You are on page 1of 777

ISO/IEC 20000.

Gua completa de aplicacin


para la gestin de los servicios
de tecnologas de la informacin

Ttulo: ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Telefnica, S.A.
Coordinador: Luis Morn Abad
AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2009
Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,
sin la previa autorizacin escrita de AENOR.
Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of
Government Commerce under delegated authority from the Controller of HMSO.

Licensed Product

ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
The Swirl logo is a Trade Mark of the Office of Government Commerce.
The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.
PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the United
Kingdom and other countries.
M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.

ISBN: 978-84-8143-662-4
Depsito Legal: M-47292-2009
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR
Imprime: Xxxxxx

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es

Este libro est dedicado a todos los


profesionales de tecnologas de la
informacin y las comunicaciones que
abnegadamente han aportado sus
conocimientos y experiencia para la definicin
y difusin de las normas y las mejores
prcticas que marcan el camino
de evolucin de este sector.

Agradecimientos

Este libro recopila las experiencias de profesionales que estn fuertemente involucrados en el impulso de las normas y las buenas prcticas internacionales relativas a
la gestin de las tecnologas de la informacin y las comunicaciones.
En la creacin de esta primera edicin del libro han participado:
Direccin de la obra (Telefnica):
Luis Morn Abad Direccin tcnica y contenido final.
Alejandro Prez Snchez Contenido intermedio.
Autores principales (Telefnica):
Luis Morn Abad
Alejandro Prez Snchez
Juan Trujillo Gaona
David Bathiely Fernndez
Miguel Jos Gonzlez-Simancas Sanz
Colaboradores:
Paloma Garca Lpez (AENOR)
Carlos Manuel Fernndez Snchez (AENOR)
Eduardo Mndez Polo (Telefnica)
Jaime Pastor Pastor (Telefnica)

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Toms Hernndez Lpez (Telefnica)


Carmen Fernndez Prieto (Telefnica)
Mara Luisa Lpez de Castro (Telefnica)
Julio Morilla Padial (Telefnica)
Andrs Leiva Araos (Telefnica)
Ronaldo Gonalves Tiago (Telefnica)
Julio Jos Ballesteros Garca (Quint Group)
Luis Miguel Rosa Nieto (EXIN Espaa)
Pablo Castro Montero
(Entre parntesis se indica la empresa en la que trabajaban a fecha 01.01.2009.)

El control independiente de idoneidad tcnica de los contenidos est avalado


por profesionales de itSMF Espaa y de AENOR, junto con otros profesionales independientes:
Carlos Lpez Alonso (Hewlett-Packard) por itSMF Espaa
Antonio Jos Rodrguez (Quint Group) por itSMF Espaa
Ana Ramos (British Telecom) por itSMF Espaa
Leopoldo Martnez-Osorio del Ro (INDRA) por itSMF Espaa
Carmen Caballero (INDRA) por itSMF Espaa
Manuel Fernando Juan Martnez (Banco de Santander)
Julio Gonzlez Sanz
Boris Delgado Riss (AENOR)
Agradecer tambin a la direccin de Sistemas de Informacin de Telefnica que de
forma directa ha hecho posible esta publicacin:
Mara Fernanda Torquati (Telefnica)
Jos Mara Tavera Ms (Telefnica)
Fabriciano Gangoso Alonso (Telefnica)
Isidro Abad Gosalvez (Telefnica)

ndice

Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Captulo 1. El camino a la excelencia ya existe . . . . . . . . . . . . . . . . . . . . .

21

1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . .

23

1.2. Normas, estndares, marcos de referencia y metodologas reconocidas


en el mbito de las TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24

1.3. Entender los entornos de normalizacin y certificacin . . . . . . . . . . . . . .

27

1.4. Las principales normas y buenas prcticas en TI . . . . . . . . . . . . . . . . . . .

37

Captulo 2. Entender las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . .

51

2.1. Introduccin a las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . .

53

2.2. Objeto y campo de aplicacin de ISO/IEC 20000 . . . . . . . . . . . . . . . . .

65

2.3. La estructura de las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . .

70

2.4. Relacin entre ISO/IEC 20000 e ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . .

75

Captulo 3. El Sistema de Gestin del Servicio de TI (SGSTI) . . . . . . . . . . . .

79

3.1. El sistema de gestin de tecnologas de la informacin . . . . . . . . . . . . . .

83

Captulo 4. Planificacin e implementacin de la gestin del servicio . . . . . 107


4.1. Cmo planificar e implementar la gestin del servicio . . . . . . . . . . . . . . 111

10

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Captulo 5. Planificacin e implementacin de nuevos servicios o de


servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.1. El proceso de planificacin e implementacin de nuevos servicios o de
servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Captulo 6. Procesos de provisin de servicio . . . . . . . . . . . . . . . . . . . . . . . 191
6.1. Gestin de nivel de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
6.2. Generacin de informes del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
6.3. Gestin de la continuidad y disponibilidad del servicio . . . . . . . . . . . . . . 279
6.4. Elaboracin de presupuestos y contabilidad de los servicios de TI . . . . . . 331
6.5. Gestin de la capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
6.6. Gestin de la seguridad de la informacin . . . . . . . . . . . . . . . . . . . . . . 403
Captulo 7. Procesos de relaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
7.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
7.2. Gestin de las relaciones con el negocio . . . . . . . . . . . . . . . . . . . . . . . . 457
7.3. Gestin de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Captulo 8. Procesos de resolucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
8.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
8.2. Gestin del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
8.3. Gestin del problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Captulo 9. Procesos de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
9.1. Gestin de la configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
9.2. Gestin del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Captulo 10. Procesos de entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
10.1. Gestin de la entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Captulo 11. La certificacin conforme a ISO/IEC 20000 de la gestin
del servicio de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
11.1. La primera certificacin conforme a ISO/IEC 20000 . . . . . . . . . . . . . . 737
11.2. Evidencias y registros importantes en una certificacin . . . . . . . . . . . . . 751

ndice

11

Bibliografa y referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763


Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767

Presentacin

Las tecnologas de la informacin son cada da ms necesarias en la gestin de las


empresas.
Este sector, en su evolucin hacia la madurez, ha ido generando diversos conjuntos
de mejores prcticas que ayudan a las organizaciones a gestionar estos entornos tecnolgicos cada vez ms complicados y, por otra parte, ms esenciales.
Este libro nace con la intencin de ayudar a todo tipo de empresas en la gestin
de la actividad de sus departamentos informticos. Profesionales de Telefnica y de
AENOR han puesto su mejor empeo en explicar y aportar sus aos de experiencia en este mbito. Para ello, se ha utilizado como eje vertebrador las Normas
UNE-ISO/IEC 20000, que se enriquecen con las buenas prcticas de otros marcos
como ITIL.
Los autores han desarrollado una buena gua sobre la forma de incorporar estas
mejores prcticas de la industria en la gestin diaria de las tecnologas. Esta publicacin ayudar a las empresas a adoptar los ltimos avances en la forma de organizar
las actividades que contribuyen a que el mundo tecnolgico sea operativo y rentable
para las organizaciones y para la sociedad.
Esperamos que todo su contenido sea de gran utilidad en la mejora de los servicios
de tecnologas de la informacin prestados en su organizacin.
Telefnica

Introduccin

Durante la dcada de los aos 50, algunas predicciones futuristas imaginaron que,
para el ao 2000, los coches seran capaces de volar, se ira de vacaciones a Marte, y
que Estados Unidos podra llegar a contar con nada menos que trescientos mil
ordenadores. En 1947 el director de una famosa multinacional del sector predijo
que en el mundo slo habra mercado para 5 ordenadores. Estas predicciones hoy
en da nos parecen ridculas, unas por lo exageradas, y otras por que se han quedado muy cortas.
Las tecnologas de la informacin y las comunicaciones han avanzado mucho ms
de lo esperado, pero despus de poblar el mundo de dispositivos de silicio, con
unas capacidades de proceso inimaginables, nos encontramos con un panorama
desalentador:
Equipos que se bloquean.
Sistemas que se caen.
Servicios que se interrumpen.
Atencin al usuario deficiente.
Prdidas de tiempo y de productividad de los usuarios.
Personal tcnico desbordado por llamadas y peticiones de asistencia.
Directores de sistemas de informacin que ven cmo, a pesar del esfuerzo continuo de su equipo, el roce y el malestar con el resto de la empresa no cesan.
Por ello, no es de extraar que encontremos frecuentemente que los departamentos
de las tecnologas de la informacin (TI) se consideren ms una carga que una
ayuda para el negocio.

16

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La dinmica industria de tecnologas de la informacin y las comunicaciones


(TIC), que es capaz de duplicar la capacidad de proceso y de almacenamiento cada
ao y medio, lleva desarrollando, en paralelo al avance tecnolgico, metodologas
de trabajo que van ofreciendo soluciones de gestin a estos retos planteados. El sector de las TIC ha ido creando distintas disciplinas para cubrir algunas de las facetas
que necesita la gestin global de las TIC en la empresa. Soluciones que no siempre
se han aplicado con el ahnco y el rigor necesarios.
Parece lgico que los organismos de normalizacin internacionales, como ISO (International Organization for Standardization, Organizacin Internacional de Normalizacin) e IEC (International Electrotechnical Commission, Comisin Electrotcnica
Internacional), propicien la elaboracin de normas que van consolidando las prcticas establecidas relativas a la organizacin del trabajo en las reas de TI. Adems,
estos organismos de normalizacin disponen de mecanismos de trabajo asentados
que garantizan una amplia participacin de los agentes del sector de las TIC. Este es
el caso de las Normas ISO/IEC 20000, partes 1 y 2, y sus traducciones oficiales al
castellano, publicadas por AENOR como Normas UNE-ISO/IEC 20000 1 en junio
de 2007. El presente libro se centra en explicar la aplicacin de estas dos normas.
Las Normas ISO/IEC 20000 definen los procesos y las actividades esenciales para
que las reas de TI puedan prestar un servicio eficiente y alineado con las necesidades de la empresa u organizacin. Estas normas, construidas sobre la base del
modelo ITIL, se centran principalmente en la ordenacin de las disciplinas de
soporte y provisin de servicios de TI. Son normas especficas para la gestin de los
servicios que ofrecen las reas o los proveedores de tecnologas de la informacin.
Las Normas ISO/IEC 20000 no son de ndole tcnico, ni tecnolgico. En ellas se
describen los principales flujos de actividades (agrupados en forma de procesos) cuyo
fin es lograr una entrega efectiva y con la calidad requerida de los servicios a los clientes y usuarios. Adems, definen un sistema reconocido y probado de gestin que permite a los proveedores de TI (ya sean reas internas u organizaciones externas) planificar, gestionar, entregar, monitorizar, informar, revisar y mejorar sus servicios.

Objeto del libro


Este libro se centra en explicar y facilitar la comprensin de las Normas ISO/IEC
20000 con un enfoque prctico, para que su implantacin resulte efectiva en
1 Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo trmino
ISO/IEC 20000 para referirse a estas normas, tanto para la serie UNE, como para la serie
ISO/IEC.

Introduccin

17

cualquier tipo de organizacin que provea servicios de tecnologa, tanto internamente a su organizacin como externamente al mercado, tanto en grandes organizaciones como en pequeas o medianas empresas.
Este libro va dirigido a todos los profesionales del mbito de las tecnologas de la
informacin y las comunicaciones que estn involucrados en la provisin de servicios. Resultar imprescindible tanto a los responsables de su gestin, como a cualquier otro profesional de TI: direccin, gestores, responsables de procesos, consultores, tcnicos, personal de soporte, etc.
Al avanzar en este libro, el lector constatar que la industria ya ha normalizado
gran parte del conjunto de actividades necesarias para que los servicios proporcionados por las TI sean fiables y eficientes. Cubren desde las actividades del da
a da inmediato, como es la atencin a los incidentes y peticiones, hasta la definicin de una estrategia que permita continuar prestando los servicios en caso
de catstrofe, todo ello, sin olvidar conceptos como la planificacin o la mejora
continua.
Persiguiendo este fin ltimo de utilidad, los contenidos de cada apartado, adems
de incluir ntegramente la norma, se han enriquecido con otras buenas prcticas
ITIL y con la amplia experiencia profesional de los autores.
Por tanto, este libro pretende ser una gua completa de aplicacin, una ayuda y una
razonable interpretacin de estas normas. No pretende sentar jurisprudencia al
respecto. Los autores dan por hecho que puede haber otras formas de aplicar o
interpretar las directrices de las normas, ya que las particularidades de cada negocio
y organizacin tienen gran influencia.

Estructura del libro


Se ha puesto nfasis en que los contenidos ayuden a la transformacin real y perceptible de la gestin de las TI en toda empresa que se inicie en el camino de la aplicacin de ISO/IEC 20000.
El captulo 1 El camino a la excelencia ya existe, introduce al lector en las nuevas tendencias de gestin de las TI, como son: la orientacin a procesos, la calidad, las normas y las mejores prcticas. La intencin del captulo es presentar el
amplio, y cada vez ms complejo, entorno normativo y de mejores prcticas. Se
conocer quines son los principales actores en estos mbitos y se tendr una
primera aproximacin de cmo se posiciona cada norma o iniciativa. Este captulo es un paso previo, que proporciona una visin general de todo este escenario internacional, antes de zambullirse en las especificidades de las Normas
ISO/IEC 20000.

18

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El captulo 2 Entender las Normas ISO/IEC 20000 las posiciona en el mbito


global de las TIC, para pasar despus a explicar su alcance, su estructura, sus coincidencias y las principales diferencias frente a ITIL. Este captulo resulta esencial
para entender adecuadamente los siguientes.
Para facilitar la comprensin, el ncleo central del libro, desde el captulo 3 al 10,
se organiza siguiendo una estructura de captulos y numeracin de apartados paralela a las normas de referencia. En la figura I.1 se muestra este paralelismo intencionado.
El captulo 3 El Sistema de Gestin del servicio de TI (SGSTI), explica este concepto que suele resultar nuevo para los profesionales de las TIC no acostumbrados
a los sistemas de gestin definidos en la normativa de calidad ISO. Explica con
detalle la creacin de un sistema de gestin aplicado a la provisin y soporte del
servicio de tecnologas de la informacin. Este sistema de gestin constituye en s
mismo el diseo de las nuevas formas de hacer que transformarn el servicio de TI.
Su utilizacin ofrece un valor aadido y permitir alcanzar una posicin diferencial
a las organizaciones que lo implementen.
En el captulo 4 Planificacin e implementacin de la gestin del servicio, se trata
la implantacin de las Normas ISO/IEC 20000. Explica la forma de organizar y llevar a cabo esta transformacin que suponen las nuevas formas de hacer, acordes con
estas normas y definidas en el sistema de gestin. Se explican los aspectos que hay
que tener en cuenta previos a la implantacin, para entrar posteriormente en el ciclo
de mejora continua. Se sigue el enfoque a las cuatro etapas del ciclo de mejora continua (PDCA, de Deming o de Shewhart), que tambin se explica en este captulo.
Los captulos del 5 al 10 se corresponden con los principales procesos identificados
en la gestin del servicio relativos a: creacin, provisin, relaciones, resolucin,
control y entrega del servicio.
En el libro, tambin se ha considerado que las empresas, adems de mejorar sus servicios de TI, quieren obtener una certificacin que les acredite ante su Direccin o
ante sus clientes de la conformidad de su gestin frente a los requisitos de estas normas de referencia. A este respecto, el captulo 11 es una gua que explica el proceso
habitual para obtenerla.
El libro se ha preparado para que se pueda leer en tres recorridos diferentes:
Recorrido 1: lectura rpida. Paso rpido por los conceptos del libro, sin
profundizar en los procesos. Este recorrido pasa por la lectura de los captulos 1, 2 y 3 en detalle, pues contienen conceptos y posicionamientos que
nadie debera descartar. A partir de este punto, el resto de los captulos y procesos tienen su introduccin y grficos que resumen los principales conceptos que todo involucrado en las TI debera conocer.

Introduccin

ndice de las Normas ISO/IEC 20000

ndice del libro ISO 20000

1 Objeto y campo de aplicacin

0 Introduccin

2 Trminos y definiciones

1 El camino de la excelencia ya exite


2 Entender las normas ISO/IEC 20000

3 Requisitos de un sistema de gestin

3 El Sistema de Gestin del Servicio de TI (SGSTI)

4 Planificacin e implementacin de la gestin del servicio


5 Planificacin e implementacin de nuevos servicios o de servicios modificados
6 Procesos de la provisin del servicio
6.1 Gestin de nivel de servicio
6.2 Generacin de informes del servicio
6.3 Gestin de la continuidad y disponibilidad del servicio
6.4 Elaboracin de presupuesto y contabilidad de los servicios de TI (gestin financiera de TI)
6.5 Gestin de la capacidad
6.6 Gestin de la seguridad de la informacin
7 Procesos de relaciones
7.1 Generalidades
7.2 Gestin de las relaciones con el negocio
7.3 Gestin de suministradores
8 Procesos de resolucin
8.1 Antecedentes
8.2 Gestin del incidente
8.3 Gestin del problema
9 Procesos de control
9.1 Gestin de la configuracin
9.2 Gestin del cambio
10 Proceso de entrega
10.1 Proceso de gestin de la entrega
11 La certificacin conforme a ISO/IEC 20000
de la gestin del servicio de TI
11.1 La primera certificacin conforme
a ISO/IEC 20000
11.2 Evidencia y registros importantes en una
certificacin
Bibliografa

12 Bibliografa y referencias
13 Trminos y definiciones

Figura I.1. La estructura del libro transcurre paralela


a las Normas ISO/IEC 20000

19

20

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Recorrido 2: lectura secuencial y a fondo. De principio a fin, que es la


recomendada por los autores.
Recorrido 3: manual de consulta. La estructura del libro con temtica
independiente permite utilizarlo tambin como manual de consulta, accediendo directamente a cada proceso.

Captulo 1

El camino a la excelencia
ya existe

1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia
1.2. Normas, estndares, marcos de referencia y metodologas reconocidas
en el mbito de las TI
1.3. Entender los entornos de normalizacin y certificacin
1.4. Las principales normas y buenas prcticas en TI

50

38

MI

CM

ITIL

00 000
0
9 20

0
70

BIT

CO

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

23

1.1. Las Normas ISO/IEC 20000 son parte del


camino a la excelencia
Comparando la gestin habitual de las tecnologas de la informacin con otras
reas de la empresa, podremos encontrar que, en las ms avanzadas, existen modelos de gestin firmemente establecidos que las hacen parecerse al modelo de una
orquesta sinfnica en la que, si bien cada msico es un excelente especialista en su
instrumento, es en la interpretacin del concierto cuando la orquesta demuestra su
autntico valor actuando como un todo.
En cambio, las reas que gestionan sistemas tecnolgicos han puesto tradicionalmente el foco en el conocimiento y dominio de la tecnologa. Es esencial y obvio
que se necesitan buenos tcnicos para el diseo, la construccin y el mantenimiento
del hardware y del software. Sin embargo, la situacin actual refleja que el control
de la tcnica, aunque totalmente imprescindible, no es suficiente para satisfacer
todo lo que la empresa demanda de las reas de TI. Queda una importante asignatura pendiente que, por ms que se invierta en tecnologa y en tcnicos, no se consigue resolver: actuar perfectamente engranados, todos juntos y bien coordinados
para conseguir un fin comn: ser cada vez ms eficientes en costes y capaces
de evolucionar con la agilidad tpica del ecosistema Internet (objeto de deseo de
todos los negocios para sus reas de TI).
Los responsables de los departamentos de TI deben responder a importantes desafos: la eficiencia en costes, la calidad, el cumplimiento de plazos, la agilidad y la
satisfaccin de los clientes y usuarios estn entre ellos. La gestin de las TI debe
evolucionar desde los modelos artesanales hacia formas de hacer ms industrializadas. Implementar formas de trabajo repetibles, mejorando la calidad de lo construido, la fiabilidad de los servicios o aumentando la capacidad de produccin de
la organizacin, todo ello, dentro de un nuevo entorno ms fluido en las relaciones
y que genere menos estrs en las personas. En esta evolucin, las buenas prcticas
sectoriales recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otras
normas y marcos de referencia, marcan el camino a recorrer para alcanzar la excelencia en la gestin de las TI.
Del mismo modo que un abogado debe conocer las leyes para ejercer su profesin,
o un arquitecto la legislacin y reglamentacin sobre urbanismo y edificacin; la
direccin y los profesionales de los departamentos de TI deben conocer con detalle
el conjunto de buenas prcticas, normas o estndares que se estn consolidando en
su propio sector. La actividad de los directivos y profesionales de las TI, debe pasar
por conocer con detalle la normativa y marcos de las mejores prcticas aceptados
por el mercado, para aplicarlas posteriormente en su organizacin. Este es un buen
camino para la mejora de las actividades.

01

0
27

BIT

CO

24

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

1.2. Normas, estndares, marcos de referencia


y metodologas reconocidas en el mbito
de las TI
El mundo de la ciencia est empeado en la bsqueda de una ley universal que sea
vlida tanto para el mundo del tomo como para las grandes galaxias. De manera
anloga, en el mbito de las TI todava no se ha conseguido definir un modelo formal universal de toda su actividad que contemple desde la ms detallada tarea tcnica, hasta la definicin al ms alto nivel de la estrategia alineada con el negocio.
El inters por mejorar las actividades de las TI ha hecho que se hayan ido desarrollando varios marcos o modelos que cubren las principales parcelas de la gestin y
del conocimiento. A veces son complementarios entre s, en otros aspectos se solapan y, con frecuencia, presentan enfoques distintos sin ofrecer una integracin clara
con otros modelos o aproximaciones. A pesar de ello, es indudable la utilidad de
trabajar con stos modelos de referencia ya definidos y los beneficios que aportan a
las organizaciones que los utilizan como base para avanzar.
Una buena representacin que permite realizar una primera aproximacin a este
mundo en ebullicin de normas, modelos y marcos de referencia, es la realizada por
la consultora Gartner Group, presentada en la figura 1.1. En ella, se posicionan las
normas en funcin de dos conceptos: el mbito de aplicacin y el tipo de uso de la
normativa. El mbito de aplicacin de las normas ocupa las columnas de la tabla y
se divide en dos alcances: el general de la empresa y las disciplinas especficas de TI
(gobierno de TI, gestin del servicio de TI, funciones de TI y tecnologa). El tipo
de uso de la normativa se representa en tres filas: normativa con foco en la evaluacin de la actividad, directrices y mejores prcticas, y la normativa de carcter ms
prescriptivo. La tabla original de Gartner se ha actualizado con la contribucin de
los autores, incorporando nuevas normas y marcos de referencia, como: ITIL v3,
CMMI for Services, ISO/IEC15504, ISO/IEC 38500, ISO 9004, ISO14001, ISO
90003, ISO/IEC 27001, PRINCE2, ISPL, ASL y DSDM). La dinmica de este
sector har que en breve aparezcan nuevas normas y estndares para incorporar a
ste grfico.
Entre estos modelos o recomendaciones destacan las Normas ISO/IEC 20000,
que compiten por un reconocimiento en este campo. El hecho de llegar con el respaldo de los organismos de normalizacin internacionales, es un claro empuje para
que se asiente como un referente en la sociedad. Como adems, se han publicado
tambin como norma nacional en muchos pases, cumplen todo lo necesario para
que los gobiernos puedan incluirlas en sus legislaciones o regulaciones (pudiendo
llegar a convertirse en obligatorias).

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

mbito de la empresa
p

Evaluacin

Calidad
y medio
ambiente

Empresa

Directrice
es
Prrescriptivo

Gobierno TI

Gestin del
servicio de TI
Ticket

King
ACC

Tipo de usso

mbito especfico
p
de TI

SAS
8000
TQM

ISO
9001 ISO
SO
EFQM 9004
ISO
14001

ITIL v2
ISO/IEC
38500

Funciones de TI
((desarrollo,, seg.,
g , etc.))

ISO/IEC
20000
SAS 70

MOF

PPeople
l
CMMI
CMMI

SOX

ISO/IEC
17799 o
27002

ISO
ISO/IEC
ASL 90003
ISO
27001
DSDM 12207
BS 25999
ISPL
PAS 77

FEAF
TOGAF
Zachman

PMBOK
RUP

TL 9000

Tecnologa

SPICE
ISO/IEC 15504

CMMI for
Services
ITIL v3

COSO

Lean
6
Sigma

COBIT

CoCo

eTOM
(Telcos)

25

PRINCE2

CORBA
XML
SOA

Fuente: Gartner y e.p.

Figura 1.1. Mapa de las diferentes normas y marcos de referencia


relacionados con las TI

El veterano marco ITIL destaca como el gran compendio de referencia, que aspira
a convertirse en ese modelo universal que estructura y organiza toda la actividad de
las TI. Si bien la versin 2, publicada en el ao 2000, ha tenido una aceptacin
excepcional, hay que esperar a ver cmo el sector va adoptando la nueva versin 3,
publicada en el ao 2007, y que presenta una visin ms amplia y coherente de la
gestin de las TI, agrupada en torno al ciclo de vida del servicio.
El marco para el desarrollo de software CMMI (Capability Maturity Model Integration) aparece como el modelo ms aceptado para la medicin de la madurez de los
procesos de gestin en la construccin de aplicaciones. Para complicar ms el panorama, en su ltima versin se crea un nuevo modelo CMMI for Services, que se
superpone en gran medida con el mbito central de ITIL; y por tanto, tambin con
las Normas ISO/IEC 20000. Adems, para los procesos y medicin de la madurez
del desarrollo, tambin la normativa internacional inici desde 1993 su andadura.
ISO e IEC han desarrollado un modelo para la evaluacin de los procesos de desarrollo de software bajo la iniciativa SPICE que ha desembocado en la publicacin
de la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto de
normas relativas a la ingeniera del software (ISO/IEC 15288, ISO/IEC 12207,
ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).

01

0
27

BIT

CO

26

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La gestin de la seguridad de los sistemas de informacin ha sido una de las reas


ms difundidas en el entorno normativo de las TI, con las normas UNE-ISO/
IEC 27001 (sistema de gestin de seguridad) y UNE-ISO/IEC 17799 (un
cdigo de buenas prcticas para la gestin de la seguridad de la informacin),
que se ha renumerado como UNE-ISO/IEC 27002. Recientemente han aparecido unas normas britnicas sobre la gestin de la continuidad de negocio, denominadas BS 25999.
En el mbito de la auditora, medicin y gobierno de TI el modelo COBIT (Control Objectives for Information and Related Technology) est reconocido como una
excelente referencia. En relacin al gobierno de las TI, la normativa internacional
de ISO ha tomado posiciones con la nueva Norma ISO/IEC 38500 Corporate
Governance of Information Technology (tambin denominada en sus etapas de borrador como 29382), inspirada en la Norma australiana AS 8015. Como un hijo
menor del modelo COBIT, para la medicin del valor que aportan las TI al negocio,
se ha definido un nuevo sub-marco denominado ValIT.
En relacin a la gestin de proyectos de desarrollo de software, el marco lder es
PMBOK (Project Management Body of Knowledge), una metodologa reconocida
por el organismo norteamericano de normalizacin ANSI. Tambin hay que tener
en cuenta el modelo PRINCE2 (Projects In Controlled Environments) que, realizado por los impulsores de ITIL, es ms sencillo que el anterior, y resulta de utilidad para proyectos de mejora y de implantacin de ITIL o de ISO/IEC 20000.
Otros modelos que se complementan o solapan con los anteriores, aunque con
poca aceptacin en el sector de las TI son: en el mbito de la gestin de proveedores ISPL (Information Services Procurement Library), para disponer de un mapa
completo en la construccin de aplicaciones: ASL (Application Services Library) o
DSDM (Dynamic Systems Development Method).
Por su importancia y universalidad, tambin hay que tener en cuenta la serie de
normas internacionales ISO 9000, familia de normas y directrices que contienen
los requisitos para la gestin de la calidad general de una organizacin. Dentro de
esta serie destaca la Norma UNE-EN ISO 9001, que contiene los requisitos del
sistema de gestin de la calidad, tambin esencial para la implantacin de las Normas ISO/IEC 20000. La Norma UNE-EN ISO 9004 contiene recomendaciones
prcticas para aquellas empresas que quieran ir ms all de los requisitos mnimos
establecidos en UNE-EN ISO 9001.
En el mbito de la calidad aplicada al desarrollo de software, tambin hay que considerar la Norma UNE-ISO/IEC 9003 que versa sobre las directrices para la aplicacin de la Norma UNE-EN ISO 9001 al desarrollo de software. Por otra parte, la
Norma ISO/IEC 12207 proporciona un marco para los procesos, actividades y
tareas relacionadas con el ciclo de vida del software.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

27

Por otra parte, los temas medioambientales tambin tienen su impacto en la gestin de TI. Deben tenerse en cuenta: la legislacin nacional, local y la normativa
sobre retirada y gestin del equipamiento y residuos informticos; la serie de Normas ISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe tambin la Norma UNE 150002 Sistemas de gestin medioambiental. Gua para la aplicacin de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la gua para
la aplicacin de los sistemas de gestin medioambiental a las relaciones con suministradores y clientes, denominada UNE 150004 EX; o el Cdigo de Conducta
para la Eficiencia Energtica en Centros de Datos publicado por la Unin Europea.
Tanta abundancia de informacin y recomendaciones resulta confusa para las organizaciones que slo desean soluciones prcticas y directas para mejorar su gestin
de las TI.
De todo el mapa anterior, se recomienda centrarse inicialmente en las normas y
marcos de mayor relevancia y ms aceptados para la mejora de TI, como son:
ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la
gestin de los servicios de TI.
COBIT para la auditora y la medicin de las TI.
ISO/IEC 27001 para la gestin de la seguridad de la informacin.
ISO/IEC 15504 y CMMI for Development para la gestin del desarrollo de
software.
ISO/IEC 38500 y COBIT como referencias para el gobierno de las
tecnologas de la informacin.

1.3. Entender los entornos de normalizacin y


certificacin
Tiene gran inters conocer quin es quin en el mbito de la normalizacin y la
definicin de las buenas prcticas relacionadas con la provisin de servicios de TI.
Concurren en este espacio: organizaciones internacionales y europeas de carcter
multisectorial que producen normas (como ISO, IEC, CEN, CENELEC, ETSI,
UIT), organismos de normalizacin nacionales (AENOR en Espaa, BSI en UK,
etc.), administraciones pblicas e instituciones gubernamentales (como OGC en
UK, DoD en los EEUU), organizaciones privadas (itSMF, ITGI), universidades
(Carnegie Mellon), junto a otros organismos del mundo de la certificacin y acreditacin de empresas. La figura 1.2 presenta en forma de tabla los principales actores. En las columnas se muestran las instituciones generadoras de normativas y

01

0
27

BIT

CO

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

28

marcos de mejores prcticas (organismos de normalizacin internacional, organismos de normalizacin en cada pas y las principales iniciativas de organizaciones
privadas aunque algunas con el respaldo indirecto gubernamental). Las filas enumeran algunos organismos e instituciones. Bajo el concepto de promotor se incluyen quin est principalmente detrs de las iniciativas respaldando a las instituciones. Finalmente se presentan algunas normas y marcos de cada mbito.

Promotore
es

O
Organismos
e
instituciones

Normalizacin internacional
ISO

CEN

IEC

CENELEC

UIT

ETSI

Normalizacin y acreditacin
segn el pas
Espaa: AENOR - ENAC
UK: BSI - UKAS
USA: ANSI
Alemania: DIN - TV
Argentina: IRAM
Chile: INN
Mxico: DGN
Per: INDECOPI
Australia: SA

Gobiernos

Gobierno del pas

Participan comits
normalizacin pases

Participa industria local


itSMF Espaa y GT-25

No
ormas

(en UNE-ISO
UNE ISO 20000)

ISO 9001
ISO 20000
ISO/IEC
38500

ISO/IEC
20000
ISO/IEC
27001
ISO/IEC
17799

ISO/IEC
20000
BS 15000
AS 8015

ISO 27001
ISO 1779927002
BS 25999
PAS 77

Principales iniciativas privadas


OGC

Carnegie
Mellon

ITGI

PMI

OGC
(UK)

DoD
(USA)

ISACA
(USA)

PMI
(USA)

Participan los lderes y gurs de la industria TI


itSMF

SEI y ESI

ITIL

CMMI

COBIT

PMBOK

Prince2

Fuente: Telefnica

Figura 1.2. Actores en el mbito de la normalizacin relacionados con las TI

En el mbito de la normalizacin internacional, los organismos de normalizacin


internacionales (ISO, IEC, UIT) y los europeos (CEN, CENELEC, ETSI) disponen de procedimientos estables que garantizan la participacin de los pases miembros y de la industria local. Aunque cada organismo tiene procedimientos especficos para la realizacin de la normativa, en todos est garantizada la participacin de
los pases y de sus representantes. Para garantizar la representacin se utilizan estructuras de comits, subcomits y grupos de trabajo internacionales, que frecuentemente se reflejan en estructuras similares en los pases. Por tanto, no hay un ciclo
nico para la creacin de las normas, aunque todos se basan en la representacin de
los organismos de normalizacin de los pases a travs de sus miembros nacionales
(AENOR, BSI, DIN, etc.) como instrumento para garantizar la participacin
nacional.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

29

Por otra parte, el mbito de las denominadas iniciativas privadas (ITIL, CMMI,
COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prcticas y no de normativa. Los procedimientos y la gestin de la representacin del
sector quedan a la libre eleccin de la institucin u organismo que impulsa la iniciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamada
pblica de participacin para trabajar en la siguiente edicin de estos marcos a la
que suelen responder los principales actores internacionales y gurs en la materia.
El proceso de seleccin del equipo de revisin es especfico de cada institucin, as
como el procedimiento de edicin de la nueva versin del marco de referencia.
Como se puede intuir hay que ser un autentico especialista en la materia para comprender los diversos esquemas y estructuras que se han ido creando alrededor de la
normalizacin y marcos de mejores prcticas. Por la vinculacin con la temtica de
este libro se explican los procesos de creacin de las normas ISO/IEC y de las normas UNE espaolas:
Ciclo de creacin de las normas ISO/IEC. Una norma internacional se desarrolla en el mbito de los comits tcnicos y de los subcomits tcnicos de ISO y de
IEC. El proceso sigue seis etapas: propuesta, preparatoria, comit, consulta, aprobacin y publicacin. En este proceso, el documento propuesta de norma pasa por
tres estados que indican el grado de aceptacin y apoyo que se va alcanzando de los
diversos borradores:
CD (Committee Draft): es un borrador generado por un grupo de trabajo,
que ha recibido la aprobacin del grupo y se remite al comit correspondiente para su aprobacin.
DIS (Draft of International Standard): es el borrador de norma internacional que el comit de normalizacin ha aprobado y somete a comentarios y
votacin por parte de los pases.
FDIS (Final Draft of International Standard): es el borrador final de la
norma internacional, que el comit enva para su aprobacin final a todos los
miembros para su publicacin final como norma internacional.
En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. En la
etapa 3 se aprueba el borrador para pasar al estado de borrador de comit (DIS)
que ser sometido a aprobacin en la etapa 4 o de consulta. As, el borrador aprobado pasa al estado de borrador final de norma internacional (FDIS) que ser
sometido para su aprobacin definitiva en la etapa 5.
Adems, existe el procedimiento rpido de aprobacin, o fast-track, para documentos con un grado alto de madurez, como es el caso de normas locales que se quieran elevar a internacionales. En este caso, primero se somete a una votacin para

01

0
27

BIT

CO

30

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasar
directamente como DIS a la etapa 4. Normalmente el procedimiento rpido puede
durar un ao, mientras que el normal suele durar entre 2 y 3 aos, dependiendo de
la dificultad de alcanzar el consenso en las diversas etapas.
Ciclo de creacin de las normas UNE espaolas. El proceso de elaboracin de
una norma UNE est sometido a una serie de fases que permiten asegurar que el
documento final es fruto del consenso, y que cualquier persona, aunque no pertenezca al comit de AENOR, productor de la norma, pueda emitir sus opiniones o
comentarios. Tras la aprobacin del proyecto final de norma por un Comit Tcnico de Normalizacin, el Boletn Oficial del Estado (BOE) publica la relacin
mensual de proyectos UNE sometidos a un perodo de Informacin Pblica,
durante el cual cualquier persona o entidad interesada podr presentar observaciones. Las observaciones deben realizarse a AENOR. Una vez analizados los comentarios recibidos en esta fase, el comit redactar el texto final, que ser aprobado y
publicado como norma UNE por AENOR.
En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional.
Proceso de elaboracin de una
norma ISO/IEC internacional

Proceso de elaboracin de una


norma UNE espaola

1. Etapa de propuesta
Se elabora la propuesta de norma

1. Trabajos preliminares

2. Etapa preparatoria
Se consensa el borrador CD

2. Elaboracin del proyecto de


norma en el seno de un Comit
Tcnico de Normalizacin (CTN)

3. Etapa de comit
El comit aprueba CD DIS

3. Envo de la norma al BOE


para informacin pblica

4. Etapa de consulta
DIS se somete a consulta

4. Elaboracin y aprobacin por el


CTN de la propuesta final de norma

5. Etapa de aprobacin
Se aprueba DIS FDIS

5. Aprobacin de la propuesta final


por AENOR

6. Etapa de publicacin
FDIS se edita como norma ISO

6. Publicacin de la nueva
norma UNE

Fuente: ISO y e.p.

Fuente: AENOR

Figura 1.3. Procedimientos de creacin de normas internacionales y nacionales

A continuacin, se presenta una visin general de los principales actores en este


mbito normativo que tienen cierta relevancia en la gestin de las TI, aunque no
pretende ser un tratado exhaustivo.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

31

Organismos de normalizacin internacionales


ISO (International Organization for Standardization, Organizacin Internacional
de Normalizacin). Es el organismo de normalizacin oficial reconocido a nivel
internacional. Su objetivo es poner a disposicin de la industria un catlogo de normas sobre productos y servicios que se puedan utilizar para dar garanta de unos
niveles de calidad preestablecidos. Fue creado en febrero de 1947 y tiene su sede en
Ginebra. Cuenta en la actualidad con la representacin de 153 pases. Tiene como
objetivo lograr la coordinacin internacional y la unificacin de las normas de la
industria. Coopera estrechamente con la IEC.
IEC (International Electrotechnical Commission, Comisin Electrotcnica Internacional). Es la organizacin internacional centrada en la normalizacin de los mbitos elctrico, electrnico y de tecnologas relacionadas. ISO e IEC cooperan estrechamente en campos de inters mutuo, especialmente en el mbito de las TI en el
que desarrollan normas de forma conjunta, las denominadas ISO/IEC.
UIT (International Telecommunication Union, Unin Internacional de Telecomunicaciones). Organismo internacional encargado de la elaboracin de recomendaciones para el sector de las telecomunicaciones.

Organismos de normalizacin europeos


CEN (European Committee for Standardization, Comit Europeo de Normalizacin). Es el organismo espejo de ISO a nivel europeo. Est centrado en la normalizacin en todos los campos excepto en el elctrico y en el de telecomunicaciones.
CENELEC (European Committee for Electrotechnical Standardization, Comit
Europeo de Normalizacin Electrotcnica). Es el organismo espejo de IEC a nivel
europeo. Est dedicado a la normalizacin en el mbito elctrico y electrnico.
ETSI (European Telecommunications Standards Institute, Instituto Europeo de
Normas de Telecomunicacin). Organismo equivalente a la UIT para Europa,
cuyo campo de actividad se centra en las telecomunicaciones y comunicaciones
electrnicas.

Organismos de normalizacin nacionales


AENOR (Asociacin Espaola de Normalizacin y Certificacin). Es el organismo que desarrolla la actividad de normalizacin en Espaa. Es una organizacin
privada, independiente y sin nimo de lucro, reconocida en los mbitos nacional,

01

0
27

BIT

CO

32

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

europeo e internacional para el desarrollo de actividades de normalizacin y certificacin (N+C) en un mbito multisectorial. Cuenta en la actualidad con ms de 20
centros operativos repartidos en: Espaa, Mxico, Chile, El Salvador, Italia, Portugal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el desarrollo de las actividades de N+C, a mejorar la gestin de la calidad en las empresas, sus productos y servicios, proteger el medio ambiente y, con ello, lograr el
bienestar de la sociedad en su conjunto.
BSI (British Standards Institute). Organismo de normalizacin del Reino Unido.
Es destacable su actividad en la elaboracin de nuevas normas en el mbito de la
gestin de las TI. Creador de la serie de normas BS 15000, base sobre la que se han
definido las actuales Normas ISO/IEC 20000.
En general, cada pas tiene su propio organismo de normalizacin, entre otros
podemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA en
Australia, etc.
Otros organismos de habla hispana, con los que AENOR mantiene una estrecha
colaboracin motivada, entre otras cosas, por la traduccin conjunta de normas
internacionales al espaol, son: IRAM en Argentina, INN en Chile, DGN en
Mxico, INDECOPI en Per, etc.

Los gobiernos
Es importante destacar el papel activo de los gobiernos, instituciones gubernamentales y administraciones pblicas en el campo de la normalizacin, pues desempean un triple papel: como sustento de la actividad de normalizacin mediante subvenciones a los organismos de normalizacin, como impulsores de algunas
iniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bien
estableciendo una regulacin o bien en su papel de cliente contratante de servicios
al sector de las TIC.
Entre estos organismos destacan el Ministerio de Comercio Britnico (OGC, Office
of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y
el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense)
como impulsor de CMMI.

Organismos de acreditacin
Las entidades nacionales de acreditacin son entidades independientes cuya funcin es la acreditacin de entidades certificadoras y laboratorios de ensayo. Es decir,

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

33

el reconocimiento formal de que una organizacin es competente para la realizacin de una determinada actividad de evaluacin de la conformidad o la realizacin
de un ensayo determinado.
Las organizaciones que podemos destacar son:
Internacionalmente: IAF (International Accreditation Forum).
En Europa: EA (European Cooperation for Accreditation).
En Espaa: ENAC (Entidad Nacional de Acreditacin en Espaa).
En el Reino Unido: UKAS (United Kingdom Accreditation System).
IQNet. Un papel parecido a la acreditacin lo realiza la Red Internacional de Certificacin (IQNet, International Certification Network), asociacin formada por las
entidades de certificacin lderes en la certificacin de empresas en sus respectivos
pases. Entre sus objetivos estn:
El reconocimiento y promocin de los certificados expedidos por sus miembros en todos los sectores industriales y de servicios.
La coordinacin de los procesos de certificacin de empresas que operan en
distintos pases.
Normalmente, los certificados locales emitidos por las entidades certificadoras van
acompaados de el reconocimiento internacional de IQNet.

Entidades certificadoras
Para que las empresas puedan demostrar a nivel nacional e internacional que cumplen las normas, necesitan un certificado. Se trata de un instrumento para verificar
la correcta implantacin de las normas.
La obtencin del certificado se realiza mediante un proceso de evaluacin independiente por parte de una entidad certificadora o de certificacin. Un requisito
importante que asegura la solvencia para que una entidad pueda conceder una
marca de certificacin es que dicha entidad sea competente para certificar los
productos, los servicios, los sistemas de gestin o las personas, a los que se aplica la
marca de certificacin.
Los organismos de acreditacin son los encargados de acreditar a las entidades de
certificacin. Las entidades de certificacin utilizan los servicios profesionales
de los auditores.

01

0
27

BIT

CO

34

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Marcas de certificacin
Las marcas de certificacin las conceden las entidades correspondientes a los productos, sistemas y servicios que cumplen con los requisitos definidos.
La certificacin, en base a normas, tiene su reflejo en los distintivos de certificacin, cuya concesin significa que el producto o servicio ha pasado por el adecuado
proceso de certificacin de forma satisfactoria. Cuando, por ejemplo, se trata de
una marca de seguridad, la concesin de la marca significar que cumple los requisitos de seguridad, segn la norma de referencia.
En un producto con certificado de calidad, la etiqueta puede contener distintos
logotipos (vase la figura 1.4) dependiendo de la entidad que otorgue el certificado.

Figura 1.4. Ejemplos de marcas de certificacin de sistema y de producto


en el caso de AENOR

En el Reino Unido se ha desarrollado una marca de certificacin especfica para


ISO/IEC 20000, segn un acuerdo interno entre UKAS (organismo de acreditacin
de ese pas) e itSMF-UK (captulo ingls del itSMF, Information Technology Service
Management Forum), con un reglamento especfico (esquema de certificacin). Por
el contrario, en la mayora de los pases, la certificacin ISO/IEC 20000 transcurre
por los caminos habituales de la certificacin del pas, con marcas especficas de cada
entidad certificadora, y regulado por el organismo de acreditacin del pas.

Auditores
Los auditores son los nicos profesionales acreditados para realizar la auditora del
cumplimiento de los requisitos de una norma por una organizacin. La calificacin
de auditor se concede nicamente a los candidatos que demuestren experiencia
suficiente y hayan pasado los exmenes exigidos para ello.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

35

En el caso de la Norma ISO/IEC 20000-1, existe una acreditacin especfica de


auditor otorgada por UKAS e itSMF-UK a profesionales con amplia experiencia,
tras superar un curso en entidades de formacin acreditadas y superar el examen al
respecto. Esta acreditacin de auditor est vinculada al esquema de certificacin
conjunto de UKAS e itSMF-UK.

Consultores
Los consultores asesoran, bien a las organizaciones o entidades que quieren
implantar las normas, o bien, una vez implantadas, que desean certificarse. Para
esta funcin existe una acreditacin profesional especfica. La formacin que reciben les permite adquirir un nivel suficiente de conocimiento de la normas, del
esquema de certificacin y de su aplicacin.
Los consultores asisten a las organizaciones en la interpretacin y aplicacin de la
normas, as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestin del
servicio. Asimismo, el consultor externo puede efectuar una evaluacin de los niveles de gestin del servicio y establecer el nivel de preparacin necesario para una
solicitud de certificacin y su posterior consecucin.
Actualmente, existe una acreditacin de consultor ISO/IEC 20000 otorgada por entidades de formacin acreditadas por UKAS e itSMF-UK. Otros organismos que regulan la formacin profesional (EXIN, APMG) tambin estn entrando en este campo.

Las organizaciones alrededor de ITIL


ITIL (Information Technology Infrastructure Library, Biblioteca de Infraestructuras
de Tecnologas de la Informacin) es el compendio de las mejores prcticas en la
gestin de TI ms extendido y ampliamente aceptado por la industria.
La estrecha relacin entre los contenidos de las Normas ISO/IEC 20000 y los
libros ITIL, hace relevante conocer cules son los principales miembros de este
ecosistema creado para la difusin y evolucin de estas prcticas:
OGC (Office of Government Commerce, Oficina de Comercio del Gobierno). Oficina dependiente del Ministerio de Economa y Hacienda britnico, responsable de
un amplio programa para mejorar la eficiencia de las empresas. Este organismo
(antes denominado CCTA) fue el creador de ITIL a finales de los aos 80.
TSO. Editorial inicialmente vinculada al entorno gubernamental britnico, centrada
en la publicacin de libros y documentacin producida en este mbito. Fue privatizada en 1996 y ha sido comprada por el grupo Williams Lea en enero de 2007.

01

0
27

BIT

CO

36

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

TSO se encarga de la publicacin impresa y online de los libros ITIL, gestionando


sus derechos de propiedad intelectual.
itSMF International (Information Technology Service Management Forum, Foro
internacional para la Gestin del Servicio de TI). Creado en el Reino Unido en
1991, es una red mundial de grupos de usuarios de TI que ofrecen mejores prcticas y guas basadas en normas para la provisin de servicios de TI. La organizacin internacional coordina las actividades de los captulos locales y apoya al desarrollo y difusin de las evoluciones de ITIL.
itSMF est presente en pases como: Francia, Blgica, Alemania, Portugal, Noruega, Japn, Brasil, Dinamarca, Austria, Finlandia, Canad, EEUU, Singapur,
Australia, Italia, Hungra, Rumania, Suecia, Argentina, Espaa, etc.
itSMF Espaa. Captulo espaol de itSMF. Constituido como una asociacin sin
nimo de lucro, acta como una comunidad de usuarios. Centra sus intereses en las
prcticas y metodologas de gestin y gobierno de las TI. Tiene como objetivo ayudar a las organizaciones a adoptar soluciones de gestin de servicios TI e impulsar
la adopcin de las mejores prcticas.

Certificacin profesional privada en el mbito de la


gestin del servicio
Alrededor de la difusin de las mejores prcticas de gestin del servicio de TI se
ha ido creando una oferta de servicios de formacin para los profesionales, denominadas privadas por no tener asociadas un reconocimiento oficial del Estado,
pero muy apreciadas en el mundo empresarial. No se debe confundir esta certificacin individual de profesionales con la certificacin de organizaciones o proveedores de TI.
En el mbito de ITIL, las certificaciones profesionales tienen gran tradicin. Se ha
evolucionado del esquema anterior de certificaciones de ITIL v2 en tres niveles
(Foundation, Clusters y Service Manager) a uno nuevo en ITIL v3 basado en una
estructura ms flexible de cuatro capas: Foundation para los conocimientos generales iniciales, Intermediate para el conocimiento en ms detalle de uno o varios de
los libros del ciclo de vida o de agrupaciones de procesos, ITIL Expert que capacita
para la gestin integral de los servicios que requiere haber realizado un conjunto de
cursos Intermediate e ITIL Master, mximo grado de certificacin que ratifica la
capacidad de analizar y aplicar los conceptos ITIL a nuevas reas. La calidad de las
empresas de formacin y el control de los exmenes los gestiona APM Group, a
quin la OGC ha otorgado en 2006 la gestin de la acreditacin de la formacin
relacionada con la marca ITIL.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

37

En el mbito de ISO/IEC 20000, la aparicin de estos esquemas de certificacin


profesional garantizados es ms reciente, destaca la iniciativa de EXIN (Examination
Institute for Information Science), pero posiblemente aparecern otros, ya que el
entorno de normativa internacional no ejerce el concepto de propietario de marca.

1.4. Las principales normas y buenas prcticas


en TI
Las Normas ISO/IEC 20000
Dado que estas normas se tratan en profundidad en el resto del libro, nicamente se presenta en la figura 1.5 un esquema general de su estructuracin en
14 procesos (los 13 procesos descritos en los captulos 6 al 10 de las normas,

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad

Gestin de nivel de servicio

Gestin de la
continuidad y
disponibilidad
del servicio

Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

Fuente: UNE-ISO/IEC y e.p.

Figura 1.5. Esquema general de los procesos de ISO/IEC 20000

01

0
27

BIT

CO

38

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

junto al proceso del captulo 5 Planificacin e implementacin de nuevos servicios o de servicios modificados). Adems, las normas incluyen dos aspectos
muy importantes: el sistema de gestin y la planificacin e implementacin de
la gestin del servicio.
En el mbito de los servicios de TI, resulta esencial que los servicios se provean
en un marco de gestin eficaz y de calidad, para entender claramente los requisitos y gestionar su cumplimiento. Las Normas ISO/IEC 20000 articulan el proceso de prestacin de los servicios engranados sobre un sistema de gestin del
servicio (vase el captulo 3). El proceso de mejora continua establecido por la
Norma ISO 9001 para la fabricacin de productos o prestacin de servicios
(siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar Plan, Do, Check,
Act), tambin se incorpora en esta norma como un motor de la mejora continua
de los servicios de TI (vase el captulo 4).

La serie ISO 9000, normas de calidad


Segn el diccionario de la Real Academia Espaola, la calidad se define como la propiedad o conjunto de propiedades inherentes a algo que permiten juzgar su valor.
El aseguramiento de la calidad nace como una evolucin natural del control de calidad, que resultaba limitado y poco eficaz para prevenir la aparicin de defectos.
Para ello, se hizo necesario crear sistemas de calidad que incorporasen la prevencin como forma de funcionamiento y gestin, y que, en todo caso, sirvieran para
anticiparse a los errores antes de que estos se produjeran.
Un sistema de gestin de la calidad se centra en garantizar que el producto o el
servicio ofrecido por una organizacin cumple con las especificaciones establecidas
previamente por la empresa y el cliente, y as, asegurar unos niveles de calidad predecibles y su mejora continua a lo largo del tiempo.
El sistema de gestin de la calidad general es el conjunto de elementos interrelacionados de una empresa u organizacin por los cuales se organiza y planifica el trabajo de la misma en la bsqueda de la satisfaccin de sus clientes. Sus elementos
principales son:
La estructura de la organizacin.
Sus procesos.
Sus documentos.
Sus recursos.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

39

ITIL (Information Technology Infrastructure Library)


Es un conjunto de publicaciones que recogen las buenas prcticas en la gestin de
servicios de las TI. Define un modelo de procesos bastante amplio que abarca
desde la definicin de la estrategia hasta la gestin de las infraestructuras. El xito y
la fama de ITIL se han fundamentado en la calidad de sus buenas prcticas y en la
flexibilidad para que las empresas pudieran adaptarlas a sus necesidades.
Entre 1989 y 1992, la versin 1 de ITIL se centraba en la gestin de la tecnologa
y estaba claramente orientado al entorno mainframe. Paulatinamente, las prcticas
fueron evolucionando hacia procesos y servicios. ITIL, en su versin 2 (de principios del ao 2000), se estructuraba en 7 libros bsicos (adems, hay uno nuevo de
dedicado al inventariado o a la gestin de activos software y otro enfocado a implementaciones en organizaciones de TI de menor escala como en pymes). En la
figura 1.6 se muestra la evolucin histrica de ITIL y la aparicin de ISO/IEC
20000 en los ltimos aos.

BS 15000

1986

IBM,s
ISMA

1989

itSMF

2000

ITIL v1:
42 libros

ITIL v2:
7 libros

ISO/IEC
20000

UNE-ISO/
IEC 20000

2005

2007

Creacin
itSMF Espaa

Evolucin
ISO/IEC 20000

ITIL v3:
5 libros

ITIL v0:
Service Level
Management

Figura 1.6. Historia de la evolucin de la normativa de gestin del servicio de TI

01

0
27

BIT

CO

40

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

ITIL v2 se ha utilizado como base para la creacin de las Normas ISO/IEC 20000.
En la figura 1.7, se muestra una representacin tpica de ITIL v2. En ella se puede
apreciar el negocio a la izquierda del todo, en el extremo derecho se sita la tecnologa, y, en medio, haciendo que la tecnologa sea til para el negocio estn los procesos ITIL. De ellos, los dos libros ms valiosos por su contenido y ms aceptados
por el mercado son los relativos a la gestin de servicio (libros Soporte de Servicio y
Provisin de Servicio publicados por OGC).

Planificacin de la implantacin de gestin del servicio


Perspectiva
de negocio

Soporte de servicio

Gestin relacin
con negocio
E
L
N
E
G
O
C
I
O

Centro atencin usr.

Gestin relacin
proveedores
Planificacin
y desarrollo
arquitectura TI
Relacin
formacin y
comunicacin
de TI con el
negocio

Gestin de
infraestructuras TIC

Gestin de servicio

Diseo y
planificacin

Incidente

Despliegue

Problema

Operacin

Configuracin
Financiero

Cambio

Continuidad

Entrega

Soporte tcnico

Disponibilidad
Capacidad
G. nivel de servicio
Provisin de servicio

Gestin de aplicaciones
Requerimientos
Disear y construir
Despliegue
Operar

Gestin
de activos
Gestin de
la seguridad
Planificar

L
A
T
E
C
N
O
L
O
G

Implementar
Evaluar
Mantener
Controlar

Optimizar

Fuente: Libro ITIL Soporte de Servicio publicado por OGC y e.p.

Figura 1.7. Procesos definidos en los libros ITIL v2

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

41

La versin 3 de ITIL, que apareci a mediados de 2007, respeta los principales


procesos del soporte y de la provisin del servicio ya definidos en la versin anterior. Tambin saca a la luz mucha de las actividades de gestin de TI no reflejadas
anteriormente, ampliando su alcance a ms de 20 procesos. Esta versin pone
mayor nfasis en la integracin de TI con el negocio. Se estructura en torno al ciclo
completo de creacin de servicios: estrategia, diseo, transicin, operacin y
mejora continua (vase la figura 1.8).

Diseo
del servicio

Operacin
del servicio

Estrategia
del servicio

ITIL v3

n
ici icio
s
an rv
Tr l se
de

Mejora
del servicio
Fuente: Libro ITIL Estrategia del Servicio publicado por OGC y e.p.

Figura 1.8. La estructura de los libros ITIL v3 se articula


segn el ciclo de vida de los servicios

01

0
27

BIT

CO

42

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El conjunto de temtica y procesos tratados en ITIL v3 se muestra en la figura 1.9.

ESTRATEGIA

DISEO

Estrategia del servicio


Generacin de la estrategia

TRANSICIN

OPERACIN

Diseo del servicio

MEJORA
CONTINUA

Transicin del servicio

Gestin financiera de TI

Diseo de servicios nuevos o


modificados

Planificacin y soporte de la
transicin

Gestin de la demanda

Gestin del catlogo de servicios

Gestin de cambios

Gestin del porfolio de servicios

Gestin de nivel de servicio

Gestin de la configuracin y
de activos del servicio

Gestin de la capacidad
Gestin de la disponibilidad
Gestin de la continuidad del
servicio TI
Gestin de la seguridad de la
informacin

Gestin de versiones y
despliegues

Validacin y pruebas del servicio


Evaluacin
Gestin del conocimiento

Gestin de suministradores
Mejora continua del servicio

Operacin del servicio

El proceso de mejora
en 7 etapas

Procesos:

Informes del servicio

Gestin de incidencias

Medicin del servicio

Gestin de peticiones

Retorno de inversin para la


mejora

Gestin de problemas

Preguntas al negocio para


la mejora
Gestin de nivel de servicio

Gestin de eventos

ITIL v3

Gestin de accesos
Funciones:
Centro de servicio al usuario
Gestin tcnica
Gestin de operaciones TI
Gestin de aplicaciones

Fuente: Libros ITIL v3 publicados por OGC y e.p.

Figura 1.9. Contenido de las cinco etapas del ciclo de vida


de los servicios en ITIL v3

Otras normas y metodologas relacionadas son: COBIT para la auditora y


gobierno de TI, ISO/IEC 27001 para la seguridad, CMMI e ISO/IEC 15504
(SPICE) como modelos de madurez del desarrollo del software. En los apartados
siguientes se presenta una introduccin a ellas.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

43

COBIT (Control objectives for information and related


technology)
Es un conjunto de mejores prcticas e indicadores para el control y auditora de los
sistemas de informacin. Fue creado por ISACA (Information Systems Audit and
Control Association) y el ITGI (IT Governance Institute) y ha ido extendiendo su
alcance hacia las mtricas de TI y las disciplinas de gobierno de las TI.
La primera edicin fue publicada en 1996, la segunda en 1998, la tercera en 2000
y la cuarta en Diciembre de 2005.
COBIT 4 se estructura en cuatro dominios que cubren un total de 34 objetivos
principales de control (denominados tambin procesos), que permiten garantizar
un adecuado sistema de gobierno para el entorno de las TI. En la figura 1.10 se
muestran estos dominios.
Planear y organizar

Monitorizar y evaluar
ME1 Monitorizar y evaluar el desempeo
de TI

PO1 Definir el plan estratgico de TI

ME2 Monitorizar y evaluar el control interno

PO3 Determinar la direccin tecnolgica

ME3 Garantizar cumplimiento regulatorio

PO4 Definir procesos, organizacin y


relaciones de TI

PO2 Definir la arquitectura de la informacin

ME4 Proporcionar gobierno de TI

PO5 Administrar la inversin en TI


PO6 Comunicar las aspiraciones y la
direccin de la gerencia
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los
incidentes

del
icin
Med mpeo
dese

DS3 Administrar desempeo y capacidad

in
ac ca
ine tgi
l
A ra
t
es

En
de treg
va a
lor

Gobierno
de TI

Administracin
de recursos

Adm
inis
de r tracin
iesg
os

Entregar y dar soporte

PO7 Administrar recursos humanos de TI


PO8 Administrar calidad
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos

Adquirir e implantar
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el software aplicativo

DS9 Administrar la configuracin

AI3 Adquirir y mantener la infraestructura


tecnolgica

DS10 Administrar los problemas

AI4 Facilitar la operacin y el uso

DS11 Administrar los datos

AI5 Adquirir recursos de TI

DS12 Administrar el ambiente fsico

AI6 Administrar cambios

DS13 Administrar las operaciones

AI7 Instalar y acreditar soluciones y cambios

Fuente: ISACA.

Figura 1.10. Los 4 dominios de COBIT para el gobierno de TI

01

0
27

BIT

CO

44

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En el mbito de la certificacin de los profesionales, en 2008 ISACA ha puesto en


marcha la certificacin en el gobierno de las TI (CGEIT, Certified in the Governance
of Enterprise IT). Adems, existe la acreditacin a ttulo profesional para auditor de
las TI (CISA, Certified Information Systems Auditor) y la relativa a la seguridad
de las TI (CISM, Certified Information Security Manager).
Vinculado a COBIT, y con el fin de desarrollar las prcticas para la medicin de del
valor de la contribucin de TI al negocio, ISACA ha creado el marco Val IT.

ISO/IEC 27001 e ISO/IEC 17799 para la seguridad


de las TI
El objetivo de la gestin de la seguridad de la informacin es asegurar la continuidad de las operaciones de la organizacin y reducir al mnimo los daos causados
por una contingencia, as como, optimizar la inversin en tecnologas de seguridad.
ISO/IEC 27001 establece los principios de: integridad, disponibilidad y continuidad de la informacin. Proporciona un modelo para la creacin, implementacin,
operacin, supervisin, revisin, mantenimiento y mejora de un sistema de gestin
de la seguridad de la informacin (SGSI). Esta norma establece un conjunto de 30
actividades para la gestin de la seguridad, define 11 reas principales de control,
para cada una establece 39 objetivos de control y 133 controles (o medidas de salvaguarda) de seguridad. Las reas de control son:
rea: 5. Poltica de seguridad.
rea: 6. Aspectos organizativos de la seguridad de la informacin.
rea: 7. Gestin de activos.
rea: 8. Seguridad ligada a los recursos humanos.
rea: 9. Seguridad fsica y ambiental.
rea: 10. Gestin de comunicaciones y operaciones.
rea: 11. Control de acceso.
rea: 12. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.
rea: 13. Gestin de incidentes de seguridad de la informacin.
rea: 14. Gestin de la continuidad del negocio.
rea: 15. Cumplimiento.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

45

En la figura 1.11 se muestra la estructura de actividades propuesta en la norma.

Ciclo PDCA

Plan

Modelo en ISO/IEC 27001

Planificar
Do

Act

Hacer

Actuar
Check
Verificar

Planificar

4.2.1 Creacin del SGSI

Hacer

4.2.2 Implementacin y operacin del SGSI

Verificar

4.2.3 Supervisin y revisin del SGSI

Actuar

4.2.4 Mantenimiento y mejora del SGSI

Figura 1.11. Estructura de actividades de ISO/IEC 27001

ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002) recoge un cdigo
de buenas prcticas para la gestin de la seguridad de la informacin. Se centra en
desarrollar los objetivos de control de la seguridad, y para cada uno de ellos, se
indica una gua para su implantacin. Cada organizacin debe considerar cuntos
sern realmente los aplicables segn sus propias necesidades.

CMMI (Capability Maturity Model Integration)


CMMI es una evolucin de estndar inicial CMM, que fue desarrollado por el SEI
(Software Engineering Institute) de la universidad Carnegie Mellon, en 1986. Fue
iniciado en respuesta a la peticin del Gobierno de los EEUU (Departamento de
Defensa, DoD) de proporcionar un mtodo para controlar la capacidad de desarrollo de software de sus contratistas.
Originalmente, fue diseado para su uso por los desarrolladores de software, pero
hoy se ha ampliado, proporcionando un modelo completo de evaluacin de la
madurez de las actividades de desarrollo de aplicaciones de una organizacin. Este
modelo est estructurado y repleto de prcticas de gran utilidad para la mejora de
las actividades de una organizacin de TI.
En la figura 1.12 se muestra la estructura de las prcticas de CMMI en cuatro reas
denominadas constelaciones. Cada una de estas constelaciones se pueden considerar equivalentes a un libro de ITIL. En el modelo CMMI a los procesos se les denomina rea de proceso (PA, Process Area). Se establece una constelacin comn
(CMMI Fountation) que contiene los procesos que son comunes, una especfica

01

0
27

BIT

CO

46

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

CMMI
for Services

CMMI
Foundation
CMMI for
Development

16 reas
de proceso
comunes

CMMI for
Acquisition

Figura 1.12. Constelaciones (reas o libros) de CMMI

para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisiciones (CMMI for Adquisition) y una nueva para la prestacin de servicios (CMMI
for Services).
CMMI describe cinco etapas evolutivas (niveles) en las cuales una organizacin se
sita segn la madurez de sus procesos:
1. Inicial (Initial). Los procesos son caticos; pocos procesos estn realmente
definidos.
2. Repetible (Repeatable). Se establecen los procesos bsicos y se observa cierto
nivel de disciplina respecto a ellos.
3. Definido (Defined). Todos los procesos estn definidos, documentados, normalizados e integrados.
4. Gestionado (Managed). Los procesos se miden recogiendo datos detallados
de los mismos.
5. En optimizacin (Optimizing). La mejora de los procesos es continua y proporciona nuevas ideas y oportunidades.
Con la publicacin en Marzo del 2009 de CMMI for Services, el SEI tambin entra
en el mbito de la gestin del servicio, con bastante solape con ITIL e ISO/IEC
20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

47

Las 24 reas de proceso (PA) en CMMI-SVC


Support

Service Establishment and Delivery

Causal Analysis and Resolution (CAR)

Incident Resolution and Prevention (IRP)

Configuration Management (CM)

Service Delivery (SD)

Decision Analysis and Resolution (DAR)

Service System Development (SSD)

Measurement and Analysis (MA)

Service System Transition (ST)

Process and Product Quality Assurance (PPQA)

Strategic Service Management (STSM)

Process Management

Project Management

Organizational Innovation and Deployment (OID)

Capacity and Availability Management (CAM)

Organizational Process Definition (OPD)

Integrated Project Management (IPM)

Organizational Process Focus (OPF)

Project Monitoring and Control (PMC)

Organizational Process Performance (OPP)

Project Planning (PP)

Organizational Training (OT)

Requirements Management (REQM)


Risk Management (RSKM)
Quantitative Project Management (QPM)
Service Continuity (SCON)
Supplier Agreement Management (SAM)
Fuente: SEI.

Figura 1.13. Los procesos definidos en CMMI para servicios (CMMI-SVC)


en su versin 1.2

ISO/IEC 15504 (SPICE, Software Process Improvement


and Capability dEtermination)
En el mbito del desarrollo del software en enero de 1993 en el seno del comit conjunto de ISO e IEC, surge el proyecto SPICE para el desarrollo de un estndar
internacional para la evaluacin de los procesos de construccin del software. El
resultado de este trabajo se plasm en la serie de normas ISO/IEC 15504, que presentan un modelo de referencia que describe los procesos de una organizacin para
ejecutar, adquirir, desarrollar, operar, evolucionar y proporcionar soporte al software. Este marco es la respuesta de la normativa internacional al modelo de madurez CMMI for Development y en muchos aspectos se solapa.
La arquitectura del modelo organiza las prcticas en nmeros de categoras utilizando diferentes tipos de aproximaciones. La arquitectura distingue entre:

01

0
27

BIT

CO

48

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Prcticas base. Actividades esenciales de un proceso especfico, agrupado


por categoras de procedimientos y procesos de acuerdo al tipo de actividad.
Prcticas genricas. Aplicables a cualquier proceso, que representa las
actividades necesarias para administrar el proceso y mejorar su potencialidad.
El modelo agrupa a los procesos en cinco categoras:
Procesos cliente-proveedor (customer-supplier). Esta categora consta de los
procesos que directamente impactan al cliente, al soporte de desarrollo y a la
transicin del software al cliente.
Procesos de ingeniera (engineering). Esta categora consta de los procesos
que directamente especifican, implementan, y mantienen un sistema, un producto de software y la documentacin del usuario.
Procesos de proyecto (project). Esta categora consta de los procesos establecidos dentro del proyecto, coordinacin y administracin de los recursos
para producir un producto o proveer un servicio para satisfacer al cliente.
Procesos de soporte (support). Esta categora consta de los procedimientos
que establecen y soportan el desempeo de los otros procesos del proyecto.
Procesos de la organizacin (organization). Esta categora consta de los
procesos que establecen las metas de negocio de la organizacin, los procesos de desarrollo y los recursos que ayudan a la organizacin alcanzar dichas
metas.
En la figura 1.14 siguiente se muestra un esquema con estos procesos:

Procesos cliente-proveedor
Procesos de ingeniera
Procesos de proyecto

Procesos
de soporte

Procesos de organizacin
Fuente: SPICE.

Figura 1.14. Las cinco categoras de procesos definidas en SPICE

50

38

MI

CM

ITIL

00 00
90 200

1. El camino a la excelencia ya existe

49

Existen seis niveles de capacidad en el modelo:


Nivel 0: Incompleto. Sera un fracaso general tratar de aplicar las prcticas
base a los procesos, ya que no es fcil identificar las salidas de los procesos o
el funcionamiento de los productos.
Nivel 1: Realizado. Generalmente se ejecutan las prcticas base de los procesos. La ejecucin de dichas prcticas puede no ser planificada rigurosamente y ni seguida, y depender del conocimiento y esfuerzo personal. Se
identifican algunos procesos.
Nivel 2: Gestionado. Se planifica y se sigue la ejecucin de las prcticas
base en los procesos. El desempeo estar acorde con los procedimientos
especificados. La primera distincin entre el nivel 1 y el 2 es que la ejecucin
de los procesos est planificada y administrada y progresan hacia un modelo
bien definido.
Nivel 3: Establecido. Las prcticas bases se ejecutan de acuerdo a una versin adaptada del estndar. Los procesos estn aprobados, bien definidos y
documentados.
Nivel 4: Predecible. Se recaban y evalan las mediciones detalladas del rendimiento o ejecucin. Se conoce de forma cuantitativa el rendimiento de los
procesos y es posible su prediccin. Las prcticas se administran objetivamente. La calidad de las mismas se conoce cuantitativamente.
Nivel 5: Optimizado. Se establecen en forma cuantitativa procesos y metas
eficientes, basados en los objetivos de la organizacin. Los procesos se van
mejorando de forma continua, mediante la retroalimentacin (feedback)
obtenida por los resultados de procesos definidos, por ideas, por pilotos y
por nuevas tecnologas.

01

0
27

BIT

CO

Captulo 2

Entender las
Normas ISO/IEC 20000

2.1. Introduccin a las Normas ISO/IEC 20000


2.2. Objeto y campo de aplicacin de ISO/IEC 20000
2.3. La estructura de las Normas ISO/IEC 20000
2.4. Relacin entre ISO/IEC 20000 e ITIL

3. Sistema de Gestin del Servicio de TI (SGSTI)


4. Planificacin e implementacin de la gestin del servicio (PDCA)
5. Planificacin e implementacin de nuevos servicios o de servicios modificados

6. Procesos de la provisin del servicio


6.5 Gestin de la capacidad
6.3 Gestin de la
continuidad y
disponibilidad
del servicio

6.1 Gestin de
nivel de servicio

6.6 Gestin de la seguridad


de la informacin

6.2 Generacin de
informes del servicio

6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI

9. Procesos de control
9.1 Gestin de la configuracin

10. Proceso
de entrega

9.2 Gestin del cambio

7. Procesos
de relaciones

10.1 Proceso de gestin


de la entrega

8. Procesos
de resolucin

7.2 Gestin de las


relaciones con el negocio

8.2 Gestin del incidente

7.3 Gestin de
suministradores

8.3 Gestin del problema

Fuente: UNE-ISO/IEC y e.p.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

53

2.1. Introduccin a las Normas ISO/IEC 20000


La serie de Normas ISO/IEC 20000 (UNE-ISO/IEC 20000 en la versin espaola) es el primer conjunto de normativa internacional especfica para la gestin de
los servicios basados en las Tecnologas de la Informacin (TI). Presentan una
organizacin cabal de las principales actividades necesarias para gestionar estos servicios, agrupadas en un conjunto de procesos considerados esenciales para la creacin,
prestacin y evolucin de los servicios de las TI. Al aplicar sus requisitos y recomendaciones, las organizaciones de TI emprendern un camino indudable de
mejora en el control y la calidad de su actividad. Es el primer gran salto hacia la
excelencia demandada por la sociedad a las TI.
Se pueden considerar como normas troncales en la gestin de las TI, pues estructuran en torno a procesos las actividades ms esenciales. Alrededor del eje vertebrador que crean las Normas ISO/IEC 20000 se irn construyendo y transformando
el resto de las funciones de la organizacin de las TI. Sobre este ncleo central,
creado para la gestin de las TI, se irn incorporando otras mejores formas de hacer
proporcionadas por otras normas, otros marcos de mejores prcticas, por la experiencia propia de la empresa o por las aportaciones de consultores externos.
Las Normas ISO/IEC 20000 introducen en la organizacin de las TI una forma de
trabajo metdica, integrada y orientada a los procesos, haciendo especial nfasis en
garantizar la calidad del servicio a los distintos clientes de las TI. Adems, articulan
su implantacin con un sistema de gestin especfico, que incorpora la disciplina y
el rigor de ISO 90000 en la implantacin del modelo de trabajo en las TI.
Las Normas ISO/IEC 20000 forman parte del conjunto de normas producidas por
la Organizacin Internacional de Normalizacin (ISO) y la Comisin Electrotcnica Internacional (IEC). Su adopcin como normas internacionales surge a raz
de la iniciativa de elevar a ISO e IEC las normas britnicas BS 15000 relativas a la
gestin del servicio de las TI. Las Normas ISO/IEC 20000 hoy vigentes se tramitaron en ISO a travs del procedimiento rpido denominado procedimiento fasttrack. Esto quiere decir, que estas normas tienen muchas similitudes con la original, que la duracin del proceso es de aproximadamente un ao, y que ha contado
con la participacin y voto de los representantes nacionales en ISO/IEC.
Las Normas ISO/IEC 20000 se componen de dos partes: la primera es la especificacin para la gestin del servicio y tiene un carcter preceptivo, y la segunda se
establece como un cdigo de buenas prcticas o recomendaciones. Ambas partes
forman un marco para definir las caractersticas de los procesos implicados en la
gestin del servicio, que son esenciales para la prestacin de los mismos con la calidad requerida.

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

54

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Las Normas UNE-ISO/IEC 20000 son las traducciones al castellano de las anteriores ISO/IEC, estn formadas por dos partes publicadas como documentos independientes:
UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del
servicio. Parte 1: Especificaciones. Contiene los requisitos exigibles para cumplir con la norma. Por ello, el verbo de sus frases suele contener un debe,
indicando que el requisito tiene que ser satisfecho para ser acorde con la
norma.
UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del
servicio. Parte 2: Cdigo de buenas prcticas. Esta parte contiene a veces una
extensin o detalle de los requisitos de la parte 1, mientras que en otras ocasiones se desarrollan los requisitos con ms profundidad. La parte 2, utiliza
el condicional debera, que se interpreta como una recomendacin para
satisfacer el requisito de la parte 1, pero quizs no la nica.
Dada la equivalencia entre estas normas ISO/IEC (en ingls) y las normas UNE
(en castellano), a partir de ahora en el libro se utilizar nicamente el trmino
ISO/IEC 20000 para ambas normas.
En la figura 2.1 se muestran los objetivos de cada una de las partes de estas normas
frente al alcance ms amplio del presente libro.
Norma UNE-ISO/IEC 20000-1
Especificaciones

Norma UNE-ISO/IEC 20000-2


Cdigo de buenas prcticas

Requisitos de cumplimiento
obligatorio para certificarse

Detalle de los requisitos.


Necesaria para concretar
el alcance de los requisitos
de la parte 1

Debe

Debera

Este libro
+ ISO/IEC 20000-1
+ ISO/IEC 20000-2
+ ITIL
+ Experiencia de los autores
+ Directrices de implantacin

Figura 2.1. Las dos partes de las Normas ISO/IEC 20000 y su reflejo en
el presente libro

Conviene tener siempre presente que el objetivo de estas normas, y el sentido de su


aplicacin, es mejorar los servicios prestados por las TI. Por ello, hay que entender que
ambas partes contribuyen a ello, y las dos debern ser tenidas en cuenta en este
camino. Adicionalmente, para alcanzar un buen servicio de TI hacen falta bastantes
temas ms, complementarios a las normas, relativos a: el liderazgo y la estrategia, a las
personas y su organizacin, al resto de actividad y de procesos que se deben realizar,

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

55

a la tecnologa y su adecuado dominio, el cambio cultural, a la disposicin de herramientas, etc.


Si ambas partes deben tenerse en cuenta para la mejora del servicio, al abordar un
proceso de certificacin, es cuando habr que discernir entre los requisitos imprescindibles y obligatorios de estas normas y cules de ellos son opcionales. A este respecto, los requisitos que se deben cumplir son los especificados en la parte 1 de la
norma, mientras que la parte 2, unas veces aclara o explica la parte primera, y otras
desarrolla una de las formas posibles de implantar dichos requisitos. Tambin habr
que determinar cul es el criterio de alcance que se debe aplicar a un requisito en
el caso particular de una organizacin (por ejemplo, qu se exigir para cumplir el
requisito de tener una base de datos de la configuracin o CMDB). En el proceso
de implantacin ser el experto el que determine el alcance ms adecuado a la organizacin. Durante el proceso de certificacin ser el auditor quin dar por vlida o
no una evidencia de cumplimiento en funcin de su propio criterio y experiencia.

Diferencia entre norma y regulacin


Una norma, segn define la legislacin espaola (Ley 21/1992), es una especificacin tcnica de aplicacin repetitiva o continuada, cuya observancia no es obligatoria, establecida con la participacin de todas las partes interesadas, que aprueba un
organismo reconocido a nivel nacional o internacional. Mientras que un reglamento tcnico, se refiere a una especificacin tcnica, relativa a productos, procesos
o instalaciones industriales, establecidas con carcter obligatorio a travs de una disposicin de la Administracin, para su fabricacin, comercializacin o utilizacin.
Por tanto, la norma en s misma constituye una recomendacin y no es de obligado
cumplimiento por las organizaciones; su implantacin y cumplimiento es voluntario. La regulacin o reglamentacin pueden exigir el cumplimiento de los requisitos definidos en una norma. Es en este caso cuando la norma pasa a ser de obligado
cumplimiento para las organizaciones afectadas. Hay que recalcar que en el caso de
las Normas ISO/IEC 20000, los requisitos que contienen son exigibles slo al
efecto de certificar la conformidad de una organizacin con ellas de manera voluntaria, no porque exista una ley o regulacin lo exija.

ISO/IEC 20000 se centran en el mbito de gestin de


los servicios de TI
Es importante posicionar adecuadamente las Normas ISO/IEC 20000 dentro de
todo el mbito de la actividad de TI, pues estas normas se centran en un conjunto

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

56

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

esencial de la actividad de gestin de los servicios, pero no abarcan la totalidad de


la actividad de TI.
No son unas normas sobre la tecnologa en s misma, sino que se centran en las
actividades de las personas para gestionarlas (procesos) y en identificar los roles
necesarios para llevarlas a cabo. En la figura 2.2 se muestra que el mbito de estas
normas es la gestin de las TI, por debajo del gobierno de las TI y por encima de
la gestin de equipos de trabajo, las herramientas (aunque influye en ellas y las utiliza) y las capas tecnolgicas.

Fuente: Telefnica.

Figura 2.2. Las Normas ISO/IEC 20000 se centran en las


actividades de gestin de las TI

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

57

El hecho de que estas normas especifiquen los detalles de un total de 14 procesos


(estos 14 procesos sealados, son los recogidos en los apartados 5 a 10 de las normas), no significa que sean estos los nicos a tener en cuenta. Hay que verlos como
actividades fundamentales, pues la industria est en plena efervescencia definiendo
estndares y marcos de mejores prcticas en torno a la gestin de las TI.
Adems de los procesos contemplados en la norma, hay otras disciplinas que hay
que tener en cuenta para lograr la excelencia del proveedor de TI, como son:
La alineacin de TI con las necesidades del negocio.
La gestin de la demanda de las necesidades del negocio.
La planificacin de la cartera anual de proyectos.
La madurez de los procesos de desarrollo y sus metodologas.
El imprescindible conocimiento tcnico.
La arquitectura de las aplicaciones y de la infraestructura.
La renovacin de las infraestructuras.
La calidad de los proveedores y de los servicios contratados.
El liderazgo de la direccin, la motivacin del personal, etc.
Si realizsemos un esquema que reflejara toda la actividad llevada a cabo en TI, las
funciones y los recursos tecnolgicos, tendramos:
Para coronar el esquema, en la parte ms alta, se definiran las actividades de
gobierno de TI: estrategia, alineacin con el negocio, etc.
Por debajo de ellas estaran los procesos de gestin del servicio de TI.
En el siguiente nivel se situaran los equipos que constituyen las fuerzas de
trabajo de TI: con la operacin, funciones tcnicas, el desarrollo de software,
y el resto de especialidades y conocimientos tecnolgicos
A continuacin, aparecera la capa de herramientas: de soporte a la gestin,
de administracin tcnica, de monitorizacin, etc., es decir, las herramientas
que hacen que la actividad sea ms fluida y controlada.
Por ltimo la capa en la base del esquema, que alojara la tecnologa: sistemas, aplicaciones e infraestructura de TI (tecnologa suministrada por los
fabricantes, comunicaciones, edificios para alojarlos, etc.)
En este esquema las normas se posicionaran sobre el rea de la gestin del servicio,
debido a su carcter organizacional y de gestin. En la figura 2.3 se muestra el
esquema con todo su detalle.

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

58

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Fuente: Telefnica.

Figura 2.3. En el mapa de disciplinas de TI, las Normas ISO/IEC 20000


contribuyen a la parte troncal de la gestin del servicio

Principios bsicos de ISO/IEC 20000


Cuando ISO, IEC y las empresas del sector se plantearon la forma de organizar las
actividades en las reas de TI se dieron cuenta que, adems de la omnipresente tecnologa, tenan que poner foco en cuatro principios tradicionalmente relegados
(vase la figura 2.4):
El servicio. Es fundamental orientar las TI hacia el objetivo de prestar servicio
a sus reas de negocio. La actividad de TI se debe estructurar completamente
bajo el concepto de servicio y no centrarse exclusivamente en el dominio de
tecnologas aisladas.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

59

La orientacin al cliente. De forma complementaria a la anterior, los departamentos de TI tienen que desarrollar la capacidad de orientarse al cliente.
Cambiar las formas de trabajar para que los objetivos del negocio sean asumidos como propios. Se pone foco en las relaciones con el negocio y con los
usuarios de los servicios.
La comunicacin interna. Potenciar la comunicacin interna entre las
diversas reas y entre las personas.
Los procesos internos. Organizar la actividad y el trabajo de todo el equipo
para que fluya sin fricciones y al ritmo demandado por el negocio. Todo ello,
dentro de un entorno de calidad y mejora continua.

El servicio
La orientacin al cliente
ISO/IEC 20000

La comunicacin interna
Los procesos internos

Proveedor del servicio TI


u organizacin TI
Figura 2.4. ISO/IEC 20000 introduce en TI cuatro principios

La importancia de los procesos en la provisin de


servicios de TI
En muchas disciplinas de la sociedad, para conseguir que un conjunto de actividades complejas engranen a la perfeccin, se ha desarrollado el enfoque basado en
procesos. Conocer brevemente el concepto de proceso nos ayudar a entender la
forma de actuar para mejorar la organizacin de TI. Tanto las Normas ISO/IEC
20000, como ITIL y otros marcos de referencia estructuran la actividad de TI
entorno a los procesos que cada uno de ellos considera esenciales.
En trminos generales, un proceso se define como conjunto de actividades mutuamente relacionadas o que interactan, las cuales transforman elementos de entrada
en resultados (UNE-EN ISO 9000). Tambin se entiende como una serie de actividades con valor aadido, acciones o tomas de decisin interrelacionadas, orientadas

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

60

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

a obtener un resultado especfico. Todo proceso debe poder representarse mediante


un diagrama de flujo y poder medirse su rendimiento.
Al hablar de procesos nos estamos refiriendo a las diferentes etapas que contribuyen, de una manera ordenada, a la consecucin de un objetivo definido. Por ejemplo, un proceso de fabricacin est constituido por las fases consecutivas necesarias
para la elaboracin de un producto. La disciplina de los procesos se lleva aplicando
desde hace aos en las organizaciones que pretenden que un conjunto de personas
trabaje en equipo; sincronizadas, de una forma repetible y con eficiencia.
La Norma UNE-EN ISO 9001 tambin propone en su introduccin un enfoque
basado en procesos para la mejora de la calidad, que se traduce en la aplicacin de
un modelo de procesos dentro de la organizacin. As, para que una organizacin
funcione de manera eficaz, tiene que identificar y gestionar numerosas actividades
relacionadas entre s. Indica que: una actividad que utiliza recursos y que se gestiona con el fin de permitir que los elementos de entrada se transformen en resultados, se puede considerar como un proceso. Frecuentemente, el resultado de un
proceso constituye directamente el elemento de entrada del siguiente proceso. En
la figura 2.5 se presenta un esquema de ejemplo de un proceso.

Actividades (de valor aadido)


Entradas

Actividad
Tarea 1
Tarea 2
Tarea n

Actividad

Actividad
SUBPROCESO

Actividad

Actividad

Actividad

Tarea 1
Tarea 2

Control

Mecanismos

(actividades de evaluacin)
Indicadores
y KPI

Recursos
Roles

Propietario
del proceso

Objetivos
del proceso

Herramientas

Figura 2.5. Elementos principales que componen un proceso

Salidas

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

61

Segn indica la Norma UNE-EN ISO 9001, una ventaja del enfoque basado en
procesos es el control continuo que proporciona sobre los vnculos entre los procesos individuales dentro del sistema de procesos, as como sobre su combinacin e
interaccin. Un enfoque de este tipo, cuando se utiliza dentro de un sistema de gestin de la calidad, enfatiza la importancia de:
a) La comprensin y el cumplimiento de los requisitos.
b) La necesidad de considerar los procesos en trminos que aporten valor.
c) La obtencin de resultados del desempeo y eficacia del proceso.
d) La mejora continua de los procesos con base en mediciones objetivas.
Introduciendo los procesos en la forma de trabajar, no slo se mejorar el servicio
prestado, sino que adems, se incrementar la satisfaccin del equipo al realizar un
trabajo ms eficaz y organizado.
Normalmente, un proceso est formado por unas entradas, unas actividades y unos
resultados o salidas. Las actividades estn formadas por tareas y controladas
mediante indicadores, que se correspondern a los objetivos definidos del proceso y
ser el rol del propietario del proceso quien asuma las responsabilidades del control.
De forma complementaria, existen unos mecanismos que posibilitan que las actividades se realicen (recursos, roles participantes y herramientas necesarias). Por otra
parte, las actividades pueden agruparse en una serie de subprocesos, para hacer ms
entendible el proceso principal. Un proceso puede necesitar instrumentos, herramientas, formularios o mecanismos para llevarse a cabo, as como, una descripcin
detallada de cada actividad (procedimientos e instrucciones de trabajo).
En el mundo de los procesos, y por lo tanto en ISO/IEC 20000, es muy importante tener presente los principios bsicos que se deben respetar en la definicin y
ejecucin de un proceso para que ste sea efectivo:
Un proceso tiene clientes (internos o externos).
Un proceso tiene un objetivo comprometido.
Un proceso tiene un responsable nico.
Sus actividades cruzan fronteras entre las diferentes unidades de la organizacin.
Un proceso utiliza recursos, su actividad la realizan unos roles y suelen
requerir herramientas que los soporten.
Las Normas ISO/IEC 20000 definen una capa de procesos de TI que aglutina las
principales actividades para que los servicios se provean y presten segn las exigencias

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

62

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

del negocio. Esta capa de procesos se utiliza por la organizacin tradicional de TI,
garantizado que estas actividades esenciales se ejecuten de la forma definida. Para
facilitar el trabajo es necesario implantar un conjunto de herramientas de soporte a
la ejecucin de los procesos (capa de herramientas). Por tanto, la implantacin de
las normas no requiere necesariamente cambiar la estructura organizativa. Aunque
s ser necesaria la definicin detallada de los procesos y de los roles o funciones
especficos, que garanticen que son efectivos. En la figura 2.6 se representan la capa
de procesos ISO/IEC 20000 y la capa de herramientas como instrumentos al servicio de la organizacin de TI y de sus equipos de trabajo.

Fuente: Telefnica.

Figura 2.6. Las Normas ISO/IEC 20000 definen las actividades


principales (procesos) a realizar por la organizacin de TI (equipos de trabajo)

Implantando y haciendo eficientes estos procesos bsicos se conseguir una mejor


organizacin de la sobrecargada actividad de las reas de soporte y una mejora en
la calidad de los servicios prestados.
En las grandes organizaciones, su implantacin suele llevar implcitamente asociada
la creacin de una organizacin matricial en TI, la estructura jerrquica se ve cruzada
por los flujos de los procesos ISO/IEC 20000, que dependen del gerente, gestor o

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

63

responsable de cada proceso. En la figura 2.7 se aprecia un esquema tpico de una


organizacin matricial, en columnas se representan las funciones, los departamentos
o unidades jerrquicas de la empresa, mientras que horizontalmente cruzan a estos
los procesos.

CIO

F1

F2

F3

P1
P2
P3

F: funciones o departamentos
P: procesos
Fuente: Gartner.

Figura 2.7. La implantacin de procesos implica una organizacin matricial

Estas organizaciones matriciales generadas al implantar los procesos, se inician con


un fuerte peso y dominancia de las funciones verticales, para ir evolucionando
segn maduran a dar ms importancia a los procesos, que en su estado final de evolucin acaban dominando la organizacin. De hecho, en ITIL v3, los cinco libros
que lo estructuran invitan a transformar las funciones o departamentos tradicionales en las cinco etapas del ciclo de vida del servicio (estrategia, diseo, transicin,
operacin y mejora continua), al que habra que aadir la construccin (apenas tratada en ITIL v3).

Procedimientos e instrucciones de trabajo


Una vez definido el proceso, puede ser necesario realizar uno o varios procedimientos que permitan su aplicacin en la organizacin. Un procedimiento es el detalle

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

64

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

de cmo aplicar una parte de un proceso. Desarrolla las actividades y tareas que forman un proceso, e incluye una descripcin detallada de cada una de ellas.
Un proceso describe qu hay que hacer y un procedimiento cmo hay que
hacerlo en una situacin concreta. Por ejemplo, un proceso puede establecer que
hay que registrar el incidente en la herramienta de gestin de incidentes, y el procedimiento indicar los pasos a dar en la herramienta concreta de gestin de incidentes, qu hay que poner en cada campo, etc.
La mayor parte de las organizaciones suele completar sus procedimientos con instrucciones de trabajo complementarias, ms detalladas que los procedimientos,
cuyo objetivo es describir, hasta los ltimos detalles necesarios, las tareas descritas
en los procedimientos. Una instruccin de trabajo puede elaborarse en el caso de
que haga falta ms detalle en un procedimiento, por ejemplo, cuando roles distintos tienen instrucciones de trabajo distintas dentro del mismo procedimiento.
Por tanto, procesos, procedimientos e instrucciones de trabajo tienen como finalidad primordial ser utilizadas por el personal en la realizacin diaria de su trabajo.
En el caso concreto de los procesos de gestin de TI, todos los procesos se deben
formalizar, pero la experiencia demuestra que no en todos ellos es productivo bajar
al nivel de detalle de procedimiento o de instruccin de trabajo. En general, ser
til poner nfasis en detallar aquellos procesos en los que:
Se ve involucrado mucho personal.
Se deben engranar un conjunto de actividades, subprocesos y tareas complejos.
Es necesaria una automatizacin minuciosa.
Tpicamente, los procesos que tienen un flujo extenso, y que convendr detallar,
son: la gestin del incidente (y la gestin de la peticin del usuario), la gestin del
cambio, la gestin de la entrega y la gestin de suministradores. Ms all del
alcance de estas normas, ser necesario bajar a nivel del procedimiento en: la operacin, la gestin del evento o la gestin del acceso. En el resto de procesos, para la
mayora de las organizaciones, detallarlos no aportar un valor adicional.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

65

2.2. Objeto y campo de aplicacin de


ISO/IEC 20000
ISO/IEC 20000-1 establece su objeto y campo de aplicacin como:
UNE-ISO/IEC 20000-1
Esta parte de la Norma ISO/IEC 20000 define los requisitos para que un proveedor
del servicio proporcione servicios gestionados de una aceptable calidad a sus clientes.
Puede ser usada:
a) para negocios que solicitan ofertas para sus servicios;
Nota 1: El trmino negocio en esta norma internacional debera interpretarse en un sentido
amplio, abarcando aquellas actividades que son esenciales para alcanzar los fines que
persigue la organizacin.

b) para negocios que requieren de un enfoque consistente por parte de todos sus
proveedores del servicio en la cadena de suministro;
c) por proveedores del servicio para medir y comparar su gestin del servicio
de TI;
d) como base de una evaluacin independiente;
e) por una organizacin que necesite demostrar su capacidad para proveer
servicios que cumplan con los requisitos de los clientes; y
f) por una organizacin que busque mejorar los servicios, mediante la aplicacin efectiva de los procesos para monitorizar y mejorar la calidad de los
servicios.

En relacin a la estructura y tamao del proveedor de TI, debemos indicar que los
requisitos de la norma son totalmente independientes de la estructura de la organizacin o tamao de la misma. Aunque, cuanto mayor sea el tamao del proveedor
o la complejidad de los servicios, mayores beneficios se podrn obtener de la aplicacin de la norma. Un proveedor de servicio debe utilizar la organizacin que le
sea ms apropiada, segn su negocio, su cultura y su estrategia.
Para entender claramente el alcance de estas normas se debe comprender el significado que se otorga a dos conceptos: servicio de TI y proveedor de TI.

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

66

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Comprender el concepto de servicio de TI


Servicio, del latn servitium, se define en el diccionario de la Real Academia Espaola como la: organizacin y personal destinados a cuidar intereses o satisfacer
necesidades del pblico o de alguna entidad oficial o privada, como; servicio de
correos, de incendios, de reparaciones, etc..
En ITIL v3, un servicio se define como un medio de entregar valor a los clientes facilitando los resultados que los clientes quieren lograr sin la necesidad de que tengan la
propiedad de los activos necesarios, ni la responsabilidad de los riesgos asociados.
El trmino servicio ya se da por conocido en estas normas y, por tanto, no se define
en ellas, pero para las reas de TI internas de las empresas no les es fcil encajarlo
en su actividad. Resulta importante profundizar sobre su alcance para poder entender el mbito de aplicacin de estas normas, ya que se centran en establecer los
requisitos necesarios para prestar estos servicios. Con frecuencia se contamina el
concepto de servicio que el negocio o cliente quiere recibir de TI, con los componentes tecnolgicos que lo soportan. En cambio, cuando los servicios se ofrecen al
exterior, es el propio mercado y la competencia los que van perfilando su alcance y
correcta definicin. As, podramos definir servicio como toda contraprestacin por
la que el cliente paga. Pero en el caso de prestacin de servicios internos, su alcance
no est tan claro y hay que hacer un cierto esfuerzo por conceptualizarlo.
En el mbito interno de TI se podra definir servicio como una funcionalidad
necesaria para los usuarios, semejante al concepto utilizado en las relaciones
comerciales del mercado. Se entiende que un servicio de TI es una solucin informtica completa que cubre unas necesidades especficas del negocio, que TI entrega
y mantiene de forma autocontenida y empaquetada, liberando al cliente y a los
usuarios de las complejidades internas de su tecnologa. De esta forma, los servicios
de TI se deben convertir en una parte esencial en la cadena de valor del negocio.
La distincin entre lo que es un servicio de TI y lo que no lo es depende de la agrupacin conceptual que se quiera hacer. Normalmente se sigue el criterio de considerar servicio aquello que claramente el cliente lo percibe como una unidad auto-contenida y le aporta un cierto valor o utilidad. Pero an as, la diferenciacin es subjetiva.
En unos casos, el servicio est directamente vinculado a una aplicacin (como la aplicacin de facturacin ligada al servicio de facturacin). En otros, un servicio puede
utilizar varias aplicaciones (el de atencin comercial se puede componer de las aplicaciones de: atencin al cliente, ficha de cliente, registro de llamadas, etc.).
Ejemplos de servicios bajo el alcance de estas normas son lo los siguientes:
La provisin del puesto de trabajo: el ordenador del puesto de trabajo conectado, operativo y soportado.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

67

El correo electrnico.
El sitio web de la empresa.
El portal web interno de la empresa (la intranet).
El servicio de ERP (Enterprise Resource Planning) de una empresa.
El servicio de alojamiento de aplicaciones o portales web.
El servicio de alojamiento de servidores ofrecido por un Internet Center.
El servicio de facturacin.
El servicio de gestin del conocimiento.
El servicio de colaboracin.
En la figura 2.8 se muestra la visin de TI como un proveedor de servicios al negocio.

Servicios de TI

Negocio
Acceso en
teletrabajo

Gestin
de clientes
Gestin
de ventas

Gestin de
facturacin

Gestin de
actuaciones

Correo
electrnico

Provisin y
soporte del
puesto de trabajo

Figura 2.8. El concepto de TI como proveedor de servicios al negocio

En el fondo, la estructuracin en servicios depende mucho de cada organizacin.


Estos se agrupan y explican en un catlogo de servicios de TI.
Adems, el conocimiento de la definicin de servicio es importante para comprender el alcance de las Normas ISO/IEC 20000, que estn claramente orientadas a
mejorar los servicios operativos de TI, es decir, a aquellos que deben estar funcionando regularmente. Normalmente un servicio se construye sobre equipamiento
informtico (hardware), un software base, aplicaciones, comunicaciones, y requiere
una arquitectura, un soporte tcnico y gestin para que se mantenga activo.

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

68

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

De forma clara, estas normas se refieren a los servicios que se prestan utilizando
como base los sistemas informticos. Esta concepcin de servicio no quiere decir
que no se puedan aplicar las directrices y recomendaciones a otro tipo, pero su aplicacin habr que matizarla e interpretarla, como es el caso de los servicios de las
operadoras de telecomunicaciones. Pero hay otros casos que no estn en el alcance,
aunque tambin se denominan servicios, como por ejemplo: la prestacin de servicios de consultora, la venta de equipamiento informtico, etc. En la figura 2.9 se
muestra la simbologa utilizada en el libro para estos dos omnipresentes conceptos.

Servicio de TI

Proveedor de TI

Figura 2.9. Simbologa utilizada en el libro


para representar el servicio de TI y el proveedor de TI

Por otra parte, es importante tener en cuenta el punto en el que se est situado en
la cadena de provisin para determinar si tal o cual actividad es un servicio ofrecido, o bien, es un servicio contratado. Un rea interna de una empresa ofrece servicios a los usuarios de la misma, pero a su vez, contrata servicios al mercado (el
centro de tele-atencin, el alojamiento de sus equipos en un centro de proceso de
datos de un tercero, los servicios de telecomunicaciones, etc.). As, en la posicin
del rea interna de TI, sta ofrece servicios a sus usuarios y clientes, y contrata otros
servicios a los proveedores externos o internos.
Bajo la perspectiva de estas normas, el trmino servicio se utiliza para referirse al
prestado por la organizacin a la que se aplica la norma.

El concepto de proveedor del servicio de TI


El trmino proveedor del servicio de TI est omnipresente en las normas, es la
organizacin a la que se aplican las normas y para la que se establecen las directrices y recomendaciones. Se utiliza para referirse a: el rea, la empresa, el departamento o la organizacin que presta el servicio de tecnologas de la informacin y
comunicaciones; y tiene clientes o reas de negocio que contratan o solicitan los
servicios y usuarios de los utilizan.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

Procesos
de resolucin

Gestin de las relaciones


con el negocio
Gestin de suministradores

69

En este mbito, el trmino proveedor del servicio de TI se puede aplicar a cualquier unidad, departamento, organizacin o empresa que preste servicios de TI,
con independencia de que haya o no transaccin econmica, o del tamao de la
organizacin. Algunos ejemplos de proveedor de TI pueden ser:
Los departamentos de sistemas de informacin o departamentos de informtica internos de las empresas.
Empresas que ofrezcan servicios de TI al mercado.
A partir de este punto, a lo largo del libro se utilizar el trmino proveedor de TI
como sinnimo de organizacin de TI o departamento informtico, dotndole del
mismo alcance que en las normas.
El papel del proveedor de TI aparece levemente descrito en las generalidades del
apartado 7.1 de la norma, cuando tratan las relaciones con el negocio.
UNE-ISO/IEC 20000-2
Esta norma se dirige hacia el rol de un
proveedor del servicio, el cual cumple
un papel entre los suministradores, que

proporcionan bienes o servicios a dicho


proveedor del servicio, y los clientes, que
reciben los servicios.

La figura 2.10 muestra una representacin simplificada de la posicin de la organizacin o proveedor de servicios de TI entre el suministrador y el negocio. Tambin se
aprecia la diferencia entre los clientes de TI y los clientes del negocio en el mercado.

Servicio de TI

Cliente de TI

Suministrador

Relacin

Proveedor de TI
(organizacin TI)

Relacin

Negocio

Cliente del
negocio

Pymes

Grandes
clientes

Consumo

Figura 2.10. La organizacin o proveedor de TI presta servicios de TI al negocio

Procesos
de relaciones

Gestin del incidente


Gestin del problema

70

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Conviene destacar que, para evitar la confusin terminolgica, en las Normas


ISO/IEC20000 se ha adoptado el trmino de suministrador para designar a toda
organizacin a la que se le contrata algn tipo de prestacin, quedando el trmino
proveedor para aquellas organizaciones o departamentos de TI que quiere cumplir
con lo especificado por la norma (a efectos de certificacin). Se distingue, as, entre
suministrador de TI y proveedor de TI (rea o departamento de TI). Esta consideracin es muy importante en el mbito de estas normas, y hay que afinar el lenguaje, utilizando siempre suministrador para estas prestaciones contratadas externamente.
A partir de ahora en este libro, al igual que en las Normas ISO/IEC 20000, a la
organizacin de TI, bien sea departamento interno o unidad que presta servicios
externos al mercado, va a ser denominada como proveedor de TI. Concepto
que comprende tanto a las reas o departamentos informticos internos de las
empresas, como a cualquier tipo de servicio de tecnologas de la informacin
proporcionado.

2.3. La estructura de las Normas ISO/IEC 20000


Las actividades que se realizan para la prestacin de un servicio de TI son mltiples. La industria ya ha iniciado el camino para la definicin de las ms relevantes,
aqullas que hay que definir y optimizar para que la organizacin de TI vaya mejorando su funcionamiento. Las principales, consideradas ms esenciales para el servicio, se definen tanto en estas normas, cmo en otros marcos de referencia. Algunos de estos procesos esenciales ayudan a:
Resolver de forma rpida los incidentes ocurridos en el servicio.
Ir mejorando paulatinamente las taras ocultas en las tecnologas (hardware y
software) que soportan los servicios.
Conocer con precisin la configuracin de los servicios y sus componentes.
Realizar cambios de una forma segura y eficiente.
Entender con claridad las necesidades del cliente, establecer acuerdos precisos con l y organizarse para ser capaces de cumplirlos.
Identificar y controlar los costes para optimizar la eficiencia de la organizacin.
Mejorar el tiempo de provisin de servicios nuevos.
Garantizar la robustez de los servicios crticos para el negocio.
Controlar el desempeo de los suministradores contratados.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

71

Parece que los autores de ISO/IEC 20000 e ITIL (v2 y v3) suelen coincidir en
cules son los procesos bsicos para la gestin de las TI. As, estos diferentes
marcos de referencia tienen un ncleo con procesos bastante similares (incidente, problema, configuracin, cambio, entrega, nivel de servicio, disponibilidad, continuidad, capacidad y financiero). En cambio, a la hora de realizar la
agrupacin conceptual de estos procesos, es donde los autores han dejado volar
su creatividad, proponiendo en sus modelos agrupaciones dispares. Por suerte,
estas diferentes agrupaciones son conceptuales y no tienen reflejo en el contenido de los procesos que se han de aplicar. En el caso de las Normas ISO/IEC
20000, la agrupacin tiene su lgica y es razonable (agrupaciones: provisin del
servicio, control, entrega, resolucin y relaciones), pero distinta a lo establecido
en ITIL v2 (libros: soporte de servicio, provisin de servicio, gestin infraestructuras, etc.) y distinto ITIL v3 (libros: estrategia, diseo, transicin, operacin y mejora continua). As, se agrupan bajo la provisin de servicio procesos
distintos a los contemplados en ITIL v2 en su libro de provisin de servicio. En
ITIL v3 la agrupacin se hace en funcin del ciclo de vida del servicio. Con
independencia de la agrupacin de procesos que se realice, individualmente hay
un ncleo comn (gestin del incidente, gestin del problema, gestin de la
configuracin, etc.).
Los primeros apartados en estas normas estn centrados en inculcar en TI las enseanzas aprendidas implantando y mejorando sistemas de gestin en todo tipo de
organizaciones. Por ello, los captulos 3 y 4 se centran en: el sistema de gestin TI
y en la planificacin e implementacin de la gestin del servicio.
Prcticamente, el resto de estas normas se dedica a la definicin de los procesos,
agrupados en: Planificacin e implementacin de servicios, nuevos o modificados;
Procesos de provisin de servicio; Procesos de relacin; Procesos de resolucin;
Procesos de control y Proceso de entrega.
En el esquema de la figura 2.11 se muestra el modelo bsico utilizado en este
libro y en las normas para representar todo el alcance de la gestin del servicio de
TI. En el rectngulo exterior se sita el sistema de gestin del servicio de TI (que
se explica en el captulo 3). Hacia el interior del rectngulo aparece de forma
inmediata las actividades de implantacin del sistema de gestin (tratadas en el
captulo 4). Una vez establecido el sistema que gestionar el servicio, su implantacin y mejora, se incorporan los 14 procesos establecidos en ISO/IEC 20000
(tratados en los captulos de 5 al 10). Esta figura se utilizar de ndice grfico en
todo el libro.
Las Normas ISO/IEC 20000 se componen de un conjunto de procesos que interactan entre s y que son necesarios para la prestacin de un servicio con el objetivo de normalizar la gestin de los sistemas de informacin mediante procesos

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

72

Captulo 3
Captulo 4
Captulo 5

3. Sistema de Gestin del Servicio de TI (SGSTI)


4. Planificacin e implementacin de la gestin del servicio (PDCA)
5. Planificacin e implementacin de nuevos servicios o de servicios modificados

Captulo 6

6. Procesos de la provisin del servicio


6.5 Gestin de la capacidad

Captulo 9

6.3 Gestin de la
continuidad y
disponibilidad
del servicio

6.1 Gestin de
nivel de servicio

6.6 Gestin de la seguridad


de la informacin

6.2 Generacin de
informes del servicio

6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI

9. Procesos de control
9.1 Gestin de la configuracin

10. Proceso
de entrega

9.2 Gestin del cambio

7. Procesos
de relaciones

10.1 Proceso de gestin


de la entrega

8. Procesos
de resolucin

7.2 Gestin de las


relaciones con el negocio

8.2 Gestin del incidente


8.3 Gestin del problema

7.3 Gestin de
suministradores

Captulo 8

Captulo 7

Captulo 10

Fuente: UNE-ISO/IEC y e.p.

Figura 2.11. Estructura de los procesos en las Normas ISO/IEC 20000


y los captulos del libro

eficaces que articulen todas las actividades de la organizacin de TI hacia un claro


enfoque al servicio y al cliente. Las normas estn divididas en las siguientes reas:
El sistema de gestin de TI. Cuyo objetivo es proveer una gestin de TI que
incluya polticas y un marco de trabajo para hacer posible una efectiva gestin e
implementacin de todos los servicios de TI. Estas normas siguen la estructura y
filosofa establecida por las normas ISO para la gestin con calidad de las organizaciones, de la que ISO 9001 es la piedra angular. Para conseguir la transformacin
de la actividad en TI, ISO/IEC 20000 establece que la gestin de TI se organice y
regule alineada con el modelo de gestin del resto de la empresa. Define un modelo
o sistema de gestin de TI que se integra sin fisuras en el mismo sistema de gestin
de calidad segn el modelo ISO 9001 de la empresa.
Planificacin e implementacin de la gestin del servicio. Apartado destinado a
definir el proceso de implantacin de estas normas, es decir, de la propia gestin

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

73

del servicio de TI (procesos, roles, relaciones, recursos, herramientas, cambio cultural, etc.). Tambin incorpora el ciclo de mejora continua, basado en el modelo
PDCA, internacionalmente reconocido y aceptado por ser, entre otros, el modelo
de gestin aplicado para calidad y para la gestin ambiental. La metodologa conocida como PDCA puede describirse brevemente como:
P Planificar: establecer los objetivos y procesos necesarios para conseguir
resultados de acuerdo con los requisitos del cliente y las polticas de la organizacin.
D Hacer: implementar los procesos.
C Verificar: realizar el seguimiento y la medicin de los procesos y los productos respecto a las polticas, los objetivos y los requisitos para el producto,
e informar sobre los resultados.
A Actuar: tomar acciones para mejorar continuamente el desempeo de
los procesos. Sirve de entrada a planificar.
En las normas, para cada fase del ciclo PDCA se establecen los requisitos y recomendaciones a seguir por todo proveedor de TI.
Planificacin e implementacin de nuevos servicios o de servicios modificados. Describe el proceso de creacin de un servicio nuevo o de realizar modificaciones a los servicios existentes, para que se puedan gestionar y entregar con los
costes, calidad y plazos acordados con los clientes.
Procesos de provisin de servicio. Regulan las actividades necesarias para que los
servicios cumplan los cometidos pactados con el negocio. Cobran especial relevancia frente a la necesidad de prestar servicios de TI de calidad, alineados a los objetivos del negocio, que cubran las necesidades actuales y que deben ser capaces de
evolucionar rpidamente para cubrir las necesidades futuras. En estas normas, la
provisin de servicio aglutina 6 procesos:
Proceso de gestin de nivel de servicio.
Proceso de generacin de informes del servicio.
Proceso de gestin de la continuidad y disponibilidad del servicio.
Proceso de elaboracin de presupuesto y contabilidad de los servicios de TI.
Proceso de gestin de la capacidad.
Proceso de gestin de seguridad de la informacin.

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

74

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Procesos de relaciones. Especifican las actividades de TI con su mundo exterior. Se


centran en dos apartados clave: por un lado establece y mantiene una buena relacin
entre el proveedor del servicio y el cliente, comprendiendo la realidad del cliente
y los fundamentos de su negocio; por otro lado, haciendo foco en la gestin de los
suministradores o proveedores, para garantizar la provisin sin interrupciones de
los servicios de TI con calidad. Los procesos de relaciones en estas normas son:
Proceso de gestin de relaciones con el negocio, que especifica las actividades para llevar a cabo el dilogo entre el proveedor de TI y sus clientes.
Proceso de gestin de suministradores, define las actividades a tener en
cuenta en la gestin de los suministradores del proveedor de TI.
Procesos de resolucin. Se centran en la resolucin de incidentes nuevos o reincidentes ocurridos sobre los servicios, que dificultan o impiden que estos cumplan su
cometido. Por un lado, trata de restaurar el servicio para cumplir el nivel de servicio acordado con el negocio y los clientes tan pronto como sea posible o resolver
las peticiones de servicio. Por otro lado intenta minimizar los efectos negativos de
las interrupciones de servicio efectuando actividades tendentes a analizar la causa
de los incidentes y la gestin de los problemas, para lograr su cierre definitivo. Los
procesos de resolucin en estas normas son:
Proceso de gestin del incidente, entendiendo como tal la degradacin parcial o total del servicio.
Proceso de gestin del problema, centrado en la resolucin definitiva de
defectos que causan incidentes repetidamente.
Procesos de control. Aseguran a los gestores la calidad de la informacin sobre
los servicios, as como, que todo cambio se realiza de una forma controlada. Contemplan dos apartados clave: por un lado el control de todos los componentes del
servicio y la infraestructura, manteniendo la informacin precisa sobre la configuracin de dichos componentes, y por otro lado, asegurando que todos los cambios
que se produzcan sobre dichos componentes sean valorados, aprobados, implantados y revisados de una manera controlada. Los procesos de control en estas normas son:
Proceso de gestin de la configuracin, que mantiene al da la informacin
definida como esencial del proveedor de TI, los servicios y sus componentes.
Proceso de gestin del cambio, que garantiza que todo cambio que se deba
realizar sigue las reglas marcadas. Aprueba y controla todos los cambios que se
producen en los servicios. Es muy importante no confundirlo con otro concepto muy distinto que es la gestin del cambio cultural en la organizacin.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

75

Proceso de entrega. Se centra definir las actividades a realizar durante la etapa de


trnsito de los cambios, desde la etapa de desarrollo hasta su paso a produccin.
Asegura que todos los componentes necesarios para la puesta en produccin real
de un servicio estn correctamente definidos y probados, proporcionando al proceso de gestin del cambio la informacin necesaria para la aprobacin, o no, de
la implantacin de un servicio en produccin real. Est formado por un nico
proceso:
Proceso de gestin de la entrega. Una vez aprobado el cambio, gestiona la
implantacin, distribucin y el seguimiento de uno o ms cambios a realizar
en el entorno de produccin real.

2.4. Relacin entre ISO/IEC 20000 e ITIL


Las empresas y organizaciones, en general, agradecern que los creadores de estas
normas intentaran respetar y asemejarse a otro marco o modelo extendido en el
mercado, como es ITIL. Esto permitira a las organizaciones, con procesos ITIL ya
implantados, tener un buen camino recorrido para cumplir con ellas. No obstante,
hay diferencias entre ambos mundos: unas veces son evidentes ya desde el mismo
nombre del proceso, pero otras, son ms sutiles y difciles de detectar en una primera lectura. Este libro trata de exponer con claridad estas diferencias, tanto en el
resumen realizado en este apartado, como en la descripcin detallada de los procesos. La similitud con ITIL, permite aprovechar las buenas prcticas de ste para
tomarlas como una forma, aunque no la nica, de cumplir los requisitos de
ISO/IEC 20000.
Estos dos marcos tienen mucho en comn. Ambos cubren la gestin del servicio
de TI, se utilizan internacionalmente y cuentan con una oferta de formacin
reglada por instituciones sectoriales.
A pesar del acoplamiento que existe entre ISO/IEC 20000 e ITIL, no se alinean
completamente. Esto es en parte debido a la diferencia fundamental existente entre
una norma y un marco de mejores prcticas.
Como consecuencia de la diferencia de enfoque entre ambos mundos, hay algunos
contenidos definidos en ITIL que no tienen presencia en estas normas, por estar
fuera de su alcance. Las principales diferencias se describen a continuacin (vase la
figura 2.12):
Quizs la ms importante es relativa al tratamiento de la gestin de nivel de
servicio entre ISO/IEC 20000 e ITIL v2/v3. Aunque ambas comparten el
mismo nombre, en el caso de ITIL el alcance es mucho ms amplio.

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

76

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

ISO/IEC 20000 divide de una forma ms racional las funciones de la gestin de nivel de servicio en 4 o 5 procesos:
1. La gestin de nivel de servicio, que en estas normas trata todo lo relativo
a los servicios desde la perspectiva interna de TI, como por ejemplo la
definicin, el cumplimiento y seguimiento de los acuerdos de nivel de
servicio (SLA), la gestin del catlogo de servicios y el plan de mejora
de los servicios.
2. La generacin de informes de servicio aparece como un proceso nuevo.
En ITIL se hace referencia a los informes del servicio pero como parte de
cada proceso (por ejemplo la gestin de la disponibilidad) y no se trata
de un proceso separado.
3. El proceso de relaciones con el negocio (el definido en estas normas se
corresponde nicamente a las relaciones con el cliente, que se llevan a
cabo en la gestin de nivel de servicio de ITIL).
4. El proceso de planificacin e implementacin de nuevos servicios o de
servicios modificados.
5. Incluso en la v2 se llega a asignar la gestin de los contratos con los suministradores a este proceso en lo relativo al respaldo de los niveles de servicio pactados con el cliente. En la v3 como en ISO 20000 aparece un proceso nuevo especfico para la gestin de suministradores.
En ISO/IEC 20000 los procesos de la continuidad del servicio y la gestin
de la disponibilidad se unifican, pues los requisitos entre ambos estn bastante relacionados. En ITIL, la continuidad del servicio y la gestin de la disponibilidad son procesos separados.
En relacin a la gestin econmica, ISO/IEC 20000 trata nicamente la realizacin de presupuestos y contabilidad analtica de costes en TI. El cobro
por el servicio (charging), incluido en ITIL, no es aplicable para algunas
organizaciones y por ello no se contempla en estas normas.
Las Normas ISO/IEC 20000 incluyen los requisitos para la gestin de la seguridad de la informacin, haciendo referencia a los requisitos de la Norma
ISO/IEC 27001 sobre gestin de la seguridad de la informacin. ITIL v2
incluye un libro sobre la de gestin de la seguridad, con una alineacin relativa
con la Norma ISO/IEC 27001. ITIL v3 se trata la seguridad como un proceso.
La gestin de la capacidad en ISO/IEC 20000 no hace ninguna distincin
entre diversos tipos de capacidad. ITIL establece una distincin entre la
capacidad del recurso, la del servicio y la del negocio.

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega

2. Entender las Normas ISO/IEC 20000

rea / Proceso

20000

v2

v3

88%

75%

Transicin del servicio

36%

36%

Operacin del servicio

33%

33%

Mejora continua del servicio

Sistema de gestin del servicio de TI

Planificacin e implementacin de la
gestin del servicio

Planificacin e implementacin de nuevos


servicios o de servicios modificados

S (1)

Gestin de nivel de servicio

Generacin de informes del servicio

Gestin de la continuidad y disponibilidad del


servicio

Elaboracin de presupuestos y contabilidad


de los servicios de TI

Gestin de la capacidad

Gestin de la seguridad de la informacin

Gestin de las relaciones con el negocio

Gestin de suministradores

(2)

Gestin del incidente

Gestin del problema

Gestin de la configuracin

Gestin del cambio

Proceso de gestin de la entrega

Libros ITIL v3

Estrategia del servicio

Estructura ISO 20000

77

Diseo del servicio


Construccin del servicio

Por cada proceso

En gest. nivel servicio

(1)

En ITIL v3 la creacin de nuevos servicios est embebida en el concepto de ciclo de vida del servicio.

(2)

En ITIL v2 la gestin de suministradores se trata en el libro ITIL Business Perspective publicado por OGC.

Figura 2.12. Comparativa ente los procesos ISO/IEC 20000 e ITIL v2 y v3


(en porcentaje se indica el grado aproximado de cobertura)

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

78

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En ISO/IEC 20000 la gestin de los activos est cubierta por disposiciones


en la gestin de la configuracin, alinendose con los libros Soporte del Servicio
y Provisin de Servicio de ITIL v2, que adems trata la gestin de los activos
software en una publicacin separada. Mientras que la v3 une la gestin de
activos al proceso de gestin de la configuracin.
En ISO/IEC 20000 la gestin de la Biblioteca de Software Definitivo (DSL)
se le asigna al proceso de gestin de la configuracin, en ITIL v2 es gestionada por la entrega.
En ISO/IEC 20000 no se describen funciones o unidades tpicas en TI. En
v2 slo se describi en la funcin del service desk, mientras que en v3 en el
libro Operacin del Servicio se ampla la lista identificando 4 reas: centro de
servicio al usuario, gestin tcnica, gestin de operaciones de TI y gestin
de aplicaciones.
En ISO/IEC 20000 se define el proceso planificacin e implementacin de
nuevos servicios o de servicios modificados. En ITIL v2 no existe este
importante proceso, mientras que en ITIL v3 hay que indagar entre los
libros Diseo del Servicio y Transicin del Servicio (versiones y despliegues)
para encontrar una secuencia parecida.
Otra diferencia est en el alcance de los contenidos, pues en ITIL se incluyen
ejemplos de flujos de los procesos, entradas, actividades y salidas de los mismos. Ejemplos de roles, factores crticos de xito y mtricas e indicadores.

Captulo 3

El Sistema de Gestin
del Servicio de TI (SGSTI)

3. Sistema de Gestin del Servicio de TI (SGSTI)


4. Planificacin e implementacin de la gestin del servicio (PDCA)
5. Planificacin e implementacin de nuevos servicios o de servicios modificados

6. Procesos de la provisin del servicio


6.5 Gestin de la capacidad
6.3 Gestin de la
continuidad y
disponibilidad
del servicio

6.1 Gestin de
nivel de servicio

6.6 Gestin de la seguridad


de la informacin

6.2 Generacin de
informes del servicio

6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI

9. Procesos de control
9.1 Gestin de la configuracin

10. Proceso
de entrega

9.2 Gestin del cambio

7. Procesos
de relaciones

10.1 Proceso de gestin


de la entrega

8. Procesos
de resolucin

7.2 Gestin de las


relaciones con el negocio

8.2 Gestin del incidente

7.3 Gestin de
suministradores

8.3 Gestin del problema

Fuente: UNE-ISO/IEC y e.p.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

81

El sistema de gestin es el conjunto de polticas, procesos, procedimientos, instrucciones de trabajo y recursos (humanos y materiales) necesarios para la correcta gestin del servicio de TI. Se podra decir que el sistema de gestin es la ley hasta su
mnimo detalle a implantar.
El objetivo de este sistema de gestin es conseguir que la provisin y prestacin de
los servicios de TI se realicen de una manera eficaz. Para ello se dota de unas polticas y un conjunto procesos, procedimientos y normas de trabajo que fijan el marco
de trabajo para toda la organizacin del proveedor de servicios de TI. Todo ello
segn lo establecido por las Normas ISO/IEC 20000.
A la hora de disear e implantar un sistema de gestin de servicios de TI, estas normas estructuran las directrices entorno a tres ejes bsicos:
Responsabilidades de la direccin. Su finalidad es conseguir el compromiso y la participacin activa de todos los miembros de la direccin de la
organizacin durante toda la vida del sistema de gestin.
Requisitos de la documentacin. Establece los criterios que deben seguirse
para ejecutar los procesos y evidenciar que los trabajos se realizan siguiendo
dichos criterios.
Competencia, concienciacin y formacin. Se centra en la adecuada gestin de los recursos humanos, necesaria para la implantacin de los procesos. Para ello se elabora la definicin de los perfiles, la asignacin de responsabilidades y la gestin de la formacin. Todas estas actividades se realizan
siempre teniendo en cuenta el principio de comunicacin/motivacin.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

83

3.1. El sistema de gestin de tecnologas de


la informacin

Figura 3.1. Aspectos bsicos del sistema de gestin de TI

En este captulo se presenta una descripcin sobre qu es un sistema de gestin de


TI, qu elementos lo conforman, qu temas clave estn especificados en las normas
y un resumen de los puntos ms relevantes de cara a su implantacin (vase la
figura 3.1). Se descubrir la necesidad imperiosa de llevar a cabo la transformacin
y gestin de las TI, utilizando un modelo de gestin probado con xito en otros
mbitos que han seguido las directrices de la normativa internacional definida en la
Norma UNE-EN ISO 9001.
Si alguien es ajeno o no estuviera familiarizado con el mundo de la calidad y la
Norma UNE-EN ISO 9001 Sistemas de gestin de la calidad. Requisitos, le ser difcil entender qu es un sistema de gestin. Para el profesional de TI es importante
entender claramente el significado de este trmino, pues aporta una sistemtica
para organizar las actividades y obliga a formalizar, de extremo a extremo, todas las
tareas de TI, e incorpora un proceso de mejora continua. Entender su necesidad,
permitir a los gestores de TI apoyarse y aprovechar la experiencia de los profesionales de la calidad para mejorar sus servicios.

84

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El trmino sistema de gestin proviene del ingls management system que representa un modo o forma de gestionar, o una manera formalizada de realizar las
cosas. As, IT management system o el sistema de gestin de TI correspondera
a una forma normalizada para gestionar los trabajos que se realizan en TI, se
corresponde a la forma de hacer, trabajar y gestionar. La abreviatura que se ha acuado para el sistema de gestin de TI es SGSTI (Sistema de Gestin del Servicio
de TI). Es frecuente encontrar otras siglas relacionadas con este concepto, como
son: SGC (Sistema de Gestin de la Calidad), SGS (Sistema de Gestin de Servicios) o SMS (Service Management System).
Se entiende el sistema de gestin de TI como el propio modelo de hacer o trabajar
en TI. Lo que cotidianamente se expresa como vamos a implantar ITIL, vamos a
implantar ISO/IEC 20000, hay que hacer un proyecto para mejorar los servicios
de TI, esta es nuestra forma de trabajar en esta casa, el departamento de informtica se gestiona en base a estos procedimientos, etc. todas ellas son maneras de
expresarse en TI y expresan de alguna forma el concepto de sistema de gestin
de TI utilizado en los mbitos de calidad. Por tanto, siendo como es la esencia de
ISO/IEC 20000 o ITIL, este sistema se define, se implanta y se mejora.
Quiz lo que ms despista a los profanos es el trmino sistema pues, inconscientemente, parece que induce a pensar en una herramienta o algo parecido, pero no
es slo esto. El sistema de gestin recoge la nueva forma de trabajar, de relacionarse
y de prestar servicios en TI. Si este sistema se ha creado siguiendo los principios,
los procesos y los requerimientos especficos para TI establecidos en las Normas
ISO/IEC 20000, habremos constituido el sistema de gestin de TI o SGSTI.
Desde la perspectiva de los elementos que lo componen, el sistema de gestin se
definira como: el conjunto de polticas, procesos, procedimientos e instrucciones
de trabajo, necesarios para la correcta gestin del servicio de TI.
Desde una perspectiva integral del proveedor de TI, el sistema de gestin se vera
como: el conjunto de elementos interrelacionados de una organizacin de tecnologas de la informacin por los cuales se lleva a cabo de forma normalizada su actividad de servicio en la bsqueda de la satisfaccin de sus clientes. Adems, el concepto de sistema de gestin conlleva que las actividades se normalicen en procesos
y que todos los procesos trabajen conjuntamente de una manera coordinada y con
un objetivo comn, evitndose pasar de una estructura de departamentos estancos
a otra de procesos inconexos.
Con independencia de la definicin utilizada, el objetivo y alcance del sistema de
gestin es el mismo.
A partir de ahora, el mundo tcnico debe asumir como parte de su da a da este nuevo
concepto de sistema de gestin de TI o SGSTI, que equivale a gestionar el servicio

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

85

de TI siguiendo los procesos y formas de hacer formalizadas en la organizacin


del proveedor de servicios de TI. Es un sistema vivo en constante evolucin, pues
establece lo que hay que implantar y recoge evidencias de la actividad realizada.
La figura 3.2 muestra la estrecha correlacin que existe entre el SGSTI y la ejecucin del trabajo diario del proveedor de TI. Nos encontramos ante un sistema de
gestin que establece los procesos de funcionamiento de TI. Estos procesos deben
estar lo suficientemente soportados por herramientas que permitan su gestin eficaz y su incorporacin al da a da.

Fuente: Telefnica.

Figura 3.2. El sistema de gestin define el modelo de trabajo a seguir


por el proveedor de TI

Tambin hay que entender que estas normas y marcos de referencia del mercado
(ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no son
utilizables, como tal, directamente en la empresa. Requieren concretarse en procesos y procedimientos, que son los instrumentos sobre los que se articula la gestin
de la actividad. Adems, para que sean de verdad tiles, la aplicacin de todos estos
estndares debe adaptarse a las particularidades de cada empresa (tamao, negocio,
cultura, estrategia, etc.).
Por ello, todo proveedor u organizacin de TI debe crear su propio sistema de gestin que tenga en cuenta cmo adaptar las normas a todas las particularidades propias de cada empresa.

86

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Si se quiere mejorar seriamente la calidad de los servicios de TI, es imprescindible


que se defina e implemente un sistema de gestin especfico. Por ello, las Normas
ISO/IEC 20000 establecen que la transformacin de TI hacia una mayor calidad
en sus servicios, se articule en torno a un sistema de gestin. En la figura 3.3 se
muestra un resumen introductorio al sistema.

Sistema de Gestin del


Servicio de TI (SGSTI)
Definicin:
Gestin del servicio de TI siguiendo
los procesos y formas de hacer
formalizadas en la organizacin del
proveedor de TI, buscando la
eciencia y calidad deseadas.
Objetivo:
Proveer un sistema de gestin que
incluye las polticas y el marco
de trabajo para hacer posible una
efectiva gestin e implementacin
de todos los servicios de TI.

Qu aporta:
Formaliza en la organizacin la
implantacin de la gestin del servicio.
Implantacin de lo general
(estrategia y polticas) a lo particular
(procedimientos).
Medio para alcanzar la eficiencia
y la calidad deseadas.
Permite la alineacin con los sistemas
de gestin de la calidad (ISO 9001)
de la empresa.
Genera un sistema documental en el
que se recoge formalmente toda la
informacin necesaria para soportar
el modelo de gestin.
Impone rigor en la definicin, en
el seguimiento y en la captura de
registros y evidencias.
Imprescindible para la certificacin
ISO/IEC 20000.

Figura 3.3. Introduccin al sistema de gestin de TI

El sistema de gestin es un medio para la transformacin de la organizacin. Adems de las estrategias y polticas de mejora, recoge y formaliza todos los documentos y registros necesarios. Los requisitos para los sistemas de gestin generales de
la empresa se definen en la Norma UNE-EN ISO 9001. Tener implantado un sistema de gestin, segn esta norma, ayudara enormemente en la implantacin de
ISO/IEC 20000. Aunque las Normas ISO/IEC 20000 contienen todos los requerimientos para montar un sistema de gestin propio, sin tener que apoyarse en otra
norma, el Sistema de Gestin del Servicio de TI (SGSTI) debera estar integrado
en el modelo general de gestin de la empresa acorde con ISO 9001, si existiera
(vase la figura 3.4).

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

Cultura de
la empresa

Buenas prcticas
de la empresa

Objetivos del
negocio y de TI

87

Capacidad
y recursos

Sistema de gestin general de la empresa (SGC segn ISO 9001)


Tecnologas de la informacin
Gestin y operacin
del servicio de TI

SG de otras reas
de la empresa

SGSTI

Calidad y
mejora continua

Gestin servicio
y su prestacin
ITIL

ISO 9001

ISO 20000

Figura 3.4. El sistema de gestin de TI debe estar integrado con el sistema


de gestin general de la empresa

Al definir las formas de hacer en el sistema de gestin se deben tener en cuenta


tambin las particularidades de la empresa, como por ejemplo:
La cultura de la empresa.
Las buenas prcticas existentes en la empresa.
Los objetivos del negocio y los objetivos de TI.
Las capacidades, conocimientos y disponibilidad de recursos del propio proveedor de TI.
El sistema de gestin es un elemento esencial para obtener la certificacin ISO/IEC
20000 en una organizacin de prestacin de servicios de TI, pues registra toda la
documentacin y evidencias que el auditor exigir en el proceso de certificacin.
Como caba esperar, las directrices de las Normas ISO/IEC 20000, no slo especifican los requisitos de la documentacin, sino que adems exigen otros aspectos
esenciales para que la mejora de los servicios se produzca en realidad, como son,
por una parte, la implicacin y compromiso de la direccin, y por otra, la concienciacin y formacin de las personas. A continuacin se detallan los tres aspectos
clave requeridos en estas normas (vase la figura 3.5):

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

88

Implicacin y compromiso de la direccin en el proceso de cambio (apartado de responsabilidades de la direccin).


Definicin de la documentacin del sistema de gestin (apartado de requisitos de la documentacin).
La importancia de la gestin de los recursos humanos para que se produzca
el cambio (apartado de competencia, concienciacin y formacin).

Implicacin
de la direccin

AR PARA
S LDERES

SGSTI
Documentacin

Cambio cultural

Figura 3.5. Aspectos esenciales en la implementacin del


sistema de gestin de TI

Responsabilidades de la direccin
La mejora de los servicios de TI pasa por implantar los procesos que forman el sistema de gestin de TI en todo su detalle. Este enfoque en torno a los procesos va a
suponer la introduccin de cambios sustanciales, tanto desde el punto de vista cultural en la forma de trabajar de las personas como, en algunos casos, profundos
cambios organizativos. Ante esta transformacin de TI (o del proveedor de servicio de TI en terminologa de la norma) resulta imprescindible contar con el apoyo,
compromiso y participacin de la alta direccin de la empresa y de TI, como dinamizadora esencial de todo este proceso.
En lneas generales, las empresas tienen sus grupos internos (calidad, procesos, de
mejora, explotacin, etc.) que frecuentemente inician por si mismas las actividades

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

89

de transformacin de TI hacia una organizacin centrada en el cliente, que presta


servicios y se estructura en base a procesos. Tanto las directrices de las Normas
ISO/IEC 20000, como las mejores prcticas del mercado, dejan muy claro que este
comienzo es loable, pero insuficiente; debe ser la direccin de TI y de la empresa
los que lideren la transformacin del rea de TI. Por ello, en la norma aparece este
apartado especfico dedicado a las responsabilidades de la direccin en todo el proceso de transformacin.
Las Normas ISO/IEC 20000 establecen de manera general las responsabilidades
que debe ejercer la direccin, de cara a permitir la implantacin y el adecuado
mantenimiento del sistema de gestin y, a la vez, las convierte en requisitos clave
para la obtencin de la certificacin. Este es un requisito clave que se debe cumplir si se desea obtener la certificacin. En los casos en que ya exista un sistema de
gestin (por ejemplo, el sistema de gestin de la calidad) que establezca las responsabilidades de la direccin, habr que verificar que lo establecido es consistente y coherente con lo requerido en ISO/IEC 20000. Garantizar este alineamiento permitir ir construyendo un sistema integrado o unificado de gestin en
la empresa.
El papel de la direccin para asegurar que las mejores prcticas se adoptan y mantienen en los procesos es fundamental para cualquier proveedor de servicio que
quiera cumplir con los requisitos de ISO/IEC 20000-1:

UNE-ISO/IEC 20000-1
La alta direccin debe proveer, a travs del liderazgo y de acciones, evidencias de
su compromiso para desarrollar, implementar y mejorar sus capacidades de gestin
del servicio dentro del contexto de los requisitos de negocio de la organizacin y de
los requisitos de los clientes.
La direccin debe:
a) establecer la poltica de la gestin del servicio, sus objetivos y planes;
b) comunicar la importancia de cumplir con los objetivos de gestin del servicio
y la necesidad de la mejora continua;
c) asegurar que los requisitos del cliente se determinan y se cumplen con el objetivo de mejorar la satisfaccin del cliente;
d) designar un miembro de la direccin como responsable para la coordinacin
y gestin de todos los servicios;
e) determinar y proveer recursos para planificar, implementar, monitorizar, revisar
y mejorar la provisin y la gestin de los servicios, por ejemplo, contratando el
personal apropiado o gestionando la rotacin de personal;

90

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

f) gestionar los riesgos para la organizacin de la gestin del servicio y para los
servicios; y
g) llevar a cabo revisiones de la gestin del servicio, a intervalos planificados,
para asegurar la continuidad de su idoneidad, su adecuacin y su efectividad.

UNE-ISO/IEC 20000-2
El papel de la direccin para asegurar
que las mejores prcticas son adoptadas
y mantenidas en los procesos es fundamental para cualquier proveedor del
servicio que quiera cumplir con los requisitos de la Norma ISO/IEC 20000-1.
Para asegurar el compromiso de la
direccin se debera identificar un responsable a nivel de alta direccin como
responsable de los planes de gestin del
servicio. Este responsable senior debera responsabilizarse de la entrega a

todos los niveles del plan de gestin del


servicio.
El rol de responsable senior debera
estar al frente de los recursos designados para las actividades de mejora del
servicio, bien sean actividades continuas o con un enfoque de proyecto.
El responsable senior debera estar apoyado por un grupo encargado de la
toma de decisiones que tenga la suficiente autoridad para definir la poltica
y para hacer cumplir sus decisiones.

Como indican estas normas, para asegurar el compromiso se debera identificar un


responsable senior (a nivel de alta direccin) de la implantacin de la gestin del
servicio. Este patrocinador del sistema de gestin debe responsabilizarse de la
ejecucin y xito de esta transformacin. Debe estar al frente de los recursos designados, bien sean actividades continuas o con un enfoque de proyecto. Tambin
debe estar apoyado por un grupo de toma de decisiones con suficiente autoridad
para definir la poltica y para hacer cumplir sus decisiones.
El papel de la direccin, por tanto, es ser protagonista desde el primer momento
en que se decide acometer el diseo e implantacin de un sistema de gestin de servicios de TI. De todas y cada una de estas actividades habr que dejar evidencia
documental, que se registrar en el propio sistema de gestin, para las auditorias
posteriores. Por ejemplo: actas de reuniones en las que se traten asuntos anteriormente mencionados, documentos de polticas firmados y comunicados a todos los
niveles, etc.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

91

Requisitos de la documentacin
Para que el sistema de gestin sea eficaz es necesario dar respuesta a dos aspectos
clave. El primero de ellos es definir y documentar adecuadamente las actividades,
funciones y responsabilidades que deben desempearse. El segundo es contar con
la participacin activa y efectiva del personal implicado en el servicio.
El primer paso de cara a implantar un sistema de gestin es crear una estructura
documental. Permite llevar registro y control de todas las actividades realizadas,
evaluar la eficiencia del sistema y servir para la toma de decisiones sobre acciones
correctivas o preventivas. Todas las actividades desarrolladas deben documentarse.
A este respecto estas normas establecen:
UNE-ISO/IEC 20000-1
Los proveedores del servicio deben facilitar documentos y registros para asegurar
una planificacin, operacin y control de la gestin del servicio efectivas. Esto debe
incluir:
a) polticas y planes de la gestin del servicio documentados;
b) acuerdos del nivel de servicio documentados;
c) procesos y procedimientos documentados requeridos por esta norma; y
d) registros requeridos por esta norma.
Deben establecerse los procedimientos y las responsabilidades para la creacin,
revisin, aprobacin, mantenimiento, eliminacin y control de los diferentes tipos de
documentos y registros.
Nota: La documentacin puede estar en cualquier forma o tipo de soporte.

Los soportes en los que est recogida la documentacin deben ser los adecuados
para permitir un normal funcionamiento del sistema. Por ejemplo, si nuestra organizacin recibe mensualmente 1.000 incidentes, no pueden quedar registrados nicamente en un cuaderno. Debern registrarse en una herramienta informtica
dimensionada de acuerdo a las necesidades del proceso y de la organizacin.
La documentacin del sistema contribuye a:
Lograr la conformidad con los requisitos del cliente y la mejora de la calidad.
Proveer la formacin adecuada.

92

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La repetibilidad y la trazabilidad.
Proporcionar evidencias objetivas.
Evaluar la eficacia y la adecuacin continua del sistema de gestin de servicios de TI.
Para gestionar de una forma eficaz la documentacin del sistema es necesario elaborar un procedimiento que diga cmo y quin crea los documentos, los revisa,
aprueba, mantiene y elimina.

Estructura del sistema de gestin


En cuanto a su contenido, un sistema de gestin de servicios de TI aloja el conjunto
de documentacin que integra y gestiona toda la informacin necesaria para el funcionamiento eficaz de los procesos, as como para la mejora continua. Esto abarca
desde la estrategia definida por la direccin hasta los aspectos ms detallados como,
por ejemplo, planes de actuacin, la definicin de los procesos, procedimientos,
instrucciones de trabajo, los registros, las mtricas, etc. Todo ello se debe incorporar en una o varias herramientas de soporte del sistema de gestin. Adems, se
deben establecer los procedimientos de cmo se gestionar y actualizar este sistema (manual del sistema de gestin). En la figura 3.6 se muestra un ejemplo del
contenido de un sistema de gestin para TI.
El sistema de gestin debera contemplar los siguientes contenidos:
Manual del SGSTI, que incluye:
Declaraciones documentadas de una poltica de gestin de servicios: mandato de la alta direccin, estrategia, polticas y objetivos.
El plan de accin.
La asignacin de recursos para su definicin y evolucin. Constitucin de
un equipo de trabajo para definir y evolucionar el SGSTI.
El modelo de los procesos de TI.
Estructura organizativa de TI.
Manual de procesos y procedimientos del SGSTI:
Los procesos completamente documentados.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

93

Fuente: Telefnica.

Figura 3.6. Componentes y contenidos habituales


en un sistema de gestin de TI (SGSTI)

Roles, competencias y desarrollo de la estructura organizativa.


Los procedimientos detallados, documentos requeridos por la organizacin para asegurarse de la eficaz planificacin, operacin y control de sus
procesos.
Instrucciones de trabajo.
Registros de los procesos:
Las evidencias o registros requeridos por la Norma ISO/IEC 20000-1
para la certificacin de la conformidad (vase apartado 11.2).

94

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Las mtricas de los procesos y de los servicios.


Las evaluaciones de madurez de la actividad y auditoras.
La gestin del propio SGSTI:
El manual sobre la propia organizacin del sistema de gestin.
Como es lgico, los contenidos del sistema de gestin se deben alojar en una herramienta de soporte documental que permita una gestin de versiones y un control
de los cambios a los contenidos.
El manual del SGSTI es el documento principal que recoge la estrategia de la
empresa, la estructura, responsabilidades, actividades, recursos, modelo de procesos, etc., que una organizacin establece para llevar a cabo la gestin de los servicios de TI. Fsicamente puede ser un nico documento o una estructura documental basada en versiones.
El manual de procesos y procedimientos del SGSTI contiene la definicin especfica de todos los procesos, procedimientos e instrucciones de trabajo que aseguren
la adecuada gestin de servicios de TI. Nuevamente, la denominacin de manual
no quiere decir que sea un documento nico, pues estar formado por un conjunto
completo de documentos. Pero, eso s, con un adecuado control de versiones. El
manual del SGSTI nos dice: qu? y quin?; mientras que el manual de procedimientos indica: cmo? y cundo?
La definicin de los procesos es una de las principales actividades para el cambio
en el proveedor de TI. Para la definicin de procesos se recomienda la utilizacin
de una herramienta especfica de diagramacin con soporte para poder describir su
contenido. En la figura 3.7 se muestra un ejemplo de la estructura documental para
definir un proceso.
Cuando sea necesario especificar en detalle una actividad o una tarea se utiliza el
documento denominado instruccin de trabajo, que describe la forma en la que
se debe realizar un trabajo. En la figura 3.8 se muestra el ejemplo del contenido de
una de ellas.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

95

ndice del documento de definicin


de un proceso
1. Introduccin
Objetivo del documento. Documentos
de referencia.
2. Definicin del proceso
Misin. Objetivos. Alcance.
Ubicacin del proceso (en el mapa general).
Conceptos clave del proceso.
3. El proceso en detalle
Diagrama de flujo del proceso.
Diagrama de flujo de los subprocesos.
Diagrama de flujo de las actividades.
Detalle de cada actividad y E/S.
Relaciones con otros procesos.
4. Roles y responsabilidades
Roles y sus responsabilidades.
Matriz RACI.
5. Documentos de soporte y formularios
6. Elementos de control del proceso
Mtricas de gestin, mtricas de actividad.
7. Cmo implantar el proceso
Factores crticos de xito. Requisitos para
herramientas.
8. Anexos
Fuente: Telefnica.

Figura 3.7. Ejemplo del ndice del documento para la definicin de un proceso

96

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Instruccin de trabajo para la


clasificacin y priorizacin del incidente
1.

Introduccin.

2.

Objeto.

3.

Campo de aplicacin.

4.

Documentos relacionados.

5.

Definiciones.

6.

Pautas de implantacin.

7.

Prioridad de los incidentes.

8.

Tabla de prioridades.

9.

Lista de umbrales basada en prioridades.

10. Categora de un incidente.

Figura 3.8. Ejemplo del ndice de una instruccin de trabajo

Registros de la actividad diaria y evidencias del


cumplimiento
Un registro es el resultado tangible de la actividad de TI y de los procesos. Por
ejemplo, el incidente registrado en la herramienta de gestin del incidente, una
encuesta de satisfaccin del cliente, una peticin de cambio RFC, unas medidas,
un informe del servicio, un SLA, un elemento en la base de datos de configuracin,
etc. Tambin son registros la documentacin del sistema y sus evoluciones. No hay
un almacenamiento especfico o dedicado de registros. stos quedan guardados en
las propias herramientas o mecanismos de soporten la gestin de TI. Adems,
como premisa bsica, los registros deben estar disponibles, fcilmente identificables y recuperables.
Los registros, al ser el resultado de la actividad, retienen el conocimiento de la
organizacin de TI.
Una aplicacin importante de los registros es la de proporcionar evidencias de la
conformidad del proveedor de TI con los requisitos de las normas.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

97

Las evidencias son cualquier documento o prueba que proporcione una demostracin objetiva del cumplimiento de las normas por el proveedor de TI. Las evidencias se obtienen de los registros y de cualquier otra forma que permita probar que
se cumplen los requisitos (por ejemplo, un documento, una comprobacin, etc.).
En relacin a las evidencias, ISO/IEC 20000-2 indica:
UNE-ISO/IEC 20000-2
El responsable senior debera asegurar
que las evidencias necesarias estn disponibles para una auditoria de las polticas, planificaciones y procedimientos
de la gestin del servicio y de cualquier
actividad relacionada con ellos.
Gran parte de las evidencias de los planes
y operaciones de la gestin del servicio se
deberan encontrar en forma de documentos, los cuales pueden ser de cualquier tipo y estar en cualquier formato o
soporte que sea adecuado para su fin.
Los siguientes documentos son considerados normalmente como vlidos para
servir de evidencias de la planificacin
de la gestin del servicio:

a) polticas y planes;
b) documentacin del servicio;
c) procedimientos;
d) procesos;
e) registros de control de procesos.
Debera existir un proceso para la creacin y gestin de los documentos para
ayudar a asegurar que se satisfacen las
caractersticas descritas.
La documentacin se debera proteger
de daos, debidos, por ejemplo, a
escasas condiciones del entorno donde
se encuentran y a desastres en los sistemas informticos.

Los registros estn ligados al control de la actividad de TI, mientras que las evidencias se utilizan directamente para la certificacin y las auditoras.

Competencia, concienciacin y formacin


En este apartado sobre el sistema de gestin, en estas normas se concentran las
directrices y recomendaciones estratgicas para que la evolucin de los servicios
tenga xito. Al principio de este captulo se hace hincapi en que el cambio debe se
liderado por la direccin de la empresa. En la segunda parte del mismo se definen
la gestin documental que da rigor a todo el proceso, para centrarse, en este ltimo
apartado, en las personas que forman el rea de TI.
Tanto estas normas como ITIL, conllevan la transformacin de las formas de hacer
de un conjunto o equipo, ms o menos numeroso, de personas. Se pretende cambiar

98

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

la forma de trabajar de las personas que componen TI y la forma en que estas sienten
cul es su misin en la organizacin. El cambio se orienta hacia una sistemtica de
trabajo estructurada, centrada en los clientes, basada en procesos y articulada en
torno a servicios.
Para que esta transformacin se pueda llevar a cabo, hay que poner la mxima atencin y esfuerzo en el equipo humano que est involucrado en los servicios. Pues es
este conjunto de personas el que debe evolucionar sus formas de hacer hacia los
esquemas estandarizados por el mercado.
Por lo tanto, para conseguir una eficaz implantacin del sistema de gestin, es
necesario llevar a cabo la adecuada gestin de los recursos humanos. Para ello,
debemos responder a tres preguntas:
Cules son las necesidades en cuanto a roles y funciones que requiere el sistema de gestin?
Qu perfiles existen dentro la organizacin?
Cmo se va a cubrir el posible desfase entre ambos aspectos?
Para responder a estas preguntas ISO/IEC 20000-1 establece los siguientes requisitos:

UNE-ISO/IEC 20000-1
Se deben definir y mantener todos los roles y responsabilidades de la gestin del
servicio, junto con las competencias que sean requeridas para su ejecucin efectiva.
Las competencias y necesidades de formacin del personal deben revisarse y gestionarse para permitir al personal llevar a cabo sus roles de forma efectiva.
La alta direccin debe asegurar que sus empleados son conscientes de la relevancia
e importancia de sus actividades y de cmo deben contribuir a la consecucin de
los objetivos de la gestin del servicio.

El desfase entre roles y responsabilidades que son necesarios desempear se debe


cubrir mediante la realizacin de acciones de formacin e informacin.
El personal que realiza el trabajo en el mbito de la gestin del servicio debera ser
competente gracias a la formacin recibida, a las habilidades y a las experiencias
adecuadas.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

99

UNE-ISO/IEC 20000-2
El personal que realiza el trabajo relativo
a la gestin del servicio debera ser competente para esta funcin gracias a la
educacin recibida, a la formacin, las
habilidades y la experiencia adecuadas.
El proveedor del servicio debera:
a) determinar las aptitudes necesarias para cada rol en la gestin
del servicio;
b) asegurar que el personal es consciente de la relevancia e importancia de sus actividades dentro

del ms amplio contexto de negocio y de cmo contribuyen a la


consecucin de los objetivos de
calidad;
c) mantener registros apropiados de
la educacin, formacin, habilidades y experiencia;
d) proveer formacin o llevar a cabo
otras acciones para satisfacer
estas necesidades;
e) evaluar la efectividad de las acciones realizadas.

Como no poda ser de otra forma, ISO/IEC 20000-2 hace especial hincapi en
el desarrollo profesional y de las competencias de las personas que forman parte
de TI:
UNE-ISO/IEC 20000-2
Desarrollo profesional. El proveedor
del servicio debera desarrollar y mejorar las competencias profesionales de
su fuerza de trabajo. Entre las medidas
tomadas para conseguir esto, el proveedor del servicio debera incluir lo
siguiente:
a) contratacin: con el objetivo de
comprobar la validez de los detalles de los candidatos al puesto
de trabajo (incluyendo su cualificacin profesional) y de identificar
la fortalezas, debilidades y habilidades potenciales de los candidatos frente a una descripcin/perfil
del puesto de trabajo, frente a los
objetivos de la gestin del servicio

y frente al conjunto de objetivos


de la calidad del servicio;
b) planificacin: con el objetivo de
dotar de personal a los servicios
nuevos o a aquellos que se hayan
ampliado (tambin contratando
servicios), usando tecnologa
nueva, asignando personal de
gestin del servicio a los equipos
de desarrollo de proyecto, planificando la sucesin y rellenando
los vacos que se generen debido
a rotacin anticipada del personal;
c) formacin y desarrollo: con el
objetivo de identificar los requisitos de formacin y desarrollo
dentro de un plan de formacin y

100

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

desarrollo y proveer su imparticin en el momento oportuno y


de forma efectiva.
Se debera formar al personal en los aspectos relevantes de la gestin del servicio (por ejemplo, a travs de cursos de

formacin, auto estudio, tutoras y formacin en el trabajo) y se debera desarrollar


el trabajo en equipo y las habilidades de
liderazgo. Se debera mantener un registro cronolgico de la formacin para
cada persona, junto con las descripciones
de la formacin proporcionada.

En relacin a la estrategia de contratacin de personal propio de plantilla frente a la


contratacin temporal, ISO/IEC 20000-2 hace unas reflexiones sobre los diferentes enfoques a considerar:
UNE-ISO/IEC 20000-2
Enfoques a considerar. Para que los
equipos de personal alcancen unos
niveles apropiados de competencia, el
proveedor del servicio debera decidir
cul es la proporcin ptima entre las
contrataciones a corto plazo y de forma
indefinida. El proveedor del servicio
debera decidir tambin la proporcin a
alcanzar entre la contratacin de nuevo
personal con las habilidades requeridas
y el reciclaje de personal ya existente.
Nota: El equilibrio ptimo entre las contrataciones a corto plazo y de forma indefinida es
particularmente importante cuando el proveedor del servicio est planificando como
proveer un servicio durante y despus de
cambios a gran escala en el nmero y
habilidades del personal de apoyo.

Los factores que se deberan considerar


para establecer la combinacin ms
adecuada de estos enfoques incluyen:

a) el carcter de las competencias


nuevas o modificadas: si son a
corto o a largo plazo;
b) la tasa de cambio en las habilidades y competencias;
c) los picos y los descensos esperados en la carga de trabajo y
la combinacin de habilidades
requeridas, datos basados en la
gestin del servicio y en la planificacin de las mejoras del servicio;
d) disponibilidad de personal competente;
e) tasas de rotacin de personal;
f) planes de formacin.
Para todo el personal, el proveedor del
servicio debera revisar el desempeo a
nivel individual al menos anualmente y
tomar las acciones oportunas.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

101

Presente y futuro del Sistema de Gestin del


Servicio de TI (SGSTI)
Actualmente las empresas no son capaces de digerir e implementar toda la normativa y buenas prcticas ya definidas por el mercado. La progresiva maduracin
del sector de las TI y de los profesionales que lo forman permitir ir aprovechando
paulatinamente toda la normativa que est definida o se vaya definiendo.
Para ello, el sistema de gestin se debera convertir en un mecanismo intermedio
que traspase y adapte, de forma eficiente, los avances normativos de la industria a
la actividad del proveedor de TI. Este sistema intermedio, entre la normativa
externa y las formas de trabajo internas, permitir al proveedor de TI ir incorporando paulatinamente en la organizacin las nuevas prcticas que de forma continua se producen en el mercado. De esta forma, el personal de TI seguir trabajando
con su sistema de gestin y sus evoluciones, independizndose de la vorgine de
produccin y revisin de mejores prcticas en las que el mercado est inmerso.
Pero para mantener actualizado el sistema de gestin, se debera contar con un
equipo especfico de expertos en el anlisis de la evolucin de los entornos normativos que influyen en TI, para dejar que el resto de la organizacin se concentre en
su trabajo cotidiano. As, la mayora de los profesionales de TI tendran nicamente
que conocer y aplicar el sistema de gestin de TI de su empresa, que ser evolucionado por este grupo de expertos en el SGSTI.
El camino a la excelencia de la gestin de las TI en la empresa pasa por construir
este nico modelo, en el que se vaya incorporando toda la normativa y buenas
prcticas existentes a las formas de hacer internas. As, el sistema de gestin de TI
debe ser un modelo ms amplio, se necesita que vaya ms all de lo establecido en
ISO/IEC 20000 para poder cubrir las necesidades.
Adems, en el mbito ms general de la gestin de la empresa aparece el concepto
de sistema de gestin integrado. En concreto, la Norma UNE 66177 Sistemas de
gestin. Gua para la integracin de los sistemas de gestin hace referencia a la integracin de los sistemas de gestin de calidad, medio ambiente y seguridad laboral
(ISO 9001, ISO 14001 y OHSAS 18001) y define a nivel prctico una metodologa de integracin de los distintos sistemas de gestin a desarrollar por la organizacin. De forma parecida, la norma britnica BS-PAS 66 Specification of common
management system requirements as a framework for integration especifica los requisitos para un sistema de gestin unificado marco. E incluso existe la Gua ISO 72
que es una gua de referencia para redactar normas que definen los sistemas de gestin, esta gua fue adaptada como informe UNE 66172 IN.
El SGSTI se debera construir sobre el modelo de gestin de la calidad existente en la
empresa, para acabar convirtindose en un modelo integrado que aglutine las formas

102

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

en que la empresa gestionar sus TI (denominado aqu para clarificar como:


SGSTI+). Por ello, el SGSTI+ se afrontara con esta visin integradora constituyndose en el nico sistema de gestin de TI e incorporando:
El sistema de gestin general de las TI en base a ISO/IEC 20000, para la
gestin y operacin de los servicios, contemplando las mejores prcticas
de ITIL.
La gestin de la calidad para la construccin o desarrollo de software segn
ISO 9001, UNE 71044 e ISO 90003, junto a CMMI y metodologas de
gestin de proyectos (por ejemplo, PMBOK o PRINCE2).
El sistema de gestin de la seguridad SGSI segn ISO 27001.
La estrategia y gobierno de las TI segn ISO/IEC 38500 y COBIT.
Integrndose el SGSTI+, a su vez, en el sistema de gestin de la calidad
(SGC) general de la empresa segn ISO 9001.
Y el resto de mejores prcticas relacionadas con TI que vayan saliendo.
En la figura 3.9 se muestra una situacin que es frecuente encontrar en las empresas ms avanzadas. En esta primera etapa de evolucin en las formas de gestin de
las TI, se incorporan las normas ms relevantes: para la gestin de sistemas, para el
desarrollo, para la seguridad y para el gobierno de las TI.
El SGSTI debe unificar, incorporndolos, los sistemas de gestin en el mbito de
TI que posiblemente se estn implantando o ya se hayan implantado.
Dado que el entorno normativo est en frentica ebullicin, el sistema de gestin
de TI se debera ir enriqueciendo con aquellos avances normativos que contribuyan a la mejora del proveedor de TI, con el fin de implantar en el quehacer cotidiano de TI la riqueza de las formas de hacer de todos estos estndares. As, la gestin
de todo proveedor de TI se construir tomando en cuenta todos los estndares de
mayor relevancia para tener una gestin de las TI completamente madura (denominado aqu como: SGSTI++), como se muestra en la figura 3.10.
Despus de esta visin al futuro, conviene dejar claro que en el caso de las Normas
ISO/IEC 20000 slo se exige que se cumpla con los requisitos especificados en
ellas y no se requiere que se incorporen todos los otros estndares mencionados
anteriormente.
En los captulos siguientes del libro se profundiza en los 14 procesos definidos en
estas normas, que son la base para la trasformacin de las actividades ms esenciales del proveedor de TI.

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

Cultura de
la empresa

Buenas prcticas
de la empresa

Objetivos del
negocio y de TI

103

Capacidad
y recursos

Sistema de gestin general de la empresa (SGC segn ISO 9001)


Tecnologas de la informacin Sistema de gestin integrado
SG de otras reas
de la empresa

Gobierno

Calidad y
mejora continua

Gobierno
TI

ISO 9001
ISO 9004

Gestin y operacin
del servicio de TI

Seguridad

Desarrollo de SW

SGSI

Madurez +
SG DES.

Gestin servicio
y su prestacin

Seguridad

Desarrollo SW

COBIT

ITIL

ISO 17799

SPICE ISO
15504

ISO 38500

ISO/IEC 20000

ISO 27001

CMMI for
DEV

SG GOB

SGSTI

ISO 90003

Figura 3.9. Escenario maduro con la incorporacin de normativa


a la gestin de las TI (SGSTI+)

Cultura de
la empresa

Buenas prcticas
de la empresa

Objetivos del
negocio y de TI

Capacidad
y recursos

Sistema de gestin general de la empresa (SGC segn ISO 9001)


Sistema integrado de gestin del servicio de TI (SGSTI++)
SG de otras reas
de la empresa

Calidad y
mejora continua

Procesos propios
del negocio

ISO 9001

Industria

Incorpora la normativa del mercado relacionada con TI


(gobierno, gestin del servicio, desarrollo de SW, proyectos, seguridad, etc.)

Medio
ambiente

Gobierno
TI

ISO 9004

Banca

ISO 14001

COBIT

EFQM

Telcos:
eTOM

UNE
150004 EX

ISO 38500

6 Sigma Lean

Gestin servicio
y su prestacin

Desarrollo
SW

CMMI
Services

SPICE

Getin de
proyectos

Seguridad

ISO 17799

ISO 9003

PMBOK

ISO 27001

ITIL v2

ISO 12007

Prince 2

ISO/IEC
20000

ISO 29382
PAS 77

People CMMI

ITIL v3

CMMI

Figura 3.10. Escenario previsto 2014 de uso de normativa


para la gestin de las TI (SGSTI++)

104

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Resumen
La aportacin principal de un sistema de gestin es el orden y la estandarizacin.
As, toda la organizacin trabaja de la misma forma y con el mismo idioma. Todo
ello contribuye en la consecucin del objetivo que tiene este sistema de gestin:
hacer posible una efectiva gestin e implantacin de todos los servicios de TI.
El objetivo de este sistema de gestin es conseguir que la provisin y prestacin de
los servicios de TI se realice de una manera eficaz y eficiente.
En la figura 3.11 se recoge una visin completa del SGSTI y su relacin con el da
a da del proveedor de TI.

Fuente: Telefnica.

Figura 3.11. Visin completa del SGSTI y su relacin con el da a da


del proveedor de TI

SGSTI

3. El Sistema de Gestin del Servicio de TI (SGSTI)

105

En la figura 3.12 se muestra a modo de resumen un ejemplo de la estructura documental de un sistema de gestin de TI.

Estructura documental del SGSTI

1. Manual del SGSTI


El mandato de la alta direccin.
Estrategia, poltica y objetivos de la
gestin de servicios TI.
Plan de accin.
Recursos para su definicin y ejecucin.
Modelo de procesos.
Estructura organizativa.
2. Manual de procesos y procedimientos
del SGSTI
Manual de procesos.
Roles y competencias.
Manual de procedimientos.
Instrucciones de trabajo.
3. Registros de los procesos
Registros.
Mediciones.
Resultados de auditoras y evaluaciones.
4. Gestin y soporte del SGSTI
Manual de gestin del SGSTI.
Herramienta de soporte documental
al sistema.

Fuente: Telefnica.

Figura 3.12. Ejemplo de la estructura documental de un SGSTI

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

106

Beneficios
Implantar la gestin de los servicios de TI, utilizando los conceptos y rigor impuestos por el sistema de gestin, aporta importantes ventajas a la organizacin de TI:
Formaliza en la organizacin la implantacin de la gestin del servicio.
Propone una aproximacin estructurada de lo general (estrategia y polticas)
a lo particular (procedimientos).
Da soporte a una implantacin por etapas, extendida en el tiempo.
Impone rigor en la definicin, en el seguimiento y en la captura de registros
y evidencias.
Permite la alineacin con los sistemas de gestin de la calidad (ISO 9001)
de la empresa.
Genera un sistema documental en el que se recoge formalmente toda la
informacin necesaria para soportar el modelo de gestin.
La gestin documental que lo soporta es una pieza imprescindible para obtener la certificacin ISO/IEC 20000.

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Sabe qu sistemas de gestin hay implantados en su empresa u
organizacin?
Qu aporta un sistema de gestin a las organizaciones de TI?
Cul es la diferencia entre el Sistema de Gestin del Servicio de TI
(SGSTI) y el modelo de procesos ISO/IEC 20000?

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

Captulo 4

Planificacin e
implementacin de
la gestin del servicio

3. Sistema de Gestin del Servicio de TI (SGSTI)


4. Planificacin e implementacin de la gestin del servicio (PDCA)
5. Planificacin e implementacin de nuevos servicios o de servicios modificados

6. Procesos de la provisin del servicio


6.5 Gestin de la capacidad
6.3 Gestin de la
continuidad y
disponibilidad
del servicio

6.1 Gestin de
nivel de servicio

6.6 Gestin de la seguridad


de la informacin

6.2 Generacin de
informes del servicio

6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI

9. Procesos de control
9.1 Gestin de la configuracin

10. Proceso
de entrega

9.2 Gestin del cambio

7. Procesos
de relaciones

10.1 Proceso de gestin


de la entrega

8. Procesos
de resolucin

7.2 Gestin de las


relaciones con el negocio

8.2 Gestin del incidente

7.3 Gestin de
suministradores

8.3 Gestin del problema

Fuente: UNE-ISO/IEC y e.p.

PDCA
4. Planificacin e implementacin de la gestin del servicio

109

La transformacin del proveedor de TI hacia un modelo orientado a servicios y


ajustado a las necesidades del negocio pasa por la implantacin de formas ms
organizadas y eficientes de gestionar la tecnologa. El reto de las organizaciones se
centra en ser capaces de cambiar evolucionando hacia modelos ms industrializados de trabajo en TI, alejndose de los individualismos y de las incertidumbres
habituales. Como se ha tratado en captulos anteriores, la adopcin de las prcticas
de ISO/IEC 20000 junto con otras buenas prcticas del mercado (como ITIL) es
el camino ms acertado para el avance.
El problema surge cuando un proveedor de TI se plantea la forma de abordar esta
transformacin interna de su organizacin. La experiencia demuestra que la transformacin con base a ITIL y a las Normas ISO/IEC 20000 puede llevar varios
aos de trabajo continuo, aunque la certificacin se pueda conseguir antes. Adems, conviene ser conscientes de que se est empezando un camino de mejora continua en la organizacin. Antes de terminar esta implementacin seguramente
habr que abordar en paralelo otros proyectos de mejora, por ejemplo: la seguridad (en base a ISO/IEC 27001), el gobierno de las TI (ISO/IEC 38500 y
COBIT), el desarrollo de aplicaciones (ISO/IEC 15504 CMMI for Development), etc.
Los requisitos y gua del apartado 4 de las Normas ISO/IEC 20000 y este captulo
del libro, estn centrados en ayudar a que la planificacin e implementacin de la
gestin del servicio se alcance con xito. Adems, se enriquece con experiencias
basadas en otras organizaciones pioneras que abordaron o estn abordando esta
transformacin.
Para entenderlo mejor, el ttulo del captulo 4 de las normas, Planificacin e implementacin de la gestin del servicio, se podra tambin entender como implantacin de las Normas ISO/IEC 20000 o bien implantacin del sistema de gestin
(SGSTI). Es decir, la implantacin de las normas pasa por planificar su implantacin, hacer la implantacin (que incluye la definicin completa del SGSTI), verificar si se han alcanzado los objetivos para establecer las medidas correctoras necesarias, y actuar iniciando un plan de mejora continua.
El apartado 4 de las normas es bastante autoexplicativo y no necesita aclaraciones
especiales, por lo que en este captulo del libro se ha decidido complementar lo
indicado en las normas con la experiencia de los autores en las implementaciones y
parte de lo recogido en ITIL.

PDCA
4. Planificacin e implementacin de la gestin del servicio

111

4.1. Cmo planificar e implementar la gestin


del servicio

Figura 4.1. Planificacin e implementacin de la gestin del servicio


siguiendo el ciclo PDCA

Las Normas ISO/IEC 20000, al igual que muchas otras normas internacionales,
establecen que la implantacin de los procesos para la gestin del servicio se estructure en las cuatro etapas identificadas por las siglas PDCA, muy utilizadas en gestin
de la calidad (vase la figura 4.1). Estas normas se centran en definir los requisitos y
recomendaciones a tener en cuenta para la implantacin de los procesos establecidos
en los sistemas de gestin, ordenados en cada una de estas 4 etapas del PDCA.
El ciclo PDCA representa una forma de organizar los cambios o las acciones de
mejora en las organizaciones. Es una estructuracin sencilla en 4 pasos y viene a
recordar que, adems de planificar e implementar los cambios, hay que comprobar
el xito de las acciones, y si hay algo que corregir o prevenir (que siempre lo habr)
hay que actuar para subsanarlo. La gran importancia de este ciclo sencillo radica en
que se utiliza mucho en la normativa internacional de ISO y de otras instituciones
como la forma de implantar una actividad de mejora continua de cualquier aspecto
en cualquier organizacin. En la figura 4.2 se muestra este ciclo aplicado a la gestin del servicio de TI.

112

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

P
Planificar: planificar la
implementacin y la entrega
de la gestin del servicio.

Plan
Planificar

D
Hacer: implementar el plan
de gestin del servicio.

Do

Act

Hacer

Actuar
Check

A
Actuar: mejorar la eficacia y
la eficiencia de la entrega
y la gestin de los servicios.

Verificar

C
Verificar: monitorizar, medir
y revisar que los objetivos y
el plan de gestin del servicio
se estn alcanzando.

Figura 4.2. Ciclo PDCA aplicado a la implantacin del sistema de gestin de TI

El concepto original del ciclo PDCA fue desarrollado por Walter Shewhart, estadstico pionero en el desarrollo de procesos de control estadstico en los Laborarios Bell
de EEUU durante la dcada de 1930. El ciclo de Shewhart fue adoptado y promocionado posteriormente por un discpulo suyo W. Edwards Deming en la dcada de
1950, difundindose como ciclo o rueda de Deming, quien propuso que los procesos
se deben analizar y medir para identificar las causas de las variaciones que originan
que los productos se desven de los requisitos de los clientes. Deming recomienda
que los procesos de negocio deben estar en un bucle realimentado de mejora continua para poder identificar y cambiar las partes del proceso que necesitan mejora.
Unos aos despus, en su carrera profesional, Deming modifica el concepto original de PDCA, cambiando check por study, pues segn l, estudiar describe
mejor la intencin inicial, apareciendo el nuevo ciclo Plan-Do-Study-Act (PDSA),
que ha tenido escasa aceptacin.
Posteriormente la metodologa de mejora continua Seis Sigma define un ciclo de
cinco etapas: Define-Measure-Analyze-Improve-Control (DMAIC) basado en el ciclo
de Deming.
Otros autores proponen anteponer al PDCA una etapa de anlisis y de decisin.
Para ello, utilizan la metodologa FOCUS (Find-Organize-Clarify-Understand-Start);
crendose un ciclo de nueve etapas denominado: FOCUS-PDCA.

PDCA
4. Planificacin e implementacin de la gestin del servicio

113

ITIL v2, en su libro Planning to Implement Service Management, propone para la


implantacin de ITIL un ciclo de seis etapas derivado del PDCA pero que no
encaja exactamente con l. Las etapas de implementacin de la gestin del servicio
en ITIL expresadas en modo de pregunta son:
1. Cul es la visin?: en la que se determinan los objetivos de negocio a alto nivel.
2. Dnde estamos ahora?: realiza una evaluacin o assessment de la situacin
actual.
3. Dnde queremos estar?: fija unos objetivos medibles.
4. Cmo hacemos para llegar?: que establece el plan de accin de implantacin o mejora de los procesos.
5. Cmo comprobamos que hemos alcanzado los objetivos?: comprobacin
de los resultados mediante mtricas.
6. Cmo mantenemos lo alcanzado?: en la que se consolidan los logros alcanzados previamente.
En la figura 4.3 se muestran estas 6 etapas en las que ITIL v2 estructura la actividad de implementacin.
Cul es la visin?

Dnde estamos
ahora?

Cmo mantenemos
lo alcanzado?

Dnde queremos
estar?

Cmo hacemos
para llegar?

Cmo comprobamos
que hemos alcanzado
los objetivos?
Fuente: Libro ITIL Planning to Implement Service Management publicado por OGC.

Figura 4.3. Ciclo de implantacin de ITIL de 6 etapas,


propuesto en su libro Planning to Implement Service Management

114

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Como se aprecia, la interpretacin del ciclo de Deming no es tan uniforme como


parece a primera vista, pues hay varias formas de interpretar el objetivo de cada una
de estas etapas del ciclo:
a) Siguiendo estrictamente las directrices de Deming, despus de la planificacin viene una fase piloto o de test a corta escala del cambio, que se corresponde con la fase de realizar (Do). La fase Check realizara la comprobacin
de que el piloto arroja los resultados esperados, para despus proceder a su
implantacin en la etapa act. Esta interpretacin difiere a la adoptada por la
normativa internacional.
b) Otra interpretacin del ciclo de mejora continua PDCA es la siguiente. se
planifica el cambio (Plan), se ejecuta el cambio (Do), se comprueba su
correcto funcionamiento, se identifican acciones de mejora (Check) y se ejecutan las acciones correctivas del cambio (Act). Adems, en la etapa Act se
identifican y deciden las nuevas mejoras que se deberan llevar a cabo, que
se ejecutaran con otro nuevo ciclo PDCA. En esta interpretacin las fases
Check y Act, adems de comprobar los logros alcanzados, proporcionan las
entradas a la nueva fase de planificacin.
c) En las Normas ISO/IEC 20000, la interpretacin realizada del ciclo de
Deming es ms parecida al punto anterior, aunque de la lectura de las normas se aprecia que en la fase Act se incluye el proceso de mejora continua.
Por tanto, en el texto de las normas no se deduce que se deba iniciar un
nuevo ciclo PDCA de mejora, sino que, es la propia fase de Act la que acoge
la mejora continua de la implantacin realizada.
En este libro se adopta la interpretacin del ciclo de Deming realizada en el punto
b anterior, con un ciclo nuevo de PDCA para cada etapa iniciada de mejora continua, en el que las fases Check y Act preparan adems las actividades que se debern
planificar en la fase Plan. As, la primera vez se empezara por la fase Check. En la
figura 4.4 se muestra este planteamiento.
PDCA es una espiral o proceso repetitivo de implantacin de mejoras, suele estar
asociado a programas de mejora de la calidad. Se utiliza mucho en la normativa
internacional. Introduce el ciclo de mejora continua, pues una vez finalizadas las
mejoras, vuelve a empezar con otras nuevas.
En el caso de las Normas ISO/IEC 20000, el ciclo PDCA se utiliza para la implementacin de lo establecido en el sistema de gestin de TI (SGSTI). Al igual que
las mquinas apisonadoras convierten un camino irregular en una autopista de
trnsito rpido, el sistema de gestin de TI permite que las actividades en la organizacin fluyan con mayor eficiencia. En la figura 4.5 se muestra una representacin de este smil, que compara el SGSTI con la autopista y el ciclo de implantacin
PDCA con la apisonadora que allana el pavimento.

PDCA
4. Planificacin e implementacin de la gestin del servicio

115

Plan
Planificar

Ciclo PDCA
habitual

Fase inicial de evaluacin


y seleccin de acciones

Do

Act

Hacer

Actuar

Check
Verificar

Verificar:
realizar un
anlisis o
evaluacin
inicial de la
organizacin
de TI

Actuar:
identificar
las acciones
que se deben
realizar.

Planificar:
planificar la
implementacin
y la entrega de
la gestin
del servicio.

Hacer:
implementar
el plan de
gestin del
servicio.

Verificar:
monitorizar, medir
y revisar que los
objetivos y el plan
de gestin del
servicio se estn
alcanzando.

Actuar:
mejorar la eficacia
y la eficiencia
de la entrega
y la gestin de
los servicios.

Figura 4.4. Inicio habitual en TI del ciclo PDCA por una fase inicial de Check y Act

Figura 4.5. El sistema de gestin de TI se implementa con un ciclo PDCA


para alcanzar la excelencia objetivo

116

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

UNE-ISO/IEC 20000-1
Nota: La metodologa conocida como Planificar-Hacer-Verificar-Actuar (PDCA, del ingls Plan-DoCheck-Act) puede aplicarse a todos los procesos. La metodologa PDCA puede describirse del
modo siguiente:

a) Planificar: Establecer los objetivos y los procesos necesarios para proporcionar resultados de acuerdo con las necesidades del cliente y con las polticas
de la empresa.
b) Hacer: Implementar los procesos.
c) Verificar: Monitorizar y medir los procesos y los servicios contrastndolos con
las polticas, los objetivos y los requisitos, e informar sobre los resultados.
d) Actuar: Emprender las acciones necesarias para mejorar continuamente el
rendimiento y comportamiento del proceso.

La Norma ISO/IEC 20000-1 presenta un esquema del PDCA como motor para la
implementacin y mejora de la gestin del servicio. En la figura 4.6, en la parte
izquierda se muestran las entradas a tener en cuenta en la gestin del servicio (requisitos del negocio, requisitos del cliente, solicitudes de servicios nuevos o modificaciones, interfaces con otros procesos, el centro de servicio al usuario, otros grupos o
reas, etc.). En la parte derecha se muestran las salidas de la actividad de gestin del
servicio (entrega de resultados al negocio, satisfaccin de las reas cliente, los servicios nuevos o renovados disponibles, satisfaccin del equipo de TI, etc.). En la parte
central se sita la propia gestin de TI, destacndose la necesaria implicacin de la
direccin y el motor PDCA para implantar y evolucionar la gestin de TI.

Procesos, herramientas y personas son los ejes de la


implementacin
El apartado 4 de las Norma ISO/IEC 20000-1 especifica mientras que la Norma
ISO/IEC 20000-2 recomienda y detalla los temas que se deben tener en cuenta
para la implantacin de estas normas en el proveedor de TI. Como se ha visto en el
captulo 3 de este libro, la implantacin de ISO/IEC 20000 se realiza siempre a travs del sistema de gestin (SGSTI). Es decir, el captulo 4 recomienda una disciplina de trabajo a tener en cuenta para la implantacin del SGSTI especfico del
proveedor de TI.
Las claves para alcanzar el xito en una implementacin de la gestin de los servicios de TI es tener siempre en cuenta las tres reas bsicas necesarias para el cambio

PDCA
4. Planificacin e implementacin de la gestin del servicio

117

Fuente: UNE-ISO/IEC 20000.

Figura 4.6. La metodologa planificar-hacer-verificar-actuar


para los procesos de gestin del servicio

cultural y organizacional: los procesos, las herramientas que los soportan y las personas. reas que, aunque no resultan nuevas en absoluto, no por ello dejan de ser
importantes para estructurar las actividades que se deben realizar. En la figura 4.7
se muestran estas tres reas alrededor del SGSTI y del ciclo PDCA utilizado para
implementarlo y mejorarlo.

Los procesos marcan las formas de hacer


La definicin de nuevas formas de hacer ms eficaces, estructurando los trabajos primero en procesos, estos en subprocesos, en actividades y en procedimientos detallados, formar parte del conocimiento y cultura de la empresa y se incorporar con
rigor al sistema de gestin (SGSTI). La planificacin de la definicin de los procesos se realiza en la fase plan y su propia definicin se realiza en la fase do. Gran parte
del texto de las Normas ISO/IEC 20000, de los libros ITIL y tambin el resto de
este libro, estn dedicados a especificar y explicar los procesos y las actividades de TI
con gran cantidad de detalles, por lo que no es necesario tratarlo en este captulo.

118

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Figura 4.7. Las 3 reas que se deben considerar siempre


para la implantacin con xito de ISO/IEC 20000

La experiencia muestra que estos marcos de mejores prcticas utilizan una visin
bastante homognea de los procesos y de su contenido, por lo que las diferencias
en la definicin de los mismos son pequeas. Es en los detalles de quin y con qu
se realizan (contenidas en los procedimientos) cuando empiezan a aparecer diferencias entre las organizaciones. Por este motivo se recomienda realizar con rapidez la
definicin de procesos y procedimientos, y tambin contar con el apoyo de una
consultora externa para ello.
La definicin de los procesos es una actividad importante en la implantacin y, adems, se suele concluir con bastante xito. Pero hay que recordar que no es la nica
faceta: los procesos hay que implantarlos para que el personal trabaje de acuerdo a
ellos; el apoyo de las herramientas de gestin es esencial para dar eficiencia y conducir el trabajo diario; y el cambio cultural de la organizacin es el factor ms difcil de llevar a cabo.

Las herramientas son necesarias para la productividad y


el control
Las Normas ISO/IEC 20000 no establecen ningn requisito ni recomendacin
sobre las herramientas de soporte a la gestin de TI y la actividad de los procesos.
Pero, en las instalaciones medianas, y especialmente en las grandes, las herramientas

PDCA
4. Planificacin e implementacin de la gestin del servicio

119

de gestin de TI son esenciales para proporcionar la agilidad necesaria en la organizacin, para garantizar que se siguen las formas de hacer definidas, y para almacenar y retener el conocimiento. Adems, las herramientas permiten el seguimiento
de los procesos, su medicin y su mejora.
Las herramientas son uno de los factores crticos de xito en la implantacin de la
norma. Pero las herramientas tienen un coste nada despreciable: en licencias (aunque hay algunas gratuitas), en plataforma, en parametrizacin, en soporte, en formacin y en su evolucin. Dependiendo del tamao del proveedor de TI, de la
diversidad de los servicios y del volumen de su actividad, variar la complejidad de
las herramientas. La seleccin de las herramientas vendr marcada por los requisitos que impongan los procesos ya definidos. Tambin hay que considerar el aprovechamiento de las que estn en uso (siempre que cumplan las exigencias de los
procesos).
La seleccin y compra de un conjunto de herramientas de gestin no es una labor
trivial y, con frecuencia constituye un proyecto en s mismo. Hay que establecer: el
mbito que se debe cubrir, una extensa lista de requisitos que se deben exigir a las
herramientas, analizar la oferta del mercado, etc. Tambin, la propia implantacin
de las herramientas en s, constituye uno o varios proyectos, dependiendo del
tamao de la instalacin y la diversidad de productos seleccionados.
Hay un primer grupo de herramientas que posibilitan la actividad de implantacin
de las normas, por lo que deben ser las primeras que se seleccionen e implementen,
por ejemplo:
El soporte documental del sistema de gestin. Es recomendable disponer
de un gestor documental con control de versiones y acceso web. Aunque en
los inicios, cualquier herramienta colaborativa con interfaz web de la
empresa podr demorar la inversin en el gestor documental, e incluso, con
un sistema de archivos organizado y controlado puede ser suficiente en
estos inicios.
La herramienta de diseo de procesos. En el mercado hay varias herramientas de diseo de procesos que se pueden utilizar a estos fines. Hay que determinar que informacin ir volcada en la herramienta de procesos y cual se
mantendr externamente en archivos de texto. En cualquier caso, TI debera
utilizar la herramienta y metodologas utilizadas en la empresa para definir
sus procesos de negocio, y no trabajar por su cuenta; situacin bastante
frecuente. Si la empresa no tiene una slida implantacin de la cultura de
calidad y procesos, es habitual que se empiece con una solucin de diagramacin de flujos ofimtica (como Microsoft Visio o Microsoft PowerPoint)
y la descripcin de los procesos en texto (Microsoft Word). Este escenario

120

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

no se recomienda, pues cualquier evolucin obligar a revisar las referencias


cruzadas en los textos y redibujar todos los grficos.
Una herramienta de gestin de proyectos que implemente la metodologa
que se vaya a seguir. La implementacin de la gestin del servicio es compleja, lleva mucho tiempo y puede estar formada por varios proyectos que
transcurrirn en paralelo. Por ello, se debe contar desde el principio con una
herramienta que permita realizar una planificacin tanto de alto nivel, como
de detalle. Siempre que sean adecuadas, se recomienda utilizar las herramientas y metodologas existentes en la empresa, pues la implementacin de las
normas debe apoyarse y aliarse con toda la organizacin. En un escenario
bsico para la gestin de proyectos la herramienta ofimtica Microsoft
Project puede ser vlida. En relacin a las metodologas, el mundo ITIL
recomienda el uso de Prince2. Tambin PMBOK est muy extendido para
proyectos de desarrollo de software.
Un cuaderno de bitcora. En l se registrarn da a da las acciones que se
estn ejecutando y las actas de las reuniones. Este diario podr acabar convirtindose en un blog interno de soporte a la comunicacin del proyecto.
En la estrategia de implantacin se definirn los procesos a implantar, normalmente en una aproximacin por fases. Lgicamente, segn sea el orden de implantacin de los procesos, se debern incorporar las herramientas que los soporten,
por lo que las herramientas se irn aadiendo paulatinamente, acompaando a la
implantacin de los procesos, pero siempre dentro de una estrategia previamente
definida.
A continuacin se presenta una relacin de herramientas de gestin de TI tpicamente utilizadas en las empresas ms avanzadas, cada organizacin deber adaptar
esta relacin a sus caractersticas particulares:
Herramienta para la gestin de contactos en el centro de atencin del usuario.
Herramienta para la gestin de incidentes o herramienta de ticketing.
Herramienta para el autorregistro web de incidentes y peticiones de usuarios.
Herramienta para la autorresolucin de incidentes por los usuarios.
Herramienta para la gestin de la configuracin, incluyendo la base de datos
de configuracin (CMDB).
Herramienta para a gestin de inventarios y activos.
Herramientas para el autodescubrimiento de activos: de ordenadores personales, de elementos de red, de servidores, de usuarios, etc.

PDCA
4. Planificacin e implementacin de la gestin del servicio

121

Herramienta para la gestin del cambio.


Soporte a la biblioteca definitiva de software (DSL).
Herramienta para la gestin de nivel de servicio. Herramientas para una
visin dinmica del estado de cada servicio y de sus componentes.
Portal para la publicacin de informes web, estticos o dinmicos.
Soporte a la base de datos de la capacidad (CDB).
Herramienta para el control y registro de costes.
Herramienta para el anlisis de tendencias.
Gestor documental del sistema de gestin SGSTI.
Herramienta de diseo de procesos.
Herramienta de gestin de proyectos.
Cuaderno de bitcora y un boletn de comunicacin.
Herramienta de gestin de perfiles profesionales y RRHH de TI.
Plataforma de monitorizacin y una consola central de eventos.
Adems, tambin ser necesario un conjunto de herramientas tcnicas de administracin y gestin de: servidores, bases de datos, discos de almacenamiento, equipos de comunicaciones, planificacin de trabajos batch, seguridad, etc.
Con la intencin de simplificar para los que se inician en el camino (y siempre pensando en las instalaciones medianas o grandes), el conjunto mnimo de herramientas que un proveedor de TI tipo debera tener en las etapas iniciales sera: la gestin documental para alojar el SGSTI, la herramienta para la gestin de incidentes,
la CMDB, la DSL y un portal para la publicacin web de informes. El resto de las
necesidades de herramientas se podra cubrir inicialmente con soluciones ya existentes en la empresa o soluciones provisionales basadas en herramientas ofimticas.
En la figura 4.8 se muestra un conjunto bsico de herramientas sealando los procesos que cubren sobre el esquema de ISO/IEC 20000.
Si analizamos el desglose de los costes de un proyecto de implantacin de herramientas, se aprecia que, normalmente, la partida de licencias software suele suponer
el 30% del presupuesto del proyecto. El 70% restante se repartira entre los servicios de implantacin, la formacin, cambio cultural y el hardware de los servidores.
Tambin hay que considerar, para los presupuestos futuros, el coste del mantenimiento evolutivo y correctivo de las mismas, as como, el coste de operacin y de
mantenimiento.

122

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Fuente: UNE-ISO/IEC y e.p.

Figura 4.8. Herramientas mnimas e imprescindibles


en la gestin del servicio y los procesos a los que dan soporte

Cuidar al personal de TI es clave para el xito


No hay que olvidar que una excelente definicin de procesos que engranen todas
las actividades a la perfeccin no es suficiente. Ni siquiera con las mejores herramientas de soporte, pues gran parte del trabajo requiere de la intervencin de las
personas que forman el equipo de TI. Por lo que el frecuentemente olvidado factor
humano resulta ser clave para el xito de la implantacin y, por ende, clave para la
supervivencia de la empresa.
No hay un directivo en el elenco de TI que no predique y derroche halagos sobre la
importancia de las personas que forman su equipo de trabajo, pero con frecuencia
todo se queda solamente en palabras. Todo directivo que se precie deber apostar
claramente por el factor humano, con acciones tangibles y concretas ya que para el
xito de la implementacin de las nuevas formas de trabajo las palabras no bastan.
El personal de TI, muy machacado por la presin diaria, no se deja influir fcilmente por declaraciones de principios relativas a la importancia de las personas. Lo
que necesita son hechos visibles que les demuestren que la alta direccin apuesta de

PDCA
4. Planificacin e implementacin de la gestin del servicio

123

verdad por el cambio y que ellos son importantes para conseguirlo. Sin cumplir
este requisito el fracaso est garantizado.
La importancia de las personas en este camino de transformacin se debe manifestar ntidamente en:
Planes paulatinos, constantes e intensivos de formacin sobre las nuevas formas de trabajo y las nuevas herramientas de gestin.
Entrenamiento individual en las funciones de su puesto, hasta que cada uno
llegue a desempearlas a la perfeccin.
Comunicacin, nimo y estmulo constante. Mediante conferencias, reuniones, boletines internos, etc. Transmitiendo tranquilidad ante la incertidumbre del cambio y entusiasmo.
Motivacin permanente a los que se implican y una gestin pertinaz de quienes se muestran reticentes al cambio.
Evolucin organizativa gil. Los nuevos roles necesarios se deben definir y
nombrar con rapidez.
Autoridad y disciplina. Es necesario mantener el principio de autoridad, pues
el servicio de TI no es un juguete tecnolgico, y s es o ser la pieza esencial
para la supervivencia de la empresa.
Foco en el dominio de la tecnologa. No se debe olvidar la necesidad del
dominio absoluto de la tecnologa, sin el cual, todo esfuerzo de establecer
procedimientos y organizar ser en vano. As, por muy detallados que se tengan los procedimientos, por muy alineados que se est con el negocio, si los
programadores no saben construir cdigo de calidad o si el tcnico de
soporte al intentar resolver una incidencia destroza el equipo por desconocimiento tcnico, no hay transformacin posible.

Fase preliminar a la implementacin: evaluacin o


assessment inicial
Cuando el proveedor de TI se sita por primera vez ante el dilema de cmo
abordar la implementacin, en las Normas ISO/IEC 20000 aprecia la falta de
una etapa previa que analice la situacin actual de la organizacin de TI, y determine las acciones y permita establecer fases. En implantaciones de estas normas
es frecuente y recomendado empezar por una evaluacin de la situacin actual de
partida (o assessment), en el mercado hay varios modelos aplicados especficamente

124

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

a ISO/IEC 20000 o a ITIL. El informe resultante de la evaluacin debera tratar


los aspectos siguientes:
La evaluacin debera comenzar con la descripcin de la problemtica principal actual de la organizacin que se quiere resolver, si es que estuviera identificada.
Una descripcin de la organizacin: misin, servicios, infraestructuras, tecnologa, personal, estrategia de contratacin, contratos con suministradores,
volmenes de actividad (nmero de incidentes, solicitudes, cambios, etc.),
herramientas de gestin y tcnicas utilizadas, tendencias del negocio, tendencias tecnolgicas, etc.
Un anlisis de la madurez inicial de la actividad de la organizacin, siguiendo
la estructura de procesos de la norma. Este anlisis se suele realizar mediante
un cuestionario que suelen contener entre 8 y 20 preguntas por proceso,
segn el grado de profundidad que se quiera alcanzar. El cuestionario se centra tanto en la identificacin de prcticas o actividades frente al marco de referencia, como en el grado de formalizacin de los procesos en la organizacin.
Un anlisis de ratios o indicadores generales de la organizacin y su comparacin con el mercado (benchmarking).
Una matriz de debilidades y fortalezas, que en ocasiones se extiende a la
matriz de debilidades-amenazas-fortalezas-oportunidades (DAFO).
Las conclusiones, con las recomendaciones y acciones a emprender, estableciendo fases para ellas.
La evaluacin inicial se puede realizar de forma interna o contando con el apoyo de
una consultora externa. Las consultoras tienen sus propios modelos de evaluacin,
pero tambin se pueden encontrar otros en el mercado (as itSMF-UK tiene uno vinculado a ITIL, itSMF-Espaa dispone de otro similar, etc.). El resultado de la evaluacin se suele representar en formato de grfico circular, tipo araa o de Kiviat, en el
que se representa en una silueta la madurez obtenida proceso a proceso. En el grfico
de la figura 4.9 se ilustran a modo de ejemplo los resultados de una evaluacin.
La evaluacin de los procesos, que se suele medir en una escala de cinco niveles de
madurez de 1 a 5, normalmente se inspira en el modelo utilizado por CMMI, (en
el mbito de estas normas todava no hay un modelo consensuado o estandarizado). A continuacin se detallan los niveles definidos en ITIL v2 (consltese Planning to Implement Service Management. Anexo J Process Maturity Framework):
1: Inicial. Las organizaciones en este nivel no disponen de un entorno estable.
Aunque se utilicen tcnicas correctas, los esfuerzos se ven minados por falta

PDCA
4. Planificacin e implementacin de la gestin del servicio

SGSTI
5

Entrega

PDCA

Cambio

125

Herramientas

3
Configuracin

Creacin
servicios

2
1

Nivel de
servicio

Problema
0

Incidente

Informes

Suministradores

Contin. y
dispon.

Relaciones
negocio

Presupuestar
Seguridad

Capacidad

Figura 4.9. Ejemplo de resultados en un grfico tipo araa o de Kiviat


de una evaluacin de madurez de procesos ISO/IEC 20000

de planificacin. El xito se basa la mayora de las veces en el esfuerzo personal aunque, a menudo, se producen fracasos y casi siempre retrasos y sobrecostes. El resultado es impredecible.
2: Repetible. En este nivel las organizaciones disponen de unas prcticas institucionalizadas de gestin de proyectos, existen unas mtricas bsicas y un
razonable seguimiento de la calidad. La relacin con suministradores y clientes est gestionada sistemticamente.
3: Definido. Adems de una buena gestin de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinacin entre grupos, formacin del personal, tcnicas de procesos ms detalladas y un nivel
ms avanzado de mtricas en los procesos.

126

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

4: Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de mtricas significativas de calidad y productividad que se utilizan de
modo sistemtico para la toma de decisiones y la gestin de riesgos. Los servicios resultantes son de calidad.
5: Optimizado. La organizacin completa est volcada en la mejora continua
de los procesos. Se hace uso intensivo de las mtricas y se gestiona el proceso de
innovacin.

El comportamiento de las organizaciones sigue patrones


similares
La experiencia demuestra que las organizaciones, a la hora de abordar la implementacin de la gestin del servicio de TI, siguen patrones de comportamiento bastante similares segn sea la situacin y motivacin del proveedor que le impulsa a
adentrarse en la transformacin hacia procesos eficientes. Gracias a este ejercicio de
sntesis, conociendo cul es la motivacin inicial que impulsa la adopcin, se puede
predecir cul ser el patrn de comportamiento de la organizacin a lo largo del
proceso de implementacin.
Los patrones de comportamiento de las organizaciones ante la implementacin de
la gestin del servicio se han dividido en 5 perfiles:
1. Saturados. Por la actividad diaria que prcticamente no tienen capacidad de
moverse debido a la saturacin.
2. Econmicos. Organizaciones en una situacin de fuerte contencin econmica que fuerza a la utilizacin de los recursos internos y al uso de las herramientas existentes.
3. Obligados. La obtencin del certificado de conformidad con las normas es
el principal impulsor del proceso, limitando las oportunidades de mejora.
4. Condicionados. Normalmente por movimientos derivados de consolidaciones organizativas o externalizaciones parciales, hacen que sea necesario uniformizar las formas de hacer. Por suerte, en estos escenarios dentro de los
planes y presupuestos de la consolidacin caben las partidas para la transformacin de la organizacin, con lo que los resultados llegan a ser similares a
los visionarios.
5. Visionarios. La alta direccin de TI ve con una nitidez meridiana la necesidad de transformacin, liderando todo el proceso.

PDCA
4. Planificacin e implementacin de la gestin del servicio

127

La figura 4.10 muestra el detalle de estos 5 patrones de comportamiento.

SATURADOS

ECONMICOS

OBLIGADOS

CONDICIONADOS

VISIONARIOS

(Por actividad diaria)

(En reduccin
de costes)

(Por necesidad
de certificado)

(Por consolidaciones o
por outsourcing)

(Negocios en alza)

Patrones de comportamiento durante la implementacin de la gestin del servicio

Formacin reducida.

Charlas introductorias.

Creen en ITIL pero


no practican.

Formacin
especializada: puntual.

Desarrollo de
proyectos puntuales
y por necesidad
operativa
(por ejemplo,
catlogo de
servicios, etc.).

Desarrollo de
proyectos tcticos.
Equipos de proyecto
formado por personal
interno.
Reutilizacin de
herramientas existentes.
Compra herramientas
de forma puntual.

Foco en aprobar el
examen que supone
la obtencin de la
certificacin.

Formacin global:
amplia.

Formacin global:
extensiva.

Formacin
especializada: amplia.

Una o dos personas


encargadas de
preparar un sistema
de documentacin
que justifique el
cumplimiento de
las normas.

Desarrollo de proyectos
estratgicos y
completos.

Formacin
especializada:
abundante.

Equipos de trabajo con


personal interno y fuerte
apoyo de especialistas
externos.

Desarrollo de
proyectos estratgicos
(y tcticos alineados
con la estrategia).

Equipos de trabajo
con personal interno
y fuerte apoyo de
Foco en normalizacin
especialistas externos.
integrada y herramientas
que lo soporten.
Foco en normalizacin
Poco inters por mejorar.
e integracin de
Mejoras de rebote.
procesos y las
herramientas que
Cambios puntuales.
lo soporten.
Charlas introductorias.
Foco en los papeles
y en la formalizacin
documental.

Formacin especializada
puntual.

Fuente: Telefnica.

Figura 4.10. La situacin de partida permite prever el comportamiento


en la implementacin

128

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Planificacin de la gestin del servicio (Planificar)


UNE-ISO/IEC 20000-1
Objetivo: Planificar la implementacin y la provisin de la gestin del servicio.
Se debe planificar la gestin del servicio. Como mnimo, el plan debe definir lo
siguiente:
a) el alcance de la gestin del servicio del proveedor del servicio;
b) los objetivos y los requisitos que se tienen que alcanzar por la gestin del servicio;
c) los procesos que se van a ejecutar;
d) el marco de los roles y responsabilidades de la direccin, incluyendo al directivo de alto nivel responsable directo, al propietario del proceso, a la direccin
de la gestin y a la direccin de los suministradores;
e) las interfaces entre los procesos de gestin del servicio y el modo en que
tienen que coordinarse las actividades;
f) el enfoque que hay que dar a la identificacin, la evaluacin y la gestin de
actividades y de los riesgos para la consecucin de los objetivos definidos;
g) el enfoque para la relacin con proyectos que estn creando o modificando
los servicios;
h) los recursos, el equipamiento y los presupuestos necesarios para alcanzar los
objetivos definidos;
i) las herramientas adecuadas para dar soporte a los procesos; y
j) cmo se va gestionar, auditar y mejorar la calidad del servicio.
Deben estar claramente definidas tanto la orientacin de la gestin como las responsabilidades documentadas para revisar, autorizar, comunicar, implementar y
mantener los planes.
Cualquier plan especfico de un proceso que se elabore debe ser compatible con
este plan de gestin del servicio.

Adems, ISO/IEC 20000-2 aade dos aspectos ms que se deberan considerar en


la planificacin:
UNE-ISO/IEC 20000-2
g) una planificacin de los recursos
expresada en trminos de las fechas
en las que deberan estar disponibles las fuentes de financiacin, las
habilidades y los recursos;

h) el enfoque para la modificacin


del plan y de los servicios definidos por el plan;

PDCA
4. Planificacin e implementacin de la gestin del servicio

129

El plan de implantacin debe contemplar todos los aspectos relativos a los tres bloques principales: los procesos, las herramientas de gestin necesarias y las personas. En la figura 4.11 se aprecia un ejemplo de las actividades que se deben contemplar en un plan de implantacin de estas normas.

Definicin de los primeros estndares:


Catlogo de servicios y diseo CMDB.
Definicin de los procesos.

PRELIMINAR

PROCESOS

Definicin de los procedimientos.


Definicin de los roles y puestos.

Formacin a lderes.

Definicin de indicadores e informes.

Creacin equipo
implementacin.
Requisitos herramientas.

Evaluacin o assessment.
Objetivos.
Plan implementacin.

HERRAMIENTAS
DE GESTIN TI

Seleccin y compra SW/HW.


Parametrizacin herramientas.

Presentaciones internas.

Implantacin herramientas.

Comunicacin inicial.

Carga de datos.

Formacin de profesionales.
Plan de comunicacin.

PERSONAS

Cambio organizativo.
Entrenamiento personal.
Despliegue de herramientas.
Cambio de formas trabajo.

Fuente: Telefnica.

Figura 4.11. Toda implementacin debe contemplar los tres aspectos


fundamentales: los procesos, las herramientas y las personas

En la figura 4.12 se muestra una aproximacin sencilla en 5 pasos a la implementacin de la gestin del servicio, con el fin de demostrar que es posible iniciar el
camino sin excesiva complejidad. En este ejemplo, la implementacin se inicia con
una evaluacin (interna o externa) de madurez, para pasar a constituir un pequeo
equipo de trabajo que se responsabilizar de todo el proceso. El tercer paso sera
formalizar el plan de implementacin, para iniciar un proceso de formacin y certificacin de los profesionales de TI que acompaar prcticamente a todo el proceso de realizacin.

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

130

1.o Realizar una evaluacin de la madurez inicial


SGSTI
5

Entrega

PDCA

Cambio

Herramientas

3
Configuracin

Creacin
servicios

2
1

2.o Crear un equipo de trabajo

Nivel de
servicio

Problema
0

Incidente

Informes

Suministradores

Contin. y
dispon.

Relaciones
negocio

Presupuestar
Seguridad

Capacidad

3.o Definir la estrategia de implementacin


Mandato de la direccin
Definir el plan de implantacin

4.o Formacin y certificacin de profesionales clave en ITIL e ISO/IEC 20000

Otras etapas de PDCA: ejecucin del plan


de implementacin, comprobacin y mejora

Figura 4.12. Ejemplo de una aproximacin sencilla a la implementacin

Alcance de la gestin del servicio


UNE-ISO/IEC 20000-2
El alcance de la gestin del servicio se
debera definir como parte del plan de
gestin del servicio. Por ejemplo, puede
definirse segn:
a) la organizacin;
b) la ubicacin;
c) el servicio.

La direccin debera definir el alcance


como parte de sus responsabilidades de
gestin (y como parte del plan de gestin del servicio). Luego se debera comprobar si el alcance resulta adecuado
para la Norma ISO/IEC 20000-1.
Nota: La planificacin de los cambios operativos
se describe en el apartado 9.2.

PDCA
4. Planificacin e implementacin de la gestin del servicio

131

ISO/IEC 20000 requiere de un compromiso expreso de la direccin de la empresa.


ste es un requisito general que se aplica en toda la parte 1 de estas normas, y muy
especialmente en los apartados que necesitan de un mayor empuje como es la
implementacin del SGSTI.

Enfoques de la planificacin
UNE-ISO/IEC 20000-2
Se pueden utilizar varios planes de gestin del servicio en lugar de un plan o
programa de gran magnitud. En este
caso, los procesos subyacentes a la gestin del servicio deberan ser coherentes
entre ellos. Tambin se debera poder
demostrar cmo se gestiona cada
requisito de planificacin vinculndolo
a sus correspondientes funciones, responsabilidades y procedimientos.

Un plan de gestin del servicio debera


incluir:

La planificacin de la gestin del servicio debera formar parte del proceso


para convertir las necesidades de los
clientes y las intenciones de los directivos en servicios y para proporcionar
una gua para dirigir el progreso.

d) las mejoras de los procesos de la


gestin del servicio;

a) la implementacin de la gestin
del servicio (o de parte de la gestin del servicio);
b) la entrega de los procesos de la
gestin del servicio;
c) los cambios de los procesos de la
gestin del servicio;

e) los nuevos servicios (hasta el punto


que afecten a los procesos incluidos en el alcance acordado de la
gestin del servicio).

Orden de implementacin de los procesos


En el momento de seleccionar los procesos que se van a implementar se plantean
varias tcticas posibles. Se presentan dos aproximaciones generales:
Implantar los procesos uno a uno para todos los servicios y toda la organizacin de TI. Permite ir extendiendo las mejoras paulatinamente de una forma
ms uniforme.
Seleccionar uno o varios servicios y, sobre este ncleo ms reducido, implantar
todos los procesos. Esta es la implantacin es ms rpida y permite aprender
de los errores cometidos, pero plantea en TI una dicotoma, pues las mismas

132

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

personas tendrn que trabajar de una forma o de otra segn del servicio de
que se trate. Debemos destacar que este segundo caso es el ms eficaz para la
obtencin de un certificado.
En la figura 4.13 se muestra la implementacin del sistema de gestin en varias etapas que pueden corresponder a la implementacin progresiva de procesos o a la
incorporacin paulatina de servicios por fases al SGSTI.

Figura 4.13. La transformacin de la organizacin se realiza


normalmente en etapas paulatinas

Es conveniente comentar diversas estrategias de planificacin de la implantacin


para seleccionar los procesos por los que empezar la implementacin, segn sea la
situacin o problemtica de partida de cada organizacin. Hay que tener en cuenta
que todos los procesos estn relacionados, por lo que el beneficio completo no se

PDCA
4. Planificacin e implementacin de la gestin del servicio

133

consigue hasta que no estn todos ellos implantados. Como las combinaciones son
muchas, a continuacin se presentan las ms frecuentes:
Escenario 1: Inestabilidad. Una organizacin con inestabilidad y con continuos cortes del servicio estar sumida en una crisis permanente restaurando
los servicios. En esta situacin, lo primero que hay que hacer es poner foco
inmediato en controlar la situacin. Para ello ser necesario trabajar con la
gestin del incidente para minimizar los tiempos de no disponibilidad. De
forma casi paralela, parece razonable implementar tambin la gestin del
cambio, que pone orden en todo paso al entorno productivo y reduce el
nmero de incidentes que se producen derivados de los cambios. Adems,
ser conveniente iniciar la gestin del problema, para eliminar los fallos y
defectos ocultos. Tambin se debera abordar soluciones de monitorizacin
para tener un mejor control del entorno productivo.
Escenario 2: Garantizar. Es este caso, la organizacin de TI necesita dar
garantas al negocio de que las prdidas de informacin y del servicio son
mnimas. Lgicamente, es una situacin ms avanzada que el escenario 1 de
crisis, aunque no se debe poner en riesgo el negocio por que TI no pueda
recuperar los datos o los sistemas. El foco se debe poner en los procesos que
garantizan que los servicios se puedan restaurar en cualquier situacin, bien
sea por fallos locales o por el impacto de desastres mayores. Antes de comenzar con los procesos ISO/IEC 20000, habr que revisar o implantar una
solucin slida de copias de seguridad (backup). Despus, deber centrarse
en el registro de las versiones de las aplicaciones instaladas y de la parametrizacin realizada. Para ello ser tratar la gestin de la configuracin y la gestin de la entrega. Posteriormente, se implementar la gestin de la continuidad para garantizar la recuperacin en caso de desastre.
Escenario 3: Relaciones. Si el servicio es estable pero la opinin de las
reas negocio clientes sobre el servicio de TI es mala y las relaciones son
tensas y difciles, la estrategia debe ser distinta. Hay que ponerse de inmediato a regular y mejorar la comunicacin, a tranquilizar al negocio y a gestionar las expectativas. En este escenario lo razonable sera comenzar con la
gestin de las relaciones con el negocio y definir un catlogo de servicios
que regule las expectativas sobre TI, para pasar inmediatamente a la definicin de acuerdos de nivel de servicio (SLA) y a implementar la gestin de
nivel de servicio que se encargue de seguir su cumplimiento. La gestin
de informes y su disponibilidad online al negocio mejorar enormemente la
percepcin sobre TI.
En la figura 4.14 se muestra un esquema de los escenarios 1 al 3.

134

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Escenario 1

Escenario 2

Escenario 3

Inestabilidad!

Garantizar!

Relaciones!

Gestin del
incidente

Copias de
backup
robustas

Gestin de las
relaciones con
el negocio

Gestin
del cambio

Gestin de la
configuracin
CMDB y DSL

Catlogo
de servicios

Gestin del
problema

Gestin de
la entrega

Gestin de nivel
de servicio

Plataforma de
monitorizacin

Gestin de la
continuidad

Gestin
de informes

Figura 4.14. Ejemplos de estrategias de implantacin de procesos


segn la situacin a resolver

Adems de los ejemplos anteriores, se pueden dar otras situaciones a partir de las
cuales se decide implementar ISO/IEC 20000:
Escenario 4: Un problema. Foco en resolver un problema inmediato que
existe en la organizacin. En este caso, TI no se puede detener a realizar evaluaciones sobre la madurez actual. Se deben identificar los principales problemas acuciantes del proveedor de TI para buscar soluciones inmediatas.
Cada problema tendr su propia aproximacin. El problema puede ser de
ndole tcnico, organizativo, de motivacin, de capacitacin, de gestin, etc.
Las Normas ISO/IEC 200000, junto con ITIL y el sentido comn, aportarn alguna va de solucin.
Escenario 5: Foco en los servicios crticos. La empresa tiene claramente
identificados cules son sus servicios crticos con gran impacto en la actividad

PDCA
4. Planificacin e implementacin de la gestin del servicio

135

del negocio. En este caso, la estrategia recomendada es implementar el


SGSTI circunscrito inicialmente a este ncleo de servicios crticos, que por
otra parte sern los ms cuidados, y con los que se justificarn ante la direccin mejor las inversiones para el inicio de la transformacin.
Escenario 6: Obtener la certificacin. El mercado, la legislacin o la
direccin exige al proveedor de TI la obtencin inmediata de la certificacin ISO/IEC 20000. En esta situacin no hay alternativa posible. Para
obtener la certificacin ser necesario implantar los 14 procesos de estas
normas. Adems, se deber formalizar todo en el sistema de gestin
SGSTI. La nica variable en este escenario sera intentar acotar el alcance
de la certificacin a los servicios con ms repercusin en el mercado o afectados por la legislacin, con el fin de agilizar al mximo la obtencin del
citado certificado.
Escenario 7: Crisis econmica. Situacin marcada por la necesidad de fuertes restricciones presupuestarias, en las que la organizacin de TI debe aquilatar al mximo sus costes recurrentes. En este escenario, TI tambin es un
excelente instrumento para proponer soluciones que ayuden a la reduccin
de los costes operativos de la empresa. Dada la necesidad imperiosa de control de los costes, ser necesario comenzar por el proceso de elaboracin de
presupuestos y contabilizar, seguido del proceso de gestin de la capacidad
que permitir ajustar los recursos sin comprometer el servicio. Las relaciones
con el negocio permitirn a TI proponer nuevas soluciones.

Eventos a considerar
UNE-ISO/IEC 20000-2
El plan de gestin del servicio debera
estar enfocado a los procesos de gestin del servicio y a los cambios en los
servicios desencadenados por eventos
como los siguientes:
a) la mejora del servicio;
b) los cambios en el servicio;
c) la normalizacin de infraestructuras;

d) los cambios de la legislacin;


e) las modificaciones de normativas
como, por ejemplo, modificaciones
de las tasas impositivas locales;
f) la liberalizacin o la regulacin
de los sectores industriales;
g) las fusiones y las adquisiciones.

136

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Bsqueda de xitos rpidos (quick-wins)


En la planificacin de la implementacin hay que tener en cuenta la bsqueda de
xitos rpidos, conocidos como quick-wins. Dado que el proceso de transformacin
es prolongado, resulta esencial acompaar todo el camino con xitos rpidos que
infundan moral y confianza en el proyecto, tanto a la direccin, como al resto del
personal.
Un xito rpido es una actuacin sencilla de implementar que aporta resultados
tangibles de forma inmediata. Lo que se percibe como un xito rpido vara de una
a otra organizacin. A continuacin se enumeran algunos ejemplos posibles:
1. Creacin del comit de cambios que de forma inmediata ponga orden en las
implantaciones. Definir un documento de peticin de cambio.
2. Mejorar la atencin de incidencias centrndose en un sistema crtico.
3. Documentar la configuracin de los sistemas crticos.
4. Crear un catlogo de servicios que permita empezar a hablar en trminos de
servicio.
5. Resolver algunos de los problemas que generan muchos incidentes.
6. Si no existe, establecer un punto nico de contacto para los usuarios con TI.
7. Implementar un formulario web de registro de peticiones e incidentes de
usuario para reducir las llamadas telefnicas al centro de atencin al usuario.
8. Aadir a la anterior una pgina web para la autorresolucin por parte del
usuario de las peticiones ms frecuentes (por ejemplo, la restauracin de contraseas).
9. Consolidar la informacin de incidentes en una nica base de datos.
10. Con el fin de involucrar a todas las partes, definir un ciclo completo para la
creacin de nuevos servicios, involucrando al personal de desarrollo y al de
planificacin y control.
11. Empezar a publicar mtricas semanales de la actividad de TI. Implementar una monitorizacin desde el punto de vista del usuario (al efecto existen soluciones sencillas de navegacin que simulan el comportamiento
del usuario). Publicar va web la monitorizacin para el acceso de las
reas cliente.
12. Realizacin de un informe sobre el estado de TI que permita involucrar la
direccin en el proyecto.

PDCA
4. Planificacin e implementacin de la gestin del servicio

137

13. Establecer acciones de formacin para los principales actores en TI. Se


puede optar por un da de introduccin a ITIL con ejercicios de simulacin,
o directamente impartir cursos de tres das de introduccin a ITIL (denominado Foundation).
Conviene tener en cuenta que los xitos rpidos hay que publicitarlos en la organizacin.

Implementacin de la gestin del servicio y provisin de


los servicios (Hacer)
UNE-ISO/IEC 20000-1
Objetivo: Implementar los objetivos y el plan de gestin del servicio.
El proveedor del servicio debe implementar el plan de gestin del servicio para proveer y gestionar los servicios, incluyendo:
a) la asignacin de presupuestos y fondos;
b) la asignacin de roles y responsabilidades;
c) la documentacin y el mantenimiento de polticas, planes, procedimientos y
definiciones para cada proceso o conjunto de procesos;
d) la identificacin y la gestin de riesgos para el servicio;
e) la gestin de los equipos de trabajo, por ejemplo, la contratacin y el desarrollo
del personal adecuado y la gestin de continuidad del personal;
f) la gestin del equipamiento y el presupuesto;
g) la gestin de los equipos o grupos de personas, incluidos los del centro de servicio al usuario y los de operaciones;
h) informar del progreso en comparacin con los planes; y
i) la coordinacin de los procesos de gestin del servicio.

ISO/IEC 20000-1 comienza sus requisitos de la fase de implementacin con la


asignacin de presupuestos y fondos, as como la asignacin de roles y responsabilidades. Estas son las primeras actividades de la fase de realizar.

138

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En el punto c del recuadro anterior de la norma se recoge toda la actividad de


documentacin, incluyendo las polticas, los planes, definiciones de los procesos,
los procedimientos, etc. En el captulo 3 de este libro, relativo al SGSTI, se reflej
la necesidad de crear un sistema documental, que es esencial para todo el proceso
de implementacin.
Los siguientes requisitos son relativos a la gestin necesaria durante todo el proceso de implementacin, comprendiendo riesgos, equipamiento, presupuestos,
equipos o grupos de soporte, etc.
Tambin es esencial la comunicacin con toda la organizacin para mantener informado tanto a la direccin como al resto del personal de todo el proceso de implementacin.
Por supuesto, todo cambio debe ser coordinado con los procesos de gestin del servicio que ya existan, o con los que actualmente realicen sus funciones.

Grupo de implementacin o de procesos de TI


Como ya se ha visto, en el captulo 3, se necesita la fuerte implicacin de la alta
direccin, la necesidad de un responsable de alto nivel en la organizacin de TI
denominado patrocinador o responsable del SGSTI y, que este responsable debe
contar con personal de apoyo en su labor. Para la etapa de planificacin e implantacin de estas normas se debe constituir un equipo de trabajo especfico o grupo de
implantacin, que estar activo desde las primeras fases de definicin hasta concluir
la implantacin final.
El grupo de implantacin depender directamente del patrocinador y se debera
situar jerrquicamente en el organigrama como un grupo de apoyo al director de TI
(habitualmente denominado CIO, del ingls: Chief Information Officer). Aunque es
menos recomendable, a veces en grandes organizaciones este equipo depende del
director de explotacin, de produccin o de operaciones (vase la figura 4.15).
Otras veces, este equipo de procesos de TI est vinculado al mbito de gobierno o
de planificacin y control de TI. En otros casos, los procesos de TI estn asociados
con las arquitecturas de TI (de datos, de aplicaciones y de plataformas).
A la hora de definir los procesos, el grupo de implantacin debe involucrar a las
personas clave de la organizacin de TI que conocen el funcionamiento interno y
las actividades que se realizan. Tambin debera trabajar estrechamente con las reas
de calidad o procesos de la empresa. El equipo de implantacin deber dedicar un
tiempo inicial a preparar el entorno de trabajo y el control de todos los proyectos
que surjan para la implementacin del sistema de gestin.

PDCA
4. Planificacin e implementacin de la gestin del servicio

139

UNE-ISO/IEC 20000-2
Nota: Es posible que la persona que sea adecuada para realizar la planificacin y la imple-

mentacin inicial no sea la apropiada para la


operacin continua.

Con frecuencia, en las implantaciones de la gestin del servicio, el equipo que


implanta no es el mismo que el responsable de la produccin o explotacin de los
servicios. Pero, en cualquier caso, la definicin de las formas de hacer se debe implicar
directamente a estos responsables, pues luego tendrn que aplicarlas a sus equipos.
Es complicado abordar la transformacin interna contando nicamente con el personal de la empresa, pues con frecuencia se carece de los conocimientos, los perfiles
o la experiencia adecuados. Lo recomendable es contar con apoyo externo, en
forma de consultora, para los tres aspectos: definicin de procesos y procedimientos, implantacin de herramientas y formacin y cambio cultural. Entre estos consultores externos es conveniente asegurarse que siempre hay un perfil evangelizador, alguien que ayude a movilizar y motivar a los directores todava reacios al
cambio, e insufle dinamismo y entusiasmo entre el personal.

Opcin ideal: dependencia directa del Director de TI


Director de TI
CIO

Planificacin
y control

Direccin de
desarrollo

Patrocinador SGSTI

Direccin de
produccin

Grupo implementacin y
procesos TI

Opcin frecuente: dependencia directa del Director de produccin


Director de TI
CIO

Planificacin
y control

Direccin de
desarrollo

Direccin de
produccin
Patrocinador SGSTI

La propia direccin de produccin es


consciente de la necesidad de mejora
e impulsa la implantacin de procesos.

Grupo implementacin y
procesos ISO/IEC 20000

Figura 4.15. Dos escenarios ejemplo de ubicacin del grupo


de implementacin del SGSTI

140

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Dado que la transformacin es un proceso continuo, este equipo creado ad-hoc para
el proyecto o los proyectos de implantacin, suele constituirse en una estructura
estable en el tiempo. Este equipo muy centrado inicialmente en la implantacin,
va evolucionado su actividad hacia la mejora continua de los servicios y de la actividad de TI.
En las grandes organizaciones habra que tener en cuenta la necesidad de diversos tipos
de apoyo externo a lo largo del tiempo. A este respecto, en las ms avanzadas, suelen
contratar una evaluacin anual o bianual para identificar las fortalezas adquiridas y los
nuevos puntos de mejora. A veces, adems de esta evaluacin se suele realizar un
benchmarking comparativo con el mercado de los ratios ms destacados de TI.
La aparicin continua de normativa, que por una parte aporta ayuda a las empresas
pero que por otra acaba convirtindose en una nueva demanda del mercado, hace
que este equipo de implantacin o de procesos de TI tenga garantizada una intensa
actividad para los prximos 10 aos.
Las empresas debern tener en cuenta, en sus estrategias y sus porfolios de proyectos anuales, destinar una partida al proyecto de transformacin continua de las formas de hacer.

Monitorizacin, medicin y revisin (Verificar)


Con el fin de determinar el grado de efectividad de la implementacin del plan de
gestin del servicio se debe monitorizar, medir y revisar el grado de consecucin
de los objetivos alcanzados. Tanto la parte 1 como la 2 de estas normas establecen
claramente los criterios a seguir:
UNE-ISO/IEC 20000-1
Objetivo: Monitorizar, medir y revisar que los objetivos y el plan de gestin del servicio se estn cumpliendo.
El proveedor del servicio debe aplicar mtodos adecuados para la monitorizacin y,
cuando sea necesario, la medicin de los procesos de gestin del servicio. Estos
mtodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados.
La direccin debe realizar revisiones a intervalos planificados para determinar si los
requisitos de gestin del servicio:
a) son conformes con el plan de gestin del servicio y los requisitos de esta
norma, y
b) se implementan y se mantienen de manera eficaz.

PDCA
4. Planificacin e implementacin de la gestin del servicio

141

Se debe planificar un programa de auditoras, teniendo en cuenta el estado y la


importancia de los procesos y las reas que auditar, as como, los resultados de
las auditoras anteriores. Se deben definir en un procedimiento los criterios, el
alcance, la frecuencia y los mtodos de la auditora. La seleccin de los auditores y la realizacin de las auditoras deben garantizar la objetividad y la imparcialidad del proceso de auditora. Los auditores no deben auditar su propio trabajo.
El objetivo de las revisiones, evaluaciones y auditoras de la gestin del servicio se
debe registrar junto con las conclusiones de dichas auditoras, sus revisiones y las
acciones correctivas que se hayan identificado. Se debe comunicar a las partes
correspondientes la existencia de cualquier rea significativa con alguna no conformidad u otra discrepancia.

UNE-ISO/IEC 20000-2
El proveedor del servicio debera planificar e implementar la monitorizacin,
la medicin, el anlisis y la revisin de
los servicios, los procesos de gestin
del servicio y los sistemas asociados.
Entre los elementos que se deberan
monitorizar, medir y revisar estn los
siguientes:
a) los logros respecto a los objetivos
de servicio definidos;
b) la satisfaccin del cliente;
c) la utilizacin de los recursos;
d) las tendencias;
e) las no conformidades de mayor
consideracin;

Los resultados del anlisis deberan proporcionar una entrada a un plan para
la mejora del servicio.
Adems de las actividades de gestin
del servicio relativas a la medicin y el
anlisis, es posible que la alta direccin
necesite recurrir a auditoras internas y a
otros tipos de verificaciones. Al decidir
la frecuencia de dichas auditoras internas y verificaciones, se deberan tener
en cuenta, entre otros, factores como el
nivel de riesgo implicado en un proceso, su frecuencia de realizacin y su
historial de problemas pasados. Las
auditoras internas y las verificaciones se
deberan planificar, registrar y llevarse a
cabo de una manera competente.

Mejora continua (Actuar)


Estas normas establecen claramente la necesidad de la realizacin de una mejora
continua, tanto en lo relativo a la mejora de los procesos implementados de gestin
del servicio, como en la mejora de los servicios prestados en s mismos.

142

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

UNE-ISO/IEC 20000-1
Objetivo: Mejorar la eficacia y la eficiencia de la entrega y de la gestin del servicio.
Poltica:
Debe haber una poltica publicada sobre la mejora del servicio. Se debe corregir
cualquier no conformidad con la norma o con los planes de gestin del servicio.
Se deben definir claramente los roles y las responsabilidades para las actividades de
mejora del servicio.
Gestin de las mejoras del servicio:
Se deben evaluar, registrar, priorizar y autorizar todas las propuestas de mejora del
servicio. Se debe utilizar un plan para controlar la actividad.
El proveedor del servicio debe disponer de un proceso para identificar, medir y gestionar las actividades de mejora e informar de dichas actividades de manera continua. Este proceso debe incluir:
a) las mejoras de un proceso aislado que el propietario del proceso pueda
implementar con los recursos de personal habituales, por ejemplo, la realizacin de acciones correctivas y preventivas; y
b) las mejoras en toda la organizacin o en ms de un proceso.
Actividades:
El proveedor del servicio debe realizar actividades para:
a) recopilar y analizar los datos para delimitar y medir la capacidad del proveedor del servicio para gestionar y proveer el servicio junto con los procesos de
gestin del mismo;
b) identificar, planificar e implementar mejoras;
c) consultar a todas las partes implicadas;
d) establecer objetivos de mejora en cuanto a la calidad, los costes y la utilizacin de recursos;
e) tener en cuenta las aportaciones importantes, referentes a mejoras, que se
realicen desde todos los procesos de gestin del servicio;
f) medir, informar y comunicar las mejoras en el servicio;
g) revisar las polticas, los planes y los procedimientos de gestin del servicio,
siempre que sea necesario; y
h) asegurar que todas las acciones aprobadas se llevan a cabo y que se alcanzan los objetivos deseados.

PDCA
4. Planificacin e implementacin de la gestin del servicio

143

UNE-ISO/IEC 20000-2
Poltica:
Los proveedores del servicio deberan
reconocer que siempre existe la posibilidad de conseguir que la provisin del
servicio sea ms eficaz y ms eficiente.
Debera hacerse pblica una poltica de
la calidad y de mejora del servicio.
Todas las personas implicadas en la
gestin del servicio y la mejora del servicio deberan ser conscientes de la poltica de calidad del servicio y de cul
debera ser su contribucin personal a la
consecucin de los objetivos establecidos en esta poltica.
En particular, todo el personal del proveedor del servicio implicado en la gestin del servicio debera tener un conocimiento detallado de las repercusiones
de estos factores sobre los procesos de
gestin del servicio.
Debera existir una coordinacin eficaz
entre la estructura de gestin propia del
proveedor del servicio, los clientes y los
suministradores del proveedor del servicio a la hora de tratar cuestiones que
afecten a la calidad del servicio y a los
requisitos del cliente.
Planificacin de mejoras del servicio:
Los proveedores del servicio deberan
adoptar un enfoque metdico y coordi-

nado para cumplir con los requisitos de


la poltica desde su propia perspectiva y
desde la perspectiva del cliente.
Antes de implementar un plan de
mejora del servicio, se deberan registrar los niveles de servicio y la calidad
del servicio como lnea de referencia
sobre la que se puedan comparar las
mejoras reales. Para evaluar la eficacia
del cambio se debera comparar la
mejora real con la mejora prevista.
Nota 1: Los requisitos para la mejora del servicio
pueden venir de todos los procesos.

Los proveedores del servicio deberan


animar a su personal y a sus clientes a
proponer alternativas para mejorar los
servicios.
Nota 2: Esto se puede conseguir utilizando esquemas de sugerencias, crculos de calidad, grupos de usuarios y reuniones de
coordinacin.

Los objetivos de la mejora del servicio


deberan ser medibles, estar vinculados
con los objetivos de negocio y estar
documentados en un plan.
La mejora del servicio se debera gestionar de una manera activa y se debera
supervisar el progreso tomando como
referencia los objetivos formalmente
acordados.

En la mejora continua hay que distinguir dos tipos de mejoras: la mejora de los
procesos de gestin del servicio y la mejora propia de los servicios. Ambos tipos de
mejora redundarn en que la organizacin de TI funcione con ms eficiencia, y en
que los servicios prestados sean de mayor calidad.
En el caso de la mejora de los procesos, las acciones de mejora de cada uno de ellos
las identifica y propone el propietario o el responsable del proceso. En relacin a

144

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

las mejoras en cada uno de los servicios, las detecta, recopila de otras partes y propone cada uno de los gestores de nivel de servicio (vase el apartado 6.1). En ITIL,
para el conjunto de mejoras de uno o varios servicios agrupados en un plan se ha
acuado el trmino de plan de mejora del servicio (SIP, Service Improvement Program). Las acciones de mejora pueden abarcar todo tipo de actividad necesaria:
mejoras tecnolgicas en los servicios, incorporacin de herramientas, formacin a
los involucrados, comunicacin, mejora en la documentacin, etc.
A la luz de lo establecido y recomendado por estas normas, parece razonable que
todas las acciones de mejora (de los procesos y de los servicios) se consoliden en una
planificacin o un plan de mejora unificado, formado en base de los planes de
mejora de cada proceso y de cada servicio. De esta forma se tendr una visin unificada de todas las acciones de mejora y las interrelaciones entre ellas. Este plan de
mejora unificado se puede ejecutar por fases y aplicando nuevamente el ciclo PDCA.
Las propuestas de mejora, que emanan de diversas fuentes (mejoras detectadas en
cada proceso, plan de mejora del servicio, iniciativas de calidad como Seis Sigma o
Lean, etc.), recopiladas por los gestores de los procesos, se agrupan para organizarlas en un plan consolidado. As, la mejora continua de la gestin del servicio se realiza de una forma coordinada por un responsable nico de esta actividad. En la
figura 4.16 se muestra la agrupacin de las propuestas de mejora en un plan unificado comn a toda la organizacin de TI.

Figura 4.16. La mejora de los procesos y de los servicios


se consolida en un plan unificado

PDCA
4. Planificacin e implementacin de la gestin del servicio

145

Resumen
La implementacin de sistema de gestin del servicio de TI (SGSTI) est bien
especificada en las Normas ISO/IEC 20000 y debe seguir las 4 etapas del ciclo de
mejora continua de Deming (PDCA). En la figura 4.17 se muestra de nuevo la
aplicacin de estas 4 etapas al SGSTI.

Plan
PLANIFICAR

Do
HACER

Check
VERIFICAR

Act
ACTUAR

Planificar
la gestin
del servicio

Implementar
la gestin
del servicio

Monitorizar,
medir y revisar

Mejora
continua

Figura 4.17. Resumen de las 4 etapas del ciclo PDCA aplicadas


a la gestin del servicio

En la figura 4.18 se presenta un ejemplo de actividades y tcnicas asociadas a cada una


de las etapas del PDCA. La etapa Plan lleva incluida el anlisis de la situacin actual.

Beneficios
La implantacin de la gestin del servicio de TI siguiendo el ciclo PDCA y los
requisitos especificados y recomendados en las Normas ISO/IEC 20000, aportarn
entre otros, los beneficios siguientes:
Permitir que todas las actividades de transformacin de la organizacin se
lleven a cabo de una forma controlada y organizada.
Los objetivos se fijan en funcin de la situacin de partida, obtenida
mediante una evaluacin inicial.
Los proyectos de implementacin tienen unos objetivos fijados.
Se monitorizan y miden los resultados de los proyectos.
Se establece un plan de mejora continua.
Se aprovecha la experiencia de otras organizaciones que iniciaron antes el
camino.

146

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Tcnicas asociadas al PDCA


En la parte Plan se puede estructurar en:
Descripcin del problema:
Diagramas de afinidad.
Recopilacin de datos:
Matrices.
Diagramas de control.
Anlisis de datos:
Histogramas.
Formulacin de las causas:
Diagramas de raspa.
Diagramas de relaciones.
Diagramas de flujo.
Elaboracin de hiptesis y
comprobacin de hiptesis:
Histogramas.
Nubes de puntos.
Identificar las causas raz:
Diagramas de raspa.
Paretos.
Propuesta de acciones:
Diagramas de rbol.
Evaluacin y seleccin de acciones:
Matrices.
Identificacin de mtricas:
Diagramas de tendencias.
Histogramas.
Planificacin de las acciones:

En la etapa Do se puede realizar:


Ejecucin de las acciones planificadas
en la fase de plan.
Ejecucin de las mediciones oportunas
para establecer una lnea base.
Ejercer un seguimiento de la ejecucin
del plan.
Recopilacin de la informacin
necesaria para la toma de decisiones
entes de la fase check.
En la etapa Check :
Ejercer un seguimiento de las acciones
implementadas.
Analizar los resultados.
Evaluacin de las mejoras.
Planificar la estandarizacin de las
mejoras si procede.
Tener en cuenta la posible resistencia
de la organizacin al cambio.
Recopilar la informacin necesaria para
tomar la decisin de estandarizar o no.
En la etapa Act :
Supone establecer la nueva forma de
hacer las cosas que elimina las causas
de los problemas que se quera resolver.
Documentar la nueva manera de hacer
las cosas.
Informar a todas las partes implicadas
de los nuevos mtodos de trabajo.
Proporcionar formacin sobre la nueva
forma de hacer las cosas.
Establecer los nuevos mecanismos de
control para asegurar que la nueva
forma de hacer las cosas subsiste
en la organizacin.

Diagramas de flechas.
Diagramas de Gantt.

Figura 4.18. Ejemplo de actividades y tcnicas asociadas a cada etapa del PDCA

PDCA
4. Planificacin e implementacin de la gestin del servicio

147

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cmo se aplica el ciclo PDCA en su organizacin?
Cul es la secuencia de implantacin de los procesos que ms se
adecua a su caso particular?
En funcin de su experiencia, qu otras recomendaciones de implementacin aadira a este captulo?

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

Captulo 5

Planificacin e implementacin
de nuevos servicios o de
servicios modificados

3. Sistema de Gestin del Servicio de TI (SGSTI)


4. Planificacin e implementacin de la gestin del servicio (PDCA)
5. Planificacin e implementacin de nuevos servicios o de servicios modificados

6. Procesos de la provisin del servicio


6.5 Gestin de la capacidad
6.3 Gestin de la
continuidad y
disponibilidad
del servicio

6.1 Gestin de
nivel de servicio

6.6 Gestin de la seguridad


de la informacin

6.2 Generacin de
informes del servicio

6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI

9. Procesos de control
9.1 Gestin de la configuracin

10. Proceso
de entrega

9.2 Gestin del cambio

7. Procesos
de relaciones

10.1 Proceso de gestin


de la entrega

8. Procesos
de resolucin

7.2 Gestin de las


relaciones con el negocio

8.2 Gestin del incidente

7.3 Gestin de
suministradores

8.3 Gestin del problema

Fuente: UNE-ISO/IEC y e.p.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

151

Las organizaciones de TI, y las actividades que desarrollan, han sido tradicionalmente vistas como un soporte interno al negocio, descuidando en general el uso de
criterios apropiados para medir su rentabilidad, eficacia y la calidad del servicio
ofrecido a toda la organizacin. Actualmente el entorno donde nos movemos, en el
que los horarios de disponibilidad de los servicios son cada vez ms amplios, donde
las exigencias del cliente son cada vez ms elevadas, y donde los cambios en el
negocio son cada vez ms rpidos, es muy importante que los sistemas de informacin estn adecuadamente organizados y alineados con la estrategia de la empresa.
La planificacin e implementacin de nuevos servicios o de servicios modificados, tiene la misin de garantizar que los servicios se puedan crear y entregar con
la funcionalidad, costes, calidad y plazos acordados con los clientes. Para ello hay
que gestionar el ciclo completo de la provisin y entrega de los servicios, realizando
una planificacin unificada e integrada, asegurando que todas las partes implicadas
conocen y cumplen con el plan y los compromisos acordados.
En este captulo se presenta una visin de este proceso, con un alcance ms all de
lo establecido en estas normas, definiendo el marco de un proceso nuevo que est
presente a lo largo de todo el ciclo de vida de la provisin de un servicio: desde la
elaboracin de la propuesta de servicio, hasta la revisin despus de su implantacin, en el entorno de produccin real. El proceso recorre y organiza con eficiencia
a toda la organizacin de TI, sirviendo como integracin entre la estrategia del
negocio, el desarrollo de aplicaciones, el departamento de explotacin o produccin, y el rea de planificacin y control econmico de TI.
Para las empresas que ya tengan implementada una metodologa o un proceso de
gestin de los proyectos para el desarrollo de aplicaciones, este captulo les aportar nuevos puntos de mejora para incorporar y con ello enriquecer y complementar la metodologa ya implementada, facilitando as la integracin con los nuevos
procesos de gestin del servicio. Por tanto, este proceso utiliza las metodologas y
procesos existentes en la organizacin para cubrir parte de sus etapas. En este captulo no se aborda la descripcin de la etapa de construccin (software y hardware)
del servicio, ni en las metodologas gestin de proyectos TI (PMBOK, PRINCE2,
etc.), aunque stas sern necesarias para gestionar los proyectos de creacin de los
servicios. Tambin sera necesaria la utilizacin de otros estndares y mejores prcticas relacionados con el desarrollo de software (SPICE o CMMI).
El lector comprender mejor los detalles de este proceso cuando haya profundizado
en el resto de procesos de gestin del servicio, pues utiliza gran parte de ellos. En
realidad, el captulo se debera haber ubicado de los ltimos del libro, pero se ha
decidido mantener la posicin que tiene en las normas para conseguir una numeracin de captulos similar.

152

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Dada la extensin del ttulo proceso de planificacin e implementacin de nuevos


servicios o de servicios modificados, en numerosas ocasiones a lo largo del captulo se hace referencia al mismo como creacin y evolucin de los servicios.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

153

5.1. El proceso de planificacin e implementacin


de nuevos servicios o de servicios modificados

Figura 5.1. Esquema general del proceso de planificacin e implementacin

de nuevos servicios o de servicios modificados


Actualmente no basta con ser rpidos. Es necesario que el proceso de creacin y
entrega de servicios TI se realice de forma eficiente y que el producto resultante
rena los requisitos demandados por el cliente (vase la figura 5.1). Plazos, eficiencia y calidad son tres exigencias para el xito empresarial.
Para conseguir el objetivo de gestionar y entregar tanto los nuevos servicios como
las modificaciones a los existentes con la calidad y costes adecuados, ISO/IEC
20000 esboza un proceso que se encarga de gestionar el ciclo completo de creacin
de los servicios. Su mbito de actuacin abarca tanto los nuevos servicios como las
evoluciones de los que ya estn en su fase de operacin habitual.
En este captulo se presenta el marco de un proceso completamente nuevo inspirado
a partir de los requisitos de ISO/IEC 20000. El proceso de creacin de servicios, o
similar, no est contemplado explcitamente en ITIL. Aunque la v3 estructure sus
libros alrededor del ciclo de vida del servicio y proporcione gran cantidad de detalles
y buenas prcticas articuladas en diferentes procesos, no tiene un nico proceso que
aglutine todas las actividades de las diferentes reas de TI para una creacin eficiente

154

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

de los mismos. La mayor semejanza a este proceso se encuentra en las metodologas


de desarrollo de software, que este proceso enriquecer. Este nuevo proceso es importante para las organizaciones de TI, ya que incorpora las prcticas avanzadas de las
unidades que han tenido que responder de forma muy dinmica creando y evolucionando servicios para poder atender al ritmo competitivo que les impone su negocio.
Los servicios no slo se componen de cdigo, adems utilizan otros componentes
de infraestructura. Tambin necesitan personal tcnico que los administre y
soporte. As, se debe analizar, desde el inicio del proyecto, la integracin en la
arquitectura de TI, la disponibilidad, la capacidad, su continuidad, las necesidades
para su operacin, etc. Tambin, hay que formalizar con los clientes los acuerdos
de nivel de servicio a cumplir.
Este proceso tiene como punto de partida la estrategia de TI ya definida. A partir de
aqu, desde el momento en que se empieza a concebir la primera propuesta del servicio, toma el control para no cederlo hasta el final, en la entrega a operacin para su
explotacin. Al superponer este proceso sobre el ciclo de vida del servicio planteado
en ITIL v3, se aprecia que recorrera las etapas de diseo y de transicin (vase la figura 5.2). Pero las importantes disciplinas necesarias para la construccin o el desarrollo
de los servicios apenas se tratan: en el libro Diseo del Servicio se menciona la actividad de desarrollo de la solucin de servicio, mientras que en el libro de Transicin del
Servicio se habla de la actividad de construccin y prueba del cambio y de la versin.
Alcance de la planificacin e implementacin de
nuevos servicios o de servicios modificados
en ISO/IEC 20000

Ciclo de vida del servicio en ITIL v3


ESTRATEGIA

DISEO

TRANSICIN
OPERACIN

CONSTRUCCIN

MEJORA
CONTINUA

(ntese que la construccin en ITIL v3 apenas se trata)

Figura 5.2. Alcance del proceso comparado con el ciclo de vida


del servicio de ITIL v3

El proceso de creacin o evolucin de servicios acta como un proceso director,


que va encadenando y coordinando la participacin de los otros procesos o funciones de TI. Comienza en el cliente para terminar con el servicio entregado y operativo. Para evitar duplicar funciones, utiliza los otros procesos de gestin del servicio,

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

155

como las relaciones con el negocio, la gestin de nivel de servicio, la generacin de


informes del servicio, etc. Tal y como se aprecia en la figura 5.3.

Fuente: Telefnica.

Figura 5.3. El ciclo de creacin de los servicios comienza en el cliente, termina


con los servicios operativos y utiliza el resto de procesos y actividades de TI

En el mbito de TI, este proceso es el responsable de confeccionar una planificacin integrada de todas las actividades necesarias para la creacin de los servicios.
Garantiza que los nuevos servicios cumplirn con lo acordado con el cliente (plazos, coste, funcionalidad y calidad) y que se construyen con las polticas y las normativas vigentes en la organizacin. Con la colaboracin continua de todos los
procesos, funciones y departamentos involucrados, tratar de encontrar el equilibrio correcto entre la demanda, la satisfaccin del cliente y el coste de crearlos.
Gran parte de este proceso gestiona tambin las funciones habituales de la gestin de
proyectos de desarrollo de software en TI. Para cubrir estas funciones, posiblemente
ya se hayan implementado procesos y metodologas propios de la organizacin
o basados en estndares del mercado (SPICE, CMMI, PMBOK, PRINCE2, etc.).
En este escenario, el proceso de creacin de servicios aporta una visin completa
de las actividades que se deben realizar para que el servicio que se va a construir
quede perfectamente operativo, incluyendo el diseo, la arquitectura, el desarrollo

156

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

de las aplicaciones, la creacin de la plataforma tecnolgica, los procedimientos de


operacin, etc. Este proceso pone especial foco en la integracin con los requisitos
ISO/IEC 20000. Se superpone sobre los procesos y metodologas de desarrollo
existentes para enriquecerlos e integrarlos con la gestin del servicio de TI. Por
tanto, no las debera reemplazar, sino enriquecer y coordinar para que los engranajes de la creacin de servicios funcionen sin fricciones en la organizacin. En la
figura 5.4 se muestra un ejemplo del alcance del proceso sobre las etapas tpicas de
un proyecto de desarrollo de software.

Figura 5.4. El proceso de creacin de servicios integra en su flujo a los procesos


de desarrollo de software y las metodologas de gestin de proyectos

Por tanto, este proceso es idneo para la integracin de las dos reas de TI, tradicionalmente separadas y mal engranadas: el desarrollo y la produccin.
En la figura 5.5 se muestra un esquema global que integra el ciclo de vida ITIL v3,
con las etapas tpicas de las metodologas de gestin de proyectos, los procesos de
desarrollo de software y la relacin con el resto de los procesos de gestin del servicio de TI contemplados en ISO/IEC 20000.
La creacin y evolucin de servicios orquesta una cadena de fabricacin en TI,
que comienza con los requisitos del negocio y termina con los servicios operativos.
En un extremo de la cadena de fabricacin est la necesidad del cliente de nuevas
funcionalidades de negocio y, en el otro extremo, se obtiene el servicio entregado y
operativo. El cliente, tras el tiempo acordado, espera recibir el servicio pactado que
cumpla con la funcionalidad, los costes y los acuerdos de servicio establecidos al
inicio del proceso. Justo entre estos dos extremos, es necesario desarrollar toda una

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

157

Fuente: Telefnica.

Figura 5.5. Ciclo tipo de creacin de servicios en el marco de las actividades de TI

labor de fabricacin que identifique todas las reas y procesos de la organizacin


TI intervinientes y las coordine bajo un nico plan de proyecto, hacia la consecucin de las necesidades de los clientes, bajo criterios de calidad y eficiencia.
En la figura 5.6 se representa un smil de la cadena de fabricacin que organiza
este proceso. En la parte superior, podemos ver los diferentes intervinientes que
participan en el proceso de creacin y evolucin de servicios, y cmo, a modo de
tolva, aaden su contribucin a la creacin de un nuevo servicio. Entre los intervinientes se han incluido adicionalmente algunos procesos y funciones no contemplados en ISO/IEC 20000 (desarrollo de aplicaciones, construccin de la infraestructura de TI y operacin del servicio), que son fundamentales para poder realizar
una correcta planificacin e implantacin de los servicios. En la parte inferior se
representa este proceso que, a modo de cinta transportadora, va desplazando inexorablemente al servicio a construir de una fase a otra en la lnea de fabricacin hasta
que, tras la entrega, se obtiene un servicio operativo y listo para ser utilizado por el
cliente.

158

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Figura 5.6. El presente proceso orquesta la actividad de fabricacin del servicio

Cada uno de los otros procesos que participan en la cadena tiene unos objetivos
especficos y su propio aporte a la construccin del servicio final. Aunque estos
procesos no se han tratado todava en este libro, es conveniente tener una visin
general de su participacin en este proceso. A continuacin, se detallan los principales:
Relaciones con el negocio. Su objetivo es establecer y mantener una buena relacin entre el proveedor del servicio y el cliente, basndose en el entendimiento del
cliente y de los fundamentos de su negocio (vase el captulo 7 para obtener ms
detalles de este proceso).
El proceso de creacin de servicios engrana con este proceso de relaciones para que
gestione todo el contacto necesario con las reas de negocio. Su contribucin se
centra en la toma de requisitos de las necesidades del cliente, la posterior negociacin de la propuesta de servicio, la gestin del nuevo acuerdo de nivel de servicio y
el consenso con el cliente de la planificacin para la creacin del servicio realizada
por el proceso de creacin. En su funcin comercial, durante el proceso de creacin, se encarga de mantener informado al cliente y estar presente en las reuniones
de seguimiento, acompaando al jefe de proyecto. En la entrega, gestiona la participacin del cliente en las validaciones funcionales y en las reuniones para el cierre
del proyecto de creacin.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

159

Gestin de nivel de servicio. Su objetivo es definir, acordar, registrar y gestionar


los niveles de servicio que TI deber cumplir y las relaciones con los clientes. Adicionalmente mantiene el catlogo de servicios (vase el captulo 6).
Su misin incluye la definicin de los acuerdos de servicio de explotacin (SLA,
Service Level Agreement) con todas las partes internas de TI implicadas. El cumplimiento del SLA lo asegura mediante una cadena de valor formalizada de otros
acuerdos internos de nivel operativo (OLA, Operacional Level Agreement), o contratos de soporte (UC, Underpinning Contract) con los suministradores externos.
Elaboracin de presupuestos y contabilidad de los servicios de TI. El objetivo
de este proceso es presupuestar y contabilizar los costes de la provisin del servicio.
En algunas organizaciones su actividad tambin incluye la facturacin de los servicios a los clientes.
Su contribucin al presente proceso se centra en cmo se presupuestan los costes
de la creacin del servicio con el suficiente detalle para que permita la toma de decisiones y el control econmico efectivo. Tambin realiza todo el seguimiento econmico durante el proceso de creacin del servicio.
Gestin de la capacidad. Su objetivo es asegurar que el proveedor del servicio TI
tiene, en todo momento, la capacidad suficiente para cubrir la demanda acordada,
actual y futura de las necesidades del negocio del cliente.
En esta cadena de fabricacin participa en la etapa de diseo del servicio para determinar los requisitos de capacidad, rendimiento y prestaciones de los nuevos servicios o de sus evoluciones. Establece el plan necesario para darles cobertura contemplando los recursos, los plazos, los costes y los umbrales de gestin necesarios.
Gestin de la disponibilidad y continuidad. Su objetivo es asegurar que los
compromisos de continuidad y disponibilidad acordados con los clientes pueden
cumplirse bajo todas las circunstancias, ya sean por sucesos domsticos (como la
rotura de una unidad de almacenamiento), o por sucesos extraordinarios (como
una catstrofe natural, terremotos, incendios, etc.)
Su misin es la de identificar, para los nuevos servicios, los requisitos de disponibilidad y de continuidad de los mismos sobre la base de los planes de negocio, los
SLA y las evaluaciones del riesgo. Los requisitos deben incluir los derechos de
acceso y los tiempos de respuesta, as como la disponibilidad extremo a extremo
de los componentes del sistema.
Gestin de la seguridad. Su objetivo es contemplar las necesidades seguridad de
la informacin de manera efectiva para todas las actividades del servicio.

160

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Su responsabilidad es la identificacin de los riesgos de seguridad del servicio en


base a la poltica de seguridad de la informacin de la compaa estableciendo las
medidas y controles necesarios para su eliminacin o mitigacin
Desarrollo de aplicaciones. Su objetivo es obtener, mediante construccin propia o
adecuacin de una solucin de mercado, la funcionalidad software adecuada que satisfaga las necesidades demandadas por el cliente para cubrir sus funciones de negocio.
Su responsabilidad es la planificacin, desarrollo y aseguramiento de la funcionalidad demandada de la forma ms eficiente. Este rea de TI es una de las ms maduras desde el punto de vista de normalizacin y utilizacin de metodologas
(PMBOK, PRINCE2, etc.), y buenas prcticas de mercado (SPICE, CMMI, etc.).
Gestin de la infraestructura TI. Su objetivo es implantar la infraestructura TI
necesaria y su gestin tcnica, que alojar a los servicios en explotacin.
En relacin a este proceso, su contribucin es la de proveer la infraestructura necesaria para alojar los nuevos servicios. Con mayor frecuencia es necesario realizar
proyectos complejos en los que intervienen diferentes tecnologas. Adems este
rea tiene un doble reto, ya que no slo tiene que cumplir en sus compromisos de
cobertura a los requisitos de los nuevos servicios, sino que tambin debe controlar
y evitar el impacto negativo que estos proyectos podran ocasionar en la prestacin
habitual de los servicios existentes.
Gestin de suministradores. Su objetivo es garantizar la provisin sin interrupciones
de servicios de calidad cumpliendo con los contratos de soporte establecidos (UC).
En la construccin de servicios, realiza o revisa los contratos de soporte con los
suministradores para que los servicios estn acordes con los SLA que se estn negociando con los clientes.
Gestin del cambio. Su objetivo es asegurar que todo cambio en TI se realiza
siguiendo las polticas de control y eficiencia definidas.
Su contribucin se centra en controlar que el plan de proyecto de creacin del
servicio est claramente definido y documentado, de forma que pueda ser valorado,
aprobado, implementado y revisado de una manera controlada.
Gestin de la entrega. Su objetivo es gestionar la implantacin, distribucin y el
seguimiento de uno o ms cambios a realizar en el entorno de produccin real.
Para este proceso, realiza la implantacin y despliegue del servicio nuevo o modificado en el entono de produccin de la forma ms fiable y eficiente posible. Minimiza el impacto negativo que pudiera tener en el servicio operativo habitual.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

161

Operacin y soporte del servicio. Se encarga de todas las actividades necesarias


para que un servicio est operativo y disponible a los usuarios. La operacin es una
de las grandes olvidadas en el proceso de creacin de servicios, pero si no se dispone de una operacin diaria acorde a las necesidades del cliente, este nuevo servicio, aunque se haya construido por TI en plazo y forma, para el cliente es como si
no existiera.
Su contribucin es la de establecer los requisitos que permitan que el servicio se
pueda explotar adecuadamente. Adems, realiza la definicin y preparacin del
soporte, de la planificacin y de la operacin diaria de los servicios, garantizando el
cumplimiento de los requisitos de ejecucin establecidos en los SLA.
Hasta este punto se han podido observar los objetivos y mbito de actuacin de
este proceso de creacin y modificacin de servicios de TI. La figura 5.7 proporciona un resumen de este proceso: una definicin, el objetivo formalizado en las
Normas ISO/IEC 20000 y las principales aportaciones del proceso.

Planificacin e implementacin
de nuevos servicios o de
servicios modificados

Definicin:
Proceso que se responsabiliza de la
fabricacin de servicios utilizando
el resto de procesos y funciones
de la organizacin TI.
Objetivo:
Asegurar que, tanto los servicios
nuevos, como las modicaciones
a los existentes, se pueden gestionar
y entregar con los costes y la
calidad acordados.

Qu aporta:
Implementa un ciclo completo de
creacin y entrega de servicios,
desde las necesidades y acuerdos
con el cliente hasta su entrega y
puesta en funcionamiento operativo.
Los servicios se crean de una forma
eficiente.
Los servicios se crean en los
plazos acordados, velando por las
necesidades del negocio en el
time-to-market.
Los servicios TI se disean para
satisfacer las necesidades reales
del cliente y cumpliendo con la
arquitectura y polticas de
la organizacin.
Los servicios se crean con la
participacin de todas las reas
de la organizacin de TI: gobierno,
arquitectura, desarrollo y explotacin.
La organizacin TI y sus clientes
tienen unas expectativas claras
y formalizadas del servicio
solicitado a TI.

Figura 5.7. Introduccin general al proceso

162

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Los principales factores clave en torno a los que se articula este proceso se resumen en:
Cumplimiento de los plazos, atendiendo a la agilidad y tiempo de respuesta
de la organizacin de TI ante necesidades del negocio.
Cumplimiento de la funcionalidad demandada.
Gestin eficiente de los costes.
Cumplimiento de las polticas establecidas en TI, tanto para la construccin
del servicio y de sus componentes, como para la articulacin de su puesta en
produccin.
Velar por la calidad necesaria demandada por el negocio.
Integracin de las soluciones en las arquitecturas TI existentes, tanto de:
datos, de aplicaciones, de componentes, tecnolgica de hardware-software, de
seguridad, etc.
En la figura 5.8 se resumen estos factores clave que estructuran y rigen la actividad
de este proceso en las relaciones intensas y constantes con los intervinientes en la
creacin o evolucin de un servicio TI.

Figura 5.8. Los factores clave del proceso

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

163

El conocimiento y correcto manejo de estos factores permitir a este proceso gestionar adecuadamente la creacin de nuevos servicios, o las modificaciones a los
existentes, con los costes y calidad acordados con el cliente. Adems, el gestor de
este proceso debe conseguir estos objetivos dentro de un marco estratgico, tcnico y humano del proveedor de servicios TI.
El proceso de planificacin e implantacin de nuevos servicios o de servicios modificados utiliza las funciones del proceso de relaciones con el negocio, que gestiona
las necesidades del cliente, y articula al resto de la organizacin de TI, con el objetivo de asegurar que, tanto los servicios nuevos, como las modificaciones a los existentes, se puedan gestionar y entregar con los costes, plazos y la calidad acordados.
En la figura 5.9 se puede muestran los componentes ms destacados que utiliza
este proceso para realizar su actividad. Se estructuran en dos ciclos, uno centrado
en acordar con el cliente y disear los servicios, y el otro, en construirlos y entregarlos.

COMPONENTES DEL PROCESO

DISEO

CONSTRUCCIN

TRANSICIN

Cliente

Servicio

Polticas, procesos desarrollo de software,


metodologa gestin de proyectos
y arquitecturas

Requisitos
del servicio

Planificacin
del proyecto

Informe
de pruebas

Especificaciones
tcnicas
de servicio
OLA y UC
Propuesta
de servicio

SLA

Acuerdos internos con reas,


procesos, funciones
y suminstradores

RFC

Solicitud
de cambio

Lista de
cambios
planificados
(FSC)

Figura 5.9. Componentes principales de las etapas de diseo y transicin del proceso

164

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

A continuacin, se describen los componentes relacionados con este proceso:


Cliente. Es el representante de una organizacin que est autorizado a cerrar acuerdos en nombre del negocio sobre la adquisicin de servicios TI. Es decir, el cliente
es la persona fsica o representante de una entidad jurdica que paga por los servicios TI. Por esta razn, los clientes representan a las reas de negocio de la empresa
y, por tanto, no coinciden con los usuarios finales, ya que estos ltimos son aquellos que utilizan los servicios TI.
Servicio TI. Se puede definir como un conjunto de funciones relacionadas, proporcionadas por sistemas de TI que dan soporte a una o ms reas de negocio
(departamentos, agencias, etc.). Un servicio puede estar compuesto de diversas
piezas de software, de hardware y de elementos de comunicacin, pero el cliente y el
usuario final que lo utiliza, lo perciben como una funcionalidad autocontenida y
coherente.
Cultura de servicio. Implica que la satisfaccin del cliente es la prioridad principal
para todos los miembros de la organizacin TI que ofrece servicios. Se controla que
las actividades llevadas a cabo en la provisin de los servicios contribuyen a los
objetivos de negocio.
Gestin de la demanda. Es la actividad realizada por las relaciones con el negocio
para manejar la demanda de nuevos servicios, o de la evolucin de los existentes,
de las reas clientes de TI. La gestin de la demanda trata de acoplar la demanda
del da a da, con las previsiones (anuales) reflejadas en los presupuestos y desarrolladas en el porfolio de servicios.
Requisitos de nivel de servicio (SLR, Service Level Requirements). Es un documento que describe de forma detallada las necesidades del cliente. La descripcin
se realiza en el lenguaje del cliente para facilitar su entendimiento y validacin. Este
documento contiene la informacin de la funcionalidad a proveer por el servicio.
Se debe formalizar con el cliente, pues, sobre esta base, se desencadena todo el proceso de creacin.
Anlisis de viabilidad o caso de negocio. Estudio de los beneficios obtenidos del
proyecto frente a los costes, para asesorar a la direccin y a la gestin del cambio
sobre la idoneidad o no de abordar el proyecto. Normalmente slo se realiza para
grandes proyectos. Suele incluir el clculo del coste total de propiedad del nuevo
servicio (TCO, Total Cost of Ownership) y el clculo de retorno de la inversin
(ROI, Return Of Investment).

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

165

Especificaciones tcnicas del servicio. Documento que describe la relacin entre la


funcionalidad requerida por el cliente y la tecnologa empleada para implementarla.
Este documento describe los requerimientos tcnicos que son necesarios para la
provisin y entrega del servicio.
Acuerdo de nivel de servicio (SLA, Service Level Agreement). Documento que
recoge los compromisos acordados entre el cliente y el proveedor de servicios de
TI para la provisin del servicio requerido. En este documento se detallan por
escrito los objetivos de los servicios y las responsabilidades de ambas partes. El SLA
se describe en el apartado 6.1 de este libro.
Acuerdo de nivel operativo (OLA, Operational Level Agreement). Documento
que formaliza los compromisos entre departamentos internos de la organizacin
de TI relativos a su contribucin en la provisin, la entrega y la prestacin de un
servicio.
Este acuerdo interno establece responsabilidades, actividades, recursos, esfuerzo,
plazos y costes del mismo. Tambin contempla los compromisos internos para la
prestacin y operacin habitual del servicio. El OLA se describe en el apartado 6.1
de este libro.
Contrato de soporte (UC, Underpinning Contract). Documento contractual
entre la organizacin de TI y un suministrador de servicios externo. Este contrato
define los objetivos, alcance y caractersticas del servicio a prestar, as como los plazos y costes asociados.
Al igual que el acuerdo de nivel operativo, el contrato de soporte interviene en la
confeccin del SLA y del plan de proyecto para la creacin del servicio. El UC se
describe en el apartado 6.1 de este libro.
Propuesta de servicio. La propuesta de servicio cubre la informacin necesaria
para establecer el acuerdo con el cliente (funcionalidad, plazos, costes y calidad)
relativo a la creacin y entrega del servicio.
Tambin se contempla, aunque no se muestra al cliente, la parte interna necesaria
de TI. Se detalla las unidades que van a intervenir en la creacin del servicio, los
plazos de elaboracin y entrega de sus actividades. Establece los mecanismos de
gestin y seguimiento necesarios para analizar la evolucin de los trabajos comprometidos con el cliente.
Planificacin del proyecto. Planificacin detallada de todo el proceso de construccin y transicin del servicio. Integra los compromisos de todas las reas,

166

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

internas (OLA) y externas (UC) intervinientes, sobre la aportacin que cada uno
va a realizar a la provisin e implantacin del servicio. Esta planificacin del proyecto esta sujeta al control del cambio.
Solicitud de cambio (RFC, Request For Change). Formulario utilizado para proponer un cambio en cualquier componente de la infraestructura de TI o en cualquier aspecto de un servicio de TI. En este caso contempla la creacin de un servicio o la modificacin de uno existente.
En la RFC se reflejan la naturaleza, los detalles, la justificacin y la autorizacin del
cambio propuesto. La RFC va actualizndose a lo largo de la vida de la creacin
del servicio. La RFC se describe en el apartado 9.2 de este libro.
Lista de cambios planificados (FSC, Forward Schedule of Change). Es una programacin unificada de todos los cambios en curso que recoge los detalles de los
cambios cuya implantacin haya sido aprobada, as como las fechas propuestas para
las aprobaciones intermedias que permitan la implantacin segura de los servicios.
En ITIL v2 se denomina FSC, mientras que en la v3 se ha cambiado el trmino por
lista de cambios o change schedule. La lista de cambios planificados se describe en
el apartado 9.2 de este libro.

Entradas, actividades y salidas del proceso


Cuando sobre el modelo de procesos ITIL se intenta representar el flujo que debera seguir la creacin de un nuevo servicio, se obtiene una autntica maraa de
lneas de flujo que entran y salen prcticamente de todos los procesos. Esto
se debe a que la creacin de servicios es un flujo que se superpone a todos los
otros procesos.
Este proceso acta como el director de la orquesta de TI, que hace que toda la
organizacin trabaje sincronizada en la creacin y evolucin de servicios. Se alinea
con las necesidades demandadas por cliente, velando por los elementos crticos de
su demanda: plazo, funcionalidad, costes y calidad. Para realizar esta labor, las relaciones con los otros procesos y los diferentes departamentos de TI son intensas y
constantes.
En la figura 5.10 se muestra un esquema con las principales entradas, actividades
y salidas de este proceso.
Las entradas que desencadenan el inicio del proceso de creacin de servicios son la
solicitud del cliente (en una reunin o mediante una peticin expresa), la puesta en

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

Entradas

Actividades

Salidas

Desencadenantes
del proceso:

3 Gestin de la demanda.
Necesidades.

Salidas principales:

Solicitud del cliente.

3 Requisitos del servicio (SLR).

Porfolio de proyectos.

3 Anlisis de viabilidad
(TCO y ROI).

Mandato de la direccin
de TI.
Entradas de soporte:
Catlogo de servicios.
Polticas.
Metodologas proyectos.
Arquitecturas TI.
SLA existentes.
OLA y UC existentes.
CMDB.

3 Especificaciones tcnicas del


servicio.
3 Propuesta del servicio y
del SLA.
3 Plan de proyecto para la
creacin del servicio.
3 Revisin y formalizacin
de acuerdos internos y
contratos (OLA y UC).

167

Servicio operativo.
Documentacin del
servicio: de usuario,
tcnica y para el SD.
Servicio cargado
en herramientas de
autorresolucin.
Contrataciones
necesarias.
Salidas secundarias:
SLA cerrado.

3 Solicitud de cambio (RFC) y


aprobacin de la creacin
del servicio.

OLA y UC actualizados.

3 Seguimiento del proceso de


construccin.

FSC actualizado.

3 Integracin y pruebas del


servicio construido.

CMDB actualizada.

3 Aprobacin de la implantacin.
3 Implantacin y despliegue.
3 Revisin posimplantacin.
3 Comunicacin de resultados y
cierre.

Catlogo de servicios
actualizado.
DSL actualizada.
Informes de errores en
las pruebas a desarrollo.
Propuesta de actividades
para la mejora del
servicio.

3 Supervisin funcionamiento del


proceso.
3 Informes, anlisis y acciones de
gestin del cambio.
Mejora del proceso.
Fuente: e.p. y Telefnica.

Figura 5.10. Entradas, actividades y salidas del proceso

marcha de un proyecto definido en el porfolio o cartera de proyectos de TI, o bien


por actuacin expresa de la direccin de TI.
Hay otras entradas que se utilizan en el proceso de apoyo a la realizacin de una
actividad. Las principales entradas de soporte son: el catlogo de servicios, para

168

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

determinar si la necesidad del cliente est cubierta por el catlogo; las polticas,
metodologas de gestin de proyectos y las arquitecturas TI con el fin de que la creacin del nuevo servicio sea acorde con todo lo dictado en la organizacin; los
SLA, OLA y UC existentes; y la CMDB para proveer todo tipo de informacin
sobre TI y sus elementos de configuracin.
Las actividades principales que realiza este proceso son:
Gestin de la demanda, realizada por relaciones con el negocio (cliente) para
profundizar en sus necesidades, determinacin de si stas estn en el catlogo
de servicios, y su encaje en las previsiones presupuestarias y en el porfolio de
servicios.
Establecimiento de los requisitos del servicio por parte del cliente (SLR).
Realizacin, si procede, del anlisis de viabilidad (TCO y ROI).
Elaboracin de las especificaciones tcnicas del servicio, que incluye su arquitectura y el diseo funcional y tcnico.
Elaboracin de la propuesta del servicio y del SLA.
Realizacin del plan de proyecto para la creacin del servicio.
Revisin y formalizacin de acuerdos internos y contratos (OLA y UC).
Confeccin de la solicitud de cambio (RFC) y aprobacin de la creacin del
servicio. Dar la orden del inicio de la construccin del servicio.
Seguimiento del proceso de construccin.
Realizacin de la integracin y pruebas del servicio construido, en el entorno
de pruebas-integracin.
Aprobacin de la implantacin del servicio por gestin del cambio.
Realizacin de la implantacin y despliegue del servicio.
Revisin post-implantacin.
Comunicacin de los resultados a todas las partes interesadas.
Cierre de la implantacin y de la solicitud de servicio.
Las salidas principales del proceso son: el servicio operativo y listo para que provea las funcionalidades al negocio especificadas; todo tipo de documentacin asociada necesaria (de usuario, para las reas tcnicas, de soporte para la atencin de
incidentes y peticiones del usuario, etc.); el servicio cargado en las herramientas
de autorresolucin al usuario; y las contrataciones necesarias realizadas (para la

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

169

construccin, para el soporte tcnico de los fabricantes, para el mantenimiento de


licencias).
Las salidas secundarias del proceso son: el SLA de explotacin del servicio, los
OLA y UC revisados, el catlogo de servicios actualizado con el nuevo servicio o
nuevas funcionalidades, la lista de cambios planificados actualizada (FSC), la
biblioteca de software definitivo (DSL) y la base de datos de gestin de la configuracin (CMDB) actualizadas con el nuevo servicio, los informes en los errores en
las pruebas y la propuesta de actividades para la mejora del servicio y del proceso
que se incorporar en el plan de mejora general.
En la figura 5.11 se muestra una secuencia de actividades del proceso, con foco en
la relacin con otros procesos de gestin del servicio de TI. Estas actividades se
deberan integrar tambin en la metodologa de desarrollo de proyectos de la organizacin de TI.

Planificacin e implementacin de servicios nuevos o de servicios modificados


Relaciones
con el negocio
Gestin demanda.
Necesidades frente a
catlogo de servicios
Requisitos de servicio
del cliente (SLR)
Negociacin propuesta
servicio y SLA
Acuerdo con el cliente

Actividades especficas
del proceso

Anlisis de viabilidad
Especificaciones tcnicas
del servicio (SS)
Propuesta del servicio y SLA
Plan de proyecto del servicio
Revisin y formalizacin de
acuerdos y contratos (OLA, UC)
Confeccin solicitud
de cambio (RFC)
Orden de construccin

Gestin
del cambio

Gestin de
la entrega

Aprobacin preliminar

Aprobacin del RFC de


creacin/evolucin
del servicio
Aprobacin planificacin
Inclusin en FSC
Gestin del cambio

Construccin del servicio. Pruebas del servicio (por otros procesos y departamentos TI)
Aprobacin implantacin
por cambios
Comprobacin
posimplantacin
Comunicacin
entrega del servicio.
CIERRE SOLICITUD
SERVICIO

Comunicacin
resultados implantacin.
CIERRE IMPLANTACIN

Integracin y pruebas
Implantacin y despliegue
Revisin posimplantacin
SERVICIO OPERATIVO

Fuente: Telefnica.

Figura 5.11. Secuencia de actividades principales del proceso con foco


en la integracin con otros procesos de gestin del servicio

170

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

A continuacin, se detallan las principales actividades para el ciclo de creacin de


servicios.

El proceso se inicia con las relaciones con el negocio


La gestin de la relacin con el negocio se encarga de todo lo relativo a la relacin
entre el proveedor de servicio TI y el cliente. Se podra decir que lleva las relaciones
comerciales de TI para la fbrica.
En ITIL v3, en el mbito de la estrategia del servicio, se establece una completa
serie de actividades en torno a los procesos de la gestin de la estrategia, la gestin
financiera, la gestin de la demanda y la gestin del porfolio de servicios (no
cubiertos por ISO/IEC 20000). El proceso de creacin de servicios se desencadena
por una solicitud del cliente, por la ejecucin del porfolio de servicios o por mandato de la direccin de TI, pero siempre dentro del contexto definido en la estrategia y manteniendo la implicacin directa del cliente.
El ciclo de la creacin debe comenzar con el proceso de gestin de las relaciones
con el negocio, que se encarga de dilogo con el cliente. Para intentar dar cobertura a sus necesidades utilizar la oferta estndar de servicios de TI, basndose en el
catlogo de servicios existente. Si la necesidad del cliente se satisface con un servicio del catlogo, se ejecuta una solicitud de servicio, que se proveer por el medio
de provisin predefinido. Si no se pueden resolver con un servicio preexistente, se
desencadenara la creacin de uno nuevo o a la evolucin de uno existente, dando
paso al resto del proceso.
En todo caso se debe encajar la necesidad del cliente con las previsiones presupuestarias y con las previsiones de proyectos o servicios a realizar, definidas normalmente el porfolio o cartera de proyectos o servicios.

Requisitos de servicio del cliente (SLR, Service Level


Requirements)
Este gestor de relaciones con el negocio debe escuchar al cliente, analizar sus
necesidades y formalizarlas en un documento de requisitos de servicio del cliente
(SLR) y si estas no se ajustan a la oferta estndar de servicios, se analizara la
posibilidad de poder proveerlas (para un mayor detalle vase el apartado 7.2).
En esta actividad es necesario aplicar las disciplinas de formalizacin de los requisitos de los clientes (para lo que se recomienda seguir lo especificado en CMMI
al respecto).

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

171

Anlisis de viabilidad (TCO y ROI) o caso de negocio


Con frecuencia, en las organizaciones TI se toman decisiones de inversin importantes sin un anlisis adecuado de las mismas. Aunque por otra parte, hay que evitar la parlisis de la organizacin por el anlisis.
En el caso de los proyectos o servicios que requieran altas inversiones, es conveniente realizar un estudio de los costes totales del nuevo servicio, en todo su ciclo de
vida, para contrastarlo con los beneficios que se aportar al negocio. En el anlisis
se suele calcular el coste total de propiedad del nuevo servicio (TCO) y el clculo del
perodo de tiempo necesario para el retorno de la inversin (ROI).
Con estos datos, se toma la decisin de abordar o no el proyecto, o reorientarlo
hacia otro tipo de solucin ms adecuada. Esta decisin se recomienda que la tome
el comit de cambios, o si no, la propia direccin de TI.

Especificaciones tcnicas del servicio


En el caso que sea necesario construir un nuevo servicio o evolucionar uno existente este proceso toma el control e inicia su primera actividad propiamente dicha:
convertir los requisitos del cliente en especificaciones tcnicas internas. Su objetivo
es detallar las especificaciones tcnicas del servicio partiendo del documento de
requisitos del cliente (SLR).
Con la colaboracin y trabajo conjunto de gestin de nivel de servicio y el resto de
procesos y funciones implicadas, se elabora un documento que describe la relacin
entre la funcionalidad requerida por el cliente y la tecnologa empleada para
implantarla. Este documento describe los requisitos tcnicos que son necesarios
para la provisin y entrega del servicio, contemplando la siguiente informacin:
Descripcin tcnica detallada e inequvoca de los servicios demandados por
el cliente y sus componentes TI.
Especificacin del modo en el que el servicio va a ser aprovisionado e implantado por TI (utilizacin de arquitecturas ya definidas, plataformas de produccin existentes, etc.).
Especificacin de los requisitos de control de calidad necesarios.
Estas especificaciones describen con detalle lo que el cliente desea y cual es el impacto
que tiene en la organizacin TI, su provisin, implantacin y operacin. Este documento de uso interno no necesita ser firmado por el cliente, pero si est sujeto al control documental establecido por el sistema de gestin del servicio de TI (SGSTI).

172

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El contenido recomendado del documento de especificaciones tcnicas del servicio


debera contener, como mnimo, los conceptos indicados en la figura 5.12.
Especificaciones tcnicas del servicio
1. Introduccin
Objetivo y alcance.
Nombre del cliente/SLR de referencia.
2. Descripcin del servicio
Nombre del servicio, objetivos y alcance.
Requerimientos de alto nivel:
Funcionalidad.
Horario de servicio y soporte.
Disponibilidad, fiabilidad y continuidad.
Rendimiento y volmenes.
Interfaces, etc.
3. Estructura y propuesta de nivel de servicio
4. Planificacin
Fecha requerida de disponibilidad del servicio.
Duracin del servicio.
5. Relaciones con otros elementos de configuracin
Servicios, componentes hardware y software.
6. Unidades involucradas la creacin del servicio
Nombre del departamento, responsable, datos
de contacto y requerimientos tcnicos, humanos
y econmicos asociados.
7. Servicios impactados
Nombre del servicio y descripcin del impacto.

Figura 5.12. Contenido del documento de especificaciones tcnicas del servicio

Propuesta de servicio y acuerdo de nivel de servicio


(SLA, Service Level Agreement)
Una vez realizadas las especificaciones de servicio, que describen la solucin tcnica a
los requisitos del cliente y que proporciona las definiciones tcnicas necesarias para
proveer e implantar el servicio, se est en disposicin de confeccionar la propuesta de
servicio y, realizado por el proceso de gestin de nivel de servicio, el acuerdo de nivel

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

173

de servicio (SLA) preliminar. Esta propuesta se presentar al cliente como respuesta a


su demanda para su revisin negociacin y acuerdo. Al respecto, ISO/IEC 20000-1
establece:
UNE-ISO/IEC 20000-1
En las propuestas de nuevos servicios o modificaciones en los existentes, se deben
considerar los costes y el impacto a nivel organizativo, tcnico y comercial que
pudiera derivar de su entrega y gestin.

En esta etapa TI formaliza dos tipos de acuerdo con el cliente:


La propuesta de servicio, que es el acuerdo de creacin del servicio (aplicacin, infraestructura, etc.), a veces conocido como SLA de desarrollo o
SLA de construccin.
El SLA del servicio, centrado exclusivamente en las condiciones de prestacin operativa del servicio que recibir el cliente, en ocasiones denominado
slo como SLA o como SLA de explotacin (vase el apartado 6.1).
La propuesta de servicio cubre el acuerdo con el cliente (en funcionalidad, plazos,
costes y calidad), para la creacin y entrega de los servicios. La responsabilidad de
su confeccin directa es del proceso de planificacin e implementacin de servicios
nuevos o modificados (es el primer documento que genera de forma especfica este
proceso, pues los otros son generados por los procesos o reas que coordina).
En la propuesta de servicio tambin se contempla, aunque no se muestre al cliente,
la parte interna de TI asociada. Se detallan: quin interviene en su realizacin, los
plazos de elaboracin y entrega de las actividades, y los mecanismos de gestin y
seguimiento necesarios para analizar la evolucin de los trabajos comprometidos
con el cliente. Para poder realizar esta ltima parte es necesario acordar y formalizar, con todos los intervinientes de TI, su participacin, sus necesidades en cuanto
a los plazos, los recursos y los costes.
Tambin se debe contemplar en la propuesta los indicadores y mtricas de gestin,
as como los mecanismos necesarios para la revisin del servicio y para el control,
el seguimiento y la evaluacin interna del cumplimiento de los niveles de servicio
acordados. En este punto, es importante resaltar que antes de proponer estos mecanismos es necesario verificar previamente, con las reas y procesos involucrados,
que la organizacin TI cuenta con los medios de monitorizacin necesarios para
obtener las mtricas acordadas ya que, a menudo, se olvida este aspecto y luego no
es posible conocer si se estn cumpliendo los SLA firmados. En la figura 5.13 se
muestra el contenido habitual de una propuesta de servicio.

174

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Propuesta de servicio para negociar


con el cliente
1. Objetivos y alcance.
2. Descripcin del servicio:
Funcionalidad.
Seguridad y continuidad.
3. Estimacin de recursos necesarios del cliente.
4. Estimacin de plazos de creacin y entrega.
5. Estimacin de costes asociados.
6. Impacto y modificaciones a contratos y acuerdos
existentes.
7. Propuesta SLA:
Compromisos de prestacin regular del servicio en
trminos medibles.
Indicadores y mtricas de gestin del
cumplimiento.
Mecanismos de control y seguimiento de la
evolucin de los niveles de servicio acordados.
8. Criterios de aceptacin del servicio.
9. Participantes y sus responsabilidades en las
actividades de creacin, implantacin, operacin
y evolucin de los nuevos servicios. Contemplar
las actividades a llevar a cabo por los clientes y
el proveedor de servicio TI.

Figura 5.13. Propuesta servicio a negociar con el cliente

El SLA del servicio describe las condiciones de la prestacin regular del mismo
durante el tiempo que dure el acuerdo. Contiene los compromisos de TI y del cliente
para prestacin del servicio y ser la referencia que se utilizar por las dos partes para
medir la prestacin del servicio. En el mbito de este proceso se formaliza el SLA,
pero su realizacin corresponde al proceso de gestin de nivel de servicio (SLM),
trabajando para este proceso. Este punto se trata detalladamente en el apartado 6.1.
La propuesta de servicio describe en trminos de negocio qu se entregar al
cliente y cundo; y el SLA contiene los compromisos de ambas partes para la
prestacin habitual del servicio. Estos documentos constituyen el medio por el que

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

175

las dos partes, cliente y proveedor de servicios TI, pueden medir los compromisos
tanto del cumplimiento de la creacin del servicio como los de su prestacin regular durante su vida til.

Negociacin de la propuesta de servicio, de la


planificacin y del SLA
La propuesta de servicio, que incluye una planificacin preliminar del proyecto de
construccin, y el SLA de explotacin, se revisan y negocian con el cliente para
ajustar los objetivos, calidades, plazos y costes, entre lo demandado por el cliente y
lo que la organizacin de TI razonablemente puede aportar. Una vez llegado a un
acuerdo, se firman estos dos documentos por ambas partes. Esta actividad la realiza el proceso de relaciones con el negocio bajo el paraguas de este proceso.
Destacar la recomendacin realizada en ITIL v3 en el libro Transicin del Servicio
relativa a que el SLA (de explotacin) se cierre definitivamente despus de una fase
piloto o al principio de la vida del servicio (early life support) antes de que la transicin se haya terminado.

Plan de proyecto para la creacin del servicio


Una vez formalizada la propuesta de servicio, se realiza el plan de proyecto, desde
la perspectiva pura de TI, para la creacin del servicio. En esta actividad se realiza
el anlisis detallado de las tareas a realizar por cada uno de los intervinientes, confeccionando una planificacin detallada de creacin del servicio.
UNE-ISO/IEC 20000-1
La planificacin e implementacin deben incluir los fondos y recursos adecuados
para llevar a cabo los cambios necesarios para la provisin y la gestin del servicio.
Los planes deben incluir:
a) los roles y responsabilidades para implementar, operar y mantener los nuevos
servicios o modificaciones en los existentes, incluyendo las actividades a llevar
a cabo por clientes y suministradores;
b) los cambios en el marco de trabajo existente de gestin del servicio y en los
propios servicios;
c) la comunicacin a las partes afectadas;
d) los nuevos contratos y acuerdos, o modificaciones a los contratos y acuerdos
existentes, para estar alineados con las necesidades del negocio;

176

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

e) los requisitos de mano de obra y contratacin;


f) los requisitos de perfiles y formacin, por ejemplo usuarios, soporte tcnico;
g) los procesos, medidas, mtodos y herramientas que han de usarse con relacin a los nuevos servicios o modificaciones en los existentes, por ejemplo gestin de la capacidad, gestin financiera;
h) los presupuestos y plazos de tiempo;
i) los criterios de aceptacin del servicio; y
j) los resultados esperados al operar con el nuevo servicio, expresados en trminos
medibles.

La planificacin se debe confeccionar en trminos de objetivos, alcance, funcionalidad, estimacin de plazos para que est disponible, esfuerzo y costes asociados.
Este documento integra toda la informacin necesaria para los proveedores internos y externos sobre la aportacin que cada uno debe realizar a la provisin e
implantacin del servicio. Tambin define los parmetros necesarios para los procesos de gestin de servicio, la administracin y la operacin.
Para realizar la planificacin del proyecto y la gestin de todas sus etapas se utilizan
metodologas como PMBOK o PRINCE2.
Durante la elaboracin del plan de proyecto es necesario revisar y formalizar los
acuerdos internos y los externos a la organizacin de TI, que involucran a todas las
reas y departamentos del proveedor de servicios.
Se puede definir el plan de proyecto de servicio como el documento donde el proveedor de TI especifica el proceso de fabricacin con el que se elaborar y entregar un servicio. Es decir, describe el plan de trabajo que se habr de realizar por
cada rea y proceso TI para la construccin, pruebas, despliegue y puesta en marcha del servicio. Este documento establece, por tanto, las fases, actividades, hitos,
planificacin, responsabilidades, plazos de disponibilidad, costes e indicadores asociados al servicio, los cambios en la Infraestructura TI necesarios, as como las
caractersticas de los acuerdos que habr que establecer, tanto en el mbito interno
de la Organizacin TI como de los suministradores externos.
Este plan de proyecto, al igual que el resto de documentos, estar sometido al control de la gestin documental del sistema de gestin de servicios de TI (SGSTI).
El contenido base de este documento se presenta en la figura 5.14.
La participacin de cada rea o suministrador de TI en el plan de proyecto se debera formalizar mediante acuerdos de nivel operativo (OLA, Operational Level
Agreement) cuando se trata de reas internas a la organizacin de TI y para el caso

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

177

Plan de proyecto de creacin del servicio


1. Introduccin:
Objetivo y alcance.
Clientes, SLR y SLA de referencia.
Fecha de inicio servicio.
2. Procesos y departamentos involucrados:
Nombre del departamento.
Persona y datos de contacto.
Participacin requerida.
3. Descripcin de los niveles de soporte necesarios:
Niveles de soporte requeridos de los procesos
(incidentes, disponibilidad, capacidad, gestin
del cambio, gestin de presupuestos y costes de
servicios TI, etc.).
Niveles de soporte requeridos a los
suministradores externos y a otros departamentos
de TI.
4. Planificaciones de trabajo:
Objetivos y alcance.
Planificacin de trabajo de cada departamento,
y/o proceso, de TI (desarrollo de aplicaciones,
operacin de servicio, etc.).
Descripcin de actividades.
Cambios necesarios (descripcin y justificacin).
Recursos necesarios.
Estimacin de esfuerzo y costes asociados.

Figura 5.14. Contenido tipo del plan de proyecto de creacin del servicio

de las unidades externas a TI se realiza mediante los denominados contratos de


soporte (UC, Underpinning Contract).
Una vez confeccionada la propuesta de servicio, el SLA y el plan de proyecto del
servicio, la gestin de relaciones con el negocio tratar con el cliente los trminos
finales para la provisin e implantacin del servicio, dado que posiblemente el
cliente tenga que participar a lo largo de la creacin del servicio (validaciones, pruebas, etc.).

178

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Revisar y formalizar acuerdos internos (OLA)


El objetivo de esta actividad es formalizar los acuerdos de nivel operativo (vase el
apartado 6.1). Entre las distintas reas y departamentos internos del proveedor de
TI involucrados en el soporte y operacin del servicio una vez construido, y cuyas
caractersticas fueron acordadas e incluidas previamente en el SLA (de explotacin).
Esta formalizacin, que realiza el proceso de gestin de nivel de servicio, se plasma
en un documento en el que se recogen las caractersticas y condiciones del servicio
que se va a proveer por cada rea.

Revisar y formalizar contratos externos (UC)


Esta actividad tiene como objetivo formalizar los contratos de servicio (UC) con
los diferentes suministradores externos a la organizacin de TI.
Su finalidad es la contratacin de servicios a suministradores externos. Las caractersticas que de deben cumplir por los contratos de soporte se derivan del SLA, del
plan de proyecto del servicio y de los contratos ya existentes con los suministradores. Estos acuerdos se formalizan en un contrato que recoge las caractersticas y
condiciones del servicio a prestar por cada suministrador.
Para la realizacin de esta actividad se debern mantener reuniones con los distintos suministradores con el fin de aclarar los requisitos, as como negociar las condiciones para la realizacin de las actividades asociadas. Esta actividad la lleva a cabo
el proceso de gestin de suministradores con los requisitos establecidos por la gestin de nivel de servicio (vase el apartado 6.1).

Confeccin de la solicitud de cambio (RFC) y aprobacin


de creacin del servicio
En este punto, el proceso de planificacin e implementacin de servicios confecciona y tramita la solicitud de cambio (RFC, Request For Change) con la documentacin correspondiente para su revisin y aprobacin formal por el proceso de gestin del cambio (para profundizar en estos conceptos consulte el apartado 9.2),
que se realizar mediante el comit de cambios (CAB, Change Advisory Board), que
representa al proveedor de servicios de TI, y en el que tienen presencia todas las
partes implicadas. Cualquier cambio que afecte o pueda afectar a este proyecto ser

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

179

analizado por este proceso para determinar si supone un impacto potencial en los
compromisos adquiridos con los clientes.
UNE-ISO/IEC 20000-1
La implementacin de nuevos servicios o modificaciones en los existentes, incluyendo la eliminacin de un servicio, debe ser planificada y aprobada a travs de un
proceso formal de gestin del cambio.

UNE-ISO/IEC 20000-2
Todas las modificaciones al servicio se
deberan reflejar en los registros de gestin del cambio:
Esto incluye a los planes para:

c) la formacin al usuario;
d) las comunicaciones sobre los cambios;

a) la contratacin y formacin del


personal;

e) los cambios en la naturaleza de


la tecnologa a la que se da
soporte;

b) la reubicacin;

f) el cierre formal de los servicios.

A partir de este momento la peticin de cambio aprobada se integra en la lista de cambios planificados (FSC, Forward Schedule of Change). Este listado es una pieza fundamental en la actividad del proceso de gestin del cambio, ya que en l se controla toda
la actividad relevante de cambios en TI. Adems, se genera un informe de disponibilidad prevista del servicio (PSA, Projected Service Availability). Las versiones actualizadas
de estos documentos deben estar a disposicin de cualquier miembro de la organizacin, por lo que, generalmente, se almacenan en la intranet de la compaa.

Construccin del servicio o de las modificaciones


Una vez aprobada la solicitud de cambio e introducido el proyecto en el listado
de cambios planificados (FSC), a travs de la gestin del cambio, se da la orden de
comienzo de la construccin del servicio. Se inicia la ejecucin de la planificacin
del plan de proyecto por cada una de las reas TI involucradas (desarrollo, infraestructuras, proveedores externos, etc.) bajo la supervisin del proceso de planificacin e implantacin de servicios nuevos o modificados.

180

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Tambin, durante esta actividad, cualquier cambio al servicio y su plan de proyecto,


ya sea a peticin del cliente o por necesidades internas de TI, deber ser sometido
al anlisis y aprobacin a travs del proceso de gestin del cambio.
En el transcurso de la construccin del servicio o de sus modificaciones, este proceso realizar el seguimiento y control de la etapa de construccin. As, tambin se
responsabiliza del cumplimiento de plazos, calidad y costes, en esta etapa de construccin. Para realizarlo no se necesita duplicar funciones y se utilizarn las atribuciones del equipo de gestin de proyectos o de desarrollo de la organizacin.
Como ya se ha mencionado, en la construccin se debera aplicar otro tipo de normativa o marcos de mejores prcticas (por ejemplo, SPICE, CMMI, PMBOK o
PRINCE2), que se integraran con el proceso actual.

Integracin y pruebas del servicio construido


Finalizada la etapa de construccin, se hace la recepcin del desarrollo realizado,
verificando nuevamente el cumplimiento de todo lo especificado y se solicita aprobacin al proceso de gestin del cambio para proceder a la implantacin en los
entornos de integracin y pruebas (previos al entorno productivo real).
En esta actividad es el proceso de gestin de la entrega quin es el responsable del
control y realizacin de las actividades (vase el captulo 10). Como en otros casos,
se produce una doble responsabilidad y control, una derivada del proceso de creacin de servicios, con foco en el ciclo completo de creacin, y otra por parte de la
gestin de la entrega, cuya misin es realizar las actividades para la puesta en produccin de los cambios.
El resultado de esta etapa es un informe de pruebas del servicio, con los defectos
encontrados y su resolucin.
En ITIL v3 hay dedicado un libro de buenas prcticas a la Transicin del Servicio,
que arranca una vez finalizado el diseo del servicio (en este caso se considera el
servicio ya construido) y finaliza con el paso a produccin. Este libro contiene actividades y directrices que se estructuran en cinco procesos: soporte y planificacin
de la transicin, gestin del cambio, activos y configuracin del servicio, gestin de
la versin y del despliegue, validacin y pruebas del servicio, y evaluacin y la gestin del conocimiento. Mientras que en ISO/IEC 20000 y en ITIL v2 todas las
actividades equivalentes a esta transicin de ITIL v3 se agrupan en tres procesos:
gestin del cambio, gestin de la entrega y gestin de la configuracin.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

181

Aprobacin de la implantacin del servicio


UNE-ISO/IEC 20000-1
Los nuevos servicios, o las modificaciones en los existentes, deben ser aceptados por el
proveedor del servicio antes de ser implementados en el entorno de produccin real.

Una vez finalizado el desarrollo y las pruebas del servicio, el proceso de gestin del
cambio toma el control para comprobar si se han cubierto todos los compromisos
reflejados en la RFC y someter a la aprobacin del comit de cambios la implantacin del servicio en el entorno de produccin real.
La implantacin del servicio en el entorno de produccin real, la realiza el proceso
de gestin de la entrega (vase el apartado 10.1) bajo la supervisin de gestin del
cambio (vase el apartado 9.2).

Realizacin de la implantacin y despliegue del servicio


Aprobada la implantacin del servicio por la gestin del cambio, se procede a la
implantacin en el entorno productivo real y despliegue del servicio. El despliegue
debe incluir tambin la formacin a los usuarios, al service desk y al resto de los tcnicos de soporte. En esta actividad el proceso de gestin de la entrega es el responsable del control y realizacin de estas actividades (vase el captulo 10).

Comprobacin resultados: revisin postimplantacin


UNE-ISO/IEC 20000-1
Tras la implementacin, el proveedor del servicio debe informar de los resultados
alcanzados por el servicio nuevo, o por el servicio modificado, comparndolos con los
previstos. Se debe realizar una revisin posterior a la implementacin, que compare
los resultados reales con los planificados a travs del proceso de gestin del cambio.

En la actividad de implantacin la ltima actividad del proceso de gestin del cambio es realizar una revisin postimplantacin (PIR, Post Implementation Review)
para analizar los resultados reales obtenidos con la implantacin realizada, comparndolos con los resultados esperados. En esta actividad el proceso de gestin de la

182

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

entrega es quin se responsabiliza del control y realizacin de estas tareas (vase el


captulo 10).
Esta revisin se debe realizar como mnimo en todos los cambios importantes de
TI y, por tanto, en la implantacin de servicios nuevos o modificados. Si en esta
revisin se concluye que el cambio no tiene el efecto deseado, se decidir si se da
marcha atrs para restaurar el estado inicial. Asimismo se revisarn y documentarn las causas para evitar que vuelva a ocurrir otra vez.
El responsable de la planificacin de nuevos servicios o de servicios modificados
debe tener una participacin activa en la revisin postimplantacin, ya que es el responsable final del resultado obtenido frente a relaciones con el negocio.
Tras esta actividad se cierra formalmente la RFC, comunicndolo al comit de cambios, al responsable de gestin de niveles de servicio y al promotor de la RFC,
quien realizar las comprobaciones necesarias junto con el responsable de relaciones con el negocio.
En este punto, y si las comprobaciones realizadas han resultado satisfactorias, el responsable de las relaciones con el negocio realizar las comunicaciones formales de
entrega del servicio al cliente.

Comunicacin de los resultados a todas las partes


interesadas
Gestionado por el proceso de gestin de la entrega, se comunican los resultados y
la disponibilidad del servicio a las partes implicadas. El service desk centralizar la
comunicacin a los usuarios, mientras que la gestin de relaciones con el negocio
lo har con los clientes.

Cierre de la implantacin y de la solicitud de servicio


Se procede al cierre de la implantacin (cierre que ejecuta el proceso de gestin de
la entrega) y al cierre de la solicitud de servicio del cliente realizada por el proceso
de relaciones con el negocio.

Mtricas del proceso


Es necesario elaborar informacin que permita evaluar si este proceso est cumpliendo con los objetivos previstos. Lo habitual es elaborar un conjunto de mtricas
que permitan conocer los aspectos ms importantes para cada organizacin. Muchas

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

183

de las mtricas de este proceso son similares a la de los procesos que utiliza, por lo
que no se repiten aqu. nicamente se enumeran aqullas que tienen un carcter
ms global al proceso:
Nmero de proyectos realizados.
El Time to market de los proyectos o plazo medio desde el primer contacto
con el usuario hasta que el servicio se ha entregado y se est utilizando.
Cumplimiento de los plazos acordados o porcentaje de cumplimiento de los
plazos previstos en cada proyecto.
Alineacin con el cliente, medida como el nmero de inconformidades (o
modificaciones) del cliente por proyecto y del usuario final con los nuevos
servicios.
Calidad tcnica, medida como el nmero de defectos encontrados en las
pruebas del servicio.
Nmero de incidentes causados por los nuevos servicios o las modificaciones.
Cumplimiento de los costes acordados en los proyectos.
Volumen medio de recursos utilizados. Nmero medio de horas/hombre
dedicados por proyecto.
Calidad de las previsiones, medida como el nmero o coste de los nuevos
servicios no previstos en los planes anuales (porfolio de servicios, presupuestos, etc.).

Figura 5.15. Mtricas relevantes para el proceso de creacin de servicios

184

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Siguiendo los principios de COBIT, las mtricas se estructuran en tres capas: una
primera capa con las mtricas que aportan una visin al negocio de cmo est TI,
denominadas KGI de TI (KGI, Key Global Indicador); una segunda capa destinada
a la visin que el director de sistemas de informacin debera tener sobre el proceso, denominadas KGI del proceso. Por ltimo, para mostrar los detalles internos
del proceso al responsable del proceso estara la tercera capa, los KPI del proceso
(KPI, Key Performance Indicador).
En el grfico de la figura 5.15 se muestra un resumen de los indicadores ms relevantes de este proceso.

Roles participantes en el proceso


Los roles involucrados en el proceso se estructuran en: los roles propios del proceso y los roles ajenos al proceso.
Los roles propios del proceso son:
El gestor de la creacin de servicios (gestor del proceso o process manager), que es el responsable del da a da de la actividad del proceso, en este
caso supervisa cada proyecto desde su concepcin hasta su entrega definitiva, supervisa a los responsables de proyectos en el cumplimiento de lo
establecido en el proceso, detecta y propone mejoras en su proceso y en
otras reas de TI relacionadas, etc.
Los administradores o personal de soporte al proceso, es el personal que
ayuda al gestor en el control de toda la actividad.
Los responsables o jefes de proyecto, que se responsabilizan de un proyecto
desde su inicio hasta su fin.
Los especialistas en tecnologas, aplicaciones y formacin, que realizan el
diseo tcnico y funcional, realizan las pruebas tcnicas y funcionales, realizan la implantacin y despliegue y realizan la formacin a los usuarios sobre
los nuevos servicios.
Los roles tpicos del desarrollo de aplicaciones (analistas funcionales, programadores, etc.).
Los roles ajenos relevantes en este proceso son:
El responsable de relaciones con el negocio, que es la cara visible de la organizacin de TI con el cliente, tiene como cometido la gestin de las relaciones del cliente con el proveedor de servicios TI.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

185

El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define el proceso y se encarga de la mejora continua del
mismo. Todo ello de una forma integrada con el modelo de gestin de TI
incorporado en el SGSTI.
El responsable de la gestin del cambio, ya que debe autorizar el inicio de las
pruebas e integracin, la implantacin en produccin y el cierre de la entrega.
Los roles de mayor relevancia que participan en el proceso se representan en el grfico de la figura 5.16.

Roles del proceso

Responsable de la
gestin del servicio
SGSTI

Gestor de la
creacin de servicios

Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)

Gestor del cambio

Especialistas en el
diseo del servicio

Especialistas
de desarrollo

Figura 5.16. Roles del proceso de creacin de servicios

Especialistas
tcnicos

186

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Resumen
La creacin de servicios se ha convertido en un factor clave para lograr el xito
empresarial. El proveedor de TI debe posibilitar un tiempo de entrega de servicios
(time-to-market) acorde a las necesidades del cliente, pero tambin debe contemplar
que los costes, la funcionalidad y calidad de los servicios estn ajustados a sus necesidades reales.
Las principales responsabilidades que tiene a su cargo el proceso se indican en la
figura 5.17.

Figura 5.17. Principales responsabilidades del proceso

Adems, el proceso realiza dos aportaciones fundamentales a la gestin de servicios


de TI:
Organiza todo el ciclo de creacin de servicios para que se fabriquen en los
plazos acordados, con la calidad, costes y funcionalidad pactados.
Asume la responsabilidad de coordinar a todos los procesos y departamentos
de TI para lograr sus objetivos.
Para ello, articula un ciclo de la provisin de servicios que involucra y gestiona
todos los procesos, funciones y reas de TI implicados. Elabora un plan de trabajo
integrado para proveer e implantar el servicio a partir del cual se negocia con el
cliente. Una vez que se ha logrado un consenso y acuerdo con el cliente, se aprueba
formalmente el plan de proyecto mediante el proceso de gestin del cambio y su
rgano de gestin interno, el comit de cambios, en el que estn representadas
todas las partes implicadas.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

187

En la figura 5.18 se muestra un resumen general de las actividades de este proceso.

Resumen del ciclo de fabricacin de un servicio de TI


1. Identificar las necesidades del cliente y proponer servicios TI que
satisfagan dichas necesidades.
2. Documentar los requisitos que debe cumplir el servicio solicitado por el
cliente. El resultado de esta actividad: Requisitos de nivel de servicio (SLR).
3. Realizar un anlisis de viabilidad (si procede).
4. Elaborar las especificaciones tcnicas del servicio.
5. Elaborar la propuesta de servicio incluyendo la propuesta de SLA para ser
presentado y negociado con el cliente.
6. Negociar y acordar con el cliente la propuesta de servicio y SLA final.
Solo se tratan los aspectos de cliente y en trminos de negocio.
7. Elaborar el plan de proyecto del servicio con todos los procesos y
departamentos TI implicados.
8. Revisin de acuerdos internos (OLA) y externos (UC).
9. Crear RFC y presentar a gestin de cambio para su aprobacin,
formalizacin y compromiso de realizacin de todas las partes implicadas.
10. Inclusin del proyecto en la planificacin de cambios (FSC), a partir de la
cual se gestiona cualquier cambio, propio o provocado por otros motivos,
de forma integrada y normalizada.
11. Control del proceso de fabricacin del servicio realizado por cada uno de
los intervinientes.
12. Aprobacin de la implantacin del servicio.
13. Gestin de la entrega del servicio al cliente y revisin posimplantacin.
14. Comprobacin resultados de la implantacin del servicio comparando los
resultados reales obtenidos con los planificados.
15. Comunicacin de resultados.
16. Cierre de la peticin.

Figura 5.18. Resumen del ciclo de fabricacin de un servicio de TI

Este proceso de planificacin e implementacin es el punto central sobre el que se


sustenta la coordinacin dentro del proveedor de servicios TI para la creacin y evolucin de los servicios a los clientes. Esta actividad la realiza con la colaboracin de
mltiples intervinientes coordinndolos en la bsqueda de encontrar el equilibrio

188

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

correcto entre la demanda del cliente, la provisin del servicio, el coste de los mismos y la satisfaccin del cliente.
Para finalizar este captulo, es importante destacar que este proceso es complejo y
soporta mltiples relaciones, por lo que el uso de las herramientas adecuadas es un
punto que no se debe descuidar. La disponibilidad de herramientas especficas (catlogo de servicios actualizado, formularios de recogida de requerimientos y especificaciones SLR, SS, modelos de SLA/OLA/UC, un sistema de gestin documental,
etc.) pueden ser el elemento clave para el xito de este proceso y, por tanto, para el
xito de TI en la provisin de servicios nuevos o modificados.

Beneficios
La planificacin e implementacin de servicios nuevos o de servicios modificados
posibilita una mayor confianza en la relacin TI-Negocio, y un incremento de
la satisfaccin de los clientes, gracias a la transparencia y claridad de las propuestas
de los servicios que se van a proveer e implantar, ya que estn realizadas con el
compromiso de todas las partes implicadas y alineadas con las necesidades de negocio planteadas por el cliente.
Tambin contribuye a mejorar esta relacin la fiabilidad que proporciona la planificacin integrada de todas las reas y procesos TI intervinientes que permite asegurar que una peticin es viable, que la relacin calidad-precio es adecuada, que est
alineada con la estrategia de negocio y tcnica. Tambin contribuye a agilizar y asegurar el time to market de provisin de soluciones, minimizando los riesgos relacionados con el cumplimiento de plazos y costes asociados.
Los principales beneficios que se obtienen al implementar este proceso son:
Los servicios TI se disean para satisfacer las necesidades reales del cliente.
La relacin con el cliente se basa en servicios que TI proporciona, y en el
lenguaje y trminos del negocio.
Se atienden las demandas del negocio convirtindolas en servicios, de acuerdo
con la estrategia y los presupuestos.
La organizacin de TI y sus clientes tienen unas expectativas claras y consistentes del servicio solicitado a TI.
Gestin formalizada de los requisitos del cliente, en su propio lenguaje.
Control del ciclo completo, e integrado, de creacin y modificacin de los
servicios, desde la perspectiva de las necesidades y acuerdos con el cliente,
hasta su entrega y puesta en funcionamiento operativo.

5. Planificacin e implementacin de nuevos servicios o de servicios modificados

189

La organizacin del proveedor de TI tiene una visin integrada de lo que el


cliente espera de ellos y dirige sus esfuerzos a las reas y compromisos clave
para el negocio.
Aseguramiento de calidad del servicio acorde a lo estipulado con el cliente.
Mejora del cumplimiento de los plazos de entrega de servicios, nuevos o evolucionados, al cliente.
Gestin de los costes del proyecto acordes a lo estipulado con del cliente.
Controla que el servicio se ha realizado siguiendo las polticas y estndares
de la organizacin TI, lo que facilita su posterior evolucin de forma eficiente.

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es la operativa habitual para la creacin de servicios TI en su
organizacin?
Cmo se validan las propuestas de nuevos servicios?
Qu mejoras incorporara al proceso propuesto en este captulo?

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

6
99,99%

Captulo 6

Procesos de
provisin de servicio

6.1. Gestin de nivel de servicio

6.4. Elaboracin de presupuestos


y contabilidad de los
servicios de TI

6.2. Generacin de informes


del servicio

6.5. Gestin de la capacidad

6.3. Gestin de la continuidad y


disponibilidad del servicio

6.6. Gestin de la seguridad


de la informacin

3. Sistema de Gestin del Servicio de TI (SGSTI)


4. Planificacin e implementacin de la gestin del servicio (PDCA)
5. Planificacin e implementacin de nuevos servicios o de servicios modificados

6. Procesos de la provisin del servicio


6.5 Gestin de la capacidad
6.3 Gestin de la
continuidad y
disponibilidad
del servicio

6.1 Gestin de
nivel de servicio

6.6 Gestin de la seguridad


de la informacin

6.2 Generacin de
informes del servicio

6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI

9. Procesos de control
9.1 Gestin de la configuracin

10. Proceso
de entrega

9.2 Gestin del cambio

7. Procesos
de relaciones

10.1 Proceso de gestin


de la entrega

8. Procesos
de resolucin

7.2 Gestin de las


relaciones con el negocio

8.2 Gestin del incidente

7.3 Gestin de
suministradores

8.3 Gestin del problema

Fuente: UNE-ISO/IEC y e.p.

6. Procesos de provisin de servicio

193

Una vez creado el servicio y puesto con xito en explotacin regular, es necesario
desencadenar una serie de actividades que ayuden a garantizar que los servicios cumplen los cometidos pactados con el negocio en trminos de: los niveles de servicio,
la continuidad, la disponibilidad, los presupuestos, la capacidad y la seguridad.
Adems de velar por la consecucin de lo comprometido, tambin se debe estar
involucrado en asegurarse que los nuevos servicios o la evolucin de los mismos se
realiza cumpliendo con lo que la organizacin ha predefinido.
Para garantizar que se cumplen estos objetivos se han definido los procesos de
provisin del servicio, seis procesos especializados que engranan con las relaciones con el negocio y con la creacin de servicios. En la figura 6.1 se muestran
estas relaciones.
Planificacin e implementacin de nuevos servicios
o de servicios modificados

Procesos de provisin del servicio

Relaciones
con el
negocio

Presupuesto y contabilidad
de los servicios de TI

Gestin de la capacidad
Gestin
de nivel de
servicio

Generacin
de informes
del servicio

Gestin de la continuidad y
disponibilidad de servicios TI

Gestin de la seguridad
de la informacin

Figura 6.1. Procesos de provisin del servicio y su mbito de relacin

En este escenario de servicios de alta calidad, alineados con los objetivos del negocio, que cubren las necesidades actuales y que deben ser capaces de evolucionar
rpidamente para cubrir las necesidades futuras, los procesos de la provisin del
servicio toman una especial importancia.

194

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Los procesos de provisin del servicio en ISO/IEC 20000 contienen una importante diferencia frente a lo definido en ITIL v2, pues incorpora la generacin de
informes de servicio como un proceso independiente e incluye tambin el proceso
de seguridad de la informacin. Adems, agrupa en uno slo los procesos de continuidad y de disponibilidad (que en ITIL v2 estn separados).

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

195

6.1. Gestin de nivel de servicio

Figura 6.1.1. Esquema general del proceso de la gestin de nivel de servicio

En el captulo anterior se ha podido apreciar que la gestin de nivel de servicio


desempea uno de los papeles clave en la creacin y evolucin de los servicios de
TI, definiendo y acordando los niveles de servicio que se deben cumplir. Pero este
proceso tambin desempea funciones importantes durante la prestacin habitual
de los servicios de TI, registrando y gestionando el cumplimiento de los niveles de
servicio comprometidos. Por ello, este proceso est considerado como una pieza
esencial para garantizar la orientacin al cliente de los servicios.
As, la misin principal de la gestin de nivel de servicio es establecer los niveles
de servicio a los que TI se puede comprometer, para posteriormente velar por su
consecucin. Adems, contribuye a la mejora de la calidad de los servicios aplicando un ciclo continuo de seguimiento, medicin, generacin de informes y anlisis de los resultados. Tambin propone acciones de mejora que permitan erradicar
las deficiencias en la prestacin de los servicios, mejoras siempre alineadas con las
necesidades del negocio y con un coste asociado justificado.
Por tanto, este proceso es la mdula espinal que distribuye a todas las reas de TI
las necesidades de los clientes en formato de niveles de servicio. Participa activamente en el ciclo de creacin de los servicios, y es el responsable de controlar el

196

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

cumplimiento de estas necesidades a lo largo de la vida productiva de los mismos.


Supervisa si se est consiguiendo el nivel de servicio acordado y, en caso contrario,
determina el motivo y promueve las acciones de mejora adecuadas.
El seguimiento continuo de los niveles de servicio permite mejorar la calidad del
servicio de TI y eliminar las deficiencias en los mismos, reduciendo el impacto
negativo en el negocio.
Pero, el beneficio ms significativo de una efectiva gestin de nivel de servicio es
la mejora de la relacin y la confianza de los clientes con su proveedor de servicios
de TI.
En ITIL v2 hay definido un proceso con el mismo nombre, pero en realidad las
funciones asignadas en ITIL a este proceso le convierten en un megaproceso, el
gestor del nivel de servicio debe ser un superhombre. As, ITIL v2 agrupa en la
gestin de nivel de servicio actividades que en ISO/IEC 20000 se han distribuido
en 5 procesos, en:
El presente proceso de gestin de nivel de servicio (vase el apartado 6.1 de
las normas).
El proceso de generacin de informes del servicio (vase el apartado 6.2
de las normas).
El proceso de relaciones con el negocio, el definido en estas normas se
corresponde nicamente a las relaciones con el cliente, que se llevan a
cabo en la gestin de nivel de servicio de ITIL (vase el apartado 7.2 de
las normas).
El proceso de gestin de suministradores, pues la gestin de nivel de servicio
de ITIL v2 tambin se responsabiliza de la definicin de los niveles de servicio a contratar a terceros (UC, Underpinning Contract) y del seguimiento
posterior de su cumplimiento (vase el apartado 7.3 de las normas).
El proceso de planificacin e implementacin de nuevos servicios o de servicios modificados (vase el captulo 5 de las normas).
Analizando ITIL v3, se aprecia que aparecen la gestin del catlogo de servicios y
la gestin de suministradores como procesos nuevos que restan peso a la gestin
de nivel de servicio definida esta nueva versin de ITIL.
Por tanto, el panorama entre estos tres modelos queda algo intrincado. En la figura
6.1.2 se muestra una comparativa entre los alcances asignados a este proceso en los
diferentes marcos.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

Proceso en ITIL v2

Gestin de nivel
de servicio ITIL v2

Proceso en ITIL v3

Procesos en ISO/IEC 20000

Gestin de nivel de
servicio ITIL v3

Gestin de nivel de servicio (SLA)

Gestin del catlogo


de servicio

Gestin relacin con el negocio

Gestin de
suministradores
(slo niveles de servicio
contratados)

197

Generacin de informes del servicio


Planificacin e implementacin de
servicios nuevos o modificados
Gestin de suministradores (slo niveles
de servicio contratados)

Figura 6.1.2. Comparativa del alcance de la gestin de nivel de servicio


entre los diferentes marcos

En la figura 6.1.3 se presenta una introduccin al proceso.


Proceso de gestin de
nivel de servicio

Qu aporta:

Definicin:

Confianza de que los niveles de


servicio acordados se pueden cumplir.

Proceso que se encarga de mantener y


mejorar la calidad de los servicios TI
mediante una gestin eficiente de los
acuerdos de nivel de servicio firmados
con los clientes.

Objetivo:
Denir, acordar, registrar y gestionar
los niveles de servicio.

Fijacin de los objetivos de los


servicios mediante parmetros
medibles.

Conocimiento preciso del esfuerzo


que le supone a TI alcanzar unos
determinados niveles de servicio.
Los servicios de TI se conciben para
alcanzar las expectativas del cliente.
El desempeo del servicio se puede
medir, por lo tanto se puede gestionar
y mejorar.
Se mejora la relacin interna entre
unidades de TI y con los proveedores,
en base a acuerdos medibles.
Contribuye a la mejora de la
satisfaccin de los clientes.

Figura 6.1.3. Introduccin al proceso de gestin de nivel de servicio

El proceso debe ser capaz de comprender las demandas del negocio, aunque en
ISO/IEC 20000 no lleva propiamente las relaciones con el negocio (vase el apartado 7.2). Se relaciona internamente con el resto de unidades de TI para negociar y

198

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

fijar los acuerdos operativos. Tambin establece los requisitos para que los contratos de soporte con los suministradores estn alineados con los compromisos del
servicio, contratos que negociar y seguir el proceso de gestin de suministradores (vase el apartado 7.3).
En la figura 6.1.4 se muestran los principios bsicos en los que se sustenta la actividad de este proceso.

Figura 6.1.4. Principios bsicos del proceso

La implementacin de las Normas ISO/IEC 20000 requiere un cambio en la cultura de la organizacin, con una orientacin al servicio y al cliente. La gestin de
nivel de servicio es el instrumento principal para inculcar la cultura de servicios en
la organizacin de TI. As, la misin de la organizacin de TI va ms all de la pura
tecnologa, para ofrecer soluciones al negocio empaquetadas bajo el concepto de
servicio. Para ello, el catlogo de servicios y los acuerdos de nivel de servicio (SLA)
son las principales palancas para esta transformacin cultural. Los servicios que se
ofrecen a los clientes se recogen en un catlogo de servicios de TI, alineado con el
negocio, que gestiona y mantiene este proceso. Adems, los servicios llevan asociados un compromiso de prestacin negociado con los clientes, incluidos en los

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

199

acuerdos de nivel de servicio o SLA. Este compromiso lo expande internamente


hacia toda la organizacin de TI y externamente hacia los suministradores que participan en el soporte de los servicios.
Otra de las misiones del proceso es inculcar el rigor en toda la organizacin en relacin al cumplimiento de los acuerdos firmados, para lo cual realiza una monitorizacin y seguimiento permanente.
El proceso de gestin de nivel de servicio debe establecer e implantar un sistema de
seguimiento y medicin para identificar si se estn logrando los niveles de servicio
acordados con los clientes. En caso contrario, debe determinar y analizar, con los
procesos y reas relacionadas, el motivo de esta ineficiencia para promover las acciones de mejora necesarias. Adems, establece un plan de mejora continua de los
servicios que se incorporar al plan de mejora unificado (vase el apartado 4.1), en
todos sus aspectos: tcnicos, organizativos, de formacin, de documentacin, etc.
Como en el resto de los procesos en ISO/IEC 20000, la gestin de nivel de servicio mantiene tambin una actividad de mejora continua de su propia actividad
como proceso.
La misin principal de la gestin de nivel de servicio es mantener y mejorar la calidad de los servicios de TI. En la figura 6.1.5 se muestran los principales conceptos
que se desarrollan en este proceso.
Acuerdo de nivel de servicio (SLA, Service Level Agreement). Es un documento
que recoge los compromisos acordados entre el cliente y el proveedor de servicios
de TI relativos a las condiciones de prestacin o explotacin del servicio requerido.
Este documento es un acuerdo por escrito que define el alcance concreto del servicio, los objetivos que se deben cumplir y las responsabilidades de ambas partes. Por
tanto, el SLA es el contrato de prestacin de uno o varios servicios del catlogo a
los clientes y sus usuarios. El SLA detalla la particularizacin en la prestacin de un
servicio del catlogo a un cliente.
El proveedor de servicios y el cliente deberan desarrollar una asociacin transparente, a fin de poder alcanzar unos acuerdos beneficiosos para ambas partes; de
otro modo, el SLA perdera rpidamente su reputacin y se podra caer en el tpico
intercambio permanente de acusaciones que no es un buen medio para conseguir
ninguna mejora de la calidad del servicio.
Acuerdo de nivel operativo (OLA, Operacional Level Agreement). Documento
que formaliza un acuerdo de colaboracin entre departamentos internos de la organizacin de TI para la prestacin y operacin regular de los servicios. Se trata, por
tanto, de un contrato interno en TI.

200

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

COMPONENTES DEL PROCESO

Catlogo
de servicios

Supervisin
del servicio
y de los SLA

Cultura
de servicio

Mejoras

Acuerdos de nivel
de servicio (SLA)

Acuerdos de nivel
de operativo (OLA)

Programa de
mejora del
servicio (SIP)

Gestin de nivel
de servicio
Cultura de
compromiso

Requisitos para
los contratos
de soporte (UC)

Mejoras

PDCA
SGSTI

Mejora
del proceso

Figura 6.1.5. Principales componentes del proceso de gestin


de nivel de servicio

Catlogo de servicios (service catalog). Documento o base de datos que elabora


la organizacin de TI para informar a clientes, usuarios y personal de TI de los
servicios ofrecidos. Proporciona una visin sencilla, en terminologa entendible por
el negocio, de todos los servicios de TI y las alternativas u opciones de prestacin.
Es recomendable que refleje los precios de los servicios en el caso de que se imputen, o por lo menos de los costes en los que incurre la empresa al proveerlos. El
catlogo tiene una informacin visible por el negocio y otra parte destinada al uso
interno de TI, en la que se describen en ms detalle los elementos tcnicos que son
necesarios para la prestacin del servicio.
Contrato de soporte (UC, Underpinning Contract). Documento contractual
(contrato legal) entre el proveedor de TI y un suministrador de servicios externo.
Este contrato define los objetivos, alcance y caractersticas del servicio que se va a
prestar, as como los plazos y costes asociados.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

201

Cultura de compromiso. La organizacin de TI y sus miembros articulan sus


objetivos y su actividad encaminada principalmente al cumplimiento de los acuerdos.
Cultura de servicio. Implica que la satisfaccin del cliente es la prioridad principal
para todos los miembros de la organizacin de TI que ofrece los servicios. Adems,
se controla que las actividades llevadas a cabo en la provisin de los servicios contribuyen a los objetivos de negocio del cliente.
Programa de mejora del servicio (SIP, Service Improvement Program). Documento que describe las reas de mejora de un servicio y define el plan de proyecto
a realizar por cada rea o proceso de la organizacin de TI para llevar a cabo las
mejoras propuestas. Este documento, por tanto, establece el objetivo y alcance de
las mejoras, su justificacin en trminos de coste/beneficio, las fases, actividades,
planificacin y responsabilidades, as como, las mtricas necesarias para el seguimiento del proyecto y validacin de las mejoras.
Servicio de TI. Se puede definir como un conjunto de funciones relacionadas, proporcionadas por sistemas de TI que dan soporte a una o ms reas de negocio
(departamentos, sucursales, etc.). Un servicio suele estar compuesto de partes: software, hardware, elementos de comunicacin soporte, etc., pero el cliente y el usuario final que lo utiliza, lo perciben como algo autocontenido y coherente.
Otra posible definicin podra ser un conjunto integrado por una serie de elementos incluyendo procesos de gestin, hardware, software, facilidades y recursos humanos, que constituyen una capacidad que permite satisfacer una necesidad o alcanzar
un determinado objetivo.
En ITIL v3, un servicio se define como un medio de entregar valor a los clientes
facilitando los resultados que los clientes quieren lograr sin la necesidad de que
tengan la propiedad de los activos necesarios, ni la responsabilidad de los riesgos
asociados.

Entradas, actividades y salidas del proceso


La gestin de nivel de servicio se organiza en torno a tres reas de actividad: una
enfocada al establecimiento de los acuerdos de nivel de servicio con los clientes,
otra enfocada a que TI cumpla los compromisos adquiridos en los SLA y, la
ltima, destinada a la mejora de los servicios. La primera de ellas est desencadenada por el proceso de gestin de las relaciones con el negocio a raz de una solicitud de un cliente de un nuevo servicio, una modificacin a uno existente o una
propuesta de cambio a un SLA ya establecido. En este caso, la responsabilidad del

202

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

presente proceso es todo lo relativo a los niveles de servicio, a definir o ya definidos. Las otras dos reas restantes se desempean de forma continua y velan por la
calidad de los servicios prestados y por el cumplimiento de los SLA firmados.
Las actividades el proceso junto con sus entradas y salidas se resumen en la figura 6.1.6.

Entradas
Desencadenantes
del proceso:
Necesidades negocio y
clientes.
Sistema de
monitorizacin de
servicios.
Encuestas de
satisfaccin del cliente.
Entradas de soporte:
Catlogo de servicios
existente.
Acuerdos de nivel de
servicio existentes.
Acuerdos nivel operativo
y contratos de soporte
existentes.
Informacin del nivel de
servicio procedente
de otros procesos.
Polticas negocio y TI.

Actividades
3 Gestin del catlogo de
servicios: creacin y
mantenimiento.
3 Gestin de los SLA: creacin,
acuerdo, difusin,
mantenimiento.
3 Gestin de OLA y respaldo
mediante UC.
3 Supervisin y monitorizacin
de los servicios y de
los SLA.
3 Mejorar los servicios y SIP,
a travs de los programas
de mejora del servicio.
3 Supervisin y mejora del
proceso.
3 Generacin de peticiones de
cambio (RFC): del catlogo,
de SLA, de UC, de los
servicios o del propio proceso.

Salidas
Salidas principales:
Catalogo de servicios.
Acuerdos de nivel de
servicio (SLA).
Programa de mejora del
servicio (SIP).
Salidas secundarias:
Acuerdos nivel operativo
(OLA).
Requisitos para
los contratos de
soporte (UC).
Especificaciones para los
informes de cumplimiento
de nivel de servicio.
Plan de mejora del
proceso.
Peticiones de cambio
(RFC) por SLA o SIP.
CMDB actualizada.

Arquitecturas TI.
CMDB.

Fuente: e.p. y Telefnica.

Figura 6.1.6. Entradas, actividades y salidas del proceso de gestin


de nivel de servicio

Las entradas que desencadenan la activacin del proceso de creacin de servicios


son la resolucin de las necesidades del cliente (tratada por el proceso de gestin de
las relaciones con el negocio); la informacin sobre el desempeo de los servicios

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

203

recibida de los sistemas de monitorizacin, especialmente en relacin al cumplimiento de los SLA; los resultados negativos de las encuestas de satisfaccin del
cliente o del usuario que impulsen a los gestores de nivel de servicio al impulso de
acciones de mejora.
El proceso utiliza otras entradas de apoyo a la realizacin de sus actividades. Las
principales entradas de soporte son el catlogo de servicios existente para determinar si la necesidad del cliente est cubierta por el catlogo o para realizar modificaciones en l; los SLA, OLA y UC existentes como base para la definicin de los
nuevos o para modificarlos; la informacin sobre el nivel de servicio y propuestas
de mejora provenientes de otros procesos o reas; las polticas relativas a la prestacin de servicios; las arquitecturas de TI existentes con el fin de conocer los niveles
de servicio a los que se puede comprometer; y la CMDB para proveer todo tipo de
informacin sobre TI y sus elementos de configuracin.
El proceso de gestin de nivel de servicio agrupa las actividades de coordinacin,
diseo, negociacin, monitorizacin y reporte de los acuerdos del nivel de servicio
establecidos con el cliente, as como la revisin continua de los resultados del servicio para asegurarse de mantener y mejorar gradualmente la calidad del servicio, que
necesita el negocio, de forma justificable en trminos de coste. Las actividades principales que realiza este proceso son:
Gestin del catlogo de servicios. Se encarga de la creacin y mantenimiento del catlogo de servicios de TI. Ayuda al proceso de relaciones con el
negocio a determinar si las necesidades del cliente pueden ser provistas por
servicios del catlogo.
Gestin de SLA. Creacin de los acuerdos de nivel de servicio (SLA), realizada en coordinacin o bajo peticin de relaciones con el negocio. Difusin de los SLA entre toda la organizacin de TI. Mantenimiento de los
SLA, actualizando sus contenidos en coordinacin con relaciones con el
negocio.
Gestin de OLA y respaldo con UC. Revisin de los acuerdos internos y
contratos con suministradores (OLA y UC) para garantizar que respaldan lo
comprometido en los SLA. En relacin a los UC, pasa los requisitos que se
deben cumplir al proceso de gestin de suministradores para la realizacin
de un nuevo contrato o la modificacin a los existentes.
Supervisin y monitorizacin de los servicios y de los SLA. Para verificar
el cumplimiento de los niveles de servicio y emprender acciones de mejora
en caso de necesidad.
Mejora de los servicios y SIP. Creando un programa de mejora del servicio para cada uno de ellos, o bien, uno conjunto.

204

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Supervisin y mejora del funcionamiento del proceso de gestin de


nivel de servicio.
Generacin de las solicitudes de cambio (RFC). Necesarias para la modificacin o ampliacin del catlogo de servicios, para los nuevos o modificaciones a los SLA y los OLA, y para la aprobacin y ejecucin del programa
de mejora del servicio (SIP) o el plan de mejora del proceso.
Las salidas principales del proceso son el catlogo de servicios creado, actualizado y
publicado a los usuarios (va web); los acuerdos de nivel de servicio nuevos o
actualizados firmados; el o los programas de mejora del servicio, que se remitirn
al comit de cambios (CAB) y al plan de mejora unificado de los procesos y de los
servicios (vase el captulo 4).
Las salidas secundarias del proceso son los acuerdos de nivel operativo internos
nuevos o actualizados; la definicin de requisitos para los contratos de soporte para
la gestin de suministradores; las especificaciones sobre los contenidos necesarios
sobre los informes de los servicios, tanto para el uso interno del proceso, como para
su publicacin al resto de TI y al cliente; las peticiones de cambio necesarias para la
aprobacin de las modificaciones a realizar; y por ltimo, la CMDB actualizada con
los cambios en el catlogo, en los SLA, etc.

El catlogo de servicios de TI
El catlogo de servicios es el instrumento de relacin ms importante de TI con sus
clientes, ya que en l se recoge el conjunto total de los servicios que la organizacin
de TI provee a sus clientes. El catlogo es una excelente herramienta para ayudar
en el cambio cultural del proveedor de servicios de TI hacia objetivos como:
Alineamiento con el negocio. Aportando valor aadido al conocer de
forma clara y precisa los servicios de TI que soportan su negocio.
Orientacin al cliente. Estructurando la misin y el trabajo de TI en torno
a la satisfaccin de las necesidades del cliente en forma de prestacin de
servicios.
Calidad de servicio. Contemplando los indicadores y mtricas que constituyen la base de los acuerdos de nivel de servicio (SLA).
Gestin de los servicios. Facilita la gestin y control de los niveles de servicio comprometidos con los clientes, posibilitando medir en trminos que el
cliente entiende. Estas medidas permiten pasar de medir percepciones a
tener mtricas entendidas y acordadas por las dos partes.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

205

UNE-ISO/IEC 20000-1
Se deben acordar por las partes, y registrar, el conjunto total de los servicios a ser
provistos, junto a los correspondientes objetivos de nivel de servicio y las caractersticas de la carga de trabajo que deben soportar.

UNE-ISO/IEC 20000-2
Catlogo de servicios

a) el nombre del servicio,

Todos los servicios deberan estar definidos en un catlogo de servicios. Este


catlogo puede ser referenciado desde
el SLA y debera utilizarse para recoger
aquellos aspectos considerados como
demasiado cambiantes para ser introducidos en el SLA.

b) los objetivos (por ejemplo tiempo de respuesta o de instalacin de una impresora, tiempo para reiniciar un servicio
tras un fallo importante),

El catlogo de servicios debera ser


mantenido y estar actualizado en todo
momento.
Nota: El catlogo de servicios puede incluir informacin genrica como:

c) datos de contacto,
d) horario del servicio y excepciones,
e) disposiciones de seguridad.

El catlogo de servicios es un documento clave para establecer las expectativas del cliente y debera ser fcilmente accesible y estar ampliamente
disponible tanto para los clientes como
para el personal de apoyo.

La caracterstica ms importante del catlogo es que constituye el nico punto de


informacin sobre la oferta de servicios, de inters tanto para el cliente, como para
la propia organizacin de TI. En el catlogo se deja bien claro lo que TI ofrece a la
comunidad de clientes y usuarios.
El catlogo de servicios se construye con los siguientes propsitos:
Presentar a los clientes y usuarios los servicios existentes de una forma organizada que permita conocer las funcionalidades y requisitos de los servicios,
as como, servir de base para futuras negociaciones de acuerdos del nivel de
servicio.
Definir y organizar los servicios internos de infraestructura, que TI presta a
un nivel interno no perceptible por el cliente, pero que son necesarios para
sustentar los servicios prestados a los clientes.
El catlogo de servicios est dirigido a cualquier cliente y usuario que solicite informacin de los servicios que presta el proveedor de servicios de TI.

206

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Facilitar que la organizacin de TI gestione los servicios de una forma eficiente, ya que el catlogo est elaborado por y para los clientes y contiene los
niveles de servicio acordados.
Para cumplir su funcin, se debera acceder a l fcilmente y estar disponible tanto
para los clientes como para el personal de TI. La publicacin va web en un portal
de TI en la intranet de la empresa es uno de los mejores medios para conseguirlo.
Adems se deben preparar sesiones de presentacin del catlogo, tanto con los
clientes, como internamente en TI.
El catlogo debe contener todos los servicios que proporciona TI, sus caractersticas, y los clientes y usuarios a los que van destinados.
En la actividad de definicin de un catlogo de servicios TI se suelen utilizar los
siguientes elementos:
Definicin de servicio. Explicacin precisa de lo que es un servicio.
Clasificacin en categoras y subcategoras de servicio. Agrupacin lgica de
servicios. Los servicios se pueden organizar realizando agrupaciones con distintos grupos de servicios.
Lista de servicios. Enumeracin de todos los servicios agrupados por categora/subcategora.
Estructura del catlogo. ndice general del contenido que tendr el catlogo.
Plantilla de la ficha de un servicio. Estructura del documento que describir
cada servicio.
Fichas descriptivas de los servicios. Documentos elaborados para cada uno
de los servicios que reflejan la oferta comn de TI. Contienen la descripcin,
atributos, parmetros y componentes de cada servicio ofertado. Una definicin estndar de un servicio, puede adaptarse a las necesidades de un cliente
a travs de la firma de un SLA especfico con este cliente.
Relacin de reas cliente. Clasificacin de los clientes de TI a los que se ofrecen servicios. Pueden ser clientes internos (de la misma empresa) o externos.
Mapa de cliente/categoras de servicio. Esquema grfico de las categoras de
servicios y sus reas cliente.
Matriz cliente/servicio. Tabla que relaciona cada servicio con sus reas
cliente.
La estructura habitual de un catlogo de servicios se muestra en la figura 6.1.7.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

207

Estructura de catlogo de servicios.


Plan de proyecto de creacin del servicio
1. Definicin y objetivos del catlogo de servicios:
2. Introduccin. Contiene una breve descripcin de la
organizacin de TI. Incluir nmero de empleados,
cunto tiempo lleva en la empresa, misin y visin,
y persona de contacto del catlogo (suele ser un
gestor de clientes).
3. Categorizacin de servicios y mapa de servicios.
Explica la clasificacin de los servicios definida.
4. Lista y descripcin de servicios. Incluir links a las
fichas de servicios que contengan la descripcin de
los servicios.
5. Glosario. Definicin de los conceptos generales ms
importantes (SLA, etc.).
6. Anexos. Incluir la informacin necesaria que no est
recogida en los captulos anteriores y links a los
siguientes documentos: matriz cliente/servicio,
plantilla de la ficha de servicio, ejemplo de SLA, etc.

Figura 6.1.7. Estructura tipo de un catlogo de servicios

Con el fin de describir de forma detallada y homognea todos los servicios que
oferta TI, se debe establecer una plantilla documental que servir de base para definir todos los servicios. Esta ficha tipo suele estructurarse en dos partes: una que
contiene los aspectos de inters para los clientes y usuarios, y otra que incorpora
detalles sobre los servicios internos de TI, que no se muestra a los usuarios. En la
figura 6.1.8 se presenta un ejemplo de la estructura de una ficha de servicio.
Es recomendable que el servicio se d de alta en el catlogo tan pronto como se
conozcan los datos bsicos del mismo, sin esperar a que est operativo. De esta
forma, toda la comunidad de usuarios y los profesionales de la organizacin de TI
conocern de primera mano los servicios que estn en fase de definicin y acuerdo.
Para gestionar correctamente las expectativas y no crear conflictos o malos entendidos, se utiliza la informacin de estado del servicio (vase la figura 6.1.9). Esta
informacin debe contener las etapas del ciclo de vida de los servicios, desde su
peticin hasta su retirada de la operacin.

208

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Definicin.
Funcionalidades del servicio.
Opciones de contratacin.
Condiciones de uso.

Ficha de un servicio de TI
Informacin externa del servicio:
1. Descripcin del servicio para el usuario.
2. Informacin complementaria del servicio
para el cliente.
3. Solicitud de acceso, modificacin y baja.

mbito del servicio.


Valor para el negocio.
Entregables principales.
Condiciones de la prestacin.
Prerrequisitos.
Parmetros del servicio: horarios,
plazos, costes.
Procedimiento de solicitud.
Autorizaciones requeridas.

4. Preguntas frecuentes.
Informacin interna del servicio:
5. Indicadores del servicio.
6. Informacin tcnica del servicio.
7. Informacin del coste del servicio.
8. SLA del servicio.
9. Varios.

Componentes del servicio.


Entornos tecnolgicos.
Instrucciones tcnicas y manuales.
reas internas y OLA.
Suministradores y UC.
Enlace al SLA estndar (ofertado)
del servicio.
Enlaces a los SLA firmados para
este servicio con diversos clientes.
Fuente: Telefnica.

Figura 6.1.8. Plantilla de una ficha descriptiva de un servicio

Estados de un servicio
Requerimientos
Definido
Analizado
Aprobado
Dotado
Diseado
Desarrollado
Construido
Probado
Desplegado
Operativo
Retirado
Fuente: Libro ITIL Diseo del Servicio publicado por OGC.

Figura 6.1.9. Secuencia de estados de un servicio en el catlogo en ITIL v3

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

209

Una vez que se define o se actualiza el catlogo, se debe generar una nueva versin
del mismo. Esta nueva versin se debe publicar en la organizacin TI, distribuida a
los gestores de las relaciones con el negocio y clientes para publicitar y dar a conocer todos los servicios disponibles, ponindolo accesible a los usuarios (va web).
El catlogo de servicios requiere un mantenimiento y una actualizacin peridica,
incorporando los nuevos servicios o las modificaciones a los existentes. Todo cambio en el catlogo debe realizarse bajo el control del proceso de gestin del cambio.

El acuerdo de nivel de servicio (SLA, Service Level


Agreement)
Los proveedores de servicio TI orientados al cliente y al servicio necesitan formalizar por escrito los servicios que ofrecen al cliente y los niveles de prestacin de los
mismos. De esta forma, queda muy claro lo que el cliente va a recibir y los compromisos que asume TI, fomentndose una mayor profesionalidad y una mejora de
la confianza del negocio hacia TI.
Si bien el catlogo pone claridad en la oferta de TI, el acuerdo de nivel de servicio es el
contrato de prestacin, y concreta los compromisos de forma especfica y medible.
Como se trata en el captulo 5 de este libro, el proceso de gestin de nivel de servicio colabora con planificacin e implantacin de servicios en la elaboracin de las
especificaciones tcnicas de los servicios, que describen la solucin tcnica que
soporta los requisitos del cliente.
Estas especificaciones proporcionan las definiciones tcnicas necesarias para proveer e implantar el servicio, y sirven de partida para elaborar la primera propuesta
de acuerdo de nivel de servicio (SLA) para presentar al cliente como respuesta a su
demanda, para su revisin, negociacin y acuerdo.
El SLA es pieza esencial, por ello, ISO/IEC 20000 pone un especial foco en este
punto, exigiendo expresamente que los servicios se formalicen a travs de los SLA.
UNE-ISO/IEC 20000-1
Cada servicio ofrecido se debe definir, acordar y documentar en uno o ms acuerdos de nivel de servicio (SLAs).
Se deben acordar y registrar por todas las partes relevantes los SLAs, junto con los
acuerdos de servicios de soporte, los contratos con suministradores y los correspondientes procedimientos.
Los SLAs deben estar bajo el control de la gestin del cambio.

210

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Es importante destacar que, tanto el proveedor de servicios TI como el cliente,


deben ser conscientes que se est proporcionando y recibiendo un servicio, y el
SLA es el documento que formaliza esta relacin.
La Norma ISO/IEC 20000-2 pone un especial nfasis en establecer recomendaciones sobre el SLA, especialmente en lo relativo a su formalizacin y a que debe establecerse un equilibrio entre las necesidades de los clientes y los costes.

UNE-ISO/IEC 20000-2
Acuerdos de nivel de servicio (SLAs)

c) detalles sobre la autorizacin;

Todo servicio debera estar formalmente


documentado en un acuerdo de nivel
de servicio (SLA). El SLA debera ser
autorizado formalmente por la direccin
del cliente y los representantes del proveedor del servicio. El SLA debera estar
sujeto a la gestin del cambio, as como
el servicio que describe.

d) descripcin breve de las comunicaciones, incluida la generacin


de informes;

El presupuesto y las necesidades del


cliente deberan ser los elementos en
que se base el contenido, la estructura y
los objetivos del SLA. Los objetivos, respecto de los cuales debera medirse el
servicio prestado, se deberan definir
desde la perspectiva del cliente.
Los SLAs deberan incluir nicamente un
conjunto adecuado de objetivos para
centrar la atencin en los aspectos ms
importantes del servicio.
Nota 1: Demasiados objetivos pueden generar confusin y conllevar un exceso de
gastos.

El contenido mnimo que debera tener


un SLA, o que se debera referenciar
desde l, es el siguiente:

e) datos de contacto de las personas


autorizadas a actuar ante emergencias, participar en la resolucin de incidentes y problemas,
as como en la recuperacin del
servicio o en la aplicacin de
soluciones temporales;
f) horario de servicio, por ejemplo de
9:00 h a 17:00 h, y excepciones
al mismo (por ejemplo fines de
semana o periodos vacacionales),
periodos crticos para el negocio y
cobertura fuera del horario;
g) interrupciones planificadas y acordadas, incluido el aviso que se
debe dar y el nmero por periodo;
h) responsabilidades del cliente, por
ejemplo seguridad;
i) responsabilidades y obligaciones
del proveedor del servicio, por
ejemplo seguridad;

a) descripcin breve del servicio;

j) directrices sobre impactos y prioridades;

b) periodo de validez y/o mecanismo


de control de cambios del SLA;

k) procesos de escalado y de notificacin;

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

211

l) procedimientos de reclamacin;

r) glosario de trminos;

m)objetivos del servicio;

s) servicios de soporte y otros relacionados con el propio servicio;

n) lmites de la carga de trabajo


(superior e inferior), por ejemplo la
capacidad del servicio de soportar
un nmero acordado de clientes
o un volumen de trabajo o la capacidad de procesamiento del sistema;
o) detalles de alto nivel de la gestin
financiera, por ejemplo cdigos
de imputacin, etc.;
p) acciones a llevar a cabo en caso
de interrupcin del servicio;
q) procedimientos de mantenimiento
interno;

t) las excepciones a las clusulas


incluidas en el SLA.
Nota 2: La informacin voltil o comn a varios
SLAs (como datos de contacto) se pueden
referenciar desde el SLA sin que esto
suponga un impacto en la calidad de los
procesos de SLM siempre que los documentos de referencia estn tambin bajo el
control del proceso de gestin del cambio.
Nota 3: En el SLA se suele hacer referencia al
plan de continuidad y a los detalles de la
contabilidad y del presupuesto.
Nota 4: El glosario de trminos normalmente suele
ser nico y comn a todos los documentos, incluyendo el catlogo de servicios.

El contenido del SLA debe identificar claramente a todos los intervinientes del
acuerdo de servicio: el cliente, los usuarios, las distintas reas de la organizacin TI
involucradas en la prestacin del servicio; as como las caractersticas del servicio a
prestar: los horarios de disponibilidad del servicio, los tiempos de respuesta, los
plazos de resolucin en caso de incidente, etc.
En relacin a los horarios de disponibilidad del servicio se deben definir los tramos
horarios en los que habitualmente se utiliza el servicio, por ejemplo: 7 x 24 horas,
de lunes a viernes de 8:00 a 18:00 h, etc. Adems, es importante incluir directrices
para posibles ampliaciones del mismo, que contemplen el tiempo de preaviso necesario (por ejemplo, esta solicitud se debe realizar al servicio de asistencia tcnica
antes de las 12 AM para una ampliacin del servicio por la tarde, antes de las 12 del
jueves para una ampliacin el fin de semana). Tambin se incluyen horarios especiales como en perodos de vacaciones, etc., y un calendario anual del servicio en el
caso de variaciones de las condiciones del servicio, como en campaas de Navidad,
en verano, etc.
La disponibilidad del servicio es uno de los parmetros que ms impacta en el negocio y uno de los ms famosos en el SLA. Se definen los objetivos de disponibilidad
de los servicios dentro del horario acordado, normalmente expresados en trminos de
porcentajes (99%, 99,8%, 99,99%, etc.); se incluye tambin el perodo y el mtodo
de medida.

212

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Sin embargo, resulta difcil relacionar los porcentajes de disponibilidad de los


servicios con las actividades de negocio. En situaciones de excelencia, se intenta
reemplazar la medida de indisponibilidad por la incapacidad del cliente para llevar a cabo sus actividades, por ejemplo: el volumen de ventas que resultan afectadas, como consecuencia de un fallo de TI en la provisin de un servicio de
soporte a los puntos de venta.
Como parte de la disponibilidad, en ocasiones se pacta tambin la fiabilidad de los
servicios. Este elemento se expresa habitualmente mediante el nmero de interrupciones del servicio, para ello, se utilizan indicadores como el tiempo medio entre
fallos (MTBF, Mean Time Between Failures), o el tiempo medio entre incidencias
del sistema (MTBSI, Mean Time Between System Incidents).
ITIL v3 en el libro Transicin del Servicio recomienda que el SLA se cierre definitivamente despus de una fase piloto o al principio de la vida del servicio (early life
support), antes de que la transicin se haya terminado.
El acuerdo de nivel de servicio describe en terminologa del negocio qu se
entrega al cliente. Para complementar este documento se crea el plan de proyecto
del servicio, que detalla cmo TI va a entregar este servicio al cliente.
Este documento es muy importante ya que contiene toda la informacin administrativa necesaria para gestionar a la organizacin de TI en la consecucin de los
objetivos comprometidos con el cliente para la prestacin del servicio.
Las condiciones de asistencia y soporte para resolver incidencias, consultas o peticiones, tambin se deben incluir en el SLA. Habitualmente se incorporan:
Horario de asistencia.
Provisiones para posibles ampliaciones de la asistencia, que incluyan el
tiempo de preaviso necesario.
Horarios especiales (por ejemplo, das de fiesta, vacaciones, etc.).
Plazo objetivo de atencin a las incidencias, bien presencialmente o por otros
medios (por ejemplo, por telfono, e-mail, etc.).
Plazo objetivo para resolver las incidencias. Los objetivos variarn dependiendo de la prioridad de las incidencias.
El tiempo de respuesta del servicio, tratado en ITIL bajo el proceso de disponibilidad, es otro de los factores importantes que hay que considerar. En el caso de
los servicios online, es el principal indicador utilizado para medir las transacciones.
Se deben establecer los tiempos objetivo de respuesta, medios o mximos, medidos
desde los puestos de trabajo. El tiempo de respuesta se expresa en porcentaje, por
ejemplo, el 95% de las transacciones en menos de 2 segundos.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

213

En el caso del procesado por lotes, se establece la ventana de tiempo para la ejecucin de trabajos batch (normalmente en horario nocturno), se acuerda el porcentaje de finalizacin correcta de los trabajos, el lugar para obtener y entregar los
resultados, los interlocutores por ambas partes, etc.
Tambin se debe contemplar las condiciones relativas a la capacidad soportada por
el servicio, como son los lmites de la carga de trabajo, el nmero de usuarios, capacidad de procesamiento del sistema, los volmenes de trfico de comunicaciones,
el nmero pico de transacciones que ser necesario procesar y el nmero mximo
de usuarios en concurrencia. Esto es importante para poder identificar las deficiencias en el rendimiento o el incremento de costes debido a la necesidad de ampliar la
capacidad del servicio o del nmero de licencias de software.
En relacin a los cambios al SLA, es importante identificar los criterios para realizarlos y los interlocutores necesarios para aprobar, gestionar e implementar las peticiones de cambio (RFC) relacionadas con el servicio. Normalmente los criterios se
basan en la categorizacin y urgencia, o impacto del cambio.
Los aspectos de la continuidad ante desastres y seguridad del servicio tambin son
temas para analizar e incorporar al SLA:
Se debe contemplar si el servicio est sujeto a planes para la continuidad de
los servicios TI, describiendo brevemente las condiciones que marcan la activacin del plan y cmo ponerlo en marcha.
Detalles de los objetivos de servicio reducidos o modificados en caso de
desastre (si no existe un SLA especfico para tales situaciones).
Informacin relacionada con la seguridad, especialmente aquellos aspectos
que sean responsabilidad del cliente (por ejemplo, copias de seguridad, cambios de contrasea, etc.).
En el acuerdo de servicio es importante recoger los detalles sobre los costes, perodos y frmulas de facturacin (si se factura).
Se deben detallar los contenidos, frecuencia y distribucin de los informes, as
como, la frecuencia de las reuniones para la revisin del servicio.
En la figura 6.1.10 se muestran los conceptos que se deben incluir en un SLA, alineados con las recomendaciones de la Norma ISO/IEC 20000-2.
El acuerdo de nivel de servicio es el contrato que TI firma con sus clientes, en torno
a este acuerdo todas las reas y procesos de la organizacin deben enfocar su actividad para velar por su cumplimiento.

214

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Contenido de un SLA
Ttulo y breve descripcin del
servicio.
Objetivos del servicio.
Las partes implicadas en el acuerdo.
Titular del servicio. Firmantes.
Fechas: comienzo, trmino, revisin.
mbito del acuerdo, lo que cubre y lo
que se excluye.
Responsabilidades del proveedor del
servicio y del cliente.
Descripcin de los servicios cubiertos.
Horario de prestacin, excepciones
al mismo y perodos crticos para el
negocio y cobertura fuera del horario.
Disponibilidad del servicio y capacidad
soportada por el mismo.
Procesado por lotes (batch).
Autorizaciones.
Comunicacin, reuniones e informes.
Datos de contacto.
OLA y UC de soporte con el propio
servicio.
Continuidad y seguridad de los
servicios TI.

Asistencia:
Horario de asistencia (cuando no sea
el mismo que el horario de servicio).
Horarios especiales.
Tiempo objetivo de respuesta a las
incidencias.
Tiempo objetivo para resolver las
incidencias.
Procedimientos de escalado y de
notificacin.
Procedimientos de reclamacin.
Acciones a llevar a cabo en caso de
interrupcin del servicio.
Interrupciones planificadas y
acordadas, incluido el aviso que se
debe dar y el nmero por perodo.
Responsabilidades del cliente.
Responsabilidades y obligaciones del
proveedor del servicio.
Detalles de alto nivel de la gestin
financiera.
Mecanismo de control de cambios
del SLA. Procedimientos de
mantenimiento interno.
Glosario de trminos.
Excepciones a las clusulas incluidas
en el SLA.

Directrices sobre impactos y


prioridades.

Fuente: UNE-ISO/IEC 20000 y e.p.

Figura 6.1.10. Contenido ejemplo de un SLA

Alternativas para la estructuracin del SLA


La definicin del contenido de los SLA es muy importante en una organizacin de
provisin de servicios TI. No olvidemos que regula la relacin de la prestacin continua del servicio que TI proporciona a sus clientes.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

215

Segn ITIL, hay diversas formas de establecer los SLA: basado en el servicio,
basado en el cliente y multinivel.
SLA basado en el servicio. Cuando un SLA cubre un servicio y es el mismo para
todos sus clientes. Por ejemplo, se puede establecer un nico SLA para el servicio de
correo electrnico de una organizacin que cubra a todos los clientes de ese servicio.
Aunque puede parecer bastante sencillo, sin embargo pueden surgir dificultades si
los requisitos especficos de clientes varan para un mismo servicio, o si las caractersticas de la infraestructura TI implican que sean inevitables distintos niveles
de servicio (por ejemplo, la central puede estar conectada por medio de una LAN de
alta velocidad, mientras que las oficinas locales utilizan una lnea de menor velocidad). En tales casos, sern necesarios distintos objetivos en un mismo acuerdo.
Tambin pueden surgir dificultades al determinar quin debera firmar tales acuerdos.
SLA basado en el cliente. Soporta un acuerdo con una rea cliente especfica, que
cubra todos los servicios que utilizan. Por ejemplo, se puede llegar a acuerdos con
el departamento de finanzas de una organizacin para cubrir, por ejemplo, el sistema financiero, el de contabilidad, el de nminas, la facturacin y otros servicios
que utilicen.
A menudo, los clientes prefieren este acuerdo, ya que cubren todos sus requisitos
con un solo documento. Slo se requiere una firma, lo que simplifica su gestin y
evolucin posterior.
SLA multinivel. Algunas organizaciones, principalmente multinacionales, han
decidido adoptar una estructura de acuerdos de nivel de servicio de nivel mltiple.
Por ejemplo, una estructura de tres niveles como la siguiente:
1. Nivel corporativo. Cubre todos los aspectos genricos sobre la prestacin
de servicios para los clientes en toda la organizacin. Generalmente estos
aspectos son menos voltiles, por lo que ser necesario realizar menos actualizaciones.
2. Nivel del cliente. Cubre todos los aspectos sobre la prestacin de servicios
que resultan relevantes para un grupo de clientes particular, sin que importe
el servicio utilizado.
3. Nivel del servicio. Cubre todos los aspectos sobre la prestacin de servicios
aplicado a un servicio concreto y a este grupo de clientes especfico (para
cada servicio recogido en los SLA). En la figura 6.1.11 se muestra una
estructura de este tipo.

216

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Nivel corporativo

Nivel del cliente

Nivel del servicio

Fuente: Libro ITIL Provisin de Servicio publicado por OGC.

Figura 6.1.11. Acuerdos de nivel de servicio multinivel

Buenas prcticas relativas al proceso y al SLA


Realmente el proceso de gestin de nivel de servicio se puede llevar a cabo de mltiples formas, ya que no hay una secuencia de actividades precisa que conforme
flujo o un conjunto de pasos que se deben seguir. Pero si hay un conjunto de buenas prcticas que conviene tener en consideracin para tener xito, en este apartado
se detallan algunas consideraciones al respecto.

UNE-ISO/IEC 20000-2
El proceso de gestin de nivel de
servicio
Los cambios importantes en el negocio,
debidos, por ejemplo, al crecimiento,
fusiones y reorganizaciones del negocio,
y los cambios en los requisitos del cliente,
pueden implicar el ajuste de los niveles
de servicio, su redefinicin o incluso su

suspensin temporal. El proceso de gestin de nivel de servicio (SLM) debera ser


flexible para adecuarse a estos cambios.
El proceso de SLM debera asegurar que
el proveedor del servicio continua focalizado en el cliente durante la planificacin, implantacin y la gestin continua
del servicio prestado.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

Se le debera dar al proveedor del servicio la informacin adecuada para permitirle que comprenda las motivaciones
y requisitos del negocio del cliente.
El proceso de SLM debera gestionar y
coordinar a quienes contribuyen al nivel
de servicio, para incluir:
a) acuerdo en los requisitos del servicio y en las caractersticas de la
carga de trabajo esperada del
servicio;
b) acuerdo en los objetivos de servicio;
c) medicin e informe de los niveles
de servicio conseguidos, cargas de
trabajo y explicaciones cuando
no se alcanzan los objetivos acordados;
d) inicio de la accin correctiva;

217

e) entrada al programa de mejora


del servicio.
El proceso debera animar tanto al proveedor del servicio como al cliente a
desarrollar una actitud proactiva con
objeto de garantizar que ambos tienen
una responsabilidad compartida sobre
el servicio.
La satisfaccin del cliente es una parte
importante de la gestin de nivel de
servicio pero debera reconocerse que
es una medida subjetiva, mientras que
los objetivos de servicio incluidos en el
SLA deberan ser medidas objetivas. El
proceso de SLM debera trabajar conjuntamente con los procesos de gestin
de relaciones con el negocio y gestin de
suministradores.

En relacin a la gestin del SLA los principales temas a tener en cuenta son:
Involucrar al cliente. Siempre que sea posible es necesario involucrar al cliente
desde el comienzo de la actividad. En la relacin con el cliente es conveniente crear
un borrador con las lneas maestras del SLA que sirva como punto de partida, para
posteriormente ir ampliando y profundizando en sus contenidos. Es fundamental
que el cliente participe y sienta el SLA como suyo. Si TI profundiza demasiado en
su definicin hasta el punto de presentar el SLA como un hecho consumado
puede provocar el rechazo en el cliente.
En muchas organizaciones se utilizan documentos proforma, creados a partir de
definiciones de SLA pilotos, como punto de partida para todos los acuerdos
de nivel de servicio.
Redaccin de los acuerdos. La redaccin de los SLA deber ser clara y concisa,
sin dejar lugar a la ambigedad. Generalmente no es necesario que los acuerdos
estn redactados utilizando una terminologa legal; en realidad la utilizacin de
un lenguaje claro ayudar a una mejor comprensin. Como comprobacin resulta
muy til que una persona independiente, que no est implicada en la redaccin
del documento, realice una lectura final del mismo. Esta revisin suele poner de

218

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

manifiesto las posibles ambigedades y dificultades, lo que nos permite tomas las
medidas oportunas de revisin y aclaracin.
Tambin merece la pena recordar que los acuerdos de nivel de servicio pueden dar
cobertura a los servicios ofrecidos a diferentes comunidades lingsticas, por lo que
es necesario contemplar la disponibilidad de los SLA en los diferentes idiomas. En
este aspecto hay que dedicar un especial cuidado a la terminologa, ya que un SLA
puede revisarse en diferentes pases y, por tanto, puede ser necesario considerar los
aspectos de terminologa, estilos y diferencias culturales.
Negociacin y acuerdo. Una vez definido y redactado un documento base del
acuerdo, se deben mantener negociaciones con el cliente, o con sus representantes,
para concretar los contenidos del SLA y los objetivos finales del nivel de servicio.
En este proceso tambin es necesario establecer reuniones previas con las reas
internas de TI y con los proveedores para asegurarse de que estos niveles son alcanzables y cerrar los acuerdos de nivel operativo (OLA) y los contratos de soporte
(UC) correspondientes.
Para realizar esta labor, el gestor del nivel de servicio deber realizar su propio programa de reuniones y negociaciones con los clientes (a travs de relaciones con el
negocio) para asegurar que se identifican los requisitos reales, y con las reas internas y los suministradores (a travs de gestin de suministradores) para garantizar
que se cubren adecuadamente los compromisos establecidos en el SLA.
En este punto es importante formalizar con el cliente los mecanismos de revisin y
notificacin, los intervalos y los formatos de los informes de los SLA.
La frecuencia y el formato de las reuniones de revisin del servicio tambin deben
acordarse con los clientes. Es muy recomendable utilizar intervalos regulares, y en
cuanto a los informes peridicos, al menos se deberan alinear con los ciclos de las
revisiones. Es conveniente la realizacin de reuniones presenciales para facilitar la
comunicacin personal, pero en el caso de dispersin geogrfica ser recomendable
la utilizacin de otros formatos de reunin.
Firma del acuerdo. Este aspecto es esencial para que el SLA acordado tenga la
suficiente credibilidad por las dos partes, por lo que hay que garantizar que al trmino del proceso de redaccin y negociacin, el acuerdo de nivel de servicio sea
firmado por los cargos apropiados, tanto del lado del cliente como del proveedor
de TI.
Esto garantizar el compromiso de que ambas partes intentarn hacer todo lo que
sea posible para cumplir los SLA firmados. De forma general, cuanto ms alta sea
la jerarqua de los firmantes, mayor ser esta garanta.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

219

Una vez firmado y cerrado el acuerdo de nivel de servicio se debe formalizar dentro de la organizacin TI como un activo ms, y por tanto estar sujeto al control
de gestin del cambio, mediante la correspondiente formalizacin de una peticin
de cambio. A partir de este punto, cualquier modificacin estar sujeta a la gestin
y aprobacin del proceso de gestin del cambio.
Difusin de los SLA. Una vez cerrado el SLA, es fundamental utilizar una buena
promocin y difusin que permita asegurar que los clientes y las diferentes reas del
proveedor de servicios TI estn enterados de su existencia y de los objetivos clave.
En este punto es clave que el centro de servicio al usuario tenga conocimiento de
los contenidos de los SLA, ya que es el primer punto de contacto de los incidentes,
consultas y quejas de los clientes. Si el personal del centro de servicio al usuario no
est bien informado de los SLA en vigor y no acta en consecuencia, los clientes
perdern rpidamente su confianza en estos acuerdos.
Mantenimiento de los SLA. El SLA es un elemento de informacin ms dentro
de la organizacin de TI y, una vez operativo, est sujeto al mismo control y administracin que el resto de los elementos de configuracin (CI, Configuration Item).
Por tanto, cualquier propuesta de modificacin est sujeta al control y aprobacin
del proceso de gestin del cambio.
Revisin de los SLA. Los acuerdos del nivel de servicio deben revisarse peridicamente con los clientes para garantizar si an son validos y adecuados a las necesidades del negocio y las capacidades de la organizacin TI, por ejemplo, anualmente
en lnea con el ciclo financiero.

UNE-ISO/IEC 20000-1
Los SLAs se deben revisar peridicamente por las partes, para asegurar que se
encuentran actualizados y continan siendo eficaces con el transcurso del tiempo.

Para cubrir este objetivo es necesario mantener reuniones peridicas de revisin


con los clientes (o sus representantes) para examinar los logros del servicio en el
ltimo periodo y para prever cualquier aspecto del siguiente periodo. Suele ser frecuente mantener estas reuniones con una periodicidad mensual o, como mnimo,
trimestral.
Del resultado de estas reuniones, y si es necesario, se debe emplazar al cliente y al
proveedor a llevar a cabo acciones apropiadas para mejorar reas en las que no se

220

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

estn consiguiendo los objetivos. Todas las medidas acordadas se deberan registrar
en las actas, y se debera revisar el progreso y los resultados obtenidos en la
siguiente reunin.

Acuerdos de servicio de soporte (OLA y UC)


El proceso de gestin de nivel de servicio establece una cadena de acuerdos que le
permita asegurar que los compromisos establecidos en el SLA son alcanzables
y que, en el caso que se produzca cualquier impacto negativo o rotura de SLA,
le facilitar la localizacin del punto de fallo y su resolucin. As, para garantizar la
cobertura de los SLA este proceso establece acuerdos que implican a la organizacin interna del proveedor de TI y a los suministradores externos que le proporcionan bienes o servicios.
Con las unidades internas se formalizan acuerdos de nivel operativo (OLA, Operational Level Agreement) en los que se recogen todos los compromisos necesarios de
cada una de las reas intervinientes relacionadas con su aportacin al cumplimiento
del SLA.
Para los suministradores externos establecen los contratos de soporte (UC, Underpinning Contract) en los que se recogen los compromisos de los suministradores en
el cumplimiento de los SLA que soportan. El contrato de soporte con terceros se
gestiona entre dos procesos: la gestin de nivel de servicio establece los requisitos
de servicio que se deben exigir al suministrador, mientras que la gestin de suministradores se encarga de la negociacin y su firma.
ISO/IEC 20000-2 establece la base para el desarrollo de esta cadena de acuerdos.
UNE-ISO/IEC 20000-2
Los servicios de soporte de los cuales
depende el servicio prestado se deberan
documentar y acordar con cada suminis-

trador de servicios. Esto incluye los grupos


internos que proveen parte del servicio
ofrecido por el proveedor del servicio.

Es habitual que las organizaciones tengan contratos con suministradores para la


prestacin de los servicios. Pero habitualmente, estos contratos no estn alineados
completamente con lo comprometido en los SLA. Se debe trasladar a estos contratos los principales requerimientos que el suministrador debe cumplir para que la
organizacin de TI pueda garantizar los niveles de servicio comprometidos.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

221

En el caso de los OLA, el cambio que se produce en la organizacin de TI es


mucho ms drstico. La firma de acuerdos internos requiere la estructuracin de
TI en unidades o grupos de soporte, y que cada grupo de soporte tenga claramente
definidas sus fronteras de actuacin. Estos grupos de soporte deben transformar su
mentalidad y ser conscientes de que estn prestando un servicio interno (por ejemplo, almacenamiento, bases de datos, frontales web, comunicaciones, etc.). Desde
este momento, la comunicacin entre las unidades estar basada en tickets de trabajo, provenientes de incidentes, peticiones o de partes de trabajos mayores. La
implantacin de los OLA en el proveedor de TI supone una fuerte transformacin
cultural y organizativa.
Por ello, no es frecuente encontrar una organizacin que se relacione internamente
basndose en compromisos internos de nivel de servicio (OLA).
En su mayora, los contratos de soporte dan servicio directamente a los grupos
internos y son stos los que soportan el servicio final. Por tanto, suelen ser los grupos internos de especialistas los que tratan a nivel tcnico con el soporte de los
suministradores. Excepto en el caso de externalizacin completa de un servicio (por
ejemplo, el correo electrnico), en el que el suministrador es controlado directamente por los gestores del servicio.
Lo habitual es que un OLA y un UC den soporte a mltiples servicios, por ejemplo el equipo de tcnica de sistemas interno y el soporte de los diferentes fabricantes de servidores midrange darn soporte a todos los SLA de los servicios.
En la figura 6.1.12 se muestra un ejemplo de una cadena de aseguramiento de los
SLA para un departamento de administracin en base a una cascada de OLA y UC.
Como se puede observar en la figura 6.1.12, si esta cadena se realiza con rigor y
compromiso, el nivel de riesgo de incumplimiento de los acuerdos con los clientes
es bajo. Si a esto le aadimos la monitorizacin y seguimiento de los acuerdos, con
el objetivo de identificar y proponer acciones de mejora, nos encontramos con una
herramienta muy poderosa, que nos posibilita la mejora de la satisfaccin de los
clientes y, desde el punto de vista interno, nos permite optimizar y mejorar la eficiencia en la prestacin de los servicios TI.
Los SLA, OLA y UC se deben mantener actualizados, y es necesario revisar peridicamente, y por lo menos una vez al ao, que an tienen la cobertura adecuada, estn
actualizados y continan alineados con las necesidades y estrategia del negocio.
Estas revisiones deberan garantizar que tanto los servicios cubiertos como los objetivos de cada uno son todava relevantes y que no se ha realizado ningn cambio significativo que invalide el acuerdo de algn modo, como por ejemplo cambios en la
infraestructura TI, el negocio, el proveedor, etc.

222

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Fuente: Libro ITIL Provisin de Servicio publicado por OGC.

Figura 6.1.12. Ejemplo de la cadena de aseguramiento de los SLA


para un departamento de administracin de la empresa

En el caso que se detecte un cambio se deberan actualizar los acuerdos, bajo el


control de gestin del cambio y de las unidades internas involucradas para que
reflejen la nueva situacin.
A modo de ejemplo, en la figura 6.1.13 se muestra la informacin recogida habitualmente en un acuerdo de nivel operativo.
El contrato de soporte es un documento contractual entre la organizacin de TI y
un suministrador externo, por tanto utiliza el formato de contrato habitual de la
empresa o del suministrador. El UC debera tratar los conceptos enunciados en
la figura 6.1.14.
Un contrato de soporte (UC) es el documento contractual entre la organizacin TI
y un suministrador de servicios externo. Este contrato define el objetivo, alcance y
caractersticas del servicio que se va a prestar.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

Estructura de un acuerdo de
nivel operativo (OLA)

Introduccin:
Objetivo y alcance.
SLA de referencia.
Unidad TI que lo soporta.
Requerimientos:
Acuerdos del servicio.
Descripcin del nivel de servicio (SLA).
Plan de proyecto del servicio interno.
Objetivo y alcance del servicio.
mbito de aplicacin.
Funcionalidades proporcionadas.
Caractersticas del servicio interno:
Niveles internos de servicio y niveles SLA de
referencia.
Horario de servicio y soporte, disponibilidad y
fiabilidad, continuidad y seguridad, rendimiento.
Otros OLA y UC que utiliza.
Explotacin y operacin, tcnicas, etc.
Responsables involucrados:
Responsable de planificacin e implantacin de
servicios nuevos o modificados.
Responsable de gestin de nivel de servicio.
Responsables de procesos/departamentos
afectados.
Responsables de otros procesos/departamentos
involucrados.

Fuente: Telefnica.

Figura 6.1.13. Contenido tipo de un acuerdo de nivel operativo (OLA)

223

224

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Contenidos de un contrato de soporte (UC)


Introduccin:
Objetivo y alcance.
SLA y OLA de referencia.
Nombre del suministrador. Unidad TI que lo soporta.
Requerimientos:
Acuerdos de nivel de servicio (SLA) y
operativos (OLA).
Plan de proyecto del servicio.
Descripcin del servicio:
Objetivo y alcance del servicio.
mbito de aplicacin y relaciones con otros servicios.
Funcionalidades proporcionadas.
Caractersticas del servicio interno:
Funcionales.
Horario de servicio y soporte, disponibilidad y
fiabilidad.
Niveles internos de servicio. Continuidad y seguridad,
rendimiento.
Interfaces.
Explotacin y operacin, etc.
Condiciones comerciales:
Coste del servicio y forma de pago.
Mecanismos de control y seguimiento:
Indicadores y mtricas, informes de gestin.
Responsables involucrados:
Responsable de planificacin e implantacin de
servicios nuevos o modificados.
Responsable de nivel de servicio.
Proveedores de servicios externos.

Fuente: Telefnica.

Figura 6.1.14. Contenido tipo de los contratos de soporte (UC)

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

225

Supervisin y monitorizacin del servicio y de los SLA


Una vez activado el servicio, con su SLA correspondiente, se inicia su explotacin.
Desde este momento se debe poner en marcha la actividad de supervisin del servicio y de monitorizacin de los niveles alcanzados, para determinar su calidad, fiabilidad y disponibilidad. Se generan los informes sobre el nivel de servicio para analizar y demostrar su cumplimiento.
UNE-ISO/IEC 20000-1
Los niveles de servicio se deben monitorizar y se deben generar informes de dichos
niveles con relacin a los objetivos, mostrando tanto la informacin actual como las
tendencias. Las razones para las no conformidades se deben comunicar y revisar.

Durante la actividad de redaccin y negociacin del acuerdo es cuando se analizan y determinan las mtricas para medir el servicio, y es justo en este punto en
el que hay que comprobar que existen los medios necesarios para poder monitorizar su cumplimiento. No se debera incluir ninguna mtrica en un SLA a menos
que pueda medirse y monitorizarse de una manera efectiva y segn acuerdo
mutuo. Esto es importante, ya que incluir elementos que no puedan monitorizarse de forma eficaz provocar conflictos y la eventual prdida de confianza en
los SLA.
En la actividad de monitorizacin se debe prestar una atencin especial a cada
incumplimiento (denominado ruptura o violacin) de los niveles de servicio acordados, con el fin de determinar qu fue exactamente lo que caus la prdida del
servicio y qu se puede hacer para evitar que vuelva a ocurrir. Si se determina que
el nivel de servicio es ahora inalcanzable, es aconsejable revisar y volver a acordar
unos objetivos diferentes. Si la ruptura del servicio ha sido causada por un fallo de
una tercera parte o de un grupo de soporte interno, puede que tambin sea necesario revisar el contrato de soporte o el OLA correspondiente.
En los informes se deber realizar la comparacin entre los valores de los indicadores obtenidos y los valores objetivo o umbrales de referencia.
Los informes generados y la informacin que contienen tienen como objetivo la
comprobacin del cumplimiento de los SLA y el anlisis de su evolucin, para
detectar posibles acciones de mejora a los SLA y los componentes de la propia
organizacin TI. Es decir, estos informes estn destinados tanto a la gestin de
nivel de servicio como a la propia gestin interna, por tanto, el contenido y naturaleza de estos informes deber ajustarse a cada destinatario.

226

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Para realizar los informes el proceso de generacin de informes de servicio necesita


la definicin y recopilacin de toda la informacin necesaria en forma de indicadores y mtricas. Estos indicadores y mtricas son acordados y suministrados por
otros procesos de gestin del servicio, tales como gestin de la disponibilidad, gestin del incidente, etc.
La naturaleza de estos indicadores estar relacionada con informacin de disponibilidad y fiabilidad del servicio. Tambin es muy interesante disponer de informacin relacionada con la opinin del cliente respecto a la calidad percibida en la prestacin del servicio.
Para poder realizar esta actividad de monitorizacin de SLA y emisin de informes
es necesario tener el soporte de las herramientas que permita realizar la captura y
anlisis de los indicadores y mtricas de calidad del servicio, as como la evaluacin
del grado de cumplimiento de los acuerdos del nivel de servicio establecidos con
los clientes.
Las caractersticas bsicas que deben reunir las herramientas que constituyan el sistema de monitorizacin de los servicios son las siguientes:
Facilidad de interconexin con sistemas y herramientas de monitorizacin
de los sistemas, as como herramientas de gestin con otros procesos con el
fin de recopilar las mtricas e indicadores establecidos.
Posibilidad de definicin y parametrizacin de indicadores y mtricas.
Posibilidad de definicin y parametrizacin de valores umbrales de las mtricas.
Generacin de alarmas de incumplimiento de los acuerdos de nivel de servicio activos y alarmas de proximidad al incumplimiento.
Generacin online de informes del nivel de servicio.

Mejora de los servicios y programa de mejora del


servicio (SIP, Service Improvement Program)
Como consecuencia de la actividad de supervisin y monitorizacin de los servicios, de las reuniones con el cliente (relaciones con el negocio), etc., se identifica
un conjunto de posibles mejoras que se pueden realizar. Las mejoras se recogen en
un documento denominado programa de mejora del servicio (SIP). Como todo
plan de proyecto, establece los objetivos y alcance de las mejoras, la descripcin de
las actividades que se deben realizar, las responsabilidades de las distintas reas participantes, la planificacin de las actividades, as como, los mecanismos para su control y seguimiento. Este programa, por tanto, establece el objetivo y alcance de las

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

227

mejoras, su justificacin en trminos de coste/beneficio, las fases, actividades, planificacin y responsabilidades, as como las mtricas necesarias para el seguimiento
del proyecto y validacin de las mejoras.

UNE-ISO/IEC 20000-1
Las acciones de mejora definidas durante este proceso se deben registrar y constituyen una entrada al plan de mejora del servicio.

En el momento que se identifique una dificultad subyacente que est impactando


negativamente sobre la calidad del servicio, gestin de nivel de servicio debe, en colaboracin con el resto de procesos (especialmente con la gestin del problema y la gestin de la disponibilidad), promover un programa de mejora del servicio (SIP).
Las iniciativas incluidas en los SIP tambin pueden centrarse en aspectos como la
formacin de los usuarios, la documentacin y las pruebas de los sistemas. Cuando
para la mejora de un servicio sea necesario modificar un proceso, la actividad se
coordinar con el responsable del propio proceso para que la implemente.
Todo SIP debe ser aprobado por la gestin del cambio antes del inicio de su ejecucin.
Los SIP generados, que estn destinados a la mejora de los servicios, se incorporarn en el Plan de mejora unificado de los procesos y de los servicios (vase el
captulo 4), con el fin de coordinar desde un nico punto todas las acciones de
mejora en TI, de los servicios y de los procesos.
El contenido habitual de un SIP se muestra en la figura 6.1.15.
Una buena prctica a tener en cuenta es la dotacin de un presupuesto anual para
financiar las mejoras (plan de mejora unificado de los procesos y los programas de
mejora de los servicios). De esta forma, las acciones se pueden llevar a cabo ms
rpidamente. Esta prctica es muy til, ya que hace que tanto la gestin de nivel de
servicio como la mejora de los procesos sea cada vez ms proactiva y previsora.

Mejora del proceso de gestin de nivel de servicio


Al igual que en el resto de los procesos, el responsable de gestin de nivel de servicio, tambin debe velar por la mejora continua de su propio proceso. Las acciones
identificadas se incluirn y coordinarn con el Plan de mejora unificado de los procesos y de los servicios descrito en el captulo 4.

228

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Programa de mejora del


servicio (SIP)

Introduccin

Descripcin modificaciones OLA y UC


Detalles acciones de mejora
propuestas Clientes actuales: para
cada rea/proceso:
Gestin del incidente.

Objetivo y alcance.

Gestin de la seguridad.

Clientes actuales:

Gestin de la disponibilidad.

Cliente.

Gestin de la capacidad.

SLA referencia.
Fecha de inicio.

Plan de proyecto para la mejora

Servicio.

Descripcin de la mejora
Plan de trabajo. Actividades y
responsables.

reas de mejora
Descripcin de las debilidades y
reas de servicio.

Planificacin de actividades. Fases,


actividades, hitos.

Acciones de mejora

Impacto.

Descripcin a alto nivel de las


acciones de mejora del servicio.

Estimacin de esfuerzo.

Justificacin coste/beneficio.

Cambios asociados:

Estimacin de costes.

Descripcin.
reas TI involucradas

Justificacin.

rea.

Beneficios esperados.

Justificacin.
Participacin.

Fuente: Libro ITIL Provisin de Servicio publicado por OGC y Telefnica.

Figura 6.1.15. Contenido tipo de un SIP

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

229

Relaciones con otros procesos y reas


Dado que este proceso tiene una interrelacin amplia con los otros procesos es
necesario revisar las relaciones con el resto de ellos y con otras reas de TI. En la
figura 6.1.16 se presentan las principales relaciones de gestin de nivel de servicio
en el ciclo de creacin y modificacin de servicios.
Seguidamente se incluye una breve descripcin de la relacin de cada uno de los procesos reflejados en la figura 6.1.16 con el proceso de gestin de nivel de servicio.

Figura 6.1.16. Principales relaciones del proceso de gestin de nivel de servicio


con otros procesos y reas de TI

El proceso de relaciones con el negocio, podemos decir que se encarga de mantener las relaciones pblicas para la gestin de nivel de servicio. Relaciones con el
negocio entiende ms de las funcionalidades que necesita el negocio y establece
y mantiene la relacin con el cliente, mientras que la gestin de nivel de servicio
tiene un conocimiento ms preciso de lo que TI es capaz de aportar. El proceso de
relaciones con el negocio requiere la participacin de la gestin de nivel de servicio

230

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

en todos los aspectos relacionados con la satisfaccin de las necesidades del cliente
mediante servicios ya disponibles en el catlogo o mediante la confeccin o revisin de los acuerdos del nivel de servicio. Una vez puesto en marcha el servicio, gestin de nivel de servicio rinde cuentas al cliente sobre los niveles de servicio
alcanzados y analiza conjuntamente las opciones de mejora.
En el caso del proceso de planificacin e implantacin de servicios nuevos o modificados, la interrelacin sigue un esquema similar: las relaciones con el negocio se
encargan de entender al cliente y el establecimiento de los requisitos, mientras que
la gestin de nivel de servicio proporciona un catlogo de servicios actualizado y la
definicin del acuerdo de nivel de servicio (SLA).
El proceso de generacin de informes del servicio produce los informes que necesita la gestin de nivel de servicio para informar a los clientes y a TI sobre los niveles de servicio. Los informes deben contemplar informacin relevante de forma
que permita analizar aspectos clave del servicio, como su rendimiento, cargas
de trabajo, cumplimiento de los compromisos con los clientes (SLA), incidentes
graves, etc. Los informes deben servir para la gestin de los servicios y la definicin de acciones correctoras y de mejora de los servicios.
El proceso de elaboracin de presupuestos y contabilidad de los servicios de TI
proporciona la informacin econmica necesaria para la toma de decisiones en
cuanto a los niveles de servicio y para que los compromisos se asuman con un
conocimiento preciso de los costes.
Con el resto de procesos, la gestin de nivel de servicio establece el valor de los
parmetros en SLA que se pueden cumplir por TI, para posteriormente realizar el
seguimiento de los mismos. As, con la gestin de la continuidad y disponibilidad
se establecern los umbrales de los SLA de emergencia y los valores de disponibilidad y de rendimiento de los servicios; con la gestin de la seguridad los temas relativos al nivel de seguridad a comprometer; con la gestin de la capacidad se definen las necesidades de proceso, almacenamiento, etc.
La relacin con la gestin del cambio es de las ms fundamentales, pues gestin de
nivel de servicio (como todos los otros procesos) no puede cambiar nada que no
est validado por la gestin del cambio. Por ello, se deben generar peticiones de
cambio antes de crear un nuevo SLA o de modificar uno existente, as como para
ejecutar las modificaciones derivadas de los planes de mejora del servicio.
En relacin con el rea de desarrollo de aplicaciones, el proceso de planificacin y
diseo de infraestructuras y el de operacin del servicio, se tratan los requisitos a
cumplir por cada una para la satisfaccin de los niveles de servicio. Los compromisos
con cada una de estas partes se formalizarn en un acuerdo de nivel operativo (OLA).

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

231

El proceso de gestin de suministradores recibe los requisitos a cumplir, para que


los contratos de soporte (UC) permitan a TI cumplir con los SLA.
La relacin con todos los procesos y funciones de TI anteriormente descritos permitir al proceso de gestin de nivel de servicio desarrollar su labor de definir y
acordar los SLA necesarios para dar cobertura a las demandas del negocio. Esta
relacin tambin es clave en la faceta proactiva de este proceso, para analizar y establecer planes de mejora de los servicios.

Mtricas del proceso


Para poder gestionar el proceso y sus objetivos, es necesario establecer las medidas
que permitirn evaluar el funcionamiento y los resultados del proceso de gestin
de nivel de servicio.
La medicin del proceso ser necesaria para su control, redundando en una gestin
ms adecuada.
Mediante el control del proceso se podr evaluar su funcionamiento y se estar en
disposicin de tomar acciones correctivas y proactivas de mejora, al objeto de
hacerlo ms eficiente, eficaz y adaptable (optimizacin).
Para llevar a cabo el control del proceso se establecern indicadores que ayuden a
medir objetivamente el funcionamiento y la evolucin del proceso. A continuacin
se incluye una seleccin de indicadores que facilitan esta labor:
Nmero o porcentaje de los servicios cubiertos con SLA, til en etapas de
transformacin.
Nmero o porcentaje de SLA sin contratos de soporte UC y sin acuerdos
de nivel operativo OLA, que los respalden.
Nmero o porcentaje de SLA monitorizados y de los cuales se emiten informes peridicos.
Nmero o porcentaje de acuerdos de nivel de servicio revisados en los plazos
planificados y con su correspondiente documentacin actualizada.
Nmero o porcentaje de SLA, OLA o UC que estn fuera de su fecha de
cobertura.
Nmero y gravedad de las interrupciones de servicio.
Porcentaje de las interrupciones de servicio tratadas y analizadas.

232

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Porcentaje de cumplimiento de los acuerdos de nivel de servicio y su evolucin durante un periodo.


Tendencia de la reduccin de roturas de SLA causadas por contratos de
soporte UC (mejorando o renegociando contratos).
Tendencia de la reduccin de roturas de SLA causadas por acuerdos de nivel
operativo OLA.
En el grfico de la figura 6.1.17 se muestra un resumen de los indicadores ms relevantes para este proceso seleccionados por un grupo de trabajo de itSMF Espaa.

Mtricas principales del proceso

Fuente: itSMF Espaa.

Figura 6.1.17. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

233

Roles participantes en la gestin del proceso


Como en el resto de los procesos, los roles intervinientes en la gestin de nivel de
servicio se estructuran en los roles propios del proceso y los roles ajenos al proceso
(el gestor del nivel de servicio).
Los roles propios del proceso son:
Responsable del proceso de gestin de nivel de servicio. Es el responsable
ltimo del funcionamiento del proceso y de los cumplimientos de los niveles
de servicio. Coordina a todos los gestores de nivel de servicio. Reporta al responsable de la gestin del servicio.
Gestores de nivel de servicio. Son los responsables de la creacin y gestin
de los acuerdos de nivel de servicio, coordinan a las distintas reas y procesos
de la organizacin de TI para asegurar la disponibilidad y calidad de los SLA
firmados con los clientes. Asimismo, es el responsable de que el catlogo de
servicios est en todo momento actualizado y disponible.
Administrador y soporte del proceso de gestin de nivel de servicio. Es responsable de la administracin tcnica (sistemas y herramientas) del proceso.
Se ocupa de proporcionar y mantener los medios tcnicos necesarios para
una gestin eficiente del proceso ayudando al gestor del nivel de servicio en
el control de toda la actividad.
Administrador del catlogo de servicios. Es el responsable del mantenimiento del catlogo asegurando la definicin, mantenimiento, publicacin y
divulgacin de los servicios.
Los roles ajenos que son relevantes en este proceso son:
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
Los gestores del resto de procesos que se interrelacionan con la gestin de
nivel de servicio para acordar los niveles de servicio a comprometer en la preparacin el SLA y, una vez operativo el servicio, para velar por su cumplimiento.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define el proceso y se encarga de la mejora continua del
mismo. Todo ello, de una forma integrada con el modelo de gestin de TI
incorporado en el SGSTI.
En la figura 6.1.18 se muestra un esquema con los roles para este proceso.

234

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Roles del proceso

Responsable de la
gestin del servicio

Responsable del
proceso SLM

Gestores del
nivel de servicio
Gestores de otros
procesos y reas TI
SGSTI

Administrador
catlogo de servicios
Propietario del
modelo (SGSTI)

Administrador y
soporte del proceso

Figura 6.1.18. Roles para el proceso de gestin de nivel de servicio

Resumen
El proceso de gestin de nivel de servicio es clave para cumplir con las expectativas
de los clientes de TI, manteniendo y mejorando la estabilidad de los servicios ya
que regula y controla toda la cadena de aseguramiento de los acuerdos de nivel de
servicio firmados con los clientes.
El proceso mantiene la calidad y fiabilidad de los servicios, velando, tanto por la
creacin de SLA fiables y acordes con las necesidades del negocio, como por el control y mejora reactiva/proactiva que permiten mejorar la calidad de la prestacin de
los servicios de TI. Este proceso trabaja en estrecha colaboracin con los procesos
y con las reas tcnicas.

6. Procesos de provisin de servicio


6.1. Gestin de nivel de servicio

235

Los principales elementos que componen el proceso son: el responsable del proceso, el catlogo de servicios, los SLA, los OLA, los UC y los programas de mejora
del servicio (SIP).

Beneficios
La mejora en la calidad y la reduccin de las interrupciones del servicio, que aporta
una efectiva gestin de nivel de servicio, permite la obtencin de ahorros econmicos significativos. Por un lado, el cliente puede realizar sus funciones de negocio de
forma predecible y minimizar el impacto negativo en sus actividades mediante el
cumplimiento de los acuerdos de servicio establecidos y la planificacin de paradas
de mantenimiento del servicio, y por otro, la organizacin TI gastar mucho menos
tiempo y esfuerzo al tener menos incumplimientos de SLA que resolver.
Entre los beneficios de la gestin de nivel de servicio se pueden destacar:
La prestacin del servicio TI se disea para satisfacer los requisitos del servicio de los clientes.
Permite mejorar las relaciones con los clientes.
Las dos partes firmantes del SLA tienen una visin clara de sus funciones y
responsabilidades, evitando posibles omisiones o malentendidos.
Se tienen objetivos especficos y acordados, con los que se puede comparar y
medir la calidad del servicio; si no aspira a nada, probablemente eso sea lo
que consiga.
Permite centrar el esfuerzo en TI en los servicios clave para el negocio.
La monitorizacin de los servicios facilita la identificacin de reas de debilidad, permitiendo emprender las acciones resolutivas que sean necesarias,
mejorando as la calidad de los futuros servicios.
El seguimiento realizado por este proceso permite identificar fallos en los
servicios motivados por acciones de los usuarios, pudiendo definir acciones
de mejora, como por ejemplo, la formacin.
La actividad de gestin de nivel de servicio refuerza la gestin y relacin con
las reas internas de TI y con los suministradores externos gracias a su integracin en la cadena de aseguramiento de los SLA de los clientes, todos tienen un objetivo comn.
Los SLA constituyen el elemento bsico para poder realizar la facturacin de
los servicios TI a los clientes segn los niveles de servicio requeridos.

236

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es la estructura del catlogo de servicios de su organizacin
deTI?
Cul es la estructura de los SLA de su organizacin?
Cmo estn estructuradas internamente las unidades o grupos de su
departamento de TI de cara a la realizacin de OLA?

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

237

6.2. Generacin de informes del servicio

Figura 6.2.1. Esquema general del proceso de generacin de informes de servicio

Cadas de los servicios, cambios en los servidores, compras de equipamiento nuevo,


miles de peticiones de los usuarios, etc. La vida cotidiana en las calderas de la gestin de las tecnologas de la informacin est llena, quizs demasiado, de actividad.
La sobreocupacin de la organizacin de TI atendiendo el da a da lleva a pensar
que nicamente con aguantar el ritmo de trabajo es suficiente, pero no es as, es
necesario, adems, mantener un flujo constante de comunicacin e informacin
con toda la organizacin sobre los logros que se consiguen y el funcionamiento de
los servicios. Sin esta comunicacin, la insatisfaccin de las reas de negocio con TI
est garantizada (vase la figura 6.2.1).
Una buena disciplina en la generacin de informes y el mantenimiento de una
comunicacin constante, ayudar a la comprensin mutua. La primera frase que
se escucha al acercarse al mundo de las mtricas y de la calidad es todo lo que no se
puede medir no existe y aunque es un poco drstica, pone claramente el foco en la
necesidad de medir los mltiples componentes y resultados de la actividad de TI.
El mundo tcnico tiende a ningunear la actividad de generacin de mtricas e
informes, viendo esta tarea como una sobrecarga burocrtica a su trabajo diario.
En el mbito de las Normas ISO/IEC 20000 se aporta una solucin prctica para

238

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

intentar atajar este mal endmico, centralizando toda la actividad de generacin de


informes en un proceso. ste recopila las necesidades de los clientes del resto
de procesos y, en general, de toda la organizacin de TI, para impulsar la definicin y
creacin de todos los informes necesarios.
Por si fuera poco, las carencias no slo provienen de las capas tcnicas. Con frecuencia es la propia direccin la que primeramente solicita los informes para posteriormente no utilizarlos en la gestin diaria y en la toma de decisiones. A nivel
directivo, las decisiones muchas veces se toman por intuicin, derivadas de una crisis o por visin estratgica, ignorndose reiteradamente la valiosa informacin
aportada por los informes.
Si bien la informacin es til para la toma de decisiones, tambin debe notarse claramente su uso y toda la organizacin lo debe percibir. De esta forma, los comits
regulares de direccin de TI deberan comenzar con un anlisis de los principales
indicadores, para continuar con el estado de los principales proyectos y el avance
de las iniciativas estratgicas de transformacin. A partir de este momento, continuar con los incidentes ms graves y con el resto de la agenda. En este escenario, la
informacin aporta valor y es rentable el esfuerzo de producirla.
En las empresas que han alcanzado la excelencia en su gestin, las decisiones se
toman con base en las mtricas y los informes, respaldando la visin y la intuicin
de la direccin. As, unas decisiones basadas en indicadores podran ser:
Se desencadena una iniciativa de reduccin de costes porque el ratio de coste
de TI por usuario es ms alto que el benchmarking realizado contra el mercado. Tambin se respalda esta iniciativa porque el ratio de coste global de
TI en relacin a la facturacin de la empresa (ITR, IT Spending per unit of
Revenue) es mayor que el de empresas equivalentes o del mismo segmento.
Se lanza un proyecto de transformacin de arquitectura y plataforma tecnolgica, porque la tasa de incidentes por usuario es alta como consecuencia de
una infraestructura demasiado inestable.
Se refuerza el equipo de gestin del problema debido a que, en el ltimo
semestre, el 30% de las incidencias producidas son repetitivas y originadas
por las mismas causas.
Se crea una dotacin presupuestaria para una iniciativa de renovacin de la
planta de ordenadores PC, porque el indicador de obsolescencia del parque
de ordenadores personales es alto y, como consecuencia, la productividad del
empleado habr ido disminuyendo.
Se lanza una campaa de comunicacin al ver que ha descendido el indicador que mide la satisfaccin de los clientes y usuarios con TI.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

239

Se implanta una poltica de teletrabajo para flexibilizar los horarios, al resultar muy baja la satisfaccin del empleado de TI en la ltima encuesta anual.
En la figura 6.2.2 se presenta una visin introductoria al proceso de generacin de
informes del servicio.

Proceso de generacin de
informes del servicio

Qu aporta:

Definicin:

Se asegura que todos los informes se


adecuen a las necesidades de TI.

Proceso que centraliza la generacin


de todos los informes de TI con el
fin de que sean homogneos, tiles y
entendibles por los destinatarios.

Objetivo:
Generar en plazo los informes
acordados, ables y precisos, para
informar a la toma de decisiones y
para una comunicacin ecaz.

Al centralizar en un proceso la
generacin de informes, se obtiene
una visin homognea sobre TI.

Se cubren todas las necesidades


de informar y comunicar.
La informacin es fiable.
La informacin es claramente
entendible por los destinatarios.
Centraliza todos los indicadores y
mediciones de TI.
Aumenta la productividad en la
generacin de informes.
Hay un responsable que vela por la
generacin de informes en plazo,
forma y calidad.

Figura 6.2.2. Introduccin al proceso de generacin de informes del servicio

Para que la gestin del servicio aporte valor real a la organizacin de TI y al negocio, debe disponer en tiempo y con calidad de la informacin que permita la
correcta toma de decisiones. La centralizacin de todos los informes en un nico
punto aporta grandes ventajas en la realizacin de esta labor incomprendida, pues
responsabiliza a un proceso de la definicin general de las polticas de informes y
de su generacin. Los informes deben ser fiables, precisos y entregados a tiempo.
Los informes de TI destinados al negocio deben contener medidas significativas y
entendibles por l que permitan ayudarle a alcanzar sus objetivos estratgicos. La
precisin y fiabilidad de los valores aportados son clave en la relacin con el cliente.
Asimismo, la puntualidad en la entrega de los informes de nivel de servicio, segn
lo comprometido en los SLA, junto con los aspectos reseados anteriormente,
aportan confianza al cliente en la relacin.

240

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Los indicadores de disponibilidad, rendimiento y capacidad son, sin lugar a dudas,


los ms importantes para la operativa de TI, y sus valores permiten una monitorizacin de la calidad del servicio. Pero no son los nicos. Tambin hay otros muy
importantes: la alineacin con los estndares, el cumplimiento de la legislacin, la
seguridad, la eficiencia operativa, etc.
Los datos recogidos deben permitir la generacin de informes reactivos, proactivos
y el anlisis de las tendencias principales.
La frecuencia en la obtencin de la informacin tambin debe adecuarse a su utilizacin, en unos casos se tiene que proporcionar en el rabioso tiempo real (instantneo o inmediato), mientras que en otros slo se necesitar con periodicidad mensual o anual.
Es recomendable que el contenido de los informes refleje el resultado de la comparacin entre los valores de los indicadores obtenidos y los valores objetivo o umbrales de referencia comprometidos. Aunque, en la etapa de implementacin de un
indicador, lo habitual es realizar unas mediciones para conocer lo que est pasando
sin tener predefinido un valor objetivo de referencia.
Los informes pueden estar destinados al negocio o bien a la propia gestin interna.
En el primer caso se cuidar de mantener el idioma y visin del negocio. En los
informes internos, primar la informacin tcnica y las tendencias evolutivas.
Los informes forman parte del conocimiento de la organizacin. Por ello se debern incorporar el sistema de informacin y documentacin estructurado en TI, sistema que se convertir en el instrumento online de trabajo para toda la organizacin.
La disciplina de generacin de informes debe tener en cuenta cuatro principios
bsicos, mostrados en la figura 6.2.3.
La fiabilidad de la informacin contenida en los informes es uno de los factores
ms esenciales, en su generacin se debe velar especialmente por la calidad de los
datos mostrados. Sin una informacin fiable, no tendr utilidad alguna la actividad
de generarlos.
Por otra parte, es importante que los informes sean claros y fcilmente entendibles
por sus destinatarios. La estructura a contemplar en los informes muy tcnicos es
diferente a los informes orientados al negocio o la direccin. Cada uno de ellos
debe adaptarse a la cultura y los hbitos de los destinatarios.
En todos los informes se debe mantener una lnea de estilo o lnea editorial que
facilite su comprensin por los lectores. Los grficos, escalas, tamaos, colores,
etc., deben mantener una coherencia entre unos informes y otros, para que se puedan interpretar ms fcilmente.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

241

Figura 6.2.3. Principios bsicos de la generacin de informes

Los informes deben mantener una continuidad a lo largo del tiempo, representando conceptos similares y su evolucin histrica. Para ello, disponer de un repositorio con todos los indicadores y sus mediciones ser una de las primeras actividades que se deben realizar. Para la creacin de este repositorio o base de datos hay
varias alternativas, como utilizar la solucin que habitualmente incorporan las
herramientas de gestin del servicio o como crear uno nuevo utilizando las herramientas habituales de anlisis de datos e inteligencia de negocio (data warehouse,
data mart, extraccin de datos, etc.). En organizaciones pequeas se puede empezar con una simple hoja de clculo.
Es importante que los informes reflejen la evolucin histrica de los indicadores
que contienen, pues en la gestin del servicio de TI son tan esenciales las tendencias como los valores puntuales de un perodo.
Los informes deben entregarse a tiempo, en el momento en que se necesiten, para
conocer la situacin o para tomar decisiones. Para conseguirlo es necesario disponer de las herramientas adecuadas que faciliten la laboriosa tarea de su confeccin.
El cumplimiento sistemtico en las fechas de entrega de los informes permitir que
las decisiones se tomen a tiempo y marcar una pauta rtmica de trabajo en toda la
organizacin.

242

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En la figura 6.2.4 se muestran los componentes principales del proceso.

COMPONENTES DE GENERACIN DE INFORMES


Hechos
ocurridos

Poltica
de informes

Niveles
de servicio

Diseo de
informes

Cuadros
de mando

Realizacin
de informes

Informes

KGI
Panel de
control

KPI

Arquitectura
de mtricas

Indicadores
Monitorizacin

Base de datos de
indicadores y mediciones

Figura 6.2.4. Componentes principales del proceso de generacin de informes

Arquitectura de mtricas. Es un documento que analiza y estructura por niveles todos


los indicadores necesarios para la gestin de TI. Para cada indicador se define una ficha
de detalle. En organizaciones maduras suele contener ms de 200 indicadores.
Base de datos de indicadores y mediciones. Es una base de datos que contiene la
definicin de cada uno de los indicadores (fichas) y el histrico de las mediciones de
cada uno de los indicadores. Es la base fundamental para la generacin de informes.
Cuadro de mando integral (BSC, Balanced Score Card). Trmino difundido por
Kaplan y Norton para mostrar el estado de una empresa en base a objetivos e indicadores agrupados en cuatro perspectivas: econmica, cliente, interna y crecimiento.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

243

Cuadro de mando de TI. Conjunto de indicadores que muestran una visin global del estado de TI. Contiene indicadores globales. Resume en un informe los
indicadores ms relevantes sin respetar las cuatro perspectivas clsicas de Kaplan y
Norton.
Dato, informacin y conocimiento. Un dato es un conjunto discreto, de valores
objetivos sobre un hecho real. Un dato no dice nada sobre el porqu de las cosas y,
por s mismo, tiene poca o ninguna relevancia o propsito.
La informacin es un mensaje, normalmente bajo la forma de un documento o
algn tipo de comunicacin audible o visible. A diferencia de los datos, la informacin tiene significado (relevancia y propsito). No slo puede formar potencialmente al que la recibe, sino que est organizada para algn propsito. Los datos se
convierten en informacin cuando su creador les aade significado. Transformamos datos en informacin aadindoles valor en varios sentidos.
El conocimiento es una mezcla de experiencia, valores, informacin y saber hacer
que sirve como marco para la incorporacin de nuevas experiencias e informacin,
y es til para la accin. Se origina y aplica en la mente de los conocedores. En las
organizaciones, con frecuencia no slo se encuentra dentro de documentos o almacenes de datos, sino que tambin esta en rutinas organizativas, procesos, prcticas,
y normas.
Factor crtico de xito (CSF, Critical Success Factor). Trmino utilizado en el
mbito de ITIL para definir un aspecto crtico o esencial a tener en cuenta para
el xito en un proceso.
Hechos ocurridos en el perodo. Sucesos ocurridos, actividades realizadas y
hechos relevantes a tener en cuenta en los informes.
Histrico del servicio. Representacin de los valores de los indicadores de un
servicio y comprende generalmente uno o ms aos si bien el perodo de retencin
depender de la naturaleza del indicador o mtrica considerada.
Indicador o mtrica. Son datos. Los trminos de indicador y mtrica se utilizan
normalmente como sinnimos y representan un tipo de dato utilizado para medir
una caracterstica de TI. Los indicadores se definen en una ficha y se miden.
Indicador objetivo (KGI, Key Goal Indicator). Indicador que muestra una caracterstica clave o general. Trmino utilizado en COBIT. Se utiliza para determinar los
indicadores ms importantes de TI (por ejemplo, el tiempo que se tarda en crear
un nuevo servicio de TI o time-to-market). Dado que la organizacin de TI suele

244

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

estar dividida por lo menos en tres reas (desarrollo, sistemas o centro de proceso
de datos y microinformtica o puesto de trabajo), los KGI se agrupan a su vez en:
KGI-TI. Indicador objetivo general o comn a todo el rea de TI o indicador de gobierno de las TI.
KGI-CPD. Indicador objetivo del rea de explotacin de sistemas o del centro de proceso de datos (CPD).
KGI-PT. Indicador objetivo del rea del puesto de trabajo (PT) formado por
microinformtica ms las redes.
KGI-DES. Indicador objetivo del rea de desarrollo de aplicaciones.
Indicador de rendimiento (KPI, Key Performance Indicator). Indicador que mide
el desempeo o rendimiento de un proceso, de un proyecto, etc. (por ejemplo, el
nmero de problemas abiertos). Es un indicador ms de detalle que el KGI.
Informe. Es un documento impreso o electrnico que contiene indicadores, anlisis e informacin sobre un mbito determinado de TI.
Informe del servicio. Es un informe sobre los servicios que presta TI indicando
el grado de cumplimiento de los niveles de servicio, los hechos ms relevantes en el
perodo con relacin al servicio (incidentes, problemas, evolucin, etc.).
Medida. Es el valor medido en un instante determinado de un indicador o mtrica.
Las medidas de un indicador se deben almacenar en un histrico para su tratamiento posterior. En este proceso medida y medicin se utilizan como sinnimos.
Niveles de servicio. Son los valores mnimos o mximos de los indicadores pactados con el cliente que deben cumplir los servicios de TI prestados.
Polticas de informes. Documento que establece los principios que deben cumplir
los informes de una organizacin.

Entradas, actividades y salidas del proceso


En ISO/IEC 20000 se centralizan en este proceso las actividades de generacin de
todo tipo de informes con el fin de aportar una visin conjunta de la informacin y
de controlar su calidad y su generacin a tiempo. Esta centralizacin tiene todo su
sentido, ya que los informes se sustentan en gran parte en los indicadores, que
deben definirse y recopilarse bajo una visin comn.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

245

En este apartado se desarrollan ampliamente los algo escuetos requisitos planteados en las Normas ISO/IEC 20000, recomendndose un conjunto de actividades
necesarias para el xito del proceso. Por tanto, estas actividades y su desarrollo van
ms all de los requisitos contenidos en estas normas.
La gestin de informes debe trabajar completamente coordinada con los responsables de los procesos y de las grandes reas de TI, pues necesita de su participacin
para conocer la actividad diaria que realizan y conseguir que stas realicen un anlisis adecuado de los valores obtenidos. Las interacciones y funcionalidades de generacin de informes de servicio se resumen en la figura 6.2.5.

Entradas

Actividades

Salidas

Desencadenantes
del proceso:

3 Definicin de la poltica de
informes.

Salidas principales:

Llegada de la fecha
preparacin del
informe.

3 Definicin de la arquitectura
de mtricas.

Informes del servicio.

Peticin expresa de la
direccin.

3 Implementacin de
herramientas: monitorizacin,
recogida y reporting.

Entradas de soporte:
Acuerdos de nivel de
servicio existentes.
Estrategias del negocio y
de TI.
Datos de benchmarking
del mercado.

3 Diseo de los informes tipo.

3 Captura de indicadores.
3 Generacin de informes.
3 Distribucin de informes.
3 Supervisin funcionamiento
del proceso. Mejora del
propio proceso.

Cuadros de mando.
Panel de control.
Otro tipo de informes.
Polticas de informes.
Salidas secundarias:
Base de datos de
indicadores y mediciones
actualizada.
Arquitectura de
mtricas.
Informes tipo o
plantillas.
Alarmas de umbrales
sobrepasados.

Fuente: e.p. y Telefnica.

Figura 6.2.5. Entradas, actividades y salidas del proceso

Las principales entradas que desencadenan el proceso son la proximidad de la fecha


en la que en informe debe estar publicado (semanal, mensual, trimestral o anual)
que activa las acciones para la confeccin del informe; y una peticin expresa de
la direccin de TI sobre la necesidad de disponer de un informe determinado
(previsto o nuevo).

246

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Las entradas de soporte que utiliza el proceso son los acuerdos de nivel de servicio,
que informan sobre los umbrales que se utilizarn en los informes; las estrategias
del negocio y de TI, para la confeccin de la arquitectura de mtricas y el diseo de
los informes tipo; datos externos de benchmarking del mercado con ratios comparativos, con el fin de comparar los valores de los indicadores internos con los externos.
Las salidas principales del proceso son: los cuadros de mando actualizados necesarios (global de TI, del CPD, del Puesto, de Desarrollo, etc.); los informes del servicio prestado; el panel de control de TI; otros tipos de informes sobre acciones, proyectos, iniciativas, etc.; las polticas de informes generadas que marcan las
directrices del proceso.
Como salidas secundarias del proceso destacan: la base de datos de indicadores y
mediciones actualizada, el repositorio generado por el proceso que almacena los
datos necesarios para la confeccin de los informes; la propia arquitectura de mtricas creada y actualizada; las diversas plantillas que conforman los informes tipo; las
alertas generadas por haberse sobrepasado los umbrales de nivel de servicio, etc.
Las actividades del proceso son:
Definicin de la poltica de informes. En la que se define el alcance del proceso,
las responsabilidades sobre los datos y los informes, su difusin, etc.
Definicin de la arquitectura de mtricas. Realizada partiendo de la estrategia
del negocio y de la estrategia de TI, que define un conjunto de indicadores estructurados que son la base para los informes.
Diseo de los informes tipo. En una organizacin de TI eficiente, los informes se
deben predefinir de tal forma que se diseen una vez y se ejecuten en serie. La
informacin contenida en todos los informes debe mantener un estilo homogneo
para que sean ms sencillos de entender. Como resultado de esta actividad se obtienen las plantillas de los diversos tipos de informes a utilizar, adaptados al destinatario, el medio de difusin y la frecuencia.
Implementacin de las herramientas. La generacin de informes se inicia con la
monitorizacin que realiza la captura de los indicadores y los almacenan en sus
archivos especficos (por ejemplo, archivos de log), que luego hay que recoger e
importar en la base de datos de mediciones. Por ltimo, existe un conjunto de funcionalidades de reporting que permiten generar informes bajo demanda. Se deben
definir y desarrollar los sistemas para la captura de informacin y su correspondiente correlacin para obtener las medias adecuadas para la generacin de informes. En este escenario las herramientas juegan un papel fundamental para facilitar
el trabajo y evitar errores. Las herramientas comprenden:

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

247

Las consolas de monitorizacin.


La captura de informacin en la base de datos central.
La generacin de informes.
Navegacin desde una visin del servicio por los elementos que lo componen, conociendo su estado en tiempo real.
La generacin y publicacin de cuadros de mando y paneles de control.
Hay que sealar que en numerosos casos, la implementacin de stas y otras herramientas requeridas por el proceso de generacin de informes de servicio se limitar
a establecer las interfaces con las herramientas ya implementadas dentro de otros
procesos (un caso general es la integracin con las herramientas de monitorizacin
y operacin).
Captura de Indicadores. En esta actividad se realiza la recopilacin de toda la
informacin disponible en forma de indicadores y mtricas durante el periodo de
reporte. Esta informacin procede fundamentalmente de la actividad de los procesos de gestin de servicio:
Gestin de nivel de servicio.
Gestin de incidencias (asociados a un SLA).
Gestin de la capacidad (disminucin de la carga de trabajo).
Gestin de la disponibilidad (mejora de la disponibilidad y fiabilidad).
Gestin financiera (tarifas aplicables y coste real de los servicios).
Etc.
Generacin de informes. En esta actividad se generan los informes con los resultados de los indicadores o mtricas obtenidas. Los informes deben ser tiles y no
unos meros portadores de datos. Por ello, adems de los datos, deben incorporar
anlisis de la informacin, revisin de los resultados obtenidos, descripcin de los
hechos relevantes en el perodo, etc. (aunque estos anlisis, en muchos casos, este
proceso slo se encargue de hacer que otros lo realicen). Como resultado de esta
actividad y, en funcin del destinatario y la periodicidad establecida, se generan los
informes del servicio. Tambin es clave que los informes reflejen el resultado de la
comparacin entre los valores de indicadores obtenidos y los valores objetivo o
umbrales de referencia.
La generacin de informes toma como punto de partida los datos ya recopilados
en la base de datos de indicadores y mediciones, y de los informes tipo, para la

248

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

generacin de los informes. En una primera fase, el proceso genera los informes en
modo borrador, para que sean completados y comentados por cada uno de los procesos o reas involucradas. Por ello, esta actividad debe perseguir a los responsables
para que revisen y complementen con informacin estos borradores.
Distribucin de informes. Una vez generados los informes se deben distribuir a
los destinatarios previstos. La forma ms sencilla o inmediata de realizar la distribucin es subir el informe a una seccin de informes en el portal web de TI y
comunicar a los destinatarios por correo electrnico su disponibilidad, si bien el
mecanismo que se debe utilizar vendr marcado en gran medida por la criticidad
de la informacin. En el caso de tratarse de informes a las reas clientes o a la direccin, ser conveniente mantener una reunin o audioconferencia para explicarlos y
revisarlos en detalle. En estas revisiones convendra contar con la presencia de los
responsables de los procesos tratados en el informe, y si es a los clientes, tambin
del gestor de relaciones con el negocio (gestor del cliente).
Supervisin del funcionamiento del proceso y mejora del mismo. Al igual que
en resto de procesos, el responsable del proceso debe supervisar la eficacia del proceso, la calidad de los datos contenidos y la entrega a tiempo de los informes.
Una de las facetas importantes de esta actividad es comprobar y conseguir que los
informes sean utilizados por sus destinatarios y que cumplan su misin de informacin, seguimiento o ayuda a la toma de decisiones para los que fueron creados.
Es tambin responsabilidad de esta actividad impulsar en los otros procesos la
generacin de los planes de mejora derivados del anlisis de los informes. Un ejemplo claro de esto es el proceso de gestin de nivel de servicio, que vela por que se
subsanen de forma inmediata las roturas de niveles de servicio detectadas en los
informes, desarrollando las iniciativas de mejora. Adems, dado que los informes
llevan tambin integrada la tendencia de evolucin de los indicadores, se podr
detectar anticipadamente el riesgo de incumplimiento de los niveles de servicio
para adoptar las medidas proactivas necesarias.
Todas las mejoras detectadas se incorporarn al plan general de mejora de TI, sin
que por ello, se dejen de ejecutar las acciones correctoras inmediatas.

Poltica de la generacin de informes de servicio


En la Norma ISO/IEC 20000-2 se establecen recomendaciones para la definicin
de una poltica de generacin de los informes, establecindose que se acuerden y
registren los requisitos para la generacin de informes.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

249

UNE-ISO/IEC 20000-2
Poltica
Los requisitos para la generacin de informes para clientes y para gestin interna
se deberan acordar y ser registrados.
La supervisin del servicio y la generacin de informes abarcan todos los
aspectos medibles del servicio, proporcionando datos actuales e histricos.
Cuando existan mltiples proveedores,
suministradores principales y suminis-

tradores subcontratados por stos, los


informes deberan reflejar las relaciones entre ellos. Por ejemplo, un suministrador principal debera informar
sobre la totalidad del servicio que
presta, incluyendo cualquier servicio
realizado por un tercero y que forme
parte del que el suministrador principal
gestiona como parte del servicio al
cliente.

Las fuentes de informacin y de conocimiento en TI


Antes de continuar con los indicadores y los informes conviene reflexionar brevemente sobre los diversos tipos de informacin y conocimiento existentes en TI.
Pues no todo el conocimiento de TI se obtiene de los indicadores, ni toda la informacin para la toma de decisiones se incluye en los informes del servicio. Estas distinciones son importantes para evitar sobrecargar los informes con indicadores,
cuando la informacin se debe obtener de otras fuentes. En general, el conocimiento en TI proviene de:
Informacin no escrita: conocimiento histrico, conversaciones informales,
temas tratados en reuniones, etc.
Informacin descriptiva textual: arquitecturas, inventarios, informes,
manuales, procedimientos, comunicados, correo electrnico, etc.
Informacin de seguimiento de la actividad: planificaciones, informes de
avance, cumplimiento de hitos, etc.
Informacin sobre el servicio: informes, notificaciones y escalados, actas.
Informacin creada ad-hoc para una necesidad: auditoras, informes de consultoras, planes de evolucin, tendencias mercado, benchmarking, etc.
Informacin sobre volumetras de TI: estadsticas diversas, volmenes inventariados, volmenes de actividad y de planta, etc.
Informacin en tiempo real: proveniente de la monitorizacin y de los eventos surgidos.

250

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Mtricas e indicadores, cuadros de mando.


Conocimiento especialista: de la tecnologa en general, de unas instalaciones
concretas, etc.
La tipificacin del conocimiento utilizado en TI permitir tener una visin panormica ms clara que discierna entre conocimiento, informacin y mtricas. En la
figura 6.2.6 se muestra una tipificacin de la informacin en dos ejes que permiten
clasificarla entre su uso para el gobierno (estrategia y decisin) o la gestin (ejecucin y seguimiento), junto a una visin sobre si la informacin que contiene es descriptiva (cualitativa), o ms bien est basada en cifras (cuantitativa).

Cuadros
de mando

Tendencias
Gobierno

Benchmarking
Informe mensual
ejecutivo

Verbal
Informes del servicio

Texto mail

Gestin

Mtricas servicio
Alertas
Inventarios
Documentacin
Cualitativa

Monitorizacin
Cuantitativa
Fuente: Telefnica.

Figura 6.2.6. Tipificacin del conocimiento acerca de TI

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

251

Por tanto, para la toma de decisiones y para el conocimiento de TI no es suficiente


con los indicadores, ni con los informes del servicio. Se debe recurrir tambin a
otro tipo de informacin, interna y externa. Por ello, en la definicin de los indicadores necesarios, se debe tener presente este hecho y no intentar cubrir en base a
indicadores todo el conocimiento sobre TI.

Los indicadores son una parte esencial de los informes


Los informes en TI versan sobre la actividad propia y los resultados de los servicios
ofrecidos a los clientes. Por ello, los informes se sustentan en indicadores y mtricas representados en diversos tipos de grficos.
Los indicadores o las mtricas son el ncleo esencial de los informes. El objetivo de
los indicadores es aportar una visin del estado de TI y del cumplimiento de los
objetivos marcados. No obstante, de acuerdo con lo descrito en el punto anterior,
hay que considerar que los indicadores son un instrumento parcial que aporta una
idea aproximada de la realidad y, adems, pueden ser manipulados en funcin de
los resultados que interese presentar.
Las mtricas y los informes se suelen agrupar en niveles o capas segn el pblico
destinatario de los mismos. De forma general se estructuran en estratgicos, tcticos u operativos (inspirado en COBIT). A continuacin se presenta una visin simplificada de estos tres niveles:
Indicadores estratgicos. Contienen informacin para la toma de decisiones de alto nivel. Dado que en organizaciones grandes, TI suele estar dividida en diferentes reas (por ejemplo, desarrollo, centro de datos y puesto de
trabajo), se ha considerado til desglosar los indicadores e informes estratgicos en dos: los globales con una visin conjunta de todo TI y los especficos de estas reas:
Estratgicos y globales de TI (KGI, Key Goal Indicator, de TI). Muestran informacin general sobre TI y su desempeo. Estos indicadores forman parte del cuadro de mando general de TI. Estos indicadores sobre los
objetivos estn vinculados con el cuadro de mando general de la empresa
y se utilizan tambin para mostrar al negocio y a la direccin de la empresa
(CEO) los resultados de TI.
Ejemplos de KGI de TI pueden ser la disponibilidad de los servicios de
TI, el coste de TI por usuario, la madurez en la gestin de TI, el time-tomarket medio de cambios, el porcentaje de cambios en plazo o la satisfaccin de los clientes y usuarios con TI.

252

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Estratgicos y por rea de TI (KGI de rea). Adems, tambin se suelen


definir los indicadores globales de un rea que son indicadores tambin de
alto nivel pero centrados en una de las grandes unidades o reas que suelen componer TI, como por ejemplo, desarrollo, puesto de trabajo, produccin del centro de datos, planificacin y control, etc. Componen un
cuadro de mando especfico de este rea y contribuyen al cuadro de mando
general de TI.
Indicadores tcticos o globales de proceso (KGI de proceso). Muestran
una informacin resumida del desempeo de cada proceso. Se suelen definir
entre 3 y 5 indicadores de objetivos por cada proceso. Estos indicadores los
utiliza el responsable del proceso para mostrar a la direccin de TI (CIO) la
contribucin de su proceso al xito de TI.
Ejemplos de KGI de proceso son: el porcentaje de incidentes resueltos en
plazo, los incidentes resueltos en primera lnea, el nmero de soluciones temporales activas, el porcentaje de elementos de configuracin con actualizacin
automatizada, el porcentaje de objetivos de SLA incumplidos o los costes de
provisin por servicio.
Tambin debe haber otro tipo de indicadores de objetivos, ms all de los
procesos, por ejemplo, los indicadores de evolucin de los proyectos (tanto
de desarrollo, como de produccin), el avance de las iniciativas estratgicas de
transformacin de TI, los indicadores sobre el estado de la plataforma tecnolgica, sobre los RRHH, sobre el mbito financiero, etc.
Indicadores operativos o de rendimiento (KPI, Key Performance Indicator).
Indicador que muestra una faceta del comportamiento de una funcin o actividad de TI. Unos buenos indicadores de rendimiento (KPI) apalancarn la
obtencin de unos buenos indicadores globales o de objetivos (KGI), aunque
no hay una relacin matemtica entre ellos. Habitualmente suelen identificarse entre 10 y 20 indicadores de rendimiento por proceso. Los principales
indicadores de rendimiento que se suelen medir son:
KPI de los procesos de TI: nmero total de incidentes, nmero de problemas abiertos, nmero de reuniones con clientes al mes, etc.
KPI de los proyectos de TI: proyectos en plazo, tiempo medio de desviacin de los proyectos, etc.
KPI de las iniciativas estratgicas de TI: iniciativas en plazo, objetivos
alcanzados, etc.
KPI sobre la tecnologa, etc.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

253

En la figura 6.2.7 se muestra esta estructura por capas y el mbito de cada indicador (arquitectura de mtricas) y su relacin con los informes asociados.

Fuente: Telefnica.

Figura 6.2.7. Estructura por niveles de los indicadores y


su contribucin a los informes

En esta representacin de indicadores en cascada, no quiere decir que los indicadores superiores se calculen como una media ponderada de los indicadores inferiores.
Sencillamente muestran algn aspecto ms general (por ejemplo, la disponibilidad
de los servicios, el coste total por usuario, etc.).
Esta misma estructuracin en pirmide de tres capas se ha utilizado en este libro al
final de cada proceso para categorizar los indicadores recomendados de proceso.
Estos indicadores se recomiendan como parte de la arquitectura de mtricas. En la
figura 6.2.8 se muestra el esquema de rbitas alrededor de un proceso utilizado
para representar los indicadores.

254

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Figura 6.2.8. Representacin en tres niveles de los indicadores de


los procesos utilizada en este libro

Metodologa para la definicin de una arquitectura


de mtricas
Con el fin de tener un control de la actividad, una organizacin de TI madura suele
identificar cerca de 200 indicadores. Adems, cada uno de estos indicadores es la
suma de un conjunto de mediciones, sobre los servicios, sobre los componentes,
etc., lo que conlleva la necesidad de automatizar con herramientas de monitorizacin la captura de indicadores para poder gestionar el alto volumen de mediciones.
Por tanto, se necesita bastante estabilidad en el conjunto de indicadores que se van
a medir, que hay que conjugar con la necesidad cambiante de informacin precisa
sobre los objetivos definidos cada ao.
De cara a mantener una base estable de indicadores que pueda ser utilizada en los
informes y en la gestin de TI, es recomendable realizar un ejercicio de definicin
de un conjunto ms amplio de indicadores que se puedan necesitar en un documento, aqu denominado arquitectura de mtricas.
En la definicin de la arquitectura de mtricas se suele utilizar una mezcla de tcticas iterativas hasta que se alcanza un mapa de indicadores, con los que se tendrn
controlados los servicios y el desempeo de TI. Las tcnicas principales utilizadas
en la definicin de esta arquitectura son:

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

255

Intuitiva. Cada miembro expresa de forma intuitiva las mtricas que considera ms relevantes. La visin intuitiva es muy importante y se utiliza varias
veces en el ciclo de definicin del mapa de indicadores.
En base a un mix de experiencias (propias y ajenas). La experiencia y la
historia de los indicadores internos y los aportados por organizaciones externas, conforman la base para la primera propuesta.
Seguimiento de COBIT al 100%. En este caso se toma el estndar COBIT
y de l se extraen indicadores.
Seguimiento de ITIL al 100%. Al igual que en el caso anterior, ITIL se
toma como la nica referencia.
Mix de modelos: ITIL + COBIT. Se toman los procesos ITIL como base, y
se buscan indicadores proporcionados tanto por ITIL como por COBIT, o
bien que resulten complementarios a efectos de completitud de la informacin.
Alineacin con el negocio. El eje conductor de todo el ejercicio de seleccin de indicadores se articula en torno a la estrategia del negocio, identificando los objetivos de la empresa y los objetivos definidos de TI.
De cara a abordar un proyecto de definicin de la arquitectura de mtricas de TI,
se recomienda utilizar una metodologa mixta que contemple de alguna forma las
tcnicas anteriores. En la figura 6.2.9 se muestra una metodologa para la definicin de un mapa o una estructura de mtricas en TI.

Fuente: Quint Group y Telefnica.

Figura 6.2.9. Metodologa ejemplo para la creacin de una arquitectura de mtricas

256

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En la Etapa I se identifica la estrategia de negocio existente y se establece una lista


de 4 5 objetivos de la empresa. Para ello, COBIT aporta cierta ayuda al tipificar
los diferentes objetivos corporativos (que marcarn los posibles objetivos de TI
dentro de la Etapa IV). En la figura 6.2.10 se muestra la tabla de objetivos de
TI de COBIT.
Perspectiva BSC
del negocio

Perspectiva
financiera

Perspectiva
del cliente

Tipos de objetivos de negocio en COBIT


1

Expandir el porcentaje de mercado.

Aumentar el ingreso.

Retorno sobre la inversin.

Optimizar el uso de recursos.

Administrar los riesgos del negocio.

Mejorar la orientacin y el servicio al cliente.

Ofrecer productos y servicios competitivos.

Disponibilidad del servicio.

Agilidad para responder a los requisitos cambiantes (tiempo para


comercializar).

10 Optimizacin del coste de prestacin del servicio.


11 Automatizar e integrar la cadena de valor empresarial.
12 Mejorar y mantener la funcionalidad del proceso de negocio.
Perspectiva
interna

13 Disminuir los costes de los procesos.


14 Cumplimiento de leyes y reglamentos externos.
15 Transparencia.
16 Cumplimiento de polticas internas.
17 Mejorar y mantener la productividad operativa del equipo de trabajo.

Perspectiva de
aprendizaje
y crecimiento

18 Innovacin del producto/negocio.


19 Obtener informacin confiable y til para la toma de decisiones
estratgicas.
20 Adquirir y mantener personal capacitado y motivado.
Fuente: COBIT 4.0.

Figura 6.2.10. Tabla de objetivos posibles del negocio tipificados en COBIT

Se pasa a la Etapa II, en la que se identifica la estrategia seguida por TI. Igualmente
el resultado es una lista corta de objetivos de TI. En la figura 6.2.11 se muestran
los objetivos tipificados en COBIT para los objetivos de TI.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

ID.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

257

Objetivos TI COBIT

Responder a los requerimientos del negocio en alineacin con la estrategia del negocio.
Responder a los requerimientos de gobierno en lnea con el consejo de direccin.
Asegurar la satisfaccin de los usuarios finales con los servicios y niveles de servicio ofrecidos.
Optimizar el uso de la informacin.
Crear agilidad en TI.
Determinar cmo las necesidades funcionales y de control del negocio son traducidas en soluciones
automticas efectivas y eficientes.
Adquirir y mantener sistemas y aplicaciones estandarizados.
Adquirir y mantener infraestructuras de TI integradas y estandarizadas.
Adquirir y mantener tcnicas en TI que respondan a la estrategia de las TI.
Asegurar la mutua satisfaccin en la relacin con terceros.
Integrar perfectamente aplicaciones y soluciones tecnolgicas dentro de los procesos de negocio.
Asegurar la transparencia y comprensin de los costes, beneficios, estrategias, polticas y servicios de TI.
Asegurar el correcto uso y funcionamiento de las aplicaciones y soluciones tecnolgicas.
Responder por todos los activos de TI y protegerlos.
Optimizar las infraestructuras, recursos y capacidades de TI.
Reducir los defectos y adaptaciones en las entregas de soluciones y servicios.
Proteger la consecucin de los objetivos de TI.
Establecer con claridad el impacto en el negocio de los riesgos en los objetivos y recursos de TI.
Asegurar que la informacin crtica y confidencial est protegida de aquellos que no deben tener acceso
a ella.
Asegurar que las transacciones del negocio automatizadas y los intercambios de informacin pueden ser
realizadas correctamente.
Asegurar que los servicios e infraestructuras de TI pueden resistir y recuperarse correctamente de fallos
debidos a errores, ataques deliberados o desastres.
Asegurar el mnimo impacto en el negocio en caso de una interrupcin o cambio en los servicios de TI.
Comprobar que los servicios de TI estn disponibles cuando se les requiera.
Mejorar la relacin costes-eficiencia en las TI (rentabilidad) y su contribucin a los beneficios del negocio.
Entregar los proyectos en tiempo y presupuesto cumpliendo con los estndares de calidad.
Mantener la integridad de la informacin e infraestructura de proceso.
Asegurar la conformidad de TI con leyes y regulaciones.
Asegurar que TI da servicios de calidad con una demostrada eficiencia en costes, mejora continua y
preparacin para cambios futuros.
Fuente: COBIT 4.0.

Figura 6.2.11. Tabla de posibles objetivos de TI tipificados en COBIT

En la Etapa III, se realiza el cuadre entre las estrategias del negocio y las estrategias
de TI. Para ello se ponen ambas en una matriz y se identifica, para cada cruce, si la
estrategia de TI contribuye o no la estrategia de negocio dada. Con toda esta informacin previa y con el conocimiento preciso del propio negocio y de cmo TI se
alinea con l, se aborda la seleccin de los objetivos de TI (Etapa IV).

258

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

A partir de este punto, para cada objetivo de TI se van identificando los indicadores de objetivos (KGI). Para cada indicador de objetivos se identifican los indicadores de rendimiento (KPI) que le apalancarn (Etapa V). En esta ltima etapa se
entra en un proceso iterativo en el que se relacionan en una tabla todos los indicadores posibles (coctelera de indicadores) seleccionados de diversas fuentes (las
mtricas actuales, las deducidas por un ejercicio intuitivo, las que propone ITIL,
las que propone COBIT, etc.). Con todas estas mtricas clasificadas, se estructuran
los tres niveles (KGI-TI, KGI-Proceso y KPI), o los establecidos por la arquitectura de mtricas que hayamos creado, y se realiza una seleccin intuitiva de las que
ms contribuyen a los objetivos concretos de TI.

ETAPA I
Estrategia negocio

ETAPA II
Estrategia TI

ETAPA II
Alineacin
TI Negocio

ETAPA IV
Objetivos TI

Objetivos de negocio (ejemplo)

COBIT1. Expandir el porcentaje de mercado.


COBIT4. Optimizar el uso de recursos.
COBIT6. Mejorar la orientacin y el servicio al cliente.
COBIT9. Agilidad para responder a los requisitos cambiantes.
COBIT18. Innovacin del producto/negocio.

ETAPA IV
Seleccin de
las mtricas

KGI de TI Indicadores estratgicos

Disponibilidad de los servicios TI.


Coste TI por usuario.
Madurez en la gestin de TI.
Time-to-market medio de cambios.
Porcentaje de cambios en plazo.
Satisfaccin de los clientes y usuarios con TI.

COBIT20. Adquirir y mantener personal capacitado y motivado.


KGI de proceso Indicadores tcticos

Objetivos de TI (ejemplo)

COBIT3. Asegurar la satisfaccin de los usuarios finales con


los servicios y niveles de servicio ofrecidos.
COBIT5. Crear agilidad en TI.
COBIT8. Adquirir y mantener infraestructuras de TI integradas
y estandarizadas.

Porcentaje de incidentes resueltos en plazo.


Incidentes resueltos en primera lnea.
Nmero de soluciones temporales activas.
Porcentaje de CI con actualizacin automatizada.
Porcentaje de objetivos de SLA incumplidos.
Costes de provisin por servicio, etc.

COBIT15. Optimizar las infraestructuras, recursos y capacidades de TI.


COBIT21. Asegurar que los servicios e infraestructuras de TI
pueden resistir y recuperarse.
COBIT24. Mejorar la relacin costes-eficiencia en las TI y su
contribucin a los beneficios del negocio.
COBIT25. Entregar los proyectos en tiempo y presupuesto
cumpliendo con los estndares de calidad.
NUEVOAlcanzar una excelencia en procesos TI.
NUEVOMejorar productividad y satisfaccin del empleado.

KPI Indicadores operativos

Nmero total de incidentes.


Nmero de problemas abiertos.
Nmero reuniones con clientes al mes.
Porcentaje de objetivos de SLA en riesgo.
Nmero medio de accesos per cpita a la CMDB.
Nmero de cambios.
Porcentaje de cambios correctivos, etc.

Figura 6.2.12. Ejemplo de aplicacin de la metodologa para la obtencin


de una arquitectura de mtricas

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

259

En la figura 6.2.12 se muestra un ejemplo de los principales resultados de las Etapas I, IV y V del proceso de definicin de una arquitectura de mtricas. Como
ejemplo, se han seleccionado los objetivos de negocio y de TI entre los objetivos
propuestos por COBIT, mientras que el resto de los indicadores de esta arquitectura de mtricas ejemplo se han seleccionado a partir de los indicadores proporcionados al final de cada proceso en este libro.
Como resultado de este ejercicio se obtiene una arquitectura o mapa de indicadores de
TI que cubre todos los niveles de necesidad: cuadro de mando global de TI, cuadros
de mando de cada rea de TI (de desarrollo, del produccin de sistemas o del centro de
datos, del puesto de trabajo o microinformtica, etc.), los indicadores de objetivos
de los procesos y los indicadores de rendimiento de cada uno de los procesos. En la
figura 6.2.13 se muestra el contenido del documento de una arquitectura de mtricas.
Como parte de la arquitectura de mtricas se debe definir de forma detallada cada
indicador, que servir como base para su obtencin y clculo. La ficha contiene el
nombre del indicador, el cdigo asignado al indicador, la versin del indicador

Estructura de una arquitectura de mtricas


3 Alcance de la arquitectura.
3 Antecedentes en la organizacin.
3 Estrategia de la empresa. Objetivos de negocio
identificados.
3 Estrategia de TI. Objetivos de TI identificadas.
3 Alineacin de TI con el negocio. Matriz cruce
objetivos negocio frente a TI.
3 Estructuracin en capas de la arquitectura.
3 Mtricas de objetivos de TI (KGI-TI).
3 Mtricas de objetivos del rea del centro de datos o
sistemas (KGI-CPD).
3 Mtricas de objetivos del puesto de trabajo (KGI-PT).
3 Mtricas globales de desarrollo (KGI-DES).
3 Fichas detalladas de los indicadores.
3 Etc.

Figura 6.2.13. ndice ejemplo de una arquitectura de mtricas

260

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

(pues su definicin y clculo puede variar en el tiempo), proceso al que pertenece,


los valores mximos y mnimos esperados, la tendencia del indicador (es decir, si
debe ir al alza o a la baja), su valor de referencia, etc. En la figura 6.2.14 se muestra
la ficha tpica para la definicin de un indicador.
Ficha de definicin de indicadores
Nombre indicador
Cdigo

Proceso

Versin
Categora

Valor mx.

Periodicidad
Ind/KPI/KGI

Perspectiva

Valor mn.
(Norton y Kaplan)

Valor mn.

(Alza-Baja)

Descripcin del indicador


Especificacin
Justificacin
Audiencia

Responsable

Restricciones

Padres

(KPIs o KGIs a los que contribuye)

Fuentes de informacin

Hijos

(KPIs o KGIs que lo soportan)

Unidad de medida

Dominio

Valor objetivo

Valor de riesgo

Frmula

Fuente: Telefnica.

Figura 6.2.14. Ejemplo de ficha para la definicin de un indicador

La base de datos de indicadores y mediciones


Si la arquitectura de mtricas pone orden en la definicin de los indicadores a utilizar, se pone de manifiesto que es necesario organizar tambin todas las mediciones
realizadas. Para ello, se propone centralizar en una base de datos tanto la definicin
de los indicadores como el conjunto de mediciones que se realizan de cada uno de
ellos ya que, el volumen de estas mediciones, puede resultar muy elevado. En este
libro, al repositorio de mediciones se le ha denominado histrico de mediciones,

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

261

para resaltar el hecho de su utilidad para el anlisis de tendencias y de la necesidad


de conservar mediciones pasadas.
Alojar las fichas que definen los indicadores en una estructura de base de datos,
permitir incorporar fcilmente cualquier cambio en las fichas. Dado el alto volumen de indicadores gestionado en una organizacin madura, si las fichas alojan en
un archivo PowerPoint o Excel, incorporar un cambio en una ficha ser una autntica tortura de edicin.
As, la base de datos de indicadores y mediciones est formada por dos unidades
lgicas diferenciadas y relacionadas:
La definicin de indicadores, que aloja las fichas que definen cada uno de los
indicadores de la arquitectura de mtricas.
El histrico de mediciones, que almacena todas las mediciones en su detalle,
necesarias para los clculos de los valores de los indicadores y para los anlisis de tendencias que se necesiten.
Una aproximacin al diseo de la base de datos de indicadores y mediciones se
muestra en la figura 6.2.15.

Diseo de la base de datos de indicadores y mediciones


Ficha de definicin de indicadores

Cdigo indicador.
Nombre indicador.
Versin.
Categora.
Proceso.
Periodicidad.
Perspectiva.
Valor mximo.
Valor mnimo.
Tendencia.
Descripcin.
Especificacin.
Justificacin.

Responsable.
Padres.
Hijos.
Audiencia.
Restricciones.
Fuentes de
informacin.
Unidad de medida.
Dominio.
Valor objetivo.
Valor de riesgo.
Frmula.
Comentarios, etc.

Histrico de mediciones
Cdigo indicador.
Versin indicador.
Cdigo del elemento de
configuracin medido.
Marca de tiempo: fechahora-minuto-segundo.
Valor medido.
Etc.

Fuente: Telefnica.

Figura 6.2.15. Campos de la base de datos de indicadores y mediciones

262

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Los informes en TI
Una vez definida la arquitectura de mtricas e implementada la captura automatizada de los indicadores, se empezar a nutrir la base de datos de indicadores y
mediciones. En un lapso corto de tiempo, se podrn analizar las tendencias y el histrico de mediciones comenzar a engordar, para aportar toda su vala cuando
alcance la madurez al pasar un ao.
Una vez definidos y capturados los indicadores, la generacin de los informes es
una tarea sencilla, pero requiere de capacidad de anlisis, foco en la calidad de los
datos y una buena dosis de conocimientos estadsticos.
Despus de su definicin terica llega la vida real. Un indicador se calcula en base a
mltiples mediciones de los elementos de configuracin involucrados. Por ejemplo, el clculo de la disponibilidad, el indicador estrella y concepto sencillo de
entender por el negocio, se suele realizar en base a mediciones en intervalos (entre
1 y 5 minutos). Si la disponibilidad es de un elemento de infraestructura, las mediciones las facilitar la herramienta de monitorizacin local, si la disponibilidad es
de un servicio, se medir mediante un agente de navegacin desde un puesto
cliente. Adems, habr que recoger la disponibilidad en la franja horaria de cada
servicio (no es lo mismo que un surtidor de gasolina est inoperativo de madrugada a que lo est en plena actividad laboral), identificar las paradas planificadas,
calcular si es posible el impacto en el negocio de la no disponibilidad, y recoger, si
es factible, las causas de la indisponibilidad, etc. As, el indicador ya medido y tratado queda listo para ser incorporado en los diversos informes para su anlisis y
utilizacin por parte del solicitante o destinatario del informe. Debemos recordar
que todas estas actividades las realizar el proceso de gestin de la disponibilidad,
siguiendo las pautas y tutela del proceso de generacin de informes.
Dependiendo de la necesidad de la informacin a cubrir, los valores de un indicador se presentan en un informe de diversas maneras:
El valor en el perodo. Representado en forma numrica el valor en el perodo de medicin, como porcentaje, plazo de tiempo, cantidad, etc.
Un semforo, indicando si se han cumplido o no los niveles de servicio esperados en el intervalo de medicin. Representado, generalmente y por sencillez, en tres colores: rojo, naranja/amarillo y verde.
Su evolucin histrica a lo largo de das o meses. En este tipo de grfico se
muestra la tendencia del indicador. En la representacin grfica tambin
deberan aparecer los umbrales mnimo y mximo del indicador junto con
su evolucin en el tiempo.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

263

Comparativas histricas entre indicadores en un mismo grfico, para aquellos en los que haya una relacin entre ellos. Por ejemplo, la disponibilidad
diaria con el nmero de cambios o la disponibilidad horaria con la carga de
transacciones.
Visin de varios indicadores en un perodo, representados en una tabla de
valores, en un grfico de Kiviat en forma de estrella, etc.
Tendencia del indicador. De forma general, en ITIL se considera ms conveniente representar los indicadores no con el valor propio del perodo, sino
como una tendencia de crecimiento o decrecimiento en el perodo actual en
relacin a perodos anteriores a efectos de tomar decisiones de actuacin
(correccin y mejora). Por ejemplo, tradicionalmente se mide el volumen
de cambios rechazados. En el caso de ITIL se recomienda medir tambin el
porcentaje de disminucin de los cambios rechazados. Esta forma de
expresar los indicadores permite conocer la tendencia de mejora, pero puede
resultar poco intuitiva y farragosa si slo se observan los indicadores de tendencia, por lo que en este libro se ha optado por mostrar directamente el
valor del indicador en el perodo de medicin.
En relacin a los informes, la Norma ISO/IEC 20000-1 requiere que los mismos
estn identificados y que se verifique el cumplimiento de los requisitos y necesidades del negocio. Tambin establece los conceptos mnimos a cubrir en los
informes.

UNE-ISO/IEC 20000-1
Se debe describir claramente cada informe de servicio, incluyendo su identificador,
el propsito, la audiencia y los detalles del origen de los datos.
Los informes de servicio se deben generar para verificar si se cumplen los requisitos
y necesidades de los usuarios. Los informes de servicio deben incluir:
a) el rendimiento y comportamiento frente a los objetivos de nivel de servicio;
b) las no conformidades y problemas relacionados, por ejemplo con los SLA o
agujeros de seguridad;
c) las caractersticas de la carga de trabajo, por ejemplo volumen o utilizacin
de recursos;
d) los informes de los resultados de los principales eventos, por ejemplo los principales incidentes y cambios;

264

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

e) la informacin sobre tendencias;


f) el anlisis de satisfaccin.
Las decisiones de gestin y las acciones correctivas deben tener en cuenta los aspectos
destacados en los informes de servicio y deben comunicarse a las partes afectadas.

En la Norma ISO/IEC 20000-2 se desarrolla algo ms el propsito de los informes


del servicio, poniendo nfasis en su generacin a tiempo, en su claridad y en la fiabilidad de los datos contenidos. Adems, recomienda generar informes de varios
tipos: reactivos, proactivos y de planificacin de actividades.
UNE-ISO/IEC 20000-2
Propsito de los informes del servicio
y verificacin de su calidad

Se deberan generar distintos tipos de


informes:

Los informes de servicio se deberan


generar a tiempo, y ser claros, fiables y
concisos.

a) informes reactivos, que muestran


lo que ha ocurrido;

Se deberan adecuar a las necesidades


de quien lo recibe y ser suficientemente
precisos para poder ser utilizados como
herramienta de apoyo en la toma de
decisiones.
La presentacin debera ayudar a comprender los informes de forma que sean
fcilmente asimilables, por ejemplo
usando grficos.

b) informes proactivos, que avisen


por adelantado de eventos significativos con objeto de permitir que
se puedan realizar acciones preventivas (por ejemplo, informes
sobre inminentes rupturas de los
SLAs);
c) distribucin previa de informes
que muestren las actividades planificadas.

Tambin en la Norma ISO/IEC 20000-2 se vuelve a tratar el alcance que deberan


cubrir los informes del servicio.
UNE-ISO/IEC 20000-2
Informes de servicio
El proveedor del servicio debera generar
informes para los clientes y para la direccin, que cubran los siguientes aspectos:

a) comportamiento frente a objetivos


de nivel de servicio, por ejemplo
informes de cadas del servicio,
logros;

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

b) no conformidades frente a normas;


c) caractersticas de la carga de trabajo y volumen de la informacin,
por ejemplo incidentes, problemas, cambios y tareas, clasificacin, ubicacin, clientes, tendencias estacionales, combinacin de
prioridades, nmero de solicitudes de ayuda;
d) informes de resultados despus
de eventos de alto nivel, por
ejemplo cambios y entregas;

265

e) informacin de tendencias por


periodos (por ejemplo diaria,
semanal, mensual);
f) informes que incluyan informacin de cada proceso, por ejemplo nmero de incidentes y de
preguntas ms frecuentes, componentes de la infraestructura
poco fiables, tareas que consumen gran nmero de recursos
econmicos, tcnicos o humanos;
g) informes para destacar cargas de
trabajo futuras o planificadas.

Aunque en el apartado 6.2 de estas normas se refiere al trmino de informes del


servicio, en realidad, para cubrir sus requisitos y recomendaciones, se requiere desarrollar todo tipo de informes, tal y como se trata en este libro.
Las organizaciones con una excelencia en la gestin de TI, suelen generar una
buena cantidad de informes, necesarios tanto para la gestin como para la toma de
decisiones. Los principales informes son (ntese que en este libro se han incluido
como informes el panel de control y los informes instantneos, generados dinmicamente, ya que ambos son tambin una forma de mostrar los indicadores e informacin sobre TI y que sirven para la toma de decisiones):
El panel de control de TI. Informacin continua proporcionada por la monitorizacin en tiempo real y mostrada en las consolas de monitorizacin.
Los informes instantneos generados online y accesibles va web. Corresponden a consultas en vivo sobre los indicadores. El ejemplo ms significativo
de estos informes lo proporcionan las utilidades de navegacin sobre los servicios, que mezclan informacin de la CMDB y de la monitorizacin en
tiempo real.
Informes del servicio. Son los informes de gestin de TI por excelencia.
Aglutinan toda la informacin necesaria para gestionar las TI, en sus visiones diarias, semanales, mensuales, trimestrales y anuales.
Los cuadros de mando de TI. Que muestran, con la periodicidad que se haya
acordado o sea requerida, el estado de TI en base a una seleccin de los principales indicadores. En organizaciones grandes hay un cuadro de mando
general de TI y otros cuadros de mando especficos para cada rea: del puesto

266

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

de trabajo (microinformtica y red), del centro de datos (o explotacin de sistemas) y de desarrollo de aplicaciones.
Adems hay planes, documentos especficos que se genera en cada proceso
anualmente y que se actualizan mensual o trimestralmente (a lo largo de este
libro se describe el contenido de ellos), aunque el objeto de este proceso no
son esos planes y documentos, pero s la generacin de los informes para el
seguimiento de sus objetivos. De esta forma, se tiene una visin general de
toda la informacin generada para la gestin de TI. Entre ellos destacan:
El plan financiero de TI y sus informes peridicos.
El plan de capacidad y sus informes.
El plan de disponibilidad y sus informes.
El plan de continuidad de TI y los informes de las pruebas.
El plan de mejora unificado de los procesos y de los servicios, y los informes derivados de seguimiento.
El plan de proyectos o el informe de iniciativas estratgicas de transformacin y los informes para su seguimiento.
La lista de cambios planificados (FSC) y sus actualizaciones.
El informe sobre los problemas.
Otros informes especficos de cada proceso: seguridad, etc.
En la figura 6.2.16 se muestra la relacin de los principales informes en TI y su
contribucin a los aspectos reactivos, proactivos y de planificacin; tal y como
recomienda la Norma ISO/IEC 20000-2. Adems, se clasifican segn el mbito al
que vayan destinados: estratgico, tctico u operativo.
Segn la necesidad a cubrir, los informes se suelen generar con una periodicidad
diversa: anual (visin esttica, definicin objetivos), trimestral (grado de avance de
los grandes objetivos anuales), mensual (niveles de servicio, consecucin objetivos
mensuales), semanal (relativos a volumetras y niveles de servicio) e incluso diario
(eventos y actividades ocurridas en el da). En la figura 6.2.17 se muestra una aproximacin a la periodicidad en la generacin de los informes.
Como se ha sealado en la figura 6.2.17, los informes del servicio se pueden generar con diversa periodicidad y su contenido vara segn el perodo. As, se podrn
generar de forma diaria, semanal, mensual y anual:
Informe del servicio diario. Proporciona cierta informacin de la actividad ocurrida
en el da, como, por ejemplo, los incidentes graves, las peticiones de los usuarios ms

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

Figura 6.2.16. Clasificacin de los informes ms relevantes utilizados en TI

Figura 6.2.17. Periodicidad de los diversos informes en TI

267

268

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

destacadas, los cambios ms relevantes o los volmenes de actividad del da. Estos
informes son descriptivos de lo acontecido en el da y no suelen contener grficos de
indicadores.
Informe del servicio semanal. Proporciona informacin de lo ocurrido en la
semana y permite el control y planificacin semanal de la actividad. Contiene una
parte liviana de indicadores. Casi toda la informacin que contienen es descriptiva
de lo ocurrido en la semana: incidentes, cambios y actividad de TI. Suele incorporar tambin los valores de disponibilidad de la semana y la acumulada en el tramo
de mes transcurrido. La disponibilidad se presenta sobre los servicios crticos, con
el fin de tener un control ms detallado semana a semana de esta mtrica.
En la figura 6.2.18 se muestra un ejemplo de la estructura de estos informes del
servicio.

Estructura de una arquitectura de mtricas


Informe del servicio diario:
Fecha, cdigo de informe y responsable.
Descripcin de incidentes graves del da.
Peticiones relevantes de los usuarios (VIP).
Resultados de los cambios ejecutados en el da.
Informe del servicio semanal:
Fecha, cdigo de informe y responsable.
Descripcin de incidentes graves semana.
Peticiones relevantes de los usuarios (VIP).
Resultados de los cambios ejecutados en el da.
Actividades realizadas en la semana.
Actividades previstas para la semana prxima.
Disponibilidad de los servicios crticos acumulada en el mes.
Disponibilidad total acumulada en el mes.

Figura 6.2.18. ndice ejemplo de los informes diario y semanal del servicio

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

269

Informe del servicio mensual. Es el informe ms relevante para la gestin de TI.


Contiene toda la informacin necesaria para conocer y controlar el devenir de la
actividad. Suele constar de un resumen general y un resumen de cada parte relevante de TI que interese seguir mensualmente:
Resumen ejecutivo del mes.
Informe sobre la disponibilidad.
Informe sobre los incidentes y el anlisis causal asociado.
Anlisis de las peticiones de usuario realizadas.
Informe estadstico y descriptivo de los cambios.
Informe de los proyectos y las iniciativas de transformacin de TI.
Anlisis y volumetras de transacciones.
Resumen del estado presupuestario en el mes.
Variacin de la planta, descripcin de las capacidades de provisin, en lo relativo a la planta y en las capacidades de trabajo (sourcing).
Informacin resumen sobre el resultado del resto de procesos de gestin
TI, etc.
En la figura 6.2.19 se muestra un ejemplo del contenido del informe mensual
sobre el servicio de TI desde la perspectiva de la prestacin del servicio. Hay que
tener en cuenta que para el rea de desarrollo de aplicaciones la informacin a
tratar para su gestin sera otra muy distinta y origina otro modelo de informe.
El informe mensual comienza con una parte destinada al resumen ejecutivo, en la
que se reflejan los indicadores ms importantes para la gestin de TI, como por
ejemplo, la disponibilidad y tiempo de respuesta de los servicios; los tiempos de
resolucin y volumen de actividad de incidentes, peticiones de usuario y cambios; informacin sobre los proyectos del mbito de infraestructuras; resumen
del grado de cumplimiento presupuestario y la desviacin sobre las previsiones;
un conjunto de indicadores que aporten una visin sobre la calidad de los servicios y la eficiencia del trabajo; tambin es recomendable presentar una visin del
estado de la planta y la capacidad de trabajo disponible (medida mediante el indicador de personas trabajando a tiempo completo equivalentes o FTE (Full Time
Equivalent), que traduce a jornadas equivalentes de 8 horas el volumen de personal interno, de personal externo y de los servicios contratados); para cerrar el
resumen ejecutivo con un campo descriptivo que permita destacar los aspectos
ms relevantes del mes.

270

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Fuente: Telefnica.

Figura 6.2.19. Diseo ejemplo de un informe mensual sobre el servicio:


apartado especfico del resumen ejecutivo

Dentro del informe mensual del servicio (en la figura 6.2.20 se muestra un ejemplo), uno de los apartados ms relevantes es el relativo al anlisis de la disponibilidad de los servicios. En el ejemplo se muestran las cifras alcanzadas por cada uno
de los servicios en el mes, junto a una grfica de la evolucin mensual del indicador, representando tambin la disponibilidad de los servicios crticos. Como en
todos los informes, se deben comentar los aspectos ms destacados relativos al
asunto que se est tratando (disponibilidad, etc.) que hubieran ocurrido en el mes,
as como las acciones de mejora emprendidas.
Informe del servicio anual. Muestra un resumen consolidado de la actividad y las
cifras del ao. Suele mantener la estructura de un informe mensual conteniendo
valores referentes al ao.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

271

Fuente: Telefnica.

Figura 6.2.20. Diseo ejemplo de un informe mensual sobre el servicio:


apartado de disponibilidad de los servicios

Mtricas propias del proceso de gestin de informes


El propio proceso de generacin de informes del servicio tiene sus mtricas especficas que informan sobre su funcionamiento.
Como se indica en el objetivo del proceso, los informes de servicio se debern
generar a tiempo, y ser claros, fiables y concisos. Las mtricas del proceso monitorizarn el cumplimiento de estos objetivos, se medir la generacin y entrega en
plazo y sern fiables. Algunas mtricas relevantes del proceso pueden ser:
Porcentaje de incumplimientos de SLA debido a que los informes no se han
entregado en el plazo o con la calidad acordada.
El porcentaje de los informes entregados en plazo.

272

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La calidad del dato en los informes, medida como el porcentaje de errores


medio por informe.
La tasa de indicadores definidos en la arquitectura de mtricas que de verdad
se estn midiendo.
El grado de automatizacin en la obtencin de las mediciones de los indicadores, que permitir conocer cuantos indicadores se obtienen de forma completamente automtica sin requerir el tratamiento humano.
La cantidad de indicadores medidos.
La cantidad de informes generados.
El coste medio de toda la actividad de medicin dividido entre el nmero de
indicadores, nos dar una idea del esfuerzo que se est realizando en la
obtencin de mediciones.
El coste medio por informe generado.
En el grfico de la figura 6.2.21 se muestra un resumen de los indicadores ms relevantes para este proceso.

Mtricas principales del proceso

Figura 6.2.21. Mtricas principales para el proceso

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

273

Roles participantes en generacin de informes de


servicio
Dado que la generacin de informes es una actividad considerada no grata por las
reas tcnicas, tiene todo su sentido plantearla como una actividad con dedicacin
especfica centralizada comn para todo TI, que desde un punto central se recopile
toda la informacin y se generen los informes, o por lo menos los ms generalistas
(informes del servicio o cuadros de mando), dejando los informes especializados
(informe financiero de TI, informe de capacidad, etc.) a cada proceso.
Aunque la generacin de informes se centraliza en un proceso, se necesita la participacin de los otros procesos y reas de TI de cara a incorporar las mtricas y
medidas, y la interpretacin y anlisis de la informacin presentada.
Los roles propios del proceso son:
El gestor del proceso de generacin de informes (gestor del proceso o process
manager). Es responsable de la operacin diaria del proceso de generacin de
informes. Vela tanto por la definicin de la arquitectura de mtricas como por
la ejecucin de los informes en plazo y con calidad. Adems, no slo debe gestionar la generacin de los informes, sino que tambin debe conocer en detalle
y de memoria las principales cifras de su organizacin y los ratios equivalentes del mercado, de tal forma que pueda asesorar a la direccin de TI y a los
clientes sobre los indicadores ms adecuados, sus valores actuales y los de referencia. Se relaciona con el resto de responsables de proceso y de las reas para
conseguir que los informes contengan informacin til para ellos. Tambin
se encarga de que los informes se utilicen en la gestin y gobierno de TI.
En lo relativo a la etapa de definicin de la arquitectura de mtricas, los roles
adicionales al gestor del proceso son:
El consultor de mtricas que define la arquitectura de mtricas, alineando
los indicadores con los objetivos de TI y del negocio. Adems debe definir
en detalle las fichas de los indicadores.
El tcnico encargado de la definicin y creacin de la base de datos de
indicadores y mediciones.
El tcnico de implantacin de las herramientas de monitorizacin en lo
relativo a la captura automatizada de los valores y su carga en la base de
datos de indicadores y mediciones.
En lo relativo a la generacin de los informes, los roles adicionales al gestor
del proceso son:

274

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El responsable de generacin de los informes (incluidos los cuadros de


mando), que vela por la calidad de la informacin y para que los informes
se generen a tiempo. Conoce en detalle todos los indicadores y ratios de
TI. Se encarga de que los informes sean conocidos y utilizables por las
reas destinatarias.
El tcnico de implantacin de las herramientas de cuadro de mando, de
acceso web al repositorio de informes, de generacin de informes online y
de la navegacin grfica sobre los componentes de un servicio.
En este mbito, tambin se suelen incluir perfiles estadsticos para el ajuste
y anlisis de tendencias a efectos de garantizar la exactitud del dato y la
usabilidad del mismo, no siendo su cometido el anlisis de la informacin,
ya que esto corresponde a los destinatarios y solicitantes (generalmente el
resto de procesos de TI).
Los administradores o el personal de soporte al proceso. Personal que contribuye en organizar la actividad, preparar los informes, etc.
Los roles ajenos que son relevantes en este proceso son:
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados. Aporta las necesidades de informacin, indicadores e informes necesarios para la gestin del servicio. Revisa y valida los
valores e informacin contenidos en los informes.
El responsable de la gestin de nivel de servicio, que especifica los niveles de
servicio que se van a medir y contemplar en los informes. Adems, revisa y
contrasta los valores de su competencia incluidos en los informes.
El responsable de las relaciones con el negocio, que participa en la definicin
de los informes que necesita entregar a sus clientes.
Los responsables del resto de los procesos, pues especifican los indicadores y
necesidades de informes, o bien, los generan ellos mismos (por ejemplo, el
informe de capacidad o el informe financiero).
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define el proceso y vela por el cumplimiento y actividades del
proceso, y se encarga de la mejora continua del mismo.
Los roles de mayor relevancia que participan en la generacin de informes de servicios se representan en la figura 6.2.22.

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

275

Roles del proceso

Responsable de la
gestin del servicio

Gestor del
proceso de informes
Consultor
de mtricas

Gestores de otros
procesos y reas TI
SGSTI

Responsable de generacin
de los informes

Propietario del
modelo (SGSTI)

Especialistas en el
diseo del servicio

Administrador y
soporte del proceso

Figura 6.2.22. Roles del proceso de generacin de informes del servicio

Resumen
Los indicadores e informes son una necesidad innegable en una gestin con calidad de TI, pero su generacin ha sido siempre una de las asignaturas pendientes de
las organizaciones, muy centradas en la tecnologa y el da a da, y poco en el
gobierno y la gestin.
El proceso de generacin de informes de servicio centraliza las arduas actividades de recopilacin de indicadores e informacin, para generar unos informes
con la calidad del dato contrastada, en los plazos convenidos y con la mxima
eficiencia.

276

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Aunque en las Normas ISO/IEC 20000 los requisitos para el proceso son ms
reducidos, en este apartado se han desarrollado en toda su amplitud, con el fin de
llevar a las organizaciones de TI a la excelencia.
La generacin de informes pasa por la definicin de una poltica de informes, que
marque las directrices a cumplir en cuanto al suministro de informacin.
Un segundo paso recomendado, es la creacin de una arquitectura de mtricas, que
defina y estructure los indicadores a medir, poniendo orden y posibilitando la continuidad en las mediciones.
Las organizaciones situadas en las mejores prcticas, disponen de una base de datos
centralizada (o bien federada) en la que incorporan las definiciones de los indicadores y todos los histricos de las mediciones.
Los principales informes de TI van ms all de representar nicamente cifras sobre
cumplimiento de los niveles de servicio. El alcance de los informes abarca todo tipo
de informacin analtica y descriptiva. Tambin se considera dentro del alcance a la
informacin mostrada en vivo. As, los principales informes son:
Informes del servicio: diarios, semanales, mensuales y anuales.
Cuadros de mando de TI.
Informe financiero de TI.
Informe de capacidad.
Informe de disponibilidad.
Informe de continuidad de TI.
Informe de mejora global: SIP + procesos.
Informe de cada proceso.
Lista de cambios planificados (FSC).
Informes de proyectos e iniciativas estratgicas.
Informe de problemas.
Tambin se consideran dentro del alcance del proceso los paneles de control, con
grficas que muestran en tiempo real el estado de los servicios y las infraestructuras, as como, los informes generados de forma instantnea (por ejemplo, va web).
Para poder tratar el ingente volumen de datos, es necesaria la mxima automatizacin, desde la captura de las mediciones mediante las herramientas de monitoriza-

6. Procesos de provisin de servicio


6.2. Generacin de informes del servicio

277

cin, pasando por la carga a la base de datos referida anteriormente, hasta llegar a
la generacin instantnea (online) de los informes.
La fiabilidad y la calidad de los datos son esenciales para que los informes sean de
utilidad.
Muchos de los informes contienen tambin tendencias, descripciones y anlisis de
las actividades y sucesos ocurridos en el perodo.

Beneficios
Los principales beneficios aportados por el proceso de generacin de informes son:
La centralizacin de la generacin de informes en un proceso facilita la especializacin, y permite al resto de procesos y reas de TI centrarse en sus
cometidos.
Los informes y las mtricas se disean y gestionan de forma comn.
Los informes se planifican con una visin comn de las necesidades de TI y
de los clientes, lo que permite ms claridad y concisin. Adems se ofrece
una visin ms homognea sobre toda la actividad de TI.
Cada rea recibe los informes que necesita y con la periodicidad acordada.
Es ms fcil garantizar que la informacin es fiable. Existe un responsable de
cada dato y de cada informe.
El diseo comn por especialistas facilita que la informacin sea ms clara y
entendible por los destinatarios.
Se centralizan en un punto todos los indicadores y todas sus mediciones.
Con lo cual, cualquier cambio o nuevo informe ser ms fcil de implementar, al tener la informacin histrica registrada.
La centralizacin facilita la creacin una plataforma comn para la generacin y difusin de los informes. Adems, la dedicacin especfica a esta actividad aumenta la productividad en la generacin de informes.
La organizacin de TI conoce los resultados de su trabajo, con claridad y a
tiempo. Por tanto, mejora su motivacin.
La comunicacin e informacin clara y a tiempo permite mejorar la satisfaccin de los clientes.

278

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cules son los 10 indicadores principales que se utilizan en su organizacin
Enumere los informes generados en un ao en el mbito de TI en su
organizacin
Qu aporta los marcos de ITIL y COBIT a los indicadores e informes?

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

279

6.3. Gestin de la continuidad y disponibilidad


del servicio

Figura 6.3.1. Esquema general del proceso de la gestin de


la disponibilidad y de la continuidad

Bienvenido al astro rey de la informtica, la piedra angular sobre la que gravita la


actividad de TI: la disponibilidad! Es absolutamente importante y adems est
continuamente en boca de todos, tanto en la direccin de TI como en el negocio.
Situacin que ya de partida es un mal augurio, tanta preocupacin de los clientes
por ella viene a resaltar que los servicios prestados fallan y fallan, escenario generalizado en una industria que no acaba de alcanzar la madurez necesaria (vase la
figura 6.3.1).
Los servicios en TI deberan estar operativos cuando los necesite el negocio y de la
manera que los necesite. Pero la realidad en TI es bien distinta, y se est lejos de ofrecer unos servicios tan omnipresentes que sus fallos y cadas se pierdan en la memoria
de los tiempos. Hasta que se alcance ese paraso, la disponibilidad seguir saltando
ms all de los mbitos tcnicos, para continuar siendo el centro de las preocupaciones de la direccin de la empresa cuando piensa en los sistemas de informacin.
Emulando la pirmide de necesidades del ser humano definida por Maslow, la disponibilidad de los servicios se situara en la base, en las necesidades fsicas primarias

280

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

de TI, sin la cual no se puede sobrevivir. Para el negocio, la disponibilidad de los


servicios es como el aire que respiramos. No es extrao, ya que una no disponibilidad en algn servicio implica que alguien en la empresa no puede hacer su trabajo,
que se quede parado o incluso que se estn perdiendo clientes.
De forma paralela al concepto de la disponibilidad cotidiana de los servicios, aparece la necesidad de garantizar que los servicios se puedan seguir utilizando despus de un evento catastrfico. As, resurge el antiguo concepto de continuidad de
los servicios de TI, tan ignorado o postergado en muchas organizaciones de TI, y
hasta tal punto denostado, que en muchos sectores crticos (por ejemplo, el financiero) ha sido necesaria la legislacin gubernamental para garantizar a la sociedad
la supervivencia de sus servicios y de la informacin asociada.
Las mejores prcticas existentes, conscientes de la realidad imperfecta de esta industria, no aspiran a la perfeccin. Centran el foco en que los servicios se diseen para
cumplir lo pactado con los clientes en los acuerdos de nivel de servicio (SLA). As,
todas las medidas para garantizar la disponibilidad y continuidad deben estar alineadas con estos SLA.
Pero adems, TI tiene la obligacin de compararse con el segmento de mercado al
que se equipara, con el que compite la empresa, para garantizar que los niveles de
servicio que ofrece y acuerda con su negocio sean parejos o superiores a los de la
competencia.
De forma simplificada, se puede decir que la disponibilidad tiene como objetivo
garantizar que los servicios requeridos por el negocio son prestados cundo y cmo
se necesitan bajo condiciones normales, mientras que la continuidad se encarga de
garantizar la persistencia de los servicios ante condiciones extraordinarias (fuego,
inundaciones, terrorismo, sabotajes, etc.).
Sintetizando estos conceptos en una sola palabra, se puede decir que la gestin de
la disponibilidad es sinnimo de fiabilidad, mientras que la gestin de la continuidad es sinnimo de supervivencia.
En relacin a la causa que origina la perturbacin la disponibilidad y la continuidad son fcilmente separables, pero ambas tienen muchas disciplinas comunes: la
identificacin de las funciones vitales de negocio, el anlisis de riesgos, el trabajo en
base a planes, etc. Por eso, las Normas ISO/IEC 20000 las unifican en un slo proceso, en cambio, en ITIL son tratados como dos procesos independientes (libro
Diseo del Servicio, proceso de gestin de la disponibilidad y proceso de gestin de
la continuidad de TI).
En este apartado se respeta la unificacin de procesos realizada en ISO/IEC 20000,
pero se explican las buenas prcticas de forma diferenciada, identificando las disciplinas comunes y las formas de trabajo muy distintas en cada uno.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

281

En la figura 6.3.2 se muestra una visin introductoria al proceso de gestin de la


disponibilidad y continuidad del servicio de TI.

Proceso de gestin de la
disponibilidad y continuidad
Definicin:

Qu aporta:
Un plan de disponibilidad orientado
a mejorar la disponibilidad general.
Toma de conciencia sobre los
servicios crticos para el negocio.

Proceso responsable de ofrecer unos


niveles de disponibilidad adecuados
a las necesidades de los clientes y
unos niveles de funcionamiento
acordados tras una contingencia.

Garantizar que se pueden satisfacer


las necesidades de disponibilidad
actuales y futuras.

Objetivo:

Minimizar la interrupcin de las


actividades de negocio.

Asegurar que los compromisos de


continuidad y disponibilidad acordados
con los clientes pueden cumplirse bajo
todas las circunstancias.

Conseguir reducir la frecuencia y


la duracin de las incidentes que
quebranten la disponibilidad.

Un plan de continuidad para prevenir,


detectar, preparar y mitigar los
efectos de los desastres.

Figura 6.3.2. Introduccin al proceso de gestin de la disponibilidad y continuidad

Segn establecen las Normas ISO/IEC 20000, el objetivo de la disponibilidad y


continuidad es asegurar que los compromisos de continuidad y disponibilidad
acordados con los clientes pueden cumplirse bajo todas las circunstancias.
La disponibilidad se centra en:
Desarrollar el plan de disponibilidad de TI, para cumplir con los requisitos
del cliente y alineado con el mercado.
Reducir los tiempos de mantenimiento y no disponibilidad.
Promover una actitud proactiva para reducir la frecuencia y duracin de los
fallos informticos.
La continuidad se articula en torno a:
El desarrollo y actualizacin del plan de continuidad de TI, acorde con la
estrategia y el plan de continuidad del negocio.

282

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Minimizar la interrupcin de las actividades de negocio tras un desastre.


Reducir la vulnerabilidad mediante un eficaz anlisis y gestin de riesgos.
Como se muestra en la figura 6.3.3, una arquitectura robusta, el conocimiento tcnico y la constancia son los principios bsicos en los que fundamentar la gestin de
la disponibilidad y continuidad.

Figura 6.3.3. Principios bsicos de la gestin de la disponibilidad y continuidad

La combinacin adecuada de estos tres principios permite establecer y gestionar de


manera eficaz este proceso.
El factor principal de xito de la disponibilidad y la continuidad es un diseo adecuado de la tecnologa en la que se basan los servicios. As, resulta esencial la definicin de unas directrices tcnicas para la construccin de las aplicaciones y de una
arquitectura para las plataformas tecnolgicas, con la redundancia y replicacin en
remoto necesarias para garantizar los niveles de servicio comprometidos.
El conocimiento tcnico permitir realizar el diseo de las soluciones tcnicas, pues
la disponibilidad y la continuidad son elementos que se conciben en el momento
en que se crea el servicio. Participa tambin en el anlisis proactivo de riesgos y
forense de incidentes, para establecer las soluciones adecuadas. El componente tcnico es importante en este proceso.
Ms all del empuje inicial para definir e implantar los planes de disponibilidad y
de continuidad, es necesario mantener una constancia diaria para conseguir que se

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

283

lleven a cabo las tareas definidas, muchas de ellas, con una visin a futuro que compite con las prisas y sobrecarga que conlleva el da a da de los servicios.
Como es normal, las Normas ISO/IEC 20000 no definen una estructuracin de las
actividades que se deben realizar. Por eso, en este apartado se detalla el proceso
tomando como base la estructura para la gestin de la continuidad de cuatro bloques utilizada en ITIL v2:
Inicio o implementacin del proceso.
Definicin de los requerimientos y de la estrategia a seguir en el proceso.
Implementacin de las soluciones.
Gestin operativa del proceso.
Sobre estos bloques se detallan las actividades que se deben realizar y se aade un
quinto con las actividades de mejora del proceso, tpicas de estas normas.
En la figura 6.3.4 se muestran las diversas estructuras que se dan al proceso de gestin de la disponibilidad en las versiones 2 y 3 de ITIL. Aunque las agrupaciones y
denominacin de las actividades difieren, el concepto de fondo en el proceso es
siempre el mismo.
En ITIL v2 la disponibilidad se estructura
en dos reas: planificar y supervisar

En ITIL v3 la disponibilidad se agrupa


en dos bloques: reactivas y proactivas

Disponibilidad en ITIL v2

Disponibilidad en ITIL v3

Planificar:
Determinar requisitos.
Disear para la disponibilidad.
Disear para la recuperacin.
Verificar la seguridad.
Planificar paradas.
Obtener y mantener el plan de disponibilidad.
Supervisar:

Actividades reactivas:
Monitorizacin, medicin, anlisis de informes,
revisin del servicio y disponibilidad de los componentes.
Investigacin indisponibilidad de todos los servicios y componentes, e impulsar soluciones.
Actividades proactivas:
Evaluacin y gestin del riesgo.

Establecer mtricas e informes.

Planificacin y diseo para servicios nuevos o


modificados.

Monitorizar y analizar tendencias.

Implementar contramedidas justificadas en costes.

Revisar la disponibilidad.

Revisin de todos los servicios, nuevos y modificados, prueba de la disponibilidad y mecanismos


de resistencia.

Investigar la indisponibilidad.
Mejorar la disponibilidad.

Figura 6.3.4. Diferentes aproximaciones a la disponibilidad en ITIL

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

284

Si bien la disponibilidad se trata bajo dos agrupaciones de actividades distintas en


las dos versiones de ITIL, en la gestin de la continuidad se ha seguido una misma
estructura de 4 bloques. Las actividades contempladas son similares, pero enunciadas de forma distinta, como se muestra en la figura 6.3.5. En las dos versiones de
ITIL no vara un pice el objetivo y espritu de estos procesos.
Continuidad en ITIL v2

Inicio:

Continuidad en ITIL v3

Inicio:

Definir poltica continuidad.

Fijar poltica continuidad.

mbito de la continuidad.

mbito de la continuidad.

Definicin e inicio proyecto continuidad.

Inicio del proyecto continuidad.

Requerimientos y estrategia:

Requerimientos y estrategia:

Anlisis impacto en el negocio.

Anlisis impacto en el negocio.

Evaluacin del riesgo.

Evaluacin de riesgos.

Definicin estrategia continuidad negocio.

Definicin estrategia continuidad de TI.

Implementacin:

Implementacin:

Organizacin y planificacin implementacin.

Desarrollo planes continuidad de servicios TI.

Desarrollo planes de recuperacin.


Implementar medidas de reserva.

Desarrollo planes TI, planes recuperacin y


procedimientos.

Implementar medidas reduccin del riesgo.

Planificacin de la organizacin.

Desarrollar los procedimientos.

Prueba de la estrategia.

Pruebas iniciales.
Gestin operativa:

Gestin operativa:
Educacin, concienciacin y formacin.

Educacin y concienciacin.

Revisin y auditora.

Revisin y auditora.

Pruebas.

Pruebas.

Gestin de cambios.

Control de cambios.

Invocacin

Formacin.
Aseguramiento.

Figura 6.3.5. Estructura bastante similar de las actividades de continuidad


en las dos versiones de ITIL

La gestin de la disponibilidad y continuidad utilizan un entorno muy rico y


maduro de tcnicas y componentes. Para el anlisis de los riesgos se utilizan disciplinas compartidas con la seguridad, realizando la identificacin de las funciones
que son vitales para el negocio y el anlisis de impacto de las amenazas. Tambin se

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

285

aplican las metodologas de gestin de riesgos, se identifican los requisitos del


negocio y se establecen las directrices de diseo y arquitecturas. La implementacin se articula en torno a planes que se revisan de forma peridica. Se realizan
pruebas, para garantizar su correcto funcionamiento. Los mecanismos principales
utilizados en este proceso para alcanzar sus objetivos, se muestran en la figura 6.3.6
agrupados en funcin de cada una de las etapas.

Figura 6.3.6. Elementos del proceso de gestin de la disponibilidad y de la continuidad

Los elementos principales que integran el proceso de gestin de la disponibilidad y


de la continuidad son:
Conceptos bsicos. El proceso trata con los siguientes conceptos bsicos:
Continuidad. Capacidad de seguir prestando los servicios del negocio o de
TI despus de un desastre.

286

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Disponibilidad. Perodo en que una funcin est plenamente utilizable por


los usuarios. Se distingue entre disponibilidad del componente (analizado
como elemento tcnico aislado) y la disponibilidad del servicio (como un conjunto de elementos de configuracin que presta una funcionalidad al negocio).
Fiabilidad. La fiabilidad de un servicio o componente se entiende como lo
fidedigno que es o lo libre que est de fallos (mide la frecuencia entre fallos).
Mantenibilidad. Viene a representar facilidad con que puede ser reparado o
devuelto a su estado normal de funcionamiento a un componente de la
infraestructura. Normalmente realizado por personal interno.
Serviciabilidad. Indicador del nivel y calidad del mantenimiento proporcionado por terceros (mantenibilidad proporcionado por terceros).
Seguridad. La confidencialidad, integridad y disponibilidad de los datos relacionados con un servicio; se trata de un aspecto de disponibilidad general.
Anlisis del rbol de fallos (FTA, Fault Tree Analysis). Mtodo de anlisis de los
sucesos ocurridos en un servicio para determinar la causa una interrupcin de
los servicios de TI. Se representa una cadena de sucesos en un esquema en forma
de rbol booleano.
Anlisis de impacto en el negocio (BIA, Business Impact Analysis). Anlisis del
impacto que tendran los riesgos en la actividad de la empresa u organizacin, si se
produjera la parada de una funcin de negocio. Permite identificar y ponderar cules son las funciones de negocio vitales que debern protegerse mediante la disponibilidad, la continuidad y la seguridad. Este anlisis es fundamental para el desarrollo de las actividades de estos procesos.
Anlisis del impacto por el fallo de un componente (CFIA, Component Failure
Impact Analysis). Predecir y estimar el impacto sobre la disponibilidad del servicio
derivada de los fallos de los componentes incluidos en la infraestructura de TI y del
diseo del servicio propuesto. El CFIA de los componentes permitir identificar
los componentes ms dbiles (vulnerabilidad y amplitud del impacto) que requieren establecimiento de contramedidas de refuerzo.
Anlisis de las paradas del servicio (SOA, Service Outage Analysis). Anlisis a
posteriori de las causas de las cadas de un servicio, con el fin de reducir la frecuencia y duracin de las paradas. De forma similar se utiliza el trmino SFA (Service
Failure Analysis). Toma como fuente de informacin los incidentes ocurridos, para
realizar un anlisis forense de cara a mejorar la disponibilidad.
Arquitectura de disponibilidad. Definicin tecnolgica que establece la forma
homognea de construir servicios en la organizacin para que se cumplan los requisitos de disponibilidad. Esta arquitectura establece la redundancia de componentes,

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

287

el balanceo de carga y otros aspectos que refuercen la robustez y escalabilidad de


los servicios. Normalmente la arquitectura contempla varias soluciones: unas para los
servicios ms crticos y ms demandantes de disponibilidad, y otras para los menos
crticos. La arquitectura define primero y desarrolla despus las especificaciones tcnicas. Se recomienda que, a partir de la arquitectura se construyan plataformas tcnicas que alojen los servicios. As, cada nuevo servicio no requerir la compra de nuevo
equipamiento, sino que se incorporar a la plataforma previamente preparada. De
esta forma se facilita la consolidacin de la infraestructura y su virtualizacin.
Arquitectura de continuidad. De forma similar y sincronizada con la arquitectura
de disponibilidad, en este caso se define la solucin tcnica para que los servicios se
puedan recuperar en caso de desastre. Debe contemplar varios tipos de soluciones
para cada una de las necesidades de recuperacin de los servicios (definidas segn
la criticidad de los mismos). Esta arquitectura proporciona las especificaciones tcnicas para implementar las opciones de recuperacin, como por ejemplo, la recuperacin inmediata (conocida normalmente como mirroring), la recuperacin rpida
(aunque conocida como hot standby), la recuperacin intermedia (warm standby), la
recuperacin gradual (cold standby), acuerdos recprocos o soluciones manuales.
Ciclo de vida expandido del incidente. Detalle que se realiza sobre las diversas
fases en las que se descompone un incidente, con el fin de poder medir cada una de
ellas y determinar acciones correctoras para mejorar su resolucin.
Clientes. Son los destinatarios o usuarios de los servicios. Expresan sus necesidades de disponibilidad y continuidad en los contratos y SLA.
CRAMM (CCTA, Risk Analysis Methodology Management). Mtodo creado en
1987 por la Agencia Central de Procesamiento de Datos del Reino Unido (CCTA)
para identificar los riesgos y establecer las contramedidas justificadas con el fin de
reducir o eliminar las amenazas de tales riesgos. La evaluacin de riesgos se divide
en tres etapas, las dos primeras identifican y analizan los riesgos en los servicios, y
la tercera recomienda cmo se deben gestionar estos riesgos. El mtodo CRAMM
es uno de los ms utilizados en la evaluacin de riesgos para la continuidad, pero
tambin es vlido para analizar los aspectos de la disponibilidad.
Diseo para la disponibilidad y continuidad. Conjunto directrices tcnicas para
que la construccin de los servicios tenga la robustez necesaria para cumplir los
requisitos de disponibilidad y continuidad establecidos. El diseo debera llevar a
la definicin de una arquitectura detallada, que posteriormente se debera implementar como plataforma consolidada que aloje los servicios.
Evaluacin de riesgos. Se trata de una actividad que contextualiza los servicios en
el entorno en que stos van a ser prestados. Proporciona informacin relativa a las
amenazas y vulnerabilidades que pueden afectar a los servicios, as como, la probabilidad de que ocurran. El riesgo es funcin de la amenaza (probabilidad de que

288

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

ocurra el suceso) y de la vulnerabilidad de los servicios al mismo. La evaluacin de


riesgos se puede realizar bajo varias perspectivas, dependiendo del proceso que lo
realice, para asegurar la disponibilidad de los sistemas (foco en fallos cotidianos), la
continuidad (foco en contingencias severas) o en la seguridad (foco en la malicia
humana).
Elemento de configuracin. La infraestructura de TI con la que se presta el servicio es la base sobre la que se articula y monitoriza tanto la disponibilidad, mediante
el seguimiento de la disponibilidad de cada uno de los componentes, como la continuidad, mediante los correspondientes planes. Todo ello teniendo en cuenta las
necesidades del negocio pactadas con los clientes y reflejadas en los SLA.
Funcin vital de negocio (VBF, Vital Business Function). Se utiliza el trmino
funcin vital de negocio para reflejar el conjunto de actividades sin las cuales el
negocio no se sustenta o se producen cuantiosas prdidas. Normalmente se obtienen como resultado del anlisis del impacto en el negocio (BIA) de los riesgos. El
foco se centra en aquellas VBF que se sustentan en servicios de TI.
Gestin de la disponibilidad de TI (AM, Availability Management). Proceso que
gestiona todos los aspectos para poder garantizar los niveles de disponibilidad pactados por TI con los clientes.
Gestin de la continuidad del negocio (BCM, Business Continuity Management).
Conjunto de acciones y actividades en la empresa u organizacin destinadas a
garantizar la supervivencia del negocio en el caso de que ocurra una catstrofe. Su
mbito es toda la actividad, departamentos de la empresa y procesos de negocio.
Gestin de la continuidad del servicio de TI (ITSCM, IT Service Continuity
Management). Proceso especfico en el mbito de TI, que garantiza la supervivencia de los servicios de TI y de la informacin que contienen. Forma parte de la continuidad de negocio y desarrolla la continuidad especfica en TI.
Informes de cumplimiento de planes. Evidencian el grado de ajuste entre lo
recogido en los planes y la realidad. En caso de desviacin, analizan las circunstancias que han llevado a esa situacin.
M_o_R (Management of Risk). Metodologa para la gestin de los riesgos propuesta en ITIL v3, similar a CRAMM. Est estructurada en 5 etapas: polticas,
aproximacin, proceso, institucionalizar y revisar, y comunicar.
Plan de continuidad de los servicios de TI (ITSCP, IT Service Continuity Plan).
Su elaboracin es el eje central que articula todas a las acciones de continuidad. Se
elabora como parte del plan de continuidad del negocio.
Plan o planes de recuperacin de los servicios de TI. Forman parte del ITSCP y
contienen todos los detalles para actuar en el caso de desastre, realizar la recupera-

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

289

cin de los servicios, las infraestructuras, las telecomunicaciones, la alimentacin


elctrica, los servidores, etc.
Plan de disponibilidad. Recoge las polticas, requisitos, directrices y toda
la informacin necesaria para implementar y gestionar la disponibilidad de los
servicios. Es el documento sobre el que se articula la implantacin de la disponibilidad.
Plan de paradas planificadas (PSO, Projected Service Outage). Documento que
refleja los intervalos en los que los servicios se pueden parar con fines de mantenimiento o de cambio. Sirve como entrada para los requisitos del diseo, para los
acuerdos con los clientes, para la planificacin de los cambios, etc.
Porcentaje de disponibilidad. Tiempo en el que los servicios han podido ser utilizados frente al tiempo total que los servicios deberan haber estado operativos. Es
la mtrica de TI por excelencia.
Punto nico de fallo (SPOF, Single Point Of Failure). Tcnica para identificar elementos no redundados que, en caso de fallar, produciran una cada del componente o del servicio.
Requisitos de continuidad. Establecidos en la estrategia de TI y concretados en
los acuerdos de nivel de servicio con los clientes, son relativos a la continuidad
a cumplir por los servicios. En los requisitos de continuidad, para cada servicio,
se definen dos parmetros esenciales necesarios en el diseo de las soluciones: el
punto de recuperacin (RPO, Recovery Point Objective) y el tiempo de recuperacin
(RTO, Recovery Time Objective).
Requisitos de disponibilidad. Establecidos en la estrategia de TI y concretados
en los acuerdos de nivel de servicio con los clientes relativos a los niveles de disponibilidad a cumplir. Establecen el porcentaje de disponibilidad de los servicios, los
tiempos de respuesta, los horarios del servicio, etc.
RPO (Recovery Point Objective) o punto objetivo de recuperacin. Representa la
prdida de informacin mxima que el negocio est dispuesto a asumir en un servicio despus de un desastre.
RTO (Recovery Time Objective) o plazo objetivo de recuperacin. Tiempo mximo
en el que se debe recuperar un servicio tras un desastre.
Tiempo de respuesta. Lapso de tiempo en que tarda un servicio online en responder al usuario. Un tiempo de respuesta por encima de los lmites se considera indisponibilidad del servicio. Se pactan con los clientes. En sistemas transaccionales
rabiosos o crticos se considera que debe estar por debajo de los 3 segundos, en
pginas web en Internet el usuario est acostumbrado y da por bueno tiempos
de espera superiores, llegando en algunos casos a superar los 10 segundos.

290

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Entradas, actividades y salidas de la gestin de la


disponibilidad
La gestin de la disponibilidad se encarga de garantizar que los servicios son capaces de cumplir los requisitos de disponibilidad y tiempo de respuesta que se han
pactado con el negocio. Sus actividades se pueden considerar divididas en dos grandes grupos: uno primero destinado a planificar e implementar las soluciones de disponibilidad y, un segundo, que realiza la gestin operativa de la misma.
En el esquema de la figura 6.3.7 se muestran las entradas, actividades y salidas de
la gestin de la disponibilidad. Las actividades de disponibilidad y continuidad se

DISPONIBILIDAD
Entradas
Desencadenantes
del proceso:
Peticin de la direccin.
Negociacin de un SLA.
Incumplimiento
disponibilidad.
Fecha revisin del plan
disponibilidad.
Entradas de soporte:
Riesgos.
SLA firmados.
Informacin de
incidentes y problemas.
Datos de monitorizacin .
RFC.
CMDB.

Actividades
3 Inicio:

Salidas
Salidas principales:

Poltica disponibilidad.

Plan de disponibilidad.

Definicin e inicio proyecto.

Funciones vitales del


negocio-VBF.

3 Requerimientos y estrategia:
Evaluacin de riesgos.
Determinar requisitos.
3 Implementacin:
Disear para la disponibilidad.
Disear para la recuperacin.

Directrices de diseo
de la disponibilidad y
arquitectura.
Informes de
seguimiento de
disponibilidad.

Verificar la seguridad.

Salidas secundarias:

Planificar las paradas.

Requisitos de
monitorizacin.

Generar el plan de
disponibilidad.
3 Gestin operativa:

Plan paradas
planificadas-PSO.

Supervisar la disponibilidad.

Resultados anlisis de
riesgos.

Investigar y mejorar
disponibilidad.

Resultados tcnicos
investigacin incidentes.

Actualizar plan de
disponibilidad.
3 Mejora del proceso

Fuente: e.p. y Telefnica.

Figura 6.3.7. Entradas, actividades y salidas de la gestin de la disponibilidad

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

291

han estructurado de forma pareja para facilitar su integracin como un proceso


nico. Adems, ambas emulan la estructura utilizada en ITIL para la continuidad.
La gestin de la disponibilidad se inicia con una peticin de la direccin de TI para
que se realice el ciclo de planificacin de la disponibilidad, que termina con el plan
de disponibilidad realizado o actualizado. El inicio de la negociacin de un acuerdo
de nivel de servicio tambin puede activar el proceso con el fin de apoyar a la gestin de nivel de servicio en los aspectos relativos a la disponibilidad. El incumplimiento de los niveles de disponibilidad, detectados por otros procesos o reas, tambin puede desencadenar que se inicien las acciones de investigacin y mejora de la
disponibilidad. Adems, el proceso se activa por la proximidad de la fecha de revisin del plan de disponibilidad.
La gestin de la disponibilidad utiliza como entradas de soporte: informacin
sobre los distintos riesgos e informacin tcnica de los componentes; informacin
sobre los incidentes y los problemas con el fin de analizar las causas de fallo; datos
de monitorizacin para el seguimiento de la disponibilidad y las tendencias; peticiones de cambio (RFC) con el fin de velar porque no se pongan en riesgo los niveles de disponibilidad y para mantener actualizado el plan de disponibilidad con los
cambios realizados; y la base de datos de gestin de la configuracin (CMDB) para
obtener los detalles de los elementos de configuracin que componen los servicios.
Las principales actividades de la gestin de la disponibilidad se han articulado en
torno a conceptos similares utilizados en la gestin de la continuidad de ITIL.
En este libro se han aadido las fases de inicio y de requerimientos y estrategia. Las
actividades que se deben realizar son:
Inicio. Establece las condiciones para el comienzo de la implantacin de la
gestin de la disponibilidad.
Definir las polticas de disponibilidad. Se fijan las directrices que se
deben cumplir por la disponibilidad de los servicios.
Definicin e inicio del proyecto de disponibilidad. Se crea el proyecto
para implementar la disponibilidad, con su planificacin y dotacin presupuestaria. Se inicia su ejecucin.
Requerimientos y estrategia. Establece los requerimientos que se deben
cumplir en relacin a la disponibilidad.
Realizar la evaluacin de riesgos. Identifica las funciones vitales del
negocio (VBF) y realiza el anlisis de riesgos.
Determinar los requisitos de disponibilidad. Se deben establecer los requisitos que deben cumplir los servicios en cuanto a la disponibilidad y tiempo
de respuesta. Se define la estrategia que se debe seguir para satisfacerlos.

292

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Implementar la disponibilidad. Actividades para implantar la disponibilidad.


Disear para la disponibilidad. Definicin de las directrices de diseo
de los servicios (en cuanto a la disponibilidad y tiempo respuesta). Derivado de estas directrices se suele y se deben definir unas arquitecturas tcnicas y unas plataformas que alojen los servicios.
Disear para la recuperacin. Fija las pautas y procedimientos de actuacin en caso de que se produzca un incidente de prdida de disponibilidad, que deber ejecutar la gestin del incidente.
Verificar la seguridad. Asegura que se implantan las medidas de seguridad adecuadas en los componentes del servicio.
Planificar las paradas y el mantenimiento. De forma general, todo servicio requiere en algn momento de su prestacin la realizacin de tareas
de mantenimiento. El mantenimiento de los servicios debe llevarse a cabo
de forma que se minimice su impacto sobre el servicio y su disponibilidad,
utilizndose cuando es posible las denominadas ventanas de mantenimiento (paradas planificadas). Para poder aprovechar las mencionadas
ventanas de mantenimiento es necesario tener identificado cundo se
requiere el mantenimiento y cules son las actividades que implica (relacin con el proceso de gestin del cambio). Determina las ventanas de
parada de componentes y de los servicios, para mantenimiento o para la
realizacin de cambios.
Generar el plan de disponibilidad. Todos los resultados de las actividades anteriores se recogen en el documento central del proceso: el plan de
disponibilidad, que aglutina en un documento toda la informacin e iniciativas necesarias para mejorar la disponibilidad.
Gestin operativa. Gestin diaria de la disponibilidad de los servicios en
produccin.
Supervisin de la disponibilidad. Prepara los medios necesarios para
realizar un seguimiento de la disponibilidad obtenida de los componentes
y de los servicios: define las mtricas, define los informes, especifica los
umbrales de monitorizacin, genera los informes necesarios sobre la disponibilidad obtenida y comunica los resultados a las partes interesadas.
Dentro de esta actividad, tambin se puede incluir la definicin de las
herramientas de monitorizacin necesarias y su implementacin; aunque
lo habitual es definir un proyecto especfico para implantar todo el conjunto de herramientas de monitorizacin necesarias para todos los procesos y para las funciones tcnicas.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

293

Investigar y mejorar la disponibilidad. Analiza las causas de la no disponibilidad e identifica las reas de mejora en los componentes y servicios para
que los valores de disponibilidad se ajusten a los requeridos por el negocio.
Actualizar el plan de disponibilidad. Se actualiza el plan de disponibilidad de forma peridica, realizando una revisin completa de su contenido.
Adems, se actualiza con los cambios realizados en la infraestructura.
Mejorar el proceso. Conjunto de actividades destinadas a la revisin del
proceso de la gestin de la disponibilidad para mejorar su eficiencia.
Las actividades de gestin de la disponibilidad se representan en el esquema de la
figura 6.3.8, que simula un esquema legendario de ITIL v2 para la gestin de la
continuidad.
GESTIN DE LA DISPONIBILIDAD

Poltica
Inicio

Definicin e inicio
del proyecto
Evolucin de riesgos

Requerimientos
y estrategia

Determinar requisitos

PLANIFICAR

Disear para la
disponibilidad

Implementacin
Verificar la seguridad

Disear para
la recuperacin

Planificar las paradas

Generar el plan de disponibilidad


Gestin
operativa

Supervisar la
disponibilidad

Mtricas
Monitorizar
Informes

Investigar y mejorar
la disponibilidad

SUPERVISAR

Actualizar el plan de disponibilidad


Mejora del proceso
Fuente: Libros ITIL Provisin de Servicio y Diseo del Servicio publicados por OGC y e.p.

Figura 6.3.8. Actividades de la gestin de la disponibilidad

294

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La salida tangible principal de la gestin de la disponibilidad es el documento


denominado plan de disponibilidad. Tambin quedan claramente identificadas
las funciones vitales del negocio (VBF). Se generan las directrices de diseo y la
arquitectura para la disponibilidad. Asimismo, se producen los informes de seguimiento sobre la disponibilidad y tiempo de respuesta obtenidos de los servicios.
Como salidas secundarias se producen el documento de requisitos de disponibilidad a cumplir; los requisitos y las especificaciones para la monitorizacin de la disponibilidad, con los umbrales y alarmas correspondientes; el plan de paradas planificadas (PSO); los resultados para el anlisis de riesgos; y los resultados tcnicos de
las investigaciones forenses de las indisponibilidades o fallos ocurridos.

Requerimientos y estrategia de la disponibilidad


Despus de la fase de inicio, en la que se definen las polticas y el plan de proyecto
para implantar el proceso de disponibilidad, comienza la fase de requisitos y estrategia. En esta fase se realiza el anlisis de los riesgos y se determinan los requisitos
a cumplir en cuanto a la disponibilidad. Las actividades son:
Realizar la evaluacin de riesgos. Para realizar el anlisis de riesgos de prdidas
de disponibilidad existen varias tcnicas o mtodos implantados en el mercado.
Normalmente se suele utilizar CRAMM. La evaluacin de los riesgos utiliza mtodos similares en disponibilidad y en continuidad, pero el objeto del anlisis es distinto. En el primero se identifican los fallos normales que puedan producir indisponibilidad, y en el segundo se identifican los eventos especiales que generen una
grave prdida. Por otra parte, las contramedidas que se deben implantar tambin
suelen ser diferentes.
En esta actividad se identifican tambin las funciones vitales del negocio (VBF),
aqullas cuyo fallo causaran una grave prdida en el negocio. Si se est implantando tambin la continuidad, esta actividad es comn a ambas disciplinas.
A partir de la definicin de las VBF, el tratamiento y la concepcin de la disponibilidad, los servicios de TI se suelen dividir en dos grandes bloques: los servicios crticos que soportan una o varias VBF, que son tratados con el mejor de los esmeros,
y el resto de servicios. Esta divisin permitir concentrarse especialmente en los
servicios que realmente importan al negocio, y puede dar lugar a plantear arquitecturas, presupuestos o estrategias de sourcing completamente distintas para cada uno
de los bloques.
Determinar los requisitos de disponibilidad. Se deben establecer los requisitos
que deben cumplir los servicios en cuanto a la disponibilidad y tiempo de respuesta, estructurados por tipo de funcionalidad y criticidad. Estos valores, o rangos

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

295

de valores, servirn de entrada en la negociacin de los acuerdos del nivel de servicio y, consecuentemente, en el diseo tcnico y del soporte de los mismos.
A este respecto, las Normas ISO/IEC 20000 son claras en sus exigencias, especificando que los requisitos se establezcan teniendo en cuenta los planes de negocio,
los SLA y las evaluaciones del riesgo realizadas. Los requisitos deben incluir los
derechos de acceso a los servicios, los tiempos de respuesta necesarios y la disponibilidad integral de los servicios.

UNE-ISO/IEC 20000-1
Se deben identificar los requisitos de disponibilidad y de continuidad del servicio
sobre la base de los planes de negocio, los SLAs y las evaluaciones del riesgo. Los
requisitos deben incluir los derechos de acceso y los tiempos de respuesta, as como,
la disponibilidad extremo a extremo de los componentes del sistema.

ISO/IEC 20000-2 recomienda, adems, que se dote de los recursos necesarios para
poder satisfacer estos requisitos en cualquier circunstancia. Insta tambin a que se
trabaje de forma integrada entre la gestin de la disponibilidad y la continuidad.
Tambin detalla el concepto de extremo a extremo mencionado en la parte 1,
incluyendo todos los elementos que sustentan el servicio con independencia de
quin dependan: del proveedor principal o bajo el control, bien del propio cliente,
o de otros proveedores de servicio.
UNE-ISO/IEC 20000-2
Generalidades
Los requisitos de continuidad y disponibilidad se deberan identificar sobre la
base de las prioridades del negocio del
cliente, los acuerdos de nivel de servicio
y los riesgos evaluados. El proveedor
del servicio debera mantener una capacidad suficiente para el servicio junto
con planes fcilmente realizables, diseados para asegurar que los requisitos
acordados pueden ser alcanzados en
todas las circunstancias, desde el funcionamiento habitual hasta los casos de

cadas graves del servicio. El proveedor


del servicio debera planificarse para
satisfacer los datos conocidos de incrementos o decrementos de volumen de
usuarios, picos o cadas previstos de la
demanda y cualquier otro cambio futuro
conocido. Los requisitos deberan incluir
los derechos de acceso y los tiempos de
respuesta as como la disponibilidad de
los componentes del sistema.
La gestin de la disponibilidad y continuidad del servicio debera trabajar conjuntamente con el objetivo de asegurar que

296

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

se mantengan los niveles de servicio


acordados. Estos requisitos deberan
tener una influencia capital en las acciones, esfuerzos y recursos destinados para
satisfacer la disponibilidad de los servicios que los soportan.

Los procesos que aseguran que se mantiene la disponibilidad requerida, deberan incluir aquellos elementos de la
provisin del servicio que estn bajo el
control bien del propio cliente o de
otros proveedores del servicio.

Los requisitos de disponibilidad deben estar recogidos en trminos y condiciones


cuantificables para evitar cualquier confusin o malentendido entre el negocio y la
organizacin de TI. La cuantificacin de la disponibilidad permitir determinar las
necesidades y los costes para alcanzar los niveles de servicio necesarios.
Los requisitos de disponibilidad deben especificar:
Las funciones clave o vitales para el negocio.
El impacto sobre el negocio causado por la prdida de los servicios.
El grado en el que el negocio puede tolerar una cada o degradacin de un
servicio.
Descripcin de la importancia relativa de los diferentes horarios de trabajo
para cada servicio.
El porcentaje de disponibilidad mensual mnimo admisible por el negocio
para los servicios. En ocasiones se detalla tambin para los servicios crticos
la parada mxima en minutos admisible por franja horaria.
Las condiciones bajo las cules el negocio considera que un servicio no est
disponible, incluyendo el lmite permitido del tiempo de respuesta en
segundos.
Las franjas horarias necesarias para los servicios y las ventanas de mantenimiento.
Las necesidades especficas de seguridad.
La aceptacin de estos requisitos conlleva la definicin de la estrategia a cumplir
por el proceso de disponibilidad. Los requisitos pueden variar segn la criticidad
del servicio, y estar balanceados con el escenario econmico del negocio y el coste
de la tecnologa necesaria para cumplirlos. Estos requisitos formarn parte de la
definicin de los servicios y estarn recogidos en los correspondientes SLA.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

297

Implementar la disponibilidad
Definidos los requisitos que se deben cumplir, se inicia la fase de implementar el
proceso (o subproceso) de gestin de la disponibilidad. En la implementacin
se realizan las actividades siguientes: disear para la disponibilidad, disear para la
recuperacin, verificar la seguridad, planificar las paradas y mantenimiento, y generar
el plan de disponibilidad.
Disear para la disponibilidad. A la hora de disear un servicio o de realizar una
modificacin, uno de los aspectos siempre presentes sern los requisitos de disponibilidad. La finalidad del diseo es crear una infraestructura robusta de TI que
pueda cumplir los niveles de disponibilidad demandados.
A partir de los requisitos, se establecen las directrices y los estndares de disponibilidad
del servicio que habrn de cumplirse en los diseos, tanto por el desarrollo de aplicaciones, como en la construccin de las infraestructuras hardware y software asociadas.
El diseo debe proporcionar soluciones que garanticen la disponibilidad requerida por
cada tipo de servicio, as como, el tiempo de respuesta en situaciones pico de carga.
En la figura 6.3.9 se muestra la frmula tpica de la disponibilidad y lo que sta
representa en tiempo de parada mensual acumulado. Ntese que cuanto menor es
el horario de servicio, una misma tasa de disponibilidad permite un tiempo acumulado de parada menor.

Clculo de la disponibilidad
Tiempo real de servicio
% disponibilidad =

x 100
Tiempo esperado de servicio

Tiempo mensual de cada permitido (horas)


Perodo de servicio:

24 x 7

24 x 5

12 x 5

Horas/mes de servicio:

720 horas

480 horas

240 horas

99,999%

25,92 seg

17,28 seg

8,64 seg

99,99%

4,32 min

2,88 min

1,44 min

99,98%

8,64 min

5,76 min

2,88 min

% disponibilidad:

99,90%

43,2 min

28,8 min

14,4 min

99,00%

7,2 horas

4,8 horas

2,4 horas

98,00%

14,4 horas

9,6 horas

4,8 horas

95,00%

1,5 das

24 horas

12 horas

Figura 6.3.9. Clculo de la disponibilidad

298

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Es recomendable, dentro del diseo, acometer la definicin de una o varias arquitecturas, que establecern la forma homognea de construir los servicios. Una vez
fijadas las directrices tecnolgicas en la arquitectura, se implementan en una o
varias plataformas (hardware, software y comunicaciones), sobre las que se irn
incorporando los servicios. Explotar los servicios sobre una plataforma comn
tiene mxima importancia en la actualidad, teniendo en cuenta las tendencias de
consolidacin de infraestructuras y la virtualizacin del equipamiento (servidores y
almacenamiento). La actividad tcnica necesaria en este proceso ser realizada por
los grupos tcnicos: arquitectos, tcnicos de sistemas, especialistas, etc., trabajando
a tiempo parcial para el proceso.
Para cada servicio, o por lo menos para los crticos, conviene realizar el anlisis del
rbol de fallos (FTA, Fault Tree Analysis) con el fin de identificar los puntos nicos
de fallo (SPOF, Single Point Of Failure). Esta identificacin de vulnerabilidades y
puntos dbiles permitir eliminarlos o mitigarlos en la fase de diseo, antes de su
construccin.
Disear para la recuperacin. Dentro de las actividades que se realizan en el diseo
del servicio est la de disear para la recuperacin. Se trata de una actividad proactiva cuyo objetivo es identificar aquellos elementos que, ante un fallo, tienen que
volver a prestar servicio lo antes posible. La gestin de la disponibilidad tambin
debe fijar las pautas de actuacin que deben seguirse, cuando un incidente afecta a
los componentes crticos del servicio, para el restablecimiento de las operaciones.
El diseo para la recuperacin contempla la identificacin de las necesidades de
informacin que tiene el negocio para permitirles gestionar el impacto del fallo, y
las necesidades de la propia organizacin de TI en cuanto a procesos, procedimientos y herramientas y soporte externo para que pueda ejecutar la recuperacin.
Verificar la seguridad. La gestin de la disponibilidad se ocupa de la disponibilidad de todos los componentes de los servicios de TI, incluidos los datos. Por tanto,
la gestin de la disponibilidad est estrechamente relacionada con el proceso de
gestin de la seguridad de la informacin. Asegura que se implantan las medidas
de seguridad adecuadas en los componentes del servicio.
Los requisitos de seguridad identificados se transmiten al responsable de la gestin
de la seguridad. Entre ellos se encuentran:
Los productos y servicios deben estar nicamente a disposicin del personal
autorizado. Esto tambin es aplicable a los datos gestionados.
Los productos y servicios deben poder recuperarse despus de un fallo para
garantizar que no se compromete la confidencialidad y la integridad, y que
la disponibilidad del servicio no vuelve a peligrar.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

299

Se deben poder recuperar los productos y servicios dentro de unos parmetros seguros, es decir, que no debe comprometerse la poltica de seguridad
de TI existente en la organizacin
Estos compromisos forman parte de los requisitos de disponibilidad de los servicios. Adems, se propone que estos requisitos queden recogidos en un acuerdo
interno entre gestin de la disponibilidad y la gestin de la seguridad.
Planificar las paradas (PSO, Projected Service Outage). Parte de la gestin de la disponibilidad es la gestin del mantenimiento del servicio (planificacin de las paradas) tanto a efectos propios del mantenimiento como para la incorporacin de
cambios. Organiza las actividades de mantenimiento dentro de los perodos y ventanas (planificaciones de parada para el mantenimiento de los sistemas o para la
implantacin de cambios) en los que se minimiza el impacto sobre la disponibilidad del servicio.
Se genera el plan de paradas planificadas (PSO) en el que se definen los perodos
diarios, semanales o mensuales en los que se pueden parar los servicios. Se trata de
un elemento bsico para minimizar el impacto en el negocio de estas actividades.
Adems, las ventanas de parada se suele excluir en el clculo de la disponibilidad
real del servicio.
Generar el plan de disponibilidad. El plan de disponibilidad es un plan a
futuro que cubre un perodo de entre uno y dos aos. Su objetivo es mejorar la
disponibilidad general de la infraestructura de TI para asegurar que se pueden
alcanzar los niveles de disponibilidad de una manera eficiente, tanto actuales,
como futuros.
Este plan es uno de los resultados principales del proceso que aglutina toda la informacin generada en l. Conviene distinguirlo del proyecto de implementacin del
propio proceso de gestin de la disponibilidad (vase la fase de inicio). Los contenidos tipo del plan de disponibilidad se muestran en la figura 6.3.10.

Gestin operativa de la disponibilidad


Una vez implantados los servicios y puestos en produccin, el proceso de gestin
de la disponibilidad se mantiene activo y vigila diariamente los servicios, en cuanto
a los aspectos de disponibilidad y tiempo de respuesta. La gestin operativa comprende las actividades de supervisin de la disponibilidad, la investigacin de la
causa de los fallos para mejorar la disponibilidad y la actualizacin del plan de disponibilidad.

300

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Plan de disponibilidad
3 Poltica de disponibilidad.
3 Riesgos identificados.
3 Requisitos de la disponibilidad y estrategia.
3 Funciones vitales del negocio (VBF).
3 Directrices de diseo de servicios.
3 Arquitectura de los servicios enfocada a la
disponibilidad y tiempo de respuesta.
3 Definicin de las plataformas tecnolgicas que se
van a utilizar.
3 Horarios de los servicios.
3 Plan de recuperacin y procedimientos.
3 Plan de paradas planificadas (PSO). Ventanas de
mantenimiento y cambio.
3 Requisitos de seguridad.
3 Herramientas de monitorizacin.
3 Mtricas de disponibilidad que se van a utilizar.
3 Modelos de informes de disponibilidad.
3 Fijar los mtodos y tcnicas de anlisis a utilizar.
3 Planificacin de la mejora de la disponibilidad.
3 Anlisis tendencias tecnolgicas.

Figura 6.3.10. Contenido tipo de un plan de disponibilidad y


del plan de recuperacin asociado

Supervisin de la disponibilidad. Vela por que se cumplan los compromisos de


disponibilidad de los servicios. Para ello establece las mtricas de la disponibilidad,
gestiona la implementacin de las herramientas de monitorizacin para la obtencin de las mtricas y confecciona los informes de disponibilidad.
Como se indica en ISO/IEC 20000, se debera registrar la disponibilidad del servicio. Las mediciones se utilizan para comparar los resultados con los valores establecidos en los SLA y analizar los posibles incumplimientos. Esto se realiza de forma
conjunta con gestin de nivel de servicio.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

301

UNE-ISO/IEC 20000-1
La disponibilidad se debe medir y registrar. Se debe investigar la no disponibilidad
no planeada y se deben llevar a cabo las acciones necesarias.
Nota: Cuando sea posible, se deben predecir problemas potenciales y tomar medidas preventivas.

Estas medidas e informes de disponibilidad deben reflejar las perspectivas del negocio, de los usuarios y de la organizacin de soporte. Se analizan las tendencias y
posibles desviaciones, se estudian las tendencias de la disponibilidad de los componentes de la infraestructura y se comunican los resultados a las partes interesadas.
UNE-ISO/IEC 20000-2
Actividades y supervisin de la
disponibilidad

d) documentar y revisar las no conformidades;

La gestin de la disponibilidad debera:

e) predecir la disponibilidad a futuro;

a) supervisar y registrar la disponibilidad del servicio;

f) cuando sea posible, se deberan


predecir los posibles problemas y
llevar a cabo las acciones preventivas.

b) mantener datos histricos precisos;


c) realizar comparaciones con los
requisitos definidos en los SLA
para identificar no conformidades
con los objetivos de disponibilidad acordados;

Se debera asegurar la disponibilidad


de todos los componentes del servicio,
registrando y llevando a cabo las acciones correctivas.

Investigar y mejorar la disponibilidad. Consiste en revisar la disponibilidad


de los servicios y los componentes para identificar las reas de incumplimiento o de
perfeccionamiento. La investigacin se centra en identificar las reas de mejora en
los servicios para que los valores de disponibilidad se incrementen. Las mejoras se
incorporan en el plan de disponibilidad y en el plan de mejora unificado de los procesos y de los servicios (vase el captulo 4).
Es conveniente aclarar la frontera entre la gestin del problema y la investigacin
de la disponibilidad con el fin de evitar conflictos de intereses. La investigacin de
la disponibilidad puede conllevar la necesidad de abrir un problema que ser tratado bajo la gestin del problema. La gestin del problema parte de un incidente o
de un conjunto de ellos para determinar la causa raz que lo provoc y resolverlo

302

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

provisional o definitivamente. La investigacin de la gestin de la disponibilidad


va ms all de la causa de los incidentes, es ms general. Se mueve por estadsticas,
informes, tendencias o incumplimientos, para proponer soluciones. La gestin del
problema tambin tiene una parte proactiva que tambin investiga las tendencias.
Los aspectos que analiza la investigacin de la disponibilidad tienen relacin con:
Las tendencias de la gestin de la disponibilidad.
Un deterioro gradual de las mediciones de la disponibilidad.
La incapacidad de un servicio para satisfacer la disponibilidad requerida.
La identificacin de perodos de inestabilidad del servicio.
Tiempos de recuperacin y restauracin del servicio inaceptables.
Solicitudes por parte del negocio para incrementar el nivel de disponibilidad.
La solicitud, por parte de la gestin de niveles de servicio, para mejorar la
disponibilidad como parte de un programa de mejora del servicio.
Actualizar el plan de disponibilidad. De forma peridica, y por lo menos una vez
al ao, se debe actualizar el plan de disponibilidad realizando una revisin completa
de su contenido, desde la poltica hasta el anlisis de tendencias tecnolgicas. Adems, se actualiza de forma continua con los cambios que se vayan realizando en la
infraestructura, identificados a travs del proceso de gestin del cambio.
ISO/IEC 20000-1 es clara a este respecto e incluye tambin en los requerimientos
a los planes de continuidad:
UNE-ISO/IEC 20000-1
Los planes de disponibilidad y continuidad del servicio se deben desarrollar y revisar
al menos una vez al ao, para asegurar que los requisitos cumplen lo acordado bajo
todas las circunstancias, desde la normalidad hasta la prdida grave del servicio.
Estos planes se deben mantener para asegurar que reflejan los cambios acordados,
requeridos por el negocio.
Los planes de disponibilidad y de continuidad del servicio se deben probar de nuevo
cuando se produzca un cambio importante en el entorno del negocio.
El proceso de gestin del cambio debe evaluar el impacto de cualquier cambio
sobre los planes de disponibilidad y de continuidad del servicio.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

303

Mejora del proceso de disponibilidad


Se debe revisar el propio proceso para mejorar su operativa y subsanar sus fallos e
ineficiencias. Las mejoras propuestas pueden estar relacionadas con alguna de las
actividades del proceso o con otros procesos, por ejemplo, la gestin de nivel de
servicio. Nuevamente, las mejoras se centralizan en el plan de mejora unificado
(vase el captulo 4).

Entradas, actividades y salidas del proceso de gestin de


la continuidad de TI
La misin de la gestin de la continuidad de TI es preparar las infraestructuras y su
gestin para que resistan y sobrevivan a las consecuencias de un suceso catastrfico
o devastador en la empresa, como por ejemplo, un incendio, una inundacin en el
centro de datos, una contaminacin masiva de servidores por virus, un ataque exterior, un terremoto, actos vandlicos, etc. Estos hechos pueden parecer remotos o
de probabilidad muy baja, pero TI no est tan a salvo como cree. Una simple
rotura de una tubera puede inundar el centro de datos o provocar un desastre elctrico. Los ataques de los virus estn a la orden del da. Que se contaminen los servidores es un suceso cada vez ms probable.
La gestin de la continuidad de los servicios de TI se centra en garantizar el cumplimiento de los requisitos acordados tras una interrupcin del negocio provocado
por una catstrofe.
La gestin de la continuidad tambin est desarrollada en la normativa internacional.
La serie de normas britnicas BS 25999 (Business continuity management) definen los
requisitos para un sistema de gestin de continuidad de negocio en base a un cdigo
de buenas prcticas (parte 1) y unas especificaciones tcnicas (parte 2) que son certificables. Tambin existe normativa al respecto en Japn, Australia, Singapur, Austria, etc.
La gestin de la continuidad trabaja en la preparacin anticipada y en el mantenimiento permanente. Por ello, sus actividades se pueden considerar divididas en dos
grandes bloques: la planificacin e implementacin y la gestin operativa de la
misma. El primer bloque define claramente la estrategia e implementa las medidas
de salvaguardia. Este bloque se suele realizar como un proyecto de consultora e
implantacin. Dado que la continuidad de TI parte de un plan de continuidad del
negocio, la definicin de la estrategia se entiende que la debe liderar algn rea de la
empresa, normalmente la de seguridad general. En el segundo bloque, la actividad
se centra en mantener siempre frescos, en la mente de todos, los planes de continuidad y en estar preparado para responder inmediatamente a una contingencia.

304

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En la gestin de la continuidad se ha seguido la misma estructura de actividades


planteada en ITIL. Las interacciones y funcionalidades de la gestin de la continuidad se resumen en la figura 6.3.11.
CONTINUIDAD
Entradas
Desencadenantes
del proceso:
Plan de continuidad del
negocio.
Contingencia severa.
Fecha de pruebas.
Fecha revisin del plan.

Actividades
3 Inicio:

Plan de continuidad.

mbito de la continuidad.

Contratos de servicios
externos de continuidad.

Definicin e inicio proyecto


continuidad.
3 Requerimientos y estrategia:
Anlisis impacto en el negocio.
Evaluacin de riesgos.

Acuerdos continuidad
en SLA.

Definicin estrategia
continuidad.

Presupuestos.

Salidas principales:

Definir poltica continuidad.

Entradas de soporte:

Riesgos.

Salidas

3 Implementacin:

Cambios.

Realizacin plan continuidad


de TI.

CMDB.

Desarrollo plan recuperacin.

Informacin tcnica.

Implementar medidas
recuperacin.
Implementar medidas
reduccin riegos.

Procedimientos y
medios operativos de
recuperacin.
Infraestructura
preparada.
Personal entrenado.
Informes resultados
pruebas de continuidad.
Salidas secundarias:
Requisitos de continuidad.
Plan proyecto continuidad.
Funciones vitales de
negocio (VBF).
Evaluacin de riesgos.

Desarrollar procedimientos.
Pruebas iniciales.
3 Gestin operativa:
Educacin y concienciacin.
Revisin y auditora.
Pruebas.
Control de cambios.
Formacin.
Aseguramiento.
Gestin las contingencias
en TI.
3 Mejora del proceso

Fuente: Libro ITIL Provisin de Servicio publicado por OGC y Telefnica.

Figura 6.3.11. Entradas, actividades y salidas de la gestin de la continuidad

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

305

Las entradas que desencadenan o activan el proceso son: la realizacin del plan de
continuidad de negocio por parte de la empresa, que requiere de TI la realizacin
de su contribucin a este plan; el acaecimiento de una contingencia severa que
activa la ejecucin de los procedimientos de continuidad; la llegada de la fecha prevista de pruebas de continuidad, que inicia el protocolo de pruebas; y la proximidad de la fecha de revisin del plan de continuidad.
Las entradas ms relevantes que utiliza el proceso como informacin de soporte
son: las condiciones solicitadas o pactadas con los clientes en los acuerdos de nivel
de servicio (SLA); la informacin de los principales riesgos que amenazan a TI; los
presupuestos asignados a la continuidad, que condicionan las inversiones; los cambios realizados en las infraestructuras o los servicios que deban contemplarse en las
soluciones de continuidad; la informacin sobre los elementos de configuracin
contenida en la CMDB; y la informacin tcnica diversa para proporcionar soluciones o directrices.
Las actividades del proceso se estructuran en 5 grupos:
Inicio. El primer paso es determinar sobre qu aspectos del negocio y de los
servicios va a actuar la continuidad de TI y sobre cules no.
Definir poltica continuidad. Directrices y objetivos que establece la
direccin y principales responsabilidades.
mbito de la continuidad. Localizaciones, unidades de negocio o servicios que se deben cubrir. Normalmente no se debera restringir el mbito.
Definicin del proyecto de continuidad. Plan detallado del proyecto de
implementacin de la continuidad (de TI). Designacin del responsable
mximo de plan y de los responsables en cada departamento o rea. Presupuesto para la definicin del plan. Posteriormente se tendr que hacer
una dotacin adicional de presupuesto para la implantacin de la solucin
de continuidad. Organizacin de proyecto y estructura de control. Plan de
calidad del mismo. Lanzamiento del proyecto.
Requerimientos y estrategia. Determinar los requisitos de continuidad del
negocio, as como la estrategia que se debe seguir para garantizar dicha continuidad.
Anlisis del impacto de un desastre. Repercusin en las infraestructuras
y en el negocio de los diversos tipos de paradas que pueden ocurrir. Identificacin de las funciones vitales del negocio (VBF) si no se han determinado previamente.

Evaluacin de riesgos. Estudio detallado de las amenazas y vulnerabilidades posibles y de la probabilidad de su ocurrencia.

306

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Definicin de la estrategia de continuidad. Definicin de la estrategia


de TI para mantener la continuidad de los procesos de negocio en caso de
ocurrir un desastre.
Implementacin. Elaborar los planes de continuidad y poner en marcha las
contramedidas necesarias para reducir el riesgo y desplegar las soluciones de
TI para mitigar el riesgo y recuperar el negocio en caso de desastre.
Realizacin del plan continuidad de TI. Realizacin de todos los estudios, anlisis y diseos necesarios y confeccin de este documento esencial
de la continuidad.
Desarrollo plan de recuperacin. Definicin de todas las medidas necesarias para poder realizar la recuperacin, abarcando personas, infraestructuras y servicios externos necesarios.
Implementar las medidas de recuperacin. Adquirir, construir y poner
en funcionamiento las soluciones definidas.
Implementar las medidas de reduccin riegos. Puesta en marcha de las
contramedidas para la reduccin de la exposicin a las amenazas o de sus
efectos.
Desarrollar los procedimientos. Instrucciones detalladas de actuacin
para cada uno de los servicios y grupos de soporte.
Realizar las pruebas iniciales. Pruebas completas y detalladas de las soluciones implementadas, antes de dar por concluida la implementacin
Incluyen a las personas, infraestructuras y servicios externos. Control final
de la calidad.
Gestin operativa. Realiza el mantenimiento en activo de las soluciones de
continuidad, las pruebas, la formacin y la divulgacin de los planes de continuidad.
Educacin y concienciacin de todo el personal de TI y del negocio.
Revisin y auditoria sistemtica y peridica de todo el plan y su implementacin.
Pruebas y simulacros de los planes de recuperacin. Esta actividad, adems incluye el anlisis de los resultados de las pruebas como punto de
entrada a la mejora.
Control de los cambios en el personal, la infraestructura y los servicios
externos. Actualizacin de los planes. Debe estar siempre coordinado con
el proceso de gestin del cambio.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

307

Formacin y entrenamiento del personal que deber intervenir en los planes de recuperacin y de reduccin de riesgos.
Aseguramiento, confianza o garanta a la direccin sobre la fiabilidad de
los planes y las medidas implementadas.
Gestin de las contingencias en TI. Ocurrida la contingencia, ejecucin
de lo previsto en el plan de continuidad y recuperacin, para retornar a la
normalidad cuanto antes.
GESTIN DE LA CONTINUIDAD

Poltica de continuidad
mbito de la continuidad

Inicio

Definicin e inicio
del proyecto

Requerimientos
y estrategia

Anlisis del impacto


en el negocio

BIA, VMF

Evolucin de riesgos

M_o_R, CRAMM

Estrategia de continuidad
Realizar el plan de
continuidad de TI
Implementacin

Implementar medidas
de recuperacin

Desarrollar planes
de recuperacin

Plan de continuidad TI
Implementar medidas
reduccin del riesgo

Desarrollar los procedimientos


Pruebas iniciales

Gestin
operativa

Educacin y
concienciacin

Revisin y
auditora

Pruebas

Control de
los cambios
Formacin

Aseguramiento
Gestin de las contingencias en TI
Mejora del proceso
Fuente: Libro ITIL Provisin de Servicio publicado por OGC.

Figura 6.3.12. Esquema de las actividades de la gestin de la continuidad de TI

308

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Mejora del proceso. Identificar y poner en marcha aquellas acciones que


contribuyan a incrementar la eficacia del proceso.
Las actividades de la gestin de la continuidad se representan en el grfico de la
figura 6.3.12, un clsico de ITIL.
Las salidas principales del proceso son el plan de continuidad; los contratos de servicios externos de continuidad; el plan de recuperacin con los procedimientos y
medios de recuperacin operativos; la infraestructura de TI preparada para resistir
y recuperarse ante un desastre; el personal de TI perfectamente entrenado; y los
informes de los resultados de las pruebas de continuidad.
Como salidas secundarias del proceso se obtienen las polticas y los requisitos de
continuidad definidos; el plan de proyecto para la implementacin de la continuidad; las funciones vitales de negocio (VBF); los resultados de la evaluacin de los
riesgos, etc.

Determinar el mbito de la continuidad


El estudio para la continuidad implica considerar la organizacin de forma completa definiendo y comunicando la poltica de continuidad (junto con el compromiso de la direccin), seleccionando la aproximacin y mtodos para la evaluacin
de riesgos y el anlisis de impacto en el negocio, dedicando recursos y estableciendo
la correspondiente organizacin de proyecto.
Como resultado de esta actividad se identifica el alcance de la continuidad, es decir,
hasta dnde va a llegar la gestin de la continuidad, es decir, qu servicios y hasta
qu nivel van a estar amparados por la gestin de la continuidad.
El alcance esperado de la gestin de la continuidad debe abarcar a todos y cada uno
de los servicios y toda la informacin gestionada. La organizacin de TI no debe
jugar a los dados con la informacin de la empresa y dejar sin cobertura algunos
servicios o informacin, para que el azar determine su permanencia en caso de una
contingencia, por poco relevantes que sean. Por eso, la cobertura de la gestin de la
continuidad debera comprender absolutamente todos los servicios de TI, los crticos y los no crticos, pero con soluciones tcnicas y niveles de recuperacin distintos, adecundolos a los presupuestos disponibles. Poniendo primeramente el foco
en los servicios crticos, para abordar posteriormente los servicios menos crticos.
No hay justificacin para dejar excluido nada, pues en el extremo ms econmico
de las soluciones de continuidad est la cobertura mediante una simple copia de
seguridad completa de sistemas y de los datos, custodiada en instalaciones separadas.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

309

Requerimientos y estrategia de la continuidad


Una vez establecido el mbito y el alcance que se va a dar a la continuidad y lanzado el proyecto de implementacin, se inicia una etapa en la que el contacto y las
relaciones con todas las reas de la empresa tiene gran importancia. Su objetivo es
determinar los requisitos y la estrategia que se debe seguir en la implementacin.
Lo habitual es que esta actividad se realice dentro del plan general de continuidad
del negocio, en el que TI participara como un rea ms.
En esta etapa de requerimientos y estrategia se realiza:
El anlisis del impacto al negocio y la identificacin de las funciones vitales
del mismo.
La evaluacin de riesgos, amenazas y contramedidas posibles.
La definicin de la estrategia de continuidad de negocio que se debe ejecutar
y la definicin de los requerimientos del negocio que se deben cumplir.
Esta informacin servir de entrada al diseo de las soluciones de continuidad.
Dados los altos costes de las soluciones de continuidad de TI y la reducida frecuencia de su utilizacin, es necesario aquilatar bien los requerimientos, siendo conscientes de que la reduccin del tiempo objetivo de recuperacin (RTO, Recovery
Time Objective) de horas a minutos puede triplicar el coste de las infraestructuras
necesarias. Por ello, se recomienda realizar un anlisis iterativo entre impacto en el
negocio, los riesgos, los requisitos y el coste de las soluciones posibles, para llegar
a un punto de consenso con toda la organizacin.
El anlisis del impacto en el negocio, conocido como BIA (Business Impact Analysis),
permite determinar las prdidas que puede soportar una organizacin como consecuencia de la parada de los servicios. Tambin cuantifica la magnitud de las prdidas en funcin del tiempo que dure la parada de los servicios del negocio. El BIA
debe identificar con claridad:
Las funciones o procesos crticos del negocio, conocidos como VBF (Vital
Business Functions).
La magnitud de los daos o prdidas que puede soportar una empresa como
consecuencia del bloqueo de estos procesos crticos de negocio (umbral de
riesgo de la empresa).
En la figura 6.3.13 se muestra un ejemplo de contenido del anlisis del impacto en
el negocio.

310

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Anlisis del impacto en el negocio (BIA)


3 Descripcin de la actividad principal del negocio.
reas principales.
3 Funciones vitales del negocio (VBF).
3 Cuantificacin de las prdidas potenciales:
Prdida de ingresos inmediatas y a largo plazo.
Costes adicionales.
Prdida de reputacin.
Prdida de relaciones comerciales.
Prdida de ventaja competitiva.
Prdidas por incumplimiento de normativa.
Prdida de la capacidad operativa.
3 Evolucin de las prdidas con el tiempo (minutos,
horas, das). Perodos con mayor impacto.
3 Evaluacin de los recursos mnimos para continuar
las operaciones de las funciones vitales del negocio.
3 El plazo mnimo en el que se deberan recuperar
los servicios (RTO), en condiciones mnimas y
en operacin normal.
3 El perodo de informacin perdida que es admisible
por el negocio (RPO).
3 Prioridades del negocio en la recuperacin de las
funciones vitales.

Fuente: Libro ITIL Provisin de Servicio publicado por OGC.

Figura 6.3.13. Estructura tipo del BIA

La descripcin de las funciones vitales del negocio es una actividad clave, que ser
de utilidad para la continuidad, pero tambin para la disponibilidad y para la seguridad. En la figura 6.3.14 se muestra una ficha de ejemplo para la descripcin de
estas funciones de negocio.
La evaluacin de riesgos permite identificar la posibilidad de que ocurra un desastre o alguna interrupcin grave de los servicios. Ofrece una evaluacin de la probabilidad de que ocurra el suceso y la vulnerabilidad o exposicin de la organizacin

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

311

Funciones vitales de negocio (VBF)

+10 d

5d

Criticidad

2d

Impacto
negativo

1d

Funcin
de negocio

2h

% prdida
ingresos
Prdida
datos
admisible

Tiempo
parada
admisible

RPO

RTO

Rendimiento
Valor
normal

Valor
mnimo

Denominacin,
descripcin de
la actividad y
su importancia
para la empresa

Estimacin econmica del impacto


si fallase la funcin de negocio

Clasificacin en cuanto a la
importancia de la funcin para
la actividad de la empresa

Valores lmite
admisibles por
el negocio de prdida
sin impacto o con
impacto leve

Rendimientos
de la funcin de
negocio, normal
y el mnimo
admisible

Figura 6.3.14. Ficha ejemplo para la descripcin de las VB

al mismo. La metodologa de evaluacin del riesgo es la misma para la continuidad, para la disponibilidad o para la seguridad y, aunque la disciplina es similar, los
conceptos analizados son diferentes: fallo extraordinario de los servicios, fallo cotidiano de los servicios y fallo en la seguridad. En todos ellos se realiza la:
Identificacin de los riesgos.
Evaluacin de los activos y sus niveles de vulnerabilidad y amenazas.
Evaluacin de los niveles de riesgo.
Gestin del riesgo: contramedidas, priorizacin, etc.
En el anlisis de los riesgos se puede utilizar la metodologa CRAMM 1 centrada en
la identificacin de los activos, las amenazas y las vulnerabilidades. Una vez identificados los riesgos, hay que gestionarlos, identificando las contramedidas justificables para combatirlos. Para la gestin del riesgo se puede utilizar la metodologa
M_o_R (Management of Risk) que estructura la actividad en 5 etapas: polticas,

1
Vase tambin la Norma ISO/IEC Guide 73. Risk management. Vocabulary. Guidelines for use in
standards.

312

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

aproximacin, proceso, institucionalizar y revisar, y comunicar. En la figura 6.3.15


se muestran los esquemas de estas dos metodologas.

CRAMM

M_o_R
Gestin de riesgos

Activos

Amenazas

Riesgos

Contramedidas

Vulnerabilidades

Anlisis de riesgos
Gestin de riesgos

M_o_R polticas
M_o_R aproximacin:
Polticas gestin de riesgos
Gua del proceso
Planes
Registros del riesgo
Gestin de logs
M_o_R proceso:
Identificar
Evaluar
Planificar
Implementar
Institucionalizar y revisar M_o_R
Comunicar

Fuente: Libro ITIL Provisin de Servicio publicado por OGC.

Figura 6.3.15. Metodologas de evaluacin y de gestin de riesgos

La evaluacin de los riesgos de contingencia severa en los servicios arroja como


resultados una clasificacin en funcin del nivel de vulnerabilidad de la instalacin,
frente a la probabilidad de ocurrencia del suceso (amenaza). En la figura 6.3.16 se
muestra un ejemplo de la tabla de medicin de riesgos.
Los requerimientos de continuidad se determinan teniendo en cuenta las necesidades del negocio, expresadas en el desarrollo del plan de continuidad del negocio, en
reuniones especficas con el negocio y tambin en los requisitos de continuidad
contenidos en los SLA en vigor con los clientes.
La estrategia de continuidad de negocio se define a partir del anlisis del impacto
en el negocio (BIA) y de la evaluacin de los riesgos. La estrategia debe ser el resultado del balance entre las medidas de reduccin del riesgo y las soluciones de continuidad. La estrategia debe priorizar los servicios por orden de recuperacin, pero
teniendo en cuenta las posibles variaciones dependiendo del momento en el que se
produzca la contingencia.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

313

Evaluacin del riesgo

Media
Baja

Vulnerabilidad

Alta

Riesgo = Vulnerabilidad x Amenaza

Terrorismo

Pandemia virus

Terremoto

Rotura tubera en CPD


Fallo climatizacin

Incendio
Fallo comunicaciones
Desbordamiento ros
Baja

Fallo eclctico exterior


Media

Alta

Amenaza
Fuente: Libro ITIL Provisin de Servicio publicado por OGC y e.p.

Figura 6.3.16. Ejemplo de una matriz de evaluacin de riesgos

La Norma ISO/IEC 20000-2 establece claramente los requisitos que se deben considerar en la estrategia de continuidad, indicando adems que se debe revisar por lo
menos una vez al ao, y que los cambios a la misma se deben acordar formalmente.

UNE-ISO/IEC 20000-2
Estrategia de continuidad del servicio
El proveedor del servicio debera desarrollar y mantener una estrategia que
defina el enfoque general a seguir para
satisfacer las obligaciones de continuidad del servicio. Esta estrategia debera
incluir la evaluacin de riesgos y tener en
cuenta los horarios de servicio acordados y los periodos crticos del negocio. El
proveedor del servicio debera acordar lo

siguiente con cada grupo de clientes y


servicios:
a) los perodos mximos aceptables
de prdida continuada del servicio;
b) los perodos mximos aceptables
de degradacin del servicio;
c) los niveles aceptables de degradacin del servicio durante un periodo
de recuperacin del servicio.

314

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La estrategia de continuidad debera ser


revisada con una periodicidad acordada, al menos anualmente.

Cualquier cambio a la estrategia debera ser acordado formalmente.

En la definicin de la estrategia se establecen dos requisitos esenciales para cada


servicio, que servirn de base para determinar las soluciones de continuidad que se
deben establecer:
RPO (Recovery Point Objective) o el punto objetivo de recuperacin, fija el
estado de la informacin que se recuperar despus del desastre, pues siempre habr algo que se puede perder. El RPO determina la frecuencia de las
copias de seguridad o de las soluciones de replicacin remotas de datos.
RTO (Recovery Time Objective) o el tiempo objetivo de recuperacin, establece el plazo en el que se debera restaurar un servicio. El RTO determina
la arquitectura que se debe seleccionar para la recuperacin. Los plazos
de segundos requerirn soluciones activo-activo. En cambio, los plazos de
semanas permitirn soluciones manuales muy econmicas.
En la figura 6.3.17 se muestra el esquema tpico para explicar el RPO y el RTO.

Figura 6.3.17. Los conceptos de RPO y RTO en continuidad

De cara a la definicin de la estrategia, las principales alternativas de recuperacin


de los servicios de TI se muestran en la figura 6.3.18. Cuanto ms corto es el plazo

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

315

de recuperacin (RTO), ms cara es la implantacin de la solucin para TI, pero


menos prdidas habr en el negocio.

Fuente: The Definitive Handbook of BCM y e.p.

Figura 6.3.18. Alternativas de recuperacin de los servicios de TI

Siguiendo la clasificacin realizada en ITIL, las principales soluciones de continuidad que se pueden considerar son:
Recuperacin inmediata. Proporciona una recuperacin instantnea (mirroring) sin prdida de servicios y sin prdida de informacin apreciable (RPO y
RTO son iguales a cero). Esta solucin se basa en centros de proceso de datos
conectados en activo-activo, es decir, un mismo servicio est ejecutndose de
forma simultnea en ambos centros, con datos sincronizados y balanceando
la carga entre ambos. Las soluciones de procesamiento distribuido entre mltiples servidores y centros de datos (grid computing) son soluciones de alta
resistencia, pero que requieren aplicaciones especialmente adaptadas.
Recuperacin rpida. Conocida como hot standby, est proporcionada por
dos centros de datos conectados y con las aplicaciones cargadas en ambos y

316

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

con replicacin de datos entre ellos. Una aplicacin slo est ejecutndose en
uno de los centros y, en caso de necesidad, debe activarse en el otro centro
(de respaldo). Proporciona tiempos de recuperacin inferiores a 24 horas
(RTO), con una prdida de datos (RPO) casi nula si se implementa una
replicacin del almacenamiento por fibra.
Recuperacin intermedia. Conocida como warm standby, utiliza instalaciones de respaldo proporcionadas por terceros. Los plazos de recuperacin
esperados estn normalmente entre las 24 y 72 horas.
Recuperacin gradual. Conocida como cold standby, emplea un centro de
respaldo que nicamente contiene la infraestructura fsica y de conectividad
necesaria. Por lo que, en caso de emergencia, hay que instalar los servidores,
el almacenamiento, las aplicaciones, configurar, etc. Los tiempos de recuperacin son superiores a las 72 horas. La informacin se carga desde la ltima
copia de seguridad realizada y llevada a resguardo, por lo que la prdida de
informacin puede ser superior a las 24 horas (RPO).
Acuerdos recprocos. Acuerdos entre empresas u organizaciones para alojar
los servicios en caso de contingencia.
Soluciones manuales. Soluciones provisionales, como por ejemplo, registrar los tickets de incidentes en el service desk en formularios en papel. Tambin comprenden la restauracin de los servicios de forma completa desde
las copias de seguridad.
De acuerdo a los resultados obtenidos en la evaluacin de los riesgos, se desarrolla
un plan general para determinar el alcance especfico que debe tener la continuidad
del negocio. El plan general de continuidad debe ser aprobado por la direccin.
Este plan general se revisa cada vez que hay un cambio en los procesos clave, instalaciones, equipos, personal y servicios contratados que pueda producir nuevas interrupciones con repercusiones en los servicios prestados.

Implementar la continuidad
Una vez establecida la estrategia de continuidad y los requisitos, se pasa a la elaboracin del plan de continuidad de TI y a su implementacin. Es necesario que previamente se haya aprobado el plan general de continuidad del negocio. En la etapa
de implementacin se realizan las siguientes actividades (segn ITIL):
Organizacin y planificacin de la implementacin, que realiza la elaboracin y documentacin del plan de continuidad de TI.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

317

Implementacin de los acuerdos de recuperacin con suministradores de


servicios.
Desarrollo de los planes de recuperacin para cada servicio, infraestructuras, etc.
Implementacin las medidas de reduccin del riesgo aprobadas.
Desarrollo de los procedimientos detallados de actuacin.
Implantacin de los procedimientos definidos para la recuperacin en los
plazos requeridos.
El plan de continuidad de TI es un documento o estructura documental que
recoge toda la informacin necesaria para implantar las soluciones de continuidad y para posteriormente restaurar los servicios. En la figura 6.3.19 se propone

Plan de continuidad de TI
Introduccin
3 Objetivo, alcance y dependencia con otros planes.
3 Polticas.
3 Resumen del anlisis impacto en negocio (BIA).
3 Funciones vitales (VBF), niveles de servicio
continuidad, RPO y RTO.
3 Resumen de la evaluacin de riesgos.
3 Descripcin de la estrategia de continuidad en TI.
Organizacin y recursos
3 Organizacin: ejecutiva, de coordinacin y de
recuperacin.
3 Infraestructuras especficas para recuperacin.
3 Servicios externos contratados.
Fase de invocacin
3 Plan de respuesta a emergencias (procedimientos
notificacin).
3 Plan de evaluacin de daos.
3 Personas que pueden declarar una emergencia y,
consecuentemente, activar el plan.
3 Criterios para la activacin del plan de continuidad.
3 Procedimientos de comunicacin, los equipos de
emergencia y los suministradores involucrados.
Fase de transicin
3 Secuencia acciones previas a la recuperacin de los
recursos: traslados, adquisiciones, etc.
3 Plan de salvamento.
3 Plan de registros vitales.
3 Plan de gestin de la crisis y de relaciones pblicas.
3 Otros procedimientos fase transicin.

Fase
3
3
3
3
3
3
3

de recuperacin servicios
Plan de alojamiento y de servicios.
Plan de redes y sistemas informticos.
Plan de telecomunicaciones.
Plan de seguridad.
Plan de personal.
Plan de administracin y finanzas.
Relacin de manuales y guas tcnicas y otros
documentos necesarios para la recuperacin.

Fase de vuelta a la normalidad


3 Plan de retorno a la normalidad.
Plan de pruebas
Anexos:
3 Datos de contacto de personal y suministradores.
3 Descripcin de los centros alternativos de respaldo.
3 Inventario de infraestructuras.
3 Acuerdos de nivel de servicio con suministradores.
3 Procedimientos de los equipos de emergencia.
3 Manuales y guas tcnicas.
3 Planes de comunicacin y programas de formacin
del plan.
3 Anlisis impacto en negocio (BIA).
3 Relacin de servicios y recursos.
3 Relacin de eventos.
3 Alternativas de respaldo (coste, tiempo de activacin
y cobertura).

Fuente: Libro ITIL Diseo del Servicio publicado por OGC y Telefnica.

Figura 6.3.19. Estructura ejemplo de un plan de continuidad de TI

318

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

esquema del plan articulado en torno al ciclo de vida de la gestin de una contingencia.
En relacin al plan de continuidad, las Normas ISO/IEC 20000 recomiendan una
poltica formal de registro de la documentacin relacionada, la salvaguardia de los
datos de configuracin y, especialmente, de la informacin necesaria para la restauracin de los servicios: plan de continuidad, procedimientos, etc.

UNE-ISO/IEC 20000-1
Los planes de continuidad del servicio, la lista de contactos y la base de datos de
gestin de la configuracin deben estar disponibles incluso en el caso de que no sea
posible el acceso normal a las oficinas. El plan de continuidad del servicio debe
incluir la actividad de vuelta a la normalidad.

UNE-ISO/IEC 20000-2
6.3.4 Planificacin y prueba de la
continuidad del servicio
El proveedor del servicio debera asegurar que:
a) los planes de continuidad tienen
en cuenta las dependencias entre
el servicio y los componentes de
los sistemas;
b) se registran y mantienen los planes de continuidad del servicio y
el resto de documentos requeridos para dar soporte a la continuidad del servicio;
c) la responsabilidad para activar los
planes de continuidad est claramente asignada y los planes establecen claramente la responsabilidad para la toma de las acciones
necesarias frente a cada objetivo;

d) las copias de seguridad de los


datos, los documentos, el software y cualquier equipo y personal necesario para la restauracin
del servicio estn disponibles de
forma rpida ante un desastre o
un fallo importante del servicio;
e) al menos una copia de todos los
documentos relativos a la continuidad del servicio debera estar
almacenada y ser mantenida en
una localizacin remota y segura,
junto al equipamiento que sea
necesario para permitir su uso;
f) el personal conoce y asume su rol
para activar y/o ejecutar los planes y tiene acceso a la documentacin relativa a la continuidad
del servicio.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

319

Como detalle del plan de continuidad se suele generar un plan de recuperacin,


como documento independiente, pues al contener los detalles de las personas de
contacto, procedimientos e instrucciones operativas, su revisin y actualizacin
es muy frecuente. En la figura 6.3.20 se muestra un contenido tipo del un plan de
recuperacin.

Plan de recuperacin
3 Estrategia de recuperacin.
3 Procedimiento de invocacin.
3 Interfaces y dependencias con otros planes.
3 Directrices generales.
3 Dependencias: sistemas, infraestructuras, servicios
externos, etc.
3 Lista de contactos: personal TI, personal otras reas,
direccin, suministradores.
3 Grupo de recuperacin: de TI, de servicios
generales, etc.
3 Lista de comprobacin del grupo de recuperacin.
3 Formulario de evaluacin de daos.
3 Procedimientos de recuperacin:
Recuperacin del service desk.
Recuperacin telecomunicaciones.
Recuperacin de la LAN .
Recuperacin de la WAN.
Recuperacin servidores y almacenamiento.
Recuperacin de datos.
Recuperacin de PC.
Recuperacin alimentacin elctrica.
Recuperacin aire acondicionado.
Comunicacin in situ, etc.

Fuente: Libros ITIL Diseo del Servicio y A Guide to Business Continuity Plan publicados por OGC.

Figura 6.3.20. Contenido tipo de un plan de recuperacin ante un desastre

320

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Gestin operativa de la continuidad


La gestin operativa de la continuidad se centra en mantener actualizados el plan
de continuidad, toda la informacin asociada y a toda la organizacin concienciada
y perfectamente entrenada, adems de la ejecucin del plan de pruebas correspondientes. Las actividades que comprende son:
Educacin y concienciacin de toda la organizacin y, especialmente, en TI.
Revisin y auditoria de los planes y las soluciones: peridicamente, despus
de pruebas o despus de cambios importantes.
Pruebas y simulacros de los planes para comprobar su funcionamiento y
entrenar al equipo humano. Deteccin de acciones de mejora.
Control de los cambios, con el fin de que las soluciones de continuidad estn
siempre vigentes y la informacin actualizada.
Formacin y entrenamiento especfico del personal que deba actuar en las
contingencias.
Aseguramiento o inculcacin de la confianza necesaria en la direccin de que
el plan de continuidad de TI ofrecer los resultados esperados y definidos en
los requerimientos.
Gestin de las contingencias en TI. Activacin del plan de continuidad en el
caso de que ocurra una contingencia severa.
Una vez elaborado el plan de continuidad, debe ser difundido y puesto a disposicin de las partes involucradas. El responsable del plan de continuidad de TI debe
formar al personal a su cargo sobre las actuaciones que se debern realizar en el
caso de que se produzca cualquiera de las situaciones identificadas como de emergencia o desastre.
El responsable del plan establece anualmente un plan de pruebas, donde se definen
las pruebas que se deben llevar a cabo para asegurar la actualizacin y eficacia de
todos los planes de continuidad de la organizacin.

UNE-ISO/IEC 20000-1
El plan de continuidad del servicio debe probarse de acuerdo a las necesidades del
negocio.
Todas las pruebas de continuidad se deben registrar y tras las pruebas fallidas se
deben elaborar planes de accin.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

321

UNE-ISO/IEC 20000-2
Los planes de continuidad del servicio y
la documentacin relacionada (por
ejemplo los contratos) deberan estar
ligados a los procesos de gestin del
cambio y de gestin de los contratos.
Los planes de continuidad del servicio y
la documentacin relacionada (por
ejemplo los contratos) deberan evaluarse respecto al impacto previamente
a que se aprueben los cambios en el
sistema y en el servicio, y previamente a
acordar los nuevos requisitos del cliente
o bien cambios en stos siempre que
sean significativos.

Se deberan llevar a cabo pruebas con


una frecuencia suficiente para asegurar que los planes de continuidad son
efectivos y permanecen as an cuando
se producen cambios en los sistemas,
procesos, personal y necesidades del
negocio. El cliente y el proveedor del
servicio deberan estar implicados conjuntamente en las pruebas, basadas en
un conjunto acordado de objetivos.
Los fallos en las pruebas se deberan
documentar y revisar para proveer de
informacin a un plan de mejora del
servicio.

Una vez aprobado el plan de pruebas, que debe ser respaldado por la direccin, se
realizan acciones de comunicacin entre los responsables de los procesos y servicios
implicados, para que estn al tanto de los planes establecidos.
Cada vez que se realice una prueba, el responsable de realizarla dejar constancia
del resultado en el informe de pruebas, que describe las acciones llevadas a cabo y
la eficacia del plan de continuidad. Esta informacin la analiza el responsable del
proceso, que revisa peridicamente la eficacia de los planes para proponer las mejoras que crea necesarias.
Asimismo, el responsable del proceso es el encargado de que los planes de continuidad se mantengan actualizados y acordes a la situacin actual de la organizacin.
Para ello, peridicamente debe analizar los cambios realizados que pudieran afectar
al plan, como por ejemplo los:
Cambios en los procesos (existentes, nuevos o suspendidos).
Cambios en la estrategia de negocio.
Cambios en los SLA.
Cambios en los acuerdos o contratos con proveedores.
Cambios en la legislacin.
Una nueva evaluacin de riesgos.
Cambios en las ubicaciones, dispositivos y recursos.

322

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Cambios en el personal.
Cambios de direcciones, nmeros de telfono o informacin de contacto.
En caso de modificacin del plan de continuidad de TI, el responsable del proceso,
emite una nueva revisin del plan, identificando el motivo del cambio, el nmero
de versin del documento y la fecha del cambio para su posterior aprobacin. Asimismo, se actualizar el plan general de continuidad del negocio si fuera necesario.

Mejora del proceso de continuidad


Al igual que se ha detallado para la disponibilidad, en la gestin de la continuidad
es recomendable identificar reas de mejora. Las mejoras pueden proponerse desde
el propio proceso, identificarse por el resultado de las pruebas o definirse tras una
situacin de contingencia. El resto de los procesos proporcionan informacin que
puede contribuir a mejorar la continuidad. Tambin se deben tener en cuenta los
cambios que vayan ocurriendo, como por ejemplo, nuevos SLA, variaciones en los
resultados de la evaluacin de riesgos en seguridad o disponibilidad, cambios en la
infraestructura, etc.
Las mejoras a la continuidad, al igual que en la disponibilidad, una vez aprobadas,
se gestionan en el plan de mejora unificado (vase el captulo 4).

Mtricas del proceso (disponibilidad y continuidad)


Al ser la disponibilidad el centro sobre el que giran todos los servicios, las mtricas
de la gestin de la disponibilidad tienen mucha importancia para el seguimiento
diario, semanal, mensual y anual, de los servicios de TI. Las ms destacadas son:
Porcentaje de disponibilidad de los servicios. Es sin lugar a duda, la
mtrica por excelencia en TI. La vorgine de mtricas no debe hacer perder
el foco en este rey de reyes de los indicadores de TI, que siempre se debe
medir y seguir.
Porcentaje de disponibilidad de los servicios crticos, con un detalle especfico para cada una de las funciones vitales del negocio.
El tiempo de respuesta de los servicios es otro de los grandes indicadores
de TI, pues indica si son utilizables. Influye directamente en la productividad de la empresa. Se debe detallar el tiempo de respuesta segn la criticidad
de los servicios.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

323

Porcentaje de disponibilidad total de los servicios prestados por suministradores.


MTBSI (Mean Time Between Systems Incidents), frecuencia media con la que
se producen los incidentes.
MTTR (Mean Time To Repair, downtime, Mean Time To Restore), tiempo
medio de restauracin de los servicios tras incidentes.
Nmero de fallos o incidentes repetidos.
Costes asociados al proceso.
Porcentaje de no disponibilidad de los servicios por paradas planificadas.
Porcentaje de servicios con niveles de disponibilidad acordes a los SLA.
Porcentaje de disponibilidad de los componentes de los servicios.
Aumento del porcentaje de la fiabilidad de servicios y componentes.
Porcentaje de roturas de SLA, OLA y contratos con terceros revisados.
Mejora del porcentaje en disponibilidad global extremo a extremos de los
servicios.
Porcentaje de reduccin en el nmero e impacto de las paradas (mantenimientos) en el servicio.
En la figura 6.3.21 se muestra el modelo abreviado de mtricas de itSMF Espaa
para la disponibilidad.
Las mtricas de la gestin de la continuidad son mucho menos relevantes que las
relativas a la disponibilidad. Estn centradas en informar sobre los grados de cobertura, resultados de las pruebas, de las auditorias, etc. Las principales mtricas de la
gestin de la continuidad son:
Porcentaje de servicios cubiertos por el plan de continuidad de TI.
Retraso en la actualizacin del plan de continuidad.
Nmero de fallos en las pruebas de los planes de continuidad.
Costes asociados al proceso.
Retrasos en las fechas de las pruebas planificadas.
Porcentaje de servicios recuperados en tiempo en las pruebas del plan.
Prdida de ingresos estimada segn los resultados de las pruebas.

324

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Mtricas principales de la gestin de la disponibilidad

Fuente: itSMF Espaa.

Figura 6.3.21. Mtricas de la gestin de la disponibilidad

Resultados de la encuesta de conocimiento del plan de continuidad.


Nmero de cambios generados para subsanar los fallos en las pruebas.
Tiempo total dedicado a las pruebas del plan.
Porcentaje de personal que ha recibido formacin sobre las actividades de
recuperacin.
En la figura 6.3.22 se muestran las mtricas recomendadas en el modelo abreviado
de mtricas de itSMF Espaa.

Roles participantes en la gestin de la disponibilidad y


la continuidad
Al igual que en la generacin de informes, la disponibilidad y la continuidad tienen
una etapa de definicin e implementacin y otra de gestin operativa. La etapa de
implementacin se suele contratar externamente con un enfoque orientado a proyecto llave en mano (especialmente en el caso de continuidad), mientras que en la
etapa de gestin operativa se realizan las pequeas tareas del da a da que mantienen activos y vigentes los planes. Sobre estas dos facetas tan distintas acta un rol

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

325

Mtricas principales de la gestin de la continuidad

Fuente: itSMF Espaa.

Figura 6.3.22. Mtricas principales de la gestin de la continuidad

responsable que, primero controla el proyecto de definicin e implementacin del


plan, para despus gestionar la operativa del da a da.
La responsabilidad del proceso puede recaer en una sola persona o puede dividirse
en dos, asignando a uno la disponibilidad y a otro la continuidad. Depender de
las dimensiones de la organizacin y los servicios que preste. Las tareas relacionadas con la continuidad aparecen con frecuencia vinculadas al rea de seguridad, por
lo que la titularidad del proceso puede ser desempeada conjuntamente.
Los principales roles del proceso son:
El gestor de la disponibilidad. Se responsabiliza de la definicin, implantacin y control de la disponibilidad. Es tambin el responsable de la mejora
continua del proceso. Trabaja en funcin de los objetivos generales acordados con el responsable de los servicios de TI.
El gestor de la continuidad. Es el encargado de definir, desarrollar e implementar el plan de continuidad de los servicios de TI para cumplir en todo
momento los objetivos de recuperacin del negocio. Gestiona la mejora continua del proceso y se coordina con el responsable de la gestin de servicios
de TI. Tambin es el responsable de:
Mantener y ejecutar el plan de pruebas.

326

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Realizar revisiones peridicas de la calidad de todos los procedimientos


para asegurar su inclusin en el plan de pruebas.
Realizar revisiones regulares, al menos anualmente, de los planes de contingencia con las reas del negocio para asegurarse de que reflejan con
exactitud la realidad.
En lo relativo a la etapa del proyecto de implantacin se puede contar con
un jefe de proyecto que asista al gestor.
Arquitecto tecnolgico. Realiza la definicin de la arquitectura tecnolgica
para que los sistemas sean capaces de alcanzar la disponibilidad demandada.
Tambin disea las plataformas para la continuidad de los servicios. Las principales disciplinas de su mbito son: el balanceo de carga, la consolidacin,
la virtualizacin y la replicacin remota. Una vez definidas las arquitecturas,
se informa de su rendimiento y se mantiene al da del avance tecnolgico con
el fin de proponer mejoras al mismo.
Especialistas de soporte. Son tcnicos especializados que se encargan de la
monitorizacin de los elementos de infraestructura de TI, participan en las
pruebas de la continuidad, etc.
Administrador y soporte de disponibilidad. Es el responsable de la administracin a nivel tcnico (de sistemas y de herramientas) del proceso de gestin de disponibilidad. Se ocupa de proporcionar y mantener los medios tcnicos necesarios para una gestin eficiente del proceso.
Administrador y soporte de continuidad. Apoya al gestor de la continuidad
en sus funciones.
Los roles ajenos relevantes en este proceso son:
El responsable del plan de continuidad del negocio, con el que tiene que
enganchar el plan de continuidad de TI.
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados. Aporta la relacin con la direccin de la
empresa y las principales directrices para la disponibilidad y continuidad.
Proporcionan los presupuestos para los costosos planes de implementacin.
Revisa y valida las alternativas de diseo y los resultados finales.
El responsable de las relaciones con el negocio lleva el contacto con el negocio
para el anlisis de impacto (BIA), la identificacin de las funciones vitales, en la
definicin de los requerimientos del negocio y en la gestin de todo contacto,
participacin o validacin que se requiera por parte de las reas cliente de TI.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

327

El gestor financiero debe dotar de recursos para la implementacin de las


arquitecturas y soluciones definidas. Debe adems balancear entre los presupuestos disponibles y las soluciones que se desean alcanzar.
El gestor de cambios debe identificar los cambios que tienen impacto en la
disponibilidad y en la continuidad, para que sean validados por este proceso.
El propietario del modelo SGSTI acta como propietario del proceso (process
owner), define el proceso, vela por el cumplimiento y actividades del proceso, y
se encarga de la mejora continua del mismo.
En la figura 6.3.23 se muestran los principales roles del proceso:

Roles del proceso

Responsable de la
gestin del servicio

Gestor
disponibilidad

Gestor continuidad TI

Responsable plan
de continuidad negocio
Gestores de otros
procesos y reas TI

Arquitecto tecnolgico

Especialista
de soporte

SGSTI

Propietario del
modelo (SGSTI)

Administrador y
soporte disponibilidad

Administrador y
soporte continuidad

Figura 6.3.23. Roles de gestin de la disponibilidad y continuidad

328

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Resumen
La gestin de la disponibilidad y de la continuidad parte de principios muy similares de alineacin con las necesidades del negocio y de creacin de planes, para posteriormente divergir en dos disciplinas diferenciadas. La primera es la disponibilidad
que se convertir en el astro rey de los servicios. El porcentaje de disponibilidad ser
la obsesin de todo responsable. La segunda, la gestin de la continuidad, juega a
los dados con el azar y el futuro de la empresa, proponiendo a la direccin importantes inversiones para garantizar la supervivencia, e intentando sustraer presupuesto de las actividades operativas.
Una vez implantados los planes, la gestin de la disponibilidad estar continuamente en boca de todos, mientras que la gestin de la continuidad se convertir en
ese profeta que muchas veces predica en el desierto.
La gestin de la disponibilidad tiene por objeto que se alcancen las mximas cotas
de disponibilidad posibles (dentro de las requeridas por el negocio), o por lo menos,
los niveles pactados siempre movindose dentro del mbito presupuestario asignado. La gestin de la disponibilidad trabaja para alcanzar los siguientes resultados:
Tasas de disponibilidad y tiempos de respuesta acordes con lo pactado con el
negocio y, al menos, que sean similares a las de las empresas de la competencia.
Definicin de las directrices de diseo para la disponibilidad. Diseo de
arquitecturas de disponibilidad.
Tipificacin de los servicios en funcin de su criticidad para el negocio.
Generacin y revisin del plan de disponibilidad.
Planificacin y control de componentes de la infraestructura y de los servicios, para asegurar el cumplimiento de las necesidades de disponibilidad
actuales y futuras.
Anlisis de las situaciones de no disponibilidad del servicio, con el fin de
identificar mejoras. Interviene a posteriori, despus de que la gestin del
incidente haya restaurado el servicio.
Mejorar la disponibilidad de la infraestructura.
Controlar que los cambios cumplen con unos niveles de disponibilidad adecuados y fiables.
La gestin de la disponibilidad y la continuidad deben estar presentes desde
el momento en que se decide crear un servicio. Para ello, es necesaria una perfecta
sintona tanto con gestin de nivel de servicio, como con el proceso de creacin de
nuevos servicios o modificacin de los existentes.

99,99%

6. Procesos de provisin de servicio


6.3. Gestin de la continuidad y disponibilidad del servicio

329

La gestin de la continuidad de TI se centra en garantizar que, despus de una contingencia severa, la empresa seguir teniendo los servicios que necesita en el plazo
acordado. Proporciona los siguientes resultados:
Identificacin de los riesgos que la organizacin est afrontando, en trminos de probabilidad e impacto. La identificacin y priorizacin de los procesos clave de la organizacin.
Evaluacin del impacto que tendran las interrupciones en el negocio y fijar
los objetivos del negocio en lo referente a los recursos de TI.
Formulacin de la estrategia de continuidad de negocio coherente con los
objetivos y prioridades de negocio.
Realizacin del plan de continuidad de TI, junto con todos los procedimientos o planes de recuperacin asociados.
Contratacin de plizas de seguros adecuadas para mitigar la exposicin a
prdidas econmicas.
Implantacin de las contramedidas de reduccin del riesgo y de las soluciones de continuidad.
Personal concienciado y entrenado para actuar en el caso de un desastre.

Beneficios
Los principales beneficios son la obtencin de una correcta disponibilidad y tiempo
de respuesta de los servicios, y una mejora significativa en la garanta de continuidad de los servicio de TI.
En cuanto a la gestin de la disponibilidad, los beneficios se resumen en:
El negocio utiliza unos servicios con unos niveles de disponibilidad y tiempo
de respuesta adecuados a sus necesidades.
Los servicios se disean sobre una arquitectura planificada para ofrecer la
disponibilidad deseada.
Los cambios se prueban para verificar el cumplimiento de los criterios de
disponibilidad.
Se identifican los incumplimientos y se investiga su causa.
Los niveles de disponibilidad se monitorizan continuamente y se mejoran
donde sea necesario.

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

330

Se detecta la incapacidad de determinados suministradores para satisfacer los


requisitos de servicio.
Se salvan fallos evitables en los servicios.
Los beneficios aportados por la gestin de la continuidad son:
Se conocen y se tienen acordados, con el negocio, las necesidades de continuidad de los servicios de T, en funcin de las necesidades de continuidad de
las funciones del negocio.
Se dispone de un plan de continuidad de TI que aglutina todo lo necesario
para definir, implantar y actuar.
Se analizan las situaciones que pueden poner en peligro la continuidad de los
servicios, para identificar acciones que controlen esos riesgos, as como, para
identificar acciones de mejora. Se gestionan los riesgos para que la organizacin pueda seguir funcionando, al menos, al nivel mnimo predeterminado.
Se reduce el riesgo a un nivel aceptable y se planifica la recuperacin de los
servicios de TI. Por tanto, se puede esperar una reduccin de la prima de
seguros, una mejora de la imagen de la empresa, etc.
Las soluciones de replicacin remota, consolidacin y virtualizacin, que
muchas veces son necesarias, aportan mejoras en la robustez de las infraestructuras y ahorros en la gestin de una planta ms uniforme.

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 2:
Cules son los principales riesgos a los que estn expuestos los servicios de TI en su organizacin
Cules son las funciones vitales en su negocio?
Qu impacto tendra en su negocio una parada de una hora de los
servicios de TI ms crticos (bien por fallo interno o por desastre)?

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

331

6.4. Elaboracin del presupuesto y contabilidad de


los servicios de TI (gestin financiera de TI)

Figura 6.4.1. Actividades principales del proceso de gestin financiera de TI

La reduccin de los costes de TI lleva siendo, en los ltimos aos, una de las principales prioridades de la direccin de sistemas de informacin. El reto est en conjugar esta progresiva constriccin presupuestaria con la presencia cada vez mayor
de las tecnologas de la informacin en el negocio. En tiempos de crisis econmica,
el proceso de gestin financiera de TI aporta elementos esenciales de decisin y de
control (vase la figura 6.4.1).
En sentido contrario a la reduccin de costes, ha ido creciendo el nmero de servicios de TI considerados crticos por el negocio. Con la apertura a Internet el
nmero de usuarios se ha disparado y la demanda de nuevas tecnologas en la
empresa se incrementa cada da.
Adems, los antiguamente iletrados usuarios de los sistemas son hoy ciudadanos
de un mundo cada vez ms digitalizado, que exigen a la empresa el mismo nivel
tecnolgico que ellos reciben en su vida privada: un correo con la calidad y capacidad de gmail, entornos colaborativos como los de Internet, un espacio en disco de
red equivalente a su disco USB de bolsillo, etc. Para colmo de males, estos servicios

332

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

son gratuitos o a un coste unas cien veces inferior a los que la empresa puede ofrecer a sus usuarios.
Todo ello, genera la sensacin de que los servicios que TI ofrece al negocio son
inflexibles y caros, provocando una percepcin muy negativa en la alta direccin y
en las reas cliente de TI.
Por fortuna, hay algunos apuntes en el haber de TI para equilibrar un poco
la balanza, como por ejemplo las grandes holguras presupuestarias del pasado, la
capacidad actual para poner el foco en lo verdaderamente esencial para la empresa
y el aumento de prestaciones del equipamiento hardware y las nuevas formas de
gestin de TI ms eficientes, como las definidas en ISO/IEC 20000 o en ITIL.
La adopcin de las mejores prcticas en la gestin econmica o financiera de TI y
otras medidas de eficiencia y calidad, aportarn una solucin a este callejn sin
salida de hacer ms con menos presupuesto. Estas prcticas proporcionan instrumentos para responder a los retos de reduccin de costes en un entorno de negocio
cada vez ms exigente e impulsa a las organizaciones de TI hacia una gestin eficiente de los recursos. Aunque en realidad, la gestin financiera no permite por s
sola la reduccin de costes o el hacer ms con menos, necesita la existencia del
resto de procesos.
Una gestin econmica avanzada de los servicios de TI est caracterizada por:
La definicin de unas polticas de gestin econmica o financiera de TI.
La elaboracin precisa y formal de los presupuestos anuales y el seguimiento
con rigor de su evolucin.
La realizacin de una contabilidad analtica de los costes, que permite el
conocimiento al detalle de los costes de TI en la provisin de los servicios.
La imputacin de costes a las reas cliente mediante una facturacin acorde
con los servicios ofrecidos, para contrapesar la demanda con los costes reales.
Hay que sealar que esta actividad no est dentro del mbito de la Normas
ISO/IEC 20000, si bien es una actividad muy recomendable y, por ello, tratada en este libro.
Aunque las tecnologas de la informacin son importantes y estratgicas para la
empresa, el departamento interno de sistemas de informacin suele ser un centro
de costes, es decir, no genera ingresos. El negocio y el departamento financiero de
la empresa consideran a TI como una unidad interna ms, al igual que marketing,
servicios generales, recursos humanos, vigilancia fsica, etc. Adems, el mbito contable-financiero no es una especialidad de TI. Por ello, hay que hacer una aproximacin a la gestin financiera de TI con mucha humildad, reconociendo que se

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

333

est ante una actividad que es la especialidad de otro departamento y ante el que TI
es uno ms.
Por todo lo anterior, el enfoque de este proceso debe ser algo diferente al resto de
los procesos de TI. Muchas de las descripciones realizadas en este proceso son ms
bien explicaciones simplificadas de las disciplinas econmicas y van destinadas al
personal de TI para que realice adecuadamente la parte que les corresponde en la
gestin financiera. En este proceso no se pretende dar ningn tipo de leccin a los
profesionales de las finanzas.
El proceso de gestin financiera de TI debera conseguir que las necesidades y requisitos particulares de TI se incorporen en los sistemas financieros y contables de la
empresa. Desde la estructura de los presupuestos hasta la contabilizacin de la ltima
factura, se deberan realizar integrados en estos sistemas. Es frecuente y lgico que las
organizaciones grandes de TI tengan un grupo propio de personas dedicadas al control
y a la gestin financiera. Pero se debe evitar la tendencia natural de crear un sistema de
control y de gestin de costes de TI paralelo y conseguir que las necesidades puedan
ser cubiertas por el sistema financiero corporativo, aunque en muchos casos, las necesidades particulares de TI (sobre todo desde la perspectiva de gestin de activos y en la
utilizacin de recursos) requieren la utilizacin de sistemas complementarios.
En ISO/IEC 20000-2, la gestin financiera de TI se describe en torno a tres reas:
la definicin de las polticas, la elaboracin del presupuesto y la contabilidad de los
servicios. Adems, en este libro se incorporan tambin muchas de las recomendaciones de ITIL v2, entre otras, la facturacin de los servicios, esencial para equilibrar la balanza entre la demanda de las reas cliente y de la oferta de TI. En la
figura 6.4.2 se muestra una introduccin a este proceso.
El objetivo principal del proceso es conseguir una administracin eficiente de los
recursos econmicos de TI. Genera como principales contribuciones:
La administracin eficiente de los activos de TI utilizados para proveer los
servicios de TI.
Una integracin y dilogo perfecto con el rea financiera de la empresa.
El poder realizar una contabilidad exacta de los servicios de TI.
Facilitar la toma de decisiones sobre inversiones en TI de una forma eficiente.
Orientar las organizaciones de TI a estructuras de costes ms competitivas.
La optimizacin de los costes de los servicios de TI. La deteccin de ineficiencias en costes, permitiendo concentrar los recursos econmicos en funciones esenciales para el negocio.

334

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Proceso de gestin financiera


de TI
Definicin:
Proceso centrado en la gestin
econmica de los servicios TI, que
realiza una administracin cuidadosa,
responsable y eficiente de los costes.

Objetivo:
Presupuestar y contabilizar los costes
de la provisin del servicio.
Adems, en el libro se incluye la
facturacin de los servicios.

Qu aporta:
Define las directrices para la gestin
econmica de TI.
Integracin con el rea financiera de
la empresa.
Aumento del rigor en la definicin y
gestin de los presupuestos.
Proporciona una informacin precisa
sobre los costes, para la toma de
decisiones sobre inversiones en TI.
Conocimiento exacto de los costes
totales de propiedad (TCO) a lo largo
de la vida de los servicios.
Identifica ineficiencias existentes en
relacin a los costes.
Permite un uso ms eficiente de
los recursos y los servicios de TI,
moderando la demanda de los clientes.

Figura 6.4.2. Introduccin al proceso de gestin financiera de TI

La repercusin de costes indirectos y la asignacin de costes directos a servicios, bien a los clientes internos de la organizacin, o bien a los clientes finales en el caso de proveedores de servicios de TI.
La racionalizacin de la demanda de peticiones de servicios en funcin de su
coste y aportacin al negocio, con el resultado de un consumo eficiente de los
servicios por los usuarios.
Este proceso estructura su mbito en torno a las siguientes reas:
Polticas. Directrices que determinan la forma de alcanzar los objetivos.
Presupuestar. Su finalidad es predecir el gasto econmico, conseguir los
recursos necesarios y controlar el cumplimiento del presupuesto de la organizacin de TI. Genera un ciclo de negociaciones peridicas que permite
confeccionar los presupuestos (habitualmente anuales), para realizar posteriormente el seguimiento semanal o mensual de su ejecucin.
Contabilizar. La contabilidad analtica de costes permite conocer en detalle la
distribucin del coste en la cadena de valor de TI. Esta actividad pone nfasis
en la identificacin y conocimiento de los costes por servicio y por cliente.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

335

Facturar. Este punto, no cubierto en las Normas ISO/IEC 20000, agrupa el


conjunto de actividades necesarias para gestionar el cobro a los clientes por
los servicios prestados. Gracias a la contabilidad realizada se puede establecer
una tarifa de precios por cada servicio y sus opciones. Aunque una organizacin determine no facturar a sus clientes, es clave que el cliente conozca de
forma oficial los costes reales de los servicios de TI que demanda y recibe.
A diferencia de los presupuestos, la contabilidad detallada y la facturacin son reas
que no se suelen percibir como prioritarias en TI. Aunque en una certificacin
ISO/IEC 20000, los presupuestos y la contabilidad sern requisitos necesarios.
El gestor de este proceso se enfrenta a un entorno tcnico, en el que la cultura de la
gestin financiera en TI no es apreciada, ni est extendida. En la figura 6.4.3 se
muestran los principios directores que se deben tener en cuenta en la implementacin de este proceso.

Figura 6.4.3. Principios directores que deben regir el proceso

El primer principio es la integracin con la empresa. Este proceso de gestin


financiera pretende que el rea de TI se comporte econmicamente y en sus decisiones como si fuera una compaa. Por esto, su implementacin debe estar completamente integrada con las formas de hacer del resto de la empresa en todos sus

336

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

mbitos: en los presupuestos, en la contabilidad y en la facturacin. De esta


forma, TI podr aprovechar el conocimiento y las herramientas ya en uso en el
resto de la organizacin para no crear una isla aparte reinventando la forma de
gestionarse econmicamente.
Otro de los aspectos clave que contribuyen al xito de este proceso es el establecimiento de los presupuestos de forma negociada con todas las partes implicadas,
tanto con las reas cliente como con los grupos internos que forman TI. Si el responsable de un grupo no se siente identificado con el presupuesto y ste no se
ajusta a la realidad, en muy poco tiempo se producirn desviaciones con las consiguientes peticiones de ampliacin presupuestaria.
La sencillez, que proporciona claridad, es quiz uno de los puntos ms difciles de
conseguir y debe ser un principio bsico para todas las actividades que rodean a
este proceso. La sencillez debe estar presente en la elaboracin del presupuesto y
sus partidas, en la definicin del modelo de costes utilizado, en la contabilizacin
y en la asignacin de precios a los servicios.
La implantacin de la normativa legal financiera en las empresas la suele liderar el
departamento financiero, quedando este proceso a sus rdenes para ejecutar los
requerimientos correspondientes al mbito de TI.
Las empresas multinacionales estn sujetas adems al cumplimiento de normativas
especficas en el mbito financiero, entre ellas destaca la relativamente reciente
Sarbanes-Oxley, conocida como SOX, que es una ley federal del Gobierno de
Estados Unidos para controlar la gestin financiera de las grandes empresas. Esta
ley americana toma el nombre del senador Paul Sarbanes (demcrata) y el congresista Michael G. Oxley (republicano). Se public el 30 de julio de 2002 como
respuesta a los grandes escndalos 1 que hicieron caer la confianza de la opinin
pblica en los sistemas de contabilidad y auditora. Establece nuevos requerimientos
para los consejos de administracin y direccin, fija mecanismos contables para
todas las empresas que cotizan en las Bolsas de Estados Unidos, introduce responsabilidades penales en el consejo de administracin y establece unos requerimientos
por parte de la SEC (Securities and Exchange Commission), la comisin reguladora
del mercado de valores de Estados Unidos. Los partidarios de esta ley afirman que
la legislacin era necesaria y til, mientras los crticos creen que causar ms dao
econmico del que previene 2.
En la figura 6.4.4 se muestran los componentes principales del proceso.

Enron, Tyco International, Adelphia, Peregrine Systems y WorldCom.

La informacin sobre SOX se ha obtenido de Wikipedia.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

337

COMPONENTES DEL PROCESO


Requerimientos
financieros del
negocio para TI

Objetivos financieros
para TI

PRESUPUESTO

Planificacin de TI
Cartera de proyectos
y actividades de TI

CONTABILIDAD

SGSTI
Modelo de gestin TI

Poltica de gestin
financiera de TI

Sistema de Gestin del Servicio de TI (SGSTI)


Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados

Procesos de la provisin del servicio


Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio

Gestin de nivel de servicio


Generacin de
informes del servicio
Procesos de control

Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI

Gestin de la configuracin
Gestin del cambio

Modelo
de costes

Proceso
de entrega
Proceso de gestin
de la entrega

Procesos
de resolucin

Procesos
de relaciones

Gestin del incidente

Gestin de las relaciones


con el negocio

Gestin del problema

Gestin de suministradores

Mejoras
FACTURACIN

PDCA
SGSTI

Modelo de
facturacin
Precios
Catlogo
de servicios

Figura 6.4.4. Componentes principales del proceso de gestin financiera de TI

Catlogo de servicios. Proporciona una visin sencilla, en terminologa entendible por el negocio, de todos los servicios provistos por TI y las alternativas u opciones de prestacin. El catlogo debera contener los precios.
Contabilizar. Registro detallado de los costes en los que incurre TI, con una visin
de los costes por cada servicio y sus componentes.
Coste. El coste es todo importe econmico que debe pagar la organizacin. El
coste se divide en inversin y en coste operativo.
Coste de capital (CAPEX, Capital Expenditure) o Inversin. Trmino que
recoge los importes econmicos dedicados a incrementar los activos amortizables.
Coste operativo (OPEX, Operating Expenses). Se aplica al coste dedicado a
soportar la actividad (operacin y control).
Depreciacin o amortizacin de activos. Es la imputacin contable en varios
aos de la inversin de capital. El valor de compra del activo se distribuye entre los

338

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

aos del perodo de amortizacin. En la contabilidad de un ao no se imputa el


coste total de los activos, sino que slo se contabiliza la prdida de valor o depreciacin del activo durante el ejercicio. El perodo de amortizacin fija el plazo en
que el activo deja de tener valor contable (el valor de adquisicin menos el valor
amortizado se iguala con el valor residual del activo). Cada tipo de activo (hardware, software, etc.) tiene un perodo de amortizacin regulado legalmente en cada
pas (los coeficientes mximos y mnimos estn fijados en Espaa por el Ministerio
de Hacienda), que suele oscilar entre los 3 y 5 aos.
Elemento de coste. Es todo elemento de configuracin o componente que lleva
asociado un coste, como, por ejemplo: el hardware, el software, el personal, la ubicacin, etc.
Facturar. Repercutir de manera real o informativa los costes en los que incurre TI
a consecuencia de la creacin de los servicios y de su uso por las reas cliente.
Mejoras. Las mejoras identificadas en el proceso, bien debido a la necesidad de
optimizacin de costes, o bien por la deteccin de deficiencias en otros procesos,
se incorporan al plan general de mejora del servicio.
Modelo de costes en TI. Define la estructura de las partidas presupuestarias y de
la contabilidad analtica de TI. Se debe intentar utilizar una clasificacin uniforme
de partidas para el presupuesto y para la contabilidad, y debe estar alineada con la
estructura de la CMDB. El modelo debe balancear entre el suficiente detalle para el
control de los presupuestos y la simplicidad en la contabilidad analtica, de tal forma
que se tenga suficiente informacin para la toma de decisiones. La obtencin de
dicha informacin debe ser sencilla. Si en el modelo de costes se decidiese conocer
al mnimo detalle el coste de cada tarea, sera necesario, por ejemplo, implantar un
sistema de imputacin de tiempos, con una precisin de minutos o de horas, para
todo el personal de TI.
Modelo de facturacin de TI. Forma en la que se cobrarn los servicios a las reas
cliente o, por lo menos, en la que se les informar de los costes incurridos por TI
para proveerlos. El modelo de facturacin, visible externamente para el cliente,
debe ser sencillo y, para el control interno de TI, debe alinearse con la estructura
del modelo de costes. La facturacin va a permitir que se controle mejor la
demanda de los clientes y la utilizacin por los usuarios. El cliente valorar aquello
por lo que tiene que pagar, pero por el contrario exigir precios y calidad equiparables al mercado, y un retorno de valor por su dinero.
Modelo o sistema de gestin de los servicios de TI (SGSTI). Las polticas, y
todos los modelos de costes y facturacin se incorporan en el modelo general de
gestin de TI.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

339

Objetivos financieros para TI. En el ciclo de preparacin de los presupuestos, la


direccin financiera del negocio establece el marco econmico en el que se debe
mover TI que, en estos ltimos aos, est siendo restrictivo. Estos objetivos econmicos que se deben cumplir deben ser acordes con la estrategia general de TI y con
las demandas de las reas cliente. Por ejemplo, en un entorno expansivo del negocio o de fuerte innovacin tecnolgica sera difcil garantizar la respuesta de TI si
se estableciera un marco de presupuestos en constante reduccin. Normalmente el
truco est en que se fuerza una reduccin del presupuesto en las partidas de los
costes operativos, permitiendo aumentar as las partidas para la inversin.
Planificacin de TI. Los objetivos, el portfolio de servicios, la cartera de proyectos
y las actividades a realizar por TI estn estrechamente vinculados con los objetivos
financieros y los presupuestos asignados, pues la mayora de las actividades de TI
necesitan de un presupuesto para mantenerse. Por tanto, sern necesarias varias rondas
de revisin y negociacin con todas las partes para encajar la planificacin con el
marco presupuestario.
Poltica de gestin financiera de TI. Define las directrices que se deben cumplir
por este proceso, necesarias para la definicin del modelo de costes y el de facturacin (si procede).
Precios. Es recomendable que el catlogo de servicios refleje los precios de los
servicios o, por lo menos, de los costes en los que incurre TI al proveerlos.
Presupuestar. Establecimiento y aprobacin de los presupuestos de TI.
Requerimientos financieros del negocio para TI. El departamento financiero, en
representacin de la empresa, establece los requerimientos econmicos que debe cumplir TI (control, reduccin de costes, forma de repercusin de los costes, etc.); aprueba
los presupuestos de TI y realiza el seguimiento de los cierres mensuales; y, adems, las
reas cliente reciben una realimentacin de los costes de los servicios que demandan y
utilizan. Por otra parte, son las reas de negocio las que presentan a TI sus necesidades,
quien deber analizar la forma de cubrirlas en el mbito del presupuesto establecido.

Entradas, actividades y salidas del proceso


Las prioridades principales del proceso son el control de los costes de TI y el conocimiento de lo que cuestan los servicios y las principales funciones de TI. En la
figura 6.4.5 se muestran las entradas, actividades y salidas del proceso destinadas a
conseguir estos objetivos.
Las entradas principales que desencadenan el inicio del proceso son la necesidad de
planificar el siguiente ejercicio presupuestario de la empresa y de TI (normalmente

340

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

anual), que suele conllevar la definicin de unos nuevos objetivos financieros para
TI realizados en funcin de la planificacin de las actividades que se deben realizar;
y de una necesidad de compra que TI inicia y solicita su aprobacin presupuestaria.
Hay otras entradas de soporte que se utilizan en el proceso. Destacan los objetivos
financieros establecidos por la organizacin para TI; la planificacin de proyectos y
actividades previstas para TI, donde se reflejan todas las actividades y compromisos
planificados; el modelo de costes, formado por una estructura que permite registrar y asignar todos los costes; el modelo de facturacin o imputacin de costes a

Entradas

Actividades

Desencadenantes
del proceso:

3 Definicin de la poltica de
gestin financiera.

Necesidad de planificar
el siguiente ejercicio
presupuestario.

3 Presupuestar:

Necesidad de compra.
Entradas de soporte:
Objetivos financieros
para TI.
Planificacin de TI.
Modelos de costes y de
facturacin anteriores.
Peticin de informes
econmicos y consultas.
CMDB y catlogo de
servicios.

Seguimiento del
presupuesto.
Autorizar econmicamente
las compras.
3 Contabilizar:
Definir el modelo de costes.
Registrar compras y costes.
3 Facturar (*):
Definir precios.
Emisin de facturas.
3 Identificacin de mejoras
en TI.
3 Supervisin del
funcionamiento del proceso.
Mejora del proceso.

Salidas
Salidas principales:
Poltica de gestin
financiera de TI.
Presupuesto de TI.
Informes de
seguimiento
presupuestario.
Informe de los costes
de TI por servicio y
por cliente (*).
Facturas por los
servicios prestados (*).
Salidas secundarias:
Planificacin de TI
ajustada.
Informes e informacin
econmica. Ratios de
costes.
Autorizaciones a
compras.
Modelo de costes en TI.
Modelo de facturacin.
CMDB actualizada.
Precios del catlogo
actualizados.

(*)

No requerido por ISO/IEC 20000.

Fuente: Libro ITIL Provisin de Servicio publicado por OGC.

Figura 6.4.5. Entradas, actividades y salidas del proceso

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

341

clientes; diversas peticiones de informes y consultas econmicas sobre TI; y la


CMDB, para identificar los elementos intervinientes en un servicio y el catlogo de
servicios, con el fin de identificar los costes de los servicios ofrecidos.
Las principales actividades que realiza este proceso son la definicin de la poltica
de gestin financiera, a partir de los requerimientos y objetivos del negocio para
TI; la elaboracin del presupuesto (presupuestar), que tiene como objetivo dotar
de recursos econmicos a TI en funcin de las predicciones de gasto (dentro de esta
actividad se realiza el seguimiento del presupuesto para controlar su evolucin, y la
autorizacin econmica de las compras para garantizar que se gastan slo las partidas comprometidas); la contabilidad de los servicios de TI, que tiene como objetivo llevar un registro completo de la forma en que se gasta el presupuesto; la facturacin de los servicios de TI, para gestionar la imputacin de los costes a los
clientes por los servicios ofrecidos; y la supervisin del funcionamiento del proceso
y las acciones de mejora del mismo, que permiten ir eliminando las ineficiencias y
la tendencia natural del control econmico hacia la burocracia.
Las salidas principales del proceso son el documento con la poltica de gestin
financiera de TI definida; el presupuesto econmico de TI para el ejercicio; los
informes de seguimiento presupuestario, que proporcionan informacin de la
situacin actual y de los cierres presupuestarios intermedios; y la informacin del
coste de los servicios prestados a los clientes, ya sea en forma de facturacin real o
mediante un informe especfico.
Entre las salidas secundarias destacan la planificacin general de TI ajustada y
modificada acorde con los presupuestos; informes e informacin econmica
diversa, as como, ratios econmicos (coste por usuario, coste por capacidad de
proceso, etc.); las autorizaciones econmicas a las compras de TI; los documentos
con el modelo de costes de TI y el modelo de facturacin; la CMDB actualizada en
cuanto a los costes de los elementos de configuracin y servicios; y el catlogo
de servicios actualizado con los precios revisados.

Interrelacin con otros procesos y reas de TI


La gestin financiera de TI est estrechamente ligada a otras reas y procesos: el
rea financiera de la empresa, la gestin de las relaciones con el negocio, la gestin
de nivel de servicio, la gestin de la capacidad, la gestin de la disponibilidad-continuidad y la gestin de suministradores.
rea financiera de la empresa. El proceso de gestin financiera de TI es receptor
de los requerimientos del negocio para TI en sus aspectos econmicos y los despliega. Adems, negocia los presupuestos e informa peridicamente de su ejecucin.

342

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El objetivo es conseguir que la gestin financiera de TI est integrada completamente en la gestin financiera general de la empresa. Para ello es necesario que los
requerimientos especficos de TI se reflejen en sta ltima. El presupuesto de TI se
realiza igual que en el resto de departamentos de la empresa, la contabilidad utiliza
los sistemas contables de la empresa y la facturacin se realiza a travs del rea
financiera o de cobros. En la figura 6.4.6 se ilustra esta integracin.

DEPARTAMENTO FINANCIERO DE LA EMPRESA

PRESUPUESTO

CONTABILIDAD

Necesidades
presupuestarias de TI.

Necesidades de
clasificacin contable
para TI.

Cumplimiento
presupuesto.

FACTURACIN

Detalles de
consumo TI
de los clientes

Desglose de los
costes TI incurridos

GESTIN FINANCIERA DE TI

MARKETING

VENTAS

FABRICACIN

SISTEMAS DE
INFORMACIN

ADMINISTRACIN

SERVICIOS
GENERALES

Etc.

Figura 6.4.6. Integracin de la gestin financiera de TI con


la gestin financiera de la empresa

Relaciones con el negocio. Cuando se definen los presupuestos es necesario mantener reuniones con los clientes para acordar los servicios que se van a prestar en el
ejercicio, su evolucin y sus precios. Esta negociacin se lleva a cabo a travs del
proceso de las relaciones con el negocio.
Gestin de nivel de servicio. La gestin de nivel de servicio acuerda con la gestin
financiera la presupuestacin de los recursos necesarios para cumplir los niveles de
servicio pactados y la financiacin de los planes de mejora del servicio (SIP). Por
ejemplo, si se negocia con un cliente la atencin en fines de semana, ser necesario

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

343

tener presupuestado y aprobado este coste extra antes de cerrar el SLA. Con la gestin de nivel de servicio tambin se analizan las mejoras de eficiencia en costes de
los servicios. Adems, en el catlogo de servicios se incorpora el precio de cada servicio y sus opciones.
Gestin de suministradores. La gestin de suministradores est muy vinculada a
este proceso. Las relaciones entre ambos se establecen en todos los mbitos de la
gestin de suministradores: en la definicin de la estrategia de sourcing, que debe
ser acorde con los objetivos financieros; en el ciclo de seleccin y contratacin, que
lleva a cabo las compras; y en el ciclo de gestin de la prestacin del suministrador,
para velar por los pagos y las variaciones econmicas dependientes de la demanda.
Gestin del cambio. Los cambios importantes deben valorarse en cuanto al coste
y aprobarse bajo el mbito de la gestin del cambio. Este requisito obliga a la gestin financiera a trabajar de una forma conjunta con el resto de la organizacin en
la aprobacin de los cambios y sus costes bajo el proceso de gestin del cambio.
Gestin de la capacidad. La gestin de la capacidad participa en la elaboracin de
los presupuestos con las previsiones de recursos identificadas en el plan de capacidad. Con las previsiones, se pueden concentrar las compras y evitar las compras de
urgencia para obtener ahorros adicionales. Adems, proporciona informacin sobre
la utilizacin de las infraestructuras y de los recursos.
Gestin de la disponibilidad y continuidad. La continuidad puede requerir grandes inversiones en replicaciones, en servicios externos y en centros redundados. La
elaboracin de presupuestos y contabilidad debe conseguir que las soluciones de
continuidad tengan el equilibrio entre el coste y el beneficio aportado al negocio.
Pues, podra ocurrir que la prdida posible del negocio sea menor que el coste de
los mecanismos redundados.
Gestin de la configuracin. La informacin sobre los costes de los activos los
proporciona el proceso de gestin financiera, y gestin de la configuracin los
almacena como un atributo de informacin ms. Posteriormente se utilizarn para
el clculo de los costes por servicio.
Este proceso tambin se relaciona con el resto de procesos y reas para definir las
partidas presupuestarias del ejercicio, identificar mejoras de eficiencia econmica y
el seguimiento de los objetivos econmicos.

Alcance del proceso


El apartado 6.2 de las Normas ISO/IEC 20000 cubre nicamente la definicin de
las polticas, la realizacin de los presupuestos y la contabilidad de los servicios

344

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

de TI. Pero en la prctica, se est implantando tambin la facturacin de los servicios a los clientes, como uno de instrumentos para lograr unos servicios eficientes
alineados en trminos de coste con las necesidades del negocio. En estas normas se
aclara el alcance que cubren:
UNE-ISO/IEC 20000-1
Nota: Esta seccin cubre la elaboracin de presupuestos y de la contabilidad del los servicios de TI. En
la prctica, muchos proveedores del servicio estarn involucrados en facturar por tales servicios.
Sin embargo, dado que la facturacin es una actividad opcional, no est cubierta por la norma.
Se recomienda a los proveedores que si hacen uso de la facturacin, el mecanismo para hacerlo
est plenamente definido y entendido por las partes. Todas las prcticas contables en uso se deberan alinear con las prcticas contables ms amplias de la organizacin del proveedor del servicio.

En la nota anterior se deja claro el alcance de los requisitos del proceso en la parte 1,
en los que no se incluye la facturacin, aunque en este libro s se trata.
Por otra parte, se recalca la importancia de que la elaboracin de presupuestos y la
contabilidad de TI estn perfectamente alineadas con las prcticas contables generales de la organizacin. Hay que intentar que la contabilidad de la empresa contemple las necesidades de la contabilidad analtica de TI, con el fin de poder extraer
de sta los costes por servicio, los costes por cliente, los costes por actuacin, etc.
As, se evita realizar la contabilizacin dos veces, una en los sistemas contable generales de la empresa y otra en los sistemas contables especficos de TI.
UNE-ISO/IEC 20000-2
Generalidades
Esta seccin cubre la realizacin de los
presupuestos y de la contabilidad para
los servicios de TI. En la prctica,
muchos proveedores estn implicados
en la facturacin del servicio. Sin
embargo, dado que la facturacin es
una actividad opcional, no est cubierta
por esta norma. Se recomienda a los
proveedores del servicio que cuando
lleven a cabo la facturacin, el mecanismo empleado para ello est definido
en detalle y sea entendido por todas las
partes implicadas.

La responsabilidad sobre muchas de las


decisiones financieras va a estar fuera
del mbito de la gestin del servicio y
tambin podran dictarse externamente
los requisitos acerca de qu informacin
financiera se debe facilitar, de qu
manera y con qu frecuencia. Las disposiciones de esta seccin estn enfocadas en las prcticas que se deberan
seguir para satisfacer los requisitos de la
norma. Sin embargo, se pueden tener
en cuenta requisitos ms amplios en el
caso de que impacten en alguna de las
polticas y procedimientos definidos.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

345

ISO/IEC 20000-2 hace hincapi en que muchas decisiones financieras que afectan
a este proceso se toman fuera de l. La gestin financiera de TI est supeditada a
las directrices del departamento financiero de la organizacin. En algn escenario,
como en el caso de las empresas pequeas, la responsabilidad completa del proceso
puede ser externa a TI.

Planificacin e implementacin del proceso


La planificacin e implementacin del proceso de gestin financiera de TI se realizar por el mismo equipo especialista en procesos que se encarga de definir las formas de trabajar en toda la organizacin de TI. Este equipo colaborar estrechamente con el futuro responsable de la gestin financiera de TI. La implementacin
de este proceso no debe realizarse aisladamente, sino como parte de la implementacin de todo el sistema de gestin de TI (vase el captulo 3), que se realizar
siguiendo el rigor del ciclo PDCA establecido en el proceso de implementacin
de la gestin del servicio (vase el captulo 4).
Los principales aspectos a tener en cuenta en la implementacin del proceso son:
Un firme compromiso de la direccin con el proceso de gestin financiera
de TI, pues toda la organizacin de TI deber asumir y adaptarse a los presupuestos acordados. Adems, cada compra deber ser aprobada en sus
aspectos de encaje presupuestario.
Una clara asignacin de responsabilidades, para que la organizacin de TI
acepte sin dudas la figura del gestor econmico de TI. Este proceso tiene un
control estrecho de los gastos de toda la organizacin de TI, que generalmente se percibe como burocrtico y con poca aportacin de valor. Es necesario vencer la resistencia de los participantes en el resto de procesos y del
resto de los departamentos.
Un plan adecuado de comunicacin, que informe a todos los responsables y
usuarios de la organizacin de TI de las ventajas de una correcta gestin de
la elaboracin del presupuesto y contabilizacin de los servicios de TI.
La sencillez en la implementacin, descendiendo slo al nivel de detalle necesario.
Transparencia en la informacin presupuestaria y su ejecucin, incorporndolos al modelo de documentacin estructurado para ofrecer informacin y
ayuda online a toda la organizacin de TI.
La necesidad de definir una poltica de gestin econmica de los servicios de
TI que marque las reglas de funcionamiento.

346

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Las herramientas de soporte a la gestin del proceso deben ser los mismos
sistemas de gestin de la empresa. Deben permitir gestionar los presupuestos, la contabilizacin de los gastos por servicio y por cliente, el registro del
consumo de recursos y su facturacin.
Contemplar los propios costes originados por el proceso, que esencialmente
estn relacionados con el personal y la adaptacin de los sistemas financieros
de la empresa.

Definicin de la poltica de gestin financiera


A partir de los requerimientos y objetivos del negocio para TI, se desarrollan las
principales directrices econmico-financieras para las cuales el proceso debe garantizar su cumplimiento por el resto de la organizacin de TI.
La misin de toda poltica es definir los objetivos que se deben alcanzar y preparar
un marco de directrices para conseguirlos. En las Normas ISO/IEC 20000 se
requiere que exista una poltica para la gestin financiera de los servicios de TI, es
decir, que se presupuesten y contabilicen todos los componentes, que se repercutan
los costes directos e indirectos de los servicios y que haya un control econmico y
sus procedimientos de autorizacin.

UNE-ISO/IEC 20000-1
Debe haber polticas y procedimientos claros para:
a) presupuestar y contabilizar todos los componentes, incluyendo los activos de
tecnologas de la informacin, recursos compartidos, gastos generales, servicios suministrados externamente, personas, seguros y licencias;
b) la repercusin de costes indirectos y la asignacin de costes directos a servicios;
c) el control econmico efectivo y la autorizacin.

ISO/IEC 20000-2 desarrolla el contenido recomendado para la poltica financiera


de TI, en la que se detallan los tipos de costes que se deben contabilizar, la forma
de repercusin de los gastos generales comunes, el grado de detalle que se debe
alcanzar, cmo se gestionarn las desviaciones presupuestarias, la relacin con la
gestin de nivel de servicio, etc.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

347

UNE-ISO/IEC 20000-2
Poltica
Debera existir una poltica para la gestin financiera de los servicios. La poltica debera definir los objetivos a ser
cumplidos por la realizacin de los presupuestos y la contabilidad.
La poltica debera definir tambin el
nivel de detalle al que se lleva a cabo la
elaboracin de los presupuestos y la
contabilidad, teniendo en cuenta:
a) los tipos de costes a ser contabilizados;
b) el reparto de los gastos generales,
por ejemplo reparto en partes iguales, reparto porcentual o reparto
basado en el tamao de los elementos variables empleados;
c) la granularidad del negocio del
cliente, por ejemplo unidades de
negocio tomadas como una sola,
dividas en departamentos o segn
las diferentes ubicaciones;
d) las reglas para manejar las variaciones frente al presupuesto, por

ejemplo el nivel de variacin necesario para que se escale a la alta


direccin;
e) los enlaces o vinculacin con la
gestin de nivel de servicio.
El nivel de inversin en los procesos de
elaboracin del presupuesto y contabilidad debera estar basado en las necesidades de detalles financieros que tengan los clientes, el proveedor del
servicio y los proveedores, segn est
definido en la poltica.
Nota: Los proveedores del servicio que operen en
un entorno comercial podran necesitar
invertir mucho ms esfuerzo y tiempo en la
gestin financiera. Contrariamente, para
aquellos proveedores del servicio que slo
necesiten la simple identificacin de los
costes, esta gestin puede ser mucho ms
simple.

La realizacin de los presupuestos y la


contabilidad se deberan realizar por
todos los proveedores del servicio, cualesquiera que fueran sus otras polticas
en cuanto a gestin financiera

En la poltica se define el modelo de costes, con foco en los criterios de asignacin


de costes por servicio. Este modelo debe ser:
Sencillo. Con mecanismos de clculo de costes simples y fcilmente entendibles por los clientes. Tambin se debe buscar la sencillez en la gestin, para
evitar la burocracia que comnmente se asocia a este tipo de actividades, con
el fin de proporcionar una mayor eficiencia global.
Justo. El sistema de asignacin de costes debe ser ecunime y realista, ya que
aquellos servicios que no sean eficientes en trminos de coste se debern
revisar y, en muchos casos, habr que tomar medidas drsticas. Realmente
cada unidad de negocio debera pagar el mismo precio por el mismo servicio.

348

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Realista. Uno de los puntos clave es buscar la eficiencia econmica de los


servicios. Por tanto, los mecanismos de gestin econmica de los servicios
de TI se deben disear para conseguir esta eficiencia. Pero, el ahorro en TI
debe contemplar que el resultado final no sea un mayor gasto o ineficiencia
en el negocio.
La poltica de gestin financiera debe ajustarse al tipo de organizacin. Por ejemplo, si el negocio de la empresa es la venta de los servicios de TI al mercado, requerir un sistema de gestin econmica que permita la imputacin de costes y la asignacin a clientes de forma justa, sencilla y realista. Por el contrario, en el caso de
unidades de TI internas, los objetivos del proceso podran limitarse nicamente al
conocimiento de los costes totales incurridos en la prestacin los servicios de TI, de
modo que los clientes sean conscientes de lo que cuestan sus demandas agregadas.
Al principio de la implantacin de una poltica de gestin financiera de los servicios de TI, al cliente le puede parecer que los costes de los servicios son altos y que
la relacin con TI se vuelve ms burocrtica, pues se incluye la gestin econmica
en la toma de decisiones. Para limitar este riesgo, la poltica debera considerar:
Los aspectos de comunicacin, transparencia y difusin del proceso y sus
objetivos.
Que los modelos de clculo de costes se desarrollen en coordinacin con los
clientes.
La propia eficiencia del proceso.

Estructura comn de elementos de coste


De cara a mantener una gestin financiera sencilla y homognea en TI se recomienda definir una estructura comn de elementos de coste, a modo de tesauro
contable, que permita clasificar los presupuestos y los costes con los mismos criterios. As, se utilizarn desgloses similares en la elaboracin del presupuesto, en la
contabilizacin y en el clculo de costes para la facturacin. Esta misma clasificacin se debera mantener entre las grandes reas de TI: en el puesto de trabajo, en
el centro de datos o explotacin de sistemas, y en el desarrollo de aplicaciones.
Se propone utilizar la misma estructura de elementos de coste definida en ITIL v2:
costes de hardware, costes de software, costes de personal, costes de ubicacin
fsica, costes de servicios externos y costes de transferencia (imputaciones de otras
reas de la empresa). En la figura 6.4.7 se muestra el detalle de esta estructura propuesta para la clasificacin de los datos econmicos.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

349

Figura 6.4.7. Propuesta de una estructura comn de los elementos de coste en TI

Elaboracin del presupuesto (presupuestar)


La elaboracin del presupuesto consiste principalmente en realizar una estimacin
detallada de los gastos e inversiones necesarios para la provisin, mantenimiento y
evolucin de los servicios de TI, teniendo en cuenta las necesidades de los clientes
y asegurar que se proporcionen a TI los fondos necesarios. Bajo presupuestar se contempla tambin el seguimiento diario de la ejecucin del presupuesto, el control econmico de las compras y la autorizacin de los posibles desvos presupuestarios.
El presupuesto se formaliza generalmente en perodos anuales. Se establece
mediante tres ciclos de negociaciones: entre TI y el rea financiera de la empresa,
para acordar los montos totales y las principales partidas; entre la gestin financiera
de TI y las reas internas de TI, para conocer las necesidades y ajustar las partidas;
y entre TI y las reas cliente, con el fin de adecuar el presupuesto a sus necesidades.
Entre los tres ciclos de negociacin hay una realimentacin hasta alcanzar un equilibrio.

350

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El presupuesto dota econmicamente a TI y, por tanto, condiciona toda la actividad en el ejercicio. Debe ir estrechamente vinculado al desarrollo de la estrategia
de TI.
Las Normas ISO/IEC 20000 requieren que los presupuestos tengan el suficiente
detalle para posibilitar el control econmico y la toma de decisiones.

UNE-ISO/IEC 20000-1
Los costes se deben presupuestar con suficiente detalle para permitir el control econmico efectivo y la toma de decisiones.
El proveedor del servicio debe monitorizar e informar de los costes contra el presupuesto, revisar las previsiones econmicas y gestionar los costes en consonancia.
Los costes de los cambios en el servicio se deben valorar y aprobar a travs del proceso de gestin del cambio.

ISO/IEC 20000-1 requiere que los cambios se valoren en cuanto a sus costes y que
se aprueben a travs del proceso de gestin del cambio. De esta forma, se tiene
un mejor conocimiento y control de los costes. Las peticiones de cambio (RFC),
presentadas con el fin de aprobar su ejecucin, deben incorporar el coste asociado
(as se establece en el formato de RFC del apartado 9.2). El proceso de gestin
financiera controlar a travs de su presencia en el comit de cambios (CAB,
Change Advisory Board), que se actu dentro de los presupuestos asignados.
Una vez aprobado el cambio, cuando se necesite la ejecucin de alguna compra
(equipamiento, licencias, servicios, etc.), volver a intervenir la gestin financiera
para autorizarla econmicamente.

UNE-ISO/IEC 20000-2
Elaboracin del presupuesto
La elaboracin del presupuesto debera tener en cuenta los cambios planificados de los servicios durante el
periodo presupuestario y, en el caso de
que las necesidades presupuestarias
excedan los fondos disponibles, plani-

ficar la gestin que se va a hacer del


dficit.
La elaboracin de los presupuestos
puede tener en cuenta factores tales
como variaciones estacionales y cambios planificados a corto plazo en los
costes y facturacin de los servicios.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

El seguimiento de los costes frente al


presupuesto debera facilitar lo antes
posible la informacin de las variaciones frente al presupuesto.
Se debera establecer un proceso para
gestionar las implicaciones de las variaciones frente al presupuesto.

351

La elaboracin de los presupuestos y


el seguimiento de los costes deberan
dar soporte a la planificacin de la
operacin de cambios en los servicios
para que los niveles de dichos servicios puedan mantenerse a lo largo del
ao.

Aunque no existe forma estndar de realizar el presupuesto de TI, se suelen utilizar


dos estrategias:
Presupuesto incremental: se toma como punto de partida el presupuesto
del ao anterior, y sobre l se corrigen las partidas, teniendo en cuenta la
variacin de los precios, de la planta, de la actividad, de los servicios, etc.
Presupuesto con base cero: en este ejercicio se parte de una hoja en
blanco para replantear y cuestionar todas las necesidades y partidas presupuestarias. Esta forma, ms laboriosa, tiene como ventaja que se detectan
mejor las partidas presupuestarias repetitivas que aportan poco valor. Cada
partida que se incluye hay que justificarla. Se corre el riego de olvidar compromisos o partidas necesarias, como por ejemplo, los mantenimientos.
El presupuesto es una tabla en la que se relacionan las partidas presupuestarias
que se deben considerar, junto con el monto econmico acordado para cada una de
ellas en el ejercicio. El nivel de detalle y su clasificacin depende de las prcticas
financieras de cada organizacin. Se debe mantener la misma estructura clasificatoria en el presupuesto que en la contabilidad que registra su ejecucin. En la figura
6.4.8 se muestra una plantilla para la elaboracin de un presupuesto.
Adems, en el presupuesto se suele discriminar entre inversin (coste de capital o
CAPEX) y coste operativo (OPEX). La inversin aumenta el valor de la empresa,
se presupuesta segn la forma de pago prevista en la compra y se imputa contablemente en el transcurso del perodo de amortizacin.
En el presupuesto conviene tambin detallar a nivel mensual las partidas con el fin
de poder realizar de forma ms precisa el seguimiento presupuestario.
En la elaboracin de un presupuesto adems hay que considerar otros aspectos
como por ejemplo:
Los lmites para la inversin.
Los lmites para el coste operativo.

352

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Figura 6.4.8. Plantilla simplificada para la elaboracin de un presupuesto de TI

La variacin permitida entre los gastos reales y los previstos.


Se debe confeccionar una gua de cmo utilizar el presupuesto y cmo realizar el seguimiento.
Se debe establecer el tratamiento de las excepciones.
En teora, antes de la realizacin del presupuesto, se deberan tener cerradas las propuestas de los planes anuales de los otros procesos y reas, que tienen una influencia directa en el presupuesto, como por ejemplo, el plan estratgico de TI, la cartera de proyectos anual, el plan de capacidad, el plan de continuidad, el plan de
disponibilidad y las estimaciones de costes de otras reas y procesos (service desk,
problemas, cambios, infraestructuras, etc.).
Seguimiento del presupuesto. Una vez aprobado formalmente el presupuesto,
puede comenzar su ejecucin con el fin de ir nutriendo a TI de los recursos que

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

353

necesita. Para garantizar que el presupuesto se gasta en las partidas comprometidas


y que se ejecuta segn lo previsto, es necesario realizar un seguimiento presupuestario peridico que controle la evolucin del gasto.
El seguimiento presupuestario conlleva la realizacin de cierres intermedios, (habitualmente mensuales) en los que se totalizan todos los elementos de coste y se comprueba que evolucionan segn lo previsto. Estos cierres se almacenan a modo de
lnea base presupuestaria y se comunican a los interesados a travs de los informes de seguimiento presupuestario. De esta forma, cuando de detecten desviaciones en algunas partidas se podr actuar estableciendo acciones correctoras antes de
que sea demasiado tarde.
Esta actividad de seguimiento se realiza utilizando el sistema o herramienta contable (general de la empresa), para generar de forma automatizada los informes de
evolucin de los costes y su comparacin con los presupuestos.
La actividad de seguimiento presupuestario se suele hacer (segn ITIL v2):
Diaria o semanalmente:
Recoger los datos de los costes incurridos y comprobar que son exactos y
completos.
Participar en la valoracin de los cambios y si es necesario asistir a las reuniones del comit de cambios (CAB).
Mensualmente:
Comprobar que los costes consolidados del mes en curso se corresponden
con las previsiones, y analizar y explicar cualquier desviacin.
Realizar anlisis de costes.
Obtener los precios reales por servicio-cliente, y compararlos con los presupuestos.
Difundir un balance de situacin mensual.
Notificar las desviaciones producidas a cada rea.
Revisar la recuperacin de los costes en comparacin con los objetivos
establecidos.
Trimestral o semestralmente:
Evaluar la exactitud de las frmulas para el clculo de costes, comparando
los costes y los ingresos reales con los previstos.
Comprobar las listas de precios de los servicios.

354

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Determinar la exactitud de las previsiones para mejorarlas en el futuro.


Preparar el ciclo anual del presupuesto realizando previsiones trimestrales
o semestrales.
Anualmente:
Planificar los cambios necesarios en el personal y los recursos para el prximo ao.
Revisar los sistemas de contabilidad y facturacin de TI, para:
Generar las cuentas finales del ao financiero en curso.
Asegurar de que se alcanzan los objetivos de negocio de la organizacin
de TI.
Generar los anlisis anuales del coste.
Confeccionar y difundir un balance final.
Revisar los elementos de coste estndar (es importante tener en cuenta
que las correcciones deben ser las imprescindibles, ya que cualquier cambio dificultar las comparaciones entre distintos aos).
Recalcular el valor por unidad del coste para comprobar que se corresponden con los resultados previstos.
Revisar la poltica de gestin econmica y los procedimientos de la contabilidad de TI.
Ayudar al cliente y a otros gestores de TI a definir los presupuestos para el
nuevo ao financiero.
Revisar las necesidades de continuidad de los servicios que soportan la
gestin econmica de TI, y comprobar que todos sus requerimientos y
necesidades estn cubiertos.
Autorizar compras. La conversin del presupuesto en recursos disponibles para
TI se realiza principalmente a travs de las compras o contrataciones a suministradores (vase tambin el apartado 7.3). Dentro del mbito de presupuestar, tambin
se contempla la autorizacin econmica de las compras. Toda compra, antes de ejecutarse, debe ser autorizada por este proceso con el fin de garantizar que tiene una
partida asignada y que se encuentra dentro del plan previsto. De esta forma, se controlan las desviaciones antes de que se produzcan. Para agilizar las compras, se suelen preautorizar grandes partidas sobre las que se ejecutan compras al detalle (por
ejemplo, compra de PC, de consumibles, etc.).

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

355

Contabilidad de los servicios de TI


El objetivo principal de la contabilidad es conocer el coste real de la provisin y del
mantenimiento de los servicios de TI. La contabilidad lleva un registro completo
de la forma en la que se gasta el presupuesto.
La contabilidad de los servicios viene a paliar el desconocimiento histrico de los
costes a nivel servicio. La razn principal proviene de la utilizacin de plataformas
y recursos comunes, lo que genera dificultades a la hora de repartir los costes hasta
el ltimo nivel. La evolucin del mercado y el mayor peso de los costes de TI en la
estructura empresarial, hacen absolutamente imprescindible el conocimiento del
coste de cada servicio.
Como TI es un rea ms de la empresa, se debe poner nfasis en que la contabilidad la realice el departamento contable de la empresa y no el personal de TI. Se
debe evitar tener una actividad de contabilizacin paralela. Para conseguir este
objetivo, hay que gestionar la incorporacin del modelo de costes definido para TI
en el sistema contable de la empresa. En ocasiones, TI prefiere mantener los detalles de sus presupuestos y costes a resguardo, con el fin de tener ms margen de
maniobra y no dar explicaciones a otras reas.
En este mbito, las Normas ISO/IEC 20000 aportan unas recomendaciones muy
livianas:
UNE-ISO/IEC 20000-2
Contabilidad
Los procesos de contabilidad se deberan usar para realizar el seguimiento de
los costes hasta el nivel de detalle acordado durante un periodo de tiempo
tambin acordado.
Las decisiones sobre la provisin del
servicio deberan estar basadas en comparaciones sobre la eficacia en costes.

Los modelos de costes deberan ser


capaces de mostrar los costes de la provisin del servicio.
Los estados de cuentas deberan mostrar
las situaciones de excesos y defectos
de gasto as como las recuperaciones de
dichas situaciones y deberan permitir al
lector entender los costes de niveles bajos
de servicio o de prdidas de servicio.

Se debe poner un foco especial en conocer el gasto por cliente, por servicio y por
actividad, lo cual implica tener que realizar un desglose o asignacin por cliente y
por servicio en todos los gastos. En lo relativo a la actividad, se necesitar un sistema de imputacin de tiempos por parte del personal.

356

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La informacin proporcionada por contabilidad y el seguimiento presupuestario


de TI, es esencial para mantenerse en el marco del presupuesto asignado, la toma
las decisiones sobre inversiones y renovaciones de contratos, e identificar ineficiencias y actividades que no aporten valor.
El establecimiento de la contabilidad de TI puede resultar una tarea compleja si se
implementa con un nivel de detalle excesivo y puede llegar a costar ms que los
beneficios que aporta.
Un buen sistema contable debe:
Permitir realizar el seguimiento de los costes reales y compararlos con el presupuesto.
Proporcionar informacin de los costes incurridos para la prestacin del servicio con el rendimiento requerido.
Facilitar la evaluacin y establecimiento de las prioridades de la utilizacin
de recursos.
Facilitar el seguimiento de los costes y la toma las decisiones diarias con una
comprensin plena de las implicaciones en cuanto a costes y, con el mnimo
riesgo.
Dar soporte a la actividad de facturacin de los servicios de TI, si la organizacin lo considera necesario.
Modelo de costes en TI. Un modelo de costes por servicio es una estructura contable en la que se pueden registrar y asignar todos los costes conocidos a servicios,
de manera que se puedan conocer los costes de toda la estructura productiva necesaria para un servicio. De igual manera, existe el modelo de costes por cliente (marketing, ventas, etc.), que permite conocer todos los costes incurridos por TI para
prestar los servicios a cada uno de ellos.
El modelo de costes de TI se debe definir e implementar de forma conjunta entre
TI y el rea financiera de la empresa. De esta manera, adems de cumplir con la
legalidad vigente, se evita tener que realizar una contabilidad duplicada.
A la hora de plantear el desarrollo e implantacin de un modelo de costes, y antes
de lanzarse a definir los elementos de coste tpicos de TI, se debera obtener la
siguiente informacin.
La informacin procedente de las cuentas de gasto de la empresa a la que
pertenece la organizacin de TI (gastos de personal, contratos de servicios
de TI, mantenimiento de licencias, amortizacin del hardware y del software, etc.).

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

357

El catlogo de servicios de TI de la organizacin.


El detalle de los servicios de TI y la infraestructura que los soporta. En esta
tarea resulta de gran utilidad disponer de una CMDB actualizada.
El modelo de costes es un aspecto clave y piedra angular para una adecuada gestin econmica de los servicios de TI. En la figura 6.4.9 se muestra el ejemplo de
un modelo de costes de TI enfocado a los servicios.

Hardware

Software

Personal

Ubicacin

Servicios externos

Transferencia

Elementos de coste

Costes directos
del servicio

Costes indirectos
imputables al servicio

Costes indirectos
no imputables

Hardware

Hardware

Hardware

Software

Software

Software

Personal

Ubicacin

Personal

Servicios externos

Ubicacin
Servicios externos
Transferencia

Costes directos
del servicio

Costes indirectos
del servicio

Costes directos y
costes absorbidos
del servicio

% de
incremento
comn

Reglas de
reparto de los
costes indirectos
no imputables

Coste total del servicio

Fuente: Libro ITIL Provisin de Servicio publicado por OGC.

Figura 6.4.9. Ejemplo de un modelo de coste por servicio

358

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El modelo de costes por servicio es una forma de asignar internamente los costes
con el fin de conocer el coste total de prestacin de cada servicio. Para ello, primeramente se obtiene la informacin contable por elemento de coste segn la estructura comn definida: costes de hardware, costes de software, costes de personal,
costes de ubicacin fsica, costes de servicios externos y costes de transferencia.
Una vez recopilados todos los costes, se clasifican los costes en dos tipologas,
directos o indirectos:
Costes directos del servicio. Son aqullos que pueden atribuirse de manera
clara a un nico servicio. Por ejemplo: un servicio que se ejecuta en una
mquina especfica.
Costes indirectos. Son aqullos en los que se incurre de forma comn a
todos los servicios o en un nmero acotado de ellos. Por ejemplo, la red o el
departamento de soporte tcnico, que tendrn que ser distribuidos entre
todos de manera equitativa. Al distribuir los costes indirectos se dan dos
casos:
Costes indirectos imputables a un servicio. Son aquellos costes
de recursos comunes que razonablemente se pueden imputar a un servicio mediante un tipo de prorrateo por el uso que hace el servicio del
recurso. Por ejemplo, el consumo de CPU de un servicio en una mquina
virtual.
Costes indirectos no imputables a un servicio o no absorbibles. Es el
coste de cualquier recurso que presta servicios de una forma comn a
todos y que no tiene una relacin posible con un servicio o cuya imputacin es muy compleja. Se repercute entre todos los servicios del modo ms
justo posible. Estos elementos comunes pueden ser de hardware, de software, de personal, de ubicacin, de servicios externos o de transferencia.
Por ejemplo, un cortafuegos del centro de datos, los sistemas de aire acondicionado, el personal administrativo, etc. En este caso, los costes se distribuyen en base a una tasa comn que incrementa los costes del servicio
calculados hasta ese momento.
La suma de los costes totales asignados a los servicios debe ser igual a la suma de
los costes iniciales.
Registrar las compras y los costes. La actividad fundamental de la contabilizacin es el registro de los costes incurridos. Los costes en TI se incurren a travs de
una compra o a travs de una imputacin interna de otro departamento, como por
ejemplo, los costes de personal (nminas, viajes, administracin, etc.) o los de

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

359

transferencia (imputaciones de otras unidades como servicios generales o seguridad fsica).


La misin principal en esta actividad es conseguir que el departamento de contabilidad realice las anotaciones contables contemplando las necesidades de TI. Para
ello, TI deber colaborar en proporcionar informacin precisa sobre el desglose de
las partidas en cada una de las compras adjudicadas (equipamiento hardware, productos software, consultora, servicios tcnicos, formacin, etc.).

Facturacin de los servicios de TI


La facturacin es el conjunto de tareas que permite calcular el precio de los servicios de TI que utilizan los clientes y la emisin de las facturas asociadas. Requiere
que se fijen unos precios justos y entendibles por todas las partes y que se lleve un
registro del consumo o utilizacin de estos recursos.
Las Normas ISO/IEC 20000 no cubren esta actividad por considerarla un requerimiento no generalizable a todas las organizaciones. Otras buenas prcticas del mercado, como por ejemplo ITIL, s recomiendan establecer una relacin tipo comercial entre TI y sus clientes internos. La facturacin es especialmente til para
moderar la demanda de los clientes.
La facturacin, condicionada por la informacin aportada por la contabilidad e inspirada en la experiencia del mercado en la facturacin de productos y servicios,
debe ser tambin sencilla (precio por usuario, precio por servicio, precio por transaccin, etc.).
Existen dos situaciones de partida muy distintas. Una, que la empresa venda los
servicios de TI al exterior (al mercado o a las empresas pertenecientes a un mismo
grupo), en cuyo caso la facturacin es obligada y se realiza a travs del canal de facturacin-cobros habitual de la empresa; y otra, que TI sea un departamento
interno. En este caso TI enva los detalles de los consumos y los precios acordados
al departamento financiero de la empresa, para que proceda a la imputacin o
transferencia de los costes a las reas cliente. En ambos escenarios, el contacto con
el cliente se realiza bajo el proceso de relaciones con el negocio.
Muchas organizaciones de TI consideran que la facturacin interna no es una tarea
prioritaria. En caso de no realizarse la facturacin real, es aconsejable que al menos
se informe al cliente de los costes en los que ha incurrido por los servicios prestados.
Cuanto ms precisa es la facturacin, mayor esfuerzo se requiere en la contabilizacin de los gastos. Cada organizacin debe encontrar su punto de equilibrio entre
el detalle deseado y la complejidad asociada.

360

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Existen diferentes tipologas a la hora de calcular los costes, las dos ms utilizadas
son:
En base al coste total de la propiedad o TCO (Total Cost of Ownership), que
calcula todos los costes necesarios durante el ciclo de vida completo del
servicio. En este caso, los clientes soportan la totalidad de los costes de provisin y prestacin del servicio.
En base al coste marginal, calculando el coste en funcin del incremento en el
total de costes por proveer un servicio adicional. Slo se repercuten al cliente
los costes incrementales del ejercicio. Es una forma ms sencilla e imprecisa de
repercutir los costes, pero igualmente sirve para moderar la demanda.
Los modelos ms utilizados para la distribucin de los costes en funcin de los consumos son:
Coste por usuario de los servicios. En este modelo, se carga una cuota fija
por cada usuario con independencia del uso que se realice. Muy utilizado en
los servicios al puesto de trabajo (PC, archivos en red, navegacin por Internet, correo electrnico, etc.). Es un modelo sencillo, pero poco equitativo.
Para que tenga su efecto de moderar la demanda, debe combinarse con otros
costes que sean reflejo del consumo variable. Tambin se utiliza para repercutir los costes de las aplicaciones con complejidad de administracin o
cuando el coste de las licencias es alto.
Coste por capacidad de proceso consumida. Forma histrica de medicin
en el mbito mainframe. Las mediciones son sencillas y las proporciona el
propio sistema. Se factura por tiempo de uso del procesador. El coste por
MIP (Millones de Instrucciones por Segundo) en el mainframe, o por MIP
equivalente para entornos abiertos, es un dato con benchmarking del mercado.
Coste por servidor (o por caja). Se tipifican los servidores segn su sistema
operativo y capacidad para fijar un precio por cada uno de ellos. Es un modelo
poco preciso, pero sencillo y fcil de contrastar con los inventarios. Por ello se
utiliza mucho en los contratos de outsourcing completos. En el precio se distingue entre los servidores que se compran y entre los que slo se administran.
Coste por capacidad de proceso asignada. En los nuevos entornos virtualizados, un servidor alberga varias mquinas virtuales, por lo cual la capacidad de proceso asignada es una medida algo ms precisa que la medicin por
servidores fsicos.
Coste por unidad de almacenamiento. En relacin al almacenamiento, se
miden los gigas (GB) o los teras (TB) netos totales instalados o los asignados a un cliente para cada servicio.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

361

Aunque ninguno de estos modelos para la imputacin de los consumos es muy preciso, su contabilizacin mensual resulta sencilla.
Una vez calculado el coste de la provisin y prestacin del servicio, se pueden aplicar distintas formulas de facturacin:
Precios fijos o tarifa plana. El precio mensual es constante, con independencia del consumo.
Precios con dos tramos. La cual incluye un trmino fijo para cubrir los costes fijos y un trmino variable en funcin del consumo que recuperara los
costes variables.
Precios alineados con el mercado. Los precios se regulan por el propio
mercado o por benchmarking externos.
En cualquier caso, el modelo de facturacin debe ser sencillo y entendible por las
partes. Para la fijacin del precio se pueden seguir varias tendencias: la ms utilizada para servicios internos es cuando los precios se basan en el coste real de los
servicios; otra es el establecimiento del precio segn la demanda que exista del
mismo o segn la exclusividad del servicio ofertado.
En los primeros aos o ejercicios en que se aplique la facturacin, se deben revisar
las tendencias del consumo de los clientes y usuarios para evitar que las estructuras de precios estn generando distorsiones en el consumo ptimo de los servicios de TI.

Supervisin del funcionamiento del propio proceso


Su objetivo es medir y revisar el cumplimiento de los objetivos del proceso. Se debe
comprobar que se realiza el seguimiento del presupuesto y sus cierres, que no se
ejecutan compras sin la autorizacin de este proceso, que se contabilizan todos los
costes con el detalle definido, que se realiza la facturacin, etc.
En este proceso es especialmente importante establecer un programa de auditoras
y revisiones del cumplimiento de los requisitos legales y la normativa interna.
Como gran parte de la actividad del proceso la realizarn las reas econmicas de la
empresa, las auditoras y las revisiones deberan ser conjuntas.
Las revisiones, evaluaciones y auditoras del proceso se deben registrar, junto con
las conclusiones obtenidas, las acciones correctivas identificadas y las comunicaciones realizadas a las partes correspondientes.

362

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Mejora del proceso de gestin financiera de TI


Al igual que el resto de los procesos, se debe tener en cuenta la actividad de
mejora continua: monitorizar, informar, dirigir la calidad y cumplimiento de lo
establecido, comunicar resultados y establecer las mejoras que se deben realizar.
Es importante velar por que el control econmico necesario no genere una
burocracia innecesaria. Se tienen que analizar los atrasos e ineficiencias que
genera el propio proceso para ir implementando medidas correctoras. La autorizacin de partidas por bloques a las reas de TI puede ser una forma de agilizar las actividades, delegando el control detallado de las pequeas partidas de
gasto.
Estas mejoras se incorporarn, para su tratamiento y aprobacin, en el plan unificado de mejora de la gestin del servicio (vase el captulo 4) y debern coordinarse con el rea financiera de TI.

Roles participantes en la gestin financiera de TI


Como en el resto de los procesos, los roles intervinientes en este proceso se estructuran en: los roles propios del proceso y los roles ajenos al mismo. En una organizacin interna de TI se pueden simplificar mucho, pero la situacin cambia si la
empresa se dedica a la comercializacin de servicios de TI, en cuyo caso es necesario desarrollar mucho ms los roles expuestos a continuacin.
Los roles propios del proceso son:
El gestor financiero de TI es el responsable de que la actividad del proceso se
lleve a cabo: dialoga con el rea financiera de la empresa, elabora los presupuestos, realiza su seguimiento, supervisa la contabilizacin del gasto de TI,
supervisa la facturacin, etc.
Los administradores o personal de soporte al proceso ayudan al titular del
proceso en el control de toda la actividad.
El rea o departamento econmico-financiero de la empresa realiza muchas
de las actividades de gestin presupuestaria, contabilidad y facturacin del
proceso. En esta rea destaca el rol del contable que realiza la contabilizacin
del gasto de TI, al igual que para el resto de reas de la empresa.
Los roles ajenos relevantes en este proceso son:
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados, incluido el econmico.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

363

El propietario del modelo de gestin de TI (SGSTI), que acta como propietario del proceso (process owner), define el proceso y vela por el cumplimiento de sus actividades, y se encarga de la mejora continua del mismo.
Todo ello, de una forma integrada con el modelo de gestin de TI incorporado en el SGSTI.
El comit de cambios (CAB), que aprobar los cambios, con su correspondiente coste econmico asociado.
El gestor de la capacidad, que proporciona la informacin del consumo tcnico de los recursos, necesaria para las previsiones presupuestarias y para la
facturacin a los clientes.
El gestor de las relaciones con el negocio, que trata con las reas cliente los
presupuestos para su rea, los costes de los servicios y el detalle de las facturaciones.
Roles del proceso
OTROS PROCESOS

Responsable de la
gestin del servicio

PROCESO DE GESTIN
FINANCIERA DE TI

Comit de cambios
(CAB)
Gestor financiero
de TI

SGSTI

Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)

Gestor de las
relaciones con
el negocio

Gestor de la
capacidad

Departamento financiero
de la empresa

Contables de
la empresa

Figura 6.4.10. Roles del proceso de gestin financiera de TI

364

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El personal de TI, que imputa su dedicacin a las diversas tareas con el fin
de tener una contabilizacin detallada de los servicios.
Las diversas reas de TI, que realizan las peticiones de compra.
En la figura 6.4.10 se muestran los roles principales relacionados con el proceso.

Mtricas
Las mtricas se deben adaptar a las necesidades de gestin y control que tenga cada
organizacin. Las mtricas de gestin financiera de TI suelen proporcionar informacin sobre los costes, en forma de ratios, y medidas especficas sobre el funcionamiento del proceso:
Ratios sobre presupuestos y costes:
Presupuesto de TI en relacin al volumen de facturacin de la empresa
(ITR, IT Spending per unit of Revenue). Representa el porcentaje de los
ingresos de la empresa que deben destinarse a sostener las tecnologas de
la informacin en la empresa.
Peso del presupuesto de inversin (CAPEX) en relacin al presupuesto
total de TI.
Ratio de coste total de TI por usuario.
Ratio de coste total de TI por potencia de proceso instalada (MIP, MIP
equivalente, specs, transacciones por minuto, etc.)
Ratio de coste total de TI por GB almacenamiento instalado.
Con frecuencia se miden ratios de costes sobre reas o temticas de inters
en un perodo dado, como por ejemplo, el porcentaje de presupuesto dedicado a seguridad informtica, presupuesto dedicado a innovacin, etc.
Mtricas sobre el proceso:
Porcentaje de los servicios que tienen los costes conocidos en detalle.
Porcentaje de desviacin o del cumplimiento en presupuesto.
El ITR es el ratio ms utilizado y ms importante, pues refleja el coste de TI
en relacin al volumen de la facturacin del negocio. Dependiendo del sector
de negocio, este indicador suele oscilar entre el 3% y 8% segn las necesidades

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

365

tecnolgicas de la empresa 3. En la figura 6.4.11 se muestran algunas de las principales mtricas de la gestin financiera de TI.
Mtricas principales del proceso

Fuente: itSMF Espaa.

Figura 6.4.11. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa

Adicionalmente, tambin se pueden utilizar otro tipo de indicadores econmicos


dependiendo del anlisis que se quiera realizar, como por ejemplo:
Inversin de TI frente a la inversin de la empresa (CAPEX TI/Presupuesto
de inversin de la empresa).
Gasto operativo de TI frente al presupuesto de TI (OPEX TI/Presupuesto
de TI).
Coste de los recursos humanos de TI frente al presupuesto total de TI.

Resumen
El crecimiento de los recursos dedicados a los sistemas de informacin y la utilizacin extensiva de los servicios de TI, junto con la tendencia a la reduccin de

El lmite inferior del ITR puede llegar al 1%, como es el caso del sector de distribucin.

366

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

presupuestos asignados, provoca la necesidad imperiosa de una gestin financiera en


TI ms avanzada que posibilite una adecuacin de los costes y las inversiones a los
presupuestos disponibles, para ser capaces de satisfacer las necesidades del negocio.
En la actualidad, los proveedores de servicios de TI reciben presiones desde diferentes puntos para que reduzcan sus costes. Pero al mismo tiempo se les pide que
mantengan e incluso mejoren los servicios y, todo ello, en un entorno tecnolgico
cada vez ms complejo. La ausencia frecuente de una gestin financiera en TI transparente y en lenguaje del negocio, provoca que, mientras la direccin recorta los
presupuestos de TI, las reas cliente continen realizando unas demandas irreales e
injustificables en este nuevo escenario.
La gestin financiera de los servicios de TI es aplicable tanto a organizaciones de
TI internas como a proveedores de servicios al mercado. Se articula en torno a tres
grandes actividades: presupuestar, contabilizar y facturar.
La elaboracin de los presupuestos permite controlar y predecir el gasto econmico mediante un ciclo de negociaciones peridicas, que permiten su confeccin, publicacin y seguimiento.
La contabilidad de TI realiza el registro en las cuentas del gasto del dinero,
haciendo nfasis en la identificacin de los costes por servicio, cliente y por
actividad.
La facturacin de los servicios de TI, actividad opcional en ISO/IEC 20000,
permite trasladar a los clientes, de forma real o informativa, el coste ocasionado por los servicios prestados, de esta forma se influye en la demanda y
grado de utilizacin de los servicios.
Otro objetivo del proceso es la integracin plena con los departamentos financieros y contables de la empresa evitando mantener registros paralelos. Pero estos sistemas de la empresa se deben adaptar para satisfacer tambin las necesidades de
informacin analtica de TI.

Beneficios
El principal beneficio es una gestin ms eficiente y controlada de los gastos en tecnologas de la informacin.
La presupuestacin es la actividad clave en el proceso de gestin financiera de los
servicios de TI y proporciona:
Mejora en la priorizacin de los proyectos de inversin. Toma de decisiones
sobre los servicios en base a anlisis de rentabilidad de las inversiones.

6. Procesos de provisin de servicio


6.4. Gestin financiera de TI

367

Mayor agilidad en la realizacin y ejecucin del presupuesto.


Mejora en la planificacin de las compras, consiguiendo una mejora en los
precios de adquisicin.
Minimiza los desvos en las estimaciones establecidas, proporcionando una
organizacin de TI ms predecible en sus costes para el negocio.
Los principales beneficios de la contabilidad de los costes en los servicios de TI son:
Proporciona informacin detallada de los costes incurridos, para el anlisis
de ineficiencias, y la optimizacin de la capacidad y la disponibilidad de los
servicios.
Mejora la precisin de las predicciones presupuestarias futuras.
Pasa a trminos econmicos la infrautilizacin o sobreutilizacin de las
infraestructuras.
Facilita informacin sobre el coste de cada servicio, de cada cliente y de
las principales actividades.
Los principales beneficios de un proceso adecuado de facturacin son:
Uso eficiente de los servicios de TI por parte de los clientes y usuarios.
Crear una consciencia en los clientes del coste incurrido por la organizacin
de TI en la prestacin de servicios de TI.
Moderacin de la demanda por parte de los clientes y del consumo por parte
de los usuarios, al conocer los costes y pagar, si procede, por ellos.
Reduccin del TCO de los servicios debido al conocimiento y control de sus
estructuras de coste.
Disponibilidad de los precios como herramienta a utilizar en la gestin de la
demanda.
Recuperacin del coste incurrido en TI mediante los pagos de los clientes,
en caso de que la estrategia corporativa no marque TI como un centro de
coste.
Quiz el beneficio ms relevante es el de proporcionar el nexo de unin entre la
organizacin de TI y el negocio mediante parmetros objetivos y mesurables, que
contribuyen a lograr el equilibrio entre ambos, evitando que la organizacin de TI
se separe demasiado de las necesidades reales del negocio y que los negocios
demanden servicios no justificables en trminos de coste/beneficio.

368

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 4:
Cules de las tres actividades principales de este proceso (presupuestar, contabilizar y facturar) se realizan en su organizacin?
Indique tres procesos que son necesarios tener implantados previamente para que el proceso de gestin financiera de TI tenga xito.

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

369

6.5. Gestin de la capacidad

Figura 6.5.1. Esquema general del proceso de gestin de la capacidad

La actividad del negocio no debera ser coartada por una falta de capacidad o un mal
rendimiento de los sistemas de informacin. En momentos de mxima demanda
los sistemas deben responder. Los incrementos de carga deben estar previstos, los
sistemas diseados para absorberlos y tambin lo deben estar para poder crecer
de forma dinmica. Pero alcanzar este estatus de podero no es una tarea sencilla.
Se requiere la ejecucin de un conjunto complejo y diverso de actividades. En este
proceso se explican las ms relevantes que estn contenidas en las mejores prcticas
del mercado (vase la figura 6.5.1).
El proceso de gestin de capacidad, muy maduro en la dcada de 1980 con los
entornos mainframe, pas al olvido a comienzos de la dcada de 1990 con la llegada de los sistemas abiertos; cuando duplicar la capacidad de un equipo era ms
econmico que pagar a un ingeniero de sistemas para que la planificara. Pero las
alegras y derroches en TI finalizaron con la burbuja de las puntocom. Se ha
vuelto a la senda del estricto control econmico y al seguimiento del retorno de
la inversin. As, la gestin de la capacidad vuelve a tener plena vigencia en los
comienzos del siglo XXI.

370

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Como si los ajustes econmicos no hubieran sido justificacin suficiente, las tendencias a la consolidacin y a la virtualizacin de las infraestructuras refuerzan la
necesidad de disponer de una buena gestin de la capacidad (y rendimiento).
Implantar plataformas comunes requiere gestionar y controlar los recursos que
consume cada servicio para evitar que interfiera en el rendimiento de sus compaeros de habitculo.
Recientemente se ha incorporado a la ecuacin la necesidad de ajustar el consumo
elctrico, como consecuencia de los problemas con la refrigeracin de los centros
de datos, la reduccin del impacto ambiental de las TI y la necesidad de rebajar la
factura elctrica. Este recin llegado sita tambin a la gestin de la capacidad
como un buen instrumento para ejecutar las polticas medioambientales, o verdes,
en TI relativas al uso eficiente de las infraestructuras.
Gestionar la capacidad de los servicios de TI permite garantizar que se tendr, en
todo momento, la capacidad suficiente para cubrir la demanda actual y futura acordada con el negocio, manteniendo siempre un coste razonable y equiparable con el
mercado. La gestin de la capacidad debe equilibrar las previsiones de utilizacin o
carga con los recursos disponibles, de modo que se eviten prdidas o degradaciones del servicio. Pero tambin debe vigilar el coste de la sobrecapacidad para evitar
el derroche de recursos.
Gestionar adecuadamente la capacidad no es una tarea fcil. Se debe tener un conocimiento tcnico de las infraestructuras de TI, pues se encarga de supervisar la capacidad actual, de anticipar las ampliaciones necesarias, de modelar el comportamiento de las aplicaciones, y del ajuste y mejora continua del rendimiento.
Adems, requiere un entendimiento de la actividad del negocio, para poder predecir
las variaciones en el consumo de recursos (crecimiento vegetativo, campaas de
marketing, variaciones estacionales, acontecimientos singulares, etc.). La gestin de la
capacidad debe conocer las variaciones temporales del negocio para ajustar los recursos, como es tpico en la facturacin mensual. Segn el ciclo del negocio, se pueden
presentar campaas segn la estacin del ao. As, en las empresas de telefona mvil,
las pocas de fin de ao y de verano se dispara la actividad de los consumidores y los
sistemas se ven sometidos a su mxima carga. Tambin hay que tener en cuenta acontecimientos puntuales, como el lanzamiento de una campaa de marketing. Por todo
ello, es necesaria una comunicacin fluida entre la gestin de la capacidad y el negocio.
En la figura 6.5.2 se presenta una visin introductoria al proceso de gestin de la
capacidad.
El objetivo del proceso de gestin de la capacidad es garantizar que siempre existe
la capacidad de TI necesaria, justificable en trminos de coste, y ajustada a las necesidades del negocio, actuales y futuras.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

Proceso de gestin de la
capacidad
Definicin:
Procesos que velan por que los servicios
tengan en todo momento la capacidad
necesaria y trabajen con un rendimiento
ptimo.

Objetivo:
Asegurar que el proveedor del servicio
tiene, en todo momento, la capacidad
suciente para cubrir la demanda
acordada, actual y futura, de las
necesidades del negocio del cliente.

371

Qu aporta:
Conocimiento de la evolucin de
actividad del negocio en su relacin
con la utilizacin de las TI.
Gestin adecuada de la capacidad
existente, evitando las carencias y
tambin los excesos.
Un rendimiento optimizado.
Garanta de que los servicios cumplen
con la capacidad requerida en cada
momento.
Ahorro de costes, al tener los
recursos ajustados a las necesidades.
Prepara un plan de capacidad de TI.
Predicciones continuas y peridicas
basadas en datos de negocio y de la
tecnologa.
Minimiza las incidencias por falta de
capacidad.

Figura 6.5.2. Introduccin al proceso de gestin de la capacidad

El proceso de gestin de la capacidad debe ser el foco central de todos los temas
relacionados, tanto con la capacidad como con el rendimiento. Las tareas diarias
debern realizarse por los grupos tcnicos de la organizacin (tcnica de sistemas,
administracin de bases de datos, ingeniera, soporte de redes, etc.), trabajando
para este proceso en las actividades que marca la gestin de la capacidad.
La gestin de la capacidad trata aspectos proactivos y reactivos.
La faceta proactiva comprende todas las actividades que permiten anticiparse
a una carencia de capacidad y a un escaso rendimiento, como por ejemplo, la
previsin de la demanda por parte del negocio, la previsin de la capacidad
necesaria por los servicios, el modelado de servicios, el dimensionado de las
aplicaciones, el plan de capacidad, etc.
Los aspectos reactivos del proceso estn relacionados con la deteccin de faltas
de capacidad, el ajuste o tuning de componentes o de los servicios, la provisin
con urgencia de soluciones, el establecimiento de umbrales en la monitorizacin, etc.

372

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En ITIL v2 y v3, la gestin de la capacidad se estructura en tres reas: gestin de la


capacidad del negocio, de los servicios y de los recursos. Como en las Normas
ISO/IEC 20000 no se establece nada al respecto, en este libro se ha decidido seguir
el mismo esquema de ITIL por considerarlo un enfoque muy amplio que abarca
desde una visin del negocio, hasta el detalle tcnico de los recursos.
Siguiendo con el alcance dado en ITIL, el mbito de la gestin de la capacidad
comprende todos los aspectos necesarios para que los servicios estn operativos con
el rendimiento pactado, como por ejemplo:
El seguimiento y monitorizacin de la capacidad y rendimiento de los servicios y de la infraestructura:
Los servidores, almacenamiento, redes, etc.
Las unidades de soporte. La capacidad de ejecucin de los recursos humanos, propios o de servicios subcontratados. nicamente en lo relativo a su
participacin en el soporte de los servicios de TI.
Las aplicaciones.
Las instalaciones, climatizacin y suministro elctrico.
Los proveedores y cmo se contempla la variacin de capacidad en sus contratos (de forma coordinada con el proceso de gestin de suministradores).
Revisin de equipamiento y aplicaciones sin utilizar.
La ejecucin de mejoras que conlleve la utilizacin ms eficiente de los recursos existentes.
La realizacin de previsiones sobre la demanda y utilizacin de los recursos
de TI.
La influencia en la demanda de los recursos, con el apoyo de la gestin financiera.
Generacin del plan de capacidad y las sucesivas actualizaciones.
El proceso de gestin de la capacidad tambin gestiona la obsolescencia de los equipos y los servicios, realiza la evaluacin de los efectos sobre la capacidad que pueden producir los cambios y trabaja en la identificacin del impacto de las nuevas
tecnologas.
Igualmente, debe tener en cuenta el impacto de la evolucin del entorno exterior
de la empresa, como por ejemplo, cambios legislativos, cambios sociales que afecten en la demanda en TI, etc.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

373

Adems, el proceso debera tratar otros aspectos relacionados con la mejora o innovacin en las plataformas informticas, como por ejemplo:
La automatizacin de la provisin de peticiones de los usuarios, autorregistro, autorresolucin, distribucin de software, etc.
La automatizacin de los centros de datos, con la implantacin de polticas
de asignacin dinmica de recursos segn las previsiones de carga, provisin
automatizada de infraestructura virtual, etc.
La consolidacin de servidores y del almacenamiento.
La virtualizacin de los sistemas operativos.
La gestin de la obsolescencia del equipamiento y la renovacin del parque.
La desconexin y retirada de equipos. La gestin del apagado de aplicaciones sin uso.
En coordinacin con las polticas medioambientales en TI (green IT), participa en la implantacin de las polticas relacionadas con el consumo energtico y de materiales menos contaminantes, como por ejemplo:
El seguimiento del consumo elctrico. Implantacin de polticas de reduccin del consumo en equipos, como la entrada en suspensin tras perodos de inactividad.
La definicin de polticas de compra de equipamiento certificado con etiquetas verdes de bajo consumo y materiales reciclables.
Una correcta gestin de la capacidad permitir no slo reducir las incidencias y
degradaciones del servicio por falta de recursos, sino que anticipa las necesidades
permitiendo a la organizacin de TI trabajar con menos presin y con costes ms
ajustados. En la figura 6.5.3 se muestran los principios bsicos que se deben tener
en cuenta al implementar el proceso.
Un entendimiento del negocio y de la evolucin del mercado es esencial para el
diagnstico de la variacin de la demanda en la utilizacin de los recursos de TI. El
contacto con el negocio se debe llevar a cabo manteniendo un dilogo continuo
con las unidades clientes, apoyndose en la gestin de relaciones con el negocio.
As, el contacto entre TI y los clientes est coordinado. La gestin de la capacidad
tiene que entender la estrategia a largo plazo del negocio al tiempo que proporciona informacin sobre las ltimas ideas, tendencias y tecnologas que desarrollan
los proveedores de hardware y software.
El conocimiento tcnico de las infraestructuras tecnolgicas es necesario para realizar
una adecuada monitorizacin de la capacidad y una gestin tcnica de la capacidad

374

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Figura 6.5.3. Principios bsicos del proceso

de los recursos. Debe conocer el potencial de la tecnologa y aprovechar las innovaciones para asegurar que los servicios de TI se adaptan a las expectativas cambiantes del negocio. La gestin de la capacidad debe promocionar que los avances tecnolgicos se incorporen al diseo de los sistemas con el fin de facilitar la
flexibilidad de las infraestructuras y acortar los tiempos de provisin de nuevas
capacidades. Destacan la consolidacin y virtualizacin de los servidores y del almacenamiento, como nuevos principios que se deben tener en cuenta en la arquitectura tecnolgica de los sistemas. La automatizacin de la provisin de recursos
siguiendo unas polticas predefinidas, permitir asignar dinmicamente los recursos a los servicios segn se necesiten. Otras estrategias son la compra de infraestructura con capacidad preinstalada que se puede activar por software cuando se
necesita (capacidad bajo demanda), los blade servers con una gestin conjunta como
pool de servidores, etc.
La previsin de la evolucin de la demanda y de la tecnologa permitir a TI ir por
delante de las crisis internas y gestionar las necesidades con el plazo necesario. En
el mbito de la previsin y anticipacin, se utiliza el plan de capacidad como el instrumento formal ms importante de este proceso.
En la figura 6.5.4 se muestran los componentes principales del proceso.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

375

COMPONENTES DEL PROCESO


Previsin
de la carga

Utilizacin
o carga

Capacidad
del negocio

Plan de
capacidad

Modelos

Dimensionados

CDB
Base de datos
de capacidad

Capacidad de
los servicios

Capacidad de
los recursos

Datos
Datos
Datos
Datos
Datos

Previsiones
de capacidad

Informes sobre
recursos y
servicios
Informes de
excepciones

de negocio
del servicio
tcnicos
financieros
de utilizacin

Umbrales utilizacin
Umbrales de SLA

Monitorizacin
de la capacidad

Ajuste o tuning

Figura 6.5.4. Componentes principales del proceso de gestin de la capacidad

Los principales componentes del proceso son:


Ajuste o tuning. Optimizacin de los sistemas con respecto de la carga actual o
prevista de acuerdo con el resultado del anlisis de la informacin de rendimiento
de los servicios.
Base de datos de gestin de la capacidad (CDB, Capacity Data Base). La base de
datos de gestin de la capacidad centraliza los datos y el conocimiento de este proceso. Es un repositorio en el que se almacenan informacin de negocio, de servicio,
tcnica, financiera, de utilizacin, etc. Las actividades de la gestin de la capacidad
almacenan y utilizan los datos contenidos en la CDB. Normalmente, la CDB no
ser una nica base de datos, sino que es un concepto lgico que recopila datos,
ficheros de log, informes, documentos, etc.
Carga, utilizacin o demanda operacional. Consumo o utilizacin de los recursos por parte de los clientes y usuarios. Se utiliza como entrada para el dimensionamiento y en la definicin de polticas de utilizacin. Conviene no confundir este

376

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

trmino (demanda operacional) con el concepto de la gestin de la demanda utilizado en el libro Estrategia del Servicio de ITIL v3 (demanda estratgica), que se
centra en gestionar las peticiones (demandas) de nuevos servicios realizadas por el
negocio hacia TI; mientras que la carga o utilizacin tratan con las previsiones de
uso o trabajo real que ejecutan los servicios.
Dimensionado. Estimacin de la capacidad que necesitar un servicio, una aplicacin o un recurso cuando entre en el entorno productivo. Se contemplan varios
escenarios de evolucin de la carga de trabajo. Se suele realizar en la fase de diseo
(normalmente sobre los crticos) o en cambios importantes.
Gestin de la capacidad del negocio. Subproceso que se encarga de garantizar
que se consideran, planifican e implementan los requisitos de capacidad y rendimiento del negocio para los servicios de TI.
Gestin de la capacidad de los servicios. Subproceso que se centra en la gestin
de la capacidad y el rendimiento de los servicios de TI. Se encarga de garantizar el
cumplimiento de estos aspectos especificados en los acuerdos del nivel de servicio.
Gestin de la capacidad de los recursos. Subproceso que se encarga de la gestin
de la capacidad y el rendimiento de todos los componentes contenidos en la
infraestructura de TI.
Informe sobre los recursos y los servicios. Muestra el comportamiento en
cuanto a capacidad y rendimiento de los recursos y servicios. Refleja el grado de
ocupacin o de saturacin de los mismos.
Informe de excepciones. Pone foco en situaciones de incumplimiento de los niveles de servicio o de saturacin de la capacidad de los recursos o servicios. Analiza
las causas y proponen soluciones.
Modelado. Predicciones del comportamiento de los servicios frente a variaciones
previsibles de la carga de trabajo. Las principales tcnicas de modelado son el anlisis de tendencias de consumo, el modelado analtico o matemtico, las simulaciones ante variaciones de carga, etc. En el mejor de los casos, los modelos se calculan
de forma emprica sobre una instalacin piloto. Los modelos deben ser sencillos y
estar representados en forma de tabla de valores o de grfica.
Monitorizacin. Es la medicin de la capacidad, rendimiento y utilizacin de cada
servicio y recurso de manera continuada. La monitorizacin utiliza como entradas
los umbrales de utilizacin de recursos y los umbrales establecidos en los acuerdos
de nivel de servicio y en las polticas tecnolgicas.
Previsin de la carga. Actividad que consiste en pronosticar la carga o utilizacin
de los recursos informticos.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

377

Previsin de la capacidad. Estimaciones sobre la capacidad necesaria en el futuro


de los componentes y servicios. Se realiza a partir de la experiencia histrica y de la
base de datos de capacidad. Las previsiones se incorporan en el plan de capacidad.
Plan de capacidad. Es el documento sobre el que se articula la dotacin de recursos en TI. Describe los niveles actuales de utilizacin de recursos y de rendimiento
de los servicios, y estudia los planes y estrategia de negocio para predecir los recursos futuros necesarios para los servicios de TI.

Entradas, actividades y salidas del proceso


El proceso de gestin de la capacidad carece de un gran flujo predefinido que aglutine a la mayora de sus actividades, sino que stas se desencadenan por eventos discretos, unas veces por que se alcanzan las fechas para la realizacin de un informe o
del plan de capacidad, otras por una alarma de falta de rendimiento, por la llegada
de un nuevo servicio que requerir dimensionarlo, porque antes del paso a explotacin habr que comprobar el consumo de recursos y el rendimiento de las nuevas
aplicaciones, etc.
En el proceso, nicamente existe un pequeo flujo, denominado ciclo de mejora de
la capacidad, que revisa de forma continua y permanente la capacidad y el rendimiento.
Este proceso requiere profundos conocimientos tcnicos, tanto en el mbito del
desarrollo, como en la gestin de las infraestructuras, especialmente en las actividades de ajuste o tunning. Conviene tener presente que el proceso gestiona tanto la
capacidad de los sistemas como su rendimiento. Ambos aspectos influyen directamente en la disponibilidad y tiempo de respuesta de los servicios. Por ello, el proceso est muy vinculado a la gestin de la disponibilidad.
A pesar de no tener una secuencia encadenada de acciones, el proceso tiene unas
entradas, unas actividades y unas salidas. Tradicionalmente, en ITIL, las actividades del proceso se estructuran en forma matricial. Primero se contemplan los tres
grandes subprocesos: la gestin de la capacidad del negocio, de los servicios y de
los recursos para describir, posteriormente, un conjunto de actividades que se realizan en cada uno de estos mbitos: elaborar el plan de capacidad, ciclo de mejora de
la capacidad, etc. En la figura 6.5.5 se muestra un esquema de ellas.
Las entradas que desencadenan el inicio de alguna actividad en el proceso son la
proximidad de la fecha para iniciar la revisin del plan de capacidad (normalmente
de forma trimestral y como mnimo anual); la activacin de una alarma sobre capacidad o rendimiento, que requiere actuacin antes de que se produzca un incidente;

378

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Entradas
Desencadenantes
del proceso:

Actividades
Gestin capacidad del negocio.
Gestin capacidad de servicios.

Fecha preparacin del


plan de capacidad o
de informes.

x x x Elaborar el plan de capacidad.

Alarma de capacidad o
rendimiento.

x x x Ciclo de mejora de la
capacidad y rendimiento:

Proyectos desarrollo.

Gestin capacidad de recursos.

Variaciones en los SLA.


Solicitud de un informe
de capacidad o
rendimiento.
Cambio en la estrategia
o tecnologa.
Entradas de soporte:
Estrategias del negocio
y de TI.
SLR y SLA.
Incidentes y problemas
ocurridos.
CMDB y CDB anterior.
Lista de cambios.
Presupuestos.

x x
x

Salidas principales:
Plan de capacidad.
CDB.
Informes capacidad.
Dimensionado de
aplicaciones.

Monitorizacin.

Salidas secundarias:

Anlisis.

Umbrales y alarmas.

Ajuste o tunning.

Lneas base y perfiles.

Implementacin.

Recomendaciones
para SLA.

Relacionarse con otros procesos.


x

Salidas

Influir en la utilizacin.

Recomendaciones
para polticas de
facturacin.

Modelado.

Cambios proactivos.

Dimensionado de aplicaciones.

Planificacin
operacional revisada.

x x x Realizacin de informes.
Administrar la base de datos de
capacidad (CDB).

Propuesta de
actividades para la
mejora de los servicios.

x x x Supervisin y mejora del proceso.

Fuente: Libro ITIL Provisin de Servicio publicado por OGC y Telefnica.

Figura 6.5.5. Entradas, actividades y salidas del proceso

la llegada de un nuevo proyecto, de un nuevo desarrollo, de evolucin de un servicio existente o de cambio de las infraestructuras, que requieren el dimensionado de
recursos; nuevos acuerdos o variaciones a los acuerdos de nivel de servicio existentes (SLA); solicitud por otra rea de un informe de capacidad o rendimiento; un
cambio en la tecnologa o en la estrategia tecnolgica (por ejemplo, se inicia una
poltica de consolidacin y de virtualizacin).
Las entradas que se utilizan en las actividades del proceso como soporte son la
estrategia de negocio para conocer las futuras variaciones de la demanda y la estrategia de TI relacionada con la capacidad y rendimiento; los requerimientos de capacidad demandados y los acuerdos de nivel de servicio pactados; los incidentes ocurridos cuyo origen fue una falta de capacidad o de rendimiento, los problemas

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

379

abiertos o cerrados sobre este mbito; la informacin obtenida sobre cualquier elemento a partir de la base de datos de gestin de la configuracin (CMDB, Change
Management Data Base) y la informacin sobre los histricos de monitorizacin en
la base de datos de gestin de la capacidad (CDB, Capacity Data Base); la planificacin de los cambios a partir de la lista de cambios planificados (FSC, Forward Schedule of Changes) o bien change schedule (siguiendo la terminologa ITIL v3), para
conocer en qu momento se necesitar la capacidad; los presupuestos de TI que
establecen los recursos econmicos disponibles; etc.
La gestin de la capacidad tiene tres subprocesos o mbitos de actuacin: el negocio, los servicios y los recursos.
La gestin de la capacidad del negocio. Se enfoca en conocer la capacidad
que va a demandar el negocio para anticiparse en la cobertura de las necesidades. Los requisitos futuros se obtienen a partir de los planes de negocio,
crecimiento, planes de desarrollo, nuevos servicios, etc.
En la capacidad del negocio tambin se incluyen los aspectos de la capacidad
de los servicios en lo concerniente a su relacin con otros procesos: asistencia en la definicin de los requisitos de nivel de servicio de capacidad, diseo
de nuevos servicios y la provisin de infraestructuras, verificacin de SLA en
rendimiento y carga, firma de los acuerdos, etc.
La gestin de la capacidad de los servicios. Se centra en la gestin de la
capacidad y rendimiento de los servicios de TI, que deben cumplir los mnimos establecidos en los acuerdos de nivel de servicio. Se puede considerar
como la visin hacia el interior de los servicios centrada, principalmente,
en conseguir su adecuado funcionamiento, ya que las interacciones con el
entorno se tratan en la capacidad del negocio.
La gestin de la capacidad de los recursos. Se centra en la gestin de los
componentes individuales de la infraestructura de TI: capacidad, rendimiento, parametrizacin, optimizacin, monitorizacin, obsolescencia, etc.
Siguiendo ITIL, en cada uno de estos tres mbitos se realiza un conjunto de actividades que se enumeran de forma comn, aunque unas son ms especficas de un
mbito y otras, en cambio, se realizan en los tres.
Elaborar el plan de capacidad. Documento que recoge de forma precisa las
necesidades inmediatas y a medio plazo de recursos. Su elaboracin orquesta
un movimiento en toda la organizacin para predecir las necesidades de
capacidad del negocio, de los servicios y de los recursos. Es el documento
maestro que pronostica las necesidades para que se proporcionen los presupuestos necesarios.

380

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Ciclo de mejora de la capacidad y rendimiento. Conjunto de 4 actividades encadenadas que permiten mejorar de forma permanente la capacidad y
el rendimiento de los servicios y de los componentes. Este ciclo debe estar
actuando de forma continua.
Monitorizacin. Registro automatizado, mediante herramientas, de la
capacidad y el rendimiento de los recursos, de los servicios e, incluso, de
la actividad en el negocio (medida en este caso a travs del uso de los
servicios).
Anlisis. Estudio de los resultados de la monitorizacin para detectar
mejoras.
Ajuste o tunning. Identificacin de las acciones correctoras que se deben
llevar a cabo en los recursos fsicos con el fin de mejorar el rendimiento o
el uso de la capacidad.
Implementacin. Implantacin de las mejoras identificadas (anlisis o
ajuste), siempre bajo el proceso de gestin del cambio, generando las peticiones de cambio (RFC, Request for Change) correspondientes.
Relacionarse con otros procesos. La gestin de la capacidad interacciona
en temas de capacidad y rendimiento con muchos procesos. Da soporte a la
gestin de nivel de servicio (SLR, SLA y cumplimiento de niveles de servicio), necesita de las relaciones con el negocio, establece requisitos, supervisa
las pruebas de gestin de la entrega, interacta con la gestin financiera en la
elaboracin del plan de capacidad, determina las compras necesarias, interacta con la gestin del incidente y del problema para detectar las carencias en
la capacidad o rendimiento, etc.
Influir en la utilizacin. Conjunto de acciones que permiten adecuar el uso
y la carga de trabajo de servicios y recursos generados por parte de las reas
cliente y de los usuarios. En cierta manera gestiona la demanda, entendida
como utilizacin de los servicios. Se encarga de ejecutar las polticas de TI
en cuanto al uso.
Modelado. Prediccin o estimacin de la actividad del negocio o del comportamiento de los servicios bajo varios escenarios de carga. El modelado permitir predecir el rendimiento y el consumo de recursos. Presenta como resultado
tablas y grficos que relacionan actividad, carga, capacidad o rendimiento.
Dimensionado de aplicaciones. Clculo de los recursos que necesitar una
aplicacin para satisfacer los niveles de servicio. Se realiza bien al inicio del
proyecto (en el caso de aplicaciones bajo desarrollo o adquisicin) o en la

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

381

fase de pruebas (en el caso de aplicaciones sujetas a mantenimiento). Tambin se puede realizar en cambios importantes. Si se ha realizado el modelado, se utilizarn sus resultados.
Realizacin de informes de capacidad y rendimiento. Preparacin y difusin de informes diversos sobre la utilizacin de recursos (tcnicos y humanos), la capacidad remanente y el rendimiento de los sistemas. Los informes
se realizarn de forma peridica o bajo peticin, en ambos casos coordinados con el proceso de gestin de informes.
Administrar la base de datos de capacidad (CDB). Diseo y creacin de
la base de datos y administracin posterior de la misma. La base de datos
contiene informacin histrica sobre la demanda y crecimiento del negocio,
sobre los servicios y sobre la capacidad de los elementos de configuracin.
Supervisin y mejora del proceso. Revisin continua del funcionamiento
del proceso y de sus actividades con el fin de detectar mejoras al mismo.
Las actividades de este proceso, con su participacin en los mbitos de negocio,
servicios y recursos, se muestran en la figura 6.5.6.
Actividades
Subprocesos

Elaborar
el plan de
capacidad

Ciclo de mejora
de la capacidad
y rendimiento

Gestin capacidad
del negocio

Relacionarse
con otros
procesos

Modelado

Monitorizacin
Realizacin
de informes

Anlisis
Gestin capacidad
de los servicios

Ajuste

Gestin capacidad
de los recursos

Influir en la
utilizacin

Dimensionado
aplicaciones

Implementacin

CDB

Administrar la base de datos de capacidad

Supervisin y mejora del proceso

Fuente: Libro ITIL Provisin de Servicio publicado por OGC y e.p.

Figura 6.5.6. Actividades de la gestin de la capacidad

382

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Las principales salidas o resultados del proceso son: el plan de capacidad elaborado o
actualizado, con las previsiones de recursos necesarias; la base de datos de capacidad,
con toda la informacin de capacidad y rendimiento recogida en la monitorizacin;
los informes de capacidad elaborados; y el dimensionado de aplicaciones realizado.
Como resultados secundarios del proceso se obtienen: los umbrales y alarmas para
la monitorizacin de la capacidad y rendimiento; las lneas base en cuanto a la utilizacin de recursos y los perfiles de comportamiento; las recomendaciones de partida para los acuerdos de nivel de servicio; las recomendaciones sobre polticas de
facturacin, de cara a influir en el consumo de recursos; los cambios proactivos (y
sus RFC) para la mejora de la capacidad y del rendimiento; la planificacin de las
operaciones revisada, de cara a ajustar los picos en la carga de los recursos; las propuestas de actividades para la mejora de los servicios; etc.

El plan de capacidad
Uno de los principales instrumentos del proceso es el plan de capacidad, cuyo objetivo es predecir las necesidades de capacidad con el fin anticiparse a su demanda.
Alrededor de la elaboracin del plan se desencadena la actualizacin de informacin y revisin completa de la situacin actual. Las actualizaciones del plan marcan
el tempo de este proceso. Al igual que ocurriera en disponibilidad y continuidad, el
plan de capacidad marca el ciclo vital del proceso, que debe ir acompasado con la
gestin financiera de TI.
En el plan de capacidad tambin se incorporan los niveles actuales de utilizacin de
recursos y el rendimiento de los servicios. Se estudian los planes y la estrategia del
negocio. Las estimaciones y suposiciones realizadas se deben indicar con claridad.
Tambin debera incluir recomendaciones sobre los recursos requeridos, sus costes,
los beneficios, el impacto, etc.
Las Normas ISO/IEC 20000 explicitan un conjunto de requerimientos que se
deben cumplir a travs del plan de capacidad:
UNE-ISO/IEC 20000-1
La gestin de la capacidad debe elaborar y mantener un plan de capacidad.
La gestin de la capacidad debe estar dirigida a las necesidades del negocio y debe
incluir:
a) los requisitos de capacidad, rendimiento y comportamiento, actuales y previstos;
b) la identificacin de plazos, umbrales y costes para las actualizaciones del servicio;

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

383

c) la evaluacin de los efectos sobre la capacidad de actualizaciones anticipadas del servicio, peticiones de cambio, y nuevas tecnologas y tcnicas;
d) la previsin del impacto de cambios externos, por ejemplo cambios legislativos;
e) los datos y los procesos para poder realizar anlisis predictivos.

UNE-ISO/IEC 20000-2
Se debera generar un plan de capacidad
donde se documente el rendimiento real
de la infraestructura y los requisitos esperados, con la frecuencia suficiente para
tener en cuenta el ritmo de cambios de los
servicios y de los volmenes de servicio, la
informacin de los informes de gestin del
cambio y del negocio del cliente.
Dicho informe debera elaborarse al
menos anualmente. Se deberan docu-

mentar las opciones existentes junto con


su coste para cumplir con los requisitos
del negocio, as como, las soluciones
recomendadas para conseguir los objetivos de nivel de servicio tal como estn
definidos en el SLA.
Debera existir una buena comprensin
de la infraestructura tcnica y sus capacidades presentes y las que estn proyectadas.

El plan de capacidad debe publicarse anualmente y debe estar alineado con el ciclo
presupuestario. Hay que tener presente que est muy vinculado al plan de inversin y debe estar finalizado antes de que se inicie la elaboracin de los presupuestos
de TI. Se recomienda su actualizacin cada tres meses, para reflejar los cambios en
el negocio o para corregir las previsiones.
En la figura 6.5.7 se muestra la estructura propuesta en ITIL, que divide el plan en
11 apartados.
Los apartados de mayor inters del plan de capacidad son:
Los escenarios del negocio. Que analizan la situacin actual del negocio,
visto desde la demanda hacia TI. Se presenta la situacin actual del negocio
(nmero de departamentos, nmero de usuarios, nmero de edificios, volumen de transacciones, etc.). A partir de la estrategia y planes del negocio, se
realiza una previsin sobre la evolucin del negocio, en cuanto a la actividad
prevista, nueva actividad, nuevos edificios, etc. Contemplando siempre las
repercusin que tendrn en los servicios de TI.
El resumen de los servicios. Presenta la situacin actual de los servicios, mostrando servicio a servicio un perfil del mismo: carga, trfico, almacenamiento,

384

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Plan de capacidad
Resumen de los servicios:
Perfil de cada uno de
los servicios ofrecidos.
Incluyendo ratios de trfico
y utilizacin de los recursos.
Detalles de los nuevos
servicios planeados.
Crecimiento o reduccin
en la utilizacin de sistemas.
Informe sobre la retirada
de sistemas.

1. Introduccin.
2. Resumen ejecutivo.

Escenarios de negocio:

3. Escenarios del negocio:

Situacin actual del negocio


y previsiones de evolucin,
en cuanto a la actividad,
diversificacin, etc.

Situacin actual del negocio.


Evolucin prevista.
4. Objetivo y alcance.
5. Mtodos.

Resumen de los recursos:

6. Hiptesis.

Utilizacin de recursos actual.

7. Resumen de los servicios:


Situacin actual servicios.
Previsiones servicios.
8. Resumen de los recursos:
Situacin actual recursos.

Tendencias de utilizacin
de recursos a corto medio
y largo plazo desglosadas
por plataformas.
Previsiones de recursos.
Estudio del impacto de los
nuevos escenarios de negocio
descritos en el plan.

Previsiones recursos.
Opciones de mejora:
Posibles opciones de
mejora de la eficacia
y/o eficiencia (por ejemplo,
consolidacin, virtualizacin,
renovacin, etc.).

9. Opciones de mejora de los


servicios.
10. Previsin de costes.
11. Recomendaciones.

Presin de costes:
Descripcin de los costes
de las opciones de mejora.
Costes actuales de los servicios.
Costes previstos.

Fuente: Libro ITIL Diseo del Servicio publicado por OGC y e.p.

Figura 6.5.7. Estructura del plan de capacidad propuesta en ITIL

procesamiento, etc. Tambin se reflejan las tendencias de crecimiento vegetativo en la planta actual. El proceso de gestin de la capacidad recibe informacin de los planes de negocio sobre la planificacin de nuevos servicios o
sobre variaciones de uso correspondientes a servicios actuales. Con todo ello,
se realiza una previsin del crecimiento de los servicios a partir del escenario
de negocio previsto. Las previsiones van cuantificadas de tal forma que permitan identificar las necesidades econmicas asociadas: proyectos de inversin, costes de soporte, costes de mantenimiento, etc.
El resumen de los recursos. Realiza un resumen, a modo de inventario,
de los recursos actuales (hardware, software, aplicaciones, comunicaciones,

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

385

personal propio, personal ajeno, servicios, etc.). Analiza las tendencias de


variacin a corto y medio plazo. A partir de las previsiones de los servicios se
realizan las previsiones de los recursos necesarios, de nuevo en todos sus
mbitos (hardware, software, aplicaciones, RRHH, servicios externos, etc.).
La previsin de costes. Con una visin ms clara del destino del negocio,
con los servicios que sern necesarios mantener o crear, y con un inventario
de los recursos necesarios, se realiza la previsin de los costes. El objetivo de
este apartado es identificar las necesidades econmicas para sostener y evolucionar los servicios. Esta previsin servir de entrada al plan financiero de
TI y se realizar de forma conjunta con el proceso de gestin financiera de TI.

La base de datos de gestin de la capacidad


(CDB, Capacity Data Base)
Si el plan de capacidad condensa en un documento la situacin actual y las previsiones, la base de datos de la capacidad aloja todos los datos y la informacin necesaria para el trabajo en el proceso. As, esta base de datos es un instrumento esencial para el proceso. Se utiliza tanto para las actividades tcnicas, como para la
generacin de los informes de gestin y las previsiones.
La base de datos de gestin de la capacidad est formada por la informacin necesitada por los tres subprocesos de gestin de la capacidad y por sus correspondientes actividades. Es un concepto lgico, no tiene porqu ser una nica base de datos
en el sentido estricto del trmino.
En la figura 6.5.8 se muestra una la estructura lgica que se deriva de ITIL para la
CDB.
La CDB se puede estructurar en 5 reas (segn ITIL):
Datos del negocio. Contiene la informacin necesitada por el subproceso
de gestin de la capacidad del negocio para realizar las previsiones sobre el
negocio y su impacto sobre la capacidad necesaria y rendimiento de los servicios. La informacin ms relevante puede ser: los procesos de negocio a
los que se da soporte por TI; la identificacin de los edificios y emplazamientos en los que se desarrolla el negocio; la distribucin geogrfica y funcional de los usuarios de TI; los volmenes de actividad del negocio y transacciones del negocio y sus variaciones horarias, semanales y estacionales; los
perodos crticos para cada proceso de negocio; etc.
Datos de los servicios. Contiene informacin sobre la capacidad y rendimiento de cada uno de los servicios o, por lo menos, de los principales, con

386

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Estructura de la CDB

Datos del negocio

Datos de
los servicios

Procesos de negocio.

Por cada servicio:

Edificios y
emplazamientos.

Rendimiento: perfil de
variacin de la carga:
Picos de carga.
Nmero de
transacciones.
Tiempos de
respuesta.

Distribucin
geogrfica usuarios.
Distribucin funcional
usuarios.
Volmenes de
actividad del negocio.
Transacciones de
negocio.
Perfil de la actividad
del negocio (horario,
semanal y estacional).
Perodos crticos para
cada proceso de
negocio.

Capacidad: consumo
por usuario o
transaccin.
Costes del servicio.
Datos de rendimiento
de la infraestructura
que soporta el servicio.
Concurrencia con otros
servicios sobre las
plataformas comunes.

Datos utilizacin
recursos

Lmites tcnicos

Comunicaciones
externas.

Lmite uso CPU.

Red interna.

Lmite uso
almacenamiento.

Cortafuegos.
Servidores frontales.

Lmite uso red.

Servidores
middleware.
Servidores backend.
Almacenamiento
compartido.
Copias de seguridad
reas de soporte:
Service desk.
Operacin.
Soporte tcnico.

Informacin
financiera
TCO por puesto.
Coste licencias por
usuario.
Coste transaccin.
Coste por MIP.
Coste por GB.

TCO: Coste total de propiedad.


MIP: Millones de instrucciones por segundo.

Fuente: Libro ITIL Provisin de Servicio publicado por OGC y Telefnica.

Figura 6.5.8. Estructuracin ejemplo de la base de datos de capacidad

detalles horarios. Tpicamente se recoge la informacin sobre el rendimiento


(picos de carga, volumen de transacciones, tiempos de respuesta, perfil de
variacin horaria de la carga del servicio, concurrencia en nmero de usuarios, etc.); el rendimiento de los componentes de la infraestructura que
soporta el servicio; la coincidencia de la carga entre los servicios sobre las
plataformas comunes (comunicaciones exteriores, red interna, frontales web,
backend de procesamiento, red almacenamiento, backup, etc.); los niveles de
servicio acordados en los SLA; etc.
Los datos de los servicios se obtienen de las herramientas de monitorizacin extremo a extremo de los servicios y de las herramientas de monitorizacin especficas de los recursos. Junto a la informacin tcnica se registra
la informacin necesaria para el clculo de los costes y su posterior imputacin por el proceso de gestin financiera.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

387

Datos de utilizacin de los recursos. Informacin resultante de la monitorizacin de los recursos. Cada recurso tiene sus propios parmetros de monitorizacin y, para cada uno de ellos, se mide la utilizacin de los componentes
y el rendimiento. As, se monitorizarn las aplicaciones; las comunicaciones
exteriores; las comunicaciones entre los edificios; las comunicaciones internas
en los centros de datos; los principales equipos de comunicaciones; el equipamiento de seguridad; los servidores frontales web, middleware y backend; el
almacenamiento compartido en red LAN o en red SAN; las copias de seguridad o backup; la carga de trabajo de las unidades de soporte (service desk, operacin, soporte tcnico, pruebas); etc.
Los parmetros tpicos de monitorizacin son el nmero de transacciones, el
tiempo de respuesta de las aplicaciones, el tiempo de respuesta de red, el porcentaje de utilizacin del procesador, el porcentaje de utilizacin de disco
compartido, utilizacin de memoria en los servidores, duracin del procesado por lotes (batch), etc.
Lmites tcnicos de los recursos. Cada recurso tiene un lmite de capacidad
por encima del cual se satura y se degrada su comportamiento. Es el caso del
porcentaje de utilizacin del procesador, de la capacidad libre de almacenamiento o de la saturacin de las comunicaciones. Esta informacin se almacena en la CDB. Con estos valores lmite, se definen los umbrales y alarmas
de monitorizacin.
Informacin financiera. Conjunto de datos econmicos que se necesitan
en el proceso para establecer el punto de equilibrio entre la tcnica y el coste,
como se realiza en la definicin de escenarios. La informacin sobre el
entorno econmico en el que moverse y los costes se obtienen de varias
fuentes: los planes financieros del negocio, los presupuestos de TI, los suministradores, la base de datos de gestin de la configuracin (CMDB), etc.
Con la informacin de la CDB tambin se obtienen informes, por ejemplo, de los
servicios y recursos; de las excepciones; de las previsiones de capacidad; o del consumo y la facturacin.
Debido a la dificultad de integrar los datos provenientes de las diversas herramientas de monitorizacin, normalmente la base de datos de la capacidad estar formada por varios repositorios de informacin. Resulta esencial el control de la coherencia de la informacin y de la fiabilidad de los datos, por lo que se debe designar
quin o quines desempearn el rol de administradores y quines accedern en
modo de slo consulta. Como toda base de datos, deber ajustarse a las polticas
de gestin del cambio. Tambin deberan realizarse controles o revisiones internas
peridicas de los contenidos de la CDB.

388

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Hay que determinar claramente la frontera entre la base de datos de la capacidad,


la base de datos de gestin de la configuracin (CMDB) y la informacin financiera, con el fin de evitar el tratamiento duplicado de informacin.

Gestin de la capacidad del negocio


Como se indica en ITIL, el objetivo principal del subproceso de gestin de la
capacidad del negocio es asegurar que se tienen en cuenta y se comprenden los
requisitos futuros del negocio respecto a los servicios de TI, y que se planifica e
implementa la capacidad suficiente para dar soporte a los servicios, en los plazos
adecuados.
Tambin en ISO/IEC 20000-2 se establece la necesidad de alinear la gestin de la
capacidad con los requerimientos y previsiones de carga del negocio.
UNE-ISO/IEC 20000-2
Los requisitos actuales y esperados del
negocio en relacin al servicio se deberan conocer en trminos de lo que el
negocio va a necesitar para dar servicio
a sus clientes.
Las previsiones de negocio y las estimaciones de carga de trabajo se deberan
traducir a requisitos especficos y quedar
documentadas. El resultado de las varia-

ciones en la carga de trabajo o en el


entorno deberan ser predecible; se
deberan recoger y analizar datos actuales e histricos de utilizacin de componentes y recursos, al nivel adecuado,
con el fin de dar soporte al proceso.
La gestin de la capacidad debera ser
el punto focal de todas las cuestiones
de rendimiento y capacidad.

Del conjunto comn de actividades del proceso, las principales actividades que se
pueden considerar para llevar a cabo el subproceso de gestin de la capacidad del
negocio son las siguientes:
Elaborar el plan de capacidad en el mbito del negocio. Se centra en identificar
la evolucin y las necesidades que tendr el negocio en el perodo cubierto por el
plan. Las necesidades se convertirn en los requisitos que TI debe satisfacer. En esta
actividad se desarrolla el apartado del plan de capacidad relativo a los escenarios del
negocio, que est formado por dos subapartados: la situacin actual del negocio y
la evolucin prevista del negocio. El objetivo principal es predecir la evolucin del
negocio en los aspectos que puedan impactar en TI, como por ejemplo, el volumen
de actividad, la variacin o la diversificacin de actividades, la incorporacin de nuevas tecnologas, el impulso a la movilidad, las polticas de teletrabajo, etc.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

389

Idealmente, el plan de capacidad en el mbito del negocio no se realiza aisladamente, sino que forma parte de un ejercicio de estrategia ms amplio y global de la
empresa. Parte con la definicin de la estrategia del negocio, de los planes de negocio, del avance de la tecnologa y de la estrategia de TI alineada con el negocio. La
estrategia de TI se ejecuta en base a un porfolio de proyectos (para la evolucin de
los servicios ya existentes o para la construccin de los nuevos), que produce como
resultado el nuevo catlogo de servicios. El plan de capacidad, cuando se realiza en
este mbito ideal, obtiene la informacin de los planes del negocio y la estrategia
de TI para predecir la carga de trabajo que recaer en TI.
El anlisis se realiza por reas o procesos de negocio, mostrando la situacin histrica, la actual y las predicciones. Las predicciones utilizan la informacin de los
datos de negocio de la CDB, por lo que la estructura de las predicciones y de la
CDB debern estar armonizadas.
En la figura 6.5.9 se muestra un ejemplo de los resultados del apartado 3 del plan
de capacidad, relativo a la identificacin de los escenarios del negocio. Se ha
tomado como ejemplo una empresa con una estrategia expansiva territorialmente,
con foco en nuevos productos de mayor valor aadido, la diversificacin de los
canales de venta, la ampliacin de los horarios comerciales y una fuerte expansin
territorial en China y Latinoamrica. En el ejemplo, el escenario del negocio est
alineado con la estructura de datos recopilados en la CDB.
Conviene tener presente que el contacto con el negocio lo lidera el proceso de relaciones con el negocio, al que el presente proceso le asiste en el aspecto de la capacidad.
Si no existiera un ejercicio formalizado de estrategia del negocio y de TI, la definicin del plan de capacidad se deber realizar, igualmente, utilizando el ejercicio presupuestario como palanca.
Ciclo de mejora de la capacidad y rendimiento del negocio. Esta rutina en continua ejecucin en el proceso, propone mejoras de capacidad o rendimiento monitorizando la actividad del negocio a travs de su utilizacin de los servicios (altas
de clientes, transacciones de venta, etc.).
Relacionarse con otros procesos. El subproceso de gestin de la capacidad del
negocio acta a modo de interfaz entre la gestin de la capacidad y el resto de procesos de TI.
Ayuda en la definicin de los requerimientos del servicio (SLR) en temas
relativos a la capacidad y rendimiento, asistiendo al proceso de gestin de
nivel de servicio.
Participa en el diseo, provisin y modificacin de los servicios en temas
relacionados con la capacidad, rendimiento, adquisiciones, tecnologa, etc.

390

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Plan de capacidad: escenarios del negocio


Escenario
del negocio

Situacin actual del negocio

Estrategia negocio.

Expansin europea, crecimiento ventas

Ao -2

Ao -1

Evolucin prevista

Ao 0

Ao +1

Ao +2

Ao +3

Expansin intercontinental.
Venta web y logstica: 24x7.
Nuevos productos con mayor valor aadido.
Un 50% del personal con movilidad.
Un 30% del personal en teletrabajo.

Procesos de negocio:
Ventas.
Fabricacin.
Edificios y emplazamientos.
Distribucin geogrfica
usuarios.
Distribucin funcional
usuarios.

Transacciones de negocio.
Perfil de la actividad
del negocio (horario,
semanal y estacional).
Periodos crticos para cada
proceso de negocio.

+10%

+10%

+10%

+15%

+15%

+25%

+10%

+10%

+10%

+10%

+5%

+5%

Consolidacin nacional y presencia UE

Expansin LATAM y China

<tabla de usuarios por ciudades>

<nueva tabla de usuarios por ciudades>

<tabla de usuarios por departamentos>

<tabla de usuarios por departamentos>

<tabla histrico transacciones>

<tabla estimacin transacciones>

Horario de L a V de 9 a 20 h

Horario comercial: L a D de 9 a 22 h
Horario web: 24x7 incluido CRM

Ventas: diciembre.
Facturacin: ltima semana mes.
Cierre contable: ltima semana mes.

Ventas: diciembre, julio y septiembre.


Facturacin: continua.
Cierre contable: ltima semana mes.

Figura 6.5.9. Ejemplo del apartado de escenarios del negocio


en un plan de capacidad

Verifica los acuerdos de nivel de servicio (SLA), asesorando al gestor de nivel


de servicio y responsabilizndose de los temas de rendimiento en los servicios comprometidos.
Apoya en la negociacin de los SLA, realizando, si es necesario, tcnicas predictivas del rendimiento.
Controla cambios y entregas, especificando las pruebas de rendimiento que
se deben realizar y comprobando que se realizan.
Modelado de la actividad del negocio. El modelado, en cualquiera de sus formas
simples o complejas, permitir tener una prediccin de la evolucin de la actividad

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

391

del negocio. El modelado tambin relaciona diversos procesos de negocio con el


fin de identificar la concurrencia de los picos de demanda. Servir como entrada
para el modelado de los servicios y las previsiones del plan de capacidad. El modelado presenta como resultado una tabla o grfica con la evolucin de la actividad
del negocio en parmetros trasladables a la carga sobre TI.
Realizacin de informes de capacidad y rendimiento del negocio. Se realizan
informes sobre la evolucin del negocio y su reflejo en los principales parmetros
de la actividad del negocio con impacto en TI.

Gestin de la capacidad de los servicios


El subproceso de gestin de la capacidad de los servicios se centra en que los servicios tengan los recursos necesarios para que estn operativos. Teniendo como objetivo el cumplimiento de los requisitos de los servicios (SLR) y los acuerdos de nivel
de servicio (SLA), analiza su utilizacin, su rendimiento, el consumo de recursos,
los patrones de trabajo, las subidas y bajadas de carga.
En ISO/IEC 20000-1 se exige expresamente que se monitorice la capacidad y rendimiento de los servicios.
UNE-ISO/IEC 20000-1
Se deben identificar mtodos, procedimientos y tcnicas para la monitorizacin de
la capacidad del servicio, el ajuste del comportamiento y de las prestaciones del servicio y la provisin de la adecuada capacidad.

ISO/IEC 20000-2 recomienda la realizacin del dimensionamiento y modelizacin


de los servicios.
UNE-ISO/IEC 20000-2
El proceso debera ofrecer soporte directo
al desarrollo de servicios nuevos y a la
modificacin de los mismos realizando un

dimensionamiento y una modelizacin de


servicios.

Elaborar el plan de capacidad de los servicios. En esta actividad, el subproceso


elabora el apartado 7, dedicado al resumen de los servicios del plan de capacidad.

392

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Realiza un mapa de la situacin actual de los servicios y sus datos histricos, y el


pronstico de la evolucin de la carga de los servicios.
El plan de capacidad de los servicios hace una previsin de la carga que llegar a los
servicios y las necesidades de infraestructura para soportarla. Las previsiones de
carga de los servicios y la concurrencia de las mismas cobran especial relevancia en
escenarios con servidores consolidados y virtualizados.
Hay que tener en cuenta las situaciones transitorias en las que la carga aumenta,
como por ejemplo, la ejecucin en paralelo de dos servicios que se realizan en la
puesta en marcha de nuevos servicios utilizando elementos comunes, que requieren
que el antiguo y el nuevo estn operativos.
Ciclo de mejora de la capacidad y rendimiento de los servicios. Este conjunto
de 4 actividades tiene su mximo inters en la mejora de los servicios puestos en
produccin. Este ciclo debe actuar de forma continua.
Monitorizacin. Seguimiento automatizado mediante herramientas de la
capacidad y el rendimiento de los servicios. La monitorizacin de los servicios se realiza, principalmente, mediante dos tcnicas complementarias:
Monitorizacin de extremo a extremo mediante puestos de navegacin,
unos puestos situados en la red de usuarios lanzan rtmicamente unas
transacciones o navegacin predeterminadas.
Visin del servicio (service view). La monitorizacin extremo a extremo se
suele complementar con una visin del estado de los servicios obtenida en
base a la monitorizacin uno a uno de todos los componentes que utiliza
el servicio, teniendo en cuenta las redundancias de los mismos.
Anlisis. Estudio de los resultados de la monitorizacin para detectar mejoras.
Ajuste o tunning. Cobra especial importancia en los servicios en fase de
pruebas o recin implantados en produccin. Muchas veces las mejoras
obtenidas por el ajuste son de tal calibre que sin l los servicios no seran
utilizables.
Implementacin. Implantacin de las mejoras identificadas (anlisis o
ajuste), siempre bajo el proceso de gestin del cambio, generando las peticiones de cambio (RFC) correspondientes.
Influir en la utilizacin de los servicios. El objetivo principal es evitar los malos
usos o utilizacin desmedida de los servicios. Dados los recursos limitados de TI, es
necesario establecer los mecanismos para que los usuarios sean conscientes de que la
utilizacin no necesaria de servicios de TI puede tener un impacto negativo en el
negocio debido a la utilizacin de recursos limitados. La influencia en la utilizacin

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

393

debe ejecutar las polticas de TI y utiliza como principal medio la imputacin de costes, pero tambin tiene otras alternativas, como por ejemplo, la comunicacin, la
limitacin del uso (por ejemplo, el tamao de los buzones de correo), etc. La
influencia en el uso se debe realizar con una visin general del negocio, pues muchas
veces infringe graves prejuicios e improductividad en el negocio. Adems, se deben
realizar de forma alineada con la gestin de la estrategia del negocio y apoyadas en
la gestin financiera de TI.
Modelado de los servicios. En el caso de los servicios, el modelado permite definir
varios escenarios de trabajo, con variaciones en la carga que soportarn los servicios
y la cuantificacin de los recursos necesarios para soportarla. El modelado se utiliza
en la etapa de diseo de los servicios. En la mayora de los casos el resultado es una
simple tabla o grfica que representa las diversas cargas junto con los recursos necesarios. En el caso de productos software, el modelado debe partir del realizado por
los propios fabricantes, que se podr complementar con pruebas en el escenario real,
ya que los datos de los fabricantes generalmente se referirn a configuraciones limpias y que no consideran escenarios de comparticin de los recursos.
Dimensionado de aplicaciones. Actividad muy similar al modelado cuyo resultado est orientado a conocer con detalle los recursos que necesitar una aplicacin
para satisfacer los niveles de servicio. Se realiza o al inicio del proyecto o en la fase
de pruebas y tambin se puede hacer en cambios importantes. Si se ha realizado el
modelado previamente, se utilizarn sus resultados. Se realiza principalmente en
aplicaciones crticas. En los desarrollos a medida, slo se podr realizar en la fase
de las pruebas finales antes de entrada en produccin, sometiendo a la aplicacin a
diversas situaciones de carga, utilizando para ello herramientas de generacin automtica. Por este motivo, es mucho ms importante la identificacin e incorporacin de requisitos de rendimiento durante la fase de establecimiento de requisitos
tcnicos al nuevo desarrollo.
Realizacin de informes de capacidad y rendimiento. Emisin de informes
sobre los servicios, detallando el rendimiento de los servicios, la utilizacin de
recursos (tcnicos y humanos), la capacidad remanente, etc. Los informes se realizarn de forma peridica o bajo peticin, en ambos casos coordinados con el proceso de gestin de informes.

Gestin de la capacidad de los recursos


Despus de una visin de los servicios y del racimo de recursos que cada uno aglutina, es necesario un tratamiento de la capacidad de los recursos por especialidades:
comunicaciones, servidores, almacenamiento, etc. Esta visin, centrada en un tipo de
recurso, permite tener a punto todos los engranajes que forman un servicio. Tratar

394

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

los recursos por especialidades permite que un conjunto de especialistas gestione un


pool grande de recursos similares.
El subproceso de gestin de la capacidad de los recursos se centra en la capacidad
y rendimiento de estos elementos de la infraestructura. Procura un uso ptimo de
los recursos hardware y software (si bien en ITIL v2 las personas no son consideradas como recursos salvo que sean sustitutivos de un componente, en ITIL v3 s
son considerados como recursos, ya que, al fin y al cabo, representan un aspecto
de capacidad fundamental en la prestacin de numerosos, si no todos, los servicios de TI).
Elaborar el plan de capacidad de los recursos. El subproceso participa en la elaboracin del apartado 8 Resumen de los recursos del plan de capacidad. El objetivo es detallar los recursos actuales y estimar las necesidades para los prximos
perodos. Con estos pronsticos se elaboran las necesidades presupuestarias que
proporcionarn una parte de los fondos que necesita TI.
Ciclo de mejora de la capacidad y rendimiento. El anlisis de los elementos permite detectar oportunidades de mejora tcnica en la configuracin de cada elemento. Unos componentes bien ajustados sern capaces de proporcionar un rendimiento mximo en los picos de carga. La monitorizacin de los componentes es
fundamental para esta actividad.
Realizacin de informes de capacidad y rendimiento. Son informes tcnicos,
que analiza un pool de recursos.

Mtricas del proceso


Las mtricas de este proceso se consideran internas a TI, pues al contrario que en
el caso de la disponibilidad, los clientes no estn nada interesados en conocer los
ratios de ocupacin, los indicadores de saturacin o el grado de precisin de
los planes de capacidad. La medicin de la gestin de la capacidad se centra, por
una parte, en el seguimiento del uso de la capacidad en los servicios (ratios de utilizacin de procesador y de almacenamiento), y por otra, en informar sobre el desempeo del propio proceso (desviacin en las predicciones).
Las principales mtricas del proceso son las siguientes:
Porcentaje de uso de CPU, que da una idea de las holguras que existen en la
capacidad de proceso. Tambin se suele medir el consumo de memoria.
Porcentaje de disco asignado sobre el total de la capacidad de almacenamiento
en disco instalada.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

395

Porcentaje de servidores saturados.


Porcentaje de elementos de red saturados.
Porcentaje de presupuesto gastado en compras urgentes sobre el presupuesto
total, que indica el grado de precipitacin debido a nuevos temas no previstos, precipitacin en las ampliaciones, etc.
Porcentaje de incidencias provocadas por falta de capacidad o de rendimiento, que muestra claramente si el proceso es eficaz o no. De forma similar, se puede medir el porcentaje de no disponibilidad o los incumplimientos
de SLA provocados por la falta de capacidad.
Porcentaje de desviacin previsto en el plan de capacidad frente al real utilizado, que indica la precisin de las estimaciones realizadas.
Desviaciones del plan medidas en trminos presupuestarios.
Porcentaje de servicios o de componentes hardware monitorizados.
De cara a medir la actividad del proceso se pueden medir el nmero de recomendaciones hechas por la gestin de la capacidad o el nmero de cambios
propuestos por la gestin de la capacidad y que han dado lugar a cambios.
El coste que supone tener sobrecapacidad instalada (y no utilizada), especialmente til en organizacin en outsourcing o en licenciamiento de sofware que
se pague en base a la capacidad instalada.
La capacidad de trabajo de la organizacin, que se puede medir como la
capacidad de cumplimiento de los plazos comprometidos en incidencias,
peticiones, cambios y trabajos planificados (jobs).
Porcentaje de procesos de negocio modelizados por la gestin de la capacidad.
En la figura 6.5.10 se muestran los indicadores ms relevantes para este proceso
recomendadas por itSMF Espaa.

Roles participantes en la gestin de la capacidad


La gestin de la capacidad tiene una parte inicial de actividad orientada a la implantacin del proceso, a la definicin de la estructura del plan de capacidad, a la realizacin del primer plan, a la definicin de la forma de modelizar el negocio, a la
implantacin de las herramientas de monitorizacin (o establecimiento de los
umbrales y alarmas), etc. Esta parte de implantacin, no es frecuente realizarla en

396

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Mtricas principales del proceso

Fuente: itSMF Espaa.

Figura 6.5.10. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa

base a un proyecto llave en mano, como puede ocurrir con la continuidad, sino que
se suele realizar por el propio equipo que posteriormente llevar el proceso.
Una vez puesta en marcha, la gestin de la capacidad requiere perfiles con una profunda especializacin tcnica en las tecnologas que se utilizan (se realiza en tuning
de aplicaciones, se resuelven problemas de rendimiento, etc.) y tambin es necesario
conocimiento del negocio de cara a predecir el comportamiento del mismo.
Los roles involucrados en la gestin de la capacidad se estructuran en roles propios
del proceso y roles ajenos al proceso.
Los roles propios del proceso son:
Gestor de la capacidad. Es el responsable de la implantacin del proceso definido por el propietario del modelo de gestin. Tambin supervisa y coordina
la ejecucin y el control del proceso, se encarga de proponer mejoras al proceso, realiza el plan de capacidad, tiene la visin del negocio, interacta con
el resto de procesos, asegura que se cumplen los SLA en cuanto a la capacidad y rendimiento, vela por el correcto tratamiento de los datos que utiliza
el proceso y supervisa la implementacin de la monitorizacin.
Administrador y soporte del proceso de capacidad. Asiste al gestor de la
capacidad en lo que necesite.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

397

Especialistas en monitorizacin. Implementan y gestionan la plataforma de


monitorizacin. Con frecuencia este rol est desempeado por un grupo tcnico especializado que gestiona toda la monitorizacin.
Especialistas tecnolgicos. Bajo este rol se incluye todo el personal tcnico
necesario para gestionar las distintas tecnologas, como por ejemplo las
redes, los sistemas, las bases de datos, el middleware, las aplicaciones, la seguridad, el backup, el procesado batch, etc.
Administrador de la base de datos de capacidad (CDB). Tcnico responsable
de mantener las herramientas en las que se almacenan los datos e informacin de la capacidad.
Los roles ajenos que son relevantes en este proceso son:
El gestor de las relaciones con el negocio, pues actuar de interlocutor de
cara a las previsiones del negocio, la toma de requisitos y el acuerdo de los
SLA. Tambin participa en la revisin de informes de seguimiento con el
negocio.
El gestor de nivel del servicio, transmite los requisitos de los servicios y los
SLA en relacin a capacidad y rendimiento.
El gestor de disponibilidad, por la fuerte relacin tcnica entre disponibilidad, tiempo de respuesta, capacidad y rendimiento.
El gestor del incidente y el gestor del problema, pues proporcionan informacin de las incidencias cuyo origen est en la capacidad o rendimiento.
El gestor del cambio o gestor de la entrega, por la necesidad de que controle
la realizacin de las pruebas sobre el consumo de capacidad y realice el tuning
de las aplicaciones antes de su paso a produccin.
El gestor financiero de TI aporta los costes unitarios y recibe las estimaciones presupuestarias del plan de capacidad, dado que el plan de capacidad est
muy relacionado con los presupuestos.
El propietario del modelo de gestin SGSTI, que acta como propietario del
proceso (process owner), define las actividades del proceso y se encarga de la
mejora continua del mismo.
Los roles de mayor relevancia que participan en el proceso de gestin de la capacidad de representan la figura 6.5.11.

398

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Roles del proceso

Responsable de la
gestin del servicio

Administrador y
soporte del proceso
de capacidad

Gestor de
la capacidad

Gestores de otros procesos:


relaciones, financiero y entrega
SGSTI

Especialista
tecnolgico

Propietario del
modelo (SGSTI)

Especialista en
monitorizacin

Administrador
de la CDB

Figura 6.5.11. Roles del proceso de gestin de la capacidad

Resumen
Si este proceso cay alguna vez en el olvido, vuelve a tener plena vigencia debido a
las nuevas tendencias en TI: los ajustes en los costes, la consolidacin y la virtualizacin de las infraestructuras de procesamiento o la reduccin del consumo elctrico. La necesidad de compartir plataformas requiere gestionar y controlar los
recursos que consume un servicio para evitar que interfiera en el rendimiento de
los otros.
La gestin de la capacidad es un proceso que comprende un amplio abanico de
especialidades diferentes, desde el entendimiento de la evolucin del negocio, hasta
las funciones ms tcnicas de ajuste de las aplicaciones y de las plataformas para
conseguir un rendimiento ptimo.

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

399

El proceso se revitaliza con la realizacin del plan de capacidad y sus revisiones


peridicas, lo que le obliga a estar al tanto de las tendencias del negocio y sus variaciones en la utilizacin de los servicios, estar al da de la evolucin tecnolgica y de
la situacin econmica de la empresa.
La gestin de la capacidad se estructura en tres subprocesos o reas de actividad:
La gestin de la capacidad del negocio: que traslada las necesidades y planes
del negocio en requisitos para los servicios y las infraestructuras, con el fin
de asegurar que los futuros requerimientos del negocio se puedan cumplir.
La gestin de la capacidad de los servicios: est centrado en la gestin, control y
prediccin del rendimiento extremo a extremo de los servicios para el cumplimiento de los requisitos del servicio y los acuerdos pactados de nivel de servicio.
La gestin de la capacidad de los recursos: cuyo objetivo es la gestin y el
control de los recursos de TI, y especialmente de los ms esenciales para que
presten el mejor rendimiento posible.
En estas tres reas se realizan el siguiente conjunto de actividades.
La elaboracin del plan de capacidad, que sincroniza a toda la organizacin
en las previsiones de recursos necesarios para satisfacer la evolucin de las
demandas del negocio.
El ciclo de mejora de la capacidad y rendimiento garantiza que se estn revisando estos parmetros de forma continua. Se inicia en la monitorizacin,
sigue con el anlisis de los datos, para identificar las necesidades de ajuste o
tuning de aplicaciones y de infraestructuras, para realizar posteriormente la
implementacin de las mejoras a travs del proceso de cambios.
Influir en la utilizacin de los servicios y consumo de recursos es otra de las
facetas que desarrolla el proceso. Despliega las condiciones (comunicacin,
facturacin, etc.) para que el uso transcurra por la senda prevista.
Se realiza el modelado de los servicios, con el fin de tener una previsin de
su comportamiento en situaciones de carga pico.
El dimensionado de aplicaciones en las fases tempranas de su concepcin,
permitir anticipar las necesidades de infraestructuras.
Realiza los informes de capacidad y rendimiento de los servicios y los recursos.
Crea y administra la base de datos de capacidad (CDB), que centraliza la
informacin de monitorizacin de la capacidad y del rendimiento.
Como en el resto de los procesos, se supervisa a s mismo y se mejora.

400

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El proceso de gestin de la capacidad es el proceso tacao por excelencia, velando


por la optimizacin y evitando derroches. Por ello, ao tras ao, se ir viendo cmo
la gestin de la capacidad va cobrando mayor relevancia en un mundo que requiere
ajustar al mximo el consumo de recursos materiales y energticos.

Beneficios
La gestin de la capacidad es un proceso de previsin que permite anticipar las
necesidades y gestionar la dotacin de fondos para conseguirlos. Por tanto, tiene
una vertiente importante en la planificacin econmica.
Tambin lucha contra el despilfarro en la compra o utilizacin de los recursos, ajustando la demanda a las infraestructuras necesarias.
En su faceta tcnica pura, se centra en conseguir un rendimiento ptimo de los servicios, realizando el ajuste fino de las aplicaciones y de las plataformas.
Los principales beneficios esperados con la implantacin de este proceso son los
siguientes:
Se conocen anticipadamente las necesidades de recursos.
Se pueden agrupar y racionalizar las compras.
El dilogo con el negocio permite identificar los perfiles de utilizacin de los
servicios y reconducir el consumo que se hace de ellos por parte de los usuarios.
Se controlan los gastos imprevistos por nuevos proyecto o por necesidades
de compras urgentes.
La optimizacin de recursos, la revisin de la utilizacin de licencias, la gestin de la obsolescencia del parque de equipamiento y la retirada de recursos
no utilizados, pueden generar importantes ahorros.
La mejora del rendimiento y el tunning es una garanta para la estabilidad de
los servicios y la utilizacin ptima de los recursos.
La monitorizacin permitir seguir el consumo de capacidad (por ejemplo,
el consumo energtico) y el rendimiento.
El ciclo de mejora de la capacidad asegura que las instalaciones estn siendo
revisadas y mejoradas continuamente.
Por tanto, el proceso de gestin de la capacidad aporta prediccin en las necesidades, con los beneficios que trae consigo la anticipacin. Es un proceso de ajuste y

6. Procesos de provisin de servicio


6.5. Gestin de la capacidad

401

correccin de los excesos, tanto en el uso como en la dotacin de equipamiento.


Adems, es un proceso tcnico en el que se afina el funcionamiento de la maquinaria de TI. Aportar un mejor control de los costes en las plataformas y una mayor
estabilidad en las mismas.

Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es el contenido del plan de capacidad de su organizacin?
Cmo se realizan las pruebas de rendimiento de las aplicaciones?
Cite las dos mejores prcticas de su organizacin relativas al proceso
de capacidad.

Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

403

6.6. Gestin de la seguridad de la informacin

Figura 6.6.1. Actividades del proceso de gestin de la seguridad de la informacin

En los ltimos aos la seguridad de las tecnologas de la informacin se ha convertido en una de las preocupaciones ms importantes de las empresas. La informacin
es quiz uno de los activos ms crticos, sin informacin o con una informacin alterada, las compaas no pueden desarrollar su actividad. Pero an conservando la
informacin, si sta es accedida y cae en manos de la competencia, o es divulgada en
el mercado, el dao puede ser an mayor.
La facilidad de acceso a cualquier parte del mundo mediante la gran red Internet,
pone al alcance de la mano cualquier ordenador que est conectado a ella. Los ataques, los virus, los gusanos y los troyanos son cada vez ms frecuentes. La adecuada
gestin de la seguridad de la informacin se ha convertido por obligacin en uno
de los objetivos estratgicos de toda compaa.
Tradicionalmente, la gestin de la seguridad ha sido una actividad aislada del da a
da en TI. Slo se le daba importancia en situaciones de crisis, era considerada
inconscientemente como una rmora. Con la llegada de las Normas ISO/IEC
20000, la gestin de la seguridad asciende de categora y se trata de igual a igual
con los procesos ms importantes en la gestin de TI. Sale del rincn en el que

404

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

estaba postergada para ser considerada parte de los procesos de provisin, que son
proactivos y alinean los servicios con los requisitos del negocio. De hecho, implantar la gestin de la seguridad y sus actividades tiene bastante similitud con la
importante gestin de la disponibilidad. Ambas tienen una fase previa de implantacin, se articulan en torno a un plan, participan en el diseo de los servicios, tienen
actividades proactivas, analizan los riesgos, dan su apoyo en la resolucin de los
incidentes y problemas que impactan en la disponibilidad o en la seguridad, tienen
facetas reactivas, generan informes, proponen mejoras, supervisan el funcionamiento en su mbito, etc. Teniendo en mente estas similitudes, es ms sencillo
entender las grandes directrices de la gestin de la seguridad (vase la figura 6.6.1).
La seguridad en TI ha ido evolucionando desde la resolucin de crisis, a golpe de
inversin en tecnologa de proteccin, hacia el concepto de gestin, que combina
tecnologa con medidas organizativas, con procesos y con procedimientos de seguridad. La evolucin hacia un modelo de gestin de la seguridad de la informacin
viene impulsada por la Norma UNE-ISO/IEC 27001, que resalta la necesidad de
disponer de un sistema de gestin de la seguridad y la Norma UNE-ISO/IEC
17799 que detalla cada uno de los controles necesarios para garantizar la seguridad.
La empresa actual debe entender la gestin de la seguridad como un proceso, que
garantice y salvaguarde su informacin, pero que no suponga una barrera para la
organizacin a la hora de desarrollar su actividad.
La gestin de seguridad de la informacin es el proceso con responsabilidad sobre
los niveles de seguridad de los activos utilizados para la prestacin de los servicios
de TI a los clientes. En la figura 6.6.2 se presenta una introduccin al proceso de
gestin de seguridad de la informacin.
Las Normas ISO/IEC 20000 establecen para este proceso un objetivo muy claro:
gestionar la seguridad de la informacin de manera eficaz para todas las actividades del servicio. El proceso de gestin de seguridad de la informacin debe trabajar para asegurar que los activos utilizados en la prestacin de los servicios se
encuentren en unos niveles de exposicin al riesgo aceptables para el negocio.
Por otra parte, en ITIL v3 se enuncia el objetivo con un enfoque algo diferente: alinear la seguridad de TI con la seguridad del negocio y garantizar que la seguridad
de la informacin es gestionada de forma efectiva en todas las actividades de la gestin del servicio. Es muy interesante el matiz aadido por la versin 3, poniendo
nfasis en que la seguridad en TI est integrada con la seguridad general de la
empresa. Tambin destaca que la seguridad no es una isla dentro del rea de TI, sino
que enfoca la actividad del proceso principalmente a velar porque los diversos grupos especialistas de TI desarrollen entre sus actividades los aspectos de la seguridad.
As, este proceso, al igual que ocurriera con la gestin de la disponibilidad, marca las

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

Proceso de gestin de la
seguridad de la informacin

405

Qu aporta:
Reduce el riesgo de virus, troyanos,
gusanos, etc.

Definicin:

Mejor custodia de los activos de


informacin de la empresa.

Proceso responsable de gestionar la


seguridad de la informacin equilibrando
las medidas con los costes que supone
implementarlas.

Aumenta la fiabilidad de los servicios,


reduciendo la probabilidad de
incidentes de seguridad.

Objetivo:
Proceso que debe garantizar el nivel de
seguridad requerido sobre los activos
utilizados por la organizacin para la
prestacin de los servicios de TI.

Desarrolla mtodos ms eficientes


en la resolucin de incidentes de
seguridad.
Una gestin integral que proporcione
una visin conjunta del impacto de la
seguridad en el negocio.
Mejora continua del nivel de riesgo
de los servicios prestados a clientes.

Figura 6.6.2. Introduccin al proceso de gestin de seguridad de la informacin

pautas, define las medidas de salvaguardia y vela por que se cumplan, ms que desarrollar las medidas por si mismo.
Las principales ventajas que aporta el proceso son:
Mejora la seguridad de los sistemas de informacin en todos sus aspectos.
Reduce el riesgo de contagio de virus, de entrada de los silenciosos troyanos,
de expansin de gusanos que saturan las comunicaciones, etc.
Mejora el control y la custodia de los activos de informacin de la empresa,
implantando medidas adecuadas a la criticidad de la informacin o de los sistemas.
La mayor proteccin ante las amenazas permite aumentar la fiabilidad de los
servicios, reduciendo la probabilidad de ocurrencia de incidentes de seguridad.
Define y prepara mtodos eficientes en la resolucin de incidentes de seguridad.
Implementa una gestin integral de la seguridad, que proporciona una
visin conjunta del impacto de la seguridad en el negocio.
Realiza la mejora continua de la seguridad reduciendo nivel de riesgo de los
servicios prestados a los clientes.

406

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

De forma general, la seguridad informtica se plantea desde dos mbitos o disciplinas: la seguridad fsica y la seguridad lgica.
La seguridad fsica se centra en la interposicin de controles y barreras mecnicas o materiales para el acceso, y en la deteccin de intrusiones a recintos,
infraestructuras o localizaciones. Entre las medidas habituales de seguridad
fsica se encuentran los permetros de seguridad fsica para proteger las reas
en las que ubican los sistemas de informacin; los controles fsicos de
entrada-salida; y las medidas de proteccin frente a incendios, inundaciones,
terremotos, explosiones, disturbios, manifestaciones, atentados o cualquier
otra forma de desastre natural o provocado. La seguridad fsica se puede
solapar en algunos riesgos con la gestin de la continuidad, por lo que es
conveniente delimitar claramente las fronteras entre ambas.
La seguridad lgica se centra en la proteccin de la informacin en su propio medio. Algunos ejemplos de medidas de seguridad lgica son el control
del acceso de los usuarios a los sistemas de informacin; los mecanismos de
control del acceso a la informacin y a los sistemas; los cortafuegos y las protecciones en la conexin a las redes de telecomunicaciones; etc.
Cuando se trata de definir el alcance de la seguridad es ya un clsico considerar que se
deben cubrir tres aspectos: la confidencialidad, la integridad y la disponibilidad de la
informacin. En la figura 6.6.3 se muestran los principios bsicos de este proceso.

Figura 6.6.3. Principios bsicos del proceso


de gestin de la seguridad de la informacin

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

407

La confidencialidad asegura que slo acceden a la informacin aquellas personas


o sistemas que estn autorizados. La confidencialidad permite retener el conocimiento y los datos fundamentales para el negocio. Permite asegurar que slo los
usuarios autorizados tienen acceso cuando lo requieran a la informacin y a sus
activos asociados. Cuando falta confidencialidad se puede producir la divulgacin
de informacin esencial de la empresa o de las personas.
La disponibilidad de la informacin vela por que est siempre disponible en el
momento y lugar necesarios, para ser utilizada por las personas autorizadas. Est
propiedad bsica de la seguridad, se provee a travs del proceso de gestin de la
disponibilidad.
La integridad permite garantizar la exactitud y completitud de la informacin, as
como, los mtodos de su procesado. Esta caracterstica consigue que el contenido
de la informacin permanezca inalterado, a menos que sea modificada por personal
autorizado.
Existen otras propiedades asociadas a la seguridad que aportan confianza en la
autenticidad y el no repudio de las transacciones o intercambios de informacin.
Tambin es importante la auditabilidad, caracterstica que permite verificar las
acciones que se han llevando a cabo, quin las ha realizado y en qu momento de
tiempo se han realizado.
El proceso de gestin de la seguridad de la informacin tambin requiere que se
traten los incidentes de seguridad. En este caso, se realizar por el proceso de gestin del incidente, es decir, que todo evento o serie de eventos de seguridad de la
informacin se deben gestionar siguiendo el mismo proceso que cualquier otro
incidente. En el momento en que existe un incidente abierto, su resolucin corre
siempre a cargo del nico proceso encargado de resolverlo, la gestin del incidente,
mientras que la gestin de la seguridad habr preparado los procedimientos de
actuacin, dejando que transcurra el flujo del incidente. Igualmente ocurre en la
gestin de la capacidad o de la disponibilidad en sus respectivos tipos de incidentes, lo cual no exime de que exista un grupo de especialistas en seguridad que
acten como segunda opcin, pero trabajando para el proceso de incidentes.
Los conceptos y componentes principales que se utilizan en el proceso son el anlisis de riesgos, los activos de informacin, los riesgos de seguridad, la declaracin
de los riesgos, los controles de seguridad o medidas de salvaguardia, el plan de gestin de riesgos, el comit de seguridad y los registros que detallan los eventos e
incidentes de seguridad. En la figura 6.6.4 se muestran los principales elementos
que intervienen el proceso de gestin de seguridad de la informacin.
Adicionalmente a los principios bsicos de la seguridad (confidencialidad, disponibilidad, integridad, autenticidad, no repudio, auditabilidad y gestin de incidentes

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

408

COMPONENTES DEL PROCESO

Evaluacin
Activo

Declaracin

Tratamiento

Riesgos de
seguridad

Objetivos
de control

Declaracin de
riesgos (SoA)

Controles de
seguridad

Supervisin

Monitorizacin
de la seguridad

Amenaza

de seguridad
Vulnerabilidad
Probabilidad
Impacto
Nivel de riesgo

Plan de
tratamiento de
riesgos de
seguridad

da
uri

eg

es

ad

Incidentes
de seguridad
Registros de
seguridad
de
Informes
seguridad

tic
Pol

Eventos de

seguridad

Comit de
seguridad

Figura 6.6.4. Componentes del proceso de gestin de seguridad

de seguridad), hay que tener en cuenta los conceptos principales que se utilizan en
el proceso de gestin de seguridad de la informacin:
Activo de sistemas de informacin o elemento de configuracin. Dato, informacin, programa, equipo, persona o cualquier otro recurso de los sistemas de
informacin utilizado en la prestacin de los servicios. En el mbito de seguridad
se denomina activo, mientras que en el proceso de gestin de la configuracin y
en el resto de procesos se utiliza el trmino elemento de configuracin. As,
activo y elemento de configuracin son conceptos similares.
Amenaza. Suceso de ocurrencia probable que puede desencadenar un incidente en la
organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos.
Anlisis de riesgos de seguridad. Actividad que proporciona informacin relativa
a las amenazas de seguridad que pueden afectar a los servicios, as como, la probabilidad de que ocurran. En TI se suele realizar un anlisis de riesgos especfico en cada
uno de los tres procesos (incidentes, continuidad y seguridad), pero con objetivos

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

409

distintos: para asegurar la disponibilidad de los sistemas (foco en fallos cotidianos),


para garantizar la continuidad (foco en contingencias severas) o la seguridad (foco
en la malicia humana).
Comit de seguridad. Organismo interno asesor del responsable de seguridad que
centraliza la informacin y la toma de decisiones en los aspectos de seguridad.
Control de seguridad o medida de salvaguardia. Accin, procedimiento,
medida o dispositivo (fsico o lgico) que reduce el riesgo. La gestin de la seguridad se articula en torno a la definicin de unos objetivos de control y a la implantacin de los controles necesarios para conseguir los objetivos.
Declaracin de riesgos de seguridad. Documento formal que relaciona los riesgos con los niveles de exposicin a los que est sometida una organizacin.
Declaracin de aplicabilidad (SoA, Statement of Applicability). Declaracin de
riesgos especfica de ISO/IEC 27001. Documento que detalla los objetivos de control y los controles de seguridad que se utilizarn (seleccionados de los propuestos
en la Norma ISO/IEC 27001), tambin se deben justificar cules no se consideran
que sean prioritarios o necesarios para el proveedor de servicios de TI. Se basa en
los resultados de la evaluacin de riesgos y del tratamiento de riesgos, justificando
las inclusiones y exclusiones. La declaracin de aplicabilidad es un requisito formal
de ISO/IEC 27001 y sirve de punto de entrada para planificar el tratamiento de los
riesgos.
Evento de seguridad de la informacin. Suceso identificado en un activo o elemento de configuracin, que indica una posible brecha en la poltica de seguridad
de la informacin, fallo de las salvaguardias o una situacin que podra ser relevante
para la seguridad.
Impacto. Consecuencia sobre los servicios y el negocio en caso de materializarse
una amenaza.
Incidente de seguridad de la informacin. Evento o serie de eventos de seguridad de la informacin que impacta en los servicios de TI.
Informe de seguridad. Informe centrado especficamente en la seguridad, explicando los hechos acaecidos en el perodo. Tambin puede haber un informe especfico que detalle lo ocurrido en un incidente severo de seguridad.
Monitorizacin de la seguridad. Sistemas informticos que supervisan y miden
los controles de seguridad, y registran los eventos de seguridad.
Nivel de riesgo. Grado de exposicin a un riesgo.
Objetivo de control. Situacin o aspecto que se quiere alcanzar en el mbito de la
seguridad. La seguridad se implanta definiendo los objetivos de control necesarios

410

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

y, para cada uno de estos, se establecen los controles que harn posible alcanzar
el objetivo fijado. Las Normas ISO/IEC 27001 e ISO/IEC 17799 establecen cerca
de 40 posibles objetivos de control de la seguridad de la informacin.
Registro de seguridad. Informacin relativa a un aspecto o un evento de seguridad que se almacena de una forma controlada. Los registros son un instrumento
esencial en las normas para desarrollar el principio de auditabilidad.
Plan de tratamiento de riesgos (RTP, Risk Treatment Plan). Documento base
que articula la implantacin de la gestin de los riesgos.
Plan Director de Seguridad de la Informacin (PDSI). Nombre un poco rimbombante que se suele dar al documento que unifica todas las acciones a varios aos para
transformar la seguridad. Tiene categora de plan estratgico. Normalmente contiene
el plan de implantacin del proceso o del SGSI, y el plan de tratamiento de riesgos.
Probabilidad. Frecuencia con la que puede ocurrir un suceso, o la relacin entre el
nmero de casos favorables y el nmero de casos totales.
Riesgo. Es la posibilidad de que se materialice una amenaza y sta cause un
impacto en un determinado servicio o activo. El riesgo es funcin de la magnitud
de la amenaza, de la vulnerabilidad al mismo de los servicios y de la probabilidad
de que ocurra el suceso. En torno al riesgo aparecen un conjunto de actividades:
Aceptacin del riesgo. Decisin de aceptar un riesgo.
Anlisis del riesgo. Sistemtica de uso de informacin para identificar fuentes y estimacin del riesgo.
Valoracin del riesgo. Todo el proceso de anlisis y evaluacin del riesgo.
Evaluacin del riesgo. Proceso de comparar un riesgo estimado con el
riesgo dado por los criterios para determinar la importancia del riesgo.
Tratamiento o gestin del riesgo. Proceso de seleccin e implantacin de
las medidas para cambiar el riesgo.
Sistema de Gestin de la Seguridad de la Informacin (SGSI, o en ingls
ISMS, Information Security Management System). Es un sistema de gestin o
modelo formalizado con el que se gestiona la seguridad de la informacin. La
Norma ISO/IEC 27001 define este sistema de gestin.
Conviene que el SGSI est integrado en el SGSTI y ambos en el sistema de gestin
de la calidad general de la empresa (basado en ISO 9001).
Sistema de Gestin del Servicio de TI (SGSTI). Es un sistema de gestin o
modelo formalizado con el que se gestionan los servicios de las TI. Las Normas

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

411

ISO/IEC 20000 definen este sistema de gestin y se explica en el captulo 3 de


este libro. Ambos sistemas (SGSTI o SGSI) se pueden implementar de forma
independiente, pero lo recomendable es que se implementen de forma integrada
entre s, e integrados en el sistema de gestin de la calidad general de la empresa
(ISO 9001).
Vulnerabilidad. Debilidad o escaso blindaje de un activo para resistir a una amenaza.

Entradas, actividades y salidas del proceso


La seguridad es un proceso poco conocido para los iniciados en la gestin de los
servicios. Muchas veces se implementa por grupos de personas diferentes, unos
especializados en ITIL y los otros en seguridad. El proceso parte de unas polticas
dictadas por la direccin, se planifica su implementacin, se realiza un anlisis de
riesgos y se determinan unas soluciones o medidas de proteccin a implementar. A
partir de este punto, se realiza la supervisin, se prepara la actuacin ante incidentes de seguridad, se registran estos y se presentan informes. Como en el resto de
procesos, debe tener una actividad de mejora de si mismo.
La Norma ISO/IEC 27001 y la Norma ISO/IEC 17799 asociada son la mejor
referencia para cumplir con creces los requisitos de ISO/IEC 20000. As se reconoce de forma expresa en la parte 2 de la norma. Por ello, estas dos normas se utilizan en este libro como base para estructurar el proceso.

UNE-ISO/IEC 20000-2
Generalidades
La seguridad de la informacin es el
resultado de un sistema de polticas y
procedimientos diseados para identificar, controlar y proteger la informacin y
cualquier equipamiento empleado junto
con el almacenamiento, transmisin y
procesamiento de dicha informacin.

El personal del proveedor del servicio


con roles de especialista en seguridad
de la informacin debera estar familiarizado con la norma ISO/IEC 17799,
Tecnologas de la informacin. Tcnicas de seguridad. Cdigo de prcticas
para la gestin de la seguridad de la
informacin.

La gestin de la seguridad se centra en proteger los activos de informacin. En el


ncleo central del proceso se realiza una evaluacin de riesgos, para seleccionar las
medidas necesarias de proteccin (controles) e implementarlas de forma organizada

412

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

en un plan de tratamiento de riesgos. Pero hay que entender que la seguridad no se


resuelve slo a golpe de tecnologa. Por ello, los controles son de todo tipo: directrices, organizativos, procedimentales, tecnolgicos, culturales, etc. Adems, una vez
implantados, hay que supervisar el correcto funcionamiento de los mismos,
entrando en el crculo de mejora continua.
Las interacciones y funcionalidades de la gestin de seguridad de la informacin se
presentan en la figura 6.6.5.

Entradas

Actividades

Salidas

3 Creacin del proceso o SGSI:

Desencadenantes
del proceso:
Poltica de seguridad
del negocio.
Requisitos de seguridad
del negocio.
Acuerdos seguridad en
SLA.
Incidente severo de
seguridad.

Alcance, poltica y enfoque.


Proyecto implantacin.
Evaluacin de riesgos.

Declaracin de riesgos.

Declaracin de riesgos.

3 Implementacin y operacin:
Plan de tratamiento de riesgos.

Fecha revisin del plan.

Procedimiento incidentes
seguridad.

Anlisis de riesgos y plan


de continuidad de TI.

Pruebas iniciales.
Gestionar recursos
seguridad.

Controles de seguridad.
Registros de seguridad.
Auditoras de
seguridad.
Informes de seguridad.

Requisitos de seguridad.

Informacin de
incidentes y problemas.
Datos de monitorizacin.

Revisin y auditora.

Cambios (RFC).

Pruebas de los controles.

Activos y CMDB.

Supervisar, monitorizar y
registrar.

Presupuestos asignados.

Objetivos de control.

Salidas secundarias:

3 Supervisin y revisin:

Entorno legal.

Evaluacin de riesgos.
Plan de tratamiento de
riesgos de seguridad.

Implementar controles.

Entradas de soporte:

Poltica de
seguridad TI.

Seleccin de objetivos de
control y sus controles.

Fecha de pruebas.
Fecha de auditoras.

Salidas principales:

Formacin y comunicacin.

Investigar incidentes.
Actualizar los planes.

Plan proyecto seguridad.


Procedimientos de
deteccin y respuesta a
incidentes de seguridad.
Activos clasificados.
Personal concienciado.
Informes resultados
pruebas de seguridad.

Gestionar incidentes severos


de seguridad.
3 Mantenimiento y mejora

Fuente: e.p. a partir de UNE-ISO/IEC 27001-1.

Figura 6.6.5. Entradas, actividades y salidas


de gestin de seguridad de la informacin

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

413

Las entradas desencadenantes del proceso son la definicin de una poltica de seguridad en el negocio, que origina el inicio de la creacin del proceso; los requisitos
de seguridad del negocio concretados en los acuerdos de nivel de servicio; la ocurrencia de un incidente severo de seguridad, pues este proceso colabora con la gestin del incidente en la gestin de la crisis; y la llegada de un conjunto de fechas
especficas (de pruebas de seguridad, de revisin del plan de tratamiento de riesgos
o las fechas de las revisiones o auditoras).
El proceso utiliza unas entradas de soporte de otras fuentes necesarias para llevar a
cabo sus cometidos. Entre dichas entradas destacan el anlisis de riesgos realizado en
el plan de continuidad de TI, pues en caso de que se haya realizado aportar un entendimiento mejor del negocio y de los riesgos; la informacin de incidentes y de los problemas ocurridos relacionados con la seguridad; los datos de la monitorizacin de los
sistemas y de la seguridad; los cambios en curso para supervisar que se evale su seguridad; la informacin de los activos y de la CMDB; el entorno legal y regulatorio que
influye en la seguridad; los presupuestos asignados a la seguridad; etc.
Las salidas principales del proceso son la poltica de la seguridad definida; los resultados de la evaluacin de riesgos de seguridad; el plan de tratamiento de los riesgos;
la declaracin de riesgos; los objetivos de control y los controles seleccionados; los
resultados de las auditoras de seguridad; o los informes relativos a la seguridad y
sus indicadores.
Las salidas secundarias, o de menor importancia, que se obtienen del proceso son,
por ejemplo, los requisitos formalizados para la seguridad; el plan de proyecto para
implantar el proceso de seguridad; los procedimientos para deteccin y respuesta a
incidentes de seguridad; una clasificacin de los activos en cuanto a su criticidad; el
personal de TI y de la empresa concienciado; los informes de los resultados de las
pruebas de seguridad; etc.
En la definicin de las actividades del proceso se han tenido en cuenta lo establecido
en la Norma ISO/IEC 27001 en su apartado 4.2, que agrupa las actividades de
gestin de la seguridad en torno al ciclo PDCA de Deming (vase la figura 6.6.6).
Extrayendo cada epgrafe del apartado 4.2 de la Norma ISO/IEC 27001 se establecen un total de 30 actividades. En la figura 6.6.7 se relacionan stas.
Como se ha mencionado anteriormente, en este libro se ha decidido respetar lo definido en ISO/IEC 27001 como la mejor va para llevar a cabo los requisitos establecidos en las Normas ISO/IEC 20000, adems, para facilitar el entendimiento de las
actividades, se ha realizado una agrupacin intermedia. De esta forma, en el presente
proceso las actividades de gestin de la seguridad quedan estructuradas en dos niveles: el primero alineado el ciclo PDCA de ISO/IEC 27001, mientras que el segundo
nivel permite entender mejor el transcurso del proceso.

414

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

P Planificar

A Actuar

Creacin del proceso o SGSI

Mantenimiento y mejora

Plan

Establecer poltica, objetivos, evaluar el riesgo,


seleccionar controles, obtener la aprobacin
de la direccin, declaracin de riesgos.

D Hacer
Implementacin y operacin

Implementar mejoras, acciones correctivas


y preventivas, comunicar resultados,
asegurar implantacin de las mejoras.

Planificar
Do

Act

Hacer

Actuar
Check
Verificar

Plan de tratamiento del riesgo, implementar


controles, formacin, implantar procedimientos
gestin incidentes de seguridad.

C Verificar
Supervisin y revisin
Supervisar, monitorizar, revisiones regulares,
medir la efectividad, auditoras, actualizar
planes, registro de acciones y eventos.

Figura 6.6.6. La gestin de la seguridad se articula en torno al ciclo PDCA

Actividades del sistema de gestin de la seguridad (SGSI) en UNE-ISO/IEC 27001


4.2.1 Creacin del SGSI
a) Definir el alcance.
b) Definir una poltica de seguridad.
c) Definir el enfoque de la evaluacin de riesgos de la
organizacin.
d) Identificar los riesgos.
e) Analizar y valorar los riesgos.
f) Identificar y evaluar las opciones para el tratamiento
de riesgos.
g) Seleccionar los objetivos de control y los controles
para el tratamiento de los riesgos.
h) Obtener la aprobacin de los riesgos residuales
propuestos.
i) Obtener la autorizacin para implementar y operar
el SGSI.
j) Elaborar una declaracin de aplicabilidad.
4.2.2 Implementacin y operacin del SGSI
a) Formular un plan de tratamiento de riesgos.
b) Implementar el plan de tratamiento de riesgos.
c) Implementar los controles seleccionados.
d) Definir el modo de medir la eficacia de los controles.
e) Implementar programas de formacin y de
concienciacin.
f) Gestionar la operacin del SGSI.
g) Gestionar los recursos del SGSI.
h) Implementar procedimientos y controles para
deteccin y respuesta a incidentes de seguridad.

4.2.3 Supervisin y revisin del SGSI


a) Ejecutar procedimientos de supervisin y revisin.
b) Realizar revisiones peridicas de la eficacia del SGSI.
c) Medir la eficacia de los controles.
d) Revisar las evaluaciones de riesgos en intervalos
planificados y revisar los riesgos residuales.
e) Realizar las auditoras internas del SGSI en
intervalos planificados.
f) Realizar una revisin general del SGSI.
g) Actualizar los planes de seguridad.
h) Registrar las acciones e incidencias que pudieran
afectar a la eficacia o al funcionamiento del SGSI.
4.2.4 Mantenimiento y mejora del SGSI
a) Implementar en el SGSI las mejoras identificadas.
b) Aplicar las medidas correctivas y preventivas
adecuadas.
c) Comunicar las acciones y mejoras a todas las
partes.
d) Asegurar que las mejoras alcancen los objetivos
previstos.

SGSI: Sistema de Gestin de la Seguridad de la Informacin o


modelo formalizado con el que se gestiona la seguridad
de la informacin. La Norma UNE-ISO/IEC 27001 define
este sistema de gestin.

Fuente: UNE-ISO/IEC 27001.

Figura 6.6.7. Las 30 actividades de gestin de la seguridad en la Norma ISO/IEC 27001

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

415

En la figura 6.6.8 se muestra un esquema con las actividades del proceso, realizado
imitando el ya legendario esquema de gestin de la continuidad de ITIL v2.
GESTIN DE LA SEGURIDAD DE LA INFORMACIN

Creacin del proceso

PLAN

Alcance, poltica y enfoque

Alcance, poltica y enfoque


Proyecto implantacin

Anlisis de riesgos
de seguridad

Evaluacin de riesgos
Requerimientos y estrategia

Seleccin de objetivos de
control y sus controles
Declaracin de
riesgos de seguridad

Declaracin de riesgos
Implementacin
y operacin

Plan tratamiento de riesgos

DO

Poltica seguridad

Plan tratamiento
riesgos seguridad

Implementar el plan de tratamiento de riesgos


Procedimiento incidentes seguridad

Pruebas iniciales

CHECK

Pruebas iniciales

Supervisin
y revisin

Revisin y
auditora

Prueba de
controles

Supervisar,
monitorizar
y registrar

Investigar
incidentes

Actualizar

ACT

Gestionar incidentes severos de seguridad


Mantenimiento y mejora

Fuente: e.p. a partir del libro ITIL Provisin de Servicio publicado por OGC y de UNE-EN ISO 27001.

Figura 6.6.8. Enfoque de la gestin de la seguridad de la informacin en este libro

Siguiendo esta estructuracin en dos niveles, a continuacin se relacionan las actividades del proceso alineadas con lo indicado en la Norma ISO/IEC 27001.
Creacin del proceso o del sistema de gestin SGSI. La primera etapa para
empezar a implantar la seguridad es la fase de creacin del propio proceso de gestin de la seguridad (si se est en ISO/IEC 20000) o del sistema de gestin de la

416

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

seguridad (si se est aplicando ISO/IEC 27001). La creacin del proceso se realiza
en las etapas de inicio, y de requerimientos y estrategia, al igual que en la implantacin de los procesos de continuidad y disponibilidad. En el inicio se establece el
entorno necesario para que comience la implantacin de la gestin de la seguridad.
A partir del entorno del negocio, se determinan los requerimientos de seguridad, se
identifican los riesgos, se acuerda el tratamiento a los mismos, se establecen los
objetivos de control y se seleccionan los controles adecuados para conseguir estos
objetivos, y se realiza la declaracin formal de los riesgos.
Alcance, poltica y enfoque. Se concretan las directrices que debe cumplir
el proceso:
Definir el alcance (4.2.1.a 1): se concreta el alcance y los lmites del proceso en trminos de las caractersticas de la actividad del negocio, de la
organizacin, su ubicacin, sus activos y tecnologa, incluyendo los detalles y la justificacin de cualquier exclusin del alcance.
Definir una poltica de seguridad (4.2.1.b): que incluya un marco para
la fijacin de objetivos y establezca una orientacin general; que tenga en
cuenta los requisitos de la actividad del negocio, los requisitos legales y las
obligaciones contractuales.
Definir el enfoque de la evaluacin de riesgos de la organizacin
(4.2.1.c): la metodologa seleccionada para la evaluacin de riesgos debe
asegurar que las evaluaciones de riesgos generen resultados comparables y
reproducibles.
Proyecto implantacin. Se recomienda que la implantacin de la gestin de
la seguridad se estructure en forma de proyecto, pues es un trabajo complejo
y que afecta a muchos aspectos: organizativos, procedimentales, modificaciones tcnicas, implantacin de herramientas, etc. Se requiere la designacin de un nico responsable que controle toda la implementacin, que se
doten los recursos necesarios y que se realice una planificacin detallada de
las tareas. El proyecto de implantacin asume la puesta en marcha del proceso o del SGSI, segn sea el caso.
Evaluacin de riesgos. Se realiza la identificacin de los riesgos de la seguridad, se analizan y se determinan los niveles de riesgo. Ntese que la actividad de evaluacin de riesgos es similar a la realizada en el proceso de disponibilidad y de continuidad, por lo que se recomienda que se realicen de
forma conjunta o, por lo menos, integrada.
1

Entre parntesis la referencia al epgrafe equivalente en la Norma UNE-ISO/IEC 27001.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

417

Identificar los riesgos (4.2.1.d): identificacin de los activos, identificacin de las amenazas, identificacin de vulnerabilidades y determinacin
del impacto que sobre los activos puede tener una prdida de confidencialidad, integridad y disponibilidad en los mismos.
Analizar y valorar los riesgos (4.2.1.e): analizar el impacto sobre la actividad del negocio de un incidente de seguridad, evaluar la probabilidad de
que se produzcan estos fallos, estimar los niveles de riesgo y determinar si
los riesgos son aceptables.
Seleccin de objetivos de control y sus controles. La Norma ISO/IEC
27001 proporciona un juego muy completo de objetivos de control, cada
uno con sus controles de seguridad asociados. Para cada control se detalla
la finalidad y las recomendaciones para su implementacin. La gestin de la
seguridad est claramente orientada a la implantacin de controles, que se
pueden seleccionar entre estos proporcionados u otros que se consideren
necesarios.
Identificar y evaluar las opciones para el tratamiento de riesgos
(4.2.1.f), para cada uno de los riesgos se determina la forma de tratamiento: si se le aplicar las medidas de salvaguardia o controles adecuados, se asumir el riesgo, se evitar el mismo o se transferir a un tercero.
Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos (4.2.1.g): una vez identificado el tratamiento de
los riesgos, se determinan los objetivos para controlarlos. Para cada objetivo de control se establecern los controles que se consideren necesarios
para conseguir que se alcancen. Objetivos y controles se seleccionan primeramente entre los contenidos en la Norma ISO/IEC 27001 y detallados en ISO/IEC 17799. Esto no quita para que se aadan otros objetivos
y sus controles asociados si se consideran necesarios. Esta seleccin debe
tener en cuenta los criterios de aceptacin de riesgos, adems de los requisitos legales, reglamentarios y contractuales.
Declaracin de riesgos. Formalizacin y aprobacin por la direccin de la
evaluacin de riesgos realizada y la seleccin de los controles.
Obtener la aprobacin de los riesgos residuales propuestos (4.2.1.h),
por parte de la direccin.
Obtener la autorizacin para implementar y operar (4.2.1.i) el proceso de gestin de la seguridad o el SGSI, por parte de la direccin.

418

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Elaborar una declaracin de aplicabilidad SoA 2 (4.2.1.j). Es un documento que especifica los objetivos de control y los controles de seguridad
que se utilizarn para el tratamiento de los riesgos, seleccionados entre los
propuestos por ISO/IEC 27001 y de otras fuentes. La declaracin de aplicabilidad proporciona un resumen de las decisiones relativas al tratamiento
de los riesgos. La justificacin de las exclusiones facilita una comprobacin
cruzada de que no se ha omitido inadvertidamente ningn control. Se elabora a partir de las opciones de tratamiento de riesgos decididas, y de la
seleccin realizada de los objetivos de control y sus controles asociados.
Implementacin y operacin. Una vez evaluados los riesgos, identificada la estrategia de tratamiento para cada uno y seleccionados los objetivos de control y los
controles, se procede a la implementacin del proceso de gestin de seguridad. Se
comienza con un plan para el tratamiento de riesgos, para continuar con las acciones para implantar los controles y la definicin de los procedimientos especficos
para incidentes de seguridad.
Plan de tratamiento de riesgos. Dentro del plan de implantacin general
de la seguridad se encuentra el plan concreto de tratamiento de riesgos, que
es un plan de implantacin especfico para las medidas correctoras de los
riesgos. Se centra en planificar la puesta en marcha de cada una de las opciones
definidas para el tratamiento de los riesgos, detalla especialmente la planificacin para implementar los controles.
Formular un plan de tratamiento de riesgos (4.2.2.a) que identifique
las acciones, los recursos, las responsabilidades y las prioridades adecuados para gestionar los riesgos de la seguridad de la informacin.
Implementar el plan de tratamiento de riesgos. Desarrollando las acciones
planificadas en el plan de tratamiento anterior, se llevan a cabo las tareas necesarias para implementar cada uno de los controles seleccionados. Tambin se
definen e implementan los indicadores para medir la eficacia de los controles.
Implementar el plan de tratamiento de riesgos (4.2.2.b) para lograr los
objetivos de control identificados, que tenga en cuenta su financiacin, y
la asignacin de funciones y responsabilidades.
Implementar los controles seleccionados (4.2.2.c): conjunto de subproyectos o tareas necesarias para la puesta en marcha de los controles. Esta es
una de las actividades ms extensas y costosas de la implementacin de la

SoA, Statement of Applicability.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

419

seguridad, pues los controles son de todo tipo, unas veces sern directrices
internas, otras la designacin de funciones, otras requerir la compra de
equipamiento o de soluciones software, puede ser necesario cambiar la configuracin de los sistemas, etc.
Definir el modo de medir la eficacia de los controles (4.2.2.d): la
medicin de la eficacia de los controles permite determinar hasta qu
punto los controles cumplen los objetivos de control planificados. Se
define la forma de medir la eficacia de los controles o de los objetivos
de control seleccionados, tambin se especifica cmo se tienen que usar
estas mediciones.
Procedimiento de gestin de incidentes seguridad. De forma integrada
con el proceso de gestin del incidente, en este proceso especializado en la
seguridad, se desarrollan e implementan los procedimientos especficos para
la alerta temprana de este tipo de incidentes y los procedimientos de detalle
para que la respuesta sea lo ms eficaz posible. Este procedimiento se debe
integrar con el resto de procedimientos generales de gestin del incidente.
Implementar procedimientos y controles para deteccin y respuesta a
incidentes de seguridad (4.2.2.h) para realizar una deteccin temprana
de eventos de seguridad y facilitar una respuesta rpida ante cualquier
incidente de seguridad.
Pruebas iniciales. Conjunto de pruebas que garantizan que las medidas
implementadas funcionan correctamente. Se deben realizar antes de dar por
finalizada la implementacin.
Gestionar recursos seguridad.
Gestionar la operacin de la seguridad (4.2.2.f): conjunto de actividades y procedimientos tcnicos del da a da que permiten que los controles
implantados sigan activos.
Gestionar los recursos de la seguridad (4.2.2.g y 5.2) que cubre tanto
la provisin de los recursos, la dotacin de presupuestos para la concienciacin, formacin y capacitacin del personal.
Implementar programas de formacin y de concienciacin (4.2.2.e
y 5.2.2). Es necesario formar a todo el personal al que se le hayan asignado
responsabilidades para que sea competente para llevar a cabo las tareas requeridas. Mediante diversas acciones de comunicacin se asegura que el resto del
personal sea consciente de la trascendencia y de la importancia de las actividades de seguridad de la informacin y de su contribucin a las mismas.

420

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Supervisin y revisin. Una vez implantados los controles, se llevan a cabo de


forma continua un conjunto de actividades que supervisan que los controles se
mantengan activos y que la seguridad permanezca vigente.
Revisin y auditora. Revisiones, mediciones y auditoras internas del funcionamiento de todos los aspectos de la seguridad.
Realizar revisiones peridicas de la eficacia de la seguridad (4.2.3.b), con
el fin de comprobar que la seguridad funciona como se espera. Las revisiones
comprenden: los resultados de las auditoras de seguridad, los incidentes de
seguridad, los resultados de las mediciones de la eficacia, las sugerencias y los
comentarios de todas las partes interesadas. Estas revisiones incluyen el cumplimiento de la poltica de seguridad, de los objetivos fijados y de los controles de seguridad.
Medir la eficacia de los controles (4.2.3.c), para verificar si se estn
cumpliendo los requisitos de seguridad. Como resultados de las mediciones se emiten los informes asociados.
Revisar las evaluaciones de riesgos y revisar los riesgos residuales
(4.2.3.d). Revisin de las evaluaciones de riesgos en los intervalos planificados y revisin de los riesgos residuales y los niveles de riesgo aceptables
que han sido identificados, teniendo en cuenta los cambios ocurridos
(organizacin, tecnologa, objetivos y requisitos del negocio, amenazas,
factores externos, etc.).
Realizar las auditoras internas (4.2.3.e) sobre la seguridad en los perodos
planificados. Las auditoras internas las lleva a cabo la propia organizacin o
bien se contratan externamente pero con fines de evaluacin internos.
Realizar una revisin general (4.2.3.f) del proceso de gestin de la seguridad (o del SGSI) con carcter peridico, para asegurar que el mbito de aplicacin sigue siendo adecuado y que se revisan todos los aspectos del mismo.
Pruebas de los controles. Una vez implantados los controles y realizada la
prueba inicial en la etapa de implementacin, se deben realizar pruebas
peridicas de los controles para verificar que siguen siendo vlidos y que
producen los resultados especificados de tratamiento de los riesgos. Entre
estas pruebas hay que destacar los ataques concertados o hacking tico, no
malicioso, con el que se intenta vulnerar la seguridad para comprobar los
puntos dbiles y el funcionamiento de los controles.
Supervisar, monitorizar y registrar. Labor permanente de la gestin operativa de la seguridad que vela de forma constante por el cumplimiento de lo
establecido y la deteccin temprana de los incidentes.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

421

Ejecutar procedimientos de supervisin y revisin (4.2.3.a), para identificar lo antes posible las debilidades del sistema de seguridad, ayudar a
detectar eventos de seguridad, determinar si las acciones tomadas para
resolver una vulneracin de la seguridad han sido eficaces, etc.
Registrar las acciones o incidentes (4.2.3.h) relacionados con la seguridad, con el fin de recolectar toda la informacin necesaria para su evaluacin posterior.
Investigar incidentes de seguridad. Se deben investigar los incidentes de
seguridad de cara a identificar las debilidades y generar las mejoras o acciones correctoras adecuadas. La investigacin de incidentes de seguridad se
debe registrar como un ticket de problema y se debe realizar como parte del
proceso de gestin del problema.
Actualizar. La informacin, documentacin, etc.
Actualizar los planes de seguridad (4.2.3.g) teniendo en cuenta las conclusiones de las actividades de supervisin y revisin, los cambios en los
servicios, etc.
Gestionar incidentes severos de seguridad. Los incidentes de seguridad se
deben gestionar por el mismo cauce que el resto de incidentes o de contingencias de continuidad. En el caso de incidentes severos, se deben definir los
procedimientos especficos de actuacin y es conveniente tener un conjunto
de especialistas en seguridad preparados. El tratamiento de incidentes graves
de seguridad tienen muchas similitudes con la gestin de una contingencia
de continuidad: hay una prdida importante en los servicios de TI, se debe
gestionar soluciones alternativas, movilizar los medios de recuperacin, gestionar la comunicacin exterior, etc. En ciertas organizaciones, se tiene preparada una sala o un centro especializado en la gestin de estos incidentes
graves de seguridad. En otras ocasiones se integra en la sala de crisis para la
gestin de todo tipo de incidentes graves.
Mantenimiento y mejora del proceso o del SGSI. Como en todo proceso se
debe contemplar la mejora continua del mismo. A este respecto, ISO/IEC 27001
establece las actividades siguientes:
Implementar las mejoras identificadas (4.2.4.a).
Aplicar las medidas correctivas y preventivas adecuadas (4.2.4.b).
Comunicar las acciones y mejoras a todas las partes (4.2.4.c).
Asegurar que las mejoras alcancen los objetivos previstos (4.2.4.d).

422

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El enfoque dado al proceso en ITIL v3 es de concepcin muy similar al de


ISO/IEC 27001, aunque mucho menos detallado. Tambin se basa en una poltica
de seguridad de la informacin, en un sistema de gestin de la seguridad para
implementar el proceso, en una estructura organizacional, en unos controles, en
comunicacin, en formacin, en concienciacin, etc. El proceso se plantea en
aspectos ms all de los puramente tcnicos. En la figura 6.6.9 se muestra el enfoque que se da en ITIL v3 para este proceso.
Enfoque del proceso en ITIL v3 muy similar a 27001

El proceso consiste principalmente en:


Un poltica de seguridad de la informacin que
conduce a la estrategia, los controles y la regulacin.
Un sistema de gestin de la seguridad (SGSI)
conteniendo normativa, procedimientos de gestin
y directrices.
Una estrategia clara de seguridad ligada a los
objetivos de negocio.
Una estructura organizacional de seguridad.
Un conjunto de controles que soporte la poltica.
Procedimientos de supervisin que aseguren el
cumplimiento y proporcionen informacin sobre
la efectividad.

Actividades de gestin de la seguridad en ITIL v3

Producir y mantener una poltica de seguridad de la


informacin.
Evaluar y categorizar los activos de informacin y
vulnerabilidades.
Imponer y revisar controles de seguridad, revisin
e implementacin de mitigacin del riesgo.
Comunicar, implementar e impulsar la adhesin a
todas las polticas de seguridad.
Informar, revisar y reducir las vulnerabilidades de
seguridad y los incidentes mayores.
Peridicamente evaluar, revisar e informar los riesgos
y amenazas de seguridad.
Supervisar y gestionar incidentes y vulnerabilidades
de seguridad.

Una estrategia y plan de comunicacin para la


seguridad.
Una estrategia y plan de formacin y concienciacin.

Figura 6.6.9. Planteamiento de la gestin de la seguridad en ITIL v3

La poltica de seguridad de la informacin


La poltica de seguridad de la informacin es un documento en el que la direccin
realiza una declaracin formal estableciendo los objetivos generales de seguridad a
alcanzar por la organizacin. Debe ser el punto de partida que desencadena y marca
el contexto para la implantacin de este proceso.
La poltica de seguridad de la informacin debera contemplar de manera explcita:
El objeto de la misma, el alcance y el marco jurdico.
La organizacin y responsabilidades, y la aplicacin de la misma.
La evidencia del compromiso de la direccin en materia de seguridad.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

423

El aseguramiento de la confidencialidad, disponibilidad e integridad de la


informacin derivada de los servicios prestados.
La referencia al desarrollo posterior de los procesos y procedimientos que la
respaldan.
La referencia a la mejora continua de la seguridad en la organizacin.
La potenciacin de la concienciacin, formacin y motivacin del personal
de la empresa u organizacin.
El compromiso del cumplimiento de la legislacin vigente en materia de
seguridad.
El compromiso de establecer objetivos especficos en materia de seguridad.
Su difusin a todo el personal de la empresa u organizacin.
Su revisin peridica o siempre que haya cambios significativos en la
empresa u organizacin.
En la figura 6.6.10 se muestra un enfoque para este documento.

Poltica de seguridad de la informacin


Objeto, alcance, marco, jurdico y vigencia.
Organizacin y responsabilidades.
Compromiso de la direccin.
Compromiso de establecer objetivos especficos en
materia de seguridad.
Polticas relativas a: control de accesos, control de
contraseas, antivirus, correo electrnico, Internet,
clasificacin de la informacin, acceso remoto,
acceso de suministradores, etc.

Para velar por el cumplimiento


de la poltica, promueve la
existencia de:
Un responsable de seguridad.
Un comit de seguridad.
Responsable
de seguridad

Desarrollo posterior de los procesos y procedimientos.


Mejora continua de la seguridad en la organizacin.
Confidencialidad, disponibilidad e integridad de la
informacin en los servicios prestados.

Comit de
seguridad

Potenciar la concienciacin, formacin y motivacin del


personal de la organizacin.
Compromiso con el cumplimiento de la legislacin
vigente en materia de seguridad.
Debe ser difundida a todo el personal de la empresa u
organizacin.
Revisin de la poltica.

Fuente: Telefnica y Libro ITIL Provisin


de Servicio publicado por OGC.

Figura 6.6.10. Contenidos de la poltica de seguridad de la informacin

424

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La Norma ISO/IEC 20000-1 establece el requisito claro de la existencia de la poltica de seguridad y la necesidad de que sea difundida al personal de TI e incluso a
los usuarios de los servicios de TI.
UNE-ISO/IEC 20000-1
La direccin, con la autoridad apropiada, debe aprobar una poltica de seguridad
de la informacin, que debe comunicarse a todo el personal implicado y, cuando
sea adecuado, a los clientes.

La poltica de seguridad es un documento de alto nivel firmado habitualmente por


el presidente, el consejero delegado o el cargo de mayor nivel en la empresa u organizacin. Una vez firmado, debe publicarse en diferentes medios, como, por ejemplo, la intranet de la empresa, y su contenido tiene que divulgarse. Tambin debe
extenderse a todos los empleados, pues debern seguir en sus actividades diarias los
preceptos que se indican en la misma.

El comit de seguridad
La poltica de seguridad conviene que est respaldada por un rgano interno en el
que se traten todas las cuestiones que precisen de la intervencin de la direccin,
adems de servir como instrumento que ejecuta el compromiso con la seguridad de
la informacin.
El comit de seguridad, por su composicin, se convierte en el asesor del responsable de seguridad para las decisiones de mayor nivel en la organizacin en los asuntos relacionados con la seguridad de la informacin. Al frente del mismo se encuentra el responsable del proceso de seguridad. El comit se debera reunir con una
periodicidad mnima mensual. El resultado de las reuniones de este comit deber
quedar reflejado en unas actas de reunin.
El comit de seguridad se responsabiliza de:
El asesoramiento al responsable de seguridad.
La comunicacin a toda la organizacin de la importancia de cumplir tanto
los requisitos de la norma como los legales y reglamentarios.
La evolucin de la poltica y objetivos de la seguridad.
El aseguramiento de la disponibilidad de presupuestos y recursos adecuados.
La aprobacin y respaldo ejecutivo a los planes de implantacin y de tratamiento de riesgos de la organizacin.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

425

Que se realicen todas las actividades del proceso, desde la creacin, hasta el
mantenimiento y mejora.
La revisin de los temas de seguridad ms relevantes para la empresa u organizacin.

Evaluacin de riesgos
Es recomendable que la evaluacin de riesgos de seguridad y su tratamiento est
basada en alguna de las metodologas existentes relacionadas con esta materia,
como por ejemplo, CRAMM, NIST, Magerit, etc. Cada organizacin puede decidir utilizar la metodologa que considere ms adecuada.
ISO/IEC 20000-2 recomienda adems que la evaluacin de riesgos se realice con
una periodicidad, que se registre, que se mantenga actualizada con los cambios, etc.
UNE-ISO/IEC 20000-2
Prcticas para la evaluacin de
los riesgos de seguridad
La evaluacin de los riesgos de seguridad debera:
a) ser realizada con una periodicidad acordada;
b) ser registrada;
c) ser mantenida durante los cambios (cambios de las necesidades
del negocio, de procesos o de
configuraciones);
d) ayudar a entender en qu podra
impactar uno de los servicios gestionados;
e) proveer de informacin para las
decisiones referentes a los tipos
de controles a establecer.

Seguridad y disponibilidad de
la informacin
Al evaluar los riesgos, se debera prestar atencin a los siguientes puntos:
a) revelacin de informacin sensible a partes no autorizadas;
b) informacin inexacta, incompleta
o invlida (por ejemplo: informacin fraudulenta);
c) informacin que quede inservible
para su uso (por ejemplo: debido
a un corte de energa elctrica);
d) dao fsico o destruccin de los
equipos necesarios para proveer
los servicios.
Tambin se deberan tener en cuenta los
objetivos de la poltica de seguridad de la
informacin, las necesidades para satisfacer los requisitos especficos de los clientes respecto a la seguridad (por ejemplo:
niveles de disponibilidad) y los requisitos
legales o regulatorios que apliquen.

426

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

En la evaluacin de riesgos se realiza la identificacin de los riesgos, y el anlisis y


valoracin de los mismos. A su vez, cada una de estas actividades est formada por
tareas ms detalladas:
Identificar los riesgos:
Identificacin de los activos.
Identificacin de las amenazas.
Identificacin de las vulnerabilidades.
Determinacin del impacto sobre los activos.
Analizar y valorar los riesgos:
Anlisis del impacto sobre la actividad del negocio.
Evaluacin de la probabilidad de ocurrencia.
Estimacin de los niveles de riesgo.
Determinacin de si los riesgos son aceptables.
Identificacin de los activos o elementos de configuracin. Inicialmente se
deben identificar todos aquellos elementos de configuracin empleados en el funcionamiento de las infraestructuras y servicios prestados a clientes, as como, la propia informacin gestionada de su uso. La identificacin de los activos desemboca
en un inventario detallado de los mismos. En la identificacin se realiza tambin su
clasificacin en cuanto a su criticidad o importancia para el funcionamiento de los
servicios. Tambin se debe identificar al propietario de cada uno, o responsable de
su proteccin y funcionamiento. Si se ha implantado el proceso de gestin de la
configuracin (vase el captulo 9 de este libro), esta actividad ya se habr realizado
y nicamente habr que complementar los inventarios con la informacin que se
precisa para la seguridad.
ISO/IEC 20000-2 es clara en sus recomendaciones al respecto.
UNE-ISO/IEC 20000-2
Identificacin y clasificacin de los
activos de informacin
El proveedor del servicio debera:
a) mantener un inventario de los activos de informacin (por ejemplo,

ordenadores, sistemas de comunicacin, equipos del entorno, documentos y otra informacin) que
son necesarios para la provisin
del servicio;

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

b) clasificar cada activo de acuerdo


con su criticidad para el servicio y
el nivel de proteccin que ste
requiera, as como nombrar a un
propietario que sea el responsable
de proporcionar dicha proteccin;

427

c) la responsabilidad para la proteccin de los activos debera recaer


en el propietario de dichos activos, aunque estos pueden delegar
las responsabilidades de la gestin diaria de la seguridad.

La estructura lgica de estos inventarios de activos, realizados desde la perspectiva


de la seguridad, debe estar perfectamente alineada con la base de datos de la configuracin (CMDB). La informacin sobre los activos o elementos de configuracin
identificados se deben incluir en la CMDB o en inventarios especficos. Segn las
necesidades de cada organizacin, este inventario para seguridad, puede contener
las siguientes categoras:
Hardware. Servidores, almacenamiento, equipos de comunicacin, ordenadores personales, impresoras, etc.
Software. Aplicaciones que forman los servicios de TI, productos y paquetes
software, herramientas, software ofimtico, etc.
Documentacin. Organizativa, operativa tcnica, etc.
Servicios. Servicios de TI, servicios internos, servicios de terceros, etc.
Activo de informacin. Bases de datos, archivos que contienen datos personales, manuales de usuarios, material de formacin, procedimientos de trabajo, planes de continuidad, contratos, documentacin de la organizacin,
correos electrnicos, etc.
Contratos. SLA o acuerdos con clientes, OLA o acuerdos internos, UC o
contratos con suministradores.
Personas. Personal de TI, directivos de la empresa, personal subcontratado,
personas de contacto de suministradores, de vigilantes de seguridad, personal de servicios, personal de limpieza, etc. A efectos de la gestin de la seguridad de la informacin, puede ser necesario tener una relacin exhaustiva de
personas propias o ajenas que habitualmente tienen acceso a las instalaciones
y sistemas de la empresa.
Localizaciones. Edificios, centros de datos, sistemas de climatizacin, sistemas de alimentacin elctrica, sistemas de deteccin de incendios etc.
En la identificacin de activos se realiza una valoracin de cada uno en relacin a:
La criticidad del activo para la organizacin.

428

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

La criticidad del activo para los servicios de TI.


El nivel de proteccin requerido para mantener la integridad, confidencialidad y disponibilidad de la informacin.
A partir de esta valoracin, se le asigna a cada activo o elemento de configuracin
un nivel que determina su importancia para los servicios de TI y, por tanto, para el
negocio:
Importancia alta. El activo interviene en procesos clave para la organizacin (necesarios y suficientes) y su no disponibilidad puede poner en peligro
la continuidad del negocio.
Importancia media. El activo interviene en los procesos de apoyo a los
esenciales de la organizacin. Su indisponibilidad puede retrasar un determinado proceso pero no se vera afectada la continuidad del negocio.
Importancia baja. El activo interviene en procesos que no estn directamente relacionados con el negocio, aunque s son necesarios. Su no disponibilidad causa algn contratiempo pero en ningn caso se vera afectada la
continuidad del negocio.
La importancia otorgada a cada uno de los activos se reflejar tambin en el inventario de activos.
Identificacin de las amenazas. El siguiente paso dentro de la evaluacin de riesgos es identificar todas las amenazas sobre los activos o elementos de configuracin. Las amenazas pueden provenir de distintas fuentes, como por ejemplo:
Del entorno. Sucesos exteriores a la organizacin que pueden afectar a los
servicios: eventos de carcter natural, interrupciones de los servicios externos, factores climatolgicos, etc.
Humanas. Sucesos en los que hay una intervencin humana negligente,
intencionada o deliberada.
Fallos tcnicos. Derivados de algn tipo de fallo en equipos, en programacin, en instalaciones, en infraestructuras o del uso de las mismas.
UNE-ISO/IEC 20000-2
Riesgos para los activos de
informacin
Los riesgos para los activos de informacin se deberan evaluar en funcin de:

a) su naturaleza (por ejemplo: funcionamiento defectuoso del software, errores de operacin, fallos
de comunicacin);

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

b) probabilidad;
c) impacto potencial para el negocio;

429

d) experiencias pasadas.

Se lleva a cabo un anlisis de las amenazas que pueden derivarse de cada una de
estas fuentes, en funcin de los activos existentes en la organizacin, los procesos y
servicios prestados, la posicin en el mercado, el tipo de clientes y los antecedentes.
Las amenazas se irn reflejando en el anlisis de riesgos, detallndose:
Tipo de amenaza. Por ejemplo, robo de informacin.
Motivo. Se indican los motivos que pueden provocar que una amenaza se
materialice.
Resultado (ataque o incidente). Se indican las consecuencias que tendra
para la organizacin cada una de las amenazas en caso de materializarse. Los
resultados tendrn alguna de las siguientes consecuencias sobre la informacin: visualizacin, modificacin, destruccin o prdida, e interrupcin.
Identificacin de las vulnerabilidades. En funcin de las amenazas, y para poder
valorar su importancia, se tendrn en cuenta las vulnerabilidades o debilidades que
puedan existir. Las amenazas para ser consideradas como tal, habrn de tener asociadas una vulnerabilidad. Al mismo tiempo, estas vulnerabilidades han podido ser
detectadas en la actividad de identificacin de activos.
La identificacin de vulnerabilidades se realiza a travs de un anlisis exhaustivo de
cada uno de los activos. La informacin de este anlisis podr ser completada con
listados de vulnerabilidades, con el asesoramiento de expertos en seguridad o con
la informacin proporcionada por los propios proveedores de los activos (en los
casos que se trate de recursos materiales). En la identificacin de vulnerabilidades
se tendrn en cuenta:
La poltica de seguridad.
Los procedimientos de seguridad (si existiesen en ese momento).
Los requerimientos de los sistemas.
Los controles o salvaguardias tcnicas implantadas.
Los chequeos de vulnerabilidades anteriores.
Las auditoras de conformidad tcnica realizadas.
Determinar el impacto sobre los activos. Con el conocimiento de los activos, de
las amenazas y de las vulnerabilidades, se determina a nivel de cada activo el posible

430

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

impacto en l si se materializase la amenaza. El impacto de la amenaza en el activo


se valora teniendo en cuenta la prdida, y la degradacin del activo, considerando
las consecuencias:
Prdida de integridad. La integridad del sistema o de los datos se pierde.
Prdida de disponibilidad. Implica la imposibilidad de que el activo pueda
realizar su funcin.
Prdida de confidencialidad. La informacin que gestiona el activo queda
expuesta y desprotegida.
Analizar el impacto sobre la actividad del negocio. Consiste en determinar y
cuantificar las consecuencias que sobre el negocio tendra cada una de las amenazas
en caso de materializarse, es decir, el ataque o incidente identificado en el anlisis
de riesgos. En funcin de las consecuencias se establecer el nivel de impacto, que
podr ser:
Impacto alto. Se provoca una prdida elevada, afecta a los activos de mayor
valor. Impacta no slo a los procesos crticos de la organizacin sino tambin
a su misin o la imagen que se da al exterior. Tambin puede provocar daos
o vctimas humanas. Se deben cuantificar las posibles prdidas.
Impacto medio. Se provoca una prdida media. Deber estar cuantificado.
Impacto bajo. Puede provocar la prdida de algn activo no muy importante. Deber estar cuantificado.
El nivel de impacto se refleja y justifica en el anlisis de riesgos.
Evaluar la probabilidad de ocurrencia. A la hora de determinar la probabilidad
de que una amenaza se materialice se debern tener en cuenta:
La motivacin y capacidad del origen de la amenaza.
El tipo de vulnerabilidad
Los controles o salvaguardias existentes
En funcin de las consideraciones anteriores se determina la probabilidad de
ocurrencia de un riesgo. En todos los casos es recomendable cuantificar la probabilidad en forma de porcentaje. Como mnimo la probabilidad se clasificar
como:
Probabilidad alta. Si el origen de la amenaza tiene una motivacin clara y
tiene capacidad para actuar. No existen salvaguardias adecuadas.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

431

Probabilidad media. El origen de la amenaza est motivado y tiene capacidad para actuar. Existen salvaguardias adecuadas.
Probabilidad baja. El origen de la amenaza no est motivado o no tiene
capacidad para actuar. Existen salvaguardias.
La probabilidad de que una amenaza se materialice tambin estar reflejada en el
anlisis de riesgos.
Estimar los niveles de riesgo. En el siguiente paso se determina el nivel de riesgo
para cada una de las amenazas. El riesgo estar cuantificado, calculado en base a la
probabilidad de que la amenaza se materialice y por el impacto que sta puede llegar a tener en la empresa u organizacin, teniendo en cuenta los controles o salvaguardas existentes. El riesgo se clasifica como:
Riesgo alto. Existe una gran necesidad de medidas correctivas (controles)
que deben articularse en un plan.
Riesgo medio. Son necesarias medidas correctivas (controles) que se incorporarn a un plan para ser ejecutadas en un plazo de tiempo razonable.
Riesgo bajo. Ser necesario determinar qu medidas correctivas (controles)
son necesarias, o bien aceptar el riesgo.
El riesgo es una funcin de la probabilidad y del impacto (vase la figura 6.6.11).

Riesgo

Impacto

Probabilidad

Alto

Medio

Bajo

Alta

Alto

Medio

Bajo

Media

Medio

Medio

Bajo

Baja

Medio

Bajo

Bajo

Figura 6.6.11. Clculo del riesgo en funcin de la probabilidad y del impacto

El nivel del riesgo se refleja en el anlisis de riesgos. Se calcula como el resultado de


multiplicar el valor de la probabilidad de que la amenaza se materialice por el valor
del impacto que dicha amenaza tendra para la organizacin.

432

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

El nivel de riesgo de cada amenaza deber cruzarse con cada uno de los activos. De
este modo se conoce el riesgo total soportado por cada uno de los activos. Este
riesgo total es ponderado en funcin de la importancia dada al activo en el
momento de su identificacin. Para cada uno de los activos se tendr un nivel de
riesgo ponderado.
Determinar si los riesgos son aceptables. Con los valores de los riesgos calculados
se determinan los riesgos asumibles por la organizacin y los que no son aceptables.
Con la determinacin de los riesgos aceptables termina la evaluacin de riesgos.
A partir de esta informacin deber iniciarse la fase de tratamiento del riesgo.

Identificacin y evaluacin de las opciones de


tratamiento de riesgos
Tras la evaluacin de riesgos se pasa a la actividad de identificar y evaluar las
diferentes opciones para el tratamiento de riesgos. El primer paso es definir el
umbral del riesgo, es decir, cundo se considera que el nivel de riesgo obtenido
es aceptable, y por tanto, nicamente se vigilarn las condiciones para mantener el nivel obtenido. Tambin se define cundo el riesgo no es aceptable, en
cuyo caso ser necesario seleccionar e implantar controles de seguridad para
cambiar el valor del riesgo. Esta decisin se reflejar posteriormente en una
declaracin formal por parte de la direccin (declaracin de riesgos o de aplicabilidad) y en ella se establece tanto el umbral del riesgo efectivo como el del
riesgo residual.
El nivel de riesgo aceptable es la resultante del equilibrio entre el coste de seguridad (coste de los controles de seguridad) y el coste del riesgo (coste que tendra si
el riesgo se hiciera realidad).
A partir de los resultados de la evaluacin de riesgos, y teniendo en cuenta el
nivel de riesgo aceptable establecido para la empresa, el responsable de seguridad, junto con el responsable del activo afectado, identifican aquellos controles o
salvaguardias que le protejan efectivamente contra los riesgos identificados y los
no aceptables. Para cada riesgo se evalan las posibles alternativas que son las
siguientes.
Reducir el riesgo (reducir amenazas, vulnerabilidades, posibles impactos,
etc.) implantando los controles apropiados.
Asumir el riesgo.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

433

Evitar el riesgo.
Transferir el riesgo a terceros (seguros, proveedores, etc.).

Seleccin de los objetivos de control y sus controles


Para cada uno de los riesgos identificados como no aceptables, se identifican los
objetivos de control y los controles adecuados. Inicialmente se seleccionan entre
los propuestos en ISO/IEC 27001, aadiendo posteriormente los que se consideren necesarios y que no estn incluidos en la norma.
Estos controles van orientados a la reduccin del nivel de riesgo existente, de tal
manera que el nivel total de riesgo soportado por la organizacin sea menor al finalizar el perodo de implantacin.
Sobre los riesgos identificados como aceptables tambin se podrn establecer objetivos o se podrn incluir en los planes de gestin del riesgo y contingencia, pero la
organizacin puede determinar no trabajar especficamente en mitigarlos.
En ISO/IEC 20000-1 se requiere que se trabaje con controles de seguridad para
implementar la poltica de seguridad y gestionar los riesgos. Adems, se debern
documentar los controles implementados y se tendr que evaluar previamente el
impacto de los cambios sobre los mismos.

UNE-ISO/IEC 20000-1
Los adecuados controles de seguridad deben ayudar a:
a) implementar los requisitos de la poltica de seguridad de la informacin;
b) gestionar los riesgos asociados al acceso al servicio o a los sistemas.
Los controles de seguridad deben estar documentados. La documentacin debe describir los riesgos a los que estn asociados los controles, la manera de utilizarlos y el
mantenimiento de los mismos.
El impacto de los cambios sobre los controles se debe evaluar antes de que los cambios sean implementados.

Los controles se asocian a cada uno de los riesgos con el nivel de detalle necesario.
La seleccin de controles debe:

434

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

Evaluar y seleccionar los controles. En funcin de los controles seleccionados a priori, antes de proceder a su implantacin, hay que tener en cuenta
la capacidad de adaptacin, compatibilidad y eficiencia que stos tienen.
Analizar su viabilidad econmica. Otro elemento que se debe tener en
cuenta es la viabilidad econmica de cada uno de los controles seleccionados.
Se realizar una valoracin econmica aproximada de los costes que tendra
su implantacin.
Priorizacin de los controles. Dado que todos los controles no se podrn
implantar a la vez, es necesario establecer un orden de implantacin en funcin del riesgo, del plazo y del coste.
Estos controles se implementarn a travs del plan de tratamiento de riesgos.
La Norma ISO/IEC 27001 establece los objetivos de control en torno a 7 reas de
gestin de la seguridad. En la figura 6.6.12 se muestran estas reas.

Figura 6.6.12. reas de gestin de la seguridad en ISO/IEC 27001


y el apartado en el que se tratan en la norma

Para cada una de estas reas de gestin de la seguridad se establecen sus objetivos
de control. Para cada objetivo de control se establece un conjunto posible de controles. En ISO/IEC 27001 se propone un total de 39 objetivos de control y 133
controles. En la figura 6.6.13 se muestra un ejemplo de este contenido.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

435

Objetivos de control y controles en UNE-ISO/IEC 27001

Actividades de gestin de la seguridad en ITIL v3

rea: 10 Gestin de comunicaciones y operaciones.

Gua de implementacin:

10.1 Responsabilidades y procedimientos de


operacin.

La segregacin de las tareas es un mtodo


para reducir el riesgo de un mal uso accidental o
deliberado del sistema. Se debiera tener cuidado
que nadie pueda tener acceso, modificar o
utilizar los activos sin autorizacin o deteccin.
Se debera separar la iniciacin de un evento
de su autorizacin. Se debera considerar la
posibilidad de colisin en el diseo de los
controles.

10.1.1 Documentacin de los procedimientos de


operacin.
10.1.2 Gestin de cambios.
10.1.3 Segregacin de tareas.
Control: Las tareas y reas de responsabilidad
deben segregarse para reducir la posibilidad de
que se produzcan modificaciones no autorizadas
o no intencionadas o usos indebidos de los
activos de la organizacin
10.1.4 Separacin de los recursos de desarrollo,
prueba y operacin.
10.2 Gestin de la provisin de servicios por terceros.
10.3 Planificacin y aceptacin del sistema.

Las organizaciones pequeas pueden encontrar


difcil de lograr la segregacin de las tareas,
pero se debera aplicar el principio mientras
sea posible y practicable. Cuando es difcil de
segregar, se deberan considerar otros controles
como la supervisin de actividades, rastros de
auditora y supervisin gerencial. Es importante
que la auditora de seguridad se mantenga
independiente.

10.4 Proteccin contra cdigo malicioso y descargable.


10.5 Copias de seguridad.
10.6 Gestin de la seguridad de las redes.
10.7 Manipulacin de los soportes.

Figura 6.6.13. Ejemplo de los controles en las


Normas ISO/IEC 27001 e ISO/IEC 17799

Adems de los controles seleccionados de ISO/IEC 27001, tambin se debern


tener en cuenta los 8 controles recomendados en ISO/IEC 20000-2.
UNE-ISO/IEC 20000-2
Controles
Adems de otros controles que puedan
ser justificables y aconsejados en esta
parte de la Norma ISO/IEC 20000 (por
ejemplo: en la continuidad del servicio),
los proveedores del servicio deberan
aplicar los siguientes controles como

una buena prctica en gestin de la


seguridad de la informacin:
a) la alta direccin debera definir la
poltica de seguridad de la informacin, comunicarla a su personal y a sus clientes y asegurarse
de que se implanta eficazmente;

436

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

b) los roles y las responsabilidades


para la gestin de la seguridad de
la informacin se deberan definir
y asignar a un puesto de trabajo;
c) un representante del equipo de
direccin (el rol puede ser desempeado por un propietario que
sea un responsable senior) debera supervisar y mantener la eficacia de la Poltica de Seguridad de
la Informacin;
d) el personal que ejerza un rol significativo en seguridad debera
recibir formacin en seguridad de
la informacin;

e) todo el personal debe ser concienciado acerca de la poltica de


seguridad de la informacin;
f) debera haber apoyo de expertos
en la evaluacin de riesgos y en la
implementacin de los controles;
g) los cambios no deberan comprometer la operacin efectiva de los
controles;
h) se debera hacer un informe de
los incidentes de seguridad de la
informacin siguiendo los procedimientos de gestin del incidente
y, tambin, se debera iniciar una
respuesta a dichos incidentes.

En relacin al acceso de terceros u organizaciones externas (suministradores, clientes externos, etc.) a los sistemas de informacin, en ISO/IEC 20000-1 se establece
claramente que debe existir un acuerdo formal que regularice los aspectos relacionados con la seguridad.

UNE-ISO/IEC 20000-1
Los servicios que impliquen el acceso de organizaciones externas a los sistemas de
informacin y a los servicios, deben estar basados en un acuerdo formal que defina
todos los requisitos de seguridad necesarios.

Este mismo tema de terceros est desarrollado tambin en ISO/IEC 27001 (vase
el apartado A.6.2 Terceros) que establece como objetivo mantener la seguridad
de la informacin de la organizacin, as como la de los dispositivos de procesado
de la informacin que son objeto de acceso, tratamiento, comunicacin o gestin
por terceros.

6. Procesos de provisin de servicio


6.6. Gestin de la seguridad de la informacin

437

Elaborar una declaracin de riesgos o de aplicabilidad


(SoA, Statement of Applicability)
La declaracin de riesgos o de aplicabilidad es un documento formal, aprobado por
la direccin, que proporciona un resumen de las decisiones relativas al tratamiento
de los riesgos. Una declaracin de aplicabilidad debe incluir:
Los umbrales de riesgo asumibles por la organizacin.
Los objetivos de control y los controles seleccionados y las justificaciones de
su seleccin.
Los objetivos de control y los controles actualmente implementados.
La exclusin de cualquier objetivo de control y control de ISO/IEC 27001 y
la justificacin de esta exclusin. La justificacin de las exclusiones facilita
una comprobacin cruzada para no omitir inadvertidamente ningn control.

Plan de tratamiento de riesgos (RTP, Risk Treatment Plan)


La implantacin de los controles tiene complejidad bastante diversa e implica a
muchas partes de la organizacin. Por ello, se llevar a cabo de una forma organizada y controlada desde un punto centralizado y con enfoque de proyecto. El plan
de tratamiento de riesgos desempea est misin. Este plan se elabora con una
periodicidad anual y debe ser aprobado por la direccin.
Los puntos que contendr el plan sern los siguientes:
Riesgos tratados.
Objetivos de control que se deben implantar.
Controles que se deben implantar.
Plan de fechas de implantacin.
Criterios de aceptacin o rechazo.
Responsable del plan y de cada uno de sus apartados.
Recursos asignados.
Etc.
El responsable de seguridad tambin es el encargado de la modificacin del plan
de tratamiento de riesgos en el caso de que cambien las condiciones en las que se

438

ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin

desarrolla la actividad de la empresa u organizacin, o hubiera cambios en la evaluacin de riesgos, o se produzcan modificaciones en los requisitos legales u otros requisitos aplicables. En estos casos, el responsable de seguridad debe comunicar a la direccin las modificaciones introducidas presentando un nuevo plan para su aprobacin.
Tanto los resultados como las acciones llevadas a cabo se deben comunicar a la
direccin con carcter anual. Adicionalmente, el responsable de seguridad debe
mantener informada co