Qg ISO/IEC20000 · 2 ISO/IEC 20000 - GUÍA DE BOLSILLO Acerca de la Biblioteca ITSM Las...

ISBN 90 77212 88 4

El objetivo de esta guía de bolsillo es proveer de un documento defácil lectura que explique la naturaleza, contenido y propósito deISO/IEC 20000. Ello pondría ISO/IEC 20000 al alcance de unaamplia audiencia internacional a una mayor velocidad, proveyendode una guía de fácil acceso:• Para promover la concienciación y la aceptación de ISO/IEC

20000 como un estándar válido para las organizaciones deservicios de TI.

• Para dar soporte a la formación y certificación bajo ISO/IEC20000.

• Para proporcionar una referencia rápida sobre el contenido clavede ISO/IEC 20000, para profesionales.

“ISO/IEC 20000, guía de bolsillo” está dirigida a un amplioabanico de profesionales, formadores y estudiantes que trabajan enTI así como en otros entornos, yendo desde expertos en provisiónde servicio de TI hasta aquellos que buscan un acercamientoadecuado a aspectos de mejora de la calidad.

ITSMF Internacional, a través de los esfuerzos de su InternationalPublications (Committee), ha apoyado esta guía de bolsillo comoparte de una biblioteca global común que propicie unentendimiento uniforme del conocimiento y la mejor práctica.

WWW.VANHAREN.NET

ISO/IEC 20000ISO/IEC 20000G U Í A D E B O L S I L L O


P O C K E T S E R I E S

ISO

/IEC

20

00

0-

ISO

/IEC

20

00

0-

GU

ÍAD

EB

OLS

ILLO

Procesos de provisión de servicio

Proceso de entrega

Gestión de la entrega

Procesos de resoluciónGestión del incidenteGestión del problema

Procesos de controlGestión de la configuración

Gestión del cambio

Procesos de relaciones

Gestión de relaciones de negocio

Gestión de suministradores

Gestión de la capacidad

Gestión de lacontinuidad ydisponibilidad

del servicio

Gestión de la seguridad de la información

Elaboración de presupuestos y contabilidad de

los servicios de TI

Gestión del nivel de servicio

Información del servicio

_ _ Q g

2 ISO/IEC 20000 - GUÍA DE BOLSILLO

Acerca de la Biblioteca ITSMLas publicaciones en la biblioteca ITSM abarcan las mejores prácticas de la Gestión de TI y son publicadas en nombre de ITSMF Holanda (ITSMF-NL).

IT Service Management Forum (ITSMF) es una asociación constituida por organizaciones y clientes de servicios de TI. El objetivo de ITSMF es promover la innovación y el soporte de la Gestión de TI; ambos, suministradores y clientes están igualmente representados dentro de ITSMF. El objetivo principal del Foro es el intercambio paritario de conocimiento y experiencia, y nuestros autores son expertos globales en ambos.

Las siguientes publicaciones están, o pronto estarán, disponibles:

Introducción - Libros de fundamentos

• Foundations of IT Service Management based on ITIL / IT Service Management, an introduction - based on ITIL (Árabe, Danés, Alemán, Inglés, Francés, Italiano, Japonés, Coreano, Holandés, Portugués, Ruso, y Español)

• IT Services Procurement, an introduction based on ISPL (Holandés)• Project Management based on Prince2 (Holandés, Inglés, Alemán)• Practitioner Release & Control for IT Service Management, based on ITIL®

(Inglés)

Gestión de servicio de TI – mejores prácticas

• IT Service Management - best practices, part 1 (Holandés)• IT Service Management - best practices, part 2 (Holandés)• IT Service Management - best practices, part 3 (Holandés)

Temas e instrumentos de gestión

• Metrics for IT Service Management (Inglés)• Six Sigma for IT Management (Inglés)• The Request for Proposal (RfP) for IT Outsourcing (Holandés)• Service Agreements – A Management Guide (Inglés)• Frameworks for IT Management (Inglés)

Guías de bolsillo

• ISO/IEC 20000, a pocket guide (Inglés, Alemán, Italiano, Español, anteriormente BS 15000 - a pocket guide)

• IT Services Procurement based on ISPL - a pocket guide (Inglés)• IT Governance - a pocket guide based on COBIT (Inglés, Alemán)• IT Service CMM, a pocket guide (Inglés)• IT Service Management - a summary based on ITIL (Holandés)• IT Service Management from hell! (Inglés)

ISO/IEC 20000 - GUÍA DE BOLSILLO

ISO/IEC 20000G U Í A D E B O L S I L L O


ISO/IEC 20000, guía de bolsilloTítulo: ISO/IEC 20000, guía de bolsillo

Editores: Jan van Bon (editor en jefe, en

representación de ITSMF Netherlands)

Marianne Nugteren (Inform-IT, NL, editor)

Selma Polter (Inform-IT, NL, editor)

Editorial: Van Haren Publishing ([email protected])

ISBN(10): 90 77212 88 4

ISBN(13): 978 90 77212 88 2

Edición: Primera edición, primera impresión,

Noviembre 2006

(Esta es una nueva edición de un título

anteriormente publicado como

BS15000 A Pocket Guide ISBN: 90 77212 48 5)

Traducción al español: Antonio José Rodríguez

Diseño y composición: CO2 Premedia bv, Amersfoort-NL

COPYRIGHT

El uso de la marca registrada ISO/IEC 20000 y del material registrado ha sido

autorizado por BSI.

© Todos los derechos reservados

Ninguna parte de esta publicación puede ser reproducida mediante cualquier

forma de impresión, foto-impresión, microfi lmación o cualquier otro medio sin la

autorización por escrito de la editorial.


ReconocimientoEsta guía de bolsillo es una iniciativa del ITSMF, el Foro para la Gestión

de Servicios de TI. En 2004, el capítulo alemán del ITSMF comenzó

un proyecto para desarrollar una publicación promocional, con el fi n de

suscitar la concienciación respecto a la norma BS 15000 y desarrollar una

guía rápida de referencia. Este proyecto fue llevado a cabo con la ayuda

de la comunidad internacional del ITSMF; fue la primera publicación del

ITSMF producida con la cooperación de todos los capítulos. El sub-comité

de publicaciones de ITSMF (IPESC, ITSMF International’s Publication

Executive Sub-Committee) ha contribuido a reunir al Equipo de Revisión

a través de su red de expertos en la materia, y ha tratado continuamente

de progresar, abordando todos los aspectos que se presentaron con este

proyecto internacional.

Este Equipo de Revisión también analizó el texto de esta guía de bolsillo

cuando fue actualizada para refl ejar la evolución de BS 15000 hacia ISO/

IEC 20000.

Los siguientes expertos participaron en el Equipo de Revisión:

• Rolf Akker (Gasunie, Holanda)

• Simon Bos (Bos+Cohen,Holanda)

• Bernd Broksch (Siemens Business Services GmbH & Co. OHG,

ITSMF Alemania)

• Janaki Chakravarthy (Infosys, ITSMF India)

• Young-Sug Choi (BSI, ITSMF Corea)

• Rod Crowder (OpsCentre, Australia)

• Karen Ferris (ProActive Services Pty Ltd, ITSMF Australia)

• Marcus Giese (TÜV Informatik Service und Consulting Services

GmbH, ITSMF Alemania)

• Björn Hinrichs (SITGATE AG, ITSMF Alemania)

• Brian Johnson (Computer Associates, Estados Unidos)

• Ivor Macfarlane (Guillemot Rock, ITSMF Internacional)


• Steve Mann (Opsys-SM2, ITSMF Bélgica)

• Colin Rudd (ITEMS Ltd, ITSMF Reino Unido)

• Cheryl E. Simpson (Toronto, Canadá)

• Wilfred Wah (IBM, ITSMF Hong Kong)

Agradecemos a las siguientes personas su contribución a la revisión de la

traducción al castellano:

• Antonio Rodríguez (Quint)

• Luis Morán (Telefónica)

• Luis Miguel Rosa (Telefónica)

• Antonio Cruz (Quint)

• Juan Antonio Fernández (Quint)

• Antonio Crespo (Quint)

Agradecemos a estos expertos que dedicaran su tiempo de buen grado para

la creación de esta guía de bolsillo.


PrólogoLa llegada de ISO/IEC 20000, que deriva de la norma británica BS 15000,

es un hito defi nitivo para el éxito y la popularidad de las mejores prácticas

en la Gestión de servicio de TI por todo el mundo. El reconocimiento

como norma ofi cial supone un empuje decisivo hacia la cultura de servicio

en el sector de las TI, al poner los medios para medir y certifi car la

excelencia de este tipo de servicios.

Esta guía de bolsillo condensa los principios y estándares de ISO/IEC

20000 de manera que ayuda a adquirir un conocimiento básico de la

norma, y sirve como referencia para cualquier organización que provea

servicios TI, y que esté interesada en aprender más o incluso en alcanzar la

certifi cación en ISO/IEC 20000.

ITSMF Internacional, a través de los esfuerzos de IPESC, está orgulloso

de promocionar esta guía de bolsillo como parte de una biblioteca global

común que sirva de apoyo para lograr un entendimiento homogéneo del

conocimiento y las mejores prácticas de Gestión de Servicio de TI (ITSM).

El reconocimiento en las páginas precedentes identifi ca a los muchos

representantes de capítulos ITSMF que estuvieron involucrados en la

revisión y promoción de este libro.

En nombre de la comunidad global de ITSMF, deseo dar las gracias a

IPESC por su continua dedicación, esfuerzo y compromiso en la revisión y

promoción de este libro.

Confío en que encuentren este libro informativo y entretenido.

Sharon Taylor,

Presidencia, Subcomité Ejecutivo Internacional de Publicaciones

ITSMF Internacional


Introducción a la guía de bolsilloEl objetivo de esta publicación es proporcionar un documento fácil de leer

que explique la naturaleza, contenido y propósito de ISO/IEC 200001.

Esto supone poner, a una mayor velocidad, ISO/IEC 20000 al alcance de

una amplia audiencia internacional,, mediante la entrega de una guía de

fácil acceso para:

• Promover la concienciación y aceptación de ISO/IEC 20000 como un

estándar válido para los proveedores de Servicio de TI;

• Servir de soporte en la formación y certifi cación en ISO/IEC 20000;

• Facilitar a los profesionales una referencia rápida al contenido clave de

ISO/IEC 20000.

“ISO/IEC 20000, guía de bolsillo” está dirigida a un amplio abanico de

profesionales, formadores y estudiantes, que trabajan en TI, así como en

otros entornos, yendo desde expertos en provisión de servicio de TI, hasta

aquellos que buscan un acercamiento adecuado a aspectos de mejora de la

calidad. Además, aquellos clientes que estén considerando requerir a sus

proveedores de servicio certifi carse bajo ISO/IEC 20000, pueden obtener

una visión de lo que pueden esperar de ellos.

Esta guía de bolsillo comienza con una Introducción a ISO/IEC 20000,

que cubre la historia, antecedentes, posición y entorno de ISO/IEC 20000.

El segundo capítulo describe la estructura formal de la norma ISO/IEC

20000. Este capítulo le muestra exactamente qué debería leer si quiere

revisar los detalles de la norma en los documentos ofi ciales.

1 La norma ISO en inglés ha sido adoptada como norma española UNE-ISO/IEC 20000

partes 1 y 2, y está disponible en castellano (ver www.aenor.es)


El siguiente es un capítulo sobre ISO/IEC 20000 – Gestión global. Aquí

se le muestra cómo puede utilizar la norma para un enfoque de mejora

continua de la calidad.

Antes de entrar en los detalles de la norma formal, presentamos el

Cuaderno de auto-evaluación de la Gestión de Servicio de TI. ISO/IEC

20000 tiene como fi n fi jar un estándar, específi co para proveedores de

servicio, que sirva como objetivo en los proyectos de mejora de la calidad.

La norma también es útil para evaluar la posición real de un proveedor

de servicio. Antes de leer los detalles de la norma, debería conocer la

estructura de la metodología de evaluación.

El siguiente capítulo forma el cuerpo central de esta guía de bolsillo:

ISO/IEC 20000 – Modelo y Áreas Clave. Aquí presentamos el núcleo de

la norma, ilustrado con ejemplos de preguntas de evaluación.

ISO/IEC 20000 enfatiza el papel de la comunicación en la gestión de

servicio. Por esta razón, incluimos un apéndice con la Terminología y las

Defi niciones que son utilizadas en esta norma.

De esta manera todos los elementos importantes de ISO/IEC 20000 son

agrupados en una guía de referencia pequeña y de rápido manejo, que

ayuda a las organizaciones en la comprensión y aplicación de la norma en su

organización. Esta guía de bolsillo no sustituye a la norma: para más detalles

debería leer los documentos ofi ciales ISO.


Contenidos1 Introducción a ISO/IEC 20000 131.1 Historia 13

1.2 Cambios al texto original de BS 15000 14

1.3 Propósito de ISO/IEC 20000 15

1.4 Relación con ITIL 16

1.5 Relación con otros estándares 17

1.6 Partes interesadas 19

1.7 Acreditación y Certifi cación 20

1.8 Formación 21

1.9 Certifi cación 21

2 Estructura de la norma ISO/IEC 20000 232.1 Contenido clave 23

2.2 Contenido complementario 24

3 ISO/IEC 20000 – Gestión global 253.1 Alcance 25

3.2 Comunicación 26

3.3 Requisitos para un sistema de gestión 26

3.4 Planifi cación e implementación de la gestión de servicio 29

3.5 Planifi cación e implementación de servicios 35

nuevos o modifi cados

4 Cuaderno de auto-evaluación 374.1 Estructura 37

4.2 Cómo utilizar el cuaderno 38

5 ISO/IEC 20000 – Modelo y Áreas Clave 415.1 Procesos de provisión de servicio 41

5.2 Procesos de relación 54


5.3 Procesos de resolución 58

5.4 Procesos de control 62

5.5 Proceso de entrega 67

6 Apéndices 716.1 El esquema de certifi cación 71

6.2 Bibliografía 71

6.3 ISO/IEC 20000 72

6.4 Terminología y defi niciones 72


1 Introducción a ISO/IEC 20000

1.1 HistoriaLa Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

es aceptada en todo el mundo como el estándar de facto para las mejores

prácticas de los procesos en la Gestión de Servicios de Tecnologías de la

Información (en adelante TI). No fue hasta hace unos pocos años cuando

estuvo disponible una norma formalmente documentada con la que los

proveedores de servicio que aplicaban el marco de trabajo de ITIL fueron

capaces de mostrar su conformidad. En el año 2000, BSI, el Instituto

Británico de Estandarización, defi nió ofi cialmente los requisitos para

la entrega efectiva de servicios al negocio y sus clientes, en una norma

británica: BS 15000.

La primera edición de BS 15000 fue publicada en noviembre de 2000,

basada en una publicación anterior - DISC PD0005:1998 – El Código de

Práctica para la Gestión de Servicios de TI. BS 15000-1:2002 se convirtió

en la segunda edición, siendo el resultado de la experiencia y feedback de

los que habían adoptado anteriormente la primera edición. El desarrollo de

la estrategia de certifi cación ha dado un gran impulso a la aceptación de BS

15000 como norma ofi cial.

El 15 de diciembre de 2005 ISO, La Organización Internacional de

Estandarización, adaptó BS 15000 a una nueva norma internacional ISO:

ISO/IEC 20000. Existen dos formas de crear una norma ISO: la creación

cooperativa por los países involucrados, o la vía “fast track” basada en

alguna norma nacional ya existente. Para la aceptación de esta norma

británica, ISO siguió la vía “fast track”. Previamente a su aceptación

como una norma ISO, BS 15000 fue copiada y aceptada por los cuerpos

de estandarización nacionales de Australia y Sudáfrica. La aceptación de

ISO/IEC 20000 mantendrá su contenido durante tres años. En ISO se ha


creado un grupo de trabajo para la evolución de esta norma (JTC1/SC7/

WG25 “Service Management”).

Si bien ISO/IEC 20000 no incluye formalmente el planteamiento de

ITIL, sí describe un conjunto integrado de procesos de gestión que están

alineados y son complementarios con el enfoque de procesos defi nido

en ITIL. Se puede considerar que cada uno de los libros ITIL ofrece una

información más ampliada y una guía de buenas prácticas sobre los temas

ubicados dentro del alcance de ISO/IEC 20000.

La edición actual de la parte 1 de la norma “especifi caciones” (ISO/IEC

20000-1) es una versión levemente adaptada de BS 15000-1. BS 15000

Código de Práctica (BS 15000-2) ha sido la base para ISO/IEC 20000-2

(Código de Prácticas). El código de prácticas ofrece una descripción más

detallada de las mejores prácticas, y proporciona guías y recomendaciones.

Este Código de Prácticas no forma parte de los requerimientos.

El período de transición para las organizaciones certifi cadas bajo BS

15000 para hacerlo bajo ISO/IEC 20000 es de 18 meses desde la fecha de

publicación de la norma. Por lo tanto, después del 15 de junio de 2007 los

certifi cados expedidos bajo BS 15000:2002 parte 1 no tendrán validez.

La norma está soportada por un práctico Cuaderno de auto-evaluación

de Gestión de Servicio de TI (BIP 0015). Esta publicación es una versión

actualizada del cuaderno de auto-evaluación (PD0015) que fue elaborado

para BS 15000.

1.2 Cambios al texto original de BS 15000 La actualización a la norma ISO/IEC 20000 conllevó sólo pequeños cambios

del texto original de BS 15000. La mayoría de estos cambios fueron cosméticos

y demasiado pequeños como para repercutir en el resumen de alto nivel sobre

la norma que se recoge en esta guía de bolsillo. Los cambios que tuvieron

efecto en la primera edición de esta guía de bolsillo fueron los siguientes:


• El término 'BS 15000' fue reemplazado por 'ISO/IEC 20000' en todo el

libro.

• El término 'organización de servicio' refi riándose a la organización de

TI que presta el servicio fue reemplazado por el término 'proveedor de

servicio' de TI, pero el alcance es el mismo.

• El término 'tercera parte' fue reemplazado por 'suministrador' o

'externo'.

• Las defi niciones de 'documento' y 'registro' fueron adaptadas para

refl ejar la terminología ISO.

Aparte de todo esto, esta guía de bolsillo contiene algunos fragmentos

adicionales de texto sobre los procedimientos de certifi cación y acreditación

de ISO/IEC 20000.

1.3 Propósito de ISO/IEC 20000El propósito de ISO 20000 es “proveer una norma de referencia común

para toda empresa que ofrezca servicios de TI tanto a clientes internos

como externos”. Ya que la comunicación juega un papel esencial en la

gestión de servicio, uno de los objetivos más importantes de la norma

es crear una terminología común para las organizaciones proveedoras de

servicio TI, sus suministradores y sus clientes.

La norma promueve la adopción de un planteamiento de procesos

integrados para la gestión de los servicios de TI. Estos procesos han sido

posicionados en un modelo de procesos, cubriendo los procesos ITIL de

soporte de servicio y de provisión de servicio, así como algunos procesos

de gestión adicionales. Esta norma se establece para defi nir todo aquello

que es obligatorio para la buena gestión de servicios (aspectos comunes y

requeridos para toda gestión de servicios de un proveedor de servicios) y no

para especifi car directamente requisitos particulares.

La recopilación de la información clave de los procesos de gestión de

servicio de ITIL en una norma ISO internacional formalizada, permite a


los proveedores de servicio TI decidir su adecuación de manera formal a

estas mejores prácticas. Hasta ahora la certifi cación formal estaba centrada

en individuos (ITIL Foundation, ITIL Service Manager, ITIL Practitioner),

no en organizaciones. El desarrollo de un certifi cado internacional

focalizado en la organización estimulará más aún la aceptación de la gestión

de servicio de TI como un campo importante.

1.4 Relación con ITILISO 20000 está alineada con el marco de trabajo de la Biblioteca de

Infraestructura de TI (ITIL) defi nido en los volúmenes de Soporte de

Servicio (2000) y Provisión de Servicio (2001). . ITIL es un conjunto

de mejores prácticas, mientras que ISO 20000 es un conjunto formal

de especifi caciones cuyo cumplimiento debería ser perseguido por los

proveedores de servicios: ser capaces de proveer servicios de alta calidad.

Aplicar las mejores prácticas de la Biblioteca de Infraestructura de TI

ayudará al proveedor de servicio a alcanzar la calidad en la gestión de

servicio requerida por ISO 20000. BS 15000 e ITIL y ahora ISO/IEC

20000 han evolucionado juntas, con muchos colaboradores comunes.

La relación entre ISO 20000 e ITIL se ilustra en la fi gura 1.

Figura 1. ISO/IEC 20000 e ITIL

Norma ISO/IEC 2000

Esquema de certificación ISO/IEC20000, gestionado por ISO

Cuaderno BIP 0015de auto-evaluación BP

Cuestionario y capacidad de madurez OGC

Estándar de calidad que se espera conseguir

Introducción a la gestión de servicio y la visión general de gestión

Definiciones de proceso

Documentos propios específicos de la

Guía del Gestor BIP 0005 de BSI

Mejores Prácticas de ITIL

Procedimientos /instrucciones de trabajo propios organización


ISO/IEC 20000 cubre todos los procesos explícitos de ITIL de los libros

de Soporte de Servicio, Provisión de Servicio y Gestión de la Seguridad, y

también algunos procesos adicionales que están parcialmente cubiertos por

publicaciones actuales de ITIL. La tabla 1 lo ilustra.

Procesos en ISO/IEC 20000 Procesos o libros en ITIL

Gestión de la confi guración Gestión de la confi guración

Gestión del cambio Gestión del cambio

Gestión de la entrega Gestión de la entrega

Gestión del incidente Gestión del incidente

Gestión del problema Gestión del problema

Gestión de la capacidad Gestión de la capacidad

Gestión de la continuidad de servicio

de TI y gestión de la disponibilidad

Gestión de la continuidad de servicio

de TI + gestión de la disponibilidad

Gestión de nivel de servicio Gestión del nivel de servicio

Información del servicio -

Gestión de la seguridad de la

información

Gestión de la seguridad

Elaboración de presupuesto y

contabilidad para servicios de TI

Gestión fi nanciera

Gestión de relaciones con el negocio The Business Perspective series y el

volumen Customer Liaison versión 1

Gestión de suministradores Libros de ITIL version 1 (p.e.

managing facilities and third party

relationships) y algunos contenidos

del libro “The Business Perspective”

- Gestión de Infraestructura(s) de TIC

- Gestión de Aplicaciones

- Planifi car la implementación de la

gestión de servicio(s)

Tabla 1. Referencias cruzadas entre procesos de ISO/IEC 20000 e ITIL

1.5 Relación con otras normasLa actual edición de las especifi caciones ofi ciales (ISO/IEC 20000) ha sido

adoptada con leves adaptaciones de la versión de BS 15000-1. El periodo


de transición para que las organizaciones actualmente certifi cadas bajo BS

15000 obtengan la certifi cación ISO/IEC es de 18 meses desde la fecha

de publicación de la norma, es decir, 15 de junio de 2007. Después de

esta fecha, los certifi cados bajo BS 15000 Parte 1 de las organizaciones no

tendrán validez.

Uno de los procesos de provisión de servicio de ISO/IEC 20000 es la

gestión de la seguridad de la información. ISO/IEC 17799 provee una

guía sobre la gestión de la seguridad de la información. Las organizaciones

certifi cadas bajo ISO/IEC 27001 satisfarán los requerimientos de seguridad

incluidos en ISO/IEC 20000-1.

También hay relación con otras normas. Por ejemplo:

1. ISO/IEC 12207, Information technology – Software life cycle

processes

2. ISO/IEC TR 15271, Information technology – Guide for ISO/IEC

12207 (Software life cycle processes)

3. ISO/IEC TR 16326, Software engineering – Guide for the application

of ISO/IEC 12207 to project management

4. ISO/IEC 15288, Systems engineering – System life cycle processes

5. ISO/IEC TR 19760, Systems engineering – A guide for the

application of ISO/IEC 15288 (System life cycle processes)

6. ISO/IEC 15504-1, Information technology – Process assessment

– Part 1: Concepts and vocabulary


– Part 2: Performing an assessment


– Part 3: Guidance on performing an assessment


– Part 4: Guidance on use for process improvement and process

capability determination


– Part 5: An exemplar Process Assessment Model


11. ISO 10007, Quality management systems – Guidelines for

confi guration management

12. ISO 9000, Quality management systems – Fundamentals and

vocabulary

13. ISO 9001, Quality management systems – Requirements

14. ISO/IEC 90003, Software engineering – Guidelines for the

application of ISO 9001:2000 to computer software

1.6 Principales ActoresEl Instituto Británico (BSI) es el propietario ofi cial de BS 15000.

ISO/IEC 20000 está gestionada por la International Organization

for Standardization (ISO). ISO es una red de institutos nacionales de

estándares de 156 países, sobre la base de un miembro por país, con una

Secretaría Central en Ginebra, Suiza, que coordina el sistema. ISO es el

mayor desarrollador mundial de estándares

Muchas organizaciones profesionales internacionales son parte interesada

en BS 15000:

• El IT Service Management Forum en el Reino Unido (ITSMF-UK) fue

el administrador de la certifi cación ofi cial.

• La British Computer Society (BCS) estuvo involucrada en el equipo BSI

que desarrolló BS 15000.

• La Offi ce of Government Commerce (OGC) estuvo también

involucrada en el equipo de desarrollo BSI, y es propietaria de ITIL – lo

cual hizo BS 15000 muy importante para la OGC como una estructura

de soporte para ITIL. BS 15000 fue altamente relevante como un medio

para sus políticas para requerir el uso de estándares como prerrequisito

para trabajar para el gobierno británico en un área concreta.

• Partes interesadas internacionales en países relevantes donde la norma ha

sido adoptada.

El capítulo británico de ITSMF publicó una Declaración de Transición que

explica cómo la validez de los certifi cados BS 15000 fi nalizará en última


instancia dentro de los 18 meses después de la publicación formal de ISO/

IEC 20000, como se ha mencionado anteriormente.

1.7 Acreditación de Entidades de Certifi caciónLas organizaciones pueden evaluar su conformidad con ISO/IEC 20000

y – si la evaluación es positiva – pueden ser certifi cadas por Entidades

Acreditadas de Certifi cación. Las entidades de certifi cación necesitan

obtener la acreditación de un Organismo de Acreditación en un país que

sea miembro de ISO.

La norma ISO/IEC 20000 sigue las reglas internacionales estandarizadas,

de acuerdo a ISO. Todos los países que son miembros de la organización

ISO tienen organismos nacionales propios de acreditación, y estos cuerpos

de acreditación tienen el poder investido que les otorga el derecho de

certifi car a organizaciones bajo ISO 20000.

La Declaración de Transición de ITSMF explica cómo los cuerpos de

certifi cación que quieren actuar bajo convenio británico deben registrarse

con ITSMF-UK, en un acuerdo de cooperación con el United Kingdom

Accreditation Service (UKAS)2. Los cuerpos de Certifi cación en otros

países ISO pueden obtener la acreditación con su propia organización de

acreditación local. Una vez acreditados ofi cialmente para evaluar y certifi car

compañías bajo ISO/IEC 20000, ellos pueden ofrecer sus servicios en

cualquier lugar, incluido el Reino Unido, de acuerdo a las políticas estándar

ISO.

La acreditación que ITSMF-UK otorgó a los proveedores de cursos en su

momento no es aplicable a ISO/IEC 20000.

La publicación de la norma internacional ISO/IEC 20000 supone un

paso adelante en el reconocimiento de ITIL como buena práctica común,

2 El organismo español equivalente es ENAC (Entidad Nacional de Acreditación y

Certifi cación, www.enac.es)


aceptada – y gestionada – por una comunidad global. Se espera que esta

certifi cación se convierta pronto en un requerimiento por defecto en

mucho acuerdos contractuales, especialmente en grandes acuerdos de

externalización de servicios.

El capítulo español de ITSMF está promoviendo la creación de un

esquema de certifi cación especifi co para el sector en España3.

Además de los cuerpos profesionales hay un enorme abanico de

proveedores de servicio, auditores, organizaciones gubernamentales y

entidades no-comerciales, que tienen interés en disponer de una norma

ampliamente aceptada para la calidad organizativa.

1.8 FormaciónHasta la fecha, muchas organizaciones en todo el mundo ofrecen cursos de

formación en ISO/IEC 20000, tanto para las organizaciones proveedoras

de TI como para certifi cadores, demostrando el incremento del amplio

interés inicial en ISO/IEC 20000.

1.9 Certifi caciónAunque los proveedores de servicio TI pueden afi rmar que cumplen con

las especifi caciones de la norma ISO/IEC 20000, una auditoría y una

certifi cación formal les darán signifi cativamente más peso para dar a

conocer al mercado dicho cumplimiento.

• Los proveedores de servicio que quieran certifi carse bajo la norma

ISO/IEC 20000 pueden contactar con una Entidad de Certifi cación

Acreditada (Certifi cador)4 en cualquier parte del mundo, y solicitar la

certifi cación.

• Los Certifi cadores son evaluados y aprobados por el propietario del

esquema de certifi cación. Los Certifi cadores son sometidos a una revisión

minuciosa para velar por su independencia y competencia. Nótese que

3 Para más información ver www.itsmf.es

4 RCB del inglés Register Certifi cated Body


un Certifi cador no puede ser una compañía proveedora de servicios

de consultoría de ITIL porque entraría en un confl icto de intereses; el

auditor debe ser independiente, de ahí la necesidad de separar auditoría

de servicios de consultoría. La lista de Certifi cadores acreditados está

disponible por el propietario del esquema.

• Los Certifi cadores certifi carán a los proveedores de servicio de TI de

acuerdo a los requerimientos de la norma y expedirán un certifi cado.

• Los proveedores de servicio certifi cados tienen derecho a utilizar el logo

ofi cial, de acuerdo a las restricciones y requerimientos especifi cados, y

son incluidos en una lista pública.

• Los proveedores de servicio certifi cados serán evaluados regularmente

para confi rmar su conformidad con ISO/IEC 20000.

Figura 2. Logo de Certifi cación ISO/IEC 20000

ISO/IEC 20000itSMFSMF


2 Estructura de la norma ISO/IEC 20000

Explicar la estructura de la norma (explicar el índice), es el mismo en la

parte 1 como la 2.

2.1 Contenido básicoLa norma ISO/IEC 20000 está compuesta de dos partes, bajo el título

general de Tecnología de la Información – Gestión del Servicio:

• Parte 1: Especifi cación (La norma); publicada como ISO/IEC 20000-1:

2005. Ésta es la especifi cación ofi cial de la norma. La versión española es

la UNE-ISO/IEC 20000-1.

• Parte 2: Código de prácticas; publicado como ISO/IEC 20000-2:

2005. La versión española es la UNE-ISO/IEC 20000-2. Esta parte

describe las mejores prácticas más detalladamente, y provee de guía y

recomendaciones para los procesos de gestión de servicio dentro del

alcance de la norma ofi cial.

En general, la parte 1 de la norma contiene una lista de controles

obligatorios, “debe”, que los proveedores de servicio deben cumplir para

obtener la certifi cación. Mientras que la parte 2 contiene una lista de

directrices y sugerencias que “deberían” ser tenidas en cuenta por los

proveedores de servicio que deseen certifi carse.

Para aclarar qué partes de esta guía de bolsillo se refi eren a la parte 1 (los

“debe”) y cuáles se refi eren a la parte 2 (los “debería”), el texto de la parte

1 tiene un formato distinto.

Este es el formato utilizado para el texto prescrito en la parte 1.


2.2 Contenido complementarioISO/IEC 20000 también puede utilizarse en conjunción con la siguiente

publicación de BSI:

• IT Service Management Self-assessment Workbook; publicado como

BIP 0015. La guía de auto-evaluación es una lista de chequeo que

complementa esta especifi cación. Esta guía ha sido diseñada para ayudar

a las organizaciones a evaluar el grado en que sus servicios de TI son

conformes con los requerimientos especifi cados.


3 ISO/IEC 20000 – Gestión global

La aplicación ISO/IEC 20000 requiere un planteamiento bien equilibrado,

utilizando técnicas de gestión, políticas y otros instrumentos de gestión.

Para ilustrar cómo la guía de auto-evaluación (BIP 0015) contempla todos

los requerimientos de la norma ISO/IEC 20000, hemos incluido un

ejemplo de pregunta la guía en los párrafos pertinentes.

3.1 AlcanceResulta evidente para los negocios de hoy en día la necesidad de demostrar

la capacidad de provisión de servicios de acuerdo con los requisitos

defi nidos por el cliente. Esto puede lograrse mediante la estandarización

de los procesos de gestión de servicio. La especifi cación tal y como la aplica

ISO/IEC 20000 representa un consenso para la industria en estándares de

calidad para los procesos de gestión de servicio de TI.

Ello puede ser utilizado por los proveedores de servicio para:

• Monitorizar y mejorar la calidad de su servicio;

• Evaluar comparativamente sus servicios de gestión de TI;

• Servir como base para una evaluación independiente;

• Demostrar capacidad para proveer servicios que respondan al

requerimiento del cliente.

La provisión de servicio es defi nida con un conjunto de procesos de gestión

de servicio estrechamente relacionados, organizados en grupos de procesos

(fi gura 3). Tomando en consideración las diversas necesidades específi cas

de un negocio, el proveedor de servicio(s) podría decidir qué objetivos y

controles adicionales son necesarios.


3.2 ComunicaciónUno de los aspectos más importantes al gestionar el cambio organizativo es

la comunicación. En primer lugar necesitamos tener un lenguaje común.

Esto está cubierto por la referencia que ISO/IEC 20000 hace hacia ITIL

y la terminología y defi niciones de ITIL. En segundo lugar necesitamos

poner bastante atención en la comunicación de los procedimientos

y de las políticas de la organización. Esto útimo está cubierto por los

requerimientos detallados de la norma.

La terminología clave que se utiliza en esta guía de bolsillo se detalla en

uno de los apéndices.

3.3 Requisitos para un sistema de gestiónObjetivo: Proporcionar un sistema de gestión que incluya políticas y un marco

de trabajo para hacer posible una efectiva gestión e implementación de todos los

servicios de tecnologías de la información.

Incluso aunque los procesos estén claramente defi nidos, es necesaria una

visión sistemática de los servicios de TI para cumplir con la norma. La

Dirección debe ser muy consciente de sus responsabilidades para facilitar el

marco de trabajo necesario de cara a implementar y mantener los servicios


Procesos de entrega

Procesos de resolución

Procesos de control


Figura 3. Grupos de procesos de gestión de servicio


de TI. El papel de la Dirección y sus responsabilidades deben estar claras, y

se debe garantizar que se documentan adecuadamente.

Responsabilidades de la DirecciónLa Dirección debe:

• Establecer la política, objetivos y planes de la gestión de servicio.

• Comunicar la importancia de cumplir con los objetivos de gestión de

servicio y la necesidad de la mejora continua.

• Asegurar que se determinan y se cumplen los requisitos del cliente, con

el propósito de mejorar la satisfacción del cliente.

• Designar un miembro de la Dirección como responsable de la

coordinación y gestión de todos los servicios.

• Determinar y proveer recursos para planifi car, implementar, monitorizar,

revisar y mejorar la provisión y gestión de servicio, por ejemplo,

contratar personal apropiado o gestionar la rotación de personal.

• Gestionar los riesgos para el departamento encargado de la gestión del

servicio y para los servicios en sí mismos.

• Llevar a cabo revisiones de la gestión de servicio, a intervalos

planifi cados, para asegurar una idoneidad, adecuación y efectividad

continuadas.

Para asegurar el compromiso debería identifi carse un propietario dentro del

nivel de dirección como responsable del plan de gestión de servicio y de la

provisión del mismo. Este propietario debería estar apoyado por un grupo

con autoridad sufi ciente para la toma de decisiones.

Ejemplo de pregunta de evaluación:

• ¿Las personas nombradas por los responsables de la gestión de servicio

y por los clientes, tienen la autoridad apropiada para representar a sus

respectivas organizaciones?


Requisitos de la documentaciónLos proveedores de servicio deben proporcionar documentos y registros

para respaldar los procesos de gestión tales como la planifi cación,

operación, y el control efectivos. Esto incluye:

• Políticas y planes.

• Acuerdos de Nivel de Servicio (SLA en inglés, (Service Level

Agreement)).

• Procedimientos y procesos.

• Registros requeridos por ISO/IEC 20000.

Se deben establecer los procedimientos y las responsabilidades para la

creación, revisión, aprobación, mantenimiento, eliminación y control de

los documentos y los registros.

El directivo responsable debería asegurar que existen evidencias disponibles

para auditar las políticas, planes y procedimientos de la gestión de servicio.

Debería defi nirse un proceso para la creación y gestión de los documentos,

y se debería proteger la documentación ante posibles daños.


• ¿Hay publicada una política para la mejora del servicio?

Competencia, concienciación y formaciónEl personal debe estar concienciado de la relevancia e importancia de

sus actividades dentro del más amplio contexto de negocio y de cómo

contribuyen ellos al logro de los objetivos de calidad. Se debe determinar

la competencia requerida para cada rol para asegurar que el personal de

gestión de servicio es competente,.

Un plan de formación debería asegurar que se satisfagan los requisitos de

los servicios nuevos o ampliados.



• ¿Se revisan y se gestionan las competencias y necesidades de formación

del personal de manera que el personal pueda desempeñar sus funciones

efi cazmente?

3.4 Planifi cación e implementación de la gestión de servicio

En la planifi cación e implementación de la gestión de servicio deben tratarse

procesos, decisiones y responsabilidades. Tratará cuestiones como: cuáles

son los requisitos del cliente, qué procesos de negocio son soportados, quién

lleva a cabo qué actividades y cuándo, cuáles son los recursos fi nancieros y de

infraestructura disponibles o cuándo son alcanzados los objetivos.

Con el fi n de analizar esta información y realizar un seguimiento del

progreso en el ámbito de los procesos de servicio de TI, puede aplicarse el

ciclo de Calidad de Deming (PDCA: Plan-Do-Check-Act) (fi gura 4).

Requisitos del negocio

Requisitos del Cliente

Peticiones de nuevos servicios/modifica-ciones en servicios

Otros procesos, p.e. de negocio,

suministrador, cliente.

Centro de Servicio al Usuario

Otros equipos, p.e. Seguridad,

Operaciones de TI

Resultados del negocio

Satisfacción del cliente

Servicio nuevo o cambiado

Otros procesos, p.e. de negocio,

suministrador, cliente

Satisfacción del equipo y

de las personas

ACTUAR Mejora

continua

PLANIFICARPlanificar la gestión

de servicio

Responsabilidad de la Dirección

Gestión de servicios

CHEQUEAR Monitorizar,

medir y revisar

HACERImplementar la

gestión de servicio

Figura 4. Metodología Planifi car-Hacer-Chequear-Actuar para los procesos de gestión de

servicio (Ciclo de Calidad de Deming)


El modelo establece que para obtener la calidad adecuada, se deben llevar a

cabo de modo repetitivo los siguientes pasos:

• Planifi car – establecer los objetivos y procesos necesarios para obtener

los resultados requeridos. Este paso se completa con acuerdos medibles y

realistas, y con un plan de cómo van a ser alcanzados.

• Hacer – implantar los procesos.

• Chequear – supervisar y medir los procesos y servicios contrastándolos

con las políticas, objetivos y requisitos.

• Actuar – identifi car acciones para mejorar continuamente el desempeño

de los procesos.

Mediante la realización una y otra vez de este ciclo, se puede asegurar una

mejora paso a paso de la calidad. Esto es conocido como el ‘ciclo de mejora

continua’ o ‘Ciclo de Deming’ fi gura 5).

Figura 5. Ciclo PDCA de mejora de la calidad de Deming

La documentación es muy importante para la aplicación con éxito del

modelo PDCA. Como en el modelo la salida de cada actividad es la

entrada de la siguiente, se realiza una continua retroalimentación creándose

una relación transparente entre los procesos.

ISO/IEC 20000

A P

C D

P – Planificar D – Hacer C – Chequear A – Actuar


Planifi car la gestión de servicio (PLANIFICAR) Objetivo: Planifi car la implementación y provisión de la gestión de

servicio.

La planifi cación es la parte del proceso donde la dirección genera el

alineamiento y las responsabilidades documentadas. La planifi cación de la

gestión de servicio debería traducir los requisitos del cliente en objetivos de

servicio tangibles, facilitando una hoja de ruta para dirigir el avance.

El plan global de la gestión de servicio debe al menos defi nir:

• El alcance de la gestión de servicio en el proveedor de servicio (para su

adecuación debería ser contrastado con ISO/IEC 20000-1).

• Los objetivos a alcanzar.

• Los procesos a ejecutar, como por ejemplo: los procesos de implantación,

provisión, cambios y mejora de la gestión de servicio.

• Roles y responsabilidades de la dirección.

• Traducción a actividades de los procesos de gestión de servicio.

• El planteamiento para la identifi cación, evaluación y gestión de

difi cultades y riesgos.

• Recursos, instalaciones y presupuesto.

• Métodos para gestionar, auditar y mejorar la calidad del servicio.

Todos los planes deben ser revisados, autorizados y comunicados.

Cualquier plan de un proceso concreto debe ser compatible con el Plan de

la Gestión de Servicio.


• ¿Existe tanto un alineamiento claro marcado por la dirección como

una responsabilidad documentada para la revisión, autorización,

comunicación, implantación y mantenimiento del Plan de la Gestión de

Servicio?

A P


Implementación de la gestión de servicio y de la prestación de los servicios (HACER)Objetivo: Implementar los objetivos y el plan de gestión de servicio.

El Plan de Gestión de Servicio debe ser implementado a través de las

siguientes acciones:

• Asignación de presupuestos, roles y responsabilidades.

• Gestión de presupuestos e instalaciones.

• Coordinación de los procesos de gestión de servicio.

• Contratación y desarrollo y continuidad del personal.

• Gestión de equipos, incluyendo el Centro de Servicio al Usuario y

Operaciones.

• Documentación y mantenimiento de planes y políticas, procedimientos

y defi niciones para cada proceso.

• Información sobre el progreso respecto a lo establecido en los planes.

• Identifi cación y gestión de los riesgos para el servicio.

Para lograr la conformidad con ISO/IEC 20000 el plan original de la

gestión de servicio debe cumplir explícitamente los requisitos de la norma.

Una vez implementado, la organización debería estar centrada en mantener

y mejorar los procesos y la calidad de servicio alcanzada. Esto puede

signifi car que el personal responsable de la implantación sea sustituido por

personal adecuado, responsable de la operación del día a día.


• ¿Están formalmente documentadas todas las políticas, planes,

procedimientos y defi niciones de gestión de servicio?

D


Monitorizar, medir y revisar (CHEQUEAR)Objetivo: Monitorizar, medir y revisar que se están alcanzando los

objetivos y la planifi cación de la gestión de servicio.

El proveedor de servicio debe demostrar la efi cacia de los procesos a través

de la monitorización y la medición de los mismos. La dirección debe

liderar revisiones en intervalos planifi cados para determinar si los requisitos

de gestión de servicio:

• Cumplen el plan de gestión de servicio y los requisitos de la norma.

• Son mantenidos e implantados efi cazmente.

Para realizar revisiones, todos se deberían monitorizar, medir y analizar

todos los servicios. Los aspectos a monitorizar, medir y analizar son:

• Logros respecto a los objetivos de servicio defi nidos.

• Satisfacción del cliente.

• Utilización de recursos y tendencias.

• No conformidades.

Debe planifi carse un programa de auditoría, que tenga en consideración:

• El estado e importancia de los procesos.

• La defi nición de criterio, alcance, frecuencia y métodos.

• Resultados de auditorías anteriores.

• La selección de los auditores (los auditores no deben auditar su

propio trabajo).

• La comunicación de los resultados a las partes pertinentes.

• La identifi cación de áreas signifi cativas de no conformidad.

Los resultados de las revisiones y auditorías proporcionan la entrada al

siguiente paso del ciclo PDCA: actuar para mejorar los procesos de servicio.

C


Ejemplo de preguntas de evaluación:

• ¿Están resgistrados los niveles de servicio registrados para que las mejoras

puedan ser medidas pasado el tiempo?

• ¿La implantación y operación del plan de gestión de servicio se audita de

manera independiente con respecto a su responsable?

Mejora continua (ACTUAR)Objetivo: Mejorar la efi cacia y la efi ciencia de la provisión y de la gestión

de servicio.

Se requiere una política publicada, con claras defi niciones de los roles y

las responsabilidades para las actividades de mejora del servicio. Debe

resolverse cualquier no conformidad con los planes de gestión de servicio.

Debe utilizarse un plan de mejora del servicio para gestionar todas las

mejoras de servicio sugeridas. Se requiere un proceso específi co para tratar

las mejoras de servicio.

El plan y el proceso de mejora del servicio deben cubrir:

• Las entradas relevantes sobre mejora y el establecimiento de los objetivos.

• Cómo identifi car, planifi car, comunicar e implantar la mejora.

• Cómo medir, reportar y comunicar las mejoras.

• Cómo revisar las políticas, planes, procesos y procedimientos de la

gestión de servicio cuando sea necesario.

• Cómo asegurar que todas las acciones aprobadas son realizadas y que

consiguen sus objetivos previstos.

Las mejoras concernientes a procesos concretos pueden ser gestionadas por

el propietario del proceso. Las grandes mejoras de servicio, por ejemplo,

las mejoras en toda la organización o las que afecten a más de un proceso,

deben ser gestionadas como un proyecto o conjunto de proyectos.

A


Antes de implantar un plan de mejora del servicio, se deben registrar la

calidad y los niveles de servicio actuales como una línea de referencia con la

que comparar las mejoras alcanzadas.

La mejora alcanzada debería ser comparada con la mejora prevista al objeto

de evaluar la efi cacia del cambio.

El personal de gestión de servicio debería ser muy consciente de la política

de calidad del servicio, de los procesos y de su propia contribución a

todo ello. Esta política está basada en la percepción de que siempre hay

oportunidades para hacer una provisión de servicios más efi caz y efi ciente.


• ¿La ejecución del programa de gestión de servicio muestra evidencia de

una mejora continua en la calidad del servicio?

3.5 Planifi cación e implementación de servicios nuevos o modifi cados

Objetivo: Asegurar que los nuevos servicios y las modifi caciones en servicios

existentes se pueden entregar y gestionar con los costes y la calidad de servicio

acordados.

Cualquier servicio nuevo o modifi cado debe ser planifi cado e implementado

de acuerdo a los procedimientos descritos en la sección anterior. El coste y

el impacto organizativo, técnico y comercial de cualquier servicio nuevo o

modifi cado propuesto, deben ser considerados, incluyendo un minucioso

análisis de impacto.

Los servicios nuevos o modifi cados, así como la eliminación de un servicio,

deben ser planifi cados e implementados a través de un proceso formal de

gestión del cambio. Los planes deben incluir:


• Los roles y responsabilidades para implementar, operar y mantener el

nuevo servicio o el servicio modifi cado.

• Los cambios al marco de trabajo actual de gestión de servicio y a los

propios servicios.

• La comunicación a las partes pertinentes.

• Los nuevos contratos y acuerdos o modifi caciones a los contratos para

alinearse con los cambios en las necesidades del negocio.

• Los requisitos de mano de obra y contratación.

• Los requisitos de perfi les y formación, por ejemplo, usuarios, soporte

técnico.

• Los procesos, medidas, métodos y herramientas a utilizar en conjunción

con los nuevos servicios o los servicios modifi cados.

• Los criterios de aceptación del servicio.

• Los resultados esperados al operar con el nuevo servicio, expresados en

términos medibles.

Todas las modifi caciones al servicio deberían ser refl ejadas en los registros

de gestión del cambio.


• ¿Las proposiciones de nuevos servicios o modifi caciones signifi cativas de

un servicio son consideradas en términos de coste potencial e impacto

organizativo, técnico y comercial?


4 Cuaderno (Guía) de auto-evaluación

Antes de explicar en detalle los procesos de gestión de servicio

describiremos el papel de la Guía de auto-evaluación de la gestión de

servicio de TI. Esta guía resulta una fuente muy útil para traducir los

requisitos abstractos de la norma en términos prácticos. Para ilustrarlo,

en los capítulos previos se han mostrado algunos ejemplos de cuestiones

de evaluación. A lo largo de esta guía de bolsillo se utilizarán ejemplos de

cuestiones similares.

La guía de auto-evaluación refl eja los requisitos detallados en la norma

ISO/IEC 20000-1: 2005 y que pueden ser utilizados por los proveedores

de servicio para:

• Comparar sus procesos de gestión de servicio de TI con los descritos en

ISO/IEC 20000-1: 2005.

• Comprobar si se están tratando las grandes áreas de la gestión de servicio.

• Identifi car dónde se deberían concentrar los recursos para obtener los

mejores resultados en términos de mejora de proceso.

• Identifi car el modo de hacer más efectiva la utilización de consultoría.

• Revisar la implantación de las mejores prácticas para los procesos de

gestión de servicio de TI.

• Apoyar las revisiones internas y externas.

4.1 EstructuraLa guía de auto-evaluación consta de una parte general concerniente a la

gestión de servicio de TI y a los procesos de gestión de servicio de alto nivel, y

de otra parte con cuestionarios para cada proceso concreto. La evaluación de

servicio de TI y de los procesos de alto nivel, referida como Aspectos de Alto

Nivel, es una sección de visión general. Antes de evaluar cualquier proceso en

concreto, resulta recomendable que sean tratados los Aspectos de Alto Nivel.


La gestión de servicio no funciona de manera efectiva sin la presencia de los

procesos generales y de alto nivel de gestión de servicio.

Cada sección de un proceso contiene preguntas que están agrupadas bajo

las siguientes cabeceras:

• Visión general del proceso.

• Alcance del proceso.

• Actividades.

• Control, información y auditoría.

Para dar una idea de como es la auto-evaluación, mostramos como ejemplo

una página del cuaderno de auto-evaluación en la fi gura 6.

4.2 Cómo utilizar el cuadernoCada pregunta puede ser respondida de cuatro maneras posibles: [Si],

[No], [Pro] (=en progreso) o [N/A] (no aplicable). Las preguntas deberían

ser respondidas de manera precisa y tan objetivamente como sea posible.

Para asegurar una evaluación más verosímil, es mejor no permitir que el

personal revise su propio proceso, o asegurarse de que las respuestas son

revisadas por otros compañeros.

La mayoría de las preguntas tienen referencia explícita al párrafo de la

norma ISO/IEC 20000-1:2005 al cual se refi eren. Sin embargo, hay

preguntas que no están asociadas directamente al texto. Es esencial no

olvidar esto. Las preguntas también están relacionadas directamente con los

procesos que soportan los requisitos de la norma.

Al fi nal de cada cuestión, en el campo [Referencia], hay espacio para

alguna de las respuestas dadas. Aquí el usuario puede hacer referencia

al documento concreto utilizado en la organización, o a las situaciones

locales. Estas referencias pueden ser utilizadas para hacer un seguimiento de

los aspectos evaluados.


Basándose en los resultados de la auto-evaluación, los proveedores de

servicio pueden analizar su situación en más detalle, organizar talleres para

debatir aspectos que podrían ser mejorados, o crear programas de mejora

específi cos. Mediante la repetición de la evaluación a intervalos regulares,

los proveedores de servicio podrían ser capaces de evidenciar la mejora del

servicio.

IT Service Management – Self-assessment Workbook

6 IT service continuity

6.1 Process review

20000 YES NO Pro N/A

a) Do the aims and objectives of IT service continuity reflect the need to focus on business critical ser-vices?

Reference : ________________________________

b) Do the aims and objectives of IT service continuity reflect the need to focus on business critical ser-vices?

Reference : ________________________________

c) Are there contingency plans for the restoration of service following a failure or disaster?

Reference : ________________________________

6.3, 2nd

6.3, 1st

d) Is management authority for invoking contingency plans unambiguous and documented?

Reference : ________________________________

6.2 Process scope

20000 YES NO Pro N/A

a) Are there business continuity plans for all the or-ganization's business services?1

Reference : ________________________________

b) Are the IT continuity plans consistent with the overall business continuity plans for the organiza-tion?

Reference : ________________________________

1 Where a conscious, business based, decision to "do nothing" has been made, this would be considered an acceptable business continuity plan.

Figura 6. Página ejemplo del cuaderno de auto-evaluación.


Para ilustrar como puede aplicarse en la práctica el cuaderno de auto-

evaluación, mostramos algunos ejemplos de preguntas en cada uno de los

párrafos del siguiente capítulo.


5 ISO/IEC 20000 – Modelo y Áreas Clave

Después de describir los aspectos más generales de ISO/IEC 20000

en el capítulo 3, y la guía de ayuda en el capítulo 4, mostramos a

continuación, con más detalle, los procesos de ISO/IEC 20000. Utilizando

el planteamiento global de gestión y la guía de auto-evaluación el usuario

debería ser capaz de aplicar alguno, varios o todos estos procesos con un

enfoque de mejora de la calidad.

Figura 7. Service management processes

5.1 Procesos de provisión de servicio La provisión de servicio engloba a los procesos que negocian, defi nen y

acuerdan los niveles de servicio vigentes, y que informan del rendimiento

en comparación con los objetivos.

Como ilustra la fi gura 7, los siguientes procesos forman parte del dominio

de la provisión de servicio:

• Gestión del nivel de servicio.

• Información del servicio.

• Gestión de la capacidad.



Gestión del incidente

Gestión del problema

Gestión de la configuración

Gestión del cambio


Gestión de la capacidadGestión de la seguridad

de la informaciónGestión del nivel de servicio

Gestión de lacontinuidad y

disponibilidad del servicio


los servicios de TI

Procesos de resolución

Proceso de entrega




Procesos de control


• Gestión de la continuidad y la disponibilidad del servicio.

• Gestión de la seguridad de la información.

• Elaboración de presupuestos y contabilidad de los servicios de TI.

Gestión del nivel de servicio (SLM)Objetivo: Defi nir, acordar, registrar y gestionar los niveles de servicio.

El conjunto total de los servicios debe ser acordado y documentado.

Cada servicio entregado debe ser registrado en un SLA (acuerdo de nivel

de servicio) junto con los objetivos correspondientes. También deben

ser acordados por todas las partes pertinentes y registrados los acuerdos

de soporte, los contratos con suministradores y los procedimientos

correspondientes. Para mantener los SLA actualizados deben ser revisados

por las partes pertinentes y mantenidos bajo el control del proceso de

gestión del cambio.

Para aumentar la calidad, los niveles de servicio deben ser monitorizados y

se deben generar informes de los valores obtenidos comparándolos frente a

los objetivos. Se debe reportar y revisar cualquier no conformidad y deben

obtenerse entradas para planifi car la mejora del servicio.

El proveedor del servicio de TI debería elaborar un catálogo de servicios

que muestre el conjunto total de servicios disponibles para sus clientes. El

catálogo es un documento clave para fi jar las expectativas de los clientes y

debería ser de fácil acceso para los clientes y el personal de soporte.

Los SLA serán formalmente autorizados por los representantes del cliente y

del proveedor de servicio. El contenido del SLA debería estar basado en las

necesidades de negocio de los clientes y en sus presupuestos. Los objetivos,

contra los cuales es medida la prestación del servicio, deberían estar defi nidos

desde la perspectiva del cliente. Un SLA no es un documento técnico.

Los cambios en el negocio, debidos a crecimiento o reorganización o

similares, pueden requerir el ajuste de los niveles de servicio.


El contenido mínimo de un SLA debería ser:

• Descripción del servicio, objetivos de servicio, comunicaciones e informes.

• Detalles de autorización y período de validez.

• Detalles de gestión fi nanciera.

• Responsabilidades y obligaciones del proveedor de servicio, por ejemplo,

seguridad.

• Responsabilidades del cliente, por ejemplo, seguridad.

• Soporte y servicios relacionados.

• Directrices de impacto, urgencia y prioridad.

• Horario de servicio, por ejemplo de 7.00h a 18.00 h, días excluidos,

periodos críticos del negocio y guardias.

• Límites de carga de trabajo, por ejemplo, número de usuarios / volumen

de trabajo pactados.

• Información del personal de contacto autorizado a actuar en caso

de emergencia.

• Acciones a tomar en caso de interrupción del servicio.

• Proceso de escalado y notifi cación.

• Calendario de paradas planifi cadas.

• Procedimiento de reclamaciones.

• Procedimientos de mantenimiento.

• Excepciones sobre los términos contemplados en el SLA.

• Glosario de terminología.

Se deberían identifi car los servicios básicos de soporte operacional,

relevantes para los SLA. Estos servicios básicos deberían estar

documentados y acordados con cada suministrador de servicio en cada uno

de los acuerdos de nivel operacional (OLAs en caso de suministradores

internos), o en contratos de soporte (UCs cuando se contratan

suministradores externos).

Ejemplos de pregunta de evaluación:

• ¿Está defi nido, acordado y documentado en al menos un SLA cada

servicio?


• ¿Han sido identifi cados todos los servicios básicos de soporte que son

relevantes para los SLA?

• ¿El proceso de SLM tiene en cuenta los costes de provisión de servicio y la

justifi cación desde el punto de vista de negocio de estos costes?

Información de servicioObjetivo: Generar los informes acordados a tiempo, fi ables y precisos para una

toma de decisiones basada en la información y una comunicación efi caz.

Cada informe de servicio debe incluir su identifi cador, propósito, personas

a las que se dirige y detalles de la fuente de datos.

La información de servicio debe incluir:

• Rendimiento frente a los objetivos de nivel de servicio.

• Características del rendimiento de cada proceso operacional, como

estadísticas de carga de trabajo y utilización de recursos.

• Información del rendimiento después de eventos importantes (grandes

cambios, entregas).

• Información de tendencias.

• No conformidades y cuestiones, por ejemplo, en comparación con los

SLA, fallos de seguridad.

• Análisis de satisfacción.

Pueden incluirse también en la información de servicio aspectos que

surjan de informes de proceso detallados, como informes sobre las cargas

de trabajo planifi cadas y futuras. El éxito de todos los procesos de gestión

depende del uso de la información provista en los informes de servicio.

Los informes de servicio se utilizan como una herramienta para la toma

de decisiones. Existen varios tipos de informes: reactivos, proactivos y

planifi cados de acuerdo a actividades igualmente planifi cadas.

La monitorización e información del servicio abarca todos los aspectos

medibles del servicio, proveyendo de análisis actuales e históricos.



• ¿Identifi ca claramente el plan de gestión de servicio de TI qué informes de

servicio son necesarios y de donde van a obtenerse los datos?

• ¿Se genera un informe anual de los objetivos y resultados del Programa de

Mejoras del Servicio y se pone a disposición de las partes involucradas?

Gestión de la continuidad y de la disponibilidad del servicio Objetivo: Asegurar que la continuidad y disponibilidad del servicio acordadas

con los clientes puedan cumplirse bajo todas las circunstancias.

Para alcanzar dichos objetivos, se deben identifi car los requisitos de

disponibilidad y continuidad del servicio en base a los planes de negocio,

los SLA y las evaluaciones de riesgo. Los requisitos deben incluir los

derechos de acceso y los tiempos de respuesta así como la disponibilidad

extremo a extremo de los componentes del sistema. Los planes de

disponibilidad y continuidad del servicio deben ser desarrollados, probados

y mantenidos para asegurar que estos requisitos puedan ser alcanzados.

La disponibilidad debe ser medida y registrada. Se debe investigar cualquier

falta de disponibilidad no planifi cada y se deben tomar las acciones

apropiadas al respecto. Donde sea posible, se deben prever difi cultades

potenciales y tomar medidas preventivas.

El objetivo global de la gestión de la disponibilidad y continuidad del

servicio es controlar los riesgos y mantener la continuidad del negocio

tanto en el caso de los sucesos más pequeños (incidentes) como en los más

grandes (desastres), por ejemplo, brote de un virus, un ataque al sistema

operativo o un terremoto.

Toda la información sobre disponibilidad y continuidad del servicio está

trazada con los planes de disponibilidad y continuidad del servicio. Los

planes son:


• Revisados y mantenidos al menos anualmente.

• Comunicados a gestión del cambio para determinar el impacto de

cualquier cambio sobre la disponibilidad y la continuidad del servicio.

• Probados en concordancia con las necesidades del negocio.

• Localizables cuando los accesos normales a la ofi cina están limitados.

La gestión de la disponibilidad debería:

• Monitorizar y registrar la disponibilidad de los componentes del servicio.

• Mantener un histórico de datos.

• Realizar comparaciones con los requisitos defi nidos en los SLA para

identifi car no conformidades con los objetivos de disponibilidad acordados.

• Identifi car, documentar y revisar las no conformidades.

• Predecir la disponibilidad futura.

La gestión de la continuidad del servicio defi ne:

• Periodos máximos aceptables de pérdida de servicio.

• Periodos máximos aceptables de degradación del servicio.

• Registro y mantenimiento.

• Responsabilidad.

• Documentación, recuperación de datos y software para la restauración

del servicio.

• Personal e instrucciones para el personal necesarias para la restauración

del servicio.

• Documentos de recuperación de la continuidad del servicio en

localizaciones remotas seguras.

La gestión de la continuidad del servicio toma en cuenta las dependencias

entre servicio y componentes del sistema. Antes de cualquier cambio en

el sistema o en el servicio debe determinarse su impacto en la continuidad

del servicio. Los planes de continuidad del servicio, por tanto, deberían ser

comunicados a los procesos de soporte, por ejemplo, a gestión del cambio.


La realización de pruebas frecuentes es de suma importancia para asegurar

que los planes de continuidad siguen siendo efectivos frente a los cambios

en los sistemas, procesos, plantilla y necesidades del negocio. Todas las

partes, esto es, cliente y proveedor de servicio, deberían estar involucradas

en las pruebas. Los resultados de las pruebas serán documentados y

revisados para ser utilizados en la mejora del servicio.


• ¿Los propósitos y objetivos de la gestión de la disponibilidad refl ejan la

necesidad de centrarse en los servicios críticos del negocio?

• ¿El proveedor de servicio identifi ca y documenta las razones de la no

conformidad con la disponibilidad del servicio pactada, y toma las

acciones necesarias al respecto?

• ¿Se revisa al menos anualmente el plan de disponibilidad para asegurar

que los requisitos están siendo satisfechos?

• ¿Se elaboran informes sobre las pruebas de los planes de continuidad?

Gestión presupuestaria y contabilidad de los servicios de TIObjetivo: Elaborar los presupuestos y contabilizar los costes de la provisión de

servicio.

Deben existir políticas y procesos claros para:

• La gestión presupuestaria y la contabilidad de todos los componentes,

incluidos activos de TI, recursos compartidos, gastos generales, servicios

suministrados externamente, personas, seguros y licencias.

• Distribuir costes indirectos y asignar los costes directos a los servicios.

• El control y autorización fi nanciera.

Los costes deben ser presupuestados con sufi ciente detalle para permitir el

control fi nanciero y la toma de decisiones.


El proveedor de servicio debe:

• Monitorizar e informar de los costes frente al presupuesto.

• Revisar las previsiones fi nancieras.

• Gestionar los costes en consonancia.

Nota: las prácticas contables que se usen en TI tienen que estar alineadas

con las prácticas generales de contabilidad del proveedor de servicio. La

facturación no está cubierta por ISO/IEC 20000, puesto que la facturación

es una actividad opcional.

La elaboración de presupuestos y la contabilidad de los servicios de TI

están centradas en las prácticas a realizar para alcanzar los requisitos de

ISO/IEC 20000. La responsabilidad de las decisiones fi nancieras estará

normalmente fuera del alcance de la gestión de servicio. Es muy probable

que los requisitos sobre la información fi nanciera que debería generarse

sean dictados desde fuera.

Los procesos de contabilidad registran el uso de los recursos fi nancieros,

lo cual facilita la determinación de los costes por usuario, por unidad

o por actividad. Los informes contables se pueden utilizar para realizar

comparaciones de la efi cacia en costes y para construir modelos de costes,

sobre los que actúe la gestión fi nanciera.

La política sobre gestión fi nanciera debería defi nir:

• Los objetivos a ser alcanzados en la gestión presupuestaria y la

contabilidad.

• El nivel de detalle, por ejemplo el reparto del gasto entre los distintos

tipos de coste.

• El nivel de detalle de la facturación.

• El seguimiento de costes frente al presupuesto para levantar rápidamente

alertas sobre desviaciones.

• El modelo de costes para demostrar los costes de la provisión de servicio.

• La manera de tratar desviaciones respecto a los presupuestos.


El nivel de inversión a destinar al establecimiento de los procesos de gestión

presupuestaria y de contabilidad está basado en las necesidades del cliente y

del proveedor de servicio. Operando en un entorno comercial, el proveedor

de servicio puede necesitar información de gestión fi nanciera mucho

más detallada que cuando trabaja en una organización donde la simple

identifi cación de los costes es sufi ciente.


• ¿Existe sinergia entre el proceso y la sección de control fi nanciero de la

organización?

• ¿El cálculo del coste de los cambios en los servicios forma parte del proceso

de aprobación del cambio?

Gestión de la capacidadObjetivo: Asegurar que el proveedor de servicio tiene en todo momento

capacidad sufi ciente para cubrir la demanda actual y futura de las necesidades

del negocio del cliente.

La gestión de la capacidad debe elaborar y mantener un plan de capacidad

que cubra las necesidades del negocio. La gestión de la capacidad debe

identifi car y aplicar métodos, procedimientos y técnicas para monitorizar,

ajustar y proveer una capacidad de servicio adecuada. Además, la gestión de

la capacidad debe dirigir los cambios en la infraestructura requerida, desde

cambios en los requisitos del negocio y efectos de las nuevas tecnologías,

hasta el impacto de cambios externos.

La gestión de la capacidad debería suministrar la capacidad sufi ciente

para el almacenamiento y procesamiento de los datos y debería ser a un

coste efi ciente. Para mantener actualizado el plan de capacidad, este será

evaluado y ajustado anualmente. Los efectos de la actualización del servicio,

las peticiones de cambio, las nuevas tecnologías y técnicas y los cambios

externos deberían ser evaluados e “incluidos” en el plan de capacidad.


Esto debería asegurar el logro de los objetivos de nivel de servicio acordados

según defi nen los SLA. Para determinar la capacidad requerida, las

predicciones de negocio y las estimaciones de carga de trabajo deberían ser

traducidas a requisitos específi cos.


• ¿Se mantiene el plan de capacidad?

• ¿Cubre la gestión de la capacidad los requisitos de negocio previstos a futuro?

Gestión de la seguridad de la informaciónObjetivo: Gestionar la seguridad de la información de manera efectiva para

todas las actividades del servicio.

Nota: ISO/IEC 17799, Tecnologías de la información – Técnicas de

seguridad – “Código de práctica para la gestión de la seguridad de la

información”, provee una guía sobre la gestión de la seguridad de la

información, mientras que ISO/IEC 27001 especifi ca los requisitos de un

sistema documentado de gestión de la seguridad de la información.

Aquella parte de la dirección que tenga la autoridad apropiada debe

aprobar una política de seguridad de la información que debe ser

comunicada a todas las partes pertinentes.

Deben funcionar los controles de seguridad para:

• Implementar los requisitos de la política de seguridad de la información.

• Gestionar los riesgos asociados con el acceso al servicio o a los sistemas.

Los controles de seguridad deben ser documentados, describiendo:

• Los riesgos a los que están asociados los controles.

• La manera de utilizarlos y el mantenimiento de los mismos.

• La relación con los cambios implementados.


Deben existir procedimientos para asegurar que:

• Los incidentes de seguridad son reportados y registrados en línea con los

procedimientos de gestión del incidente.

• Todos los incidentes de seguridad son investigados y se toman medidas al

respecto.

• Los tipos, volúmenes e impactos de los incidentes y fallos de seguridad

son monitorizados mediante mecanismos adecuados.

• Las acciones de mejora identifi cadas durante este proceso son registradas

y proveen entradas al plan para la mejora del servicio.

• Los accesos externos a los sistemas y servicios están basados en los

adecuados acuerdos formales.

La gestión de la seguridad de la información protege la información y

el equipamiento utilizado junto con su almacenamiento, transmisión

y procesamiento. La seguridad de la información provee accesos

controlados y previene del mal uso de los datos. Los riesgos son

identifi cados y controlados. Para alcanzar todo ello, se diseñarán políticas y

procedimientos, para cubrir todas las actividades del servicio:

• Establecer roles, responsabilidades y cargos.

• Aportar métodos para monitorizar y mantener la efi cacia de la política de

seguridad de la información.

• Asegurar la competencia, concienciación y formación del personal.

• Asegurar la disponibilidad de un experto que ayude en la gestión del

riesgo y la implantación de controles.

• Garantizar que no se compromete la efi cacia de los controles en caso de

cambios.

• Establecer la cooperación con los procedimientos de la gestión del

incidente en el tratamiento de los incidentes de seguridad de la

información.


Los activos de información, tales como ordenadores, otros medios de

comunicación, documentos y datos son:

• Categorizados de acuerdo a su criticidad para el servicio.

• Inventariados y considerados en el nivel de protección que requieran.

Para cada activo se nombra un propietario responsable de dar protección y

gestionar la seguridad.

Los riesgos para los activos de información son evaluados en referencia a:

• Su naturaleza, por ejemplo, fallos de software, errores de operación o

daños físicos.

• Experiencias pasadas y probabilidades.

• Su potencial impacto en el negocio, por ejemplo, revelación de

la información sensible a partes no autorizadas o información no

disponible para su uso.

La evaluación de los riesgos de seguridad debería efectuarse a intervalos

acordados y ser registrada. El hecho de mantener las evaluaciones del

riesgo durante los cambios, tales como cambios en las necesidades del

negocio, en los procesos o cambios de confi guración, mantiene pertinentes

y actualizadas a dichas evaluaciones. Ello ayuda a comprender el impacto

de la seguridad en los servicios gestionados, y da soporte a la toma de

decisiones respecto a los tipos de controles a realizar.

Un correcto registro facilita a la dirección información sobre:

• Efi cacia de la política de seguridad y control sobre los accesos a la

información, a los activos y a los sistemas.

• Tendencias emergentes sobre incidentes de seguridad.

• Entradas para la mejora del servicio.

El proveedor de servicio debería realizar los controles adecuados para

gestionar la seguridad de la información:

• La alta dirección debería comunicar la política de gestión de la seguridad

al personal de TI.


• Los roles y las responsabilidades deberían estar defi nidos y asignados.

• Toda la plantilla debería estar concienciada y formada correctamente en

aspectos de seguridad.

• Los cambios deberían incluir evaluaciones de aspectos de seguridad.

• Los incidentes de seguridad de la información deberían estar bajo la

actividad de control del incidente.

• Debería obtenerse información de gestión sobre las tendencias y efi cacia

de la seguridad de la información.

Nota: Los objetivos de la política de seguridad de la información deberían

también tener en cuenta la necesidad de conocer los requisitos de seguridad

especifi cados por el cliente y los requisitos reglamentarios o reguladores que

apliquen.

Nota: ISO/IEC 17799 provee de una guía sobre gestión de la seguridad de

la información. La implementación de los requisitos de ISO/IEC 20000-1

puede no satisfacer todos los requisitos que son necesarios para obtener

la certifi cación bajo ISO/IEC 27001. Por el contrario, las organizaciones

certifi cadas bajo ISO/IEC 27001 sí satisfarán los requisitos de seguridad de

ISO/IEC 20000-1.


• ¿Están establecidos los propósitos y objetivos de seguridad de la

información según las consideraciones de gestión del riesgo?

• ¿Se publican y comunican apropiadamente los contenidos de la política de

seguridad de la información a todos los usuarios de los sistemas, incluidos

clientes, suministradores y personal de gestión de servicio?

• ¿Se reportan los incidentes de seguridad en línea con los procedimientos

de gestión del incidente, tan pronto como sea posible, después de que éstos

sean descubiertos?


5.2 Procesos de relaciónLos procesos de relación describen los dos aspectos relacionados de gestión

de los suministradores y gestión de relaciones con el negocio. El proveedor

de servicio ocupa un papel dentro de la cadena de suministro, al recibir

bienes y servicios de los suministradores y entregar un servicio perfecto al

cliente (fi gura 8).

Ambos, suministradores y clientes, pueden ser internos o externos a

la organización proveedora del servicio. Las relaciones externas serán

formalizadas vía contratos de soporte (Underpinning contracts (UCs));

las relaciones internas serán formalizadas mediante acuerdos de nivel

de servicio o acuerdos de nivel operativo (Operational level agreements

(OLAs)). Los procesos de relación deberían asegurar que los niveles de

satisfacción del cliente son apropiados y que las necesidades futuras del

negocio son comunicadas y entendidas.

Para establecer y mantener unas buenas relaciones, los puntos de conexión

deberían estar claros para todas las partes. Estas partes deberían defi nir y

acordar:

• Necesidades del negocio.

• Capacidades y restricciones.

• Alcance, roles y responsabilidades de las relaciones.

• Identifi cación de los involucrados.

• Contratos.

• Frecuencia y líneas de comunicación.

Gestión de la relación con el negocioObjetivo: Establecer y mantener una buena relación entre el proveedor de

servicio y el cliente, basada en la comprensión del cliente y de sus motores de

negocio.


La gestión de la relación con el negocio incluye la revisión de los servicios,

las reclamaciones al servicio y la medición de la satisfacción del cliente.

El proveedor de servicio debe identifi car y documentar los participantes

y los clientes de los servicios. El proveedor de servicio y el cliente deben

asistir a revisiones al menos anualmente y después de grandes cambios. Las

revisiones deben considerar:

• Cambios en el alcance del servicio.

• Acuerdos de nivel de servicio y contratos.

• Necesidades del negocio actuales y en proyecto.

• Rendimiento pasado.

Deben mantenerse reuniones periódicas para discutir sobre el rendimiento,

logros alcanzados, asuntos y planes de acción. Se deberían documentar todas

las reuniones. El proveedor de servicio es el que planifi ca y registra todas las

reuniones formales, las actas y hace un seguimiento de las acciones acordadas.

El proceso de gestión de la relación con el negocio debe ser documentado y

debe acordarse con los clientes un procedimiento formal de reclamaciones.

Los registros de las reclamaciones deben ser analizados periódicamente y el

procedimiento de reclamaciones debe incluir:

Suministrador Proveedor de servicio


Cliente

Gestión de relaciones

de negocio

Figura 8. Procesos de relación


• Tratamiento de las reclamaciones, esto es, registro, investigación,

acciones.

• Información y cierre formal de todas las reclamaciones.

• Procedimiento para el escalado de las reclamaciones pendientes.

El proveedor de servicio debe nombrar a una persona responsable de la gestión

de la satisfacción del cliente y del proceso de relación con el negocio. Debe

existir un proceso para obtener realimentación a través de las mediciones

regulares de la satisfacción del cliente y actuar sobre dicha realimentación. Los

resultados de la realimentación y del análisis de las reclamaciones deben ser

utilizados como entrada para el plan de mejora del servicio.

La satisfacción del cliente es medida para permitir al proveedor de servicio

comparar su rendimiento con los objetivos de satisfacción del cliente y las

encuestas previas. Se deberían investigar y comprender las variaciones en

los niveles de satisfacción.

Los resultados y las conclusiones de las encuestas serán debatidas con el

cliente y deberían desembocar en mejorar el servicio. Las reclamaciones

sobre el servicio deberían ser documentadas y reportadas al equipo de

provisión de servicio.


• ¿Se ha nombrado a una persona o un equipo de personas responsable de la

gestión del proceso?

• ¿Se ha acordado con el cliente qué se considera una reclamación?

• ¿Se realizan mediciones de la satisfacción del cliente con la frecuencia

adecuada?

Gestión de suministradoresObjetivo: Gestionar los suministradores para garantizar la provisión sin

interrupciones de servicios de calidad.


En la mayoría de los casos existirán varios suministradores, a veces

divididos en suministradores principales y subcontratados (fi gura 9). Para

ajustar suministradores y servicios internos, el proveedor de servicio es el

encargado de la gestión de las relaciones, de los contratos (de soporte) y de

los servicios ofrecidos. El prestador de servicio debe tener documentados

los procesos de gestión de suministradores y debe nombrar un gestor de

contratos responsable de la relación con cada suministrador.

Figura 9. Ejemplo de relaciones entre proveedores de servicio y suministradores

Para cada servicio y suministrador el prestador de servicio debe mantener:

• Una defi nición de los servicios, el alcance, los roles y las

responsabilidades documentadas en un SLA o en otros documentos.

• El alineamiento de los contratos con los suministradores y con los SLA

de negocio.

• Roles y relaciones entre los suministradores principales y subcontratados,

claramente documentados.

• Revisiones de los contratos y cambios a los contratos y a los SLA.

• Un proceso para gestionar la fi nalización normal y anticipada de un

servicio.

• La monitorización, revisión y registro del rendimiento frente a los

objetivos de nivel de servicio.

• Un proceso formal para el tratamiento de los desacuerdos contractuales.

• Los cambios en contrato (SLA) en línea con el proceso de gestión del

cambio.

Negocio Proveedor de

servicio (puede ser interno o externo)

Suministrador 1

Suministrador 2

Suministrador principal 3

Suministrador subcontratado 4


El rendimiento frente a los objetivos de nivel de servicio debe ser

monitorizado y revisado. Las acciones de mejora identifi cadas durante este

proceso deben ser registradas y entrar a formar parte del plan de mejora

del servicio.

Debe quedar claro si el proveedor de servicio está trabajando directamente

con todos los suministradores o si un suministrador principal está tomando

la responsabilidad de subcontratar suministradores. El proveedor de

servicio debe tener evidencia de que los suministradores principales están

gestionando formalmente a los subcontratistas, de acuerdo a los requisitos

de ISO/IEC 20000-1.

Los procesos referentes a desacuerdos contractuales se defi nen en el

contrato. Esto incluye la vía de escalado. El proceso debería asegurar que

los desacuerdos son registrados, investigados, se actúa sobre ellos y son

formalmente cerrados. Los contratos también defi nirán una situación de fi n

de contrato – bien a la fi nalización temporal del mismo o antes de tiempo

– y estipularán la transferencia del servicio a otro proveedor.


• ¿Se ha nombrado un gestor de contratos responsable de cada

suministrador?

• ¿Están claramente documentadas las relaciones y roles entre el

suministrador principal y sus subcontratistas?

5.3 Procesos de resoluciónLos procesos de resolución gestión del incidente y gestión del problema

son procesos separados, aunque estrechamente relacionados. Gestión

del incidente se encarga de la restauración de los servicios a los usuarios

mientras que gestión del problema identifi ca y elimina las causas de los

incidentes.


Donde es apropiado, gestión del problema desarrolla soluciones temporales

para ayudar a gestión del incidente a restaurar el servicio y minimizar el

impacto en las actividades de negocio del cliente.

Gestión del incidenteObjetivo: Restaurar el servicio pactado con el negocio lo antes posible o

responder a peticiones de servicio.

Para restaurar el servicio acordado tan pronto como sea posible deben

adoptarse procedimientos para gestionar el impacto de los incidentes en el

servicio. Todos los incidentes deben ser registrados y los procedimientos

deben defi nir:

• Impacto en el negocio.

• Registro y asignación de prioridad.

• Clasifi cación, actualización, escalado.

• Resolución y cierre formal.

Los incidentes graves deben ser clasifi cados y gestionados de acuerdo a un

proceso defi nido.

La gestión del incidente debe mantener informado al cliente del progreso

del incidente que éste haya reportado o de su petición de servicio, y se debe

alertarle anticipadamente si sus niveles de servicio no se pueden satisfacer.

Todo el personal involucrado en la gestión del incidente debe tener acceso

a información relevante como errores conocidos, resoluciones de problemas

y a la base de datos de gestión de la confi guración (CMDB).

Los incidentes son reportados por los usuarios o por el personal pertinente

de TI, al Centro de Servicio al Usuario, y se registran de tal manera que se

pueda recuperar y analizar la información relevante. Los incidentes también

pueden ser generados por mecanismos automáticos de detección basados

en herramientas de monitorización. El personal de gestión del incidente

tendrá acceso a una base de datos de conocimiento actualizada. Esta

base de datos contiene información de especialistas técnicos, incidentes


y soluciones previas, problemas relacionados y errores conocidos, que

ayudarán a restaurar el servicio lo antes posible. La planifi cación de la

resolución del incidente tiene en cuenta:

• La prioridad basada en el impacto y la urgencia.

• Los perfi les disponibles.

• La comunicación a los usuarios del estado de los incidentes.

• La resolución (proveyendo la continuidad del servicio).

• El escalado si es necesario.

• La actualización y el cierre formal del registro del incidente.

Debería existir una clara defi nición de qué constituye un incidente grave y

quién está responsabilizado de establecer cambios en la operación normal

del proceso de gestión del incidente/problema. Un incidente grave debe

tener claramente defi nido un gestor responsable, quien coordinará y

controlará todos los aspectos para la resolución. Esto incluye el escalado y

la comunicación a todas las áreas involucradas en la resolución.


• ¿Tiene acceso a la base de datos de conocimiento todo el personal de

gestión del incidente?

• ¿Se mantiene informados a los clientes del progreso de los incidentes que

han reportado?

Gestión del problemaObjetivo: Minimizar la interrupción del negocio mediante la identifi cación y

el análisis proactivo de las causas de los incidentes y la gestión de los problemas

hasta su cierre.

La gestión del problema previene de manera proactiva la recurrencia o

replicación de los incidentes o errores conocidos.

Deben adoptarse procedimientos para identifi car, minimizar o evitar el

impacto de los incidentes y problemas. Estos procedimientos deben defi nir:


• El registro y clasifi cación de todos los problemas.

• La actualización de todos los problemas.

• El escalado, resolución y cierre de todos los problemas.

Además, la gestión de los problemas debe incluir:

• La revisión para reducir los problemas mediante la prevención, por

ejemplo, siguiendo análisis de tendencias de volúmenes y tipos de

incidentes.

• El paso de los cambios requeridos a gestión del cambio.

• La monitorización, revisión e información de las resoluciones de

problemas.

• La provisión de información actualizada sobre los errores conocidos y los

problemas corregidos a gestión del incidente.

• La provisión de entradas al plan de mejora de servicio.

Cuando la investigación ha identifi cado la causa raíz de un incidente y un

método para resolverlo, el problema es califi cado como error conocido.

Resolver el incidente no implica que se haya eliminado la causa subyacente.

Los errores conocidos no deberían cerrarse hasta que se aplique una

solución satisfactoria. Todos los errores conocidos son registrados en una

base de datos actualizada para ayudar a restaurar el servicio en el mínimo

tiempo. Las revisiones deberían centrarse en los problemas sin resolver,

por ejemplo problemas inusuales o de alto impacto, y analizar tendencias

para proveer entradas a otros procesos tales como educación del cliente o el

centro de servicio al usuario.

Los registros de incidentes y problemas pueden ser cerrados si el cliente está

de acuerdo en que se ha logrado resolverlo. El registro será archivado y la

causa será categorizada.

La gestión proactiva del problema conduce a la reducción de problemas e

incidentes. La prevención del problema puede variar desde la prevención

de incidentes concretos, tales como difi cultades repetitivas con una


característica concreta, hasta decisiones estratégicas. Este último tipo puede

requerir mayores gastos de implementación, tales como inversión en una

mejor red. A este nivel la gestión proactiva del problema se fusiona con la

gestión de la disponibilidad. La prevención del problema podría también

incluir formación a usuarios, previniendo incidentes causados por falta de

conocimiento del usuario.


• ¿El personal de gestión del problema es responsable de asegurar que la base

de datos de conocimiento está disponible y actualizada?

• ¿Se mantienen revisiones regulares de la gestión para detectar problemas

que requieran una atención inmediata, para determinar y analizar

tendencias, y para proveer entradas a otros procesos tales como educación

del cliente o del centro de servicio al usuario?

5.4 Procesos de controlGestión del cambio y gestión de la confi guración son dos procesos clave

en el modelo de procesos. Estos procesos permiten al proveedor de servicio

controlar los componentes del servicio y de la infraestructura, y mantener

información precisa sobre la confi guración. Esta información precisa es

un requisito básico para la toma de decisiones en el proceso de gestión

del cambio, así como para todos los demás procesos de la organización de

servicio de TI.

Gestión de la confi guraciónObjetivo: Defi nir y controlar los componentes del servicio y de la

infraestructura, y mantener una información precisa de la confi guración.

Nota: La contabilidad fi nanciera de los activos queda fuera del alcance de

la gestión de la confi guración.

Debe existir un enfoque integrado para planifi car la gestión del cambio

y de la confi guración. La gestión de la confi guración debe proveer de


información al proceso de gestión del cambio sobre el impacto del cambio

solicitado en las confi guraciones del servicio y de la infraestructura.

Debe documentarse en una política qué se defi ne como elemento de

confi guración y sus componentes. Los métodos para identifi car, controlar

y realizar el seguimiento de los componentes los provee gestión de la

confi guración.

Todos los elementos de confi guración deben ser identifi cados de manera

única y defi nidos para describir sus características funcionales y físicas.

Debe defi nirse la información a registrar de cada elemento y debe incluir

las relaciones y la documentación necesaria para una efi caz gestión de

servicio. La base de datos de la confi guración (Confi guration Management

Database (CMDB)) debe ser activamente gestionada y verifi cada para

asegurar su fi abilidad y precisión.

Los cambios en los elementos de confi guración, por ejemplo, cambios y

movimientos de software y hardware, deben ser trazables y auditables.

Para proteger su integridad, la CMDB debe mantenerse en un entorno

seguro que evite los accesos no autorizados, provea de medios de

recuperación ante desastres y permita la recuperación de copias maestras

controladas, por ejemplo, software y documentos de soporte. Los

procedimientos de control de la confi guración deben asegurar que se

mantiene la integridad de los sistemas, servicios y componentes del servicio.

Los procedimientos de auditoría deben incluir:

• Registro de las defi ciencias.

• Métodos para acciones de mejora.

• Información de los resultados.


Todos los activos y confi guraciones importantes deberían tener un gestor

responsable que asegure su adecuada protección y control, por ejemplo, la

autorización de los cambios antes de su implementación.

Un plan de confi guración debería incluir:

• Alcance, objetivos, política, roles y responsabilidades.

• Defi nición, registro e información de los elementos de confi guración.

• Requisitos relativos a la contabilidad, trazabilidad y auditoría, por

ejemplo, requisitos de seguridad, legales y de negocio.

• El control de la confi guración, por ejemplo, el propietario del elemento

de confi guración, la versión y el control de la versión.

Los elementos que deberían ser registrados en la base de datos de gestión de

la confi guración (CMDB) incluyen:

• Las ediciones y versiones de los sistemas y del software y la documentación

relacionada, por ejemplo, especifi caciones de requisitos, informes de

pruebas, documentación de la versión y propiedad de la misma.

• Las líneas base de confi guración o requisitos de desarrollo para un

entorno determinado, el estándar de hardware construido y entregado.

• Copias maestras en papel y repositorios electrónicos.

• Licencias y componentes de seguridad, por ejemplo, fi rewalls, medios

magnéticos de seguridad.

• La documentación relativa al servicio, por ejemplo SLA.

• Las instalaciones de soporte al servicio, por ejemplo, las fuentes de

energía para la sala de ordenadores.

• Las relaciones y dependencias entre los elementos de confi guración.

La información de confi guración debe mantenerse actualizada y disponible

para la planifi cación, toma de decisiones y gestión de los cambios en

la confi guración defi nida. Los informes de gestión de la confi guración

deberían estar disponibles para todas las partes pertinentes. Los informes

deberían cubrir al menos las versiones de los elementos, su localización, las

interdependencias existentes y el histórico de versiones.


Se deberían planifi car los procesos de verifi cación y auditoría para asegurar

que el proveedor de servicio:

• Tiene bajo control sus confi guraciones, copias maestras y licencias.

• Protege su capital físico e intelectual.

• Transmite la confi anza de que su información de confi guración es precisa

y está controlada y visible.

• Proporciona cambios, versiones y entornos de acuerdo a los requisitos

especifi cados.

Las auditorías de confi guración deberían utilizarse para comprobar

el desempeño y las características funcionales de los documentos de

confi guración especifi cados (auditoría funcional), así como para verifi car

que los elementos de confi guración se ajustan a las especifi caciones de

fábrica o de desarrollo del producto (auditoría física). Las defi ciencias y

las no conformidades deberían ser registradas y comunicadas a las partes

pertinentes.


• ¿Existe una política bien entendida que defi na qué constituye un elemento

de confi guración?

• ¿Los procedimientos previenen de que los registros de confi guración sean

añadidos, modifi cados, reemplazados o eliminados sin el permiso o el

control de la documentación adecuados?

• ¿Se elaboran informes regulares y precisos para la dirección?

Gestión del cambioObjetivo: Asegurar que todos los cambios son evaluados, aprobados,

implementados y revisados de una manera controlada.

Los cambios tales como nuevas versiones, actualizaciones de versiones,

movimientos de hardware o cambios necesarios para solucionar incidentes/

problemas, producen un impacto en el entorno del servicio de TI.


Para asegurar que todos los cambios son aprobados, implementados

y revisados de una manera controlada, gestión del cambio controla el

procesamiento de todos los cambios en la infraestructura.

Todos los cambios deben ser registrados y clasifi cados (por ejemplo, con

tipologías como urgente, importante o menor) y el proceso debe disponer

de procedimientos que incluyan:

• Un alcance defi nido y documentado para todos los cambios en los

servicios y en la infraestructura.

• La evaluación del riesgo de los cambios, impacto y benefi cios para

el negocio.

• La manera en la que los cambios no exitosos deben ser vueltos atrás

o corregidos.

• Las políticas y procedimientos para los cambios urgentes.

• La planifi cación, monitorización e información de los cambios.

• La aprobación, verifi cación, planifi cación y control de la implementación

de los cambios.

• Una revisión post implementación.

Los registros de cambio deben ser analizados regularmente para detectar

incrementos en el volumen de cambios, tipos de cambios recurrentes

frecuentemente, aparición de tendencias y cualquier otra información

importante.

Todos los cambios deben ser revisados para comprobar su éxito o fracaso

tras la implantación. Los resultados de las revisiones deben ser incorporados

al plan de mejora del servicio.

Se debe mantener y comunicar a las partes pertinentes la planifi cación

que contiene los detalles de todos los cambios aprobados para su

implementación y sus fechas propuestas de implantación.

La información sobre la planifi cación debería estar a disposición del

personal afectado por el cambio.


Debería llevarse a cabo una revisión post implantación para los cambios

importantes con el fi n de comprobar que:

• El cambio alcanzó sus objetivos.

• Los clientes están satisfechos con los resultados.

• No ha habido efectos secundarios no deseados.

Las defi ciencias identifi cadas en una revisión del proceso de gestión del

cambio deberían alimentar los planes de mejora del servicio.


• ¿Existen procedimientos formales para asegurar que todos los cambios son

aprobados, chequeados e implementados de manera controlada?

• ¿Son analizados regularmente los registros para identifi car incrementos

en el volumen de cambios, tipos frecuentemente recurrentes, aparición de

tendencias o cualquier otra información relevante?

5.5 Proceso de entregaMientras que la gestión del cambio se centra en el control de los

cambios, la gestión de la entrega provee cambios planifi cados. La gestión

de la entrega debería estar integrada con los procesos de gestión de la

confi guración y gestión del cambio, para asegurar la adecuación y la

correcta ejecución de las entregas y de los cambios realizados. Gestión

de la entrega coordina las actividades del proveedor de servicio, de los

suministradores y del negocio para planifi car y entregar la versión en el

entorno de TI.

Proceso de gestión de la entregaObjetivo: Entregar, distribuir y realizar el seguimiento de uno o más cambios

en el entorno de producción.

Nota: El proceso de gestión de la entrega debería estar integrado con los

procesos de gestión de la confi guración y de gestión del cambio.


Es esencial realizar una buena planifi cación y una buena gestión para

distribuir con éxito una versión y para gestionar el impacto y los riesgos

asociados.

La política de entrega establece la frecuencia y el tipo de versiones que

deben ser documentadas y acordadas.

La política de entrega debería defi nir:

• Los roles y responsabilidades.

• La autoridad para la entrega de versiones en los entornos de aceptación,

pruebas y producción.

• Una única identifi cación, descripción, verifi cación y aceptación para

todas las versiones.

• Una sistemática para agrupar cambios dentro de una misma versión.

• Una sistemática para automatizar los procesos de construcción,

instalación y entrega con el fi n de ayudar a hacer que el proceso de

gestión de la entrega sea repetible y efi ciente.

El proveedor de servicio debe planifi car la entrega de servicios, sistemas,

software y hardware. Deben acordarse y autorizarse los planes de cómo

desplegar la versión, por todas las partes pertinentes, por ejemplo, clientes,

usuarios y personal de operaciones y soporte. El plan de despliegue debe

incluir:

• Registro de la fecha de entrega y entregables.

• Referencias a peticiones de cambio, errores conocidos y problemas

relacionados.

• Forma en que se corregirá la entrega si no es satisfactoria.

• Comunicación a gestión del incidente.

El plan de despliegue también puede defi nir:

• Identifi cación de dependencias.

• Comunicación, preparación, documentación y formación al cliente y al

personal de soporte.


• Verifi cación y aceptación.

• Entrega y aprobación.

• Planifi cación de las auditorías post entrega.

Toda la documentación de nuevas versiones será conforme con los

requisitos de la CMDB. Se deben actualizar los registros de gestión de la

confi guración y gestión de activos después de una instalación satisfactoria.

Gestión del cambio debe realizar una revisión post implantación. Las

recomendaciones deben alimentar el plan de mejora de servicio.

La entrega y la distribución deben ser diseñadas e implantadas de forma

que la integridad del hardware y del software sea mantenida durante

la instalación, manipulación, empaquetamiento y entrega. Debería

establecerse un entorno controlado de aceptación para construir y probar

todas las versiones antes de su distribución.

Los sistemas de información y las versiones de software desarrolladas

internamente, por desarrolladores de sistemas u otras organizaciones, serán

verifi cados a su recepción.

La entrega y distribución serán diseñadas:

• Conforme a la arquitectura de sistemas y los estándares de gestión de

servicio y de infraestructuras.

• Identifi cando riesgos, para que puedan tomarse medidas de refuerzo si se

requieren.

• Permitiendo verifi car qué plataforma objetivo satisface los prerrequisitos

antes de su instalación.

• Permitiendo verifi car que una versión está completa cuando llega a

su destino.

Las salidas de este proceso son utilizadas para las pruebas, e incluyen notas

sobre la entrega, instrucciones de instalación, software y hardware instalado

de acuerdo a una línea base de confi guración.


El resultado fi nal es aprobado cuando está en total concordancia con los

requisitos.

Los procesos de verifi cación y aceptación deberían:

• Verifi car que el entorno controlado de aceptación cumple los requisitos

de los entornos de destino en producción.

• Asegurar que la entrega se crea a partir de versiones controladas de

acuerdo con lo establecido en gestión de la confi guración.

• Verifi car que las pruebas han sido completas, por ejemplo, pruebas

funcionales y no funcionales, pruebas de aceptación del usuario,

pruebas de los procedimientos de construcción, entrega, distribución e

instalación.

• Asegurar que la versión es probada con la aprobación del cliente y del

personal del proveedor de servicio.

• Asegurar que una fi gura con autoridad aprueba cada una de las etapas de

las pruebas de aceptación.

• Verifi car que la plataforma de destino satisface los prerrequisitos de

hardware y de software y que una entrega se considera completa cuando

llega a su destino.


• ¿Existen planes apropiados y exhaustivos sobre cómo desplegar una versión

en cada lugar y para cada usuario según lo acordado y aprobado por todas

las partes potencialmente afectadas?

• ¿Se construyen y prueban las versiones en un entorno controlado de

aceptación antes de su entrega?


6 Apéndices6.1 El esquema de certifi caciónLas pretensiones de dar conformidad a los requisitos de la norma ISO/IEC

20000 pueden ser verifi cadas de manera independiente como parte de

un esquema ofi cial de certifi cación, gestionado a través de ISO. ISO ha

determinado estándares para que las Entidades de Acreditación puedan

acreditar Organismos de Evaluación de la Conformidad (Conformity

Assessment Bodies (organismos de certifi cación CAB)). “Evaluación de la

conformidad” es un término técnico dado al proceso de evaluar y aprobar.

Estos organismos de certifi cación pueden de esta manera evaluar y certifi car

organizaciones que se ajusten a los requisitos de ISO/IEC 20000. Si se

verifi ca que una organización se ajusta a los requisitos de la norma ISO/IEC

20000, puede ser registrada como tal por el organismo de certifi cación.

Un organismo de certifi cación puede ser acreditado por una entidad de

acreditación que esté reconocido por ISO. Un organismo de certifi cación

puede ofrecer sus servicios en cualquier país, esté acreditado o no en ese país.

Para más información sobre los organismos de certifi cación acreditados

puede contactar con su Entidad de Acreditación local; en el caso de

España, dicha entidad es ENAC (www.enac.es). Todas las Entidades

de Acreditación trabajan conforme a la norma ISO 17011 y se han

unido formando el Foro de Acreditación Internacional (Internacional

Accreditation Forum (IAF). Se puede encontrar una lista de todas las

Entidades de Acreditación en www.iaf.nu.

6.2 BibliografíaLa norma ISO/IEC 20000 está compuesta de dos partes, bajo el título

general de Tecnología de la información – Gestión de Servicios:

• Parte 1: Especifi cación (la norma); publicado como ISO/IEC 20000-1:

2005. Ésta primera parte es la especifi cación ofi cial de la norma.


• Parte 2: Código de práctica; publicada como ISO/IEC 20000-2: 2005.

Ésta segunda parte describe las mejores prácticas para la los procesos de

gestión de servicio dentro del alcance de la norma ofi cial.

6.3 ISO/IEC 20000La norma ISO/IEC 20000 (en inglés) ha sido adoptada como norma

española UNE-ISO/IEC 20000 partes 1 y 2, y está disponible en

castellano. La norma publicada puede obtenerse directamente en la librería

ISO, en cualquier otro organismo nacional de normalización (AENOR

www.aenor.es), en los diversos capítulos de itSMF (www.itsmf.es), o en

librerías especializadas.

6.4 Terminología y defi nicionesISO/IEC 20000 utiliza muchos de los términos y defi niciones de ITIL. Los

principales términos y defi niciones utilizadas en ISO/IEC 20000 aparecen

enumerados en este apéndice.

TÉRMINO DEFINICIÓN ISO/IEC 20000

Disponibilidad Capacidad de un componente o servicio para llevar a

cabo sus funciones en un momento dado o a lo largo de

un periodo de tiempo determinado.

NOTA: La disponibilidad se expresa normalmente como

el cociente entre el tiempo que el servicio está realmente

disponible para su uso por el negocio y las horas de

servicio acordadas.

Línea de referencia Fotografía (instantánea) del estado de un servicio o

de unos elementos de confi guración concretos en un

momento dado.

Registro de cambio Registro que contiene los detalles de qué elementos de

confi guración (ver 2.6) se ven afectados por un cambio

autorizado y cómo son afectados.



Elemento de

Confi guración

(Confi guration

Item (CI))

Componente de la infraestructura o elemento que está, o

estará, bajo el control de la gestión de la confi guración.

NOTA: Los elementos de la confi guración pueden variar

ampliamente en complejidad, tamaño y tipo, variando

desde un sistema completo incluyendo todo el hardware,

software y documentación, hasta un simple módulo o un

pequeño componente hardware.

Base de datos de

la gestión de la

confi guración

(Confi guration

Management

Database (CMDB))

Base de datos que contiene todos los detalles relevantes

de cada elemento de la confi guración y de las relaciones

importantes entre ellos.

Documento Información y el medio que la contiene.

NOTA 1: En esta norma se diferencian los registros de los

documentos por el hecho de que su función es evidenciar

actividades en vez de evidenciar intenciones.

NOTA 2: Son ejemplos de documentos, entre otros,

políticas, planes, procedimientos, acuerdos de nivel de

servicio y contratos.

Incidente Cualquier evento que no es parte de la operación

estándar de un servicio y que causa, o puede causar, una

interrupción de ese servicio, o una reducción de la calidad

del mismo.

NOTA: Esto incluye preguntas de consulta del tipo

“¿Cómo puedo…?”

Problema Causa subyacente desconocida de uno a más incidentes.

Registro Documento que establece los resultados alcanzados o que

proporciona evidencia de la realización de actividades.

NOTA 1: En esta norma se diferencian los registros de los

documentos por el hecho de que su función es evidenciar

actividades en vez de evidenciar intenciones.

NOTA 2: Son ejemplos de registros, entre otros, los

informes de auditoría, las peticiones de cambio, los

informes de incidentes, los registros de formación

individual y las facturas enviadas a clientes



Entrega Conjunto de elementos de confi guración nuevos

o modifi cados que están probados y se introducen

conjuntamente en el entorno de producción.

Petición de cambio

(Request for

Change (RfC))

Formulario o pantalla utilizados para registrar los detalles

de una petición de un cambio a cualquier elemento de

confi guración que forme parte de un servicio o de una

infraestructura.

Centro de servicio

al usuario (Service

desk)

Grupo de soporte de cara al usuario que realiza una

proporción elevada de todo el trabajo de soporte.

Acuerdo de nivel de

servicio (ANS)

Service Level

Agreement (SLA)

Acuerdo escrito entre un prestador de servicio y un

cliente en el que se documentan los servicios y los niveles

de servicio acordados.

Gestión de servicio Gestión de los servicios para cumplir con los requisitos

de negocio.

Prestador de

servicio

La organización que presta servicio de tecnología de la

información que quiere cumplir con la norma ISO/IEC

20000

ISBN 90 77212 88 4

El objetivo de esta guía de bolsillo es proveer de un documento defácil lectura que explique la naturaleza, contenido y propósito deISO/IEC 20000. Ello pondría ISO/IEC 20000 al alcance de unaamplia audiencia internacional a una mayor velocidad, proveyendode una guía de fácil acceso:• Para promover la concienciación y la aceptación de ISO/IEC

20000 como un estándar válido para las organizaciones deservicios de TI.

• Para dar soporte a la formación y certificación bajo ISO/IEC20000.

• Para proporcionar una referencia rápida sobre el contenido clavede ISO/IEC 20000, para profesionales.

“ISO/IEC 20000, guía de bolsillo” está dirigida a un amplioabanico de profesionales, formadores y estudiantes que trabajan enTI así como en otros entornos, yendo desde expertos en provisiónde servicio de TI hasta aquellos que buscan un acercamientoadecuado a aspectos de mejora de la calidad.

ITSMF Internacional, a través de los esfuerzos de su InternationalPublications (Committee), ha apoyado esta guía de bolsillo comoparte de una biblioteca global común que propicie unentendimiento uniforme del conocimiento y la mejor práctica.

WWW.VANHAREN.NET



P O C K E T S E R I E S

ISO

/IEC

20

00

0-

ISO

/IEC

20

00

0-

GU

ÍAD

EB

OLS

ILLO


Proceso de entrega


Procesos de resoluciónGestión del incidenteGestión del problema

Procesos de controlGestión de la configuración

Gestión del cambio




Gestión de la capacidad

Gestión de lacontinuidad ydisponibilidad

del servicio

Gestión de la seguridad de la información


los servicios de TI

Gestión del nivel de servicio


_ _ Q g

Qg ISO/IEC20000 · 2 ISO/IEC 20000 - GUÍA DE BOLSILLO Acerca de la Biblioteca ITSM Las...

Documents

Transcript of Qg ISO/IEC20000 · 2 ISO/IEC 20000 - GUÍA DE BOLSILLO Acerca de la Biblioteca ITSM Las...