de
las TI. Las Normas ISO/IEC 20000 hoy vigentes se trami- taron en
ISO a travs del procedimiento rpido denominado procedimiento fast-
track. Esto quiere decir, que estas normas tienen muchas
similitudes con la origi- nal, que la duracin del proceso es de
aproximadamente un ao, y que ha contado con la participacin y voto
de los representantes nacionales en ISO/IEC. Las Normas ISO/IEC
20000 se componen de dos partes: la primera es la especifi- cacin
para la gestin del servicio y tiene un carcter preceptivo, y la
segunda se establece como un cdigo de buenas prcticas o
recomendaciones. Ambas partes forman un marco para definir las
caractersticas de los procesos implicados en la gestin del
servicio, que son esenciales para la prestacin de los mismos con la
cali- dad requerida. 532. Entender las Normas ISO/IEC 20000
- 46. Las Normas UNE-ISO/IEC 20000 son las traducciones al
castellano de las ante- riores ISO/IEC, estn formadas por dos
partes publicadas como documentos inde- pendientes: UNE-ISO/IEC
20000-1:2007 Tecnologa de la informacin. Gestin del servicio. Parte
1: Especificaciones. Contiene los requisitos exigibles para cum-
plir con la norma. Por ello, el verbo de sus frases suele contener
un debe, indicando que el requisito tiene que ser satisfecho para
ser acorde con la norma. UNE-ISO/IEC 20000-2:2007 Tecnologa de la
informacin. Gestin del servicio. Parte 2: Cdigo de buenas prcticas.
Esta parte contiene a veces una extensin o detalle de los
requisitos de la parte 1, mientras que en otras oca- siones se
desarrollan los requisitos con ms profundidad. La parte 2, utiliza
el condicional debera, que se interpreta como una recomendacin para
satisfacer el requisito de la parte 1, pero quizs no la nica. Dada
la equivalencia entre estas normas ISO/IEC (en ingls) y las normas
UNE (en castellano), a partir de ahora en el libro se utilizar
nicamente el trmino ISO/IEC 20000 para ambas normas. En la figura
2.1 se muestran los objetivos de cada una de las partes de estas
normas frente al alcance ms amplio del presente libro. Conviene
tener siempre presente que el objetivo de estas normas, y el
sentido de su aplicacin, es mejorar los servicios prestados por las
TI. Por ello, hay que entender que ambas partes contribuyen a ello,
y las dos debern ser tenidas en cuenta en este camino.
Adicionalmente, para alcanzar un buen servicio de TI hacen falta
bastantes temas ms, complementarios a las normas, relativos a: el
liderazgo y la estrategia, a las personas y su organizacin, al
resto de actividad y de procesos que se deben realizar, 54 ISO/IEC
20000. Gua completa de aplicacin para la gestin de los servicios de
tecnologas de la informacin Figura 2.1. Las dos partes de las
Normas ISO/IEC 20000 y su reflejo en el presente libro Norma
UNE-ISO/IEC 20000-1 Especificaciones Requisitos de cumplimiento
obligatorio para certificarse Debe Norma UNE-ISO/IEC 20000-2 Cdigo
de buenas prcticas Detalle de los requisitos. Necesaria para
concretar el alcance de los requisitos de la parte 1 Debera Este
libro + ISO/IEC 20000-1 + ISO/IEC 20000-2 + ITIL + Experiencia de
los autores + Directrices de implantacin
- 47. Planificacin e implementacin de la gestin del servicio
(PDCA) Planificacin e implementacin de nuevos servicios o de
servicios modificados Gestin de la capacidad Gestin de la
continuidad y disponibilidad del servicio Procesos de la provisin
del servicio Gestin de nivel de servicio Generacin de informes del
servicio Gestin de la seguridad de la informacin Elaboracin de
presupuesto y contabilidad de los servicios de TI Proceso de
entrega Proceso de gestin de la entrega Procesos de resolucin
Gestin del incidente Gestin del problema Procesos de relaciones
Gestin de las relaciones con el negocio Gestin de suministradores
Sistema de Gestin del Servicio de TI (SGSTI) Procesos de control
Gestin de la configuracin Gestin del cambio a la tecnologa y su
adecuado dominio, el cambio cultural, a la disposicin de herra-
mientas, etc. Si ambas partes deben tenerse en cuenta para la
mejora del servicio, al abordar un proceso de certificacin, es
cuando habr que discernir entre los requisitos impres- cindibles y
obligatorios de estas normas y cules de ellos son opcionales. A
este res- pecto, los requisitos que se deben cumplir son los
especificados en la parte 1 de la norma, mientras que la parte 2,
unas veces aclara o explica la parte primera, y otras desarrolla
una de las formas posibles de implantar dichos requisitos. Tambin
habr que determinar cul es el criterio de alcance que se debe
aplicar a un requisito en el caso particular de una organizacin
(por ejemplo, qu se exigir para cumplir el requisito de tener una
base de datos de la configuracin o CMDB). En el proceso de
implantacin ser el experto el que determine el alcance ms adecuado
a la orga- nizacin. Durante el proceso de certificacin ser el
auditor quin dar por vlida o no una evidencia de cumplimiento en
funcin de su propio criterio y experiencia. Diferencia entre norma
y regulacin Una norma, segn define la legislacin espaola (Ley
21/1992), es una especifica- cin tcnica de aplicacin repetitiva o
continuada, cuya observancia no es obligato- ria, establecida con
la participacin de todas las partes interesadas, que aprueba un
organismo reconocido a nivel nacional o internacional. Mientras que
un regla- mento tcnico, se refiere a una especificacin tcnica,
relativa a productos, procesos o instalaciones industriales,
establecidas con carcter obligatorio a travs de una dis- posicin de
la Administracin, para su fabricacin, comercializacin o utilizacin.
Por tanto, la norma en s misma constituye una recomendacin y no es
de obligado cumplimiento por las organizaciones; su implantacin y
cumplimiento es volunta- rio. La regulacin o reglamentacin pueden
exigir el cumplimiento de los requisi- tos definidos en una norma.
Es en este caso cuando la norma pasa a ser de obligado cumplimiento
para las organizaciones afectadas. Hay que recalcar que en el caso
de las Normas ISO/IEC 20000, los requisitos que contienen son
exigibles slo al efecto de certificar la conformidad de una
organizacin con ellas de manera volun- taria, no porque exista una
ley o regulacin lo exija. ISO/IEC 20000 se centran en el mbito de
gestin de los servicios de TI Es importante posicionar
adecuadamente las Normas ISO/IEC 20000 dentro de todo el mbito de
la actividad de TI, pues estas normas se centran en un conjunto
552. Entender las Normas ISO/IEC 20000
- 48. esencial de la actividad de gestin de los servicios, pero
no abarcan la totalidad de la actividad de TI. No son unas normas
sobre la tecnologa en s misma, sino que se centran en las
actividades de las personas para gestionarlas (procesos) y en
identificar los roles necesarios para llevarlas a cabo. En la
figura 2.2 se muestra que el mbito de estas normas es la gestin de
las TI, por debajo del gobierno de las TI y por encima de la gestin
de equipos de trabajo, las herramientas (aunque influye en ellas y
las uti- liza) y las capas tecnolgicas. 56 ISO/IEC 20000. Gua
completa de aplicacin para la gestin de los servicios de tecnologas
de la informacin Figura 2.2. Las Normas ISO/IEC 20000 se centran en
las actividades de gestin de las TI Fuente: Telefnica.
- 49. Planificacin e implementacin de la gestin del servicio
(PDCA) Planificacin e imple