Iso 20000 1- desayuno espiral-aenor chile

AENOR

MODELO TICs AENOR UNE-ISO 20000-1:2011

SGSTI - Sistema de Gestión de Servicios de TI

1

Carlos Manuel FERNÁNDEZ. CISA, CISM

Ingeniero en Informática.

Gerente de TICs (AENOR)

Profesor Máster (UNIR) Vocal del Colegio Profesional de Ingenieros de Informática de Madrid (CPIICM)

Boris DELGADO. CISA, CISM

Ingeniero en Informática.

Auditor Jefe de TICs (AENOR)

Profesor Máster (UNIR)

Antonio José SEGOVIA

Ingeniero Informático

Máster en Seguridad de la Información

Auditor Jefe de TICs (Calificado por AENOR)

Madelein CELIS AZOCAR

Gerente Comercial - AENOR CHILE Tel.: +562 2 499 9200 Cel.: +569 9 642 9383 [email protected] - www.aenorchile.com

mailto:[email protected]

http://www.aenorchile.com/

AENOR 2

0. Índice

1. AENOR

2. Calidad y Seguridad en las TICs. Modelo de AENOR

3. Sistema de Gestión del Servicio – UNE-ISO/IEC 20000-1:2011. Principales diferencias.

4. Comparativa y diferencias. Cambios en la versión 2011

5. Conclusiones finales

6. Herramientas

7. Bibliografía

AENOR

1. AENOR

3

AENOR

• Asociación privada • Sin ánimo de lucro • Constitución: 1986 • Real decreto 2200/95 • AENOR Corporación • AENOR INTERNACIONAL (10 Sociedades) • Multisectorial • Normalización • Certificación productos, servicios, sistemas

de gestión y personal • Servicios de Formación

1. AENOR

4

AENOR

1. AENOR

ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN Y CERTIFICACIÓN

Entidad privada, independiente, sin ánimo de lucro

ACTIVIDADES -Elaborar normas técnicas nacionales (UNE) y participar en la elaboración de normas internacionales -Certificar productos, servicios y empresas (sistemas de gestión)

Entidad designada por el Ministerio de Industria y Energía (R.D. 1614/1985), como entidad para desarrollar las actividades de N+C. Reconocida como Organismo de Normalización y para

actuar como Entidad de Certificación (R.D. 2200/1995)

5

AENOR

29.300 Certificados ISO 9001 1.900 Certificados OHSAS 18001 + 400 Certificados IS0 27001 + 120 Certificados ISO 20000-1 + 40 Certificados SPICE nivel 2 3 Certificados SPICE nivel 3

7.220 Certificados ISO 14000 558 Certificados EMAS

Calidad y Seguridad Medioambiente

Internacional Recursos Humanos

Más de 45 Acuerdos internacionales para certificación de sistemas

Más de 67 Países donde AENOR concedido certificados

500 Auditores/25 auditores TICs

Producto

Más de 100.570 Certificados

Normalización

Más de 30.000 Normas (UNE y Ratificadas)

Cambio Climático

Más de 200 proyectos MDL, AC y Voluntarios

6

1. AENOR : Datos relevantes

AENOR

Normalización

International Standardisation Organisation (ISO)

International Electro-technique Commission (IEC)

European Committee for Electro-technique Standardisation (CENELEC)

Comisión Pan-Americana Normas Técnicas (COPANT)

Certificación

International Certification Network (IQNet)

European Institute for Telecommunications Standardisation (ETSI)

AENOR N+C

3. AENOR N+C

7

European Committee for Standardisation (CEN)

AENOR 8

†

Oficina en República Dominicana

Oficina en Bulgaria

Oficina en Marruecos

CEIS & † laboratorio

Estructura

3. AENOR INTERNACIONAL

AENOR

3. AENOR CHILE

� CONSTITUCIÓN:

Octubre de 2001

� CERTIFICADOS VIGENTES:

786

� CLIENTES DESTACADOS:

• SUPERVISIÓN DE OBRAS E INSTALACIONES : Proyectos 3G y 2G (Nokia, ATC SITIOS DE CHILE y ATC SITIOS DE CHILE)

AENOR


10

AENOR


SGCN ISO 22301

Sistema de Gestión Continuidad del Negocio.

Nivel de Madurez. Ciclo de Vida de SW

SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software

SGAS - SAM ISO 19770-1

Sistema de Gestión Activos Software (Licencias de Software)

SGSI ISO 27001

Sistema de Gestión Seguridad de la Información

ISO 27002 Guía de Controles

ISO 12207 Ciclo de Vida de Desarrollo de

Software

SGSTI ISO 20000-1

Sistema de Gestión Servicios TI

ISO 20000-2 Guía de Buenas Prácticas

Desarrollo de Software Procesos / Servicios

Adicionalmente:

• BPCE – Buenas Práctica Comercio Electrónico

Copyright AENOR. Diciembre 2006

Objetivo: Gobierno y Gestión de las TICs con estándares ISO.

Gobierno de TI ISO / IEC 38500

IT Governance

ISO 25000 Calidad del Producto Software

Funciones del director de TI

Calidad y seguridad en servicios de TI (el día a día)

Creación de Software

La empresa y su continuidad según procesos críticos

Nota: tiene PDCA / Control interno Tecnologías de Información

Datacenter Green. Sostenibilidad Energética en CPDs- SE CPD-

AENOR

PDCA

SGSTI ISO 20000-1

ISO27002 ISO 20000-2

(ITIL)

LIBRERÍA INFRAESTRUCTURA

CPD ?

SGSI ISO 27001

Motor

Conocimiento

ISO.. ISO..

GUIA

S

DE

IMPLANTACION

M

E

T

R

I

C

A

S

2. Concepto de Motor – Conocimiento en TICs

Fte: Tesis doctoral – Carlos Manuel Fernández

12

AENOR

2. Descripción genérica de un proceso

PROCESO -Tareas / Actividades - Procedimientos -Instrucciones Técnicas - Registros (evidencias)

Entradas Salidas

Indicadores / métricas

Relaciones con otros procesos

Un proceso es un conjunto estructurado de actividades diseñado para cumplir un objetivo concreto. Un proceso tiene entradas y salidas. Las organizaciones que persiguen la eficacia en su funcionamiento tienen que identificar y gestionar numerosos procesos que están relacionados entre sí, ya que es frecuente que la salida de un proceso pase directamente a ser la entrada del siguiente proceso.

Nota: es conveniente la utilización de workflows en el proceso 13

AENOR

3. Sistema de Gestión del Servicio – UNE-ISO/IEC 20000-1:2011.

Principales diferencias.

14

AENOR

Formada por dos partes bajo el mismo título: Tecnologías de la Información. Gestión del Servicio

– UNE-ISO/IEC 20000-1:2011. Tecnología de la Información. Gestión del Servicio. Parte 1:

Requisitos del Sistema de Gestión del Servicio (SGS)

• Promueve la adopción de un marco de procesos de gestión, para una provisión de servicios gestionados que están en línea con:

– las necesidades del negocio – con los requisitos de los clientes

• Motor

– ISO/IEC 20000-2:2011 Tecnología de la Información. Gestión del Servicio. Parte 2: Guía de Aplicación del Sistema de Gestión del Servicio (SGS)

• Guía y recomendaciones relativas a las buenas prácticas de la Gestión del Servicio • Conocimiento

Nota : La norma ISO/IEC 20000-2 está actualmente en proceso de traducción al español sin fecha definitiva para su

publicación como norma UNE.

3. UNE -ISO 20000 – Gestión del Servicio

15

AENOR

• Alcance: Que un proveedor de servicios preste servicios gestionados de una calidad aceptable para sus clientes.

• Se basa en ITIL, que es un conjunto de buenas prácticas en la Gestión del

Servicio de TI, desarrollado por la Office of Goverment Comerce (UK).

• Beneficios de ISO 20000-ITIL: – Maximizar la Calidad del servicio – Alinear los servicios de TI a las necesidades del negocio – Reducir Costes – Aumentar la satisfacción del Cliente – Visión clara de la capacidad del departamento de TI – Minimizar el tiempo de ciclo de cambios y mejorar resultados en base a

métricas – Toma de decisiones en base a indicadores de negocio y de TI

Nota: La nueva versión 2011 amplía el concepto de servicio.

3. UNE -ISO 20000 – Sistema de Gestión del Servicio (SGS)

16

AENOR

1.- Gestión del Nivel de Servicio 2-.Informes del Servicio 3.-Gestión de la Capacidad 4.-Gestión de la continuidad y de la disponibilidad del servicio 5.-Gestión de la Seguridad de la Información 6.- Gestión de Presupuestos y contabilidad de los servicios 7.- Gestión de relaciones con el Negocio 8.- Gestión de Proveedores 9.-Gestión de Incidencias y peticiones de servicio 10.- Gestión de Problemas 11.- Gestión de Configuración 12.- Gestión del Cambio 13: Gestión de la entrega y despliegue

ISO 20000-parte 2 (Procesos-Guía)

“P”

“D”

“C”

“A”

Política, Alcance, Catálogo, Plan de Gestión Servicio

Implementar los objetivos y plan de gestión de los servicios Formación, Concienciación.

Revisión por Dirección Auditorías Internas, Métricas e Indicadores, etc.

Mejorar la eficacia y la eficiencia de la prestación y gestión de los servicios Adoptar las acciones correctivas Adoptar las acciones preventivas

3. SGSTI - ISO 20000-1: MODELO PDCA “Plan-Do-Check-Act”

17

AENOR Fte: ISO / IEC 20000-1:2011

3. UNE-ISO/IEC 20000-1:2011 Sistema de Gestión del Servicio (SGS)

Sistema de Gestión del Servicio (SGS)

Diseño y transición de servicios nuevos o modificados

Procesos de control

• Gestión de la configuración • Gestión de cambios

• Gestión de la entrega y despliegue

• Gestión del nivel de servicio

• Informes del servicio

• Gestión de la Seguridad de la Información

• Elaboración de presupuestos y contabilidad de los servicios

Procesos de resolución • Gestión de incidencias y peticiones de servicio

• Gestión de problemas

Procesos de relación • Gestión de relaciones con el negocio

• Gestión de suministradores

• Gestión de la capacidad

• Gestión de la continuidad y disponibilidad del servicio

Procesos de Provisión del Servicio

• Responsabilidad de la Dirección

•Establecer el SGS

•Gobierno de los procesos operados por terceros

•Gestión de la documentación

•Gestión de los recursos

Clientes (y otras partes interesadas)

REQUISITOS DEL SERVICIO


SERVICIO

18

AENOR

Aspectos más importantes:

– Ciclo de Mejora continua - PDCA (Plan,Do,Check,Act). – Catálogo de Servicios. – Acuerdos de nivel de servicio (SLA’s internos y/ó externos). – CMDB – Base de Datos de Gestión de la Configuración. – Los 13 procesos de ISO 20000-1.

3. UNE -ISO 20000 -1. Sistema de Gestión del Servicio

19

AENOR

Procedimientos

Registros

Manual de SGS

Política(s), objetivos, alcance Plan del Servicio, Catálogo, SLAs

Describe procesos - quién, qué,

cuándo,)

Describe las tareas y las actividades específicas y cómo se realizan

Proporciona las pruebas objetivas del cumplimiento con las exigencias del SGS

Nivel 2

Nivel 3

Nivel 4

Nivel 1

Instrucciones de trabajo, listas de comprobación,

formularios, etc.

3. Documentación del SGS

20

AENOR

1. Mayor armonización con la Norma ISO 9001; 2. Mayor armonización con la Norma ISO/IEC 27001; 3. Cambio en la terminología para reflejar usos internacionales

(referencias a otras ISO); 4. Inclusión de más términos, modificación de algunos, y eliminación

de otros; (de 15 términos en 2007 a 37 términos en 2011). Por ejemplo: CI (Elemento de Configuración), CMDB, la inclusión del término accesibilidad en la

definición de Seguridad de la Información, etc. VER ANEXO I

5. Inclusión del término "sistema de gestión del servicio"; 6. Unificación de los capítulos 3 y 4 de la Norma ISO/IEC 20000-1:2007

para incluir todos los requisitos del sistema de gestión en un solo capítulo;

7. Clarificación de los requisitos para el gobierno de los procesos operados por terceros (solo del 5 al 9);

3. Principales diferencias en la versión 2011

21

AENOR

8. Clarificación de los requisitos para definir el alcance del Sistema de Gestión del Servicio (SGS);

9. Clarificación de que la metodología PDCA aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios;

10. Inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados.

11. En la descripción de cada proceso se elimina el párrafo: objetivo 12. El proveedor de servicios considera siempre a “los clientes y partes

interesadas”

13. Se tiende a sustituir “necesidades y/o requisitos del negocio” por “necesidades y/o requisitos del cliente y partes interesadas”

14. En muchos casos se indica explícitamente “debe existir un procedimiento/proceso documentado”. En algunos casos habla de procedimientos o referencias a ellos.

3. Principales diferencias en la versión 2011

22

AENOR

4. Comparativa y diferencias. Cambios en la versión 2011

23


4. UNE-ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)



Procesos de control






















SERVICIO

24

AENOR

4. Ejemplos. UNE – ISO/IEC 20000-1: Apartado 4. REQUISITOS GENERALES

1. Ejemplo de Alcance

2. Ejemplo de plantilla de Catálogo de Servicios

3. Ejemplo de Objetivos de Gestión de Servicios

4. Ejemplo de plantilla de un Plan de Gestión del Servicio

25

AENOR

4. Ejemplo de Alcance

“El sistema de gestión para la prestación de servicios (de TI) de hosting, housing, correo colaborativo y mantenimiento correctivo/preventivo de aplicaciones tipo ERP, de acuerdo al catálogo de servicios vigente.” Nota1: diferenciar la redacción breve del alcance, con la definición en detalle del alcance. Así en el apartado 4.5.1 Definir el alcance de UNE-ISO/IEC 20000-1:2011, indica que el proveedor de servicio debe definir e incluir el alcance del SGS en el plan de gestión de servicio. Se deben considerar los siguiente parámetros en la definición:

a) unidades organizativas que prestan el servicio, por ejemplo, un solo departamento, grupo de departamentos o todos los departamentos; b) servicios que se ofrecen, por ejemplo, un solo grupo, o todos los servicios, servicios financieros, servicios de correo electrónico; c) lugar geográfico en que el proveedor de servicios presta los servicios, por ejemplo, un solo emplazamiento o un grupo de emplazamientos, local o global; d) clientes y su ubicación, por ejemplo, uno de los clientes, varios clientes, los clientes externos o internos; e) La tecnología utilizada para prestar los servicios.

Nota2: se recomienda la lectura de UNE-ISO 20000-3-2011. Directrices para la definición del alcance y aplicabilidad de la norma ISO/IEC 20000-1 26

AENOR

4. Ejemplo de plantilla de Catálogo de Servicios

El catálogo de servicios debería incluir la siguiente información: a) el nombre y la descripción del servicio; b) objetivos de servicio, por ejemplo, tiempo para cumplir con una solicitud de tiempo para restablecer un servicio después de una incidencia; c) los puntos de contacto; d) horas de servicio, horas de soporte y excepciones; e) medidas de seguridad; f) servicios actuales; g) dependencias entre los servicios y componentes de servicios, por ejemplo, un Centro de Atención a Usuarios incluye soporte de aplicaciones, soporte para acceso a Internet y soporte de los equipos, cada uno de los cuales pueden ser proporcionados por diferentes proveedores o grupos internos.

27

AENOR

4. Ejemplo de Objetivos de Gestión de Servicios

Los objetivos deben estar alineados con los objetivos del negocio y con la política de gestión del servicio. Por ejemplo, los objetivos de gestión de servicios pueden incluir lo siguiente: Objetivo1: Desplegar en producción de forma más rápida los servicios nuevos o modificados; Objetivo2: optimizar el coste de los servicios prestados reduciendo costes operativos; Objetivo3: mejorar en un 0.1% los SLAs de los servicios más críticos;

28

AENOR

4. Ejemplo de plantilla de un Plan de Gestión del Servicio

Debe contener (o referenciar): 1. objetivos de la gestión del servicio a alcanzar por el proveedor del servicio; 2. requisitos del servicio; 3. limitaciones conocidas que pueden afectar al SGS; 4. las políticas, normas, requisitos legales y regulatorios, y obligaciones

contractuales; 5. estructura de autoridades, responsabilidades y roles del proceso; 6. autoridades y responsabilidades de los planes, los procesos de gestión del

servicio y servicios; 7. recursos humanos, técnicos, financieros y de información necesarios para

alcanzar los objetivos de gestión del servicio; 8. enfoque a adoptar para trabajar con terceros involucrados en el proceso de

diseño y transición de servicios nuevos o modificados; 9. enfoque a adoptar para las interfaces entre los procesos de gestión del servicio y

su integración con el resto de componentes del SGS; 10. enfoque a adoptar para la gestión de riesgos y los criterios para la aceptación de

riesgos; 11. tecnología utilizada para soportar el SGS; 12. cómo se medirá, auditará, informará y mejorará la eficacia del SGS y los servicios

29





Procesos de control






















SERVICIO

30





Procesos de control






















SERVICIO

31

AENOR

4. Ejemplos. Registros y documentos del proceso de SI

Deberían obtenerse los siguientes registros y documentos:

1) política de seguridad de la información; 2) procedimientos de gestión de seguridad de la información; 3) registros de incidentes de seguridad de la información; 4) análisis de riesgos de seguridad de la información; 5) Controles aplicados.

32





Procesos de control

• Gestión de la configuración • Gestión del cambio







• Gestión del problema














SERVICIO

33


4. ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)



Procesos de control

• Gestión de la configuración • Gestión del cambio





















SERVICIO

34

AENOR

4. Ejemplo de matriz para el tiempo de resolución de incidencias (impacto, urgencia).

IMPACTO

URGENCIA Grave Alta Medio Bajo

Alto P1: Resolución en 2 horas P2: Resolución en 4 horas P3: Resolución en 1 día P4: Resolución en 2 días

Medio P2: Resolución en 4 horas

P3: Resolución en 1 día P4: Resolución en 2 días P5: Resolución en 3 días

Bajo P3: Resolución en 1 día

P4: Resolución en 2 días



35


4. ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios (SGS)



Procesos de control






















SERVICIO

36

AENOR

4. Ejemplo de tipos de CI’s en una CMDB

En la CMDB podrían identificarse los siguientes elementos de configuración: 1. los servicios que se enumeran en el catálogo de servicios, su información y los

documentos relacionados, por ejemplo, SLA, acuerdo, contrato, requisitos de servicio, etc.

2. componentes de servicio, incluyendo hardware, software y licencias, herramientas, aplicaciones, documentación, servicios de apoyo y personas (roles);

3. líneas de base de configuración de software

37

AENOR

5. Conclusiones finales

38

AENOR

La nueva versión 2011 no ha cambiado tanto con respecto a la versión 2007. Amplía y aclara requisitos de la anterior versión 2007. A modo de resumen:

1. Mayor armonización con la Norma ISO 9001;

2. Mayor armonización con la Norma ISO/IEC 27001; 3. Cambio en la terminología para reflejar usos internacionales

(referencias a otras ISO); 4. Inclusión de más términos, modificación de algunos, y eliminación

de otros; (de 15 términos en 2007 a 37 términos en 2011). 5. Inclusión del término "sistema de gestión del servicio";

6. Unificación de los capítulos 3 y 4 de la Norma ISO/IEC 20000-1:2007 para incluir todos los requisitos del sistema de gestión en un solo capítulo;

7. Clarificación de los requisitos para el gobierno de los procesos operados por terceros (solo del 5 al 9);

5. Conclusiones y futuro en Sistemas de Gestión en las TICs.

39

AENOR

8. Clarificación de los requisitos para definir el alcance del Sistema de Gestión del Servicio (SGS);

9. Clarificación de que la metodología PDCA aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios; (p.e. revisión por dirección más clara).

10. Inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados.

11. En la descripción de cada proceso se elimina el párrafo: objetivo 12. El proveedor de servicios considera siempre a “los clientes y

partes interesadas” 13. Se tiende a sustituir “necesidades y/o requisitos del negocio”

por “necesidades y/o requisitos del cliente y partes interesadas” 14. En muchos casos se indica explícitamente “debe existir un

procedimiento/proceso documentado”. En algunos casos habla de procedimientos o referencias a ellos.


40

AENOR

Recordemos que los aspectos más importantes en un SGS:

9 PDCA. 9 Catálogo de Servicios. 9 SLA’s (intenos y externos). 9 CMDB. 9 Los 13 procesos de ISO 20000-1.


41

AENOR

Aspectos a considerar: • El control interno de Tecnologías de Información no es una

moda. • El Sistema de Gestión en las TICs ayuda a gestionar el control

interno de Tecnologías de la Información alineado e integrado con los objetivos del negocio y el cumplimiento normativo legal y sectorial.

• El PDCA-motor y el conocimiento-control interno de TI,

cumpliendo objetivos de negocio. • CEO y CIO desean calidad y seguridad en los servicios de TI.

• CEO y CIO desean aplicaciones implementadas que cumplan

con los objetivos de negocio/requisitos de servicios y clientes.


42

Iso 20000 1- desayuno espiral-aenor chile

Marketing

Transcript of Iso 20000 1- desayuno espiral-aenor chile