Muestra Libro ISO20000 Extendida

8/8/2019 Muestra Libro ISO20000 Extendida

1/65

MUESTRAPARAEVALUACIN

BLH(B>


2/65

MU

ESTRAPARAEVALUACIN ISO/IEC 20000.

Gua completa de aplicacinpara la gestin de los servicios

de tecnologas de la informacin


3/65

MU

ESTRAPARAEVALUACIN

Ttulo:ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Telefnica, S.A.Coordinador: Luis Morn Abad

AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2009

Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,sin la previa autorizacin escrita de AENOR.

Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of Government Commerce under delegated authority from the Controller of HMSO.

ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.The Swirl logo is a Trade Mark of the Office of Government Commerce.The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.

IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the UnitedKingdom and other countries.M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.

ISBN: 978-84-8143-662-4Depsito Legal: M-47292-2009Impreso en Espaa -Printed in Spain

Edita: AENOR

Maqueta y diseo de cubierta: AENORImprime: Xxxxxx

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 [email protected] www.aenor.es

Licensed Product


4/65

MU

ESTRAPARAEVALUACIN

Agradecimientos

Este libro recopila las experiencias de profesionales que estn fuertemente invcrados en el impulso de las normas y las buenas prcticas internacionales relatla gestin de las tecnologas de la informacin y las comunicaciones.En la creacin de esta primera edicin del libro han participado:

Direccin de la obra (Telefnica):Luis Morn Abad Direccin tcnica y contenido final. Alejandro Prez Snchez Contenido intermedio.

Autores principales (Telefnica):Luis Morn Abad Alejandro Prez Snchez Juan Trujillo GaonaDavid Bathiely Fernndez Miguel Jos Gonzlez-Simancas Sanz

Colaboradores:Paloma Garca Lpez (AENOR)Carlos Manuel Fernndez Snchez (AENOR)

Eduardo Mndez Polo (Telefnica) Jaime Pastor Pastor (Telefnica)


5/65

MU

ESTRAPARAEVALUACIN

Toms Hernndez Lpez (Telefnica)

Carmen Fernndez Prieto (Telefnica) Mara Luisa Lpez de Castro (Telefnica) Julio Morilla Padial (Telefnica) Andrs Leiva Araos (Telefnica)Ronaldo Gonalves Tiago (Telefnica) Julio Jos Ballesteros Garca (Quint Group)Luis Miguel Rosa Nieto (EXIN Espaa)Pablo Castro Montero(Entre parntesis se indica la empresa en la que trabajaban a fecha 01.01.2009.)

El control independiente de idoneidad tcnica de los contenidos est avalapor profesionales de itSMF Espaa y de AENOR, junto con otros profesinales independientes:Carlos Lpez Alonso (Hewlett-Packard) por itSMF Espaa

Antonio Jos Rodrguez (Quint Group) por itSMF Espaa Ana Ramos (British Telecom) por itSMF EspaaLeopoldo Martnez-Osorio del Ro (INDRA) por itSMF EspaaCarmen Caballero (INDRA) por itSMF Espaa Manuel Fernando Juan Martnez (Banco de Santander) Julio Gonzlez Sanz

Boris Delgado Riss (AENOR) Agradecer tambin a la direccin de Sistemas de Informacin de Telefnica quforma directa ha hecho posible esta publicacin:

Mara Fernanda Torquati (Telefnica) Jos Mara Tavera Ms (Telefnica)Fabriciano Gangoso Alonso (Telefnica)

Isidro Abad Gosalvez (Telefnica)

8 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin


6/65

MU

ESTRAPARAEVALUACIN

ndice

Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Captulo 1. El camino a la excelencia ya existe . . . . . . . . . . . . . . . . . . . . . 21

1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . . 231.2. Normas, estndares, marcos de referencia y metodologas reconocidas

en el mbito de las TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.3. Entender los entornos de normalizacin y certificacin . . . . . . . . . . . . . . 27

1.4. Las principales normas y buenas prcticas en TI . . . . . . . . . . . . . . . . . . . 37

Captulo 2. Entender las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . 51

2.1. Introduccin a las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . . 53

2.2. Objeto y campo de aplicacin de ISO/IEC 20000 . . . . . . . . . . . . . . . . . 65

2.3. La estructura de las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . 70

2.4. Relacin entre ISO/IEC 20000 e ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Captulo 3. El Sistema de Gestin del Servicio de TI (SGSTI) . . . . . . . . . . . . 79

3.1. El sistema de gestin de tecnologas de la informacin . . . . . . . . . . . . . . 83

Captulo 4. Planificacin e implementacin de la gestin del servicio . . . . . 107

4.1. Cmo planificar e implementar la gestin del servicio . . . . . . . . . . . . . . 111


7/65

MU

ESTRAPARAEVALUACIN

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin10

Captulo 5. Planificacin e implementacin de nuevos servicios o deservicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

5.1. El proceso de planificacin e implementacin de nuevos servicios o deservicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Captulo 6. Procesos de provisin de servicio . . . . . . . . . . . . . . . . . . . . . . . 191

6.1. Gestin de nivel de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

6.2. Generacin de informes del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

6.3. Gestin de la continuidad y disponibilidad del servicio . . . . . . . . . . . . . . 279

6.4. Elaboracin de presupuestos y contabilidad de los servicios de TI . . . . . . 3316.5. Gestin de la capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

6.6. Gestin de la seguridad de la informacin . . . . . . . . . . . . . . . . . . . . . . 403

Captulo 7. Procesos de relaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449

7.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

7.2. Gestin de las relaciones con el negocio . . . . . . . . . . . . . . . . . . . . . . . . 457

7.3. Gestin de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485Captulo 8. Procesos de resolucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535

8.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539

8.2. Gestin del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545

8.3. Gestin del problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589

Captulo 9. Procesos de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619

9.1. Gestin de la configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6239.2. Gestin del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661

Captulo 10. Procesos de entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693

10.1. Gestin de la entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697

Captulo 11. La certificacin conforme a ISO/IEC 20000 de la gestindel servicio de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733

11.1. La primera certificacin conforme a ISO/IEC 20000 . . . . . . . . . . . . . . 73711.2. Evidencias y registros importantes en una certificacin . . . . . . . . . . . . . 751


8/65


9/65

MU

ESTRAPARAEVALUACIN

Presentacin

Las tecnologas de la informacin son cada da ms necesarias en la gestin dempresas.Este sector, en su evolucin hacia la madurez, ha ido generando diversos conjude mejores prcticas que ayudan a las organizaciones a gestionar estos entornosnolgicos cada vez ms complicados y, por otra parte, ms esenciales.

Este libro nace con la intencin de ayudar a todo tipo de empresas en la gestde la actividad de sus departamentos informticos. Profesionales de Telefnica AENOR han puesto su mejor empeo en explicar y aportar sus aos de expericia en este mbito. Para ello, se ha utilizado como eje vertebrador las NormUNE-ISO/IEC 20000, que se enriquecen con las buenas prcticas de otros marcomo ITIL.Los autores han desarrollado una buena gua sobre la forma de incorporar esmejores prcticas de la industria en la gestin diaria de las tecnologas. Esta pcacin ayudar a las empresas a adoptar los ltimos avances en la forma de orgalas actividades que contribuyen a que el mundo tecnolgico sea operativo y renpara las organizaciones y para la sociedad.Esperamos que todo su contenido sea de gran utilidad en la mejora de los servide tecnologas de la informacin prestados en su organizacin.

Telefnica


10/65

MU

ESTRAPARAEVALUACIN

Durante la dcada de los aos 50, algunas predicciones futuristas imaginaron para el ao 2000, los coches seran capaces de volar, se ira de vacaciones a Maque Estados Unidos podra llegar a contar con nada menos que trescientos ordenadores. En 1947 el director de una famosa multinacional del sector predque en el mundo slo habra mercado para 5 ordenadores. Estas predicciones en da nos parecen ridculas, unas por lo exageradas, y otras por que se han qdado muy cortas.Las tecnologas de la informacin y las comunicaciones han avanzado muchode lo esperado, pero despus de poblar el mundo de dispositivos de silicio, unas capacidades de proceso inimaginables, nos encontramos con un panoradesalentador:

Equipos que se bloquean. Sistemas que se caen.

Servicios que se interrumpen. Atencin al usuario deficiente. Prdidas de tiempo y de productividad de los usuarios. Personal tcnico desbordado por llamadas y peticiones de asistencia. Directores de sistemas de informacin que ven cmo, a pesar del esfuerzo c

tinuo de su equipo, el roce y el malestar con el resto de la empresa no cesan

Por ello, no es de extraar que encontremos frecuentemente que los departamende las tecnologas de la informacin (TI) se consideren ms una carga que ayuda para el negocio.

Introduccin


11/65

MU

ESTRAPARAEVALUACIN

1 Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo trmiISO/IEC 20000 para referirse a estas normas, tanto para la serie UNE, como para la seISO/IEC.


La dinmica industria de tecnologas de la informacin y las comunicacio(TIC), que es capaz de duplicar la capacidad de proceso y de almacenamiento ao y medio, lleva desarrollando, en paralelo al avance tecnolgico, metodolode trabajo que van ofreciendo soluciones de gestin a estos retos planteados. Eltor de las TIC ha ido creando distintas disciplinas para cubrir algunas de las faque necesita la gestin global de las TIC en la empresa. Soluciones que no siemse han aplicado con el ahnco y el rigor necesarios.Parece lgico que los organismos de normalizacin internacionales, como ISO ( Inter-

national Organization for Standardization , Organizacin Internacional de Normaliza-cin) e IEC ( International Electrotechnical Commission, Comisin ElectrotcnicaInternacional), propicien la elaboracin de normas que van consolidando las prcas establecidas relativas a la organizacin del trabajo en las reas de TI. Adeestos organismos de normalizacin disponen de mecanismos de trabajo asentaque garantizan una amplia participacin de los agentes del sector de las TIC. Esel caso de las Normas ISO/IEC 20000, partes 1 y 2, y sus traducciones oficialcastellano, publicadas por AENOR como Normas UNE-ISO/IEC 200001 en juniode 2007. El presente libro se centra en explicar la aplicacin de estas dos normasLas Normas ISO/IEC 20000 definen los procesos y las actividades esenciales que las reas de TI puedan prestar un servicio eficiente y alineado con las nece

des de la empresa u organizacin. Estas normas, construidas sobre la base modelo ITIL, se centran principalmente en la ordenacin de las disciplinassoporte y provisin de servicios de TI. Son normas especficas para la gestin dservicios que ofrecen las reas o los proveedores de tecnologas de la informaciLas Normas ISO/IEC 20000 no son de ndole tcnico, ni tecnolgico. En ellasdescriben los principales flujos de actividades (agrupados en forma de procesos)fin es lograr una entrega efectiva y con la calidad requerida de los servicios a lostes y usuarios. Adems, definen un sistema reconocido y probado de gestin quemite a los proveedores de TI (ya sean reas internas u organizaciones externas) p

ficar, gestionar, entregar, monitorizar, informar, revisar y mejorar sus servicios.

Objeto del libro

Este libro se centra en explicar y facilitar la comprensin de las Normas ISO/20000 con un enfoque prctico, para que su implantacin resulte efectiva


12/65

MU

ESTRAPARAEVALUACIN

Introduccin 17

cualquier tipo de organizacin que provea servicios de tecnologa, tanto intermente a su organizacin como externamente al mercado, tanto en grandes ornizaciones como en pequeas o medianas empresas.Este libro va dirigido a todos los profesionales del mbito de las tecnologas dinformacin y las comunicaciones que estn involucrados en la provisin de scios. Resultar imprescindible tanto a los responsables de su gestin, como a cquier otro profesional de TI: direccin, gestores, responsables de procesos, contores, tcnicos, personal de soporte, etc. Al avanzar en este libro, el lector constatar que la industria ya ha normalizgran parte del conjunto de actividades necesarias para que los servicios prop

cionados por las TI sean fiables y eficientes. Cubren desde las actividades dea da inmediato, como es la atencin a los incidentes y peticiones, hasta la dnicin de una estrategia que permita continuar prestando los servicios en cde catstrofe, todo ello, sin olvidar conceptos como la planificacin o la mecontinua.Persiguiendo este fin ltimo de utilidad, los contenidos de cada apartado, adede incluir ntegramente la norma, se han enriquecido con otras buenas prctiITIL y con la amplia experiencia profesional de los autores.

Por tanto, este libro pretende ser una gua completa de aplicacin, una ayuda y razonable interpretacin de estas normas. No pretende sentar jurisprudenciarespecto. Los autores dan por hecho que puede haber otras formas de aplicainterpretar las directrices de las normas, ya que las particularidades de cada negy organizacin tienen gran influencia.

Estructura del libro

Se ha puesto nfasis en que los contenidos ayuden a la transformacin real y ceptible de la gestin de las TI en toda empresa que se inicie en el camino de lacacin de ISO/IEC 20000.El captulo 1 El camino a la excelencia ya existe, introduce al lector en las vas tendencias de gestin de las TI, como son: la orientacin a procesos, la cdad, las normas y las mejores prcticas. La intencin del captulo es presentaamplio, y cada vez ms complejo, entorno normativo y de mejores prcticasconocer quines son los principales actores en estos mbitos y se tendr uprimera aproximacin de cmo se posiciona cada norma o iniciativa. Este c

tulo es un paso previo, que proporciona una visin general de todo este escerio internacional, antes de zambullirse en las especificidades de las NormISO/IEC 20000.


13/65


14/65

MU

ESTRAPARAEVALUACIN

19Introduccin

1 Objeto y campo de aplicacin2 Trminos y definiciones

ndice de las Normas ISO/IEC 20000

0 Introduccin1 El camino de la excelencia ya exite

2 Entender las normas ISO/IEC 20000

Bibliografa

11 La certificacin conforme a ISO/IEC 20000de la gestin del servicio de TI

11.1 La primera certificacin conformea ISO/IEC 20000

11.2 Evidencia y registros importantes en unacertificacin

12 Bibliografa y referencias

13 Trminos y definiciones

ndice del libro ISO 20000

4 Planificacin e implementacin de la gestin del servicio

5 Planificacin e implementacin de nuevos servicios o de servicios modificados

6 Procesos de la provisin del servicio

6.1 Gestin de nivel de servicio

6.2 Generacin de informes del servicio6.3 Gestin de la continuidad y disponibilidad del servicio

6.4 Elaboracin de presupuesto y contabilidad de los servicios de TI (gestin financiera de TI)

6.5 Gestin de la capacidad

6.6 Gestin de la seguridad de la informacin

7 Procesos de relaciones

7.1 Generalidades

7.2 Gestin de las relaciones con el negocio

7.3 Gestin de suministradores

8 Procesos de resolucin

8.1 Antecedentes

8.2 Gestin del incidente

8.3 Gestin del problema

9 Procesos de control

9.1 Gestin de la configuracin

9.2 Gestin del cambio

10 Proceso de entrega

10.1 Proceso de gestin de la entrega

3 Requisitos de un sistema de gestin 3 El Sistema de Gestin del Servicio de TI (SGSTI)

Figura I.1. La estructura del libro transcurre paralelaa las Normas ISO/IEC 20000


15/65

MU

ESTRAPARAEVALUACIN

Recorrido 2: lectura secuencial y a fondo . De principio a fin, que es larecomendada por los autores.

Recorrido 3: manual de consulta . La estructura del libro con temticaindependiente permite utilizarlo tambin como manual de consulta, accdiendo directamente a cada proceso.



16/65

MU

ESTRAPARAEVALUACIN

1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia

1.2. Normas, estndares, marcos de referencia y metodologas reconocidasen el mbito de las TI

1.3. Entender los entornos de normalizacin y certificacin

1.4. Las principales normas y buenas prcticas en TI

Captulo 1

El camino a la excelenciaya existe1

3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0 0 0

0 2 7

0 0 1

C O B I T


17/65

MU

ESTRAPARAEVALUACIN

1.1. Las Normas ISO/IEC 20000 son parte del

camino a la excelenciaComparando la gestin habitual de las tecnologas de la informacin con otreas de la empresa, podremos encontrar que, en las ms avanzadas, existen mlos de gestin firmemente establecidos que las hacen parecerse al modelo deorquesta sinfnica en la que, si bien cada msico es un excelente especialista instrumento, es en la interpretacin del concierto cuando la orquesta demuestraautntico valor actuando como un todo.En cambio, las reas que gestionan sistemas tecnolgicos han puesto tradicio

mente el foco en el conocimiento y dominio de la tecnologa. Es esencial y oque se necesitan buenos tcnicos para el diseo, la construccin y el mantenimdel hardware y del software. Sin embargo, la situacin actual refleja que el controlde la tcnica, aunque totalmente imprescindible, no es suficiente para satisftodo lo que la empresa demanda de las reas de TI. Queda una importante asigtura pendiente que, por ms que se invierta en tecnologa y en tcnicos, no se csigue resolver: actuar perfectamente engranados, todos juntos y bien coordinapara conseguir un fin comn: ser cada vez ms eficientes en costes y capade evolucionar con la agilidad tpica del ecosistema Internet (objeto de dese

todos los negocios para sus reas de TI).Los responsables de los departamentos de TI deben responder a importantes dafos: la eficiencia en costes, la calidad, el cumplimiento de plazos, la agilidasatisfaccin de los clientes y usuarios estn entre ellos. La gestin de las TI devolucionar desde los modelos artesanales hacia formas de hacer ms industriadas. Implementar formas de trabajo repetibles, mejorando la calidad de lo cotruido, la fiabilidad de los servicios o aumentando la capacidad de produccinla organizacin, todo ello, dentro de un nuevo entorno ms fluido en las relacioy que genere menos estrs en las personas. En esta evolucin, las buenas prc

sectoriales recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otnormas y marcos de referencia, marcan el camino a recorrer para alcanzar la elencia en la gestin de las TI.Del mismo modo que un abogado debe conocer las leyes para ejercer su profeso un arquitecto la legislacin y reglamentacin sobre urbanismo y edificacindireccin y los profesionales de los departamentos de TI deben conocer con deel conjunto de buenas prcticas, normas o estndares que se estn consolidandsu propio sector. La actividad de los directivos y profesionales de las TI, debe ppor conocer con detalle la normativa y marcos de las mejores prcticas aceptpor el mercado, para aplicarlas posteriormente en su organizacin. Este es un bcamino para la mejora de las actividades.

231. El camino a la excelencia ya existe

3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T


18/65

MU

ESTRAPARAEVALUACIN

1.2. Normas, estndares, marcos de referencia

y metodologas reconocidas en el mbitode las TIEl mundo de la ciencia est empeado en la bsqueda de una ley universal que vlida tanto para el mundo del tomo como para las grandes galaxias. De mananloga, en el mbito de las TI todava no se ha conseguido definir un modelo mal universal de toda su actividad que contemple desde la ms detallada tareanica, hasta la definicin al ms alto nivel de la estrategia alineada con el negocEl inters por mejorar las actividades de las TI ha hecho que se hayan ido desallando varios marcos o modelos que cubren las principales parcelas de la gestidel conocimiento. A veces son complementarios entre s, en otros aspectos se pan y, con frecuencia, presentan enfoques distintos sin ofrecer una integracin con otros modelos o aproximaciones. A pesar de ello, es indudable la utilidadtrabajar con stos modelos de referencia ya definidos y los beneficios que aporlas organizaciones que los utilizan como base para avanzar.Una buena representacin que permite realizar una primera aproximacin a emundo en ebullicin de normas, modelos y marcos de referencia, es la realizad

la consultora Gartner Group, presentada en la figura 1.1. En ella, se posicionannormas en funcin de dos conceptos: el mbito de aplicacin y el tipo de uso dnormativa. El mbito de aplicacin de las normas ocupa las columnas de la tabse divide en dos alcances: el general de la empresa y las disciplinas especficas(gobierno de TI, gestin del servicio de TI, funciones de TI y tecnologa). El tde uso de la normativa se representa en tres filas: normativa con foco en la evacin de la actividad, directrices y mejores prcticas, y la normativa de carcterprescriptivo. La tabla original de Gartner se ha actualizado con la contribucinlos autores, incorporando nuevas normas y marcos de referencia, como: ITIL

CMMI for Services, ISO/IEC15504, ISO/IEC 38500, ISO 9004, ISO14001, IS90003, ISO/IEC 27001, PRINCE2, ISPL, ASL y DSDM). La dinmica de essector har que en breve aparezcan nuevas normas y estndares para incorporste grfico.Entre estos modelos o recomendaciones destacan las NormasISO/IEC 20000 ,que compiten por un reconocimiento en este campo. El hecho de llegar con el paldo de los organismos de normalizacin internacionales, es un claro empuje que se asiente como un referente en la sociedad. Como adems, se han publictambin como norma nacional en muchos pases, cumplen todo lo necesario pque los gobiernos puedan incluirlas en sus legislaciones o regulaciones (pudillegar a convertirse en obligatorias).



19/65


20/65

MU

ESTRAPARAEVALUACIN

La gestin de la seguridad de los sistemas de informacin ha sido una de las ms difundidas en el entorno normativo de las TI, con las normasUNE-ISO/IEC 27001 (sistema de gestin de seguridad) y UNE-ISO/IEC 17799 (uncdigo de buenas prcticas para la gestin de la seguridad de la informacique se ha renumerado como UNE-ISO/IEC 27002. Recientemente han aparcido unas normas britnicas sobre la gestin de la continuidad de negocio, deminadasBS 25999.En el mbito de la auditora, medicin y gobierno de TI el modeloCOBIT (Con-trol Objectives for Information and Related Technology) est reconocido como unaexcelente referencia. En relacin al gobierno de las TI, la normativa internacide ISO ha tomado posiciones con la nueva NormaISO/IEC 38500 CorporateGovernance of Information Technology(tambin denominada en sus etapas de borra-dor como 29382), inspirada en la Norma australiana AS 8015. Como un himenor del modelo COBIT, para la medicin del valor que aportan las TI al negose ha definido un nuevo sub-marco denominado ValIT.En relacin a la gestin de proyectos de desarrollo de software, el marco lder esPMBOK ( Project Management Body of Knowledge), una metodologa reconocidapor el organismo norteamericano de normalizacin ANSI. Tambin hay que teen cuenta el modeloPRINCE2 ( Projects In Controlled Environments) que, reali-

zado por los impulsores de ITIL, es ms sencillo que el anterior, y resulta de udad para proyectos de mejora y de implantacin de ITIL o de ISO/IEC 20000.Otros modelos que se complementan o solapan con los anteriores, aunque cpoca aceptacin en el sector de las TI son: en el mbito de la gestin de proveres ISPL ( Information Services Procurement Library), para disponer de un mapacompleto en la construccin de aplicaciones: ASL ( Application Services Library) oDSDM ( Dynamic Systems Development Method).Por su importancia y universalidad, tambin hay que tener en cuenta la serienormas internacionales ISO 9000, familia de normas y directrices que contielos requisitos para la gestin de la calidad general de una organizacin. Dentresta serie destaca la NormaUNE-EN ISO 9001 , que contiene los requisitos delsistema de gestin de la calidad, tambin esencial para la implantacin de las mas ISO/IEC 20000. La NormaUNE-EN ISO 9004 contiene recomendacionesprcticas para aquellas empresas que quieran ir ms all de los requisitos mnestablecidos en UNE-EN ISO 9001.En el mbito de la calidad aplicada al desarrollo de software, tambin hay que consi-derar la NormaUNE-ISO/IEC 9003 que versa sobre las directrices para la apli-

cacin de la Norma UNE-EN ISO 9001 al desarrollo de software. Por otra parte, la NormaISO/IEC 12207 proporciona un marco para los procesos, actividades y tareas relacionadas con el ciclo de vida del software.



21/65

MU

ESTRAPARAEVALUACIN

Por otra parte, los temas medioambientales tambin tienen su impacto en la gtin de TI. Deben tenerse en cuenta: la legislacin nacional, local y la normasobre retirada y gestin del equipamiento y residuos informticos; la serie de NmasISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe tam-bin la NormaUNE 150002 Sistemas de gestin medioambiental. Gua para la apli-

cacin de la norma UNE-EN ISO 14001:1996 en las empresas de serviciosy la gua parala aplicacin de los sistemas de gestin medioambiental a las relaciones con snistradores y clientes, denominadaUNE 150004 EX ; o el Cdigo de Conductapara la Eficiencia Energtica en Centros de Datos publicado por la Unin Europ Tanta abundancia de informacin y recomendaciones resulta confusa para las onizaciones que slo desean soluciones prcticas y directas para mejorar su gede las TI.De todo el mapa anterior, se recomienda centrarse inicialmente en las normamarcos de mayor relevancia y ms aceptados para la mejora de TI, como son:

ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar gestin de los servicios de TI.

COBIT para la auditora y la medicin de las TI. ISO/IEC 27001 para la gestin de la seguridad de la informacin. ISO/IEC 15504 y CMMI for Development para la gestin del desarrollo d

software. ISO/IEC 38500 y COBIT como referencias para el gobierno de las

tecnologas de la informacin.

1.3. Entender los entornos de normalizacin y

certificacin Tiene gran inters conocer quin es quin en el mbito de la normalizacindefinicin de las buenas prcticas relacionadas con la provisin de servicios dConcurren en este espacio: organizaciones internacionales y europeas de carmultisectorial que producen normas (como ISO, IEC, CEN, CENELEC, ETSUIT), organismos de normalizacin nacionales (AENOR en Espaa, BSI en Uetc.), administraciones pblicas e instituciones gubernamentales (como OGCUK, DoD en los EEUU), organizaciones privadas (itSMF, ITGI), universidad

(Carnegie Mellon), junto a otros organismos del mundo de la certificacin y aditacin de empresas. La figura 1.2 presenta en forma de tabla los principales ares. En las columnas se muestran las instituciones generadoras de normativa


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T


22/65


23/65

MU

ESTRAPARAEVALUACIN

Por otra parte, el mbito de las denominadas iniciativas privadas (ITIL, CMMCOBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores pticas y no de normativa. Los procedimientos y la gestin de la representacinsector quedan a la libre eleccin de la institucin u organismo que impulsa laciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llampblica de participacin para trabajar en la siguiente edicin de estos marcosque suelen responder los principales actores internacionales y gurs en la matEl proceso de seleccin del equipo de revisin es especfico de cada institucicomo el procedimiento de edicin de la nueva versin del marco de referencia.Como se puede intuir hay que ser un autentico especialista en la materia para cprender los diversos esquemas y estructuras que se han ido creando alrededor dnormalizacin y marcos de mejores prcticas. Por la vinculacin con la temtieste libro se explican los procesos de creacin de las normas ISO/IEC y de las mas UNE espaolas:Ciclo de creacin de las normas ISO/IEC . Una norma internacional se desarro-lla en el mbito de los comits tcnicos y de los subcomits tcnicos de ISO IEC. El proceso sigue seis etapas: propuesta, preparatoria, comit, consulta, apbacin y publicacin. En este proceso, el documento propuesta de norma pasa tres estados que indican el grado de aceptacin y apoyo que se va alcanzando d

diversos borradores: CD (Committee Draft ): es un borrador generado por un grupo de trabajo,que ha recibido la aprobacin del grupo y se remite al comit correspodiente para su aprobacin.

DIS ( Draft of International Standard ): es el borrador de norma internacio-nal que el comit de normalizacin ha aprobado y somete a comentarios votacin por parte de los pases.

FDIS ( Final Draft of International Standard ): es el borrador final de la

norma internacional, que el comit enva para su aprobacin final a todos miembros para su publicacin final como norma internacional.

En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. Enetapa 3 se aprueba el borrador para pasar al estado de borrador de comit (DIque ser sometido a aprobacin en la etapa 4 o de consulta. As, el borrador apbado pasa al estado de borrador final de norma internacional (FDIS) que sesometido para su aprobacin definitiva en la etapa 5. Adems, existe el procedimiento rpido de aprobacin, o fast-track, para documen-tos con un grado alto de madurez, como es el caso de normas locales que se qran elevar a internacionales. En este caso, primero se somete a una votacin p


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T


24/65


25/65

MU

ESTRAPARAEVALUACIN

Organismos de normalizacin internacionales

ISO ( International Organization for Standardization , Organizacin Internacionalde Normalizacin). Es el organismo de normalizacin oficial reconocido a ninternacional. Su objetivo es poner a disposicin de la industria un catlogo de mas sobre productos y servicios que se puedan utilizar para dar garanta de univeles de calidad preestablecidos. Fue creado en febrero de 1947 y tiene su sedGinebra. Cuenta en la actualidad con la representacin de 153 pases. Tiene coobjetivo lograr la coordinacin internacional y la unificacin de las normas dindustria. Coopera estrechamente con la IEC.IEC ( International Electrotechnical Commission, Comisin Electrotcnica Interna-cional). Es la organizacin internacional centrada en la normalizacin de los tos elctrico, electrnico y de tecnologas relacionadas. ISO e IEC cooperan echamente en campos de inters mutuo, especialmente en el mbito de las TI eque desarrollan normas de forma conjunta, las denominadas ISO/IEC.UIT ( International Telecommunication Union, Unin Internacional de Telecomuni-caciones). Organismo internacional encargado de la elaboracin de recomendanes para el sector de las telecomunicaciones.

Organismos de normalizacin europeosCEN ( European Committee for Standardization,Comit Europeo de Normaliza-cin). Es el organismo espejo de ISO a nivel europeo. Est centrado en la normzacin en todos los campos excepto en el elctrico y en el de telecomunicacionCENELEC ( European Committee for Electrotechnical Standardization, ComitEuropeo de Normalizacin Electrotcnica). Es el organismo espejo de IEC a neuropeo. Est dedicado a la normalizacin en el mbito elctrico y electrnico.ETSI ( European Telecommunications Standards Institute, Instituto Europeo de Normas de Telecomunicacin). Organismo equivalente a la UIT para Eurocuyo campo de actividad se centra en las telecomunicaciones y comunicacielectrnicas.

Organismos de normalizacin nacionales

AENOR (Asociacin Espaola de Normalizacin y Certificacin). Es el orgnismo que desarrolla la actividad de normalizacin en Espaa. Es una organizaprivada, independiente y sin nimo de lucro, reconocida en los mbitos nacio


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T


26/65

MU

ESTRAPARAEVALUACIN

europeo e internacional para el desarrollo de actividades de normalizacin y cecacin (N+C) en un mbito multisectorial. Cuenta en la actualidad con ms decentros operativos repartidos en: Espaa, Mxico, Chile, El Salvador, Italia, Pogal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el arrollo de las actividades de N+C, a mejorar la gestin de la calidad en las emsas, sus productos y servicios, proteger el medio ambiente y, con ello, lograbienestar de la sociedad en su conjunto.BSI ( British Standards Institute). Organismo de normalizacin del Reino Unido.Es destacable su actividad en la elaboracin de nuevas normas en el mbito dgestin de las TI. Creador de la serie de normas BS 15000, base sobre la que sedefinido las actuales Normas ISO/IEC 20000.En general, cada pas tiene su propio organismo de normalizacin, entre otrpodemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA Australia, etc.Otros organismos de habla hispana, con los que AENOR mantiene una estreccolaboracin motivada, entre otras cosas, por la traduccin conjunta de norminternacionales al espaol, son: IRAM en Argentina, INN en Chile, DGN Mxico, INDECOPI en Per, etc.

Los gobiernos

Es importante destacar el papel activo de los gobiernos, instituciones gubernamtales y administraciones pblicas en el campo de la normalizacin, pues deseman un triple papel: como sustento de la actividad de normalizacin mediante s venciones a los organismos de normalizacin, como impulsores de alguiniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa,estableciendo una regulacin o bien en su papel de cliente contratante de servi

al sector de las TIC.Entre estos organismos destacan el Ministerio de Comercio Britnico (OGC,Office

of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense)como impulsor de CMMI.

Organismos de acreditacin

Las entidades nacionales de acreditacin son entidades independientes cuya cin es la acreditacin de entidades certificadoras y laboratorios de ensayo. Es



27/65

MU

ESTRAPARAEVALUACIN

el reconocimiento formal de que una organizacin es competente para la realcin de una determinada actividad de evaluacin de la conformidad o la realizade un ensayo determinado.Las organizaciones que podemos destacar son:

Internacionalmente: IAF ( International Accreditation Forum). En Europa: EA ( European Cooperation for Accreditation). En Espaa: ENAC (Entidad Nacional de Acreditacin en Espaa). En el Reino Unido: UKAS (United Kingdom Accreditation System).

IQNet . Un papel parecido a la acreditacin lo realiza la Red Internacional de Ctificacin (IQNet, International Certification Network), asociacin formada por lasentidades de certificacin lderes en la certificacin de empresas en sus respecpases. Entre sus objetivos estn:

El reconocimiento y promocin de los certificados expedidos por sus miebros en todos los sectores industriales y de servicios.

La coordinacin de los procesos de certificacin de empresas que operandistintos pases.

Normalmente, los certificados locales emitidos por las entidades certificadorasacompaados de el reconocimiento internacional de IQNet.

Entidades certificadoras

Para que las empresas puedan demostrar a nivel nacional e internacional que cplen las normas, necesitan un certificado. Se trata de un instrumento para verifla correcta implantacin de las normas.La obtencin del certificado se realiza mediante un proceso de evaluacin indediente por parte de una entidad certificadora o de certificacin. Un requisimportante que asegura la solvencia para que una entidad pueda conceder umarca de certificacin es que dicha entidad sea competente para certificarproductos, los servicios, los sistemas de gestin o las personas, a los que se aplmarca de certificacin.Los organismos de acreditacin son los encargados de acreditar a las entidadecertificacin. Las entidades de certificacin utilizan los servicios profesionde los auditores.


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T


28/65

MU

ESTRAPARAEVALUACIN

Marcas de certificacin

Las marcas de certificacin las conceden las entidades correspondientes a losductos, sistemas y servicios que cumplen con los requisitos definidos.La certificacin, en base a normas, tiene su reflejo en los distintivos de certicin, cuya concesin significa que el producto o servicio ha pasado por el adecproceso de certificacin de forma satisfactoria. Cuando, por ejemplo, se tratauna marca de seguridad, la concesin de la marca significar que cumple los resitos de seguridad, segn la norma de referencia.En un producto con certificado de calidad, la etiqueta puede contener distin

logotipos (vase la figura 1.4) dependiendo de la entidad que otorgue el certific

En el Reino Unido se ha desarrollado una marca de certificacin especfica ISO/IEC 20000, segn un acuerdo interno entre UKAS (organismo de acreditacde ese pas) e itSMF-UK (captulo ingls del itSMF, Information Technology Service

Management Forum), con un reglamento especfico (esquema de certificacin). Poel contrario, en la mayora de los pases, la certificacin ISO/IEC 20000 transcpor los caminos habituales de la certificacin del pas, con marcas especficas dentidad certificadora, y regulado por el organismo de acreditacin del pas.

Auditores

Los auditores son los nicos profesionales acreditados para realizar la auditor

cumplimiento de los requisitos de una norma por una organizacin. La calificade auditor se concede nicamente a los candidatos que demuestren experiensuficiente y hayan pasado los exmenes exigidos para ello.


Figura 1.4. Ejemplos de marcas de certificacin de sistema y de productoen el caso de AENOR


29/65

MU

ESTRAPARAEVALUACIN

En el caso de la Norma ISO/IEC 20000-1, existe una acreditacin especficaauditor otorgada por UKAS e itSMF-UK a profesionales con amplia experientras superar un curso en entidades de formacin acreditadas y superar el examerespecto. Esta acreditacin de auditor est vinculada al esquema de certificaconjunto de UKAS e itSMF-UK.

Consultores

Los consultores asesoran, bien a las organizaciones o entidades que quieimplantar las normas, o bien, una vez implantadas, que desean certificarse. P

esta funcin existe una acreditacin profesional especfica. La formacin queben les permite adquirir un nivel suficiente de conocimiento de la normas, esquema de certificacin y de su aplicacin.Los consultores asisten a las organizaciones en la interpretacin y aplicacin normas, as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestinservicio. Asimismo, el consultor externo puede efectuar una evaluacin de los les de gestin del servicio y establecer el nivel de preparacin necesario parasolicitud de certificacin y su posterior consecucin.

Actualmente, existe una acreditacin de consultor ISO/IEC 20000 otorgada por edades de formacin acreditadas por UKAS e itSMF-UK. Otros organismos que relan la formacin profesional (EXIN, APMG) tambin estn entrando en este cam

Las organizaciones alrededor de ITIL

ITIL ( Information Technology Infrastructure Library, Biblioteca de Infraestructurasde Tecnologas de la Informacin) es el compendio de las mejores prcticas egestin de TI ms extendido y ampliamente aceptado por la industria.La estrecha relacin entre los contenidos de las Normas ISO/IEC 20000 y libros ITIL, hace relevante conocer cules son los principales miembros de ecosistema creado para la difusin y evolucin de estas prcticas:OGC (Office of Government Commerce, Oficina de Comercio del Gobierno). Ofi-cina dependiente del Ministerio de Economa y Hacienda britnico, responsablun amplio programa para mejorar la eficiencia de las empresas. Este organis(antes denominado CCTA) fue el creador de ITIL a finales de los aos 80.

TSO . Editorial inicialmente vinculada al entorno gubernamental britnico, centren la publicacin de libros y documentacin producida en este mbito. Fue privzada en 1996 y ha sido comprada por el grupo Williams Lea en enero de 20


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T


30/65

MU

ESTRAPARAEVALUACIN

TSO se encarga de la publicacin impresa y onlinede los libros ITIL, gestionandosus derechos de propiedad intelectual.itSMF International ( Information Technology Service Management Forum, Forointernacional para la Gestin del Servicio de TI). Creado en el Reino Unido1991, es una red mundial de grupos de usuarios de TI que ofrecen mejores prticas y guas basadas en normas para la provisin de servicios de TI. La organcin internacional coordina las actividades de los captulos locales y apoya al rrollo y difusin de las evoluciones de ITIL.itSMF est presente en pases como: Francia, Blgica, Alemania, Portugal, Nuega, Japn, Brasil, Dinamarca, Austria, Finlandia, Canad, EEUU, Singap

Australia, Italia, Hungra, Rumania, Suecia, Argentina, Espaa, etc.itSMF Espaa . Captulo espaol de itSMF. Constituido como una asociacin sinnimo de lucro, acta como una comunidad de usuarios. Centra sus intereses enprcticas y metodologas de gestin y gobierno de las TI. Tiene como objetivo dar a las organizaciones a adoptar soluciones de gestin de servicios TI e impula adopcin de las mejores prcticas.

Certificacin profesional privada en el mbito de lagestin del servicio Alrededor de la difusin de las mejores prcticas de gestin del servicio de Tha ido creando una oferta de servicios de formacin para los profesionales, deminadas privadas por no tener asociadas un reconocimiento oficial del Estpero muy apreciadas en el mundo empresarial. No se debe confundir esta cercacin individual de profesionales con la certificacin de organizaciones o prodores de TI.

En el mbito de ITIL, las certificaciones profesionales tienen gran tradicin. Sevolucionado del esquema anterior de certificaciones de ITIL v2 en tres niv( Foundation, Clusters y Service Manager ) a uno nuevo en ITIL v3 basado en unaestructura ms flexible de cuatro capas: Foundation para los conocimientos gene-rales iniciales, Intermediate para el conocimiento en ms detalle de uno o varios delos libros del ciclo de vida o de agrupaciones de procesos, ITIL Expert que capacitapara la gestin integral de los servicios que requiere haber realizado un conjuntcursos Intermediate e ITIL Master , mximo grado de certificacin que ratifica lacapacidad de analizar y aplicar los conceptos ITIL a nuevas reas. La calidad d

empresas de formacin y el control de los exmenes los gestiona APM Grouquin la OGC ha otorgado en 2006 la gestin de la acreditacin de la formacrelacionada con la marca ITIL.



31/65

MU

ESTRAPARAEVALUACIN

En el mbito de ISO/IEC 20000, la aparicin de estos esquemas de certificacprofesional garantizados es ms reciente, destaca la iniciativa de EXIN ( Examination

Institute for Information Science), pero posiblemente aparecern otros, ya que elentorno de normativa internacional no ejerce el concepto de propietario de mar

1.4. Las principales normas y buenas prcticasen TI

Las Normas ISO/IEC 20000

Dado que estas normas se tratan en profundidad en el resto del libro, nicmente se presenta en la figura 1.5 un esquema general de su estructuracin14 procesos (los 13 procesos descritos en los captulos 6 al 10 de las norm


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T

Figura 1.5. Esquema general de los procesos de ISO/IEC 20000

Fuente: UNE-ISO/IEC y e.p.

Planificacin e implementacin de la gestin del servicio (PDCA)

Planificacin e implementacin de nuevos servicios o de servicios modificados

Gestin de la capacidad

Gestin de lacontinuidad ydisponibilidad

del servicio

Procesos de la provisin del servicioGestin de nivel de servicio

Generacin deinformes del servicio

Gestin de la seguridadde la informacin

Elaboracin depresupuesto y contabilidad

de los servicios de TI

Procesode entrega

Proceso de gestinde la entrega

Procesosde resolucin

Gestin del incidente

Gestin del problema

Procesosde relaciones

Gestin de las relacionescon el negocio

Gestin de suministradores

Sistema de Gestin del Servicio de TI (SGSTI)

Procesos de controlGestin de la configuracin

Gestin del cambio


32/65

MU

ESTRAPARAEVALUACIN

junto al proceso del captulo 5 Planificacin e implementacin de nuevos secios o de servicios modificados). Adems, las normas incluyen dos aspemuy importantes: el sistema de gestin y la planificacin e implementacinla gestin del servicio.En el mbito de los servicios de TI, resulta esencial que los servicios se proven un marco de gestin eficaz y de calidad, para entender claramente los requtos y gestionar su cumplimiento. Las Normas ISO/IEC 20000 articulan el prceso de prestacin de los servicios engranados sobre un sistema de gestinservicio (vase el captulo 3). El proceso de mejora continua establecido po Norma ISO 9001 para la fabricacin de productos o prestacin de servic(siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar Plan , Do, Check,

Act ), tambin se incorpora en esta norma como un motor de la mejora continde los servicios de TI (vase el captulo 4).

La serie ISO 9000, normas de calidad

Segn el diccionario de la Real Academia Espaola, la calidad se define como lapiedad o conjunto de propiedades inherentes a algo que permiten juzgar su valor

El aseguramiento de la calidad nace como una evolucin natural del control dedad, que resultaba limitado y poco eficaz para prevenir la aparicin de defecPara ello, se hizo necesario crear sistemas de calidad que incorporasen la precin como forma de funcionamiento y gestin, y que, en todo caso, sirvieran panticiparse a los errores antes de que estos se produjeran.Un sistema de gestin de la calidad se centra en garantizar que el producto oservicio ofrecido por una organizacin cumple con las especificaciones establepreviamente por la empresa y el cliente, y as, asegurar unos niveles de calidaddecibles y su mejora continua a lo largo del tiempo.

El sistema de gestin de la calidad general es el conjunto de elementos interrelnados de una empresa u organizacin por los cuales se organiza y planifica elbajo de la misma en la bsqueda de la satisfaccin de sus clientes. Sus elemeprincipales son:

La estructura de la organizacin. Sus procesos. Sus documentos.

Sus recursos.



33/65

MU

ESTRAPARAEVALUACIN

ITIL (Information Technology Infrastructure Library )

Es un conjunto de publicaciones que recogen las buenas prcticas en la gestiservicios de las TI. Define un modelo de procesos bastante amplio que abadesde la definicin de la estrategia hasta la gestin de las infraestructuras. El xla fama de ITIL se han fundamentado en la calidad de sus buenas prcticas y eflexibilidad para que las empresas pudieran adaptarlas a sus necesidades.Entre 1989 y 1992, la versin 1 de ITIL se centraba en la gestin de la tecnoloy estaba claramente orientado al entorno mainframe. Paulatinamente, las prcticasfueron evolucionando hacia procesos y servicios. ITIL, en su versin 2 (de pripios del ao 2000), se estructuraba en 7 libros bsicos (adems, hay uno nuevodedicado al inventariado o a la gestin de activos softwarey otro enfocado a imple-mentaciones en organizaciones de TI de menor escala como en pymes). Enfigura 1.6 se muestra la evolucin histrica de ITIL y la aparicin de ISO/I20000 en los ltimos aos.


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T

IBM,sISMA

itSMF ITIL v1:42 libros

ITIL v2:7 libros

ITIL v3:5 libros

CreacinitSMF Espaa

1986 1989 2000 2005 2007

Figura 1.6. Historia de la evolucin de la normativa de gestin del servicio de TI

ITIL v0:Service LevelManagement

BS 15000ISO/IEC20000

UNE-ISO/IEC 20000

EvolucinISO/IEC 20000


34/65

MU

ESTRAPARAEVALUACIN


L A

TE

CNOLOG

A

EL

NEGOCI

O

Gestin de servicio

Sop orte de s ervicio

Cen tro atenci n u sr. In cidente Pr oblema

C onfiguraci n Cam bio

Entrega

Financiero

Continuidad Disponibilidad Capacidad G. nivel de servicio

Provisin de servicio

Planificacin de la implantacin de gestin del servicio

Perspectivade negocio

Gestin relacincon negocio

Gestin relacinproveedores

Planificaciny desarrolloarquitectura TI

Relacinformacin ycomunicacinde TI con elnegocio

Gestin deinfraestructuras TIC

Diseo yplanificacin

Despliegue Operacin Soporte tcnico

Gestin de aplicaciones

Requerimientos

Disear y construir Despliegue Operar

Optimizar

Gestin dela seguridad

Planificar Implementar Evaluar

Mantener Controlar

Gestinde activos

Figura 1.7. Procesos definidos en los libros ITIL v2

Fuente: Libro ITILSoporte de Servicio publicado por OGC y e.p.

ITIL v2 se ha utilizado como base para la creacin de las Normas ISO/IEC 200En la figura 1.7, se muestra una representacin tpica de ITIL v2. En ella se puapreciar el negocio a la izquierda del todo, en el extremo derecho se sita la teloga, y, en medio, haciendo que la tecnologa sea til para el negocio estn loscesos ITIL. De ellos, los dos libros ms valiosos por su contenido y ms aceptpor el mercado son los relativos a la gestin de servicio (librosSoporte de Servicioy

Provisin de Serviciopublicados por OGC).


35/65

MU

ESTRAPARAEVALUACIN

La versin 3 de ITIL, que apareci a mediados de 2007, respeta los principaprocesos del soporte y de la provisin del servicio ya definidos en la versin rior. Tambin saca a la luz mucha de las actividades de gestin de TI no reflejanteriormente, ampliando su alcance a ms de 20 procesos. Esta versin pomayor nfasis en la integracin de TI con el negocio. Se estructura en torno al ccompleto de creacin de servicios: estrategia, diseo, transicin, operacimejora continua (vase la figura 1.8).


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T

Figura 1.8. La estructura de los libros ITIL v3 se articulasegn el ciclo de vida de los servicios

Fuente: Libro ITILEstrategia del Servicio publicado por OGC y e.p.

Mejoradel servicio

Diseodel servicio

ITIL v3

Estrategiadel servicio

O p e r a c i

n

d e

l s e r v

i c i o

T r a n s

i c i n

d e l

s e r v i

c i o


36/65

MU

ESTRAPARAEVALUACIN


Estrategia del servicio

Generacin de la estrategia

Gestin financiera de TI

Gestin de la demanda

Gestin del porfolio de servicios

Diseo del servicio

Diseo de servicios nuevos omodificados

Gestin del catlogo de servicios

Gestin de nivel de servicio

Gestin de la capacidad

Gestin de la disponibilidad

Gestin de la continuidad delservicio TI

Gestin de la seguridad de lainformacin

Gestin de suministradores

Transicin del servicio

Planificacin y soporte de latransicin

Gestin de cambios

Gestin de la configuracin yde activos del servicio

Gestin de versiones ydespliegues

Validacin y pruebas del servicio Evaluacin Gestin del conocimiento

Mejora continua del servicio

El proceso de mejoraen 7 etapas

Informes del servicio Medicin del servicio

Retorno de inversin para lamejora

Preguntas al negocio parala mejora

Gestin de nivel de servicio

Operacin del servicio

Procesos:

Gestin de eventos

Gestin de incidencias Gestin de peticiones

Gestin de problemas

Gestin de accesos

Funciones:

Centro de servicio al usuario

Gestin tcnica

Gestin de operaciones TI

Gestin de aplicaciones

ESTRATEGIA DISEO TRANSICIN OPERACIN MEJORA CONTINUA

Figura 1.9. Contenido de las cinco etapas del ciclo de vidade los servicios en ITIL v3

Fuente: Libros ITIL v3 publicados por OGC y e.p.

ITIL v3

El conjunto de temtica y procesos tratados en ITIL v3 se muestra en la figura

Otras normas y metodologas relacionadas son: COBIT para la auditoragobierno de TI, ISO/IEC 27001 para la seguridad, CMMI e ISO/IEC 1550

(SPICE) como modelos de madurez del desarrollo del software. En los apartadossiguientes se presenta una introduccin a ellas.


37/65

MU

ESTRAPARAEVALUACIN

Monitorizar y evaluar

ME1 Monitorizar y evaluar el desempeode TI

ME2 Monitorizar y evaluar el control interno

ME3 Garantizar cumplimiento regulatorio

ME4 Proporcionar gobierno de TI

Entregar y dar soporte

DS1 Definir y administrar niveles de servicio

DS2 Administrar servicios de terceros

DS3 Administrar desempeo y capacidad

DS4 Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y asignar costos

DS7 Educar y entrenar a los usuariosDS8 Administrar la mesa de servicio y los

incidentes

DS9 Administrar la configuracin

DS10 Administrar los problemas

DS11 Administrar los datos

DS12 Administrar el ambiente fsico

DS13 Administrar las operaciones

Planear y organizar

PO1 Definir el plan estratgico de TI

PO2 Definir la arquitectura de la informacin

PO3 Determinar la direccin tecnolgica

PO4 Definir procesos, organizacin yrelaciones de TI

PO5 Administrar la inversin en TI

PO6 Comunicar las aspiraciones y ladireccin de la gerencia

PO7 Administrar recursos humanos de TI

PO8 Administrar calidad

PO9 Evaluar y administrar riesgos de TI

PO10 Administrar proyectos

Adquirir e implantar

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener el software aplicativo

AI3 Adquirir y mantener la infraestructuratecnolgica

AI4 Facilitar la operacin y el uso

AI5 Adquirir recursos de TI

AI6 Administrar cambios

AI7 Instalar y acreditar soluciones y cambios

COBIT (Control objectives for information and related

technology )Es un conjunto de mejores prcticas e indicadores para el control y auditora dsistemas de informacin. Fue creado por ISACA ( Information Systems Audit andControl Association) y el ITGI (ITGovernance Institute) y ha ido extendiendo sualcance hacia las mtricas de TI y las disciplinas de gobierno de las TI.La primera edicin fue publicada en 1996, la segunda en 1998, la tercera en 2y la cuarta en Diciembre de 2005.COBIT 4 se estructura en cuatro dominios que cubren un total de 34 objetivprincipales de control (denominados tambin procesos), que permiten garantiun adecuado sistema de gobierno para el entorno de las TI. En la figura 1.10muestran estos dominios.


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T

Figura 1.10. Los 4 dominios de COBIT para el gobierno de TI

Fuente: ISACA.

Gobiernode TI

Administracinde recursos A d m i n i s t r a c i

n

d e r

i e s g o s

M e d i c i n d e l

d e s e m p e o

E n t r e g a d e v a l o r

A l i n e

a c i n

e s t r a t

g i c a


38/65


39/65

MU

ESTRAPARAEVALUACIN

ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002) recoge un cdide buenas prcticas para la gestin de la seguridad de la informacin. Se centrdesarrollar los objetivos de control de la seguridad, y para cada uno de ellosindica una gua para su implantacin. Cada organizacin debe considerar cu

sern realmente los aplicables segn sus propias necesidades.

CMMI (Capability Maturity Model Integration )

CMMI es una evolucin de estndar inicial CMM, que fue desarrollado por el(Software Engineering Institute) de la universidad Carnegie Mellon, en 1986. Finiciado en respuesta a la peticin del Gobierno de los EEUU (DepartamentoDefensa, DoD) de proporcionar un mtodo para controlar la capacidad de desarllo de softwarede sus contratistas.Originalmente, fue diseado para su uso por los desarrolladores de software, perohoy se ha ampliado, proporcionando un modelo completo de evaluacin demadurez de las actividades de desarrollo de aplicaciones de una organizacin.modelo est estructurado y repleto de prcticas de gran utilidad para la mejoralas actividades de una organizacin de TI.En la figura 1.12 se muestra la estructura de las prcticas de CMMI en cuatro denominadas constelaciones. Cada una de estas constelaciones se pueden conrar equivalentes a un libro de ITIL. En el modelo CMMI a los procesos se les dmina rea de proceso (PA, Process Area). Se establece una constelacin comn(CMMI Fountation) que contiene los procesos que son comunes, una especf


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T

En la figura 1.11 se muestra la estructura de actividades propuesta en la norma

Ciclo PDCA

Planificar

Hacer

Verificar

Actuar

4.2.1 Creacin del SGSI

4.2.2 Implementacin y operacin del SGSI

4.2.3 Supervisin y revisin del SGSI

4.2.4 Mantenimiento y mejora del SGSI

Modelo en ISO/IEC 27001PlanPlanificar

DoHacer

Act Actuar

Check Verificar

Figura 1.11. Estructura de actividades de ISO/IEC 27001


40/65

MU

ESTRAPARAEVALUACIN

para el desarrollo de aplicaciones (CMMI for Development ), otra para las adquisi-

ciones (CMMI for Adquisition) y una nueva para la prestacin de servicios (CMMI for Services).CMMI describe cinco etapas evolutivas (niveles) en las cuales una organizacisita segn la madurez de sus procesos:

1. Inicial ( Initial) . Los procesos son caticos; pocos procesos estn realmentedefinidos.

2. Repetible ( Repeatable). Se establecen los procesos bsicos y se observa ciertonivel de disciplina respecto a ellos.

3. Definido ( Defined). Todos los procesos estn definidos, documentados, nor-malizados e integrados.

4. Gestionado ( Managed). Los procesos se miden recogiendo datos detalladosde los mismos.

5. En optimizacin (Optimizing). La mejora de los procesos es continua y pro-porciona nuevas ideas y oportunidades.

Con la publicacin en Marzo del 2009 de CMMI for Services, el SEI tambin entraen el mbito de la gestin del servicio, con bastante solape con ITIL e ISO/I20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.


CMMI forDevelopment

CMMIfor Services

CMMI for Acquisition

CMMIFoundation

16 reasde procesocomunes

Figura 1.12. Constelaciones (reas o libros) de CMMI


41/65

MU

ESTRAPARAEVALUACIN

ISO/IEC 15504 (SPICE, Software Process Improvementand Capability dEtermination )

En el mbito del desarrollo del softwareen enero de 1993 en el seno del comit conjunto de ISO e IEC, surge el proyecto SPICE para el desarrollo de un estndinternacional para la evaluacin de los procesos de construccin del software. Elresultado de este trabajo se plasm en la serie de normas ISO/IEC 15504, que psentan un modelo de referencia que describe los procesos de una organizacin ejecutar, adquirir, desarrollar, operar, evolucionar y proporcionar soporte al soft-

ware. Este marco es la respuesta de la normativa internacional al modelo de marez CMMI for Development y en muchos aspectos se solapa.

La arquitectura del modelo organiza las prcticas en nmeros de categoras uzando diferentes tipos de aproximaciones. La arquitectura distingue entre:


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T

Support

Causal Analysis and Resolutio n (CAR)

Configuration Management (CM)

Decision Analysis and Resolution (DAR)

Measurement and Analysis (MA)

Process and Product Quality Assurance (PPQA)

Service Establishment and Delivery

Incident Resolution and Prevention (IRP)

Service Delivery (SD)

Service System Development (SSD)

Service System Transition (ST)

Strategic Service Management (STSM)

Process Management

Organizational Innovation and Deployment (OID)

Organizational Process Definition (OPD)

Organizational Process Focus (OPF)

Organizational Process Performance (OPP)

Organizational Training (OT)

Project Management

Capacity and Availability Management (CAM)

Integrated Project Management (IPM)

Project Monitoring and Control (PMC)

Project Planning (PP)

Requirements Management (REQM)

Risk Management (RSKM)

Quantitative Project Managemen t (QPM)

Service Continuity (SCON)

Supplier Agreement Management (SAM)

Figura 1.13. Los procesos definidos en CMMI para servicios (CMMI-SVC)en su versin 1.2

Fuente: SEI.

Las 24 reas de proceso (PA) en CMMI-SVC


42/65

MU

ESTRAPARAEVALUACIN

Prcticas base . Actividades esenciales de un proceso especfico, agrupadopor categoras de procedimientos y procesos de acuerdo al tipo de activid

Prcticas genricas . Aplicables a cualquier proceso, que representa lasactividades necesarias para administrar el proceso y mejorar su potenlidad.

El modelo agrupa a los procesos en cinco categoras: Procesos cliente-proveedor ( customer-supplier ). Esta categora consta de los

procesos que directamente impactan al cliente, al soporte de desarrollo y transicin del softwareal cliente.

Procesos de ingeniera ( engineering). Esta categora consta de los procesosque directamente especifican, implementan, y mantienen un sistema, un pducto de softwarey la documentacin del usuario.

Procesos de proyecto ( project ). Esta categora consta de los procesos esta-blecidos dentro del proyecto, coordinacin y administracin de los recurpara producir un producto o proveer un servicio para satisfacer al cliente.

Procesos de soporte ( support ). Esta categora consta de los procedimientosque establecen y soportan el desempeo de los otros procesos del proyect

Procesos de la organizacin ( organization). Esta categora consta de losprocesos que establecen las metas de negocio de la organizacin, los prosos de desarrollo y los recursos que ayudan a la organizacin alcanzar dicmetas.

En la figura 1.14 siguiente se muestra un esquema con estos procesos:


Procesos cliente-proveedor

Procesos de ingeniera

Procesosde soporteProcesos de proyecto

Procesos de organizacin

Figura 1.14. Las cinco categoras de procesos definidas en SPICE

Fuente: SPICE.


43/65

MU

ESTRAPARAEVALUACIN

Existen seis niveles de capacidad en el modelo:

Nivel 0: Incompleto . Sera un fracaso general tratar de aplicar las prcticasbase a los procesos, ya que no es fcil identificar las salidas de los procesel funcionamiento de los productos.

Nivel 1: Realizado . Generalmente se ejecutan las prcticas base de los pro-cesos. La ejecucin de dichas prcticas puede no ser planificada riguromente y ni seguida, y depender del conocimiento y esfuerzo personal. identifican algunos procesos.

Nivel 2: Gestionado . Se planifica y se sigue la ejecucin de las prcticasbase en los procesos. El desempeo estar acorde con los procedimientespecificados. La primera distincin entre el nivel 1 y el 2 es que la ejecude los procesos est planificada y administrada y progresan hacia un modbien definido.

Nivel 3: Establecido . Las prcticas bases se ejecutan de acuerdo a una ver-sin adaptada del estndar. Los procesos estn aprobados, bien definidodocumentados.

Nivel 4: Predecible . Se recaban y evalan las mediciones detalladas del ren-dimiento o ejecucin. Se conoce de forma cuantitativa el rendimiento de procesos y es posible su prediccin. Las prcticas se administran objetimente. La calidad de las mismas se conoce cuantitativamente.

Nivel 5: Optimizado. Se establecen en forma cuantitativa procesos y metaseficientes, basados en los objetivos de la organizacin. Los procesos se mejorando de forma continua, mediante la retroalimentacin ( feedback)obtenida por los resultados de procesos definidos, por ideas, por pilotospor nuevas tecnologas.


3 8 5 0 0

C M M I

I T I L

9 0 0 0 2 0

0 0 0

2 7 0 0

1

C O B I T


44/65

MU

ESTRAPARAEVALUACIN

2.1. Introduccin a las Normas ISO/IEC 20000

2.2. Objeto y campo de aplicacin de ISO/IEC 20000

2.3. La estructura de las Normas ISO/IEC 20000

2.4. Relacin entre ISO/IEC 20000 e ITIL

Captulo 2

Entender lasNormas ISO/IEC 200002

4. Planificacin e implementacin de la gestin del servicio (PDCA)

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

6.5 Gestin de la capacidad

6.3 Gestin de la

continuidad ydisponibilidad

del servicio

6. Procesos de la provisin del servicio6.1 Gestin denivel de servicio

6.2 Generacin deinformes del servicio

6.6 Gestin de la seguridadde la informacin

6.4 Elaboracin depresupuesto y contabilidad

de los servicios de TI

10. Procesode entrega

10.1 Proceso de gestinde la entrega

8. Procesosde resolucin

8.2 Gestin del incidente

8.3 Gestin del problema

7. Procesosde relaciones

7.2 Gestin de lasrelaciones con el negocio

7.3 Gestin desuministradores

3. Sistema de Gestin del Servicio de TI (SGSTI)

9. Procesos de control9.1 Gestin de la configuracin

9.2 Gestin del cambio

Fuente: UNE-ISO/IEC y e.p.


45/65

MU

ESTRAPARAEVALUACIN

Planificacin eimplementacin delagestin del servicio (PDCA)

Planificacin eimplementacin denuevos servicios o deservicios modificados

GestindelacapacidadGestindelacontinuidadydisponibilidad

delservicio

Procesos delaprovisin delservicioGestindeniveldeservicio

Generacindeinformes delservicio

Gestindelaseguridaddelainformacin

Elaboracindepresupuestoycontabilidad

delos servicios deTI

Procesodeentrega

Procesodegestindelaentrega

Procesosderesolucin

GestindelincidenteGestindelproblema

Procesosderelaciones

Gestindelas relacionesconelnegocio

Gestindesuministradores

Sistemade Gestin delServicio deTI (SGSTI)

Procesos decontrolGestindelaconfiguracin

Gestindelcambio

2.1. Introduccin a las Normas ISO/IEC 20000La serie de Normas ISO/IEC 20000 (UNE-ISO/IEC 20000 en la versin espola) es el primer conjunto de normativa internacional especfica para la gestilos servicios basados en las Tecnologas de la Informacin (TI). Presentan organizacin cabal de las principales actividades necesarias para gestionar estoscios, agrupadas en un conjunto de procesos considerados esenciales para la creaprestacin y evolucin de los servicios de las TI. Al aplicar sus requisitos y rmendaciones, las organizaciones de TI emprendern un camino indudable mejora en el control y la calidad de su actividad. Es el primer gran salto hacexcelencia demandada por la sociedad a las TI.Se pueden considerar como normas troncales en la gestin de las TI, pues estturan en torno a procesos las actividades ms esenciales. Alrededor del eje vertdor que crean las Normas ISO/IEC 20000 se irn construyendo y transformanel resto de las funciones de la organizacin de las TI. Sobre este ncleo cencreado para la gestin de las TI, se irn incorporando otras mejores formas de hproporcionadas por otras normas, otros marcos de mejores prcticas, por la exriencia propia de la empresa o por las aportaciones de consultores externos.Las Normas ISO/IEC 20000 introducen en la organizacin de las TI una formatrabajo metdica, integrada y orientada a los procesos, haciendo especial nfasgarantizar la calidad del servicio a los distintos clientes de las TI. Adems, artisu implantacin con un sistema de gestin especfico, que incorpora la discipliel rigor de ISO 90000 en la implantacin del modelo de trabajo en las TI.Las Normas ISO/IEC 20000 forman parte del conjunto de normas producidas pla Organizacin Internacional de Normalizacin (ISO) y la Comisin Electronica Internacional (IEC). Su adopcin como normas internacionales surge a rde la iniciativa de elevar a ISO e IEC las normas britnicas BS 15000 relativasgestin del servicio de las TI. Las Normas ISO/IEC 20000 hoy vigentes se trataron en ISO a travs del procedimiento rpido denominado procedimiento fast-track. Esto quiere decir, que estas normas tienen muchas similitudes con la orinal, que la duracin del proceso es de aproximadamente un ao, y que ha contcon la participacin y voto de los representantes nacionales en ISO/IEC.Las Normas ISO/IEC 20000 se componen de dos partes: la primera es la especcacin para la gestin del servicio y tiene un carcter preceptivo, y la segundestablece como un cdigo de buenas prcticas o recomendaciones. Ambas paforman un marco para definir las caractersticas de los procesos implicados e

gestin del servicio, que son esenciales para la prestacin de los mismos con ladad requerida.

532. Entender las Normas ISO/IEC 20000


46/65

M U E S

T R A P A R

A E V A L U

A C I N

Principios bsicos de ISO/IEC 20000

Cuando ISO, IEC y las empresas del sector se plantearon la forma de organizar lasactividades en las reas de TI se dieron cuenta que, adems de la omnipresente tec-nologa, tenan que poner foco en cuatro principios tradicionalmente relegados(vase la figura 2.4):

El servicio . Es fundamental orientar las TI hacia el objetivo de prestar servicioa sus reas de negocio. La actividad de TI se debe estructurar completamentebajo el concepto de servicio y no centrarse exclusivamente en el dominio detecnologas aisladas.


Figura 2.3. En el mapa de disciplinas de TI, las Normas ISO/IEC 20000contribuyen a la parte troncal de la gestin del servicio

Fuente: Telefnica.


47/65

M U E S

T R A P A R

A E V A L U

A C I N

853. El Sistema de Gestin del Servicio de TI (SGSTI)

SGSTI

de TI siguiendo los procesos y formas de hacer formalizadas en la organizacindel proveedor de servicios de TI . Es un sistema vivo en constante evolucin, puesestablece lo que hay que implantar y recoge evidencias de la actividad realizada.La figura 3.2 muestra la estrecha correlacin que existe entre el SGSTI y la ejecu-cin del trabajo diario del proveedor de TI. Nos encontramos ante un sistema degestin que establece los procesos de funcionamiento de TI. Estos procesos debenestar lo suficientemente soportados por herramientas que permitan su gestin efi-caz y su incorporacin al da a da.

Tambin hay que entender que estas normas y marcos de referencia del mercado(ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no sonutilizables, como tal, directamente en la empresa. Requieren concretarse en proce-sos y procedimientos, que son los instrumentos sobre los que se articula la gestinde la actividad. Adems, para que sean de verdad tiles, la aplicacin de todos estosestndares debe adaptarse a las particularidades de cada empresa (tamao, negocio,cultura, estrategia, etc.).

Por ello, todo proveedor u organizacin de TI debe crear su propio sistema de ges-tin que tenga en cuenta cmo adaptar las normas a todas las particularidades pro-pias de cada empresa.

Figura 3.2. El sistema de gestin define el modelo de trabajo a seguir por el proveedor de TI

Fuente: Telefnica.


48/65

M U E S

T R A P A R

A E V A L U

A C I N

993. El Sistema de Gestin del Servicio de TI (SGSTI)

SGSTI

Como no poda ser de otra forma, ISO/IEC 20000-2 hace especial hincapi enel desarrollo profesional y de las competencias de las personas que forman partede TI:

UNE-ISO/IEC 20000-2

El personal que realiza el trabajo relativoa la gestin del servicio debera ser com-petente para esta funcin gracias a laeducacin recibida, a la formacin, lashabilidades y la experiencia adecuadas.

El proveedor del servicio debera:

a) determinar las aptitudes necesa-rias para cada rol en la gestindel servicio;

b) asegurar que el personal es cons-ciente de la relevancia e impor-tancia de sus actividades dentro

del ms amplio contexto de nego-cio y de cmo contribuyen a laconsecucin de los objetivos decalidad;

c) mantener registros apropiados dela educacin, formacin, habili-dades y experiencia;

d) proveer formacin o llevar a cabootras acciones para satisfacer estas necesidades;

e) evaluar la efectividad de las ac-ciones realizadas.

UNE-ISO/IEC 20000-2

Desarrollo profesional. El proveedor del servicio debera desarrollar y mejo-rar las competencias profesionales desu fuerza de trabajo. Entre las medidastomadas para conseguir esto, el prove-edor del servicio debera incluir lo

siguiente:a) contratacin : con el objetivo de

comprobar la validez de los deta-lles de los candidatos al puestode trabajo (incluyendo su cualifi-cacin profesional) y de identificar la fortalezas, debilidades y habili-dades potenciales de los candida-tos frente a una descripcin/perfil

del puesto de trabajo, frente a losobjetivos de la gestin del servicio

y frente al conjunto de objetivosde la calidad del servicio;

b) planificacin : con el objetivo dedotar de personal a los serviciosnuevos o a aquellos que se hayanampliado (tambin contratandoservicios), usando tecnologanueva, asignando personal degestin del servicio a los equiposde desarrollo de proyecto, planifi-cando la sucesin y rellenandolos vacos que se generen debidoa rotacin anticipada del personal;

c) formacin y desarrollo : con elobjetivo de identificar los requisi-

tos de formacin y desarrollodentro de un plan de formacin y


49/65

MU

ESTRAPARAEVALUACIN

5.1. El proceso de planificacin e implementacin

de nuevos servicios o de servicios modificados

5. Planificacin e implementacin de nuevos servicios o de servicios modificados 153

Actualmente no basta con ser rpidos. Es necesario que el proceso de creacin y entrega de servicios TI se realice de forma eficiente y que el producto resultanterena los requisitos demandados por el cliente (vase la figura 5.1). Plazos, eficien-cia y calidad son tres exigencias para el xito empresarial.

Para conseguir el objetivo de gestionar y entregar tanto los nuevos servicios comolas modificaciones a los existentes con la calidad y costes adecuados, ISO/IEC20000 esboza un proceso que se encarga de gestionar el ciclo completo de creacinde los servicios. Su mbito de actuacin abarca tanto los nuevos servicios como lasevoluciones de los que ya estn en su fase de operacin habitual.

En este captulo se presenta el marco de un proceso completamente nuevo inspiradoa partir de los requisitos de ISO/IEC 20000. El proceso de creacin de servicios, osimilar, no est contemplado explcitamente en ITIL. Aunque la v3 estructure sus

libros alrededor del ciclo de vida del servicio y proporcione gran cantidad de detallesy buenas prcticas articuladas en diferentes procesos, no tiene un nico proceso queaglutine todas las actividades de las diferentes reas de TI para una creacin eficiente

Figura 5.1. Esquema general del proceso de planificacin e implementacinde nuevos servicios o de servicios modificados


50/65

M U E S

T R A P A R

A E V A L U

A C I N

Figura 5.6. El presente proceso orquesta la actividad de fabricacin del servicio


Cada uno de los otros procesos que participan en la cadena tiene unos objetivosespecficos y su propio aporte a la construccin del servicio final. Aunque estosprocesos no se han tratado todava en este libro, es conveniente tener una visingeneral de su participacin en este proceso. A continuacin, se detallan los prin-cipales:

Relaciones con el negocio. Su objetivo es establecer y mantener una buena rela-cin entre el proveedor del servicio y el cliente, basndose en el entendimiento delcliente y de los fundamentos de su negocio (vase el captulo 7 para obtener ms

detalles de este proceso).El proceso de creacin de servicios engrana con este proceso de relaciones para quegestione todo el contacto necesario con las reas de negocio. Su contribucin secentra en la toma de requisitos de las necesidades del cliente, la posterior negocia-cin de la propuesta de servicio, la gestin del nuevo acuerdo de nivel de servicio y el consenso con el cliente de la planificacin para la creacin del servicio realizadapor el proceso de creacin. En su funcin comercial, durante el proceso de crea-cin, se encarga de mantener informado al cliente y estar presente en las reunionesde seguimiento, acompaando al jefe de proyecto. En la entrega, gestiona la parti-cipacin del cliente en las validaciones funcionales y en las reuniones para el cierredel proyecto de creacin.


51/65

M U E S

T R A P A R

A E V A L U

A C I N

fijar los acuerdos operativos. Tambin establece los requisitos para que los contra-tos de soporte con los suministradores estn alineados con los compromisos delservicio, contratos que negociar y seguir el proceso de gestin de suministrado-res (vase el apartado 7.3).

En la figura 6.1.4 se muestran los principios bsicos en los que se sustenta la activi-dad de este proceso.

La implementacin de las Normas ISO/IEC 20000 requiere un cambio en la cul-tura de la organizacin, con una orientacin al servicio y al cliente. La gestin denivel de servicio es el instrumento principal para inculcar la cultura de servicios enla organizacin de TI. As, la misin de la organizacin de TI va ms all de la puratecnologa, para ofrecer soluciones al negocio empaquetadas bajo el concepto deservicio. Para ello, el catlogo de servicios y los acuerdos de nivel de servicio (SLA)son las principales palancas para esta transformacin cultural. Los servicios que seofrecen a los clientes se recogen en un catlogo de servicios de TI, alineado con elnegocio, que gestiona y mantiene este proceso. Adems, los servicios llevan asocia-dos un compromiso de prestacin negociado con los clientes, incluidos en los


Figura 6.1.4. Principios bsicos del proceso


52/65

M U E S

T R A P A R

A E V A L U

A C I N

En la figura 6.2.4 se muestran los componentes principales del proceso.

Arquitectura de mtricas . Es un documento que analiza y estructura por niveles todoslos indicadores necesarios para la gestin de TI. Para cada indicador se define una fichade detalle. En organizaciones maduras suele contener ms de 200 indicadores.

Base de datos de indicadores y mediciones . Es una base de datos que contiene ladefinicin de cada uno de los indicadores (fichas) y el histrico de las mediciones decada uno de los indicadores. Es la base fundamental para la generacin de informes.

Cuadro de mando integral (BSC, Balanced Score Card ). Trmino difundido porKaplan y Norton para mostrar el estado de una empresa en base a objetivos e indi-cadores agrupados en cuatro perspectivas: econmica, cliente, interna y crecimiento.


COMPONENTES DE GENERACIN DE INFORMES

Cuadrosde mando

Informes

Panel decontrol

Monitorizacin

Nivelesde servicio

Hechosocurridos

Diseo deinformes

Polticade informes Realizacin

de informes

Base de datos deindicadores y mediciones

Arquitecturade mtricas

KGI

KPI

Indicadores

Figura 6.2.4. Componentes principales del proceso de generacin de informes


53/65

M U E S

T R A P A R

A E V A L U

A C I N

Entradas, actividades y salidas de la gestin de la

disponibilidadLa gestin de la disponibilidad se encarga de garantizar que los servicios son capa-ces de cumplir los requisitos de disponibilidad y tiempo de respuesta que se hanpactado con el negocio. Sus actividades se pueden considerar divididas en dos gran-des grupos: uno primero destinado a planificar e implementar las soluciones de dis-ponibilidad y, un segundo, que realiza la gestin operativa de la misma.

En el esquema de la figura 6.3.7 se muestran las entradas, actividades y salidas dela gestin de la disponibilidad. Las actividades de disponibilidad y continuidad se

Muestra Libro ISO20000 Extendida

Documents

Transcript of Muestra Libro ISO20000 Extendida