Creación e implantación de un Sistema de Gestión de Servicios Estándar basado en la

norma ISO/IEC 20000-1:2011

Bernardo Gómez Vicent

Moncada - 12 de Julio del 2013

2

¿De qué va el Proyecto?

• El proyecto consta de dos partes:

– Creación de un Sistema de Gestión de Servicios Estándar a partir de los requerimientos de la norma ISO 20000-1:2011

– Implantación de ese Sistema de Gestión de Servicios Estándar en la empresa Network Security Advisors, con el fin de obtener la certificación en uno de los servicios que provee a sus clientes.

3

Índice

1. Introducción

2. Entorno de la ISO 20000

3. El Sistema de Gestión de Servicios Estándar

4. La Implantación en Network Security Advisors

5. Conclusiones

6. Turno de preguntas

4

1. Introducción

• Dentro de la introducción veremos los siguientes puntos:

– Objetivos

– Planificación de una implantación real sin el Sistema de Gestión de Servicios Estándar

– Propuesta de proyecto

– Beneficios que se persiguen

5

1.1 Objetivos

Los objetivos que se persiguen con la creación de este proyecto son los siguiente:

1. Proporcionar una visión general del contenido de la norma ISO 20000

2. Explicar el impacto que puede tener el certificación de dicha norma para los proveedores de servicios de TI

3. La Creación del SGS Estándar

4. La implantación de dicho SGS

6

1.2 Planificación de una implantación de la norma sin el SGS Estándar

7

1.3 Propuesta de proyecto

8

1.4 Beneficios que se persiguen

• Aumentar la eficiencia en la gestión de los servicios de TI por parte de las empresas proveedoras de dichos servicios.

• Reducir costes y optimizar recursos

• Entrar en un ciclo de mejora continua

• Aumentar la satisfacción de los clientes

• Mejorar de forma sustancial la imagen de la empresa en el mercado

9

2. Entorno de la ISO 20000

1. ¿Qué es ISO?

2. ISO 20000

3. ITIL

4. COBIT

5. MOF

6. Mapeo ISO 20000, ITIL, COBIT 5

10

2.1 ¿Qué es ISO? (I)

• Organización Internacional de Normalización fundada en Ginebra (Suiza)

• Objetivo: regularizar los estándares industriales y facilitar la coordinación internacional

11

2.1 ¿Qué es ISO? (II)

• Todas las normas desarrolladas por ISO son voluntarias.

• No se puede imponer a un país; ya que es un organismo NO gubernamental.

• El contenido de los estándares está protegido por derechos de copyright y para acceder a esos documentos hay que comprarlos.

12

2.1 ¿Qué es ISO? (III)

Miembros natos

Miembros correspondientes

Miembros suscritos

Otros Estados no miembros de la ISO

13

2.1 ¿Qué es ISO? (IV)

La creación de una norma ISO depende de que una industria o sector comunique la necesidad de un estándar a uno de los miembros de la ISO.

Si dicha petición es aceptada se crea el comité técnico (enfoque muy específico)

• ISO posee 3 comités de política general que proporcionan orientación estratégica (CASCO, COPOLCO y DEVCO)

Una vez creada se vota para aprobarla o si hay q hacer correcciones.

14

2.2 ISO 20000 (I)

• Es la primera norma dirigida a la gestión de servicios de TI

• Fue publicada como BS15000 en Reino Unido y reconvertida a ISO 20000:2005 en diciembre del 2005.

• Es un enfoque integrado basado en procesos que alinea la prestación de servicios TI con las necesidades de la organización

• Su credibilidad es alta por haber sido desarrollada junto con itSMF

15

2.2 ISO 20000 (II)

• Formada por:

1. ISO 20000-1: Especificaciones

2. ISO 20000-2: Código de buenas prácticas

3. ISO 20000-3: Guía sobre la definición del alcance y aplicabilidad de la norma ISO 20000-1

16

2.2 ISO 20000 (III)

17

2.2 ISO 20000 (IV)

• La mejora continua es uno de los requisitos que la norma ISO 20000 impone a un sistema de gestión de servicios de TI

• En ISO 20000 se propone el modelo PDCA (Plan-Do-Check-Act)

18

2.2 ISO 20000 (V)

• ¿Quién puede aplicar la norma ISO 20000?– Es aplicable a cualquier tamaño de organización que

proporcione servicios de TI a sus clientes.

– Un SGS en el que el control de los procesos de gestión está distribuido entre más de una entidad legal, NO PUEDE certificarse

19

2.2 ISO 20000 (VI)

• ¿Cómo se demuestra que se tiene el control de los procesos?– Se es responsable del cumplimiento de los procesos

– Se dispone de evidencias de la ejecución de los procesos

– Se mantiene total responsabilidad y control sobre la definición de los procesos, de los servicios, de la mejora continua y del plan de gestión de servicios

20

2.2 ISO 20000 (VII)

21

2.2 ISO 20000 (VIII)

• Principales certificadoras:– AENOR

– BSI

– APPLUS+

– APCER

22

2.3 ITIL (I)

Information Technology Infrastructure Library

Mejores prácticas basadas en un conjunto de conceptos y prácticas para la gestión de servicios, el desarrollo y las operaciones de TI.

ITIL define qué hay que hacer no el cómo hay que hacerlo

23

2.3 ITIL (II)

ITIL se basa en unos conceptos básicos:

- Gestión de Servicios- Servicio- Valor- Función- Proceso - Ciclo de Vida

24

2.3 ITIL (III)

El ciclo de vida del Servicio en ITIL consta de 5 fases:

- Estrategia del Servicio- Diseño del Servicio- Transición del Servicio- Operación del Servicio- Mejora Continua del Servicio

25

2.4 COBIT (I)

Control Objectives for Information and related Technology

Marco aceptado internacionalmente como una buena práctica para el control de la información de TI y los riesgos que conllevan.

Optimiza las inversiones habilitadas por TI, asegura la entrega del servicio y proporciona una métrica para comprobar que las cosas marchen bien.

26

2.4 COBIT (II)

COBIT proporciona un marco de trabajo el cual tiene un triple enfoque:• Enfocado a la gestión: Provee a la administración de una base

de mejoras prácticas con las que se pueden tomar decisiones de TI e inversión.

• Enfocado a los usuarios de TI: Debido a la seguridad que les brinda para el control de objetivos y procesos.

• Enfocado a auditores: Permite identificar problemas de TI dentro de la infraestructura de TI de la compañía.

27

2.4 COBIT(III)

• Principios de COBIT 5:

– Satisfacer las necesidades de las partes interesadas– Cubrir la Organización de forma integral– Aplicar sólo un marco integrado– Habilitar un enfoque holístico– Separar el Gobierno de la Administración TI

28

2.4 COBIT (IV)

• Los 7 habilitadores de COBIT:– Procesos– Estructuras Organizacionales– Cultura, Ética y Comportamiento– Principios, políticas y marcos.– Información– Personas, Habilidades y Competencias

29

2.4 COBIT (V)

30

2.5 MOF(I)

• Microsoft Operations Framework

• Colección de recomendaciones, principios y modelos para la administración de servicios TI basado en ITIL.

• Si ITIL definía qué hacer, MOF define el cómo hacerlo (metodología).

31

2.5 MOF (II)

• Procesos MOF constan de cuatro fases integradas;– Cambios– Funcionamiento– Soporte Técnico– Optimización

32

2.6 Mapeo ISO 20000, ITIL, COBIT5

33

3. El Sistema de Gestión de Servicios Estándar

1. Requerimientos de un Sistema de Gestión

2. Planificación e implementación de la Gestión de Servicios de TI

3. Definición de la documentación

4. Procesos ISO 20000:2011

34

3.1 Requerimientos de un Sistema de Gestión

• 3 sectores fundamentales:– Responsabilidad de la dirección

– Requerimientos de la documentación

– Competencia del personal

35

3.2 Planificación e implementación de la Gestión de Servicios de TI

Fases del ciclo de implementación de la gestión de servicios:

• Plan: Se especifica el alcance para la aplicabilidad de la norma• Do: Se ejecuta lo establecido en el Plan.• Check: Se utiliza la monitorización, medición y revisión del SGS

para comprobar que se consigue lo esperado. El resultado de esta fase son las acciones de mejora

• Act: Planificación de las acciones de mejora

36

3.3 Definición de la documentación (I)

La norma está documentada en 37 páginas; analizando la norma se extraen:

37

3.3 Definición de la documentación (II)

38

3.3 Definición de la documentación (III)

• Definición de procesos:

1. Introducción

2. Glosario

3. Abreviaturas

4. Visión General del Proceso(Definición, objetivos y ámbito)

5. Proceso “que corresponda”(Diagrama, Actividades, Entradas, Salidas)

6. Evaluación y Seguimiento(Indicadores e informes)

7. Integración con otros procesos

39

3.3 Definición de la documentación (IV)

• Procedimientos:

1. Introducción

2. Diagrama general del proceso

3. Actividades

• Actividad “n”

a. Diagrama

b. Descripción

40

3.4 Procesos ISO 20000 (I)

Planificación en implementación de servicios nuevos o modificados:

• Objetivo: Asegurar que si se crea o modifica un servicio éste se haga de la forma más eficiente; asegurando la calidad y continuidad del servicio.

41

3.4 Procesos ISO 20000 (II)

42

3.4 Procesos ISO 20000 (III)

• Entradas:– Solicitudes de clientes– Reclamaciones de clientes– Peticiones de cambio (RFC)– Catálogo de Servicios

• Salidas:– SLA(Service Level Agreement) firmado– Catálogo de Servicios actualizado

43

3.4 Procesos ISO 20000 (IV)

Gestión de Niveles de Servicio

• Objetivo: Definir, negociar y supervisar la calidad de los servicios de TI ofrecidos.

44

3.4 Procesos ISO 20000 (V)

45

3.4 Procesos ISO 20000 (VI)

• Entradas:– Información del resto de procesos– SLA´s

• Salidas:– SLA(Service Level Agreement) – SLR (Requisitos de Nivel de Servicio)

46

3.4 Procesos ISO 20000 (VII)

Gestión de la Continuidad y Disponibilidad del Servicio

• Objetivo: Asegurar que los servicios se prestan de forma continuada y no sufren interrupciones.

47

3.4 Procesos ISO 20000 (VIII)

48

3.4 Procesos ISO 20000 (IX)

• Entradas:– Incumplimientos en la disponibilidad – Fecha de revisión de los planes de disponibilidad y

continuidad– Peticiones de la dirección

• Salidas:– Plan de disponibilidad– Plan de continuidad

49

3.4 Procesos ISO 20000 (X)

Elaboración de Presupuesto y Contabilidad de los Servicios de TI

• Objetivo: Administrar de manera eficaz y rentable los servicios y la organización de TI.

50

3.4 Procesos ISO 20000 (XI)

51

3.4 Procesos ISO 20000 (XII)

• Entradas:– Necesidades de compra– Costes del servicio

• Salidas:– Presupuestos– Informes de gastos

52

3.4 Procesos ISO 20000 (XIII)

Gestión de la Capacidad

• Objetivo: Asegurar que la capacidad de las infraestructuras de TI se corresponda con las necesidades del negocio. Es necesario un equilibrio entre coste y capacidad y entre provisión y demanda.

53

3.4 Procesos ISO 20000 (XIV)

54

3.4 Procesos ISO 20000 (XV)

• Entradas:– Requisitos de capacidad– Incidencias de capacidad– Datos de monitorización

• Salidas:– Plan de capacidad

55

3.4 Procesos ISO 20000 (XVI)

Gestión de la Seguridad de la Información

• Objetivo: Establecer protocolos de seguridad que aseguren que la información esté accesible cuando se necesita por aquellos que tenga autorización para utilizarla

56

3.4 Procesos ISO 20000 (XVII)

57

3.4 Procesos ISO 20000 (XVIII)

• Entradas:– Incidencias de seguridad– Análisis de riesgos

• Salidas:– Política de Seguridad de TI– Evaluación de riesgos

58

3.4 Procesos ISO 20000 (XIX)

Gestión de Relaciones con el Negocio

• Objetivo: Establecer y mantener una relación comercial entre el proveedor de servicios y el cliente.

59

3.4 Procesos ISO 20000 (XX)

60

3.4 Procesos ISO 20000 (XXI)

• Entradas:– Solicitudes de los clientes– Reclamaciones

• Salidas:– Encuestas

61

3.4 Procesos ISO 20000 (XXII)

Gestión de Proveedores

• Objetivo: Alcanzar la mayor calidad del suministro al mejor coste posible.

62

3.4 Procesos ISO 20000 (XXIII)

63

3.4 Procesos ISO 20000 (XXIV)

• Entradas:– Conflictos contractuales– Necesidades de compra

• Salidas:– Contratos de Soporte

64

3.4 Procesos ISO 20000 (XXV)

Gestión de Incidentes

• Objetivo: Resolver cualquier incidente que cause un mal funcionamiento del servicio

65

3.4 Procesos ISO 20000 (XXVI)

66

3.4 Procesos ISO 20000 (XXVII)

• Entradas:– Incidencias

• Salidas:– Peticiones de cambio

67

3.4 Procesos ISO 20000 (XXVIII)

Gestión de Problemas

• Objetivo: Determinar causas de problemas y buscar soluciones

68

3.4 Procesos ISO 20000 (XXIX)

69

3.4 Procesos ISO 20000 (XXX)

• Entradas:– Información de incidentes– Monitorización

• Salidas:– Base de datos de soluciones– Errores conocidos

70

3.4 Procesos ISO 20000 (XXXI)

Gestión de la Configuración

• Objetivo: Identifica, organiza y controla las modificaciones al servicio para maximizar la productividad

• CMDB (Base de Datos de la Configuración)

71

3.4 Procesos ISO 20000 (XXXII)

72

3.4 Procesos ISO 20000 (XXXIII)

• Entradas:– Cambios

• Salidas:– CMDB

73

3.4 Procesos ISO 20000 (XXXIV)

Gestión del Cambio

• Objetivo: Controlar el ciclo de vida del cambio para minimizar interrupciones

74

3.4 Procesos ISO 20000 (XXXV)

75

3.4 Procesos ISO 20000 (XXXVI)

• Entradas:– Solicitud de cambios

• Salidas:– Aprobación del cambio– CMDB actualizada

76

3.4 Procesos ISO 20000 (XXXVII)

Gestión de Entregas

• Objetivo: Proteger el entorno de producción a través de la implementación de cambios aprobados

77

3.4 Procesos ISO 20000 (XXXVIII)

78

3.4 Procesos ISO 20000 (XXXIX)

• Entradas:– Peticiones de cambio

• Salidas:– Calendario de cambios– Planificación detallada de cambios

79

4. La Implantación en Network Security Advisors

1. Adaptación del SGS Estándar

2. Herramientas utilizadas

3. Implantación del SGS

80

4.1 Adaptación del SGS Estándar

• Definición del Alcance: Servicio Tiendas OnLine• Identificación de Activos:

– Tiendas OnLine– Tiendas en local– Documentación– Máquina Virtual1– Máquina Virtual2– Servidor1– Servidor2

81

4.2 Herramientas utilizadas

• Nagios• OTRS• Pentaho Report Designer• Plesk• Gestión Documental

82

4.3 Implantación del SGS

83

5. Conclusiones

• La adquisición del certificado de una norma como la ISO 20000 asegura un eficiente funcionamiento en la gestión de los servicios de TI y da confianza a los clientes.

• Imprescindible para sobrevivir en el mundo laboral de la provisión de servicios.

• Como trabajo futuro:- Creación de un cuadro de mandos para los indicadores- Crear una Gestión Documental más eficiente.

84

6. Turno de preguntas