Guía práctica de ISO-IEC 20000-1 para servicios TIC
163 Pages • 39,040 Words • PDF • 3.7 MB
Uploaded at 2021-09-24 10:17
This document was submitted by our user and they confirm that they have the consent to share it. Assuming that you are writer or own the copyright of this document, report to us by using this DMCA report button.
Guía práctica de ISO/IEC 20000-1 para servicios TIC Ana Andrés Álvarez Carlos Manuel Fernández Sánchez Boris Delgado Riss
www.full-ebook.com
Créditos Título: Guía práctica de ISO/IEC 20000-1 para servicios TIC. ePUB Autores: Ana Andrés Álvarez, Carlos Manuel Fernández Sánchez y Boris Delgado Riss © AENOR (Asociación Española de Normalización y Certificación), 2016 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR. ISBN: 978-84-8143-930-4 Impreso en España - Printed in Spain Edita: AENOR Maqueta y diseño de cubierta: AENOR Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695 [email protected] • www.aenor.es
www.full-ebook.com
Agradecimientos Queremos expresar nuestro agradecimiento en primer lugar a María Vázquez Iglesias, de Dársena 33, por su colaboración para la elaboración de este libro. A las empresas que han implantado y certificado este estándar, y a los auditores de AENOR y de entidades colaboradoras, por su trabajo de campo y colaboración constante. A la asociación ITSMF – Chapter España (Madrid) por su apoyo y colaboración para la divulgación de esta norma. A la Dirección de Comunicación de AENOR por su ayuda y soporte en la publicación de artículos de ISO en las TIC. A la Dirección Comercial de Certificación, a la Dirección de Servicios de Información y al Departamento Editorial de AENOR por su ánimo y apoyo constantes, haciendo posible que esta publicación concluyera con éxito. Ana Andrés Álvarez Carlos Manuel Fernández Sánchez Boris Delgado Riss
www.full-ebook.com
Introducción En nuestra sociedad tecnificada, el sector industrial ha ido cediendo espacio al sector servicios de manera muy significativa. La problemática que presenta la gestión de la producción de servicios, y en particular de los servicios de TI, ha ocasionado que en esta nueva industria se hayan reutilizado rápidamente muchos métodos de gestión existentes. Pero la experiencia se ha encontrado con muchas dificultades, ya que hay muchos aspectos que no quedan cubiertos, mientras que otros no es posible aplicarlos; así, poco a poco, han ido surgiendo nuevas maneras de gestión. Mientras que algunos marcos de trabajo se han hecho con un nombre en los últimos 30 años y han sido ampliamente utilizados por grandes organizaciones, había una gran parte de la industria a la que le hacía falta un enfoque más preciso y limitado a la hora de requerir recursos; necesidad que vino a cubrir la Norma UNE-ISO/IEC 20000-1 publicada en su primera versión en el año 2005. En este corto espacio de tiempo, aun tratándose de una época difícil, se ha visto cómo la industria abrazaba esta norma debido a que proporcionaba una metodología para afrontar las complejidades de la gestión de servicios de una manera ordenada y asequible, tanto técnica como económicamente. La Norma UNE-ISO/IEC 20000-1, que proporciona las herramientas para diseñar, crear y operar los servicios de manera eficaz y eficiente, se ha visto actualizada en 2011 y es la utilizada en la elaboración de esta publicación. Se acompaña de otras dos normas que le dan soporte, aunque no son objeto de esta guía: UNE-ISO/IEC 20000-2, que proporciona directrices para la aplicación del sistema de gestión del servicio; y la UNE-ISO/IEC 20000-3, que las da para la definición del alcance y la aplicabilidad de la norma. En la presente guía se detallan los requisitos que plantea la norma para la definición e implantación del sistema de gestión, así como los que presenta el establecimiento de los procesos asociados con la gestión de servicios.
Objetivo de esta guía Al abordar la realización de la guía, nuestro objetivo principal ha sido el de colaborar en aportar valor a la organización que decida afrontar la aventura de una mejor gestión de sus servicios.
www.full-ebook.com
En cualquier empresa, y en las pymes de manera apremiante, los recursos son limitados y por tanto es importante hacer uso y sacar provecho de cualquier herramienta disponible que sirva para utilizarlos de la mejor manera. Si a los beneficios de la norma les incorporamos pautas para implantarla como las que intenta aportar esta guía, resolviendo dudas y sugiriendo soluciones, queda claro que su pretensión última es que la implantación de la norma sea fácil, barata y rentable. Con este fin, se quiere facilitar la tarea: • A todos aquellos que no están familiarizados con las normas ISO, explicando los principales conceptos relacionados con los sistemas de gestión. • A todos aquellos que no están habituados con los conceptos de la gestión de servicios, detallando los principios y directrices de este aspecto de la gestión. • A quienes quieren implantar la gestión de servicios y no cuentan con el conocimiento necesario para ello. • A quienes necesitan soporte para adaptar la norma a su organización. Con todo ello se pretende que los conceptos relacionados con la gestión de los servicios de TI sean más fáciles de asimilar en cualquier organización y apoyar la idea de que es posible gestionarlos de manera más eficaz y eficiente, haciendo que esta gestión rinda beneficios tangibles y cuantificables al negocio. Con respecto al futuro de los servicios de TI (Tecnologías de la Información) y su relación con el desarrollo de aplicaciones (software), este libro posibilita una solución ágil al concepto “DevOps” (Development-Operations), teniendo en cuenta metodologías ágiles en el desarrollo de nuevas aplicaciones, tal y como se puede apreciar en el artículo de Fernández Sánchez, Garzás y Morales “DevOps rompiendo las barreras entre desarrollo y operaciones bajo el marco de la agilidad, la ISO 20000 y la ISO 15504/12207”. Revista BYTE. Junio 2015.
www.full-ebook.com
Capítulo 1. Conceptos de gestión de servicios 1.1. Qué es un servicio TI Todos estamos familiarizados con los servicios en nuestra vida cotidiana. Utilizamos servicios bancarios, de telefonía, de educación, sanitarios, etc. En muy poco tiempo nuestra sociedad ha pasado de ser una sociedad industrial, que producía bienes tangibles, a una de servicios, donde los productos ya no son materiales ni visibles. Algunas de las definiciones que proporciona el Diccionario de la lengua española para “servicio” dejan claro de qué hablamos: • 16. m. Organización y personal destinados a cuidar intereses o satisfacer necesidades del público o de alguna entidad oficial o privada. Servicio de correos, de incendios, de reparaciones. • 17. m. Función o prestación desempeñadas por organizaciones de servicio y su personal. Para las normas ISO la definición es: • Medio de entrega de valor al cliente facilitando que alcance los resultados que quiere lograr. Los servicios que utilizan tecnologías de la información y las comunicaciones son servicios TI. Esta utilización es la que marca la diferencia con el resto de servicios. Las implicaciones de este uso los hace especiales en muchos sentidos: • Se puede ser mucho más productivo, atendiendo a más clientes con los mismos recursos. • Se puede ser más innovador, creando servicios nuevos para las nuevas necesidades de usuarios cada vez más exigentes y sofisticados. • Se puede dar más calidad y más prestaciones sin aumentar los gastos de manera proporcional. Por supuesto las ventajas tienen su contrapartida: • Hay que tener conocimientos técnicos significativos si queremos resultados. • Los costes de creación y mantenimiento pueden ser importantes y escalar sin
www.full-ebook.com
control. • Una mala atención al cliente puede hundir el servicio mejor diseñado.
1.2. La calidad de los servicios Como ya no vemos ni tocamos los productos, puede parecer que es más difícil saber en qué consiste la calidad de los servicios. Nada más lejos de la realidad. En nuestra vida cotidiana tenemos infinidad de casos en los que sabemos si un servicio es de calidad o no. Si vamos a tomar un café en un establecimiento y tardan en servirnos, nos dan un café frío, amargo, o incluso una manzanilla, si nos cobran mal… ¿diríamos que el servicio ha sido bueno? Lo mismo sienten nuestros clientes si no atendemos sus demandas, si no les suministramos lo que querían o si no hacemos lo que se espera de nosotros. Los criterios de calidad de un producto solo se pueden extrapolar en parte a los servicios. Hay que pensar de otra manera, pero todos somos usuarios de servicios, por lo que debemos pensar en lo que nosotros mismos valoramos como clientes o como usuarios, por ejemplo: • La disponibilidad del servicio: que esté ahí cuando lo necesitamos. • La rapidez con la que se presta el servicio: que no haya demoras en su entrega. • La capacidad: que podamos almacenar toda nuestra información, que pueda atender al mismo tiempo a todos nuestros usuarios, que acoja nuestro volumen de transacciones, etc. • La mejora continua: que se solucionen rápido los errores o fallos que inevitablemente se producirán. Hay que identificar qué características de nuestros servicios son las que los clientes valorarán y, por tanto, estarán dispuestos a pagar. Estas características serán nuestro sello de calidad.
1.3. Qué es la gestión de servicios Podemos definir la gestión de servicios como el conjunto de capacidades y procesos para dirigir y controlar las actividades del proveedor de servicios, y los recursos para el diseño, transición, provisión y mejora de los servicios para cumplir con los requisitos de los contratos. Dicho en una frase parece sencillo, pero cualquiera que se haya enfrentado al reto
www.full-ebook.com
sabe que no es así. Hay multitud de factores, condicionantes, requisitos e implicados, que hacen de la gestión de servicios una tarea compleja en todas sus vertientes: de gestión del negocio, financiera, técnica y humana. Manejar de manera precisa y eficiente todos estos elementos es un proceso que necesita herramientas y conocimiento que no siempre están disponibles en las organizaciones. También ocurre con frecuencia que se tiene el convencimiento de que nuestro negocio solo lo conocemos nosotros, y quiénes mejor, por tanto, para diseñar un nuevo método para gestionarlo que se ajuste a nuestras necesidades y capacidades. Si bien esto es cierto, los beneficios de no empezar de cero, sino partiendo de la experiencia y conocimientos de muchos expertos de distintos ámbitos, condensados en las buenas prácticas relacionadas con la gestión de servicios, no pueden sino beneficiarnos.
1.4. Contexto de aplicación Para los propósitos de esta guía, se considera que el contexto de aplicación de la Norma UNE-ISO/IEC 20000-1 son pymes que prestan servicios de TI. Está claro que el concepto de pyme abarca desde microempresas con menos de diez trabajadores hasta medianas empresas con un par de cientos de trabajadores. Sin embargo, y salvo excepciones, debería ser posible aplicar los requisitos de la norma en todos ellos de manera similar. Las diferencias en la implantación suelen venir dadas por la estructura organizacional o por la cultura de la organización, que marcan pautas que la distinguen de sus colegas y competidores. Pero la filosofía, por así decirlo, de la gestión es la misma. Haciendo el ejercicio de pensar en grandes empresas, la metodología habitual para la gestión de los servicios en este tipo de empresas es la versión original y ampliada de lo que propone la norma. Por lo tanto todos aquellos con dudas acerca de si la norma se puede aplicar en su organización, pueden dejar de preocuparse por este aspecto. La norma se aplica a todo tipo de organizaciones, del sector que sean, del tamaño que sean, tengan la estructura que tengan. Las directrices serán las mismas para todos, y lo que variará será la manera de aplicarlas en la organización.
1.5. Principios básicos En nuestra experiencia hay tres principios básicos que rigen la gestión de
www.full-ebook.com
servicios: • Hay tres factores que deben equilibrarse: coste, tiempo y calidad. A pesar de las peculiares características de los servicios de TI, los clientes siguen esperando las mismas cosas que de otro tipo de productos o servicios: que les den lo que han comprado (calidad), que sea barato (coste) y que se lo den cuando lo piden (tiempo). Los proveedores tienen que encontrar la manera de suministrar los mejores servicios al mejor precio y a tiempo. No es nada nuevo en cualquier gestión de proyectos, pero aquí se añaden las dificultades de la complejidad de la provisión de servicios, con sus numerosos elementos y relaciones entre ellos. • Siempre es más barato solucionar errores en planificación que en operación. Tomar precauciones para que alguien no autorizado entre en nuestras instalaciones es más barato que solucionar una intrusión y los daños derivados de ella. En nuestra vida cotidiana tenemos numerosos ejemplos de que esto es así; sin embargo, cuando se plantea lanzar un servicio al mercado es sorprendente la falta de previsión y planificación con la que se hace en numerosas ocasiones. Planificar marca la diferencia entre un servicio prestado de manera profesional y seria, y un servicio prestado con buena voluntad. • La mejora continua no es opcional. Los tiempos cambian, nuestros clientes cambian, las tecnologías cambian. Todo ello supone retos y oportunidades para mejorar y mantenernos como proveedores de confianza para nuestros clientes. Si no es así, nosotros mismos nos echaremos fuera del mercado. O mejoramos o nos quedaremos atrás. Es muy fácil ver que la norma recoge estos tres principios en la manera en la que está pensada y estructurada. La gestión de servicios se plantea como un requisito de negocio para prestar servicios adecuados a los clientes a un coste aceptable para la organización. Esto implica saber y documentar lo que esperan nuestros clientes y lo que vamos a darles; vigilar lo que cuestan los distintos elementos de los servicios prestados; y trabajar en todo momento para hacer las cosas bien de manera que sea más rápido, y por tanto más barato, prestar los servicios al nivel que se pretende.
1.6. Buenas prácticas: las normas ISO Las normas ISO son las responsables de que nuestra vida sea más fácil. En numerosos ámbitos, la normalización ha supuesto una racionalización de prácticas
www.full-ebook.com
y usos. La manera de funcionar de ISO, en la que colaboran muchísimos países, con comités de expertos en cada materia, hacen que las normas ISO sean de un valor incalculable a la hora de diseñar, fabricar y comercializar productos y servicios, puesto que cualquier cliente en cualquier punto del planeta puede estar razonablemente seguro de que lo que compra es lo que viene definido por las normas que se le apliquen. En el caso de los sistemas de gestión, con la Norma ISO 9001 lanzada en 1987, se han sentado a nivel mundial las bases de lo que hoy se conoce como calidad y mejora continua. Una empresa certificada en Japón y otra en España cumplen con los mismos requisitos en ambos casos. Esto da tranquilidad y confianza a los clientes de que los productos y servicios ofrecidos por estas organizaciones son lo que pueden esperar según lo establecido en las normas aplicables. Con el tiempo, otras normas como la ISO 14001 para la gestión medioambiental, la ISO/IEC 27001 para la gestión de la seguridad de la información, etc., han ido cubriendo aspectos de la gestión que la industria iba requiriendo. Las buenas prácticas que recogen estas normas ISO permiten a cualquier organización afrontar la gestión, a veces compleja, de una manera más fácil y rápida que si tuvieran que investigar por su cuenta cómo hacerlo, y luego ir probando métodos y herramientas hasta dar con la que funcione. Además, simplemente proponen los requisitos más básicos de la gestión, por lo que a partir de ahí las empresas pueden ir mejorando y ampliando según sus necesidades y recursos. Es decir, no limitan la actuación de las organizaciones, simplemente sientan las bases para que puedan funcionar de manera eficaz con un método probado y consensuado por una parte importante de la industria. La evolución positiva del número de empresas que adoptan las normas ISO de manera voluntaria no hace más que confirmar la utilidad de estas normas y reconocer el valor que aportan a las organizaciones.
www.full-ebook.com
Capítulo 2. La norma UNE-ISO/IEC 20000-1 y la gestión de los servicios La norma UNE-ISO/IEC 20000-1 Tecnología de la Información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS) ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la información1. La segunda edición, publicada en 2011, anula y sustituye a las normas UNE-ISO/IEC 20000-1:2007 y UNE- ISO/IEC 2000-1:2007/1M:2009. Esta norma es la traducción y adopción por parte de España (AENOR) de la norma internacional ISO/IEC 20000-1:2011. Con esta norma, ISO ha puesto a disposición pública una manera eficaz y eficiente de enfrentarse a la gestión de los servicios mediante procesos derivados de buenas prácticas reconocidas por la industria. Además, y como el resto de las normas relacionadas con los sistemas de gestión en el ámbito de ISO, esta norma tiene embebida la mejora continua, por lo que disponemos de buenas prácticas que ya han probado su validez y utilidad en todo tipo de organizaciones, y que podemos ir mejorando con el tiempo de acuerdo con nuestras necesidades. En resumen, lo que la norma propone es desarrollar un sistema de gestión (con sus directrices, objetivos y medios de verificación) aplicado sobre procesos que ya han demostrado sobradamente su utilidad en la gestión de servicios.
2.1. Características de la nueva versión Aunque la mayor parte de los requisitos básicos permanecen idénticos en las dos versiones, si tenemos un sistema de gestión del servicio (SGS) basado en la versión anterior y queremos actualizarlo, se han producido cambios significativos que conviene tener en cuenta. Los cambios a alto nivel en la nueva versión de 2011 con respecto a la versión anterior son los siguientes: 1. Mayor armonización con la norma ISO 9001. 2. Mayor armonización con la norma ISO/IEC 27001. 3. Cambio en la terminología para reflejar usos internacionales.
www.full-ebook.com
4. Inclusión de muchas más definiciones, modificación de algunas, y eliminación de dos definiciones. 5. Inclusión del término “sistema de gestión del servicio”. 6. Unificación de los capítulos 3 y 4 de la norma UNE-ISO/IEC 20000-1:2005 para incluir todos los requisitos del sistema de gestión en un solo capítulo. 7. Clarificación de los requisitos para el gobierno de los procesos operados por terceros. 8. Clarificación de los requisitos para definir el alcance del sistema de gestión del servicio (SGS). 9. Clarificación de que la metodología PHVA (Planificar-Hacer-VerificarActuar, PDCA en inglés) se aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios. 10. Inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados. 11. En la descripción de cada proceso se elimina el párrafo “objetivo”. 12. El proveedor de servicios considera siempre a “los clientes y partes interesadas”. 13. Se tiende a sustituir “necesidades y/o requisitos del negocio” por “necesidades y/o requisitos del cliente y partes interesadas”. 14. En muchos casos se indica explícitamente “debe existir un procedimiento/proceso documentado”. En algunos casos se habla de procedimientos o referencias a ellos. Los requisitos de la norma incluyen el diseño, transición, provisión y mejora de los servicios para cumplir con los requisitos del servicio, y para aportar un valor tanto para el cliente como para el proveedor del servicio. Además, se requiere del proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece, implementa, opera, controla, revisa, mantiene y mejora un SGS. Cuando se utilizan dentro de un SGS, los aspectos más importantes de un enfoque de procesos integrados y de la metodología PHVA son los siguientes (véase la figura 2.1): • Entender y cumplir los requisitos de servicio para lograr la satisfacción del cliente.
www.full-ebook.com
• Establecer la política y objetivos de la gestión del servicio. • Diseñar y proveer, mediante el SGS, servicios que aportan valor al cliente. • Monitorizar, medir y revisar el comportamiento del SGS y de los servicios. • Mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas.
Figura 2.1. Ciclo PHVA de mejora continua en la gestión del servicio La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios, pero es muy valiosa para gestionar estos requisitos de una manera eficaz y eficiente.
2.2. Diferencias entre las dos versiones Los cambios más relevantes se muestran a continuación. El detalle de los cambios entre las versiones de UNE-ISO/IEC 20000-1:2007 y UNE-ISO/IEC 200001:2011 se desglosa en el anexo A de este libro. • Apartado 1.1 Generalidades: la Norma UNE-ISO/IEC 20000-1:2011 (en adelante, UNE-ISO/IEC 20000-1), especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos incluyen el diseño, transición, provisión, y mejora de los
www.full-ebook.com
servicios para satisfacer los requisitos de servicio. Puede ser utilizada por cualquier organización que quiera: – Garantías de que los servicios que presta un proveedor de servicios cumplen con los requisitos estipulados. – Un enfoque consistente para gestionar a todos sus proveedores del servicio, incluidos los de una cadena de suministro. – Acreditar ante sus clientes actuales o potenciales su capacidad de suministrar servicios adecuados a los requisitos estipulados. – Controlar sus procesos de gestión del servicio y los servicios para su funcionamiento óptimo. – Mejorar la gestión de sus servicios mediante una implementación y operación eficaces del SGS. – Someter a la evaluación de un asesor o auditor, la conformidad del SGS de un proveedor del servicio respecto a los requisitos la norma. La figura 2.2 muestra el SGS, e incluye los procesos de gestión del servicio. Los procesos de gestión del servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada proveedor del servicio. • Apartado 1.2 Campo de aplicación: todos los requisitos son aplicables a cualquier proveedor de servicios, independientemente del sector en que opere, el tamaño o el tipo de organización. Los requisitos recogidos en los capítulos 4 al 9 deben ser cumplidos sin excepción. Las evidencias del cumplimiento del punto 4 deben ser demostradas por el proveedor del servicio aunque los procesos sean operados por terceros. La evidencia del cumplimiento del resto de los requisitos debe ser igualmente presentada. • Capítulo 2 Normas para consulta: sin cambios relevantes. • Capítulo 3 Términos y definiciones: las definiciones disponibles se amplían, con respecto a la edición anterior, de 13 a 37. En algunos casos, las definiciones existentes se han redefinido. Por ejemplo, CI (elemento de configuración), CMDB, la inclusión del término “accesibilidad” en la definición de seguridad de la información, etc.
www.full-ebook.com
Figura 2.2. Sistema de gestión del servicio 1 En este libro se ha utilizado indistintamente Sistema de Gestión de Servicios de TI (SGSTI) o Sistema de Gestión de Servicios (SGS) para hacer referencia a la Norma UNE-ISO/IEC 20000-1:2015.
www.full-ebook.com
Capítulo 3. El proyecto de implantación Plantear la implantación de un sistema de gestión de servicios de TI con la norma UNE-ISO/IEC 20000-1 requiere grandes dosis de compromiso por parte de la dirección. Este tipo de proyectos necesitan tiempo y dedicación, que no se destinarán al proyecto si no es con ese compromiso. Contando con ello, el proyecto debe comenzar identificando las prioridades de la organización en cuanto a sus servicios. Esto dará el punto de partida para marcar los objetivos y la dirección que tomará el proyecto. Como esas prioridades ya están en cierto modo imbricadas en la actividad de la organización, no será difícil asumir el comienzo de las mejoras por esos aspectos.
3.1. Recomendaciones Hay varios puntos clave que deben ser tratados con esmero, ya que constituyen poderosas herramientas para garantizar el éxito del proyecto: • Ser realistas a la hora de planificar: si la planificación es demasiado ambiciosa en cuanto a tiempos y plazos, hay muchas probabilidades de fracasar, impidiendo la materialización de los beneficios. Si bien es cierto que alargar mucho estos plazos tampoco ayuda a que el proyecto se desarrolle adecuadamente, porque el entusiasmo y el compromiso iniciales pueden decaer con el tiempo, y la falta de resultados puede mermar la credibilidad del proyecto. • Limitar el alcance a los recursos que se puedan dedicar: como ninguno de los requisitos de la norma puede ser excluido, esta limitación del alcance tiene que hacerse en función de los servicios o las áreas del negocio en los que se quiera implantar el sistema de gestión de los servicios. Es decir, si suministramos varios servicios, escoger únicamente un subconjunto de ellos para incluir en el SGS. O bien, si nuestra organización se encuentra dividida en áreas de negocio, escoger una o varias para hacerlo. La parte de la organización que se escoja para el proyecto tiene que ser relevante para el negocio, o no se verán los beneficios de la implantación de la gestión de servicios. También es cierto que, para empresas muy pequeñas, en muchas ocasiones la mejor estrategia es que el alcance abarque toda la organización, porque no es posible o práctico seccionarlo.
www.full-ebook.com
• Ser pacientes a la hora de mostrar los resultados: aunque la planificación y el alcance sean perfectos para las necesidades y recursos de la organización, los beneficios de la gestión de servicios nunca van a ser inmediatos. Se necesita un cierto tiempo para que la puesta en marcha de esta gestión ponga en evidencia los fallos que se estaban cometiendo y las mejoras que se han introducido. Además, las personas directamente involucradas en la ejecución de tareas, por ejemplo en la resolución de incidentes, verán antes que se trabaja mejor, con menos esfuerzo y tensión, y resolviendo en menos tiempo estos incidentes. Sin embargo, escalar estas mejoras hacia la dirección requiere recoger datos fehacientes de que esto es así, por lo que hay un periodo de tiempo en el que, aunque los beneficios ya estén ahí, estos no son suficientes para que el negocio los perciba.
3.2. Problemas habituales Un proyecto de esta complejidad va a generar inevitablemente problemas, de los cuales los más graves por su frecuencia e impacto son: • Querer hacerlo todo a la vez: como es un tema complejo, una vez decidido que se va a abordar la implantación de un SGS, algunas organizaciones se ven tentadas a querer hacerlo para toda la organización sin haber valorado si están preparadas para ello, tanto cultural como económicamente. La resistencia al cambio de alguna parte importante de la organización puede dar al traste con el proyecto mejor planteado. Por ello es importante escoger aquellas partes de la organización que sean menos reacias al mismo o, al menos, que no supongan una amenaza clara para el proyecto. En cuanto al coste económico, hay que valorar si se pueden dedicar todos los recursos humanos necesarios para hacer una implantación de esa envergadura y si se está dispuesto a hacer el desembolso que probablemente irá asociado a esa implantación. Empezar un proyecto que no se puede continuar por falta de recursos es muy frustrante y contraproducente de cara al futuro, ya que las próximas iniciativas de mejora se verán lastradas por este fracaso. • Compromiso que declina con el tiempo: pasadas las primeras fases del proyecto, las dificultades que entraña y la impaciencia por alcanzar resultados pueden ocasionar que el compromiso de la dirección no se mantenga en el tiempo, por lo que se añadirá presión al proyecto y quizá se retiren recursos; con ello se estará colaborando activamente al fracaso del proyecto.
www.full-ebook.com
• Objetivos poco realistas que no se llegan a alcanzar: la gestión de servicios es, como ya hemos advertido, un tema complejo que involucra a toda la organización, de arriba abajo y transversalmente. Con tantas partes implicadas en una tarea con tantas facetas, es fácil que haya expectativas que no se ajusten a la realidad. Hay que informar adecuadamente desde el principio de los objetivos del proyecto, de lo que se espera de cada uno y de la aportación de la dirección; así como, posteriormente, de la marcha del proyecto y de los resultados que se están obteniendo, intentando en todo momento que las expectativas de las distintas partes se vean satisfechas. Para ello es importante mantenerlas dentro de lo posible y alcanzable.
www.full-ebook.com
Capítulo 4. El sistema de gestión de servicios de TI 4.1. Introducción En este capítulo se desglosan los distintos requisitos que debe cumplir el sistema de gestión. Por un lado están los intrínsecos del sistema (los requisitos generales), que definen un marco de trabajo orientado a la mejora continua; y por el otro, los de los distintos procesos que componen la metodología de gestión del servicio propuesta por la norma. Para cada proceso se muestra un modelo del mismo, con los siguientes elementos: • Entradas: información, datos y cualquier otro elemento que sea necesario para llevar a cabo el proceso. • Actividades: tareas típicas que se pueden encontrar en este proceso, determinadas por la norma. • Salidas: información, datos, servicios y cualquier otro elemento que sea producto de la realización del proceso. • Puntos de control: tareas o información utilizadas para verificar que el proceso se está realizando conforme a lo establecido. Además, en cada proceso se incluye también una síntesis, enfocada a resaltar y reforzar las principales ideas y conceptos de cada uno. En la síntesis se definen: • Objetivo del proceso: para qué sirve, qué es lo que se pretende obtener de su aplicación. • Aspectos claves: aquellos que no es posible obviar sin desvirtuar el objetivo del proceso o ponerlo en peligro; qué es lo que hay que hacer para alcanzar el objetivo. • Indicadores y medidas: se proponen en este punto algunos indicadores y medidas asociadas con ellos, de manera que se pueda medir objetivamente la buena marcha del proceso, verificando si se está alcanzando el objetivo.
4.2. Los requisitos generales En el capítulo 4 se detallan los requisitos que debe tener el sistema de gestión de
www.full-ebook.com
servicios, es decir, cómo se define, desarrolla e implementa dicho sistema.
Figura 4.1. Sistema de gestión del servicio y sus procesos Quien esté familiarizado con los sistemas de gestión de las normas ISO no verá diferencias significativas con cualquier otro sistema de gestión. Se basa en el compromiso de la dirección, debe haber una política, hay que documentar, gestionar esta documentación, implantar y mejorar el sistema de gestión. Aunque la norma no lo exige, crear un manual en el que se recojan todos aquellos temas que la norma pide documentar y definir el SGS es una buena práctica que facilita el cumplimiento. Una manera de representar el SGS y los distintos procesos involucrados se muestra en la figura 4.1: por un lado tenemos un cliente que requiere los servicios prestados por un proveedor que, utilizando los procesos de creación de nuevos servicios, provisión del servicio, relación, resolución y control, es capaz de suministrarlos y de obtener una importante base de datos de la configuración (CMDB) como productos de salida. Los procesos se comunican entre sí, facilitándose la información que les hace falta para rendir al máximo en su ejecución; de ahí que haya relaciones en ambos sentidos entre todos los grupos de procesos. Este trasvase de información, que se recogerá en la base de datos de la configuración, es tan importante para una buena gestión como los propios procesos. El proceso de mejora continua va embebido en todo el circuito para permitir la corrección de errores y la identificación de oportunidades de mejora, y para
www.full-ebook.com
conseguir los objetivos que se hayan marcado en el menor tiempo posible y con la mayor eficacia. Es decir, además de tener un ciclo de mejora continua general, los trece procesos del estándar tendrán a su vez un sencillo ciclo de mejora continua (PHVA). Los requisitos generales del SGS establecen las bases cruciales para una buena gestión del servicio: son el marco de trabajo para que el esfuerzo que se le dedique al SGS rinda beneficios rápidamente. Las relaciones entre los procesos se muestran en la tabla 4.1, distinguiendo entre “e” (entradas), y “s” (salidas), según el proceso de la primera columna funcione como entrada para otros procesos, como salida o incluso, en los casos de realimentación, siendo tanto entrada como salida (e/s). Tabla 4.1. Relaciones entre procesos Diseño y transición de servicios nuevos Diseño y transición de servicios nuevos/modificados Gestión del nivel de servicio
Gestión Elaboración del Informes Gestión de la de Gestión Gestión nivel del continuidad y presupuesto de la de la de servicio disponibilidad y capacidad seguridad servicio contabilidad
e
s
Informes del servicio
e/s
e
e
e
e
e
e
e/s
Gestión de la continuidad y disponibilidad
s
Elaboración de presupuesto y contabilidad
Gestión de Gestión de relaciones suministradores con el negocio
Gestión de incidencias Gestión Gestión de la y de configuración peticiones problemas de servicio
s
e
e
e
e
s
e
s
s
e
s
s
Gestión de la capacidad
s
e
s
s
Gestión de la seguridad de la información
s
s
s
Gestión de relaciones con el negocio Gestión de suministradores Gestión de incidencias y peticiones de servicio
e
e
s
e/s
e
s
e
e
e
e
Gestión de problemas
e
s
Gestión de la
www.full-ebook.com
configuración Gestión de cambios Gestión de la entrega y despliegue
s
s
s
s
s
s
s
e
4.3. Responsabilidad de la dirección 4.3.1. Objetivo del proceso El objetivo del proceso es demostrar que la dirección está comprometida con la calidad de los servicios y la mejora continua.
4.3.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.2) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
4.3.3. Descripción del proceso 4.3.3.1. Compromiso de la dirección Ningún proyecto de mejora puede progresar sin el compromiso de la alta dirección de la organización. Por ello, la norma exige evidencias de que está involucrada y apoya el proceso de implantación de un SGS a lo largo de todo su ciclo de vida. Esto implica que la alta dirección debe participar de algún modo a la largo de todo el sistema, desde la planificación, definición e implantación, pasando por la operación y seguimiento, hasta la revisión y la mejora del SGS y los servicios a los que se aplica.
www.full-ebook.com
Figura 4.2. Modelo del proceso Responsabilidad de la dirección Como mínimo, la dirección debe: • Establecer y comunicar el alcance del SGS: claramente esta es una decisión organizativa, y tanto si es la única involucrada en definir el alcance como si únicamente valora las propuestas de aquellos en quienes ha delegado la tarea, es la dirección la única que tiene la potestad de decidir qué servicios quedan dentro del alcance y cuáles no. La amplitud del alcance tiene repercusiones organizativas y económicas, por lo que cae dentro de la responsabilidad de un departamento aislado. Puesto que es una decisión de la dirección, es a ella a quien corresponde transmitirla a la organización. • Establecer la política: de nuevo, esta es una decisión al más alto nivel. La posición de la organización respecto a la gestión del servicio no puede emanar más que de la dirección, que debe poner además los medios para difundirla y presentarla adecuadamente a toda la organización. • Establecer los objetivos de la gestión del servicio: la gestión de servicios es una herramienta de gestión para obtener beneficios empresariales, por lo que solo la dirección puede establecer cuáles son los objetivos que se persiguen y comunicarlo a todos los interesados. • Poner los medios necesarios para crear el plan de gestión del servicio, para que se lleve a cabo y se mantenga: con ello se dará soporte a la política, a la consecución de objetivos de gestión del servicio y a dar el servicio de
www.full-ebook.com
acuerdo con los requisitos que se hayan definido. • Comunicar la importancia de cumplir con los requisitos del servicio que esperan los clientes y usuarios. • Comunicar la importancia de cumplir con los requisitos legales, normativos, reglamentarios y contractuales. No dejan de ser otros requisitos que hay que satisfacer, aunque no tengan tanta visibilidad como los de los clientes y usuarios. • Proporcionar los recursos necesarios para llevar a cabo todas las tareas que conlleva el diseño, despliegue y mantenimiento de un SGS. • Llevar a cabo revisiones del SGS y de la gestión de los servicios de manera periódica. • Respaldar la evaluación de los riesgos del servicio y su posterior gestión.
4.3.3.2. Política de gestión del servicio Una política es un documento que recoge la postura de una organización respecto a un determinado aspecto de la gestión, y las directrices que se van a seguir en un tema concreto. En el caso de la gestión del servicio, la política contendrá líneas de actuación para, por ejemplo, distinguir nuestros servicios de los de la competencia, o que indiquen si vamos a ser innovadores o por el contrario vamos a ofrecer servicios basados en la experiencia acumulada. En cualquier caso, y sin perder de vista que esta política de gestión del servicio va a dar apoyo al negocio, la dirección la definirá de tal manera que: • Sea apropiada para el propósito de nuestra organización. • Muestre un compromiso de satisfacción de los requisitos del servicio. • Muestre el compromiso con la mejora continua de la eficacia del SGS y de los servicios, utilizando para ello una política de mejora continua. • Sirva como marco de referencia para definir y revisar los objetivos de gestión del servicio. • Sea comunicada a todo el personal y se pongan los medios para que sea entendida. • Sea revisada periódicamente para que siempre sea adecuada a nuestros objetivos y contexto.
4.3.3.3. Autoridad, responsabilidad y comunicación
www.full-ebook.com
Como no puede ser de otra manera, la alta dirección es la responsable de que se definan y mantengan las distintas responsabilidades de la gestión del servicio y de que haya canales y medios de comunicación adecuados. En las organizaciones más pequeñas la dirección, encarnada por su dirección general, será la que realmente defina los distintos roles, como los responsables de procesos, y autorice personalmente los distintos nombramientos. En organizaciones más grandes, la dirección delegará estas tareas, y después supervisará y dará las correspondientes autorizaciones. Lo mismo sucederá con los mecanismos de comunicación. La implicación directa de la dirección será probablemente más acusada cuanto menor sea el tamaño de la organización pero, sin excepción, la responsabilidad de estas tareas recae sobre ella.
4.3.3.4. Representante de la dirección Otra de las responsabilidades de la dirección es decidir quién va a representarla en cuanto a la gestión de los servicios, ya que hay numerosas tareas y decisiones que deberán contar con la aprobación de la alta dirección, pero no resultaría eficiente esperar a su reunión física para llevarlas a cabo. Esta persona deberá tener autoridad suficiente para asegurarse de que se lleven a cabo todas las actividades necesarias para identificar, documentar y cumplir con los requisitos del servicio. Además, se encargará de asignar las responsabilidades y autorizaciones que aseguren que la gestión de los servicios, y los procesos relacionados con ellos, se llevan a cabo de acuerdo con la política establecida y los objetivos que se hayan marcado para ellos, y que están integrados con el sistema de gestión de la organización. El representante de la dirección se encargará de que los activos y sus licencias, cuando proceda, se utilicen de manera regulada y acorde con la ley, además de cumplir con lo exigido por los contratos. Otro de sus principales papeles es informar al resto de la dirección de cómo funciona el sistema de gestión del servicio y cómo se puede mejorar bien el SGS, bien los servicios mismos.
4.3.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.3) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el
www.full-ebook.com
proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.3. Síntesis del proceso Responsabilidad de la dirección
4.4. Gobierno de los procesos operados por terceros 4.4.1. Objetivo del proceso El objetivo del proceso es definir y gestionar unos niveles de servicio apropiados para cubrir los requisitos de los servicios prestados y los niveles de servicio acordados con los clientes.
4.4.2. Diagrama del proceso En el diagrama de proceso que se muestra a continuación (véase la figura 4.4) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 4.4. Modelo del proceso Gobierno de procesos operados por terceros
4.4.3. Descripción del proceso Habitualmente, cualquier proveedor tendrá uno o varios de sus procesos operados por terceros, ya sean estos un grupo interno, un cliente o un suministrador. En cualquier caso, estos procesos deben estar controlados por la organización, tanto o más que si los operara ella misma. La responsabilidad ante los clientes en caso de fallo o error siempre será del proveedor del servicio, ya que es quien se presenta ante ellos y cobra por sus servicios. Para mantener el control debido sobre los procesos no operados directamente hay que: • Exigir del tercero los mismos requisitos o más que los que estamos obligados a cumplir. • Controlar cómo se definen estos procesos y cómo se relacionan con el resto de nuestros procesos. • Definir cómo se deben comportar estos procesos y cuáles son los criterios para medir este comportamiento y su grado de cumplimiento de los requisitos. • Controlar la planificación de los procesos y aplicar criterios para la mejora de los mismos. Todo esto pasa por documentar en un acuerdo las responsabilidades de cada parte
www.full-ebook.com
y los requisitos del proceso. Si el tercero es un suministrador, el acuerdo tendrá la forma de un contrato y se gestionará mediante el proceso de gestión de suministradores. Si es un grupo interno o un cliente, tomará la forma de un SLA (acuerdo de nivel de servicio) y se gestionará con el proceso de gestión del nivel de servicio.
4.4.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.5) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.5. Síntesis del proceso Gobierno de procesos operados por terceros
4.5. Gestión de la documentación 4.5.1. Objetivo del proceso El objetivo del proceso es definir y controlar la documentación necesaria para una buena gestión de los servicios.
4.5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.6) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 4.6. Modelo del proceso Gestión de la documentación
4.5.3. Descripción del proceso 4.5.3.1. Establecimiento y mantenimiento de documentos Todos los sistemas de gestión deben estar documentados, y contarán con varios tipos de documentos que evidencien cómo se ha planificado el sistema, como se opera, controla y mejora. En el caso de un sistema de gestión del servicio, los documentos mínimos que la norma requiere son: • Política de gestión del servicio. • Objetivos de gestión del servicio. • Plan de gestión del servicio. • Políticas y planes documentados creados para procesos específicos. • Catálogo de servicios. • Acuerdos SLA (Service Level Agreements). • Procesos de gestión del servicio, como la gestión de la capacidad. • Procedimientos y registros requeridos, como la propia gestión de la documentación y sus correspondientes registros. • Documentos adicionales, incluyendo los de origen externo, que sean necesarios para asegurar la operación eficaz del SGS y la provisión de
www.full-ebook.com
servicios.
4.5.3.2. Control de documentos Todos los documentos del SGS deben estar controlados, incluidos los registros. Habrá un procedimiento documentado con información sobre quién puede crear y aprobar los documentos antes de publicarlos, quién puede informar a las partes interesadas acerca de documentos nuevos o modificados, quién puede revisar y mantener los documentos, y quién se encargará de que se identifiquen los cambios en los documentos para que quede constancia del estado actual de revisión de cada uno de ellos. Además, se debe asegurar que solo las versiones vigentes de los documentos estén disponibles para todos aquellos que los necesitan, que los documentos se puedan identificar fácilmente y sean legibles, y que también los documentos de origen externo estén identificados y su distribución controlada. Es muy importante que los documentos obsoletos estén identificados como tales sean o destruidos para evitar su uso. Hay que tener en cuenta que el formato y el soporte de los documentos no debe impedir o ser una excusa para no cumplir con todos estos requisitos. Cada organización debe tomarse un tiempo para definir cómo se van a cubrir estos puntos, ya que una vez generada toda la documentación será más difícil aplicar nuevas reglas.
4.5.3.3. Control de registros Los registros son la herramienta mediante la que se demuestra que se están realizando las tareas de acuerdo con los requisitos del SGS. Cuando se ejecutan las tareas, todas aquellas trazas que deja su realización son susceptibles de ser registros del SGS. Por ejemplo, la realización de la auditoría interna puede suponer la emisión de un plan de auditoría y la de un informe de auditoría. Ambos son registros, y demuestran que se ha realizado la tarea de manera más o menos ajustada al protocolo impuesto por el procedimiento. Debido a su importancia, la norma exige que haya un procedimiento para identificar, almacenar, proteger, recuperar y conservar los registros, así como para retirarlos cuando estén obsoletos. Lógicamente, los registros deben ser legibles para poder utilizarlos, su identificación debe ser sencilla y hay que poder acceder a ellos fácilmente. Sin embargo, hay que tener en cuenta que el formato es irrelevante, así como el
www.full-ebook.com
soporte. Un log de eventos también puede ser un registro.
4.5.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.7) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.7. Síntesis del proceso Gestión de la documentación
4.6. Gestión de recursos 4.6.1. Objetivo del proceso El objetivo del proceso es estimar y asignar los recursos suficientes y necesarios, tanto para establecer y gestionar el SGS como para el suministro de los servicios y la mejora de la satisfacción del cliente.
4.6.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.8) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 4.8. Modelo del proceso Gestión de recursos
4.6.3. Descripción del proceso 4.6.3.1. Provisión de recursos Como en cualquier otro tipo de proyecto, para la implantación de la norma es necesario estimar, definir y asignar los recursos que hacen falta para llevarlo a cabo. Esto incluye personal, perfiles de puestos, información, presupuesto y recursos materiales. Estos recursos tienen que ser suficientes para establecer el SGS y mantenerlo en el tiempo, suministrar los servicios y mejorar la satisfacción del cliente suministrando servicios que se ajusten a sus requisitos.
4.6.3.2. Recursos humanos La competencia del personal de un proveedor de servicios es crucial a la hora de asegurar que dichos servicios se prestan de acuerdo a los requisitos. Por lo tanto, el proveedor debe contar con personal que esté adecuadamente formado y tenga las habilidades, competencias y experiencia necesarias para desempeñar su trabajo de la mejor manera posible. Para ello: • Establecerá el nivel de competencia necesario en cada puesto, y se ocupará de que el personal en ese puesto se ajuste a lo definido. • Según sea necesario, se proporcionará formación o preparación para que el
www.full-ebook.com
personal tenga el nivel de competencia necesario. • Se evaluará la eficacia de las acciones formativas realizadas. • Se informará al personal de cómo está colaborando para alcanzar los objetivos de gestión del servicio y en el cumplimiento de los requisitos del mismo, para que todos sean conscientes de su contribución. • Se mantendrán registros de la educación, formación, habilidades y experiencia del personal, según sea necesario para la gestión de los recursos.
4.6.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.9) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.9. Síntesis del proceso Gestión de recursos
4.7. Establecer y mejorar el SGS (PHVA) 4.7.1. Objetivo del proceso El objetivo del proceso es mejorar continuamente el SGS y, por tanto, la prestación de servicios. En la figura 2.1 se mostró el ciclo aplicado a la gestión de servicios.
4.7.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.10)
www.full-ebook.com
se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 4.10. Modelo del proceso Establecer y mejorar el SGS
4.7.3. Descripción del proceso 4.7.3.1. Definir el alcance Como primer paso para establecer el SGS hay que definir y documentar el alcance que va a tener. La definición contendrá los servicios que se suministran y el nombre de la organización o de la unidad organizativa que lo hace. También se tendrán en cuenta y se incluirán, según se crea procedente: • La localización geográfica desde la que el proveedor del servicio proporciona los servicios. • El cliente y las ubicaciones en las que recibe los servicios. • La tecnología utilizada para prestar los servicios. Para ayudar en este punto se puede consultar la norma UNE-ISO/IEC 20000-3, en la que se encuentran las directrices para la definición del alcance y la aplicabilidad de la norma UNE-ISO/IEC 20000-1.
4.7.3.2. Planificar el SGS (Planificar) La planificación del SGS comienza con la definición, puesta en marcha y
www.full-ebook.com
ejecución de un plan de gestión del servicio. Este plan recogerá el alcance del SGS y estará alineado con la política de gestión del servicio, los requisitos de los servicios y los de la propia norma. En general, este plan tendrá el siguiente contenido: • Los objetivos de la gestión del servicio que se pretenden alcanzar. Por ejemplo, un cumplimiento del 90% de los acuerdos de nivel de servicio. • Los requisitos del servicio o servicios dentro del alcance. • Las limitaciones conocidas que pueden afectar al SGS, como por ejemplo las relacionadas con recursos. • Las políticas, normas, requisitos legales y regulatorios, y las obligaciones contractuales que afectan a la gestión del servicio. Los servicios sanitarios, por ejemplo, tendrán obligaciones legales distintas de las de los servicios de telecomunicaciones. • La estructura organizativa de la gestión del servicio: quién tiene autoridad sobre qué, las distintas responsabilidades y los roles identificados para este proceso. • Los diferentes recursos (humanos, técnicos, financieros, de información, etc.) que se necesitan para alcanzar los objetivos de gestión del servicio. • El enfoque que se va a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de servicios nuevos o modificados. Es decir, qué tipo de asociaciones o colaboraciones vamos utilizar y cómo se van a controlar. • Cómo se van a integrar los procesos propios de la gestión del servicio con las demás partes del SGS. • Cómo se va enfocar la gestión de riesgos y cuáles van a ser los criterios para la aceptación de riesgos. • Qué tecnología se va a usar para soportar el SGS, ya que es muy difícil gestionar los servicios sin herramientas, por sencillas que sean. • Qué se va a hacer para medir la eficacia del SGS y los servicios. Si es necesario crear planes para procesos específicos, estos deben basarse y alinearse con el plan de gestión del servicio. Tanto uno como otros se deben revisar a intervalos planificados y actualizarlos según se requiera.
4.7.3.3. Implementar y operar el SGS (Hacer)
www.full-ebook.com
Una vez definido el plan, hay que poner en marcha el SGS para que el diseño, puesta en producción, provisión y mejora de los servicios se haga según lo planificado. Para ello hay que asignar fondos al plan, nombrar a los distintos responsables definidos, gestionar los recursos disponibles, realizar el análisis de riesgos de los servicios y, en definitiva, gestionar los procesos de gestión del servicio, controlando su funcionamiento y rendimiento para poder realizar informes sobre su comportamiento. Este es uno de los momentos más difíciles, ya que hay que alinear y aunar voluntades y esfuerzos en una dirección que probablemente no todo el mundo tenga clara o comparta. Cualquier acción encaminada a aclarar dudas sobre el papel de cada uno en la tarea o sobre la finalidad de la misma, ayudará enormemente a conseguir que el proyecto empiece con decisión y energía.
4.7.3.4. Monitorizar y revisar el SGS (Verificar) 4.7.3.4.1. Generalidades Una parte fundamental de la gestión del servicio consiste en hacer un seguimiento del funcionamiento del SGS y de los servicios para detectar errores y problemas con tiempo para reaccionar o, al menos, para limitar el daño que pudieran ocasionar. Por otro lado, sin medir el funcionamiento y el rendimiento del SGS y los servicios no será posible saber si se alcanzan los objetivos que se persiguen. Los métodos a utilizar para las tareas de verificación del SGS incluyen las auditorías internas y las revisiones por la dirección. Con estas dos herramientas de verificación se pueden detectar la mayoría de los problemas relevantes que puede presentar un sistema de gestión a lo largo de todo su ciclo de vida. Es importante que se documenten los objetivos de las auditorías y las revisiones, para centrar la monitorización y revisión específicamente en la gestión de servicios. Con estas herramientas se evalúa la capacidad del SGS y de los servicios para cumplir con los requisitos establecidos y para alcanzar los objetivos marcados. Cuando se detecta que el sistema no es capaz de cumplir con ello, surgen las no conformidades, es decir, las carencias en cuanto al cumplimiento de los requisitos de la norma, del SGS o del servicio. Para poder comunicar y utilizar los resultados, tanto de las auditorías como de las revisiones por la dirección, estos deben ser documentados. Entre los resultados
www.full-ebook.com
tienen que estar las no conformidades identificadas, las observaciones y las acciones que se van a tomar. Estos resultados deben transmitirse a las partes interesadas: unidades organizativas, dirección, etc. 4.7.3.4.2. Auditoría interna Las auditorías internas se harán periódicamente, siguiendo un procedimiento documentado que recoja las distintas responsabilidades: quién planifica la auditoría, quién la realiza, quién informa de los resultados y quién mantiene los registros de auditoría, que son una información sensible para la organización. El objetivo de una auditoría interna es verificar que el SGS y los servicios cumplen con los requisitos que les afectan (los de la norma, los del propio SGS y los de los servicios), y que son ejecutados y mantenidos eficazmente. Tiene que haber un programa de auditoría que, en función del estado y la importancia de los procesos a auditar y los resultados de anteriores auditorías, recoja cuáles van a ser los criterios a seguir, el alcance, la frecuencia y los métodos de auditoría. Un factor muy importante en el éxito de una auditoría es la selección de los auditores, que debe garantizar que se realiza de manera objetiva e imparcial, por lo que un auditor nunca puede auditar su propio trabajo. Las no conformidades detectadas deben priorizarse, se les deben adjudicar responsables y deben ser comunicadas a todos los interesados, de manera que las acciones a realizar sobre ellas sean ejecutadas con presteza. Es responsabilidad del área auditada que se ejecuten las acciones necesarias para corregir las no conformidades y sus causas en los plazos definidos. Además, hay que verificar que las acciones han conseguido la corrección buscada y documentar todo lo que se ha hecho y los resultados obtenidos. 4.7.3.4.3. Revisión por la dirección Como parte importante del papel que la dirección asume en virtud de su compromiso con el SGS se encuentra la revisión por la dirección. Esta tarea consiste en revisar periódicamente el SGS y los servicios para comprobar que son adecuados y eficaces para la organización. En esta revisión se incluyen la evaluación de oportunidades de mejora y la necesidad de cambios en el SGS, incluida la política y objetivos de la gestión del servicio. La norma es bastante específica en cuanto a la información que se debe incluir, tanto de entrada como de salida, que como mínimo es:
www.full-ebook.com
• Entradas a la revisión: – Retroalimentación del cliente; es decir, comentarios, quejas, reclamaciones o felicitaciones que el cliente haya hecho. – Comportamiento y conformidad del servicio y de los procesos, si se han alcanzado los objetivos, si se han identificado no conformidades, etc. – Niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros. – Capacidades humanas y técnicas actuales y previstas. – Resultados de la evaluación y gestión de los riesgos. – Resultados de las auditorías y acciones derivadas de ellas. – Resultados y acciones de seguimiento de las revisiones de la gestión previas. – Estado de las acciones preventivas y correctivas. – Cambios que puedan afectar al SGS y a los servicios, tanto en el contexto externo (regulaciones nuevas, nuevas tecnologías) como en el interno (cambios en la organización, en los objetivos). – Oportunidades de mejora. • Salidas de la revisión: – Decisiones relacionadas con los recursos. – Acciones para la mejora de la eficacia del SGS. – Acciones para la mejora de los servicios. Debido a su importancia, es imprescindible mantener registros de las revisiones por la dirección, que habitualmente consisten en un documento con la información requerida que se analiza y aprueba en el comité de gestión, de lo cual quedará constancia en el acta de la reunión.
4.7.3.5. Mantener y mejorar el SGS (Actuar) 4.7.3.5.1. Generalidades Todo mecanismo necesita un mantenimiento y, en la medida de lo posible, una mejora para funcionar como el primer día o mejor. En el caso de un SGS, este mantenimiento vendrá determinado por una política de mejora continua del SGS y los servicios, la cual incluirá criterios para evaluar las oportunidades de mejora. Se definirá un procedimiento documentado que incluya las autoridades y
www.full-ebook.com
responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras. Se deben documentar las oportunidades de mejora, incluyendo las acciones correctivas. Es imprescindible corregir la causa de las no conformidades identificadas. Si solo se toman medidas para paliar los daños ocasionados, se corre el peligro de que vuelvan a ocurrir. La única solución para evitarlo es identificar el origen de la no conformidad y resolverlo, aunque a veces no es fácil ni lo primero ni lo segundo. También se tomarán acciones cuando, aun sin haber identificado una no conformidad, se identifica una fuente potencial de problemas. De esta manera se evitará que ocurran e impacten en el SGS o en los servicios. 4.7.3.5.2. Gestión de mejoras En el curso de la provisión de servicios se irán detectando oportunidades de mejora. Lo normal es que no todas se puedan aprovechar, por lo que es necesario definir cómo se van a escoger. Para ello se utilizarán los criterios de evaluación de oportunidades de mejora definidos en la política de mejora continua, para asignarles una prioridad y planificar su ejecución según esa prioridad. La gestión de las actividades de mejora incluye, como mínimo: • Establecer objetivos de mejora en uno o más de los aspectos de la calidad, como valor, capacidad, coste, productividad, utilización de recursos y reducción de riesgos. • Garantizar que las mejoras aprobadas se apliquen. • Revisar periódicamente, y siempre que haya eventos que lo requieran, las políticas de gestión del servicio, planes, procesos y procedimientos. • Medir las mejoras implementadas frente a los objetivos establecidos y, cuando no se hayan alcanzado, tomar las acciones necesarias para corregir la situación. • Realizar informes de las mejoras implementadas.
4.7.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.11) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 4.11. Síntesis del proceso Establecer y mejorar el SGS
www.full-ebook.com
Capítulo 5. Diseño y transición de servicios nuevos o modificados El SGS se compone de dos tipos de procesos. En los apartados anteriores se han detallado los relacionados con el propio sistema de gestión; en este capítulo y en los siguientes se explicarán los distintos procesos del modelo de mejora para la gestión de los servicios que propone la norma, que son catorce: • Diseño y transición de servicios nuevos o modificados. • Procesos de provisión del servicio: – Gestión del nivel de servicio. – Informes del servicio. – Gestión de la continuidad y disponibilidad del servicio. – Elaboración de presupuesto y contabilidad de los servicios. – Gestión de la capacidad. – Gestión de la seguridad de la información. • Procesos de relación: – Gestión de relaciones con el negocio. – Gestión de suministradores. • Procesos de resolución: – Gestión de incidencias y peticiones de servicio. – Gestión de problemas. • Procesos de control: – Gestión de la configuración. – Gestión de cambios. – Gestión de la entrega y despliegue. Para cada uno de estos procesos, a continuación se tratará de facilitar información necesaria y suficiente para su comprensión, y de facilitar una implantación adecuada en la organización.
5.1. Objetivo del proceso
www.full-ebook.com
El objetivo del proceso es definir, planificar y abordar nuevos servicios o modificar los existentes para satisfacer a los clientes y apoyar los objetivos de negocio.
5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 5.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 5.1. Modelo del proceso Planificación de servicios nuevos o modificados
5.3. Descripción del proceso Este proceso es una de las novedades de la última versión de la norma. Es el primero en el orden de aparición de la norma, y en una organización debería ser el primero a abordar antes de poner en marcha un servicio. Lo que ocurre en la mayoría de los casos es que, cuando empezamos un proyecto de implantación de servicios, ya hay servicios en producción. Este proceso comenzará, entonces, cuando se quieran hacer cambios significativos en esos servicios ya operativos y, lógicamente, cuando se pretenda crear alguno nuevo, aunque esto ocurrirá con menos frecuencia. Más adelante veremos el proceso de gestión de cambios en detalle, pero es
www.full-ebook.com
importante señalar aquí que este proceso llega hasta donde comienza el proceso de diseño y transición de servicios nuevos o modificados. Es decir, los cambios pequeños o poco significativos se gestionarán mediante el proceso de cambios; por ejemplo, cambiar el número de informes que se presentan al cliente. Pero si hay que crear un servicio nuevo o si el cambio es importante, hay que hacerlo mediante este proceso; por ejemplo, reestructurar completamente en formato, contenidos, frecuencia y diseño los informes que se presentan al cliente. Este proceso tiene también una relación importante con el de gestión de la configuración. En un servicio nuevo o con cambios importantes, habrá numerosos elementos de configuración afectados. Actualizar la información sobre estos elementos es tarea del proceso de gestión de la configuración. En la figura 5.1 se muestra una propuesta de modelo del proceso. Un nuevo servicio puede surgir porque el cliente lo solicita, y entonces es habitual que sea fácil decidir sobre los requisitos que debe cumplir el nuevo servicio: quiénes serán los usuarios, qué funcionalidades debe tener, tiempos de respuesta, etc. También puede surgir al descubrir nuevas necesidades de los clientes que no están cubiertas, o al proporcionar un proveedor nuevas prestaciones que permiten hacer cosas diferentes a las hechas hasta ahora. En estos casos puede ser más difícil delimitar los requisitos del nuevo servicio, y habrá que ser cuidadosos en la definición de unos requisitos equilibrados entre lo que idealmente se quiere ofrecer al cliente y lo que el cliente está dispuesto a pagar. Puede ser que un servicio aparentemente magnífico, con grandes prestaciones sobre una tecnología impresionante, no tenga cabida en los planes de nuestros clientes. Bien porque excede sus expectativas, bien porque no están dispuestos a desembolsar lo que cuesta, o porque no perciban los beneficios de esa opción sobre los de otras más baratas o más fáciles de asumir en su organización por motivos culturales, de organización, etc. Por ejemplo, una empresa que no esté preparada para asumir la subcontratación de su gestión de nóminas debido al peso en la organización del responsable de esta tarea. El proveedor del servicio deberá comprobar a lo largo de todo el proceso, y hasta la entrada en producción del nuevo servicio, que los requisitos definidos se cumplen, tomando las medidas oportunas cuando se detecten carencias o desviaciones.
5.3.1. Planificación de servicios nuevos o modificados Nunca es fácil especificar requisitos: es una tarea que en muchas ocasiones se
www.full-ebook.com
obvia. Incluso cuando se habla sobre ello y se llega a acuerdos, es muy raro que se documenten. De la inexactitud y la ambigüedad sobre los requisitos a abordar, derivan los problemas que ocurren después: los malentendidos, los desarrollos erróneos, las decepciones. Es imprescindible identificar los requisitos y documentarlos; de esta manera prevenimos este tipo de problemas y se puede planificar el desarrollo del nuevo servicio con criterio. Como en cualquier tipo de requisitos, lo más recomendable es tener un amplio consenso sobre ellos, de manera que tanto clientes como proveedores, usuarios y cualquier otra parte interesada hayan sido informados y hayan dado su aprobación, cuanto más formal mejor. La planificación para desarrollar un nuevo servicio o modificar uno existente pasa por definir el impacto que va a tener en la organización en diversos aspectos: • Financiero: cuánto va a costar, con qué presupuesto se cuenta, qué medios de financiación están disponibles. • Organizativo: qué equipo necesitamos, qué equipo tenemos, de qué estrategias disponemos para prestar el nuevo servicio con los medios que hay. • Técnico: qué conocimientos y herramientas son necesarios para desarrollar y operar el servicio, y con cuáles contamos en la organización. • De gestión: si el servicio está incluido o no en el sistema de gestión y, de no estarlo, si se va a incluir o quedará excluido. En esta planificación hay que incluir: • Roles y responsabilidades de las personas que van a realizar el diseño, desarrollo y transición de los servicios nuevos o modificados. • Tareas a realizar por la organización, por los proveedores y, si procede, por los clientes o usuarios. Hay muchas tareas en las que pueden ayudar los usuarios finales de los servicios si es posible su colaboración, siendo tal vez la más importante la de realizar pruebas de validación, ya que, si los usuarios dan su visto bueno al servicio antes de que entre en producción, nos evitaremos costosos ajustes tras su lanzamiento. Los proveedores pueden resultar críticos para el éxito de un servicio, por lo que es crucial: – Tener bien identificados los servicios que necesitamos de ellos para comprar lo que realmente hace falta
www.full-ebook.com
– Escoger al proveedor más capaz técnica y organizativamente de cumplir con nuestros requerimientos. – Tener identificados varios proveedores para un mismo servicio, para obtener el mejor precio y no depender exclusivamente de uno por si fallara en algún momento. – Mantener un control riguroso sobre el rendimiento de los proveedores para tomar medidas si dejan de ofrecernos el servicio que necesitamos. • Flujos de comunicación con todas las partes interesadas. • Recursos asignados al servicio: económicos, humanos, técnicos y de conocimiento. • Calendario de tareas. • Dependencias de otros servicios. • Pruebas que se van a realizar para comprobar que se cumple con los requisitos y que el servicio funciona según lo esperado. • Cuáles van a ser los criterios de aceptación de los servicios. • Resultados esperados del nuevo servicio o del modificado. Esto tiene que expresarse en términos medibles, para que sea posible verificar de manera clara si se han alcanzado o no. Por ejemplo, se puede definir que con el nuevo servicio queremos aumentar la cartera de clientes en un 10%. Para la norma, retirar un servicio es un cambio en el mismo y se regirá por lo dispuesto en este proceso. Lógicamente, en este caso la planificación tiene que recoger: • La(s) fecha(s) de la retirada del servicio y sus componentes. • El archivo que se va a realizar, qué y cómo se van a archivar los distintos elementos del servicio que lo requieran. • La eliminación o transferencia de los datos que se han usado o se han generado por el servicio. • La documentación que se va a guardar del servicio. • Los componentes del servicio, entre los que van a estar la infraestructura y las aplicaciones con licencias asociadas. Habrá componentes que se retiren definitivamente, como por ejemplo aplicaciones que hayan sido sustituidas por otras, y otros que seguirán en uso para otros servicios, como una plataforma de virtualización.
www.full-ebook.com
5.3.2. Diseño y desarrollo de servicios nuevos o modificados Los requisitos recogidos en la fase anterior se utilizarán para el desarrollo de los servicios. La norma es estricta en cuanto a la documentación que hay que tener, por lo que el diseño del servicio recogerá: • Roles y responsabilidades. • Actividades que ser van a llevar cabo. • Requisitos de recursos económicos, humanos y técnicos. • Tecnología que se va a utilizar. • Planes y políticas nuevas o modificadas para incorporar el servicio al sistema de gestión. • Contratos nuevos o modificados que se hayan firmado o se tengan que firmar para poder dar el nuevo servicio. • Cambios introducidos en el sistema de gestión, en particular en los acuerdos de nivel de servicio y en el catálogo de servicios. • Procedimientos, mediciones e información que se van a usar para dar soporte a la provisión del nuevo servicio. El diseño del servicio es un documento que describe lo que se pretende hacer y cómo lo vamos a hacer, detallando los resultados que esperamos de esas acciones. Cuando se diseña una máquina, los ingenieros dibujan un plano y anotan medidas, materiales, rangos de funcionamiento, etc. No podemos “dibujar” un servicio en un plano: lo hacemos mediante este documento de diseño, en el que vertemos qué va a hacer el servicio, qué “materiales” vamos a usar para fabricar el servicio y cómo se va a comportar.
5.3.3. Transición de servicios nuevos o modificados Antes de lanzar a producción los servicios que hemos desarrollado, hay que probarlos, de la misma manera que se prueba, por ejemplo, una aplicación. Esto facilita que el posterior proceso de entrega y despliegue se pueda realizar de manera simple y sin incidencias. Las pruebas tienen como finalidad: • Verificar que se cumplen los requisitos definidos; por ejemplo, que el servicio
www.full-ebook.com
puede operar 24×7. • Comprobar que se ha seguido el diseño; por ejemplo, que se ha firmado un contrato con un proveedor para la provisión de cierto servicio necesario. La manera de diseñar las pruebas consiste en usar los criterios de aceptación que se hayan definido en la fase de especificación de requisitos. Por ejemplo, si uno de los criterios de aceptación es que el servicio opere al menos 24×5, una de las pruebas será comprobar que efectivamente el servicio está operativo ese tiempo. Si todas las pruebas son superadas, cumpliéndose así los criterios de aceptación, se puede lanzar el servicio. Si no es así, el proveedor del servicio tendrá que actuar sobre aquellos aspectos que no se cumplen antes de poner el servicio en marcha. En cualquiera de los casos, hay que informar a todos los implicados del estado del servicio y del curso de acción que se va a tomar. En cuanto el servicio esté listo para pasar a producción, se pondrá en marcha el proceso de gestión de la entrega y despliegue, el cual se encarga de utilizar los servicios nuevos o modificados.
5.4. Síntesis del proceso La síntesis del proceso (véase la figura 5.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 5.2. Síntesis del proceso Creación de servicios
www.full-ebook.com
Capítulo 6. Procesos de provisión del servicio El objetivo de los procesos de provisión es regular las actividades necesarias para que los servicios cumplan los requerimientos pactados con el negocio, y por lo tanto sus procesos cobran una especial relevancia para dar cobertura a la provisión eficiente de servicios de TI con los niveles apropiados de calidad y seguridad, alineados con los objetivos del negocio, que cubran las necesidades actuales y –un aspecto clave– que sean capaces de evolucionar rápidamente para cubrir las necesidades futuras. Para cubrir este objetivo, la norma UNE-ISO/IEC 20000-1 ha definido para este capítulo seis procesos junto son sus requisitos a cumplir: • Proceso de gestión del nivel de servicio. • Proceso de generación de informes del servicio. • Proceso de gestión de la continuidad y disponibilidad del servicio. • Proceso de elaboración de presupuesto y contabilidad de los servicios. • Proceso de gestión de la capacidad. • Proceso de gestión de la seguridad de la información.
6.1 Proceso Gestión del nivel de servicio 6.1.1. Objetivo del proceso El objetivo del proceso es definir, acordar, registrar y gestionar los niveles de servicio.
6.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 6.1. Modelo del proceso Gestión del nivel de servicio
6.1.3. Descripción del proceso Cuando se habla de gestión de servicios, los conceptos de este proceso son los primeros que se mencionan, sobre todo los acuerdos de nivel de servicio o SLA (service level agreements). Es lógico que sea así, porque estos acuerdos de nivel de servicio son realmente el pivote sobre el que se soportan el resto de los procesos. Los convenios que se conciertan entre cliente y proveedor marcan las pautas de actuación para toda la gestión de servicios. Estos acuerdos establecen los parámetros que dibujan el servicio a prestar. No es lo mismo ofrecer un servicio a empresas que a clientes particulares: necesitamos una infraestructura diferente, distintos conocimientos, distinta plantilla, etc. Los acuerdos de nivel de servicio condicionan la gestión de los servicios. Cierto es que nadie vende cualquier cosa a cualquiera. En el caso de los servicios, esto es neurálgico debido a la ambigüedad con la que a veces se definen los servicios y a la habitual incapacidad de los clientes para expresar concretamente sus necesidades, lo que ocasiona que a veces cliente y proveedor se embarquen en proyectos que ni el primero quería en realidad ni el segundo es capaz de suministrar. Es en este punto donde encaja el catálogo de servicios.
www.full-ebook.com
Un proveedor de servicios tiene que poder plantear el compendio de los servicios que está preparado para ofrecer al mercado. De este modo, el cliente puede escoger entre diversas opciones la que más se ajusta a su contexto. Cada uno de los servicios incluidos en el catálogo puede tener uno o más acuerdos de nivel de servicio para uno o varios clientes. Puede haber servicios que se presten bajo un único SLA para todo tipo de clientes, servicios que tengan varios SLA prestablecidos para determinados segmentos de clientes, o un servicio que tenga un cliente con un SLA específico para el mismo. Cualquier combinación es posible. Un catálogo de servicios incluirá: • Las dependencias entre los servicios. • Los componentes del servicio. Se mantendrá alineado con los cambios en los servicios y en los SLA, para reflejar en todo momento las capacidades y competencias del proveedor. Un SLA incluirá: • Los objetivos del servicio. • Las cargas de trabajo. • Los parámetros de rendimiento. • Las excepciones, siempre de acuerdo con el cliente. Tanto el catálogo como los SLA deben revisarse periódicamente para actualizarlos y adaptarlos a la realidad. Cuando se da el caso de que alguno de los componentes del servicio lo suministra un grupo interno o es suministrado por el cliente, también debe realizarse un acuerdo formal y documentado entre ambas partes que defina las responsabilidades, tareas e interfaces de cada una de ellas. Es importante hacer un seguimiento periódico de los resultados y el rendimiento de los servicios, para detectar tendencias y comparar lo obtenido con los objetivos de servicio. Esta información pondrá al descubierto el origen de errores y fallos, así como de áreas de mejora. Con ella se pueden ir ajustando los servicios, el catálogo y los SLA a lo que los clientes realmente quieren y a lo que el proveedor de servicios está preparado para suministrar. Los resultados se deben registrar y revisar para identificar las causas de no conformidades y las oportunidades de mejora.
www.full-ebook.com
6.1.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.2. Síntesis del proceso Gestión del nivel de servicio
6.2. Proceso Informes del servicio 6.2.1. Objetivo del proceso El objetivo del proceso es generar en plazo los informes acordados, fiables y precisos, para informar de la toma de decisiones y para una comunicación eficaz.
6.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
6.2.3. Descripción del proceso Este proceso consiste en proporcionar al cliente información sobre los servicios suministrados. Por tanto, debe quedar documentado:
www.full-ebook.com
• El acuerdo al que se llegue entre el proveedor del servicio y las partes interesadas sobre los informes que se van a emitir. • El contenido de esos informes, así como: – Su identificación. – Propósito. – Audiencia. – Frecuencia. – Fuentes de los datos.
Figura 6.3. Modelo del proceso Informes de servicio El cliente debe recibir información suficiente sobre el servicio contratado para poder verificar que se están cumpliendo los acuerdos de nivel de servicio y los contratos, e incluso para decidir si sigue siendo adecuado a sus necesidades. Para producir estos informes, habrá que utilizar la información que generan los servicios y las propias actividades del sistema de gestión. La norma requiere que los informes incluyan como mínimo: • El comportamiento frente a los objetivos de servicio; es decir, supongamos que se ha establecido en el SLA una disponibilidad del servicio contratado de al menos un 98%. En el informe se debe incluir el dato real de disponibilidad de ese servicio. Si fuera inferior a la pactada (por ejemplo, 97,5%), el cliente
www.full-ebook.com
puede tener derecho a penalizar al proveedor por ello. Si es igual o superior, el proveedor puede justificar su correcta entrega del servicio. • La información relevante sobre eventos significativos, incluyendo al menos: – Las principales incidencias. – El despliegue de servicios nuevos o modificados. – Las invocaciones del plan de continuidad del servicio. En muchos casos el cliente no es el usuario de los servicios, o simplemente no tiene una visión completa del mismo. Por eso es necesario que sea informado de todo lo que ha acontecido durante el suministro del servicio, para que conozca de primera mano lo que ha pasado y cómo se ha actuado al respecto. Las características de carga de trabajo, incluyendo volúmenes y cambios periódicos en la carga. Los servicios no siempre se prestan en las mismas condiciones. Por ejemplo, un servicio de nóminas tendrá un tráfico intenso durante unos días al mes y casi nulo el resto del mismo; o un fabricante de juguetes utilizará una plataforma de gestión con intensidad durante unos meses al año y mucho menos el resto del tiempo. Lo habitual es que se establezcan unos rangos de actuación en el SLA, con unos máximos y unos mínimos de cargas de trabajo, de manera que el cliente esté atendido en todo momento y el proveedor pueda planificar sus recursos en función de esos parámetros. Es importante hacerle saber al cliente la carga de trabajo que ha sido gestionada, para así poner en valor el servicio suministrado. • Las no conformidades encontradas, frente a los requisitos del propio sistema de gestión o los requisitos del servicio (y sus causas identificadas). Al realizar auditorías o revisiones, o al investigar incidentes, se pueden identificar discrepancias entre los requisitos establecidos y la ejecución de los servicios. Estas no conformidades son una herramienta excelente para implementar mejoras, y en todo caso es preferible que el cliente sea informado por el proveedor del servicio de que hay un asunto que requiere tratamiento. • La información de tendencias: con el tiempo y la recogida periódica de datos, se observarán tendencias en el comportamiento de los servicios, en el comportamiento de los usuarios, en los resultados que se obtienen, etc. Estas tendencias dan información muy útil sobre mejoras que se pueden hacer en los servicios o en su gestión. • Las medidas de la satisfacción del cliente, las quejas del servicio y los resultados de los análisis de las medidas de satisfacción y de las quejas.
www.full-ebook.com
Aunque siempre parece que las quejas nos dan más información sobre lo que debemos hacer, los datos de satisfacción del cliente pueden ser cruciales para poner en valor características de los servicios que podrían no estar siendo valoradas en su justa medida. Por ejemplo, el cliente puede estar pagando por una disponibilidad alta, y sin embargo los usuarios están más contentos con la rapidez de respuesta ante incidentes que con la disponibilidad; o estar descontentos con la falta de rapidez de respuesta ante incidentes porque quien contrató el servicio no consideró importante este aspecto y contrató un nivel de servicio bajo en este aspecto. Esta información también es muy útil para el proveedor del servicio, que puede así tomar decisiones y acciones de acuerdo con las conclusiones de los informes del servicio. En la medida que esas acciones repercutan en otros, deben ser acordadas, si procede, y comunicadas a las partes interesadas.
6.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.4) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.4. Síntesis del proceso Informes del servicio
6.3. Proceso Gestión de continuidad y disponibilidad del servicio
www.full-ebook.com
6.3.1. Objetivo del proceso El objetivo del proceso es asegurar que los compromisos de continuidad y disponibilidad acordados con los clientes pueden cumplirse.
6.3.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.5) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 6.5. Modelo del proceso Gestión de continuidad y disponibilidad del servicio
6.3.3. Descripción del proceso Como proveedores, necesitamos que nuestros servicios estén disponibles en todo momento para nuestros clientes. Que esto suceda depende de factores diversos (infraestructura, comunicaciones, personal capacitado, etc.) y de que no ocurran eventos que interrumpan el servicio (caída de comunicaciones, fallos o cortes en el suministro eléctrico, ausencia de personal, etc.). Otro elemento a tener en cuenta es que no todos los clientes, y no todos los servicios, necesitan estar disponibles todo el tiempo. Cada cliente, en función de sus requisitos de negocio, establecerá la disponibilidad que necesita para los
www.full-ebook.com
servicios contratados. Por ejemplo, una asesoría necesitará servicios 5 días a la semana durante las 8 horas de la jornada laboral; una tienda online necesita servicios 24 horas al día los 7 días de la semana. Este proceso trata, por tanto, de que el proveedor proporcione al cliente la disponibilidad que este requiera, para lo que debe evaluar, gestionar y documentar los riesgos de la disponibilidad y la continuidad de los servicios. Cuando gestionamos que los servicios estén funcionando en un contexto normal de operación, hablamos de disponibilidad. Cuando sucede un evento extraordinario que interrumpe, generalmente de manera abrupta, un servicio, y tenemos que gestionarlo en este contexto, hablamos de continuidad. Una caída momentánea de la electricidad puede afectar a la disponibilidad del servicio. Si la caída dura varias horas, o incluso días, la continuidad del servicio puede verse afectada y serán otros los procesos a seguir para impedirlo o, al menos, para reducir el impacto de la parada. Gestionar la disponibilidad y la continuidad implica considerar: • Los planes de negocio relacionados con el servicio. • Los requisitos de los servicios. • Los SLA. • Los riesgos, para tomar las decisiones más apropiadas y que garanticen disponibilidad y continuidad dentro de los recursos disponibles. Los requisitos acordados y documentados entre el cliente y el proveedor relativos a la continuidad y la disponibilidad del servicio incluirán, como mínimo: • Derechos de acceso a los servicios: quiénes son, cuántos son y qué privilegios tendrán los que accedan a los servicios. • Tiempos de respuesta de los servicios: dentro de qué rango de tiempos se espera que los servicios respondan a una petición. • Disponibilidad extremo a extremo de los servicios (normalmente expresada en porcentaje del tiempo real disponible respecto al tiempo esperado): es el tiempo durante el cual el cliente tiene acceso al servicio. Pueden ser 8 horas al día o 24 al día, por ejemplo.
6.3.3.1. Planes de continuidad y disponibilidad Para gestionar correctamente estos dos aspectos es necesario definir, implantar y mantener uno o varios planes, tanto para la disponibilidad como para la
www.full-ebook.com
continuidad. Cada servicio debe tener un plan de disponibilidad y un plan de continuidad aunque, lógicamente, un mismo plan pueda ser compartido por varios servicios. Asimismo, un mismo plan puede contener las provisiones para continuidad y para disponibilidad. En resumen, tiene que estar documentado cómo se van a gestionar la continuidad y la disponibilidad para cada uno de los servicios, pero dependerá de cada organización en cuántos documentos se va a hacer. Un plan de continuidad del servicio debe incluir: • Los procedimientos a implementar en caso de una pérdida relevante del servicio, o referencias a ellos: es decir, cómo se va a reaccionar y qué se va a hacer si se da el caso de que el servicio se vea interrumpido. • Los objetivos de disponibilidad cuando se invoque el plan: hay que decidir cuánto tiempo está dispuesto el negocio a estar sin el servicio. Dependiendo de la criticidad del servicio puede ser una hora, un día, una semana, etc. Este criterio es importante porque marca el tiempo límite para que el servicio esté en marcha de nuevo, y por tanto las acciones que hay que tomar. • Los requisitos de recuperación: hay que valorar cuánta información necesita recuperar el negocio tras un desastre, o dicho de otro modo, cuánta está dispuesto a perder. Puede ser suficiente con 24 horas, o pueden ser cinco minutos. Este criterio define cómo debe ser la política de copias de seguridad. Si lo máximo que el negocio puede permitirse perder es la información de una hora de un servicio, las copias de seguridad deben realizarse cada hora para ese servicio. • El enfoque para el retorno a las condiciones de trabajo normales: cómo se va a llevar a cabo la vuelta a la normalidad tras un caso de desastre. • Lista de contactos con las personas con responsabilidades en la continuidad, de los principales proveedores y de los servicios de emergencia. • Datos de la infraestructura informática, hardware y software, para poder reemplazar o sustituir alguno de los elementos sin afectar al resto. Los planes deben: • Ser modificados formal y controladamente por el proceso de gestión de cambios. • Estar accesibles para todos aquellos con responsabilidades.
www.full-ebook.com
• Estar respaldados por copias de seguridad (al menos el plan de continuidad) en alguna ubicación segura y fuera de las instalaciones de la organización. Además, hay que valorar el impacto de las peticiones de cambio en los planes de continuidad del servicio y en los planes de disponibilidad.
6.3.3.2. Monitorización y prueba de la continuidad y de la disponibilidad del servicio Una vez definidos los planes, se deberá: • Hacer seguimiento de la disponibilidad de los servicios. • Comprobar qué resultados se obtienen. • Recoger datos sobre indisponibilidades no planificadas. • Documentar los datos obtenidos. • Analizar tendencias y verificar si los objetivos se cumplen o no, para tomar acciones si no se cumplen. Otra acción requerida es la realización periódica de pruebas de ambos planes para comprobar que se cumplen los requisitos establecidos. Las pruebas deben estar documentadas y deben contemplar: • Qué se pretende hacer. • Qué resultado se espera. • Qué se ha hecho realmente. • Cuáles son los resultados obtenidos. Cuando no se consigan los resultados esperados, se tomarán acciones para reconducir la situación. Lógicamente, si se hacen cambios importantes en cualquiera de ambos planes, es necesario probarlos de nuevo.
6.3.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.6) resume el proceso con un objetivo, aspectos claves (cuales son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 6.6. Síntesis del proceso Gestión de continuidad y disponibilidad del servicio
6.4. Proceso Elaboración de presupuesto y contabilidad de los servicios 6.4.1. Objetivo del proceso El objetivo del proceso es presupuestar y contabilizar los costes de la provisión del servicio.
6.4.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.7) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 6.7. Modelo del proceso Elaboración de presupuesto y contabilidad
6.4.3. Descripción del proceso De manera más o menos formal, toda organización tiene un método para presupuestar y contabilizar sus gastos. Lo que es menos habitual es que en los datos que se manejan se hayan desglosado aquellos que se refieren concretamente a cada uno de los servicios. La idea es que la gestión financiera de la organización tenga mecanismos de comunicación con la gestión de servicios, de manera que estén al tanto e incluyan en sus procesos la elaboración de presupuestos y la contabilidad de los servicios. Hay que puntualizar que se trata de un proceso puramente interno, que no incluye el cobro de los servicios. Por supuesto, la información generada por este proceso puede ser utilizada para ello, pero la norma solo se centra en calcular cuánto puede costar un servicio y cuánto cuesta realmente, para tomar decisiones que sean financieramente viables. Para ello, la norma propone que se defina una política de actuación y unos procedimientos que recojan: • Cómo se elaboran los presupuestos y se realiza la contabilidad de los componentes de los servicios, que son al menos: – Activos (hardware, software, licencias) utilizados para proveer los servicios. – Recursos compartidos.
www.full-ebook.com
– Costes de estructura. – Inversiones y gastos. – Servicios suministrados externamente. – Personal. – Instalaciones. • Cómo se distribuyen los costes indirectos y cómo se asignan los costes directos, para calcular el coste total de cada servicio. Esta parte es la que suele dar más problemas, dado que una misma infraestructura suele dar soporte a más de un servicio. Debe hacerse un esfuerzo por delimitar el uso que cada servicio hace de esa infraestructura, basándose en el diseño del servicio, para valorar la manera de distribuir los costes. Un servicio que haga un uso intensivo de memoria deberá tener mayor coste en este aspecto que otros que no necesiten tanta memoria. • Cómo se van a controlar y aprobar los presupuestos y la contabilidad, incluyendo cómo y cuándo se van a tomar acciones en caso de que surjan complicaciones. • Cómo se van a analizar los costes y el presupuesto para identificar desviaciones que deban ser corregidas. • Cómo se va a proporcionar información al proceso de gestión de cambios en cuanto al coste de las peticiones de cambio.
6.4.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.8) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 6.8. Síntesis del proceso Elaboración de presupuesto y contabilidad
6.5. Proceso Gestión de la capacidad 6.5.1. Objetivo del proceso El objetivo del proceso es asegurar que el proveedor del servicio tiene, en todo momento, la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente.
6.5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.9) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
6.5.3. Descripción del proceso Para gestionar correctamente la capacidad es imprescindible tener identificados, documentados y acordados los requisitos de nuestros clientes y servicios en cuanto a este aspecto. Tener más capacidad de la que realmente se necesita cuesta dinero y tiempo, sin aportar beneficios; y tener menos de la acordada va a ocasionar problemas e incumplimientos. Partiendo de estas premisas, el plan de capacidad se preparará de manera que se alcance y se mantenga la capacidad necesaria para suministrar adecuadamente los servicios.
www.full-ebook.com
Figura 6.9 Modelo del proceso Gestión de la capacidad Los cambios en este plan, como en el resto de documentos importantes del sistema de gestión, deben realizarse mediante el proceso de gestión de cambios. Un buen plan de capacidad incluirá: • La demanda actual y prevista para los servicios. Por ejemplo, si actualmente hay diez servicios que demandan, digamos, dos líneas de comunicación de 4 Gb y están previstos cinco más, tendremos que incluir en el plan una línea adicional para los nuevos servicios. • Los recursos (humanos, técnicos, económicos, de información) que son necesarios para tener la capacidad prevista. • El impacto potencial de cambios legales, regulatorios, contractuales u organizacionales. Aunque algunos son difíciles de prever, en la medida de lo posible deben analizarse cuando se tengan noticias de cambios. • El impacto potencial de nuevas tecnologías y nuevas técnicas. • El impacto esperado de los requisitos acordados de disponibilidad, continuidad de servicio y niveles de servicio. Puede darse el caso de que alguno de estos requisitos tenga impacto directo en las necesidades de capacidad; por ejemplo, si hay servicios que deben estar disponibles 7 días a la semana, necesitaremos personal a lo largo de los 7 días de la semana.
www.full-ebook.com
• Las escalas de tiempo, umbrales y costes de actualizaciones de la capacidad de los servicios. Siguiendo el ejemplo de las líneas de comunicación, debemos estimar en qué plazo necesitaremos la nueva línea, si vale de 4 Gb o hacen falta más, y el coste que supone. • Los procedimientos para permitir el análisis predictivo, o referencias a ellos. Monitorizar la capacidad real aporta mucha información que debe ser analizada para detectar tendencias, insuficiencias, excesos, etc., y poder adelantarse a potenciales dificultades, así como para ajustar la capacidad a la realidad de los servicios.
6.5.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.10) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.10. Síntesis del proceso Gestión de la capacidad
6.6. Proceso Gestión de la seguridad de la información 6.6.1. Objetivo del proceso El objetivo del proceso es gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio.
www.full-ebook.com
6.6.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.11) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 6.11. Modelo del proceso Gestión de la seguridad
6.6.3. Descripción del proceso La disponibilidad de la información es crítica para cualquier servicio. Este proceso es el que se encarga de asegurarla, lo que significa evitar daños a la disponibilidad, la integridad y la confidencialidad de la información del servicio. Para conseguirlo, los requisitos en este ámbito son: • Tener una política de seguridad de la información. • Implantar controles de seguridad para proteger la información. • Gestionar los cambios y las incidencias de seguridad de la información. Aunque la norma no lo exige, para definir e implantar este proceso es muy útil tomar como referencia la norma ISO/IEC 27001.
6.6.3.1. Política de seguridad de la información Para poder proteger la información adecuadamente, la organización tiene que
www.full-ebook.com
definir las líneas maestras que se deben seguir, y difundirlas de manera que todo el personal sea consciente de las normas y de sus responsabilidades. En seguridad deben evitarse las ambigüedades. Muchos comportamientos de riesgo se dan porque los implicados no son conscientes del peligro que entrañan para la organización y su información. No toda la información tiene el mismo grado de importancia ni necesita el mismo nivel de protección, y por otro lado las organizaciones cuentan con recursos limitados que hay que usar de manera eficiente; es decir, no es necesario ni prudente protegerlo todo en todo momento. La política se diseñará, por tanto, teniendo en cuenta los requisitos del negocio, que en este contexto de la gestión de servicios comprenden: • Los de los propios servicios. • Los contractuales. • Los de los acuerdos de nivel de servicio. • Los legales y regulatorios. Para que pueda ser efectiva, esta política será definida y aprobada por la dirección, que se encargará también de su publicación y difusión a todos los niveles de la organización y, cuando sea conveniente, a los clientes y proveedores. La política estará orientada a: • Garantizar que haya objetivos específicos para la seguridad de la información. • Controlar la gestión de los riesgos de la seguridad de la información determinando: – Cómo se va a llevar a cabo. – Qué evaluaciones de riesgo se van a hacer. – Qué criterios se van a seguir para asumir los riesgos que no puedan ser eliminados o mitigados. • Asegurar que se va a monitorizar la eficacia de la seguridad mediante: – Auditorías internas. – Acciones de mejora derivadas de los hallazgos de auditoría.
6.6.3.2. Controles de seguridad de la información Para proteger la información, toda organización tiene una serie de medidas
www.full-ebook.com
(controles) de orden físico (puertas, cerraduras), técnico (contraseñas, antivirus) u organizativo (permisos de acceso, políticas). Para avanzar en esta seguridad, hay que valorar si se tienen suficientes controles o si es necesario implantar algunos nuevos de manera que se consiga: • Preservar la confidencialidad, integridad, disponibilidad y accesibilidad de los activos de información. • Cumplir con los requisitos de la política de seguridad de la información. • Alcanzar los objetivos de gestión de la seguridad de la información. • Gestionar los riesgos relacionados con la seguridad de la información. Los controles deben estar documentados, de manera que se sepa: • Qué riesgos están reduciendo. • Cómo se operan. • Cómo se mantienen. Periódicamente hay que comprobar que los controles están siendo eficaces en la reducción del riesgo y, si no es así, hay que tomar acciones para corregir la situación. A la hora de implantar controles no se deben olvidar aquellos relacionados con terceras partes que acceden a nuestra información o sistemas. Hay que cubrir tanto al personal interno como al externo, por lo que deben definirse y acordarse controles de seguridad para estas terceras partes. Por ejemplo, un proveedor de servicios gestiona datos de carácter personal de un cliente que almacena en un proveedor externo. Las medidas de seguridad que el proveedor de servicios tendría que implantar en sus sistemas e instalaciones para tratar adecuadamente los datos del cliente deben ser trasladadas a su proveedor de almacenamiento.
6.6.3.3. Cambios e incidencias de seguridad de la información Una fuente de potenciales fallos/incidencias de seguridad viene dada por riesgos que no han sido evaluados en la identificación de los riesgos de seguridad de la información cuando se introduce un cambio en los sistemas. Es muy importante evaluar estos riesgos y determinar el impacto que el cambio pudiera tener en la política de seguridad y los controles existentes. Las incidencias son inevitables, pero un tratamiento competente reducirá los tiempos de resolución de las mismas y los costes asociados.
www.full-ebook.com
Las incidencias de seguridad de la información deben procesarse considerando su relevancia, y se deben contemplar como una categoría diferenciada del resto. De esta manera, los datos recogidos van a facilitar el análisis de los tipos de incidencias que ocurren, número de ellas, impacto que tuvieron, etc. De este análisis se extraerán conclusiones y lecciones para mejorar la seguridad de los servicios.
6.6.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.12) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.12. Síntesis del proceso Gestión de la seguridad
www.full-ebook.com
Capítulo 7. Procesos de relación El objetivo de los procesos de relación es regular las actividades necesarias para entender por parte del proveedor de servicios de TI las necesidades del cliente y su negocio. Además, se regulan las actividades necesarias para garantizar que los suministradores nos proveen servicios de calidad sin interrupciones. Para cubrir este objetivo, UNE-ISO/IEC 20000-1 ha definido dos procesos junto son sus requisitos a cumplir: • Proceso Gestión de relaciones con el negocio. • Proceso Gestión de suministradores.
7.1. Proceso Gestión de relaciones con el negocio 7.1.1. Objetivo del proceso El objetivo del proceso es establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio.
7.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 7.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
7.1.3. Descripción del proceso Teniendo en cuenta la importancia que, como proveedores, se suele dar en cualquier organización al objetivo de tener el mayor número de clientes que adquieran la mayor cantidad de servicios posible al precio que se les plantee, las relaciones con el cliente son un puntal fundamental para una buena gestión de los servicios. Si somos capaces de desarrollar y mantener una relación fluida con el cliente, sin malentendidos, en la que se sienta atendido e informado, atraeremos clientes, mantendremos los actuales y todos aceptarán de buen grado los precios fijados. La norma propone, en este punto, tener identificados y documentados quiénes son:
www.full-ebook.com
• Los clientes de los servicios. • Los usuarios de los servicios. • Las partes interesadas de los servicios. En algunos casos coincidirán los tres, pero no en todos, y es importante atender a las necesidades de todos ellos. Para que el proceso esté bien controlado, habrá un responsable de gestionar la relación con el cliente y su satisfacción. Este responsable deberá: • Establecer un mecanismo de comunicación con los clientes. Es fundamental que haya uno o incluso varios medios de comunicación con los clientes, de manera que siempre haya un canal abierto cuando se necesite. La comunicación debe poder hacerse en los dos sentidos, de modo que no solo el proveedor informe puntualmente de la marcha de los servicios o de novedades en los mismos, sino que los clientes puedan hacer llegar al proveedor sus impresiones sobre el funcionamiento de los servicios o sus nuevos requisitos. De esta manera, el proveedor tendrá información puntual para abordar cambios. • Establecer una revisión periódica, junto con los clientes, del comportamiento de los servicios. De esta manera se atiende al cliente en primera persona y se puede obtener información de primera mano sobre las percepciones del cliente. • Vigilar que los cambios en los requisitos del servicio se documenten y se gestionen mediante el proceso de gestión de cambios. Adicionalmente, si hay que introducir cambios en los SLA, se hará de manera coordinada con el proceso de gestión de nivel de servicio.
www.full-ebook.com
Figura 7.1. Modelo del proceso Gestión de relaciones con el negocio • Definir, de acuerdo con el cliente, qué es una reclamación sobre el servicio, cómo se pueden presentar y cómo van a ser tratadas. Hay que tener en cuenta que no es posible atender cualquier queja como una reclamación, puesto que es probable que se den muchas quejas, pero que sean fundadas, afecten de manera objetiva al servicio y sean claramente responsabilidad del proveedor, serán muchas menos. Gestionar una reclamación será un proceso formal durante el cual: – Se registrarán las reclamaciones. – Se investigarán las reclamaciones. – Se actuará sobre las reclamaciones. – Se informará al cliente en todo momento de lo que se está haciendo para resolver su reclamación o reclamaciones. Como parte de este proceso, se definirá un mecanismo de escalado para que el cliente pueda interponer su queja a instancias distintas de las habituales si estas no le satisficieran. • Medir la satisfacción del cliente de manera periódica: esta medición se debe hacer sobre muestras representativas de clientes, usuarios y servicios. Es de poca utilidad medir solo en un servicio, ya que puede dar una idea falsa sobre lo contentos o disgustados que están los clientes con nuestra cartera de
www.full-ebook.com
servicios. Del mismo modo, si los clientes no son los usuarios de los servicios, y solo medimos en uno de los grupos, podemos obtener resultados poco objetivos sobre la marcha del servicio. El cliente puede valorarlo positivamente porque el precio es bueno, pero los usuarios estar descontentos porque el servicio es lento. Los resultados tienen que ser útiles para, una vez estudiados, identificar oportunidades de mejora
7.1.4. Síntesis del proceso La síntesis del proceso (véase la figura 7.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 7.2. Síntesis del proceso Gestión de relaciones con el negocio
7.2. Proceso Gestión de suministradores 7.2.1. Objetivo del proceso El objetivo del proceso es gestionar los suministradores para garantizar la provisión sin interrupciones de servicios de calidad.
7.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 7.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 7.3. Modelo del proceso Gestión de suministradores
7.2.3. Descripción del proceso Es una práctica habitual que un proveedor de servicios utilice suministradores para realizar y operar algunas partes de los procesos de gestión del servicio. Por ejemplo, un proveedor de alojamiento que subcontrata alojamientos a un centro de respaldo, un proveedor de servicios de telefonía que subcontrata un call center… los ejemplos son innumerables. Como responsable de los servicios que se prestan al cliente, el proveedor de servicios debe encargarse de que la relación con el suministrador esté claramente definida y controlada, igual o mejor incluso que si el servicio contratado se realizara con medios internos. Para ello se designará por cada suministrador a una persona que sea responsable de gestionar: • La relación con el suministrador. • El contrato. • El comportamiento del suministrador. En la figura 7.4 se ilustra un ejemplo de las relaciones en una cadena de suministro. Para evitar ambigüedades y malentendidos, es imprescindible contar con un contrato formal que contendrá:
www.full-ebook.com
• El alcance de los servicios a ser prestados por el suministrador: qué y cómo se presta. • Las dependencias entre servicios, procesos y las partes: quién se encarga de qué. • Los requisitos que se le exigen al suministrador. • Los objetivos del servicio. • Las interfaces entre los procesos de gestión del servicio ejecutados por el suministrador y por terceros: cómo se van a comunicar los procesos internos y los contratados. • La integración de las actividades del suministrador dentro del SGS: cómo van a incorporarse las actividades al sistema de gestión. • Las características de la carga de trabajo, tales como volúmenes de datos a gestionar, número de usuarios a soportar, etc. • Las excepciones del contrato y cómo se manejan. • Las autoridades y responsabilidades cada una de las partes. • La información y comunicación que será facilitada por el suministrador. • Las bases para los cobros. • Las actividades y responsabilidades para la finalización normal o anticipada del contrato y la transferencia de los servicios a terceros.
Figura 7.4. Ejemplo de cadena de suministro Si el proveedor de servicios tiene acuerdos de nivel de servicio pactados con los clientes, los acordados con un suministrador deben estar siempre por encima para garantizar los compromisos con los clientes. El proveedor del servicio debe acordar con el suministrador niveles de servicio alineados para soportar los SLA entre el proveedor del servicio y el cliente.
www.full-ebook.com
Se debe comprobar periódicamente que los acuerdos se cumplen y que el suministrador cumple con su parte del contrato, para detectar desvíos o fallos y reconducir la situación si fuera necesario. Tiene que haber un procedimiento documentado para resolver los desacuerdos contractuales. Puede ocurrir que haya que realizar cambios en el contrato o en los acuerdos de nivel de servicio, y deben ser controlados según el proceso de gestión de cambios para hacerlos de manera controlada. En los casos en los que el suministrador principal subcontrate a su vez partes del servicio, el proveedor tiene que asegurarse de que se han documentado las responsabilidades de cada parte y de que hay suficiente control sobre la ejecución y rendimiento de los mismos, ya que un fallo por parte del subcontratista afectaría a los servicios del proveedor.
7.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 7.5) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 7.5. Síntesis del proceso Gestión de suministradores
www.full-ebook.com
Capítulo 8. Procesos de resolución El objetivo de los procesos de resolución es regular las actividades necesarias para restaurar un servicio lo antes posible, minimizando los efectos negativos sobre el negocio, y realizar acciones proactivas para evitar interrupciones en el servicio. Para cubrir este objetivo, la norma UNE-ISO/IEC 20000-1 ha definido dos procesos junto son sus requisitos a cumplir: • Proceso Gestión de incidencias y peticiones de servicio. • Proceso Gestión de problemas.
8.1. Proceso Gestión de incidencias y peticiones de servicio 8.1.1. Objetivo del proceso El objetivo del proceso es restaurar el servicio acordado tan pronto que sea posible o responder a peticiones de servicio.
8.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 8.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 8.1. Modelo del proceso Gestión de incidencias y peticiones
8.1.3. Descripción del proceso La gestión de incidencias y peticiones de servicio es una de las piedras angulares de toda la gestión de servicios. Una buena gestión de este aspecto es crucial para el éxito de cualquier iniciativa de mejora de gestión del servicio. Las incidencias y peticiones consumen típicamente una enorme cantidad de recursos y tiempo y son la principal fuente de insatisfacción del cliente. Por ello es fundamental establecer procedimientos que permitan resolverlas de manera eficiente y eficaz, y evitar que, al menos algunas, lleguen a ocurrir. Lo que propone la norma para conseguir dominar este aspecto de la gestión es definir un procedimiento documentado para gestionarlas a través de todo su ciclo de vida, desde que se tiene noticia de su existencia hasta su cierre. El procedimiento tiene que incluir el modo de proceder para: • Registrar las incidencias y peticiones: no tiene que ser un registro sofisticado, pero sí sencillo de usar y que permita localizar y recuperar información fácilmente. • Asignarles una prioridad: la prioridad suele venir dada por el impacto y la urgencia de la petición o la incidencia. • Clasificarlas: la clasificación dependerá mucho del servicio que se esté prestando; puede hacerse en función de tecnologías en uso, equipos, grupos de
www.full-ebook.com
usuarios, etc. • Actualizar los registros de incidencias y peticiones: para que sean útiles y se pueda obtener información para la gestión, estos registros tienen que estar permanentemente actualizados. Registrar las incidencias creará una base de datos de conocimiento con los métodos, herramientas y actividades que se han llevado a cabo para resolver las distintas incidencias y peticiones. • Escalar: es decir, establecer qué sucede si el receptor de la incidencia o la petición no está capacitado para resolverla, a quién se transmitirá la información y se asignará la responsabilidad de la resolución. El escalado puede ser de diversos tipos: – Funcional: el equipo de Windows se encarga de las peticiones e incidencias de este sistema operativo, mientras que el equipo de Linux se ocupa de las de este. – Jerárquica: un técnico resuelve los problemas o peticiones técnicas pero, si implican un gasto, se escalará al nivel necesario con autorización para aprobarlo. Pueden darse los dos tipos de escalado en una misma incidencia. También puede darse el caso de que haya que pasarla al propio cliente para que ejecute o autorice algún paso. Por eso es importante tenerlo bien definido, para que no se pierda tiempo en decidir a quién se le puede pasar un asunto. • Resolverlas: evidentemente, el objetivo de gestionar las incidencias es restaurar el servicio lo antes posible; y el de las peticiones, atenderlas rápidamente. Las actividades que se realizan para cumplir con estos objetivos son una información valiosa que puede reducir mucho los tiempos de resolución, e identifican problemas que así se pueden solucionar definitivamente evitando incidencias en el futuro. Los registros de estas acciones son esenciales para dar soporte a quienes se encargan de atender las incidencias y peticiones, ya que pueden recuperar datos e información sobre cómo se actuó en casos similares anteriores. • Cerrarlas: las incidencias solo se cierran cuando el cliente da su visto bueno a la solución. No es suficiente con haber restablecido el servicio o haber satisfecho la petición; tiene que tener la conformidad del cliente. Esto es beneficioso para ambas partes, porque el cliente siente que se le ha atendido y que su opinión cuenta, y el proveedor tiene la garantía de que el cliente está satisfecho con el servicio recibido.
www.full-ebook.com
8.1.3.1. Base de datos de conocimiento El personal que participa en este proceso debe tener acceso a toda la información que le pueda ser de utilidad para gestionar las incidencias y peticiones, para poder usarla en solucionar el asunto de la manera más rápida y eficaz posible. Esta información incluye los propios procedimientos de gestión de incidencias y peticiones de servicio, datos de errores conocidos (fallos cuya solución definitiva aún no se ha encontrado, aunque ya se han tomado medidas para evitar de momento que afecten al servicio), soluciones de problemas y la CMDB (la base de datos de la configuración, en la que se almacena la información sobre los elementos del servicio; este proceso se tratará en el apartado 9.1). También puede y debe usarse la información proporcionada por la gestión de entregas (véase el apartado 9.3). Es muy habitual que el lanzamiento de un nuevo servicio o una nueva versión origine una cascada de llamadas a los centros de atención al usuario, el cual ve de repente que sus equipos y aplicaciones no funcionan como esperaba, por lo que es importante que el personal que deba atender estas llamadas esté al tanto de que se ha hecho una nueva entrega y de lo que puede ocurrir con ella. Hay un caso especial de incidencias, las graves, cuya definición se acordará con el cliente y se documentará. Este tipo de incidencias se clasificarán y gestionarán según un procedimiento documentado. Es fundamental que se mantenga al cliente informado en todo momento sobre el estado en el que se encuentra su incidencia o petición de servicio. Cuando se estime que los objetivos de servicio (acuerdos de nivel de servicio) no se pueden alcanzar, el proveedor del servicio debe informar al cliente y a las partes interesadas de este hecho y escalar el asunto de acuerdo con el procedimiento. Impedir que ocurran incidentes es imposible pero, en la medida en la que el cliente perciba que está siendo atendido y escuchado, seguirá apreciando que cuenta con un servicio de calidad. En muchos casos, la principal fuente de quejas y preocupaciones de los clientes proviene de una mala atención ante una incidencia o petición, por lo que todo el esfuerzo que se ponga en este proceso redundará rápidamente en la satisfacción del cliente. Por último, las incidencias de seguridad deberán ser gestionadas por este proceso de gestión de incidencias.
8.1.4. Síntesis del proceso
www.full-ebook.com
La síntesis del proceso (véase la figura 8.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 8.2. Síntesis del proceso Gestión de incidencias y peticiones
8.2. Proceso Gestión de problemas 8.2.1. Objetivo del proceso El objetivo del proceso es minimizar los efectos negativos sobre el negocio de interrupciones del servicio, mediante la identificación y el análisis proactivos de la causa de los incidentes y la gestión de los problemas para su cierre.
8.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 8.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
8.2.3. Descripción del proceso Los problemas tienen la suficiente entidad en la gestión de servicios como para requerir un procedimiento documentado que sirva para:
www.full-ebook.com
• Identificarlos. • Analizarlos para descubrir las causas. • Tomar acciones para eliminarlos o al menos para minimizarlos. • Evitar el impacto de las incidencias y los problemas.
Figura 8.3. Modelo del proceso Gestión de problemas El procedimiento para la gestión de los problemas tiene muchos paralelismos con el de la gestión de incidencias, y debe aplicarse a todos ellos, por lo que tendrá que definir: • Cómo se identifican los problemas. • Cómo se va a realizar el registro. • Los criterios para asignar una prioridad. • Los criterios para clasificarlos. • Cómo se van a actualizar los registros. • Cuáles son los procesos de escalado. • Los métodos de resolución. • Cómo se va a realizar el cierre. El proveedor del servicio debe analizar los datos y tendencias sobre incidencias y problemas, porque esta información puede ayudar a identificar la causa raíz del
www.full-ebook.com
problema y, por tanto, a definir mejor las acciones para eliminarla. En muchas ocasiones ocurrirá que, aun identificada la causa, no es posible resolver el problema de manera permanente, por lo que las acciones a tomar estarán encaminadas a reducir o eliminar el impacto producido sobre los servicios. Esto es lo que se conoce como errores conocidos, y como tales deben ser registrados. Para comprobar que los problemas se han cerrado de manera eficaz hay que monitorizar, revisar e informar sobre la evolución de las acciones tomadas. Cuando la solución de un problema pasa por realizar cambios en un elemento de configuración (CI, por las siglas en inglés de Configuration Item) en la base de datos de configuración (CMDB, Configuration Management Database), hay que generar una petición de cambio (RfC, Request for Change). Se debe facilitar al proceso de gestión de incidencias y peticiones de servicio la información actualizada sobre errores conocidos y soluciones de problemas (base de datos de conocimiento).
8.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 8.4) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 8.4. Síntesis del proceso Gestión de problemas
www.full-ebook.com
Capítulo 9. Procesos de control El objetivo de los procesos de control es regular las actividades necesarias para controlar la configuración, los cambios y la puesta en producción (entorno real) de la infraestructura sobre la que se apoyan los servicios. Para cubrir este objetivo, UNE-ISO/IEC 20000-1 ha definido tres procesos junto son sus requisitos a cumplir: • Proceso Gestión de la configuración. • Proceso Gestión de cambios. • Proceso Gestión de la entrega y despliegue.
9.1. Proceso Gestión de la configuración 9.1.1. Objetivo del proceso El objetivo del proceso es definir y controlar los componentes del servicio y de la infraestructura, y mantener la información precisa sobre la configuración.
9.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 9.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 9.1. Modelo del proceso Gestión de la configuración
9.1.3. Descripción del proceso Para una correcta gestión de la configuración de un servicio es necesario que se identifiquen de manera única todos y cada uno de los elementos de configuración (CI) y que toda la información relacionada con ellos quede registrada en una base de datos de gestión de la configuración (CMDB). Es crítico que esta base de datos esté permanentemente actualizada y gestionada correctamente para que los datos sean fiables y precisos y los accesos estén controlados. Debe existir una definición documentada de cada tipo de CI. La información registrada para cada CI debe asegurar el control eficaz e incluir al menos: • Descripción del CI. • Relación(es) entre el CI y otros CI. • Relación(es) entre el CI y los componentes del servicio. • Estado. • Versión. • Ubicación. • Peticiones de cambio asociadas. • Problemas y errores conocidos asociados.
www.full-ebook.com
El procedimiento para llevar a cabo la gestión debe documentar cómo se van a realizar el registro, control y seguimiento de las versiones de los CI. La CMDB es uno de los pilares sobre los que se asienta la gestión de servicios, ya que es la herramienta necesaria para mantener la integridad de los servicios y sus componentes. Para que esto ocurra, la CMDB debe ser auditada regularmente para detectar errores y deficiencias y corregirlas lo antes posible. Además, los cambios en los CI tienen que hacerse de manera controlada para garantizar la integridad de los datos y de los propios CI. La información de este proceso debe apoyar al de gestión de cambios para soportar la evaluación de las peticiones de cambio. Aspectos importantes en la gestión de este proceso son: • Tomar una línea de base de configuración de los CI afectados antes del despliegue de una entrega en el entorno de producción. De esta manera se tiene una “foto” del servicio con la que trabajar. • Almacenar copias maestras de los CI registrados en la CMDB en una ubicación física o digital segura. Estas copias incluirán como mínimo la documentación relacionada, la ubicación del CI, información de licencias, el software y, en su caso, las imágenes de la configuración del hardware. • Debe existir una interfaz definida entre el proceso Gestión de la configuración y el proceso Gestión de activos financieros (véase el apartado 6.4).
9.1.4. Síntesis del proceso La síntesis del proceso (véase la figura 9.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 9.2. Síntesis del proceso Gestión de la configuración
9.2. Proceso Gestión de cambios 9.2.1. Objetivo del proceso El objetivo del proceso es asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de manera controlada.
9.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 9.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 9.3. Modelo del proceso Gestión de cambios
9.2.3. Descripción del proceso La gestión de cambios es un proceso crítico: los cambios sin control son fuente de innumerables incidencias y errores. Es primordial tomar control sobre este asunto para que la gestión del servicio pueda fructificar realmente. En primer lugar, se establecerá una política de gestión de cambios que defina: • Los CI que están bajo el control de la gestión de cambios: a veces no resulta obvio que elementos como los SLA se deban aplicar también a la gestión de cambios; pero evitan muchos conflictos, así que hay que incluir cualquier elemento cuyo cambio origine un impacto en el servicio en un momento u otro. • Los criterios para determinar los cambios con el potencial de tener un gran impacto en los servicios o en el cliente. • Habrá cambios menores, como por ejemplo un parche en una aplicación; y habrá otros cambios que tengan más repercusión, como por ejemplo un cambio en un SLA. Para ajustar el control a lo estrictamente necesario y así utilizar solo los recursos necesarios, se deben establecer distintos modos de actuación para cada categoría de cambios. En general, se suelen distinguir tres tipos de cambios: – Cambios estándar: que no necesitan petición y suelen estar preautorizados, debido a que forman parte de la operativa cotidiana; tienen poco riesgo y se
www.full-ebook.com
ejecutan siguiendo un procedimiento o una instrucción de trabajo; por ejemplo, el cambio de un teclado que se ha estropeado. – Cambios de emergencia: uno que debe ser implementado inmediatamente, por ejemplo tras una situación de desastre, por lo que algunos pasos se obviarán para ejecutarlo rápidamente en un primer momento. Lo que constituye un cambio de emergencia debe ser acordado y documentado entre el proveedor del servicio y el cliente. – Cambio normal: cualquier cambio en el servicio o en alguno de sus elementos que no es un cambio estándar ni de emergencia. El ciclo de vida típico de un cambio normal se muestra en la figura 9.4. El procedimiento de gestión de cambios contemplará todas estas fases, no solo para los cambios normales, sino para el resto de los tipos de cambios: • Crear petición de cambio (RfC): solo es necesario para los cambios normales. Puede ser más o menos formal según los recursos disponibles, pero siempre es necesario saber quién y qué se está pidiendo, y las razones para ello. • Registrar petición de cambio: tanto si llegan a ser aprobados como si no, es necesario contar con el registro de peticiones, que es útil entre otras cosas para detectar tendencias y oportunidades de mejora. • Analizar y evaluar el cambio: tiene que haber un responsable del proceso o un comité de gestión de cambios que analice la petición y valore si es posible atenderla o hay que rechazarla, ya sea por motivos técnicos, económicos o contractuales. Si el cambio solicitado va a tener un gran impacto en los servicios o en el cliente, se debe gestionar mediante el proceso de diseño y transición de servicios nuevos o modificados. La eliminación de un servicio o su transferencia a un tercero se deben considerar como cambios con un alto impacto potencial.
www.full-ebook.com
Figura 9.4. Ciclo de vida de la gestión de un cambio normal • Autorizar la ejecución y prueba del cambio: si el cambio se considera posible y viable, se aprobará; si no, se informará al peticionario del rechazo de su petición. La decisión se basará en los riesgos, los impactos potenciales a los servicios y al cliente, los requisitos del servicio, los beneficios del negocio, la viabilidad técnica y el impacto financiero. • Coordinar la ejecución y prueba del cambio: hay que definir cómo se va a llevar a cabo el cambio, planificar el calendario, ejecutar esas acciones y comprobar que el cambio no afecta de forma imprevista a otros elementos de configuración o al servicio. • Autorizar el despliegue del cambio: cuando sea factible poner el cambio en marcha, se dará la autorización para ello.
www.full-ebook.com
• Coordinar el despliegue del cambio: hay que informar a las partes interesadas o afectadas por el cambio de que este se va a llevar a cabo y de lo que deben esperar. Hay que tener definido un plan de marcha atrás (backout) por si el cambio fracasa. • Revisar y cerrar el cambio: finalizado el despliegue, hay que actualizar la CMDB, estudiar la eficacia de los cambios y tomar acciones si es necesario.
9.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 9.5) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 9.5. Síntesis del proceso Gestión de cambios
9.3. Proceso Gestión de la entrega y despliegue 9.3.1. Objetivo del proceso El objetivo del proceso es poner en operación un nuevo servicio o un conjunto de cambios que tengan entidad propia.
9.3.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 9.6) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso,
www.full-ebook.com
salidas (registros y evidencias) y puntos de control del proceso.
Figura 9.6. Modelo del proceso Gestión de la entrega y despliegue
9.3.3. Descripción del proceso En este proceso se suelen distinguir cuatro fases: • Planificación: los planes tienen que estar alineados con la política de entregas, que define: – La frecuencia de entrega para cada servicio. – Los tipos de entrega para cada servicio. En muchos casos será necesario incluir al cliente en la planificación de la implantación de los servicios nuevos o modificados, o de entregas importantes, y coordinarse con la gestión de cambios para entregas que impliquen cierre de algún cambio, errores conocidos o problemas. En la planificación hay que incluir: – Alcance de la entrega. – Servicios y elementos afectados. – Fechas, entregables. – Métodos de implementación. • Construcción y pruebas: para el desarrollo y las pruebas de las entregas es
www.full-ebook.com
necesario contar con un entorno controlado en el que trabajar, para evitar interferencias con los servicios en operación. Se deben haber definido previamente los criterios de aceptación de las entregas, bien internamente o con el cliente u otras partes interesadas. Estos criterios deben abarcar también las entregas de emergencia: – Qué se considera una entrega de emergencia. – Quién la puede autorizar. – Quién será responsable de su ejecución. Una vez construida la entrega, se debe chequear que cumple con los criterios de aceptación y, si no es así, tomar las medidas adecuadas para corregirla. • Despliegue: tras superar las pruebas, es el momento de ensamblar la entrega: – Crear la documentación asociada. – Diseñar las actividades necesarias para el caso de que haga falta revertir el despliegue. – Informar a los afectados de que se va a proceder a desplegar la entrega. Hay que ser cuidadosos al escoger el lugar y el momento para evitar afectar a la integridad del hardware, software o cualquier otro elemento del servicio durante el despliegue. Si el despliegue falla, se revertirá o reparará según sea oportuno. En caso de fallo es necesario revisar lo ocurrido y tomar acciones para evitar que vuelva a ocurrir. • Revisión y cierre (PIR, Post Implementation Review): se debe estudiar y medir lo que haya ocurrido durante y después del despliegue, en particular los incidentes ocurridos, para evaluar el impacto de la entrega en el cliente y en los servicios. Los resultados y conclusiones extraídos de los análisis servirán para identificar oportunidades de mejora. Este proceso aporta información al proceso Gestión de incidencias y peticiones de servicio sobre: • El éxito o el fracaso de las entregas. • Las fechas de futuras entregas. Este proceso aporta información al proceso Gestión de cambios sobre: • El éxito o el fracaso de las entregas.
www.full-ebook.com
• Las fechas de futuras entregas. • El impacto de las peticiones de cambio para las entregas y los planes de despliegue.
9.3.4. Síntesis del proceso La síntesis del proceso (véase la figura 9.7) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 9.7. Síntesis del proceso Gestión de la entrega y despliegue
www.full-ebook.com
Capítulo 10. Caso práctico. Implantación de un SGS En este capítulo se plantean ejemplos y sugerencias para la definición del SGS y su implantación. Se han detallado ejemplos de estructura y contenidos para los principales documentos que componen un SGS típico, con el objetivo de ayudar a definir su propio SGS a quienes aborden por primera vez un proyecto de este tipo.
10.1. Plan de implantación Una planificación típica para un proyecto a seis meses puede ser similar a la mostrada en la tabla 10.1. La primera tarea es recoger información sobre lo que ya se está haciendo en la organización en cuanto a la gestión de servicios. Poco o mucho, mejor o peor, un proveedor de servicios está gestionando los servicios que suministra. Todo ese conocimiento e información deben formar parte del SGS. Tras esta recopilación de información, se puede comenzar a documentar el SGS, empezando por la política y el manual, que recogerán las directrices sobre las que se establecerá el SGS. Aquí es muy importante definir claramente los objetivos que se persiguen, ya que darán la pauta para muchas de las actuaciones. Salvo que la organización tenga ya implantado otro sistema de gestión, hay que documentar los procesos de gestión. Si ya hay otro sistema de gestión, se revisarán los procedimientos existentes para que incluyan los requisitos del SGS. Por ejemplo, si hubiera un sistema de gestión de la calidad, el plan de formación estará basado en las necesidades de competencia en calidad, y ahora habrá que añadir las de competencia en gestión del servicio. Una vez definidos los procedimientos, el comité se reunirá para aprobar y lanzar el SGS. Desde ese momento se comenzará a trabajar de acuerdo con lo definido en dicho SGS, produciendo las evidencias correspondientes para demostrar que se está cumpliendo con lo aprobado. En esta fase tendrá lugar la formación, para informar y concienciar a todos los implicados sobre los cambios que puedan producirse en los modos de trabajo y los beneficios que se espera del esfuerzo emprendido.
www.full-ebook.com
Tras un periodo de adaptación se llevará a cabo la auditoría interna, que dará la medida de la implantación real de los procedimientos y buenas prácticas definidas. Con todos los datos e información recogida de la implantación y de la auditoría se prepara el informe de revisión del SGS por la dirección. Esta revisión se aprobará en una nueva reunión del comité, y la organización estará entonces preparada para afrontar un proceso de certificación. Tabla 10.1. Planificación de implantación Mes Tarea 1
2
3
4
5
6
1. Evaluación del estado actual 2. Implantar los requisitos generales 2.1. Manual y política 2.2. Procedimientos de gestión 3. Implantar los requisitos de gestión del servicio 4. Implantar el SGS 4.1. Aprobación del SGS 4.2. Registros 4.3. Formación 4.4. Auditoría interna 4.5. Revisión del sistema 5. Auditoría de certificación
10.2. Implantar los requisitos generales Los requisitos generales se cubren mediante: • Documentación de la información requerida por la norma en el capítulo 4, que
www.full-ebook.com
podemos recoger en un único documento, el manual de gestión. De esta manera simplificamos la generación y mantenimiento de toda esa información: solo hay un lugar al que acudir para encontrarla o para modificar lo que sea necesario. Asociados al manual estarán el plan de gestión del servicio y el plan de mejora del servicio. • Procedimientos de gestión. Hay una serie de requisitos compartidos por cualquier sistema de gestión ISO, que en la norma que nos ocupa se detallan en el capítulo 4. Estos requisitos se pueden cumplir con la definición e implantación de los procedimientos mostrados en la tabla 10.2. Tabla 10.2. Procedimientos de gestión Procedimiento
Documentación
Plantillas y registros asociados
Formato de procedimiento Listado de documentación en vigor
Comité de gestión
Acta de reunión Revisión del sistema Cuadro de mando
Auditorías internas Plan de auditorías Informe de auditoría Recursos humanos Perfiles profesionales Plan de formación Registros de formación Mejora continua
Acciones preventivas y correctivas
10.2.1. Manual 1 Objeto El manual pretende hacer una descripción de la organización, la estructura organizativa de la misma y la documentación que ha sido elaborada para cumplir con los requisitos establecidos por la Norma UNE-ISO/IEC 20000-1 de manera
www.full-ebook.com
que se pueda mejorar continuamente la eficacia y la eficiencia de los departamentos de sistemas y desarrollo en el suministro de servicios a los clientes. El contenido del manual sirve como marco de referencia para el desarrollo de las actividades, acciones y decisiones que se tomen en la organización y que tengan relación directa o indirecta con la gestión del servicio.
2 Presentación de la organización Debe registrarse: • Ubicación geográfica. • Organigrama. • Mapa de red. 2.1 Objetivos de la gestión del servicio Los principales objetivos de la organización en cuanto a la gestión del servicio son: • Asegurar la calidad de nuestros productos y servicios para que sean atractivos para los clientes presentes y futuros. • Entrar en un proceso de mejora continua que nos haga más eficientes y eficaces. • Dar servicios más completos. • Aumentar nuestra cartera de clientes. 2.2 Política de gestión del servicio de TI Principios que rigen la gestión del servicio en la organización, como por ejemplo: • Prestar servicios de TI alineados con las necesidades de clientes y usuarios. • El cumplimiento de los requisitos de negocio, los legales y los reglamentarios • Mejorar la eficacia y eficiencia de los procesos internos de prestación de los servicios de TI.
3 Referencias normativas Principales normas de referencia utilizadas, como por ejemplo: • Norma UNE-UNE-ISO/IEC 20000-1 Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS). Esta norma proporciona el marco para realizar y gestionar de manera efectiva
www.full-ebook.com
el suministro de servicios que cumplan con los requisitos del cliente y los del negocio. • Norma UNE-ISO/IEC 20000-2 Tecnología de la información. Gestión del servicio. Parte 2: Directrices para la aplicación del Sistema de Gestión del Servicio (SGS). Esta parte de la norma comprende una guía y recomendaciones para su implantación, por lo que debe ser utilizada conjuntamente con la parte 1.
4 Términos y definiciones Términos que van a usarse en el sistema de gestión. Pueden usarse los del glosario.
5 Requisitos generales del sistema de gestión del servicio 5.1 Responsabilidades de la dirección Identificar las responsabilidades de la dirección. En general, podemos señalar como principales las siguientes: • Establecer la política, objetivos y planes de la gestión del servicio. • Asegurar la disponibilidad, competencia y adecuación de los recursos necesarios para alcanzar dichos objetivos. • Nombrar un responsable del SGSTI que se encargue de gestionar el sistema y vele por el desarrollo, mantenimiento y mejora del mismo. • Llevar a cabo un análisis de las necesidades existentes en torno a la prestación de servicios de TI y desarrollar los servicios necesarios para dar una adecuada respuesta a dichas necesidades. • Destinar los recursos y medios necesarios para desarrollar los servicios con los niveles de calidad exigidos por sus destinatarios, manteniendo un adecuado balance entre coste y beneficio. 5.2 Responsable de SGSTI Entre sus responsabilidades se encuentra la de mantener el proceso de mejora continua del sistema, trabajando junto con los responsables de los procesos y de los servicios. Con respecto a las actividades de gestión, debe planificar las auditorías internas y llevar la gestión de los incidentes relativos a los servicios que gestiona. Formará parte del comité de gestión. 5.3 Gobierno de los procesos operados por terceros
www.full-ebook.com
Esta sección identificará aquellos procesos que sean realizados por terceros, y el procedimiento que se utilizará para controlarlos. 5.4 Gestión de la documentación El sistema de gestión del servicio de TI se compone de un sistema documental organizado como a continuación se indica: • Manual de gestión: en el que se hace referencia a los procedimientos del sistema y a la estructura documental utilizada. • Procedimientos: son los documentos que describen detalladamente cada uno de los elementos del sistema. • Instrucciones técnicas: definen las pautas de actuación concreta y específica de un puesto de trabajo. A ellas se hace referencia en los procedimientos. • Formatos: constituyen el soporte de la documentación del sistema y de los registros que sirven a su vez para constatar el correcto funcionamiento del sistema. • Registros: documentación generada por los procesos, como: – Planes de gestión del servicio. – Acuerdos de nivel de servicio. Toda la documentación debe estar sometida a un proceso controlado de aprobación, revisión, distribución y tiempo de retención. 5.5 Gestión de recursos Describir cómo se estiman y planifican las necesidades de recursos tanto técnicos como humanos, financieros y de información para establecer, implantar y mantener el sistema de gestión y los servicios, mejorando continuamente su efectividad. La planificación se suele documentar en el plan de gestión y en el plan de formación. 5.6 Establecer el SGS Cualquier sistema de gestión ISO está basado en procesos y en el ciclo de mejora continua (PHVA). El SGS de la organización, por tanto, estará basado en los procesos que define la norma, los procedimientos desarrollados para implantar estos procesos, y los métodos para refinar y mejorar los procesos, que serán los definidos en los procedimientos generales del sistema de gestión.
www.full-ebook.com
La gestión de servicios según este modelo se muestra en la figura 10.1.
Figura 10.1. Modelo de gestión de servicios 5.6.1 Definición del alcance En esta sección se documenta el alcance del sistema, que suele expresarse como los servicios que van a estar incluidos en el mismo. Para no duplicar información, también puede hacerse referencia a servicios que estén incluidos en el catálogo de servicios. 5.6.2 Fase de planificación En esta sección se definen las actividades relacionadas con la planificación de la gestión del servicio que llevarán a especificar el sistema de gestión. El resultado de esta planificación queda documentado en el propio manual y en la documentación (procedimientos, políticas, planes, etc.). 5.6.3 Fase de implementación Se describen las actividades para la puesta en marcha y el desarrollo de la gestión del servicio de TI, que suelen ser las contempladas en el plan de gestión. 5.6.4 Fase de comprobación Aquí se describen los métodos que se usan para monitorizar, y en lo posible medir, los procesos de gestión del servicio, con el fin de comprobar si se consiguen los objetivos. La herramienta más habitual es la definición de medidas e indicadores de rendimiento apropiados tanto para el sistema como para cada proceso.
www.full-ebook.com
5.6.5 Fase de actuación En esta sección se explican las actividades de esta fase: • Recoger y analizar datos. • Identificar, planificar e implantar las mejoras. • Medir, informar y comunicar las mejoras de los servicios. • Revisar las políticas, procesos, procedimientos y planes de gestión del servicio. En su mayoría, son actividades que se suelen recoger en los procedimientos del comité de gestión y de mejora continua.
6 Gestión del servicio Los servicios se gestionarán mediante los métodos recogidos en los siguientes procedimientos: • Diseño y transición de servicios nuevos o modificados. • Gestión del nivel de servicio. • Informes del servicio. • Gestión de continuidad y disponibilidad del servicio. • Elaboración de presupuesto y contabilidad de los servicios de TI. • Gestión de la capacidad. • Gestión de la seguridad de la información. • Gestión de las relaciones con el negocio. • Gestión de los suministradores. • Gestión de incidencias y peticiones de servicio. • Gestión de problemas. • Gestión de la configuración. • Gestión de cambios. • Gestión de entrega y despliegue.
7 Registros asociados al manual • Plan de gestión del servicio. • Plan de mejora.
www.full-ebook.com
8 Historial de cambios Fecha de la emisión. Versión de la emisión.
10.2.1.1. Plan de gestión del servicio Alcance
Servicios a los que se aplica.
Objetivos
Objetivos de negocio. Objetivos de servicios.
Procesos
Procesos a los que se aplica.
Formación
Formación que se va realizar.
Roles y responsabilidades
Gestores para cada proceso.
Relaciones entre procesos
Relaciones entre los procesos a los que se aplica.
Identificación de riesgos
Análisis de riesgos del negocio, del proyecto, tecnológicos, etc., que puedan amenazar a los servicios.
Recursos y presupuestos
Recursos económicos, humanos y técnicos asignados.
Herramientas
Herramientas que se van a utilizar.
Revisión y mejoras
Métodos de revisión de los servicios.
10.2.1.2. Plan de mejora Alcance
Acciones para la mejora de los servicios.
Objetivos
Mejoras en los servicios.
Responsabilidades
Quién va a definir y llevar a cabo las mejoras.
Análisis DAFO
Análisis de fortalezas, debilidades, oportunidades y amenazas.
Seguimiento
Plazos y métodos de seguimiento.
Mejoras del SGS
Descripción de las mejoras que se van a realizar en el sistema de gestión.
www.full-ebook.com
Planificación de mejoras del SGS
Detalle de asignaciones de tareas, plazos y responsables: descripción de la mejora, prioridad, responsable, responsable de verificación, indicador de seguimiento, plazos.
Mejoras del servicio
Descripción de las mejoras que se van a realizar en los servicios.
Planificación de las mejoras del servicio
Detalle de asignaciones de tareas, plazos y responsables: descripción de la mejora, prioridad, responsable, responsable de verificación, indicador de seguimiento, plazos.
10.2.2. Procedimientos de gestión Para el propósito de esta guía, se han establecido los siguientes campos como esquema general para la definición y documentación de un procedimiento: • Objeto: el principal objetivo del procedimiento. • Alcance: partes de la organización a las que se aplica el procedimiento. • Responsabilidades: principales roles involucrados y qué funciones desempeñan. • Procedimiento: tareas que hay que realizar. • Referencias: documentación necesaria para realizar correctamente el procedimiento. • Anexos: registros que se van a generar, formatos, instrucciones técnicas, etc. • Historial de cambios: fechas y versiones emitidas en esas fechas, identificando los cambios principales que se han hecho en cada versión.
10.2.2.1. Procedimiento de gestión documental Objeto
Establecer la metodología para la generación, revisión, aprobación, identificación, distribución y control de la documentación que integra el SGS.
Alcance
El presente procedimiento es de aplicación a toda la documentación del SGS.
Responsabilidades
Responsable del sistema de gestión (RSG): • Desarrollar, distribuir y archivar la documentación. • Controlar, revisar y mantener al día la documentación. • Velar por el cumplimiento y aplicación de los procedimientos.
www.full-ebook.com
Personal dentro del alcance: • Proponer modificaciones a los procedimientos que les afecten.
Actividades
Definir: • El sistema de codificación de la documentación: qué códigos e identificativos va a llevar cada documento. • Cómo se llevará el control de la documentación: quién emite los documentos, quién los revisa, quién los aprueba y cómo se van a publicar y distribuir. • En que soporte y en qué ubicación se alojará la documentación del sistema. • Cómo se tratarán los registros: – Quién los generará. – Cómo se almacenarán e identificarán. – Cuánto tiempo se van a guardar.
Anexos
• Formato de procedimiento. • Listado de documentación en vigor.
10.2.2.2. Procedimiento de comité de gestión Objeto
Establecer la composición y funcionamiento del comité de gestión, responsable de implantar, revisar y mejorar continuamente el SGS.
Alcance
Es de aplicación al funcionamiento del comité de gestión y a la totalidad de reuniones que se efectúen en el seno del mismo, así como a todos los integrantes del comité de gestión.
Responsabilidades
Responsable del sistema de gestión del servicio: • Convocar las reuniones del comité de gestión. • Documentar lo tratado en las reuniones. • Distribuir las actas del comité. • Elaborar el informe de revisión del sistema. Comité de gestión: • Establecer la política, objetivos y planes de la gestión del servicio. • Comunicar la importancia de alcanzar esos objetivos y la necesidad de la mejora continua. • Nombrar un responsable del sistema de gestión del servicio. • Revisar la gestión del servicio. • Establecer una metodología de revisión, auditoría y mejora continua del sistema.
www.full-ebook.com
• Detectar y estudiar los problemas relacionados con la gestión de los sistemas. • Proponer acciones correctivas o preventivas. • Analizar las necesidades en torno a la prestación de servicios de TI y desarrollar los servicios necesarios para dar una adecuada respuesta a esas necesidades. • Establecer un plan de formación.
Actividades
Definir: • La periodicidad con la que se reunirá el comité. • Los asuntos a tratar en las reuniones. • Quién revisará el sistema de gestión al menos una vez al año para asegurar su conveniencia, adecuación y eficacia continua. • Los datos que constituyen las entradas a la revisión del sistema por la dirección. • Los datos que conforman las salidas de la revisión del sistema por la dirección. • Que la revisión quedará documentada en un informe de revisión del sistema y será aprobada en el seno del comité.
Anexos
• Acta de reunión. • Revisión del sistema. • Objetivos e indicadores.
10.2.2.3. Procedimiento de auditorías internas Objeto
Establecer las pautas para la realización de las auditorías internas del sistema de gestión, con el fin de evaluar el grado de conformidad con las normas aplicables y con los requisitos del SGS.
Alcance
Es de aplicación a todos los servicios incluidos dentro del alcance del sistema de gestión y a los subcontratados para ese fin. Responsable del sistema de gestión del servicio: • Definir e implantar un sistema de auditorías internas que incluya la preparación, realización, registro y seguimiento de las mismas. • Programar las auditorías internas al menos anualmente. • Realizar el seguimiento del plan de auditoría. • Archivar el informe de auditoría. • Analizar junto con los directores de departamento o los responsables de área las no conformidades detectadas en su área de responsabilidad
www.full-ebook.com
Responsabilidades
y establecer las acciones correctivas necesarias conjuntamente con el comité de gestión. Comité de gestión: • Aprobar el plan de auditoría y sus revisiones. • Nombrar al auditor o auditores. Auditor: • Dirigir la realización de aquella/s auditoría/s para la/s que sea asignado. • Registrar las no conformidades detectadas y elaborar el informe de auditoría. • Dar una copia del informe de la auditoría a los miembros que componen el comité de gestión y al director del departamento auditado en caso que este no pertenezca al comité de gestión. • Verificar y evaluar la implantación de las acciones correctivas o preventivas propuestas para su posterior cierre. Directores de departamento: • Colaborar en la realización del plan de auditoría. • Analizar, junto con el responsable del sistema, las no conformidades detectadas en su área de responsabilidad y establecer las acciones correctivas necesarias.
Actividades
Definir: • La cualificación que debe tener el personal encargado de la ejecución de las auditorías. • Qué debe incluir el plan de auditoría, quién será el responsable de su realización y a qué departamentos se distribuirá dicho plan. • Cuándo deben llevarse a cabo las auditorías. • Quién elaborará la lista de comprobación y a quién se le enviará. • El transcurso de la auditoría. • Método de archivo y custodia de los informes de auditoría. • Cómo se van a tratar las no conformidades detectadas.
Anexos
• Lista de comprobación de auditoría. • Informe de auditoría. • Plan de auditorías.
10.2.2.4. Procedimiento de gestión de recursos humanos Objeto
Alcanzar el máximo grado de adecuación de las capacidades de la persona a las necesidades de los puestos.
www.full-ebook.com
Alcance
Es de aplicación a todo el personal, en especial a aquel que realiza actividades relacionadas con los servicios de TI.
Responsabilidades
Dirección: • Evaluar y concretar necesidades de formación detectadas. • Aprobar el plan de formación anual y presupuesto. Responsable del sistema: • Estudiar y concretar las necesidades de formación. • Gestionar y ejecutar los programas de formación. • Evaluar, controlar y seguir las acciones formativas. • Mantener y actualizar los registros de formación del personal. Responsables de departamento o del proceso: • Comunicar necesidades de formación. • Elaborar y revisar el perfil de los puestos de su área.
Actividades
Definir: • Las competencias necesarias en cada puesto de trabajo, así como las necesidades de acceso. • La documentación necesaria para establecer un contrato legalmente válido. • Cómo evaluar las capacidades del personal. • Cómo planificar y desarrollar actividades de formación y sensibilización para el personal, además de evaluar su competencia en cuanto a la eficacia de dichas acciones. • El método de evaluación de la eficacia de las acciones formativas impartidas y la valoración anual de las mismas en la revisión del sistema por la dirección.
Anexos
• Plan de formación. • Registros de formación. • Perfiles profesionales.
10.2.2.5. Procedimiento de mejora continua Objeto
Establecer los métodos para recopilar, analizar y evaluar los datos apropiados que permitan la idoneidad, así como las desviaciones sobre los objetivos de gestión definidos, con el fin de establecer los planes de mejora. Este procedimiento se aplica a: • Las acciones correctivas que se aplican ante la aparición de no
www.full-ebook.com
Alcance
Responsabilidades
conformidades individuales significativas por repetición de problemas menores. • Las acciones preventivas que se aplican para evitar la aparición de futuras no conformidades. • Las acciones de mejora que se pongan de manifiesto como resultado de los análisis realizados de las diversas fuentes de información disponibles. Comité de gestión: • Evaluar la implantación de las acciones correctivas o preventivas, o de otras medidas que se estimen necesarias • Aprobar y cerrar las medidas de mejora acordadas. • Establecer nuevas medidas de mejora, plazos y responsables, en el caso de acciones previas negativas. • Analizar la evolución de los indicadores del SGS y definir, en consecuencia, los objetivos de mejora. Responsable del sistema de gestión del servicio: • Decidir junto con el director del departamento o responsable de área implicado la necesidad o no de tomar acciones correctivas o preventivas en función de la magnitud y frecuencia de los problemas detectados. • Documentar la causa de la no conformidad, así como la acción correctiva o preventiva a implantar. • Efectuar el seguimiento de las acciones correctivas y preventivas hasta su cierre definitivo. • Realizar el registro, revisión y archivo de todas las acciones correctivas y preventivas. • Realizar el registro, revisión y archivo de todas las acciones de mejora. Directores de departamento o responsables de área: • Determinar, junto con el responsable del sistema de gestión del servicio, las acciones correctivas o preventivas necesarias para la solución de problemas detectados en su ámbito. • Comunicar a los responsables de llevar a cabo las acciones correctivas o preventivas y coordinar su puesta en marcha. Todos los miembros de la organización: • Ejecutar en el plazo establecido las acciones correctivas o preventivas establecidas y acordadas. • Comunicar a su responsable directo la existencia de un problema real o potencial que considere pudiera afectar al producto, servicio, proceso o sistema de gestión.
www.full-ebook.com
• Colaborar en el análisis de los problemas y en la aplicación de las acciones correctivas o preventivas necesarias cuando sean requeridos para ello. • Seguir y evaluar las acciones de mejora en curso.
Actividades
Definir: • No conformidades: – Modo de detección. – Tipos de no conformidades. • Acciones correctivas y preventivas: – Responsable, modo de detección, análisis de causas, establecimiento de las medidas a tomar, etc. – Seguimiento del grado de implantación – Indicadores necesarios para la medición de la eficacia de las medidas tomadas. • Acciones de mejora: – Quién será el encargado de controlar la ejecución y cierre de las acciones correctivas o preventivas, verificando que se han obtenido los resultados deseados y que la acción ha sido eficaz. – Métodos de detección, registro y seguimiento. – Sistema para incluir las acciones en el plan de mejora.
Anexos
• Acciones preventivas y correctivas.
10.3. Implantar los requisitos de gestión del servicio 10.3.1. Gestión de servicios nuevos o modificados Objeto
Asegurar que los servicios nuevos que vayan a ofrecerse y las modificaciones a los existentes se pueden gestionar y proveer con los costes y la calidad acordados.
Alcance
Se aplica a los servicios nuevos y a los cambios importantes en los existentes dentro del SGS. Dirección: • Establecer objetivos. • Establecer un plan de gestión del servicio (para servicios nuevos). • Establecer medidas de mejora, plazos o responsables en el caso de que no se cumplan los objetivos.
www.full-ebook.com
Responsabilidades
Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso: • Comunicar a las partes afectadas el cambio del servicio.
Actividades
Definir: • Propuesta de nuevo servicio. • Costes e impactos de la implementación del nuevo servicio. • Tareas que se van a llevar a cabo en las siguientes actividades: – Especificación de requisitos. – Diseño. – Desarrollo. – Pruebas. • Revisión posimplantación del servicio. • Puntos a incluir en el plan de gestión del servicio: – Alcance de la gestión del servicio. – Objetivos y requisitos. – Procesos que se van a ejecutar. – Formación. – Roles y responsabilidades. – Relaciones entre procesos. – Actividades. – Identificación de riesgos. – Designación de recursos y presupuestos. – Herramientas. – Revisión y mejoras.
Anexos
• Plan de gestión del servicio. • Análisis de riesgos.
10.3.1.1. Análisis de riesgos Escenario de riesgo
Descripción de eventos negativos que pudieran suceder relacionados con el nuevo servicio o la modificación del existente.
Probabilidad
Valoración de la probabilidad de ocurrencia del evento descrito.
Impacto
Valoración del posible daño que pueda ocasionar el riesgo si ocurriera.
www.full-ebook.com
Plan acción
de
Plan para reducir el riesgo o para reaccionar en caso de que ocurra.
10.3.2. Gestión del nivel de servicio
Objeto
Establecer una metodología para la gestión eficaz de los niveles de servicio a través de una correcta definición, acuerdo y registro de los mismos, así como la preparación y envío de informes de servicio a los clientes y usuarios. El objetivo de esta gestión es construir, monitorizar y controlar los acuerdos de nivel de servicio y la calidad de los servicios que contemplan, utilizando para ello un ciclo de mejora continua.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor del nivel de servicio: • Actuar como interlocutor entre el cliente y el departamento de TI, transmitiendo los requisitos del servicio a dicho departamento e informando al cliente sobre el desarrollo del servicio. • Realizar el seguimiento de las acciones acordadas con el cliente en las reuniones de revisión de SLA. • Mantener actualizado el catálogo de servicios. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. • Recopilar la información necesaria, emitir los informes y distribuirlos a la audiencia que los requiera. Personal: • Ejecutar en el plazo establecido las acciones establecidas y acordadas. Definir: • Construir y gestionar el catálogo de servicios en el que se indicarán los
www.full-ebook.com
Actividades
Anexos
detalles que son importantes para la organización. • Construir, negociar, revisar y actualizar los acuerdos de nivel de servicio o acuerdos de nivel operativo, teniendo en cuenta los contratos de soporte con suministradores o proveedores externos. • Proceso de monitorización y gestión de los acuerdos de nivel de servicio. • Cómo analizar las causas de incumplimiento. • La periodicidad con la que se revisarán y actualizarán el catálogo de servicios y los acuerdos de nivel de servicio. • Catálogo de servicios. • Acuerdos de nivel de servicio. • Contratos con suministradores.
10.3.2.1. Catálogo de servicios Nombre del servicio
Nombre interno o comercial del servicio.
Descripción del servicio
Características del servicio. Hay que proporcionar el mayor número de detalles posible: en qué consiste, las condiciones de uso, los usos posibles, etc.
Objetivos
Qué objetivos, tanto internos como externos, se persiguen con este servicio.
Medios de contacto
Detallar las personas de contacto y los enlaces que va a haber con los clientes o usuarios.
Horario del servicio
Tanto los habituales como los excepcionales, las guardias y cualquier otro tiempo en el que se presta o no se presta el servicio.
Medidas de seguridad
Qué controles se aplican para garantizar la confidencialidad, disponibilidad e integridad del servicio.
SLA
Acuerdos de nivel de servicio asociados al servicio.
10.3.2.2. Acuerdo de nivel de servicio Partes contratantes
Datos de los participantes en el acuerdo.
Definiciones
Definiciones de términos importantes para evitar malentendidos: SLA, proveedor, cliente, servicios, entregables, etc.
Duración del
Periodo de vigencia del acuerdo.
www.full-ebook.com
SLA Servicios cubiertos
Servicios prestados bajo las condiciones de este acuerdo.
Comunicación
Medios de contacto y personas de contacto para este servicio.
Documentos relacionados
Contratos, ofertas, folletos, peticiones, etc. Cualquier documento necesario para prestar y gestionar el servicio.
Horario del servicio
Horarios en los que se prestará el servicio y en los que no.
Niveles de servicio
Parámetros bajo los que se prestará el servicio: disponibilidad del 90%, 3000 usuarios en concurrencia, tiempo de respuesta de 3 segundos, tiempo de respuesta a incidencias de 2 horas, etc.
Procedimiento de reclamación
Medios a disposición del cliente para presentar reclamaciones.
Exclusiones
Casos que no se considerarán para el cálculo de los parámetros del nivel de servicio. Por ejemplo, en el caso de la disponibilidad, no se tendrán en cuenta los tiempos de las paradas de mantenimiento programado o fallos causados por errores de los usuarios.
Incentivos/ penalización del rendimiento
Qué sistema de penalizaciones o incentivos se va a seguir según el proveedor cumpla mejor o peor con los niveles de servicio.
Cambio
Canales de comunicación y gestión de cambios, quién puede pedir un cambio y cómo se gestionará la petición.
Continuidad y seguridad de los servicios de TI
Medidas de seguridad aplicadas al servicio para garantizar los parámetros de seguridad necesarios: confidencialidad, disponibilidad, integridad, autenticidad, trazabilidad, etc.
Revisión e informes de los servicios
Qué informes se van a emitir, con qué periodicidad y contenidos, y audiencia a la que van destinados.
Gestión de incidencias en la prestación del servicio
Descripción de la gestión de incidencias, con sus correspondientes aplicaciones y acciones de detección, registro y escalado de incidencias en la prestación del servicio.
Confidencialidad
Cláusulas de confidencialidad que sean necesarias.
Monitorización
Periodicidad y métodos mediante los que se comprobará el nivel de
www.full-ebook.com
cumplimiento de los compromisos detallados en el acuerdo. Facturación
Periodos y sistemas de facturación que se van a aplicar.
10.3.3. Gestión de los informes del servicio Objeto
Generar informes acordados en plazo, fiables y precisos, para una toma de decisiones bien informada y para una comunicación efectiva.
Alcance
El presente procedimiento es de aplicación a los servicios ofrecidos, así como a los subcontratados dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de informes del servicio: • Definir las características de cada informe, identificando tanto los aspectos que va a contemplar el informe como las condiciones en las que se va a generar. • Monitorizar y supervisar los resultados de los servicios, recabando toda la información necesaria. • Generar los informes en las condiciones establecidas (propósito, destinatarios, periodicidad, etc.). • Remitir los informes a los destinatarios apropiados en cada caso. • Modificar las características de los informes de acuerdo con las solicitudes recibidas en cada caso.
Actividades
Definir: • Generación de informes para la toma de decisiones y comunicaciones con clientes. • Características de los informes. • Monitorización de los resultados de los servicios. • Generación y emisión de informes. • Distribución de los informes. • Modificación de los informes. • Periodicidad de emisión.
www.full-ebook.com
Anexos
• Catálogo de informes de servicios.
10.3.3.1. Catálogo de informes Informe
Título del informe.
Tipo de informe
Asunto del informe.
Periodicidad
Periodo de tiempo en el que se emitirá.
Descripción
Información que incluirá el informe.
Servicios asociados
Servicios para los que será necesario emitir el informe.
10.3.4. Gestión de continuidad y disponibilidad del servicio
Objeto
Definir la metodología para la gestión de la continuidad y disponibilidad del servicio de manera que se asegure que los compromisos de continuidad y disponibilidad acordados con los clientes pueden cumplirse bajo todas las circunstancias, para así evitar las consecuencias de una caída del servicio, garantizando en este caso la pronta recuperación del mismo.
Alcance
Se aplica a todo el equipamiento de TI que interviene en la gestión del servicio de TI ofrecido a los clientes.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la disponibilidad y continuidad: • Determinar los requerimientos de disponibilidad y continuidad. • Desarrollar planes de disponibilidad y continuidad de los servicios. • Medir la disponibilidad de los servicios. • Probar los planes de disponibilidad y continuidad tras cambios significativos.
www.full-ebook.com
• Investigar las causas de indisponibilidades no planificadas y desarrollar las acciones necesarias. • Probar los planes de continuidad y desarrollar las acciones necesarias para las pruebas fallidas. • Mantener, revisar y actualizar los planes anualmente. Personal: • Ejecutar en el plazo establecido las acciones establecidas y acordadas.
Actividades
Definir: • Requisitos de disponibilidad: – Revisión de los requisitos de disponibilidad reflejados en el SLA/OLA (Service Level Agreement/Organizational Level Agreement). – Intervalos razonables de interrupción del servicio dependiendo del impacto. – Protocolos de mantenimiento y revisión del servicio. – Franja horaria de disponibilidad del servicio. – Técnicas que se utilizarán para prevenir o minimizar el impacto del fallo de un componente sobre el servicio. • Plan de disponibilidad en el que se determinarán los objetivos de disponibilidad presentes y futuros: – Medidas a utilizar para medir la disponibilidad. – Herramientas para la monitorización de la disponibilidad. – El nivel de disponibilidad no admisible. – Métodos y técnicas de análisis que se van a emplear para estimar las tendencias en disponibilidad, fiabilidad y mantenibilidad de los componentes. – Planes de mejora de la disponibilidad. – Expectativas futuras de disponibilidad. • Método para gestionar los cambios en el plan de disponibilidad. • Revisiones del plan de disponibilidad. • Requisitos de continuidad del servicio. • Plan de continuidad necesario para adoptar las medidas preventivas necesarias. • Planes de recuperación. • Pruebas de disponibilidad y continuidad, las cuales deben registrarse; en caso de obtener resultados fallidos, deberán elaborarse nuevos planes de acción. • Periodicidad para la revisión de los planes de disponibilidad y
www.full-ebook.com
continuidad.
Anexos
• Plan de disponibilidad. • Plan de continuidad del servicio. • Plan de recuperación. • Registro de pruebas de disponibilidad. • Registro de pruebas de continuidad.
10.3.4.1. Plan de disponibilidad Objetivo
Qué objetivos de disponibilidad se marca la organización para poder suministrar los servicios acordados con el nivel de servicio acordado.
Alcance
Qué servicios, infraestructura o departamentos se encuentran incluidos en el plan.
Hipótesis de trabajo
Premisas sobre las que se basa el plan: infraestructura existente y la prevista si hubiera, servicios a los que se dará soporte, etc.
Planificación
Descripción de premisas de planificación: calendario de trabajo, permisos y vacaciones del personal, etc.
Requisitos
Requisitos de disponibilidad para hardware, software, comunicaciones y cualquier otro elemento necesario para prestar el servicio.
Recursos humanos
Perfiles de puestos y número de personas necesarias para prestar el servicio, provisiones para cubrir ausencias o guardias.
Calendario e hitos
Duración del plan, calendario de prestación.
Presupuesto
Partidas presupuestarias destinadas al plan de disponibilidad.
Objetivos y medidas
Objetivos de disponibilidad de los recursos (hardware, software, personal, etc.) y del propio plan (cumplimiento de SLA, disponibilidad del servicio).
Revisiones
Tipo y periodicidad de las revisiones que se van a hacer al plan.
10.3.4.2. Plan de continuidad Objetivo
Objetivos que se persiguen con la gestión de la continuidad.
Alcance
Servicios o infraestructuras que se contemplan en el plan.
www.full-ebook.com
Premisas de planificación
Premisas sobre las que se basa el plan: infraestructuras con las que se cuenta, tiempos de recuperación que se esperan, puntos de recuperación de datos, prioridades de recuperación, etc.
Política de continuidad
Directrices generales de continuidad.
Fase de notificación y activación
Tareas a realizar para notificar y activar el plan.
Fase de recuperación
Tareas a realizar durante la recuperación de los servicios o infraestructuras tras el desastre.
Fase de restablecimiento
Tareas a realizar para restablecer los servicios o infraestructuras tras el desastre.
Información de contacto
Datos de contacto de responsables de la gestión de crisis, del personal, de autoridades y de proveedores, que pueden ser necesarios en caso de desastre.
Planes de contingencia
Planes de actuación concretos y detallados para servicios o infraestructuras concretos.
10.3.5. Elaboración de presupuesto y contabilidad de los servicios Objeto
Administrar de manera eficiente y eficaz los activos y los recursos de TI utilizados para proveer los servicios de TI.
Alcance
Se aplica a la preparación de presupuestos y la contabilidad de TI cuando proceda. Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de presupuestos y contabilidad: • Definir las normas de elaboración de presupuestos y contabilidad de
www.full-ebook.com
Responsabilidades
los servicios. • Desarrollar los presupuestos. • Contabilizar los costes. • Contrastar costes y presupuestos. • Mantener, revisar y actualizar costes y presupuestos. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Responsable comercial: • Elaborar los presupuestos al inicio del proyecto. Jefe de proyecto: • Contabilizar los costes de los servicios imputados al proyecto. • Contrastar los costes imputados con los presupuestos previos. • Informar de las desviaciones en costes al responsable del proceso.
Actividades
Definir: • Un presupuesto estimativo de los costes y las previsiones de carga de trabajo, para fijar costes y precios de los servicios prestados y los nuevos. • Cómo se va a realizar la contabilidad. • Quién revisa, analiza e investiga la información del presupuesto y adopta las medidas oportunas para ajustar las líneas presupuestarias. • Monitorización de la marcha de los costes reales comparados con el presupuesto aprobado. • Acciones correctivas en caso de detectarse desviaciones en la monitorización. • Periodicidad con la que se presenta un informe de los costes de los servicios y del nivel de cumplimiento de los presupuestos. • Las acciones a tomar si los resultados del informe no cumplen con las expectativas.
Anexos
• Cálculo de costes. • Petición de cambio. • Presupuestos. • Contabilidad.
10.3.5.1. Cálculo de costes
www.full-ebook.com
Servicio 1 Personal
Instalación Operación Mantenimiento Gestión de incidencias Total Directo Indirecto
Infraestructura Hardware Mantenimiento Licencias Herramientas Servicios
Comunicaciones Otros
Totales
10.3.6. Gestión de la capacidad Objeto
Definir la metodología establecida para la gestión de la capacidad de TI con el fin de garantizar que siempre exista la capacidad de TI necesaria, económicamente aceptable y ajustada a las necesidades de la organización.
Alcance
El presente procedimiento es de aplicación a todo el equipamiento de TI que soporta los servicios ofrecidos, así como a los subcontratados para este fin dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la capacidad: • Identificar los requisitos de capacidad. • Determinar los requisitos de capacidad actuales y previstos. • Desarrollar el plan de capacidad. • Medir la capacidad de los servicios. • Mantener, revisar y actualizar el plan de capacidad. • Modelizar capacidades requeridas por el negocio, servicios y recursos. • Proponer mejoras para la capacidad de los servicios.
www.full-ebook.com
Actividades
Anexos
Definir: • Cómo elaborar y mantener un plan de capacidad. • Los requisitos de capacidad, con el fin de mantener la capacidad a niveles adecuados. • Cómo se van a recoger y analizar los datos de capacidad existente. • Mantener el plan de capacidad. • Los requisitos que se deben cumplir para poder suministrar los servicios ofertados con los niveles exigidos por los SLA y OLA. • Cómo tratar las variaciones en los parámetros. • Periodicidad de las revisiones y verificaciones del plan de capacidad y las partes implicadas en las mismas, con el fin de comprobar que los objetivos definidos se están cumpliendo. • Analizar las causas de incumplimiento. • Periodicidad de generación de informes en los que se analizarán los resultados de la monitorización de la capacidad. • Cálculo de costes. • Petición de cambio. • Presupuestos. • Contabilidad.
10.3.6.1. Plan de capacidad Objetivo
Objetivos de capacidad para la correcta prestación de los servicios.
Alcance
Servicios que abarca el plan.
Documentación de referencia
Documentación relacionada que puede ser necesaria para la definición y aplicación del plan: estrategia de negocio, planes financieros, catálogo de servicios, SLA, etc.
Hipótesis
Premisas de planificación.
Resumen de gestión
Líneas generales de actuación para suministrar la capacidad necesaria para los servicios.
Escenarios de negocio
Recursos disponibles y previsión de los que serán necesarios ante nuevas necesidades del negocio.
Resumen de servicios y recursos
Enumeración de servicios y recursos disponibles para suministrar capacidad.
www.full-ebook.com
Opciones para la mejora del servicio
Descripción de las posibles opciones para mejorar la eficiencia y la eficacia de la provisión de la capacidad.
Modelo de costes
Recoger los costes relacionados con las opciones de mejora, los costes actuales y los previstos.
Recomendaciones
Resumen de las recomendaciones realizadas y seguimiento de las del plan anterior.
10.3.7. Gestión de la seguridad de la información
Objeto
Proteger los datos y las infraestructuras de modo que: • Se preserve la confidencialidad de los mismos. • Se asegure la integridad de la información. • Se asegure la disponibilidad. • Se facilite la gestión de las transacciones. • Pueda cumplirse con las obligaciones impuestas por leyes, acuerdos contractuales y estamentos supervisores.
Alcance
Se aplica a todos los activos de información que soportan los servicios de TI incluidos en el alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la seguridad: • Determinar una estrategia global para el tratamiento de la infraestructura crítica para la organización. • Realizar un inventario de activos, donde se listen todos los procesos y activos del servicio, teniendo en cuenta sus interdependencias. • Determinar y documentar la criticidad respectiva de los procesos y activos del servicio (análisis del riesgo) a través de: – Identificación de posibles puntos débiles. – Evaluación de las probabilidades de que ocurra un daño. – Estimación de los efectos y la extensión del daño, teniendo en cuenta la disponibilidad, confidencialidad e integridad.
www.full-ebook.com
– Determinación de las categorías de criticidad. • Verificar la decisión (gestión del riesgo), mediante: – Estimación de la disponibilidad de influencia a los diferentes activos. – Establecimiento de prioridades, incluso aceptando –en caso necesario– el riesgo de que algunos activos pudieran estar menos protegidos. • Tomar las oportunas medidas y conceptos (documento de aplicabilidad) mediante la: – Salvaguarda y monitorización tanto de las medidas de protección básicas como de las más críticas para el servicio. – Preparación y extrapolación de los planes de emergencia. – Implementación y monitorización de las medidas y controles de seguridad.
Actividades
Definir: • La política de seguridad en la que se identifiquen los roles y responsabilidades para la gestión de la seguridad de la información. • Canal de comunicación de la política de seguridad para el personal y los clientes. • Un inventario de activos para determinar cuáles son los activos críticos para el servicio de la organización. • Cómo analizar los posibles riesgos de los activos identificados en el inventario y elaborar una estrategia para gestionarlos adecuadamente. • Cómo implementar los controles necesarios y realizar el plan de seguridad, integrado en el plan de mejora del servicio. • Método para mantener y revisar las medidas de seguridad. • Cómo gestionar los incidentes de seguridad. Establecer acciones correctivas o preventivas. • Cómo gestionar los accesos de terceras partes.
Anexos
• Política de seguridad. • Análisis y gestión de riesgos. • Documento de aplicabilidad.
10.3.7.1. Política de seguridad Declaración de la política de seguridad
Líneas generales de la posición de la organización en cuanto a seguridad de la información.
Compromiso de la dirección
Declaración del compromiso de la dirección con la seguridad de la información.
www.full-ebook.com
Objetivos
Objetivos que se persiguen.
Alcance
Ámbito de aplicación de la política.
Responsabilidades
Roles y responsabilidades relacionados con la gestión de la seguridad.
Política de uso aceptable
Directrices a seguir en la organización para proteger los activos de la misma.
Gestión de la seguridad
Normas generales de seguridad en la gestión del personal, en la de la infraestructura, las comunicaciones, la información, etc.
Gestión de incidencias
Normas para la gestión de las incidencias.
Aprobación y revisión
Periodicidad de la revisión, y fecha y firma de quien aprueba la política.
10.3.7.2. Análisis de riesgos Fortalezas
Debilidades
Oportunidades
Amenazas
10.3.7.3. Documento de aplicabilidad ID
Objetivo/Control
Estado
Justificación
A.5.1.1 Políticas de seguridad de la información A.5.1.2 Revisión de las políticas de seguridad de la información
10.3.8. Gestión de relaciones con el negocio Objeto
Definir la metodología para la gestión de la relación con el cliente, de manera que sea efectiva y eficaz, y esté basada en un buen entendimiento del cliente y de sus necesidades de negocio.
Alcance
Se aplica a todos los miembros de los departamentos de TI, así como a la totalidad de los servicios prestados por estos a usuarios y clientes.
www.full-ebook.com
Responsabilidades
Actividades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la relación con el cliente: • Identificar los requisitos y necesidades de los clientes. • Proponer especificaciones para los servicios sobre la base del punto anterior. • Revisar periódicamente los requisitos y necesidades. • Proponer cambios en los servicios prestados. • Planificar y registrar las reuniones con los clientes. • Gestionar las encuestas de satisfacción. • Seguimiento de quejas y reclamaciones hasta su cierre. Definir: • Metodología para revisar los servicios: – Periodicidad. – Cambios en el alcance de los servicios. – Catálogo de servicios. – Acuerdos de nivel operativo. – Contratos. • Puntos a revisar en cada reunión: – Rendimiento. – Consecución de los objetivos e indicadores. – Temas abiertos y planes de acción. – Modificación de contratos y SLA. Todos estos cambios se realizarán de acuerdo con el procedimiento de gestión del cambio. • Forma de obtener la información necesaria para conocer el grado de satisfacción del cliente. • Cómo incorporar en los planes de mejora del servicio los resultados de las evaluaciones. • Dónde quedará reflejada la información de la evaluación del proceso. • Método para tratar desviaciones respecto a los objetivos. • Sistema para gestionar quejas o reclamaciones (metodología para su
www.full-ebook.com
tratamiento, registro y solución). • Sistema para gestionar la satisfacción. Anexos
• Registro de quejas y reclamaciones.
10.3.8.1. Registro de quejas Presentada por
Persona que presenta la queja o reclamación.
Fecha
Fecha de la reclamación.
Responsable de la queja o reclamación
Quién se va encargar de gestionarla.
Proyecto/Contrato
Servicio, proyecto, contrato o SLA relacionado con la queja o reclamación.
Descripción del motivo
Motivos de quien presentó la queja.
Tratamiento
Acciones que se han tomado para resolver el incidente.
Fecha resolución
Fecha en que se da por cerrado el asunto.
10.3.9. Gestión de suministradores Objeto
Gestionar correctamente la subcontratación en relación con los servicios de TI y definir la metodología para realizarla de manera que sea efectiva y eficaz, y asegure una provisión de servicios de calidad y sin incidencias.
Alcance
Se aplica a los acuerdos y contratos que se establezcan para el suministro de servicios de TI dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de suministradores: • Definir los controles a aplicar.
www.full-ebook.com
• Definir los requisitos de seguridad para los subcontratos y las compras. • Asegurar el cumplimiento de los requisitos acordados. • Verificar la correcta gestión de los cambios. • Controlar la información sobre el desempeño de los suministradores (contratos, acuerdos, etc.) y tomar las medidas oportunas en caso necesario.
Actividades
Definir: • Un SLA para documentar el alcance, el nivel de servicio y los métodos de comunicación con el proveedor; y las responsabilidades y los roles del personal de los suministradores. • Periodicidad para revisar el cumplimiento del SLA y los informes de cumplimiento. • Revisiones y renovaciones a las que se verán sometidos los contratos y los SLA. • Nuevos indicadores tras los cambios establecidos en los contratos y SLA. • Alineación de los cambios en los contratos con la gestión de cambios del SGS. • Método para monitorizar el rendimiento real de los proveedores comparándolo con los objetivos del nivel de servicio. • Metodología para registrar y tratar incidentes relacionados con los proveedores.
Anexos
• Listado de proveedores. • Lista de chequeo.
10.3.9.1. Listado de proveedores Servicio
Servicio que se presta a la organización.
Empresa
Empresa que presta el servicio.
Datos de contacto
Persona de contacto, dirección, teléfono, correo electrónico.
Fecha alta
Fecha de comienzo de la relación comercial.
Fecha baja
Fecha de finalización de la relación comercial.
10.3.9.2. Lista de chequeo Servicio
Servicio relacionado
www.full-ebook.com
Empresa
Empresa que presta el servicio
Comprobaciones
Listado de comprobaciones a realizar para verificar la idoneidad del servicio a suministrar.
Evaluación
Válido/No válido.
10.3.10. Gestión de incidencias y peticiones de servicio Objeto
La gestión y notificación de incidencias en el servicio, con el propósito de asegurar que las incidencias se comunican de tal manera que haya tiempo para tomar acciones, restaurando los servicios acordados con el cliente tan pronto como sea posible, y que se gestionan para poder evitarlas en un futuro.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados para ese fin dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso: • Registro de incidencias. • Escalado de las incidencias. • Asegurar el correcto funcionamiento del proceso de recepción, registro y resolución de incidencias. • Especial seguimiento de incidencias graves hasta su resolución. • Documentar la información facilitada por el gestor del problema sobre la resolución de errores conocidos. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Definir: • Vías de notificación de incidencias. • Método de registro.
www.full-ebook.com
Actividades
Anexos
• Clasificación de las incidencias: – Categorización. – Establecimiento del nivel de prioridad. – Establecimiento del nivel de impacto. – Prioridad. – Asignación de recursos. – Monitorización del estado. • Lista de problemas y errores conocidos. • Escalado y seguimiento. • Incidencias graves. • Incidentes de seguridad: – Tratamiento. – Registro. • Pasos a seguir en el cierre de las incidencias: – Confirmar con los usuarios la solución satisfactoria de la misma. – Incorporar el proceso de resolución al registro de incidencias. – Actualizar la información en la CMDB. • Emisión de informes y la información a analizar en cada uno de ellos. • Registro de incidencias.
10.3.10.1. Registro de incidencias ID
N.º de identificación.
Tipo incidencia
Clasificación de la incidencia.
Fecha notificación
Fecha en la que se ha notificado o descubierto.
Notificado por
Quién ha reportado la incidencia.
Descripción
Detalles de la incidencia.
Urgencia
Valoración de la rapidez con la que se debe solucionar la incidencia.
Impacto
Valoración de cómo afecta la incidencia al servicio.
Prioridad
Valoración de la necesidad de abordar la incidencia según su impacto y urgencia.
Estado
En qué estado se encuentra la incidencia: abierta, cerrada, pendiente, en
www.full-ebook.com
curso, etc. Medidas adoptadas
Descripción de las acciones que se toman.
Fecha cierre
Fecha en la que la incidencia se ha resuelto.
10.3.11. Gestión de problemas Objeto
Definir la metodología para la gestión de problemas, cuyo objetivo es reducir al mínimo las interrupciones en el negocio identificando y analizando las causas de las incidencias, y gestionando los problemas hasta su cierre definitivo.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados para ese fin dentro del alcance del SGS. Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos.
Responsabilidades
Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de problemas: • Asegurar el correcto funcionamiento del proceso de identificación, recepción, registro y resolución de problemas. • Escalado de los problemas. • Asignación de responsable de problema. • Especial seguimiento de problemas graves hasta su resolución. • Gestionar las tareas recogidas en el procedimiento. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Definir: • Método para notificar y registrar los problemas, así como para asignar un responsable. • Cómo se gestionarán los problemas (identificación, análisis, investigación, resolución, etc.). • Resolución de problemas en función de su prioridad y clasificación.
www.full-ebook.com
Actividades
• Aspectos a tener en cuenta al encontrar la solución definitiva al problema. • Casos en los que sea necesario hacer una petición de cambio (RfC) y método de registro. • Pasos a seguir para cerrar un problema. • Método para facilitar información a la gestión de incidencias. • Periodicidad con la que se emitirá un informe y puntos a analizar en el mismo.
Anexos
• Registro de problemas.
10.3.11.1. Registro de problemas ID
N.º de identificación.
Fecha notificación
Fecha en la que se ha notificado o descubierto.
Incidencia/s relacionada/s
Incidencias que han dado origen a la apertura del problema.
Descripción
Detalles del problema.
Urgencia
Valoración de la rapidez con la que se debe solucionar el problema.
Impacto
Valoración de cómo afecta el problema al servicio.
Prioridad
Valoración de la necesidad de abordar el problema según su impacto y urgencia.
Estado
En qué estado se encuentra el problema: abierto, cerrado, pendiente, en curso, etc.
Medidas adoptadas
Descripción de las acciones que se toman.
Fecha cierre
Fecha en la que el problema se ha resuelto.
10.3.12. Gestión de la configuración Objeto
Definir la gestión de la configuración, manteniendo un inventario de los activos y de la configuración TI y sus servicios, que contenga la información exacta sobre las configuraciones y su documentación para apoyar los otros procesos de gestión de servicios.
www.full-ebook.com
Alcance
Se aplica a la totalidad de elementos necesarios para la prestación de los servicios, incluyendo los elementos de los clientes a los que la organización da soporte.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la configuración: • Gestionar la planificación, identificación y control de todos los elementos de configuración en la CMDB. • Realizar el plan de gestión de configuración. • Promover el uso efectivo de la CMDB. • Monitorizar y reportar los cambios no autorizados sobre los elementos de configuración. • Asegurar la integridad de los datos de la CMDB a través de la ejecución de auditorías. • Revisar los tipos de elementos de configuración, relaciones, atributos y valores asociados, estructura de la base de datos, derechos de acceso. • Aprobar los cambios en la CMDB. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Usuario de la CMDB: • Comunicar al gestor de configuración cualquier discrepancia o no conformidad en los elementos de configuración. • Ayudar en la mejora continua del proceso de gestión de la configuración. Gestor del cambio: • Asegurar que los responsables de los elementos de configuración actualizan los históricos de estos elementos con los cambios implementados. Definir: • La política de configuración:
www.full-ebook.com
Actividades
Anexos
– Elementos a considerar. – Atributos de cada elemento. – Relaciones con otros procesos. – Responsabilidades. • Los elementos de configuración de manera unívoca. • La CMDB que almacenará información relativa a: – Los CI. – Las solicitudes de cambio. – Los problemas, incidentes y errores conocidos asociados a cada CI. – Etc. • Permisos de acceso a la CMDB. • Los CI, componentes de hardware y software propios, contratados y mantenidos por la organización. • La política de configuración, en la que se identifica el objetivo del proceso, su alcance, los atributos de los elementos y las responsabilidades. • Método para mantener la CMDB actualizada. • Mecanismo para gestionar y registrar una petición de cambio (RfC) en cualquier elemento de configuración. • Política de gestión de la configuración. • CMDB.
10.3.12.1. Política de gestión de la configuración Objeto
Objetivo de la gestión de configuración
Alcance
Servicios afectados por esta política.
Tipología de los elementos de configuración
Tipos de elementos del servicio que se van incluir en la gestión de la configuración: SLA, servicios prestados, servicios subcontratados, sistemas, elementos de red, dispositivos, equipos informáticos, comunicaciones, software comprado, software desarrollado, etc.
Atributos de los elementos de configuración
Información que se va a almacenar de cada elemento de configuración: identificador único, nombre, descripción, tipo, fabricante, n.º de serie, versión, localización, documentación relacionada, etc.
Responsabilidades
Descripción de los roles y responsabilidades de la gestión de la configuración.
www.full-ebook.com
Relaciones con otros procesos
Descripción de cómo se relaciona con otros procesos. Por ejemplo, que la gestión de la capacidad toma datos directamente de este proceso, que la gestión financiera tendrá en cuenta el coste económico de los elementos de configuración del servicio, o que para la correcta gestión del nivel de servicio, se incluirán en la CMDB los acuerdos de niveles de servicio.
10.3.12.2. CMDB (Base de datos de la configuración) ID
N.º de identificación.
Nombre del CI
Nombre por el que se conoce a este tipo de CI.
N.º de serie
Número de serie de la copia del software o del hardware.
Categoría
Clasificación de un CI (por ejemplo, hardware, software, documentación, etc.).
Tipo
Descripción del tipo de CI, ampliando la información de la “categoría” (p. ej., configuración del hardware, paquete de software, pieza de hardware o módulo de una aplicación).
Número de modelo (hardware)
Modelo de CI (correspondiente, por ejemplo, al número de modelo del proveedor; así, Dell modelo SR, PC modelo 333).
Fecha expiración garantía
Fecha en que expira la garantía otorgada por el distribuidor para el CI.
Número de versión (software)
N.º de versión del CI.
Ubicación
Emplazamiento del CI. Por ejemplo, la biblioteca; o el sistema de almacenamiento donde resida el software del CI; o el lugar físico donde esté localizado un CI.
Responsable
La designación o el nombre del responsable del CI.
Licencia
Número de licencia o referencia al acuerdo de licencia.
Fecha de entrega
Fecha en que el CI fue entregado a la organización.
Estado
Estado actual del CI; por ejemplo, “en pruebas”, “en producción”,
www.full-ebook.com
actual
“archivado”.
Relaciones
Relaciones que mantiene el CI con otros elementos: los que utiliza, con los que se conecta, etc.
ID de RfC
Números de identificación de todos las RfC que afecten a este CI.
ID de cambio
Números de identificación de todos los registros de cambio que afecten a este CI.
ID de problema
Números de identificación de todos los registros de problemas que afecten a este CI.
ID de incidencia
Números de identificación de todos los registros de incidentes que afecten a este CI.
10.3.13. Gestión de cambios Objeto
Definir la gestión de los cambios que se realizan como consecuencia de problemas que hayan surgido o de la búsqueda de mejoras en los servicios, de manera que dichos cambios no afecten a la calidad del servicio al realizarlos y que se mejore el funcionamiento de la organización.
Alcance
Se aplica a todos los activos relacionados con los servicios de TI prestados a los clientes incluidos en el alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor del cambio: • Registrar y clasificar las peticiones de cambio. • Elaborar procedimientos para la vuelta atrás después de un cambio fallido. • Aprobar los cambios y comprobarlos después de su implantación. • Comunicar a las partes interesadas la planificación de los cambios. • Gestionar los registros de cambios.
www.full-ebook.com
• Identificar acciones de mejora para el proceso e incluirlas como entradas en el plan de mejora del servicio.
Actividades
Definir: • Cuándo puede ser necesario un cambio. • Clasificación y evaluación de riesgos del cambio. • Quién puede solicitar un cambio, y cómo debe registrarse de manera correcta dicha solicitud para asegurar un seguimiento adecuado de todo el proceso de cambio. • Método a través del cual el gestor del cambio estudiará la viabilidad de la petición de cambio (RfC). • Mecanismo de aprobación e implantación para los cambios menores. • Cómo se gestionarán y priorizarán las peticiones de cambio (RfC). • Proceso de cambios de emergencia. • Cuándo se dará por cerrado un cambio actualizando la CMDB, o cuándo se ejecutará el procedimiento de “vuelta atrás”. • Puntos a analizar en los informes que se emitirán anualmente.
Anexos
• Registro de cambios.
10.3.13.1. Registro de cambios Fecha
Fecha de la solicitud.
ID
N.º de identificación del cambio.
Solicitante
Persona que solicita el cambio.
Acuerdo de nivel de servicio
Si existe, referencia del SLA.
Descripción del cambio solicitado
Detalles del cambio que se solicita.
Razón del cambio
Motivos para pedir el cambio.
ID de problema/ incidencia
Números de identificación de problemas o incidencias que originan la petición de cambio.
Elemento/s de configuración a cambiar
Descripción del elemento o elementos de configuración afectados por el cambio.
Impacto previsto
Estimación del impacto en el servicio en caso de realizarlo.
www.full-ebook.com
Efectos de no implementar el cambio
Estimación del impacto en el servicio si no se realiza el cambio.
Prioridad estimada
Valoración del nivel de necesidad de realizar el cambio.
Valoración del cambio
Estimación de si procede o no realizarlo.
Viabilidad del cambio
Estimación de si es viable o no realizarlo.
Estado de la petición
Resultado de la evaluación de la petición: aceptada, rechazada, etc.
Responsable de la aprobación
Quién es la persona que ha tomado la decisión y firma.
Fecha de aprobación/ rechazo
Fecha en la que se ha aprobado/rechazado la petición.
Prioridad asignada
Prioridad que se ha dado a la realización del cambio una vez aceptado.
Plazo de ejecución
Plazo asignado para la ejecución del cambio.
Plan de marcha atrás
Acciones a tomar si la implementación del cambio fracasa o tiene efectos adversos.
Estado del cambio
Si se ha iniciado, está pendiente, cerrado, etc.
Acciones realizadas
Acciones que se realizan para la ejecución del cambio.
Fecha de cierre
Fecha en la que el cambio se da por finalizado.
13.3.14. Gestión de la entrega y despliegue Objeto
Coordinar la entrega de nuevas versiones planificadas en el proceso de gestión de cambios para su pase al entorno de producción. Para ello, el objetivo de la gestión de la entrega es entregar, coordinar, intercambiar y hacer el seguimiento de uno o más cambios, y poder valorar su impacto en el entorno de producción real.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados para ese fin dentro del alcance del SGS. Dirección: • Establecer objetivos.
www.full-ebook.com
Responsabilidades
Actividades
• Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de entregas: • Elaborar la política de entregas. • Tener una buena comunicación con los usuarios para gestionar sus requisitos y expectativas adecuadamente. • Distribuir e instalar correctamente el hardware y el software de cada entrega. • Asegurar que las copias originales de todo el software están seguras en la librería de software definitivo. • Asegurarse de que todo el hardware y el software están bajo gestión de la configuración. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Definir: • Política de entregas que refleje, al menos: – Frecuencia y tipos de entrega. – Roles y responsabilidades. – Criterios para el paso del entorno de pruebas al entorno de producción. – Agrupación de cambios en una única entrega. – Automatización de los procesos de entrega. – Verificación y aceptación de los procesos de entrega. • Un entorno de pruebas. • Planificación de las entregas: – Quién aprueba la entrega. – Alcance de la entrega. – Recursos necesarios. – Comunicación con todas las partes interesadas. – Calendario. • Plan de vuelta atrás a nivel de toda la entrega. • Instrucciones de instalación y configuración de la entrega.
www.full-ebook.com
• Aceptación e implantación de las entregas, y su actualización en la CMDB. • Método para gestionar las entregas urgentes y su registro en la CMDB. Anexos
• Política de entregas. • Informes de entregas.
10.3.14.1. Política de entregas Objeto
Objetivos que se persiguen.
Alcance
Ámbito de aplicación de la política.
Frecuencia y tipos de entrega
Con qué periodicidad se van a realizar las entregas y en qué van a consistir: nuevas versiones, actualizaciones, etc.
Roles y responsabilidades
Descripción de las distintas responsabilidades en la gestión de entregas y quién las asumirá.
Criterios para paso a producción
Detalle de los criterios para el paso del entorno de pruebas al de producción, tales como: que esté disponible la documentación de la entrega, que se haya comunicado a los usuarios o clientes, que haya planes de contingencia en caso de fallos en la entrega, etc.
Agrupación de cambios
Descripción de cómo se va a realizar la agrupación de cambios en una entrega.
Verificación y aceptación de la entrega
Métodos de verificación de la entrega y descripción de cómo se va a realizar la aceptación de la misma.
www.full-ebook.com
Capítulo 11. Integración con otros sistemas de gestión Es muy habitual que una organización tenga ya implantado algún otro sistema de gestión basado en alguna de la normas ISO. En este caso, es muy recomendable la integración del nuevo SGS en los que ya existan. De esta manera se simplificará la documentación necesaria para los sistemas, se evitarán inconsistencias entre ellos y se establecerán sinergias entre ambos que beneficiarán a la gestión y por tanto a la organización. Las pautas a seguir para hacer esta integración de manera ordenada son simples: • Debe documentarse un manual que recoja la información necesaria para cumplir con todas las normas aplicables. Para adaptarse a cualquier norma relacionada con sistemas de gestión es necesario recoger gran cantidad de información, por lo que es muy práctico tenerla en un único sitio, simplificando así el mantenimiento actualizado de esta información. • Deben definirse políticas para cada aspecto de la gestión. Puede hacerse en un único documento o en varios; en cualquier caso, es necesario recoger las directrices para cada aspecto de la gestión que comprenda el sistema de gestión. • Deben definirse objetivos para cada aspecto de la gestión. Partiendo de los objetivos de negocio, hay que plantear en cada caso qué objetivos sectoriales van a apoyar estos objetivos estratégicos. • Los procedimientos de gestión serán comunes y recogerán los requisitos de todas las normas aplicables. Los temas de documentación, formación, auditorías internas, no conformidades y acciones correctivas presentan los mismos requisitos, por lo serán procedimientos transversales del sistema de gestión. • Habrá un juego de procedimientos específico para cada aspecto de la gestión. Cuando sea posible, es conveniente estudiar los posibles solapamientos entre las normas aplicables para hacer procedimientos más sencillos, evitando duplicidades de tareas y responsabilidades. • El plan de gestión contemplará todas las tareas necesarias para el mantenimiento del conjunto del sistema de gestión.
www.full-ebook.com
Esquemáticamente, el nuevo sistema de gestión integrado se podría plantear como se muestra en la figura 11.1.
Figura 11.1. Esquema de sistema de gestión integrado
www.full-ebook.com
Capítulo 12. Proceso de certificación Todo lo expuesto en esta guía está orientado al escrupuloso cumplimiento con los requisitos de la norma. Pero es necesario señalar que la certificación se basa en el cumplimiento de la propia norma, por lo que las organizaciones que quieran afrontar el proceso de certificación tienen que ser conscientes de que esa es la referencia que se va a utilizar para ello, y no esta guía. El proceso de certificación realizada por una entidad como AENOR debe seguir la norma UNEEN ISO/IEC 17021-1 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión. Parte 1: Requisitos. El ciclo de certificación es de tres años (auditoría de certificación, auditoría de seguimiento 1, auditoría de seguimiento 2). En el primero se lleva a cabo la auditoría de certificación en dos fases y se revisa por completo el SGS. El segundo y el tercer año se llevan a cabo auditorías de seguimiento, para monitorizar la marcha del SGS, con una duración menor que la primera y un alcance menor también. Pasados estos tres años, hay que proceder a la recertificación (renovación) del sistema, y se repite el ciclo. El proceso completo se puede ver en la figura 12.1. El proceso de certificación comienza con la selección de una entidad certificadora para auditar y emitir certificados de cumplimiento de la Norma UNE-ISO/IEC 20000-1, como AENOR, a la que se solicitará una oferta para la realización del trabajo. Una vez seleccionada la entidad y aprobada su oferta, se concertarán las fechas de auditoría. Como se indicaba al principio de este capítulo, un proceso de certificación consta de dos fases. En la primera fase, el equipo auditor revisará que exista un SGS que cumple con los requisitos de la norma: • Que el alcance y la política están documentados y son coherentes con las necesidades de la organización. • Que se han definido objetivos, se han medido y se han analizado los resultados. • Que existen los procedimientos para la gestión de la documentación, de la
www.full-ebook.com
competencia del personal, etc. y que están implantados, como por ejemplo que: – La documentación está identificada y correctamente almacenada. – Se ha programado formación y se ha impartido. • Que existen los procedimientos necesarios para la gestión de los servicios. • Que la gestión del ciclo de mejora continua está documentada e implantada; en particular, que: – Se ha planificado y llevado a cabo la auditoría interna. – Se ha realizado la revisión por la dirección y se ha aprobado.
Figura 12.1. Proceso de certificación El equipo auditor emitirá un informe con las no conformidades encontradas y las observaciones que estime oportunas. Si hubiera alguna no conformidad mayor, se deberá resolver antes de la fase dos. La organización tiene que resolver el mayor número posible de no conformidades menores y todas las mayores antes de que dé comienzo la fase dos de la auditoría. Suele haber un periodo de 2 a 4 semanas entre ambas fases para que la organización tenga tiempo suficiente para tomar las acciones necesarias, de forma que en la segunda fase se cumplan adecuadamente todos los requisitos generales de la norma. En la segunda fase, el equipo auditor verificará que se cumplen los requisitos
www.full-ebook.com
pertinentes a todos los procesos de gestión del servicio, sin excepción. Esto es así porque los procesos están interrelacionados, por lo que los beneficios de la implantación de la norma no se podrían materializar si fuera aceptable implantar solo algunos de ellos. Esta comprobación incluirá chequeos de puntos tan significativos como la existencia de: • SLA firmados, vigentes y monitorizados. • Un control financiero con costes y beneficios de los servicios. • Planes de continuidad, de disponibilidad, capacidad, etc. • Registros de incidencias; y que estos contienen la información exigida por la norma. • Registros de problemas (si procede). • La base de datos de configuración (CMDB) y petición de cambios (RfC). Los resultados de esta segunda fase se recogerán en un informe final en el que se detallarán de nuevo las no conformidades y las observaciones, además de las oportunidades de mejora identificadas. Si no se han hallado no conformidades mayores, la organización será recomendada para la certificación y dispondrá de tiempo para solucionar los hallazgos de auditoría hasta la próxima auditoría mediante un PAC (plan de acciones correctivas).
www.full-ebook.com
Anexo A. Tabla comparativa de versiones Para detallar de manera exhaustiva, y la vez clara, las diferencias en los capítulos 4 al 8, se ha desarrollado la tabla A.1, que relaciona los capítulos y apartados de la Norma UNE-ISO/IEC 20000-1:2007 con la nueva UNE-ISO/IEC 200001:2011, considerando la numeración de los nuevos apartados, así como los cambios para cada capítulo/apartado en la nueva versión 2011. Tabla A.1. Comparativa entre versiones UNE-ISO/IEC 20000-1:2007
UNE-ISO/IEC 20000-1:2011
0 Introducción
0 Introducción
1 Objeto y campo de aplicación
1 Objeto 1.1 Generalidades 1.2 Campo de aplicación
Cambios en la nueva versión
2 Normas para consulta
Capítulo nuevo.
2 Términos y definiciones
3 Términos y definiciones
Ampliación de la terminología de 13 a 37 términos.
3 Requisitos de un sistema de gestión
4 Requisitos generales del sistema de gestión del servicio
3.1 Responsabilidad de la dirección
4.1 Responsabilidad de la dirección 4.1.1 Compromiso de la dirección 4.1.2 Política de gestión del servicio 4.1.3 Autoridad, responsabilidad y comunicación 4.1.4
• Se amplía y detalla, incluyendo como parte del compromiso de la dirección: – Comunicar la importancia de cumplir los requisitos legales y regulatorios, así como obligaciones contractuales. • Se amplía y detallan las características de la política de gestión del servicio: – Es la apropiada para el propósito del proveedor del servicio. – Incluye un compromiso de satisfacción de los requisitos. – Incluye un compromiso de mejora continua del SGS y los servicios. – Proporciona un marco para establecer y revisar objetivos. – Es comunicada y entendida por el personal. • La dirección debe asegurar que se implementan y establecen procedimientos documentados de comunicación. • Se detallan las responsabilidades del representante de la dirección para la provisión del servicio. • Asegurar que se realizan las actividades para identificar, documentar y satisfacer los requisitos del servicio. • Asignar autorizaciones y responsabilidades, asegurando la mejora de los
www.full-ebook.com
Representante de la dirección
4.2 Gobierno de los procesos operados por terceros
3.2 Requisitos de la documentación
4.3 Gestión de la documentación 4.3.1 Establecimiento y mantenimiento de documentos 4.3.2 Control de documentos 4.3.3 Control de registros
3.3 Competencia, concienciación y formación
4.4 Gestión de recursos 4.4.1 Provisión de recursos 4.4.2 Recursos humanos
4 Planificación e implementación de la gestión del servicio
4.5 Establecer y mejorar el SGS
4.5.1 Definir el alcance
procesos de gestión del servicio conforme a la política y objetivos. • Asegurar que los procesos de gestión del servicio están integrados con el resto de los componentes del SGS. • Asegurar que los activos se gestionan conforme a los requisitos legales y regulatorios y las obligaciones contractuales. • Informar a la alta dirección del comportamiento y mejoras del sistema de gestión y de los servicios. Apartado nuevo. Se detalla cómo el proveedor del servicio puede demostrar la conformidad con los requisitos de los capítulos 5 al 9 mostrando: • Evidencias de cumplimiento de todos los requisitos (el proveedor del servicio opera todos los procesos directamente), o • Evidencias de cumplimiento de la mayoría de los requisitos, donde deben existir evidencias de gobierno de los procesos, o de parte de los procesos, operados por terceros y que el proveedor del servicio no opera directamente. El proveedor del servicio debe: • Demostrar responsabilidad sobre los procesos y autoridad para exigir adhesión a los mismos. • Controlar la definición de los procesos e interfaces con otros procesos. • Determinar el comportamiento de los procesos y la conformidad con los requisitos de los procesos. • Controlar la planificación y priorización de las mejoras de los procesos. • Si el tercero es externo, se gestiona con el proceso de suministradores. Si el tercero es interno o cliente, se gestiona con el proceso de acuerdos de nivel de servicio.
Se amplía y detalla el apartado de documentación: • Se incluye como documento obligatorio el catálogo de servicios. • Documentación adicional, incluyendo la externa, para la provisión eficaz del servicio. Se debe establecer un procedimiento documentado para el control de documentos y el control de registros.
Se amplía y detalla la provisión de recursos (humanos, técnicos, de información, financieros) para el SGS y los servicios. Se hace referencia al aumento de la satisfacción del cliente. Se amplía y detalla la competencia, concienciación y formación: • Evaluar la eficacia de las acciones realizadas. • Mantener registros apropiados de la educación, formación, habilidades y experiencia.
Se detalla qué debe contener la definición de alcance: • Unidad que provee los servicios y de qué servicios se trata. • Localización geográfica, cliente, tecnología, etc.
www.full-ebook.com
4.1 Planificación de la gestión del servicio (Planificar)
4.2 Implementación de la gestión del servicio y provisión de los servicios (Hacer)
4.5.2 Planificar el SGS (Planificar)
Se amplía y detalla el plan de gestión del servicio, que puede contener o hacer referencia a los contenidos del plan de gestión del servicio y debe tener en cuenta: • Política de gestión del servicio. • Requisitos del servicio Los nuevos contenidos: • Limitaciones conocidas que pueden afectar al SGS. • Políticas, normas, requisitos legales y regulatorios y obligaciones contractuales. • Estructura de autoridades, responsabilidades y roles del proceso. • Autoridades y responsabilidades de los planes, los procesos de gestión del servicio y los servicios. • Enfoque a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de servicios nuevos o modificados. El plan de gestión del servicio estará alineado con los planes de los procesos.
4.5.3 Implementar y operar el SGS (Hacer)
El proveedor del servicio debe implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios de acuerdo con el plan de gestión del servicio.
4.5.4 Monitorizar y revisar el SGS (Verificar) 4.3 4.5.4.1 Monitorización, Generalidades medición y revisión (Verificar) 4.5.4.2 Auditoría interna 4.5.4.3 Revisión por la dirección
Se amplía y detallan las auditorías internas y revisión por dirección. • Auditoría interna: debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para planificar y realizar auditorías, así como para informar sobre los resultados y para el mantenimiento de los registros de auditoría. • Revisión por dirección: aspectos mínimos que debe incluir la revisión por la dirección: – Retroalimentación del cliente. – Comportamiento y conformidad del servicio y de los procesos. – Niveles actuales y previstos de RRHH, técnicos, de información y financieros. – Capacidades humanas y técnicas actuales y previstas. – Riesgos. – Resultados y acciones de seguimiento de las auditorías. – Resultados y acciones de seguimiento de las revisiones de la gestión previas. – Estado de las acciones correctivas y preventivas. – Cambios que puedan afectar al SGS y a los servicios. – Oportunidades de mejora. • Se deben mantener registros de las revisiones por la dirección que deben incluir, al menos, las decisiones y acciones relacionadas con los recursos, la mejora de la eficacia del SGS y la mejora de los servicios.
4.4 Mejora continua (Actuar)
4.5.5 Mantener y mejorar el SGS (Actuar)
4.4.1 Política 4.4.2 Gestión de las mejoras del servicio
4.5.5.1 Generalidades
Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras.
www.full-ebook.com
4.4.3 Actividades
5 Planificación e implementación de nuevos servicios o de servicios modificados
6 Procesos de la provisión del servicio
6.1 Gestión de nivel de servicio
4.5.5.2 Gestión de mejoras
5 Diseño y transición de servicios nuevos o modificados 5.1 Generalidades 5.2 Planificación de servicios nuevos o modificados 5.3 Diseño y desarrollo de servicios nuevos o modificados 5.4 Transición de servicios nuevos o modificados
Se detalla la gestión de mejoras. Se deben priorizar las mejoras, y se deben planificar las aprobadas. Las actividades de mejora incluirán como mínimo: • Establecimiento de objetivos de mejora en uno o más aspectos: calidad, valor, capacidad, coste, productividad, utilización de recursos y reducción de riesgos. • Garantizar que las mejoras aprobadas se apliquen. • Medición de las mejoras implantadas frente a los objetivos establecidos. Y donde estos no se hayan alcanzado, tomar las acciones necesarias. • Informe de las mejoras implementadas. Se amplía el capítulo, dividiéndolo en planificación, diseño y desarrollo, y transición de servicios nuevos o modificados. La planificación de servicios nuevos o modificados debe incluir (o referenciar): • Las actividades a ser realizadas por el proveedor del servicio y terceros incluyendo las de la relación entre ambos. • Las fechas para las tareas planificadas. • Las dependencias de otros servicios. • Las pruebas requeridas para los servicios. Se debe planificar la retirada de servicios: las fechas de la retirada, archivo, eliminación o transferencia de los datos, documentación y componentes del servicio. El diseño y desarrollo de servicios nuevos o modificados debe incluir: • Autoridad y responsabilidad para la provisión de los servicios nuevos o modificados. • Actividades del proveedor del servicio, el cliente y terceros. • Requisitos de RRHH, financieros, etc. • Tecnología, contratos, SLA, planes y políticas, nuevos o modificados. • Actualización del catálogo de servicios. En la transición de servicios nuevos o modificados se debe: • Probar los servicios para verificar que cumplen con los requisitos del servicio, el diseño y los criterios de aceptación. • Utilizar el proceso de entrega y despliegue para hacer uso de los servicios. • Informar de los resultados obtenidos, tras completar las actividades de transición.
6 Procesos de provisión del servicio
6.1 Gestión del nivel de servicio
Se debe acordar un catálogo de servicios con el cliente. El catálogo debe incluir las dependencias entre los servicios y los componentes del servicio. En los SLA acordados con el cliente se deben incluir, además de los objetivos de servicio y la carga de trabajo, los requisitos del servicio y las excepciones acordadas. El proceso de gestión de cambios controla los cambios en el catálogo de servicios, los requisitos del servicio, el SLA y otros acuerdos documentados. Para los componentes de un servicio proporcionados por un grupo interno o cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado, definiendo las actividades y las interfaces entre las dos partes. De igual forma se debe monitorizar el desempeño del grupo interno o cliente.
www.full-ebook.com
6.2 Generación de informes del servicio
6.3 Gestión de la continuidad y disponibilidad del servicio
6.4 Elaboración de presupuesto y contabilidad de los servicios de TI
6.2 Informes del servicio
Los informes se deben documentar y acordar, además de entre el proveedor del servicio y el cliente, con las partes interesadas. Los informes de servicio, además, contendrán información sobre: • El despliegue de servicios nuevos o modificados y las invocaciones del plan de continuidad del servicio. • Las quejas del servicio.
6.3 Gestión de continuidad y disponibilidad del servicio 6.3.1 Requisitos de continuidad y disponibilidad del servicio
El proveedor debe evaluar y documentar los riesgos sobre disponibilidad y continuidad de los servicios. Los requisitos de continuidad y disponibilidad se deben documentar y acordar, además de entre el proveedor del servicio y el cliente, con las partes interesadas.
6.3.2 Planes de continuidad y disponibilidad
El plan de continuidad del servicio debe incluir, al menos: • Los procedimientos a implementar (aplicar) en caso de una pérdida relevante del servicio, o referencia a ellos. • Los objetivos de disponibilidad cuando se invoque el plan. • Los requisitos de recuperación. • El enfoque para el retorno a las condiciones de trabajo normales (anteriormente tratado como “Actividad de vuelta a la normalidad”). El plan de disponibilidad del servicio debe incluir, al menos: • Requisitos de disponibilidad. • Objetivos de disponibilidad.
6.3.3 Monitorización y prueba de la continuidad y de la disponibilidad del servicio
Los planes de continuidad del servicio se prueban contra los requisitos de continuidad del servicio (se elimina “de acuerdo a las necesidades del negocio”). Los planes de disponibilidad se prueban contra los requisitos de disponibilidad.
6.4 Elaboración de presupuesto y contabilidad de los servicios
Debe existir una interfaz entre este proceso y otros procesos de gestión financiera. En la elaboración de presupuestos y contabilidad para los componentes del servicio se incluyen al menos: • Activos, incluyendo licencias, utilizados para proveer los servicios. • Recursos compartidos. • Costes de estructura. • Inversiones y gastos. • Servicios suministrados externamente. • Personal e instalaciones. Se deben distribuir los costes indirectos y asignar los costes directos a los servicios.
6.5 Gestión de la capacidad
6.5 Gestión de la capacidad
El plan de capacidad se debe elaborar, implementar y mantener considerando los recursos humanos, técnicos, de información y financieros. El plan de capacidad debe contemplar, además, el impacto potencial de cambios legales, regulatorios, contractuales u organizacionales. Se alinea con la Norma ISO/IEC 27001. La política de seguridad debe tener en cuenta requisitos de los servicios y legales.
www.full-ebook.com
6.6 Gestión de la seguridad de la información 6.6.1 Política de seguridad de la información
6.6 Gestión de la seguridad de la información 6.6.2 Controles de seguridad de la información
6.6.3 Cambios e incidencias de seguridad de la información
7 Procesos de relaciones 7.1 Generalidades
7.2 Gestión de las relaciones con el negocio
7.3 Gestión de
Se detallan nuevas responsabilidades de la dirección: • Garantizar que se establecen los objetivos de seguridad. • Definir el enfoque a tomar para la gestión de los riesgos de seguridad de la información y los criterios para asumir los riesgos. • Asegurar que se llevan a cabo las evaluaciones de riesgos de seguridad de la información a intervalos planificados. • Asegurar que se realizan auditorías internas de seguridad de la información. • Asegurar que se revisan los resultados de las auditorías para identificar oportunidades de mejora. El proveedor debe implementar y operar controles de seguridad de la información (físicos, administrativos y técnicos) para: • Preservar la confidencialidad, integridad y accesibilidad de los activos de información. • Cumplir con los requisitos de la política de seguridad de la información. • Alcanzar los objetivos de gestión de la seguridad de la información. • Gestionar los riesgos relacionados con la seguridad de la información. El proveedor del servicio debe revisar la eficacia de los controles de seguridad de la información, llevar a cabo las acciones necesarias e informar de las acciones tomadas. El proveedor del servicio debe documentar, acordar e implementar controles de seguridad de la información con las organizaciones externas que tengan que acceder, utilizar o gestionar información o servicios del mismo. Se deben evaluar las peticiones de cambio para identificar nuevos riesgos o riesgos modificados y el impacto potencial sobre la política y los controles de seguridad de la información. Las incidencias de seguridad se deben gestionar a través del proceso de gestión de incidencias, con la prioridad adecuada para los riesgos de seguridad.
7 Procesos de relación
7.1 Gestión de relaciones con el negocio
7.2 Gestión de
El proveedor de servicios debe establecer un mecanismo de comunicación con los clientes. El proveedor de servicios debe revisar con los clientes el comportamiento de los servicios a intervalos planificados. Los cambios de requisitos del servicio deben ser controlados con el proceso de gestión de cambios; los cambios en los SLA deben ser coordinados con el proceso de gestión de nivel de servicio. Se debe acordar un contrato documentado con el suministrador. Los aspectos que debe incluir o a los que se debe hacer referencia en el contrato con los suministradores son: • Alcance de los servicios. • Dependencias entre servicios, procesos y las partes. • Requisitos a ser satisfechos por el suministrador. • Objetivos del servicio. • Interfaces entre los procesos de gestión del servicio ejecutados por el suministrador y por terceros. • Integración de las actividades del suministrador dentro del SGS. • Características de la carga de trabajo.
www.full-ebook.com
suministradores
suministradores
• Las excepciones del contrato y cómo se manejan. • Autoridades y responsabilidades del proveedor del servicio y del suministrador. • Información y comunicación a ser proporcionada por el suministrador. • Actividades y responsabilidades para la finalización normal o anticipada del contrato y la trasferencia de los servicios a terceros. Además, el proveedor del servicio debe verificar que los suministradores principales gestionan a sus suministradores subcontratados para cumplir las obligaciones contractuales. El proveedor del servicio debe revisar periódicamente el comportamiento del suministrador.
8 Procesos de resolución 8.1 Antecedentes
8 Procesos de resolución
8.2 Gestión del incidente
8.1 Gestión de incidencias y peticiones de servicio
Se ajusta el término de “incidente” a “incidencia”. Debe existir un procedimiento documentado. Se diferencia explícitamente entre incidencia y petición de servicio. La priorización de una incidencia o petición de servicio se realiza en función de su impacto y urgencia. La información sobre las entregas (éxito, fracaso, fechas) debe estar disponible para el proceso de gestión de incidencias. Si los objetivos del servicio no se cumplen, se debe informar al cliente y a las partes interesadas, realizando su escalado de acuerdo a un procedimiento. Se debe acordar con el cliente qué es una incidencia grave. La alta dirección debe ser informada de las incidencias graves y debe asegurar que es nombrado un responsable de gestionar las incidencias graves. Una vez restaurado el servicio, las incidencias graves deben ser revisadas para identificar oportunidades para la mejora.
8.3 Gestión del problema
8.2 Gestión de problemas
Cuando la causa raíz de un problema ha sido identificada pero el problema no ha sido resuelto de manera permanente, hay que identificar las acciones para reducir o eliminar el impacto del problema en los servicios. Los errores conocidos deben ser registrados.
9 Procesos de control
9 Procesos de control
9.1 Gestión de la configuración
9.1 Gestión de la configuración
Se cambia el concepto de “política” por “una definición documentada de cada tipo de CI”. Se explicita la información mínima a registrar por CI: descripción del CI, relaciones entre CI, relaciones entre CI y componentes del servicio, estado, versión, ubicación, peticiones de cambio asociadas, problemas y errores conocidos asociados. Se debe documentar un procedimiento para el registro, control y seguimiento de las versiones de los CI. Se indica que los cambios en los CI deben ser trazables y auditables para garantizar la integridad de los CI y los datos de la CMDB. Se debe facilitar información de la CMDB al proceso de gestión de cambios para la evaluación de las peticiones de cambio. Debe existir una política documentada de gestión de cambios que defina: • Los CI bajo control de la gestión de cambios.
www.full-ebook.com
• Los criterios para determinar los cambios con el potencial de tener un gran impacto en los servicios o en el cliente.
9.2 Gestión del cambio
9.2 Gestión de cambios
La transferencia de un servicio al cliente o a un tercero, y la eliminación de un servicio, se deben considerar como un cambio con alto impacto potencial. Las peticiones de cambio clasificadas con gran impacto en los servicios o el cliente se deben gestionar mediante el proceso de diseño y transición de servicios nuevos o modificados. Se debe documentar y acordar con el cliente la definición de los cambios de emergencia. La toma de decisiones en el cambio debe tener en cuenta: • Riesgos. • Impactos potenciales a servicios y clientes. • Requisitos del servicio. • Beneficios del negocio. • Viabilidad técnica. • Impacto financiero. Los cambios aprobados se deben probar. También se debe probar, siempre que sea posible, el mecanismo de marcha atrás. Los registros de la CMDB se deben actualizar tras el despliegue satisfactorio de los cambios.
10 Proceso de entrega 10.1 Proceso de gestión de la entrega
9.3 Gestión de la entrega y despliegue
Los criterios de aceptación para las entregas se deben acordar con el cliente y las partes interesadas. Si los criterios de aceptación no se cumplen, el proveedor del servicio debe tomar una decisión junto con las partes interesadas sobre el despliegue y las acciones necesarias. Las entregas de emergencia se deben gestionar según un procedimiento documentado que se relacione con el procedimiento de cambios de emergencia. Los mecanismos de marcha atrás deben probarse siempre que sea posible.
www.full-ebook.com
Glosario Acuerdo de nivel de servicio, SLA (Service Level Agreement): acuerdo documentado entre un proveedor de servicio y un cliente, que identifica los servicios y los niveles de los mismos acordados. Base de datos de la configuración, CMDB (Configuration Management Database): base de datos que recoge los datos relevantes de cada elemento de configuración y los detalles de las relaciones importantes entre ellos. Centro de atención al usuario: grupo de soporte cara al cliente o usuario que hace una gran parte del trabajo de soporte. Componente del servicio: unidad individual de un servicio que, cuando se combina con otras unidades, provee un servicio completo. Disponibilidad: capacidad de un componente o servicio para realizar la función requerida en un momento definido o durante un periodo definido de tiempo. Documento: información y el soporte que la recoge. Ejemplos de documentos son: políticas, planes, procedimientos, acuerdos de nivel de servicio y contratos. Elemento de configuración, CI (Configuration Item): componente de la infraestructura o elemento que está, o estará, bajo control de configuración. Entrega: recopilación, de uno o más elementos de configuración nuevos o modificados, desplegada en el entorno de producción como consecuencia de uno o más cambios. Error conocido: problema que tiene identificados una causa raíz o un método para reducir o eliminar su impacto sobre un servicio mediante un arreglo provisional. Gestión del servicio: gestión de los servicios que cumple con los requisitos del negocio. Incidencia: cualquier evento que no es parte de la operativa habitual de un servicio y que causa o puede causar una interrupción o una reducción de la calidad de ese servicio. Lanzamiento: colección de elementos de configuración nuevos o modificados que son probados e introducidos juntos en el entorno de producción. No conformidad: incumplimiento de un requisito.
www.full-ebook.com
Parte interesada: persona o grupo que tiene un interés específico en el comportamiento o éxito de la actividad o actividades del proveedor del servicio. Petición de cambio, RfC (Request for Change): propuesta de modificación a aplicar a un servicio, a un componente del servicio o al SGS. Petición de servicio: solicitud de información, consulta, de acceso a un servicio o un cambio previamente aprobado. Problema: causa raíz de una o más incidencias o causa subyacente desconocida de uno o más incidentes. Procedimiento: forma específica para llevar a cabo una actividad o un proceso. Proceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. Proveedor de servicios: organización que tiene como objetivo cumplir con la ISO/IEC 20000. Proveedor del servicio: organización o parte de una organización que gestiona y provee uno o varios servicios al cliente, que puede ser interno o externo. Registro de cambios: registro que contiene detalles sobre los elementos de configuración afectados por un cambio autorizado y sobre cómo son afectados por dicho cambio. Registro: documento que recoge los resultados alcanzados o proporciona evidencia de realización de actividades. Ejemplos de registros son: informes de auditoría, peticiones de cambios, registros de formación, facturas, etc. Requisitos del servicio: necesidades del cliente y de los usuarios del servicio, incluyendo los requisitos de nivel de servicio, y las necesidades del proveedor del servicio. Riesgo: efecto de la incertidumbre sobre la consecución de los objetivos. Servicio: medio de entrega de valor al cliente facilitando que alcance los resultados que quiere lograr. Suministrador: proveedor externo que proporciona servicios que se requieren para el desarrollo de las actividades de la organización. Transición: actividades involucradas en el traslado de un servicio nuevo o modificado desde o hasta el entorno de producción.
www.full-ebook.com
Bibliografía Libros y artículos Fernández Sánchez, C. M. y Piattini, M. (coords.). Modelo para el gobierno de las TIC basado en las normas ISO. AENOR. 2012. Fernández Sánchez, C. M.; Piattini, M. y Pino, F. J. Modelo de madurez de ingeniería del software. AENOR. 2015. Fernández Sánchez, C. M.; Garzas, J. y Morales, M. “DevOps rompiendo las barreras entre desarrollo y operaciones bajo el marco de la agilidad, la ISO 20000 y la ISO 15504/12207”. Revista BYTE. N.º 228. Junio 2015. Fernández Sánchez, C. M. et al. “A maturity model for the Spanish software industry based on ISO standards”. Computer Standards & Interfaces. Vol. 35 (6). Elsevier. Noviembre 2013. Fernández Sánchez, C. M. Calidad en el desarrollo de software. Revista AENOR. N.º 284. Julio/agosto 2013.
Estándares UNE-ISO/IEC 20000-1:2011 Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS). UNE-ISO/IEC 20000-2:2015 Tecnología de la información. Gestión del servicio. Parte 2: Directrices para la aplicación del Sistema de Gestión del Servicio (SGS). UNE-ISO/IEC 20000-3:2015 Tecnología de la información. Gestión del servicio. Parte 3: Directrices para la definición del alcance y la aplicabilidad de la Norma UNE-ISO/IEC 20000-1. ISO/IEC TR 20000-4:2010 Information technology – Service management – Part 4: Process reference model. ISO/IEC TR 20000-5:2013 Information technology – Service management – Part 5: Exemplar implementation plan for ISO/IEC 20000-1. ISO/IEC TR 20000-9:2015 Information technology – Service management – Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud services. ISO/IEC TR 20000-10:2013 Information technology – Service management – Part 10: Concepts and terminology.
www.full-ebook.com
ISO/IEC TR 20000-11 Information technology – Service management – Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®. UNE-ISO/IEC 27000:2014 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI). Visión de conjunto y vocabulario. UNE-ISO/IEC 27001:2014 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI). Requisitos. UNE-ISO/IEC 27002:2015 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información. UNE-EN ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos y vocabulario. UNE-EN ISO 9001:2015 Sistemas de gestión de la calidad. Requisitos. UNE-EN ISO 9004:2009 Gestión para el éxito sostenido de una organización. Enfoque de gestión de la calidad. UNE-EN ISO 19011:2012 Directrices para la auditoría de los sistemas de gestión. UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices. UNE 66177:2005 Sistemas de gestión. Guía para la integración de los sistemas de gestión.
Herramientas GLPI (glpi-project.org): herramienta de software libre con la que se puede construir un inventario de activos y funcionalidades para hacer seguimiento de trabajos y notificaciones, y construir una base de datos con información básica sobre la topología de su red. ITOP (www.combodo.com): herramienta de software libre para adoptar buenas prácticas de gestión de servicios a su ritmo, pudiendo gestionar tanto el software como el hardware y los servicios asociados. OTRS (www.otrs.com): herramienta de software libre de tickets que se emplea en la asistencia a clientes, la asistencia de escritorio y la gestión de servicios informáticos.
www.full-ebook.com
Referencias Web AENOR (Asociación Española de Normalización y Certificación): www.aenor.es. ISO (International Organization for Standardization): www.iso.org. ITSMF (Information Technology Service Management Forum): www.itsmfi.org.
www.full-ebook.com
Sobre los autores Ana Andrés Álvarez es Ingeniera de software por la University of Salford (Reino Unido), CISA, CISM, Auditora Jefe de ISO/IEC 15504 e ISO/IEC 12207 por AENOR y Lead Auditor de ISO/IEC 27001 e ISO/IEC 20000-1 por entidad certificadora internacional. Con más de 20 años de experiencia en sistemas de gestión, ha trabajado en implantación y operación de sistemas de gestión de la calidad, de los servicios, de seguridad de la información y de mejora de procesos de software. Ha tenido bajo su responsabilidad proyectos en entornos de empresas tanto públicas como privadas y en sectores diversos (financieros, industriales y de servicios). Actualmente es socia-directora de Dársena 33, empresa de servicios de consultoría en el ámbito TIC. Carlos Manuel Fernández Sánchez es Ingeniero en Informática por la Universidad Politécnica de Madrid (UPM), Máster en Dirección de Empresas por CECO, diplomado en Estudios avanzados en informática por la Universidad Pontificia de Salamanca en Madrid (UPSAM), Diplomado en ADE en CEPADEUPM, y CISA y CISM por ISACA. Tiene más de 35 años de experiencia en el sector de las TIC en España, Europa y América. Desde 2004 es Gerente de certificaciones TIC en AENOR (Desarrollo, investigación y certificación en la Gerencia de TICs de la Dirección Comercial de Certificación-Evaluación de la Conformidad en: España, Europa y Latinoamérica). Además es profesor de la Universidad Internacional de La Rioja (UNIR); profesor de los máster de auditoría de sistemas de información y seguridad en la Universidad Politécnica de Madrid (UPM), Universidad Autónoma de Madrid (UAM) y Universidad Sergio Arboleda (Colombia-España); patrono de la Fundación I+D Software libre; directivo del Colegio Profesional de Ingenieros en informática de Madrid (CPIICM); fundador de la Asociación de Auditores Informáticos de España – ASIA– Capítulo ISACA Madrid y miembro de la Asociación Europea de CIOs (CIONET). Boris Delgado Riss es Ingeniero en Informática por la Universidad Pontificia de Salamanca (UPSAM), Máster en Seguridad y auditoría informática por la Universidad Politécnica de Madrid (UPM), CISA y CISM por ISACA, y certificado en ITIL. Tiene más de 15 años de experiencia como consultor y auditor en TIC en España y Latinoamérica. Desde 2007 es Auditor jefe de TIC en AENOR (Desarrollo, Investigación y Certificación en la Gerencia de TICs de la Dirección Comercial de Certificación-Evaluación de la Conformidad). Además
www.full-ebook.com
es profesor de la Universidad Internacional de La Rioja (UNIR), colegiado en el Colegio profesional de ingenieros en informática de Madrid y miembro asociado del Chapter Madrid – ISACA.
www.full-ebook.com
www.full-ebook.com
www.full-ebook.com
Gestión por procesos y riesgo operacional Pardo Álvarez, José Manuel 9788481439496 228 Páginas
Cómpralo y empieza a leer Todas las organizaciones están implicadas en procesos cuyo profundo conocimiento es fundamental para intentar mejorar, siendo eficaces y ganando en competitividad. Este libro ayuda a las organizaciones en la gestión del riesgo operacional y nos encamina hacia una mejora continua, de cara a nuestro negocio y también a nuestros clientes. En el desempeño de estos procesos surgen incidencias que, implantando unas herramientas y técnicas determinadas, podemos solventar fácilmente. Cómpralo y empieza a leer
www.full-ebook.com
www.full-ebook.com
Créditos Título: Guía práctica de ISO/IEC 20000-1 para servicios TIC. ePUB Autores: Ana Andrés Álvarez, Carlos Manuel Fernández Sánchez y Boris Delgado Riss © AENOR (Asociación Española de Normalización y Certificación), 2016 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR. ISBN: 978-84-8143-930-4 Impreso en España - Printed in Spain Edita: AENOR Maqueta y diseño de cubierta: AENOR Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695 [email protected] • www.aenor.es
www.full-ebook.com
Agradecimientos Queremos expresar nuestro agradecimiento en primer lugar a María Vázquez Iglesias, de Dársena 33, por su colaboración para la elaboración de este libro. A las empresas que han implantado y certificado este estándar, y a los auditores de AENOR y de entidades colaboradoras, por su trabajo de campo y colaboración constante. A la asociación ITSMF – Chapter España (Madrid) por su apoyo y colaboración para la divulgación de esta norma. A la Dirección de Comunicación de AENOR por su ayuda y soporte en la publicación de artículos de ISO en las TIC. A la Dirección Comercial de Certificación, a la Dirección de Servicios de Información y al Departamento Editorial de AENOR por su ánimo y apoyo constantes, haciendo posible que esta publicación concluyera con éxito. Ana Andrés Álvarez Carlos Manuel Fernández Sánchez Boris Delgado Riss
www.full-ebook.com
Introducción En nuestra sociedad tecnificada, el sector industrial ha ido cediendo espacio al sector servicios de manera muy significativa. La problemática que presenta la gestión de la producción de servicios, y en particular de los servicios de TI, ha ocasionado que en esta nueva industria se hayan reutilizado rápidamente muchos métodos de gestión existentes. Pero la experiencia se ha encontrado con muchas dificultades, ya que hay muchos aspectos que no quedan cubiertos, mientras que otros no es posible aplicarlos; así, poco a poco, han ido surgiendo nuevas maneras de gestión. Mientras que algunos marcos de trabajo se han hecho con un nombre en los últimos 30 años y han sido ampliamente utilizados por grandes organizaciones, había una gran parte de la industria a la que le hacía falta un enfoque más preciso y limitado a la hora de requerir recursos; necesidad que vino a cubrir la Norma UNE-ISO/IEC 20000-1 publicada en su primera versión en el año 2005. En este corto espacio de tiempo, aun tratándose de una época difícil, se ha visto cómo la industria abrazaba esta norma debido a que proporcionaba una metodología para afrontar las complejidades de la gestión de servicios de una manera ordenada y asequible, tanto técnica como económicamente. La Norma UNE-ISO/IEC 20000-1, que proporciona las herramientas para diseñar, crear y operar los servicios de manera eficaz y eficiente, se ha visto actualizada en 2011 y es la utilizada en la elaboración de esta publicación. Se acompaña de otras dos normas que le dan soporte, aunque no son objeto de esta guía: UNE-ISO/IEC 20000-2, que proporciona directrices para la aplicación del sistema de gestión del servicio; y la UNE-ISO/IEC 20000-3, que las da para la definición del alcance y la aplicabilidad de la norma. En la presente guía se detallan los requisitos que plantea la norma para la definición e implantación del sistema de gestión, así como los que presenta el establecimiento de los procesos asociados con la gestión de servicios.
Objetivo de esta guía Al abordar la realización de la guía, nuestro objetivo principal ha sido el de colaborar en aportar valor a la organización que decida afrontar la aventura de una mejor gestión de sus servicios.
www.full-ebook.com
En cualquier empresa, y en las pymes de manera apremiante, los recursos son limitados y por tanto es importante hacer uso y sacar provecho de cualquier herramienta disponible que sirva para utilizarlos de la mejor manera. Si a los beneficios de la norma les incorporamos pautas para implantarla como las que intenta aportar esta guía, resolviendo dudas y sugiriendo soluciones, queda claro que su pretensión última es que la implantación de la norma sea fácil, barata y rentable. Con este fin, se quiere facilitar la tarea: • A todos aquellos que no están familiarizados con las normas ISO, explicando los principales conceptos relacionados con los sistemas de gestión. • A todos aquellos que no están habituados con los conceptos de la gestión de servicios, detallando los principios y directrices de este aspecto de la gestión. • A quienes quieren implantar la gestión de servicios y no cuentan con el conocimiento necesario para ello. • A quienes necesitan soporte para adaptar la norma a su organización. Con todo ello se pretende que los conceptos relacionados con la gestión de los servicios de TI sean más fáciles de asimilar en cualquier organización y apoyar la idea de que es posible gestionarlos de manera más eficaz y eficiente, haciendo que esta gestión rinda beneficios tangibles y cuantificables al negocio. Con respecto al futuro de los servicios de TI (Tecnologías de la Información) y su relación con el desarrollo de aplicaciones (software), este libro posibilita una solución ágil al concepto “DevOps” (Development-Operations), teniendo en cuenta metodologías ágiles en el desarrollo de nuevas aplicaciones, tal y como se puede apreciar en el artículo de Fernández Sánchez, Garzás y Morales “DevOps rompiendo las barreras entre desarrollo y operaciones bajo el marco de la agilidad, la ISO 20000 y la ISO 15504/12207”. Revista BYTE. Junio 2015.
www.full-ebook.com
Capítulo 1. Conceptos de gestión de servicios 1.1. Qué es un servicio TI Todos estamos familiarizados con los servicios en nuestra vida cotidiana. Utilizamos servicios bancarios, de telefonía, de educación, sanitarios, etc. En muy poco tiempo nuestra sociedad ha pasado de ser una sociedad industrial, que producía bienes tangibles, a una de servicios, donde los productos ya no son materiales ni visibles. Algunas de las definiciones que proporciona el Diccionario de la lengua española para “servicio” dejan claro de qué hablamos: • 16. m. Organización y personal destinados a cuidar intereses o satisfacer necesidades del público o de alguna entidad oficial o privada. Servicio de correos, de incendios, de reparaciones. • 17. m. Función o prestación desempeñadas por organizaciones de servicio y su personal. Para las normas ISO la definición es: • Medio de entrega de valor al cliente facilitando que alcance los resultados que quiere lograr. Los servicios que utilizan tecnologías de la información y las comunicaciones son servicios TI. Esta utilización es la que marca la diferencia con el resto de servicios. Las implicaciones de este uso los hace especiales en muchos sentidos: • Se puede ser mucho más productivo, atendiendo a más clientes con los mismos recursos. • Se puede ser más innovador, creando servicios nuevos para las nuevas necesidades de usuarios cada vez más exigentes y sofisticados. • Se puede dar más calidad y más prestaciones sin aumentar los gastos de manera proporcional. Por supuesto las ventajas tienen su contrapartida: • Hay que tener conocimientos técnicos significativos si queremos resultados. • Los costes de creación y mantenimiento pueden ser importantes y escalar sin
www.full-ebook.com
control. • Una mala atención al cliente puede hundir el servicio mejor diseñado.
1.2. La calidad de los servicios Como ya no vemos ni tocamos los productos, puede parecer que es más difícil saber en qué consiste la calidad de los servicios. Nada más lejos de la realidad. En nuestra vida cotidiana tenemos infinidad de casos en los que sabemos si un servicio es de calidad o no. Si vamos a tomar un café en un establecimiento y tardan en servirnos, nos dan un café frío, amargo, o incluso una manzanilla, si nos cobran mal… ¿diríamos que el servicio ha sido bueno? Lo mismo sienten nuestros clientes si no atendemos sus demandas, si no les suministramos lo que querían o si no hacemos lo que se espera de nosotros. Los criterios de calidad de un producto solo se pueden extrapolar en parte a los servicios. Hay que pensar de otra manera, pero todos somos usuarios de servicios, por lo que debemos pensar en lo que nosotros mismos valoramos como clientes o como usuarios, por ejemplo: • La disponibilidad del servicio: que esté ahí cuando lo necesitamos. • La rapidez con la que se presta el servicio: que no haya demoras en su entrega. • La capacidad: que podamos almacenar toda nuestra información, que pueda atender al mismo tiempo a todos nuestros usuarios, que acoja nuestro volumen de transacciones, etc. • La mejora continua: que se solucionen rápido los errores o fallos que inevitablemente se producirán. Hay que identificar qué características de nuestros servicios son las que los clientes valorarán y, por tanto, estarán dispuestos a pagar. Estas características serán nuestro sello de calidad.
1.3. Qué es la gestión de servicios Podemos definir la gestión de servicios como el conjunto de capacidades y procesos para dirigir y controlar las actividades del proveedor de servicios, y los recursos para el diseño, transición, provisión y mejora de los servicios para cumplir con los requisitos de los contratos. Dicho en una frase parece sencillo, pero cualquiera que se haya enfrentado al reto
www.full-ebook.com
sabe que no es así. Hay multitud de factores, condicionantes, requisitos e implicados, que hacen de la gestión de servicios una tarea compleja en todas sus vertientes: de gestión del negocio, financiera, técnica y humana. Manejar de manera precisa y eficiente todos estos elementos es un proceso que necesita herramientas y conocimiento que no siempre están disponibles en las organizaciones. También ocurre con frecuencia que se tiene el convencimiento de que nuestro negocio solo lo conocemos nosotros, y quiénes mejor, por tanto, para diseñar un nuevo método para gestionarlo que se ajuste a nuestras necesidades y capacidades. Si bien esto es cierto, los beneficios de no empezar de cero, sino partiendo de la experiencia y conocimientos de muchos expertos de distintos ámbitos, condensados en las buenas prácticas relacionadas con la gestión de servicios, no pueden sino beneficiarnos.
1.4. Contexto de aplicación Para los propósitos de esta guía, se considera que el contexto de aplicación de la Norma UNE-ISO/IEC 20000-1 son pymes que prestan servicios de TI. Está claro que el concepto de pyme abarca desde microempresas con menos de diez trabajadores hasta medianas empresas con un par de cientos de trabajadores. Sin embargo, y salvo excepciones, debería ser posible aplicar los requisitos de la norma en todos ellos de manera similar. Las diferencias en la implantación suelen venir dadas por la estructura organizacional o por la cultura de la organización, que marcan pautas que la distinguen de sus colegas y competidores. Pero la filosofía, por así decirlo, de la gestión es la misma. Haciendo el ejercicio de pensar en grandes empresas, la metodología habitual para la gestión de los servicios en este tipo de empresas es la versión original y ampliada de lo que propone la norma. Por lo tanto todos aquellos con dudas acerca de si la norma se puede aplicar en su organización, pueden dejar de preocuparse por este aspecto. La norma se aplica a todo tipo de organizaciones, del sector que sean, del tamaño que sean, tengan la estructura que tengan. Las directrices serán las mismas para todos, y lo que variará será la manera de aplicarlas en la organización.
1.5. Principios básicos En nuestra experiencia hay tres principios básicos que rigen la gestión de
www.full-ebook.com
servicios: • Hay tres factores que deben equilibrarse: coste, tiempo y calidad. A pesar de las peculiares características de los servicios de TI, los clientes siguen esperando las mismas cosas que de otro tipo de productos o servicios: que les den lo que han comprado (calidad), que sea barato (coste) y que se lo den cuando lo piden (tiempo). Los proveedores tienen que encontrar la manera de suministrar los mejores servicios al mejor precio y a tiempo. No es nada nuevo en cualquier gestión de proyectos, pero aquí se añaden las dificultades de la complejidad de la provisión de servicios, con sus numerosos elementos y relaciones entre ellos. • Siempre es más barato solucionar errores en planificación que en operación. Tomar precauciones para que alguien no autorizado entre en nuestras instalaciones es más barato que solucionar una intrusión y los daños derivados de ella. En nuestra vida cotidiana tenemos numerosos ejemplos de que esto es así; sin embargo, cuando se plantea lanzar un servicio al mercado es sorprendente la falta de previsión y planificación con la que se hace en numerosas ocasiones. Planificar marca la diferencia entre un servicio prestado de manera profesional y seria, y un servicio prestado con buena voluntad. • La mejora continua no es opcional. Los tiempos cambian, nuestros clientes cambian, las tecnologías cambian. Todo ello supone retos y oportunidades para mejorar y mantenernos como proveedores de confianza para nuestros clientes. Si no es así, nosotros mismos nos echaremos fuera del mercado. O mejoramos o nos quedaremos atrás. Es muy fácil ver que la norma recoge estos tres principios en la manera en la que está pensada y estructurada. La gestión de servicios se plantea como un requisito de negocio para prestar servicios adecuados a los clientes a un coste aceptable para la organización. Esto implica saber y documentar lo que esperan nuestros clientes y lo que vamos a darles; vigilar lo que cuestan los distintos elementos de los servicios prestados; y trabajar en todo momento para hacer las cosas bien de manera que sea más rápido, y por tanto más barato, prestar los servicios al nivel que se pretende.
1.6. Buenas prácticas: las normas ISO Las normas ISO son las responsables de que nuestra vida sea más fácil. En numerosos ámbitos, la normalización ha supuesto una racionalización de prácticas
www.full-ebook.com
y usos. La manera de funcionar de ISO, en la que colaboran muchísimos países, con comités de expertos en cada materia, hacen que las normas ISO sean de un valor incalculable a la hora de diseñar, fabricar y comercializar productos y servicios, puesto que cualquier cliente en cualquier punto del planeta puede estar razonablemente seguro de que lo que compra es lo que viene definido por las normas que se le apliquen. En el caso de los sistemas de gestión, con la Norma ISO 9001 lanzada en 1987, se han sentado a nivel mundial las bases de lo que hoy se conoce como calidad y mejora continua. Una empresa certificada en Japón y otra en España cumplen con los mismos requisitos en ambos casos. Esto da tranquilidad y confianza a los clientes de que los productos y servicios ofrecidos por estas organizaciones son lo que pueden esperar según lo establecido en las normas aplicables. Con el tiempo, otras normas como la ISO 14001 para la gestión medioambiental, la ISO/IEC 27001 para la gestión de la seguridad de la información, etc., han ido cubriendo aspectos de la gestión que la industria iba requiriendo. Las buenas prácticas que recogen estas normas ISO permiten a cualquier organización afrontar la gestión, a veces compleja, de una manera más fácil y rápida que si tuvieran que investigar por su cuenta cómo hacerlo, y luego ir probando métodos y herramientas hasta dar con la que funcione. Además, simplemente proponen los requisitos más básicos de la gestión, por lo que a partir de ahí las empresas pueden ir mejorando y ampliando según sus necesidades y recursos. Es decir, no limitan la actuación de las organizaciones, simplemente sientan las bases para que puedan funcionar de manera eficaz con un método probado y consensuado por una parte importante de la industria. La evolución positiva del número de empresas que adoptan las normas ISO de manera voluntaria no hace más que confirmar la utilidad de estas normas y reconocer el valor que aportan a las organizaciones.
www.full-ebook.com
Capítulo 2. La norma UNE-ISO/IEC 20000-1 y la gestión de los servicios La norma UNE-ISO/IEC 20000-1 Tecnología de la Información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS) ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la información1. La segunda edición, publicada en 2011, anula y sustituye a las normas UNE-ISO/IEC 20000-1:2007 y UNE- ISO/IEC 2000-1:2007/1M:2009. Esta norma es la traducción y adopción por parte de España (AENOR) de la norma internacional ISO/IEC 20000-1:2011. Con esta norma, ISO ha puesto a disposición pública una manera eficaz y eficiente de enfrentarse a la gestión de los servicios mediante procesos derivados de buenas prácticas reconocidas por la industria. Además, y como el resto de las normas relacionadas con los sistemas de gestión en el ámbito de ISO, esta norma tiene embebida la mejora continua, por lo que disponemos de buenas prácticas que ya han probado su validez y utilidad en todo tipo de organizaciones, y que podemos ir mejorando con el tiempo de acuerdo con nuestras necesidades. En resumen, lo que la norma propone es desarrollar un sistema de gestión (con sus directrices, objetivos y medios de verificación) aplicado sobre procesos que ya han demostrado sobradamente su utilidad en la gestión de servicios.
2.1. Características de la nueva versión Aunque la mayor parte de los requisitos básicos permanecen idénticos en las dos versiones, si tenemos un sistema de gestión del servicio (SGS) basado en la versión anterior y queremos actualizarlo, se han producido cambios significativos que conviene tener en cuenta. Los cambios a alto nivel en la nueva versión de 2011 con respecto a la versión anterior son los siguientes: 1. Mayor armonización con la norma ISO 9001. 2. Mayor armonización con la norma ISO/IEC 27001. 3. Cambio en la terminología para reflejar usos internacionales.
www.full-ebook.com
4. Inclusión de muchas más definiciones, modificación de algunas, y eliminación de dos definiciones. 5. Inclusión del término “sistema de gestión del servicio”. 6. Unificación de los capítulos 3 y 4 de la norma UNE-ISO/IEC 20000-1:2005 para incluir todos los requisitos del sistema de gestión en un solo capítulo. 7. Clarificación de los requisitos para el gobierno de los procesos operados por terceros. 8. Clarificación de los requisitos para definir el alcance del sistema de gestión del servicio (SGS). 9. Clarificación de que la metodología PHVA (Planificar-Hacer-VerificarActuar, PDCA en inglés) se aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios. 10. Inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados. 11. En la descripción de cada proceso se elimina el párrafo “objetivo”. 12. El proveedor de servicios considera siempre a “los clientes y partes interesadas”. 13. Se tiende a sustituir “necesidades y/o requisitos del negocio” por “necesidades y/o requisitos del cliente y partes interesadas”. 14. En muchos casos se indica explícitamente “debe existir un procedimiento/proceso documentado”. En algunos casos se habla de procedimientos o referencias a ellos. Los requisitos de la norma incluyen el diseño, transición, provisión y mejora de los servicios para cumplir con los requisitos del servicio, y para aportar un valor tanto para el cliente como para el proveedor del servicio. Además, se requiere del proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece, implementa, opera, controla, revisa, mantiene y mejora un SGS. Cuando se utilizan dentro de un SGS, los aspectos más importantes de un enfoque de procesos integrados y de la metodología PHVA son los siguientes (véase la figura 2.1): • Entender y cumplir los requisitos de servicio para lograr la satisfacción del cliente.
www.full-ebook.com
• Establecer la política y objetivos de la gestión del servicio. • Diseñar y proveer, mediante el SGS, servicios que aportan valor al cliente. • Monitorizar, medir y revisar el comportamiento del SGS y de los servicios. • Mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas.
Figura 2.1. Ciclo PHVA de mejora continua en la gestión del servicio La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios, pero es muy valiosa para gestionar estos requisitos de una manera eficaz y eficiente.
2.2. Diferencias entre las dos versiones Los cambios más relevantes se muestran a continuación. El detalle de los cambios entre las versiones de UNE-ISO/IEC 20000-1:2007 y UNE-ISO/IEC 200001:2011 se desglosa en el anexo A de este libro. • Apartado 1.1 Generalidades: la Norma UNE-ISO/IEC 20000-1:2011 (en adelante, UNE-ISO/IEC 20000-1), especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos incluyen el diseño, transición, provisión, y mejora de los
www.full-ebook.com
servicios para satisfacer los requisitos de servicio. Puede ser utilizada por cualquier organización que quiera: – Garantías de que los servicios que presta un proveedor de servicios cumplen con los requisitos estipulados. – Un enfoque consistente para gestionar a todos sus proveedores del servicio, incluidos los de una cadena de suministro. – Acreditar ante sus clientes actuales o potenciales su capacidad de suministrar servicios adecuados a los requisitos estipulados. – Controlar sus procesos de gestión del servicio y los servicios para su funcionamiento óptimo. – Mejorar la gestión de sus servicios mediante una implementación y operación eficaces del SGS. – Someter a la evaluación de un asesor o auditor, la conformidad del SGS de un proveedor del servicio respecto a los requisitos la norma. La figura 2.2 muestra el SGS, e incluye los procesos de gestión del servicio. Los procesos de gestión del servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada proveedor del servicio. • Apartado 1.2 Campo de aplicación: todos los requisitos son aplicables a cualquier proveedor de servicios, independientemente del sector en que opere, el tamaño o el tipo de organización. Los requisitos recogidos en los capítulos 4 al 9 deben ser cumplidos sin excepción. Las evidencias del cumplimiento del punto 4 deben ser demostradas por el proveedor del servicio aunque los procesos sean operados por terceros. La evidencia del cumplimiento del resto de los requisitos debe ser igualmente presentada. • Capítulo 2 Normas para consulta: sin cambios relevantes. • Capítulo 3 Términos y definiciones: las definiciones disponibles se amplían, con respecto a la edición anterior, de 13 a 37. En algunos casos, las definiciones existentes se han redefinido. Por ejemplo, CI (elemento de configuración), CMDB, la inclusión del término “accesibilidad” en la definición de seguridad de la información, etc.
www.full-ebook.com
Figura 2.2. Sistema de gestión del servicio 1 En este libro se ha utilizado indistintamente Sistema de Gestión de Servicios de TI (SGSTI) o Sistema de Gestión de Servicios (SGS) para hacer referencia a la Norma UNE-ISO/IEC 20000-1:2015.
www.full-ebook.com
Capítulo 3. El proyecto de implantación Plantear la implantación de un sistema de gestión de servicios de TI con la norma UNE-ISO/IEC 20000-1 requiere grandes dosis de compromiso por parte de la dirección. Este tipo de proyectos necesitan tiempo y dedicación, que no se destinarán al proyecto si no es con ese compromiso. Contando con ello, el proyecto debe comenzar identificando las prioridades de la organización en cuanto a sus servicios. Esto dará el punto de partida para marcar los objetivos y la dirección que tomará el proyecto. Como esas prioridades ya están en cierto modo imbricadas en la actividad de la organización, no será difícil asumir el comienzo de las mejoras por esos aspectos.
3.1. Recomendaciones Hay varios puntos clave que deben ser tratados con esmero, ya que constituyen poderosas herramientas para garantizar el éxito del proyecto: • Ser realistas a la hora de planificar: si la planificación es demasiado ambiciosa en cuanto a tiempos y plazos, hay muchas probabilidades de fracasar, impidiendo la materialización de los beneficios. Si bien es cierto que alargar mucho estos plazos tampoco ayuda a que el proyecto se desarrolle adecuadamente, porque el entusiasmo y el compromiso iniciales pueden decaer con el tiempo, y la falta de resultados puede mermar la credibilidad del proyecto. • Limitar el alcance a los recursos que se puedan dedicar: como ninguno de los requisitos de la norma puede ser excluido, esta limitación del alcance tiene que hacerse en función de los servicios o las áreas del negocio en los que se quiera implantar el sistema de gestión de los servicios. Es decir, si suministramos varios servicios, escoger únicamente un subconjunto de ellos para incluir en el SGS. O bien, si nuestra organización se encuentra dividida en áreas de negocio, escoger una o varias para hacerlo. La parte de la organización que se escoja para el proyecto tiene que ser relevante para el negocio, o no se verán los beneficios de la implantación de la gestión de servicios. También es cierto que, para empresas muy pequeñas, en muchas ocasiones la mejor estrategia es que el alcance abarque toda la organización, porque no es posible o práctico seccionarlo.
www.full-ebook.com
• Ser pacientes a la hora de mostrar los resultados: aunque la planificación y el alcance sean perfectos para las necesidades y recursos de la organización, los beneficios de la gestión de servicios nunca van a ser inmediatos. Se necesita un cierto tiempo para que la puesta en marcha de esta gestión ponga en evidencia los fallos que se estaban cometiendo y las mejoras que se han introducido. Además, las personas directamente involucradas en la ejecución de tareas, por ejemplo en la resolución de incidentes, verán antes que se trabaja mejor, con menos esfuerzo y tensión, y resolviendo en menos tiempo estos incidentes. Sin embargo, escalar estas mejoras hacia la dirección requiere recoger datos fehacientes de que esto es así, por lo que hay un periodo de tiempo en el que, aunque los beneficios ya estén ahí, estos no son suficientes para que el negocio los perciba.
3.2. Problemas habituales Un proyecto de esta complejidad va a generar inevitablemente problemas, de los cuales los más graves por su frecuencia e impacto son: • Querer hacerlo todo a la vez: como es un tema complejo, una vez decidido que se va a abordar la implantación de un SGS, algunas organizaciones se ven tentadas a querer hacerlo para toda la organización sin haber valorado si están preparadas para ello, tanto cultural como económicamente. La resistencia al cambio de alguna parte importante de la organización puede dar al traste con el proyecto mejor planteado. Por ello es importante escoger aquellas partes de la organización que sean menos reacias al mismo o, al menos, que no supongan una amenaza clara para el proyecto. En cuanto al coste económico, hay que valorar si se pueden dedicar todos los recursos humanos necesarios para hacer una implantación de esa envergadura y si se está dispuesto a hacer el desembolso que probablemente irá asociado a esa implantación. Empezar un proyecto que no se puede continuar por falta de recursos es muy frustrante y contraproducente de cara al futuro, ya que las próximas iniciativas de mejora se verán lastradas por este fracaso. • Compromiso que declina con el tiempo: pasadas las primeras fases del proyecto, las dificultades que entraña y la impaciencia por alcanzar resultados pueden ocasionar que el compromiso de la dirección no se mantenga en el tiempo, por lo que se añadirá presión al proyecto y quizá se retiren recursos; con ello se estará colaborando activamente al fracaso del proyecto.
www.full-ebook.com
• Objetivos poco realistas que no se llegan a alcanzar: la gestión de servicios es, como ya hemos advertido, un tema complejo que involucra a toda la organización, de arriba abajo y transversalmente. Con tantas partes implicadas en una tarea con tantas facetas, es fácil que haya expectativas que no se ajusten a la realidad. Hay que informar adecuadamente desde el principio de los objetivos del proyecto, de lo que se espera de cada uno y de la aportación de la dirección; así como, posteriormente, de la marcha del proyecto y de los resultados que se están obteniendo, intentando en todo momento que las expectativas de las distintas partes se vean satisfechas. Para ello es importante mantenerlas dentro de lo posible y alcanzable.
www.full-ebook.com
Capítulo 4. El sistema de gestión de servicios de TI 4.1. Introducción En este capítulo se desglosan los distintos requisitos que debe cumplir el sistema de gestión. Por un lado están los intrínsecos del sistema (los requisitos generales), que definen un marco de trabajo orientado a la mejora continua; y por el otro, los de los distintos procesos que componen la metodología de gestión del servicio propuesta por la norma. Para cada proceso se muestra un modelo del mismo, con los siguientes elementos: • Entradas: información, datos y cualquier otro elemento que sea necesario para llevar a cabo el proceso. • Actividades: tareas típicas que se pueden encontrar en este proceso, determinadas por la norma. • Salidas: información, datos, servicios y cualquier otro elemento que sea producto de la realización del proceso. • Puntos de control: tareas o información utilizadas para verificar que el proceso se está realizando conforme a lo establecido. Además, en cada proceso se incluye también una síntesis, enfocada a resaltar y reforzar las principales ideas y conceptos de cada uno. En la síntesis se definen: • Objetivo del proceso: para qué sirve, qué es lo que se pretende obtener de su aplicación. • Aspectos claves: aquellos que no es posible obviar sin desvirtuar el objetivo del proceso o ponerlo en peligro; qué es lo que hay que hacer para alcanzar el objetivo. • Indicadores y medidas: se proponen en este punto algunos indicadores y medidas asociadas con ellos, de manera que se pueda medir objetivamente la buena marcha del proceso, verificando si se está alcanzando el objetivo.
4.2. Los requisitos generales En el capítulo 4 se detallan los requisitos que debe tener el sistema de gestión de
www.full-ebook.com
servicios, es decir, cómo se define, desarrolla e implementa dicho sistema.
Figura 4.1. Sistema de gestión del servicio y sus procesos Quien esté familiarizado con los sistemas de gestión de las normas ISO no verá diferencias significativas con cualquier otro sistema de gestión. Se basa en el compromiso de la dirección, debe haber una política, hay que documentar, gestionar esta documentación, implantar y mejorar el sistema de gestión. Aunque la norma no lo exige, crear un manual en el que se recojan todos aquellos temas que la norma pide documentar y definir el SGS es una buena práctica que facilita el cumplimiento. Una manera de representar el SGS y los distintos procesos involucrados se muestra en la figura 4.1: por un lado tenemos un cliente que requiere los servicios prestados por un proveedor que, utilizando los procesos de creación de nuevos servicios, provisión del servicio, relación, resolución y control, es capaz de suministrarlos y de obtener una importante base de datos de la configuración (CMDB) como productos de salida. Los procesos se comunican entre sí, facilitándose la información que les hace falta para rendir al máximo en su ejecución; de ahí que haya relaciones en ambos sentidos entre todos los grupos de procesos. Este trasvase de información, que se recogerá en la base de datos de la configuración, es tan importante para una buena gestión como los propios procesos. El proceso de mejora continua va embebido en todo el circuito para permitir la corrección de errores y la identificación de oportunidades de mejora, y para
www.full-ebook.com
conseguir los objetivos que se hayan marcado en el menor tiempo posible y con la mayor eficacia. Es decir, además de tener un ciclo de mejora continua general, los trece procesos del estándar tendrán a su vez un sencillo ciclo de mejora continua (PHVA). Los requisitos generales del SGS establecen las bases cruciales para una buena gestión del servicio: son el marco de trabajo para que el esfuerzo que se le dedique al SGS rinda beneficios rápidamente. Las relaciones entre los procesos se muestran en la tabla 4.1, distinguiendo entre “e” (entradas), y “s” (salidas), según el proceso de la primera columna funcione como entrada para otros procesos, como salida o incluso, en los casos de realimentación, siendo tanto entrada como salida (e/s). Tabla 4.1. Relaciones entre procesos Diseño y transición de servicios nuevos Diseño y transición de servicios nuevos/modificados Gestión del nivel de servicio
Gestión Elaboración del Informes Gestión de la de Gestión Gestión nivel del continuidad y presupuesto de la de la de servicio disponibilidad y capacidad seguridad servicio contabilidad
e
s
Informes del servicio
e/s
e
e
e
e
e
e
e/s
Gestión de la continuidad y disponibilidad
s
Elaboración de presupuesto y contabilidad
Gestión de Gestión de relaciones suministradores con el negocio
Gestión de incidencias Gestión Gestión de la y de configuración peticiones problemas de servicio
s
e
e
e
e
s
e
s
s
e
s
s
Gestión de la capacidad
s
e
s
s
Gestión de la seguridad de la información
s
s
s
Gestión de relaciones con el negocio Gestión de suministradores Gestión de incidencias y peticiones de servicio
e
e
s
e/s
e
s
e
e
e
e
Gestión de problemas
e
s
Gestión de la
www.full-ebook.com
configuración Gestión de cambios Gestión de la entrega y despliegue
s
s
s
s
s
s
s
e
4.3. Responsabilidad de la dirección 4.3.1. Objetivo del proceso El objetivo del proceso es demostrar que la dirección está comprometida con la calidad de los servicios y la mejora continua.
4.3.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.2) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
4.3.3. Descripción del proceso 4.3.3.1. Compromiso de la dirección Ningún proyecto de mejora puede progresar sin el compromiso de la alta dirección de la organización. Por ello, la norma exige evidencias de que está involucrada y apoya el proceso de implantación de un SGS a lo largo de todo su ciclo de vida. Esto implica que la alta dirección debe participar de algún modo a la largo de todo el sistema, desde la planificación, definición e implantación, pasando por la operación y seguimiento, hasta la revisión y la mejora del SGS y los servicios a los que se aplica.
www.full-ebook.com
Figura 4.2. Modelo del proceso Responsabilidad de la dirección Como mínimo, la dirección debe: • Establecer y comunicar el alcance del SGS: claramente esta es una decisión organizativa, y tanto si es la única involucrada en definir el alcance como si únicamente valora las propuestas de aquellos en quienes ha delegado la tarea, es la dirección la única que tiene la potestad de decidir qué servicios quedan dentro del alcance y cuáles no. La amplitud del alcance tiene repercusiones organizativas y económicas, por lo que cae dentro de la responsabilidad de un departamento aislado. Puesto que es una decisión de la dirección, es a ella a quien corresponde transmitirla a la organización. • Establecer la política: de nuevo, esta es una decisión al más alto nivel. La posición de la organización respecto a la gestión del servicio no puede emanar más que de la dirección, que debe poner además los medios para difundirla y presentarla adecuadamente a toda la organización. • Establecer los objetivos de la gestión del servicio: la gestión de servicios es una herramienta de gestión para obtener beneficios empresariales, por lo que solo la dirección puede establecer cuáles son los objetivos que se persiguen y comunicarlo a todos los interesados. • Poner los medios necesarios para crear el plan de gestión del servicio, para que se lleve a cabo y se mantenga: con ello se dará soporte a la política, a la consecución de objetivos de gestión del servicio y a dar el servicio de
www.full-ebook.com
acuerdo con los requisitos que se hayan definido. • Comunicar la importancia de cumplir con los requisitos del servicio que esperan los clientes y usuarios. • Comunicar la importancia de cumplir con los requisitos legales, normativos, reglamentarios y contractuales. No dejan de ser otros requisitos que hay que satisfacer, aunque no tengan tanta visibilidad como los de los clientes y usuarios. • Proporcionar los recursos necesarios para llevar a cabo todas las tareas que conlleva el diseño, despliegue y mantenimiento de un SGS. • Llevar a cabo revisiones del SGS y de la gestión de los servicios de manera periódica. • Respaldar la evaluación de los riesgos del servicio y su posterior gestión.
4.3.3.2. Política de gestión del servicio Una política es un documento que recoge la postura de una organización respecto a un determinado aspecto de la gestión, y las directrices que se van a seguir en un tema concreto. En el caso de la gestión del servicio, la política contendrá líneas de actuación para, por ejemplo, distinguir nuestros servicios de los de la competencia, o que indiquen si vamos a ser innovadores o por el contrario vamos a ofrecer servicios basados en la experiencia acumulada. En cualquier caso, y sin perder de vista que esta política de gestión del servicio va a dar apoyo al negocio, la dirección la definirá de tal manera que: • Sea apropiada para el propósito de nuestra organización. • Muestre un compromiso de satisfacción de los requisitos del servicio. • Muestre el compromiso con la mejora continua de la eficacia del SGS y de los servicios, utilizando para ello una política de mejora continua. • Sirva como marco de referencia para definir y revisar los objetivos de gestión del servicio. • Sea comunicada a todo el personal y se pongan los medios para que sea entendida. • Sea revisada periódicamente para que siempre sea adecuada a nuestros objetivos y contexto.
4.3.3.3. Autoridad, responsabilidad y comunicación
www.full-ebook.com
Como no puede ser de otra manera, la alta dirección es la responsable de que se definan y mantengan las distintas responsabilidades de la gestión del servicio y de que haya canales y medios de comunicación adecuados. En las organizaciones más pequeñas la dirección, encarnada por su dirección general, será la que realmente defina los distintos roles, como los responsables de procesos, y autorice personalmente los distintos nombramientos. En organizaciones más grandes, la dirección delegará estas tareas, y después supervisará y dará las correspondientes autorizaciones. Lo mismo sucederá con los mecanismos de comunicación. La implicación directa de la dirección será probablemente más acusada cuanto menor sea el tamaño de la organización pero, sin excepción, la responsabilidad de estas tareas recae sobre ella.
4.3.3.4. Representante de la dirección Otra de las responsabilidades de la dirección es decidir quién va a representarla en cuanto a la gestión de los servicios, ya que hay numerosas tareas y decisiones que deberán contar con la aprobación de la alta dirección, pero no resultaría eficiente esperar a su reunión física para llevarlas a cabo. Esta persona deberá tener autoridad suficiente para asegurarse de que se lleven a cabo todas las actividades necesarias para identificar, documentar y cumplir con los requisitos del servicio. Además, se encargará de asignar las responsabilidades y autorizaciones que aseguren que la gestión de los servicios, y los procesos relacionados con ellos, se llevan a cabo de acuerdo con la política establecida y los objetivos que se hayan marcado para ellos, y que están integrados con el sistema de gestión de la organización. El representante de la dirección se encargará de que los activos y sus licencias, cuando proceda, se utilicen de manera regulada y acorde con la ley, además de cumplir con lo exigido por los contratos. Otro de sus principales papeles es informar al resto de la dirección de cómo funciona el sistema de gestión del servicio y cómo se puede mejorar bien el SGS, bien los servicios mismos.
4.3.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.3) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el
www.full-ebook.com
proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.3. Síntesis del proceso Responsabilidad de la dirección
4.4. Gobierno de los procesos operados por terceros 4.4.1. Objetivo del proceso El objetivo del proceso es definir y gestionar unos niveles de servicio apropiados para cubrir los requisitos de los servicios prestados y los niveles de servicio acordados con los clientes.
4.4.2. Diagrama del proceso En el diagrama de proceso que se muestra a continuación (véase la figura 4.4) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 4.4. Modelo del proceso Gobierno de procesos operados por terceros
4.4.3. Descripción del proceso Habitualmente, cualquier proveedor tendrá uno o varios de sus procesos operados por terceros, ya sean estos un grupo interno, un cliente o un suministrador. En cualquier caso, estos procesos deben estar controlados por la organización, tanto o más que si los operara ella misma. La responsabilidad ante los clientes en caso de fallo o error siempre será del proveedor del servicio, ya que es quien se presenta ante ellos y cobra por sus servicios. Para mantener el control debido sobre los procesos no operados directamente hay que: • Exigir del tercero los mismos requisitos o más que los que estamos obligados a cumplir. • Controlar cómo se definen estos procesos y cómo se relacionan con el resto de nuestros procesos. • Definir cómo se deben comportar estos procesos y cuáles son los criterios para medir este comportamiento y su grado de cumplimiento de los requisitos. • Controlar la planificación de los procesos y aplicar criterios para la mejora de los mismos. Todo esto pasa por documentar en un acuerdo las responsabilidades de cada parte
www.full-ebook.com
y los requisitos del proceso. Si el tercero es un suministrador, el acuerdo tendrá la forma de un contrato y se gestionará mediante el proceso de gestión de suministradores. Si es un grupo interno o un cliente, tomará la forma de un SLA (acuerdo de nivel de servicio) y se gestionará con el proceso de gestión del nivel de servicio.
4.4.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.5) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.5. Síntesis del proceso Gobierno de procesos operados por terceros
4.5. Gestión de la documentación 4.5.1. Objetivo del proceso El objetivo del proceso es definir y controlar la documentación necesaria para una buena gestión de los servicios.
4.5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.6) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 4.6. Modelo del proceso Gestión de la documentación
4.5.3. Descripción del proceso 4.5.3.1. Establecimiento y mantenimiento de documentos Todos los sistemas de gestión deben estar documentados, y contarán con varios tipos de documentos que evidencien cómo se ha planificado el sistema, como se opera, controla y mejora. En el caso de un sistema de gestión del servicio, los documentos mínimos que la norma requiere son: • Política de gestión del servicio. • Objetivos de gestión del servicio. • Plan de gestión del servicio. • Políticas y planes documentados creados para procesos específicos. • Catálogo de servicios. • Acuerdos SLA (Service Level Agreements). • Procesos de gestión del servicio, como la gestión de la capacidad. • Procedimientos y registros requeridos, como la propia gestión de la documentación y sus correspondientes registros. • Documentos adicionales, incluyendo los de origen externo, que sean necesarios para asegurar la operación eficaz del SGS y la provisión de
www.full-ebook.com
servicios.
4.5.3.2. Control de documentos Todos los documentos del SGS deben estar controlados, incluidos los registros. Habrá un procedimiento documentado con información sobre quién puede crear y aprobar los documentos antes de publicarlos, quién puede informar a las partes interesadas acerca de documentos nuevos o modificados, quién puede revisar y mantener los documentos, y quién se encargará de que se identifiquen los cambios en los documentos para que quede constancia del estado actual de revisión de cada uno de ellos. Además, se debe asegurar que solo las versiones vigentes de los documentos estén disponibles para todos aquellos que los necesitan, que los documentos se puedan identificar fácilmente y sean legibles, y que también los documentos de origen externo estén identificados y su distribución controlada. Es muy importante que los documentos obsoletos estén identificados como tales sean o destruidos para evitar su uso. Hay que tener en cuenta que el formato y el soporte de los documentos no debe impedir o ser una excusa para no cumplir con todos estos requisitos. Cada organización debe tomarse un tiempo para definir cómo se van a cubrir estos puntos, ya que una vez generada toda la documentación será más difícil aplicar nuevas reglas.
4.5.3.3. Control de registros Los registros son la herramienta mediante la que se demuestra que se están realizando las tareas de acuerdo con los requisitos del SGS. Cuando se ejecutan las tareas, todas aquellas trazas que deja su realización son susceptibles de ser registros del SGS. Por ejemplo, la realización de la auditoría interna puede suponer la emisión de un plan de auditoría y la de un informe de auditoría. Ambos son registros, y demuestran que se ha realizado la tarea de manera más o menos ajustada al protocolo impuesto por el procedimiento. Debido a su importancia, la norma exige que haya un procedimiento para identificar, almacenar, proteger, recuperar y conservar los registros, así como para retirarlos cuando estén obsoletos. Lógicamente, los registros deben ser legibles para poder utilizarlos, su identificación debe ser sencilla y hay que poder acceder a ellos fácilmente. Sin embargo, hay que tener en cuenta que el formato es irrelevante, así como el
www.full-ebook.com
soporte. Un log de eventos también puede ser un registro.
4.5.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.7) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.7. Síntesis del proceso Gestión de la documentación
4.6. Gestión de recursos 4.6.1. Objetivo del proceso El objetivo del proceso es estimar y asignar los recursos suficientes y necesarios, tanto para establecer y gestionar el SGS como para el suministro de los servicios y la mejora de la satisfacción del cliente.
4.6.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.8) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 4.8. Modelo del proceso Gestión de recursos
4.6.3. Descripción del proceso 4.6.3.1. Provisión de recursos Como en cualquier otro tipo de proyecto, para la implantación de la norma es necesario estimar, definir y asignar los recursos que hacen falta para llevarlo a cabo. Esto incluye personal, perfiles de puestos, información, presupuesto y recursos materiales. Estos recursos tienen que ser suficientes para establecer el SGS y mantenerlo en el tiempo, suministrar los servicios y mejorar la satisfacción del cliente suministrando servicios que se ajusten a sus requisitos.
4.6.3.2. Recursos humanos La competencia del personal de un proveedor de servicios es crucial a la hora de asegurar que dichos servicios se prestan de acuerdo a los requisitos. Por lo tanto, el proveedor debe contar con personal que esté adecuadamente formado y tenga las habilidades, competencias y experiencia necesarias para desempeñar su trabajo de la mejor manera posible. Para ello: • Establecerá el nivel de competencia necesario en cada puesto, y se ocupará de que el personal en ese puesto se ajuste a lo definido. • Según sea necesario, se proporcionará formación o preparación para que el
www.full-ebook.com
personal tenga el nivel de competencia necesario. • Se evaluará la eficacia de las acciones formativas realizadas. • Se informará al personal de cómo está colaborando para alcanzar los objetivos de gestión del servicio y en el cumplimiento de los requisitos del mismo, para que todos sean conscientes de su contribución. • Se mantendrán registros de la educación, formación, habilidades y experiencia del personal, según sea necesario para la gestión de los recursos.
4.6.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.9) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 4.9. Síntesis del proceso Gestión de recursos
4.7. Establecer y mejorar el SGS (PHVA) 4.7.1. Objetivo del proceso El objetivo del proceso es mejorar continuamente el SGS y, por tanto, la prestación de servicios. En la figura 2.1 se mostró el ciclo aplicado a la gestión de servicios.
4.7.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.10)
www.full-ebook.com
se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 4.10. Modelo del proceso Establecer y mejorar el SGS
4.7.3. Descripción del proceso 4.7.3.1. Definir el alcance Como primer paso para establecer el SGS hay que definir y documentar el alcance que va a tener. La definición contendrá los servicios que se suministran y el nombre de la organización o de la unidad organizativa que lo hace. También se tendrán en cuenta y se incluirán, según se crea procedente: • La localización geográfica desde la que el proveedor del servicio proporciona los servicios. • El cliente y las ubicaciones en las que recibe los servicios. • La tecnología utilizada para prestar los servicios. Para ayudar en este punto se puede consultar la norma UNE-ISO/IEC 20000-3, en la que se encuentran las directrices para la definición del alcance y la aplicabilidad de la norma UNE-ISO/IEC 20000-1.
4.7.3.2. Planificar el SGS (Planificar) La planificación del SGS comienza con la definición, puesta en marcha y
www.full-ebook.com
ejecución de un plan de gestión del servicio. Este plan recogerá el alcance del SGS y estará alineado con la política de gestión del servicio, los requisitos de los servicios y los de la propia norma. En general, este plan tendrá el siguiente contenido: • Los objetivos de la gestión del servicio que se pretenden alcanzar. Por ejemplo, un cumplimiento del 90% de los acuerdos de nivel de servicio. • Los requisitos del servicio o servicios dentro del alcance. • Las limitaciones conocidas que pueden afectar al SGS, como por ejemplo las relacionadas con recursos. • Las políticas, normas, requisitos legales y regulatorios, y las obligaciones contractuales que afectan a la gestión del servicio. Los servicios sanitarios, por ejemplo, tendrán obligaciones legales distintas de las de los servicios de telecomunicaciones. • La estructura organizativa de la gestión del servicio: quién tiene autoridad sobre qué, las distintas responsabilidades y los roles identificados para este proceso. • Los diferentes recursos (humanos, técnicos, financieros, de información, etc.) que se necesitan para alcanzar los objetivos de gestión del servicio. • El enfoque que se va a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de servicios nuevos o modificados. Es decir, qué tipo de asociaciones o colaboraciones vamos utilizar y cómo se van a controlar. • Cómo se van a integrar los procesos propios de la gestión del servicio con las demás partes del SGS. • Cómo se va enfocar la gestión de riesgos y cuáles van a ser los criterios para la aceptación de riesgos. • Qué tecnología se va a usar para soportar el SGS, ya que es muy difícil gestionar los servicios sin herramientas, por sencillas que sean. • Qué se va a hacer para medir la eficacia del SGS y los servicios. Si es necesario crear planes para procesos específicos, estos deben basarse y alinearse con el plan de gestión del servicio. Tanto uno como otros se deben revisar a intervalos planificados y actualizarlos según se requiera.
4.7.3.3. Implementar y operar el SGS (Hacer)
www.full-ebook.com
Una vez definido el plan, hay que poner en marcha el SGS para que el diseño, puesta en producción, provisión y mejora de los servicios se haga según lo planificado. Para ello hay que asignar fondos al plan, nombrar a los distintos responsables definidos, gestionar los recursos disponibles, realizar el análisis de riesgos de los servicios y, en definitiva, gestionar los procesos de gestión del servicio, controlando su funcionamiento y rendimiento para poder realizar informes sobre su comportamiento. Este es uno de los momentos más difíciles, ya que hay que alinear y aunar voluntades y esfuerzos en una dirección que probablemente no todo el mundo tenga clara o comparta. Cualquier acción encaminada a aclarar dudas sobre el papel de cada uno en la tarea o sobre la finalidad de la misma, ayudará enormemente a conseguir que el proyecto empiece con decisión y energía.
4.7.3.4. Monitorizar y revisar el SGS (Verificar) 4.7.3.4.1. Generalidades Una parte fundamental de la gestión del servicio consiste en hacer un seguimiento del funcionamiento del SGS y de los servicios para detectar errores y problemas con tiempo para reaccionar o, al menos, para limitar el daño que pudieran ocasionar. Por otro lado, sin medir el funcionamiento y el rendimiento del SGS y los servicios no será posible saber si se alcanzan los objetivos que se persiguen. Los métodos a utilizar para las tareas de verificación del SGS incluyen las auditorías internas y las revisiones por la dirección. Con estas dos herramientas de verificación se pueden detectar la mayoría de los problemas relevantes que puede presentar un sistema de gestión a lo largo de todo su ciclo de vida. Es importante que se documenten los objetivos de las auditorías y las revisiones, para centrar la monitorización y revisión específicamente en la gestión de servicios. Con estas herramientas se evalúa la capacidad del SGS y de los servicios para cumplir con los requisitos establecidos y para alcanzar los objetivos marcados. Cuando se detecta que el sistema no es capaz de cumplir con ello, surgen las no conformidades, es decir, las carencias en cuanto al cumplimiento de los requisitos de la norma, del SGS o del servicio. Para poder comunicar y utilizar los resultados, tanto de las auditorías como de las revisiones por la dirección, estos deben ser documentados. Entre los resultados
www.full-ebook.com
tienen que estar las no conformidades identificadas, las observaciones y las acciones que se van a tomar. Estos resultados deben transmitirse a las partes interesadas: unidades organizativas, dirección, etc. 4.7.3.4.2. Auditoría interna Las auditorías internas se harán periódicamente, siguiendo un procedimiento documentado que recoja las distintas responsabilidades: quién planifica la auditoría, quién la realiza, quién informa de los resultados y quién mantiene los registros de auditoría, que son una información sensible para la organización. El objetivo de una auditoría interna es verificar que el SGS y los servicios cumplen con los requisitos que les afectan (los de la norma, los del propio SGS y los de los servicios), y que son ejecutados y mantenidos eficazmente. Tiene que haber un programa de auditoría que, en función del estado y la importancia de los procesos a auditar y los resultados de anteriores auditorías, recoja cuáles van a ser los criterios a seguir, el alcance, la frecuencia y los métodos de auditoría. Un factor muy importante en el éxito de una auditoría es la selección de los auditores, que debe garantizar que se realiza de manera objetiva e imparcial, por lo que un auditor nunca puede auditar su propio trabajo. Las no conformidades detectadas deben priorizarse, se les deben adjudicar responsables y deben ser comunicadas a todos los interesados, de manera que las acciones a realizar sobre ellas sean ejecutadas con presteza. Es responsabilidad del área auditada que se ejecuten las acciones necesarias para corregir las no conformidades y sus causas en los plazos definidos. Además, hay que verificar que las acciones han conseguido la corrección buscada y documentar todo lo que se ha hecho y los resultados obtenidos. 4.7.3.4.3. Revisión por la dirección Como parte importante del papel que la dirección asume en virtud de su compromiso con el SGS se encuentra la revisión por la dirección. Esta tarea consiste en revisar periódicamente el SGS y los servicios para comprobar que son adecuados y eficaces para la organización. En esta revisión se incluyen la evaluación de oportunidades de mejora y la necesidad de cambios en el SGS, incluida la política y objetivos de la gestión del servicio. La norma es bastante específica en cuanto a la información que se debe incluir, tanto de entrada como de salida, que como mínimo es:
www.full-ebook.com
• Entradas a la revisión: – Retroalimentación del cliente; es decir, comentarios, quejas, reclamaciones o felicitaciones que el cliente haya hecho. – Comportamiento y conformidad del servicio y de los procesos, si se han alcanzado los objetivos, si se han identificado no conformidades, etc. – Niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros. – Capacidades humanas y técnicas actuales y previstas. – Resultados de la evaluación y gestión de los riesgos. – Resultados de las auditorías y acciones derivadas de ellas. – Resultados y acciones de seguimiento de las revisiones de la gestión previas. – Estado de las acciones preventivas y correctivas. – Cambios que puedan afectar al SGS y a los servicios, tanto en el contexto externo (regulaciones nuevas, nuevas tecnologías) como en el interno (cambios en la organización, en los objetivos). – Oportunidades de mejora. • Salidas de la revisión: – Decisiones relacionadas con los recursos. – Acciones para la mejora de la eficacia del SGS. – Acciones para la mejora de los servicios. Debido a su importancia, es imprescindible mantener registros de las revisiones por la dirección, que habitualmente consisten en un documento con la información requerida que se analiza y aprueba en el comité de gestión, de lo cual quedará constancia en el acta de la reunión.
4.7.3.5. Mantener y mejorar el SGS (Actuar) 4.7.3.5.1. Generalidades Todo mecanismo necesita un mantenimiento y, en la medida de lo posible, una mejora para funcionar como el primer día o mejor. En el caso de un SGS, este mantenimiento vendrá determinado por una política de mejora continua del SGS y los servicios, la cual incluirá criterios para evaluar las oportunidades de mejora. Se definirá un procedimiento documentado que incluya las autoridades y
www.full-ebook.com
responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras. Se deben documentar las oportunidades de mejora, incluyendo las acciones correctivas. Es imprescindible corregir la causa de las no conformidades identificadas. Si solo se toman medidas para paliar los daños ocasionados, se corre el peligro de que vuelvan a ocurrir. La única solución para evitarlo es identificar el origen de la no conformidad y resolverlo, aunque a veces no es fácil ni lo primero ni lo segundo. También se tomarán acciones cuando, aun sin haber identificado una no conformidad, se identifica una fuente potencial de problemas. De esta manera se evitará que ocurran e impacten en el SGS o en los servicios. 4.7.3.5.2. Gestión de mejoras En el curso de la provisión de servicios se irán detectando oportunidades de mejora. Lo normal es que no todas se puedan aprovechar, por lo que es necesario definir cómo se van a escoger. Para ello se utilizarán los criterios de evaluación de oportunidades de mejora definidos en la política de mejora continua, para asignarles una prioridad y planificar su ejecución según esa prioridad. La gestión de las actividades de mejora incluye, como mínimo: • Establecer objetivos de mejora en uno o más de los aspectos de la calidad, como valor, capacidad, coste, productividad, utilización de recursos y reducción de riesgos. • Garantizar que las mejoras aprobadas se apliquen. • Revisar periódicamente, y siempre que haya eventos que lo requieran, las políticas de gestión del servicio, planes, procesos y procedimientos. • Medir las mejoras implementadas frente a los objetivos establecidos y, cuando no se hayan alcanzado, tomar las acciones necesarias para corregir la situación. • Realizar informes de las mejoras implementadas.
4.7.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.11) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 4.11. Síntesis del proceso Establecer y mejorar el SGS
www.full-ebook.com
Capítulo 5. Diseño y transición de servicios nuevos o modificados El SGS se compone de dos tipos de procesos. En los apartados anteriores se han detallado los relacionados con el propio sistema de gestión; en este capítulo y en los siguientes se explicarán los distintos procesos del modelo de mejora para la gestión de los servicios que propone la norma, que son catorce: • Diseño y transición de servicios nuevos o modificados. • Procesos de provisión del servicio: – Gestión del nivel de servicio. – Informes del servicio. – Gestión de la continuidad y disponibilidad del servicio. – Elaboración de presupuesto y contabilidad de los servicios. – Gestión de la capacidad. – Gestión de la seguridad de la información. • Procesos de relación: – Gestión de relaciones con el negocio. – Gestión de suministradores. • Procesos de resolución: – Gestión de incidencias y peticiones de servicio. – Gestión de problemas. • Procesos de control: – Gestión de la configuración. – Gestión de cambios. – Gestión de la entrega y despliegue. Para cada uno de estos procesos, a continuación se tratará de facilitar información necesaria y suficiente para su comprensión, y de facilitar una implantación adecuada en la organización.
5.1. Objetivo del proceso
www.full-ebook.com
El objetivo del proceso es definir, planificar y abordar nuevos servicios o modificar los existentes para satisfacer a los clientes y apoyar los objetivos de negocio.
5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 5.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 5.1. Modelo del proceso Planificación de servicios nuevos o modificados
5.3. Descripción del proceso Este proceso es una de las novedades de la última versión de la norma. Es el primero en el orden de aparición de la norma, y en una organización debería ser el primero a abordar antes de poner en marcha un servicio. Lo que ocurre en la mayoría de los casos es que, cuando empezamos un proyecto de implantación de servicios, ya hay servicios en producción. Este proceso comenzará, entonces, cuando se quieran hacer cambios significativos en esos servicios ya operativos y, lógicamente, cuando se pretenda crear alguno nuevo, aunque esto ocurrirá con menos frecuencia. Más adelante veremos el proceso de gestión de cambios en detalle, pero es
www.full-ebook.com
importante señalar aquí que este proceso llega hasta donde comienza el proceso de diseño y transición de servicios nuevos o modificados. Es decir, los cambios pequeños o poco significativos se gestionarán mediante el proceso de cambios; por ejemplo, cambiar el número de informes que se presentan al cliente. Pero si hay que crear un servicio nuevo o si el cambio es importante, hay que hacerlo mediante este proceso; por ejemplo, reestructurar completamente en formato, contenidos, frecuencia y diseño los informes que se presentan al cliente. Este proceso tiene también una relación importante con el de gestión de la configuración. En un servicio nuevo o con cambios importantes, habrá numerosos elementos de configuración afectados. Actualizar la información sobre estos elementos es tarea del proceso de gestión de la configuración. En la figura 5.1 se muestra una propuesta de modelo del proceso. Un nuevo servicio puede surgir porque el cliente lo solicita, y entonces es habitual que sea fácil decidir sobre los requisitos que debe cumplir el nuevo servicio: quiénes serán los usuarios, qué funcionalidades debe tener, tiempos de respuesta, etc. También puede surgir al descubrir nuevas necesidades de los clientes que no están cubiertas, o al proporcionar un proveedor nuevas prestaciones que permiten hacer cosas diferentes a las hechas hasta ahora. En estos casos puede ser más difícil delimitar los requisitos del nuevo servicio, y habrá que ser cuidadosos en la definición de unos requisitos equilibrados entre lo que idealmente se quiere ofrecer al cliente y lo que el cliente está dispuesto a pagar. Puede ser que un servicio aparentemente magnífico, con grandes prestaciones sobre una tecnología impresionante, no tenga cabida en los planes de nuestros clientes. Bien porque excede sus expectativas, bien porque no están dispuestos a desembolsar lo que cuesta, o porque no perciban los beneficios de esa opción sobre los de otras más baratas o más fáciles de asumir en su organización por motivos culturales, de organización, etc. Por ejemplo, una empresa que no esté preparada para asumir la subcontratación de su gestión de nóminas debido al peso en la organización del responsable de esta tarea. El proveedor del servicio deberá comprobar a lo largo de todo el proceso, y hasta la entrada en producción del nuevo servicio, que los requisitos definidos se cumplen, tomando las medidas oportunas cuando se detecten carencias o desviaciones.
5.3.1. Planificación de servicios nuevos o modificados Nunca es fácil especificar requisitos: es una tarea que en muchas ocasiones se
www.full-ebook.com
obvia. Incluso cuando se habla sobre ello y se llega a acuerdos, es muy raro que se documenten. De la inexactitud y la ambigüedad sobre los requisitos a abordar, derivan los problemas que ocurren después: los malentendidos, los desarrollos erróneos, las decepciones. Es imprescindible identificar los requisitos y documentarlos; de esta manera prevenimos este tipo de problemas y se puede planificar el desarrollo del nuevo servicio con criterio. Como en cualquier tipo de requisitos, lo más recomendable es tener un amplio consenso sobre ellos, de manera que tanto clientes como proveedores, usuarios y cualquier otra parte interesada hayan sido informados y hayan dado su aprobación, cuanto más formal mejor. La planificación para desarrollar un nuevo servicio o modificar uno existente pasa por definir el impacto que va a tener en la organización en diversos aspectos: • Financiero: cuánto va a costar, con qué presupuesto se cuenta, qué medios de financiación están disponibles. • Organizativo: qué equipo necesitamos, qué equipo tenemos, de qué estrategias disponemos para prestar el nuevo servicio con los medios que hay. • Técnico: qué conocimientos y herramientas son necesarios para desarrollar y operar el servicio, y con cuáles contamos en la organización. • De gestión: si el servicio está incluido o no en el sistema de gestión y, de no estarlo, si se va a incluir o quedará excluido. En esta planificación hay que incluir: • Roles y responsabilidades de las personas que van a realizar el diseño, desarrollo y transición de los servicios nuevos o modificados. • Tareas a realizar por la organización, por los proveedores y, si procede, por los clientes o usuarios. Hay muchas tareas en las que pueden ayudar los usuarios finales de los servicios si es posible su colaboración, siendo tal vez la más importante la de realizar pruebas de validación, ya que, si los usuarios dan su visto bueno al servicio antes de que entre en producción, nos evitaremos costosos ajustes tras su lanzamiento. Los proveedores pueden resultar críticos para el éxito de un servicio, por lo que es crucial: – Tener bien identificados los servicios que necesitamos de ellos para comprar lo que realmente hace falta
www.full-ebook.com
– Escoger al proveedor más capaz técnica y organizativamente de cumplir con nuestros requerimientos. – Tener identificados varios proveedores para un mismo servicio, para obtener el mejor precio y no depender exclusivamente de uno por si fallara en algún momento. – Mantener un control riguroso sobre el rendimiento de los proveedores para tomar medidas si dejan de ofrecernos el servicio que necesitamos. • Flujos de comunicación con todas las partes interesadas. • Recursos asignados al servicio: económicos, humanos, técnicos y de conocimiento. • Calendario de tareas. • Dependencias de otros servicios. • Pruebas que se van a realizar para comprobar que se cumple con los requisitos y que el servicio funciona según lo esperado. • Cuáles van a ser los criterios de aceptación de los servicios. • Resultados esperados del nuevo servicio o del modificado. Esto tiene que expresarse en términos medibles, para que sea posible verificar de manera clara si se han alcanzado o no. Por ejemplo, se puede definir que con el nuevo servicio queremos aumentar la cartera de clientes en un 10%. Para la norma, retirar un servicio es un cambio en el mismo y se regirá por lo dispuesto en este proceso. Lógicamente, en este caso la planificación tiene que recoger: • La(s) fecha(s) de la retirada del servicio y sus componentes. • El archivo que se va a realizar, qué y cómo se van a archivar los distintos elementos del servicio que lo requieran. • La eliminación o transferencia de los datos que se han usado o se han generado por el servicio. • La documentación que se va a guardar del servicio. • Los componentes del servicio, entre los que van a estar la infraestructura y las aplicaciones con licencias asociadas. Habrá componentes que se retiren definitivamente, como por ejemplo aplicaciones que hayan sido sustituidas por otras, y otros que seguirán en uso para otros servicios, como una plataforma de virtualización.
www.full-ebook.com
5.3.2. Diseño y desarrollo de servicios nuevos o modificados Los requisitos recogidos en la fase anterior se utilizarán para el desarrollo de los servicios. La norma es estricta en cuanto a la documentación que hay que tener, por lo que el diseño del servicio recogerá: • Roles y responsabilidades. • Actividades que ser van a llevar cabo. • Requisitos de recursos económicos, humanos y técnicos. • Tecnología que se va a utilizar. • Planes y políticas nuevas o modificadas para incorporar el servicio al sistema de gestión. • Contratos nuevos o modificados que se hayan firmado o se tengan que firmar para poder dar el nuevo servicio. • Cambios introducidos en el sistema de gestión, en particular en los acuerdos de nivel de servicio y en el catálogo de servicios. • Procedimientos, mediciones e información que se van a usar para dar soporte a la provisión del nuevo servicio. El diseño del servicio es un documento que describe lo que se pretende hacer y cómo lo vamos a hacer, detallando los resultados que esperamos de esas acciones. Cuando se diseña una máquina, los ingenieros dibujan un plano y anotan medidas, materiales, rangos de funcionamiento, etc. No podemos “dibujar” un servicio en un plano: lo hacemos mediante este documento de diseño, en el que vertemos qué va a hacer el servicio, qué “materiales” vamos a usar para fabricar el servicio y cómo se va a comportar.
5.3.3. Transición de servicios nuevos o modificados Antes de lanzar a producción los servicios que hemos desarrollado, hay que probarlos, de la misma manera que se prueba, por ejemplo, una aplicación. Esto facilita que el posterior proceso de entrega y despliegue se pueda realizar de manera simple y sin incidencias. Las pruebas tienen como finalidad: • Verificar que se cumplen los requisitos definidos; por ejemplo, que el servicio
www.full-ebook.com
puede operar 24×7. • Comprobar que se ha seguido el diseño; por ejemplo, que se ha firmado un contrato con un proveedor para la provisión de cierto servicio necesario. La manera de diseñar las pruebas consiste en usar los criterios de aceptación que se hayan definido en la fase de especificación de requisitos. Por ejemplo, si uno de los criterios de aceptación es que el servicio opere al menos 24×5, una de las pruebas será comprobar que efectivamente el servicio está operativo ese tiempo. Si todas las pruebas son superadas, cumpliéndose así los criterios de aceptación, se puede lanzar el servicio. Si no es así, el proveedor del servicio tendrá que actuar sobre aquellos aspectos que no se cumplen antes de poner el servicio en marcha. En cualquiera de los casos, hay que informar a todos los implicados del estado del servicio y del curso de acción que se va a tomar. En cuanto el servicio esté listo para pasar a producción, se pondrá en marcha el proceso de gestión de la entrega y despliegue, el cual se encarga de utilizar los servicios nuevos o modificados.
5.4. Síntesis del proceso La síntesis del proceso (véase la figura 5.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 5.2. Síntesis del proceso Creación de servicios
www.full-ebook.com
Capítulo 6. Procesos de provisión del servicio El objetivo de los procesos de provisión es regular las actividades necesarias para que los servicios cumplan los requerimientos pactados con el negocio, y por lo tanto sus procesos cobran una especial relevancia para dar cobertura a la provisión eficiente de servicios de TI con los niveles apropiados de calidad y seguridad, alineados con los objetivos del negocio, que cubran las necesidades actuales y –un aspecto clave– que sean capaces de evolucionar rápidamente para cubrir las necesidades futuras. Para cubrir este objetivo, la norma UNE-ISO/IEC 20000-1 ha definido para este capítulo seis procesos junto son sus requisitos a cumplir: • Proceso de gestión del nivel de servicio. • Proceso de generación de informes del servicio. • Proceso de gestión de la continuidad y disponibilidad del servicio. • Proceso de elaboración de presupuesto y contabilidad de los servicios. • Proceso de gestión de la capacidad. • Proceso de gestión de la seguridad de la información.
6.1 Proceso Gestión del nivel de servicio 6.1.1. Objetivo del proceso El objetivo del proceso es definir, acordar, registrar y gestionar los niveles de servicio.
6.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 6.1. Modelo del proceso Gestión del nivel de servicio
6.1.3. Descripción del proceso Cuando se habla de gestión de servicios, los conceptos de este proceso son los primeros que se mencionan, sobre todo los acuerdos de nivel de servicio o SLA (service level agreements). Es lógico que sea así, porque estos acuerdos de nivel de servicio son realmente el pivote sobre el que se soportan el resto de los procesos. Los convenios que se conciertan entre cliente y proveedor marcan las pautas de actuación para toda la gestión de servicios. Estos acuerdos establecen los parámetros que dibujan el servicio a prestar. No es lo mismo ofrecer un servicio a empresas que a clientes particulares: necesitamos una infraestructura diferente, distintos conocimientos, distinta plantilla, etc. Los acuerdos de nivel de servicio condicionan la gestión de los servicios. Cierto es que nadie vende cualquier cosa a cualquiera. En el caso de los servicios, esto es neurálgico debido a la ambigüedad con la que a veces se definen los servicios y a la habitual incapacidad de los clientes para expresar concretamente sus necesidades, lo que ocasiona que a veces cliente y proveedor se embarquen en proyectos que ni el primero quería en realidad ni el segundo es capaz de suministrar. Es en este punto donde encaja el catálogo de servicios.
www.full-ebook.com
Un proveedor de servicios tiene que poder plantear el compendio de los servicios que está preparado para ofrecer al mercado. De este modo, el cliente puede escoger entre diversas opciones la que más se ajusta a su contexto. Cada uno de los servicios incluidos en el catálogo puede tener uno o más acuerdos de nivel de servicio para uno o varios clientes. Puede haber servicios que se presten bajo un único SLA para todo tipo de clientes, servicios que tengan varios SLA prestablecidos para determinados segmentos de clientes, o un servicio que tenga un cliente con un SLA específico para el mismo. Cualquier combinación es posible. Un catálogo de servicios incluirá: • Las dependencias entre los servicios. • Los componentes del servicio. Se mantendrá alineado con los cambios en los servicios y en los SLA, para reflejar en todo momento las capacidades y competencias del proveedor. Un SLA incluirá: • Los objetivos del servicio. • Las cargas de trabajo. • Los parámetros de rendimiento. • Las excepciones, siempre de acuerdo con el cliente. Tanto el catálogo como los SLA deben revisarse periódicamente para actualizarlos y adaptarlos a la realidad. Cuando se da el caso de que alguno de los componentes del servicio lo suministra un grupo interno o es suministrado por el cliente, también debe realizarse un acuerdo formal y documentado entre ambas partes que defina las responsabilidades, tareas e interfaces de cada una de ellas. Es importante hacer un seguimiento periódico de los resultados y el rendimiento de los servicios, para detectar tendencias y comparar lo obtenido con los objetivos de servicio. Esta información pondrá al descubierto el origen de errores y fallos, así como de áreas de mejora. Con ella se pueden ir ajustando los servicios, el catálogo y los SLA a lo que los clientes realmente quieren y a lo que el proveedor de servicios está preparado para suministrar. Los resultados se deben registrar y revisar para identificar las causas de no conformidades y las oportunidades de mejora.
www.full-ebook.com
6.1.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.2. Síntesis del proceso Gestión del nivel de servicio
6.2. Proceso Informes del servicio 6.2.1. Objetivo del proceso El objetivo del proceso es generar en plazo los informes acordados, fiables y precisos, para informar de la toma de decisiones y para una comunicación eficaz.
6.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
6.2.3. Descripción del proceso Este proceso consiste en proporcionar al cliente información sobre los servicios suministrados. Por tanto, debe quedar documentado:
www.full-ebook.com
• El acuerdo al que se llegue entre el proveedor del servicio y las partes interesadas sobre los informes que se van a emitir. • El contenido de esos informes, así como: – Su identificación. – Propósito. – Audiencia. – Frecuencia. – Fuentes de los datos.
Figura 6.3. Modelo del proceso Informes de servicio El cliente debe recibir información suficiente sobre el servicio contratado para poder verificar que se están cumpliendo los acuerdos de nivel de servicio y los contratos, e incluso para decidir si sigue siendo adecuado a sus necesidades. Para producir estos informes, habrá que utilizar la información que generan los servicios y las propias actividades del sistema de gestión. La norma requiere que los informes incluyan como mínimo: • El comportamiento frente a los objetivos de servicio; es decir, supongamos que se ha establecido en el SLA una disponibilidad del servicio contratado de al menos un 98%. En el informe se debe incluir el dato real de disponibilidad de ese servicio. Si fuera inferior a la pactada (por ejemplo, 97,5%), el cliente
www.full-ebook.com
puede tener derecho a penalizar al proveedor por ello. Si es igual o superior, el proveedor puede justificar su correcta entrega del servicio. • La información relevante sobre eventos significativos, incluyendo al menos: – Las principales incidencias. – El despliegue de servicios nuevos o modificados. – Las invocaciones del plan de continuidad del servicio. En muchos casos el cliente no es el usuario de los servicios, o simplemente no tiene una visión completa del mismo. Por eso es necesario que sea informado de todo lo que ha acontecido durante el suministro del servicio, para que conozca de primera mano lo que ha pasado y cómo se ha actuado al respecto. Las características de carga de trabajo, incluyendo volúmenes y cambios periódicos en la carga. Los servicios no siempre se prestan en las mismas condiciones. Por ejemplo, un servicio de nóminas tendrá un tráfico intenso durante unos días al mes y casi nulo el resto del mismo; o un fabricante de juguetes utilizará una plataforma de gestión con intensidad durante unos meses al año y mucho menos el resto del tiempo. Lo habitual es que se establezcan unos rangos de actuación en el SLA, con unos máximos y unos mínimos de cargas de trabajo, de manera que el cliente esté atendido en todo momento y el proveedor pueda planificar sus recursos en función de esos parámetros. Es importante hacerle saber al cliente la carga de trabajo que ha sido gestionada, para así poner en valor el servicio suministrado. • Las no conformidades encontradas, frente a los requisitos del propio sistema de gestión o los requisitos del servicio (y sus causas identificadas). Al realizar auditorías o revisiones, o al investigar incidentes, se pueden identificar discrepancias entre los requisitos establecidos y la ejecución de los servicios. Estas no conformidades son una herramienta excelente para implementar mejoras, y en todo caso es preferible que el cliente sea informado por el proveedor del servicio de que hay un asunto que requiere tratamiento. • La información de tendencias: con el tiempo y la recogida periódica de datos, se observarán tendencias en el comportamiento de los servicios, en el comportamiento de los usuarios, en los resultados que se obtienen, etc. Estas tendencias dan información muy útil sobre mejoras que se pueden hacer en los servicios o en su gestión. • Las medidas de la satisfacción del cliente, las quejas del servicio y los resultados de los análisis de las medidas de satisfacción y de las quejas.
www.full-ebook.com
Aunque siempre parece que las quejas nos dan más información sobre lo que debemos hacer, los datos de satisfacción del cliente pueden ser cruciales para poner en valor características de los servicios que podrían no estar siendo valoradas en su justa medida. Por ejemplo, el cliente puede estar pagando por una disponibilidad alta, y sin embargo los usuarios están más contentos con la rapidez de respuesta ante incidentes que con la disponibilidad; o estar descontentos con la falta de rapidez de respuesta ante incidentes porque quien contrató el servicio no consideró importante este aspecto y contrató un nivel de servicio bajo en este aspecto. Esta información también es muy útil para el proveedor del servicio, que puede así tomar decisiones y acciones de acuerdo con las conclusiones de los informes del servicio. En la medida que esas acciones repercutan en otros, deben ser acordadas, si procede, y comunicadas a las partes interesadas.
6.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.4) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.4. Síntesis del proceso Informes del servicio
6.3. Proceso Gestión de continuidad y disponibilidad del servicio
www.full-ebook.com
6.3.1. Objetivo del proceso El objetivo del proceso es asegurar que los compromisos de continuidad y disponibilidad acordados con los clientes pueden cumplirse.
6.3.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.5) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 6.5. Modelo del proceso Gestión de continuidad y disponibilidad del servicio
6.3.3. Descripción del proceso Como proveedores, necesitamos que nuestros servicios estén disponibles en todo momento para nuestros clientes. Que esto suceda depende de factores diversos (infraestructura, comunicaciones, personal capacitado, etc.) y de que no ocurran eventos que interrumpan el servicio (caída de comunicaciones, fallos o cortes en el suministro eléctrico, ausencia de personal, etc.). Otro elemento a tener en cuenta es que no todos los clientes, y no todos los servicios, necesitan estar disponibles todo el tiempo. Cada cliente, en función de sus requisitos de negocio, establecerá la disponibilidad que necesita para los
www.full-ebook.com
servicios contratados. Por ejemplo, una asesoría necesitará servicios 5 días a la semana durante las 8 horas de la jornada laboral; una tienda online necesita servicios 24 horas al día los 7 días de la semana. Este proceso trata, por tanto, de que el proveedor proporcione al cliente la disponibilidad que este requiera, para lo que debe evaluar, gestionar y documentar los riesgos de la disponibilidad y la continuidad de los servicios. Cuando gestionamos que los servicios estén funcionando en un contexto normal de operación, hablamos de disponibilidad. Cuando sucede un evento extraordinario que interrumpe, generalmente de manera abrupta, un servicio, y tenemos que gestionarlo en este contexto, hablamos de continuidad. Una caída momentánea de la electricidad puede afectar a la disponibilidad del servicio. Si la caída dura varias horas, o incluso días, la continuidad del servicio puede verse afectada y serán otros los procesos a seguir para impedirlo o, al menos, para reducir el impacto de la parada. Gestionar la disponibilidad y la continuidad implica considerar: • Los planes de negocio relacionados con el servicio. • Los requisitos de los servicios. • Los SLA. • Los riesgos, para tomar las decisiones más apropiadas y que garanticen disponibilidad y continuidad dentro de los recursos disponibles. Los requisitos acordados y documentados entre el cliente y el proveedor relativos a la continuidad y la disponibilidad del servicio incluirán, como mínimo: • Derechos de acceso a los servicios: quiénes son, cuántos son y qué privilegios tendrán los que accedan a los servicios. • Tiempos de respuesta de los servicios: dentro de qué rango de tiempos se espera que los servicios respondan a una petición. • Disponibilidad extremo a extremo de los servicios (normalmente expresada en porcentaje del tiempo real disponible respecto al tiempo esperado): es el tiempo durante el cual el cliente tiene acceso al servicio. Pueden ser 8 horas al día o 24 al día, por ejemplo.
6.3.3.1. Planes de continuidad y disponibilidad Para gestionar correctamente estos dos aspectos es necesario definir, implantar y mantener uno o varios planes, tanto para la disponibilidad como para la
www.full-ebook.com
continuidad. Cada servicio debe tener un plan de disponibilidad y un plan de continuidad aunque, lógicamente, un mismo plan pueda ser compartido por varios servicios. Asimismo, un mismo plan puede contener las provisiones para continuidad y para disponibilidad. En resumen, tiene que estar documentado cómo se van a gestionar la continuidad y la disponibilidad para cada uno de los servicios, pero dependerá de cada organización en cuántos documentos se va a hacer. Un plan de continuidad del servicio debe incluir: • Los procedimientos a implementar en caso de una pérdida relevante del servicio, o referencias a ellos: es decir, cómo se va a reaccionar y qué se va a hacer si se da el caso de que el servicio se vea interrumpido. • Los objetivos de disponibilidad cuando se invoque el plan: hay que decidir cuánto tiempo está dispuesto el negocio a estar sin el servicio. Dependiendo de la criticidad del servicio puede ser una hora, un día, una semana, etc. Este criterio es importante porque marca el tiempo límite para que el servicio esté en marcha de nuevo, y por tanto las acciones que hay que tomar. • Los requisitos de recuperación: hay que valorar cuánta información necesita recuperar el negocio tras un desastre, o dicho de otro modo, cuánta está dispuesto a perder. Puede ser suficiente con 24 horas, o pueden ser cinco minutos. Este criterio define cómo debe ser la política de copias de seguridad. Si lo máximo que el negocio puede permitirse perder es la información de una hora de un servicio, las copias de seguridad deben realizarse cada hora para ese servicio. • El enfoque para el retorno a las condiciones de trabajo normales: cómo se va a llevar a cabo la vuelta a la normalidad tras un caso de desastre. • Lista de contactos con las personas con responsabilidades en la continuidad, de los principales proveedores y de los servicios de emergencia. • Datos de la infraestructura informática, hardware y software, para poder reemplazar o sustituir alguno de los elementos sin afectar al resto. Los planes deben: • Ser modificados formal y controladamente por el proceso de gestión de cambios. • Estar accesibles para todos aquellos con responsabilidades.
www.full-ebook.com
• Estar respaldados por copias de seguridad (al menos el plan de continuidad) en alguna ubicación segura y fuera de las instalaciones de la organización. Además, hay que valorar el impacto de las peticiones de cambio en los planes de continuidad del servicio y en los planes de disponibilidad.
6.3.3.2. Monitorización y prueba de la continuidad y de la disponibilidad del servicio Una vez definidos los planes, se deberá: • Hacer seguimiento de la disponibilidad de los servicios. • Comprobar qué resultados se obtienen. • Recoger datos sobre indisponibilidades no planificadas. • Documentar los datos obtenidos. • Analizar tendencias y verificar si los objetivos se cumplen o no, para tomar acciones si no se cumplen. Otra acción requerida es la realización periódica de pruebas de ambos planes para comprobar que se cumplen los requisitos establecidos. Las pruebas deben estar documentadas y deben contemplar: • Qué se pretende hacer. • Qué resultado se espera. • Qué se ha hecho realmente. • Cuáles son los resultados obtenidos. Cuando no se consigan los resultados esperados, se tomarán acciones para reconducir la situación. Lógicamente, si se hacen cambios importantes en cualquiera de ambos planes, es necesario probarlos de nuevo.
6.3.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.6) resume el proceso con un objetivo, aspectos claves (cuales son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 6.6. Síntesis del proceso Gestión de continuidad y disponibilidad del servicio
6.4. Proceso Elaboración de presupuesto y contabilidad de los servicios 6.4.1. Objetivo del proceso El objetivo del proceso es presupuestar y contabilizar los costes de la provisión del servicio.
6.4.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.7) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 6.7. Modelo del proceso Elaboración de presupuesto y contabilidad
6.4.3. Descripción del proceso De manera más o menos formal, toda organización tiene un método para presupuestar y contabilizar sus gastos. Lo que es menos habitual es que en los datos que se manejan se hayan desglosado aquellos que se refieren concretamente a cada uno de los servicios. La idea es que la gestión financiera de la organización tenga mecanismos de comunicación con la gestión de servicios, de manera que estén al tanto e incluyan en sus procesos la elaboración de presupuestos y la contabilidad de los servicios. Hay que puntualizar que se trata de un proceso puramente interno, que no incluye el cobro de los servicios. Por supuesto, la información generada por este proceso puede ser utilizada para ello, pero la norma solo se centra en calcular cuánto puede costar un servicio y cuánto cuesta realmente, para tomar decisiones que sean financieramente viables. Para ello, la norma propone que se defina una política de actuación y unos procedimientos que recojan: • Cómo se elaboran los presupuestos y se realiza la contabilidad de los componentes de los servicios, que son al menos: – Activos (hardware, software, licencias) utilizados para proveer los servicios. – Recursos compartidos.
www.full-ebook.com
– Costes de estructura. – Inversiones y gastos. – Servicios suministrados externamente. – Personal. – Instalaciones. • Cómo se distribuyen los costes indirectos y cómo se asignan los costes directos, para calcular el coste total de cada servicio. Esta parte es la que suele dar más problemas, dado que una misma infraestructura suele dar soporte a más de un servicio. Debe hacerse un esfuerzo por delimitar el uso que cada servicio hace de esa infraestructura, basándose en el diseño del servicio, para valorar la manera de distribuir los costes. Un servicio que haga un uso intensivo de memoria deberá tener mayor coste en este aspecto que otros que no necesiten tanta memoria. • Cómo se van a controlar y aprobar los presupuestos y la contabilidad, incluyendo cómo y cuándo se van a tomar acciones en caso de que surjan complicaciones. • Cómo se van a analizar los costes y el presupuesto para identificar desviaciones que deban ser corregidas. • Cómo se va a proporcionar información al proceso de gestión de cambios en cuanto al coste de las peticiones de cambio.
6.4.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.8) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 6.8. Síntesis del proceso Elaboración de presupuesto y contabilidad
6.5. Proceso Gestión de la capacidad 6.5.1. Objetivo del proceso El objetivo del proceso es asegurar que el proveedor del servicio tiene, en todo momento, la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente.
6.5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.9) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
6.5.3. Descripción del proceso Para gestionar correctamente la capacidad es imprescindible tener identificados, documentados y acordados los requisitos de nuestros clientes y servicios en cuanto a este aspecto. Tener más capacidad de la que realmente se necesita cuesta dinero y tiempo, sin aportar beneficios; y tener menos de la acordada va a ocasionar problemas e incumplimientos. Partiendo de estas premisas, el plan de capacidad se preparará de manera que se alcance y se mantenga la capacidad necesaria para suministrar adecuadamente los servicios.
www.full-ebook.com
Figura 6.9 Modelo del proceso Gestión de la capacidad Los cambios en este plan, como en el resto de documentos importantes del sistema de gestión, deben realizarse mediante el proceso de gestión de cambios. Un buen plan de capacidad incluirá: • La demanda actual y prevista para los servicios. Por ejemplo, si actualmente hay diez servicios que demandan, digamos, dos líneas de comunicación de 4 Gb y están previstos cinco más, tendremos que incluir en el plan una línea adicional para los nuevos servicios. • Los recursos (humanos, técnicos, económicos, de información) que son necesarios para tener la capacidad prevista. • El impacto potencial de cambios legales, regulatorios, contractuales u organizacionales. Aunque algunos son difíciles de prever, en la medida de lo posible deben analizarse cuando se tengan noticias de cambios. • El impacto potencial de nuevas tecnologías y nuevas técnicas. • El impacto esperado de los requisitos acordados de disponibilidad, continuidad de servicio y niveles de servicio. Puede darse el caso de que alguno de estos requisitos tenga impacto directo en las necesidades de capacidad; por ejemplo, si hay servicios que deben estar disponibles 7 días a la semana, necesitaremos personal a lo largo de los 7 días de la semana.
www.full-ebook.com
• Las escalas de tiempo, umbrales y costes de actualizaciones de la capacidad de los servicios. Siguiendo el ejemplo de las líneas de comunicación, debemos estimar en qué plazo necesitaremos la nueva línea, si vale de 4 Gb o hacen falta más, y el coste que supone. • Los procedimientos para permitir el análisis predictivo, o referencias a ellos. Monitorizar la capacidad real aporta mucha información que debe ser analizada para detectar tendencias, insuficiencias, excesos, etc., y poder adelantarse a potenciales dificultades, así como para ajustar la capacidad a la realidad de los servicios.
6.5.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.10) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.10. Síntesis del proceso Gestión de la capacidad
6.6. Proceso Gestión de la seguridad de la información 6.6.1. Objetivo del proceso El objetivo del proceso es gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio.
www.full-ebook.com
6.6.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.11) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
Figura 6.11. Modelo del proceso Gestión de la seguridad
6.6.3. Descripción del proceso La disponibilidad de la información es crítica para cualquier servicio. Este proceso es el que se encarga de asegurarla, lo que significa evitar daños a la disponibilidad, la integridad y la confidencialidad de la información del servicio. Para conseguirlo, los requisitos en este ámbito son: • Tener una política de seguridad de la información. • Implantar controles de seguridad para proteger la información. • Gestionar los cambios y las incidencias de seguridad de la información. Aunque la norma no lo exige, para definir e implantar este proceso es muy útil tomar como referencia la norma ISO/IEC 27001.
6.6.3.1. Política de seguridad de la información Para poder proteger la información adecuadamente, la organización tiene que
www.full-ebook.com
definir las líneas maestras que se deben seguir, y difundirlas de manera que todo el personal sea consciente de las normas y de sus responsabilidades. En seguridad deben evitarse las ambigüedades. Muchos comportamientos de riesgo se dan porque los implicados no son conscientes del peligro que entrañan para la organización y su información. No toda la información tiene el mismo grado de importancia ni necesita el mismo nivel de protección, y por otro lado las organizaciones cuentan con recursos limitados que hay que usar de manera eficiente; es decir, no es necesario ni prudente protegerlo todo en todo momento. La política se diseñará, por tanto, teniendo en cuenta los requisitos del negocio, que en este contexto de la gestión de servicios comprenden: • Los de los propios servicios. • Los contractuales. • Los de los acuerdos de nivel de servicio. • Los legales y regulatorios. Para que pueda ser efectiva, esta política será definida y aprobada por la dirección, que se encargará también de su publicación y difusión a todos los niveles de la organización y, cuando sea conveniente, a los clientes y proveedores. La política estará orientada a: • Garantizar que haya objetivos específicos para la seguridad de la información. • Controlar la gestión de los riesgos de la seguridad de la información determinando: – Cómo se va a llevar a cabo. – Qué evaluaciones de riesgo se van a hacer. – Qué criterios se van a seguir para asumir los riesgos que no puedan ser eliminados o mitigados. • Asegurar que se va a monitorizar la eficacia de la seguridad mediante: – Auditorías internas. – Acciones de mejora derivadas de los hallazgos de auditoría.
6.6.3.2. Controles de seguridad de la información Para proteger la información, toda organización tiene una serie de medidas
www.full-ebook.com
(controles) de orden físico (puertas, cerraduras), técnico (contraseñas, antivirus) u organizativo (permisos de acceso, políticas). Para avanzar en esta seguridad, hay que valorar si se tienen suficientes controles o si es necesario implantar algunos nuevos de manera que se consiga: • Preservar la confidencialidad, integridad, disponibilidad y accesibilidad de los activos de información. • Cumplir con los requisitos de la política de seguridad de la información. • Alcanzar los objetivos de gestión de la seguridad de la información. • Gestionar los riesgos relacionados con la seguridad de la información. Los controles deben estar documentados, de manera que se sepa: • Qué riesgos están reduciendo. • Cómo se operan. • Cómo se mantienen. Periódicamente hay que comprobar que los controles están siendo eficaces en la reducción del riesgo y, si no es así, hay que tomar acciones para corregir la situación. A la hora de implantar controles no se deben olvidar aquellos relacionados con terceras partes que acceden a nuestra información o sistemas. Hay que cubrir tanto al personal interno como al externo, por lo que deben definirse y acordarse controles de seguridad para estas terceras partes. Por ejemplo, un proveedor de servicios gestiona datos de carácter personal de un cliente que almacena en un proveedor externo. Las medidas de seguridad que el proveedor de servicios tendría que implantar en sus sistemas e instalaciones para tratar adecuadamente los datos del cliente deben ser trasladadas a su proveedor de almacenamiento.
6.6.3.3. Cambios e incidencias de seguridad de la información Una fuente de potenciales fallos/incidencias de seguridad viene dada por riesgos que no han sido evaluados en la identificación de los riesgos de seguridad de la información cuando se introduce un cambio en los sistemas. Es muy importante evaluar estos riesgos y determinar el impacto que el cambio pudiera tener en la política de seguridad y los controles existentes. Las incidencias son inevitables, pero un tratamiento competente reducirá los tiempos de resolución de las mismas y los costes asociados.
www.full-ebook.com
Las incidencias de seguridad de la información deben procesarse considerando su relevancia, y se deben contemplar como una categoría diferenciada del resto. De esta manera, los datos recogidos van a facilitar el análisis de los tipos de incidencias que ocurren, número de ellas, impacto que tuvieron, etc. De este análisis se extraerán conclusiones y lecciones para mejorar la seguridad de los servicios.
6.6.4. Síntesis del proceso La síntesis del proceso (véase la figura 6.12) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 6.12. Síntesis del proceso Gestión de la seguridad
www.full-ebook.com
Capítulo 7. Procesos de relación El objetivo de los procesos de relación es regular las actividades necesarias para entender por parte del proveedor de servicios de TI las necesidades del cliente y su negocio. Además, se regulan las actividades necesarias para garantizar que los suministradores nos proveen servicios de calidad sin interrupciones. Para cubrir este objetivo, UNE-ISO/IEC 20000-1 ha definido dos procesos junto son sus requisitos a cumplir: • Proceso Gestión de relaciones con el negocio. • Proceso Gestión de suministradores.
7.1. Proceso Gestión de relaciones con el negocio 7.1.1. Objetivo del proceso El objetivo del proceso es establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio.
7.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 7.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
7.1.3. Descripción del proceso Teniendo en cuenta la importancia que, como proveedores, se suele dar en cualquier organización al objetivo de tener el mayor número de clientes que adquieran la mayor cantidad de servicios posible al precio que se les plantee, las relaciones con el cliente son un puntal fundamental para una buena gestión de los servicios. Si somos capaces de desarrollar y mantener una relación fluida con el cliente, sin malentendidos, en la que se sienta atendido e informado, atraeremos clientes, mantendremos los actuales y todos aceptarán de buen grado los precios fijados. La norma propone, en este punto, tener identificados y documentados quiénes son:
www.full-ebook.com
• Los clientes de los servicios. • Los usuarios de los servicios. • Las partes interesadas de los servicios. En algunos casos coincidirán los tres, pero no en todos, y es importante atender a las necesidades de todos ellos. Para que el proceso esté bien controlado, habrá un responsable de gestionar la relación con el cliente y su satisfacción. Este responsable deberá: • Establecer un mecanismo de comunicación con los clientes. Es fundamental que haya uno o incluso varios medios de comunicación con los clientes, de manera que siempre haya un canal abierto cuando se necesite. La comunicación debe poder hacerse en los dos sentidos, de modo que no solo el proveedor informe puntualmente de la marcha de los servicios o de novedades en los mismos, sino que los clientes puedan hacer llegar al proveedor sus impresiones sobre el funcionamiento de los servicios o sus nuevos requisitos. De esta manera, el proveedor tendrá información puntual para abordar cambios. • Establecer una revisión periódica, junto con los clientes, del comportamiento de los servicios. De esta manera se atiende al cliente en primera persona y se puede obtener información de primera mano sobre las percepciones del cliente. • Vigilar que los cambios en los requisitos del servicio se documenten y se gestionen mediante el proceso de gestión de cambios. Adicionalmente, si hay que introducir cambios en los SLA, se hará de manera coordinada con el proceso de gestión de nivel de servicio.
www.full-ebook.com
Figura 7.1. Modelo del proceso Gestión de relaciones con el negocio • Definir, de acuerdo con el cliente, qué es una reclamación sobre el servicio, cómo se pueden presentar y cómo van a ser tratadas. Hay que tener en cuenta que no es posible atender cualquier queja como una reclamación, puesto que es probable que se den muchas quejas, pero que sean fundadas, afecten de manera objetiva al servicio y sean claramente responsabilidad del proveedor, serán muchas menos. Gestionar una reclamación será un proceso formal durante el cual: – Se registrarán las reclamaciones. – Se investigarán las reclamaciones. – Se actuará sobre las reclamaciones. – Se informará al cliente en todo momento de lo que se está haciendo para resolver su reclamación o reclamaciones. Como parte de este proceso, se definirá un mecanismo de escalado para que el cliente pueda interponer su queja a instancias distintas de las habituales si estas no le satisficieran. • Medir la satisfacción del cliente de manera periódica: esta medición se debe hacer sobre muestras representativas de clientes, usuarios y servicios. Es de poca utilidad medir solo en un servicio, ya que puede dar una idea falsa sobre lo contentos o disgustados que están los clientes con nuestra cartera de
www.full-ebook.com
servicios. Del mismo modo, si los clientes no son los usuarios de los servicios, y solo medimos en uno de los grupos, podemos obtener resultados poco objetivos sobre la marcha del servicio. El cliente puede valorarlo positivamente porque el precio es bueno, pero los usuarios estar descontentos porque el servicio es lento. Los resultados tienen que ser útiles para, una vez estudiados, identificar oportunidades de mejora
7.1.4. Síntesis del proceso La síntesis del proceso (véase la figura 7.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 7.2. Síntesis del proceso Gestión de relaciones con el negocio
7.2. Proceso Gestión de suministradores 7.2.1. Objetivo del proceso El objetivo del proceso es gestionar los suministradores para garantizar la provisión sin interrupciones de servicios de calidad.
7.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 7.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 7.3. Modelo del proceso Gestión de suministradores
7.2.3. Descripción del proceso Es una práctica habitual que un proveedor de servicios utilice suministradores para realizar y operar algunas partes de los procesos de gestión del servicio. Por ejemplo, un proveedor de alojamiento que subcontrata alojamientos a un centro de respaldo, un proveedor de servicios de telefonía que subcontrata un call center… los ejemplos son innumerables. Como responsable de los servicios que se prestan al cliente, el proveedor de servicios debe encargarse de que la relación con el suministrador esté claramente definida y controlada, igual o mejor incluso que si el servicio contratado se realizara con medios internos. Para ello se designará por cada suministrador a una persona que sea responsable de gestionar: • La relación con el suministrador. • El contrato. • El comportamiento del suministrador. En la figura 7.4 se ilustra un ejemplo de las relaciones en una cadena de suministro. Para evitar ambigüedades y malentendidos, es imprescindible contar con un contrato formal que contendrá:
www.full-ebook.com
• El alcance de los servicios a ser prestados por el suministrador: qué y cómo se presta. • Las dependencias entre servicios, procesos y las partes: quién se encarga de qué. • Los requisitos que se le exigen al suministrador. • Los objetivos del servicio. • Las interfaces entre los procesos de gestión del servicio ejecutados por el suministrador y por terceros: cómo se van a comunicar los procesos internos y los contratados. • La integración de las actividades del suministrador dentro del SGS: cómo van a incorporarse las actividades al sistema de gestión. • Las características de la carga de trabajo, tales como volúmenes de datos a gestionar, número de usuarios a soportar, etc. • Las excepciones del contrato y cómo se manejan. • Las autoridades y responsabilidades cada una de las partes. • La información y comunicación que será facilitada por el suministrador. • Las bases para los cobros. • Las actividades y responsabilidades para la finalización normal o anticipada del contrato y la transferencia de los servicios a terceros.
Figura 7.4. Ejemplo de cadena de suministro Si el proveedor de servicios tiene acuerdos de nivel de servicio pactados con los clientes, los acordados con un suministrador deben estar siempre por encima para garantizar los compromisos con los clientes. El proveedor del servicio debe acordar con el suministrador niveles de servicio alineados para soportar los SLA entre el proveedor del servicio y el cliente.
www.full-ebook.com
Se debe comprobar periódicamente que los acuerdos se cumplen y que el suministrador cumple con su parte del contrato, para detectar desvíos o fallos y reconducir la situación si fuera necesario. Tiene que haber un procedimiento documentado para resolver los desacuerdos contractuales. Puede ocurrir que haya que realizar cambios en el contrato o en los acuerdos de nivel de servicio, y deben ser controlados según el proceso de gestión de cambios para hacerlos de manera controlada. En los casos en los que el suministrador principal subcontrate a su vez partes del servicio, el proveedor tiene que asegurarse de que se han documentado las responsabilidades de cada parte y de que hay suficiente control sobre la ejecución y rendimiento de los mismos, ya que un fallo por parte del subcontratista afectaría a los servicios del proveedor.
7.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 7.5) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 7.5. Síntesis del proceso Gestión de suministradores
www.full-ebook.com
Capítulo 8. Procesos de resolución El objetivo de los procesos de resolución es regular las actividades necesarias para restaurar un servicio lo antes posible, minimizando los efectos negativos sobre el negocio, y realizar acciones proactivas para evitar interrupciones en el servicio. Para cubrir este objetivo, la norma UNE-ISO/IEC 20000-1 ha definido dos procesos junto son sus requisitos a cumplir: • Proceso Gestión de incidencias y peticiones de servicio. • Proceso Gestión de problemas.
8.1. Proceso Gestión de incidencias y peticiones de servicio 8.1.1. Objetivo del proceso El objetivo del proceso es restaurar el servicio acordado tan pronto que sea posible o responder a peticiones de servicio.
8.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 8.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 8.1. Modelo del proceso Gestión de incidencias y peticiones
8.1.3. Descripción del proceso La gestión de incidencias y peticiones de servicio es una de las piedras angulares de toda la gestión de servicios. Una buena gestión de este aspecto es crucial para el éxito de cualquier iniciativa de mejora de gestión del servicio. Las incidencias y peticiones consumen típicamente una enorme cantidad de recursos y tiempo y son la principal fuente de insatisfacción del cliente. Por ello es fundamental establecer procedimientos que permitan resolverlas de manera eficiente y eficaz, y evitar que, al menos algunas, lleguen a ocurrir. Lo que propone la norma para conseguir dominar este aspecto de la gestión es definir un procedimiento documentado para gestionarlas a través de todo su ciclo de vida, desde que se tiene noticia de su existencia hasta su cierre. El procedimiento tiene que incluir el modo de proceder para: • Registrar las incidencias y peticiones: no tiene que ser un registro sofisticado, pero sí sencillo de usar y que permita localizar y recuperar información fácilmente. • Asignarles una prioridad: la prioridad suele venir dada por el impacto y la urgencia de la petición o la incidencia. • Clasificarlas: la clasificación dependerá mucho del servicio que se esté prestando; puede hacerse en función de tecnologías en uso, equipos, grupos de
www.full-ebook.com
usuarios, etc. • Actualizar los registros de incidencias y peticiones: para que sean útiles y se pueda obtener información para la gestión, estos registros tienen que estar permanentemente actualizados. Registrar las incidencias creará una base de datos de conocimiento con los métodos, herramientas y actividades que se han llevado a cabo para resolver las distintas incidencias y peticiones. • Escalar: es decir, establecer qué sucede si el receptor de la incidencia o la petición no está capacitado para resolverla, a quién se transmitirá la información y se asignará la responsabilidad de la resolución. El escalado puede ser de diversos tipos: – Funcional: el equipo de Windows se encarga de las peticiones e incidencias de este sistema operativo, mientras que el equipo de Linux se ocupa de las de este. – Jerárquica: un técnico resuelve los problemas o peticiones técnicas pero, si implican un gasto, se escalará al nivel necesario con autorización para aprobarlo. Pueden darse los dos tipos de escalado en una misma incidencia. También puede darse el caso de que haya que pasarla al propio cliente para que ejecute o autorice algún paso. Por eso es importante tenerlo bien definido, para que no se pierda tiempo en decidir a quién se le puede pasar un asunto. • Resolverlas: evidentemente, el objetivo de gestionar las incidencias es restaurar el servicio lo antes posible; y el de las peticiones, atenderlas rápidamente. Las actividades que se realizan para cumplir con estos objetivos son una información valiosa que puede reducir mucho los tiempos de resolución, e identifican problemas que así se pueden solucionar definitivamente evitando incidencias en el futuro. Los registros de estas acciones son esenciales para dar soporte a quienes se encargan de atender las incidencias y peticiones, ya que pueden recuperar datos e información sobre cómo se actuó en casos similares anteriores. • Cerrarlas: las incidencias solo se cierran cuando el cliente da su visto bueno a la solución. No es suficiente con haber restablecido el servicio o haber satisfecho la petición; tiene que tener la conformidad del cliente. Esto es beneficioso para ambas partes, porque el cliente siente que se le ha atendido y que su opinión cuenta, y el proveedor tiene la garantía de que el cliente está satisfecho con el servicio recibido.
www.full-ebook.com
8.1.3.1. Base de datos de conocimiento El personal que participa en este proceso debe tener acceso a toda la información que le pueda ser de utilidad para gestionar las incidencias y peticiones, para poder usarla en solucionar el asunto de la manera más rápida y eficaz posible. Esta información incluye los propios procedimientos de gestión de incidencias y peticiones de servicio, datos de errores conocidos (fallos cuya solución definitiva aún no se ha encontrado, aunque ya se han tomado medidas para evitar de momento que afecten al servicio), soluciones de problemas y la CMDB (la base de datos de la configuración, en la que se almacena la información sobre los elementos del servicio; este proceso se tratará en el apartado 9.1). También puede y debe usarse la información proporcionada por la gestión de entregas (véase el apartado 9.3). Es muy habitual que el lanzamiento de un nuevo servicio o una nueva versión origine una cascada de llamadas a los centros de atención al usuario, el cual ve de repente que sus equipos y aplicaciones no funcionan como esperaba, por lo que es importante que el personal que deba atender estas llamadas esté al tanto de que se ha hecho una nueva entrega y de lo que puede ocurrir con ella. Hay un caso especial de incidencias, las graves, cuya definición se acordará con el cliente y se documentará. Este tipo de incidencias se clasificarán y gestionarán según un procedimiento documentado. Es fundamental que se mantenga al cliente informado en todo momento sobre el estado en el que se encuentra su incidencia o petición de servicio. Cuando se estime que los objetivos de servicio (acuerdos de nivel de servicio) no se pueden alcanzar, el proveedor del servicio debe informar al cliente y a las partes interesadas de este hecho y escalar el asunto de acuerdo con el procedimiento. Impedir que ocurran incidentes es imposible pero, en la medida en la que el cliente perciba que está siendo atendido y escuchado, seguirá apreciando que cuenta con un servicio de calidad. En muchos casos, la principal fuente de quejas y preocupaciones de los clientes proviene de una mala atención ante una incidencia o petición, por lo que todo el esfuerzo que se ponga en este proceso redundará rápidamente en la satisfacción del cliente. Por último, las incidencias de seguridad deberán ser gestionadas por este proceso de gestión de incidencias.
8.1.4. Síntesis del proceso
www.full-ebook.com
La síntesis del proceso (véase la figura 8.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 8.2. Síntesis del proceso Gestión de incidencias y peticiones
8.2. Proceso Gestión de problemas 8.2.1. Objetivo del proceso El objetivo del proceso es minimizar los efectos negativos sobre el negocio de interrupciones del servicio, mediante la identificación y el análisis proactivos de la causa de los incidentes y la gestión de los problemas para su cierre.
8.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 8.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
8.2.3. Descripción del proceso Los problemas tienen la suficiente entidad en la gestión de servicios como para requerir un procedimiento documentado que sirva para:
www.full-ebook.com
• Identificarlos. • Analizarlos para descubrir las causas. • Tomar acciones para eliminarlos o al menos para minimizarlos. • Evitar el impacto de las incidencias y los problemas.
Figura 8.3. Modelo del proceso Gestión de problemas El procedimiento para la gestión de los problemas tiene muchos paralelismos con el de la gestión de incidencias, y debe aplicarse a todos ellos, por lo que tendrá que definir: • Cómo se identifican los problemas. • Cómo se va a realizar el registro. • Los criterios para asignar una prioridad. • Los criterios para clasificarlos. • Cómo se van a actualizar los registros. • Cuáles son los procesos de escalado. • Los métodos de resolución. • Cómo se va a realizar el cierre. El proveedor del servicio debe analizar los datos y tendencias sobre incidencias y problemas, porque esta información puede ayudar a identificar la causa raíz del
www.full-ebook.com
problema y, por tanto, a definir mejor las acciones para eliminarla. En muchas ocasiones ocurrirá que, aun identificada la causa, no es posible resolver el problema de manera permanente, por lo que las acciones a tomar estarán encaminadas a reducir o eliminar el impacto producido sobre los servicios. Esto es lo que se conoce como errores conocidos, y como tales deben ser registrados. Para comprobar que los problemas se han cerrado de manera eficaz hay que monitorizar, revisar e informar sobre la evolución de las acciones tomadas. Cuando la solución de un problema pasa por realizar cambios en un elemento de configuración (CI, por las siglas en inglés de Configuration Item) en la base de datos de configuración (CMDB, Configuration Management Database), hay que generar una petición de cambio (RfC, Request for Change). Se debe facilitar al proceso de gestión de incidencias y peticiones de servicio la información actualizada sobre errores conocidos y soluciones de problemas (base de datos de conocimiento).
8.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 8.4) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 8.4. Síntesis del proceso Gestión de problemas
www.full-ebook.com
Capítulo 9. Procesos de control El objetivo de los procesos de control es regular las actividades necesarias para controlar la configuración, los cambios y la puesta en producción (entorno real) de la infraestructura sobre la que se apoyan los servicios. Para cubrir este objetivo, UNE-ISO/IEC 20000-1 ha definido tres procesos junto son sus requisitos a cumplir: • Proceso Gestión de la configuración. • Proceso Gestión de cambios. • Proceso Gestión de la entrega y despliegue.
9.1. Proceso Gestión de la configuración 9.1.1. Objetivo del proceso El objetivo del proceso es definir y controlar los componentes del servicio y de la infraestructura, y mantener la información precisa sobre la configuración.
9.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 9.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 9.1. Modelo del proceso Gestión de la configuración
9.1.3. Descripción del proceso Para una correcta gestión de la configuración de un servicio es necesario que se identifiquen de manera única todos y cada uno de los elementos de configuración (CI) y que toda la información relacionada con ellos quede registrada en una base de datos de gestión de la configuración (CMDB). Es crítico que esta base de datos esté permanentemente actualizada y gestionada correctamente para que los datos sean fiables y precisos y los accesos estén controlados. Debe existir una definición documentada de cada tipo de CI. La información registrada para cada CI debe asegurar el control eficaz e incluir al menos: • Descripción del CI. • Relación(es) entre el CI y otros CI. • Relación(es) entre el CI y los componentes del servicio. • Estado. • Versión. • Ubicación. • Peticiones de cambio asociadas. • Problemas y errores conocidos asociados.
www.full-ebook.com
El procedimiento para llevar a cabo la gestión debe documentar cómo se van a realizar el registro, control y seguimiento de las versiones de los CI. La CMDB es uno de los pilares sobre los que se asienta la gestión de servicios, ya que es la herramienta necesaria para mantener la integridad de los servicios y sus componentes. Para que esto ocurra, la CMDB debe ser auditada regularmente para detectar errores y deficiencias y corregirlas lo antes posible. Además, los cambios en los CI tienen que hacerse de manera controlada para garantizar la integridad de los datos y de los propios CI. La información de este proceso debe apoyar al de gestión de cambios para soportar la evaluación de las peticiones de cambio. Aspectos importantes en la gestión de este proceso son: • Tomar una línea de base de configuración de los CI afectados antes del despliegue de una entrega en el entorno de producción. De esta manera se tiene una “foto” del servicio con la que trabajar. • Almacenar copias maestras de los CI registrados en la CMDB en una ubicación física o digital segura. Estas copias incluirán como mínimo la documentación relacionada, la ubicación del CI, información de licencias, el software y, en su caso, las imágenes de la configuración del hardware. • Debe existir una interfaz definida entre el proceso Gestión de la configuración y el proceso Gestión de activos financieros (véase el apartado 6.4).
9.1.4. Síntesis del proceso La síntesis del proceso (véase la figura 9.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
www.full-ebook.com
Figura 9.2. Síntesis del proceso Gestión de la configuración
9.2. Proceso Gestión de cambios 9.2.1. Objetivo del proceso El objetivo del proceso es asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de manera controlada.
9.2.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 9.3) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.
www.full-ebook.com
Figura 9.3. Modelo del proceso Gestión de cambios
9.2.3. Descripción del proceso La gestión de cambios es un proceso crítico: los cambios sin control son fuente de innumerables incidencias y errores. Es primordial tomar control sobre este asunto para que la gestión del servicio pueda fructificar realmente. En primer lugar, se establecerá una política de gestión de cambios que defina: • Los CI que están bajo el control de la gestión de cambios: a veces no resulta obvio que elementos como los SLA se deban aplicar también a la gestión de cambios; pero evitan muchos conflictos, así que hay que incluir cualquier elemento cuyo cambio origine un impacto en el servicio en un momento u otro. • Los criterios para determinar los cambios con el potencial de tener un gran impacto en los servicios o en el cliente. • Habrá cambios menores, como por ejemplo un parche en una aplicación; y habrá otros cambios que tengan más repercusión, como por ejemplo un cambio en un SLA. Para ajustar el control a lo estrictamente necesario y así utilizar solo los recursos necesarios, se deben establecer distintos modos de actuación para cada categoría de cambios. En general, se suelen distinguir tres tipos de cambios: – Cambios estándar: que no necesitan petición y suelen estar preautorizados, debido a que forman parte de la operativa cotidiana; tienen poco riesgo y se
www.full-ebook.com
ejecutan siguiendo un procedimiento o una instrucción de trabajo; por ejemplo, el cambio de un teclado que se ha estropeado. – Cambios de emergencia: uno que debe ser implementado inmediatamente, por ejemplo tras una situación de desastre, por lo que algunos pasos se obviarán para ejecutarlo rápidamente en un primer momento. Lo que constituye un cambio de emergencia debe ser acordado y documentado entre el proveedor del servicio y el cliente. – Cambio normal: cualquier cambio en el servicio o en alguno de sus elementos que no es un cambio estándar ni de emergencia. El ciclo de vida típico de un cambio normal se muestra en la figura 9.4. El procedimiento de gestión de cambios contemplará todas estas fases, no solo para los cambios normales, sino para el resto de los tipos de cambios: • Crear petición de cambio (RfC): solo es necesario para los cambios normales. Puede ser más o menos formal según los recursos disponibles, pero siempre es necesario saber quién y qué se está pidiendo, y las razones para ello. • Registrar petición de cambio: tanto si llegan a ser aprobados como si no, es necesario contar con el registro de peticiones, que es útil entre otras cosas para detectar tendencias y oportunidades de mejora. • Analizar y evaluar el cambio: tiene que haber un responsable del proceso o un comité de gestión de cambios que analice la petición y valore si es posible atenderla o hay que rechazarla, ya sea por motivos técnicos, económicos o contractuales. Si el cambio solicitado va a tener un gran impacto en los servicios o en el cliente, se debe gestionar mediante el proceso de diseño y transición de servicios nuevos o modificados. La eliminación de un servicio o su transferencia a un tercero se deben considerar como cambios con un alto impacto potencial.
www.full-ebook.com
Figura 9.4. Ciclo de vida de la gestión de un cambio normal • Autorizar la ejecución y prueba del cambio: si el cambio se considera posible y viable, se aprobará; si no, se informará al peticionario del rechazo de su petición. La decisión se basará en los riesgos, los impactos potenciales a los servicios y al cliente, los requisitos del servicio, los beneficios del negocio, la viabilidad técnica y el impacto financiero. • Coordinar la ejecución y prueba del cambio: hay que definir cómo se va a llevar a cabo el cambio, planificar el calendario, ejecutar esas acciones y comprobar que el cambio no afecta de forma imprevista a otros elementos de configuración o al servicio. • Autorizar el despliegue del cambio: cuando sea factible poner el cambio en marcha, se dará la autorización para ello.
www.full-ebook.com
• Coordinar el despliegue del cambio: hay que informar a las partes interesadas o afectadas por el cambio de que este se va a llevar a cabo y de lo que deben esperar. Hay que tener definido un plan de marcha atrás (backout) por si el cambio fracasa. • Revisar y cerrar el cambio: finalizado el despliegue, hay que actualizar la CMDB, estudiar la eficacia de los cambios y tomar acciones si es necesario.
9.2.4. Síntesis del proceso La síntesis del proceso (véase la figura 9.5) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 9.5. Síntesis del proceso Gestión de cambios
9.3. Proceso Gestión de la entrega y despliegue 9.3.1. Objetivo del proceso El objetivo del proceso es poner en operación un nuevo servicio o un conjunto de cambios que tengan entidad propia.
9.3.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 9.6) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso,
www.full-ebook.com
salidas (registros y evidencias) y puntos de control del proceso.
Figura 9.6. Modelo del proceso Gestión de la entrega y despliegue
9.3.3. Descripción del proceso En este proceso se suelen distinguir cuatro fases: • Planificación: los planes tienen que estar alineados con la política de entregas, que define: – La frecuencia de entrega para cada servicio. – Los tipos de entrega para cada servicio. En muchos casos será necesario incluir al cliente en la planificación de la implantación de los servicios nuevos o modificados, o de entregas importantes, y coordinarse con la gestión de cambios para entregas que impliquen cierre de algún cambio, errores conocidos o problemas. En la planificación hay que incluir: – Alcance de la entrega. – Servicios y elementos afectados. – Fechas, entregables. – Métodos de implementación. • Construcción y pruebas: para el desarrollo y las pruebas de las entregas es
www.full-ebook.com
necesario contar con un entorno controlado en el que trabajar, para evitar interferencias con los servicios en operación. Se deben haber definido previamente los criterios de aceptación de las entregas, bien internamente o con el cliente u otras partes interesadas. Estos criterios deben abarcar también las entregas de emergencia: – Qué se considera una entrega de emergencia. – Quién la puede autorizar. – Quién será responsable de su ejecución. Una vez construida la entrega, se debe chequear que cumple con los criterios de aceptación y, si no es así, tomar las medidas adecuadas para corregirla. • Despliegue: tras superar las pruebas, es el momento de ensamblar la entrega: – Crear la documentación asociada. – Diseñar las actividades necesarias para el caso de que haga falta revertir el despliegue. – Informar a los afectados de que se va a proceder a desplegar la entrega. Hay que ser cuidadosos al escoger el lugar y el momento para evitar afectar a la integridad del hardware, software o cualquier otro elemento del servicio durante el despliegue. Si el despliegue falla, se revertirá o reparará según sea oportuno. En caso de fallo es necesario revisar lo ocurrido y tomar acciones para evitar que vuelva a ocurrir. • Revisión y cierre (PIR, Post Implementation Review): se debe estudiar y medir lo que haya ocurrido durante y después del despliegue, en particular los incidentes ocurridos, para evaluar el impacto de la entrega en el cliente y en los servicios. Los resultados y conclusiones extraídos de los análisis servirán para identificar oportunidades de mejora. Este proceso aporta información al proceso Gestión de incidencias y peticiones de servicio sobre: • El éxito o el fracaso de las entregas. • Las fechas de futuras entregas. Este proceso aporta información al proceso Gestión de cambios sobre: • El éxito o el fracaso de las entregas.
www.full-ebook.com
• Las fechas de futuras entregas. • El impacto de las peticiones de cambio para las entregas y los planes de despliegue.
9.3.4. Síntesis del proceso La síntesis del proceso (véase la figura 9.7) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula).
Figura 9.7. Síntesis del proceso Gestión de la entrega y despliegue
www.full-ebook.com
Capítulo 10. Caso práctico. Implantación de un SGS En este capítulo se plantean ejemplos y sugerencias para la definición del SGS y su implantación. Se han detallado ejemplos de estructura y contenidos para los principales documentos que componen un SGS típico, con el objetivo de ayudar a definir su propio SGS a quienes aborden por primera vez un proyecto de este tipo.
10.1. Plan de implantación Una planificación típica para un proyecto a seis meses puede ser similar a la mostrada en la tabla 10.1. La primera tarea es recoger información sobre lo que ya se está haciendo en la organización en cuanto a la gestión de servicios. Poco o mucho, mejor o peor, un proveedor de servicios está gestionando los servicios que suministra. Todo ese conocimiento e información deben formar parte del SGS. Tras esta recopilación de información, se puede comenzar a documentar el SGS, empezando por la política y el manual, que recogerán las directrices sobre las que se establecerá el SGS. Aquí es muy importante definir claramente los objetivos que se persiguen, ya que darán la pauta para muchas de las actuaciones. Salvo que la organización tenga ya implantado otro sistema de gestión, hay que documentar los procesos de gestión. Si ya hay otro sistema de gestión, se revisarán los procedimientos existentes para que incluyan los requisitos del SGS. Por ejemplo, si hubiera un sistema de gestión de la calidad, el plan de formación estará basado en las necesidades de competencia en calidad, y ahora habrá que añadir las de competencia en gestión del servicio. Una vez definidos los procedimientos, el comité se reunirá para aprobar y lanzar el SGS. Desde ese momento se comenzará a trabajar de acuerdo con lo definido en dicho SGS, produciendo las evidencias correspondientes para demostrar que se está cumpliendo con lo aprobado. En esta fase tendrá lugar la formación, para informar y concienciar a todos los implicados sobre los cambios que puedan producirse en los modos de trabajo y los beneficios que se espera del esfuerzo emprendido.
www.full-ebook.com
Tras un periodo de adaptación se llevará a cabo la auditoría interna, que dará la medida de la implantación real de los procedimientos y buenas prácticas definidas. Con todos los datos e información recogida de la implantación y de la auditoría se prepara el informe de revisión del SGS por la dirección. Esta revisión se aprobará en una nueva reunión del comité, y la organización estará entonces preparada para afrontar un proceso de certificación. Tabla 10.1. Planificación de implantación Mes Tarea 1
2
3
4
5
6
1. Evaluación del estado actual 2. Implantar los requisitos generales 2.1. Manual y política 2.2. Procedimientos de gestión 3. Implantar los requisitos de gestión del servicio 4. Implantar el SGS 4.1. Aprobación del SGS 4.2. Registros 4.3. Formación 4.4. Auditoría interna 4.5. Revisión del sistema 5. Auditoría de certificación
10.2. Implantar los requisitos generales Los requisitos generales se cubren mediante: • Documentación de la información requerida por la norma en el capítulo 4, que
www.full-ebook.com
podemos recoger en un único documento, el manual de gestión. De esta manera simplificamos la generación y mantenimiento de toda esa información: solo hay un lugar al que acudir para encontrarla o para modificar lo que sea necesario. Asociados al manual estarán el plan de gestión del servicio y el plan de mejora del servicio. • Procedimientos de gestión. Hay una serie de requisitos compartidos por cualquier sistema de gestión ISO, que en la norma que nos ocupa se detallan en el capítulo 4. Estos requisitos se pueden cumplir con la definición e implantación de los procedimientos mostrados en la tabla 10.2. Tabla 10.2. Procedimientos de gestión Procedimiento
Documentación
Plantillas y registros asociados
Formato de procedimiento Listado de documentación en vigor
Comité de gestión
Acta de reunión Revisión del sistema Cuadro de mando
Auditorías internas Plan de auditorías Informe de auditoría Recursos humanos Perfiles profesionales Plan de formación Registros de formación Mejora continua
Acciones preventivas y correctivas
10.2.1. Manual 1 Objeto El manual pretende hacer una descripción de la organización, la estructura organizativa de la misma y la documentación que ha sido elaborada para cumplir con los requisitos establecidos por la Norma UNE-ISO/IEC 20000-1 de manera
www.full-ebook.com
que se pueda mejorar continuamente la eficacia y la eficiencia de los departamentos de sistemas y desarrollo en el suministro de servicios a los clientes. El contenido del manual sirve como marco de referencia para el desarrollo de las actividades, acciones y decisiones que se tomen en la organización y que tengan relación directa o indirecta con la gestión del servicio.
2 Presentación de la organización Debe registrarse: • Ubicación geográfica. • Organigrama. • Mapa de red. 2.1 Objetivos de la gestión del servicio Los principales objetivos de la organización en cuanto a la gestión del servicio son: • Asegurar la calidad de nuestros productos y servicios para que sean atractivos para los clientes presentes y futuros. • Entrar en un proceso de mejora continua que nos haga más eficientes y eficaces. • Dar servicios más completos. • Aumentar nuestra cartera de clientes. 2.2 Política de gestión del servicio de TI Principios que rigen la gestión del servicio en la organización, como por ejemplo: • Prestar servicios de TI alineados con las necesidades de clientes y usuarios. • El cumplimiento de los requisitos de negocio, los legales y los reglamentarios • Mejorar la eficacia y eficiencia de los procesos internos de prestación de los servicios de TI.
3 Referencias normativas Principales normas de referencia utilizadas, como por ejemplo: • Norma UNE-UNE-ISO/IEC 20000-1 Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS). Esta norma proporciona el marco para realizar y gestionar de manera efectiva
www.full-ebook.com
el suministro de servicios que cumplan con los requisitos del cliente y los del negocio. • Norma UNE-ISO/IEC 20000-2 Tecnología de la información. Gestión del servicio. Parte 2: Directrices para la aplicación del Sistema de Gestión del Servicio (SGS). Esta parte de la norma comprende una guía y recomendaciones para su implantación, por lo que debe ser utilizada conjuntamente con la parte 1.
4 Términos y definiciones Términos que van a usarse en el sistema de gestión. Pueden usarse los del glosario.
5 Requisitos generales del sistema de gestión del servicio 5.1 Responsabilidades de la dirección Identificar las responsabilidades de la dirección. En general, podemos señalar como principales las siguientes: • Establecer la política, objetivos y planes de la gestión del servicio. • Asegurar la disponibilidad, competencia y adecuación de los recursos necesarios para alcanzar dichos objetivos. • Nombrar un responsable del SGSTI que se encargue de gestionar el sistema y vele por el desarrollo, mantenimiento y mejora del mismo. • Llevar a cabo un análisis de las necesidades existentes en torno a la prestación de servicios de TI y desarrollar los servicios necesarios para dar una adecuada respuesta a dichas necesidades. • Destinar los recursos y medios necesarios para desarrollar los servicios con los niveles de calidad exigidos por sus destinatarios, manteniendo un adecuado balance entre coste y beneficio. 5.2 Responsable de SGSTI Entre sus responsabilidades se encuentra la de mantener el proceso de mejora continua del sistema, trabajando junto con los responsables de los procesos y de los servicios. Con respecto a las actividades de gestión, debe planificar las auditorías internas y llevar la gestión de los incidentes relativos a los servicios que gestiona. Formará parte del comité de gestión. 5.3 Gobierno de los procesos operados por terceros
www.full-ebook.com
Esta sección identificará aquellos procesos que sean realizados por terceros, y el procedimiento que se utilizará para controlarlos. 5.4 Gestión de la documentación El sistema de gestión del servicio de TI se compone de un sistema documental organizado como a continuación se indica: • Manual de gestión: en el que se hace referencia a los procedimientos del sistema y a la estructura documental utilizada. • Procedimientos: son los documentos que describen detalladamente cada uno de los elementos del sistema. • Instrucciones técnicas: definen las pautas de actuación concreta y específica de un puesto de trabajo. A ellas se hace referencia en los procedimientos. • Formatos: constituyen el soporte de la documentación del sistema y de los registros que sirven a su vez para constatar el correcto funcionamiento del sistema. • Registros: documentación generada por los procesos, como: – Planes de gestión del servicio. – Acuerdos de nivel de servicio. Toda la documentación debe estar sometida a un proceso controlado de aprobación, revisión, distribución y tiempo de retención. 5.5 Gestión de recursos Describir cómo se estiman y planifican las necesidades de recursos tanto técnicos como humanos, financieros y de información para establecer, implantar y mantener el sistema de gestión y los servicios, mejorando continuamente su efectividad. La planificación se suele documentar en el plan de gestión y en el plan de formación. 5.6 Establecer el SGS Cualquier sistema de gestión ISO está basado en procesos y en el ciclo de mejora continua (PHVA). El SGS de la organización, por tanto, estará basado en los procesos que define la norma, los procedimientos desarrollados para implantar estos procesos, y los métodos para refinar y mejorar los procesos, que serán los definidos en los procedimientos generales del sistema de gestión.
www.full-ebook.com
La gestión de servicios según este modelo se muestra en la figura 10.1.
Figura 10.1. Modelo de gestión de servicios 5.6.1 Definición del alcance En esta sección se documenta el alcance del sistema, que suele expresarse como los servicios que van a estar incluidos en el mismo. Para no duplicar información, también puede hacerse referencia a servicios que estén incluidos en el catálogo de servicios. 5.6.2 Fase de planificación En esta sección se definen las actividades relacionadas con la planificación de la gestión del servicio que llevarán a especificar el sistema de gestión. El resultado de esta planificación queda documentado en el propio manual y en la documentación (procedimientos, políticas, planes, etc.). 5.6.3 Fase de implementación Se describen las actividades para la puesta en marcha y el desarrollo de la gestión del servicio de TI, que suelen ser las contempladas en el plan de gestión. 5.6.4 Fase de comprobación Aquí se describen los métodos que se usan para monitorizar, y en lo posible medir, los procesos de gestión del servicio, con el fin de comprobar si se consiguen los objetivos. La herramienta más habitual es la definición de medidas e indicadores de rendimiento apropiados tanto para el sistema como para cada proceso.
www.full-ebook.com
5.6.5 Fase de actuación En esta sección se explican las actividades de esta fase: • Recoger y analizar datos. • Identificar, planificar e implantar las mejoras. • Medir, informar y comunicar las mejoras de los servicios. • Revisar las políticas, procesos, procedimientos y planes de gestión del servicio. En su mayoría, son actividades que se suelen recoger en los procedimientos del comité de gestión y de mejora continua.
6 Gestión del servicio Los servicios se gestionarán mediante los métodos recogidos en los siguientes procedimientos: • Diseño y transición de servicios nuevos o modificados. • Gestión del nivel de servicio. • Informes del servicio. • Gestión de continuidad y disponibilidad del servicio. • Elaboración de presupuesto y contabilidad de los servicios de TI. • Gestión de la capacidad. • Gestión de la seguridad de la información. • Gestión de las relaciones con el negocio. • Gestión de los suministradores. • Gestión de incidencias y peticiones de servicio. • Gestión de problemas. • Gestión de la configuración. • Gestión de cambios. • Gestión de entrega y despliegue.
7 Registros asociados al manual • Plan de gestión del servicio. • Plan de mejora.
www.full-ebook.com
8 Historial de cambios Fecha de la emisión. Versión de la emisión.
10.2.1.1. Plan de gestión del servicio Alcance
Servicios a los que se aplica.
Objetivos
Objetivos de negocio. Objetivos de servicios.
Procesos
Procesos a los que se aplica.
Formación
Formación que se va realizar.
Roles y responsabilidades
Gestores para cada proceso.
Relaciones entre procesos
Relaciones entre los procesos a los que se aplica.
Identificación de riesgos
Análisis de riesgos del negocio, del proyecto, tecnológicos, etc., que puedan amenazar a los servicios.
Recursos y presupuestos
Recursos económicos, humanos y técnicos asignados.
Herramientas
Herramientas que se van a utilizar.
Revisión y mejoras
Métodos de revisión de los servicios.
10.2.1.2. Plan de mejora Alcance
Acciones para la mejora de los servicios.
Objetivos
Mejoras en los servicios.
Responsabilidades
Quién va a definir y llevar a cabo las mejoras.
Análisis DAFO
Análisis de fortalezas, debilidades, oportunidades y amenazas.
Seguimiento
Plazos y métodos de seguimiento.
Mejoras del SGS
Descripción de las mejoras que se van a realizar en el sistema de gestión.
www.full-ebook.com
Planificación de mejoras del SGS
Detalle de asignaciones de tareas, plazos y responsables: descripción de la mejora, prioridad, responsable, responsable de verificación, indicador de seguimiento, plazos.
Mejoras del servicio
Descripción de las mejoras que se van a realizar en los servicios.
Planificación de las mejoras del servicio
Detalle de asignaciones de tareas, plazos y responsables: descripción de la mejora, prioridad, responsable, responsable de verificación, indicador de seguimiento, plazos.
10.2.2. Procedimientos de gestión Para el propósito de esta guía, se han establecido los siguientes campos como esquema general para la definición y documentación de un procedimiento: • Objeto: el principal objetivo del procedimiento. • Alcance: partes de la organización a las que se aplica el procedimiento. • Responsabilidades: principales roles involucrados y qué funciones desempeñan. • Procedimiento: tareas que hay que realizar. • Referencias: documentación necesaria para realizar correctamente el procedimiento. • Anexos: registros que se van a generar, formatos, instrucciones técnicas, etc. • Historial de cambios: fechas y versiones emitidas en esas fechas, identificando los cambios principales que se han hecho en cada versión.
10.2.2.1. Procedimiento de gestión documental Objeto
Establecer la metodología para la generación, revisión, aprobación, identificación, distribución y control de la documentación que integra el SGS.
Alcance
El presente procedimiento es de aplicación a toda la documentación del SGS.
Responsabilidades
Responsable del sistema de gestión (RSG): • Desarrollar, distribuir y archivar la documentación. • Controlar, revisar y mantener al día la documentación. • Velar por el cumplimiento y aplicación de los procedimientos.
www.full-ebook.com
Personal dentro del alcance: • Proponer modificaciones a los procedimientos que les afecten.
Actividades
Definir: • El sistema de codificación de la documentación: qué códigos e identificativos va a llevar cada documento. • Cómo se llevará el control de la documentación: quién emite los documentos, quién los revisa, quién los aprueba y cómo se van a publicar y distribuir. • En que soporte y en qué ubicación se alojará la documentación del sistema. • Cómo se tratarán los registros: – Quién los generará. – Cómo se almacenarán e identificarán. – Cuánto tiempo se van a guardar.
Anexos
• Formato de procedimiento. • Listado de documentación en vigor.
10.2.2.2. Procedimiento de comité de gestión Objeto
Establecer la composición y funcionamiento del comité de gestión, responsable de implantar, revisar y mejorar continuamente el SGS.
Alcance
Es de aplicación al funcionamiento del comité de gestión y a la totalidad de reuniones que se efectúen en el seno del mismo, así como a todos los integrantes del comité de gestión.
Responsabilidades
Responsable del sistema de gestión del servicio: • Convocar las reuniones del comité de gestión. • Documentar lo tratado en las reuniones. • Distribuir las actas del comité. • Elaborar el informe de revisión del sistema. Comité de gestión: • Establecer la política, objetivos y planes de la gestión del servicio. • Comunicar la importancia de alcanzar esos objetivos y la necesidad de la mejora continua. • Nombrar un responsable del sistema de gestión del servicio. • Revisar la gestión del servicio. • Establecer una metodología de revisión, auditoría y mejora continua del sistema.
www.full-ebook.com
• Detectar y estudiar los problemas relacionados con la gestión de los sistemas. • Proponer acciones correctivas o preventivas. • Analizar las necesidades en torno a la prestación de servicios de TI y desarrollar los servicios necesarios para dar una adecuada respuesta a esas necesidades. • Establecer un plan de formación.
Actividades
Definir: • La periodicidad con la que se reunirá el comité. • Los asuntos a tratar en las reuniones. • Quién revisará el sistema de gestión al menos una vez al año para asegurar su conveniencia, adecuación y eficacia continua. • Los datos que constituyen las entradas a la revisión del sistema por la dirección. • Los datos que conforman las salidas de la revisión del sistema por la dirección. • Que la revisión quedará documentada en un informe de revisión del sistema y será aprobada en el seno del comité.
Anexos
• Acta de reunión. • Revisión del sistema. • Objetivos e indicadores.
10.2.2.3. Procedimiento de auditorías internas Objeto
Establecer las pautas para la realización de las auditorías internas del sistema de gestión, con el fin de evaluar el grado de conformidad con las normas aplicables y con los requisitos del SGS.
Alcance
Es de aplicación a todos los servicios incluidos dentro del alcance del sistema de gestión y a los subcontratados para ese fin. Responsable del sistema de gestión del servicio: • Definir e implantar un sistema de auditorías internas que incluya la preparación, realización, registro y seguimiento de las mismas. • Programar las auditorías internas al menos anualmente. • Realizar el seguimiento del plan de auditoría. • Archivar el informe de auditoría. • Analizar junto con los directores de departamento o los responsables de área las no conformidades detectadas en su área de responsabilidad
www.full-ebook.com
Responsabilidades
y establecer las acciones correctivas necesarias conjuntamente con el comité de gestión. Comité de gestión: • Aprobar el plan de auditoría y sus revisiones. • Nombrar al auditor o auditores. Auditor: • Dirigir la realización de aquella/s auditoría/s para la/s que sea asignado. • Registrar las no conformidades detectadas y elaborar el informe de auditoría. • Dar una copia del informe de la auditoría a los miembros que componen el comité de gestión y al director del departamento auditado en caso que este no pertenezca al comité de gestión. • Verificar y evaluar la implantación de las acciones correctivas o preventivas propuestas para su posterior cierre. Directores de departamento: • Colaborar en la realización del plan de auditoría. • Analizar, junto con el responsable del sistema, las no conformidades detectadas en su área de responsabilidad y establecer las acciones correctivas necesarias.
Actividades
Definir: • La cualificación que debe tener el personal encargado de la ejecución de las auditorías. • Qué debe incluir el plan de auditoría, quién será el responsable de su realización y a qué departamentos se distribuirá dicho plan. • Cuándo deben llevarse a cabo las auditorías. • Quién elaborará la lista de comprobación y a quién se le enviará. • El transcurso de la auditoría. • Método de archivo y custodia de los informes de auditoría. • Cómo se van a tratar las no conformidades detectadas.
Anexos
• Lista de comprobación de auditoría. • Informe de auditoría. • Plan de auditorías.
10.2.2.4. Procedimiento de gestión de recursos humanos Objeto
Alcanzar el máximo grado de adecuación de las capacidades de la persona a las necesidades de los puestos.
www.full-ebook.com
Alcance
Es de aplicación a todo el personal, en especial a aquel que realiza actividades relacionadas con los servicios de TI.
Responsabilidades
Dirección: • Evaluar y concretar necesidades de formación detectadas. • Aprobar el plan de formación anual y presupuesto. Responsable del sistema: • Estudiar y concretar las necesidades de formación. • Gestionar y ejecutar los programas de formación. • Evaluar, controlar y seguir las acciones formativas. • Mantener y actualizar los registros de formación del personal. Responsables de departamento o del proceso: • Comunicar necesidades de formación. • Elaborar y revisar el perfil de los puestos de su área.
Actividades
Definir: • Las competencias necesarias en cada puesto de trabajo, así como las necesidades de acceso. • La documentación necesaria para establecer un contrato legalmente válido. • Cómo evaluar las capacidades del personal. • Cómo planificar y desarrollar actividades de formación y sensibilización para el personal, además de evaluar su competencia en cuanto a la eficacia de dichas acciones. • El método de evaluación de la eficacia de las acciones formativas impartidas y la valoración anual de las mismas en la revisión del sistema por la dirección.
Anexos
• Plan de formación. • Registros de formación. • Perfiles profesionales.
10.2.2.5. Procedimiento de mejora continua Objeto
Establecer los métodos para recopilar, analizar y evaluar los datos apropiados que permitan la idoneidad, así como las desviaciones sobre los objetivos de gestión definidos, con el fin de establecer los planes de mejora. Este procedimiento se aplica a: • Las acciones correctivas que se aplican ante la aparición de no
www.full-ebook.com
Alcance
Responsabilidades
conformidades individuales significativas por repetición de problemas menores. • Las acciones preventivas que se aplican para evitar la aparición de futuras no conformidades. • Las acciones de mejora que se pongan de manifiesto como resultado de los análisis realizados de las diversas fuentes de información disponibles. Comité de gestión: • Evaluar la implantación de las acciones correctivas o preventivas, o de otras medidas que se estimen necesarias • Aprobar y cerrar las medidas de mejora acordadas. • Establecer nuevas medidas de mejora, plazos y responsables, en el caso de acciones previas negativas. • Analizar la evolución de los indicadores del SGS y definir, en consecuencia, los objetivos de mejora. Responsable del sistema de gestión del servicio: • Decidir junto con el director del departamento o responsable de área implicado la necesidad o no de tomar acciones correctivas o preventivas en función de la magnitud y frecuencia de los problemas detectados. • Documentar la causa de la no conformidad, así como la acción correctiva o preventiva a implantar. • Efectuar el seguimiento de las acciones correctivas y preventivas hasta su cierre definitivo. • Realizar el registro, revisión y archivo de todas las acciones correctivas y preventivas. • Realizar el registro, revisión y archivo de todas las acciones de mejora. Directores de departamento o responsables de área: • Determinar, junto con el responsable del sistema de gestión del servicio, las acciones correctivas o preventivas necesarias para la solución de problemas detectados en su ámbito. • Comunicar a los responsables de llevar a cabo las acciones correctivas o preventivas y coordinar su puesta en marcha. Todos los miembros de la organización: • Ejecutar en el plazo establecido las acciones correctivas o preventivas establecidas y acordadas. • Comunicar a su responsable directo la existencia de un problema real o potencial que considere pudiera afectar al producto, servicio, proceso o sistema de gestión.
www.full-ebook.com
• Colaborar en el análisis de los problemas y en la aplicación de las acciones correctivas o preventivas necesarias cuando sean requeridos para ello. • Seguir y evaluar las acciones de mejora en curso.
Actividades
Definir: • No conformidades: – Modo de detección. – Tipos de no conformidades. • Acciones correctivas y preventivas: – Responsable, modo de detección, análisis de causas, establecimiento de las medidas a tomar, etc. – Seguimiento del grado de implantación – Indicadores necesarios para la medición de la eficacia de las medidas tomadas. • Acciones de mejora: – Quién será el encargado de controlar la ejecución y cierre de las acciones correctivas o preventivas, verificando que se han obtenido los resultados deseados y que la acción ha sido eficaz. – Métodos de detección, registro y seguimiento. – Sistema para incluir las acciones en el plan de mejora.
Anexos
• Acciones preventivas y correctivas.
10.3. Implantar los requisitos de gestión del servicio 10.3.1. Gestión de servicios nuevos o modificados Objeto
Asegurar que los servicios nuevos que vayan a ofrecerse y las modificaciones a los existentes se pueden gestionar y proveer con los costes y la calidad acordados.
Alcance
Se aplica a los servicios nuevos y a los cambios importantes en los existentes dentro del SGS. Dirección: • Establecer objetivos. • Establecer un plan de gestión del servicio (para servicios nuevos). • Establecer medidas de mejora, plazos o responsables en el caso de que no se cumplan los objetivos.
www.full-ebook.com
Responsabilidades
Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso: • Comunicar a las partes afectadas el cambio del servicio.
Actividades
Definir: • Propuesta de nuevo servicio. • Costes e impactos de la implementación del nuevo servicio. • Tareas que se van a llevar a cabo en las siguientes actividades: – Especificación de requisitos. – Diseño. – Desarrollo. – Pruebas. • Revisión posimplantación del servicio. • Puntos a incluir en el plan de gestión del servicio: – Alcance de la gestión del servicio. – Objetivos y requisitos. – Procesos que se van a ejecutar. – Formación. – Roles y responsabilidades. – Relaciones entre procesos. – Actividades. – Identificación de riesgos. – Designación de recursos y presupuestos. – Herramientas. – Revisión y mejoras.
Anexos
• Plan de gestión del servicio. • Análisis de riesgos.
10.3.1.1. Análisis de riesgos Escenario de riesgo
Descripción de eventos negativos que pudieran suceder relacionados con el nuevo servicio o la modificación del existente.
Probabilidad
Valoración de la probabilidad de ocurrencia del evento descrito.
Impacto
Valoración del posible daño que pueda ocasionar el riesgo si ocurriera.
www.full-ebook.com
Plan acción
de
Plan para reducir el riesgo o para reaccionar en caso de que ocurra.
10.3.2. Gestión del nivel de servicio
Objeto
Establecer una metodología para la gestión eficaz de los niveles de servicio a través de una correcta definición, acuerdo y registro de los mismos, así como la preparación y envío de informes de servicio a los clientes y usuarios. El objetivo de esta gestión es construir, monitorizar y controlar los acuerdos de nivel de servicio y la calidad de los servicios que contemplan, utilizando para ello un ciclo de mejora continua.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor del nivel de servicio: • Actuar como interlocutor entre el cliente y el departamento de TI, transmitiendo los requisitos del servicio a dicho departamento e informando al cliente sobre el desarrollo del servicio. • Realizar el seguimiento de las acciones acordadas con el cliente en las reuniones de revisión de SLA. • Mantener actualizado el catálogo de servicios. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. • Recopilar la información necesaria, emitir los informes y distribuirlos a la audiencia que los requiera. Personal: • Ejecutar en el plazo establecido las acciones establecidas y acordadas. Definir: • Construir y gestionar el catálogo de servicios en el que se indicarán los
www.full-ebook.com
Actividades
Anexos
detalles que son importantes para la organización. • Construir, negociar, revisar y actualizar los acuerdos de nivel de servicio o acuerdos de nivel operativo, teniendo en cuenta los contratos de soporte con suministradores o proveedores externos. • Proceso de monitorización y gestión de los acuerdos de nivel de servicio. • Cómo analizar las causas de incumplimiento. • La periodicidad con la que se revisarán y actualizarán el catálogo de servicios y los acuerdos de nivel de servicio. • Catálogo de servicios. • Acuerdos de nivel de servicio. • Contratos con suministradores.
10.3.2.1. Catálogo de servicios Nombre del servicio
Nombre interno o comercial del servicio.
Descripción del servicio
Características del servicio. Hay que proporcionar el mayor número de detalles posible: en qué consiste, las condiciones de uso, los usos posibles, etc.
Objetivos
Qué objetivos, tanto internos como externos, se persiguen con este servicio.
Medios de contacto
Detallar las personas de contacto y los enlaces que va a haber con los clientes o usuarios.
Horario del servicio
Tanto los habituales como los excepcionales, las guardias y cualquier otro tiempo en el que se presta o no se presta el servicio.
Medidas de seguridad
Qué controles se aplican para garantizar la confidencialidad, disponibilidad e integridad del servicio.
SLA
Acuerdos de nivel de servicio asociados al servicio.
10.3.2.2. Acuerdo de nivel de servicio Partes contratantes
Datos de los participantes en el acuerdo.
Definiciones
Definiciones de términos importantes para evitar malentendidos: SLA, proveedor, cliente, servicios, entregables, etc.
Duración del
Periodo de vigencia del acuerdo.
www.full-ebook.com
SLA Servicios cubiertos
Servicios prestados bajo las condiciones de este acuerdo.
Comunicación
Medios de contacto y personas de contacto para este servicio.
Documentos relacionados
Contratos, ofertas, folletos, peticiones, etc. Cualquier documento necesario para prestar y gestionar el servicio.
Horario del servicio
Horarios en los que se prestará el servicio y en los que no.
Niveles de servicio
Parámetros bajo los que se prestará el servicio: disponibilidad del 90%, 3000 usuarios en concurrencia, tiempo de respuesta de 3 segundos, tiempo de respuesta a incidencias de 2 horas, etc.
Procedimiento de reclamación
Medios a disposición del cliente para presentar reclamaciones.
Exclusiones
Casos que no se considerarán para el cálculo de los parámetros del nivel de servicio. Por ejemplo, en el caso de la disponibilidad, no se tendrán en cuenta los tiempos de las paradas de mantenimiento programado o fallos causados por errores de los usuarios.
Incentivos/ penalización del rendimiento
Qué sistema de penalizaciones o incentivos se va a seguir según el proveedor cumpla mejor o peor con los niveles de servicio.
Cambio
Canales de comunicación y gestión de cambios, quién puede pedir un cambio y cómo se gestionará la petición.
Continuidad y seguridad de los servicios de TI
Medidas de seguridad aplicadas al servicio para garantizar los parámetros de seguridad necesarios: confidencialidad, disponibilidad, integridad, autenticidad, trazabilidad, etc.
Revisión e informes de los servicios
Qué informes se van a emitir, con qué periodicidad y contenidos, y audiencia a la que van destinados.
Gestión de incidencias en la prestación del servicio
Descripción de la gestión de incidencias, con sus correspondientes aplicaciones y acciones de detección, registro y escalado de incidencias en la prestación del servicio.
Confidencialidad
Cláusulas de confidencialidad que sean necesarias.
Monitorización
Periodicidad y métodos mediante los que se comprobará el nivel de
www.full-ebook.com
cumplimiento de los compromisos detallados en el acuerdo. Facturación
Periodos y sistemas de facturación que se van a aplicar.
10.3.3. Gestión de los informes del servicio Objeto
Generar informes acordados en plazo, fiables y precisos, para una toma de decisiones bien informada y para una comunicación efectiva.
Alcance
El presente procedimiento es de aplicación a los servicios ofrecidos, así como a los subcontratados dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de informes del servicio: • Definir las características de cada informe, identificando tanto los aspectos que va a contemplar el informe como las condiciones en las que se va a generar. • Monitorizar y supervisar los resultados de los servicios, recabando toda la información necesaria. • Generar los informes en las condiciones establecidas (propósito, destinatarios, periodicidad, etc.). • Remitir los informes a los destinatarios apropiados en cada caso. • Modificar las características de los informes de acuerdo con las solicitudes recibidas en cada caso.
Actividades
Definir: • Generación de informes para la toma de decisiones y comunicaciones con clientes. • Características de los informes. • Monitorización de los resultados de los servicios. • Generación y emisión de informes. • Distribución de los informes. • Modificación de los informes. • Periodicidad de emisión.
www.full-ebook.com
Anexos
• Catálogo de informes de servicios.
10.3.3.1. Catálogo de informes Informe
Título del informe.
Tipo de informe
Asunto del informe.
Periodicidad
Periodo de tiempo en el que se emitirá.
Descripción
Información que incluirá el informe.
Servicios asociados
Servicios para los que será necesario emitir el informe.
10.3.4. Gestión de continuidad y disponibilidad del servicio
Objeto
Definir la metodología para la gestión de la continuidad y disponibilidad del servicio de manera que se asegure que los compromisos de continuidad y disponibilidad acordados con los clientes pueden cumplirse bajo todas las circunstancias, para así evitar las consecuencias de una caída del servicio, garantizando en este caso la pronta recuperación del mismo.
Alcance
Se aplica a todo el equipamiento de TI que interviene en la gestión del servicio de TI ofrecido a los clientes.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la disponibilidad y continuidad: • Determinar los requerimientos de disponibilidad y continuidad. • Desarrollar planes de disponibilidad y continuidad de los servicios. • Medir la disponibilidad de los servicios. • Probar los planes de disponibilidad y continuidad tras cambios significativos.
www.full-ebook.com
• Investigar las causas de indisponibilidades no planificadas y desarrollar las acciones necesarias. • Probar los planes de continuidad y desarrollar las acciones necesarias para las pruebas fallidas. • Mantener, revisar y actualizar los planes anualmente. Personal: • Ejecutar en el plazo establecido las acciones establecidas y acordadas.
Actividades
Definir: • Requisitos de disponibilidad: – Revisión de los requisitos de disponibilidad reflejados en el SLA/OLA (Service Level Agreement/Organizational Level Agreement). – Intervalos razonables de interrupción del servicio dependiendo del impacto. – Protocolos de mantenimiento y revisión del servicio. – Franja horaria de disponibilidad del servicio. – Técnicas que se utilizarán para prevenir o minimizar el impacto del fallo de un componente sobre el servicio. • Plan de disponibilidad en el que se determinarán los objetivos de disponibilidad presentes y futuros: – Medidas a utilizar para medir la disponibilidad. – Herramientas para la monitorización de la disponibilidad. – El nivel de disponibilidad no admisible. – Métodos y técnicas de análisis que se van a emplear para estimar las tendencias en disponibilidad, fiabilidad y mantenibilidad de los componentes. – Planes de mejora de la disponibilidad. – Expectativas futuras de disponibilidad. • Método para gestionar los cambios en el plan de disponibilidad. • Revisiones del plan de disponibilidad. • Requisitos de continuidad del servicio. • Plan de continuidad necesario para adoptar las medidas preventivas necesarias. • Planes de recuperación. • Pruebas de disponibilidad y continuidad, las cuales deben registrarse; en caso de obtener resultados fallidos, deberán elaborarse nuevos planes de acción. • Periodicidad para la revisión de los planes de disponibilidad y
www.full-ebook.com
continuidad.
Anexos
• Plan de disponibilidad. • Plan de continuidad del servicio. • Plan de recuperación. • Registro de pruebas de disponibilidad. • Registro de pruebas de continuidad.
10.3.4.1. Plan de disponibilidad Objetivo
Qué objetivos de disponibilidad se marca la organización para poder suministrar los servicios acordados con el nivel de servicio acordado.
Alcance
Qué servicios, infraestructura o departamentos se encuentran incluidos en el plan.
Hipótesis de trabajo
Premisas sobre las que se basa el plan: infraestructura existente y la prevista si hubiera, servicios a los que se dará soporte, etc.
Planificación
Descripción de premisas de planificación: calendario de trabajo, permisos y vacaciones del personal, etc.
Requisitos
Requisitos de disponibilidad para hardware, software, comunicaciones y cualquier otro elemento necesario para prestar el servicio.
Recursos humanos
Perfiles de puestos y número de personas necesarias para prestar el servicio, provisiones para cubrir ausencias o guardias.
Calendario e hitos
Duración del plan, calendario de prestación.
Presupuesto
Partidas presupuestarias destinadas al plan de disponibilidad.
Objetivos y medidas
Objetivos de disponibilidad de los recursos (hardware, software, personal, etc.) y del propio plan (cumplimiento de SLA, disponibilidad del servicio).
Revisiones
Tipo y periodicidad de las revisiones que se van a hacer al plan.
10.3.4.2. Plan de continuidad Objetivo
Objetivos que se persiguen con la gestión de la continuidad.
Alcance
Servicios o infraestructuras que se contemplan en el plan.
www.full-ebook.com
Premisas de planificación
Premisas sobre las que se basa el plan: infraestructuras con las que se cuenta, tiempos de recuperación que se esperan, puntos de recuperación de datos, prioridades de recuperación, etc.
Política de continuidad
Directrices generales de continuidad.
Fase de notificación y activación
Tareas a realizar para notificar y activar el plan.
Fase de recuperación
Tareas a realizar durante la recuperación de los servicios o infraestructuras tras el desastre.
Fase de restablecimiento
Tareas a realizar para restablecer los servicios o infraestructuras tras el desastre.
Información de contacto
Datos de contacto de responsables de la gestión de crisis, del personal, de autoridades y de proveedores, que pueden ser necesarios en caso de desastre.
Planes de contingencia
Planes de actuación concretos y detallados para servicios o infraestructuras concretos.
10.3.5. Elaboración de presupuesto y contabilidad de los servicios Objeto
Administrar de manera eficiente y eficaz los activos y los recursos de TI utilizados para proveer los servicios de TI.
Alcance
Se aplica a la preparación de presupuestos y la contabilidad de TI cuando proceda. Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de presupuestos y contabilidad: • Definir las normas de elaboración de presupuestos y contabilidad de
www.full-ebook.com
Responsabilidades
los servicios. • Desarrollar los presupuestos. • Contabilizar los costes. • Contrastar costes y presupuestos. • Mantener, revisar y actualizar costes y presupuestos. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Responsable comercial: • Elaborar los presupuestos al inicio del proyecto. Jefe de proyecto: • Contabilizar los costes de los servicios imputados al proyecto. • Contrastar los costes imputados con los presupuestos previos. • Informar de las desviaciones en costes al responsable del proceso.
Actividades
Definir: • Un presupuesto estimativo de los costes y las previsiones de carga de trabajo, para fijar costes y precios de los servicios prestados y los nuevos. • Cómo se va a realizar la contabilidad. • Quién revisa, analiza e investiga la información del presupuesto y adopta las medidas oportunas para ajustar las líneas presupuestarias. • Monitorización de la marcha de los costes reales comparados con el presupuesto aprobado. • Acciones correctivas en caso de detectarse desviaciones en la monitorización. • Periodicidad con la que se presenta un informe de los costes de los servicios y del nivel de cumplimiento de los presupuestos. • Las acciones a tomar si los resultados del informe no cumplen con las expectativas.
Anexos
• Cálculo de costes. • Petición de cambio. • Presupuestos. • Contabilidad.
10.3.5.1. Cálculo de costes
www.full-ebook.com
Servicio 1 Personal
Instalación Operación Mantenimiento Gestión de incidencias Total Directo Indirecto
Infraestructura Hardware Mantenimiento Licencias Herramientas Servicios
Comunicaciones Otros
Totales
10.3.6. Gestión de la capacidad Objeto
Definir la metodología establecida para la gestión de la capacidad de TI con el fin de garantizar que siempre exista la capacidad de TI necesaria, económicamente aceptable y ajustada a las necesidades de la organización.
Alcance
El presente procedimiento es de aplicación a todo el equipamiento de TI que soporta los servicios ofrecidos, así como a los subcontratados para este fin dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la capacidad: • Identificar los requisitos de capacidad. • Determinar los requisitos de capacidad actuales y previstos. • Desarrollar el plan de capacidad. • Medir la capacidad de los servicios. • Mantener, revisar y actualizar el plan de capacidad. • Modelizar capacidades requeridas por el negocio, servicios y recursos. • Proponer mejoras para la capacidad de los servicios.
www.full-ebook.com
Actividades
Anexos
Definir: • Cómo elaborar y mantener un plan de capacidad. • Los requisitos de capacidad, con el fin de mantener la capacidad a niveles adecuados. • Cómo se van a recoger y analizar los datos de capacidad existente. • Mantener el plan de capacidad. • Los requisitos que se deben cumplir para poder suministrar los servicios ofertados con los niveles exigidos por los SLA y OLA. • Cómo tratar las variaciones en los parámetros. • Periodicidad de las revisiones y verificaciones del plan de capacidad y las partes implicadas en las mismas, con el fin de comprobar que los objetivos definidos se están cumpliendo. • Analizar las causas de incumplimiento. • Periodicidad de generación de informes en los que se analizarán los resultados de la monitorización de la capacidad. • Cálculo de costes. • Petición de cambio. • Presupuestos. • Contabilidad.
10.3.6.1. Plan de capacidad Objetivo
Objetivos de capacidad para la correcta prestación de los servicios.
Alcance
Servicios que abarca el plan.
Documentación de referencia
Documentación relacionada que puede ser necesaria para la definición y aplicación del plan: estrategia de negocio, planes financieros, catálogo de servicios, SLA, etc.
Hipótesis
Premisas de planificación.
Resumen de gestión
Líneas generales de actuación para suministrar la capacidad necesaria para los servicios.
Escenarios de negocio
Recursos disponibles y previsión de los que serán necesarios ante nuevas necesidades del negocio.
Resumen de servicios y recursos
Enumeración de servicios y recursos disponibles para suministrar capacidad.
www.full-ebook.com
Opciones para la mejora del servicio
Descripción de las posibles opciones para mejorar la eficiencia y la eficacia de la provisión de la capacidad.
Modelo de costes
Recoger los costes relacionados con las opciones de mejora, los costes actuales y los previstos.
Recomendaciones
Resumen de las recomendaciones realizadas y seguimiento de las del plan anterior.
10.3.7. Gestión de la seguridad de la información
Objeto
Proteger los datos y las infraestructuras de modo que: • Se preserve la confidencialidad de los mismos. • Se asegure la integridad de la información. • Se asegure la disponibilidad. • Se facilite la gestión de las transacciones. • Pueda cumplirse con las obligaciones impuestas por leyes, acuerdos contractuales y estamentos supervisores.
Alcance
Se aplica a todos los activos de información que soportan los servicios de TI incluidos en el alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la seguridad: • Determinar una estrategia global para el tratamiento de la infraestructura crítica para la organización. • Realizar un inventario de activos, donde se listen todos los procesos y activos del servicio, teniendo en cuenta sus interdependencias. • Determinar y documentar la criticidad respectiva de los procesos y activos del servicio (análisis del riesgo) a través de: – Identificación de posibles puntos débiles. – Evaluación de las probabilidades de que ocurra un daño. – Estimación de los efectos y la extensión del daño, teniendo en cuenta la disponibilidad, confidencialidad e integridad.
www.full-ebook.com
– Determinación de las categorías de criticidad. • Verificar la decisión (gestión del riesgo), mediante: – Estimación de la disponibilidad de influencia a los diferentes activos. – Establecimiento de prioridades, incluso aceptando –en caso necesario– el riesgo de que algunos activos pudieran estar menos protegidos. • Tomar las oportunas medidas y conceptos (documento de aplicabilidad) mediante la: – Salvaguarda y monitorización tanto de las medidas de protección básicas como de las más críticas para el servicio. – Preparación y extrapolación de los planes de emergencia. – Implementación y monitorización de las medidas y controles de seguridad.
Actividades
Definir: • La política de seguridad en la que se identifiquen los roles y responsabilidades para la gestión de la seguridad de la información. • Canal de comunicación de la política de seguridad para el personal y los clientes. • Un inventario de activos para determinar cuáles son los activos críticos para el servicio de la organización. • Cómo analizar los posibles riesgos de los activos identificados en el inventario y elaborar una estrategia para gestionarlos adecuadamente. • Cómo implementar los controles necesarios y realizar el plan de seguridad, integrado en el plan de mejora del servicio. • Método para mantener y revisar las medidas de seguridad. • Cómo gestionar los incidentes de seguridad. Establecer acciones correctivas o preventivas. • Cómo gestionar los accesos de terceras partes.
Anexos
• Política de seguridad. • Análisis y gestión de riesgos. • Documento de aplicabilidad.
10.3.7.1. Política de seguridad Declaración de la política de seguridad
Líneas generales de la posición de la organización en cuanto a seguridad de la información.
Compromiso de la dirección
Declaración del compromiso de la dirección con la seguridad de la información.
www.full-ebook.com
Objetivos
Objetivos que se persiguen.
Alcance
Ámbito de aplicación de la política.
Responsabilidades
Roles y responsabilidades relacionados con la gestión de la seguridad.
Política de uso aceptable
Directrices a seguir en la organización para proteger los activos de la misma.
Gestión de la seguridad
Normas generales de seguridad en la gestión del personal, en la de la infraestructura, las comunicaciones, la información, etc.
Gestión de incidencias
Normas para la gestión de las incidencias.
Aprobación y revisión
Periodicidad de la revisión, y fecha y firma de quien aprueba la política.
10.3.7.2. Análisis de riesgos Fortalezas
Debilidades
Oportunidades
Amenazas
10.3.7.3. Documento de aplicabilidad ID
Objetivo/Control
Estado
Justificación
A.5.1.1 Políticas de seguridad de la información A.5.1.2 Revisión de las políticas de seguridad de la información
10.3.8. Gestión de relaciones con el negocio Objeto
Definir la metodología para la gestión de la relación con el cliente, de manera que sea efectiva y eficaz, y esté basada en un buen entendimiento del cliente y de sus necesidades de negocio.
Alcance
Se aplica a todos los miembros de los departamentos de TI, así como a la totalidad de los servicios prestados por estos a usuarios y clientes.
www.full-ebook.com
Responsabilidades
Actividades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la relación con el cliente: • Identificar los requisitos y necesidades de los clientes. • Proponer especificaciones para los servicios sobre la base del punto anterior. • Revisar periódicamente los requisitos y necesidades. • Proponer cambios en los servicios prestados. • Planificar y registrar las reuniones con los clientes. • Gestionar las encuestas de satisfacción. • Seguimiento de quejas y reclamaciones hasta su cierre. Definir: • Metodología para revisar los servicios: – Periodicidad. – Cambios en el alcance de los servicios. – Catálogo de servicios. – Acuerdos de nivel operativo. – Contratos. • Puntos a revisar en cada reunión: – Rendimiento. – Consecución de los objetivos e indicadores. – Temas abiertos y planes de acción. – Modificación de contratos y SLA. Todos estos cambios se realizarán de acuerdo con el procedimiento de gestión del cambio. • Forma de obtener la información necesaria para conocer el grado de satisfacción del cliente. • Cómo incorporar en los planes de mejora del servicio los resultados de las evaluaciones. • Dónde quedará reflejada la información de la evaluación del proceso. • Método para tratar desviaciones respecto a los objetivos. • Sistema para gestionar quejas o reclamaciones (metodología para su
www.full-ebook.com
tratamiento, registro y solución). • Sistema para gestionar la satisfacción. Anexos
• Registro de quejas y reclamaciones.
10.3.8.1. Registro de quejas Presentada por
Persona que presenta la queja o reclamación.
Fecha
Fecha de la reclamación.
Responsable de la queja o reclamación
Quién se va encargar de gestionarla.
Proyecto/Contrato
Servicio, proyecto, contrato o SLA relacionado con la queja o reclamación.
Descripción del motivo
Motivos de quien presentó la queja.
Tratamiento
Acciones que se han tomado para resolver el incidente.
Fecha resolución
Fecha en que se da por cerrado el asunto.
10.3.9. Gestión de suministradores Objeto
Gestionar correctamente la subcontratación en relación con los servicios de TI y definir la metodología para realizarla de manera que sea efectiva y eficaz, y asegure una provisión de servicios de calidad y sin incidencias.
Alcance
Se aplica a los acuerdos y contratos que se establezcan para el suministro de servicios de TI dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de suministradores: • Definir los controles a aplicar.
www.full-ebook.com
• Definir los requisitos de seguridad para los subcontratos y las compras. • Asegurar el cumplimiento de los requisitos acordados. • Verificar la correcta gestión de los cambios. • Controlar la información sobre el desempeño de los suministradores (contratos, acuerdos, etc.) y tomar las medidas oportunas en caso necesario.
Actividades
Definir: • Un SLA para documentar el alcance, el nivel de servicio y los métodos de comunicación con el proveedor; y las responsabilidades y los roles del personal de los suministradores. • Periodicidad para revisar el cumplimiento del SLA y los informes de cumplimiento. • Revisiones y renovaciones a las que se verán sometidos los contratos y los SLA. • Nuevos indicadores tras los cambios establecidos en los contratos y SLA. • Alineación de los cambios en los contratos con la gestión de cambios del SGS. • Método para monitorizar el rendimiento real de los proveedores comparándolo con los objetivos del nivel de servicio. • Metodología para registrar y tratar incidentes relacionados con los proveedores.
Anexos
• Listado de proveedores. • Lista de chequeo.
10.3.9.1. Listado de proveedores Servicio
Servicio que se presta a la organización.
Empresa
Empresa que presta el servicio.
Datos de contacto
Persona de contacto, dirección, teléfono, correo electrónico.
Fecha alta
Fecha de comienzo de la relación comercial.
Fecha baja
Fecha de finalización de la relación comercial.
10.3.9.2. Lista de chequeo Servicio
Servicio relacionado
www.full-ebook.com
Empresa
Empresa que presta el servicio
Comprobaciones
Listado de comprobaciones a realizar para verificar la idoneidad del servicio a suministrar.
Evaluación
Válido/No válido.
10.3.10. Gestión de incidencias y peticiones de servicio Objeto
La gestión y notificación de incidencias en el servicio, con el propósito de asegurar que las incidencias se comunican de tal manera que haya tiempo para tomar acciones, restaurando los servicios acordados con el cliente tan pronto como sea posible, y que se gestionan para poder evitarlas en un futuro.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados para ese fin dentro del alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso: • Registro de incidencias. • Escalado de las incidencias. • Asegurar el correcto funcionamiento del proceso de recepción, registro y resolución de incidencias. • Especial seguimiento de incidencias graves hasta su resolución. • Documentar la información facilitada por el gestor del problema sobre la resolución de errores conocidos. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Definir: • Vías de notificación de incidencias. • Método de registro.
www.full-ebook.com
Actividades
Anexos
• Clasificación de las incidencias: – Categorización. – Establecimiento del nivel de prioridad. – Establecimiento del nivel de impacto. – Prioridad. – Asignación de recursos. – Monitorización del estado. • Lista de problemas y errores conocidos. • Escalado y seguimiento. • Incidencias graves. • Incidentes de seguridad: – Tratamiento. – Registro. • Pasos a seguir en el cierre de las incidencias: – Confirmar con los usuarios la solución satisfactoria de la misma. – Incorporar el proceso de resolución al registro de incidencias. – Actualizar la información en la CMDB. • Emisión de informes y la información a analizar en cada uno de ellos. • Registro de incidencias.
10.3.10.1. Registro de incidencias ID
N.º de identificación.
Tipo incidencia
Clasificación de la incidencia.
Fecha notificación
Fecha en la que se ha notificado o descubierto.
Notificado por
Quién ha reportado la incidencia.
Descripción
Detalles de la incidencia.
Urgencia
Valoración de la rapidez con la que se debe solucionar la incidencia.
Impacto
Valoración de cómo afecta la incidencia al servicio.
Prioridad
Valoración de la necesidad de abordar la incidencia según su impacto y urgencia.
Estado
En qué estado se encuentra la incidencia: abierta, cerrada, pendiente, en
www.full-ebook.com
curso, etc. Medidas adoptadas
Descripción de las acciones que se toman.
Fecha cierre
Fecha en la que la incidencia se ha resuelto.
10.3.11. Gestión de problemas Objeto
Definir la metodología para la gestión de problemas, cuyo objetivo es reducir al mínimo las interrupciones en el negocio identificando y analizando las causas de las incidencias, y gestionando los problemas hasta su cierre definitivo.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados para ese fin dentro del alcance del SGS. Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos.
Responsabilidades
Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de problemas: • Asegurar el correcto funcionamiento del proceso de identificación, recepción, registro y resolución de problemas. • Escalado de los problemas. • Asignación de responsable de problema. • Especial seguimiento de problemas graves hasta su resolución. • Gestionar las tareas recogidas en el procedimiento. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Definir: • Método para notificar y registrar los problemas, así como para asignar un responsable. • Cómo se gestionarán los problemas (identificación, análisis, investigación, resolución, etc.). • Resolución de problemas en función de su prioridad y clasificación.
www.full-ebook.com
Actividades
• Aspectos a tener en cuenta al encontrar la solución definitiva al problema. • Casos en los que sea necesario hacer una petición de cambio (RfC) y método de registro. • Pasos a seguir para cerrar un problema. • Método para facilitar información a la gestión de incidencias. • Periodicidad con la que se emitirá un informe y puntos a analizar en el mismo.
Anexos
• Registro de problemas.
10.3.11.1. Registro de problemas ID
N.º de identificación.
Fecha notificación
Fecha en la que se ha notificado o descubierto.
Incidencia/s relacionada/s
Incidencias que han dado origen a la apertura del problema.
Descripción
Detalles del problema.
Urgencia
Valoración de la rapidez con la que se debe solucionar el problema.
Impacto
Valoración de cómo afecta el problema al servicio.
Prioridad
Valoración de la necesidad de abordar el problema según su impacto y urgencia.
Estado
En qué estado se encuentra el problema: abierto, cerrado, pendiente, en curso, etc.
Medidas adoptadas
Descripción de las acciones que se toman.
Fecha cierre
Fecha en la que el problema se ha resuelto.
10.3.12. Gestión de la configuración Objeto
Definir la gestión de la configuración, manteniendo un inventario de los activos y de la configuración TI y sus servicios, que contenga la información exacta sobre las configuraciones y su documentación para apoyar los otros procesos de gestión de servicios.
www.full-ebook.com
Alcance
Se aplica a la totalidad de elementos necesarios para la prestación de los servicios, incluyendo los elementos de los clientes a los que la organización da soporte.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de la configuración: • Gestionar la planificación, identificación y control de todos los elementos de configuración en la CMDB. • Realizar el plan de gestión de configuración. • Promover el uso efectivo de la CMDB. • Monitorizar y reportar los cambios no autorizados sobre los elementos de configuración. • Asegurar la integridad de los datos de la CMDB a través de la ejecución de auditorías. • Revisar los tipos de elementos de configuración, relaciones, atributos y valores asociados, estructura de la base de datos, derechos de acceso. • Aprobar los cambios en la CMDB. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Usuario de la CMDB: • Comunicar al gestor de configuración cualquier discrepancia o no conformidad en los elementos de configuración. • Ayudar en la mejora continua del proceso de gestión de la configuración. Gestor del cambio: • Asegurar que los responsables de los elementos de configuración actualizan los históricos de estos elementos con los cambios implementados. Definir: • La política de configuración:
www.full-ebook.com
Actividades
Anexos
– Elementos a considerar. – Atributos de cada elemento. – Relaciones con otros procesos. – Responsabilidades. • Los elementos de configuración de manera unívoca. • La CMDB que almacenará información relativa a: – Los CI. – Las solicitudes de cambio. – Los problemas, incidentes y errores conocidos asociados a cada CI. – Etc. • Permisos de acceso a la CMDB. • Los CI, componentes de hardware y software propios, contratados y mantenidos por la organización. • La política de configuración, en la que se identifica el objetivo del proceso, su alcance, los atributos de los elementos y las responsabilidades. • Método para mantener la CMDB actualizada. • Mecanismo para gestionar y registrar una petición de cambio (RfC) en cualquier elemento de configuración. • Política de gestión de la configuración. • CMDB.
10.3.12.1. Política de gestión de la configuración Objeto
Objetivo de la gestión de configuración
Alcance
Servicios afectados por esta política.
Tipología de los elementos de configuración
Tipos de elementos del servicio que se van incluir en la gestión de la configuración: SLA, servicios prestados, servicios subcontratados, sistemas, elementos de red, dispositivos, equipos informáticos, comunicaciones, software comprado, software desarrollado, etc.
Atributos de los elementos de configuración
Información que se va a almacenar de cada elemento de configuración: identificador único, nombre, descripción, tipo, fabricante, n.º de serie, versión, localización, documentación relacionada, etc.
Responsabilidades
Descripción de los roles y responsabilidades de la gestión de la configuración.
www.full-ebook.com
Relaciones con otros procesos
Descripción de cómo se relaciona con otros procesos. Por ejemplo, que la gestión de la capacidad toma datos directamente de este proceso, que la gestión financiera tendrá en cuenta el coste económico de los elementos de configuración del servicio, o que para la correcta gestión del nivel de servicio, se incluirán en la CMDB los acuerdos de niveles de servicio.
10.3.12.2. CMDB (Base de datos de la configuración) ID
N.º de identificación.
Nombre del CI
Nombre por el que se conoce a este tipo de CI.
N.º de serie
Número de serie de la copia del software o del hardware.
Categoría
Clasificación de un CI (por ejemplo, hardware, software, documentación, etc.).
Tipo
Descripción del tipo de CI, ampliando la información de la “categoría” (p. ej., configuración del hardware, paquete de software, pieza de hardware o módulo de una aplicación).
Número de modelo (hardware)
Modelo de CI (correspondiente, por ejemplo, al número de modelo del proveedor; así, Dell modelo SR, PC modelo 333).
Fecha expiración garantía
Fecha en que expira la garantía otorgada por el distribuidor para el CI.
Número de versión (software)
N.º de versión del CI.
Ubicación
Emplazamiento del CI. Por ejemplo, la biblioteca; o el sistema de almacenamiento donde resida el software del CI; o el lugar físico donde esté localizado un CI.
Responsable
La designación o el nombre del responsable del CI.
Licencia
Número de licencia o referencia al acuerdo de licencia.
Fecha de entrega
Fecha en que el CI fue entregado a la organización.
Estado
Estado actual del CI; por ejemplo, “en pruebas”, “en producción”,
www.full-ebook.com
actual
“archivado”.
Relaciones
Relaciones que mantiene el CI con otros elementos: los que utiliza, con los que se conecta, etc.
ID de RfC
Números de identificación de todos las RfC que afecten a este CI.
ID de cambio
Números de identificación de todos los registros de cambio que afecten a este CI.
ID de problema
Números de identificación de todos los registros de problemas que afecten a este CI.
ID de incidencia
Números de identificación de todos los registros de incidentes que afecten a este CI.
10.3.13. Gestión de cambios Objeto
Definir la gestión de los cambios que se realizan como consecuencia de problemas que hayan surgido o de la búsqueda de mejoras en los servicios, de manera que dichos cambios no afecten a la calidad del servicio al realizarlos y que se mejore el funcionamiento de la organización.
Alcance
Se aplica a todos los activos relacionados con los servicios de TI prestados a los clientes incluidos en el alcance del SGS.
Responsabilidades
Dirección: • Establecer objetivos. • Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor del cambio: • Registrar y clasificar las peticiones de cambio. • Elaborar procedimientos para la vuelta atrás después de un cambio fallido. • Aprobar los cambios y comprobarlos después de su implantación. • Comunicar a las partes interesadas la planificación de los cambios. • Gestionar los registros de cambios.
www.full-ebook.com
• Identificar acciones de mejora para el proceso e incluirlas como entradas en el plan de mejora del servicio.
Actividades
Definir: • Cuándo puede ser necesario un cambio. • Clasificación y evaluación de riesgos del cambio. • Quién puede solicitar un cambio, y cómo debe registrarse de manera correcta dicha solicitud para asegurar un seguimiento adecuado de todo el proceso de cambio. • Método a través del cual el gestor del cambio estudiará la viabilidad de la petición de cambio (RfC). • Mecanismo de aprobación e implantación para los cambios menores. • Cómo se gestionarán y priorizarán las peticiones de cambio (RfC). • Proceso de cambios de emergencia. • Cuándo se dará por cerrado un cambio actualizando la CMDB, o cuándo se ejecutará el procedimiento de “vuelta atrás”. • Puntos a analizar en los informes que se emitirán anualmente.
Anexos
• Registro de cambios.
10.3.13.1. Registro de cambios Fecha
Fecha de la solicitud.
ID
N.º de identificación del cambio.
Solicitante
Persona que solicita el cambio.
Acuerdo de nivel de servicio
Si existe, referencia del SLA.
Descripción del cambio solicitado
Detalles del cambio que se solicita.
Razón del cambio
Motivos para pedir el cambio.
ID de problema/ incidencia
Números de identificación de problemas o incidencias que originan la petición de cambio.
Elemento/s de configuración a cambiar
Descripción del elemento o elementos de configuración afectados por el cambio.
Impacto previsto
Estimación del impacto en el servicio en caso de realizarlo.
www.full-ebook.com
Efectos de no implementar el cambio
Estimación del impacto en el servicio si no se realiza el cambio.
Prioridad estimada
Valoración del nivel de necesidad de realizar el cambio.
Valoración del cambio
Estimación de si procede o no realizarlo.
Viabilidad del cambio
Estimación de si es viable o no realizarlo.
Estado de la petición
Resultado de la evaluación de la petición: aceptada, rechazada, etc.
Responsable de la aprobación
Quién es la persona que ha tomado la decisión y firma.
Fecha de aprobación/ rechazo
Fecha en la que se ha aprobado/rechazado la petición.
Prioridad asignada
Prioridad que se ha dado a la realización del cambio una vez aceptado.
Plazo de ejecución
Plazo asignado para la ejecución del cambio.
Plan de marcha atrás
Acciones a tomar si la implementación del cambio fracasa o tiene efectos adversos.
Estado del cambio
Si se ha iniciado, está pendiente, cerrado, etc.
Acciones realizadas
Acciones que se realizan para la ejecución del cambio.
Fecha de cierre
Fecha en la que el cambio se da por finalizado.
13.3.14. Gestión de la entrega y despliegue Objeto
Coordinar la entrega de nuevas versiones planificadas en el proceso de gestión de cambios para su pase al entorno de producción. Para ello, el objetivo de la gestión de la entrega es entregar, coordinar, intercambiar y hacer el seguimiento de uno o más cambios, y poder valorar su impacto en el entorno de producción real.
Alcance
Se aplica a los servicios ofrecidos, así como a los subcontratados para ese fin dentro del alcance del SGS. Dirección: • Establecer objetivos.
www.full-ebook.com
Responsabilidades
Actividades
• Establecer medidas de mejora, plazos o responsables en el caso de no se cumplan los objetivos. Responsable del sistema: • Mantenimiento del procedimiento. • Gestión de los objetivos. Responsable del proceso o gestor de entregas: • Elaborar la política de entregas. • Tener una buena comunicación con los usuarios para gestionar sus requisitos y expectativas adecuadamente. • Distribuir e instalar correctamente el hardware y el software de cada entrega. • Asegurar que las copias originales de todo el software están seguras en la librería de software definitivo. • Asegurarse de que todo el hardware y el software están bajo gestión de la configuración. • Gestionar las tareas recogidas en el procedimiento. • Gestionar las incidencias ocurridas en el transcurso del proceso. • Vigilar el cumplimiento de los acuerdos de nivel de servicio. • Informar a la dirección cuando haya una desviación de los objetivos. Definir: • Política de entregas que refleje, al menos: – Frecuencia y tipos de entrega. – Roles y responsabilidades. – Criterios para el paso del entorno de pruebas al entorno de producción. – Agrupación de cambios en una única entrega. – Automatización de los procesos de entrega. – Verificación y aceptación de los procesos de entrega. • Un entorno de pruebas. • Planificación de las entregas: – Quién aprueba la entrega. – Alcance de la entrega. – Recursos necesarios. – Comunicación con todas las partes interesadas. – Calendario. • Plan de vuelta atrás a nivel de toda la entrega. • Instrucciones de instalación y configuración de la entrega.
www.full-ebook.com
• Aceptación e implantación de las entregas, y su actualización en la CMDB. • Método para gestionar las entregas urgentes y su registro en la CMDB. Anexos
• Política de entregas. • Informes de entregas.
10.3.14.1. Política de entregas Objeto
Objetivos que se persiguen.
Alcance
Ámbito de aplicación de la política.
Frecuencia y tipos de entrega
Con qué periodicidad se van a realizar las entregas y en qué van a consistir: nuevas versiones, actualizaciones, etc.
Roles y responsabilidades
Descripción de las distintas responsabilidades en la gestión de entregas y quién las asumirá.
Criterios para paso a producción
Detalle de los criterios para el paso del entorno de pruebas al de producción, tales como: que esté disponible la documentación de la entrega, que se haya comunicado a los usuarios o clientes, que haya planes de contingencia en caso de fallos en la entrega, etc.
Agrupación de cambios
Descripción de cómo se va a realizar la agrupación de cambios en una entrega.
Verificación y aceptación de la entrega
Métodos de verificación de la entrega y descripción de cómo se va a realizar la aceptación de la misma.
www.full-ebook.com
Capítulo 11. Integración con otros sistemas de gestión Es muy habitual que una organización tenga ya implantado algún otro sistema de gestión basado en alguna de la normas ISO. En este caso, es muy recomendable la integración del nuevo SGS en los que ya existan. De esta manera se simplificará la documentación necesaria para los sistemas, se evitarán inconsistencias entre ellos y se establecerán sinergias entre ambos que beneficiarán a la gestión y por tanto a la organización. Las pautas a seguir para hacer esta integración de manera ordenada son simples: • Debe documentarse un manual que recoja la información necesaria para cumplir con todas las normas aplicables. Para adaptarse a cualquier norma relacionada con sistemas de gestión es necesario recoger gran cantidad de información, por lo que es muy práctico tenerla en un único sitio, simplificando así el mantenimiento actualizado de esta información. • Deben definirse políticas para cada aspecto de la gestión. Puede hacerse en un único documento o en varios; en cualquier caso, es necesario recoger las directrices para cada aspecto de la gestión que comprenda el sistema de gestión. • Deben definirse objetivos para cada aspecto de la gestión. Partiendo de los objetivos de negocio, hay que plantear en cada caso qué objetivos sectoriales van a apoyar estos objetivos estratégicos. • Los procedimientos de gestión serán comunes y recogerán los requisitos de todas las normas aplicables. Los temas de documentación, formación, auditorías internas, no conformidades y acciones correctivas presentan los mismos requisitos, por lo serán procedimientos transversales del sistema de gestión. • Habrá un juego de procedimientos específico para cada aspecto de la gestión. Cuando sea posible, es conveniente estudiar los posibles solapamientos entre las normas aplicables para hacer procedimientos más sencillos, evitando duplicidades de tareas y responsabilidades. • El plan de gestión contemplará todas las tareas necesarias para el mantenimiento del conjunto del sistema de gestión.
www.full-ebook.com
Esquemáticamente, el nuevo sistema de gestión integrado se podría plantear como se muestra en la figura 11.1.
Figura 11.1. Esquema de sistema de gestión integrado
www.full-ebook.com
Capítulo 12. Proceso de certificación Todo lo expuesto en esta guía está orientado al escrupuloso cumplimiento con los requisitos de la norma. Pero es necesario señalar que la certificación se basa en el cumplimiento de la propia norma, por lo que las organizaciones que quieran afrontar el proceso de certificación tienen que ser conscientes de que esa es la referencia que se va a utilizar para ello, y no esta guía. El proceso de certificación realizada por una entidad como AENOR debe seguir la norma UNEEN ISO/IEC 17021-1 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión. Parte 1: Requisitos. El ciclo de certificación es de tres años (auditoría de certificación, auditoría de seguimiento 1, auditoría de seguimiento 2). En el primero se lleva a cabo la auditoría de certificación en dos fases y se revisa por completo el SGS. El segundo y el tercer año se llevan a cabo auditorías de seguimiento, para monitorizar la marcha del SGS, con una duración menor que la primera y un alcance menor también. Pasados estos tres años, hay que proceder a la recertificación (renovación) del sistema, y se repite el ciclo. El proceso completo se puede ver en la figura 12.1. El proceso de certificación comienza con la selección de una entidad certificadora para auditar y emitir certificados de cumplimiento de la Norma UNE-ISO/IEC 20000-1, como AENOR, a la que se solicitará una oferta para la realización del trabajo. Una vez seleccionada la entidad y aprobada su oferta, se concertarán las fechas de auditoría. Como se indicaba al principio de este capítulo, un proceso de certificación consta de dos fases. En la primera fase, el equipo auditor revisará que exista un SGS que cumple con los requisitos de la norma: • Que el alcance y la política están documentados y son coherentes con las necesidades de la organización. • Que se han definido objetivos, se han medido y se han analizado los resultados. • Que existen los procedimientos para la gestión de la documentación, de la
www.full-ebook.com
competencia del personal, etc. y que están implantados, como por ejemplo que: – La documentación está identificada y correctamente almacenada. – Se ha programado formación y se ha impartido. • Que existen los procedimientos necesarios para la gestión de los servicios. • Que la gestión del ciclo de mejora continua está documentada e implantada; en particular, que: – Se ha planificado y llevado a cabo la auditoría interna. – Se ha realizado la revisión por la dirección y se ha aprobado.
Figura 12.1. Proceso de certificación El equipo auditor emitirá un informe con las no conformidades encontradas y las observaciones que estime oportunas. Si hubiera alguna no conformidad mayor, se deberá resolver antes de la fase dos. La organización tiene que resolver el mayor número posible de no conformidades menores y todas las mayores antes de que dé comienzo la fase dos de la auditoría. Suele haber un periodo de 2 a 4 semanas entre ambas fases para que la organización tenga tiempo suficiente para tomar las acciones necesarias, de forma que en la segunda fase se cumplan adecuadamente todos los requisitos generales de la norma. En la segunda fase, el equipo auditor verificará que se cumplen los requisitos
www.full-ebook.com
pertinentes a todos los procesos de gestión del servicio, sin excepción. Esto es así porque los procesos están interrelacionados, por lo que los beneficios de la implantación de la norma no se podrían materializar si fuera aceptable implantar solo algunos de ellos. Esta comprobación incluirá chequeos de puntos tan significativos como la existencia de: • SLA firmados, vigentes y monitorizados. • Un control financiero con costes y beneficios de los servicios. • Planes de continuidad, de disponibilidad, capacidad, etc. • Registros de incidencias; y que estos contienen la información exigida por la norma. • Registros de problemas (si procede). • La base de datos de configuración (CMDB) y petición de cambios (RfC). Los resultados de esta segunda fase se recogerán en un informe final en el que se detallarán de nuevo las no conformidades y las observaciones, además de las oportunidades de mejora identificadas. Si no se han hallado no conformidades mayores, la organización será recomendada para la certificación y dispondrá de tiempo para solucionar los hallazgos de auditoría hasta la próxima auditoría mediante un PAC (plan de acciones correctivas).
www.full-ebook.com
Anexo A. Tabla comparativa de versiones Para detallar de manera exhaustiva, y la vez clara, las diferencias en los capítulos 4 al 8, se ha desarrollado la tabla A.1, que relaciona los capítulos y apartados de la Norma UNE-ISO/IEC 20000-1:2007 con la nueva UNE-ISO/IEC 200001:2011, considerando la numeración de los nuevos apartados, así como los cambios para cada capítulo/apartado en la nueva versión 2011. Tabla A.1. Comparativa entre versiones UNE-ISO/IEC 20000-1:2007
UNE-ISO/IEC 20000-1:2011
0 Introducción
0 Introducción
1 Objeto y campo de aplicación
1 Objeto 1.1 Generalidades 1.2 Campo de aplicación
Cambios en la nueva versión
2 Normas para consulta
Capítulo nuevo.
2 Términos y definiciones
3 Términos y definiciones
Ampliación de la terminología de 13 a 37 términos.
3 Requisitos de un sistema de gestión
4 Requisitos generales del sistema de gestión del servicio
3.1 Responsabilidad de la dirección
4.1 Responsabilidad de la dirección 4.1.1 Compromiso de la dirección 4.1.2 Política de gestión del servicio 4.1.3 Autoridad, responsabilidad y comunicación 4.1.4
• Se amplía y detalla, incluyendo como parte del compromiso de la dirección: – Comunicar la importancia de cumplir los requisitos legales y regulatorios, así como obligaciones contractuales. • Se amplía y detallan las características de la política de gestión del servicio: – Es la apropiada para el propósito del proveedor del servicio. – Incluye un compromiso de satisfacción de los requisitos. – Incluye un compromiso de mejora continua del SGS y los servicios. – Proporciona un marco para establecer y revisar objetivos. – Es comunicada y entendida por el personal. • La dirección debe asegurar que se implementan y establecen procedimientos documentados de comunicación. • Se detallan las responsabilidades del representante de la dirección para la provisión del servicio. • Asegurar que se realizan las actividades para identificar, documentar y satisfacer los requisitos del servicio. • Asignar autorizaciones y responsabilidades, asegurando la mejora de los
www.full-ebook.com
Representante de la dirección
4.2 Gobierno de los procesos operados por terceros
3.2 Requisitos de la documentación
4.3 Gestión de la documentación 4.3.1 Establecimiento y mantenimiento de documentos 4.3.2 Control de documentos 4.3.3 Control de registros
3.3 Competencia, concienciación y formación
4.4 Gestión de recursos 4.4.1 Provisión de recursos 4.4.2 Recursos humanos
4 Planificación e implementación de la gestión del servicio
4.5 Establecer y mejorar el SGS
4.5.1 Definir el alcance
procesos de gestión del servicio conforme a la política y objetivos. • Asegurar que los procesos de gestión del servicio están integrados con el resto de los componentes del SGS. • Asegurar que los activos se gestionan conforme a los requisitos legales y regulatorios y las obligaciones contractuales. • Informar a la alta dirección del comportamiento y mejoras del sistema de gestión y de los servicios. Apartado nuevo. Se detalla cómo el proveedor del servicio puede demostrar la conformidad con los requisitos de los capítulos 5 al 9 mostrando: • Evidencias de cumplimiento de todos los requisitos (el proveedor del servicio opera todos los procesos directamente), o • Evidencias de cumplimiento de la mayoría de los requisitos, donde deben existir evidencias de gobierno de los procesos, o de parte de los procesos, operados por terceros y que el proveedor del servicio no opera directamente. El proveedor del servicio debe: • Demostrar responsabilidad sobre los procesos y autoridad para exigir adhesión a los mismos. • Controlar la definición de los procesos e interfaces con otros procesos. • Determinar el comportamiento de los procesos y la conformidad con los requisitos de los procesos. • Controlar la planificación y priorización de las mejoras de los procesos. • Si el tercero es externo, se gestiona con el proceso de suministradores. Si el tercero es interno o cliente, se gestiona con el proceso de acuerdos de nivel de servicio.
Se amplía y detalla el apartado de documentación: • Se incluye como documento obligatorio el catálogo de servicios. • Documentación adicional, incluyendo la externa, para la provisión eficaz del servicio. Se debe establecer un procedimiento documentado para el control de documentos y el control de registros.
Se amplía y detalla la provisión de recursos (humanos, técnicos, de información, financieros) para el SGS y los servicios. Se hace referencia al aumento de la satisfacción del cliente. Se amplía y detalla la competencia, concienciación y formación: • Evaluar la eficacia de las acciones realizadas. • Mantener registros apropiados de la educación, formación, habilidades y experiencia.
Se detalla qué debe contener la definición de alcance: • Unidad que provee los servicios y de qué servicios se trata. • Localización geográfica, cliente, tecnología, etc.
www.full-ebook.com
4.1 Planificación de la gestión del servicio (Planificar)
4.2 Implementación de la gestión del servicio y provisión de los servicios (Hacer)
4.5.2 Planificar el SGS (Planificar)
Se amplía y detalla el plan de gestión del servicio, que puede contener o hacer referencia a los contenidos del plan de gestión del servicio y debe tener en cuenta: • Política de gestión del servicio. • Requisitos del servicio Los nuevos contenidos: • Limitaciones conocidas que pueden afectar al SGS. • Políticas, normas, requisitos legales y regulatorios y obligaciones contractuales. • Estructura de autoridades, responsabilidades y roles del proceso. • Autoridades y responsabilidades de los planes, los procesos de gestión del servicio y los servicios. • Enfoque a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de servicios nuevos o modificados. El plan de gestión del servicio estará alineado con los planes de los procesos.
4.5.3 Implementar y operar el SGS (Hacer)
El proveedor del servicio debe implementar y operar el SGS para el diseño, transición, provisión y mejora de los servicios de acuerdo con el plan de gestión del servicio.
4.5.4 Monitorizar y revisar el SGS (Verificar) 4.3 4.5.4.1 Monitorización, Generalidades medición y revisión (Verificar) 4.5.4.2 Auditoría interna 4.5.4.3 Revisión por la dirección
Se amplía y detallan las auditorías internas y revisión por dirección. • Auditoría interna: debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para planificar y realizar auditorías, así como para informar sobre los resultados y para el mantenimiento de los registros de auditoría. • Revisión por dirección: aspectos mínimos que debe incluir la revisión por la dirección: – Retroalimentación del cliente. – Comportamiento y conformidad del servicio y de los procesos. – Niveles actuales y previstos de RRHH, técnicos, de información y financieros. – Capacidades humanas y técnicas actuales y previstas. – Riesgos. – Resultados y acciones de seguimiento de las auditorías. – Resultados y acciones de seguimiento de las revisiones de la gestión previas. – Estado de las acciones correctivas y preventivas. – Cambios que puedan afectar al SGS y a los servicios. – Oportunidades de mejora. • Se deben mantener registros de las revisiones por la dirección que deben incluir, al menos, las decisiones y acciones relacionadas con los recursos, la mejora de la eficacia del SGS y la mejora de los servicios.
4.4 Mejora continua (Actuar)
4.5.5 Mantener y mejorar el SGS (Actuar)
4.4.1 Política 4.4.2 Gestión de las mejoras del servicio
4.5.5.1 Generalidades
Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras.
www.full-ebook.com
4.4.3 Actividades
5 Planificación e implementación de nuevos servicios o de servicios modificados
6 Procesos de la provisión del servicio
6.1 Gestión de nivel de servicio
4.5.5.2 Gestión de mejoras
5 Diseño y transición de servicios nuevos o modificados 5.1 Generalidades 5.2 Planificación de servicios nuevos o modificados 5.3 Diseño y desarrollo de servicios nuevos o modificados 5.4 Transición de servicios nuevos o modificados
Se detalla la gestión de mejoras. Se deben priorizar las mejoras, y se deben planificar las aprobadas. Las actividades de mejora incluirán como mínimo: • Establecimiento de objetivos de mejora en uno o más aspectos: calidad, valor, capacidad, coste, productividad, utilización de recursos y reducción de riesgos. • Garantizar que las mejoras aprobadas se apliquen. • Medición de las mejoras implantadas frente a los objetivos establecidos. Y donde estos no se hayan alcanzado, tomar las acciones necesarias. • Informe de las mejoras implementadas. Se amplía el capítulo, dividiéndolo en planificación, diseño y desarrollo, y transición de servicios nuevos o modificados. La planificación de servicios nuevos o modificados debe incluir (o referenciar): • Las actividades a ser realizadas por el proveedor del servicio y terceros incluyendo las de la relación entre ambos. • Las fechas para las tareas planificadas. • Las dependencias de otros servicios. • Las pruebas requeridas para los servicios. Se debe planificar la retirada de servicios: las fechas de la retirada, archivo, eliminación o transferencia de los datos, documentación y componentes del servicio. El diseño y desarrollo de servicios nuevos o modificados debe incluir: • Autoridad y responsabilidad para la provisión de los servicios nuevos o modificados. • Actividades del proveedor del servicio, el cliente y terceros. • Requisitos de RRHH, financieros, etc. • Tecnología, contratos, SLA, planes y políticas, nuevos o modificados. • Actualización del catálogo de servicios. En la transición de servicios nuevos o modificados se debe: • Probar los servicios para verificar que cumplen con los requisitos del servicio, el diseño y los criterios de aceptación. • Utilizar el proceso de entrega y despliegue para hacer uso de los servicios. • Informar de los resultados obtenidos, tras completar las actividades de transición.
6 Procesos de provisión del servicio
6.1 Gestión del nivel de servicio
Se debe acordar un catálogo de servicios con el cliente. El catálogo debe incluir las dependencias entre los servicios y los componentes del servicio. En los SLA acordados con el cliente se deben incluir, además de los objetivos de servicio y la carga de trabajo, los requisitos del servicio y las excepciones acordadas. El proceso de gestión de cambios controla los cambios en el catálogo de servicios, los requisitos del servicio, el SLA y otros acuerdos documentados. Para los componentes de un servicio proporcionados por un grupo interno o cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado, definiendo las actividades y las interfaces entre las dos partes. De igual forma se debe monitorizar el desempeño del grupo interno o cliente.
www.full-ebook.com
6.2 Generación de informes del servicio
6.3 Gestión de la continuidad y disponibilidad del servicio
6.4 Elaboración de presupuesto y contabilidad de los servicios de TI
6.2 Informes del servicio
Los informes se deben documentar y acordar, además de entre el proveedor del servicio y el cliente, con las partes interesadas. Los informes de servicio, además, contendrán información sobre: • El despliegue de servicios nuevos o modificados y las invocaciones del plan de continuidad del servicio. • Las quejas del servicio.
6.3 Gestión de continuidad y disponibilidad del servicio 6.3.1 Requisitos de continuidad y disponibilidad del servicio
El proveedor debe evaluar y documentar los riesgos sobre disponibilidad y continuidad de los servicios. Los requisitos de continuidad y disponibilidad se deben documentar y acordar, además de entre el proveedor del servicio y el cliente, con las partes interesadas.
6.3.2 Planes de continuidad y disponibilidad
El plan de continuidad del servicio debe incluir, al menos: • Los procedimientos a implementar (aplicar) en caso de una pérdida relevante del servicio, o referencia a ellos. • Los objetivos de disponibilidad cuando se invoque el plan. • Los requisitos de recuperación. • El enfoque para el retorno a las condiciones de trabajo normales (anteriormente tratado como “Actividad de vuelta a la normalidad”). El plan de disponibilidad del servicio debe incluir, al menos: • Requisitos de disponibilidad. • Objetivos de disponibilidad.
6.3.3 Monitorización y prueba de la continuidad y de la disponibilidad del servicio
Los planes de continuidad del servicio se prueban contra los requisitos de continuidad del servicio (se elimina “de acuerdo a las necesidades del negocio”). Los planes de disponibilidad se prueban contra los requisitos de disponibilidad.
6.4 Elaboración de presupuesto y contabilidad de los servicios
Debe existir una interfaz entre este proceso y otros procesos de gestión financiera. En la elaboración de presupuestos y contabilidad para los componentes del servicio se incluyen al menos: • Activos, incluyendo licencias, utilizados para proveer los servicios. • Recursos compartidos. • Costes de estructura. • Inversiones y gastos. • Servicios suministrados externamente. • Personal e instalaciones. Se deben distribuir los costes indirectos y asignar los costes directos a los servicios.
6.5 Gestión de la capacidad
6.5 Gestión de la capacidad
El plan de capacidad se debe elaborar, implementar y mantener considerando los recursos humanos, técnicos, de información y financieros. El plan de capacidad debe contemplar, además, el impacto potencial de cambios legales, regulatorios, contractuales u organizacionales. Se alinea con la Norma ISO/IEC 27001. La política de seguridad debe tener en cuenta requisitos de los servicios y legales.
www.full-ebook.com
6.6 Gestión de la seguridad de la información 6.6.1 Política de seguridad de la información
6.6 Gestión de la seguridad de la información 6.6.2 Controles de seguridad de la información
6.6.3 Cambios e incidencias de seguridad de la información
7 Procesos de relaciones 7.1 Generalidades
7.2 Gestión de las relaciones con el negocio
7.3 Gestión de
Se detallan nuevas responsabilidades de la dirección: • Garantizar que se establecen los objetivos de seguridad. • Definir el enfoque a tomar para la gestión de los riesgos de seguridad de la información y los criterios para asumir los riesgos. • Asegurar que se llevan a cabo las evaluaciones de riesgos de seguridad de la información a intervalos planificados. • Asegurar que se realizan auditorías internas de seguridad de la información. • Asegurar que se revisan los resultados de las auditorías para identificar oportunidades de mejora. El proveedor debe implementar y operar controles de seguridad de la información (físicos, administrativos y técnicos) para: • Preservar la confidencialidad, integridad y accesibilidad de los activos de información. • Cumplir con los requisitos de la política de seguridad de la información. • Alcanzar los objetivos de gestión de la seguridad de la información. • Gestionar los riesgos relacionados con la seguridad de la información. El proveedor del servicio debe revisar la eficacia de los controles de seguridad de la información, llevar a cabo las acciones necesarias e informar de las acciones tomadas. El proveedor del servicio debe documentar, acordar e implementar controles de seguridad de la información con las organizaciones externas que tengan que acceder, utilizar o gestionar información o servicios del mismo. Se deben evaluar las peticiones de cambio para identificar nuevos riesgos o riesgos modificados y el impacto potencial sobre la política y los controles de seguridad de la información. Las incidencias de seguridad se deben gestionar a través del proceso de gestión de incidencias, con la prioridad adecuada para los riesgos de seguridad.
7 Procesos de relación
7.1 Gestión de relaciones con el negocio
7.2 Gestión de
El proveedor de servicios debe establecer un mecanismo de comunicación con los clientes. El proveedor de servicios debe revisar con los clientes el comportamiento de los servicios a intervalos planificados. Los cambios de requisitos del servicio deben ser controlados con el proceso de gestión de cambios; los cambios en los SLA deben ser coordinados con el proceso de gestión de nivel de servicio. Se debe acordar un contrato documentado con el suministrador. Los aspectos que debe incluir o a los que se debe hacer referencia en el contrato con los suministradores son: • Alcance de los servicios. • Dependencias entre servicios, procesos y las partes. • Requisitos a ser satisfechos por el suministrador. • Objetivos del servicio. • Interfaces entre los procesos de gestión del servicio ejecutados por el suministrador y por terceros. • Integración de las actividades del suministrador dentro del SGS. • Características de la carga de trabajo.
www.full-ebook.com
suministradores
suministradores
• Las excepciones del contrato y cómo se manejan. • Autoridades y responsabilidades del proveedor del servicio y del suministrador. • Información y comunicación a ser proporcionada por el suministrador. • Actividades y responsabilidades para la finalización normal o anticipada del contrato y la trasferencia de los servicios a terceros. Además, el proveedor del servicio debe verificar que los suministradores principales gestionan a sus suministradores subcontratados para cumplir las obligaciones contractuales. El proveedor del servicio debe revisar periódicamente el comportamiento del suministrador.
8 Procesos de resolución 8.1 Antecedentes
8 Procesos de resolución
8.2 Gestión del incidente
8.1 Gestión de incidencias y peticiones de servicio
Se ajusta el término de “incidente” a “incidencia”. Debe existir un procedimiento documentado. Se diferencia explícitamente entre incidencia y petición de servicio. La priorización de una incidencia o petición de servicio se realiza en función de su impacto y urgencia. La información sobre las entregas (éxito, fracaso, fechas) debe estar disponible para el proceso de gestión de incidencias. Si los objetivos del servicio no se cumplen, se debe informar al cliente y a las partes interesadas, realizando su escalado de acuerdo a un procedimiento. Se debe acordar con el cliente qué es una incidencia grave. La alta dirección debe ser informada de las incidencias graves y debe asegurar que es nombrado un responsable de gestionar las incidencias graves. Una vez restaurado el servicio, las incidencias graves deben ser revisadas para identificar oportunidades para la mejora.
8.3 Gestión del problema
8.2 Gestión de problemas
Cuando la causa raíz de un problema ha sido identificada pero el problema no ha sido resuelto de manera permanente, hay que identificar las acciones para reducir o eliminar el impacto del problema en los servicios. Los errores conocidos deben ser registrados.
9 Procesos de control
9 Procesos de control
9.1 Gestión de la configuración
9.1 Gestión de la configuración
Se cambia el concepto de “política” por “una definición documentada de cada tipo de CI”. Se explicita la información mínima a registrar por CI: descripción del CI, relaciones entre CI, relaciones entre CI y componentes del servicio, estado, versión, ubicación, peticiones de cambio asociadas, problemas y errores conocidos asociados. Se debe documentar un procedimiento para el registro, control y seguimiento de las versiones de los CI. Se indica que los cambios en los CI deben ser trazables y auditables para garantizar la integridad de los CI y los datos de la CMDB. Se debe facilitar información de la CMDB al proceso de gestión de cambios para la evaluación de las peticiones de cambio. Debe existir una política documentada de gestión de cambios que defina: • Los CI bajo control de la gestión de cambios.
www.full-ebook.com
• Los criterios para determinar los cambios con el potencial de tener un gran impacto en los servicios o en el cliente.
9.2 Gestión del cambio
9.2 Gestión de cambios
La transferencia de un servicio al cliente o a un tercero, y la eliminación de un servicio, se deben considerar como un cambio con alto impacto potencial. Las peticiones de cambio clasificadas con gran impacto en los servicios o el cliente se deben gestionar mediante el proceso de diseño y transición de servicios nuevos o modificados. Se debe documentar y acordar con el cliente la definición de los cambios de emergencia. La toma de decisiones en el cambio debe tener en cuenta: • Riesgos. • Impactos potenciales a servicios y clientes. • Requisitos del servicio. • Beneficios del negocio. • Viabilidad técnica. • Impacto financiero. Los cambios aprobados se deben probar. También se debe probar, siempre que sea posible, el mecanismo de marcha atrás. Los registros de la CMDB se deben actualizar tras el despliegue satisfactorio de los cambios.
10 Proceso de entrega 10.1 Proceso de gestión de la entrega
9.3 Gestión de la entrega y despliegue
Los criterios de aceptación para las entregas se deben acordar con el cliente y las partes interesadas. Si los criterios de aceptación no se cumplen, el proveedor del servicio debe tomar una decisión junto con las partes interesadas sobre el despliegue y las acciones necesarias. Las entregas de emergencia se deben gestionar según un procedimiento documentado que se relacione con el procedimiento de cambios de emergencia. Los mecanismos de marcha atrás deben probarse siempre que sea posible.
www.full-ebook.com
Glosario Acuerdo de nivel de servicio, SLA (Service Level Agreement): acuerdo documentado entre un proveedor de servicio y un cliente, que identifica los servicios y los niveles de los mismos acordados. Base de datos de la configuración, CMDB (Configuration Management Database): base de datos que recoge los datos relevantes de cada elemento de configuración y los detalles de las relaciones importantes entre ellos. Centro de atención al usuario: grupo de soporte cara al cliente o usuario que hace una gran parte del trabajo de soporte. Componente del servicio: unidad individual de un servicio que, cuando se combina con otras unidades, provee un servicio completo. Disponibilidad: capacidad de un componente o servicio para realizar la función requerida en un momento definido o durante un periodo definido de tiempo. Documento: información y el soporte que la recoge. Ejemplos de documentos son: políticas, planes, procedimientos, acuerdos de nivel de servicio y contratos. Elemento de configuración, CI (Configuration Item): componente de la infraestructura o elemento que está, o estará, bajo control de configuración. Entrega: recopilación, de uno o más elementos de configuración nuevos o modificados, desplegada en el entorno de producción como consecuencia de uno o más cambios. Error conocido: problema que tiene identificados una causa raíz o un método para reducir o eliminar su impacto sobre un servicio mediante un arreglo provisional. Gestión del servicio: gestión de los servicios que cumple con los requisitos del negocio. Incidencia: cualquier evento que no es parte de la operativa habitual de un servicio y que causa o puede causar una interrupción o una reducción de la calidad de ese servicio. Lanzamiento: colección de elementos de configuración nuevos o modificados que son probados e introducidos juntos en el entorno de producción. No conformidad: incumplimiento de un requisito.
www.full-ebook.com
Parte interesada: persona o grupo que tiene un interés específico en el comportamiento o éxito de la actividad o actividades del proveedor del servicio. Petición de cambio, RfC (Request for Change): propuesta de modificación a aplicar a un servicio, a un componente del servicio o al SGS. Petición de servicio: solicitud de información, consulta, de acceso a un servicio o un cambio previamente aprobado. Problema: causa raíz de una o más incidencias o causa subyacente desconocida de uno o más incidentes. Procedimiento: forma específica para llevar a cabo una actividad o un proceso. Proceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. Proveedor de servicios: organización que tiene como objetivo cumplir con la ISO/IEC 20000. Proveedor del servicio: organización o parte de una organización que gestiona y provee uno o varios servicios al cliente, que puede ser interno o externo. Registro de cambios: registro que contiene detalles sobre los elementos de configuración afectados por un cambio autorizado y sobre cómo son afectados por dicho cambio. Registro: documento que recoge los resultados alcanzados o proporciona evidencia de realización de actividades. Ejemplos de registros son: informes de auditoría, peticiones de cambios, registros de formación, facturas, etc. Requisitos del servicio: necesidades del cliente y de los usuarios del servicio, incluyendo los requisitos de nivel de servicio, y las necesidades del proveedor del servicio. Riesgo: efecto de la incertidumbre sobre la consecución de los objetivos. Servicio: medio de entrega de valor al cliente facilitando que alcance los resultados que quiere lograr. Suministrador: proveedor externo que proporciona servicios que se requieren para el desarrollo de las actividades de la organización. Transición: actividades involucradas en el traslado de un servicio nuevo o modificado desde o hasta el entorno de producción.
www.full-ebook.com
Bibliografía Libros y artículos Fernández Sánchez, C. M. y Piattini, M. (coords.). Modelo para el gobierno de las TIC basado en las normas ISO. AENOR. 2012. Fernández Sánchez, C. M.; Piattini, M. y Pino, F. J. Modelo de madurez de ingeniería del software. AENOR. 2015. Fernández Sánchez, C. M.; Garzas, J. y Morales, M. “DevOps rompiendo las barreras entre desarrollo y operaciones bajo el marco de la agilidad, la ISO 20000 y la ISO 15504/12207”. Revista BYTE. N.º 228. Junio 2015. Fernández Sánchez, C. M. et al. “A maturity model for the Spanish software industry based on ISO standards”. Computer Standards & Interfaces. Vol. 35 (6). Elsevier. Noviembre 2013. Fernández Sánchez, C. M. Calidad en el desarrollo de software. Revista AENOR. N.º 284. Julio/agosto 2013.
Estándares UNE-ISO/IEC 20000-1:2011 Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS). UNE-ISO/IEC 20000-2:2015 Tecnología de la información. Gestión del servicio. Parte 2: Directrices para la aplicación del Sistema de Gestión del Servicio (SGS). UNE-ISO/IEC 20000-3:2015 Tecnología de la información. Gestión del servicio. Parte 3: Directrices para la definición del alcance y la aplicabilidad de la Norma UNE-ISO/IEC 20000-1. ISO/IEC TR 20000-4:2010 Information technology – Service management – Part 4: Process reference model. ISO/IEC TR 20000-5:2013 Information technology – Service management – Part 5: Exemplar implementation plan for ISO/IEC 20000-1. ISO/IEC TR 20000-9:2015 Information technology – Service management – Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud services. ISO/IEC TR 20000-10:2013 Information technology – Service management – Part 10: Concepts and terminology.
www.full-ebook.com
ISO/IEC TR 20000-11 Information technology – Service management – Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®. UNE-ISO/IEC 27000:2014 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI). Visión de conjunto y vocabulario. UNE-ISO/IEC 27001:2014 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI). Requisitos. UNE-ISO/IEC 27002:2015 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información. UNE-EN ISO 9000:2015 Sistemas de gestión de la calidad. Fundamentos y vocabulario. UNE-EN ISO 9001:2015 Sistemas de gestión de la calidad. Requisitos. UNE-EN ISO 9004:2009 Gestión para el éxito sostenido de una organización. Enfoque de gestión de la calidad. UNE-EN ISO 19011:2012 Directrices para la auditoría de los sistemas de gestión. UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices. UNE 66177:2005 Sistemas de gestión. Guía para la integración de los sistemas de gestión.
Herramientas GLPI (glpi-project.org): herramienta de software libre con la que se puede construir un inventario de activos y funcionalidades para hacer seguimiento de trabajos y notificaciones, y construir una base de datos con información básica sobre la topología de su red. ITOP (www.combodo.com): herramienta de software libre para adoptar buenas prácticas de gestión de servicios a su ritmo, pudiendo gestionar tanto el software como el hardware y los servicios asociados. OTRS (www.otrs.com): herramienta de software libre de tickets que se emplea en la asistencia a clientes, la asistencia de escritorio y la gestión de servicios informáticos.
www.full-ebook.com
Referencias Web AENOR (Asociación Española de Normalización y Certificación): www.aenor.es. ISO (International Organization for Standardization): www.iso.org. ITSMF (Information Technology Service Management Forum): www.itsmfi.org.
www.full-ebook.com
Sobre los autores Ana Andrés Álvarez es Ingeniera de software por la University of Salford (Reino Unido), CISA, CISM, Auditora Jefe de ISO/IEC 15504 e ISO/IEC 12207 por AENOR y Lead Auditor de ISO/IEC 27001 e ISO/IEC 20000-1 por entidad certificadora internacional. Con más de 20 años de experiencia en sistemas de gestión, ha trabajado en implantación y operación de sistemas de gestión de la calidad, de los servicios, de seguridad de la información y de mejora de procesos de software. Ha tenido bajo su responsabilidad proyectos en entornos de empresas tanto públicas como privadas y en sectores diversos (financieros, industriales y de servicios). Actualmente es socia-directora de Dársena 33, empresa de servicios de consultoría en el ámbito TIC. Carlos Manuel Fernández Sánchez es Ingeniero en Informática por la Universidad Politécnica de Madrid (UPM), Máster en Dirección de Empresas por CECO, diplomado en Estudios avanzados en informática por la Universidad Pontificia de Salamanca en Madrid (UPSAM), Diplomado en ADE en CEPADEUPM, y CISA y CISM por ISACA. Tiene más de 35 años de experiencia en el sector de las TIC en España, Europa y América. Desde 2004 es Gerente de certificaciones TIC en AENOR (Desarrollo, investigación y certificación en la Gerencia de TICs de la Dirección Comercial de Certificación-Evaluación de la Conformidad en: España, Europa y Latinoamérica). Además es profesor de la Universidad Internacional de La Rioja (UNIR); profesor de los máster de auditoría de sistemas de información y seguridad en la Universidad Politécnica de Madrid (UPM), Universidad Autónoma de Madrid (UAM) y Universidad Sergio Arboleda (Colombia-España); patrono de la Fundación I+D Software libre; directivo del Colegio Profesional de Ingenieros en informática de Madrid (CPIICM); fundador de la Asociación de Auditores Informáticos de España – ASIA– Capítulo ISACA Madrid y miembro de la Asociación Europea de CIOs (CIONET). Boris Delgado Riss es Ingeniero en Informática por la Universidad Pontificia de Salamanca (UPSAM), Máster en Seguridad y auditoría informática por la Universidad Politécnica de Madrid (UPM), CISA y CISM por ISACA, y certificado en ITIL. Tiene más de 15 años de experiencia como consultor y auditor en TIC en España y Latinoamérica. Desde 2007 es Auditor jefe de TIC en AENOR (Desarrollo, Investigación y Certificación en la Gerencia de TICs de la Dirección Comercial de Certificación-Evaluación de la Conformidad). Además
www.full-ebook.com
es profesor de la Universidad Internacional de La Rioja (UNIR), colegiado en el Colegio profesional de ingenieros en informática de Madrid y miembro asociado del Chapter Madrid – ISACA.
www.full-ebook.com
www.full-ebook.com
www.full-ebook.com
Gestión por procesos y riesgo operacional Pardo Álvarez, José Manuel 9788481439496 228 Páginas
Cómpralo y empieza a leer Todas las organizaciones están implicadas en procesos cuyo profundo conocimiento es fundamental para intentar mejorar, siendo eficaces y ganando en competitividad. Este libro ayuda a las organizaciones en la gestión del riesgo operacional y nos encamina hacia una mejora continua, de cara a nuestro negocio y también a nuestros clientes. En el desempeño de estos procesos surgen incidencias que, implantando unas herramientas y técnicas determinadas, podemos solventar fácilmente. Cómpralo y empieza a leer
www.full-ebook.com
Related documents
Guía práctica de ISO-IEC 20000-1 para servicios TIC
163 Pages • 39,040 Words • PDF • 3.7 MB
Portafolio de Servicios Mya Servicios Publicitarios (APROBADO)
23 Pages • PDF • 2.7 MB
Articulo 1_Las nuevas competencias TIC en el personal de los servicios de salud
14 Pages • 5,664 Words • PDF • 596.7 KB
Manual de Servicios v20.04
309 Pages • 67,912 Words • PDF • 6 MB
Portafolio de Servicios Bienestar
15 Pages • 2,029 Words • PDF • 33.9 MB
Diseño y producción de TIC para la formación
209 Pages • 53,720 Words • PDF • 5.5 MB
Nota Venta Servicios DDA
1 Pages • 178 Words • PDF • 207.1 KB
Gua A-10 Inecuaciones lineales
12 Pages • 1,394 Words • PDF • 181.8 KB
Guia de gestión de calidad para servicios de alimentación.
82 Pages • 17,704 Words • PDF • 1.9 MB
Evaluación de conocimientos Técnicos para Gerente de Azteca Servicios Financieros
6 Pages • 1,863 Words • PDF • 84.2 KB
Modelo de servicios de salud amigables para adolescentes y jóvenes
283 Pages • 66,129 Words • PDF • 8.1 MB
Tabulador de Servicios Profesionales 2019
45 Pages • 12,671 Words • PDF • 4.8 MB