Professional Documents
Culture Documents
Ttulo: ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Telefnica, S.A.
Coordinador: Luis Morn Abad
AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2009
Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,
sin la previa autorizacin escrita de AENOR.
Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of
Government Commerce under delegated authority from the Controller of HMSO.
Licensed Product
ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
The Swirl logo is a Trade Mark of the Office of Government Commerce.
The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.
PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the United
Kingdom and other countries.
M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
ISBN: 978-84-8143-662-4
Depsito Legal: M-47292-2009
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR
Imprime: Xxxxxx
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
Agradecimientos
Este libro recopila las experiencias de profesionales que estn fuertemente involucrados en el impulso de las normas y las buenas prcticas internacionales relativas a
la gestin de las tecnologas de la informacin y las comunicaciones.
En la creacin de esta primera edicin del libro han participado:
Direccin de la obra (Telefnica):
Luis Morn Abad Direccin tcnica y contenido final.
Alejandro Prez Snchez Contenido intermedio.
Autores principales (Telefnica):
Luis Morn Abad
Alejandro Prez Snchez
Juan Trujillo Gaona
David Bathiely Fernndez
Miguel Jos Gonzlez-Simancas Sanz
Colaboradores:
Paloma Garca Lpez (AENOR)
Carlos Manuel Fernndez Snchez (AENOR)
Eduardo Mndez Polo (Telefnica)
Jaime Pastor Pastor (Telefnica)
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ndice
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
21
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . .
23
24
27
37
51
53
65
70
75
79
83
10
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ndice
11
Presentacin
Introduccin
Durante la dcada de los aos 50, algunas predicciones futuristas imaginaron que,
para el ao 2000, los coches seran capaces de volar, se ira de vacaciones a Marte, y
que Estados Unidos podra llegar a contar con nada menos que trescientos mil
ordenadores. En 1947 el director de una famosa multinacional del sector predijo
que en el mundo slo habra mercado para 5 ordenadores. Estas predicciones hoy
en da nos parecen ridculas, unas por lo exageradas, y otras por que se han quedado muy cortas.
Las tecnologas de la informacin y las comunicaciones han avanzado mucho ms
de lo esperado, pero despus de poblar el mundo de dispositivos de silicio, con
unas capacidades de proceso inimaginables, nos encontramos con un panorama
desalentador:
Equipos que se bloquean.
Sistemas que se caen.
Servicios que se interrumpen.
Atencin al usuario deficiente.
Prdidas de tiempo y de productividad de los usuarios.
Personal tcnico desbordado por llamadas y peticiones de asistencia.
Directores de sistemas de informacin que ven cmo, a pesar del esfuerzo continuo de su equipo, el roce y el malestar con el resto de la empresa no cesan.
Por ello, no es de extraar que encontremos frecuentemente que los departamentos
de las tecnologas de la informacin (TI) se consideren ms una carga que una
ayuda para el negocio.
16
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Introduccin
17
cualquier tipo de organizacin que provea servicios de tecnologa, tanto internamente a su organizacin como externamente al mercado, tanto en grandes organizaciones como en pequeas o medianas empresas.
Este libro va dirigido a todos los profesionales del mbito de las tecnologas de la
informacin y las comunicaciones que estn involucrados en la provisin de servicios. Resultar imprescindible tanto a los responsables de su gestin, como a cualquier otro profesional de TI: direccin, gestores, responsables de procesos, consultores, tcnicos, personal de soporte, etc.
Al avanzar en este libro, el lector constatar que la industria ya ha normalizado
gran parte del conjunto de actividades necesarias para que los servicios proporcionados por las TI sean fiables y eficientes. Cubren desde las actividades del da
a da inmediato, como es la atencin a los incidentes y peticiones, hasta la definicin de una estrategia que permita continuar prestando los servicios en caso
de catstrofe, todo ello, sin olvidar conceptos como la planificacin o la mejora
continua.
Persiguiendo este fin ltimo de utilidad, los contenidos de cada apartado, adems
de incluir ntegramente la norma, se han enriquecido con otras buenas prcticas
ITIL y con la amplia experiencia profesional de los autores.
Por tanto, este libro pretende ser una gua completa de aplicacin, una ayuda y una
razonable interpretacin de estas normas. No pretende sentar jurisprudencia al
respecto. Los autores dan por hecho que puede haber otras formas de aplicar o
interpretar las directrices de las normas, ya que las particularidades de cada negocio
y organizacin tienen gran influencia.
18
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Introduccin
0 Introduccin
2 Trminos y definiciones
12 Bibliografa y referencias
13 Trminos y definiciones
19
20
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Captulo 1
El camino a la excelencia
ya existe
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia
1.2. Normas, estndares, marcos de referencia y metodologas reconocidas
en el mbito de las TI
1.3. Entender los entornos de normalizacin y certificacin
1.4. Las principales normas y buenas prcticas en TI
50
38
MI
CM
ITIL
00 000
0
9 20
0
70
BIT
CO
50
38
MI
CM
ITIL
00 00
90 200
23
01
0
27
BIT
CO
24
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
50
38
MI
CM
ITIL
00 00
90 200
mbito de la empresa
p
Evaluacin
Calidad
y medio
ambiente
Empresa
Directrice
es
Prrescriptivo
Gobierno TI
Gestin del
servicio de TI
Ticket
King
ACC
Tipo de usso
mbito especfico
p
de TI
SAS
8000
TQM
ISO
9001 ISO
SO
EFQM 9004
ISO
14001
ITIL v2
ISO/IEC
38500
Funciones de TI
((desarrollo,, seg.,
g , etc.))
ISO/IEC
20000
SAS 70
MOF
PPeople
l
CMMI
CMMI
SOX
ISO/IEC
17799 o
27002
ISO
ISO/IEC
ASL 90003
ISO
27001
DSDM 12207
BS 25999
ISPL
PAS 77
FEAF
TOGAF
Zachman
PMBOK
RUP
TL 9000
Tecnologa
SPICE
ISO/IEC 15504
CMMI for
Services
ITIL v3
COSO
Lean
6
Sigma
COBIT
CoCo
eTOM
(Telcos)
25
PRINCE2
CORBA
XML
SOA
El veterano marco ITIL destaca como el gran compendio de referencia, que aspira
a convertirse en ese modelo universal que estructura y organiza toda la actividad de
las TI. Si bien la versin 2, publicada en el ao 2000, ha tenido una aceptacin
excepcional, hay que esperar a ver cmo el sector va adoptando la nueva versin 3,
publicada en el ao 2007, y que presenta una visin ms amplia y coherente de la
gestin de las TI, agrupada en torno al ciclo de vida del servicio.
El marco para el desarrollo de software CMMI (Capability Maturity Model Integration) aparece como el modelo ms aceptado para la medicin de la madurez de los
procesos de gestin en la construccin de aplicaciones. Para complicar ms el panorama, en su ltima versin se crea un nuevo modelo CMMI for Services, que se
superpone en gran medida con el mbito central de ITIL; y por tanto, tambin con
las Normas ISO/IEC 20000. Adems, para los procesos y medicin de la madurez
del desarrollo, tambin la normativa internacional inici desde 1993 su andadura.
ISO e IEC han desarrollado un modelo para la evaluacin de los procesos de desarrollo de software bajo la iniciativa SPICE que ha desembocado en la publicacin
de la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto de
normas relativas a la ingeniera del software (ISO/IEC 15288, ISO/IEC 12207,
ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).
01
0
27
BIT
CO
26
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
50
38
MI
CM
ITIL
00 00
90 200
27
Por otra parte, los temas medioambientales tambin tienen su impacto en la gestin de TI. Deben tenerse en cuenta: la legislacin nacional, local y la normativa
sobre retirada y gestin del equipamiento y residuos informticos; la serie de Normas ISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe tambin la Norma UNE 150002 Sistemas de gestin medioambiental. Gua para la aplicacin de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la gua para
la aplicacin de los sistemas de gestin medioambiental a las relaciones con suministradores y clientes, denominada UNE 150004 EX; o el Cdigo de Conducta
para la Eficiencia Energtica en Centros de Datos publicado por la Unin Europea.
Tanta abundancia de informacin y recomendaciones resulta confusa para las organizaciones que slo desean soluciones prcticas y directas para mejorar su gestin
de las TI.
De todo el mapa anterior, se recomienda centrarse inicialmente en las normas y
marcos de mayor relevancia y ms aceptados para la mejora de TI, como son:
ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la
gestin de los servicios de TI.
COBIT para la auditora y la medicin de las TI.
ISO/IEC 27001 para la gestin de la seguridad de la informacin.
ISO/IEC 15504 y CMMI for Development para la gestin del desarrollo de
software.
ISO/IEC 38500 y COBIT como referencias para el gobierno de las
tecnologas de la informacin.
01
0
27
BIT
CO
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
28
marcos de mejores prcticas (organismos de normalizacin internacional, organismos de normalizacin en cada pas y las principales iniciativas de organizaciones
privadas aunque algunas con el respaldo indirecto gubernamental). Las filas enumeran algunos organismos e instituciones. Bajo el concepto de promotor se incluyen quin est principalmente detrs de las iniciativas respaldando a las instituciones. Finalmente se presentan algunas normas y marcos de cada mbito.
Promotore
es
O
Organismos
e
instituciones
Normalizacin internacional
ISO
CEN
IEC
CENELEC
UIT
ETSI
Normalizacin y acreditacin
segn el pas
Espaa: AENOR - ENAC
UK: BSI - UKAS
USA: ANSI
Alemania: DIN - TV
Argentina: IRAM
Chile: INN
Mxico: DGN
Per: INDECOPI
Australia: SA
Gobiernos
Participan comits
normalizacin pases
No
ormas
(en UNE-ISO
UNE ISO 20000)
ISO 9001
ISO 20000
ISO/IEC
38500
ISO/IEC
20000
ISO/IEC
27001
ISO/IEC
17799
ISO/IEC
20000
BS 15000
AS 8015
ISO 27001
ISO 1779927002
BS 25999
PAS 77
Carnegie
Mellon
ITGI
PMI
OGC
(UK)
DoD
(USA)
ISACA
(USA)
PMI
(USA)
SEI y ESI
ITIL
CMMI
COBIT
PMBOK
Prince2
Fuente: Telefnica
50
38
MI
CM
ITIL
00 00
90 200
29
Por otra parte, el mbito de las denominadas iniciativas privadas (ITIL, CMMI,
COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prcticas y no de normativa. Los procedimientos y la gestin de la representacin del
sector quedan a la libre eleccin de la institucin u organismo que impulsa la iniciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamada
pblica de participacin para trabajar en la siguiente edicin de estos marcos a la
que suelen responder los principales actores internacionales y gurs en la materia.
El proceso de seleccin del equipo de revisin es especfico de cada institucin, as
como el procedimiento de edicin de la nueva versin del marco de referencia.
Como se puede intuir hay que ser un autentico especialista en la materia para comprender los diversos esquemas y estructuras que se han ido creando alrededor de la
normalizacin y marcos de mejores prcticas. Por la vinculacin con la temtica de
este libro se explican los procesos de creacin de las normas ISO/IEC y de las normas UNE espaolas:
Ciclo de creacin de las normas ISO/IEC. Una norma internacional se desarrolla en el mbito de los comits tcnicos y de los subcomits tcnicos de ISO y de
IEC. El proceso sigue seis etapas: propuesta, preparatoria, comit, consulta, aprobacin y publicacin. En este proceso, el documento propuesta de norma pasa por
tres estados que indican el grado de aceptacin y apoyo que se va alcanzando de los
diversos borradores:
CD (Committee Draft): es un borrador generado por un grupo de trabajo,
que ha recibido la aprobacin del grupo y se remite al comit correspondiente para su aprobacin.
DIS (Draft of International Standard): es el borrador de norma internacional que el comit de normalizacin ha aprobado y somete a comentarios y
votacin por parte de los pases.
FDIS (Final Draft of International Standard): es el borrador final de la
norma internacional, que el comit enva para su aprobacin final a todos los
miembros para su publicacin final como norma internacional.
En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. En la
etapa 3 se aprueba el borrador para pasar al estado de borrador de comit (DIS)
que ser sometido a aprobacin en la etapa 4 o de consulta. As, el borrador aprobado pasa al estado de borrador final de norma internacional (FDIS) que ser
sometido para su aprobacin definitiva en la etapa 5.
Adems, existe el procedimiento rpido de aprobacin, o fast-track, para documentos con un grado alto de madurez, como es el caso de normas locales que se quieran elevar a internacionales. En este caso, primero se somete a una votacin para
01
0
27
BIT
CO
30
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasar
directamente como DIS a la etapa 4. Normalmente el procedimiento rpido puede
durar un ao, mientras que el normal suele durar entre 2 y 3 aos, dependiendo de
la dificultad de alcanzar el consenso en las diversas etapas.
Ciclo de creacin de las normas UNE espaolas. El proceso de elaboracin de
una norma UNE est sometido a una serie de fases que permiten asegurar que el
documento final es fruto del consenso, y que cualquier persona, aunque no pertenezca al comit de AENOR, productor de la norma, pueda emitir sus opiniones o
comentarios. Tras la aprobacin del proyecto final de norma por un Comit Tcnico de Normalizacin, el Boletn Oficial del Estado (BOE) publica la relacin
mensual de proyectos UNE sometidos a un perodo de Informacin Pblica,
durante el cual cualquier persona o entidad interesada podr presentar observaciones. Las observaciones deben realizarse a AENOR. Una vez analizados los comentarios recibidos en esta fase, el comit redactar el texto final, que ser aprobado y
publicado como norma UNE por AENOR.
En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional.
Proceso de elaboracin de una
norma ISO/IEC internacional
1. Etapa de propuesta
Se elabora la propuesta de norma
1. Trabajos preliminares
2. Etapa preparatoria
Se consensa el borrador CD
3. Etapa de comit
El comit aprueba CD DIS
4. Etapa de consulta
DIS se somete a consulta
5. Etapa de aprobacin
Se aprueba DIS FDIS
6. Etapa de publicacin
FDIS se edita como norma ISO
6. Publicacin de la nueva
norma UNE
Fuente: AENOR
50
38
MI
CM
ITIL
00 00
90 200
31
01
0
27
BIT
CO
32
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
europeo e internacional para el desarrollo de actividades de normalizacin y certificacin (N+C) en un mbito multisectorial. Cuenta en la actualidad con ms de 20
centros operativos repartidos en: Espaa, Mxico, Chile, El Salvador, Italia, Portugal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el desarrollo de las actividades de N+C, a mejorar la gestin de la calidad en las empresas, sus productos y servicios, proteger el medio ambiente y, con ello, lograr el
bienestar de la sociedad en su conjunto.
BSI (British Standards Institute). Organismo de normalizacin del Reino Unido.
Es destacable su actividad en la elaboracin de nuevas normas en el mbito de la
gestin de las TI. Creador de la serie de normas BS 15000, base sobre la que se han
definido las actuales Normas ISO/IEC 20000.
En general, cada pas tiene su propio organismo de normalizacin, entre otros
podemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA en
Australia, etc.
Otros organismos de habla hispana, con los que AENOR mantiene una estrecha
colaboracin motivada, entre otras cosas, por la traduccin conjunta de normas
internacionales al espaol, son: IRAM en Argentina, INN en Chile, DGN en
Mxico, INDECOPI en Per, etc.
Los gobiernos
Es importante destacar el papel activo de los gobiernos, instituciones gubernamentales y administraciones pblicas en el campo de la normalizacin, pues desempean un triple papel: como sustento de la actividad de normalizacin mediante subvenciones a los organismos de normalizacin, como impulsores de algunas
iniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bien
estableciendo una regulacin o bien en su papel de cliente contratante de servicios
al sector de las TIC.
Entre estos organismos destacan el Ministerio de Comercio Britnico (OGC, Office
of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y
el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense)
como impulsor de CMMI.
Organismos de acreditacin
Las entidades nacionales de acreditacin son entidades independientes cuya funcin es la acreditacin de entidades certificadoras y laboratorios de ensayo. Es decir,
50
38
MI
CM
ITIL
00 00
90 200
33
el reconocimiento formal de que una organizacin es competente para la realizacin de una determinada actividad de evaluacin de la conformidad o la realizacin
de un ensayo determinado.
Las organizaciones que podemos destacar son:
Internacionalmente: IAF (International Accreditation Forum).
En Europa: EA (European Cooperation for Accreditation).
En Espaa: ENAC (Entidad Nacional de Acreditacin en Espaa).
En el Reino Unido: UKAS (United Kingdom Accreditation System).
IQNet. Un papel parecido a la acreditacin lo realiza la Red Internacional de Certificacin (IQNet, International Certification Network), asociacin formada por las
entidades de certificacin lderes en la certificacin de empresas en sus respectivos
pases. Entre sus objetivos estn:
El reconocimiento y promocin de los certificados expedidos por sus miembros en todos los sectores industriales y de servicios.
La coordinacin de los procesos de certificacin de empresas que operan en
distintos pases.
Normalmente, los certificados locales emitidos por las entidades certificadoras van
acompaados de el reconocimiento internacional de IQNet.
Entidades certificadoras
Para que las empresas puedan demostrar a nivel nacional e internacional que cumplen las normas, necesitan un certificado. Se trata de un instrumento para verificar
la correcta implantacin de las normas.
La obtencin del certificado se realiza mediante un proceso de evaluacin independiente por parte de una entidad certificadora o de certificacin. Un requisito
importante que asegura la solvencia para que una entidad pueda conceder una
marca de certificacin es que dicha entidad sea competente para certificar los
productos, los servicios, los sistemas de gestin o las personas, a los que se aplica la
marca de certificacin.
Los organismos de acreditacin son los encargados de acreditar a las entidades de
certificacin. Las entidades de certificacin utilizan los servicios profesionales
de los auditores.
01
0
27
BIT
CO
34
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Marcas de certificacin
Las marcas de certificacin las conceden las entidades correspondientes a los productos, sistemas y servicios que cumplen con los requisitos definidos.
La certificacin, en base a normas, tiene su reflejo en los distintivos de certificacin, cuya concesin significa que el producto o servicio ha pasado por el adecuado
proceso de certificacin de forma satisfactoria. Cuando, por ejemplo, se trata de
una marca de seguridad, la concesin de la marca significar que cumple los requisitos de seguridad, segn la norma de referencia.
En un producto con certificado de calidad, la etiqueta puede contener distintos
logotipos (vase la figura 1.4) dependiendo de la entidad que otorgue el certificado.
Auditores
Los auditores son los nicos profesionales acreditados para realizar la auditora del
cumplimiento de los requisitos de una norma por una organizacin. La calificacin
de auditor se concede nicamente a los candidatos que demuestren experiencia
suficiente y hayan pasado los exmenes exigidos para ello.
50
38
MI
CM
ITIL
00 00
90 200
35
Consultores
Los consultores asesoran, bien a las organizaciones o entidades que quieren
implantar las normas, o bien, una vez implantadas, que desean certificarse. Para
esta funcin existe una acreditacin profesional especfica. La formacin que reciben les permite adquirir un nivel suficiente de conocimiento de la normas, del
esquema de certificacin y de su aplicacin.
Los consultores asisten a las organizaciones en la interpretacin y aplicacin de la
normas, as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestin del
servicio. Asimismo, el consultor externo puede efectuar una evaluacin de los niveles de gestin del servicio y establecer el nivel de preparacin necesario para una
solicitud de certificacin y su posterior consecucin.
Actualmente, existe una acreditacin de consultor ISO/IEC 20000 otorgada por entidades de formacin acreditadas por UKAS e itSMF-UK. Otros organismos que regulan la formacin profesional (EXIN, APMG) tambin estn entrando en este campo.
01
0
27
BIT
CO
36
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
50
38
MI
CM
ITIL
00 00
90 200
37
Gestin de la
continuidad y
disponibilidad
del servicio
Generacin de
informes del servicio
Procesos de control
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
01
0
27
BIT
CO
38
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
junto al proceso del captulo 5 Planificacin e implementacin de nuevos servicios o de servicios modificados). Adems, las normas incluyen dos aspectos
muy importantes: el sistema de gestin y la planificacin e implementacin de
la gestin del servicio.
En el mbito de los servicios de TI, resulta esencial que los servicios se provean
en un marco de gestin eficaz y de calidad, para entender claramente los requisitos y gestionar su cumplimiento. Las Normas ISO/IEC 20000 articulan el proceso de prestacin de los servicios engranados sobre un sistema de gestin del
servicio (vase el captulo 3). El proceso de mejora continua establecido por la
Norma ISO 9001 para la fabricacin de productos o prestacin de servicios
(siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar Plan, Do, Check,
Act), tambin se incorpora en esta norma como un motor de la mejora continua
de los servicios de TI (vase el captulo 4).
50
38
MI
CM
ITIL
00 00
90 200
39
BS 15000
1986
IBM,s
ISMA
1989
itSMF
2000
ITIL v1:
42 libros
ITIL v2:
7 libros
ISO/IEC
20000
UNE-ISO/
IEC 20000
2005
2007
Creacin
itSMF Espaa
Evolucin
ISO/IEC 20000
ITIL v3:
5 libros
ITIL v0:
Service Level
Management
01
0
27
BIT
CO
40
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ITIL v2 se ha utilizado como base para la creacin de las Normas ISO/IEC 20000.
En la figura 1.7, se muestra una representacin tpica de ITIL v2. En ella se puede
apreciar el negocio a la izquierda del todo, en el extremo derecho se sita la tecnologa, y, en medio, haciendo que la tecnologa sea til para el negocio estn los procesos ITIL. De ellos, los dos libros ms valiosos por su contenido y ms aceptados
por el mercado son los relativos a la gestin de servicio (libros Soporte de Servicio y
Provisin de Servicio publicados por OGC).
Soporte de servicio
Gestin relacin
con negocio
E
L
N
E
G
O
C
I
O
Gestin relacin
proveedores
Planificacin
y desarrollo
arquitectura TI
Relacin
formacin y
comunicacin
de TI con el
negocio
Gestin de
infraestructuras TIC
Gestin de servicio
Diseo y
planificacin
Incidente
Despliegue
Problema
Operacin
Configuracin
Financiero
Cambio
Continuidad
Entrega
Soporte tcnico
Disponibilidad
Capacidad
G. nivel de servicio
Provisin de servicio
Gestin de aplicaciones
Requerimientos
Disear y construir
Despliegue
Operar
Gestin
de activos
Gestin de
la seguridad
Planificar
L
A
T
E
C
N
O
L
O
G
Implementar
Evaluar
Mantener
Controlar
Optimizar
50
38
MI
CM
ITIL
00 00
90 200
41
Diseo
del servicio
Operacin
del servicio
Estrategia
del servicio
ITIL v3
n
ici icio
s
an rv
Tr l se
de
Mejora
del servicio
Fuente: Libro ITIL Estrategia del Servicio publicado por OGC y e.p.
01
0
27
BIT
CO
42
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ESTRATEGIA
DISEO
TRANSICIN
OPERACIN
MEJORA
CONTINUA
Gestin financiera de TI
Planificacin y soporte de la
transicin
Gestin de la demanda
Gestin de cambios
Gestin de la configuracin y
de activos del servicio
Gestin de la capacidad
Gestin de la disponibilidad
Gestin de la continuidad del
servicio TI
Gestin de la seguridad de la
informacin
Gestin de versiones y
despliegues
Gestin de suministradores
Mejora continua del servicio
El proceso de mejora
en 7 etapas
Procesos:
Gestin de incidencias
Gestin de peticiones
Gestin de problemas
Gestin de eventos
ITIL v3
Gestin de accesos
Funciones:
Centro de servicio al usuario
Gestin tcnica
Gestin de operaciones TI
Gestin de aplicaciones
50
38
MI
CM
ITIL
00 00
90 200
43
Monitorizar y evaluar
ME1 Monitorizar y evaluar el desempeo
de TI
del
icin
Med mpeo
dese
in
ac ca
ine tgi
l
A ra
t
es
En
de treg
va a
lor
Gobierno
de TI
Administracin
de recursos
Adm
inis
de r tracin
iesg
os
Adquirir e implantar
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el software aplicativo
Fuente: ISACA.
01
0
27
BIT
CO
44
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
50
38
MI
CM
ITIL
00 00
90 200
45
Ciclo PDCA
Plan
Planificar
Do
Act
Hacer
Actuar
Check
Verificar
Planificar
Hacer
Verificar
Actuar
ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002) recoge un cdigo
de buenas prcticas para la gestin de la seguridad de la informacin. Se centra en
desarrollar los objetivos de control de la seguridad, y para cada uno de ellos, se
indica una gua para su implantacin. Cada organizacin debe considerar cuntos
sern realmente los aplicables segn sus propias necesidades.
01
0
27
BIT
CO
46
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMMI
for Services
CMMI
Foundation
CMMI for
Development
16 reas
de proceso
comunes
CMMI for
Acquisition
para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisiciones (CMMI for Adquisition) y una nueva para la prestacin de servicios (CMMI
for Services).
CMMI describe cinco etapas evolutivas (niveles) en las cuales una organizacin se
sita segn la madurez de sus procesos:
1. Inicial (Initial). Los procesos son caticos; pocos procesos estn realmente
definidos.
2. Repetible (Repeatable). Se establecen los procesos bsicos y se observa cierto
nivel de disciplina respecto a ellos.
3. Definido (Defined). Todos los procesos estn definidos, documentados, normalizados e integrados.
4. Gestionado (Managed). Los procesos se miden recogiendo datos detallados
de los mismos.
5. En optimizacin (Optimizing). La mejora de los procesos es continua y proporciona nuevas ideas y oportunidades.
Con la publicacin en Marzo del 2009 de CMMI for Services, el SEI tambin entra
en el mbito de la gestin del servicio, con bastante solape con ITIL e ISO/IEC
20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.
50
38
MI
CM
ITIL
00 00
90 200
47
Process Management
Project Management
01
0
27
BIT
CO
48
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Procesos cliente-proveedor
Procesos de ingeniera
Procesos de proyecto
Procesos
de soporte
Procesos de organizacin
Fuente: SPICE.
50
38
MI
CM
ITIL
00 00
90 200
49
01
0
27
BIT
CO
Captulo 2
Entender las
Normas ISO/IEC 20000
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
53
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
54
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Las Normas UNE-ISO/IEC 20000 son las traducciones al castellano de las anteriores ISO/IEC, estn formadas por dos partes publicadas como documentos independientes:
UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del
servicio. Parte 1: Especificaciones. Contiene los requisitos exigibles para cumplir con la norma. Por ello, el verbo de sus frases suele contener un debe,
indicando que el requisito tiene que ser satisfecho para ser acorde con la
norma.
UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del
servicio. Parte 2: Cdigo de buenas prcticas. Esta parte contiene a veces una
extensin o detalle de los requisitos de la parte 1, mientras que en otras ocasiones se desarrollan los requisitos con ms profundidad. La parte 2, utiliza
el condicional debera, que se interpreta como una recomendacin para
satisfacer el requisito de la parte 1, pero quizs no la nica.
Dada la equivalencia entre estas normas ISO/IEC (en ingls) y las normas UNE
(en castellano), a partir de ahora en el libro se utilizar nicamente el trmino
ISO/IEC 20000 para ambas normas.
En la figura 2.1 se muestran los objetivos de cada una de las partes de estas normas
frente al alcance ms amplio del presente libro.
Norma UNE-ISO/IEC 20000-1
Especificaciones
Requisitos de cumplimiento
obligatorio para certificarse
Debe
Debera
Este libro
+ ISO/IEC 20000-1
+ ISO/IEC 20000-2
+ ITIL
+ Experiencia de los autores
+ Directrices de implantacin
Figura 2.1. Las dos partes de las Normas ISO/IEC 20000 y su reflejo en
el presente libro
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
55
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
56
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
57
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
58
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
59
La orientacin al cliente. De forma complementaria a la anterior, los departamentos de TI tienen que desarrollar la capacidad de orientarse al cliente.
Cambiar las formas de trabajar para que los objetivos del negocio sean asumidos como propios. Se pone foco en las relaciones con el negocio y con los
usuarios de los servicios.
La comunicacin interna. Potenciar la comunicacin interna entre las
diversas reas y entre las personas.
Los procesos internos. Organizar la actividad y el trabajo de todo el equipo
para que fluya sin fricciones y al ritmo demandado por el negocio. Todo ello,
dentro de un entorno de calidad y mejora continua.
El servicio
La orientacin al cliente
ISO/IEC 20000
La comunicacin interna
Los procesos internos
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
60
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Actividad
Tarea 1
Tarea 2
Tarea n
Actividad
Actividad
SUBPROCESO
Actividad
Actividad
Actividad
Tarea 1
Tarea 2
Control
Mecanismos
(actividades de evaluacin)
Indicadores
y KPI
Recursos
Roles
Propietario
del proceso
Objetivos
del proceso
Herramientas
Salidas
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
61
Segn indica la Norma UNE-EN ISO 9001, una ventaja del enfoque basado en
procesos es el control continuo que proporciona sobre los vnculos entre los procesos individuales dentro del sistema de procesos, as como sobre su combinacin e
interaccin. Un enfoque de este tipo, cuando se utiliza dentro de un sistema de gestin de la calidad, enfatiza la importancia de:
a) La comprensin y el cumplimiento de los requisitos.
b) La necesidad de considerar los procesos en trminos que aporten valor.
c) La obtencin de resultados del desempeo y eficacia del proceso.
d) La mejora continua de los procesos con base en mediciones objetivas.
Introduciendo los procesos en la forma de trabajar, no slo se mejorar el servicio
prestado, sino que adems, se incrementar la satisfaccin del equipo al realizar un
trabajo ms eficaz y organizado.
Normalmente, un proceso est formado por unas entradas, unas actividades y unos
resultados o salidas. Las actividades estn formadas por tareas y controladas
mediante indicadores, que se correspondern a los objetivos definidos del proceso y
ser el rol del propietario del proceso quien asuma las responsabilidades del control.
De forma complementaria, existen unos mecanismos que posibilitan que las actividades se realicen (recursos, roles participantes y herramientas necesarias). Por otra
parte, las actividades pueden agruparse en una serie de subprocesos, para hacer ms
entendible el proceso principal. Un proceso puede necesitar instrumentos, herramientas, formularios o mecanismos para llevarse a cabo, as como, una descripcin
detallada de cada actividad (procedimientos e instrucciones de trabajo).
En el mundo de los procesos, y por lo tanto en ISO/IEC 20000, es muy importante tener presente los principios bsicos que se deben respetar en la definicin y
ejecucin de un proceso para que ste sea efectivo:
Un proceso tiene clientes (internos o externos).
Un proceso tiene un objetivo comprometido.
Un proceso tiene un responsable nico.
Sus actividades cruzan fronteras entre las diferentes unidades de la organizacin.
Un proceso utiliza recursos, su actividad la realizan unos roles y suelen
requerir herramientas que los soporten.
Las Normas ISO/IEC 20000 definen una capa de procesos de TI que aglutina las
principales actividades para que los servicios se provean y presten segn las exigencias
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
62
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
del negocio. Esta capa de procesos se utiliza por la organizacin tradicional de TI,
garantizado que estas actividades esenciales se ejecuten de la forma definida. Para
facilitar el trabajo es necesario implantar un conjunto de herramientas de soporte a
la ejecucin de los procesos (capa de herramientas). Por tanto, la implantacin de
las normas no requiere necesariamente cambiar la estructura organizativa. Aunque
s ser necesaria la definicin detallada de los procesos y de los roles o funciones
especficos, que garanticen que son efectivos. En la figura 2.6 se representan la capa
de procesos ISO/IEC 20000 y la capa de herramientas como instrumentos al servicio de la organizacin de TI y de sus equipos de trabajo.
Fuente: Telefnica.
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
63
CIO
F1
F2
F3
P1
P2
P3
F: funciones o departamentos
P: procesos
Fuente: Gartner.
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
64
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
de cmo aplicar una parte de un proceso. Desarrolla las actividades y tareas que forman un proceso, e incluye una descripcin detallada de cada una de ellas.
Un proceso describe qu hay que hacer y un procedimiento cmo hay que
hacerlo en una situacin concreta. Por ejemplo, un proceso puede establecer que
hay que registrar el incidente en la herramienta de gestin de incidentes, y el procedimiento indicar los pasos a dar en la herramienta concreta de gestin de incidentes, qu hay que poner en cada campo, etc.
La mayor parte de las organizaciones suele completar sus procedimientos con instrucciones de trabajo complementarias, ms detalladas que los procedimientos,
cuyo objetivo es describir, hasta los ltimos detalles necesarios, las tareas descritas
en los procedimientos. Una instruccin de trabajo puede elaborarse en el caso de
que haga falta ms detalle en un procedimiento, por ejemplo, cuando roles distintos tienen instrucciones de trabajo distintas dentro del mismo procedimiento.
Por tanto, procesos, procedimientos e instrucciones de trabajo tienen como finalidad primordial ser utilizadas por el personal en la realizacin diaria de su trabajo.
En el caso concreto de los procesos de gestin de TI, todos los procesos se deben
formalizar, pero la experiencia demuestra que no en todos ellos es productivo bajar
al nivel de detalle de procedimiento o de instruccin de trabajo. En general, ser
til poner nfasis en detallar aquellos procesos en los que:
Se ve involucrado mucho personal.
Se deben engranar un conjunto de actividades, subprocesos y tareas complejos.
Es necesaria una automatizacin minuciosa.
Tpicamente, los procesos que tienen un flujo extenso, y que convendr detallar,
son: la gestin del incidente (y la gestin de la peticin del usuario), la gestin del
cambio, la gestin de la entrega y la gestin de suministradores. Ms all del
alcance de estas normas, ser necesario bajar a nivel del procedimiento en: la operacin, la gestin del evento o la gestin del acceso. En el resto de procesos, para la
mayora de las organizaciones, detallarlos no aportar un valor adicional.
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
65
b) para negocios que requieren de un enfoque consistente por parte de todos sus
proveedores del servicio en la cadena de suministro;
c) por proveedores del servicio para medir y comparar su gestin del servicio
de TI;
d) como base de una evaluacin independiente;
e) por una organizacin que necesite demostrar su capacidad para proveer
servicios que cumplan con los requisitos de los clientes; y
f) por una organizacin que busque mejorar los servicios, mediante la aplicacin efectiva de los procesos para monitorizar y mejorar la calidad de los
servicios.
En relacin a la estructura y tamao del proveedor de TI, debemos indicar que los
requisitos de la norma son totalmente independientes de la estructura de la organizacin o tamao de la misma. Aunque, cuanto mayor sea el tamao del proveedor
o la complejidad de los servicios, mayores beneficios se podrn obtener de la aplicacin de la norma. Un proveedor de servicio debe utilizar la organizacin que le
sea ms apropiada, segn su negocio, su cultura y su estrategia.
Para entender claramente el alcance de estas normas se debe comprender el significado que se otorga a dos conceptos: servicio de TI y proveedor de TI.
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
66
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
67
El correo electrnico.
El sitio web de la empresa.
El portal web interno de la empresa (la intranet).
El servicio de ERP (Enterprise Resource Planning) de una empresa.
El servicio de alojamiento de aplicaciones o portales web.
El servicio de alojamiento de servidores ofrecido por un Internet Center.
El servicio de facturacin.
El servicio de gestin del conocimiento.
El servicio de colaboracin.
En la figura 2.8 se muestra la visin de TI como un proveedor de servicios al negocio.
Servicios de TI
Negocio
Acceso en
teletrabajo
Gestin
de clientes
Gestin
de ventas
Gestin de
facturacin
Gestin de
actuaciones
Correo
electrnico
Provisin y
soporte del
puesto de trabajo
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
68
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
De forma clara, estas normas se refieren a los servicios que se prestan utilizando
como base los sistemas informticos. Esta concepcin de servicio no quiere decir
que no se puedan aplicar las directrices y recomendaciones a otro tipo, pero su aplicacin habr que matizarla e interpretarla, como es el caso de los servicios de las
operadoras de telecomunicaciones. Pero hay otros casos que no estn en el alcance,
aunque tambin se denominan servicios, como por ejemplo: la prestacin de servicios de consultora, la venta de equipamiento informtico, etc. En la figura 2.9 se
muestra la simbologa utilizada en el libro para estos dos omnipresentes conceptos.
Servicio de TI
Proveedor de TI
Por otra parte, es importante tener en cuenta el punto en el que se est situado en
la cadena de provisin para determinar si tal o cual actividad es un servicio ofrecido, o bien, es un servicio contratado. Un rea interna de una empresa ofrece servicios a los usuarios de la misma, pero a su vez, contrata servicios al mercado (el
centro de tele-atencin, el alojamiento de sus equipos en un centro de proceso de
datos de un tercero, los servicios de telecomunicaciones, etc.). As, en la posicin
del rea interna de TI, sta ofrece servicios a sus usuarios y clientes, y contrata otros
servicios a los proveedores externos o internos.
Bajo la perspectiva de estas normas, el trmino servicio se utiliza para referirse al
prestado por la organizacin a la que se aplica la norma.
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
Procesos
de resolucin
69
En este mbito, el trmino proveedor del servicio de TI se puede aplicar a cualquier unidad, departamento, organizacin o empresa que preste servicios de TI,
con independencia de que haya o no transaccin econmica, o del tamao de la
organizacin. Algunos ejemplos de proveedor de TI pueden ser:
Los departamentos de sistemas de informacin o departamentos de informtica internos de las empresas.
Empresas que ofrezcan servicios de TI al mercado.
A partir de este punto, a lo largo del libro se utilizar el trmino proveedor de TI
como sinnimo de organizacin de TI o departamento informtico, dotndole del
mismo alcance que en las normas.
El papel del proveedor de TI aparece levemente descrito en las generalidades del
apartado 7.1 de la norma, cuando tratan las relaciones con el negocio.
UNE-ISO/IEC 20000-2
Esta norma se dirige hacia el rol de un
proveedor del servicio, el cual cumple
un papel entre los suministradores, que
La figura 2.10 muestra una representacin simplificada de la posicin de la organizacin o proveedor de servicios de TI entre el suministrador y el negocio. Tambin se
aprecia la diferencia entre los clientes de TI y los clientes del negocio en el mercado.
Servicio de TI
Cliente de TI
Suministrador
Relacin
Proveedor de TI
(organizacin TI)
Relacin
Negocio
Cliente del
negocio
Pymes
Grandes
clientes
Consumo
Procesos
de relaciones
70
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
71
Parece que los autores de ISO/IEC 20000 e ITIL (v2 y v3) suelen coincidir en
cules son los procesos bsicos para la gestin de las TI. As, estos diferentes
marcos de referencia tienen un ncleo con procesos bastante similares (incidente, problema, configuracin, cambio, entrega, nivel de servicio, disponibilidad, continuidad, capacidad y financiero). En cambio, a la hora de realizar la
agrupacin conceptual de estos procesos, es donde los autores han dejado volar
su creatividad, proponiendo en sus modelos agrupaciones dispares. Por suerte,
estas diferentes agrupaciones son conceptuales y no tienen reflejo en el contenido de los procesos que se han de aplicar. En el caso de las Normas ISO/IEC
20000, la agrupacin tiene su lgica y es razonable (agrupaciones: provisin del
servicio, control, entrega, resolucin y relaciones), pero distinta a lo establecido
en ITIL v2 (libros: soporte de servicio, provisin de servicio, gestin infraestructuras, etc.) y distinto ITIL v3 (libros: estrategia, diseo, transicin, operacin y mejora continua). As, se agrupan bajo la provisin de servicio procesos
distintos a los contemplados en ITIL v2 en su libro de provisin de servicio. En
ITIL v3 la agrupacin se hace en funcin del ciclo de vida del servicio. Con
independencia de la agrupacin de procesos que se realice, individualmente hay
un ncleo comn (gestin del incidente, gestin del problema, gestin de la
configuracin, etc.).
Los primeros apartados en estas normas estn centrados en inculcar en TI las enseanzas aprendidas implantando y mejorando sistemas de gestin en todo tipo de
organizaciones. Por ello, los captulos 3 y 4 se centran en: el sistema de gestin TI
y en la planificacin e implementacin de la gestin del servicio.
Prcticamente, el resto de estas normas se dedica a la definicin de los procesos,
agrupados en: Planificacin e implementacin de servicios, nuevos o modificados;
Procesos de provisin de servicio; Procesos de relacin; Procesos de resolucin;
Procesos de control y Proceso de entrega.
En el esquema de la figura 2.11 se muestra el modelo bsico utilizado en este
libro y en las normas para representar todo el alcance de la gestin del servicio de
TI. En el rectngulo exterior se sita el sistema de gestin del servicio de TI (que
se explica en el captulo 3). Hacia el interior del rectngulo aparece de forma
inmediata las actividades de implantacin del sistema de gestin (tratadas en el
captulo 4). Una vez establecido el sistema que gestionar el servicio, su implantacin y mejora, se incorporan los 14 procesos establecidos en ISO/IEC 20000
(tratados en los captulos de 5 al 10). Esta figura se utilizar de ndice grfico en
todo el libro.
Las Normas ISO/IEC 20000 se componen de un conjunto de procesos que interactan entre s y que son necesarios para la prestacin de un servicio con el objetivo de normalizar la gestin de los sistemas de informacin mediante procesos
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
72
Captulo 3
Captulo 4
Captulo 5
Captulo 6
Captulo 9
6.3 Gestin de la
continuidad y
disponibilidad
del servicio
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
Captulo 8
Captulo 7
Captulo 10
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
73
del servicio de TI (procesos, roles, relaciones, recursos, herramientas, cambio cultural, etc.). Tambin incorpora el ciclo de mejora continua, basado en el modelo
PDCA, internacionalmente reconocido y aceptado por ser, entre otros, el modelo
de gestin aplicado para calidad y para la gestin ambiental. La metodologa conocida como PDCA puede describirse brevemente como:
P Planificar: establecer los objetivos y procesos necesarios para conseguir
resultados de acuerdo con los requisitos del cliente y las polticas de la organizacin.
D Hacer: implementar los procesos.
C Verificar: realizar el seguimiento y la medicin de los procesos y los productos respecto a las polticas, los objetivos y los requisitos para el producto,
e informar sobre los resultados.
A Actuar: tomar acciones para mejorar continuamente el desempeo de
los procesos. Sirve de entrada a planificar.
En las normas, para cada fase del ciclo PDCA se establecen los requisitos y recomendaciones a seguir por todo proveedor de TI.
Planificacin e implementacin de nuevos servicios o de servicios modificados. Describe el proceso de creacin de un servicio nuevo o de realizar modificaciones a los servicios existentes, para que se puedan gestionar y entregar con los
costes, calidad y plazos acordados con los clientes.
Procesos de provisin de servicio. Regulan las actividades necesarias para que los
servicios cumplan los cometidos pactados con el negocio. Cobran especial relevancia frente a la necesidad de prestar servicios de TI de calidad, alineados a los objetivos del negocio, que cubran las necesidades actuales y que deben ser capaces de
evolucionar rpidamente para cubrir las necesidades futuras. En estas normas, la
provisin de servicio aglutina 6 procesos:
Proceso de gestin de nivel de servicio.
Proceso de generacin de informes del servicio.
Proceso de gestin de la continuidad y disponibilidad del servicio.
Proceso de elaboracin de presupuesto y contabilidad de los servicios de TI.
Proceso de gestin de la capacidad.
Proceso de gestin de seguridad de la informacin.
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
74
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
75
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
76
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ISO/IEC 20000 divide de una forma ms racional las funciones de la gestin de nivel de servicio en 4 o 5 procesos:
1. La gestin de nivel de servicio, que en estas normas trata todo lo relativo
a los servicios desde la perspectiva interna de TI, como por ejemplo la
definicin, el cumplimiento y seguimiento de los acuerdos de nivel de
servicio (SLA), la gestin del catlogo de servicios y el plan de mejora
de los servicios.
2. La generacin de informes de servicio aparece como un proceso nuevo.
En ITIL se hace referencia a los informes del servicio pero como parte de
cada proceso (por ejemplo la gestin de la disponibilidad) y no se trata
de un proceso separado.
3. El proceso de relaciones con el negocio (el definido en estas normas se
corresponde nicamente a las relaciones con el cliente, que se llevan a
cabo en la gestin de nivel de servicio de ITIL).
4. El proceso de planificacin e implementacin de nuevos servicios o de
servicios modificados.
5. Incluso en la v2 se llega a asignar la gestin de los contratos con los suministradores a este proceso en lo relativo al respaldo de los niveles de servicio pactados con el cliente. En la v3 como en ISO 20000 aparece un proceso nuevo especfico para la gestin de suministradores.
En ISO/IEC 20000 los procesos de la continuidad del servicio y la gestin
de la disponibilidad se unifican, pues los requisitos entre ambos estn bastante relacionados. En ITIL, la continuidad del servicio y la gestin de la disponibilidad son procesos separados.
En relacin a la gestin econmica, ISO/IEC 20000 trata nicamente la realizacin de presupuestos y contabilidad analtica de costes en TI. El cobro
por el servicio (charging), incluido en ITIL, no es aplicable para algunas
organizaciones y por ello no se contempla en estas normas.
Las Normas ISO/IEC 20000 incluyen los requisitos para la gestin de la seguridad de la informacin, haciendo referencia a los requisitos de la Norma
ISO/IEC 27001 sobre gestin de la seguridad de la informacin. ITIL v2
incluye un libro sobre la de gestin de la seguridad, con una alineacin relativa
con la Norma ISO/IEC 27001. ITIL v3 se trata la seguridad como un proceso.
La gestin de la capacidad en ISO/IEC 20000 no hace ninguna distincin
entre diversos tipos de capacidad. ITIL establece una distincin entre la
capacidad del recurso, la del servicio y la del negocio.
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
rea / Proceso
20000
v2
v3
88%
75%
36%
36%
33%
33%
Planificacin e implementacin de la
gestin del servicio
S (1)
Gestin de la capacidad
Gestin de suministradores
(2)
Gestin de la configuracin
Libros ITIL v3
77
(1)
En ITIL v3 la creacin de nuevos servicios est embebida en el concepto de ciclo de vida del servicio.
(2)
En ITIL v2 la gestin de suministradores se trata en el libro ITIL Business Perspective publicado por OGC.
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
78
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Captulo 3
El Sistema de Gestin
del Servicio de TI (SGSTI)
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
SGSTI
81
El sistema de gestin es el conjunto de polticas, procesos, procedimientos, instrucciones de trabajo y recursos (humanos y materiales) necesarios para la correcta gestin del servicio de TI. Se podra decir que el sistema de gestin es la ley hasta su
mnimo detalle a implantar.
El objetivo de este sistema de gestin es conseguir que la provisin y prestacin de
los servicios de TI se realicen de una manera eficaz. Para ello se dota de unas polticas y un conjunto procesos, procedimientos y normas de trabajo que fijan el marco
de trabajo para toda la organizacin del proveedor de servicios de TI. Todo ello
segn lo establecido por las Normas ISO/IEC 20000.
A la hora de disear e implantar un sistema de gestin de servicios de TI, estas normas estructuran las directrices entorno a tres ejes bsicos:
Responsabilidades de la direccin. Su finalidad es conseguir el compromiso y la participacin activa de todos los miembros de la direccin de la
organizacin durante toda la vida del sistema de gestin.
Requisitos de la documentacin. Establece los criterios que deben seguirse
para ejecutar los procesos y evidenciar que los trabajos se realizan siguiendo
dichos criterios.
Competencia, concienciacin y formacin. Se centra en la adecuada gestin de los recursos humanos, necesaria para la implantacin de los procesos. Para ello se elabora la definicin de los perfiles, la asignacin de responsabilidades y la gestin de la formacin. Todas estas actividades se realizan
siempre teniendo en cuenta el principio de comunicacin/motivacin.
SGSTI
83
84
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El trmino sistema de gestin proviene del ingls management system que representa un modo o forma de gestionar, o una manera formalizada de realizar las
cosas. As, IT management system o el sistema de gestin de TI correspondera
a una forma normalizada para gestionar los trabajos que se realizan en TI, se
corresponde a la forma de hacer, trabajar y gestionar. La abreviatura que se ha acuado para el sistema de gestin de TI es SGSTI (Sistema de Gestin del Servicio
de TI). Es frecuente encontrar otras siglas relacionadas con este concepto, como
son: SGC (Sistema de Gestin de la Calidad), SGS (Sistema de Gestin de Servicios) o SMS (Service Management System).
Se entiende el sistema de gestin de TI como el propio modelo de hacer o trabajar
en TI. Lo que cotidianamente se expresa como vamos a implantar ITIL, vamos a
implantar ISO/IEC 20000, hay que hacer un proyecto para mejorar los servicios
de TI, esta es nuestra forma de trabajar en esta casa, el departamento de informtica se gestiona en base a estos procedimientos, etc. todas ellas son maneras de
expresarse en TI y expresan de alguna forma el concepto de sistema de gestin
de TI utilizado en los mbitos de calidad. Por tanto, siendo como es la esencia de
ISO/IEC 20000 o ITIL, este sistema se define, se implanta y se mejora.
Quiz lo que ms despista a los profanos es el trmino sistema pues, inconscientemente, parece que induce a pensar en una herramienta o algo parecido, pero no
es slo esto. El sistema de gestin recoge la nueva forma de trabajar, de relacionarse
y de prestar servicios en TI. Si este sistema se ha creado siguiendo los principios,
los procesos y los requerimientos especficos para TI establecidos en las Normas
ISO/IEC 20000, habremos constituido el sistema de gestin de TI o SGSTI.
Desde la perspectiva de los elementos que lo componen, el sistema de gestin se
definira como: el conjunto de polticas, procesos, procedimientos e instrucciones
de trabajo, necesarios para la correcta gestin del servicio de TI.
Desde una perspectiva integral del proveedor de TI, el sistema de gestin se vera
como: el conjunto de elementos interrelacionados de una organizacin de tecnologas de la informacin por los cuales se lleva a cabo de forma normalizada su actividad de servicio en la bsqueda de la satisfaccin de sus clientes. Adems, el concepto de sistema de gestin conlleva que las actividades se normalicen en procesos
y que todos los procesos trabajen conjuntamente de una manera coordinada y con
un objetivo comn, evitndose pasar de una estructura de departamentos estancos
a otra de procesos inconexos.
Con independencia de la definicin utilizada, el objetivo y alcance del sistema de
gestin es el mismo.
A partir de ahora, el mundo tcnico debe asumir como parte de su da a da este nuevo
concepto de sistema de gestin de TI o SGSTI, que equivale a gestionar el servicio
SGSTI
85
Fuente: Telefnica.
Tambin hay que entender que estas normas y marcos de referencia del mercado
(ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no son
utilizables, como tal, directamente en la empresa. Requieren concretarse en procesos y procedimientos, que son los instrumentos sobre los que se articula la gestin
de la actividad. Adems, para que sean de verdad tiles, la aplicacin de todos estos
estndares debe adaptarse a las particularidades de cada empresa (tamao, negocio,
cultura, estrategia, etc.).
Por ello, todo proveedor u organizacin de TI debe crear su propio sistema de gestin que tenga en cuenta cmo adaptar las normas a todas las particularidades propias de cada empresa.
86
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Qu aporta:
Formaliza en la organizacin la
implantacin de la gestin del servicio.
Implantacin de lo general
(estrategia y polticas) a lo particular
(procedimientos).
Medio para alcanzar la eficiencia
y la calidad deseadas.
Permite la alineacin con los sistemas
de gestin de la calidad (ISO 9001)
de la empresa.
Genera un sistema documental en el
que se recoge formalmente toda la
informacin necesaria para soportar
el modelo de gestin.
Impone rigor en la definicin, en
el seguimiento y en la captura de
registros y evidencias.
Imprescindible para la certificacin
ISO/IEC 20000.
El sistema de gestin es un medio para la transformacin de la organizacin. Adems de las estrategias y polticas de mejora, recoge y formaliza todos los documentos y registros necesarios. Los requisitos para los sistemas de gestin generales de
la empresa se definen en la Norma UNE-EN ISO 9001. Tener implantado un sistema de gestin, segn esta norma, ayudara enormemente en la implantacin de
ISO/IEC 20000. Aunque las Normas ISO/IEC 20000 contienen todos los requerimientos para montar un sistema de gestin propio, sin tener que apoyarse en otra
norma, el Sistema de Gestin del Servicio de TI (SGSTI) debera estar integrado
en el modelo general de gestin de la empresa acorde con ISO 9001, si existiera
(vase la figura 3.4).
SGSTI
Cultura de
la empresa
Buenas prcticas
de la empresa
Objetivos del
negocio y de TI
87
Capacidad
y recursos
SG de otras reas
de la empresa
SGSTI
Calidad y
mejora continua
Gestin servicio
y su prestacin
ITIL
ISO 9001
ISO 20000
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
88
Implicacin
de la direccin
AR PARA
S LDERES
SGSTI
Documentacin
Cambio cultural
Responsabilidades de la direccin
La mejora de los servicios de TI pasa por implantar los procesos que forman el sistema de gestin de TI en todo su detalle. Este enfoque en torno a los procesos va a
suponer la introduccin de cambios sustanciales, tanto desde el punto de vista cultural en la forma de trabajar de las personas como, en algunos casos, profundos
cambios organizativos. Ante esta transformacin de TI (o del proveedor de servicio de TI en terminologa de la norma) resulta imprescindible contar con el apoyo,
compromiso y participacin de la alta direccin de la empresa y de TI, como dinamizadora esencial de todo este proceso.
En lneas generales, las empresas tienen sus grupos internos (calidad, procesos, de
mejora, explotacin, etc.) que frecuentemente inician por si mismas las actividades
SGSTI
89
UNE-ISO/IEC 20000-1
La alta direccin debe proveer, a travs del liderazgo y de acciones, evidencias de
su compromiso para desarrollar, implementar y mejorar sus capacidades de gestin
del servicio dentro del contexto de los requisitos de negocio de la organizacin y de
los requisitos de los clientes.
La direccin debe:
a) establecer la poltica de la gestin del servicio, sus objetivos y planes;
b) comunicar la importancia de cumplir con los objetivos de gestin del servicio
y la necesidad de la mejora continua;
c) asegurar que los requisitos del cliente se determinan y se cumplen con el objetivo de mejorar la satisfaccin del cliente;
d) designar un miembro de la direccin como responsable para la coordinacin
y gestin de todos los servicios;
e) determinar y proveer recursos para planificar, implementar, monitorizar, revisar
y mejorar la provisin y la gestin de los servicios, por ejemplo, contratando el
personal apropiado o gestionando la rotacin de personal;
90
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
f) gestionar los riesgos para la organizacin de la gestin del servicio y para los
servicios; y
g) llevar a cabo revisiones de la gestin del servicio, a intervalos planificados,
para asegurar la continuidad de su idoneidad, su adecuacin y su efectividad.
UNE-ISO/IEC 20000-2
El papel de la direccin para asegurar
que las mejores prcticas son adoptadas
y mantenidas en los procesos es fundamental para cualquier proveedor del
servicio que quiera cumplir con los requisitos de la Norma ISO/IEC 20000-1.
Para asegurar el compromiso de la
direccin se debera identificar un responsable a nivel de alta direccin como
responsable de los planes de gestin del
servicio. Este responsable senior debera responsabilizarse de la entrega a
SGSTI
91
Requisitos de la documentacin
Para que el sistema de gestin sea eficaz es necesario dar respuesta a dos aspectos
clave. El primero de ellos es definir y documentar adecuadamente las actividades,
funciones y responsabilidades que deben desempearse. El segundo es contar con
la participacin activa y efectiva del personal implicado en el servicio.
El primer paso de cara a implantar un sistema de gestin es crear una estructura
documental. Permite llevar registro y control de todas las actividades realizadas,
evaluar la eficiencia del sistema y servir para la toma de decisiones sobre acciones
correctivas o preventivas. Todas las actividades desarrolladas deben documentarse.
A este respecto estas normas establecen:
UNE-ISO/IEC 20000-1
Los proveedores del servicio deben facilitar documentos y registros para asegurar
una planificacin, operacin y control de la gestin del servicio efectivas. Esto debe
incluir:
a) polticas y planes de la gestin del servicio documentados;
b) acuerdos del nivel de servicio documentados;
c) procesos y procedimientos documentados requeridos por esta norma; y
d) registros requeridos por esta norma.
Deben establecerse los procedimientos y las responsabilidades para la creacin,
revisin, aprobacin, mantenimiento, eliminacin y control de los diferentes tipos de
documentos y registros.
Nota: La documentacin puede estar en cualquier forma o tipo de soporte.
Los soportes en los que est recogida la documentacin deben ser los adecuados
para permitir un normal funcionamiento del sistema. Por ejemplo, si nuestra organizacin recibe mensualmente 1.000 incidentes, no pueden quedar registrados nicamente en un cuaderno. Debern registrarse en una herramienta informtica
dimensionada de acuerdo a las necesidades del proceso y de la organizacin.
La documentacin del sistema contribuye a:
Lograr la conformidad con los requisitos del cliente y la mejora de la calidad.
Proveer la formacin adecuada.
92
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La repetibilidad y la trazabilidad.
Proporcionar evidencias objetivas.
Evaluar la eficacia y la adecuacin continua del sistema de gestin de servicios de TI.
Para gestionar de una forma eficaz la documentacin del sistema es necesario elaborar un procedimiento que diga cmo y quin crea los documentos, los revisa,
aprueba, mantiene y elimina.
SGSTI
93
Fuente: Telefnica.
94
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
SGSTI
95
Figura 3.7. Ejemplo del ndice del documento para la definicin de un proceso
96
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Introduccin.
2.
Objeto.
3.
Campo de aplicacin.
4.
Documentos relacionados.
5.
Definiciones.
6.
Pautas de implantacin.
7.
8.
Tabla de prioridades.
9.
SGSTI
97
Las evidencias son cualquier documento o prueba que proporcione una demostracin objetiva del cumplimiento de las normas por el proveedor de TI. Las evidencias se obtienen de los registros y de cualquier otra forma que permita probar que
se cumplen los requisitos (por ejemplo, un documento, una comprobacin, etc.).
En relacin a las evidencias, ISO/IEC 20000-2 indica:
UNE-ISO/IEC 20000-2
El responsable senior debera asegurar
que las evidencias necesarias estn disponibles para una auditoria de las polticas, planificaciones y procedimientos
de la gestin del servicio y de cualquier
actividad relacionada con ellos.
Gran parte de las evidencias de los planes
y operaciones de la gestin del servicio se
deberan encontrar en forma de documentos, los cuales pueden ser de cualquier tipo y estar en cualquier formato o
soporte que sea adecuado para su fin.
Los siguientes documentos son considerados normalmente como vlidos para
servir de evidencias de la planificacin
de la gestin del servicio:
a) polticas y planes;
b) documentacin del servicio;
c) procedimientos;
d) procesos;
e) registros de control de procesos.
Debera existir un proceso para la creacin y gestin de los documentos para
ayudar a asegurar que se satisfacen las
caractersticas descritas.
La documentacin se debera proteger
de daos, debidos, por ejemplo, a
escasas condiciones del entorno donde
se encuentran y a desastres en los sistemas informticos.
Los registros estn ligados al control de la actividad de TI, mientras que las evidencias se utilizan directamente para la certificacin y las auditoras.
98
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
la forma de trabajar de las personas que componen TI y la forma en que estas sienten
cul es su misin en la organizacin. El cambio se orienta hacia una sistemtica de
trabajo estructurada, centrada en los clientes, basada en procesos y articulada en
torno a servicios.
Para que esta transformacin se pueda llevar a cabo, hay que poner la mxima atencin y esfuerzo en el equipo humano que est involucrado en los servicios. Pues es
este conjunto de personas el que debe evolucionar sus formas de hacer hacia los
esquemas estandarizados por el mercado.
Por lo tanto, para conseguir una eficaz implantacin del sistema de gestin, es
necesario llevar a cabo la adecuada gestin de los recursos humanos. Para ello,
debemos responder a tres preguntas:
Cules son las necesidades en cuanto a roles y funciones que requiere el sistema de gestin?
Qu perfiles existen dentro la organizacin?
Cmo se va a cubrir el posible desfase entre ambos aspectos?
Para responder a estas preguntas ISO/IEC 20000-1 establece los siguientes requisitos:
UNE-ISO/IEC 20000-1
Se deben definir y mantener todos los roles y responsabilidades de la gestin del
servicio, junto con las competencias que sean requeridas para su ejecucin efectiva.
Las competencias y necesidades de formacin del personal deben revisarse y gestionarse para permitir al personal llevar a cabo sus roles de forma efectiva.
La alta direccin debe asegurar que sus empleados son conscientes de la relevancia
e importancia de sus actividades y de cmo deben contribuir a la consecucin de
los objetivos de la gestin del servicio.
SGSTI
99
UNE-ISO/IEC 20000-2
El personal que realiza el trabajo relativo
a la gestin del servicio debera ser competente para esta funcin gracias a la
educacin recibida, a la formacin, las
habilidades y la experiencia adecuadas.
El proveedor del servicio debera:
a) determinar las aptitudes necesarias para cada rol en la gestin
del servicio;
b) asegurar que el personal es consciente de la relevancia e importancia de sus actividades dentro
Como no poda ser de otra forma, ISO/IEC 20000-2 hace especial hincapi en
el desarrollo profesional y de las competencias de las personas que forman parte
de TI:
UNE-ISO/IEC 20000-2
Desarrollo profesional. El proveedor
del servicio debera desarrollar y mejorar las competencias profesionales de
su fuerza de trabajo. Entre las medidas
tomadas para conseguir esto, el proveedor del servicio debera incluir lo
siguiente:
a) contratacin: con el objetivo de
comprobar la validez de los detalles de los candidatos al puesto
de trabajo (incluyendo su cualificacin profesional) y de identificar
la fortalezas, debilidades y habilidades potenciales de los candidatos frente a una descripcin/perfil
del puesto de trabajo, frente a los
objetivos de la gestin del servicio
100
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
SGSTI
101
102
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
SGSTI
Cultura de
la empresa
Buenas prcticas
de la empresa
Objetivos del
negocio y de TI
103
Capacidad
y recursos
Gobierno
Calidad y
mejora continua
Gobierno
TI
ISO 9001
ISO 9004
Gestin y operacin
del servicio de TI
Seguridad
Desarrollo de SW
SGSI
Madurez +
SG DES.
Gestin servicio
y su prestacin
Seguridad
Desarrollo SW
COBIT
ITIL
ISO 17799
SPICE ISO
15504
ISO 38500
ISO/IEC 20000
ISO 27001
CMMI for
DEV
SG GOB
SGSTI
ISO 90003
Cultura de
la empresa
Buenas prcticas
de la empresa
Objetivos del
negocio y de TI
Capacidad
y recursos
Calidad y
mejora continua
Procesos propios
del negocio
ISO 9001
Industria
Medio
ambiente
Gobierno
TI
ISO 9004
Banca
ISO 14001
COBIT
EFQM
Telcos:
eTOM
UNE
150004 EX
ISO 38500
6 Sigma Lean
Gestin servicio
y su prestacin
Desarrollo
SW
CMMI
Services
SPICE
Getin de
proyectos
Seguridad
ISO 17799
ISO 9003
PMBOK
ISO 27001
ITIL v2
ISO 12007
Prince 2
ISO/IEC
20000
ISO 29382
PAS 77
People CMMI
ITIL v3
CMMI
104
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Resumen
La aportacin principal de un sistema de gestin es el orden y la estandarizacin.
As, toda la organizacin trabaja de la misma forma y con el mismo idioma. Todo
ello contribuye en la consecucin del objetivo que tiene este sistema de gestin:
hacer posible una efectiva gestin e implantacin de todos los servicios de TI.
El objetivo de este sistema de gestin es conseguir que la provisin y prestacin de
los servicios de TI se realice de una manera eficaz y eficiente.
En la figura 3.11 se recoge una visin completa del SGSTI y su relacin con el da
a da del proveedor de TI.
Fuente: Telefnica.
SGSTI
105
En la figura 3.12 se muestra a modo de resumen un ejemplo de la estructura documental de un sistema de gestin de TI.
Fuente: Telefnica.
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
106
Beneficios
Implantar la gestin de los servicios de TI, utilizando los conceptos y rigor impuestos por el sistema de gestin, aporta importantes ventajas a la organizacin de TI:
Formaliza en la organizacin la implantacin de la gestin del servicio.
Propone una aproximacin estructurada de lo general (estrategia y polticas)
a lo particular (procedimientos).
Da soporte a una implantacin por etapas, extendida en el tiempo.
Impone rigor en la definicin, en el seguimiento y en la captura de registros
y evidencias.
Permite la alineacin con los sistemas de gestin de la calidad (ISO 9001)
de la empresa.
Genera un sistema documental en el que se recoge formalmente toda la
informacin necesaria para soportar el modelo de gestin.
La gestin documental que lo soporta es una pieza imprescindible para obtener la certificacin ISO/IEC 20000.
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Sabe qu sistemas de gestin hay implantados en su empresa u
organizacin?
Qu aporta un sistema de gestin a las organizaciones de TI?
Cul es la diferencia entre el Sistema de Gestin del Servicio de TI
(SGSTI) y el modelo de procesos ISO/IEC 20000?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
Captulo 4
Planificacin e
implementacin de
la gestin del servicio
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
PDCA
4. Planificacin e implementacin de la gestin del servicio
109
PDCA
4. Planificacin e implementacin de la gestin del servicio
111
Las Normas ISO/IEC 20000, al igual que muchas otras normas internacionales,
establecen que la implantacin de los procesos para la gestin del servicio se estructure en las cuatro etapas identificadas por las siglas PDCA, muy utilizadas en gestin
de la calidad (vase la figura 4.1). Estas normas se centran en definir los requisitos y
recomendaciones a tener en cuenta para la implantacin de los procesos establecidos
en los sistemas de gestin, ordenados en cada una de estas 4 etapas del PDCA.
El ciclo PDCA representa una forma de organizar los cambios o las acciones de
mejora en las organizaciones. Es una estructuracin sencilla en 4 pasos y viene a
recordar que, adems de planificar e implementar los cambios, hay que comprobar
el xito de las acciones, y si hay algo que corregir o prevenir (que siempre lo habr)
hay que actuar para subsanarlo. La gran importancia de este ciclo sencillo radica en
que se utiliza mucho en la normativa internacional de ISO y de otras instituciones
como la forma de implantar una actividad de mejora continua de cualquier aspecto
en cualquier organizacin. En la figura 4.2 se muestra este ciclo aplicado a la gestin del servicio de TI.
112
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
P
Planificar: planificar la
implementacin y la entrega
de la gestin del servicio.
Plan
Planificar
D
Hacer: implementar el plan
de gestin del servicio.
Do
Act
Hacer
Actuar
Check
A
Actuar: mejorar la eficacia y
la eficiencia de la entrega
y la gestin de los servicios.
Verificar
C
Verificar: monitorizar, medir
y revisar que los objetivos y
el plan de gestin del servicio
se estn alcanzando.
El concepto original del ciclo PDCA fue desarrollado por Walter Shewhart, estadstico pionero en el desarrollo de procesos de control estadstico en los Laborarios Bell
de EEUU durante la dcada de 1930. El ciclo de Shewhart fue adoptado y promocionado posteriormente por un discpulo suyo W. Edwards Deming en la dcada de
1950, difundindose como ciclo o rueda de Deming, quien propuso que los procesos
se deben analizar y medir para identificar las causas de las variaciones que originan
que los productos se desven de los requisitos de los clientes. Deming recomienda
que los procesos de negocio deben estar en un bucle realimentado de mejora continua para poder identificar y cambiar las partes del proceso que necesitan mejora.
Unos aos despus, en su carrera profesional, Deming modifica el concepto original de PDCA, cambiando check por study, pues segn l, estudiar describe
mejor la intencin inicial, apareciendo el nuevo ciclo Plan-Do-Study-Act (PDSA),
que ha tenido escasa aceptacin.
Posteriormente la metodologa de mejora continua Seis Sigma define un ciclo de
cinco etapas: Define-Measure-Analyze-Improve-Control (DMAIC) basado en el ciclo
de Deming.
Otros autores proponen anteponer al PDCA una etapa de anlisis y de decisin.
Para ello, utilizan la metodologa FOCUS (Find-Organize-Clarify-Understand-Start);
crendose un ciclo de nueve etapas denominado: FOCUS-PDCA.
PDCA
4. Planificacin e implementacin de la gestin del servicio
113
Dnde estamos
ahora?
Cmo mantenemos
lo alcanzado?
Dnde queremos
estar?
Cmo hacemos
para llegar?
Cmo comprobamos
que hemos alcanzado
los objetivos?
Fuente: Libro ITIL Planning to Implement Service Management publicado por OGC.
114
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA
4. Planificacin e implementacin de la gestin del servicio
115
Plan
Planificar
Ciclo PDCA
habitual
Do
Act
Hacer
Actuar
Check
Verificar
Verificar:
realizar un
anlisis o
evaluacin
inicial de la
organizacin
de TI
Actuar:
identificar
las acciones
que se deben
realizar.
Planificar:
planificar la
implementacin
y la entrega de
la gestin
del servicio.
Hacer:
implementar
el plan de
gestin del
servicio.
Verificar:
monitorizar, medir
y revisar que los
objetivos y el plan
de gestin del
servicio se estn
alcanzando.
Actuar:
mejorar la eficacia
y la eficiencia
de la entrega
y la gestin de
los servicios.
Figura 4.4. Inicio habitual en TI del ciclo PDCA por una fase inicial de Check y Act
116
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Nota: La metodologa conocida como Planificar-Hacer-Verificar-Actuar (PDCA, del ingls Plan-DoCheck-Act) puede aplicarse a todos los procesos. La metodologa PDCA puede describirse del
modo siguiente:
a) Planificar: Establecer los objetivos y los procesos necesarios para proporcionar resultados de acuerdo con las necesidades del cliente y con las polticas
de la empresa.
b) Hacer: Implementar los procesos.
c) Verificar: Monitorizar y medir los procesos y los servicios contrastndolos con
las polticas, los objetivos y los requisitos, e informar sobre los resultados.
d) Actuar: Emprender las acciones necesarias para mejorar continuamente el
rendimiento y comportamiento del proceso.
La Norma ISO/IEC 20000-1 presenta un esquema del PDCA como motor para la
implementacin y mejora de la gestin del servicio. En la figura 4.6, en la parte
izquierda se muestran las entradas a tener en cuenta en la gestin del servicio (requisitos del negocio, requisitos del cliente, solicitudes de servicios nuevos o modificaciones, interfaces con otros procesos, el centro de servicio al usuario, otros grupos o
reas, etc.). En la parte derecha se muestran las salidas de la actividad de gestin del
servicio (entrega de resultados al negocio, satisfaccin de las reas cliente, los servicios nuevos o renovados disponibles, satisfaccin del equipo de TI, etc.). En la parte
central se sita la propia gestin de TI, destacndose la necesaria implicacin de la
direccin y el motor PDCA para implantar y evolucionar la gestin de TI.
PDCA
4. Planificacin e implementacin de la gestin del servicio
117
cultural y organizacional: los procesos, las herramientas que los soportan y las personas. reas que, aunque no resultan nuevas en absoluto, no por ello dejan de ser
importantes para estructurar las actividades que se deben realizar. En la figura 4.7
se muestran estas tres reas alrededor del SGSTI y del ciclo PDCA utilizado para
implementarlo y mejorarlo.
118
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La experiencia muestra que estos marcos de mejores prcticas utilizan una visin
bastante homognea de los procesos y de su contenido, por lo que las diferencias
en la definicin de los mismos son pequeas. Es en los detalles de quin y con qu
se realizan (contenidas en los procedimientos) cuando empiezan a aparecer diferencias entre las organizaciones. Por este motivo se recomienda realizar con rapidez la
definicin de procesos y procedimientos, y tambin contar con el apoyo de una
consultora externa para ello.
La definicin de los procesos es una actividad importante en la implantacin y, adems, se suele concluir con bastante xito. Pero hay que recordar que no es la nica
faceta: los procesos hay que implantarlos para que el personal trabaje de acuerdo a
ellos; el apoyo de las herramientas de gestin es esencial para dar eficiencia y conducir el trabajo diario; y el cambio cultural de la organizacin es el factor ms difcil de llevar a cabo.
PDCA
4. Planificacin e implementacin de la gestin del servicio
119
de gestin de TI son esenciales para proporcionar la agilidad necesaria en la organizacin, para garantizar que se siguen las formas de hacer definidas, y para almacenar y retener el conocimiento. Adems, las herramientas permiten el seguimiento
de los procesos, su medicin y su mejora.
Las herramientas son uno de los factores crticos de xito en la implantacin de la
norma. Pero las herramientas tienen un coste nada despreciable: en licencias (aunque hay algunas gratuitas), en plataforma, en parametrizacin, en soporte, en formacin y en su evolucin. Dependiendo del tamao del proveedor de TI, de la
diversidad de los servicios y del volumen de su actividad, variar la complejidad de
las herramientas. La seleccin de las herramientas vendr marcada por los requisitos que impongan los procesos ya definidos. Tambin hay que considerar el aprovechamiento de las que estn en uso (siempre que cumplan las exigencias de los
procesos).
La seleccin y compra de un conjunto de herramientas de gestin no es una labor
trivial y, con frecuencia constituye un proyecto en s mismo. Hay que establecer: el
mbito que se debe cubrir, una extensa lista de requisitos que se deben exigir a las
herramientas, analizar la oferta del mercado, etc. Tambin, la propia implantacin
de las herramientas en s, constituye uno o varios proyectos, dependiendo del
tamao de la instalacin y la diversidad de productos seleccionados.
Hay un primer grupo de herramientas que posibilitan la actividad de implantacin
de las normas, por lo que deben ser las primeras que se seleccionen e implementen,
por ejemplo:
El soporte documental del sistema de gestin. Es recomendable disponer
de un gestor documental con control de versiones y acceso web. Aunque en
los inicios, cualquier herramienta colaborativa con interfaz web de la
empresa podr demorar la inversin en el gestor documental, e incluso, con
un sistema de archivos organizado y controlado puede ser suficiente en
estos inicios.
La herramienta de diseo de procesos. En el mercado hay varias herramientas de diseo de procesos que se pueden utilizar a estos fines. Hay que determinar que informacin ir volcada en la herramienta de procesos y cual se
mantendr externamente en archivos de texto. En cualquier caso, TI debera
utilizar la herramienta y metodologas utilizadas en la empresa para definir
sus procesos de negocio, y no trabajar por su cuenta; situacin bastante
frecuente. Si la empresa no tiene una slida implantacin de la cultura de
calidad y procesos, es habitual que se empiece con una solucin de diagramacin de flujos ofimtica (como Microsoft Visio o Microsoft PowerPoint)
y la descripcin de los procesos en texto (Microsoft Word). Este escenario
120
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA
4. Planificacin e implementacin de la gestin del servicio
121
122
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA
4. Planificacin e implementacin de la gestin del servicio
123
verdad por el cambio y que ellos son importantes para conseguirlo. Sin cumplir
este requisito el fracaso est garantizado.
La importancia de las personas en este camino de transformacin se debe manifestar ntidamente en:
Planes paulatinos, constantes e intensivos de formacin sobre las nuevas formas de trabajo y las nuevas herramientas de gestin.
Entrenamiento individual en las funciones de su puesto, hasta que cada uno
llegue a desempearlas a la perfeccin.
Comunicacin, nimo y estmulo constante. Mediante conferencias, reuniones, boletines internos, etc. Transmitiendo tranquilidad ante la incertidumbre del cambio y entusiasmo.
Motivacin permanente a los que se implican y una gestin pertinaz de quienes se muestran reticentes al cambio.
Evolucin organizativa gil. Los nuevos roles necesarios se deben definir y
nombrar con rapidez.
Autoridad y disciplina. Es necesario mantener el principio de autoridad, pues
el servicio de TI no es un juguete tecnolgico, y s es o ser la pieza esencial
para la supervivencia de la empresa.
Foco en el dominio de la tecnologa. No se debe olvidar la necesidad del
dominio absoluto de la tecnologa, sin el cual, todo esfuerzo de establecer
procedimientos y organizar ser en vano. As, por muy detallados que se tengan los procedimientos, por muy alineados que se est con el negocio, si los
programadores no saben construir cdigo de calidad o si el tcnico de
soporte al intentar resolver una incidencia destroza el equipo por desconocimiento tcnico, no hay transformacin posible.
124
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA
4. Planificacin e implementacin de la gestin del servicio
SGSTI
5
Entrega
PDCA
Cambio
125
Herramientas
3
Configuracin
Creacin
servicios
2
1
Nivel de
servicio
Problema
0
Incidente
Informes
Suministradores
Contin. y
dispon.
Relaciones
negocio
Presupuestar
Seguridad
Capacidad
de planificacin. El xito se basa la mayora de las veces en el esfuerzo personal aunque, a menudo, se producen fracasos y casi siempre retrasos y sobrecostes. El resultado es impredecible.
2: Repetible. En este nivel las organizaciones disponen de unas prcticas institucionalizadas de gestin de proyectos, existen unas mtricas bsicas y un
razonable seguimiento de la calidad. La relacin con suministradores y clientes est gestionada sistemticamente.
3: Definido. Adems de una buena gestin de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinacin entre grupos, formacin del personal, tcnicas de procesos ms detalladas y un nivel
ms avanzado de mtricas en los procesos.
126
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
4: Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de mtricas significativas de calidad y productividad que se utilizan de
modo sistemtico para la toma de decisiones y la gestin de riesgos. Los servicios resultantes son de calidad.
5: Optimizado. La organizacin completa est volcada en la mejora continua
de los procesos. Se hace uso intensivo de las mtricas y se gestiona el proceso de
innovacin.
PDCA
4. Planificacin e implementacin de la gestin del servicio
127
SATURADOS
ECONMICOS
OBLIGADOS
CONDICIONADOS
VISIONARIOS
(En reduccin
de costes)
(Por necesidad
de certificado)
(Por consolidaciones o
por outsourcing)
(Negocios en alza)
Formacin reducida.
Charlas introductorias.
Formacin
especializada: puntual.
Desarrollo de
proyectos puntuales
y por necesidad
operativa
(por ejemplo,
catlogo de
servicios, etc.).
Desarrollo de
proyectos tcticos.
Equipos de proyecto
formado por personal
interno.
Reutilizacin de
herramientas existentes.
Compra herramientas
de forma puntual.
Foco en aprobar el
examen que supone
la obtencin de la
certificacin.
Formacin global:
amplia.
Formacin global:
extensiva.
Formacin
especializada: amplia.
Desarrollo de proyectos
estratgicos y
completos.
Formacin
especializada:
abundante.
Desarrollo de
proyectos estratgicos
(y tcticos alineados
con la estrategia).
Equipos de trabajo
con personal interno
y fuerte apoyo de
Foco en normalizacin
especialistas externos.
integrada y herramientas
que lo soporten.
Foco en normalizacin
Poco inters por mejorar.
e integracin de
Mejoras de rebote.
procesos y las
herramientas que
Cambios puntuales.
lo soporten.
Charlas introductorias.
Foco en los papeles
y en la formalizacin
documental.
Formacin especializada
puntual.
Fuente: Telefnica.
128
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA
4. Planificacin e implementacin de la gestin del servicio
129
El plan de implantacin debe contemplar todos los aspectos relativos a los tres bloques principales: los procesos, las herramientas de gestin necesarias y las personas. En la figura 4.11 se aprecia un ejemplo de las actividades que se deben contemplar en un plan de implantacin de estas normas.
PRELIMINAR
PROCESOS
Formacin a lderes.
Creacin equipo
implementacin.
Requisitos herramientas.
Evaluacin o assessment.
Objetivos.
Plan implementacin.
HERRAMIENTAS
DE GESTIN TI
Presentaciones internas.
Implantacin herramientas.
Comunicacin inicial.
Carga de datos.
Formacin de profesionales.
Plan de comunicacin.
PERSONAS
Cambio organizativo.
Entrenamiento personal.
Despliegue de herramientas.
Cambio de formas trabajo.
Fuente: Telefnica.
En la figura 4.12 se muestra una aproximacin sencilla en 5 pasos a la implementacin de la gestin del servicio, con el fin de demostrar que es posible iniciar el
camino sin excesiva complejidad. En este ejemplo, la implementacin se inicia con
una evaluacin (interna o externa) de madurez, para pasar a constituir un pequeo
equipo de trabajo que se responsabilizar de todo el proceso. El tercer paso sera
formalizar el plan de implementacin, para iniciar un proceso de formacin y certificacin de los profesionales de TI que acompaar prcticamente a todo el proceso de realizacin.
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
130
Entrega
PDCA
Cambio
Herramientas
3
Configuracin
Creacin
servicios
2
1
Nivel de
servicio
Problema
0
Incidente
Informes
Suministradores
Contin. y
dispon.
Relaciones
negocio
Presupuestar
Seguridad
Capacidad
PDCA
4. Planificacin e implementacin de la gestin del servicio
131
Enfoques de la planificacin
UNE-ISO/IEC 20000-2
Se pueden utilizar varios planes de gestin del servicio en lugar de un plan o
programa de gran magnitud. En este
caso, los procesos subyacentes a la gestin del servicio deberan ser coherentes
entre ellos. Tambin se debera poder
demostrar cmo se gestiona cada
requisito de planificacin vinculndolo
a sus correspondientes funciones, responsabilidades y procedimientos.
a) la implementacin de la gestin
del servicio (o de parte de la gestin del servicio);
b) la entrega de los procesos de la
gestin del servicio;
c) los cambios de los procesos de la
gestin del servicio;
132
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
personas tendrn que trabajar de una forma o de otra segn del servicio de
que se trate. Debemos destacar que este segundo caso es el ms eficaz para la
obtencin de un certificado.
En la figura 4.13 se muestra la implementacin del sistema de gestin en varias etapas que pueden corresponder a la implementacin progresiva de procesos o a la
incorporacin paulatina de servicios por fases al SGSTI.
PDCA
4. Planificacin e implementacin de la gestin del servicio
133
consigue hasta que no estn todos ellos implantados. Como las combinaciones son
muchas, a continuacin se presentan las ms frecuentes:
Escenario 1: Inestabilidad. Una organizacin con inestabilidad y con continuos cortes del servicio estar sumida en una crisis permanente restaurando
los servicios. En esta situacin, lo primero que hay que hacer es poner foco
inmediato en controlar la situacin. Para ello ser necesario trabajar con la
gestin del incidente para minimizar los tiempos de no disponibilidad. De
forma casi paralela, parece razonable implementar tambin la gestin del
cambio, que pone orden en todo paso al entorno productivo y reduce el
nmero de incidentes que se producen derivados de los cambios. Adems,
ser conveniente iniciar la gestin del problema, para eliminar los fallos y
defectos ocultos. Tambin se debera abordar soluciones de monitorizacin
para tener un mejor control del entorno productivo.
Escenario 2: Garantizar. Es este caso, la organizacin de TI necesita dar
garantas al negocio de que las prdidas de informacin y del servicio son
mnimas. Lgicamente, es una situacin ms avanzada que el escenario 1 de
crisis, aunque no se debe poner en riesgo el negocio por que TI no pueda
recuperar los datos o los sistemas. El foco se debe poner en los procesos que
garantizan que los servicios se puedan restaurar en cualquier situacin, bien
sea por fallos locales o por el impacto de desastres mayores. Antes de comenzar con los procesos ISO/IEC 20000, habr que revisar o implantar una
solucin slida de copias de seguridad (backup). Despus, deber centrarse
en el registro de las versiones de las aplicaciones instaladas y de la parametrizacin realizada. Para ello ser tratar la gestin de la configuracin y la gestin de la entrega. Posteriormente, se implementar la gestin de la continuidad para garantizar la recuperacin en caso de desastre.
Escenario 3: Relaciones. Si el servicio es estable pero la opinin de las
reas negocio clientes sobre el servicio de TI es mala y las relaciones son
tensas y difciles, la estrategia debe ser distinta. Hay que ponerse de inmediato a regular y mejorar la comunicacin, a tranquilizar al negocio y a gestionar las expectativas. En este escenario lo razonable sera comenzar con la
gestin de las relaciones con el negocio y definir un catlogo de servicios
que regule las expectativas sobre TI, para pasar inmediatamente a la definicin de acuerdos de nivel de servicio (SLA) y a implementar la gestin de
nivel de servicio que se encargue de seguir su cumplimiento. La gestin
de informes y su disponibilidad online al negocio mejorar enormemente la
percepcin sobre TI.
En la figura 4.14 se muestra un esquema de los escenarios 1 al 3.
134
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Escenario 1
Escenario 2
Escenario 3
Inestabilidad!
Garantizar!
Relaciones!
Gestin del
incidente
Copias de
backup
robustas
Gestin de las
relaciones con
el negocio
Gestin
del cambio
Gestin de la
configuracin
CMDB y DSL
Catlogo
de servicios
Gestin del
problema
Gestin de
la entrega
Gestin de nivel
de servicio
Plataforma de
monitorizacin
Gestin de la
continuidad
Gestin
de informes
Adems de los ejemplos anteriores, se pueden dar otras situaciones a partir de las
cuales se decide implementar ISO/IEC 20000:
Escenario 4: Un problema. Foco en resolver un problema inmediato que
existe en la organizacin. En este caso, TI no se puede detener a realizar evaluaciones sobre la madurez actual. Se deben identificar los principales problemas acuciantes del proveedor de TI para buscar soluciones inmediatas.
Cada problema tendr su propia aproximacin. El problema puede ser de
ndole tcnico, organizativo, de motivacin, de capacitacin, de gestin, etc.
Las Normas ISO/IEC 200000, junto con ITIL y el sentido comn, aportarn alguna va de solucin.
Escenario 5: Foco en los servicios crticos. La empresa tiene claramente
identificados cules son sus servicios crticos con gran impacto en la actividad
PDCA
4. Planificacin e implementacin de la gestin del servicio
135
Eventos a considerar
UNE-ISO/IEC 20000-2
El plan de gestin del servicio debera
estar enfocado a los procesos de gestin del servicio y a los cambios en los
servicios desencadenados por eventos
como los siguientes:
a) la mejora del servicio;
b) los cambios en el servicio;
c) la normalizacin de infraestructuras;
136
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA
4. Planificacin e implementacin de la gestin del servicio
137
138
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA
4. Planificacin e implementacin de la gestin del servicio
139
UNE-ISO/IEC 20000-2
Nota: Es posible que la persona que sea adecuada para realizar la planificacin y la imple-
Planificacin
y control
Direccin de
desarrollo
Patrocinador SGSTI
Direccin de
produccin
Grupo implementacin y
procesos TI
Planificacin
y control
Direccin de
desarrollo
Direccin de
produccin
Patrocinador SGSTI
Grupo implementacin y
procesos ISO/IEC 20000
140
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Dado que la transformacin es un proceso continuo, este equipo creado ad-hoc para
el proyecto o los proyectos de implantacin, suele constituirse en una estructura
estable en el tiempo. Este equipo muy centrado inicialmente en la implantacin,
va evolucionado su actividad hacia la mejora continua de los servicios y de la actividad de TI.
En las grandes organizaciones habra que tener en cuenta la necesidad de diversos tipos
de apoyo externo a lo largo del tiempo. A este respecto, en las ms avanzadas, suelen
contratar una evaluacin anual o bianual para identificar las fortalezas adquiridas y los
nuevos puntos de mejora. A veces, adems de esta evaluacin se suele realizar un
benchmarking comparativo con el mercado de los ratios ms destacados de TI.
La aparicin continua de normativa, que por una parte aporta ayuda a las empresas
pero que por otra acaba convirtindose en una nueva demanda del mercado, hace
que este equipo de implantacin o de procesos de TI tenga garantizada una intensa
actividad para los prximos 10 aos.
Las empresas debern tener en cuenta, en sus estrategias y sus porfolios de proyectos anuales, destinar una partida al proyecto de transformacin continua de las formas de hacer.
PDCA
4. Planificacin e implementacin de la gestin del servicio
141
UNE-ISO/IEC 20000-2
El proveedor del servicio debera planificar e implementar la monitorizacin,
la medicin, el anlisis y la revisin de
los servicios, los procesos de gestin
del servicio y los sistemas asociados.
Entre los elementos que se deberan
monitorizar, medir y revisar estn los
siguientes:
a) los logros respecto a los objetivos
de servicio definidos;
b) la satisfaccin del cliente;
c) la utilizacin de los recursos;
d) las tendencias;
e) las no conformidades de mayor
consideracin;
Los resultados del anlisis deberan proporcionar una entrada a un plan para
la mejora del servicio.
Adems de las actividades de gestin
del servicio relativas a la medicin y el
anlisis, es posible que la alta direccin
necesite recurrir a auditoras internas y a
otros tipos de verificaciones. Al decidir
la frecuencia de dichas auditoras internas y verificaciones, se deberan tener
en cuenta, entre otros, factores como el
nivel de riesgo implicado en un proceso, su frecuencia de realizacin y su
historial de problemas pasados. Las
auditoras internas y las verificaciones se
deberan planificar, registrar y llevarse a
cabo de una manera competente.
142
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Objetivo: Mejorar la eficacia y la eficiencia de la entrega y de la gestin del servicio.
Poltica:
Debe haber una poltica publicada sobre la mejora del servicio. Se debe corregir
cualquier no conformidad con la norma o con los planes de gestin del servicio.
Se deben definir claramente los roles y las responsabilidades para las actividades de
mejora del servicio.
Gestin de las mejoras del servicio:
Se deben evaluar, registrar, priorizar y autorizar todas las propuestas de mejora del
servicio. Se debe utilizar un plan para controlar la actividad.
El proveedor del servicio debe disponer de un proceso para identificar, medir y gestionar las actividades de mejora e informar de dichas actividades de manera continua. Este proceso debe incluir:
a) las mejoras de un proceso aislado que el propietario del proceso pueda
implementar con los recursos de personal habituales, por ejemplo, la realizacin de acciones correctivas y preventivas; y
b) las mejoras en toda la organizacin o en ms de un proceso.
Actividades:
El proveedor del servicio debe realizar actividades para:
a) recopilar y analizar los datos para delimitar y medir la capacidad del proveedor del servicio para gestionar y proveer el servicio junto con los procesos de
gestin del mismo;
b) identificar, planificar e implementar mejoras;
c) consultar a todas las partes implicadas;
d) establecer objetivos de mejora en cuanto a la calidad, los costes y la utilizacin de recursos;
e) tener en cuenta las aportaciones importantes, referentes a mejoras, que se
realicen desde todos los procesos de gestin del servicio;
f) medir, informar y comunicar las mejoras en el servicio;
g) revisar las polticas, los planes y los procedimientos de gestin del servicio,
siempre que sea necesario; y
h) asegurar que todas las acciones aprobadas se llevan a cabo y que se alcanzan los objetivos deseados.
PDCA
4. Planificacin e implementacin de la gestin del servicio
143
UNE-ISO/IEC 20000-2
Poltica:
Los proveedores del servicio deberan
reconocer que siempre existe la posibilidad de conseguir que la provisin del
servicio sea ms eficaz y ms eficiente.
Debera hacerse pblica una poltica de
la calidad y de mejora del servicio.
Todas las personas implicadas en la
gestin del servicio y la mejora del servicio deberan ser conscientes de la poltica de calidad del servicio y de cul
debera ser su contribucin personal a la
consecucin de los objetivos establecidos en esta poltica.
En particular, todo el personal del proveedor del servicio implicado en la gestin del servicio debera tener un conocimiento detallado de las repercusiones
de estos factores sobre los procesos de
gestin del servicio.
Debera existir una coordinacin eficaz
entre la estructura de gestin propia del
proveedor del servicio, los clientes y los
suministradores del proveedor del servicio a la hora de tratar cuestiones que
afecten a la calidad del servicio y a los
requisitos del cliente.
Planificacin de mejoras del servicio:
Los proveedores del servicio deberan
adoptar un enfoque metdico y coordi-
En la mejora continua hay que distinguir dos tipos de mejoras: la mejora de los
procesos de gestin del servicio y la mejora propia de los servicios. Ambos tipos de
mejora redundarn en que la organizacin de TI funcione con ms eficiencia, y en
que los servicios prestados sean de mayor calidad.
En el caso de la mejora de los procesos, las acciones de mejora de cada uno de ellos
las identifica y propone el propietario o el responsable del proceso. En relacin a
144
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
las mejoras en cada uno de los servicios, las detecta, recopila de otras partes y propone cada uno de los gestores de nivel de servicio (vase el apartado 6.1). En ITIL,
para el conjunto de mejoras de uno o varios servicios agrupados en un plan se ha
acuado el trmino de plan de mejora del servicio (SIP, Service Improvement Program). Las acciones de mejora pueden abarcar todo tipo de actividad necesaria:
mejoras tecnolgicas en los servicios, incorporacin de herramientas, formacin a
los involucrados, comunicacin, mejora en la documentacin, etc.
A la luz de lo establecido y recomendado por estas normas, parece razonable que
todas las acciones de mejora (de los procesos y de los servicios) se consoliden en una
planificacin o un plan de mejora unificado, formado en base de los planes de
mejora de cada proceso y de cada servicio. De esta forma se tendr una visin unificada de todas las acciones de mejora y las interrelaciones entre ellas. Este plan de
mejora unificado se puede ejecutar por fases y aplicando nuevamente el ciclo PDCA.
Las propuestas de mejora, que emanan de diversas fuentes (mejoras detectadas en
cada proceso, plan de mejora del servicio, iniciativas de calidad como Seis Sigma o
Lean, etc.), recopiladas por los gestores de los procesos, se agrupan para organizarlas en un plan consolidado. As, la mejora continua de la gestin del servicio se realiza de una forma coordinada por un responsable nico de esta actividad. En la
figura 4.16 se muestra la agrupacin de las propuestas de mejora en un plan unificado comn a toda la organizacin de TI.
PDCA
4. Planificacin e implementacin de la gestin del servicio
145
Resumen
La implementacin de sistema de gestin del servicio de TI (SGSTI) est bien
especificada en las Normas ISO/IEC 20000 y debe seguir las 4 etapas del ciclo de
mejora continua de Deming (PDCA). En la figura 4.17 se muestra de nuevo la
aplicacin de estas 4 etapas al SGSTI.
Plan
PLANIFICAR
Do
HACER
Check
VERIFICAR
Act
ACTUAR
Planificar
la gestin
del servicio
Implementar
la gestin
del servicio
Monitorizar,
medir y revisar
Mejora
continua
Beneficios
La implantacin de la gestin del servicio de TI siguiendo el ciclo PDCA y los
requisitos especificados y recomendados en las Normas ISO/IEC 20000, aportarn
entre otros, los beneficios siguientes:
Permitir que todas las actividades de transformacin de la organizacin se
lleven a cabo de una forma controlada y organizada.
Los objetivos se fijan en funcin de la situacin de partida, obtenida
mediante una evaluacin inicial.
Los proyectos de implementacin tienen unos objetivos fijados.
Se monitorizan y miden los resultados de los proyectos.
Se establece un plan de mejora continua.
Se aprovecha la experiencia de otras organizaciones que iniciaron antes el
camino.
146
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Diagramas de flechas.
Diagramas de Gantt.
Figura 4.18. Ejemplo de actividades y tcnicas asociadas a cada etapa del PDCA
PDCA
4. Planificacin e implementacin de la gestin del servicio
147
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cmo se aplica el ciclo PDCA en su organizacin?
Cul es la secuencia de implantacin de los procesos que ms se
adecua a su caso particular?
En funcin de su experiencia, qu otras recomendaciones de implementacin aadira a este captulo?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
Captulo 5
Planificacin e implementacin
de nuevos servicios o de
servicios modificados
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
151
Las organizaciones de TI, y las actividades que desarrollan, han sido tradicionalmente vistas como un soporte interno al negocio, descuidando en general el uso de
criterios apropiados para medir su rentabilidad, eficacia y la calidad del servicio
ofrecido a toda la organizacin. Actualmente el entorno donde nos movemos, en el
que los horarios de disponibilidad de los servicios son cada vez ms amplios, donde
las exigencias del cliente son cada vez ms elevadas, y donde los cambios en el
negocio son cada vez ms rpidos, es muy importante que los sistemas de informacin estn adecuadamente organizados y alineados con la estrategia de la empresa.
La planificacin e implementacin de nuevos servicios o de servicios modificados, tiene la misin de garantizar que los servicios se puedan crear y entregar con
la funcionalidad, costes, calidad y plazos acordados con los clientes. Para ello hay
que gestionar el ciclo completo de la provisin y entrega de los servicios, realizando
una planificacin unificada e integrada, asegurando que todas las partes implicadas
conocen y cumplen con el plan y los compromisos acordados.
En este captulo se presenta una visin de este proceso, con un alcance ms all de
lo establecido en estas normas, definiendo el marco de un proceso nuevo que est
presente a lo largo de todo el ciclo de vida de la provisin de un servicio: desde la
elaboracin de la propuesta de servicio, hasta la revisin despus de su implantacin, en el entorno de produccin real. El proceso recorre y organiza con eficiencia
a toda la organizacin de TI, sirviendo como integracin entre la estrategia del
negocio, el desarrollo de aplicaciones, el departamento de explotacin o produccin, y el rea de planificacin y control econmico de TI.
Para las empresas que ya tengan implementada una metodologa o un proceso de
gestin de los proyectos para el desarrollo de aplicaciones, este captulo les aportar nuevos puntos de mejora para incorporar y con ello enriquecer y complementar la metodologa ya implementada, facilitando as la integracin con los nuevos
procesos de gestin del servicio. Por tanto, este proceso utiliza las metodologas y
procesos existentes en la organizacin para cubrir parte de sus etapas. En este captulo no se aborda la descripcin de la etapa de construccin (software y hardware)
del servicio, ni en las metodologas gestin de proyectos TI (PMBOK, PRINCE2,
etc.), aunque stas sern necesarias para gestionar los proyectos de creacin de los
servicios. Tambin sera necesaria la utilizacin de otros estndares y mejores prcticas relacionados con el desarrollo de software (SPICE o CMMI).
El lector comprender mejor los detalles de este proceso cuando haya profundizado
en el resto de procesos de gestin del servicio, pues utiliza gran parte de ellos. En
realidad, el captulo se debera haber ubicado de los ltimos del libro, pero se ha
decidido mantener la posicin que tiene en las normas para conseguir una numeracin de captulos similar.
152
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
153
154
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
DISEO
TRANSICIN
OPERACIN
CONSTRUCCIN
MEJORA
CONTINUA
155
Fuente: Telefnica.
En el mbito de TI, este proceso es el responsable de confeccionar una planificacin integrada de todas las actividades necesarias para la creacin de los servicios.
Garantiza que los nuevos servicios cumplirn con lo acordado con el cliente (plazos, coste, funcionalidad y calidad) y que se construyen con las polticas y las normativas vigentes en la organizacin. Con la colaboracin continua de todos los
procesos, funciones y departamentos involucrados, tratar de encontrar el equilibrio correcto entre la demanda, la satisfaccin del cliente y el coste de crearlos.
Gran parte de este proceso gestiona tambin las funciones habituales de la gestin de
proyectos de desarrollo de software en TI. Para cubrir estas funciones, posiblemente
ya se hayan implementado procesos y metodologas propios de la organizacin
o basados en estndares del mercado (SPICE, CMMI, PMBOK, PRINCE2, etc.).
En este escenario, el proceso de creacin de servicios aporta una visin completa
de las actividades que se deben realizar para que el servicio que se va a construir
quede perfectamente operativo, incluyendo el diseo, la arquitectura, el desarrollo
156
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Por tanto, este proceso es idneo para la integracin de las dos reas de TI, tradicionalmente separadas y mal engranadas: el desarrollo y la produccin.
En la figura 5.5 se muestra un esquema global que integra el ciclo de vida ITIL v3,
con las etapas tpicas de las metodologas de gestin de proyectos, los procesos de
desarrollo de software y la relacin con el resto de los procesos de gestin del servicio de TI contemplados en ISO/IEC 20000.
La creacin y evolucin de servicios orquesta una cadena de fabricacin en TI,
que comienza con los requisitos del negocio y termina con los servicios operativos.
En un extremo de la cadena de fabricacin est la necesidad del cliente de nuevas
funcionalidades de negocio y, en el otro extremo, se obtiene el servicio entregado y
operativo. El cliente, tras el tiempo acordado, espera recibir el servicio pactado que
cumpla con la funcionalidad, los costes y los acuerdos de servicio establecidos al
inicio del proceso. Justo entre estos dos extremos, es necesario desarrollar toda una
157
Fuente: Telefnica.
158
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Cada uno de los otros procesos que participan en la cadena tiene unos objetivos
especficos y su propio aporte a la construccin del servicio final. Aunque estos
procesos no se han tratado todava en este libro, es conveniente tener una visin
general de su participacin en este proceso. A continuacin, se detallan los principales:
Relaciones con el negocio. Su objetivo es establecer y mantener una buena relacin entre el proveedor del servicio y el cliente, basndose en el entendimiento del
cliente y de los fundamentos de su negocio (vase el captulo 7 para obtener ms
detalles de este proceso).
El proceso de creacin de servicios engrana con este proceso de relaciones para que
gestione todo el contacto necesario con las reas de negocio. Su contribucin se
centra en la toma de requisitos de las necesidades del cliente, la posterior negociacin de la propuesta de servicio, la gestin del nuevo acuerdo de nivel de servicio y
el consenso con el cliente de la planificacin para la creacin del servicio realizada
por el proceso de creacin. En su funcin comercial, durante el proceso de creacin, se encarga de mantener informado al cliente y estar presente en las reuniones
de seguimiento, acompaando al jefe de proyecto. En la entrega, gestiona la participacin del cliente en las validaciones funcionales y en las reuniones para el cierre
del proyecto de creacin.
159
160
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
161
Planificacin e implementacin
de nuevos servicios o de
servicios modificados
Definicin:
Proceso que se responsabiliza de la
fabricacin de servicios utilizando
el resto de procesos y funciones
de la organizacin TI.
Objetivo:
Asegurar que, tanto los servicios
nuevos, como las modicaciones
a los existentes, se pueden gestionar
y entregar con los costes y la
calidad acordados.
Qu aporta:
Implementa un ciclo completo de
creacin y entrega de servicios,
desde las necesidades y acuerdos
con el cliente hasta su entrega y
puesta en funcionamiento operativo.
Los servicios se crean de una forma
eficiente.
Los servicios se crean en los
plazos acordados, velando por las
necesidades del negocio en el
time-to-market.
Los servicios TI se disean para
satisfacer las necesidades reales
del cliente y cumpliendo con la
arquitectura y polticas de
la organizacin.
Los servicios se crean con la
participacin de todas las reas
de la organizacin de TI: gobierno,
arquitectura, desarrollo y explotacin.
La organizacin TI y sus clientes
tienen unas expectativas claras
y formalizadas del servicio
solicitado a TI.
162
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los principales factores clave en torno a los que se articula este proceso se resumen en:
Cumplimiento de los plazos, atendiendo a la agilidad y tiempo de respuesta
de la organizacin de TI ante necesidades del negocio.
Cumplimiento de la funcionalidad demandada.
Gestin eficiente de los costes.
Cumplimiento de las polticas establecidas en TI, tanto para la construccin
del servicio y de sus componentes, como para la articulacin de su puesta en
produccin.
Velar por la calidad necesaria demandada por el negocio.
Integracin de las soluciones en las arquitecturas TI existentes, tanto de:
datos, de aplicaciones, de componentes, tecnolgica de hardware-software, de
seguridad, etc.
En la figura 5.8 se resumen estos factores clave que estructuran y rigen la actividad
de este proceso en las relaciones intensas y constantes con los intervinientes en la
creacin o evolucin de un servicio TI.
163
El conocimiento y correcto manejo de estos factores permitir a este proceso gestionar adecuadamente la creacin de nuevos servicios, o las modificaciones a los
existentes, con los costes y calidad acordados con el cliente. Adems, el gestor de
este proceso debe conseguir estos objetivos dentro de un marco estratgico, tcnico y humano del proveedor de servicios TI.
El proceso de planificacin e implantacin de nuevos servicios o de servicios modificados utiliza las funciones del proceso de relaciones con el negocio, que gestiona
las necesidades del cliente, y articula al resto de la organizacin de TI, con el objetivo de asegurar que, tanto los servicios nuevos, como las modificaciones a los existentes, se puedan gestionar y entregar con los costes, plazos y la calidad acordados.
En la figura 5.9 se puede muestran los componentes ms destacados que utiliza
este proceso para realizar su actividad. Se estructuran en dos ciclos, uno centrado
en acordar con el cliente y disear los servicios, y el otro, en construirlos y entregarlos.
DISEO
CONSTRUCCIN
TRANSICIN
Cliente
Servicio
Requisitos
del servicio
Planificacin
del proyecto
Informe
de pruebas
Especificaciones
tcnicas
de servicio
OLA y UC
Propuesta
de servicio
SLA
RFC
Solicitud
de cambio
Lista de
cambios
planificados
(FSC)
Figura 5.9. Componentes principales de las etapas de diseo y transicin del proceso
164
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
165
166
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
internas (OLA) y externas (UC) intervinientes, sobre la aportacin que cada uno
va a realizar a la provisin e implantacin del servicio. Esta planificacin del proyecto esta sujeta al control del cambio.
Solicitud de cambio (RFC, Request For Change). Formulario utilizado para proponer un cambio en cualquier componente de la infraestructura de TI o en cualquier aspecto de un servicio de TI. En este caso contempla la creacin de un servicio o la modificacin de uno existente.
En la RFC se reflejan la naturaleza, los detalles, la justificacin y la autorizacin del
cambio propuesto. La RFC va actualizndose a lo largo de la vida de la creacin
del servicio. La RFC se describe en el apartado 9.2 de este libro.
Lista de cambios planificados (FSC, Forward Schedule of Change). Es una programacin unificada de todos los cambios en curso que recoge los detalles de los
cambios cuya implantacin haya sido aprobada, as como las fechas propuestas para
las aprobaciones intermedias que permitan la implantacin segura de los servicios.
En ITIL v2 se denomina FSC, mientras que en la v3 se ha cambiado el trmino por
lista de cambios o change schedule. La lista de cambios planificados se describe en
el apartado 9.2 de este libro.
Entradas
Actividades
Salidas
Desencadenantes
del proceso:
3 Gestin de la demanda.
Necesidades.
Salidas principales:
Porfolio de proyectos.
3 Anlisis de viabilidad
(TCO y ROI).
Mandato de la direccin
de TI.
Entradas de soporte:
Catlogo de servicios.
Polticas.
Metodologas proyectos.
Arquitecturas TI.
SLA existentes.
OLA y UC existentes.
CMDB.
167
Servicio operativo.
Documentacin del
servicio: de usuario,
tcnica y para el SD.
Servicio cargado
en herramientas de
autorresolucin.
Contrataciones
necesarias.
Salidas secundarias:
SLA cerrado.
OLA y UC actualizados.
FSC actualizado.
CMDB actualizada.
3 Aprobacin de la implantacin.
3 Implantacin y despliegue.
3 Revisin posimplantacin.
3 Comunicacin de resultados y
cierre.
Catlogo de servicios
actualizado.
DSL actualizada.
Informes de errores en
las pruebas a desarrollo.
Propuesta de actividades
para la mejora del
servicio.
168
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
determinar si la necesidad del cliente est cubierta por el catlogo; las polticas,
metodologas de gestin de proyectos y las arquitecturas TI con el fin de que la creacin del nuevo servicio sea acorde con todo lo dictado en la organizacin; los
SLA, OLA y UC existentes; y la CMDB para proveer todo tipo de informacin
sobre TI y sus elementos de configuracin.
Las actividades principales que realiza este proceso son:
Gestin de la demanda, realizada por relaciones con el negocio (cliente) para
profundizar en sus necesidades, determinacin de si stas estn en el catlogo
de servicios, y su encaje en las previsiones presupuestarias y en el porfolio de
servicios.
Establecimiento de los requisitos del servicio por parte del cliente (SLR).
Realizacin, si procede, del anlisis de viabilidad (TCO y ROI).
Elaboracin de las especificaciones tcnicas del servicio, que incluye su arquitectura y el diseo funcional y tcnico.
Elaboracin de la propuesta del servicio y del SLA.
Realizacin del plan de proyecto para la creacin del servicio.
Revisin y formalizacin de acuerdos internos y contratos (OLA y UC).
Confeccin de la solicitud de cambio (RFC) y aprobacin de la creacin del
servicio. Dar la orden del inicio de la construccin del servicio.
Seguimiento del proceso de construccin.
Realizacin de la integracin y pruebas del servicio construido, en el entorno
de pruebas-integracin.
Aprobacin de la implantacin del servicio por gestin del cambio.
Realizacin de la implantacin y despliegue del servicio.
Revisin post-implantacin.
Comunicacin de los resultados a todas las partes interesadas.
Cierre de la implantacin y de la solicitud de servicio.
Las salidas principales del proceso son: el servicio operativo y listo para que provea las funcionalidades al negocio especificadas; todo tipo de documentacin asociada necesaria (de usuario, para las reas tcnicas, de soporte para la atencin de
incidentes y peticiones del usuario, etc.); el servicio cargado en las herramientas
de autorresolucin al usuario; y las contrataciones necesarias realizadas (para la
169
Actividades especficas
del proceso
Anlisis de viabilidad
Especificaciones tcnicas
del servicio (SS)
Propuesta del servicio y SLA
Plan de proyecto del servicio
Revisin y formalizacin de
acuerdos y contratos (OLA, UC)
Confeccin solicitud
de cambio (RFC)
Orden de construccin
Gestin
del cambio
Gestin de
la entrega
Aprobacin preliminar
Construccin del servicio. Pruebas del servicio (por otros procesos y departamentos TI)
Aprobacin implantacin
por cambios
Comprobacin
posimplantacin
Comunicacin
entrega del servicio.
CIERRE SOLICITUD
SERVICIO
Comunicacin
resultados implantacin.
CIERRE IMPLANTACIN
Integracin y pruebas
Implantacin y despliegue
Revisin posimplantacin
SERVICIO OPERATIVO
Fuente: Telefnica.
170
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
171
172
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
173
174
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El SLA del servicio describe las condiciones de la prestacin regular del mismo
durante el tiempo que dure el acuerdo. Contiene los compromisos de TI y del cliente
para prestacin del servicio y ser la referencia que se utilizar por las dos partes para
medir la prestacin del servicio. En el mbito de este proceso se formaliza el SLA,
pero su realizacin corresponde al proceso de gestin de nivel de servicio (SLM),
trabajando para este proceso. Este punto se trata detalladamente en el apartado 6.1.
La propuesta de servicio describe en trminos de negocio qu se entregar al
cliente y cundo; y el SLA contiene los compromisos de ambas partes para la
prestacin habitual del servicio. Estos documentos constituyen el medio por el que
175
las dos partes, cliente y proveedor de servicios TI, pueden medir los compromisos
tanto del cumplimiento de la creacin del servicio como los de su prestacin regular durante su vida til.
176
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La planificacin se debe confeccionar en trminos de objetivos, alcance, funcionalidad, estimacin de plazos para que est disponible, esfuerzo y costes asociados.
Este documento integra toda la informacin necesaria para los proveedores internos y externos sobre la aportacin que cada uno debe realizar a la provisin e
implantacin del servicio. Tambin define los parmetros necesarios para los procesos de gestin de servicio, la administracin y la operacin.
Para realizar la planificacin del proyecto y la gestin de todas sus etapas se utilizan
metodologas como PMBOK o PRINCE2.
Durante la elaboracin del plan de proyecto es necesario revisar y formalizar los
acuerdos internos y los externos a la organizacin de TI, que involucran a todas las
reas y departamentos del proveedor de servicios.
Se puede definir el plan de proyecto de servicio como el documento donde el proveedor de TI especifica el proceso de fabricacin con el que se elaborar y entregar un servicio. Es decir, describe el plan de trabajo que se habr de realizar por
cada rea y proceso TI para la construccin, pruebas, despliegue y puesta en marcha del servicio. Este documento establece, por tanto, las fases, actividades, hitos,
planificacin, responsabilidades, plazos de disponibilidad, costes e indicadores asociados al servicio, los cambios en la Infraestructura TI necesarios, as como las
caractersticas de los acuerdos que habr que establecer, tanto en el mbito interno
de la Organizacin TI como de los suministradores externos.
Este plan de proyecto, al igual que el resto de documentos, estar sometido al control de la gestin documental del sistema de gestin de servicios de TI (SGSTI).
El contenido base de este documento se presenta en la figura 5.14.
La participacin de cada rea o suministrador de TI en el plan de proyecto se debera formalizar mediante acuerdos de nivel operativo (OLA, Operational Level
Agreement) cuando se trata de reas internas a la organizacin de TI y para el caso
177
Figura 5.14. Contenido tipo del plan de proyecto de creacin del servicio
178
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
179
analizado por este proceso para determinar si supone un impacto potencial en los
compromisos adquiridos con los clientes.
UNE-ISO/IEC 20000-1
La implementacin de nuevos servicios o modificaciones en los existentes, incluyendo la eliminacin de un servicio, debe ser planificada y aprobada a travs de un
proceso formal de gestin del cambio.
UNE-ISO/IEC 20000-2
Todas las modificaciones al servicio se
deberan reflejar en los registros de gestin del cambio:
Esto incluye a los planes para:
c) la formacin al usuario;
d) las comunicaciones sobre los cambios;
b) la reubicacin;
A partir de este momento la peticin de cambio aprobada se integra en la lista de cambios planificados (FSC, Forward Schedule of Change). Este listado es una pieza fundamental en la actividad del proceso de gestin del cambio, ya que en l se controla toda
la actividad relevante de cambios en TI. Adems, se genera un informe de disponibilidad prevista del servicio (PSA, Projected Service Availability). Las versiones actualizadas
de estos documentos deben estar a disposicin de cualquier miembro de la organizacin, por lo que, generalmente, se almacenan en la intranet de la compaa.
180
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
181
Una vez finalizado el desarrollo y las pruebas del servicio, el proceso de gestin del
cambio toma el control para comprobar si se han cubierto todos los compromisos
reflejados en la RFC y someter a la aprobacin del comit de cambios la implantacin del servicio en el entorno de produccin real.
La implantacin del servicio en el entorno de produccin real, la realiza el proceso
de gestin de la entrega (vase el apartado 10.1) bajo la supervisin de gestin del
cambio (vase el apartado 9.2).
En la actividad de implantacin la ltima actividad del proceso de gestin del cambio es realizar una revisin postimplantacin (PIR, Post Implementation Review)
para analizar los resultados reales obtenidos con la implantacin realizada, comparndolos con los resultados esperados. En esta actividad el proceso de gestin de la
182
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
183
de las mtricas de este proceso son similares a la de los procesos que utiliza, por lo
que no se repiten aqu. nicamente se enumeran aqullas que tienen un carcter
ms global al proceso:
Nmero de proyectos realizados.
El Time to market de los proyectos o plazo medio desde el primer contacto
con el usuario hasta que el servicio se ha entregado y se est utilizando.
Cumplimiento de los plazos acordados o porcentaje de cumplimiento de los
plazos previstos en cada proyecto.
Alineacin con el cliente, medida como el nmero de inconformidades (o
modificaciones) del cliente por proyecto y del usuario final con los nuevos
servicios.
Calidad tcnica, medida como el nmero de defectos encontrados en las
pruebas del servicio.
Nmero de incidentes causados por los nuevos servicios o las modificaciones.
Cumplimiento de los costes acordados en los proyectos.
Volumen medio de recursos utilizados. Nmero medio de horas/hombre
dedicados por proyecto.
Calidad de las previsiones, medida como el nmero o coste de los nuevos
servicios no previstos en los planes anuales (porfolio de servicios, presupuestos, etc.).
184
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Siguiendo los principios de COBIT, las mtricas se estructuran en tres capas: una
primera capa con las mtricas que aportan una visin al negocio de cmo est TI,
denominadas KGI de TI (KGI, Key Global Indicador); una segunda capa destinada
a la visin que el director de sistemas de informacin debera tener sobre el proceso, denominadas KGI del proceso. Por ltimo, para mostrar los detalles internos
del proceso al responsable del proceso estara la tercera capa, los KPI del proceso
(KPI, Key Performance Indicador).
En el grfico de la figura 5.15 se muestra un resumen de los indicadores ms relevantes de este proceso.
185
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define el proceso y se encarga de la mejora continua del
mismo. Todo ello de una forma integrada con el modelo de gestin de TI
incorporado en el SGSTI.
El responsable de la gestin del cambio, ya que debe autorizar el inicio de las
pruebas e integracin, la implantacin en produccin y el cierre de la entrega.
Los roles de mayor relevancia que participan en el proceso se representan en el grfico de la figura 5.16.
Responsable de la
gestin del servicio
SGSTI
Gestor de la
creacin de servicios
Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)
Especialistas en el
diseo del servicio
Especialistas
de desarrollo
Especialistas
tcnicos
186
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Resumen
La creacin de servicios se ha convertido en un factor clave para lograr el xito
empresarial. El proveedor de TI debe posibilitar un tiempo de entrega de servicios
(time-to-market) acorde a las necesidades del cliente, pero tambin debe contemplar
que los costes, la funcionalidad y calidad de los servicios estn ajustados a sus necesidades reales.
Las principales responsabilidades que tiene a su cargo el proceso se indican en la
figura 5.17.
187
188
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
correcto entre la demanda del cliente, la provisin del servicio, el coste de los mismos y la satisfaccin del cliente.
Para finalizar este captulo, es importante destacar que este proceso es complejo y
soporta mltiples relaciones, por lo que el uso de las herramientas adecuadas es un
punto que no se debe descuidar. La disponibilidad de herramientas especficas (catlogo de servicios actualizado, formularios de recogida de requerimientos y especificaciones SLR, SS, modelos de SLA/OLA/UC, un sistema de gestin documental,
etc.) pueden ser el elemento clave para el xito de este proceso y, por tanto, para el
xito de TI en la provisin de servicios nuevos o modificados.
Beneficios
La planificacin e implementacin de servicios nuevos o de servicios modificados
posibilita una mayor confianza en la relacin TI-Negocio, y un incremento de
la satisfaccin de los clientes, gracias a la transparencia y claridad de las propuestas
de los servicios que se van a proveer e implantar, ya que estn realizadas con el
compromiso de todas las partes implicadas y alineadas con las necesidades de negocio planteadas por el cliente.
Tambin contribuye a mejorar esta relacin la fiabilidad que proporciona la planificacin integrada de todas las reas y procesos TI intervinientes que permite asegurar que una peticin es viable, que la relacin calidad-precio es adecuada, que est
alineada con la estrategia de negocio y tcnica. Tambin contribuye a agilizar y asegurar el time to market de provisin de soluciones, minimizando los riesgos relacionados con el cumplimiento de plazos y costes asociados.
Los principales beneficios que se obtienen al implementar este proceso son:
Los servicios TI se disean para satisfacer las necesidades reales del cliente.
La relacin con el cliente se basa en servicios que TI proporciona, y en el
lenguaje y trminos del negocio.
Se atienden las demandas del negocio convirtindolas en servicios, de acuerdo
con la estrategia y los presupuestos.
La organizacin de TI y sus clientes tienen unas expectativas claras y consistentes del servicio solicitado a TI.
Gestin formalizada de los requisitos del cliente, en su propio lenguaje.
Control del ciclo completo, e integrado, de creacin y modificacin de los
servicios, desde la perspectiva de las necesidades y acuerdos con el cliente,
hasta su entrega y puesta en funcionamiento operativo.
189
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es la operativa habitual para la creacin de servicios TI en su
organizacin?
Cmo se validan las propuestas de nuevos servicios?
Qu mejoras incorporara al proceso propuesto en este captulo?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
6
99,99%
Captulo 6
Procesos de
provisin de servicio
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
193
Una vez creado el servicio y puesto con xito en explotacin regular, es necesario
desencadenar una serie de actividades que ayuden a garantizar que los servicios cumplen los cometidos pactados con el negocio en trminos de: los niveles de servicio,
la continuidad, la disponibilidad, los presupuestos, la capacidad y la seguridad.
Adems de velar por la consecucin de lo comprometido, tambin se debe estar
involucrado en asegurarse que los nuevos servicios o la evolucin de los mismos se
realiza cumpliendo con lo que la organizacin ha predefinido.
Para garantizar que se cumplen estos objetivos se han definido los procesos de
provisin del servicio, seis procesos especializados que engranan con las relaciones con el negocio y con la creacin de servicios. En la figura 6.1 se muestran
estas relaciones.
Planificacin e implementacin de nuevos servicios
o de servicios modificados
Relaciones
con el
negocio
Presupuesto y contabilidad
de los servicios de TI
Gestin de la capacidad
Gestin
de nivel de
servicio
Generacin
de informes
del servicio
Gestin de la continuidad y
disponibilidad de servicios TI
Gestin de la seguridad
de la informacin
En este escenario de servicios de alta calidad, alineados con los objetivos del negocio, que cubren las necesidades actuales y que deben ser capaces de evolucionar
rpidamente para cubrir las necesidades futuras, los procesos de la provisin del
servicio toman una especial importancia.
194
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los procesos de provisin del servicio en ISO/IEC 20000 contienen una importante diferencia frente a lo definido en ITIL v2, pues incorpora la generacin de
informes de servicio como un proceso independiente e incluye tambin el proceso
de seguridad de la informacin. Adems, agrupa en uno slo los procesos de continuidad y de disponibilidad (que en ITIL v2 estn separados).
195
196
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Proceso en ITIL v2
Gestin de nivel
de servicio ITIL v2
Proceso en ITIL v3
Gestin de nivel de
servicio ITIL v3
Gestin de
suministradores
(slo niveles de servicio
contratados)
197
Qu aporta:
Definicin:
Objetivo:
Denir, acordar, registrar y gestionar
los niveles de servicio.
El proceso debe ser capaz de comprender las demandas del negocio, aunque en
ISO/IEC 20000 no lleva propiamente las relaciones con el negocio (vase el apartado 7.2). Se relaciona internamente con el resto de unidades de TI para negociar y
198
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
fijar los acuerdos operativos. Tambin establece los requisitos para que los contratos de soporte con los suministradores estn alineados con los compromisos del
servicio, contratos que negociar y seguir el proceso de gestin de suministradores (vase el apartado 7.3).
En la figura 6.1.4 se muestran los principios bsicos en los que se sustenta la actividad de este proceso.
La implementacin de las Normas ISO/IEC 20000 requiere un cambio en la cultura de la organizacin, con una orientacin al servicio y al cliente. La gestin de
nivel de servicio es el instrumento principal para inculcar la cultura de servicios en
la organizacin de TI. As, la misin de la organizacin de TI va ms all de la pura
tecnologa, para ofrecer soluciones al negocio empaquetadas bajo el concepto de
servicio. Para ello, el catlogo de servicios y los acuerdos de nivel de servicio (SLA)
son las principales palancas para esta transformacin cultural. Los servicios que se
ofrecen a los clientes se recogen en un catlogo de servicios de TI, alineado con el
negocio, que gestiona y mantiene este proceso. Adems, los servicios llevan asociados un compromiso de prestacin negociado con los clientes, incluidos en los
199
200
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Catlogo
de servicios
Supervisin
del servicio
y de los SLA
Cultura
de servicio
Mejoras
Acuerdos de nivel
de servicio (SLA)
Acuerdos de nivel
de operativo (OLA)
Programa de
mejora del
servicio (SIP)
Gestin de nivel
de servicio
Cultura de
compromiso
Requisitos para
los contratos
de soporte (UC)
Mejoras
PDCA
SGSTI
Mejora
del proceso
201
202
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
presente proceso es todo lo relativo a los niveles de servicio, a definir o ya definidos. Las otras dos reas restantes se desempean de forma continua y velan por la
calidad de los servicios prestados y por el cumplimiento de los SLA firmados.
Las actividades el proceso junto con sus entradas y salidas se resumen en la figura 6.1.6.
Entradas
Desencadenantes
del proceso:
Necesidades negocio y
clientes.
Sistema de
monitorizacin de
servicios.
Encuestas de
satisfaccin del cliente.
Entradas de soporte:
Catlogo de servicios
existente.
Acuerdos de nivel de
servicio existentes.
Acuerdos nivel operativo
y contratos de soporte
existentes.
Informacin del nivel de
servicio procedente
de otros procesos.
Polticas negocio y TI.
Actividades
3 Gestin del catlogo de
servicios: creacin y
mantenimiento.
3 Gestin de los SLA: creacin,
acuerdo, difusin,
mantenimiento.
3 Gestin de OLA y respaldo
mediante UC.
3 Supervisin y monitorizacin
de los servicios y de
los SLA.
3 Mejorar los servicios y SIP,
a travs de los programas
de mejora del servicio.
3 Supervisin y mejora del
proceso.
3 Generacin de peticiones de
cambio (RFC): del catlogo,
de SLA, de UC, de los
servicios o del propio proceso.
Salidas
Salidas principales:
Catalogo de servicios.
Acuerdos de nivel de
servicio (SLA).
Programa de mejora del
servicio (SIP).
Salidas secundarias:
Acuerdos nivel operativo
(OLA).
Requisitos para
los contratos de
soporte (UC).
Especificaciones para los
informes de cumplimiento
de nivel de servicio.
Plan de mejora del
proceso.
Peticiones de cambio
(RFC) por SLA o SIP.
CMDB actualizada.
Arquitecturas TI.
CMDB.
203
recibida de los sistemas de monitorizacin, especialmente en relacin al cumplimiento de los SLA; los resultados negativos de las encuestas de satisfaccin del
cliente o del usuario que impulsen a los gestores de nivel de servicio al impulso de
acciones de mejora.
El proceso utiliza otras entradas de apoyo a la realizacin de sus actividades. Las
principales entradas de soporte son el catlogo de servicios existente para determinar si la necesidad del cliente est cubierta por el catlogo o para realizar modificaciones en l; los SLA, OLA y UC existentes como base para la definicin de los
nuevos o para modificarlos; la informacin sobre el nivel de servicio y propuestas
de mejora provenientes de otros procesos o reas; las polticas relativas a la prestacin de servicios; las arquitecturas de TI existentes con el fin de conocer los niveles
de servicio a los que se puede comprometer; y la CMDB para proveer todo tipo de
informacin sobre TI y sus elementos de configuracin.
El proceso de gestin de nivel de servicio agrupa las actividades de coordinacin,
diseo, negociacin, monitorizacin y reporte de los acuerdos del nivel de servicio
establecidos con el cliente, as como la revisin continua de los resultados del servicio para asegurarse de mantener y mejorar gradualmente la calidad del servicio, que
necesita el negocio, de forma justificable en trminos de coste. Las actividades principales que realiza este proceso son:
Gestin del catlogo de servicios. Se encarga de la creacin y mantenimiento del catlogo de servicios de TI. Ayuda al proceso de relaciones con el
negocio a determinar si las necesidades del cliente pueden ser provistas por
servicios del catlogo.
Gestin de SLA. Creacin de los acuerdos de nivel de servicio (SLA), realizada en coordinacin o bajo peticin de relaciones con el negocio. Difusin de los SLA entre toda la organizacin de TI. Mantenimiento de los
SLA, actualizando sus contenidos en coordinacin con relaciones con el
negocio.
Gestin de OLA y respaldo con UC. Revisin de los acuerdos internos y
contratos con suministradores (OLA y UC) para garantizar que respaldan lo
comprometido en los SLA. En relacin a los UC, pasa los requisitos que se
deben cumplir al proceso de gestin de suministradores para la realizacin
de un nuevo contrato o la modificacin a los existentes.
Supervisin y monitorizacin de los servicios y de los SLA. Para verificar
el cumplimiento de los niveles de servicio y emprender acciones de mejora
en caso de necesidad.
Mejora de los servicios y SIP. Creando un programa de mejora del servicio para cada uno de ellos, o bien, uno conjunto.
204
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El catlogo de servicios de TI
El catlogo de servicios es el instrumento de relacin ms importante de TI con sus
clientes, ya que en l se recoge el conjunto total de los servicios que la organizacin
de TI provee a sus clientes. El catlogo es una excelente herramienta para ayudar
en el cambio cultural del proveedor de servicios de TI hacia objetivos como:
Alineamiento con el negocio. Aportando valor aadido al conocer de
forma clara y precisa los servicios de TI que soportan su negocio.
Orientacin al cliente. Estructurando la misin y el trabajo de TI en torno
a la satisfaccin de las necesidades del cliente en forma de prestacin de
servicios.
Calidad de servicio. Contemplando los indicadores y mtricas que constituyen la base de los acuerdos de nivel de servicio (SLA).
Gestin de los servicios. Facilita la gestin y control de los niveles de servicio comprometidos con los clientes, posibilitando medir en trminos que el
cliente entiende. Estas medidas permiten pasar de medir percepciones a
tener mtricas entendidas y acordadas por las dos partes.
205
UNE-ISO/IEC 20000-1
Se deben acordar por las partes, y registrar, el conjunto total de los servicios a ser
provistos, junto a los correspondientes objetivos de nivel de servicio y las caractersticas de la carga de trabajo que deben soportar.
UNE-ISO/IEC 20000-2
Catlogo de servicios
b) los objetivos (por ejemplo tiempo de respuesta o de instalacin de una impresora, tiempo para reiniciar un servicio
tras un fallo importante),
c) datos de contacto,
d) horario del servicio y excepciones,
e) disposiciones de seguridad.
El catlogo de servicios es un documento clave para establecer las expectativas del cliente y debera ser fcilmente accesible y estar ampliamente
disponible tanto para los clientes como
para el personal de apoyo.
206
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Facilitar que la organizacin de TI gestione los servicios de una forma eficiente, ya que el catlogo est elaborado por y para los clientes y contiene los
niveles de servicio acordados.
Para cumplir su funcin, se debera acceder a l fcilmente y estar disponible tanto
para los clientes como para el personal de TI. La publicacin va web en un portal
de TI en la intranet de la empresa es uno de los mejores medios para conseguirlo.
Adems se deben preparar sesiones de presentacin del catlogo, tanto con los
clientes, como internamente en TI.
El catlogo debe contener todos los servicios que proporciona TI, sus caractersticas, y los clientes y usuarios a los que van destinados.
En la actividad de definicin de un catlogo de servicios TI se suelen utilizar los
siguientes elementos:
Definicin de servicio. Explicacin precisa de lo que es un servicio.
Clasificacin en categoras y subcategoras de servicio. Agrupacin lgica de
servicios. Los servicios se pueden organizar realizando agrupaciones con distintos grupos de servicios.
Lista de servicios. Enumeracin de todos los servicios agrupados por categora/subcategora.
Estructura del catlogo. ndice general del contenido que tendr el catlogo.
Plantilla de la ficha de un servicio. Estructura del documento que describir
cada servicio.
Fichas descriptivas de los servicios. Documentos elaborados para cada uno
de los servicios que reflejan la oferta comn de TI. Contienen la descripcin,
atributos, parmetros y componentes de cada servicio ofertado. Una definicin estndar de un servicio, puede adaptarse a las necesidades de un cliente
a travs de la firma de un SLA especfico con este cliente.
Relacin de reas cliente. Clasificacin de los clientes de TI a los que se ofrecen servicios. Pueden ser clientes internos (de la misma empresa) o externos.
Mapa de cliente/categoras de servicio. Esquema grfico de las categoras de
servicios y sus reas cliente.
Matriz cliente/servicio. Tabla que relaciona cada servicio con sus reas
cliente.
La estructura habitual de un catlogo de servicios se muestra en la figura 6.1.7.
207
Con el fin de describir de forma detallada y homognea todos los servicios que
oferta TI, se debe establecer una plantilla documental que servir de base para definir todos los servicios. Esta ficha tipo suele estructurarse en dos partes: una que
contiene los aspectos de inters para los clientes y usuarios, y otra que incorpora
detalles sobre los servicios internos de TI, que no se muestra a los usuarios. En la
figura 6.1.8 se presenta un ejemplo de la estructura de una ficha de servicio.
Es recomendable que el servicio se d de alta en el catlogo tan pronto como se
conozcan los datos bsicos del mismo, sin esperar a que est operativo. De esta
forma, toda la comunidad de usuarios y los profesionales de la organizacin de TI
conocern de primera mano los servicios que estn en fase de definicin y acuerdo.
Para gestionar correctamente las expectativas y no crear conflictos o malos entendidos, se utiliza la informacin de estado del servicio (vase la figura 6.1.9). Esta
informacin debe contener las etapas del ciclo de vida de los servicios, desde su
peticin hasta su retirada de la operacin.
208
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Definicin.
Funcionalidades del servicio.
Opciones de contratacin.
Condiciones de uso.
Ficha de un servicio de TI
Informacin externa del servicio:
1. Descripcin del servicio para el usuario.
2. Informacin complementaria del servicio
para el cliente.
3. Solicitud de acceso, modificacin y baja.
4. Preguntas frecuentes.
Informacin interna del servicio:
5. Indicadores del servicio.
6. Informacin tcnica del servicio.
7. Informacin del coste del servicio.
8. SLA del servicio.
9. Varios.
Estados de un servicio
Requerimientos
Definido
Analizado
Aprobado
Dotado
Diseado
Desarrollado
Construido
Probado
Desplegado
Operativo
Retirado
Fuente: Libro ITIL Diseo del Servicio publicado por OGC.
209
Una vez que se define o se actualiza el catlogo, se debe generar una nueva versin
del mismo. Esta nueva versin se debe publicar en la organizacin TI, distribuida a
los gestores de las relaciones con el negocio y clientes para publicitar y dar a conocer todos los servicios disponibles, ponindolo accesible a los usuarios (va web).
El catlogo de servicios requiere un mantenimiento y una actualizacin peridica,
incorporando los nuevos servicios o las modificaciones a los existentes. Todo cambio en el catlogo debe realizarse bajo el control del proceso de gestin del cambio.
210
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
Acuerdos de nivel de servicio (SLAs)
211
l) procedimientos de reclamacin;
r) glosario de trminos;
El contenido del SLA debe identificar claramente a todos los intervinientes del
acuerdo de servicio: el cliente, los usuarios, las distintas reas de la organizacin TI
involucradas en la prestacin del servicio; as como las caractersticas del servicio a
prestar: los horarios de disponibilidad del servicio, los tiempos de respuesta, los
plazos de resolucin en caso de incidente, etc.
En relacin a los horarios de disponibilidad del servicio se deben definir los tramos
horarios en los que habitualmente se utiliza el servicio, por ejemplo: 7 x 24 horas,
de lunes a viernes de 8:00 a 18:00 h, etc. Adems, es importante incluir directrices
para posibles ampliaciones del mismo, que contemplen el tiempo de preaviso necesario (por ejemplo, esta solicitud se debe realizar al servicio de asistencia tcnica
antes de las 12 AM para una ampliacin del servicio por la tarde, antes de las 12 del
jueves para una ampliacin el fin de semana). Tambin se incluyen horarios especiales como en perodos de vacaciones, etc., y un calendario anual del servicio en el
caso de variaciones de las condiciones del servicio, como en campaas de Navidad,
en verano, etc.
La disponibilidad del servicio es uno de los parmetros que ms impacta en el negocio y uno de los ms famosos en el SLA. Se definen los objetivos de disponibilidad
de los servicios dentro del horario acordado, normalmente expresados en trminos de
porcentajes (99%, 99,8%, 99,99%, etc.); se incluye tambin el perodo y el mtodo
de medida.
212
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
213
En el caso del procesado por lotes, se establece la ventana de tiempo para la ejecucin de trabajos batch (normalmente en horario nocturno), se acuerda el porcentaje de finalizacin correcta de los trabajos, el lugar para obtener y entregar los
resultados, los interlocutores por ambas partes, etc.
Tambin se debe contemplar las condiciones relativas a la capacidad soportada por
el servicio, como son los lmites de la carga de trabajo, el nmero de usuarios, capacidad de procesamiento del sistema, los volmenes de trfico de comunicaciones,
el nmero pico de transacciones que ser necesario procesar y el nmero mximo
de usuarios en concurrencia. Esto es importante para poder identificar las deficiencias en el rendimiento o el incremento de costes debido a la necesidad de ampliar la
capacidad del servicio o del nmero de licencias de software.
En relacin a los cambios al SLA, es importante identificar los criterios para realizarlos y los interlocutores necesarios para aprobar, gestionar e implementar las peticiones de cambio (RFC) relacionadas con el servicio. Normalmente los criterios se
basan en la categorizacin y urgencia, o impacto del cambio.
Los aspectos de la continuidad ante desastres y seguridad del servicio tambin son
temas para analizar e incorporar al SLA:
Se debe contemplar si el servicio est sujeto a planes para la continuidad de
los servicios TI, describiendo brevemente las condiciones que marcan la activacin del plan y cmo ponerlo en marcha.
Detalles de los objetivos de servicio reducidos o modificados en caso de
desastre (si no existe un SLA especfico para tales situaciones).
Informacin relacionada con la seguridad, especialmente aquellos aspectos
que sean responsabilidad del cliente (por ejemplo, copias de seguridad, cambios de contrasea, etc.).
En el acuerdo de servicio es importante recoger los detalles sobre los costes, perodos y frmulas de facturacin (si se factura).
Se deben detallar los contenidos, frecuencia y distribucin de los informes, as
como, la frecuencia de las reuniones para la revisin del servicio.
En la figura 6.1.10 se muestran los conceptos que se deben incluir en un SLA, alineados con las recomendaciones de la Norma ISO/IEC 20000-2.
El acuerdo de nivel de servicio es el contrato que TI firma con sus clientes, en torno
a este acuerdo todas las reas y procesos de la organizacin deben enfocar su actividad para velar por su cumplimiento.
214
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Contenido de un SLA
Ttulo y breve descripcin del
servicio.
Objetivos del servicio.
Las partes implicadas en el acuerdo.
Titular del servicio. Firmantes.
Fechas: comienzo, trmino, revisin.
mbito del acuerdo, lo que cubre y lo
que se excluye.
Responsabilidades del proveedor del
servicio y del cliente.
Descripcin de los servicios cubiertos.
Horario de prestacin, excepciones
al mismo y perodos crticos para el
negocio y cobertura fuera del horario.
Disponibilidad del servicio y capacidad
soportada por el mismo.
Procesado por lotes (batch).
Autorizaciones.
Comunicacin, reuniones e informes.
Datos de contacto.
OLA y UC de soporte con el propio
servicio.
Continuidad y seguridad de los
servicios TI.
Asistencia:
Horario de asistencia (cuando no sea
el mismo que el horario de servicio).
Horarios especiales.
Tiempo objetivo de respuesta a las
incidencias.
Tiempo objetivo para resolver las
incidencias.
Procedimientos de escalado y de
notificacin.
Procedimientos de reclamacin.
Acciones a llevar a cabo en caso de
interrupcin del servicio.
Interrupciones planificadas y
acordadas, incluido el aviso que se
debe dar y el nmero por perodo.
Responsabilidades del cliente.
Responsabilidades y obligaciones del
proveedor del servicio.
Detalles de alto nivel de la gestin
financiera.
Mecanismo de control de cambios
del SLA. Procedimientos de
mantenimiento interno.
Glosario de trminos.
Excepciones a las clusulas incluidas
en el SLA.
215
Segn ITIL, hay diversas formas de establecer los SLA: basado en el servicio,
basado en el cliente y multinivel.
SLA basado en el servicio. Cuando un SLA cubre un servicio y es el mismo para
todos sus clientes. Por ejemplo, se puede establecer un nico SLA para el servicio de
correo electrnico de una organizacin que cubra a todos los clientes de ese servicio.
Aunque puede parecer bastante sencillo, sin embargo pueden surgir dificultades si
los requisitos especficos de clientes varan para un mismo servicio, o si las caractersticas de la infraestructura TI implican que sean inevitables distintos niveles
de servicio (por ejemplo, la central puede estar conectada por medio de una LAN de
alta velocidad, mientras que las oficinas locales utilizan una lnea de menor velocidad). En tales casos, sern necesarios distintos objetivos en un mismo acuerdo.
Tambin pueden surgir dificultades al determinar quin debera firmar tales acuerdos.
SLA basado en el cliente. Soporta un acuerdo con una rea cliente especfica, que
cubra todos los servicios que utilizan. Por ejemplo, se puede llegar a acuerdos con
el departamento de finanzas de una organizacin para cubrir, por ejemplo, el sistema financiero, el de contabilidad, el de nminas, la facturacin y otros servicios
que utilicen.
A menudo, los clientes prefieren este acuerdo, ya que cubren todos sus requisitos
con un solo documento. Slo se requiere una firma, lo que simplifica su gestin y
evolucin posterior.
SLA multinivel. Algunas organizaciones, principalmente multinacionales, han
decidido adoptar una estructura de acuerdos de nivel de servicio de nivel mltiple.
Por ejemplo, una estructura de tres niveles como la siguiente:
1. Nivel corporativo. Cubre todos los aspectos genricos sobre la prestacin
de servicios para los clientes en toda la organizacin. Generalmente estos
aspectos son menos voltiles, por lo que ser necesario realizar menos actualizaciones.
2. Nivel del cliente. Cubre todos los aspectos sobre la prestacin de servicios
que resultan relevantes para un grupo de clientes particular, sin que importe
el servicio utilizado.
3. Nivel del servicio. Cubre todos los aspectos sobre la prestacin de servicios
aplicado a un servicio concreto y a este grupo de clientes especfico (para
cada servicio recogido en los SLA). En la figura 6.1.11 se muestra una
estructura de este tipo.
216
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Nivel corporativo
UNE-ISO/IEC 20000-2
El proceso de gestin de nivel de
servicio
Los cambios importantes en el negocio,
debidos, por ejemplo, al crecimiento,
fusiones y reorganizaciones del negocio,
y los cambios en los requisitos del cliente,
pueden implicar el ajuste de los niveles
de servicio, su redefinicin o incluso su
Se le debera dar al proveedor del servicio la informacin adecuada para permitirle que comprenda las motivaciones
y requisitos del negocio del cliente.
El proceso de SLM debera gestionar y
coordinar a quienes contribuyen al nivel
de servicio, para incluir:
a) acuerdo en los requisitos del servicio y en las caractersticas de la
carga de trabajo esperada del
servicio;
b) acuerdo en los objetivos de servicio;
c) medicin e informe de los niveles
de servicio conseguidos, cargas de
trabajo y explicaciones cuando
no se alcanzan los objetivos acordados;
d) inicio de la accin correctiva;
217
En relacin a la gestin del SLA los principales temas a tener en cuenta son:
Involucrar al cliente. Siempre que sea posible es necesario involucrar al cliente
desde el comienzo de la actividad. En la relacin con el cliente es conveniente crear
un borrador con las lneas maestras del SLA que sirva como punto de partida, para
posteriormente ir ampliando y profundizando en sus contenidos. Es fundamental
que el cliente participe y sienta el SLA como suyo. Si TI profundiza demasiado en
su definicin hasta el punto de presentar el SLA como un hecho consumado
puede provocar el rechazo en el cliente.
En muchas organizaciones se utilizan documentos proforma, creados a partir de
definiciones de SLA pilotos, como punto de partida para todos los acuerdos
de nivel de servicio.
Redaccin de los acuerdos. La redaccin de los SLA deber ser clara y concisa,
sin dejar lugar a la ambigedad. Generalmente no es necesario que los acuerdos
estn redactados utilizando una terminologa legal; en realidad la utilizacin de
un lenguaje claro ayudar a una mejor comprensin. Como comprobacin resulta
muy til que una persona independiente, que no est implicada en la redaccin
del documento, realice una lectura final del mismo. Esta revisin suele poner de
218
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
manifiesto las posibles ambigedades y dificultades, lo que nos permite tomas las
medidas oportunas de revisin y aclaracin.
Tambin merece la pena recordar que los acuerdos de nivel de servicio pueden dar
cobertura a los servicios ofrecidos a diferentes comunidades lingsticas, por lo que
es necesario contemplar la disponibilidad de los SLA en los diferentes idiomas. En
este aspecto hay que dedicar un especial cuidado a la terminologa, ya que un SLA
puede revisarse en diferentes pases y, por tanto, puede ser necesario considerar los
aspectos de terminologa, estilos y diferencias culturales.
Negociacin y acuerdo. Una vez definido y redactado un documento base del
acuerdo, se deben mantener negociaciones con el cliente, o con sus representantes,
para concretar los contenidos del SLA y los objetivos finales del nivel de servicio.
En este proceso tambin es necesario establecer reuniones previas con las reas
internas de TI y con los proveedores para asegurarse de que estos niveles son alcanzables y cerrar los acuerdos de nivel operativo (OLA) y los contratos de soporte
(UC) correspondientes.
Para realizar esta labor, el gestor del nivel de servicio deber realizar su propio programa de reuniones y negociaciones con los clientes (a travs de relaciones con el
negocio) para asegurar que se identifican los requisitos reales, y con las reas internas y los suministradores (a travs de gestin de suministradores) para garantizar
que se cubren adecuadamente los compromisos establecidos en el SLA.
En este punto es importante formalizar con el cliente los mecanismos de revisin y
notificacin, los intervalos y los formatos de los informes de los SLA.
La frecuencia y el formato de las reuniones de revisin del servicio tambin deben
acordarse con los clientes. Es muy recomendable utilizar intervalos regulares, y en
cuanto a los informes peridicos, al menos se deberan alinear con los ciclos de las
revisiones. Es conveniente la realizacin de reuniones presenciales para facilitar la
comunicacin personal, pero en el caso de dispersin geogrfica ser recomendable
la utilizacin de otros formatos de reunin.
Firma del acuerdo. Este aspecto es esencial para que el SLA acordado tenga la
suficiente credibilidad por las dos partes, por lo que hay que garantizar que al trmino del proceso de redaccin y negociacin, el acuerdo de nivel de servicio sea
firmado por los cargos apropiados, tanto del lado del cliente como del proveedor
de TI.
Esto garantizar el compromiso de que ambas partes intentarn hacer todo lo que
sea posible para cumplir los SLA firmados. De forma general, cuanto ms alta sea
la jerarqua de los firmantes, mayor ser esta garanta.
219
Una vez firmado y cerrado el acuerdo de nivel de servicio se debe formalizar dentro de la organizacin TI como un activo ms, y por tanto estar sujeto al control
de gestin del cambio, mediante la correspondiente formalizacin de una peticin
de cambio. A partir de este punto, cualquier modificacin estar sujeta a la gestin
y aprobacin del proceso de gestin del cambio.
Difusin de los SLA. Una vez cerrado el SLA, es fundamental utilizar una buena
promocin y difusin que permita asegurar que los clientes y las diferentes reas del
proveedor de servicios TI estn enterados de su existencia y de los objetivos clave.
En este punto es clave que el centro de servicio al usuario tenga conocimiento de
los contenidos de los SLA, ya que es el primer punto de contacto de los incidentes,
consultas y quejas de los clientes. Si el personal del centro de servicio al usuario no
est bien informado de los SLA en vigor y no acta en consecuencia, los clientes
perdern rpidamente su confianza en estos acuerdos.
Mantenimiento de los SLA. El SLA es un elemento de informacin ms dentro
de la organizacin de TI y, una vez operativo, est sujeto al mismo control y administracin que el resto de los elementos de configuracin (CI, Configuration Item).
Por tanto, cualquier propuesta de modificacin est sujeta al control y aprobacin
del proceso de gestin del cambio.
Revisin de los SLA. Los acuerdos del nivel de servicio deben revisarse peridicamente con los clientes para garantizar si an son validos y adecuados a las necesidades del negocio y las capacidades de la organizacin TI, por ejemplo, anualmente
en lnea con el ciclo financiero.
UNE-ISO/IEC 20000-1
Los SLAs se deben revisar peridicamente por las partes, para asegurar que se
encuentran actualizados y continan siendo eficaces con el transcurso del tiempo.
220
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
estn consiguiendo los objetivos. Todas las medidas acordadas se deberan registrar
en las actas, y se debera revisar el progreso y los resultados obtenidos en la
siguiente reunin.
221
222
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Estructura de un acuerdo de
nivel operativo (OLA)
Introduccin:
Objetivo y alcance.
SLA de referencia.
Unidad TI que lo soporta.
Requerimientos:
Acuerdos del servicio.
Descripcin del nivel de servicio (SLA).
Plan de proyecto del servicio interno.
Objetivo y alcance del servicio.
mbito de aplicacin.
Funcionalidades proporcionadas.
Caractersticas del servicio interno:
Niveles internos de servicio y niveles SLA de
referencia.
Horario de servicio y soporte, disponibilidad y
fiabilidad, continuidad y seguridad, rendimiento.
Otros OLA y UC que utiliza.
Explotacin y operacin, tcnicas, etc.
Responsables involucrados:
Responsable de planificacin e implantacin de
servicios nuevos o modificados.
Responsable de gestin de nivel de servicio.
Responsables de procesos/departamentos
afectados.
Responsables de otros procesos/departamentos
involucrados.
Fuente: Telefnica.
223
224
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
225
Durante la actividad de redaccin y negociacin del acuerdo es cuando se analizan y determinan las mtricas para medir el servicio, y es justo en este punto en
el que hay que comprobar que existen los medios necesarios para poder monitorizar su cumplimiento. No se debera incluir ninguna mtrica en un SLA a menos
que pueda medirse y monitorizarse de una manera efectiva y segn acuerdo
mutuo. Esto es importante, ya que incluir elementos que no puedan monitorizarse de forma eficaz provocar conflictos y la eventual prdida de confianza en
los SLA.
En la actividad de monitorizacin se debe prestar una atencin especial a cada
incumplimiento (denominado ruptura o violacin) de los niveles de servicio acordados, con el fin de determinar qu fue exactamente lo que caus la prdida del
servicio y qu se puede hacer para evitar que vuelva a ocurrir. Si se determina que
el nivel de servicio es ahora inalcanzable, es aconsejable revisar y volver a acordar
unos objetivos diferentes. Si la ruptura del servicio ha sido causada por un fallo de
una tercera parte o de un grupo de soporte interno, puede que tambin sea necesario revisar el contrato de soporte o el OLA correspondiente.
En los informes se deber realizar la comparacin entre los valores de los indicadores obtenidos y los valores objetivo o umbrales de referencia.
Los informes generados y la informacin que contienen tienen como objetivo la
comprobacin del cumplimiento de los SLA y el anlisis de su evolucin, para
detectar posibles acciones de mejora a los SLA y los componentes de la propia
organizacin TI. Es decir, estos informes estn destinados tanto a la gestin de
nivel de servicio como a la propia gestin interna, por tanto, el contenido y naturaleza de estos informes deber ajustarse a cada destinatario.
226
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
227
mejoras, su justificacin en trminos de coste/beneficio, las fases, actividades, planificacin y responsabilidades, as como las mtricas necesarias para el seguimiento
del proyecto y validacin de las mejoras.
UNE-ISO/IEC 20000-1
Las acciones de mejora definidas durante este proceso se deben registrar y constituyen una entrada al plan de mejora del servicio.
228
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Introduccin
Objetivo y alcance.
Gestin de la seguridad.
Clientes actuales:
Gestin de la disponibilidad.
Cliente.
Gestin de la capacidad.
SLA referencia.
Fecha de inicio.
Servicio.
Descripcin de la mejora
Plan de trabajo. Actividades y
responsables.
reas de mejora
Descripcin de las debilidades y
reas de servicio.
Acciones de mejora
Impacto.
Estimacin de esfuerzo.
Justificacin coste/beneficio.
Cambios asociados:
Estimacin de costes.
Descripcin.
reas TI involucradas
Justificacin.
rea.
Beneficios esperados.
Justificacin.
Participacin.
229
El proceso de relaciones con el negocio, podemos decir que se encarga de mantener las relaciones pblicas para la gestin de nivel de servicio. Relaciones con el
negocio entiende ms de las funcionalidades que necesita el negocio y establece
y mantiene la relacin con el cliente, mientras que la gestin de nivel de servicio
tiene un conocimiento ms preciso de lo que TI es capaz de aportar. El proceso de
relaciones con el negocio requiere la participacin de la gestin de nivel de servicio
230
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
en todos los aspectos relacionados con la satisfaccin de las necesidades del cliente
mediante servicios ya disponibles en el catlogo o mediante la confeccin o revisin de los acuerdos del nivel de servicio. Una vez puesto en marcha el servicio, gestin de nivel de servicio rinde cuentas al cliente sobre los niveles de servicio
alcanzados y analiza conjuntamente las opciones de mejora.
En el caso del proceso de planificacin e implantacin de servicios nuevos o modificados, la interrelacin sigue un esquema similar: las relaciones con el negocio se
encargan de entender al cliente y el establecimiento de los requisitos, mientras que
la gestin de nivel de servicio proporciona un catlogo de servicios actualizado y la
definicin del acuerdo de nivel de servicio (SLA).
El proceso de generacin de informes del servicio produce los informes que necesita la gestin de nivel de servicio para informar a los clientes y a TI sobre los niveles de servicio. Los informes deben contemplar informacin relevante de forma
que permita analizar aspectos clave del servicio, como su rendimiento, cargas
de trabajo, cumplimiento de los compromisos con los clientes (SLA), incidentes
graves, etc. Los informes deben servir para la gestin de los servicios y la definicin de acciones correctoras y de mejora de los servicios.
El proceso de elaboracin de presupuestos y contabilidad de los servicios de TI
proporciona la informacin econmica necesaria para la toma de decisiones en
cuanto a los niveles de servicio y para que los compromisos se asuman con un
conocimiento preciso de los costes.
Con el resto de procesos, la gestin de nivel de servicio establece el valor de los
parmetros en SLA que se pueden cumplir por TI, para posteriormente realizar el
seguimiento de los mismos. As, con la gestin de la continuidad y disponibilidad
se establecern los umbrales de los SLA de emergencia y los valores de disponibilidad y de rendimiento de los servicios; con la gestin de la seguridad los temas relativos al nivel de seguridad a comprometer; con la gestin de la capacidad se definen las necesidades de proceso, almacenamiento, etc.
La relacin con la gestin del cambio es de las ms fundamentales, pues gestin de
nivel de servicio (como todos los otros procesos) no puede cambiar nada que no
est validado por la gestin del cambio. Por ello, se deben generar peticiones de
cambio antes de crear un nuevo SLA o de modificar uno existente, as como para
ejecutar las modificaciones derivadas de los planes de mejora del servicio.
En relacin con el rea de desarrollo de aplicaciones, el proceso de planificacin y
diseo de infraestructuras y el de operacin del servicio, se tratan los requisitos a
cumplir por cada una para la satisfaccin de los niveles de servicio. Los compromisos
con cada una de estas partes se formalizarn en un acuerdo de nivel operativo (OLA).
231
232
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Figura 6.1.17. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
233
234
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Responsable de la
gestin del servicio
Responsable del
proceso SLM
Gestores del
nivel de servicio
Gestores de otros
procesos y reas TI
SGSTI
Administrador
catlogo de servicios
Propietario del
modelo (SGSTI)
Administrador y
soporte del proceso
Resumen
El proceso de gestin de nivel de servicio es clave para cumplir con las expectativas
de los clientes de TI, manteniendo y mejorando la estabilidad de los servicios ya
que regula y controla toda la cadena de aseguramiento de los acuerdos de nivel de
servicio firmados con los clientes.
El proceso mantiene la calidad y fiabilidad de los servicios, velando, tanto por la
creacin de SLA fiables y acordes con las necesidades del negocio, como por el control y mejora reactiva/proactiva que permiten mejorar la calidad de la prestacin de
los servicios de TI. Este proceso trabaja en estrecha colaboracin con los procesos
y con las reas tcnicas.
235
Los principales elementos que componen el proceso son: el responsable del proceso, el catlogo de servicios, los SLA, los OLA, los UC y los programas de mejora
del servicio (SIP).
Beneficios
La mejora en la calidad y la reduccin de las interrupciones del servicio, que aporta
una efectiva gestin de nivel de servicio, permite la obtencin de ahorros econmicos significativos. Por un lado, el cliente puede realizar sus funciones de negocio de
forma predecible y minimizar el impacto negativo en sus actividades mediante el
cumplimiento de los acuerdos de servicio establecidos y la planificacin de paradas
de mantenimiento del servicio, y por otro, la organizacin TI gastar mucho menos
tiempo y esfuerzo al tener menos incumplimientos de SLA que resolver.
Entre los beneficios de la gestin de nivel de servicio se pueden destacar:
La prestacin del servicio TI se disea para satisfacer los requisitos del servicio de los clientes.
Permite mejorar las relaciones con los clientes.
Las dos partes firmantes del SLA tienen una visin clara de sus funciones y
responsabilidades, evitando posibles omisiones o malentendidos.
Se tienen objetivos especficos y acordados, con los que se puede comparar y
medir la calidad del servicio; si no aspira a nada, probablemente eso sea lo
que consiga.
Permite centrar el esfuerzo en TI en los servicios clave para el negocio.
La monitorizacin de los servicios facilita la identificacin de reas de debilidad, permitiendo emprender las acciones resolutivas que sean necesarias,
mejorando as la calidad de los futuros servicios.
El seguimiento realizado por este proceso permite identificar fallos en los
servicios motivados por acciones de los usuarios, pudiendo definir acciones
de mejora, como por ejemplo, la formacin.
La actividad de gestin de nivel de servicio refuerza la gestin y relacin con
las reas internas de TI y con los suministradores externos gracias a su integracin en la cadena de aseguramiento de los SLA de los clientes, todos tienen un objetivo comn.
Los SLA constituyen el elemento bsico para poder realizar la facturacin de
los servicios TI a los clientes segn los niveles de servicio requeridos.
236
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es la estructura del catlogo de servicios de su organizacin
deTI?
Cul es la estructura de los SLA de su organizacin?
Cmo estn estructuradas internamente las unidades o grupos de su
departamento de TI de cara a la realizacin de OLA?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
237
238
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
239
Se implanta una poltica de teletrabajo para flexibilizar los horarios, al resultar muy baja la satisfaccin del empleado de TI en la ltima encuesta anual.
En la figura 6.2.2 se presenta una visin introductoria al proceso de generacin de
informes del servicio.
Proceso de generacin de
informes del servicio
Qu aporta:
Definicin:
Objetivo:
Generar en plazo los informes
acordados, ables y precisos, para
informar a la toma de decisiones y
para una comunicacin ecaz.
Al centralizar en un proceso la
generacin de informes, se obtiene
una visin homognea sobre TI.
Para que la gestin del servicio aporte valor real a la organizacin de TI y al negocio, debe disponer en tiempo y con calidad de la informacin que permita la
correcta toma de decisiones. La centralizacin de todos los informes en un nico
punto aporta grandes ventajas en la realizacin de esta labor incomprendida, pues
responsabiliza a un proceso de la definicin general de las polticas de informes y
de su generacin. Los informes deben ser fiables, precisos y entregados a tiempo.
Los informes de TI destinados al negocio deben contener medidas significativas y
entendibles por l que permitan ayudarle a alcanzar sus objetivos estratgicos. La
precisin y fiabilidad de los valores aportados son clave en la relacin con el cliente.
Asimismo, la puntualidad en la entrega de los informes de nivel de servicio, segn
lo comprometido en los SLA, junto con los aspectos reseados anteriormente,
aportan confianza al cliente en la relacin.
240
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
241
Los informes deben mantener una continuidad a lo largo del tiempo, representando conceptos similares y su evolucin histrica. Para ello, disponer de un repositorio con todos los indicadores y sus mediciones ser una de las primeras actividades que se deben realizar. Para la creacin de este repositorio o base de datos hay
varias alternativas, como utilizar la solucin que habitualmente incorporan las
herramientas de gestin del servicio o como crear uno nuevo utilizando las herramientas habituales de anlisis de datos e inteligencia de negocio (data warehouse,
data mart, extraccin de datos, etc.). En organizaciones pequeas se puede empezar con una simple hoja de clculo.
Es importante que los informes reflejen la evolucin histrica de los indicadores
que contienen, pues en la gestin del servicio de TI son tan esenciales las tendencias como los valores puntuales de un perodo.
Los informes deben entregarse a tiempo, en el momento en que se necesiten, para
conocer la situacin o para tomar decisiones. Para conseguirlo es necesario disponer de las herramientas adecuadas que faciliten la laboriosa tarea de su confeccin.
El cumplimiento sistemtico en las fechas de entrega de los informes permitir que
las decisiones se tomen a tiempo y marcar una pauta rtmica de trabajo en toda la
organizacin.
242
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Poltica
de informes
Niveles
de servicio
Diseo de
informes
Cuadros
de mando
Realizacin
de informes
Informes
KGI
Panel de
control
KPI
Arquitectura
de mtricas
Indicadores
Monitorizacin
Base de datos de
indicadores y mediciones
243
Cuadro de mando de TI. Conjunto de indicadores que muestran una visin global del estado de TI. Contiene indicadores globales. Resume en un informe los
indicadores ms relevantes sin respetar las cuatro perspectivas clsicas de Kaplan y
Norton.
Dato, informacin y conocimiento. Un dato es un conjunto discreto, de valores
objetivos sobre un hecho real. Un dato no dice nada sobre el porqu de las cosas y,
por s mismo, tiene poca o ninguna relevancia o propsito.
La informacin es un mensaje, normalmente bajo la forma de un documento o
algn tipo de comunicacin audible o visible. A diferencia de los datos, la informacin tiene significado (relevancia y propsito). No slo puede formar potencialmente al que la recibe, sino que est organizada para algn propsito. Los datos se
convierten en informacin cuando su creador les aade significado. Transformamos datos en informacin aadindoles valor en varios sentidos.
El conocimiento es una mezcla de experiencia, valores, informacin y saber hacer
que sirve como marco para la incorporacin de nuevas experiencias e informacin,
y es til para la accin. Se origina y aplica en la mente de los conocedores. En las
organizaciones, con frecuencia no slo se encuentra dentro de documentos o almacenes de datos, sino que tambin esta en rutinas organizativas, procesos, prcticas,
y normas.
Factor crtico de xito (CSF, Critical Success Factor). Trmino utilizado en el
mbito de ITIL para definir un aspecto crtico o esencial a tener en cuenta para
el xito en un proceso.
Hechos ocurridos en el perodo. Sucesos ocurridos, actividades realizadas y
hechos relevantes a tener en cuenta en los informes.
Histrico del servicio. Representacin de los valores de los indicadores de un
servicio y comprende generalmente uno o ms aos si bien el perodo de retencin
depender de la naturaleza del indicador o mtrica considerada.
Indicador o mtrica. Son datos. Los trminos de indicador y mtrica se utilizan
normalmente como sinnimos y representan un tipo de dato utilizado para medir
una caracterstica de TI. Los indicadores se definen en una ficha y se miden.
Indicador objetivo (KGI, Key Goal Indicator). Indicador que muestra una caracterstica clave o general. Trmino utilizado en COBIT. Se utiliza para determinar los
indicadores ms importantes de TI (por ejemplo, el tiempo que se tarda en crear
un nuevo servicio de TI o time-to-market). Dado que la organizacin de TI suele
244
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
estar dividida por lo menos en tres reas (desarrollo, sistemas o centro de proceso
de datos y microinformtica o puesto de trabajo), los KGI se agrupan a su vez en:
KGI-TI. Indicador objetivo general o comn a todo el rea de TI o indicador de gobierno de las TI.
KGI-CPD. Indicador objetivo del rea de explotacin de sistemas o del centro de proceso de datos (CPD).
KGI-PT. Indicador objetivo del rea del puesto de trabajo (PT) formado por
microinformtica ms las redes.
KGI-DES. Indicador objetivo del rea de desarrollo de aplicaciones.
Indicador de rendimiento (KPI, Key Performance Indicator). Indicador que mide
el desempeo o rendimiento de un proceso, de un proyecto, etc. (por ejemplo, el
nmero de problemas abiertos). Es un indicador ms de detalle que el KGI.
Informe. Es un documento impreso o electrnico que contiene indicadores, anlisis e informacin sobre un mbito determinado de TI.
Informe del servicio. Es un informe sobre los servicios que presta TI indicando
el grado de cumplimiento de los niveles de servicio, los hechos ms relevantes en el
perodo con relacin al servicio (incidentes, problemas, evolucin, etc.).
Medida. Es el valor medido en un instante determinado de un indicador o mtrica.
Las medidas de un indicador se deben almacenar en un histrico para su tratamiento posterior. En este proceso medida y medicin se utilizan como sinnimos.
Niveles de servicio. Son los valores mnimos o mximos de los indicadores pactados con el cliente que deben cumplir los servicios de TI prestados.
Polticas de informes. Documento que establece los principios que deben cumplir
los informes de una organizacin.
245
En este apartado se desarrollan ampliamente los algo escuetos requisitos planteados en las Normas ISO/IEC 20000, recomendndose un conjunto de actividades
necesarias para el xito del proceso. Por tanto, estas actividades y su desarrollo van
ms all de los requisitos contenidos en estas normas.
La gestin de informes debe trabajar completamente coordinada con los responsables de los procesos y de las grandes reas de TI, pues necesita de su participacin
para conocer la actividad diaria que realizan y conseguir que stas realicen un anlisis adecuado de los valores obtenidos. Las interacciones y funcionalidades de generacin de informes de servicio se resumen en la figura 6.2.5.
Entradas
Actividades
Salidas
Desencadenantes
del proceso:
3 Definicin de la poltica de
informes.
Salidas principales:
Llegada de la fecha
preparacin del
informe.
3 Definicin de la arquitectura
de mtricas.
Peticin expresa de la
direccin.
3 Implementacin de
herramientas: monitorizacin,
recogida y reporting.
Entradas de soporte:
Acuerdos de nivel de
servicio existentes.
Estrategias del negocio y
de TI.
Datos de benchmarking
del mercado.
3 Captura de indicadores.
3 Generacin de informes.
3 Distribucin de informes.
3 Supervisin funcionamiento
del proceso. Mejora del
propio proceso.
Cuadros de mando.
Panel de control.
Otro tipo de informes.
Polticas de informes.
Salidas secundarias:
Base de datos de
indicadores y mediciones
actualizada.
Arquitectura de
mtricas.
Informes tipo o
plantillas.
Alarmas de umbrales
sobrepasados.
246
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Las entradas de soporte que utiliza el proceso son los acuerdos de nivel de servicio,
que informan sobre los umbrales que se utilizarn en los informes; las estrategias
del negocio y de TI, para la confeccin de la arquitectura de mtricas y el diseo de
los informes tipo; datos externos de benchmarking del mercado con ratios comparativos, con el fin de comparar los valores de los indicadores internos con los externos.
Las salidas principales del proceso son: los cuadros de mando actualizados necesarios (global de TI, del CPD, del Puesto, de Desarrollo, etc.); los informes del servicio prestado; el panel de control de TI; otros tipos de informes sobre acciones, proyectos, iniciativas, etc.; las polticas de informes generadas que marcan las
directrices del proceso.
Como salidas secundarias del proceso destacan: la base de datos de indicadores y
mediciones actualizada, el repositorio generado por el proceso que almacena los
datos necesarios para la confeccin de los informes; la propia arquitectura de mtricas creada y actualizada; las diversas plantillas que conforman los informes tipo; las
alertas generadas por haberse sobrepasado los umbrales de nivel de servicio, etc.
Las actividades del proceso son:
Definicin de la poltica de informes. En la que se define el alcance del proceso,
las responsabilidades sobre los datos y los informes, su difusin, etc.
Definicin de la arquitectura de mtricas. Realizada partiendo de la estrategia
del negocio y de la estrategia de TI, que define un conjunto de indicadores estructurados que son la base para los informes.
Diseo de los informes tipo. En una organizacin de TI eficiente, los informes se
deben predefinir de tal forma que se diseen una vez y se ejecuten en serie. La
informacin contenida en todos los informes debe mantener un estilo homogneo
para que sean ms sencillos de entender. Como resultado de esta actividad se obtienen las plantillas de los diversos tipos de informes a utilizar, adaptados al destinatario, el medio de difusin y la frecuencia.
Implementacin de las herramientas. La generacin de informes se inicia con la
monitorizacin que realiza la captura de los indicadores y los almacenan en sus
archivos especficos (por ejemplo, archivos de log), que luego hay que recoger e
importar en la base de datos de mediciones. Por ltimo, existe un conjunto de funcionalidades de reporting que permiten generar informes bajo demanda. Se deben
definir y desarrollar los sistemas para la captura de informacin y su correspondiente correlacin para obtener las medias adecuadas para la generacin de informes. En este escenario las herramientas juegan un papel fundamental para facilitar
el trabajo y evitar errores. Las herramientas comprenden:
247
248
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
generacin de los informes. En una primera fase, el proceso genera los informes en
modo borrador, para que sean completados y comentados por cada uno de los procesos o reas involucradas. Por ello, esta actividad debe perseguir a los responsables
para que revisen y complementen con informacin estos borradores.
Distribucin de informes. Una vez generados los informes se deben distribuir a
los destinatarios previstos. La forma ms sencilla o inmediata de realizar la distribucin es subir el informe a una seccin de informes en el portal web de TI y
comunicar a los destinatarios por correo electrnico su disponibilidad, si bien el
mecanismo que se debe utilizar vendr marcado en gran medida por la criticidad
de la informacin. En el caso de tratarse de informes a las reas clientes o a la direccin, ser conveniente mantener una reunin o audioconferencia para explicarlos y
revisarlos en detalle. En estas revisiones convendra contar con la presencia de los
responsables de los procesos tratados en el informe, y si es a los clientes, tambin
del gestor de relaciones con el negocio (gestor del cliente).
Supervisin del funcionamiento del proceso y mejora del mismo. Al igual que
en resto de procesos, el responsable del proceso debe supervisar la eficacia del proceso, la calidad de los datos contenidos y la entrega a tiempo de los informes.
Una de las facetas importantes de esta actividad es comprobar y conseguir que los
informes sean utilizados por sus destinatarios y que cumplan su misin de informacin, seguimiento o ayuda a la toma de decisiones para los que fueron creados.
Es tambin responsabilidad de esta actividad impulsar en los otros procesos la
generacin de los planes de mejora derivados del anlisis de los informes. Un ejemplo claro de esto es el proceso de gestin de nivel de servicio, que vela por que se
subsanen de forma inmediata las roturas de niveles de servicio detectadas en los
informes, desarrollando las iniciativas de mejora. Adems, dado que los informes
llevan tambin integrada la tendencia de evolucin de los indicadores, se podr
detectar anticipadamente el riesgo de incumplimiento de los niveles de servicio
para adoptar las medidas proactivas necesarias.
Todas las mejoras detectadas se incorporarn al plan general de mejora de TI, sin
que por ello, se dejen de ejecutar las acciones correctoras inmediatas.
249
UNE-ISO/IEC 20000-2
Poltica
Los requisitos para la generacin de informes para clientes y para gestin interna
se deberan acordar y ser registrados.
La supervisin del servicio y la generacin de informes abarcan todos los
aspectos medibles del servicio, proporcionando datos actuales e histricos.
Cuando existan mltiples proveedores,
suministradores principales y suminis-
250
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Cuadros
de mando
Tendencias
Gobierno
Benchmarking
Informe mensual
ejecutivo
Verbal
Informes del servicio
Texto mail
Gestin
Mtricas servicio
Alertas
Inventarios
Documentacin
Cualitativa
Monitorizacin
Cuantitativa
Fuente: Telefnica.
251
252
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
253
En la figura 6.2.7 se muestra esta estructura por capas y el mbito de cada indicador (arquitectura de mtricas) y su relacin con los informes asociados.
Fuente: Telefnica.
En esta representacin de indicadores en cascada, no quiere decir que los indicadores superiores se calculen como una media ponderada de los indicadores inferiores.
Sencillamente muestran algn aspecto ms general (por ejemplo, la disponibilidad
de los servicios, el coste total por usuario, etc.).
Esta misma estructuracin en pirmide de tres capas se ha utilizado en este libro al
final de cada proceso para categorizar los indicadores recomendados de proceso.
Estos indicadores se recomiendan como parte de la arquitectura de mtricas. En la
figura 6.2.8 se muestra el esquema de rbitas alrededor de un proceso utilizado
para representar los indicadores.
254
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
255
Intuitiva. Cada miembro expresa de forma intuitiva las mtricas que considera ms relevantes. La visin intuitiva es muy importante y se utiliza varias
veces en el ciclo de definicin del mapa de indicadores.
En base a un mix de experiencias (propias y ajenas). La experiencia y la
historia de los indicadores internos y los aportados por organizaciones externas, conforman la base para la primera propuesta.
Seguimiento de COBIT al 100%. En este caso se toma el estndar COBIT
y de l se extraen indicadores.
Seguimiento de ITIL al 100%. Al igual que en el caso anterior, ITIL se
toma como la nica referencia.
Mix de modelos: ITIL + COBIT. Se toman los procesos ITIL como base, y
se buscan indicadores proporcionados tanto por ITIL como por COBIT, o
bien que resulten complementarios a efectos de completitud de la informacin.
Alineacin con el negocio. El eje conductor de todo el ejercicio de seleccin de indicadores se articula en torno a la estrategia del negocio, identificando los objetivos de la empresa y los objetivos definidos de TI.
De cara a abordar un proyecto de definicin de la arquitectura de mtricas de TI,
se recomienda utilizar una metodologa mixta que contemple de alguna forma las
tcnicas anteriores. En la figura 6.2.9 se muestra una metodologa para la definicin de un mapa o una estructura de mtricas en TI.
256
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Perspectiva
financiera
Perspectiva
del cliente
Aumentar el ingreso.
Perspectiva de
aprendizaje
y crecimiento
Se pasa a la Etapa II, en la que se identifica la estrategia seguida por TI. Igualmente
el resultado es una lista corta de objetivos de TI. En la figura 6.2.11 se muestran
los objetivos tipificados en COBIT para los objetivos de TI.
ID.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
257
Objetivos TI COBIT
Responder a los requerimientos del negocio en alineacin con la estrategia del negocio.
Responder a los requerimientos de gobierno en lnea con el consejo de direccin.
Asegurar la satisfaccin de los usuarios finales con los servicios y niveles de servicio ofrecidos.
Optimizar el uso de la informacin.
Crear agilidad en TI.
Determinar cmo las necesidades funcionales y de control del negocio son traducidas en soluciones
automticas efectivas y eficientes.
Adquirir y mantener sistemas y aplicaciones estandarizados.
Adquirir y mantener infraestructuras de TI integradas y estandarizadas.
Adquirir y mantener tcnicas en TI que respondan a la estrategia de las TI.
Asegurar la mutua satisfaccin en la relacin con terceros.
Integrar perfectamente aplicaciones y soluciones tecnolgicas dentro de los procesos de negocio.
Asegurar la transparencia y comprensin de los costes, beneficios, estrategias, polticas y servicios de TI.
Asegurar el correcto uso y funcionamiento de las aplicaciones y soluciones tecnolgicas.
Responder por todos los activos de TI y protegerlos.
Optimizar las infraestructuras, recursos y capacidades de TI.
Reducir los defectos y adaptaciones en las entregas de soluciones y servicios.
Proteger la consecucin de los objetivos de TI.
Establecer con claridad el impacto en el negocio de los riesgos en los objetivos y recursos de TI.
Asegurar que la informacin crtica y confidencial est protegida de aquellos que no deben tener acceso
a ella.
Asegurar que las transacciones del negocio automatizadas y los intercambios de informacin pueden ser
realizadas correctamente.
Asegurar que los servicios e infraestructuras de TI pueden resistir y recuperarse correctamente de fallos
debidos a errores, ataques deliberados o desastres.
Asegurar el mnimo impacto en el negocio en caso de una interrupcin o cambio en los servicios de TI.
Comprobar que los servicios de TI estn disponibles cuando se les requiera.
Mejorar la relacin costes-eficiencia en las TI (rentabilidad) y su contribucin a los beneficios del negocio.
Entregar los proyectos en tiempo y presupuesto cumpliendo con los estndares de calidad.
Mantener la integridad de la informacin e infraestructura de proceso.
Asegurar la conformidad de TI con leyes y regulaciones.
Asegurar que TI da servicios de calidad con una demostrada eficiencia en costes, mejora continua y
preparacin para cambios futuros.
Fuente: COBIT 4.0.
En la Etapa III, se realiza el cuadre entre las estrategias del negocio y las estrategias
de TI. Para ello se ponen ambas en una matriz y se identifica, para cada cruce, si la
estrategia de TI contribuye o no la estrategia de negocio dada. Con toda esta informacin previa y con el conocimiento preciso del propio negocio y de cmo TI se
alinea con l, se aborda la seleccin de los objetivos de TI (Etapa IV).
258
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
A partir de este punto, para cada objetivo de TI se van identificando los indicadores de objetivos (KGI). Para cada indicador de objetivos se identifican los indicadores de rendimiento (KPI) que le apalancarn (Etapa V). En esta ltima etapa se
entra en un proceso iterativo en el que se relacionan en una tabla todos los indicadores posibles (coctelera de indicadores) seleccionados de diversas fuentes (las
mtricas actuales, las deducidas por un ejercicio intuitivo, las que propone ITIL,
las que propone COBIT, etc.). Con todas estas mtricas clasificadas, se estructuran
los tres niveles (KGI-TI, KGI-Proceso y KPI), o los establecidos por la arquitectura de mtricas que hayamos creado, y se realiza una seleccin intuitiva de las que
ms contribuyen a los objetivos concretos de TI.
ETAPA I
Estrategia negocio
ETAPA II
Estrategia TI
ETAPA II
Alineacin
TI Negocio
ETAPA IV
Objetivos TI
ETAPA IV
Seleccin de
las mtricas
Objetivos de TI (ejemplo)
259
En la figura 6.2.12 se muestra un ejemplo de los principales resultados de las Etapas I, IV y V del proceso de definicin de una arquitectura de mtricas. Como
ejemplo, se han seleccionado los objetivos de negocio y de TI entre los objetivos
propuestos por COBIT, mientras que el resto de los indicadores de esta arquitectura de mtricas ejemplo se han seleccionado a partir de los indicadores proporcionados al final de cada proceso en este libro.
Como resultado de este ejercicio se obtiene una arquitectura o mapa de indicadores de
TI que cubre todos los niveles de necesidad: cuadro de mando global de TI, cuadros
de mando de cada rea de TI (de desarrollo, del produccin de sistemas o del centro de
datos, del puesto de trabajo o microinformtica, etc.), los indicadores de objetivos
de los procesos y los indicadores de rendimiento de cada uno de los procesos. En la
figura 6.2.13 se muestra el contenido del documento de una arquitectura de mtricas.
Como parte de la arquitectura de mtricas se debe definir de forma detallada cada
indicador, que servir como base para su obtencin y clculo. La ficha contiene el
nombre del indicador, el cdigo asignado al indicador, la versin del indicador
260
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Proceso
Versin
Categora
Valor mx.
Periodicidad
Ind/KPI/KGI
Perspectiva
Valor mn.
(Norton y Kaplan)
Valor mn.
(Alza-Baja)
Responsable
Restricciones
Padres
Fuentes de informacin
Hijos
Unidad de medida
Dominio
Valor objetivo
Valor de riesgo
Frmula
Fuente: Telefnica.
261
Cdigo indicador.
Nombre indicador.
Versin.
Categora.
Proceso.
Periodicidad.
Perspectiva.
Valor mximo.
Valor mnimo.
Tendencia.
Descripcin.
Especificacin.
Justificacin.
Responsable.
Padres.
Hijos.
Audiencia.
Restricciones.
Fuentes de
informacin.
Unidad de medida.
Dominio.
Valor objetivo.
Valor de riesgo.
Frmula.
Comentarios, etc.
Histrico de mediciones
Cdigo indicador.
Versin indicador.
Cdigo del elemento de
configuracin medido.
Marca de tiempo: fechahora-minuto-segundo.
Valor medido.
Etc.
Fuente: Telefnica.
262
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los informes en TI
Una vez definida la arquitectura de mtricas e implementada la captura automatizada de los indicadores, se empezar a nutrir la base de datos de indicadores y
mediciones. En un lapso corto de tiempo, se podrn analizar las tendencias y el histrico de mediciones comenzar a engordar, para aportar toda su vala cuando
alcance la madurez al pasar un ao.
Una vez definidos y capturados los indicadores, la generacin de los informes es
una tarea sencilla, pero requiere de capacidad de anlisis, foco en la calidad de los
datos y una buena dosis de conocimientos estadsticos.
Despus de su definicin terica llega la vida real. Un indicador se calcula en base a
mltiples mediciones de los elementos de configuracin involucrados. Por ejemplo, el clculo de la disponibilidad, el indicador estrella y concepto sencillo de
entender por el negocio, se suele realizar en base a mediciones en intervalos (entre
1 y 5 minutos). Si la disponibilidad es de un elemento de infraestructura, las mediciones las facilitar la herramienta de monitorizacin local, si la disponibilidad es
de un servicio, se medir mediante un agente de navegacin desde un puesto
cliente. Adems, habr que recoger la disponibilidad en la franja horaria de cada
servicio (no es lo mismo que un surtidor de gasolina est inoperativo de madrugada a que lo est en plena actividad laboral), identificar las paradas planificadas,
calcular si es posible el impacto en el negocio de la no disponibilidad, y recoger, si
es factible, las causas de la indisponibilidad, etc. As, el indicador ya medido y tratado queda listo para ser incorporado en los diversos informes para su anlisis y
utilizacin por parte del solicitante o destinatario del informe. Debemos recordar
que todas estas actividades las realizar el proceso de gestin de la disponibilidad,
siguiendo las pautas y tutela del proceso de generacin de informes.
Dependiendo de la necesidad de la informacin a cubrir, los valores de un indicador se presentan en un informe de diversas maneras:
El valor en el perodo. Representado en forma numrica el valor en el perodo de medicin, como porcentaje, plazo de tiempo, cantidad, etc.
Un semforo, indicando si se han cumplido o no los niveles de servicio esperados en el intervalo de medicin. Representado, generalmente y por sencillez, en tres colores: rojo, naranja/amarillo y verde.
Su evolucin histrica a lo largo de das o meses. En este tipo de grfico se
muestra la tendencia del indicador. En la representacin grfica tambin
deberan aparecer los umbrales mnimo y mximo del indicador junto con
su evolucin en el tiempo.
263
Comparativas histricas entre indicadores en un mismo grfico, para aquellos en los que haya una relacin entre ellos. Por ejemplo, la disponibilidad
diaria con el nmero de cambios o la disponibilidad horaria con la carga de
transacciones.
Visin de varios indicadores en un perodo, representados en una tabla de
valores, en un grfico de Kiviat en forma de estrella, etc.
Tendencia del indicador. De forma general, en ITIL se considera ms conveniente representar los indicadores no con el valor propio del perodo, sino
como una tendencia de crecimiento o decrecimiento en el perodo actual en
relacin a perodos anteriores a efectos de tomar decisiones de actuacin
(correccin y mejora). Por ejemplo, tradicionalmente se mide el volumen
de cambios rechazados. En el caso de ITIL se recomienda medir tambin el
porcentaje de disminucin de los cambios rechazados. Esta forma de
expresar los indicadores permite conocer la tendencia de mejora, pero puede
resultar poco intuitiva y farragosa si slo se observan los indicadores de tendencia, por lo que en este libro se ha optado por mostrar directamente el
valor del indicador en el perodo de medicin.
En relacin a los informes, la Norma ISO/IEC 20000-1 requiere que los mismos
estn identificados y que se verifique el cumplimiento de los requisitos y necesidades del negocio. Tambin establece los conceptos mnimos a cubrir en los
informes.
UNE-ISO/IEC 20000-1
Se debe describir claramente cada informe de servicio, incluyendo su identificador,
el propsito, la audiencia y los detalles del origen de los datos.
Los informes de servicio se deben generar para verificar si se cumplen los requisitos
y necesidades de los usuarios. Los informes de servicio deben incluir:
a) el rendimiento y comportamiento frente a los objetivos de nivel de servicio;
b) las no conformidades y problemas relacionados, por ejemplo con los SLA o
agujeros de seguridad;
c) las caractersticas de la carga de trabajo, por ejemplo volumen o utilizacin
de recursos;
d) los informes de los resultados de los principales eventos, por ejemplo los principales incidentes y cambios;
264
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
265
266
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
de trabajo (microinformtica y red), del centro de datos (o explotacin de sistemas) y de desarrollo de aplicaciones.
Adems hay planes, documentos especficos que se genera en cada proceso
anualmente y que se actualizan mensual o trimestralmente (a lo largo de este
libro se describe el contenido de ellos), aunque el objeto de este proceso no
son esos planes y documentos, pero s la generacin de los informes para el
seguimiento de sus objetivos. De esta forma, se tiene una visin general de
toda la informacin generada para la gestin de TI. Entre ellos destacan:
El plan financiero de TI y sus informes peridicos.
El plan de capacidad y sus informes.
El plan de disponibilidad y sus informes.
El plan de continuidad de TI y los informes de las pruebas.
El plan de mejora unificado de los procesos y de los servicios, y los informes derivados de seguimiento.
El plan de proyectos o el informe de iniciativas estratgicas de transformacin y los informes para su seguimiento.
La lista de cambios planificados (FSC) y sus actualizaciones.
El informe sobre los problemas.
Otros informes especficos de cada proceso: seguridad, etc.
En la figura 6.2.16 se muestra la relacin de los principales informes en TI y su
contribucin a los aspectos reactivos, proactivos y de planificacin; tal y como
recomienda la Norma ISO/IEC 20000-2. Adems, se clasifican segn el mbito al
que vayan destinados: estratgico, tctico u operativo.
Segn la necesidad a cubrir, los informes se suelen generar con una periodicidad
diversa: anual (visin esttica, definicin objetivos), trimestral (grado de avance de
los grandes objetivos anuales), mensual (niveles de servicio, consecucin objetivos
mensuales), semanal (relativos a volumetras y niveles de servicio) e incluso diario
(eventos y actividades ocurridas en el da). En la figura 6.2.17 se muestra una aproximacin a la periodicidad en la generacin de los informes.
Como se ha sealado en la figura 6.2.17, los informes del servicio se pueden generar con diversa periodicidad y su contenido vara segn el perodo. As, se podrn
generar de forma diaria, semanal, mensual y anual:
Informe del servicio diario. Proporciona cierta informacin de la actividad ocurrida
en el da, como, por ejemplo, los incidentes graves, las peticiones de los usuarios ms
267
268
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
destacadas, los cambios ms relevantes o los volmenes de actividad del da. Estos
informes son descriptivos de lo acontecido en el da y no suelen contener grficos de
indicadores.
Informe del servicio semanal. Proporciona informacin de lo ocurrido en la
semana y permite el control y planificacin semanal de la actividad. Contiene una
parte liviana de indicadores. Casi toda la informacin que contienen es descriptiva
de lo ocurrido en la semana: incidentes, cambios y actividad de TI. Suele incorporar tambin los valores de disponibilidad de la semana y la acumulada en el tramo
de mes transcurrido. La disponibilidad se presenta sobre los servicios crticos, con
el fin de tener un control ms detallado semana a semana de esta mtrica.
En la figura 6.2.18 se muestra un ejemplo de la estructura de estos informes del
servicio.
Figura 6.2.18. ndice ejemplo de los informes diario y semanal del servicio
269
270
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
Dentro del informe mensual del servicio (en la figura 6.2.20 se muestra un ejemplo), uno de los apartados ms relevantes es el relativo al anlisis de la disponibilidad de los servicios. En el ejemplo se muestran las cifras alcanzadas por cada uno
de los servicios en el mes, junto a una grfica de la evolucin mensual del indicador, representando tambin la disponibilidad de los servicios crticos. Como en
todos los informes, se deben comentar los aspectos ms destacados relativos al
asunto que se est tratando (disponibilidad, etc.) que hubieran ocurrido en el mes,
as como las acciones de mejora emprendidas.
Informe del servicio anual. Muestra un resumen consolidado de la actividad y las
cifras del ao. Suele mantener la estructura de un informe mensual conteniendo
valores referentes al ao.
271
Fuente: Telefnica.
272
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
273
274
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
275
Responsable de la
gestin del servicio
Gestor del
proceso de informes
Consultor
de mtricas
Gestores de otros
procesos y reas TI
SGSTI
Responsable de generacin
de los informes
Propietario del
modelo (SGSTI)
Especialistas en el
diseo del servicio
Administrador y
soporte del proceso
Resumen
Los indicadores e informes son una necesidad innegable en una gestin con calidad de TI, pero su generacin ha sido siempre una de las asignaturas pendientes de
las organizaciones, muy centradas en la tecnologa y el da a da, y poco en el
gobierno y la gestin.
El proceso de generacin de informes de servicio centraliza las arduas actividades de recopilacin de indicadores e informacin, para generar unos informes
con la calidad del dato contrastada, en los plazos convenidos y con la mxima
eficiencia.
276
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Aunque en las Normas ISO/IEC 20000 los requisitos para el proceso son ms
reducidos, en este apartado se han desarrollado en toda su amplitud, con el fin de
llevar a las organizaciones de TI a la excelencia.
La generacin de informes pasa por la definicin de una poltica de informes, que
marque las directrices a cumplir en cuanto al suministro de informacin.
Un segundo paso recomendado, es la creacin de una arquitectura de mtricas, que
defina y estructure los indicadores a medir, poniendo orden y posibilitando la continuidad en las mediciones.
Las organizaciones situadas en las mejores prcticas, disponen de una base de datos
centralizada (o bien federada) en la que incorporan las definiciones de los indicadores y todos los histricos de las mediciones.
Los principales informes de TI van ms all de representar nicamente cifras sobre
cumplimiento de los niveles de servicio. El alcance de los informes abarca todo tipo
de informacin analtica y descriptiva. Tambin se considera dentro del alcance a la
informacin mostrada en vivo. As, los principales informes son:
Informes del servicio: diarios, semanales, mensuales y anuales.
Cuadros de mando de TI.
Informe financiero de TI.
Informe de capacidad.
Informe de disponibilidad.
Informe de continuidad de TI.
Informe de mejora global: SIP + procesos.
Informe de cada proceso.
Lista de cambios planificados (FSC).
Informes de proyectos e iniciativas estratgicas.
Informe de problemas.
Tambin se consideran dentro del alcance del proceso los paneles de control, con
grficas que muestran en tiempo real el estado de los servicios y las infraestructuras, as como, los informes generados de forma instantnea (por ejemplo, va web).
Para poder tratar el ingente volumen de datos, es necesaria la mxima automatizacin, desde la captura de las mediciones mediante las herramientas de monitoriza-
277
cin, pasando por la carga a la base de datos referida anteriormente, hasta llegar a
la generacin instantnea (online) de los informes.
La fiabilidad y la calidad de los datos son esenciales para que los informes sean de
utilidad.
Muchos de los informes contienen tambin tendencias, descripciones y anlisis de
las actividades y sucesos ocurridos en el perodo.
Beneficios
Los principales beneficios aportados por el proceso de generacin de informes son:
La centralizacin de la generacin de informes en un proceso facilita la especializacin, y permite al resto de procesos y reas de TI centrarse en sus
cometidos.
Los informes y las mtricas se disean y gestionan de forma comn.
Los informes se planifican con una visin comn de las necesidades de TI y
de los clientes, lo que permite ms claridad y concisin. Adems se ofrece
una visin ms homognea sobre toda la actividad de TI.
Cada rea recibe los informes que necesita y con la periodicidad acordada.
Es ms fcil garantizar que la informacin es fiable. Existe un responsable de
cada dato y de cada informe.
El diseo comn por especialistas facilita que la informacin sea ms clara y
entendible por los destinatarios.
Se centralizan en un punto todos los indicadores y todas sus mediciones.
Con lo cual, cualquier cambio o nuevo informe ser ms fcil de implementar, al tener la informacin histrica registrada.
La centralizacin facilita la creacin una plataforma comn para la generacin y difusin de los informes. Adems, la dedicacin especfica a esta actividad aumenta la productividad en la generacin de informes.
La organizacin de TI conoce los resultados de su trabajo, con claridad y a
tiempo. Por tanto, mejora su motivacin.
La comunicacin e informacin clara y a tiempo permite mejorar la satisfaccin de los clientes.
278
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cules son los 10 indicadores principales que se utilizan en su organizacin
Enumere los informes generados en un ao en el mbito de TI en su
organizacin
Qu aporta los marcos de ITIL y COBIT a los indicadores e informes?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
99,99%
279
280
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
281
Proceso de gestin de la
disponibilidad y continuidad
Definicin:
Qu aporta:
Un plan de disponibilidad orientado
a mejorar la disponibilidad general.
Toma de conciencia sobre los
servicios crticos para el negocio.
Objetivo:
282
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
283
lleven a cabo las tareas definidas, muchas de ellas, con una visin a futuro que compite con las prisas y sobrecarga que conlleva el da a da de los servicios.
Como es normal, las Normas ISO/IEC 20000 no definen una estructuracin de las
actividades que se deben realizar. Por eso, en este apartado se detalla el proceso
tomando como base la estructura para la gestin de la continuidad de cuatro bloques utilizada en ITIL v2:
Inicio o implementacin del proceso.
Definicin de los requerimientos y de la estrategia a seguir en el proceso.
Implementacin de las soluciones.
Gestin operativa del proceso.
Sobre estos bloques se detallan las actividades que se deben realizar y se aade un
quinto con las actividades de mejora del proceso, tpicas de estas normas.
En la figura 6.3.4 se muestran las diversas estructuras que se dan al proceso de gestin de la disponibilidad en las versiones 2 y 3 de ITIL. Aunque las agrupaciones y
denominacin de las actividades difieren, el concepto de fondo en el proceso es
siempre el mismo.
En ITIL v2 la disponibilidad se estructura
en dos reas: planificar y supervisar
Disponibilidad en ITIL v2
Disponibilidad en ITIL v3
Planificar:
Determinar requisitos.
Disear para la disponibilidad.
Disear para la recuperacin.
Verificar la seguridad.
Planificar paradas.
Obtener y mantener el plan de disponibilidad.
Supervisar:
Actividades reactivas:
Monitorizacin, medicin, anlisis de informes,
revisin del servicio y disponibilidad de los componentes.
Investigacin indisponibilidad de todos los servicios y componentes, e impulsar soluciones.
Actividades proactivas:
Evaluacin y gestin del riesgo.
Revisar la disponibilidad.
Investigar la indisponibilidad.
Mejorar la disponibilidad.
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
284
Inicio:
Continuidad en ITIL v3
Inicio:
mbito de la continuidad.
mbito de la continuidad.
Requerimientos y estrategia:
Requerimientos y estrategia:
Evaluacin de riesgos.
Implementacin:
Implementacin:
Planificacin de la organizacin.
Prueba de la estrategia.
Pruebas iniciales.
Gestin operativa:
Gestin operativa:
Educacin, concienciacin y formacin.
Educacin y concienciacin.
Revisin y auditora.
Revisin y auditora.
Pruebas.
Pruebas.
Gestin de cambios.
Control de cambios.
Invocacin
Formacin.
Aseguramiento.
99,99%
285
286
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
287
288
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
289
290
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
DISPONIBILIDAD
Entradas
Desencadenantes
del proceso:
Peticin de la direccin.
Negociacin de un SLA.
Incumplimiento
disponibilidad.
Fecha revisin del plan
disponibilidad.
Entradas de soporte:
Riesgos.
SLA firmados.
Informacin de
incidentes y problemas.
Datos de monitorizacin .
RFC.
CMDB.
Actividades
3 Inicio:
Salidas
Salidas principales:
Poltica disponibilidad.
Plan de disponibilidad.
3 Requerimientos y estrategia:
Evaluacin de riesgos.
Determinar requisitos.
3 Implementacin:
Disear para la disponibilidad.
Disear para la recuperacin.
Directrices de diseo
de la disponibilidad y
arquitectura.
Informes de
seguimiento de
disponibilidad.
Verificar la seguridad.
Salidas secundarias:
Requisitos de
monitorizacin.
Generar el plan de
disponibilidad.
3 Gestin operativa:
Plan paradas
planificadas-PSO.
Supervisar la disponibilidad.
Resultados anlisis de
riesgos.
Investigar y mejorar
disponibilidad.
Resultados tcnicos
investigacin incidentes.
Actualizar plan de
disponibilidad.
3 Mejora del proceso
99,99%
291
292
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
293
Investigar y mejorar la disponibilidad. Analiza las causas de la no disponibilidad e identifica las reas de mejora en los componentes y servicios para
que los valores de disponibilidad se ajusten a los requeridos por el negocio.
Actualizar el plan de disponibilidad. Se actualiza el plan de disponibilidad de forma peridica, realizando una revisin completa de su contenido.
Adems, se actualiza con los cambios realizados en la infraestructura.
Mejorar el proceso. Conjunto de actividades destinadas a la revisin del
proceso de la gestin de la disponibilidad para mejorar su eficiencia.
Las actividades de gestin de la disponibilidad se representan en el esquema de la
figura 6.3.8, que simula un esquema legendario de ITIL v2 para la gestin de la
continuidad.
GESTIN DE LA DISPONIBILIDAD
Poltica
Inicio
Definicin e inicio
del proyecto
Evolucin de riesgos
Requerimientos
y estrategia
Determinar requisitos
PLANIFICAR
Disear para la
disponibilidad
Implementacin
Verificar la seguridad
Disear para
la recuperacin
Supervisar la
disponibilidad
Mtricas
Monitorizar
Informes
Investigar y mejorar
la disponibilidad
SUPERVISAR
294
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
295
de valores, servirn de entrada en la negociacin de los acuerdos del nivel de servicio y, consecuentemente, en el diseo tcnico y del soporte de los mismos.
A este respecto, las Normas ISO/IEC 20000 son claras en sus exigencias, especificando que los requisitos se establezcan teniendo en cuenta los planes de negocio,
los SLA y las evaluaciones del riesgo realizadas. Los requisitos deben incluir los
derechos de acceso a los servicios, los tiempos de respuesta necesarios y la disponibilidad integral de los servicios.
UNE-ISO/IEC 20000-1
Se deben identificar los requisitos de disponibilidad y de continuidad del servicio
sobre la base de los planes de negocio, los SLAs y las evaluaciones del riesgo. Los
requisitos deben incluir los derechos de acceso y los tiempos de respuesta, as como,
la disponibilidad extremo a extremo de los componentes del sistema.
ISO/IEC 20000-2 recomienda, adems, que se dote de los recursos necesarios para
poder satisfacer estos requisitos en cualquier circunstancia. Insta tambin a que se
trabaje de forma integrada entre la gestin de la disponibilidad y la continuidad.
Tambin detalla el concepto de extremo a extremo mencionado en la parte 1,
incluyendo todos los elementos que sustentan el servicio con independencia de
quin dependan: del proveedor principal o bajo el control, bien del propio cliente,
o de otros proveedores de servicio.
UNE-ISO/IEC 20000-2
Generalidades
Los requisitos de continuidad y disponibilidad se deberan identificar sobre la
base de las prioridades del negocio del
cliente, los acuerdos de nivel de servicio
y los riesgos evaluados. El proveedor
del servicio debera mantener una capacidad suficiente para el servicio junto
con planes fcilmente realizables, diseados para asegurar que los requisitos
acordados pueden ser alcanzados en
todas las circunstancias, desde el funcionamiento habitual hasta los casos de
296
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los procesos que aseguran que se mantiene la disponibilidad requerida, deberan incluir aquellos elementos de la
provisin del servicio que estn bajo el
control bien del propio cliente o de
otros proveedores del servicio.
99,99%
297
Implementar la disponibilidad
Definidos los requisitos que se deben cumplir, se inicia la fase de implementar el
proceso (o subproceso) de gestin de la disponibilidad. En la implementacin
se realizan las actividades siguientes: disear para la disponibilidad, disear para la
recuperacin, verificar la seguridad, planificar las paradas y mantenimiento, y generar
el plan de disponibilidad.
Disear para la disponibilidad. A la hora de disear un servicio o de realizar una
modificacin, uno de los aspectos siempre presentes sern los requisitos de disponibilidad. La finalidad del diseo es crear una infraestructura robusta de TI que
pueda cumplir los niveles de disponibilidad demandados.
A partir de los requisitos, se establecen las directrices y los estndares de disponibilidad
del servicio que habrn de cumplirse en los diseos, tanto por el desarrollo de aplicaciones, como en la construccin de las infraestructuras hardware y software asociadas.
El diseo debe proporcionar soluciones que garanticen la disponibilidad requerida por
cada tipo de servicio, as como, el tiempo de respuesta en situaciones pico de carga.
En la figura 6.3.9 se muestra la frmula tpica de la disponibilidad y lo que sta
representa en tiempo de parada mensual acumulado. Ntese que cuanto menor es
el horario de servicio, una misma tasa de disponibilidad permite un tiempo acumulado de parada menor.
Clculo de la disponibilidad
Tiempo real de servicio
% disponibilidad =
x 100
Tiempo esperado de servicio
24 x 7
24 x 5
12 x 5
Horas/mes de servicio:
720 horas
480 horas
240 horas
99,999%
25,92 seg
17,28 seg
8,64 seg
99,99%
4,32 min
2,88 min
1,44 min
99,98%
8,64 min
5,76 min
2,88 min
% disponibilidad:
99,90%
43,2 min
28,8 min
14,4 min
99,00%
7,2 horas
4,8 horas
2,4 horas
98,00%
14,4 horas
9,6 horas
4,8 horas
95,00%
1,5 das
24 horas
12 horas
298
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Es recomendable, dentro del diseo, acometer la definicin de una o varias arquitecturas, que establecern la forma homognea de construir los servicios. Una vez
fijadas las directrices tecnolgicas en la arquitectura, se implementan en una o
varias plataformas (hardware, software y comunicaciones), sobre las que se irn
incorporando los servicios. Explotar los servicios sobre una plataforma comn
tiene mxima importancia en la actualidad, teniendo en cuenta las tendencias de
consolidacin de infraestructuras y la virtualizacin del equipamiento (servidores y
almacenamiento). La actividad tcnica necesaria en este proceso ser realizada por
los grupos tcnicos: arquitectos, tcnicos de sistemas, especialistas, etc., trabajando
a tiempo parcial para el proceso.
Para cada servicio, o por lo menos para los crticos, conviene realizar el anlisis del
rbol de fallos (FTA, Fault Tree Analysis) con el fin de identificar los puntos nicos
de fallo (SPOF, Single Point Of Failure). Esta identificacin de vulnerabilidades y
puntos dbiles permitir eliminarlos o mitigarlos en la fase de diseo, antes de su
construccin.
Disear para la recuperacin. Dentro de las actividades que se realizan en el diseo
del servicio est la de disear para la recuperacin. Se trata de una actividad proactiva cuyo objetivo es identificar aquellos elementos que, ante un fallo, tienen que
volver a prestar servicio lo antes posible. La gestin de la disponibilidad tambin
debe fijar las pautas de actuacin que deben seguirse, cuando un incidente afecta a
los componentes crticos del servicio, para el restablecimiento de las operaciones.
El diseo para la recuperacin contempla la identificacin de las necesidades de
informacin que tiene el negocio para permitirles gestionar el impacto del fallo, y
las necesidades de la propia organizacin de TI en cuanto a procesos, procedimientos y herramientas y soporte externo para que pueda ejecutar la recuperacin.
Verificar la seguridad. La gestin de la disponibilidad se ocupa de la disponibilidad de todos los componentes de los servicios de TI, incluidos los datos. Por tanto,
la gestin de la disponibilidad est estrechamente relacionada con el proceso de
gestin de la seguridad de la informacin. Asegura que se implantan las medidas
de seguridad adecuadas en los componentes del servicio.
Los requisitos de seguridad identificados se transmiten al responsable de la gestin
de la seguridad. Entre ellos se encuentran:
Los productos y servicios deben estar nicamente a disposicin del personal
autorizado. Esto tambin es aplicable a los datos gestionados.
Los productos y servicios deben poder recuperarse despus de un fallo para
garantizar que no se compromete la confidencialidad y la integridad, y que
la disponibilidad del servicio no vuelve a peligrar.
99,99%
299
Se deben poder recuperar los productos y servicios dentro de unos parmetros seguros, es decir, que no debe comprometerse la poltica de seguridad
de TI existente en la organizacin
Estos compromisos forman parte de los requisitos de disponibilidad de los servicios. Adems, se propone que estos requisitos queden recogidos en un acuerdo
interno entre gestin de la disponibilidad y la gestin de la seguridad.
Planificar las paradas (PSO, Projected Service Outage). Parte de la gestin de la disponibilidad es la gestin del mantenimiento del servicio (planificacin de las paradas) tanto a efectos propios del mantenimiento como para la incorporacin de
cambios. Organiza las actividades de mantenimiento dentro de los perodos y ventanas (planificaciones de parada para el mantenimiento de los sistemas o para la
implantacin de cambios) en los que se minimiza el impacto sobre la disponibilidad del servicio.
Se genera el plan de paradas planificadas (PSO) en el que se definen los perodos
diarios, semanales o mensuales en los que se pueden parar los servicios. Se trata de
un elemento bsico para minimizar el impacto en el negocio de estas actividades.
Adems, las ventanas de parada se suele excluir en el clculo de la disponibilidad
real del servicio.
Generar el plan de disponibilidad. El plan de disponibilidad es un plan a
futuro que cubre un perodo de entre uno y dos aos. Su objetivo es mejorar la
disponibilidad general de la infraestructura de TI para asegurar que se pueden
alcanzar los niveles de disponibilidad de una manera eficiente, tanto actuales,
como futuros.
Este plan es uno de los resultados principales del proceso que aglutina toda la informacin generada en l. Conviene distinguirlo del proyecto de implementacin del
propio proceso de gestin de la disponibilidad (vase la fase de inicio). Los contenidos tipo del plan de disponibilidad se muestran en la figura 6.3.10.
300
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Plan de disponibilidad
3 Poltica de disponibilidad.
3 Riesgos identificados.
3 Requisitos de la disponibilidad y estrategia.
3 Funciones vitales del negocio (VBF).
3 Directrices de diseo de servicios.
3 Arquitectura de los servicios enfocada a la
disponibilidad y tiempo de respuesta.
3 Definicin de las plataformas tecnolgicas que se
van a utilizar.
3 Horarios de los servicios.
3 Plan de recuperacin y procedimientos.
3 Plan de paradas planificadas (PSO). Ventanas de
mantenimiento y cambio.
3 Requisitos de seguridad.
3 Herramientas de monitorizacin.
3 Mtricas de disponibilidad que se van a utilizar.
3 Modelos de informes de disponibilidad.
3 Fijar los mtodos y tcnicas de anlisis a utilizar.
3 Planificacin de la mejora de la disponibilidad.
3 Anlisis tendencias tecnolgicas.
99,99%
301
UNE-ISO/IEC 20000-1
La disponibilidad se debe medir y registrar. Se debe investigar la no disponibilidad
no planeada y se deben llevar a cabo las acciones necesarias.
Nota: Cuando sea posible, se deben predecir problemas potenciales y tomar medidas preventivas.
Estas medidas e informes de disponibilidad deben reflejar las perspectivas del negocio, de los usuarios y de la organizacin de soporte. Se analizan las tendencias y
posibles desviaciones, se estudian las tendencias de la disponibilidad de los componentes de la infraestructura y se comunican los resultados a las partes interesadas.
UNE-ISO/IEC 20000-2
Actividades y supervisin de la
disponibilidad
302
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
303
304
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Actividades
3 Inicio:
Plan de continuidad.
mbito de la continuidad.
Contratos de servicios
externos de continuidad.
Acuerdos continuidad
en SLA.
Definicin estrategia
continuidad.
Presupuestos.
Salidas principales:
Entradas de soporte:
Riesgos.
Salidas
3 Implementacin:
Cambios.
CMDB.
Informacin tcnica.
Implementar medidas
recuperacin.
Implementar medidas
reduccin riegos.
Procedimientos y
medios operativos de
recuperacin.
Infraestructura
preparada.
Personal entrenado.
Informes resultados
pruebas de continuidad.
Salidas secundarias:
Requisitos de continuidad.
Plan proyecto continuidad.
Funciones vitales de
negocio (VBF).
Evaluacin de riesgos.
Desarrollar procedimientos.
Pruebas iniciales.
3 Gestin operativa:
Educacin y concienciacin.
Revisin y auditora.
Pruebas.
Control de cambios.
Formacin.
Aseguramiento.
Gestin las contingencias
en TI.
3 Mejora del proceso
99,99%
305
Las entradas que desencadenan o activan el proceso son: la realizacin del plan de
continuidad de negocio por parte de la empresa, que requiere de TI la realizacin
de su contribucin a este plan; el acaecimiento de una contingencia severa que
activa la ejecucin de los procedimientos de continuidad; la llegada de la fecha prevista de pruebas de continuidad, que inicia el protocolo de pruebas; y la proximidad de la fecha de revisin del plan de continuidad.
Las entradas ms relevantes que utiliza el proceso como informacin de soporte
son: las condiciones solicitadas o pactadas con los clientes en los acuerdos de nivel
de servicio (SLA); la informacin de los principales riesgos que amenazan a TI; los
presupuestos asignados a la continuidad, que condicionan las inversiones; los cambios realizados en las infraestructuras o los servicios que deban contemplarse en las
soluciones de continuidad; la informacin sobre los elementos de configuracin
contenida en la CMDB; y la informacin tcnica diversa para proporcionar soluciones o directrices.
Las actividades del proceso se estructuran en 5 grupos:
Inicio. El primer paso es determinar sobre qu aspectos del negocio y de los
servicios va a actuar la continuidad de TI y sobre cules no.
Definir poltica continuidad. Directrices y objetivos que establece la
direccin y principales responsabilidades.
mbito de la continuidad. Localizaciones, unidades de negocio o servicios que se deben cubrir. Normalmente no se debera restringir el mbito.
Definicin del proyecto de continuidad. Plan detallado del proyecto de
implementacin de la continuidad (de TI). Designacin del responsable
mximo de plan y de los responsables en cada departamento o rea. Presupuesto para la definicin del plan. Posteriormente se tendr que hacer
una dotacin adicional de presupuesto para la implantacin de la solucin
de continuidad. Organizacin de proyecto y estructura de control. Plan de
calidad del mismo. Lanzamiento del proyecto.
Requerimientos y estrategia. Determinar los requisitos de continuidad del
negocio, as como la estrategia que se debe seguir para garantizar dicha continuidad.
Anlisis del impacto de un desastre. Repercusin en las infraestructuras
y en el negocio de los diversos tipos de paradas que pueden ocurrir. Identificacin de las funciones vitales del negocio (VBF) si no se han determinado previamente.
Evaluacin de riesgos. Estudio detallado de las amenazas y vulnerabilidades posibles y de la probabilidad de su ocurrencia.
306
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
307
Formacin y entrenamiento del personal que deber intervenir en los planes de recuperacin y de reduccin de riesgos.
Aseguramiento, confianza o garanta a la direccin sobre la fiabilidad de
los planes y las medidas implementadas.
Gestin de las contingencias en TI. Ocurrida la contingencia, ejecucin
de lo previsto en el plan de continuidad y recuperacin, para retornar a la
normalidad cuanto antes.
GESTIN DE LA CONTINUIDAD
Poltica de continuidad
mbito de la continuidad
Inicio
Definicin e inicio
del proyecto
Requerimientos
y estrategia
BIA, VMF
Evolucin de riesgos
M_o_R, CRAMM
Estrategia de continuidad
Realizar el plan de
continuidad de TI
Implementacin
Implementar medidas
de recuperacin
Desarrollar planes
de recuperacin
Plan de continuidad TI
Implementar medidas
reduccin del riesgo
Gestin
operativa
Educacin y
concienciacin
Revisin y
auditora
Pruebas
Control de
los cambios
Formacin
Aseguramiento
Gestin de las contingencias en TI
Mejora del proceso
Fuente: Libro ITIL Provisin de Servicio publicado por OGC.
308
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
309
310
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La descripcin de las funciones vitales del negocio es una actividad clave, que ser
de utilidad para la continuidad, pero tambin para la disponibilidad y para la seguridad. En la figura 6.3.14 se muestra una ficha de ejemplo para la descripcin de
estas funciones de negocio.
La evaluacin de riesgos permite identificar la posibilidad de que ocurra un desastre o alguna interrupcin grave de los servicios. Ofrece una evaluacin de la probabilidad de que ocurra el suceso y la vulnerabilidad o exposicin de la organizacin
99,99%
311
+10 d
5d
Criticidad
2d
Impacto
negativo
1d
Funcin
de negocio
2h
% prdida
ingresos
Prdida
datos
admisible
Tiempo
parada
admisible
RPO
RTO
Rendimiento
Valor
normal
Valor
mnimo
Denominacin,
descripcin de
la actividad y
su importancia
para la empresa
Clasificacin en cuanto a la
importancia de la funcin para
la actividad de la empresa
Valores lmite
admisibles por
el negocio de prdida
sin impacto o con
impacto leve
Rendimientos
de la funcin de
negocio, normal
y el mnimo
admisible
al mismo. La metodologa de evaluacin del riesgo es la misma para la continuidad, para la disponibilidad o para la seguridad y, aunque la disciplina es similar, los
conceptos analizados son diferentes: fallo extraordinario de los servicios, fallo cotidiano de los servicios y fallo en la seguridad. En todos ellos se realiza la:
Identificacin de los riesgos.
Evaluacin de los activos y sus niveles de vulnerabilidad y amenazas.
Evaluacin de los niveles de riesgo.
Gestin del riesgo: contramedidas, priorizacin, etc.
En el anlisis de los riesgos se puede utilizar la metodologa CRAMM 1 centrada en
la identificacin de los activos, las amenazas y las vulnerabilidades. Una vez identificados los riesgos, hay que gestionarlos, identificando las contramedidas justificables para combatirlos. Para la gestin del riesgo se puede utilizar la metodologa
M_o_R (Management of Risk) que estructura la actividad en 5 etapas: polticas,
1
Vase tambin la Norma ISO/IEC Guide 73. Risk management. Vocabulary. Guidelines for use in
standards.
312
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CRAMM
M_o_R
Gestin de riesgos
Activos
Amenazas
Riesgos
Contramedidas
Vulnerabilidades
Anlisis de riesgos
Gestin de riesgos
M_o_R polticas
M_o_R aproximacin:
Polticas gestin de riesgos
Gua del proceso
Planes
Registros del riesgo
Gestin de logs
M_o_R proceso:
Identificar
Evaluar
Planificar
Implementar
Institucionalizar y revisar M_o_R
Comunicar
99,99%
313
Media
Baja
Vulnerabilidad
Alta
Terrorismo
Pandemia virus
Terremoto
Incendio
Fallo comunicaciones
Desbordamiento ros
Baja
Alta
Amenaza
Fuente: Libro ITIL Provisin de Servicio publicado por OGC y e.p.
La Norma ISO/IEC 20000-2 establece claramente los requisitos que se deben considerar en la estrategia de continuidad, indicando adems que se debe revisar por lo
menos una vez al ao, y que los cambios a la misma se deben acordar formalmente.
UNE-ISO/IEC 20000-2
Estrategia de continuidad del servicio
El proveedor del servicio debera desarrollar y mantener una estrategia que
defina el enfoque general a seguir para
satisfacer las obligaciones de continuidad del servicio. Esta estrategia debera
incluir la evaluacin de riesgos y tener en
cuenta los horarios de servicio acordados y los periodos crticos del negocio. El
proveedor del servicio debera acordar lo
314
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
315
Siguiendo la clasificacin realizada en ITIL, las principales soluciones de continuidad que se pueden considerar son:
Recuperacin inmediata. Proporciona una recuperacin instantnea (mirroring) sin prdida de servicios y sin prdida de informacin apreciable (RPO y
RTO son iguales a cero). Esta solucin se basa en centros de proceso de datos
conectados en activo-activo, es decir, un mismo servicio est ejecutndose de
forma simultnea en ambos centros, con datos sincronizados y balanceando
la carga entre ambos. Las soluciones de procesamiento distribuido entre mltiples servidores y centros de datos (grid computing) son soluciones de alta
resistencia, pero que requieren aplicaciones especialmente adaptadas.
Recuperacin rpida. Conocida como hot standby, est proporcionada por
dos centros de datos conectados y con las aplicaciones cargadas en ambos y
316
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
con replicacin de datos entre ellos. Una aplicacin slo est ejecutndose en
uno de los centros y, en caso de necesidad, debe activarse en el otro centro
(de respaldo). Proporciona tiempos de recuperacin inferiores a 24 horas
(RTO), con una prdida de datos (RPO) casi nula si se implementa una
replicacin del almacenamiento por fibra.
Recuperacin intermedia. Conocida como warm standby, utiliza instalaciones de respaldo proporcionadas por terceros. Los plazos de recuperacin
esperados estn normalmente entre las 24 y 72 horas.
Recuperacin gradual. Conocida como cold standby, emplea un centro de
respaldo que nicamente contiene la infraestructura fsica y de conectividad
necesaria. Por lo que, en caso de emergencia, hay que instalar los servidores,
el almacenamiento, las aplicaciones, configurar, etc. Los tiempos de recuperacin son superiores a las 72 horas. La informacin se carga desde la ltima
copia de seguridad realizada y llevada a resguardo, por lo que la prdida de
informacin puede ser superior a las 24 horas (RPO).
Acuerdos recprocos. Acuerdos entre empresas u organizaciones para alojar
los servicios en caso de contingencia.
Soluciones manuales. Soluciones provisionales, como por ejemplo, registrar los tickets de incidentes en el service desk en formularios en papel. Tambin comprenden la restauracin de los servicios de forma completa desde
las copias de seguridad.
De acuerdo a los resultados obtenidos en la evaluacin de los riesgos, se desarrolla
un plan general para determinar el alcance especfico que debe tener la continuidad
del negocio. El plan general de continuidad debe ser aprobado por la direccin.
Este plan general se revisa cada vez que hay un cambio en los procesos clave, instalaciones, equipos, personal y servicios contratados que pueda producir nuevas interrupciones con repercusiones en los servicios prestados.
Implementar la continuidad
Una vez establecida la estrategia de continuidad y los requisitos, se pasa a la elaboracin del plan de continuidad de TI y a su implementacin. Es necesario que previamente se haya aprobado el plan general de continuidad del negocio. En la etapa
de implementacin se realizan las siguientes actividades (segn ITIL):
Organizacin y planificacin de la implementacin, que realiza la elaboracin y documentacin del plan de continuidad de TI.
99,99%
317
Plan de continuidad de TI
Introduccin
3 Objetivo, alcance y dependencia con otros planes.
3 Polticas.
3 Resumen del anlisis impacto en negocio (BIA).
3 Funciones vitales (VBF), niveles de servicio
continuidad, RPO y RTO.
3 Resumen de la evaluacin de riesgos.
3 Descripcin de la estrategia de continuidad en TI.
Organizacin y recursos
3 Organizacin: ejecutiva, de coordinacin y de
recuperacin.
3 Infraestructuras especficas para recuperacin.
3 Servicios externos contratados.
Fase de invocacin
3 Plan de respuesta a emergencias (procedimientos
notificacin).
3 Plan de evaluacin de daos.
3 Personas que pueden declarar una emergencia y,
consecuentemente, activar el plan.
3 Criterios para la activacin del plan de continuidad.
3 Procedimientos de comunicacin, los equipos de
emergencia y los suministradores involucrados.
Fase de transicin
3 Secuencia acciones previas a la recuperacin de los
recursos: traslados, adquisiciones, etc.
3 Plan de salvamento.
3 Plan de registros vitales.
3 Plan de gestin de la crisis y de relaciones pblicas.
3 Otros procedimientos fase transicin.
Fase
3
3
3
3
3
3
3
de recuperacin servicios
Plan de alojamiento y de servicios.
Plan de redes y sistemas informticos.
Plan de telecomunicaciones.
Plan de seguridad.
Plan de personal.
Plan de administracin y finanzas.
Relacin de manuales y guas tcnicas y otros
documentos necesarios para la recuperacin.
Fuente: Libro ITIL Diseo del Servicio publicado por OGC y Telefnica.
318
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
esquema del plan articulado en torno al ciclo de vida de la gestin de una contingencia.
En relacin al plan de continuidad, las Normas ISO/IEC 20000 recomiendan una
poltica formal de registro de la documentacin relacionada, la salvaguardia de los
datos de configuracin y, especialmente, de la informacin necesaria para la restauracin de los servicios: plan de continuidad, procedimientos, etc.
UNE-ISO/IEC 20000-1
Los planes de continuidad del servicio, la lista de contactos y la base de datos de
gestin de la configuracin deben estar disponibles incluso en el caso de que no sea
posible el acceso normal a las oficinas. El plan de continuidad del servicio debe
incluir la actividad de vuelta a la normalidad.
UNE-ISO/IEC 20000-2
6.3.4 Planificacin y prueba de la
continuidad del servicio
El proveedor del servicio debera asegurar que:
a) los planes de continuidad tienen
en cuenta las dependencias entre
el servicio y los componentes de
los sistemas;
b) se registran y mantienen los planes de continuidad del servicio y
el resto de documentos requeridos para dar soporte a la continuidad del servicio;
c) la responsabilidad para activar los
planes de continuidad est claramente asignada y los planes establecen claramente la responsabilidad para la toma de las acciones
necesarias frente a cada objetivo;
99,99%
319
Plan de recuperacin
3 Estrategia de recuperacin.
3 Procedimiento de invocacin.
3 Interfaces y dependencias con otros planes.
3 Directrices generales.
3 Dependencias: sistemas, infraestructuras, servicios
externos, etc.
3 Lista de contactos: personal TI, personal otras reas,
direccin, suministradores.
3 Grupo de recuperacin: de TI, de servicios
generales, etc.
3 Lista de comprobacin del grupo de recuperacin.
3 Formulario de evaluacin de daos.
3 Procedimientos de recuperacin:
Recuperacin del service desk.
Recuperacin telecomunicaciones.
Recuperacin de la LAN .
Recuperacin de la WAN.
Recuperacin servidores y almacenamiento.
Recuperacin de datos.
Recuperacin de PC.
Recuperacin alimentacin elctrica.
Recuperacin aire acondicionado.
Comunicacin in situ, etc.
Fuente: Libros ITIL Diseo del Servicio y A Guide to Business Continuity Plan publicados por OGC.
320
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
El plan de continuidad del servicio debe probarse de acuerdo a las necesidades del
negocio.
Todas las pruebas de continuidad se deben registrar y tras las pruebas fallidas se
deben elaborar planes de accin.
99,99%
321
UNE-ISO/IEC 20000-2
Los planes de continuidad del servicio y
la documentacin relacionada (por
ejemplo los contratos) deberan estar
ligados a los procesos de gestin del
cambio y de gestin de los contratos.
Los planes de continuidad del servicio y
la documentacin relacionada (por
ejemplo los contratos) deberan evaluarse respecto al impacto previamente
a que se aprueben los cambios en el
sistema y en el servicio, y previamente a
acordar los nuevos requisitos del cliente
o bien cambios en stos siempre que
sean significativos.
Una vez aprobado el plan de pruebas, que debe ser respaldado por la direccin, se
realizan acciones de comunicacin entre los responsables de los procesos y servicios
implicados, para que estn al tanto de los planes establecidos.
Cada vez que se realice una prueba, el responsable de realizarla dejar constancia
del resultado en el informe de pruebas, que describe las acciones llevadas a cabo y
la eficacia del plan de continuidad. Esta informacin la analiza el responsable del
proceso, que revisa peridicamente la eficacia de los planes para proponer las mejoras que crea necesarias.
Asimismo, el responsable del proceso es el encargado de que los planes de continuidad se mantengan actualizados y acordes a la situacin actual de la organizacin.
Para ello, peridicamente debe analizar los cambios realizados que pudieran afectar
al plan, como por ejemplo los:
Cambios en los procesos (existentes, nuevos o suspendidos).
Cambios en la estrategia de negocio.
Cambios en los SLA.
Cambios en los acuerdos o contratos con proveedores.
Cambios en la legislacin.
Una nueva evaluacin de riesgos.
Cambios en las ubicaciones, dispositivos y recursos.
322
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Cambios en el personal.
Cambios de direcciones, nmeros de telfono o informacin de contacto.
En caso de modificacin del plan de continuidad de TI, el responsable del proceso,
emite una nueva revisin del plan, identificando el motivo del cambio, el nmero
de versin del documento y la fecha del cambio para su posterior aprobacin. Asimismo, se actualizar el plan general de continuidad del negocio si fuera necesario.
99,99%
323
324
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
325
326
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
99,99%
327
Responsable de la
gestin del servicio
Gestor
disponibilidad
Gestor continuidad TI
Responsable plan
de continuidad negocio
Gestores de otros
procesos y reas TI
Arquitecto tecnolgico
Especialista
de soporte
SGSTI
Propietario del
modelo (SGSTI)
Administrador y
soporte disponibilidad
Administrador y
soporte continuidad
328
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Resumen
La gestin de la disponibilidad y de la continuidad parte de principios muy similares de alineacin con las necesidades del negocio y de creacin de planes, para posteriormente divergir en dos disciplinas diferenciadas. La primera es la disponibilidad
que se convertir en el astro rey de los servicios. El porcentaje de disponibilidad ser
la obsesin de todo responsable. La segunda, la gestin de la continuidad, juega a
los dados con el azar y el futuro de la empresa, proponiendo a la direccin importantes inversiones para garantizar la supervivencia, e intentando sustraer presupuesto de las actividades operativas.
Una vez implantados los planes, la gestin de la disponibilidad estar continuamente en boca de todos, mientras que la gestin de la continuidad se convertir en
ese profeta que muchas veces predica en el desierto.
La gestin de la disponibilidad tiene por objeto que se alcancen las mximas cotas
de disponibilidad posibles (dentro de las requeridas por el negocio), o por lo menos,
los niveles pactados siempre movindose dentro del mbito presupuestario asignado. La gestin de la disponibilidad trabaja para alcanzar los siguientes resultados:
Tasas de disponibilidad y tiempos de respuesta acordes con lo pactado con el
negocio y, al menos, que sean similares a las de las empresas de la competencia.
Definicin de las directrices de diseo para la disponibilidad. Diseo de
arquitecturas de disponibilidad.
Tipificacin de los servicios en funcin de su criticidad para el negocio.
Generacin y revisin del plan de disponibilidad.
Planificacin y control de componentes de la infraestructura y de los servicios, para asegurar el cumplimiento de las necesidades de disponibilidad
actuales y futuras.
Anlisis de las situaciones de no disponibilidad del servicio, con el fin de
identificar mejoras. Interviene a posteriori, despus de que la gestin del
incidente haya restaurado el servicio.
Mejorar la disponibilidad de la infraestructura.
Controlar que los cambios cumplen con unos niveles de disponibilidad adecuados y fiables.
La gestin de la disponibilidad y la continuidad deben estar presentes desde
el momento en que se decide crear un servicio. Para ello, es necesaria una perfecta
sintona tanto con gestin de nivel de servicio, como con el proceso de creacin de
nuevos servicios o modificacin de los existentes.
99,99%
329
La gestin de la continuidad de TI se centra en garantizar que, despus de una contingencia severa, la empresa seguir teniendo los servicios que necesita en el plazo
acordado. Proporciona los siguientes resultados:
Identificacin de los riesgos que la organizacin est afrontando, en trminos de probabilidad e impacto. La identificacin y priorizacin de los procesos clave de la organizacin.
Evaluacin del impacto que tendran las interrupciones en el negocio y fijar
los objetivos del negocio en lo referente a los recursos de TI.
Formulacin de la estrategia de continuidad de negocio coherente con los
objetivos y prioridades de negocio.
Realizacin del plan de continuidad de TI, junto con todos los procedimientos o planes de recuperacin asociados.
Contratacin de plizas de seguros adecuadas para mitigar la exposicin a
prdidas econmicas.
Implantacin de las contramedidas de reduccin del riesgo y de las soluciones de continuidad.
Personal concienciado y entrenado para actuar en el caso de un desastre.
Beneficios
Los principales beneficios son la obtencin de una correcta disponibilidad y tiempo
de respuesta de los servicios, y una mejora significativa en la garanta de continuidad de los servicio de TI.
En cuanto a la gestin de la disponibilidad, los beneficios se resumen en:
El negocio utiliza unos servicios con unos niveles de disponibilidad y tiempo
de respuesta adecuados a sus necesidades.
Los servicios se disean sobre una arquitectura planificada para ofrecer la
disponibilidad deseada.
Los cambios se prueban para verificar el cumplimiento de los criterios de
disponibilidad.
Se identifican los incumplimientos y se investiga su causa.
Los niveles de disponibilidad se monitorizan continuamente y se mejoran
donde sea necesario.
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
330
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 2:
Cules son los principales riesgos a los que estn expuestos los servicios de TI en su organizacin
Cules son las funciones vitales en su negocio?
Qu impacto tendra en su negocio una parada de una hora de los
servicios de TI ms crticos (bien por fallo interno o por desastre)?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
331
La reduccin de los costes de TI lleva siendo, en los ltimos aos, una de las principales prioridades de la direccin de sistemas de informacin. El reto est en conjugar esta progresiva constriccin presupuestaria con la presencia cada vez mayor
de las tecnologas de la informacin en el negocio. En tiempos de crisis econmica,
el proceso de gestin financiera de TI aporta elementos esenciales de decisin y de
control (vase la figura 6.4.1).
En sentido contrario a la reduccin de costes, ha ido creciendo el nmero de servicios de TI considerados crticos por el negocio. Con la apertura a Internet el
nmero de usuarios se ha disparado y la demanda de nuevas tecnologas en la
empresa se incrementa cada da.
Adems, los antiguamente iletrados usuarios de los sistemas son hoy ciudadanos
de un mundo cada vez ms digitalizado, que exigen a la empresa el mismo nivel
tecnolgico que ellos reciben en su vida privada: un correo con la calidad y capacidad de gmail, entornos colaborativos como los de Internet, un espacio en disco de
red equivalente a su disco USB de bolsillo, etc. Para colmo de males, estos servicios
332
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
son gratuitos o a un coste unas cien veces inferior a los que la empresa puede ofrecer a sus usuarios.
Todo ello, genera la sensacin de que los servicios que TI ofrece al negocio son
inflexibles y caros, provocando una percepcin muy negativa en la alta direccin y
en las reas cliente de TI.
Por fortuna, hay algunos apuntes en el haber de TI para equilibrar un poco
la balanza, como por ejemplo las grandes holguras presupuestarias del pasado, la
capacidad actual para poner el foco en lo verdaderamente esencial para la empresa
y el aumento de prestaciones del equipamiento hardware y las nuevas formas de
gestin de TI ms eficientes, como las definidas en ISO/IEC 20000 o en ITIL.
La adopcin de las mejores prcticas en la gestin econmica o financiera de TI y
otras medidas de eficiencia y calidad, aportarn una solucin a este callejn sin
salida de hacer ms con menos presupuesto. Estas prcticas proporcionan instrumentos para responder a los retos de reduccin de costes en un entorno de negocio
cada vez ms exigente e impulsa a las organizaciones de TI hacia una gestin eficiente de los recursos. Aunque en realidad, la gestin financiera no permite por s
sola la reduccin de costes o el hacer ms con menos, necesita la existencia del
resto de procesos.
Una gestin econmica avanzada de los servicios de TI est caracterizada por:
La definicin de unas polticas de gestin econmica o financiera de TI.
La elaboracin precisa y formal de los presupuestos anuales y el seguimiento
con rigor de su evolucin.
La realizacin de una contabilidad analtica de los costes, que permite el
conocimiento al detalle de los costes de TI en la provisin de los servicios.
La imputacin de costes a las reas cliente mediante una facturacin acorde
con los servicios ofrecidos, para contrapesar la demanda con los costes reales.
Hay que sealar que esta actividad no est dentro del mbito de la Normas
ISO/IEC 20000, si bien es una actividad muy recomendable y, por ello, tratada en este libro.
Aunque las tecnologas de la informacin son importantes y estratgicas para la
empresa, el departamento interno de sistemas de informacin suele ser un centro
de costes, es decir, no genera ingresos. El negocio y el departamento financiero de
la empresa consideran a TI como una unidad interna ms, al igual que marketing,
servicios generales, recursos humanos, vigilancia fsica, etc. Adems, el mbito contable-financiero no es una especialidad de TI. Por ello, hay que hacer una aproximacin a la gestin financiera de TI con mucha humildad, reconociendo que se
333
est ante una actividad que es la especialidad de otro departamento y ante el que TI
es uno ms.
Por todo lo anterior, el enfoque de este proceso debe ser algo diferente al resto de
los procesos de TI. Muchas de las descripciones realizadas en este proceso son ms
bien explicaciones simplificadas de las disciplinas econmicas y van destinadas al
personal de TI para que realice adecuadamente la parte que les corresponde en la
gestin financiera. En este proceso no se pretende dar ningn tipo de leccin a los
profesionales de las finanzas.
El proceso de gestin financiera de TI debera conseguir que las necesidades y requisitos particulares de TI se incorporen en los sistemas financieros y contables de la
empresa. Desde la estructura de los presupuestos hasta la contabilizacin de la ltima
factura, se deberan realizar integrados en estos sistemas. Es frecuente y lgico que las
organizaciones grandes de TI tengan un grupo propio de personas dedicadas al control
y a la gestin financiera. Pero se debe evitar la tendencia natural de crear un sistema de
control y de gestin de costes de TI paralelo y conseguir que las necesidades puedan
ser cubiertas por el sistema financiero corporativo, aunque en muchos casos, las necesidades particulares de TI (sobre todo desde la perspectiva de gestin de activos y en la
utilizacin de recursos) requieren la utilizacin de sistemas complementarios.
En ISO/IEC 20000-2, la gestin financiera de TI se describe en torno a tres reas:
la definicin de las polticas, la elaboracin del presupuesto y la contabilidad de los
servicios. Adems, en este libro se incorporan tambin muchas de las recomendaciones de ITIL v2, entre otras, la facturacin de los servicios, esencial para equilibrar la balanza entre la demanda de las reas cliente y de la oferta de TI. En la
figura 6.4.2 se muestra una introduccin a este proceso.
El objetivo principal del proceso es conseguir una administracin eficiente de los
recursos econmicos de TI. Genera como principales contribuciones:
La administracin eficiente de los activos de TI utilizados para proveer los
servicios de TI.
Una integracin y dilogo perfecto con el rea financiera de la empresa.
El poder realizar una contabilidad exacta de los servicios de TI.
Facilitar la toma de decisiones sobre inversiones en TI de una forma eficiente.
Orientar las organizaciones de TI a estructuras de costes ms competitivas.
La optimizacin de los costes de los servicios de TI. La deteccin de ineficiencias en costes, permitiendo concentrar los recursos econmicos en funciones esenciales para el negocio.
334
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Objetivo:
Presupuestar y contabilizar los costes
de la provisin del servicio.
Adems, en el libro se incluye la
facturacin de los servicios.
Qu aporta:
Define las directrices para la gestin
econmica de TI.
Integracin con el rea financiera de
la empresa.
Aumento del rigor en la definicin y
gestin de los presupuestos.
Proporciona una informacin precisa
sobre los costes, para la toma de
decisiones sobre inversiones en TI.
Conocimiento exacto de los costes
totales de propiedad (TCO) a lo largo
de la vida de los servicios.
Identifica ineficiencias existentes en
relacin a los costes.
Permite un uso ms eficiente de
los recursos y los servicios de TI,
moderando la demanda de los clientes.
La repercusin de costes indirectos y la asignacin de costes directos a servicios, bien a los clientes internos de la organizacin, o bien a los clientes finales en el caso de proveedores de servicios de TI.
La racionalizacin de la demanda de peticiones de servicios en funcin de su
coste y aportacin al negocio, con el resultado de un consumo eficiente de los
servicios por los usuarios.
Este proceso estructura su mbito en torno a las siguientes reas:
Polticas. Directrices que determinan la forma de alcanzar los objetivos.
Presupuestar. Su finalidad es predecir el gasto econmico, conseguir los
recursos necesarios y controlar el cumplimiento del presupuesto de la organizacin de TI. Genera un ciclo de negociaciones peridicas que permite
confeccionar los presupuestos (habitualmente anuales), para realizar posteriormente el seguimiento semanal o mensual de su ejecucin.
Contabilizar. La contabilidad analtica de costes permite conocer en detalle la
distribucin del coste en la cadena de valor de TI. Esta actividad pone nfasis
en la identificacin y conocimiento de los costes por servicio y por cliente.
335
336
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
337
Objetivos financieros
para TI
PRESUPUESTO
Planificacin de TI
Cartera de proyectos
y actividades de TI
CONTABILIDAD
SGSTI
Modelo de gestin TI
Poltica de gestin
financiera de TI
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Modelo
de costes
Proceso
de entrega
Proceso de gestin
de la entrega
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
Mejoras
FACTURACIN
PDCA
SGSTI
Modelo de
facturacin
Precios
Catlogo
de servicios
Catlogo de servicios. Proporciona una visin sencilla, en terminologa entendible por el negocio, de todos los servicios provistos por TI y las alternativas u opciones de prestacin. El catlogo debera contener los precios.
Contabilizar. Registro detallado de los costes en los que incurre TI, con una visin
de los costes por cada servicio y sus componentes.
Coste. El coste es todo importe econmico que debe pagar la organizacin. El
coste se divide en inversin y en coste operativo.
Coste de capital (CAPEX, Capital Expenditure) o Inversin. Trmino que
recoge los importes econmicos dedicados a incrementar los activos amortizables.
Coste operativo (OPEX, Operating Expenses). Se aplica al coste dedicado a
soportar la actividad (operacin y control).
Depreciacin o amortizacin de activos. Es la imputacin contable en varios
aos de la inversin de capital. El valor de compra del activo se distribuye entre los
338
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
339
340
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
anual), que suele conllevar la definicin de unos nuevos objetivos financieros para
TI realizados en funcin de la planificacin de las actividades que se deben realizar;
y de una necesidad de compra que TI inicia y solicita su aprobacin presupuestaria.
Hay otras entradas de soporte que se utilizan en el proceso. Destacan los objetivos
financieros establecidos por la organizacin para TI; la planificacin de proyectos y
actividades previstas para TI, donde se reflejan todas las actividades y compromisos
planificados; el modelo de costes, formado por una estructura que permite registrar y asignar todos los costes; el modelo de facturacin o imputacin de costes a
Entradas
Actividades
Desencadenantes
del proceso:
3 Definicin de la poltica de
gestin financiera.
Necesidad de planificar
el siguiente ejercicio
presupuestario.
3 Presupuestar:
Necesidad de compra.
Entradas de soporte:
Objetivos financieros
para TI.
Planificacin de TI.
Modelos de costes y de
facturacin anteriores.
Peticin de informes
econmicos y consultas.
CMDB y catlogo de
servicios.
Seguimiento del
presupuesto.
Autorizar econmicamente
las compras.
3 Contabilizar:
Definir el modelo de costes.
Registrar compras y costes.
3 Facturar (*):
Definir precios.
Emisin de facturas.
3 Identificacin de mejoras
en TI.
3 Supervisin del
funcionamiento del proceso.
Mejora del proceso.
Salidas
Salidas principales:
Poltica de gestin
financiera de TI.
Presupuesto de TI.
Informes de
seguimiento
presupuestario.
Informe de los costes
de TI por servicio y
por cliente (*).
Facturas por los
servicios prestados (*).
Salidas secundarias:
Planificacin de TI
ajustada.
Informes e informacin
econmica. Ratios de
costes.
Autorizaciones a
compras.
Modelo de costes en TI.
Modelo de facturacin.
CMDB actualizada.
Precios del catlogo
actualizados.
(*)
341
342
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El objetivo es conseguir que la gestin financiera de TI est integrada completamente en la gestin financiera general de la empresa. Para ello es necesario que los
requerimientos especficos de TI se reflejen en sta ltima. El presupuesto de TI se
realiza igual que en el resto de departamentos de la empresa, la contabilidad utiliza
los sistemas contables de la empresa y la facturacin se realiza a travs del rea
financiera o de cobros. En la figura 6.4.6 se ilustra esta integracin.
PRESUPUESTO
CONTABILIDAD
Necesidades
presupuestarias de TI.
Necesidades de
clasificacin contable
para TI.
Cumplimiento
presupuesto.
FACTURACIN
Detalles de
consumo TI
de los clientes
Desglose de los
costes TI incurridos
GESTIN FINANCIERA DE TI
MARKETING
VENTAS
FABRICACIN
SISTEMAS DE
INFORMACIN
ADMINISTRACIN
SERVICIOS
GENERALES
Etc.
Relaciones con el negocio. Cuando se definen los presupuestos es necesario mantener reuniones con los clientes para acordar los servicios que se van a prestar en el
ejercicio, su evolucin y sus precios. Esta negociacin se lleva a cabo a travs del
proceso de las relaciones con el negocio.
Gestin de nivel de servicio. La gestin de nivel de servicio acuerda con la gestin
financiera la presupuestacin de los recursos necesarios para cumplir los niveles de
servicio pactados y la financiacin de los planes de mejora del servicio (SIP). Por
ejemplo, si se negocia con un cliente la atencin en fines de semana, ser necesario
343
tener presupuestado y aprobado este coste extra antes de cerrar el SLA. Con la gestin de nivel de servicio tambin se analizan las mejoras de eficiencia en costes de
los servicios. Adems, en el catlogo de servicios se incorpora el precio de cada servicio y sus opciones.
Gestin de suministradores. La gestin de suministradores est muy vinculada a
este proceso. Las relaciones entre ambos se establecen en todos los mbitos de la
gestin de suministradores: en la definicin de la estrategia de sourcing, que debe
ser acorde con los objetivos financieros; en el ciclo de seleccin y contratacin, que
lleva a cabo las compras; y en el ciclo de gestin de la prestacin del suministrador,
para velar por los pagos y las variaciones econmicas dependientes de la demanda.
Gestin del cambio. Los cambios importantes deben valorarse en cuanto al coste
y aprobarse bajo el mbito de la gestin del cambio. Este requisito obliga a la gestin financiera a trabajar de una forma conjunta con el resto de la organizacin en
la aprobacin de los cambios y sus costes bajo el proceso de gestin del cambio.
Gestin de la capacidad. La gestin de la capacidad participa en la elaboracin de
los presupuestos con las previsiones de recursos identificadas en el plan de capacidad. Con las previsiones, se pueden concentrar las compras y evitar las compras de
urgencia para obtener ahorros adicionales. Adems, proporciona informacin sobre
la utilizacin de las infraestructuras y de los recursos.
Gestin de la disponibilidad y continuidad. La continuidad puede requerir grandes inversiones en replicaciones, en servicios externos y en centros redundados. La
elaboracin de presupuestos y contabilidad debe conseguir que las soluciones de
continuidad tengan el equilibrio entre el coste y el beneficio aportado al negocio.
Pues, podra ocurrir que la prdida posible del negocio sea menor que el coste de
los mecanismos redundados.
Gestin de la configuracin. La informacin sobre los costes de los activos los
proporciona el proceso de gestin financiera, y gestin de la configuracin los
almacena como un atributo de informacin ms. Posteriormente se utilizarn para
el clculo de los costes por servicio.
Este proceso tambin se relaciona con el resto de procesos y reas para definir las
partidas presupuestarias del ejercicio, identificar mejoras de eficiencia econmica y
el seguimiento de los objetivos econmicos.
344
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
de TI. Pero en la prctica, se est implantando tambin la facturacin de los servicios a los clientes, como uno de instrumentos para lograr unos servicios eficientes
alineados en trminos de coste con las necesidades del negocio. En estas normas se
aclara el alcance que cubren:
UNE-ISO/IEC 20000-1
Nota: Esta seccin cubre la elaboracin de presupuestos y de la contabilidad del los servicios de TI. En
la prctica, muchos proveedores del servicio estarn involucrados en facturar por tales servicios.
Sin embargo, dado que la facturacin es una actividad opcional, no est cubierta por la norma.
Se recomienda a los proveedores que si hacen uso de la facturacin, el mecanismo para hacerlo
est plenamente definido y entendido por las partes. Todas las prcticas contables en uso se deberan alinear con las prcticas contables ms amplias de la organizacin del proveedor del servicio.
En la nota anterior se deja claro el alcance de los requisitos del proceso en la parte 1,
en los que no se incluye la facturacin, aunque en este libro s se trata.
Por otra parte, se recalca la importancia de que la elaboracin de presupuestos y la
contabilidad de TI estn perfectamente alineadas con las prcticas contables generales de la organizacin. Hay que intentar que la contabilidad de la empresa contemple las necesidades de la contabilidad analtica de TI, con el fin de poder extraer
de sta los costes por servicio, los costes por cliente, los costes por actuacin, etc.
As, se evita realizar la contabilizacin dos veces, una en los sistemas contable generales de la empresa y otra en los sistemas contables especficos de TI.
UNE-ISO/IEC 20000-2
Generalidades
Esta seccin cubre la realizacin de los
presupuestos y de la contabilidad para
los servicios de TI. En la prctica,
muchos proveedores estn implicados
en la facturacin del servicio. Sin
embargo, dado que la facturacin es
una actividad opcional, no est cubierta
por esta norma. Se recomienda a los
proveedores del servicio que cuando
lleven a cabo la facturacin, el mecanismo empleado para ello est definido
en detalle y sea entendido por todas las
partes implicadas.
345
ISO/IEC 20000-2 hace hincapi en que muchas decisiones financieras que afectan
a este proceso se toman fuera de l. La gestin financiera de TI est supeditada a
las directrices del departamento financiero de la organizacin. En algn escenario,
como en el caso de las empresas pequeas, la responsabilidad completa del proceso
puede ser externa a TI.
346
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Las herramientas de soporte a la gestin del proceso deben ser los mismos
sistemas de gestin de la empresa. Deben permitir gestionar los presupuestos, la contabilizacin de los gastos por servicio y por cliente, el registro del
consumo de recursos y su facturacin.
Contemplar los propios costes originados por el proceso, que esencialmente
estn relacionados con el personal y la adaptacin de los sistemas financieros
de la empresa.
UNE-ISO/IEC 20000-1
Debe haber polticas y procedimientos claros para:
a) presupuestar y contabilizar todos los componentes, incluyendo los activos de
tecnologas de la informacin, recursos compartidos, gastos generales, servicios suministrados externamente, personas, seguros y licencias;
b) la repercusin de costes indirectos y la asignacin de costes directos a servicios;
c) el control econmico efectivo y la autorizacin.
347
UNE-ISO/IEC 20000-2
Poltica
Debera existir una poltica para la gestin financiera de los servicios. La poltica debera definir los objetivos a ser
cumplidos por la realizacin de los presupuestos y la contabilidad.
La poltica debera definir tambin el
nivel de detalle al que se lleva a cabo la
elaboracin de los presupuestos y la
contabilidad, teniendo en cuenta:
a) los tipos de costes a ser contabilizados;
b) el reparto de los gastos generales,
por ejemplo reparto en partes iguales, reparto porcentual o reparto
basado en el tamao de los elementos variables empleados;
c) la granularidad del negocio del
cliente, por ejemplo unidades de
negocio tomadas como una sola,
dividas en departamentos o segn
las diferentes ubicaciones;
d) las reglas para manejar las variaciones frente al presupuesto, por
348
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
349
350
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El presupuesto dota econmicamente a TI y, por tanto, condiciona toda la actividad en el ejercicio. Debe ir estrechamente vinculado al desarrollo de la estrategia
de TI.
Las Normas ISO/IEC 20000 requieren que los presupuestos tengan el suficiente
detalle para posibilitar el control econmico y la toma de decisiones.
UNE-ISO/IEC 20000-1
Los costes se deben presupuestar con suficiente detalle para permitir el control econmico efectivo y la toma de decisiones.
El proveedor del servicio debe monitorizar e informar de los costes contra el presupuesto, revisar las previsiones econmicas y gestionar los costes en consonancia.
Los costes de los cambios en el servicio se deben valorar y aprobar a travs del proceso de gestin del cambio.
ISO/IEC 20000-1 requiere que los cambios se valoren en cuanto a sus costes y que
se aprueben a travs del proceso de gestin del cambio. De esta forma, se tiene
un mejor conocimiento y control de los costes. Las peticiones de cambio (RFC),
presentadas con el fin de aprobar su ejecucin, deben incorporar el coste asociado
(as se establece en el formato de RFC del apartado 9.2). El proceso de gestin
financiera controlar a travs de su presencia en el comit de cambios (CAB,
Change Advisory Board), que se actu dentro de los presupuestos asignados.
Una vez aprobado el cambio, cuando se necesite la ejecucin de alguna compra
(equipamiento, licencias, servicios, etc.), volver a intervenir la gestin financiera
para autorizarla econmicamente.
UNE-ISO/IEC 20000-2
Elaboracin del presupuesto
La elaboracin del presupuesto debera tener en cuenta los cambios planificados de los servicios durante el
periodo presupuestario y, en el caso de
que las necesidades presupuestarias
excedan los fondos disponibles, plani-
351
352
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
353
354
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
355
Se debe poner un foco especial en conocer el gasto por cliente, por servicio y por
actividad, lo cual implica tener que realizar un desglose o asignacin por cliente y
por servicio en todos los gastos. En lo relativo a la actividad, se necesitar un sistema de imputacin de tiempos por parte del personal.
356
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
357
Hardware
Software
Personal
Ubicacin
Servicios externos
Transferencia
Elementos de coste
Costes directos
del servicio
Costes indirectos
imputables al servicio
Costes indirectos
no imputables
Hardware
Hardware
Hardware
Software
Software
Software
Personal
Ubicacin
Personal
Servicios externos
Ubicacin
Servicios externos
Transferencia
Costes directos
del servicio
Costes indirectos
del servicio
Costes directos y
costes absorbidos
del servicio
% de
incremento
comn
Reglas de
reparto de los
costes indirectos
no imputables
358
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El modelo de costes por servicio es una forma de asignar internamente los costes
con el fin de conocer el coste total de prestacin de cada servicio. Para ello, primeramente se obtiene la informacin contable por elemento de coste segn la estructura comn definida: costes de hardware, costes de software, costes de personal,
costes de ubicacin fsica, costes de servicios externos y costes de transferencia.
Una vez recopilados todos los costes, se clasifican los costes en dos tipologas,
directos o indirectos:
Costes directos del servicio. Son aqullos que pueden atribuirse de manera
clara a un nico servicio. Por ejemplo: un servicio que se ejecuta en una
mquina especfica.
Costes indirectos. Son aqullos en los que se incurre de forma comn a
todos los servicios o en un nmero acotado de ellos. Por ejemplo, la red o el
departamento de soporte tcnico, que tendrn que ser distribuidos entre
todos de manera equitativa. Al distribuir los costes indirectos se dan dos
casos:
Costes indirectos imputables a un servicio. Son aquellos costes
de recursos comunes que razonablemente se pueden imputar a un servicio mediante un tipo de prorrateo por el uso que hace el servicio del
recurso. Por ejemplo, el consumo de CPU de un servicio en una mquina
virtual.
Costes indirectos no imputables a un servicio o no absorbibles. Es el
coste de cualquier recurso que presta servicios de una forma comn a
todos y que no tiene una relacin posible con un servicio o cuya imputacin es muy compleja. Se repercute entre todos los servicios del modo ms
justo posible. Estos elementos comunes pueden ser de hardware, de software, de personal, de ubicacin, de servicios externos o de transferencia.
Por ejemplo, un cortafuegos del centro de datos, los sistemas de aire acondicionado, el personal administrativo, etc. En este caso, los costes se distribuyen en base a una tasa comn que incrementa los costes del servicio
calculados hasta ese momento.
La suma de los costes totales asignados a los servicios debe ser igual a la suma de
los costes iniciales.
Registrar las compras y los costes. La actividad fundamental de la contabilizacin es el registro de los costes incurridos. Los costes en TI se incurren a travs de
una compra o a travs de una imputacin interna de otro departamento, como por
ejemplo, los costes de personal (nminas, viajes, administracin, etc.) o los de
359
360
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Existen diferentes tipologas a la hora de calcular los costes, las dos ms utilizadas
son:
En base al coste total de la propiedad o TCO (Total Cost of Ownership), que
calcula todos los costes necesarios durante el ciclo de vida completo del
servicio. En este caso, los clientes soportan la totalidad de los costes de provisin y prestacin del servicio.
En base al coste marginal, calculando el coste en funcin del incremento en el
total de costes por proveer un servicio adicional. Slo se repercuten al cliente
los costes incrementales del ejercicio. Es una forma ms sencilla e imprecisa de
repercutir los costes, pero igualmente sirve para moderar la demanda.
Los modelos ms utilizados para la distribucin de los costes en funcin de los consumos son:
Coste por usuario de los servicios. En este modelo, se carga una cuota fija
por cada usuario con independencia del uso que se realice. Muy utilizado en
los servicios al puesto de trabajo (PC, archivos en red, navegacin por Internet, correo electrnico, etc.). Es un modelo sencillo, pero poco equitativo.
Para que tenga su efecto de moderar la demanda, debe combinarse con otros
costes que sean reflejo del consumo variable. Tambin se utiliza para repercutir los costes de las aplicaciones con complejidad de administracin o
cuando el coste de las licencias es alto.
Coste por capacidad de proceso consumida. Forma histrica de medicin
en el mbito mainframe. Las mediciones son sencillas y las proporciona el
propio sistema. Se factura por tiempo de uso del procesador. El coste por
MIP (Millones de Instrucciones por Segundo) en el mainframe, o por MIP
equivalente para entornos abiertos, es un dato con benchmarking del mercado.
Coste por servidor (o por caja). Se tipifican los servidores segn su sistema
operativo y capacidad para fijar un precio por cada uno de ellos. Es un modelo
poco preciso, pero sencillo y fcil de contrastar con los inventarios. Por ello se
utiliza mucho en los contratos de outsourcing completos. En el precio se distingue entre los servidores que se compran y entre los que slo se administran.
Coste por capacidad de proceso asignada. En los nuevos entornos virtualizados, un servidor alberga varias mquinas virtuales, por lo cual la capacidad de proceso asignada es una medida algo ms precisa que la medicin por
servidores fsicos.
Coste por unidad de almacenamiento. En relacin al almacenamiento, se
miden los gigas (GB) o los teras (TB) netos totales instalados o los asignados a un cliente para cada servicio.
361
Aunque ninguno de estos modelos para la imputacin de los consumos es muy preciso, su contabilizacin mensual resulta sencilla.
Una vez calculado el coste de la provisin y prestacin del servicio, se pueden aplicar distintas formulas de facturacin:
Precios fijos o tarifa plana. El precio mensual es constante, con independencia del consumo.
Precios con dos tramos. La cual incluye un trmino fijo para cubrir los costes fijos y un trmino variable en funcin del consumo que recuperara los
costes variables.
Precios alineados con el mercado. Los precios se regulan por el propio
mercado o por benchmarking externos.
En cualquier caso, el modelo de facturacin debe ser sencillo y entendible por las
partes. Para la fijacin del precio se pueden seguir varias tendencias: la ms utilizada para servicios internos es cuando los precios se basan en el coste real de los
servicios; otra es el establecimiento del precio segn la demanda que exista del
mismo o segn la exclusividad del servicio ofertado.
En los primeros aos o ejercicios en que se aplique la facturacin, se deben revisar
las tendencias del consumo de los clientes y usuarios para evitar que las estructuras de precios estn generando distorsiones en el consumo ptimo de los servicios de TI.
362
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
363
El propietario del modelo de gestin de TI (SGSTI), que acta como propietario del proceso (process owner), define el proceso y vela por el cumplimiento de sus actividades, y se encarga de la mejora continua del mismo.
Todo ello, de una forma integrada con el modelo de gestin de TI incorporado en el SGSTI.
El comit de cambios (CAB), que aprobar los cambios, con su correspondiente coste econmico asociado.
El gestor de la capacidad, que proporciona la informacin del consumo tcnico de los recursos, necesaria para las previsiones presupuestarias y para la
facturacin a los clientes.
El gestor de las relaciones con el negocio, que trata con las reas cliente los
presupuestos para su rea, los costes de los servicios y el detalle de las facturaciones.
Roles del proceso
OTROS PROCESOS
Responsable de la
gestin del servicio
PROCESO DE GESTIN
FINANCIERA DE TI
Comit de cambios
(CAB)
Gestor financiero
de TI
SGSTI
Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)
Gestor de las
relaciones con
el negocio
Gestor de la
capacidad
Departamento financiero
de la empresa
Contables de
la empresa
364
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El personal de TI, que imputa su dedicacin a las diversas tareas con el fin
de tener una contabilizacin detallada de los servicios.
Las diversas reas de TI, que realizan las peticiones de compra.
En la figura 6.4.10 se muestran los roles principales relacionados con el proceso.
Mtricas
Las mtricas se deben adaptar a las necesidades de gestin y control que tenga cada
organizacin. Las mtricas de gestin financiera de TI suelen proporcionar informacin sobre los costes, en forma de ratios, y medidas especficas sobre el funcionamiento del proceso:
Ratios sobre presupuestos y costes:
Presupuesto de TI en relacin al volumen de facturacin de la empresa
(ITR, IT Spending per unit of Revenue). Representa el porcentaje de los
ingresos de la empresa que deben destinarse a sostener las tecnologas de
la informacin en la empresa.
Peso del presupuesto de inversin (CAPEX) en relacin al presupuesto
total de TI.
Ratio de coste total de TI por usuario.
Ratio de coste total de TI por potencia de proceso instalada (MIP, MIP
equivalente, specs, transacciones por minuto, etc.)
Ratio de coste total de TI por GB almacenamiento instalado.
Con frecuencia se miden ratios de costes sobre reas o temticas de inters
en un perodo dado, como por ejemplo, el porcentaje de presupuesto dedicado a seguridad informtica, presupuesto dedicado a innovacin, etc.
Mtricas sobre el proceso:
Porcentaje de los servicios que tienen los costes conocidos en detalle.
Porcentaje de desviacin o del cumplimiento en presupuesto.
El ITR es el ratio ms utilizado y ms importante, pues refleja el coste de TI
en relacin al volumen de la facturacin del negocio. Dependiendo del sector
de negocio, este indicador suele oscilar entre el 3% y 8% segn las necesidades
365
tecnolgicas de la empresa 3. En la figura 6.4.11 se muestran algunas de las principales mtricas de la gestin financiera de TI.
Mtricas principales del proceso
Figura 6.4.11. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
Resumen
El crecimiento de los recursos dedicados a los sistemas de informacin y la utilizacin extensiva de los servicios de TI, junto con la tendencia a la reduccin de
El lmite inferior del ITR puede llegar al 1%, como es el caso del sector de distribucin.
366
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Beneficios
El principal beneficio es una gestin ms eficiente y controlada de los gastos en tecnologas de la informacin.
La presupuestacin es la actividad clave en el proceso de gestin financiera de los
servicios de TI y proporciona:
Mejora en la priorizacin de los proyectos de inversin. Toma de decisiones
sobre los servicios en base a anlisis de rentabilidad de las inversiones.
367
368
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 4:
Cules de las tres actividades principales de este proceso (presupuestar, contabilizar y facturar) se realizan en su organizacin?
Indique tres procesos que son necesarios tener implantados previamente para que el proceso de gestin financiera de TI tenga xito.
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
369
La actividad del negocio no debera ser coartada por una falta de capacidad o un mal
rendimiento de los sistemas de informacin. En momentos de mxima demanda
los sistemas deben responder. Los incrementos de carga deben estar previstos, los
sistemas diseados para absorberlos y tambin lo deben estar para poder crecer
de forma dinmica. Pero alcanzar este estatus de podero no es una tarea sencilla.
Se requiere la ejecucin de un conjunto complejo y diverso de actividades. En este
proceso se explican las ms relevantes que estn contenidas en las mejores prcticas
del mercado (vase la figura 6.5.1).
El proceso de gestin de capacidad, muy maduro en la dcada de 1980 con los
entornos mainframe, pas al olvido a comienzos de la dcada de 1990 con la llegada de los sistemas abiertos; cuando duplicar la capacidad de un equipo era ms
econmico que pagar a un ingeniero de sistemas para que la planificara. Pero las
alegras y derroches en TI finalizaron con la burbuja de las puntocom. Se ha
vuelto a la senda del estricto control econmico y al seguimiento del retorno de
la inversin. As, la gestin de la capacidad vuelve a tener plena vigencia en los
comienzos del siglo XXI.
370
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Como si los ajustes econmicos no hubieran sido justificacin suficiente, las tendencias a la consolidacin y a la virtualizacin de las infraestructuras refuerzan la
necesidad de disponer de una buena gestin de la capacidad (y rendimiento).
Implantar plataformas comunes requiere gestionar y controlar los recursos que
consume cada servicio para evitar que interfiera en el rendimiento de sus compaeros de habitculo.
Recientemente se ha incorporado a la ecuacin la necesidad de ajustar el consumo
elctrico, como consecuencia de los problemas con la refrigeracin de los centros
de datos, la reduccin del impacto ambiental de las TI y la necesidad de rebajar la
factura elctrica. Este recin llegado sita tambin a la gestin de la capacidad
como un buen instrumento para ejecutar las polticas medioambientales, o verdes,
en TI relativas al uso eficiente de las infraestructuras.
Gestionar la capacidad de los servicios de TI permite garantizar que se tendr, en
todo momento, la capacidad suficiente para cubrir la demanda actual y futura acordada con el negocio, manteniendo siempre un coste razonable y equiparable con el
mercado. La gestin de la capacidad debe equilibrar las previsiones de utilizacin o
carga con los recursos disponibles, de modo que se eviten prdidas o degradaciones del servicio. Pero tambin debe vigilar el coste de la sobrecapacidad para evitar
el derroche de recursos.
Gestionar adecuadamente la capacidad no es una tarea fcil. Se debe tener un conocimiento tcnico de las infraestructuras de TI, pues se encarga de supervisar la capacidad actual, de anticipar las ampliaciones necesarias, de modelar el comportamiento de las aplicaciones, y del ajuste y mejora continua del rendimiento.
Adems, requiere un entendimiento de la actividad del negocio, para poder predecir
las variaciones en el consumo de recursos (crecimiento vegetativo, campaas de
marketing, variaciones estacionales, acontecimientos singulares, etc.). La gestin de la
capacidad debe conocer las variaciones temporales del negocio para ajustar los recursos, como es tpico en la facturacin mensual. Segn el ciclo del negocio, se pueden
presentar campaas segn la estacin del ao. As, en las empresas de telefona mvil,
las pocas de fin de ao y de verano se dispara la actividad de los consumidores y los
sistemas se ven sometidos a su mxima carga. Tambin hay que tener en cuenta acontecimientos puntuales, como el lanzamiento de una campaa de marketing. Por todo
ello, es necesaria una comunicacin fluida entre la gestin de la capacidad y el negocio.
En la figura 6.5.2 se presenta una visin introductoria al proceso de gestin de la
capacidad.
El objetivo del proceso de gestin de la capacidad es garantizar que siempre existe
la capacidad de TI necesaria, justificable en trminos de coste, y ajustada a las necesidades del negocio, actuales y futuras.
Proceso de gestin de la
capacidad
Definicin:
Procesos que velan por que los servicios
tengan en todo momento la capacidad
necesaria y trabajen con un rendimiento
ptimo.
Objetivo:
Asegurar que el proveedor del servicio
tiene, en todo momento, la capacidad
suciente para cubrir la demanda
acordada, actual y futura, de las
necesidades del negocio del cliente.
371
Qu aporta:
Conocimiento de la evolucin de
actividad del negocio en su relacin
con la utilizacin de las TI.
Gestin adecuada de la capacidad
existente, evitando las carencias y
tambin los excesos.
Un rendimiento optimizado.
Garanta de que los servicios cumplen
con la capacidad requerida en cada
momento.
Ahorro de costes, al tener los
recursos ajustados a las necesidades.
Prepara un plan de capacidad de TI.
Predicciones continuas y peridicas
basadas en datos de negocio y de la
tecnologa.
Minimiza las incidencias por falta de
capacidad.
El proceso de gestin de la capacidad debe ser el foco central de todos los temas
relacionados, tanto con la capacidad como con el rendimiento. Las tareas diarias
debern realizarse por los grupos tcnicos de la organizacin (tcnica de sistemas,
administracin de bases de datos, ingeniera, soporte de redes, etc.), trabajando
para este proceso en las actividades que marca la gestin de la capacidad.
La gestin de la capacidad trata aspectos proactivos y reactivos.
La faceta proactiva comprende todas las actividades que permiten anticiparse
a una carencia de capacidad y a un escaso rendimiento, como por ejemplo, la
previsin de la demanda por parte del negocio, la previsin de la capacidad
necesaria por los servicios, el modelado de servicios, el dimensionado de las
aplicaciones, el plan de capacidad, etc.
Los aspectos reactivos del proceso estn relacionados con la deteccin de faltas
de capacidad, el ajuste o tuning de componentes o de los servicios, la provisin
con urgencia de soluciones, el establecimiento de umbrales en la monitorizacin, etc.
372
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
373
Adems, el proceso debera tratar otros aspectos relacionados con la mejora o innovacin en las plataformas informticas, como por ejemplo:
La automatizacin de la provisin de peticiones de los usuarios, autorregistro, autorresolucin, distribucin de software, etc.
La automatizacin de los centros de datos, con la implantacin de polticas
de asignacin dinmica de recursos segn las previsiones de carga, provisin
automatizada de infraestructura virtual, etc.
La consolidacin de servidores y del almacenamiento.
La virtualizacin de los sistemas operativos.
La gestin de la obsolescencia del equipamiento y la renovacin del parque.
La desconexin y retirada de equipos. La gestin del apagado de aplicaciones sin uso.
En coordinacin con las polticas medioambientales en TI (green IT), participa en la implantacin de las polticas relacionadas con el consumo energtico y de materiales menos contaminantes, como por ejemplo:
El seguimiento del consumo elctrico. Implantacin de polticas de reduccin del consumo en equipos, como la entrada en suspensin tras perodos de inactividad.
La definicin de polticas de compra de equipamiento certificado con etiquetas verdes de bajo consumo y materiales reciclables.
Una correcta gestin de la capacidad permitir no slo reducir las incidencias y
degradaciones del servicio por falta de recursos, sino que anticipa las necesidades
permitiendo a la organizacin de TI trabajar con menos presin y con costes ms
ajustados. En la figura 6.5.3 se muestran los principios bsicos que se deben tener
en cuenta al implementar el proceso.
Un entendimiento del negocio y de la evolucin del mercado es esencial para el
diagnstico de la variacin de la demanda en la utilizacin de los recursos de TI. El
contacto con el negocio se debe llevar a cabo manteniendo un dilogo continuo
con las unidades clientes, apoyndose en la gestin de relaciones con el negocio.
As, el contacto entre TI y los clientes est coordinado. La gestin de la capacidad
tiene que entender la estrategia a largo plazo del negocio al tiempo que proporciona informacin sobre las ltimas ideas, tendencias y tecnologas que desarrollan
los proveedores de hardware y software.
El conocimiento tcnico de las infraestructuras tecnolgicas es necesario para realizar
una adecuada monitorizacin de la capacidad y una gestin tcnica de la capacidad
374
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
de los recursos. Debe conocer el potencial de la tecnologa y aprovechar las innovaciones para asegurar que los servicios de TI se adaptan a las expectativas cambiantes del negocio. La gestin de la capacidad debe promocionar que los avances tecnolgicos se incorporen al diseo de los sistemas con el fin de facilitar la
flexibilidad de las infraestructuras y acortar los tiempos de provisin de nuevas
capacidades. Destacan la consolidacin y virtualizacin de los servidores y del almacenamiento, como nuevos principios que se deben tener en cuenta en la arquitectura tecnolgica de los sistemas. La automatizacin de la provisin de recursos
siguiendo unas polticas predefinidas, permitir asignar dinmicamente los recursos a los servicios segn se necesiten. Otras estrategias son la compra de infraestructura con capacidad preinstalada que se puede activar por software cuando se
necesita (capacidad bajo demanda), los blade servers con una gestin conjunta como
pool de servidores, etc.
La previsin de la evolucin de la demanda y de la tecnologa permitir a TI ir por
delante de las crisis internas y gestionar las necesidades con el plazo necesario. En
el mbito de la previsin y anticipacin, se utiliza el plan de capacidad como el instrumento formal ms importante de este proceso.
En la figura 6.5.4 se muestran los componentes principales del proceso.
375
Utilizacin
o carga
Capacidad
del negocio
Plan de
capacidad
Modelos
Dimensionados
CDB
Base de datos
de capacidad
Capacidad de
los servicios
Capacidad de
los recursos
Datos
Datos
Datos
Datos
Datos
Previsiones
de capacidad
Informes sobre
recursos y
servicios
Informes de
excepciones
de negocio
del servicio
tcnicos
financieros
de utilizacin
Umbrales utilizacin
Umbrales de SLA
Monitorizacin
de la capacidad
Ajuste o tuning
376
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
trmino (demanda operacional) con el concepto de la gestin de la demanda utilizado en el libro Estrategia del Servicio de ITIL v3 (demanda estratgica), que se
centra en gestionar las peticiones (demandas) de nuevos servicios realizadas por el
negocio hacia TI; mientras que la carga o utilizacin tratan con las previsiones de
uso o trabajo real que ejecutan los servicios.
Dimensionado. Estimacin de la capacidad que necesitar un servicio, una aplicacin o un recurso cuando entre en el entorno productivo. Se contemplan varios
escenarios de evolucin de la carga de trabajo. Se suele realizar en la fase de diseo
(normalmente sobre los crticos) o en cambios importantes.
Gestin de la capacidad del negocio. Subproceso que se encarga de garantizar
que se consideran, planifican e implementan los requisitos de capacidad y rendimiento del negocio para los servicios de TI.
Gestin de la capacidad de los servicios. Subproceso que se centra en la gestin
de la capacidad y el rendimiento de los servicios de TI. Se encarga de garantizar el
cumplimiento de estos aspectos especificados en los acuerdos del nivel de servicio.
Gestin de la capacidad de los recursos. Subproceso que se encarga de la gestin
de la capacidad y el rendimiento de todos los componentes contenidos en la
infraestructura de TI.
Informe sobre los recursos y los servicios. Muestra el comportamiento en
cuanto a capacidad y rendimiento de los recursos y servicios. Refleja el grado de
ocupacin o de saturacin de los mismos.
Informe de excepciones. Pone foco en situaciones de incumplimiento de los niveles de servicio o de saturacin de la capacidad de los recursos o servicios. Analiza
las causas y proponen soluciones.
Modelado. Predicciones del comportamiento de los servicios frente a variaciones
previsibles de la carga de trabajo. Las principales tcnicas de modelado son el anlisis de tendencias de consumo, el modelado analtico o matemtico, las simulaciones ante variaciones de carga, etc. En el mejor de los casos, los modelos se calculan
de forma emprica sobre una instalacin piloto. Los modelos deben ser sencillos y
estar representados en forma de tabla de valores o de grfica.
Monitorizacin. Es la medicin de la capacidad, rendimiento y utilizacin de cada
servicio y recurso de manera continuada. La monitorizacin utiliza como entradas
los umbrales de utilizacin de recursos y los umbrales establecidos en los acuerdos
de nivel de servicio y en las polticas tecnolgicas.
Previsin de la carga. Actividad que consiste en pronosticar la carga o utilizacin
de los recursos informticos.
377
378
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Entradas
Desencadenantes
del proceso:
Actividades
Gestin capacidad del negocio.
Gestin capacidad de servicios.
Alarma de capacidad o
rendimiento.
x x x Ciclo de mejora de la
capacidad y rendimiento:
Proyectos desarrollo.
x x
x
Salidas principales:
Plan de capacidad.
CDB.
Informes capacidad.
Dimensionado de
aplicaciones.
Monitorizacin.
Salidas secundarias:
Anlisis.
Umbrales y alarmas.
Ajuste o tunning.
Implementacin.
Recomendaciones
para SLA.
Salidas
Influir en la utilizacin.
Recomendaciones
para polticas de
facturacin.
Modelado.
Cambios proactivos.
Dimensionado de aplicaciones.
Planificacin
operacional revisada.
x x x Realizacin de informes.
Administrar la base de datos de
capacidad (CDB).
Propuesta de
actividades para la
mejora de los servicios.
la llegada de un nuevo proyecto, de un nuevo desarrollo, de evolucin de un servicio existente o de cambio de las infraestructuras, que requieren el dimensionado de
recursos; nuevos acuerdos o variaciones a los acuerdos de nivel de servicio existentes (SLA); solicitud por otra rea de un informe de capacidad o rendimiento; un
cambio en la tecnologa o en la estrategia tecnolgica (por ejemplo, se inicia una
poltica de consolidacin y de virtualizacin).
Las entradas que se utilizan en las actividades del proceso como soporte son la
estrategia de negocio para conocer las futuras variaciones de la demanda y la estrategia de TI relacionada con la capacidad y rendimiento; los requerimientos de capacidad demandados y los acuerdos de nivel de servicio pactados; los incidentes ocurridos cuyo origen fue una falta de capacidad o de rendimiento, los problemas
379
abiertos o cerrados sobre este mbito; la informacin obtenida sobre cualquier elemento a partir de la base de datos de gestin de la configuracin (CMDB, Change
Management Data Base) y la informacin sobre los histricos de monitorizacin en
la base de datos de gestin de la capacidad (CDB, Capacity Data Base); la planificacin de los cambios a partir de la lista de cambios planificados (FSC, Forward Schedule of Changes) o bien change schedule (siguiendo la terminologa ITIL v3), para
conocer en qu momento se necesitar la capacidad; los presupuestos de TI que
establecen los recursos econmicos disponibles; etc.
La gestin de la capacidad tiene tres subprocesos o mbitos de actuacin: el negocio, los servicios y los recursos.
La gestin de la capacidad del negocio. Se enfoca en conocer la capacidad
que va a demandar el negocio para anticiparse en la cobertura de las necesidades. Los requisitos futuros se obtienen a partir de los planes de negocio,
crecimiento, planes de desarrollo, nuevos servicios, etc.
En la capacidad del negocio tambin se incluyen los aspectos de la capacidad
de los servicios en lo concerniente a su relacin con otros procesos: asistencia en la definicin de los requisitos de nivel de servicio de capacidad, diseo
de nuevos servicios y la provisin de infraestructuras, verificacin de SLA en
rendimiento y carga, firma de los acuerdos, etc.
La gestin de la capacidad de los servicios. Se centra en la gestin de la
capacidad y rendimiento de los servicios de TI, que deben cumplir los mnimos establecidos en los acuerdos de nivel de servicio. Se puede considerar
como la visin hacia el interior de los servicios centrada, principalmente,
en conseguir su adecuado funcionamiento, ya que las interacciones con el
entorno se tratan en la capacidad del negocio.
La gestin de la capacidad de los recursos. Se centra en la gestin de los
componentes individuales de la infraestructura de TI: capacidad, rendimiento, parametrizacin, optimizacin, monitorizacin, obsolescencia, etc.
Siguiendo ITIL, en cada uno de estos tres mbitos se realiza un conjunto de actividades que se enumeran de forma comn, aunque unas son ms especficas de un
mbito y otras, en cambio, se realizan en los tres.
Elaborar el plan de capacidad. Documento que recoge de forma precisa las
necesidades inmediatas y a medio plazo de recursos. Su elaboracin orquesta
un movimiento en toda la organizacin para predecir las necesidades de
capacidad del negocio, de los servicios y de los recursos. Es el documento
maestro que pronostica las necesidades para que se proporcionen los presupuestos necesarios.
380
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Ciclo de mejora de la capacidad y rendimiento. Conjunto de 4 actividades encadenadas que permiten mejorar de forma permanente la capacidad y
el rendimiento de los servicios y de los componentes. Este ciclo debe estar
actuando de forma continua.
Monitorizacin. Registro automatizado, mediante herramientas, de la
capacidad y el rendimiento de los recursos, de los servicios e, incluso, de
la actividad en el negocio (medida en este caso a travs del uso de los
servicios).
Anlisis. Estudio de los resultados de la monitorizacin para detectar
mejoras.
Ajuste o tunning. Identificacin de las acciones correctoras que se deben
llevar a cabo en los recursos fsicos con el fin de mejorar el rendimiento o
el uso de la capacidad.
Implementacin. Implantacin de las mejoras identificadas (anlisis o
ajuste), siempre bajo el proceso de gestin del cambio, generando las peticiones de cambio (RFC, Request for Change) correspondientes.
Relacionarse con otros procesos. La gestin de la capacidad interacciona
en temas de capacidad y rendimiento con muchos procesos. Da soporte a la
gestin de nivel de servicio (SLR, SLA y cumplimiento de niveles de servicio), necesita de las relaciones con el negocio, establece requisitos, supervisa
las pruebas de gestin de la entrega, interacta con la gestin financiera en la
elaboracin del plan de capacidad, determina las compras necesarias, interacta con la gestin del incidente y del problema para detectar las carencias en
la capacidad o rendimiento, etc.
Influir en la utilizacin. Conjunto de acciones que permiten adecuar el uso
y la carga de trabajo de servicios y recursos generados por parte de las reas
cliente y de los usuarios. En cierta manera gestiona la demanda, entendida
como utilizacin de los servicios. Se encarga de ejecutar las polticas de TI
en cuanto al uso.
Modelado. Prediccin o estimacin de la actividad del negocio o del comportamiento de los servicios bajo varios escenarios de carga. El modelado permitir predecir el rendimiento y el consumo de recursos. Presenta como resultado
tablas y grficos que relacionan actividad, carga, capacidad o rendimiento.
Dimensionado de aplicaciones. Clculo de los recursos que necesitar una
aplicacin para satisfacer los niveles de servicio. Se realiza bien al inicio del
proyecto (en el caso de aplicaciones bajo desarrollo o adquisicin) o en la
381
fase de pruebas (en el caso de aplicaciones sujetas a mantenimiento). Tambin se puede realizar en cambios importantes. Si se ha realizado el modelado, se utilizarn sus resultados.
Realizacin de informes de capacidad y rendimiento. Preparacin y difusin de informes diversos sobre la utilizacin de recursos (tcnicos y humanos), la capacidad remanente y el rendimiento de los sistemas. Los informes
se realizarn de forma peridica o bajo peticin, en ambos casos coordinados con el proceso de gestin de informes.
Administrar la base de datos de capacidad (CDB). Diseo y creacin de
la base de datos y administracin posterior de la misma. La base de datos
contiene informacin histrica sobre la demanda y crecimiento del negocio,
sobre los servicios y sobre la capacidad de los elementos de configuracin.
Supervisin y mejora del proceso. Revisin continua del funcionamiento
del proceso y de sus actividades con el fin de detectar mejoras al mismo.
Las actividades de este proceso, con su participacin en los mbitos de negocio,
servicios y recursos, se muestran en la figura 6.5.6.
Actividades
Subprocesos
Elaborar
el plan de
capacidad
Ciclo de mejora
de la capacidad
y rendimiento
Gestin capacidad
del negocio
Relacionarse
con otros
procesos
Modelado
Monitorizacin
Realizacin
de informes
Anlisis
Gestin capacidad
de los servicios
Ajuste
Gestin capacidad
de los recursos
Influir en la
utilizacin
Dimensionado
aplicaciones
Implementacin
CDB
382
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Las principales salidas o resultados del proceso son: el plan de capacidad elaborado o
actualizado, con las previsiones de recursos necesarias; la base de datos de capacidad,
con toda la informacin de capacidad y rendimiento recogida en la monitorizacin;
los informes de capacidad elaborados; y el dimensionado de aplicaciones realizado.
Como resultados secundarios del proceso se obtienen: los umbrales y alarmas para
la monitorizacin de la capacidad y rendimiento; las lneas base en cuanto a la utilizacin de recursos y los perfiles de comportamiento; las recomendaciones de partida para los acuerdos de nivel de servicio; las recomendaciones sobre polticas de
facturacin, de cara a influir en el consumo de recursos; los cambios proactivos (y
sus RFC) para la mejora de la capacidad y del rendimiento; la planificacin de las
operaciones revisada, de cara a ajustar los picos en la carga de los recursos; las propuestas de actividades para la mejora de los servicios; etc.
El plan de capacidad
Uno de los principales instrumentos del proceso es el plan de capacidad, cuyo objetivo es predecir las necesidades de capacidad con el fin anticiparse a su demanda.
Alrededor de la elaboracin del plan se desencadena la actualizacin de informacin y revisin completa de la situacin actual. Las actualizaciones del plan marcan
el tempo de este proceso. Al igual que ocurriera en disponibilidad y continuidad, el
plan de capacidad marca el ciclo vital del proceso, que debe ir acompasado con la
gestin financiera de TI.
En el plan de capacidad tambin se incorporan los niveles actuales de utilizacin de
recursos y el rendimiento de los servicios. Se estudian los planes y la estrategia del
negocio. Las estimaciones y suposiciones realizadas se deben indicar con claridad.
Tambin debera incluir recomendaciones sobre los recursos requeridos, sus costes,
los beneficios, el impacto, etc.
Las Normas ISO/IEC 20000 explicitan un conjunto de requerimientos que se
deben cumplir a travs del plan de capacidad:
UNE-ISO/IEC 20000-1
La gestin de la capacidad debe elaborar y mantener un plan de capacidad.
La gestin de la capacidad debe estar dirigida a las necesidades del negocio y debe
incluir:
a) los requisitos de capacidad, rendimiento y comportamiento, actuales y previstos;
b) la identificacin de plazos, umbrales y costes para las actualizaciones del servicio;
383
c) la evaluacin de los efectos sobre la capacidad de actualizaciones anticipadas del servicio, peticiones de cambio, y nuevas tecnologas y tcnicas;
d) la previsin del impacto de cambios externos, por ejemplo cambios legislativos;
e) los datos y los procesos para poder realizar anlisis predictivos.
UNE-ISO/IEC 20000-2
Se debera generar un plan de capacidad
donde se documente el rendimiento real
de la infraestructura y los requisitos esperados, con la frecuencia suficiente para
tener en cuenta el ritmo de cambios de los
servicios y de los volmenes de servicio, la
informacin de los informes de gestin del
cambio y del negocio del cliente.
Dicho informe debera elaborarse al
menos anualmente. Se deberan docu-
El plan de capacidad debe publicarse anualmente y debe estar alineado con el ciclo
presupuestario. Hay que tener presente que est muy vinculado al plan de inversin y debe estar finalizado antes de que se inicie la elaboracin de los presupuestos
de TI. Se recomienda su actualizacin cada tres meses, para reflejar los cambios en
el negocio o para corregir las previsiones.
En la figura 6.5.7 se muestra la estructura propuesta en ITIL, que divide el plan en
11 apartados.
Los apartados de mayor inters del plan de capacidad son:
Los escenarios del negocio. Que analizan la situacin actual del negocio,
visto desde la demanda hacia TI. Se presenta la situacin actual del negocio
(nmero de departamentos, nmero de usuarios, nmero de edificios, volumen de transacciones, etc.). A partir de la estrategia y planes del negocio, se
realiza una previsin sobre la evolucin del negocio, en cuanto a la actividad
prevista, nueva actividad, nuevos edificios, etc. Contemplando siempre las
repercusin que tendrn en los servicios de TI.
El resumen de los servicios. Presenta la situacin actual de los servicios, mostrando servicio a servicio un perfil del mismo: carga, trfico, almacenamiento,
384
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Plan de capacidad
Resumen de los servicios:
Perfil de cada uno de
los servicios ofrecidos.
Incluyendo ratios de trfico
y utilizacin de los recursos.
Detalles de los nuevos
servicios planeados.
Crecimiento o reduccin
en la utilizacin de sistemas.
Informe sobre la retirada
de sistemas.
1. Introduccin.
2. Resumen ejecutivo.
Escenarios de negocio:
6. Hiptesis.
Tendencias de utilizacin
de recursos a corto medio
y largo plazo desglosadas
por plataformas.
Previsiones de recursos.
Estudio del impacto de los
nuevos escenarios de negocio
descritos en el plan.
Previsiones recursos.
Opciones de mejora:
Posibles opciones de
mejora de la eficacia
y/o eficiencia (por ejemplo,
consolidacin, virtualizacin,
renovacin, etc.).
Presin de costes:
Descripcin de los costes
de las opciones de mejora.
Costes actuales de los servicios.
Costes previstos.
Fuente: Libro ITIL Diseo del Servicio publicado por OGC y e.p.
procesamiento, etc. Tambin se reflejan las tendencias de crecimiento vegetativo en la planta actual. El proceso de gestin de la capacidad recibe informacin de los planes de negocio sobre la planificacin de nuevos servicios o
sobre variaciones de uso correspondientes a servicios actuales. Con todo ello,
se realiza una previsin del crecimiento de los servicios a partir del escenario
de negocio previsto. Las previsiones van cuantificadas de tal forma que permitan identificar las necesidades econmicas asociadas: proyectos de inversin, costes de soporte, costes de mantenimiento, etc.
El resumen de los recursos. Realiza un resumen, a modo de inventario,
de los recursos actuales (hardware, software, aplicaciones, comunicaciones,
385
386
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Estructura de la CDB
Datos de
los servicios
Procesos de negocio.
Edificios y
emplazamientos.
Rendimiento: perfil de
variacin de la carga:
Picos de carga.
Nmero de
transacciones.
Tiempos de
respuesta.
Distribucin
geogrfica usuarios.
Distribucin funcional
usuarios.
Volmenes de
actividad del negocio.
Transacciones de
negocio.
Perfil de la actividad
del negocio (horario,
semanal y estacional).
Perodos crticos para
cada proceso de
negocio.
Capacidad: consumo
por usuario o
transaccin.
Costes del servicio.
Datos de rendimiento
de la infraestructura
que soporta el servicio.
Concurrencia con otros
servicios sobre las
plataformas comunes.
Datos utilizacin
recursos
Lmites tcnicos
Comunicaciones
externas.
Red interna.
Lmite uso
almacenamiento.
Cortafuegos.
Servidores frontales.
Servidores
middleware.
Servidores backend.
Almacenamiento
compartido.
Copias de seguridad
reas de soporte:
Service desk.
Operacin.
Soporte tcnico.
Informacin
financiera
TCO por puesto.
Coste licencias por
usuario.
Coste transaccin.
Coste por MIP.
Coste por GB.
387
Datos de utilizacin de los recursos. Informacin resultante de la monitorizacin de los recursos. Cada recurso tiene sus propios parmetros de monitorizacin y, para cada uno de ellos, se mide la utilizacin de los componentes
y el rendimiento. As, se monitorizarn las aplicaciones; las comunicaciones
exteriores; las comunicaciones entre los edificios; las comunicaciones internas
en los centros de datos; los principales equipos de comunicaciones; el equipamiento de seguridad; los servidores frontales web, middleware y backend; el
almacenamiento compartido en red LAN o en red SAN; las copias de seguridad o backup; la carga de trabajo de las unidades de soporte (service desk, operacin, soporte tcnico, pruebas); etc.
Los parmetros tpicos de monitorizacin son el nmero de transacciones, el
tiempo de respuesta de las aplicaciones, el tiempo de respuesta de red, el porcentaje de utilizacin del procesador, el porcentaje de utilizacin de disco
compartido, utilizacin de memoria en los servidores, duracin del procesado por lotes (batch), etc.
Lmites tcnicos de los recursos. Cada recurso tiene un lmite de capacidad
por encima del cual se satura y se degrada su comportamiento. Es el caso del
porcentaje de utilizacin del procesador, de la capacidad libre de almacenamiento o de la saturacin de las comunicaciones. Esta informacin se almacena en la CDB. Con estos valores lmite, se definen los umbrales y alarmas
de monitorizacin.
Informacin financiera. Conjunto de datos econmicos que se necesitan
en el proceso para establecer el punto de equilibrio entre la tcnica y el coste,
como se realiza en la definicin de escenarios. La informacin sobre el
entorno econmico en el que moverse y los costes se obtienen de varias
fuentes: los planes financieros del negocio, los presupuestos de TI, los suministradores, la base de datos de gestin de la configuracin (CMDB), etc.
Con la informacin de la CDB tambin se obtienen informes, por ejemplo, de los
servicios y recursos; de las excepciones; de las previsiones de capacidad; o del consumo y la facturacin.
Debido a la dificultad de integrar los datos provenientes de las diversas herramientas de monitorizacin, normalmente la base de datos de la capacidad estar formada por varios repositorios de informacin. Resulta esencial el control de la coherencia de la informacin y de la fiabilidad de los datos, por lo que se debe designar
quin o quines desempearn el rol de administradores y quines accedern en
modo de slo consulta. Como toda base de datos, deber ajustarse a las polticas
de gestin del cambio. Tambin deberan realizarse controles o revisiones internas
peridicas de los contenidos de la CDB.
388
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Del conjunto comn de actividades del proceso, las principales actividades que se
pueden considerar para llevar a cabo el subproceso de gestin de la capacidad del
negocio son las siguientes:
Elaborar el plan de capacidad en el mbito del negocio. Se centra en identificar
la evolucin y las necesidades que tendr el negocio en el perodo cubierto por el
plan. Las necesidades se convertirn en los requisitos que TI debe satisfacer. En esta
actividad se desarrolla el apartado del plan de capacidad relativo a los escenarios del
negocio, que est formado por dos subapartados: la situacin actual del negocio y
la evolucin prevista del negocio. El objetivo principal es predecir la evolucin del
negocio en los aspectos que puedan impactar en TI, como por ejemplo, el volumen
de actividad, la variacin o la diversificacin de actividades, la incorporacin de nuevas tecnologas, el impulso a la movilidad, las polticas de teletrabajo, etc.
389
Idealmente, el plan de capacidad en el mbito del negocio no se realiza aisladamente, sino que forma parte de un ejercicio de estrategia ms amplio y global de la
empresa. Parte con la definicin de la estrategia del negocio, de los planes de negocio, del avance de la tecnologa y de la estrategia de TI alineada con el negocio. La
estrategia de TI se ejecuta en base a un porfolio de proyectos (para la evolucin de
los servicios ya existentes o para la construccin de los nuevos), que produce como
resultado el nuevo catlogo de servicios. El plan de capacidad, cuando se realiza en
este mbito ideal, obtiene la informacin de los planes del negocio y la estrategia
de TI para predecir la carga de trabajo que recaer en TI.
El anlisis se realiza por reas o procesos de negocio, mostrando la situacin histrica, la actual y las predicciones. Las predicciones utilizan la informacin de los
datos de negocio de la CDB, por lo que la estructura de las predicciones y de la
CDB debern estar armonizadas.
En la figura 6.5.9 se muestra un ejemplo de los resultados del apartado 3 del plan
de capacidad, relativo a la identificacin de los escenarios del negocio. Se ha
tomado como ejemplo una empresa con una estrategia expansiva territorialmente,
con foco en nuevos productos de mayor valor aadido, la diversificacin de los
canales de venta, la ampliacin de los horarios comerciales y una fuerte expansin
territorial en China y Latinoamrica. En el ejemplo, el escenario del negocio est
alineado con la estructura de datos recopilados en la CDB.
Conviene tener presente que el contacto con el negocio lo lidera el proceso de relaciones con el negocio, al que el presente proceso le asiste en el aspecto de la capacidad.
Si no existiera un ejercicio formalizado de estrategia del negocio y de TI, la definicin del plan de capacidad se deber realizar, igualmente, utilizando el ejercicio presupuestario como palanca.
Ciclo de mejora de la capacidad y rendimiento del negocio. Esta rutina en continua ejecucin en el proceso, propone mejoras de capacidad o rendimiento monitorizando la actividad del negocio a travs de su utilizacin de los servicios (altas
de clientes, transacciones de venta, etc.).
Relacionarse con otros procesos. El subproceso de gestin de la capacidad del
negocio acta a modo de interfaz entre la gestin de la capacidad y el resto de procesos de TI.
Ayuda en la definicin de los requerimientos del servicio (SLR) en temas
relativos a la capacidad y rendimiento, asistiendo al proceso de gestin de
nivel de servicio.
Participa en el diseo, provisin y modificacin de los servicios en temas
relacionados con la capacidad, rendimiento, adquisiciones, tecnologa, etc.
390
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Estrategia negocio.
Ao -2
Ao -1
Evolucin prevista
Ao 0
Ao +1
Ao +2
Ao +3
Expansin intercontinental.
Venta web y logstica: 24x7.
Nuevos productos con mayor valor aadido.
Un 50% del personal con movilidad.
Un 30% del personal en teletrabajo.
Procesos de negocio:
Ventas.
Fabricacin.
Edificios y emplazamientos.
Distribucin geogrfica
usuarios.
Distribucin funcional
usuarios.
Transacciones de negocio.
Perfil de la actividad
del negocio (horario,
semanal y estacional).
Periodos crticos para cada
proceso de negocio.
+10%
+10%
+10%
+15%
+15%
+25%
+10%
+10%
+10%
+10%
+5%
+5%
Horario de L a V de 9 a 20 h
Horario comercial: L a D de 9 a 22 h
Horario web: 24x7 incluido CRM
Ventas: diciembre.
Facturacin: ltima semana mes.
Cierre contable: ltima semana mes.
391
392
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
393
debe ejecutar las polticas de TI y utiliza como principal medio la imputacin de costes, pero tambin tiene otras alternativas, como por ejemplo, la comunicacin, la
limitacin del uso (por ejemplo, el tamao de los buzones de correo), etc. La
influencia en el uso se debe realizar con una visin general del negocio, pues muchas
veces infringe graves prejuicios e improductividad en el negocio. Adems, se deben
realizar de forma alineada con la gestin de la estrategia del negocio y apoyadas en
la gestin financiera de TI.
Modelado de los servicios. En el caso de los servicios, el modelado permite definir
varios escenarios de trabajo, con variaciones en la carga que soportarn los servicios
y la cuantificacin de los recursos necesarios para soportarla. El modelado se utiliza
en la etapa de diseo de los servicios. En la mayora de los casos el resultado es una
simple tabla o grfica que representa las diversas cargas junto con los recursos necesarios. En el caso de productos software, el modelado debe partir del realizado por
los propios fabricantes, que se podr complementar con pruebas en el escenario real,
ya que los datos de los fabricantes generalmente se referirn a configuraciones limpias y que no consideran escenarios de comparticin de los recursos.
Dimensionado de aplicaciones. Actividad muy similar al modelado cuyo resultado est orientado a conocer con detalle los recursos que necesitar una aplicacin
para satisfacer los niveles de servicio. Se realiza o al inicio del proyecto o en la fase
de pruebas y tambin se puede hacer en cambios importantes. Si se ha realizado el
modelado previamente, se utilizarn sus resultados. Se realiza principalmente en
aplicaciones crticas. En los desarrollos a medida, slo se podr realizar en la fase
de las pruebas finales antes de entrada en produccin, sometiendo a la aplicacin a
diversas situaciones de carga, utilizando para ello herramientas de generacin automtica. Por este motivo, es mucho ms importante la identificacin e incorporacin de requisitos de rendimiento durante la fase de establecimiento de requisitos
tcnicos al nuevo desarrollo.
Realizacin de informes de capacidad y rendimiento. Emisin de informes
sobre los servicios, detallando el rendimiento de los servicios, la utilizacin de
recursos (tcnicos y humanos), la capacidad remanente, etc. Los informes se realizarn de forma peridica o bajo peticin, en ambos casos coordinados con el proceso de gestin de informes.
394
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
395
396
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Figura 6.5.10. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
base a un proyecto llave en mano, como puede ocurrir con la continuidad, sino que
se suele realizar por el propio equipo que posteriormente llevar el proceso.
Una vez puesta en marcha, la gestin de la capacidad requiere perfiles con una profunda especializacin tcnica en las tecnologas que se utilizan (se realiza en tuning
de aplicaciones, se resuelven problemas de rendimiento, etc.) y tambin es necesario
conocimiento del negocio de cara a predecir el comportamiento del mismo.
Los roles involucrados en la gestin de la capacidad se estructuran en roles propios
del proceso y roles ajenos al proceso.
Los roles propios del proceso son:
Gestor de la capacidad. Es el responsable de la implantacin del proceso definido por el propietario del modelo de gestin. Tambin supervisa y coordina
la ejecucin y el control del proceso, se encarga de proponer mejoras al proceso, realiza el plan de capacidad, tiene la visin del negocio, interacta con
el resto de procesos, asegura que se cumplen los SLA en cuanto a la capacidad y rendimiento, vela por el correcto tratamiento de los datos que utiliza
el proceso y supervisa la implementacin de la monitorizacin.
Administrador y soporte del proceso de capacidad. Asiste al gestor de la
capacidad en lo que necesite.
397
398
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Responsable de la
gestin del servicio
Administrador y
soporte del proceso
de capacidad
Gestor de
la capacidad
Especialista
tecnolgico
Propietario del
modelo (SGSTI)
Especialista en
monitorizacin
Administrador
de la CDB
Resumen
Si este proceso cay alguna vez en el olvido, vuelve a tener plena vigencia debido a
las nuevas tendencias en TI: los ajustes en los costes, la consolidacin y la virtualizacin de las infraestructuras de procesamiento o la reduccin del consumo elctrico. La necesidad de compartir plataformas requiere gestionar y controlar los
recursos que consume un servicio para evitar que interfiera en el rendimiento de
los otros.
La gestin de la capacidad es un proceso que comprende un amplio abanico de
especialidades diferentes, desde el entendimiento de la evolucin del negocio, hasta
las funciones ms tcnicas de ajuste de las aplicaciones y de las plataformas para
conseguir un rendimiento ptimo.
399
400
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Beneficios
La gestin de la capacidad es un proceso de previsin que permite anticipar las
necesidades y gestionar la dotacin de fondos para conseguirlos. Por tanto, tiene
una vertiente importante en la planificacin econmica.
Tambin lucha contra el despilfarro en la compra o utilizacin de los recursos, ajustando la demanda a las infraestructuras necesarias.
En su faceta tcnica pura, se centra en conseguir un rendimiento ptimo de los servicios, realizando el ajuste fino de las aplicaciones y de las plataformas.
Los principales beneficios esperados con la implantacin de este proceso son los
siguientes:
Se conocen anticipadamente las necesidades de recursos.
Se pueden agrupar y racionalizar las compras.
El dilogo con el negocio permite identificar los perfiles de utilizacin de los
servicios y reconducir el consumo que se hace de ellos por parte de los usuarios.
Se controlan los gastos imprevistos por nuevos proyecto o por necesidades
de compras urgentes.
La optimizacin de recursos, la revisin de la utilizacin de licencias, la gestin de la obsolescencia del parque de equipamiento y la retirada de recursos
no utilizados, pueden generar importantes ahorros.
La mejora del rendimiento y el tunning es una garanta para la estabilidad de
los servicios y la utilizacin ptima de los recursos.
La monitorizacin permitir seguir el consumo de capacidad (por ejemplo,
el consumo energtico) y el rendimiento.
El ciclo de mejora de la capacidad asegura que las instalaciones estn siendo
revisadas y mejoradas continuamente.
Por tanto, el proceso de gestin de la capacidad aporta prediccin en las necesidades, con los beneficios que trae consigo la anticipacin. Es un proceso de ajuste y
401
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es el contenido del plan de capacidad de su organizacin?
Cmo se realizan las pruebas de rendimiento de las aplicaciones?
Cite las dos mejores prcticas de su organizacin relativas al proceso
de capacidad.
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
403
En los ltimos aos la seguridad de las tecnologas de la informacin se ha convertido en una de las preocupaciones ms importantes de las empresas. La informacin
es quiz uno de los activos ms crticos, sin informacin o con una informacin alterada, las compaas no pueden desarrollar su actividad. Pero an conservando la
informacin, si sta es accedida y cae en manos de la competencia, o es divulgada en
el mercado, el dao puede ser an mayor.
La facilidad de acceso a cualquier parte del mundo mediante la gran red Internet,
pone al alcance de la mano cualquier ordenador que est conectado a ella. Los ataques, los virus, los gusanos y los troyanos son cada vez ms frecuentes. La adecuada
gestin de la seguridad de la informacin se ha convertido por obligacin en uno
de los objetivos estratgicos de toda compaa.
Tradicionalmente, la gestin de la seguridad ha sido una actividad aislada del da a
da en TI. Slo se le daba importancia en situaciones de crisis, era considerada
inconscientemente como una rmora. Con la llegada de las Normas ISO/IEC
20000, la gestin de la seguridad asciende de categora y se trata de igual a igual
con los procesos ms importantes en la gestin de TI. Sale del rincn en el que
404
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
estaba postergada para ser considerada parte de los procesos de provisin, que son
proactivos y alinean los servicios con los requisitos del negocio. De hecho, implantar la gestin de la seguridad y sus actividades tiene bastante similitud con la
importante gestin de la disponibilidad. Ambas tienen una fase previa de implantacin, se articulan en torno a un plan, participan en el diseo de los servicios, tienen
actividades proactivas, analizan los riesgos, dan su apoyo en la resolucin de los
incidentes y problemas que impactan en la disponibilidad o en la seguridad, tienen
facetas reactivas, generan informes, proponen mejoras, supervisan el funcionamiento en su mbito, etc. Teniendo en mente estas similitudes, es ms sencillo
entender las grandes directrices de la gestin de la seguridad (vase la figura 6.6.1).
La seguridad en TI ha ido evolucionando desde la resolucin de crisis, a golpe de
inversin en tecnologa de proteccin, hacia el concepto de gestin, que combina
tecnologa con medidas organizativas, con procesos y con procedimientos de seguridad. La evolucin hacia un modelo de gestin de la seguridad de la informacin
viene impulsada por la Norma UNE-ISO/IEC 27001, que resalta la necesidad de
disponer de un sistema de gestin de la seguridad y la Norma UNE-ISO/IEC
17799 que detalla cada uno de los controles necesarios para garantizar la seguridad.
La empresa actual debe entender la gestin de la seguridad como un proceso, que
garantice y salvaguarde su informacin, pero que no suponga una barrera para la
organizacin a la hora de desarrollar su actividad.
La gestin de seguridad de la informacin es el proceso con responsabilidad sobre
los niveles de seguridad de los activos utilizados para la prestacin de los servicios
de TI a los clientes. En la figura 6.6.2 se presenta una introduccin al proceso de
gestin de seguridad de la informacin.
Las Normas ISO/IEC 20000 establecen para este proceso un objetivo muy claro:
gestionar la seguridad de la informacin de manera eficaz para todas las actividades del servicio. El proceso de gestin de seguridad de la informacin debe trabajar para asegurar que los activos utilizados en la prestacin de los servicios se
encuentren en unos niveles de exposicin al riesgo aceptables para el negocio.
Por otra parte, en ITIL v3 se enuncia el objetivo con un enfoque algo diferente: alinear la seguridad de TI con la seguridad del negocio y garantizar que la seguridad
de la informacin es gestionada de forma efectiva en todas las actividades de la gestin del servicio. Es muy interesante el matiz aadido por la versin 3, poniendo
nfasis en que la seguridad en TI est integrada con la seguridad general de la
empresa. Tambin destaca que la seguridad no es una isla dentro del rea de TI, sino
que enfoca la actividad del proceso principalmente a velar porque los diversos grupos especialistas de TI desarrollen entre sus actividades los aspectos de la seguridad.
As, este proceso, al igual que ocurriera con la gestin de la disponibilidad, marca las
Proceso de gestin de la
seguridad de la informacin
405
Qu aporta:
Reduce el riesgo de virus, troyanos,
gusanos, etc.
Definicin:
Objetivo:
Proceso que debe garantizar el nivel de
seguridad requerido sobre los activos
utilizados por la organizacin para la
prestacin de los servicios de TI.
pautas, define las medidas de salvaguardia y vela por que se cumplan, ms que desarrollar las medidas por si mismo.
Las principales ventajas que aporta el proceso son:
Mejora la seguridad de los sistemas de informacin en todos sus aspectos.
Reduce el riesgo de contagio de virus, de entrada de los silenciosos troyanos,
de expansin de gusanos que saturan las comunicaciones, etc.
Mejora el control y la custodia de los activos de informacin de la empresa,
implantando medidas adecuadas a la criticidad de la informacin o de los sistemas.
La mayor proteccin ante las amenazas permite aumentar la fiabilidad de los
servicios, reduciendo la probabilidad de ocurrencia de incidentes de seguridad.
Define y prepara mtodos eficientes en la resolucin de incidentes de seguridad.
Implementa una gestin integral de la seguridad, que proporciona una
visin conjunta del impacto de la seguridad en el negocio.
Realiza la mejora continua de la seguridad reduciendo nivel de riesgo de los
servicios prestados a los clientes.
406
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
De forma general, la seguridad informtica se plantea desde dos mbitos o disciplinas: la seguridad fsica y la seguridad lgica.
La seguridad fsica se centra en la interposicin de controles y barreras mecnicas o materiales para el acceso, y en la deteccin de intrusiones a recintos,
infraestructuras o localizaciones. Entre las medidas habituales de seguridad
fsica se encuentran los permetros de seguridad fsica para proteger las reas
en las que ubican los sistemas de informacin; los controles fsicos de
entrada-salida; y las medidas de proteccin frente a incendios, inundaciones,
terremotos, explosiones, disturbios, manifestaciones, atentados o cualquier
otra forma de desastre natural o provocado. La seguridad fsica se puede
solapar en algunos riesgos con la gestin de la continuidad, por lo que es
conveniente delimitar claramente las fronteras entre ambas.
La seguridad lgica se centra en la proteccin de la informacin en su propio medio. Algunos ejemplos de medidas de seguridad lgica son el control
del acceso de los usuarios a los sistemas de informacin; los mecanismos de
control del acceso a la informacin y a los sistemas; los cortafuegos y las protecciones en la conexin a las redes de telecomunicaciones; etc.
Cuando se trata de definir el alcance de la seguridad es ya un clsico considerar que se
deben cubrir tres aspectos: la confidencialidad, la integridad y la disponibilidad de la
informacin. En la figura 6.6.3 se muestran los principios bsicos de este proceso.
407
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
408
Evaluacin
Activo
Declaracin
Tratamiento
Riesgos de
seguridad
Objetivos
de control
Declaracin de
riesgos (SoA)
Controles de
seguridad
Supervisin
Monitorizacin
de la seguridad
Amenaza
de seguridad
Vulnerabilidad
Probabilidad
Impacto
Nivel de riesgo
Plan de
tratamiento de
riesgos de
seguridad
da
uri
eg
es
ad
Incidentes
de seguridad
Registros de
seguridad
de
Informes
seguridad
tic
Pol
Eventos de
seguridad
Comit de
seguridad
de seguridad), hay que tener en cuenta los conceptos principales que se utilizan en
el proceso de gestin de seguridad de la informacin:
Activo de sistemas de informacin o elemento de configuracin. Dato, informacin, programa, equipo, persona o cualquier otro recurso de los sistemas de
informacin utilizado en la prestacin de los servicios. En el mbito de seguridad
se denomina activo, mientras que en el proceso de gestin de la configuracin y
en el resto de procesos se utiliza el trmino elemento de configuracin. As,
activo y elemento de configuracin son conceptos similares.
Amenaza. Suceso de ocurrencia probable que puede desencadenar un incidente en la
organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos.
Anlisis de riesgos de seguridad. Actividad que proporciona informacin relativa
a las amenazas de seguridad que pueden afectar a los servicios, as como, la probabilidad de que ocurran. En TI se suele realizar un anlisis de riesgos especfico en cada
uno de los tres procesos (incidentes, continuidad y seguridad), pero con objetivos
409
410
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
y, para cada uno de estos, se establecen los controles que harn posible alcanzar
el objetivo fijado. Las Normas ISO/IEC 27001 e ISO/IEC 17799 establecen cerca
de 40 posibles objetivos de control de la seguridad de la informacin.
Registro de seguridad. Informacin relativa a un aspecto o un evento de seguridad que se almacena de una forma controlada. Los registros son un instrumento
esencial en las normas para desarrollar el principio de auditabilidad.
Plan de tratamiento de riesgos (RTP, Risk Treatment Plan). Documento base
que articula la implantacin de la gestin de los riesgos.
Plan Director de Seguridad de la Informacin (PDSI). Nombre un poco rimbombante que se suele dar al documento que unifica todas las acciones a varios aos para
transformar la seguridad. Tiene categora de plan estratgico. Normalmente contiene
el plan de implantacin del proceso o del SGSI, y el plan de tratamiento de riesgos.
Probabilidad. Frecuencia con la que puede ocurrir un suceso, o la relacin entre el
nmero de casos favorables y el nmero de casos totales.
Riesgo. Es la posibilidad de que se materialice una amenaza y sta cause un
impacto en un determinado servicio o activo. El riesgo es funcin de la magnitud
de la amenaza, de la vulnerabilidad al mismo de los servicios y de la probabilidad
de que ocurra el suceso. En torno al riesgo aparecen un conjunto de actividades:
Aceptacin del riesgo. Decisin de aceptar un riesgo.
Anlisis del riesgo. Sistemtica de uso de informacin para identificar fuentes y estimacin del riesgo.
Valoracin del riesgo. Todo el proceso de anlisis y evaluacin del riesgo.
Evaluacin del riesgo. Proceso de comparar un riesgo estimado con el
riesgo dado por los criterios para determinar la importancia del riesgo.
Tratamiento o gestin del riesgo. Proceso de seleccin e implantacin de
las medidas para cambiar el riesgo.
Sistema de Gestin de la Seguridad de la Informacin (SGSI, o en ingls
ISMS, Information Security Management System). Es un sistema de gestin o
modelo formalizado con el que se gestiona la seguridad de la informacin. La
Norma ISO/IEC 27001 define este sistema de gestin.
Conviene que el SGSI est integrado en el SGSTI y ambos en el sistema de gestin
de la calidad general de la empresa (basado en ISO 9001).
Sistema de Gestin del Servicio de TI (SGSTI). Es un sistema de gestin o
modelo formalizado con el que se gestionan los servicios de las TI. Las Normas
411
UNE-ISO/IEC 20000-2
Generalidades
La seguridad de la informacin es el
resultado de un sistema de polticas y
procedimientos diseados para identificar, controlar y proteger la informacin y
cualquier equipamiento empleado junto
con el almacenamiento, transmisin y
procesamiento de dicha informacin.
412
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Entradas
Actividades
Salidas
Desencadenantes
del proceso:
Poltica de seguridad
del negocio.
Requisitos de seguridad
del negocio.
Acuerdos seguridad en
SLA.
Incidente severo de
seguridad.
Declaracin de riesgos.
Declaracin de riesgos.
3 Implementacin y operacin:
Plan de tratamiento de riesgos.
Procedimiento incidentes
seguridad.
Pruebas iniciales.
Gestionar recursos
seguridad.
Controles de seguridad.
Registros de seguridad.
Auditoras de
seguridad.
Informes de seguridad.
Requisitos de seguridad.
Informacin de
incidentes y problemas.
Datos de monitorizacin.
Revisin y auditora.
Cambios (RFC).
Activos y CMDB.
Supervisar, monitorizar y
registrar.
Presupuestos asignados.
Objetivos de control.
Salidas secundarias:
3 Supervisin y revisin:
Entorno legal.
Evaluacin de riesgos.
Plan de tratamiento de
riesgos de seguridad.
Implementar controles.
Entradas de soporte:
Poltica de
seguridad TI.
Seleccin de objetivos de
control y sus controles.
Fecha de pruebas.
Fecha de auditoras.
Salidas principales:
Formacin y comunicacin.
Investigar incidentes.
Actualizar los planes.
413
Las entradas desencadenantes del proceso son la definicin de una poltica de seguridad en el negocio, que origina el inicio de la creacin del proceso; los requisitos
de seguridad del negocio concretados en los acuerdos de nivel de servicio; la ocurrencia de un incidente severo de seguridad, pues este proceso colabora con la gestin del incidente en la gestin de la crisis; y la llegada de un conjunto de fechas
especficas (de pruebas de seguridad, de revisin del plan de tratamiento de riesgos
o las fechas de las revisiones o auditoras).
El proceso utiliza unas entradas de soporte de otras fuentes necesarias para llevar a
cabo sus cometidos. Entre dichas entradas destacan el anlisis de riesgos realizado en
el plan de continuidad de TI, pues en caso de que se haya realizado aportar un entendimiento mejor del negocio y de los riesgos; la informacin de incidentes y de los problemas ocurridos relacionados con la seguridad; los datos de la monitorizacin de los
sistemas y de la seguridad; los cambios en curso para supervisar que se evale su seguridad; la informacin de los activos y de la CMDB; el entorno legal y regulatorio que
influye en la seguridad; los presupuestos asignados a la seguridad; etc.
Las salidas principales del proceso son la poltica de la seguridad definida; los resultados de la evaluacin de riesgos de seguridad; el plan de tratamiento de los riesgos;
la declaracin de riesgos; los objetivos de control y los controles seleccionados; los
resultados de las auditoras de seguridad; o los informes relativos a la seguridad y
sus indicadores.
Las salidas secundarias, o de menor importancia, que se obtienen del proceso son,
por ejemplo, los requisitos formalizados para la seguridad; el plan de proyecto para
implantar el proceso de seguridad; los procedimientos para deteccin y respuesta a
incidentes de seguridad; una clasificacin de los activos en cuanto a su criticidad; el
personal de TI y de la empresa concienciado; los informes de los resultados de las
pruebas de seguridad; etc.
En la definicin de las actividades del proceso se han tenido en cuenta lo establecido
en la Norma ISO/IEC 27001 en su apartado 4.2, que agrupa las actividades de
gestin de la seguridad en torno al ciclo PDCA de Deming (vase la figura 6.6.6).
Extrayendo cada epgrafe del apartado 4.2 de la Norma ISO/IEC 27001 se establecen un total de 30 actividades. En la figura 6.6.7 se relacionan stas.
Como se ha mencionado anteriormente, en este libro se ha decidido respetar lo definido en ISO/IEC 27001 como la mejor va para llevar a cabo los requisitos establecidos en las Normas ISO/IEC 20000, adems, para facilitar el entendimiento de las
actividades, se ha realizado una agrupacin intermedia. De esta forma, en el presente
proceso las actividades de gestin de la seguridad quedan estructuradas en dos niveles: el primero alineado el ciclo PDCA de ISO/IEC 27001, mientras que el segundo
nivel permite entender mejor el transcurso del proceso.
414
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
P Planificar
A Actuar
Mantenimiento y mejora
Plan
D Hacer
Implementacin y operacin
Planificar
Do
Act
Hacer
Actuar
Check
Verificar
C Verificar
Supervisin y revisin
Supervisar, monitorizar, revisiones regulares,
medir la efectividad, auditoras, actualizar
planes, registro de acciones y eventos.
415
En la figura 6.6.8 se muestra un esquema con las actividades del proceso, realizado
imitando el ya legendario esquema de gestin de la continuidad de ITIL v2.
GESTIN DE LA SEGURIDAD DE LA INFORMACIN
PLAN
Anlisis de riesgos
de seguridad
Evaluacin de riesgos
Requerimientos y estrategia
Seleccin de objetivos de
control y sus controles
Declaracin de
riesgos de seguridad
Declaracin de riesgos
Implementacin
y operacin
DO
Poltica seguridad
Plan tratamiento
riesgos seguridad
Pruebas iniciales
CHECK
Pruebas iniciales
Supervisin
y revisin
Revisin y
auditora
Prueba de
controles
Supervisar,
monitorizar
y registrar
Investigar
incidentes
Actualizar
ACT
Fuente: e.p. a partir del libro ITIL Provisin de Servicio publicado por OGC y de UNE-EN ISO 27001.
Siguiendo esta estructuracin en dos niveles, a continuacin se relacionan las actividades del proceso alineadas con lo indicado en la Norma ISO/IEC 27001.
Creacin del proceso o del sistema de gestin SGSI. La primera etapa para
empezar a implantar la seguridad es la fase de creacin del propio proceso de gestin de la seguridad (si se est en ISO/IEC 20000) o del sistema de gestin de la
416
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
seguridad (si se est aplicando ISO/IEC 27001). La creacin del proceso se realiza
en las etapas de inicio, y de requerimientos y estrategia, al igual que en la implantacin de los procesos de continuidad y disponibilidad. En el inicio se establece el
entorno necesario para que comience la implantacin de la gestin de la seguridad.
A partir del entorno del negocio, se determinan los requerimientos de seguridad, se
identifican los riesgos, se acuerda el tratamiento a los mismos, se establecen los
objetivos de control y se seleccionan los controles adecuados para conseguir estos
objetivos, y se realiza la declaracin formal de los riesgos.
Alcance, poltica y enfoque. Se concretan las directrices que debe cumplir
el proceso:
Definir el alcance (4.2.1.a 1): se concreta el alcance y los lmites del proceso en trminos de las caractersticas de la actividad del negocio, de la
organizacin, su ubicacin, sus activos y tecnologa, incluyendo los detalles y la justificacin de cualquier exclusin del alcance.
Definir una poltica de seguridad (4.2.1.b): que incluya un marco para
la fijacin de objetivos y establezca una orientacin general; que tenga en
cuenta los requisitos de la actividad del negocio, los requisitos legales y las
obligaciones contractuales.
Definir el enfoque de la evaluacin de riesgos de la organizacin
(4.2.1.c): la metodologa seleccionada para la evaluacin de riesgos debe
asegurar que las evaluaciones de riesgos generen resultados comparables y
reproducibles.
Proyecto implantacin. Se recomienda que la implantacin de la gestin de
la seguridad se estructure en forma de proyecto, pues es un trabajo complejo
y que afecta a muchos aspectos: organizativos, procedimentales, modificaciones tcnicas, implantacin de herramientas, etc. Se requiere la designacin de un nico responsable que controle toda la implementacin, que se
doten los recursos necesarios y que se realice una planificacin detallada de
las tareas. El proyecto de implantacin asume la puesta en marcha del proceso o del SGSI, segn sea el caso.
Evaluacin de riesgos. Se realiza la identificacin de los riesgos de la seguridad, se analizan y se determinan los niveles de riesgo. Ntese que la actividad de evaluacin de riesgos es similar a la realizada en el proceso de disponibilidad y de continuidad, por lo que se recomienda que se realicen de
forma conjunta o, por lo menos, integrada.
1
417
Identificar los riesgos (4.2.1.d): identificacin de los activos, identificacin de las amenazas, identificacin de vulnerabilidades y determinacin
del impacto que sobre los activos puede tener una prdida de confidencialidad, integridad y disponibilidad en los mismos.
Analizar y valorar los riesgos (4.2.1.e): analizar el impacto sobre la actividad del negocio de un incidente de seguridad, evaluar la probabilidad de
que se produzcan estos fallos, estimar los niveles de riesgo y determinar si
los riesgos son aceptables.
Seleccin de objetivos de control y sus controles. La Norma ISO/IEC
27001 proporciona un juego muy completo de objetivos de control, cada
uno con sus controles de seguridad asociados. Para cada control se detalla
la finalidad y las recomendaciones para su implementacin. La gestin de la
seguridad est claramente orientada a la implantacin de controles, que se
pueden seleccionar entre estos proporcionados u otros que se consideren
necesarios.
Identificar y evaluar las opciones para el tratamiento de riesgos
(4.2.1.f), para cada uno de los riesgos se determina la forma de tratamiento: si se le aplicar las medidas de salvaguardia o controles adecuados, se asumir el riesgo, se evitar el mismo o se transferir a un tercero.
Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos (4.2.1.g): una vez identificado el tratamiento de
los riesgos, se determinan los objetivos para controlarlos. Para cada objetivo de control se establecern los controles que se consideren necesarios
para conseguir que se alcancen. Objetivos y controles se seleccionan primeramente entre los contenidos en la Norma ISO/IEC 27001 y detallados en ISO/IEC 17799. Esto no quita para que se aadan otros objetivos
y sus controles asociados si se consideran necesarios. Esta seleccin debe
tener en cuenta los criterios de aceptacin de riesgos, adems de los requisitos legales, reglamentarios y contractuales.
Declaracin de riesgos. Formalizacin y aprobacin por la direccin de la
evaluacin de riesgos realizada y la seleccin de los controles.
Obtener la aprobacin de los riesgos residuales propuestos (4.2.1.h),
por parte de la direccin.
Obtener la autorizacin para implementar y operar (4.2.1.i) el proceso de gestin de la seguridad o el SGSI, por parte de la direccin.
418
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Elaborar una declaracin de aplicabilidad SoA 2 (4.2.1.j). Es un documento que especifica los objetivos de control y los controles de seguridad
que se utilizarn para el tratamiento de los riesgos, seleccionados entre los
propuestos por ISO/IEC 27001 y de otras fuentes. La declaracin de aplicabilidad proporciona un resumen de las decisiones relativas al tratamiento
de los riesgos. La justificacin de las exclusiones facilita una comprobacin
cruzada de que no se ha omitido inadvertidamente ningn control. Se elabora a partir de las opciones de tratamiento de riesgos decididas, y de la
seleccin realizada de los objetivos de control y sus controles asociados.
Implementacin y operacin. Una vez evaluados los riesgos, identificada la estrategia de tratamiento para cada uno y seleccionados los objetivos de control y los
controles, se procede a la implementacin del proceso de gestin de seguridad. Se
comienza con un plan para el tratamiento de riesgos, para continuar con las acciones para implantar los controles y la definicin de los procedimientos especficos
para incidentes de seguridad.
Plan de tratamiento de riesgos. Dentro del plan de implantacin general
de la seguridad se encuentra el plan concreto de tratamiento de riesgos, que
es un plan de implantacin especfico para las medidas correctoras de los
riesgos. Se centra en planificar la puesta en marcha de cada una de las opciones
definidas para el tratamiento de los riesgos, detalla especialmente la planificacin para implementar los controles.
Formular un plan de tratamiento de riesgos (4.2.2.a) que identifique
las acciones, los recursos, las responsabilidades y las prioridades adecuados para gestionar los riesgos de la seguridad de la informacin.
Implementar el plan de tratamiento de riesgos. Desarrollando las acciones
planificadas en el plan de tratamiento anterior, se llevan a cabo las tareas necesarias para implementar cada uno de los controles seleccionados. Tambin se
definen e implementan los indicadores para medir la eficacia de los controles.
Implementar el plan de tratamiento de riesgos (4.2.2.b) para lograr los
objetivos de control identificados, que tenga en cuenta su financiacin, y
la asignacin de funciones y responsabilidades.
Implementar los controles seleccionados (4.2.2.c): conjunto de subproyectos o tareas necesarias para la puesta en marcha de los controles. Esta es
una de las actividades ms extensas y costosas de la implementacin de la
419
seguridad, pues los controles son de todo tipo, unas veces sern directrices
internas, otras la designacin de funciones, otras requerir la compra de
equipamiento o de soluciones software, puede ser necesario cambiar la configuracin de los sistemas, etc.
Definir el modo de medir la eficacia de los controles (4.2.2.d): la
medicin de la eficacia de los controles permite determinar hasta qu
punto los controles cumplen los objetivos de control planificados. Se
define la forma de medir la eficacia de los controles o de los objetivos
de control seleccionados, tambin se especifica cmo se tienen que usar
estas mediciones.
Procedimiento de gestin de incidentes seguridad. De forma integrada
con el proceso de gestin del incidente, en este proceso especializado en la
seguridad, se desarrollan e implementan los procedimientos especficos para
la alerta temprana de este tipo de incidentes y los procedimientos de detalle
para que la respuesta sea lo ms eficaz posible. Este procedimiento se debe
integrar con el resto de procedimientos generales de gestin del incidente.
Implementar procedimientos y controles para deteccin y respuesta a
incidentes de seguridad (4.2.2.h) para realizar una deteccin temprana
de eventos de seguridad y facilitar una respuesta rpida ante cualquier
incidente de seguridad.
Pruebas iniciales. Conjunto de pruebas que garantizan que las medidas
implementadas funcionan correctamente. Se deben realizar antes de dar por
finalizada la implementacin.
Gestionar recursos seguridad.
Gestionar la operacin de la seguridad (4.2.2.f): conjunto de actividades y procedimientos tcnicos del da a da que permiten que los controles
implantados sigan activos.
Gestionar los recursos de la seguridad (4.2.2.g y 5.2) que cubre tanto
la provisin de los recursos, la dotacin de presupuestos para la concienciacin, formacin y capacitacin del personal.
Implementar programas de formacin y de concienciacin (4.2.2.e
y 5.2.2). Es necesario formar a todo el personal al que se le hayan asignado
responsabilidades para que sea competente para llevar a cabo las tareas requeridas. Mediante diversas acciones de comunicacin se asegura que el resto del
personal sea consciente de la trascendencia y de la importancia de las actividades de seguridad de la informacin y de su contribucin a las mismas.
420
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
421
Ejecutar procedimientos de supervisin y revisin (4.2.3.a), para identificar lo antes posible las debilidades del sistema de seguridad, ayudar a
detectar eventos de seguridad, determinar si las acciones tomadas para
resolver una vulneracin de la seguridad han sido eficaces, etc.
Registrar las acciones o incidentes (4.2.3.h) relacionados con la seguridad, con el fin de recolectar toda la informacin necesaria para su evaluacin posterior.
Investigar incidentes de seguridad. Se deben investigar los incidentes de
seguridad de cara a identificar las debilidades y generar las mejoras o acciones correctoras adecuadas. La investigacin de incidentes de seguridad se
debe registrar como un ticket de problema y se debe realizar como parte del
proceso de gestin del problema.
Actualizar. La informacin, documentacin, etc.
Actualizar los planes de seguridad (4.2.3.g) teniendo en cuenta las conclusiones de las actividades de supervisin y revisin, los cambios en los
servicios, etc.
Gestionar incidentes severos de seguridad. Los incidentes de seguridad se
deben gestionar por el mismo cauce que el resto de incidentes o de contingencias de continuidad. En el caso de incidentes severos, se deben definir los
procedimientos especficos de actuacin y es conveniente tener un conjunto
de especialistas en seguridad preparados. El tratamiento de incidentes graves
de seguridad tienen muchas similitudes con la gestin de una contingencia
de continuidad: hay una prdida importante en los servicios de TI, se debe
gestionar soluciones alternativas, movilizar los medios de recuperacin, gestionar la comunicacin exterior, etc. En ciertas organizaciones, se tiene preparada una sala o un centro especializado en la gestin de estos incidentes
graves de seguridad. En otras ocasiones se integra en la sala de crisis para la
gestin de todo tipo de incidentes graves.
Mantenimiento y mejora del proceso o del SGSI. Como en todo proceso se
debe contemplar la mejora continua del mismo. A este respecto, ISO/IEC 27001
establece las actividades siguientes:
Implementar las mejoras identificadas (4.2.4.a).
Aplicar las medidas correctivas y preventivas adecuadas (4.2.4.b).
Comunicar las acciones y mejoras a todas las partes (4.2.4.c).
Asegurar que las mejoras alcancen los objetivos previstos (4.2.4.d).
422
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
423
Comit de
seguridad
424
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La Norma ISO/IEC 20000-1 establece el requisito claro de la existencia de la poltica de seguridad y la necesidad de que sea difundida al personal de TI e incluso a
los usuarios de los servicios de TI.
UNE-ISO/IEC 20000-1
La direccin, con la autoridad apropiada, debe aprobar una poltica de seguridad
de la informacin, que debe comunicarse a todo el personal implicado y, cuando
sea adecuado, a los clientes.
El comit de seguridad
La poltica de seguridad conviene que est respaldada por un rgano interno en el
que se traten todas las cuestiones que precisen de la intervencin de la direccin,
adems de servir como instrumento que ejecuta el compromiso con la seguridad de
la informacin.
El comit de seguridad, por su composicin, se convierte en el asesor del responsable de seguridad para las decisiones de mayor nivel en la organizacin en los asuntos relacionados con la seguridad de la informacin. Al frente del mismo se encuentra el responsable del proceso de seguridad. El comit se debera reunir con una
periodicidad mnima mensual. El resultado de las reuniones de este comit deber
quedar reflejado en unas actas de reunin.
El comit de seguridad se responsabiliza de:
El asesoramiento al responsable de seguridad.
La comunicacin a toda la organizacin de la importancia de cumplir tanto
los requisitos de la norma como los legales y reglamentarios.
La evolucin de la poltica y objetivos de la seguridad.
El aseguramiento de la disponibilidad de presupuestos y recursos adecuados.
La aprobacin y respaldo ejecutivo a los planes de implantacin y de tratamiento de riesgos de la organizacin.
425
Que se realicen todas las actividades del proceso, desde la creacin, hasta el
mantenimiento y mejora.
La revisin de los temas de seguridad ms relevantes para la empresa u organizacin.
Evaluacin de riesgos
Es recomendable que la evaluacin de riesgos de seguridad y su tratamiento est
basada en alguna de las metodologas existentes relacionadas con esta materia,
como por ejemplo, CRAMM, NIST, Magerit, etc. Cada organizacin puede decidir utilizar la metodologa que considere ms adecuada.
ISO/IEC 20000-2 recomienda adems que la evaluacin de riesgos se realice con
una periodicidad, que se registre, que se mantenga actualizada con los cambios, etc.
UNE-ISO/IEC 20000-2
Prcticas para la evaluacin de
los riesgos de seguridad
La evaluacin de los riesgos de seguridad debera:
a) ser realizada con una periodicidad acordada;
b) ser registrada;
c) ser mantenida durante los cambios (cambios de las necesidades
del negocio, de procesos o de
configuraciones);
d) ayudar a entender en qu podra
impactar uno de los servicios gestionados;
e) proveer de informacin para las
decisiones referentes a los tipos
de controles a establecer.
Seguridad y disponibilidad de
la informacin
Al evaluar los riesgos, se debera prestar atencin a los siguientes puntos:
a) revelacin de informacin sensible a partes no autorizadas;
b) informacin inexacta, incompleta
o invlida (por ejemplo: informacin fraudulenta);
c) informacin que quede inservible
para su uso (por ejemplo: debido
a un corte de energa elctrica);
d) dao fsico o destruccin de los
equipos necesarios para proveer
los servicios.
Tambin se deberan tener en cuenta los
objetivos de la poltica de seguridad de la
informacin, las necesidades para satisfacer los requisitos especficos de los clientes respecto a la seguridad (por ejemplo:
niveles de disponibilidad) y los requisitos
legales o regulatorios que apliquen.
426
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ordenadores, sistemas de comunicacin, equipos del entorno, documentos y otra informacin) que
son necesarios para la provisin
del servicio;
427
428
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
a) su naturaleza (por ejemplo: funcionamiento defectuoso del software, errores de operacin, fallos
de comunicacin);
b) probabilidad;
c) impacto potencial para el negocio;
429
d) experiencias pasadas.
Se lleva a cabo un anlisis de las amenazas que pueden derivarse de cada una de
estas fuentes, en funcin de los activos existentes en la organizacin, los procesos y
servicios prestados, la posicin en el mercado, el tipo de clientes y los antecedentes.
Las amenazas se irn reflejando en el anlisis de riesgos, detallndose:
Tipo de amenaza. Por ejemplo, robo de informacin.
Motivo. Se indican los motivos que pueden provocar que una amenaza se
materialice.
Resultado (ataque o incidente). Se indican las consecuencias que tendra
para la organizacin cada una de las amenazas en caso de materializarse. Los
resultados tendrn alguna de las siguientes consecuencias sobre la informacin: visualizacin, modificacin, destruccin o prdida, e interrupcin.
Identificacin de las vulnerabilidades. En funcin de las amenazas, y para poder
valorar su importancia, se tendrn en cuenta las vulnerabilidades o debilidades que
puedan existir. Las amenazas para ser consideradas como tal, habrn de tener asociadas una vulnerabilidad. Al mismo tiempo, estas vulnerabilidades han podido ser
detectadas en la actividad de identificacin de activos.
La identificacin de vulnerabilidades se realiza a travs de un anlisis exhaustivo de
cada uno de los activos. La informacin de este anlisis podr ser completada con
listados de vulnerabilidades, con el asesoramiento de expertos en seguridad o con
la informacin proporcionada por los propios proveedores de los activos (en los
casos que se trate de recursos materiales). En la identificacin de vulnerabilidades
se tendrn en cuenta:
La poltica de seguridad.
Los procedimientos de seguridad (si existiesen en ese momento).
Los requerimientos de los sistemas.
Los controles o salvaguardias tcnicas implantadas.
Los chequeos de vulnerabilidades anteriores.
Las auditoras de conformidad tcnica realizadas.
Determinar el impacto sobre los activos. Con el conocimiento de los activos, de
las amenazas y de las vulnerabilidades, se determina a nivel de cada activo el posible
430
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
431
Probabilidad media. El origen de la amenaza est motivado y tiene capacidad para actuar. Existen salvaguardias adecuadas.
Probabilidad baja. El origen de la amenaza no est motivado o no tiene
capacidad para actuar. Existen salvaguardias.
La probabilidad de que una amenaza se materialice tambin estar reflejada en el
anlisis de riesgos.
Estimar los niveles de riesgo. En el siguiente paso se determina el nivel de riesgo
para cada una de las amenazas. El riesgo estar cuantificado, calculado en base a la
probabilidad de que la amenaza se materialice y por el impacto que sta puede llegar a tener en la empresa u organizacin, teniendo en cuenta los controles o salvaguardas existentes. El riesgo se clasifica como:
Riesgo alto. Existe una gran necesidad de medidas correctivas (controles)
que deben articularse en un plan.
Riesgo medio. Son necesarias medidas correctivas (controles) que se incorporarn a un plan para ser ejecutadas en un plazo de tiempo razonable.
Riesgo bajo. Ser necesario determinar qu medidas correctivas (controles)
son necesarias, o bien aceptar el riesgo.
El riesgo es una funcin de la probabilidad y del impacto (vase la figura 6.6.11).
Riesgo
Impacto
Probabilidad
Alto
Medio
Bajo
Alta
Alto
Medio
Bajo
Media
Medio
Medio
Bajo
Baja
Medio
Bajo
Bajo
432
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El nivel de riesgo de cada amenaza deber cruzarse con cada uno de los activos. De
este modo se conoce el riesgo total soportado por cada uno de los activos. Este
riesgo total es ponderado en funcin de la importancia dada al activo en el
momento de su identificacin. Para cada uno de los activos se tendr un nivel de
riesgo ponderado.
Determinar si los riesgos son aceptables. Con los valores de los riesgos calculados
se determinan los riesgos asumibles por la organizacin y los que no son aceptables.
Con la determinacin de los riesgos aceptables termina la evaluacin de riesgos.
A partir de esta informacin deber iniciarse la fase de tratamiento del riesgo.
433
Evitar el riesgo.
Transferir el riesgo a terceros (seguros, proveedores, etc.).
UNE-ISO/IEC 20000-1
Los adecuados controles de seguridad deben ayudar a:
a) implementar los requisitos de la poltica de seguridad de la informacin;
b) gestionar los riesgos asociados al acceso al servicio o a los sistemas.
Los controles de seguridad deben estar documentados. La documentacin debe describir los riesgos a los que estn asociados los controles, la manera de utilizarlos y el
mantenimiento de los mismos.
El impacto de los cambios sobre los controles se debe evaluar antes de que los cambios sean implementados.
Los controles se asocian a cada uno de los riesgos con el nivel de detalle necesario.
La seleccin de controles debe:
434
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Evaluar y seleccionar los controles. En funcin de los controles seleccionados a priori, antes de proceder a su implantacin, hay que tener en cuenta
la capacidad de adaptacin, compatibilidad y eficiencia que stos tienen.
Analizar su viabilidad econmica. Otro elemento que se debe tener en
cuenta es la viabilidad econmica de cada uno de los controles seleccionados.
Se realizar una valoracin econmica aproximada de los costes que tendra
su implantacin.
Priorizacin de los controles. Dado que todos los controles no se podrn
implantar a la vez, es necesario establecer un orden de implantacin en funcin del riesgo, del plazo y del coste.
Estos controles se implementarn a travs del plan de tratamiento de riesgos.
La Norma ISO/IEC 27001 establece los objetivos de control en torno a 7 reas de
gestin de la seguridad. En la figura 6.6.12 se muestran estas reas.
Para cada una de estas reas de gestin de la seguridad se establecen sus objetivos
de control. Para cada objetivo de control se establece un conjunto posible de controles. En ISO/IEC 27001 se propone un total de 39 objetivos de control y 133
controles. En la figura 6.6.13 se muestra un ejemplo de este contenido.
435
Gua de implementacin:
436
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En relacin al acceso de terceros u organizaciones externas (suministradores, clientes externos, etc.) a los sistemas de informacin, en ISO/IEC 20000-1 se establece
claramente que debe existir un acuerdo formal que regularice los aspectos relacionados con la seguridad.
UNE-ISO/IEC 20000-1
Los servicios que impliquen el acceso de organizaciones externas a los sistemas de
informacin y a los servicios, deben estar basados en un acuerdo formal que defina
todos los requisitos de seguridad necesarios.
Este mismo tema de terceros est desarrollado tambin en ISO/IEC 27001 (vase
el apartado A.6.2 Terceros) que establece como objetivo mantener la seguridad
de la informacin de la organizacin, as como la de los dispositivos de procesado
de la informacin que son objeto de acceso, tratamiento, comunicacin o gestin
por terceros.
437
438
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
desarrolla la actividad de la empresa u organizacin, o hubiera cambios en la evaluacin de riesgos, o se produzcan modificaciones en los requisitos legales u otros requisitos aplicables. En estos casos, el responsable de seguridad debe comunicar a la direccin las modificaciones introducidas presentando un nuevo plan para su aprobacin.
Tanto los resultados como las acciones llevadas a cabo se deben comunicar a la
direccin con carcter anual. Adicionalmente, el responsable de seguridad debe
mantener informada continuamente a la direccin, comunicndole, siempre que
crea necesario, los resultados negativos obtenidos durante el seguimiento, y el
estado de los controles y su eficacia en la reduccin de los riesgos para poder tomar
una decisin a tiempo.
439
UNE-ISO/IEC 20000-2
Documentos y registros
Los registros se deberan analizar peridicamente para proporcionar informacin a la direccin en cuanto a:
a) la eficacia de la poltica de seguridad de la informacin;
b) las tendencias que aparezcan en
los incidentes en seguridad de la
informacin;
440
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
441
Gobierno
Gestin y operacin
del servicio de TI
SG GOB
SGSTI
ISO/IEC
20000
Seguridad
SGSI
Desarrollo de SW
Madurez +
SG DES. SW
ISO/IEC
27001
442
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Coste de la inseguridad, debido a tiempos de parada del negocio a consecuencia de incidentes de seguridad, lucro cesante del negocio, etc.
Coste de la seguridad, porcentaje del presupuestario dedicado a seguridad en
relacin al presupuesto total de TI.
Ratio de recursos humanos dedicados a la seguridad en relacin al total de
personal de TI.
ndice de rotacin del personal en seguridad de la informacin.
Porcentaje de ordenadores personales asegurados tcnicamente.
Porcentaje de no disponibilidad de servicios debido a incidentes de seguridad de la informacin.
Nmero y porcentaje de controles de seguridad revisados en el mes.
Nmero de no conformidades relacionadas con la seguridad en auditoras y
controles internos.
Nmero de mejoras sugeridas a los controles de seguridad.
En la figura 6.6.15 se muestra un resumen de los indicadores anteriormente mencionados, teniendo en cuenta que no son los nicos.
Fuente: Telefnica.
443
444
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Resumen
El incremento continuo de las amenazas hace que la seguridad de la informacin
sea cada vez un aspecto ms crtico en las empresas. La red Internet es el cauce por
el que llegan la mayora de ellas. Si las amenazas han aumentado por esta va, las
vulnerabilidades tambin: la conectividad desde cualquier lugar, la proliferacin de
aparatos tecnolgicos en el mercado de consumo en la empresa, la gran capacidad
de los dispositivos de bolsillo en la empresa, etc.
La seguridad se ha convertido en los cimientos sobre los que se sustenta la informacin de la empresa, cimientos que hay que cuidar continuamente para que no
pierdan su solidez.
445
Responsable de la
gestin del servicio
Direccin
SGSTI
SGSI
Responsable
de seguridad
Comit de seguridad
Gestor continuidad TI
reas tcnicas
Administrador y
soporte del proceso
de seguridad
El marco normativo internacional pone foco en la gestin de la seguridad aportando un conjunto de requisitos y buenas prcticas que ayudan a las empresas a
enfocar su implantacin. Resulta esencial utilizar la normativa existente. La Norma
ISO/IEC 27001 aporta un conjunto de actividades y buenos controles para mejorar la seguridad, mientras que ISO/IEC 20000 integra la gestin de la seguridad
con el resto de los procesos de gestin de los servicios de TI.
La implementacin de la gestin de la seguridad de la informacin se articula en
torno a un proceso especfico, que permite controlar la seguridad en la empresa y
sus riesgos asociados. Este proceso gestiona el mantenimiento de unos niveles de
seguridad adecuados, tanto en la prestacin de los servicios de TI, como para el
control de los activos de informacin de la organizacin.
446
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Beneficios
Entre los beneficios ms relevantes que proporciona la gestin de la seguridad de la
informacin destacan los siguientes.
Protege y aumenta la robustez y seguridad de los sistemas de informacin,
realizando un tratamiento adecuado de los riesgos, reduciendo el riesgo de
sustraccin o prdida de informacin esencial.
Proporciona confianza a todas las partes. A la direccin porque sus activos
estn mejor protegidos, al mercado porque son ms robustos los sistemas, y
al departamento de TI porque le permite cumplir las exigencias de la direccin.
Asegura que los incidentes de seguridad de la informacin son correctamente gestionados, reduciendo su impacto en el negocio.
Establece auditoras de seguridad con regularidad, que comprueban la adecuacin de las medidas de seguridad implantadas.
Aporta informacin a la direccin sobre el estado de seguridad de la empresa
u organizacin, de cara a adoptar las medidas que se consideren oportunas.
Fortalecimiento de la imagen ante el mercado y confianza de los clientes en
una organizacin que apuesta por la seguridad de la informacin.
Ahorro de costes por evitar incidentes de seguridad, en primas de seguros,
por sanciones derivadas de incumplimientos legales, etc.
447
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 3:
Cmo se realiza la gestin de la seguridad de la informacin en su
empresa?
Est la direccin de su empresa implicada en la gestin de la seguridad de la informacin?
La gestin de la seguridad se trata en su organizacin como un
mbito independiente o de forma integrada con los otros procesos de
gestin de los servicios de TI?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
Captulo 7
Procesos de
relaciones
7.1. Generalidades
7.2. Gestin de las relaciones con el negocio
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
7. Procesos de relaciones
451
Con el fin de garantizar que el proveedor de TI trabaje alineado con las necesidades de la empresa, las Normas ISO/IEC 20000 establecen los procesos de relaciones. Regulan las relaciones en los dos extremos de la cadena de provisin de TI. Por
una parte se definen las relaciones con el negocio y, por otra, las relaciones con los
suministradores.
La misin de la gestin de las relaciones con el negocio es garantizar que se crean,
mantienen y mejoran continuamente los servicios de TI que necesita la empresa. Al
igual que en ITIL, en ISO/IEC 20000 el negocio est representado por la figura
del cliente. Se entiende como cliente a la persona, rea o reas de la empresa que
especifican los servicios de TI que necesitan y acuerdan los SLA. Para ello, el proceso de gestin de las relaciones con el negocio servir de interlocucin nico entre
el cliente y la organizacin de TI, para la identificacin de necesidades y la provisin de los servicios. Cuenta con la colaboracin continua de la gestin de nivel de
servicio y de otros procesos, para tratar de encontrar el balance correcto entre la
demanda del cliente, la provisin de los servicios, el coste de los mismos y la satisfaccin del cliente.
Por otra parte, hay que tener presente que los servicios que TI ofrece se construyen
formando un puzzle de piezas tecnolgicas, adecuadamente integradas y gestionadas. Para mantener en marcha este puzzle de tecnologas, la organizacin de TI
necesita suministradores diversos: de hardware, de productos software, integradores, consultores, empresas de servicios, etc. La gestin adecuada de dichos suministradores es tambin esencial para poder garantizar los niveles de servicio requeridos.
En este captulo se presentan las mejores prcticas para el xito en la gestin de las
fronteras de la organizacin de TI: con el negocio y con los suministradores.
7. Procesos de relaciones
7.1. Generalidades
453
7.1. Generalidades
Con frecuencia se oye hablar de la importancia de una gestin adecuada de las relaciones, especialmente en el mbito de TI. Pero, en qu consiste la gestin de una
relacin?, aunque esta disciplina parece atractiva, no es fcil concretar su contenido
y conseguir con ello un aporte real a la mejora del servicio de TI.
En general, se puede decir que la gestin de una relacin es aquella disciplina que
establece el mtodo para que la interaccin entre dos partes sea eficaz, ayuda a que
transcurra con las mnimas fricciones y contribuye a que sea duradera (vase la
figura 7.1.1). Los mecanismos habituales que permiten regular y organizar una
relacin compleja son los siguientes:
El establecimiento de los objetivos principales que se quieren conseguir con
la relacin.
La definicin de los diversos interlocutores por cada parte, los perfiles personales y las habilidades necesarias.
La utilizacin de un marco, reglas y lenguaje comn aceptado por ambas
partes.
454
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Los procesos de relacin describen los aspectos relacionados con la gestin de
suministradores y con la gestin de las relaciones con el negocio.
UNE-ISO/IEC 20000-2
Esta norma se dirige hacia el rol de un
proveedor del servicio, el cual cumple
un papel entre los suministradores, que
proporcionan bienes o servicios a dicho
proveedor del servicio, y los clientes, que
reciben los servicios.
7. Procesos de relaciones
7.1. Generalidades
455
Estos procesos tambin deberan asegurar que los niveles de satisfaccin del
cliente son apropiados y que se comunican y entienden las necesidades futuras del negocio.
Si se echa una mirada a ITIL v2, se aprecia que no establece ningn proceso especfico que describa la relacin con los suministradores, aunque hace mucho hincapi en que los contratos con suministradores (contratos de soporte, Underpinning
Contracts o UC) respalden los compromisos del nivel de servicio que TI asume con
sus clientes. En cambio, en ITIL v3 el libro Diseo del Servicio define especficamente un proceso de gestin de suministradores.
En el marco para el gobierno y auditora de TI (COBIT) de estos temas se encuentran referencias, indicadores y controles centrados principalmente en el control de
las adquisiciones y el gobierno de TI. No trata especficamente las relaciones con el
negocio ni las relaciones con los suministradores bajo el concepto de proceso.
En el mbito del desarrollo de software, las relaciones tanto con el cliente como con
los suministradores de desarrollo, estn bastante detalladas en el modelo CMMI. Asimismo, la universidad Carnegie Mellon tambin ha desarrollado el marco eSCM-SP
(eSourcing Capability Model for Service Providers) formado por 84 prcticas especficas
para la gestin de suministradores y el ciclo de vida del sourcing en TI.
Adems, existen otros marcos de mejores prcticas en los que se trata la mejora de
las relaciones con los suministradores, como por ejemplo, el modelo ISPL (Information Services Procurement Library1), que es un compendio europeo de mejores
Vase http://projekte.fast.de/ISPL/.
456
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
prcticas para la provisin y prestacin de proyectos y servicios TI. ISPL fue publicado en 1999 por un consorcio de 5 organizaciones europeas dentro del programa
SPRITE-S2 de la Comisin Europea y se bas en la experiencia de ms de 200 procesos de compra reales en TI. Trata la definicin de una estrategia de aprovisionamiento de servicios (sourcing), as como las etapas posteriores: peticiones de oferta,
establecimiento del contrato, planificacin de la provisin y seguimiento de la ejecucin. ISPL hoy est en desuso, por lo que la llegada del proceso en ITIL v3 es
bien acogida por el mercado.
Otros modelos sectoriales tambin tratan el entorno de la gestin de suministradores, como es el caso del modelo eTOM para el sector de las telecomunicaciones,
que contempla procesos como por ejemplo, la gestin de partners/suministradores
o la gestin de la cadena de suministro.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
457
Figura 7.2.1. Actividades del proceso de gestin de las relaciones con el negocio
Las empresas e instituciones tienen cada vez una mayor dependencia de las tecnologas de la informacin. Los departamentos de TI, y las actividades que desarrollan,
han sido vistos tradicionalmente como una carga y un coste para el negocio, infrautilizndose el potencial de la tecnologa para ponerse en primera lnea, aportando ideas
y abriendo nuevas oportunidades para la empresa. Para que las tecnologas de la
informacin estn alineadas con las necesidades de la empresa, es necesario instrumentar una va de comunicacin permanente, regulada y eficaz entre TI y el negocio.
La gestin de las relaciones con el negocio asegura que la comunicacin entre TI y
sus clientes sea clara y fluida (vase la figura 7.2.1). Se entiende como cliente a
las reas internas de la empresa o a las unidades externas que especifican y contratan los servicios de TI, diferencindolo as de la figura del usuario que es la persona que utiliza los servicios. Igual que el centro de atencin al usuario (service desk)
es el punto nico de contacto entre TI y la comunidad de usuarios, el proceso de
gestin de las relaciones con el negocio se convierte en canal nico de la comunicacin reglada entre TI y el negocio.
Este proceso se preocupa de dar una respuesta adecuada a las demandas del cliente,
actuando de interfaz entre el negocio y las reas de TI. Vela por la satisfaccin del
458
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Qu aporta:
Definicin:
Objetivo:
Establecer y mantener una buena
relacin entre el proveedor del
servicio y el cliente, basndose en
el entendimiento del cliente y de
los fundamentos de su negocio.
El objetivo de TI es la satisfaccin
del cliente.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
459
Fuente: Telefnica.
Para el desarrollo con xito de la misin de este proceso es necesario que el personal involucrado en l, por parte de TI, conozca a fondo la naturaleza del propio
negocio. Pero tambin es imprescindible que estos profesionales conozcan perfectamente a TI y sus capacidades, para saber qu puede ofrecer y en qu condiciones.
460
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El espritu de servicio al cliente es otro de los valores a buscar y potenciar entre los
participantes en este proceso, pero no es un requisito exclusivo del mismo, sino que
debe hacerse extensivo a toda la organizacin de TI. El rigor en la relacin facilitar a TI alinearse con el negocio, tomando nota de las necesidades, formalizndolas en requisitos, redactando las actas de las mismas, realizando un seguimiento del
cliente e impulsando en el resto de TI al cumplimiento de las demandas. As, estos
cuatro pilares en los que se sustenta este proceso se muestran en la figura 7.2.4.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
461
Catlogo
de servicios
SLA:
Acuerdo
de nivel de
servicio
Convertir
necesidades en
requisitos de servicio
SLR
Necesidades
Servicios nuevos
o modificaciones
Cli
ent
PDCA
SGSTI
TI
Mejoras
Informes
del servicio
Programa de mejora
del servicio (SIP)
Reclamaciones
al servicio
Reuniones cliente-TI,
demanda y revisin
del servicio
Encuestas y entrevistas
de satisfaccin
462
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
463
Gestin
de nivel de
servicio
Generacin
de informes
del servicio
Proceso en ITIL v3
Libro Estrategia del Servicio:
Generacin de la estrategia
Gestin de la demanda
Gestin del portfolio de servicios
Libro Diseo del Servicio:
Gestin del catlogo de servicios
Gestin de nivel de servicio
Proceso en ITIL v2
Libro Business Perspective:
Gestin relacin con
el negocio
Libro Provisin de Servicio:
Gestin de nivel de
servicio
464
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Entradas
Actividades
Salidas
Salidas principales:
Reuniones peridicas de
seguimiento del cliente.
Requisitos nuevos o
evolucin de servicios
(SLR).
Reclamaciones de los
clientes.
Entradas de soporte:
Estrategia del negocio.
Estrategia de TI.
Catlogo de servicios.
SLA anteriores.
Desencadenantes
del proceso:
Plan de mejora de la
gestin del servicio.
Informes del servicio.
SLA firmado.
Informes seguimiento
clientes.
Resultados encuesta
satisfaccin cliente.
Propuestas de mejora.
Salidas secundarias:
Informes resolucin
reclamaciones.
Actas de las reuniones.
3 Gestin de reclamaciones al
servicio.
3 Medicin de la satisfaccin del
cliente.
3 Generacin de propuestas de
mejora, de los servicios al Plan
de mejora del servicio (SIP) y a
los otros procesos.
3 Supervisin funcionamiento
del proceso. Mejora del
propio proceso.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
465
necesaria y el inicio de la gestin de estas relaciones. Este aspecto est recogido de forma expresa en ISO/IEC 20000-1:
UNE-ISO/IEC 20000-1
El proveedor del servicio debe identificar y documentar quienes son los actores principales y los clientes de los servicios.
466
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Objetivos y alcance.
Descripcin del servicio:
Funcionalidad.
Seguridad y continuidad.
Estimacin de plazos de provisin y entrega.
Estimacin de costes asociados.
Indicadores y mtricas de gestin.
Mecanismos de control y seguimiento de los
niveles de servicio acordados.
Fuente: Telefnica.
A continuacin, el proceso de gestin de nivel de servicio genera un documento que describe la relacin entre la funcionalidad requerida por el cliente
y la solucin tecnolgica necesaria para implementarla. Este documento se
denomina hoja especificaciones del servicio (SS, Spec Sheet). Es un documento interno de TI y describe los requisitos tcnicos que son necesarios
para la provisin y entrega del servicio.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
467
Antes de someter la propuesta de servicio a su estudio, a efectos de aprobacin preliminar, el gestor del nivel de servicio debe cerciorarse de que TI
puede cumplir los compromisos, verificando los acuerdos de nivel operativo
(OLA) internos con el resto de reas de la organizacin de TI involucradas
en la prestacin del servicio y los contratos de soporte (UC) con los suministradores de servicios externos necesarios.
Aprobacin por la gestin del cambio. La propuesta de servicio debe ser aprobada por el proceso de gestin del cambio, de tal forma que nadie en TI incorpore un nuevo servicio o se proponga evolucionar uno existente sin la aprobacin de este proceso, que garantiza la cohesin y estabilidad de los servicios.
Tambin se acotan los mrgenes entre los que deben oscilar los niveles de servicio
a negociar con el cliente y se encaja en la planificacin general de los proyectos y
en la lista de cambios (FSC, Forward Schedule of Change, vase el apartado 9.2).
Negociacin y aprobacin SLA. Autorizado por la gestin del cambio, el
gestor de relaciones con el negocio, inicia un ciclo de negociaciones y revisiones con el cliente sobre los trminos y condiciones del servicio a prestar
por la organizacin de TI. En esta actividad se acuerdan los plazos y funcionalidades para la creacin (plan de proyecto) y las condiciones de prestacin
(SLA para la explotacin).
Una vez que el servicio es aprobado por el cliente y el SLA formalizado, se
ponen en marcha, bajo la supervisin de la gestin del nivel servicio y, con la
ayuda de la gestin del cambio, las actividades necesarias para la provisin
y entrega al cliente del servicio demandado. En el apartado 6.1 del captulo 6
se detallan el resto de actividades.
Seguimiento de la provisin del servicio. Durante todo el perodo en el
que se est desarrollando el servicio, la gestin de las relaciones con el negocio mantiene informado al cliente y gestiona las reuniones de validacin que
sean necesarias.
Revisiones del servicio prestado. Una vez que el servicio se ha puesto en
explotacin, este proceso mantiene reuniones con el cliente para informarle
y realizar un seguimiento de los niveles de servicio que se estn alcanzando.
Gestin de reclamaciones al servicio. Es importante instrumentar un
mecanismo formal por el cual el cliente pueda manifestar su disconformidad
con algn aspecto de los servicios prestados o con el comportamiento de TI
(ms adelante se trata este tema).
Medicin de la satisfaccin del cliente. Al igual que en el mundo comercial, se debe medir la satisfaccin del cliente, mediante encuestas o entrevistas (ms adelante se trata tambin este tema).
468
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Generacin de propuestas de mejora. La relacin con el cliente, las reclamaciones y las encuestas de satisfaccin llevan al gestor de las relaciones con
el negocio a identificar acciones de mejora de los servicios (que comunicar
a la gestin de nivel de servicio) para su incorporacin al SIP (programa de
mejora del servicio), y oportunidades de mejora de los otros procesos, que
comunicar al gestor correspondiente.
Supervisin y mejora del propio proceso. Como en todos los procesos de
ISO/IEC 20000, cada proceso debe realizar su propia actividad de mejora
continua, en este caso identificando puntos que redunden en una mayor
satisfaccin del cliente. Las mejoras identificadas se comunican al plan de
mejora de la gestin del servicio (vase el captulo 4).
Los resultados o salidas principales del proceso de relaciones con el negocio son los
requisitos de servicio acordados con el cliente, los SLA firmados, los informes de
seguimiento entregados al cliente, los resultados de las encuestas de satisfaccin al
cliente y las propuestas de mejora. Otras salidas del proceso son, por ejemplo, los
informes emitidos sobre cmo se han resuelto las reclamaciones, las actas de las
reuniones con el cliente, etc.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
469
470
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La definicin de los requisitos puede resultar difcil, pues puede que el negocio no
sepa exactamente lo que quiere, por lo que pueden necesitar ayuda para comprender y definir sus necesidades. Hay que tener en cuenta que los requisitos expresados al inicio irn concretndose y diferirn de los que finalmente se acuerden. Si se
realiza facturacin del servicio, es frecuente que las diferencias entre lo solicitado
inicialmente y lo acordado sea mayor. Pueden ser necesarias varias tandas de negociaciones antes de lograr el equilibrio entre lo que se busca y lo que econmicamente se puede conseguir.
En la figura 7.2.10 se muestra un ejemplo de estructura para el SLR.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
471
UNE-ISO/IEC 20000-1
El proveedor del servicio y los clientes se deben reunir, al menos una vez al ao,
para la revisin del servicio y para discutir cualquier cambio en el alcance del
mismo, en el SLA, en el contrato (si existe) o en las necesidades del negocio. Se
deben mantener reuniones a intervalos acordados para discutir el comportamiento y
las prestaciones, los cumplimientos, asuntos varios y planes de accin. Estas reuniones se deben documentar.
A las reuniones puede invitarse a otros actores relacionados con el servicio.
Los cambios al contrato(s), si existen, y al SLA deben ser el resultado de las reuniones mencionadas, cuando sea apropiado. Estos cambios deben estar sujetos al proceso de gestin del cambio.
El proveedor del servicio debe permanecer al tanto de las necesidades del negocio y de
los principales cambios en el mismo para preparar una respuesta a dichas necesidades.
UNE-ISO/IEC 20000-2
El proveedor del servicio y los clientes
deberan realizar revisiones del servicio,
al menos anualmente y antes y despus
de cambios importantes. La revisin
debera considerar el comportamiento
previo, tratar las necesidades de negocio actuales y previstas y proponer cualquier cambio necesario en el alcance
del servicio y los SLA. Otros grupos de
inters implicados como por ejemplo
472
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El proveedor del servicio debera establecer una relacin con sus clientes de
manera que stos puedan estar al tanto
de las necesidades del negocio y de los
cambios principales para poder prepararse para dar una respuesta a los
mismos.
Conviene destacar varios aspectos que se deben tener en cuenta en las revisiones
del servicio con los clientes, apuntados por estas normas, pues suponen un avance
a muchas de las prcticas actuales. Son las siguientes:
El gestor de la relacin debe reunirse de forma peridica con todas las reas
cliente para revisar el servicio, los niveles de servicio prestados frente a los
requeridos en el SLA, el grado de satisfaccin del cliente, etc. Se trata de evaluar la calidad del servicio desde el punto de vista del cliente.
El mantenimiento de reuniones en los plazos acordados y, como mnimo,
una vez al ao. Lo habitual es que las reuniones de revisin con los clientes
sean mensuales. En servicios crticos en perodos de inestabilidad las reuniones pueden llegar a ser semanales.
Las reuniones de revisin deberan estar procedimentadas, para que transcurran de una forma eficiente y no se deje ningn tema sin tratar. De estas reuniones debe haber un acta formalizada y aprobada por todas las partes.
A las reuniones con los clientes se puede invitar a otros actores, pues la relacin con el cliente no es un coto cerrado. Ahora bien, la asistencia de diversos miembros debe ser preparada para presentar entre todos una imagen de
TI coherente y alineada hacia los mismos objetivos. No hay nada ms
penoso que una discusin interna de TI delante del cliente.
Como consecuencia de estas reuniones, surgirn propuestas de cambio al
servicio o al SLA. Toda propuesta de cambio se gestionar con una peticin
de cambio reglada (RFC) que pasar al control del proceso de gestin del
cambio.
Este contacto permanente debe aprovecharse para que TI est al tanto de
la situacin y evolucin del rea de negocio, con el objetivo de facilitar la
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
473
anticipacin de TI. Por ello, el gestor de las relaciones con el negocio debera concretar esta informacin obtenida en un informe, o un comunicado por
escrito, a la direccin de TI o al rea de estrategia de TI, de los cambios de
tendencia junto con una prediccin sobre las demandas futuras del rea
de negocio hacia TI.
Es necesario establecer el punto de inflexin en el que se considera que un servicio
deja de ser til para la organizacin. La gestin de las relaciones con el negocio debe
detectar los casos en los que la provisin de un servicio genera un coste superior al
valor que proporciona, analizar su retirada o proponer alternativas de evolucin.
Como resultado de esta etapa, en la que se evalan los niveles de los servicios prestados
realmente, se identifican y proponen las acciones oportunas para su mejora. La gestin
de relaciones con el negocio propone estas acciones de mejora al proceso de gestin de
nivel de servicio para que las incorpore al programa de mejora del servicio (SIP).
474
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
El proveedor del servicio y los clientes
deberan acordar un procedimiento formal de reclamaciones que elimine cualquier ambigedad sobre qu constituye
una reclamacin y cmo se debera
gestionar. El proveedor del servicio
debera poner en marcha un proceso
para tomar las acciones adecuadas en
la resolucin de los problemas.
El proceso debera identificar a la persona
de contacto en el proveedor del servicio al
que dirigir las reclamaciones formales.
El proveedor del servicio debera registrar, investigar, tomar acciones, elaborar
informes y cerrar formalmente todas las
reclamaciones de servicio.
Un cliente no se molesta en poner una reclamacin si no est fuertemente disconforme con el servicio o el trato recibido. Por tanto, la gestin de la reclamacin es
fundamental para conseguir mejorar la satisfaccin del cliente.
La reclamacin es el ltimo instrumento que le queda al cliente para manifestar su
disconformidad. Las reclamaciones ms graves, si no se resuelven, se deben escalar
a la alta direccin.
Para que las reclamaciones resulten un instrumento de mejora para TI, se debe establecer un procedimiento para su registro, seguimiento y resolucin. Las reclamaciones deben ser analizadas, clasificadas y tratadas. Unas desencadenarn una
mejora sencilla en TI, en otras ser suficiente con una explicacin o disculpa al
cliente, pero habr algunas que requieran un cambio ms sustancial en el servicio o
en la organizacin de TI. El tratamiento de reclamaciones en ISO/IEC 20000 no
llega a tener la categora de proceso principal, aunque se pide un procedimiento o
sistemtica para su seguimiento y resolucin. Las reclamaciones se registran, tienen
plazos de resolucin, se investigan, se escalan, se inician acciones para su resolucin, se informa sobre ellas y se cierran formalmente.
Las reclamaciones se deben dirigir a una persona de contacto en TI claramente
identificada, que conviene que sea distinta de los gestores que habitualmente se
relacionan con el cliente.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
475
Ficha de reclamacin
Datos a rellenar por el cliente:
Cdigo reclamacin.
Estado de la reclamacin.
Persona que la realiza.
Fecha alta.
Servicios implicados.
Ttulo de la reclamacin.
Descripcin o detalle de la reclamacin.
Valoracin de la importancia por el cliente.
Datos a cumplimentar por TI en su resolucin:
Clasificacin de la reclamacin.
Prioridad de la reclamacin (similar a incidentes).
Acuerdo del nivel de servicio asociado.
Datos de contacto del cliente.
Fecha de registro.
Asignacin.
Resultados de la investigacin.
Conclusin y acciones emprendidas.
Fecha de cierre prevista.
Cierre de la reclamacin.
Comentarios del cliente al cierre.
Fecha de cierre real.
Etc.
476
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
El proveedor del servicio debe tener una o varias personas asignadas como responsable(s) de gestionar la satisfaccin del cliente y todo el proceso de gestin de relaciones con el negocio. Debe existir un proceso de medicin peridica de la satisfaccin del cliente para obtener informacin y comentarios, y actuar en consecuencia.
Las acciones de mejora que se identifiquen durante este proceso se deben registrar y
utilizar como informacin de entrada para un plan de mejora del servicio.
UNE-ISO/IEC 20000-2
Se debera medir la satisfaccin del
cliente para permitir al proveedor del servicio comparar el desempeo con los
objetivos de satisfaccin de clientes y con
encuestas previas. El alcance y la complejidad de la encuesta se deberan concebir
de forma que los clientes puedan responder fcilmente y sin que se requiera un
excesivo tiempo para cumplimentar de
una manera adecuada dicha encuesta.
Se deberan investigar las variaciones
significativas en los niveles de satisfac-
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
477
deberan tratar con el cliente. Se debera acordar un plan de accin, utilizndolo como entrada para un plan de
mejora del servicio sobre cuyo progreso
se informe al cliente.
Las felicitaciones sobre el servicio se
deberan documentar y dar a conocer al
equipo que est prestando el servicio.
Los medios habituales para la medicin de la satisfaccin son la encuesta y la entrevista guiada. En ocasiones se puede conocer la percepcin de un grupo de clientes
o de usuarios seleccionados sobre un servicio mediante tcnicas de anlisis en
grupo como pueden ser los focus group.
En el proceso de relaciones con el negocio recae la responsabilidad de la medicin
de la satisfaccin del cliente (y de los usuarios). Se debe establecer un procedimiento peridico para la medicin de la satisfaccin. Las encuestas deben ser sencillas de cumplimentar. Los resultados deben analizarse e investigarse las desviaciones que existan. Con los resultados de las encuestas se debe preparar un plan de
mejora a tratar con las reas cliente. Las mejoras se incorporarn al programa
de mejora del servicio (SIP) o al plan unificado de mejora de los procesos, segn
sea el tipo de mejora.
Es importante difundir entre el personal de TI las felicitaciones recibidas por el
servicio, de cara a subir la moral y reforzar las acciones positivas.
478
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
Figura 7.2.12. La misin de punto de contacto nico con el cliente de este proceso
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
479
480
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
481
Responsable de la
gestin del servicio
SGSTI
Propietario del
modelo (SGSTI)
Administrador y soporte
del proceso de relaciones
con el negocio
Gestores del
nivel de servicio
Gestor de informes
del servicio
Jefes de proyecto
Figura 7.2.14. Roles del proceso de gestin de las relaciones con el negocio
482
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Innovacin respecto a la calidad del servicio y los modos en que puede mejorarse dentro de los lmites de la organizacin.
Saber escuchar y tener la capacidad de aplicar los conocimientos recin
aprendidos de una manera efectiva.
Resumen
La gestin de la relacin con el negocio permite una mejor alineacin continua de
TI-Negocio, facilita y formaliza la relacin para asegurar que la actividad de TI se
enfoca a las necesidades de la empresa.
Establece una disciplina de comunicacin que, con un conjunto de documentos,
permite mejorar la efectividad de la relacin. Los principales medios de formalizacin que aporta o utiliza este proceso son:
El catlogo de servicios, que constituye la base para el dilogo.
Las necesidades del cliente se registran en una hoja de requerimientos del
servicio (SLR).
Se negocia la formalizacin de los compromisos mediante los acuerdos de
nivel de servicio (SLA).
Se mantienen reuniones de seguimiento peridicas del servicio prestado.
Las quejas del cliente se registran como reclamaciones.
Se conoce la opinin del cliente y de los usuarios mediante encuestas y entrevistas.
Beneficios
La gestin de las relaciones con el negocio se asegura de que las actividades llevadas a cabo en la provisin de los servicios contribuyen a los objetivos de negocio
del cliente. Entre los beneficios obtenidos destacan:
Se asegura que el objetivo de TI es la satisfaccin del cliente y que sta se
mide.
Saca a TI de su mundo tecnolgico para orientarse al negocio.
Fuerza a TI a trabajar para lo que necesita el negocio.
Las relaciones con las reas cliente se gestionan con mayor profesionalidad.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio
483
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cmo se desempean las relaciones entre TI y las reas de negocio en
su organizacin?
Cmo se tratan las quejas de los clientes en su empresa?
Cul es la frecuencia y contenido principal de las encuestas a las reas
cliente en su organizacin?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
7. Procesos de relaciones
7.3. Gestin de suministradores
485
486
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Esta relacin se desarrolla en un entorno econmico de tremenda presin y competencia. Por ello, el ajuste de costes puede ser tremendamente intenso en algunas
contrataciones. Esto introduce una fuerte presin sobre toda la cadena de suministro, pero se debe ser capaz de conjugar el rigor y la exigencia con el factor emocional que alimenta las relaciones humanas.
Por otra parte, la actividad de la organizacin de TI se torna cada da ms compleja
y su evolucin ms dinmica. Se demandan nuevas especializaciones tcnicas, se
necesita capacidad de adaptacin, crecimiento, decrecimiento o evolucin. Estas
funciones, que inicialmente se realizaban completamente por el personal propio de
la empresa, presentaba la problemtica de necesitar una constante de evolucin en
los conocimientos, por lo que las empresas han necesitado recurrir paulatinamente
a servicios externos para aprovisionarse de las nuevas capacidades necesarias.
De esta forma, la situacin ha ido avanzando hasta el punto en el que una gran
parte de la actividad de la organizacin de TI se realiza por manos externas.
As, es raro encontrar una gran organizacin que tenga programadores propios,
gran parte del desarrollo de software se ha externalizado, ya sea en forma de contratos llave en mano (normalmente en el caso de grandes evolutivos) o bajo el concepto de software factories (normalmente para el caso de pequeos desarrollos o
mantenimiento correctivo), y buscando siempre las economas de escala y zonas
geogrficas de bajo coste salarial (offshore y nearshore).
El mbito de la produccin o explotacin de los servicios, tampoco es ajeno a las
corrientes de externalizacin, que se iniciaron con la incorporacin de personal
ajeno en formato de prestacin de servicios o body shopping. Ha ido evolucionado
hacia la externalizacin de las funciones tcnicas en modo servicio o sourcing selectivo. En el caso ms extremo de externalizacin se presenta el outsourcing completo
de toda la produccin, cuando la organizacin de TI nicamente realiza el control
de un suministrador que realiza ntegramente todas las actividades.
Por ello, en la situacin actual de fuerte externalizacin de las actividades, la gestin adecuada de los suministradores cobra una gran importancia, pues en muchos
casos, estos llevan ms del 70% de la actividad del departamento de TI.
La gestin de suministradores, si bien no es un proceso nuevo ya que exista como
tal en ITIL v2 dentro del libro Business Perspective, s es un proceso que cuenta
con poco arraigue en la cultura de los departamentos de TI. En la mayora de las
ocasiones, su foco se reduce al conocido proceso de compras y contrataciones. Con
este precedente, la gestin de suministradores se suele iniciar con la centralizacin
de las compras de TI, que impone cierto rigor en el proceso de adquisicin. Pero el
seguimiento del cumplimiento y desempeo del suministrador a lo largo de todo
el ciclo de prestacin del servicio, se ha dejado tradicionalmente al albedro y a la
7. Procesos de relaciones
7.3. Gestin de suministradores
487
capacidad de reaccin del equipo tcnico que recibe el servicio contratado. La reaparicin de este proceso primero en ISO/IEC20000 y despus en ITIL v3 (en el
libro de Diseo del Servicio) pone de manifiesto la importancia que tiene en la normativa y marcos de buenas prcticas. En el presente apartado se presenta una visin
integral de la gestin de suministradores, que se inicia con la definicin de la estrategia y concluye con el trmino de los servicios contratados. Esta visin va ms all
de los lmites establecidos en ISO/IEC 20000 para el proceso.
La gestin de suministradores es toda actividad dirigida a que los servicios contratados al suministrador se presten segn la forma acordada, para obtener el beneficio previsto de los contratos para la organizacin de TI. Por tanto, la gestin de
suministradores supervisa, gua y exige a los suministradores el cumplimiento de lo
pactado en el contrato. Y, por otra parte, tambin debe velar porque la propia organizacin de TI contratante haga todo lo posible para que el servicio se preste con la
fluidez deseada.
Recalcar la diferencia terminolgica entre suministrador o empresa externa a la que
se contrata algn producto o servicio y el trmino proveedor de TI en ISO/IEC
20000, que se refiere a la propia organizacin de TI o al departamento interno de
informtica.
En la figura 7.3.2 se presenta un esquema introductorio al proceso.
Proceso de gestin
de suministradores
Definicin:
Proceso que gestiona todo el
aprovisionamiento y la prestacin de los
productos y servicios que TI necesita.
Abarca las reas de desarrollo de
software, de produccin, etc.
Objetivo:
Gestionar los suministradores para
garantizar la provisin sin
interrupciones de servicios de calidad.
Qu aporta:
Asegura la ejecucin de la estrategia
de sourcing en lo relativo a la
contratacin externa.
Da rigor y transparencia a las
actividades de contratacin
de productos y servicios.
Implementa una sistemtica para que
la relacin y gestin de los
suministradores se realice de forma
homognea por todas las unidades.
Implementa las mejores prcticas
del mercado en la gestin de los
suministradores.
Alinea los servicios contratados
con las necesidades de TI.
Almacena el conocimiento sobre los
suministradores y su desempeo.
488
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
489
rutina habitual en la prestacin del servicio, de tal forma que las reuniones, informes, escalados, etc. fluyan con total normalidad sin necesitarse un esfuerzo especfico para conseguirlos.
Junto a esta faceta, el rigor en la relacin, manteniendo un trato formal y documentado, permitir dejar trazas y evidencias de todo lo acontecido a lo largo de la historia de la relacin con cada uno de los suministradores.
No hay que olvidar que la relacin con el suministrador se desarrolla en un marco
contractual, en el que debe haber una cobertura legal para la prestacin y la gestin
de los desacuerdos. El carcter contractual debe estar presente a lo largo de toda la
relacin.
El cuarto aspecto importante es el relativo a la funcin de interlocutor entre la
organizacin de TI y los suministradores. Para tener xito en la mediacin es necesario que se conozcan y se gestionen los mecanismos que se van utilizar para que
fluya la relacin con los suministradores y asegurar as el cumplimiento de lo contratado y la satisfaccin mutua. Frecuentemente se ignora esta faceta de facilitador
interno con toda la organizacin de TI para alcanzar los objetivos esperados en las
contrataciones, pero se debe velar por que todo el mundo cumpla con su parte. En
ocasiones, es el propio personal de la organizacin contratante quien dificulta o
ralentiza la prestacin del servicio. Otras veces, son las deficientes interfaces entre
las herramientas las que dificultan el flujo de intercambio de informacin, de peticiones o de trabajos.
En la gestin de suministradores, normalmente los problemas suelen surgir en las
fronteras e interfaces. En las fronteras en cuanto a la determinacin de los lmites
de lo contratado, entrando en discusiones sobre si una actividad est contratada o
no. En las interfaces por la necesidad de integracin de los sistemas, organizaciones, culturas, procesos y formas de hacer entre la organizacin TI contratante y las
diversas organizaciones de prestacin de servicios de los suministradores.
De forma general, aunque no plenamente coincidente con las normas y estndares
de referencia, como se ver ms adelante, el alcance de este dominio (gestin de
suministradores) debera comprender desde la definicin de la estrategia de sourcing (realizada en el mbito de la definicin de la estrategia general de TI), pasando
por la seleccin y contratacin, para seguir con la prestacin o recepcin de los servicios, hasta concluir con la etapa de finalizacin de los mismos.
De esta forma, y tomando como referencia el proceso similar definido en ITIL (en
su versin 2 dentro del libro Business Perspective, y en su versin 3 dentro del libro
Diseo del Servicio), en este captulo se desarrolla un enfoque propio en el que,
cubrindose tambin las actividades de establecimiento de la estrategia de sourcing
y de finalizacin o terminacin del suministro, las actividades se agrupan en dos
490
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
491
Fases del ciclo de vida del outsourcing desde la perspectiva de organizaciones contratantes
Anlisis
Inicio
Anlisis oportunidades
externalizacin
Planificacin de
la externalizacin
Estrategia de
externalizacin
Evaluacin de
suministradores
Prestacin
Terminacin
Finalizacin del
servicio
Acuerdos (contratos)
Transferencia
del servicio
Gestin de la gobernabilidad
Gestin de los
recursos humanos
Gestin del conocimiento
Figura 7.3.5. Esquema del modelo de gestin de outsourcing del modelo eSCM-CL
492
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Suministrador 1
Negocio
Proveedor de TI
(rea TI)
Suministrador 2
Suministrador 3
Suministrador 4
subcontratado
7. Procesos de relaciones
493
Seleccin y
contratacin
Prestacin
Estrategia de
externalizacin
Necesidad de TI
Perfil de actividades a
externalizar
Caso de negocio
Polticas de
contratacin
Hoja de compra
Asiento en el ERP de
la compra
Mecanismos de
relacin:
Objetivos de nivel
de servicio a cumplir
(de SLA pactados)
RFI
RFP (SOR)
Contrato adjudicado,
con sus niveles de
servicio
Hoja seguimiento
de ofertas
Interlocutores
Contrato (UC)
Informes
Base datos
suministradores y
contratos (SCD)
Interfaces
Renovacin
o finalizacin
Requisitos de
terminacin
Preparacin para la
terminacin
Renovacin y
transicin
Comits
Mejora
PDCA
SGSTI
Los componentes principales que se emplean en el proceso son, por orden alfabtico, los siguientes:
Contrato. Documento legal que formaliza la compra o la contratacin.
Contrato de soporte (UC, Underpinning Contract). Trmino muy utilizado
en el mbito de ITIL. Se refiere al contrato especfico de servicios con un
suministrador externo en el que se fijan los niveles de servicio que el suministrador debe cumplir. Los niveles de servicio pactados en los contratos de
soporte deben ser igual o ms exigentes que los acordados con las reas clientes en los SLA.
Declaracin de requisitos (SOR, Statement Of Requirements). La declaracin
de requerimientos es el trmino utilizado en ITIL v3 para referirse a la RFP.
Estrategia de sourcing. La estrategia de sourcing determina qu actividades
o funciones se van a realizar internamente (retenidas) y cuales se van a con-
494
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
495
contractual y pasa a formar parte del contrato final (est relacionado con otra
forma de emitir solicitudes de ofertas denominadas: ITT, Invitation To Tender).
Si se ha realizado un RFI previo, se toman sus resultados como punto de partida. Toda compra importante debera llevar una RFP que especifique todos
los detalles y acuerdos de la compra. La RFP se remite a los suministradores
candidatos y suele formar parte del contrato final.
Polticas de contratacin. Directrices y normativas internas que dictan las
pautas establecidas en la estrategia de sourcing que se deben seguir en todas
las adquisiciones o contrataciones.
Proveedor de TI. Organizacin, departamento, rea de TI que presta los
servicios de TI. Es el contratante de los servicios de terceros que necesite
para ser capaz de proveer los servicios TI prestados al negocio.
RFI (Request For Information). Peticin de informacin, de ideas y de enfoques que solicita la organizacin de TI a ciertos suministradores clave.
Mediante la RFI se plantea al mercado una situacin y se le solicitan ideas y
posibles soluciones. Con los resultados de este sondeo se enfoca de forma
ms precisa la contratacin a realizar.
SCD (Supplier and Contract Data base). Es la base de datos de suministradores y contratos, que centraliza y registra toda la informacin sobre los contratos realizados. Este trmino se ha acuado en ITIL v3, aunque el concepto ya era muy conocido en el mercado.
Servicio. En lo relativo al trmino de servicio, surge un nuevo conflicto terminolgico, pues tambin se denomina servicio a la prestacin contratada a
un suministrador. Por tanto, ya existen tres tipos de servicios:
Los servicios que comercializa el negocio al mercado, que en algunas ocasiones son servicios de TI puros.
Los servicios que presta el proveedor o rea de TI internamente a las reas
de cliente de la empresa.
Los servicios que presta un suministrador al proveedor o rea de TI.
Solicitud de ofertas (ITT, Invitation To Tender). Comunicado remitido a
los potenciales suministradores para la solicitud de ofertas formales para proceder a la contratacin de servicios. La diferencia entre la RFP y una ITT
no est del todo clara y depende de los usos y hbitos en cada pas o en cada
sector. En trminos generales, en la ITT la carga de la descripcin del producto o servicio recaen en el suministrador, mientras que en la RFP la descripcin est contenida en la propia RFP (por ello, pasar a formar parte
496
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
del contrato final). El trmino ITT se utiliza en ITIL v3, mientras que en la
versin 2 se utiliza ms RFP.
La RFP o la ITT son formas parecidas de solicitar ofertas al mercado para efectuar una compra y, por tanto, deben tener asignado un presupuesto interno.
Sourcing. El trmino sourcing comprende todas las actividades relativas al
aprovisionamiento de productos y a la provisin y el soporte de los servicios,
necesarias para poder prestar el servicio de TI. En los dos extremos del sourcing estn: el outsourcing (externalizacin completa de una unidad de TI) y el
insourcing (realizacin de la actividad internamente por el personal de plantilla y subcontratado). Entre medias est el outsourcing selectivo (externalizacin de funciones al mejor suministrador en cada una de ellas) y una amalgama de posibles subcontrataciones. La proporcin de cada uno depende de
las polticas y estrategias de sourcing de la organizacin. Por tanto, el concepto de sourcing va ms all de su traduccin literal por suministro, pues
tambin incluye las actividades internas retenidas en la organizacin de TI.
Subcontratistas. Empresas a las que un suministrador contrata a su vez algn
servicio necesario para prestar el servicio contratado con el proveedor TI.
Suministrador de TI. Empresa externa al proveedor de TI que provee
algn producto, o presta algn de servicio a ste, bajo un contrato de compra o de prestacin. El abanico de suministradores es muy amplio y comprende a fabricantes de equipamiento hardware, fabricantes de productos
software, proveedores de telecomunicaciones, servicios mantenimiento hardware y software, servicios de soporte, servicios de body shopping, consultores,
integradores, servicios de valor aadido, outsourcers de funciones especficas
de TI, outsourcers integrales, etc.
Conviene destacar que, para evitar la confusin terminolgica, en las Normas ISO/IEC20000 se ha adoptado el trmino de suministrador para designar a toda organizacin a la que se le contrata algn tipo de prestacin, quedando el trmino proveedor para aquellas organizaciones que quiere cumplir
con lo especificado por la norma (a efectos de certificacin). Se distingue,
as, entre suministrador de TI y proveedor de TI (rea o departamento de
TI). Esta consideracin es muy importante en el mbito de estas normas, y
hay que afinar el lenguaje, utilizando siempre suministrador para estas prestaciones contratadas externamente.
Tipos de sourcing. Los tipos de sourcing son tan variados como tipos de servicios, o parte de los mismos, que se pueden contratar. Los tipos ms frecuentes en el mercado son: internalizacin o realizacin interna, prestacin
de servicios o body shopping, outsourcing selectivo, y outsourcing completo.
7. Procesos de relaciones
7.3. Gestin de suministradores
497
498
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Entradas
Actividades
Salidas
Desencadenantes
del proceso:
3 Etapa de planificacin e
implementacin del proceso.
Modificacin en la
estrategia de sourcing.
3 Definicin de la estrategia de
sourcing.
Producto o servicio
contratado y
prestndose a TI.
Necesidad de compra
(hoja peticin compra).
Contrato firmado.
Peticin de SLM.
Necesidad de TI
en relacin a
suministradores.
Entradas de soporte:
Estrategia y polticas
de sourcing.
Especificaciones de la
compra (RFP o SOR).
Caso de negocio asociado
la compra.
SLA firmados.
CMDB.
Presupuestos.
Identificacin de la necesidad y
preparacin del caso de negocio.
Evaluacin y provisin de nuevos
contratos y suministradores.
Establecimiento de nuevos
suministradores y contratos.
Categorizacin de
suministradores y
mantenimiento de la SCD.
3 Ciclo de gestin de la prestacin:
gestin y desempeo de
suministradores y contratos.
3 Etapa de renovacin o de
finalizacin de contratos.
3 Supervisin funcionamiento
del proceso. Mejora del
propio proceso.
Salidas principales:
SCD actualizada.
Informes seguimiento
del suministrador.
Sistemas de gestin
TI-suministrador
interconectados.
Salidas secundarias:
RFI, RFP, ITT enviadas
al mercado.
Reuniones con
suministradores.
Actas de las reuniones.
Contactos entre TI y
suministrador.
Actualizacin de la
CMDB.
Propuestas de mejora del
proceso.
Fuente: e.p. y Libro ITIL Diseo del Servicio publicado por OGC.
7. Procesos de relaciones
7.3. Gestin de suministradores
499
contratacin y desencadena la ejecucin de la nueva estrategia en relacin al aprovisionamiento; una necesidad de una compra o contratacin de un servicio, remitida
desde otras reas de TI mediante la hoja de peticin de compra, para que el proceso realice la seleccin y contratacin del producto o servicio; una peticin de la
gestin de nivel de servicio (SLM) relativa a los suministradores (alineamiento de
los niveles de servicios, reunin con un suministrador, informes, etc.); y cualquier
necesidad del rea de TI en relacin a los suministradores, peticiones diversas de la
direccin de TI o de otras reas.
Las entradas relevantes de soporte o auxiliares que utiliza el proceso en el desarrollo
de su actividad son la estrategia general de sourcing de la empresa, as como, las directrices para su ejecucin contenidas en las polticas de sourcing; la documentacin previa generada que acompaa a la peticin de compra (RFI, RFP o SOR, el caso de
negocio justificativo de la compra, si procede, etc.); los acuerdos de nivel de servicio
firmados con los clientes, con el fin de garantizar que los suministradores son capaces
de respaldar estos niveles de servicio; informacin sobre los diversos elementos de
configuracin contenida en la CMDB; y el detalle de los presupuestos disponibles,
con el fin de ajustar las polticas y contrataciones a los lmites presupuestarios.
Se entiende como una salida principal del proceso el producto que se pretende comprar
ya suministrado y operativo, y la necesidad de un servicio externo prestndose y gestionado, en tanto en cuanto el proceso tiene como misin controlar la adecuada prestacin
de los servicios y productos contratados. No es de su responsabilidad, obviamente, la
ejecucin de tareas propias de prestacin del mencionado servicio o producto.
Tambin se consideran salidas principales del proceso los contratos de soporte firmados (UC); la base de datos de suministradores y contratos (SCD) creada y actualizada; los diversos informes de seguimiento de los suministradores realizados (calidad
del servicio, satisfaccin, desempeo, etc.); sin olvidar la interconexin entre los sistemas de gestin de TI y del suministrador, en aquellos casos en los que sea necesario.
El proceso tambin genera otro tipo de salidas de menor relevancia o secundarias.
stas son la emisin de RFI, RFP o ITT al mercado para la contratacin, las reuniones realizadas entre suministradores y la organizacin de TI; las actas de las reuniones; los contactos entre TI y el personal del suministrador de soporte; la CMDB
actualizada; las propuestas de mejora del proceso; etc.
Las Normas ISO/IEC 20000 definen los siguientes requisitos introductorios para
este proceso:
UNE-ISO/IEC 20000-1
El proveedor del servicio debe tener documentados los procesos de gestin de suministradores y debe designar un gestor responsable del contacto con cada suministrador.
500
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los SLAs con los suministradores se deben alinear con los SLAs con el negocio.
Las interfaces entre los procesos utilizados por cada parte deben ser acordadas y documentadas.
Todos los roles y relaciones entre suministradores principales y subcontratados deben
estar claramente documentados. Los suministradores principales deben ser capaces
de demostrar que tienen procesos para garantizar que los subcontratistas cumplen
con los requisitos contractuales.
Se debe disponer de un proceso para la revisin detallada del contrato o del
acuerdo formal, con periodicidad mnima anual, que garantice que las necesidades
y obligaciones contractuales del negocio se siguen cumpliendo.
UNE-ISO/IEC 20000-2
Los procedimientos de gestin de suministradores deberan garantizar que:
a) el suministrador entiende sus obligaciones frente al proveedor del
servicio;
b) los requisitos acordados y legtimos
son cumplidos dentro del alcance y
los niveles de servicio acordados;
Estrategia
de sourcing
Seleccin y
contratacin
Gestin de
la prestacin
Finalizacin
7. Procesos de relaciones
7.3. Gestin de suministradores
501
Estrategia de sourcing
La estrategia de sourcing forma parte de la estrategia general de TI. En la estrategia
de sourcing se definen las actividades que se realizarn internamente en la organizacin de TI y las actividades que se externalizarn. Por tanto, la estrategia de sourcing
define la forma en que se cubrirn las necesidades para la creacin y prestacin de los
servicios. Abarca tanto a las reas de desarrollo como las de produccin o explotacin, contemplando todo tipo de funciones de TI (planificacin y control, arquitectura, programacin, operacin, tcnica, etc.). Para todas ellas, se define que actividades se realizarn internamente y en cules se recurrir al apoyo de suministradores.
Adems, la estrategia de sourcing refleja la visin final deseada en cuanto al mapa de
suministradores, definiendo si habr una concentracin de suministradores o una
atomizacin de los mismos, el nmero idneo de suministradores deseado, etc.
La estrategia de sourcing define los tipos de servicios que puede contratar la organizacin de TI. stos son de muy diversa ndole. En la figura 7.3.11 se muestran
diversos ejemplos de tipos de contrataciones que se podran realizar.
Ejemplos de contrataciones
3 Compra de hardware y software.
3 Mantenimiento de hardware y software.
3 Soporte de fabricante.
3 Proyectos llave en mano de desarrollo de software.
3 Contratos de mantenimiento de aplicativos.
3 Consultora y asesora.
3 Diseo tcnico o funcional.
3 Prestacin de servicios Body Shopping.
3 Contratacin de un servicio: comunicaciones,
502
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La definicin de la estrategia de sourcing contempla cinco actividades 1: la identificacin de la situacin de partida, el anlisis del mercado, el diseo de escenarios, la
realizacin del caso de negocio y la toma de la decisin de la estrategia que se debe
seguir y su implementacin. En la figura 7.3.12 se muestran estas 5 actividades.
Estrategia
de sourcing
Seleccin y
contratacin
Gestin de
la prestacin
Finalizacin
Un aspecto importante de la definicin de la estrategia de sourcing es la determinacin del modelo de control y supervisin del mismo ya que, si este es muy ligero
no se tendrn garantas en el cumplimiento de lo contratado, mientras que si el
control es muy pesado se generar un sobre esfuerzo de gestin importante, tanto
en el suministrador, como en la organizacin de TI.
Otro aspecto importante es la identificacin, para cada uno de los mbitos de TI,
de las actividades que deben ser retenidas y aqullas que pueden ser externalizadas.
De forma general, al efecto de delimitar el alcance de una externalizacin, las actividades de TI se pueden tipificar en: estratgicas, de control, de planificacin, de
relacin, de supervisin, de arquitectura, de diseo, de construccin, tcnicas
de detalle, de administracin, de operacin y de atencin. Para cada uno de estos
Documento: Best practices for creating an IT service sourcing strategy. Gartner 2007.
7. Procesos de relaciones
7.3. Gestin de suministradores
503
tipos, se debe definir cules de sus actividades se deben retener y cules se pueden
externalizar (vase el ejemplo de la figura 7.3.13).
Volumen de personas
involucradas
Funciones de TI
Estrategia de sourcing
Direccin
Relacin
Gestin
Retener
Control
Retener
Definicin tcnica
Tecnolgicas
Externalizar
Operativas
Externalizar
Funciones de TI
Gobierno
de TI
Arquitectura
Desarrollo
Produccin
Direccin
INTERNO
INTERNO
INTERNO
INTERNO
Relacin
INTERNO
INTERNO
INTERNO
INTERNO
Gestin
INTERNO
INTERNO
INTERNO
INTERNO
Control
INTERNO
INTERNO
INTERNO
INTERNO
Definicin tcnica
INTERNO
INTERNO
INTERNO
Tecnolgicas
EXTERNO
EXTERNO
EXTERNO
EXTERNO
EXTERNO
Operativas
Frontera tpica
de externalizacin
INTERNO
Internalizado
EXTERNO
Internalizado
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Externalizado
504
Externalizado
Estrategia
Diseo
Construccin
Transicin
Operacin
Mejora
continua
Servicios TI
PC, LAN,
ficheros
INTERNO
Movilidad
(WIFI+RAS)
INTERNO
INTERNO
SUMINISTRADOR A
INTERNO
INTERNO
CRM
INTERNO
INTERNO
SUMINISTRADOR C
Facturacin
INTERNO
INTERNO
SUM. D
ERP
INTERNO
INTERNO
SUMINISTRADOR F
Comunicaciones WAN
INTERNO
INTERNO
SUMINISTRADOR B
INTERNO
SUMINIS. E
SUMINISTRADOR G
INTERNO
Internalizado
INTERNO
INTERNO
SUM. n
Diversos
suministradores
7. Procesos de relaciones
7.3. Gestin de suministradores
505
506
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
507
Dado que los tipos de adquisiciones gestionados pueden ser muy diversos, desde
un equipamiento sencillo, pasando por un proyecto llave en mano, hasta la contratacin de un servicio de externalizacin a varios aos, es necesario que los procedimientos existentes se adapten a la envergadura y criticidad de cada tipo de adquisicin. En las simples y repetitivas, bastar con una sencilla hoja de peticin de
compra. En cambio, en los grandes proyectos ser necesario recorrer todas las etapas: la RFI, pasando por el caso de negocio, la aprobacin de la inversin, la generacin de la RFP, etc.
Incorporando la estructura de las actividades definidas en ITIL v3 a este ciclo de seleccin y contratacin queda un esquema como el que se muestra en la figura 7.3.16.
Estrategia
de sourcing
Seleccin y
contratacin
Gestin de
la prestacin
Finalizacin
Necesidad de TI.
RFI.
Caso de negocio.
RFP (SOR).
Hoja de compra.
Asiento de la peticin
de compra en el ERP.
Hoja seguimiento
de ofertas.
Contrato (UC).
Base de datos
suministradores
y contratos (SCD).
508
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
509
Benchmarking externos.
3 Presentacin de alternativas o soluciones posibles.
de cada alternativa.
3 Beneficios cualitativos esperados.
3 Beneficios cuantitativos esperados.
3 Anlisis de escenarios posibles y riesgos
3 Recomendaciones y conclusiones.
3 Anexos:
510
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
511
Especificacin de compra
(RFP o SOR) enfocada
a una externalizacin
3 Trminos bsicos y condiciones:
Objetivo y alcance.
Duracin del contrato.
Definiciones.
SLA y OLA de referencia.
Estndares a cumplir.
Partes implicadas: suministrador,
unidad TI.
3 Condiciones comerciales:
Coste del servicio y forma de pago.
3 Penalizaciones:
Penalizaciones e incentivos.
Rgimen de pago variable
segn cumplimiento.
3 Responsabilidades y dependencias:
Responsable de planificacin e
implantacin de servicios nuevos o
modificados.
Informes de gestin.
512
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
513
3 Ttulo de la compra.
3 Ttulo de la compra.
contacto.
3 Cdigo de gasto y presupuesto
asignado.
3 Fechas y plazos a cumplir en la
compra.
3 Breve descripcin y justificacin de
la compra.
3 Detalles y volumetras de la compra
de precios.
3 Valoracin tcnica y comercial de
suministradores concursantes.
3 Modelo de negociacin seguido.
la compra.
3 Documentacin asociada a la compra:
514
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
De acuerdo con lo especificado en las Normas ISO/IEC 20000, toda incorporacin de nuevos suministradores o contratos, as como la modificacin de los mismos, ser gestionada por el proceso de gestin del cambio, de tal forma que se asegure que se evalan y se comprenden todos los posibles impactos. El proceso
de gestin de suministradores acta como propietario de la SCD (base de datos de
suministradores y contratos) fuente principal de informacin para la ejecucin
de sus actividades.
Categorizacin de suministradores y mantenimiento de la SCD. Esta etapa se
centra en la categorizacin y evaluacin de los suministradores para poner foco en
la gestin de los contratos importantes frente a los menos importantes. Como
resultado de la evaluacin y categorizacin de suministradores, tambin es responsabilidad de esta actividad asegurar el mantenimiento actualizado de la base
de datos de suministradores y contratos (SCD). Igual que en el caso anterior, de
acuerdo con lo descrito por ITIL v3, las tareas principales de esta actividad son:
Categorizacin de los suministradores. Se recomienda realizarlo en funcin
de dos ejes: su valor-importancia y su riesgo-impacto. As, se obtiene de
forma general una categorizacin que permite dosificar el esfuerzo y las
actuaciones, en los siguientes tipos:
Estratgicos. Contempla alianzas y relaciones a largo plazo.
Tcticos. Para aquellos suministradores con relaciones que involucran
gran volumen de actividad e interacciones de negocio.
Operacionales. Para los suministradores de productos y servicios operacionales.
Bsicos (commodity). Para los suministradores de productos y servicios de
bajo valor fcilmente suministrables, ya sea por la naturaleza del suministro o bien por la abundancia de suministradores.
Evaluacin o reevaluacin del suministrador y del contrato, obteniendo una
calificacin de su desempeo, y un registro de los xitos y conflictos.
Actualizacin de la SCD.
Mantenimiento continuo de la SCD.
7. Procesos de relaciones
7.3. Gestin de suministradores
515
gestin de cada contrato, producto o servicio, y de los suministradores. Debe alojar los archivos con la versin firmada de los contratos, informacin sobre el histrico de la relacin con el suministrador, los servicios contratados a cada uno, los
niveles de servicio, los costes, las fechas de renovacin, las personas de contacto, el
personal de TI que ha ido participando en la relacin, los principales xitos y conflictos, etc.
La SCD se compone, como mnimo, de dos estructuras lgicas: las fichas de los
suministradores y las fichas de los contratos. En la figura 7.3.20 se muestra un
ejemplo del contenido de una SCD.
Fichas de contratos:
3 Cdigo y ttulo del contrato.
3 Servicios contratados. Descripcin.
3 Niveles de servicio a cumplir.
3 Importe contratado.
3 Fechas y perodo del contrato.
3 Fecha lmite para la comunicacin de la terminacin
del contrato.
3 Valoracin de los resultados del contrato.
3 xitos y conflictos surgidos.
Relaciones:
3 Tipos de relaciones y procedimientos.
3 Interlocutores para cada una de ellas.
3 Interfaces entre herramientas.
3 Histrico de la relacin.
516
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
517
del contrato.
3 Gestin de conflictos.
3 Requisitos para la etapa de transicin.
3 Etapa de finalizacin del contrato. Obligaciones.
3 Confidencialidad y derechos de propiedad
intelectual.
3 Anexos:
desplegar lo necesario para que este flujo sea efectivo: reuniones, interlocutores,
herramientas, interfaces, procedimientos, escalados, etc. Por tanto, ste es un ciclo o
subproceso que prepara los conectores entre la organizacin de TI y sus suministradores, para supervisar posteriormente su funcionamiento.
En las Normas ISO/IEC 20000 se establecen unos requisitos muy bsicos para la
gestin de la prestacin del servicio del suministrador:
UNE-ISO/IEC 20000-1
Se debe monitorizar y revisar el comportamiento y las prestaciones frente a los
objetivos de nivel de servicio. Las acciones de mejora identificadas durante este
proceso se deben registrar y utilizar como informacin de entrada al plan de
mejora del servicio.
518
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
Definicin del servicio
Para cada servicio y suministrador el proveedor del servicio debera mantener:
a) una definicin de servicios, roles y
responsabilidades;
b) el alcance del servicio;
Como se ha mencionado anteriormente, hay grandes diferencias entre la importancia y los alcances entre los diferentes contratos. Por ello, la gestin de los suministradores se llevar con ms o menos intensidad, adecundose al tipo y la relevancia
de la funcin contratada en cada uno de ellos (resultado de la categorizacin de
suministradores y contratos de la actividad anterior).
Los principales mecanismos que articula este ciclo, necesarios para que sea efectivo
el flujo entre la organizacin de TI y las organizaciones de los suministradores son
los siguientes:
Escalados. Al igual que en el caso del proceso de gestin del incidente, aqu tambin existe el concepto de escalado, en sus dos versiones, funcional y jerrquica. El
escalado funcional corresponde al traspaso de trabajos entre los grupos funcionales,
bien entre la organizacin de TI y los suministradores o bien entre ellos mismos.
En el escalado jerrquico se remite informacin hacia instancias superiores, para
poner en conocimiento o para la toma de decisiones. El escalado jerrquico tambin es la primera etapa en la resolucin de discrepancias y conflictos en la relacin.
En ambos casos, las rutas de escalado deben estar previamente definidas y procedimentadas.
Herramientas. Definicin e implementacin de las herramientas para el soporte
del flujo de trabajo. Las diversas soluciones de integracin entre las herramientas
pueden ir desde permitir el acceso del suministrador a las herramientas internas de
TI, hasta una interconexin entre las herramientas de ambas organizaciones.
Informes. Informacin peridica sobre la actividad y desempeo del suministrador en relacin a los servicios contratados. Los informes contienen informacin
cuantitativa (indicadores o mtricas) sobre volumetras de los trabajos, sobre la
calidad de los mismos y sobre los niveles de los servicios prestados. Adems, los
informes incorporan informacin descriptiva de la actividad realizada en el perodo
y del grado de avance de proyectos y trabajos de plazo ms largo.
7. Procesos de relaciones
7.3. Gestin de suministradores
519
520
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Seleccin y
contratacin
Gestin de
la prestacin
Finalizacin
7. Procesos de relaciones
7.3. Gestin de suministradores
521
los productos o servicios recibidos, integra los servicios recibidos de los suministradores con los servicios de TI ofrecidos a las reas cliente, y supervisa de forma continua el funcionamiento de las herramientas y las interfaces para garantizar que el trabajo fluye con normalidad.
Para asegurar una correcta relacin con los suministradores es fundamental el establecimiento de conductos de comunicacin eficientes, que permitan a ambas partes
profundizar en su conocimiento mutuo. De esta forma, la interrelacin para la
prestacin diaria de los suministradores se suele articular en base a tres tipos de unidades de informacin que fluyen hacia los suministradores:
Tickets. Traspaso de tickets de incidentes y peticiones de servicio recogidas
en el catlogo de servicios, que normalmente provienen directamente del
contacto con el usuario.
rdenes de trabajo. Envo de rdenes de trabajo o peticiones, que son
generadas por la organizacin de TI para solicitar trabajos al suministrador
(cambios, informes, actuaciones, etc.).
Proyectos. Actividades de mayor envergadura y complejidad que suelen
contener unos objetivos, una planificacin, unos compromisos, una direccin especfica, un presupuesto determinado, etc. Los proyectos pueden ser
de todo tipo: de desarrollo de software, de arquitectura, de diseo, de plataforma tecnolgica, etc.
Dependiendo del nivel de externalizacin o del alcance de cada contrato, la gestin
de la prestacin vara mucho. En contratos de adquisicin de hardware o productos
software, termina una vez entregado e instalado el producto la prestacin del suministrador. Los contratos de mantenimiento tienen algo ms de penetracin en la
actividad diaria (incluyendo la garanta). En los contratos de soporte tcnico de los
fabricantes slo se activan en casos espordicos de necesidad ante averas o problemas tcnicos con sus plataformas. En el extremo opuesto de intensidad en la interaccin con el da a da aparecen los contratos de externalizacin de un servicio o de
una funcin de TI. En ellos, los flujos de trabajo son constantes entre la organizacin de TI y los diversos suministradores.
As, dependiendo del perfil de externalizacin y del nmero de suministradores,
vara bastante el flujo diario de la actividad que cruza las fronteras de las organizaciones. En todo momento, y a efectos puros de certificacin bajo las Normas
ISO/IEC 20000, es necesario mantener el control de su gestin.
Hay que tener cuidado en que la gestin de la operacin del suministrador no se
interponga entre las reas operativas de ambas partes, sino que supervise el flujo
desde el exterior, para detectar atascos y malos rendimientos.
522
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
523
Gestin del suministrador y de la relacin. Comprende la gestin de las relaciones, de los contratos y de las discrepancias surgidas. Atiende los escalados verticales
por discrepancias, y mantiene los contactos a nivel de gestin y de direccin por
ambas partes. Se suele realizar en el mbito del comit de seguimiento del servicio.
En esta actividad se marca una pauta de reuniones peridicas (quincenales o mensuales) de este comit. En la gestin de discrepancias es importante la resolucin temprana de conflictos, para que stos no afecten al servicio o contaminen la relacin.
Con respecto a la gestin de contrato en vigencia se realiza:
El seguimiento del cumplimiento de los trminos y condiciones del contrato.
La revisin de las facturas.
La aprobacin de los pagos.
La negociacin de las revisiones del contrato.
La gestin de los cambios al contrato (va proceso de gestin del cambio).
El entendimiento de la cultura de ambas organizaciones y de la forma de trabajar
de cada una de ellas, permitir un planteamiento de la relacin ms acorde con la
realidad y proporcionar unos mejores resultados a ambas partes por el adecuado
entendimiento de necesidades y capacidades (gestin de expectativas). Tambin se
debe poner foco en que las vas de comunicacin fluyan y, sobre todo, que los niveles directivos estn disponibles y dediquen el tiempo necesario para la toma de
decisiones en el momento adecuado.
A este respecto las especificaciones de las Normas ISO/IEC 20000 aportan una formalizacin a la relacin contractual:
UNE-ISO/IEC 20000-1
Los cambios al contrato(s), si existen, y los SLAs deben ser el resultado de estas revisiones o de aquellas requeridas en cualquier otro momento. Cualquier cambio debe
estar sujeto al proceso de gestin del cambio.
UNE-ISO/IEC 20000-2
Gestin de contratos
El proveedor del servicio debera designar un responsable para hacerse cargo
de los contratos y acuerdos con los
suministradores. En el caso de que haya
524
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Revisin peridica de los objetivos del servicio frente a las necesidades del
negocio, objetivos y acuerdos. Se suele realizar en el mbito del comit ejecutivo.
Se identifican los puntos conflictivos, el desempeo de los interlocutores y se realiza la revisin de todos los indicadores comprometidos. Su periodicidad suele ser
trimestral, con los suministradores esenciales, y anual con el resto. Tambin se
deben replantear si los objetivos contratados estn alineados con las necesidades
de TI y del negocio.
En este mbito se llevan a cabo dos tipos de revisiones formales: la revisin del
desempeo del suministrador (en base a revisiones del servicio) y la revisin del contrato (del rendimiento, de los escalados, los costes, las variaciones en la demanda, las
mejoras al servicio, la opinin de los clientes, etc.).
Planificacin para posible cierre, renovacin o extensin. Toda la actividad diaria debe estar concebida para que se retenga el conocimiento, de esta forma, la
dependencia de un suministrador determinado es menor. Adems de esto, con la
anticipacin necesaria (normalmente 3 meses antes) se debe decidir si se continuar
con el servicio, se proceder a su renovacin y en qu mbitos se modificar su
alcance. En funcin de la decisin tomada, se iniciarn las acciones de recopilacin
de informacin, auditoras necesarias, denuncia del contrato, etc.
7. Procesos de relaciones
7.3. Gestin de suministradores
525
UNE-ISO/IEC 20000-2
El proceso de gestin de contratos debera contemplar la extincin del contrato
(tanto planificada, como prematura).
Seleccin y
contratacin
Gestin de
la prestacin
Finalizacin
Fuente: Libro ITIL Diseo del Servicio publicado por OGC y e.p.
Llegada la fecha en la que el contrato finaliza, se deben realizar dos acciones principales (segn ITIL v3).
526
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
Tanto el proveedor del servicio como el
suministrador deberan funcionar conforme a un proceso para gestionar los
conflictos, el cual se debera definir o
referenciar dentro del contrato.
Debera existir un procedimiento o itinerario para poder escalar los conflictos
7. Procesos de relaciones
7.3. Gestin de suministradores
527
UNE-ISO/IEC 20000-2
Debera quedar claro si el proveedor del
servicio trata con todos los suministradores
de forma directa o mediante un suministrador principal que toma la responsabilidad
de los suministradores subcontratados.
El suministrador principal debera registrar los nombres, responsabilidades y
relaciones entre todos los suministradores subcontratados y ponerla a disposi-
528
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
529
530
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
7. Procesos de relaciones
7.3. Gestin de suministradores
531
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define las actividades del proceso y se encarga de la mejora
continua del mismo. Todo ello, de una forma integrada con el modelo de
gestin del proveedor de TI incorporado en el SGSTI.
Los roles de mayor relevancia que participan en el proceso de gestin de suministradores se representan en la figura 7.3.25.
Seleccin y
contratacin
Chief Sourcing
Officer
Responsable
de compras
Prestacin
Responsable de la
gestin del servicio
SGSTI
Gestor de las
relaciones con
el suministrador
Propietario del
modelo (SGSTI)
Administrador y
soporte del proceso
Gestores del
nivel de servicio
reas de TI proponentes
de las compras
Gestor de
suministradores
Resumen
La maduracin del sector lleva paulatinamente hacia la concentracin de la fbrica
de los servicios de TI en empresas especializadas que prestan servicios al resto de
532
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
organizaciones internas de TI. Lo que permite que las empresas se centren en las
actividades que aporten un valor diferencial a su negocio, recurriendo a la externalizacin de las funciones no esenciales que el mercado comercializa empaquetadas en forma de producto o servicio (ERP, mantenimiento correctivo de software, comunicaciones, hosting, monitorizacin, operacin, atencin telefnica al
usuario, etc.).
Como consecuencia, cada vez se externalizan ms actividades de la organizacin de
TI. Por ello, la gestin de los suministradores, casi inexistente hasta, ahora se ha
convertido en un proceso clave para el xito en los servicios de TI.
La gestin de suministradores tambin debe tener en cuenta que detrs de un suministrador hay personas, que adems de ser eficientes en el cumplimiento de sus
compromisos, tienen sentimientos, vida personal, familia, frustraciones, etc.
De forma histrica las grandes organizaciones han desarrollado el ciclo de seleccin
y contratacin de suministradores, implementando buenas prcticas y polticas en
la seleccin y en la contratacin. En cambio, el ciclo de gestin de la prestacin del
suministrador es apenas un recin nacido, pero esencial en un escenario con cada
vez ms funciones de TI externalizadas.
Los aspectos ms destacados de este proceso son los siguientes:
El proceso de gestin de suministradores abarca todo tipo de servicios, desde
la compra de productos, pasando por la contratacin de servicios, hasta los
diversos tipos de externalizaciones.
La estrategia de sourcing define las actividades que se realizarn internamente y las que se contratarn a los suministradores. Una vez definida, la
implementacin de esta estrategia pasa por el establecimiento de acuerdos
marcos de tarifas con los suministradores principales, que promocionen ms
agilidad para las contrataciones del da a da y faciliten la tendencia hacia una
consolidacin de suministradores.
El proceso, bajo aproximacin pura ISO/IEC 20000, partira de una estrategia de sourcing ya definida para dividirse en dos grandes ciclos, junto con una
actividad de finalizacin del contrato:
El ciclo de seleccin y contratacin de productos y servicios.
El ciclo de gestin de la prestacin de los suministradores.
Dado su carcter contractual, este proceso requiere mayor formalizacin que
otros, desde la designacin de los representantes hasta un seguimiento por
escrito de la actividad (actas).
7. Procesos de relaciones
7.3. Gestin de suministradores
533
Beneficios
La gestin de suministradores permite garantizar que las necesidades de la organizacin de TI se aprovisionan de forma alineada con la estrategia general, y que los
productos y servicios contratados cumplen con los acuerdos firmados. Entre los
beneficios obtenidos destacan:
Definicin de una estrategia de sourcing, que identifica las actividades crticas
a retener y las funciones que se externalizarn.
Se asegura la ejecucin de la estrategia de sourcing en lo relativo a la contratacin externa.
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
534
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 2:
Segn su opinin, qu debe contemplar la estrategia de sourcing de TI?
Cmo se realizan la seleccin y contratacin de suministradores en su
organizacin?
Segn su experiencia, qu aspectos destacara en la gestin de los suministradores?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
Captulo 8
Procesos de
resolucin
8.1. Antecedentes
8.2. Gestin del incidente
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
8. Procesos de resolucin
537
8. Procesos de resolucin
8.1. Antecedentes
539
8.1. Antecedentes
La gestin del incidente se centra en restaurar el servicio cuanto antes, sin admitir
dilaciones por investigaciones tcnicas. Su objetivo es que todo servicio cado o
degradado retorne cuanto antes a la normalidad.
Mantener nicamente esta actividad frentica de apaga fuegos no sera productivo, pues los defectos no reparados produciran ms y ms incidentes. As, de
forma independiente, se debe realizar una labor ms sosegada y concienzuda
de anlisis de los fallos, para buscar soluciones definitivas. Aqu aparece la necesidad de un nuevo proceso como la gestin del problema.
Las Normas ISO/IEC 20000 dedican unos prrafos introductorios a los procesos
de resolucin, estableciendo una relacin permanente entre ambos procesos, definiendo el concepto de prioridad e introduciendo las soluciones provisionales:
UNE-ISO/IEC 20000-1
Antecedentes
La gestin del incidente y la gestin del problema son procesos separados, aunque
ambos estn fuertemente relacionados.
540
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
La gestin del incidente y del problema
son procesos distintos, aunque estn
estrechamente relacionados. El proceso
de gestin del incidente se encarga de la
restauracin del servicio a los usuarios,
La relacin entre ambos procesos es constante, pues la gestin del incidente genera
informacin que posteriormente analizar la gestin del problema en busca de
defectos en los servicios. As, en su actividad diaria de restaurar el servicio, la gestin de incidente se encuentra frecuentemente con defectos en los servicios. Como
su funcin no es dedicarse a erradicarlos, los comunicar a la gestin del problema
para a su anlisis y resolucin. Por otra parte, la gestin del problema vuelca su
conocimiento y las soluciones encontradas en una base de datos, para que la gestin del incidente los pueda aplicar en futuros incidentes similares.
UNE-ISO/IEC 20000-2
Los objetivos para la resolucin deberan estar basados en la prioridad. La
prioridad se debera basar en el
impacto y la urgencia. El impacto se
debera basar en el nivel de dao real
o potencial al negocio del cliente. La
urgencia se debera basar en el tiempo
entre la deteccin del problema o del
incidente y el momento en que se produce el impacto sobre el negocio del
cliente.
8. Procesos de resolucin
8.1. Antecedentes
541
Nota: La prioridad se utiliza durante toda la gestin del servicio pero es fundamental para la gestin del incidente y del problema.
Estas dos variables independientes condicionan el nivel de prioridad de un incidente y la rapidez con la que se va a tratar de resolverlo:
El impacto: medida del efecto sobre el negocio que actualmente tiene un
incidente o que potencialmente podra tener. Se relaciona con el grado en
que se podra llegar al incumplimiento de los SLA. Se puede valorar en funcin de la criticidad para el negocio del servicio afectado, del nmero de
usuarios perjudicados y de su importancia para la organizacin. El impacto
se suele medir en 3 niveles; alto, medio y bajo.
La urgencia: medida de la criticidad en cuanto al plazo de resolucin de un
incidente en funcin de las fechas lmites para su resolucin. Se asocia con el
tiempo disponible para la resolucin antes de que se llegue al incumplimiento de los SLA. La prioridad se puede medir en 3 niveles: alta, media y
baja. Tambin es frecuente asignarla a metales: platino, oro, plata y bronce.
Esta misma clasificacin de impacto y urgencia se utiliza para ordenar por prioridad los cambios (vase tambin el apartado 9.2).
En cualquier caso, los criterios para definir el impacto y la urgencia deberan establecerse en coordinacin con los responsables del negocio y formalizarse en el SLA.
En la figura 8.1.2 se presentan los tipos de prioridad ms habituales y un rango
orientativo del tiempo de atencin asociado.
Prioridad
Inmediata
Alta
Descripcin
Tiempo
atencin
En minutos
<1 hora
Media
<2 horas
Baja
<6 horas
542
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Prioridad de un incidente
URGENCIA
PRIORIDAD/
Tiempo de resolucin
IMPACTO
Alto
Medio
Bajo
Alta
u Oro
Inmediata /
en min
Alto /
<1 h
Medio /
<2 h
Media
o Plata
Alto /
<1 h
Medio /
<2 h
Bajo /
<6 h
Baja
o Bronce
Medio /
<2 h
Bajo /
<6 h
Planificar /
Cuando haya
hueco
si > SLA
Incidente grave
Crisis
8. Procesos de resolucin
8.1. Antecedentes
543
Se entiende por solucin provisional (workaround) de un incidente a cualquier solucin utilizada para restablecer el servicio rpidamente y que no haya resuelto la
causa raz del mismo. Esta solucin, al ser provisional, no resuelve el defecto que lo
origin, pero permite que los usuarios continen su trabajo. Las soluciones provisionales utilizadas deben registrarse, identificando el elemento de configuracin
relacionado, pues ocultan defectos subyacentes que volvern a aparecer. En ocasiones tambin se puede encontrar el trmino de solucin rpida (quick fix).
Otro concepto utilizado en los procesos de resolucin es el error conocido (KE,
Known Error). Se entiende como tal cuando la gestin del problema ha identificado
un defecto subyacente y la forma de resolverlo. Un error conocido es un fallo cuya
causa es conocida. Es decir, es la causa raz ya identificada que provoca el incidente.
El error conocido lleva implcito las explicaciones, el conocimiento y las soluciones
para la resolucin de los incidentes provocados por este defecto. Una de las misiones de la gestin del problema es la eliminacin de los errores conocidos.
8. Procesos de resolucin
8.2. Gestin del incidente
545
546
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Procesos de resolucin
8.2. Gestin del incidente
Proceso de gestin
del incidente
Definicin:
Proceso que se ocupa del tratamiento
de los sucesos que provocan la
degradacin o prdida del
funcionamiento normal de un servicio,
con el objetivo fundamental de
recuperar el servicio para el cliente
lo ms rpidamente posible.
547
Qu aporta:
Prioriza la atencin de incidencias
de acuerdo con los compromisos de
servicio.
Reduce el impacto de los incidentes
poniendo foco en la restauracin
cuanto antes del servicio.
Almacena informacin de los
incidentes producidos.
Gestiona el conocimiento en relacin a
la resolucin de incidentes.
Objetivo:
Colaborar en la identificacin
proactiva de mejoras en los servicios
y en los procedimientos.
548
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
deber atender). Adems, hay que considerar que la tendencia es a que este volumen de contactos se vaya incrementando, debido al aumento de la diversidad de
dispositivos mviles y a la progresiva penetracin de las TI en la actividad de la
empresa. Por ello, es importante disponer de una organizacin perfectamente preparada y entrenada para su atencin y resolucin.
Una buena gestin de los incidentes y las peticiones en la organizacin, reducir
enormemente las tensiones internas y permitir a la organizacin salir de la crisis
continua como nico medio de gestin y de trabajo. Adems, liberar a la direccin de TI de llamadas y quejas inoportunas de los otros directores, permitiendo
que en la organizacin de TI cada uno realice su propio trabajo.
Por tanto, es un proceso que tiene dos flujos de trabajo (workflow) diferenciados y
amplios, que se deben afinar y optimizar. El primero de ellos es el ciclo de vida del
incidente y el otro el ciclo de vida de la peticin de servicio. Ambos comienzan en
el mismo punto, el centro de servicio al usuario (SD, Service Desk) que atiende los
contactos del usuario, bien sea a travs de llamadas telefnicas o, ms recientemente, a travs de una aplicacin web. A partir de este momento, el flujo de ambos
procesos se separan para recorrer diversas partes de la organizacin de TI: el incidente se trata por los niveles tcnicos especializados y las peticiones por la administracin de los servicios.
Ya que estos dos flujos recorren gran parte de la organizacin, hay que transmitir a
todos los implicados los objetivos que se deben cumplir, para que TI acte como
un autntico equipo sincronizado. Los tres pilares en los que se sustenta este proceso se resumen en la figura 8.2.3.
8. Procesos de resolucin
8.2. Gestin del incidente
549
Vocacin de servicio. La vocacin de servicio al usuario es el eje central de la organizacin de TI y uno de los aspectos que se deben cuidar y desarrollar en este proceso.
La amabilidad, la capacidad de explicacin y la comunicacin son facetas importantes
que deben desarrollar las personas que estn en contacto con los usuarios.
Tiempo de resolucin. Este proceso es una fbrica masiva de resolucin, tanto
de los incidentes como de las peticiones. El concepto de pertenencia a la cadena de
resolucin debe estar mentalmente asumido por todos los participantes. Los involucrados en la cadena deben ser conscientes de la importancia del cumplimiento de
los plazos. Las herramientas de gestin de incidentes y peticiones deben facilitar el
control de los tiempos de resolucin. Adems, debern activar las alarmas y priorizar los incidentes o peticiones (tickets) cuando el plazo de resolucin est prximo
a su expiracin.
Conocimiento tcnico. No hay que olvidarse de la importancia fundamental del
conocimiento tcnico del personal. Los proyectos de implantacin de procesos en
las organizaciones de TI hacen que la direccin se centre en las formas de trabajar y
pudiera ocurrir que se dejara en un segundo plano el conocimiento tcnico. Esto
no es lo que debera suceder, ya que un buen conocimiento tcnico permitir resolver un incidente en minutos, mientras que un tcnico iletrado generar percances
en la ms mnima actuacin y desbaratar cualquier planificacin o compromiso
adquirido.
A la hora de estructurar los equipos de personas, el proceso de gestin del incidente
se articula normalmente en torno a tres lneas o niveles de atencin y soporte tcnico: la primera lnea o centro de servicio al usuario (service desk), la segunda lnea
o soporte tcnico especializado, y la tercera lnea o soporte tcnico de fabricantes o
suministradores. En la figura 8.2.4 se presentan los componentes ms destacados
de este proceso.
Los componentes que intervienen en el proceso de gestin del incidente son:
Incidente (o incidencia). Cualquier suceso que no forme parte del funcionamiento estndar de un servicio y que motive, o pueda motivar, una interrupcin o
reduccin de la calidad del servicio y de la productividad del usuario.
Peticin (o solicitud) del usuario. Contacto del usuario para requerir a TI la provisin de una funcionalidad individual ya prevista en el catlogo de servicios, por
ejemplo, un nuevo ordenador personal, alta como usuario en una aplicacin, una
consulta sobre el uso de un servicio, etc.
La diferenciacin entre usuario y cliente en este proceso se aprecia en todo su detalle, pues, conviene no confundir las peticiones de los usuarios, que siempre son de
carcter individual, con las demandas de carcter colectivo de los clientes (o reas
cliente) para requerir un nuevo servicio o la evolucin de uno existente.
550
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Escalado
Incidentes
Personal
tcnico
Incidentes
Peticiones
Usuarios
Primera lnea
de soporte,
service desk o centro
de servicio al usuario
Segunda lnea
de soporte
(reas tcnicas
internas)
Tercera lnea
de soporte
(fabricantes y
suministradores)
Problemas
identificados
Incidentes
Base de datos Solucin temporal
de incidentes
(work-around)
Peticiones de
cambio (RFC)
Conocimiento
tcnico
Errores
conocidos
CMDB
Base de datos
de problemas
Base de datos
de configuracin
Problema. La causa raz desconocida de uno o ms incidentes existentes o potenciales. Los problemas pueden ser identificados a travs de varios incidentes que
muestren sntomas comunes. Tambin pueden identificarse a partir de un incidente
de relevancia, indicativo de un error con causa desconocida. La gestin del incidente o el service desk comunican a la gestin del problema los problemas que identifiquen como consecuencia de estar continuamente reparando incidencias.
Error conocido (KE, Known Error). Es un defecto del que se ha identificado la
causa raz que lo origin (se tenga o no una solucin, sea temporal o permanente).
Los errores conocidos son una pieza clave en la gestin del conocimiento para la
resolucin de incidentes.
Los problemas y errores son tratados exclusivamente por el proceso de gestin del
problema.
8. Procesos de resolucin
8.2. Gestin del incidente
551
552
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
niveles predefinidos y especializados de resolucin, contribuyendo a que los incidentes se resuelvan a tiempo.
Hay dos tipos de escalado, escalado funcional (o enviar a otra lnea de soporte) y
escalado jerrquico (comunicar situacin).
Base de datos de incidentes. Repositorio que contiene la informacin de los incidentes ocurridos. Adems suele incluir tambin las peticiones y consultas. Contiene
los registros o fichas de los incidentes registrados, junto a la informacin sobre su
resolucin. Esta base de datos va ligada a la herramienta de gestin del incidente o
de atencin al usuario. Registra la actividad de resolucin de los incidentes y suele
contener una breve explicacin de la resolucin, por lo que contribuye al conocimiento de la organizacin en relacin a estos temas. Es una de las piezas que utiliza
el service desk para la conocer cmo se ha resuelto de incidentes similares. La gestin del problema busca en ella para identificar defectos latentes que se deban resolver. Contiene informacin detallada de los incidentes y su resolucin con la
siguiente informacin:
Incidentes resueltos y cerrados con las soluciones temporales.
Toda la informacin relevante asociada con el incidente
Informacin relativa a la comunicacin con el usuario.
Explicacin de la resolucin con la fecha y hora.
Informacin de todos los grupos intervinientes detallando sus tiempos consumidos.
Etc.
Peticin de cambio (RFC, Request For Change). Medio para proponer un cambio en cualquier componente de la infraestructura de TI o en cualquier aspecto de
un servicio de TI. La gestin del incidente genera las peticiones de cambio que
necesite para la resolucin rpida de los incidentes abiertos.
8. Procesos de resolucin
8.2. Gestin del incidente
553
Entradas
Desencadenantes
del proceso:
Actividades
3 Ciclo de vida del incidente:
Salidas
Salidas principales:
Comunicacin al usuario
con incidente resuelto.
Contactos de los
usuarios.
Autorregistro y
autorresolucin por parte
del usuario.
Eventos de
monitorizacin.
Salidas secundarias:
Peticin de cambios
(RFC).
Entradas de soporte:
CMDB.
BD de incidentes.
BD de problemas
(errores conocidos).
SLA.
Catlogo de servicios.
Asignacin y escalado.
Investigacin y diagnstico.
Reparacin y recuperacin.
Cierre del incidente.
3 Generar peticiones de cambio
para resolucin de incidentes.
3 Comunicar problemas detectados.
Informacin de gestin.
Informacin de la
existencia de un
problema.
Encuestas de
satisfaccin de los
usuarios.
554
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Procesos de resolucin
8.2. Gestin del incidente
555
Fuente: Libros ITIL Soporte de Servicio y Operacin del Servicio publicados por OGC.
En ISO/IEC 20000-1 estn condensados los requisitos para la gestin del incidente. En ella se especifica lo siguiente:
556
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Se deben registrar todos los incidentes.
Se deben adoptar procedimientos para gestionar el impacto de los incidentes.
Los procedimientos deben definir el registro, la priorizacin, el impacto en el negocio, la clasificacin, la actualizacin, el escalado, la resolucin y el cierre formal de
todos los incidentes.
8. Procesos de resolucin
8.2. Gestin del incidente
557
Las tareas que habitualmente se realizan en la deteccin y registro son las siguientes:
Comprobar que la comunicacin del usuario o el ticket abierto automticamente por la monitorizacin corresponde de verdad a un incidente.
Registrar los datos preliminares en la ficha o pantalla de registro de incidentes
(bien por el teleoperador del service desk o directamente por el usuario va web).
Si se trata de un incidente, verificar que no se ha registrado previamente, en
cuyo caso se asocia con el incidente existente. Si no existe, se graba como
incidente nuevo.
Si se trata de una peticin o solicitud de servicio o similar, se graba el registro con los datos requeridos para tramitarla.
En la figura 8.2.7 se muestra un ejemplo de la estructura de la ficha de un incidente, que se ir cumplimentando segn progrese en su ciclo de vida.
Ficha de un incidente
3 Datos de identificacin del usuario que abre
Fecha de resolucin.
Causa final del incidente.
Solucin aplicada.
Descripcin de la resolucin.
3 Datos descriptivos del cierre.
Fuente: Libros ITIL Soporte de Servicio y Operacin del Servicio publicados por OGC, y Telefnica.
558
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Procesos de resolucin
8.2. Gestin del incidente
559
Clasificacin de un incidente
Categora
Hardware
Subcategora
Instalacin/Configuracin.
Rotura.
Factor humano.
Funcionalidad.
Software
Inconsistencia/Corrupcin.
Rendimiento/Bloqueos.
Factor humano.
Causa ajena a TI
Servicios internos.
Defecto de fabricacin hardware.
Bug software.
Red WAN.
Desconocido
560
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En ITIL siempre que es necesario clasificar incidentes, peticiones o cambios se utiliza el mismo esquema, se les asigna un orden de importancia, denominada prioridad y que se asigna en funcin del impacto y de la urgencia (esta actividad se ha
descrito en el apartado 8.1 siguiendo la estructura de las Normas ISO/IEC 20000).
As, la prioridad se establece en funcin del:
Impacto en el negocio. Es la medida de la severidad para el negocio de un
incidente. A menudo se identifica con el grado en que el incidente lleva al
incumplimiento de los niveles de servicio acordados. Tambin el impacto
est relacionado con el nmero de usuarios o sistemas afectados. Los criterios para definir el impacto deben estar definidos en los SLA.
Urgencia. Se refiere a la rapidez requerida para resolver un incidente de un
determinado impacto. Generalmente viene determinada por el tiempo disponible para la resolucin del incidente sin afectar al servicio.
Normalmente se har una distincin entre la clasificacin realizada inicialmente
en el registro del incidente por el service desk, sobre la base de los sntomas, y la
clasificacin final, sobre la base de conocer ya la causa real. El incidente podr
reclasificarse a lo largo de su ciclo de vida.
En el momento del cierre es necesario revisar la clasificacin ya que esta informacin es clave para:
Asociar el incidente con el elemento de configuracin (CI, Configuration
Item) afectado, utilizando para ello la CMDB.
Facilitar la identificacin de los incidentes.
Disponer de estadsticas fiables.
Soporte inicial. Una vez clasificado el incidente, se trata de resolverlo siguiendo
los siguientes pasos en secuencia:
Comparacin del incidente con los incidentes registrados en la base de datos
de incidentes, para ver si existen otros incidentes relacionados con este y, adems, tienen una solucin identificada. Si se encuentra un caso de estos se
salta a la actividad de reparacin y recuperacin para aplicar la solucin.
Comparacin con los errores conocidos (KE, Known Error) y comprobar
si existe una solucin que sirva para resolver el incidente. Si se encuentra, se
pasa a la actividad de reparacin y recuperacin del incidente.
Utilizacin del conocimiento propio para encontrar una solucin al incidente.
8. Procesos de resolucin
8.2. Gestin del incidente
561
Asignacin y escalado
Cuando la primera lnea no puede resolver el incidente, de forma inmediata lo
asigna al grupo tcnico que corresponda en la segunda lnea de soporte (escalado
horizontal). Si adems, el incidente cumple unos requisitos definidos, se informa
inmediatamente a los responsables superiores (escalado vertical).
El escalado tiene el objetivo de resolver el incidente lo antes posible, para no
incumplir los niveles de servicio acordados. Es una actividad que puede ser iterativa y que puede pasar por diferentes grupos de soporte e incluso a suministradores
hasta que se restaure el servicio.
Hay dos tipos de escalado:
Escalado funcional (que equivale a enviar a otra lnea de soporte). Es la
remisin de un incidente a otro grupo de soporte tcnico o funcional para
que se contine trabajando en l cuando es necesario aumentar la especializacin necesaria. Tambin se le conoce como escalado horizontal. Se realiza
generalmente desde los grupos de soporte de la primera lnea a la segunda, o
de la segunda a la tercera. Es importante una buena tipificacin del incidente
para conseguir que ste llegue al grupo de soporte adecuado. Los motivos
para promover un escalado pueden ser:
El grupo que investiga la resolucin del incidente no cuenta con los
conocimientos o experiencia requeridos para resolver el incidente. En
este caso, la peticin partir probablemente del equipo encargado de la
resolucin.
El tiempo disponible para la resolucin del incidente pone en riesgo el
cumplimiento de los niveles de servicio acordados (SLA). En este caso,
el escalado puede ser tambin jerrquico.
Escalado jerrquico (que equivale a comunicar situacin). Es la notificacin o informacin sobre un incidente hacia instancias superiores de mayor
562
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
jerarqua en la organizacin, normalmente con fines de informar o para solicitar una toma de decisin. Los motivos para un escalado jerrquico son:
Comunicacin. El tiempo disponible para la resolucin del incidente pone
en riesgo el cumplimiento de los niveles de servicio acordados (SLA). El
incidente es grave o de alto impacto y las instancias superiores deben estar
informadas. Es necesario informar al cliente de que no pueden cumplirse
los niveles de servicio acordados.
Decisin. Los recursos necesarios son importantes y la direccin y el clientes tienen que estar informados. Es necesario tomar decisiones respecto a
la ampliacin o aplicacin de recursos.
La herramienta de gestin del incidente proporciona los medios para la asignacin del incidente entre los diversos grupos tcnicos de soporte (trouble ticketing). El service desk debe supervisar todo el proceso y controlar mediante alarmas
internas los incidentes que se han quedado atascados en un grupo o que no se
resuelven.
UNE-ISO/IEC 20000-2
Siempre que sea posible, se debera
proporcionar al cliente los medios necesarios para continuar con sus actividades empresariales, aunque sea con un
servicio degradado (por ejemplo inhabilitando una funcin defectuosa). El
motivo es minimizar la repercusin
sobre las actividades empresariales del
8. Procesos de resolucin
8.2. Gestin del incidente
563
564
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Desgraciadamente, en la vida diaria las situaciones no son tan sencillas. Por ejemplo,
un fallo puede hacer que se haya corrompido una base de datos o que unos procesos
batch se hayan quedado a mitad y haya que reanudarlos y terminarlos, posiblemente
borrando datos incompletos y repitindolos desde el principio. Tambin puede suceder que sea necesario recurrir a las copias de seguridad y avisar a clientes de que se han
perdido las ltimas altas o facturas.
Estas situaciones complican a veces extraordinariamente la solucin de un incidente
y generan discusiones sobre si los SLA se estn cumpliendo o no. Por ejemplo, el
servicio se puede recuperar, pero reparar una base de datos corrupta puede llevar
das o semanas Se puede decir que el servicio se ha recuperado hasta que la base
de datos est limpia? Si ha fallado una cadena batch (programada en JCL), se puede
corregir y liberar una nueva versin, pero termina el incidente con esto, o no termina hasta que el trabajo se ha lanzado otra vez y ha finalizado correctamente? El
servicio no se puede restablecer al cien por cien hasta que el trabajo batch haya finalizado, pero es posible que no se pueda lanzar hasta la noche siguiente, aunque el
error en la programacin en el JCL se haya corregido en minutos.
El equipo que solucion el incidente, deber actualizar el registro del incidente
cumplimentando los detalles propios de la resolucin e informacin complementaria, como por ejemplo:
La fecha y hora de la resolucin del incidente.
El equipo que proporcion la solucin.
El detalle de la solucin.
El detalle de los procedimientos y elementos utilizados en la resolucin.
Los incidentes relacionados, si los hubiese.
8. Procesos de resolucin
8.2. Gestin del incidente
565
En los casos graves es recomendable obtener la conformidad del usuario directamente a travs los tcnicos que estn resolviendo el incidente y estn ya en contacto
con l, o bien, o mediante una llamada telefnica del service desk.
UNE-ISO/IEC 20000-2
Un incidente slo debera cerrarse definitivamente cuando el usuario que haya
notificado dicho incidente haya podido
Reabrir el incidente
En caso de disconformidad del usuario con la resolucin del incidente no se podr
cerrar el incidente y volver a la actividad de asignacin, registrando en la informacin del incidente que se ha reabierto.
566
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En el caso habitual del cierre por defecto del incidente es muy importante tener
posibilidad de su reapertura para disponer de informacin estadstica sobre la calidad en la resolucin. Se debe evitar la prctica de generar un nuevo ticket de incidente, en lugar de reabrir el anterior.
En la reapertura, se registra en la base de datos de incidentes la causa de la reapertura y la no conformidad del usuario.
Estados de un incidente
El estado de un incidente es un indicador del progreso realizado en su resolucin.
Marca las diversas etapas por las que puede pasar el ticket de un incidente hasta su
resolucin. El estado permite conocer al instante en que fase del flujo de resolucin
se encuentra. Adems, al marcar la evolucin en etapas, posibilita extraer ciertas
mtricas con el fin de evaluar el desempeo del proceso. En la figura 8.2.9 se muestra un ejemplo de los posibles estados de un incidente.
8. Procesos de resolucin
8.2. Gestin del incidente
567
568
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
Nota 1: El proceso de gestin del incidente puede
ser proporcionado por un servicio de
atencin al cliente, que acte como punto
de contacto diario con los usuarios.
Nota 2: La gestin de incidentes debera ser:
a) un proceso tanto proactivo como reactivo, que responda a los incidentes que
8. Procesos de resolucin
8.2. Gestin del incidente
569
de los escalados jerrquicos se realizan de forma automatizada por la herramienta de gestin del incidente, cuando se cumplen las condiciones fijadas.
Cierre del incidente. Comprobacin con el usuario de que el incidente est
correctamente resuelto. Realiza las encuestas de satisfaccin del usuario.
Como propietario de los incidentes debe realizar un seguimiento de los incidentes y las peticiones abiertos, con independencia del nivel en el que se
encuentren y con el fin de revisar si progresan adecuadamente para tomar las
medidas necesarias en caso contrario.
Si un incidente no progresa, se deber actuar poniendo en marcha las acciones de escalado previstas.
Seguimiento de los incidentes y peticiones abiertos, con independencia del
nivel en el que se encuentren. Controlar los incidentes que pasan por varios
grupos de resolucin, coordinando los escalados horizontales a travs de estos
grupos, con el fin de resolver los conflictos de competencias entre los distintos grupos. Este control tambin servir para detectar mejoras en la relacin
existente entre la tipificacin de los incidentes y los grupos de resolucin.
Hacer un seguimiento especial de los incidentes de prioridad alta.
Mantener informados a los usuarios afectados sobre el progreso de resolucin del incidente.
Gestin de las peticiones de los usuarios.
Reabrir el incidente, si lo reclama el usuario.
La funcin del service desk dentro del proceso de gestin del incidente, lleva a cabo
una labor importantsima. Aparte de centralizar todas las gestiones de seguimiento
del ciclo de vida del incidente, gestiona todas las comunicaciones de TI con el usuario, en ambos sentidos, tanto para atender las llamadas como para emitir comunicados o contactar con el usuario.
Lo recomendable es apoyarse en la herramienta de gestin del incidente para la
comunicacin, que posibilita el acceso de los usuarios para consultar el estado de
sus incidentes y peticiones. Otro medio muy habitual es el correo electrnico y ocasionalmente debera ser el telfono.
UNE-ISO/IEC 20000-1
Se debe mantener informado al cliente del progreso del incidente sobre el que haya
informado o de su solicitud de servicio, y se le debe alertar por adelantado sobre si sus
niveles de servicio no se pueden satisfacer, acordando con l las acciones a tomar.
570
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
Se puede informar sobre incidentes
mediante llamadas telefnicas, buzn
de voz, visitas, cartas, faxes o mensajes de correo electrnico, o bien pueden ser registrados los avisos directamente por los clientes que tengan
acceso al sistema de registro de incidentes, o se pueden registrar autom-
Se debe poner foco en que el service desk, como primera lnea de soporte, resuelva
el mayor nmero de incidentes y peticiones posibles; de esta forma, se reducir
la carga de trabajo de todo el resto de la organizacin de TI. Para ello, es necesario contar con perfiles ms cualificados que los tradicionales teleoperadores y
poner nfasis en una buena documentacin que contenga los procedimientos de
resolucin.
Dado el alto volumen de incidentes que se gestionan, es recomendable disponer
de una herramienta que, mediante reglas, realice el escalado funcional o jerrquico de
los incidentes de forma automtica y enve notificaciones a los gestores del proceso,
que les permitan reaccionar antes de rebasar los plazos del nivel de servicio pactado.
Esto libera a los supervisores del service desk de la ardua tarea de descubrir, en las
colas de trabajo, qu incidentes estn a punto de superar su SLA. El tiempo de
resolucin y las mtricas clave del proceso se mejoran sustancialmente en cuanto
se implanta esta automatizacin.
Los resultados de las encuestas de satisfaccin tambin mejoran cuando, mediante
otra automatizacin, se informa a cada usuario del estado de su incidente y de sus
ajustes, ofreciendo transparencia en la gestin.
Se recomienda que el service desk realice tambin el tratamiento de las quejas o reclamaciones de los usuarios, como instrumento esencial para la mejora del servicio y
la atencin prestada. La recepcin de quejas aporta informacin importante de
mejora y sirve para restaurar la confianza del usuario en el servicio. Las quejas de los
usuarios se deben registrar y valorar. Tambin debe asegurarse de que se tomen
las acciones correctoras adecuadas. Toda queja debe tener una gestin asociada:
registro, seguimiento, informe al usuario y cierre.
En las Normas ISO/IEC 20000 en el nico lugar en el que explcitamente se tratan las reclamaciones y quejas es en el proceso de gestin de las relaciones con el
negocio (vase el captulo 7). En ese proceso no se hace distincin explcita entre
8. Procesos de resolucin
8.2. Gestin del incidente
571
572
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El soporte de tercera lnea se sustenta en una serie de contratos de soporte (denominados underpinning contracts o UC) que cubren la reparacin de los defectos o
atencin muy especializada. Estos contratos se deben suscribir con los fabricantes
(normalmente son contratos de mantenimiento y soporte del hardware y de los
productos software), con las empresas que realizan el desarrollo de aplicaciones
(para el mantenimiento correctivo) y con los suministradores de servicios (de telecomunicaciones, de operacin, etc.). En estos contratos se debe velar porque los
niveles de servicio pactados sean iguales o ms exigentes que los acuerdos de nivel
de servicio (SLA) firmados con los clientes (vase el apartado 7.2).
8. Procesos de resolucin
8.2. Gestin del incidente
573
UNE-ISO/IEC 20000-2
El personal de gestin del incidente
debera tener acceso a una base de
conocimientos actualizada que contenga
informacin sobre tcnicos especialistas,
incidentes anteriores, problemas relacio-
574
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Procesos de resolucin
8.2. Gestin del incidente
575
Incidentes graves
Hay organizaciones de TI que se gestionan en base a crisis, que acaban marcando
el ritmo de trabajo del da a da. No hay nada peor que una crisis para desbaratar la
productividad. Pero las crisis se producirn, por lo que se debe predefinir el comportamiento de la organizacin ante estos incidentes graves. Estas normas tratan el
tema de forma expresa.
576
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Los incidentes graves se deben clasificar y gestionar de acuerdo con un proceso.
UNE-ISO/IEC 20000-2
Se debera definir claramente qu constituye un incidente grave y quin est
capacitado para llevar a cabo cambios
en el funcionamiento habitual del proceso de incidentes/problemas.
Todos los incidentes graves deberan
tener en todo momento un gestor responsable claramente definido.
La designacin como responsable de un
incidente grave debera proporcionar los
niveles de autoridad individual adecuados para la funcin de coordinar y controlar todos los aspectos de la resolucin.
8. Procesos de resolucin
8.2. Gestin del incidente
577
Los incidentes graves, as como, todos los incidentes con un impacto alto, se deben
notificar en tabln de anuncios web de TI, y adems, en la pantalla principal de la
herramienta de incidentes.
El objetivo que se pretende conseguir ante un incidente grave es su resolucin en
un tiempo rcord, minimizando el alto impacto que ocasiona. Tambin es necesario mantener un flujo de comunicacin constante entre las reas tcnicas resolutorias y el comit de crisis, sin descuidar mantener puntualmente informadas a las
reas cliente afectadas.
Normalmente, este tipo de incidentes son de obligada y cuidada documentacin,
de la forma ms extensa y eficaz posible. Requieren un informe especial, aparte del
seguimiento extraordinario y especfico por parte de los gestores de nivel de servicio, y de los gestores de los procesos implicados.
578
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
usuario, como utilizador de los servicios, y el rol del cliente o rea cliente, como
representante del negocio ante TI.
Como es lgico, los servicios que se pueden solicitar deben estar identificados el
catlogo de servicios de TI. Algunos ejemplos de peticiones de servicio son las
siguientes:
Solicitud de alta en un servicio del tipo aplicacin o solicitud de acceso a un
servicio existente.
Peticin de equipamiento. Solicitud de nuevos componentes (hardware o
software) relacionados con el puesto de trabajo.
Peticin de actuaciones en el puesto de trabajo. Configuracin del acceso
remoto UMTS, instalacin de actualizaciones de los controladores de dispositivo, etc.
Peticin de ejecucin de servicios planificados, como por ejemplo, la ejecucin de cadenas batch.
Consultas funcionales o tcnicas, preguntas o dudas del usuario sobre un
tema del mbito de servicios de TI. Las preguntas pueden ser de ndole tcnico o funcional. Para la resolucin de consultas funcionales suele haber un
equipo funcional especfico, bien vinculado al rea de desarrollo, al rea de
relaciones con las unidades de negocio o bien al rea de negocio (en este caso
fuera de TI). En todos los casos, TI debe registrar y tramitar este tipo de
consultas.
Reclamaciones o quejas. El usuario manifiesta su disconformidad con un
servicio prestado.
Las entradas de las peticiones, al igual que los incidentes, se realizan a travs del
service desk, punto nico de contacto para el usuario.
Establecido que TI slo aceptar del usuario peticiones de servicio ya predefinidas
en el catlogo, la primera accin que se realizar es comprobar si la peticin est
entre los servicios que ofrece TI y que el usuario tiene permiso para realizarla.
Como ya hemos comentado, las soluciones de autorregistro y autorresolucin por
parte del usuario son esenciales para reducir la carga del soporte en TI. Automatizar al mximo la provisin, junto a una gestin eficiente y previsora de la capacidad (nmero de licencias) y del stock (componentes) son elementos claves para
reducir los tiempos de entrega y aliviar la carga de trabajo rutinaria en TI. Permitir
al usuario conocer va web la evolucin de su peticin, facilita la comunicacin y
mejora la imagen de TI.
8. Procesos de resolucin
8.2. Gestin del incidente
579
Las peticiones de servicio que llegan al service desk recorren el mismo camino que
los incidentes en las dos primeras etapas (las actividades de deteccin y registro y
clasificacin y soporte inicial), pasando despus a un itinerario propio. Destacar
que algunas peticiones requerirn un itinerario de aprobacin jerrquica y del control presupuestario. En la figura 8.2.10 se muestra el ciclo de vida de una peticin
de servicio, segn la estructura propuesta en ITIL v3.
580
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Procesos de resolucin
8.2. Gestin del incidente
581
582
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Figura 8.2.12. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
La medicin del ciclo de vida de una peticin se centra en ratios de agilidad, de eficiencia y de satisfaccin del usuario. Los ms comunes son el volumen de peticiones
gestionadas, el volumen de peticiones segn su estado, desglose de las peticiones por
tipo (de servicio, consulta, etc.), el tamao de lista de peticiones de servicio pendientes, el plazo medio de provisin por tipo de peticin, las peticiones de servicio terminadas en plazo, el nmero de quejas y reclamaciones, el coste medio de provisin,
la satisfaccin del usuario con la gestin de peticiones de servicio, etc.
En la figura 8.2.13 se muestra el resumen de los indicadores ms relevantes para
este proceso seleccionados en ITIL v3 (en el libro Operacin del Servicio).
8. Procesos de resolucin
8.2. Gestin del incidente
583
Fuente: Libro ITIL Operacin del Servicio publicado por OGC y e.p.
584
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Procesos de resolucin
8.2. Gestin del incidente
585
Las que no puede resolver las escala a la siguiente lnea de soporte (escalado
funcional). Resuelve o escala los incidentes abiertos por las herramientas de
monitorizacin.
Especialista de soporte (lneas 2 y 3). Es el rol responsable de diagnosticar la
incidencia, resolverla, comprobarla, asignarla a otro grupo y documentarla.
Participa en la resolucin in situ de incidentes que no pueden resolverse
desde una ubicacin remota y en el tratamiento personalizado de las incidencias de los usuarios de direccin. Est formado por grupos de especialistas
tcnicos en la gestin de la tecnologa, en la administracin de las aplicaciones y sus datos, o en el desarrollo de software. Incluye a los grupos internos y
al soporte de fabricantes y terceros.
Administracin y soporte al proceso del incidente. Apoya al gestor del incidente en sus responsabilidades. Vela por la implicacin de los equipos ante la
llegada de una incidencia crtica, asegurando que se cumplen los SLA. Coordina los escalados entre grupos en caso de necesidad. Supervisa a los miembros de las diferentes lneas de soporte. Participa en la resolucin de conflictos internos.
Los roles ajenos que son relevantes en este proceso son los siguientes:
El responsable de gestin de la configuracin, pues el acceso a la CMDB es
imprescindible para toda la actividad de la gestin del incidente.
El responsable de problemas facilita soluciones y errores conocidos para la
resolucin de nuevos incidentes.
El responsable de la gestin del servicio vela por que todos los servicios cumplan los niveles pactados.
El responsable de gestin de la entrega. Su proceso debe proporcionar formacin al service desk y a las otras lneas de soporte sobre los nuevos servicios
o evolucin de los existentes.
El responsable de la gestin del cambio debe proporcionar informacin de
todos los cambios en los componentes (CI).
El propietario del modelo de gestin de TI (SGSTI) acta como propietario
del proceso (process owner), define las actividades del proceso y se encarga de
la mejora continua del mismo. Todo ello, de una forma integrada con el
modelo de gestin de TI o SGSTI.
Los roles de mayor relevancia que participan en el proceso de gestin del cambio
se representan en la figura 8.2.14.
586
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Responsable de la
gestin del servicio
SGSTI
Gestor del
incidente
Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)
Gestor de la
configuracin
Gestor del
problema
Especialista de
service desk
Especialista de
lnea 2
(proveedor TI)
Especialista de
lnea 3
(fabricante)
Resumen
ISO/IEC 20000 e ITIL v2 tratan en un mismo proceso los dos ciclos de la gestin
del incidente y la gestin de la peticin del usuario, porque ambos ciclos tiene una
parte comn (el service desk) y con frecuencia se ve involucrado el mismo personal
tcnico en su tratamiento. En cambio, en ITIL v3 se ha decidido separar estos
ciclos en dos procesos diferenciados, pues el primero debe restaurar cuanto antes el
servicio para que el negocio pueda seguir trabajando aportando productividad,
mientras que la gestin de peticiones atiende nuevas necesidades predefinidas al
usuario y otorga agilidad al negocio.
La gestin del incidente es un proceso esencial para apagar los fuegos que se
produzcan en TI y minimizar el impacto en el negocio de los fallos y cadas de los
servicios.
8. Procesos de resolucin
8.2. Gestin del incidente
587
Beneficios
Algunos de los beneficios de alcanzar una correcta gestin el incidente son los
siguientes:
Resolucin ms rpida de los incidentes y reduccin del impacto en el negocio de los fallos. Se produce una mejora de la disponibilidad.
El proceso pone foco en la restauracin del servicio, como eje fundamental.
Mejor alineacin de TI con las necesidades en el da a da del negocio.
Mejor atencin a los usuarios.
Tratamiento eficiente del alto volumen de actividad requerido. Implementacin de herramientas de autoatencin por parte de los usuarios.
Mayor nmero de incidentes resueltos en primera lnea, con lo que se alivia
la carga de trabajo de las lneas de soporte ms especializadas.
Estar preparado ante las crisis.
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
588
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Describa las etapas de la gestin del incidente en su organizacin.
Qu mejorara para que la resolucin de incidentes fuera ms eficiente?
Describa el ciclo de gestin de peticiones en su organizacin.
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
8. Procesos de resolucin
8.3. Gestin del problema
589
590
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
fallos en los elementos de TI y se contribuye a la mejora continua de la infraestructura que soporta los servicios.
Conviene tener claro que este proceso no interviene en la resolucin como tal de
un incidente cuando est abierto. En esta etapa es el proceso de gestin del incidente el nico dueo y seor de la situacin. La gestin del problema se activar
para identificar y eliminar la causa que provoc el incidente, una vez restaurado el
servicio o de forma paralela a su restauracin.
La gestin del problema es uno de los procesos ms sencillos de iniciar y que antes
produce resultados, por tanto debe tenerse en cuenta para proporcionar xitos rpidos (quick-wins).
En su misin de evitar que se produzcan incidentes, el proceso de gestin del problema trabaja los aspectos reactivos y los proactivos. La parte reactiva trata de
resolver los defectos que ya se han identificado, bien sea por el propio proceso, por
la gestin del incidente, por otros procesos (gestin de nivel de servicio, gestin de
la disponibilidad, gestin de la capacidad, etc.) o bien por otras reas (desarrollo,
seguridad, soporte tcnico, ingeniera, arquitectura, etc.). Mientras que el aspecto
proactivo est relacionado con la bsqueda de los defectos latentes, que no han
aparecido todava pero que generarn interrupciones en los servicios.
En la figura 8.3.2 se presenta un esquema introductorio al proceso.
Proceso de gestin
del problema
Qu aporta:
Reduce el nmero de incidentes.
Estabiliza el entorno de produccin.
Definicin:
La misin del proceso es evitar que se
produzcan incidentes repetitivos o
nuevos. Para lo cual, identifica y subsana
los defectos en los componentes de los
servicios.
Objetivo:
Minimizar los efectos negativos sobre
el negocio de interrupciones del
servicio, mediante la identicacin
y el anlisis proactivos de la causa
de los incidentes y la gestin de los
problemas para su cierre.
Realizar el seguimiento de la
resolucin de los problemas
identificados.
Registra el conocimiento tcnico.
8. Procesos de resolucin
8.3. Gestin del problema
591
Los principales beneficios que aporta la gestin del problema son los siguientes:
Reduce el nmero de incidentes y, por tanto, mejora la calidad de los servicios.
Estabiliza los servicios en produccin regular para mantener el transcurrir
normal del negocio.
En su trabajo, encuentra soluciones provisionales y permanentes a los defectos de los servicios.
Asegura la resolucin de defectos graves que afectan al servicio.
Identifica la causa raz de los incidentes, evitando incidentes repetitivos.
Propone proyectos de mejora para resolver los problemas.
Realiza el seguimiento de los problemas identificados.
Incrementa el conocimiento de la organizacin, proporcionando:
La identificacin de tendencias en los datos histricos.
Los medios para prevenir fallos y para reducir el impacto de los fallos en
el negocio.
Los errores conocidos, soluciones provisionales y soluciones permanentes
a la base de datos del conocimiento.
La mejora del ratio de resoluciones de incidentes en el primer contacto o
en la primera lnea de atencin por el service desk.
Para el xito del proceso es necesario desplegar tres disciplinas bsicas: un buen
conocimiento tcnico, una vocacin por la calidad tcnica y el seguimiento de los
temas hasta que los defectos queden completamente eliminados. En la figura 8.3.3
se muestran estas disciplinas esenciales del proceso.
Tarde o temprano, los defectos latentes acaban saliendo a la luz, generando incidentes en los servicios. En este momento aparece la necesidad de disponer de especialistas con un buen conocimiento tcnico para realizar la investigacin a fondo
hasta identificar el defecto y buscar una solucin.
El proceso tambin requiere perseverancia para el seguimiento de todos los temas
hasta su finalizacin, pues con frecuencia, ser necesaria la participacin de muchas
reas tcnicas: unas veces habr que revisar todo un desarrollo, otras los equipos de
comunicaciones, en ocasiones habr que reemplazar un equipamiento o actualizar
al ltimo parche el software base. Por tanto, el proceso debe controlar mltiples actividades de resolucin de los problemas que transcurrirn en paralelo, actuando
592
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Procesos de resolucin
8.3. Gestin del problema
593
Service desk
Gestin incidente
Gestin disponibilidad
Gestin capacidad
Gestin nivel de servicio
reas tcnicas
Seguridad
Desarrollo
Problema
CONTROL DE
PROBLEMAS
Solucin provisional
(workaround)
Causa raz
Error
Ticket de
problema
Solucin
permanente
Error
conocido
(KE)
Solicitud de
cambio (RFC)
CONTROL DE
ERRORES
PREVENCIN
PROACTIVA DE
PROBLEMAS
CMDB
BD incidentes
Base datos
configuracin
Problema
resuelto
PIR
Resolucin
del error
BD de problemas
Fichas de
problemas
Errores
conocidos
Conocimiento
tcnico
594
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
formas de resolverlo, mediante una solucin provisional o una solucin permanente. El error conocido se trata como una unidad de informacin especfica y se
registra mediante una ficha que contiene el conocimiento sobre su resolucin. Los
errores conocidos se registran por el propio proceso de gestin del problema, pero
tambin pueden ser dados de alta por otros actores externos al proceso, generalmente se tratar de otras reas de ndole tcnico, como por ejemplo, infraestructuras, seguridad, desarrollo, etc.
Solucin provisional o workaround. Es la solucin temporal a un error con el fin
de restaurar rpidamente un servicio. Las soluciones provisionales no eliminan o
resuelven la causa raz (vase el apartado 8.1 Antecedentes). Los workaround se
crean en diversos mbitos, por ejemplo, en el proceso de gestin del incidente para
la restauracin del servicio, en el propio proceso de gestin del problema y tambin pueden ser originados por el equipo de desarrollo debido a fallos identificados
en la aplicacin durante las pruebas de certificacin. La gestin del problema
deber tratar de eliminar estos parches en los servicios para implantar soluciones
permanentes.
Solucin permanente. Es el conocimiento de la forma de erradicar definitivamente la causa raz que dio origen al fallo, como por ejemplo, mediante mejoras en
la infraestructura. Las soluciones permanentes son identificadas por el proceso de
gestin del problema, pero las construyen las reas de desarrollo o de infraestructuras, las autoriza la gestin del cambio y las implementa la gestin de la entrega.
Resumiendo toda esta secuencia semntica, importante para conocer el proceso:
un problema latente se manifiesta y provoca incidentes, por lo que pasa a la categora de problema (no se conoce la causa pero se sabe que hay algo que est provocando incidentes). Investigando el problema se encuentra la causa raz que lo origin, por lo que el problema pasa a estado de error. En el momento en el que se le
encuentra una forma de solucionarlo, el error se convierte en un error conocido.
Las soluciones pueden ser provisionales o permanentes.
Ticket de problema. Ficha o registro que contiene los datos asociados a un problema. El soporte del registro no es obligatorio que sea electrnico, aunque es recomendable por su facilidad de utilizacin.
Base de datos de problemas. Repositorio que contiene informacin necesaria
para el proceso de gestin del problema. Est divida en dos partes lgicas: la fichas
de problemas y los registros de errores conocidos.
Conocimiento tcnico. Diversas fuentes de conocimiento tcnico existentes,
como por ejemplo, las generadas por la organizacin de TI, de los fabricantes, etc.
Clasificacin de un problema. Al igual que ocurre con los incidentes y con los
cambios, es necesario clasificar un problema para determinar inicialmente el grupo
8. Procesos de resolucin
8.3. Gestin del problema
595
de resolucin al que asignarlo y el orden de ejecucin. La clasificacin de los problemas sigue los mismos criterios que los utilizados para incidentes: se asigna una
categora (hardware, software, etc.) y una prioridad (en funcin del impacto y de la
urgencia).
La clasificacin del problema puede variar a lo largo de la vida del problema, segn
se vaya avanzando en su conocimiento, desde los indicios iniciales hasta su resolucin. La clasificacin de un problema permitir a otros procesos acceder al conocimiento de los errores conocidos de forma precisa, mientras que la prioridad permitir identificar los problemas a resolver en primer lugar.
596
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Entradas
Desencadenantes
del proceso:
Tickets de problema
desde service desk,
otros procesos y otras
reas.
Fallos y sus
workarounds aplicados.
Actividades
Salidas
REACTIVAS:
Salidas principales:
3 Control de problemas
(buscar la causa raz).
Problemas resueltos.
3 Control de errores
(diseo de la solucin y
resolucin definitiva).
BD de problemas, con
los errores conocidos:
Soluciones provisionales.
Soluciones permanentes.
PROACTIVAS:
3 Revisin de problemas
importantes.
Salidas secundarias:
Errores conocidos
identificados por
otras reas ajenas
al proceso.
3 Prevencin proactiva
de problemas (identificar
posibles problemas).
Notificacin de
resolucin del ticket
de problema
(a incidentes, etc.).
Revisin proactiva de
los elementos del
servicio.
Base de datos de
incidentes.
Informacin de
productos de los
fabricantes.
Entradas de soporte:
Modificaciones en la
CMDB.
BD de incidentes.
Informacin gestin y
costes.
CMDB.
Propuestas de mejora.
Conocimiento tcnico.
Estado del RFC desde
gestin del cambio.
Fuente: e.p., libro ITIL Soporte de Servicio publicado por OGC y Telefnica.
organizacin o de los fabricantes, la situacin de evolucin de las peticiones de cambio emitidas para la erradicacin de los problemas, etc.
Las actividades principales del proceso son las siguientes:
Control de problemas (buscar la causa raz). Se ocupa de la identificacin,
registro, clasificacin y seguimiento de los problemas, llevando a cabo la
investigacin y diagnstico de su causa raz. Al finalizar la etapa, el problema
alcanza el estado de error, es decir, se conoce su causa raz. En la actividad
de investigacin de la causa raz tambin se identifican las diversas vas de
solucin, que servirn de entrada al control de errores. Si se ha descubierto
tambin la forma de resolverlo se alcanza directamente el estado error conocido y se pasa directamente a la etapa de control de errores.
8. Procesos de resolucin
8.3. Gestin del problema
597
598
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ermanentes encontradas a estos incidentes; la actualizacin de la CMDB con informacin sobre los defectos encontrados en los elementos de configuracin y sus soluciones; informacin de gestin del proceso, de sus costes y de las valoraciones
de costes asociados a la investigacin y resolucin de problemas; o las propuestas de
mejora de las infraestructuras o de los procesos, encontradas a lo largo de la actividad del proceso.
La gestin del incidente y la gestin del problema tienen dos objetivos claramente
diferenciados. Mientras el primero debe recuperar el servicio lo antes posible, el
segundo se ocupa de que ese tipo de incidente no se reproduzca.
Tambin en los mtodos de ejecucin actan de forma diferente. Mientras la gestin
del incidente trabaja en una carrera contrarreloj para lograr obtener la recuperacin
del servicio en tiempo rcord; la gestin del problema trabaja, normalmente a medio
plazo, para erradicar la causa raz con independencia del cierre o no del incidente.
La gestin del problema requiere un esfuerzo nada despreciable, tanto econmico,
como de apoyo de la direccin, ya que el equipo de resolucin de problemas, a
menudo experto en la tecnologa afectada, debe liberarse del da a da. As, se necesita el soporte de la direccin para la dedicacin de estos recursos y mantenerlos,
aunque en ocasiones los plazos de resolucin se prolonguen.
Tambin, el proceso debe velar por que el ratio coste (de investigacin y de resolucin) frente al beneficio (por la eliminacin de los incidentes) sea ptimo.
A la hora de iniciar la implementacin del proceso se recomienda poner primero
foco en resolver los problemas que se produzcan en los servicios vitales para el
negocio, para ir extendiendo paulatinamente su cobertura al resto de servicios
menos crticos. En etapas posteriores se incorporarn las actividades proactivas,
para identificar los problemas latentes antes de que generen incidentes.
8. Procesos de resolucin
8.3. Gestin del problema
599
Por otra parte, la eficacia de este proceso slo podr obtenerse, tras disponer de un proceso de gestin del incidente suficientemente maduro, que registre toda la informacin
necesaria (clasificacin, sntomas, resolucin, etc.) para poder actuar a posteriori.
Tambin es conveniente disponer de buenos sistemas de monitorizacin tecnolgica, correlacin de eventos y anlisis de estadsticas.
600
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El ciclo de vida de un problema se estructura en dos etapas o subprocesos: el control de problemas y el control de errores.
Control de problemas
La etapa de control de problemas es la primera que se activa cuando se detecta un
problema, se inicia con la recepcin del ticket del problema y concluye con la identificacin de la causa raz del mismo. El ticket entra en estado de problema y sale en
estado de error.
UNE-ISO/IEC 20000-1
Se deben registrar todos los problemas identificados.
Se deben adoptar procedimientos para identificar, minimizar y evitar el impacto de
los incidentes y de los problemas. Estos procedimientos deben definir el registro, la
clasificacin, la actualizacin, el escalado, la resolucin y el cierre de todos los problemas.
UNE-ISO/IEC 20000-2
Se deberan clasificar los incidentes
para ayudar a determinar las causas de
los problemas. La clasificacin puede
hacer referencia a los problemas y cambios existentes.
Al igual que en los incidentes, todo problema debe estar previamente registrado. Si
este proviene de un incidente, se deben establecer referencias cruzadas entre ambos.
Las actividades comprendidas en la etapa de control de problemas son:
Identificacin y registro de problemas. La identificacin de los problemas proviene
de distintas fuentes de la organizacin de TI, ya sea de forma reactiva o proactiva:
Del service desk y de la gestin de incidentes.
De problemas propuestos a partir del anlisis de eventos de las herramientas
de monitorizacin de la infraestructura desde la gestin de eventos.
De problemas asociados a los servicios detectados en la gestin de nivel de
servicio.
8. Procesos de resolucin
8.3. Gestin del problema
601
Descripcin.
Detalles.
CI implicados. Servicio o aplicacin.
Categora.
Prioridad (impacto+urgencia).
Incidentes asociados.
3 Historial del problema: escalados, participantes,
Esto ayudar a
tener documentado
el problema ms
detalladamente y
dar pistas a posibles
investigaciones para
solucionar otros
problemas.
602
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Una buena clasificacin de los incidentes es esencial para extraer informacin precisa para la identificacin de problemas.
Por otra parte, las soluciones generadas por incidentes se deberan almacenar tambin en la base de datos de problemas, para que el conocimiento se centralice en un
nico punto.
Clasificacin de problemas. Al igual que los incidentes y los cambios, los problemas deben tener tambin asignada una categora y una prioridad (en funcin del
impacto y urgencia) para poder planificar los recursos adecuadamente.
Es importante que la asignacin de una categora a los problemas sea precisa y bien
realizada, para poder asignar el problema a los equipos de soporte adecuados y,
para una vez resuelto, poder acceder con precisin al conocimiento. La clasificacin de un problema se va depurando segn avanza la investigacin sobre el
mismo.
Con relacin a la prioridad, se necesita que se asigne una a cada problema y aunque el volumen de problemas puede ser bajo, el nmero de recursos asignados a la
gestin de los problemas tambin suele ser escaso, por lo que disponer de un orden
de ejecucin resulta nuevamente fundamental. En la definicin del impacto se
estima la criticidad de los servicios que se veran afectados si el problema provocase
un incidente, el nmero de servicios, el volumen de usuarios amenazados, etc. La
urgencia se determina en funcin de la probabilidad de que se puedan producir
incidentes.
Los problemas tienen tambin un estado segn avanzan en su ciclo de vida, para
tener un mayor control del proceso y poder realizar anlisis estadsticos posteriores.
En la figura 8.3.8 se muestra un ejemplo de algunos detalles relevantes del proceso.
Investigacin y diagnstico de problemas. Los problemas se gestionan de forma
centralizada por el proceso, pero en su investigacin y resolucin se asignan a los
especialistas de TI, denominados analistas tcnicos (propietarios de los elementos
de configuracin involucrados en el problema, tcnicos de las reas afectadas,
equipo de desarrollo, responsables del servicio afectado, etc.). En la investigacin,
con frecuencia se necesita tambin la participacin de los fabricantes.
El analista tcnico de problemas asignado realiza la investigacin y diagnstico con
los medios a su alcance para identificar la causa raz del problema. Si a lo largo de
esta actividad surgen conflictos por la necesidad de dedicacin de recursos, se lo
comunicar al responsable del proceso, de modo que ste pueda tomar las acciones
correctoras necesarias.
Tradicionalmente en este punto de la investigacin se describen varias tcnicas
genricas que ayudan al anlisis en las tareas de investigacin y diagnstico.
8. Procesos de resolucin
8.3. Gestin del problema
603
Estados de un problema
Nuevo
Subclase
Hardware
Instalacin
Configuracin
Clasificado
Factor humano
Asignado
Funcionalidad
Software
En diagnstico
Inconsistencia
Rendimiento
Error
Bloqueo
Error conocido
Desconocido
En resolucin
Solucionado
Cerrado
Prioridad de un problema
PRIORIDAD
URGENCIA
Alta
IMPACTO
Alto
Medio
Se
rvi
Pro
bab
cio
Media
Baja
ilid
sv
ad
ita
les
de
, vo
Bajo
lum
pro
en
duc
ir i
de
nci
usu
ari
den
tes
os,
etc
604
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Control de errores
El control de errores se encarga de subsanar los errores y eliminar las causas races
que los provocan. Realiza el seguimiento de todos los errores conocidos, desde su
identificacin hasta su resolucin.
UNE-ISO/IEC 20000-2
Cuando la investigacin de la gestin
del problema haya identificado la causa
del origen de un incidente y un mtodo
8. Procesos de resolucin
8.3. Gestin del problema
605
Las Normas ISO/IEC 20000 ponen foco en la responsabilidad de gestin del problema como generador y difusor del conocimiento sobre los errores conocidos. Los
errores conocidos se almacenan en una base de datos, tpicamente como un subconjunto integrado en la base de datos de gestin del problema, y se ponen a disposicin de otros procesos en modo de slo lectura. Por otra parte, la gestin del
incidente mantiene la base de datos de incidentes en la que se registra todo lo que
se analiza e identifica en la resolucin del incidente. Por tanto, las bases de datos de
problemas y de incidentes son complementarias.
Adems, los instrumentos, ms utilizados en la resolucin de incidentes son el
rbol de tipologas de incidentes, la base de datos de incidentes, con la resolucin
de incidentes similares, y la base de datos de problemas, en su vista de los errores
conocidos.
Por ello, la coordinacin aqu es muy importante ya que se debe aportar coherencia
y consistencia a las clasificaciones de cada elemento. Muchas veces, aparecen rboles de tipologas (propiedad del proceso de incidentes), que simulan la lista de errores conocidos (propiedad de gestin del problema), que se solapan y confunden al
tcnico de soporte de primer nivel.
Identificacin y registro de errores. En el proceso los errores se tratan como una
estructura de informacin especfica, por ello, la primera actividad de la etapa de
control de errores es la identificacin y el registro de los mismos.
Valoracin de errores. En esta actividad se realiza una evaluacin de los recursos y
plazos necesarios para las alternativas de solucin. En la evaluacin se contrasta el
606
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Se deben remitir al proceso de gestin del cambio los cambios necesarios para
corregir la causa subyacente de problemas.
UNE-ISO/IEC 20000-2
Cuando la causa raz se haya identificado y se haya tomado una decisin
para resolver el error, la resolucin se
8. Procesos de resolucin
8.3. Gestin del problema
607
UNE-ISO/IEC 20000-2
El procedimiento de cierre del registro
debera incluir comprobaciones para
garantizar que:
a) los detalles de la resolucin se
hayan registrado con precisin;
b) la causa est categorizada para
facilitar el anlisis;
608
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Comunicacin y conocimiento
Las Normas ISO/IEC 20000 recomiendan que se comunique a las partes interesadas las soluciones provisionales, permanentes y el progreso de la resolucin del problema. Pero la faceta de comunicacin del proceso va ms all, proporcionando una
base de conocimiento de errores conocidos muy importante a la organizacin en
general y especialmente a la gestin del incidente. Adems, presenta informes a la
direccin y a otros procesos sobre la evolucin de su actividad, y especialmente al
centro de servicio al usuario.
UNE-ISO/IEC 20000-1
Para que resulte eficaz la resolucin de problemas, se debe supervisar, revisar y elaborar informes sobre ella.
8. Procesos de resolucin
8.3. Gestin del problema
609
El equipo de gestin del problema debe ser responsable de garantizar que est disponible, para la gestin de incidentes, la informacin actualizada sobre errores
conocidos y problemas corregidos.
UNE-ISO/IEC 20000-2
La informacin sobre soluciones provisionales, arreglos permanentes o el progreso de los problemas se debera
Es una buena prctica poner a disposicin libre de todo el personal tcnico todas las
soluciones de errores, tendencias, previsiones y el resto de conocimiento que desde
gestin del problema se genere. Y tambin lo es, aprovechar el feedback que, ante
dicho conocimiento, propongan los colaboradores de los equipos de soporte tcnico.
c) la distribucin de informacin en
cascada a los clientes y colegas
para que puedan llevar a cabo las
acciones adecuadas para minimizar la repercusin del problema no
resuelto;
d) la definicin de los puntos de escalado;
e) el registro de los recursos empleados y de las acciones realizadas.
610
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Durante el ciclo de vida del problema, se debe registrar informacin para poder
realizar el seguimiento y escalado. A veces no es sencillo descubrir al inicio del
registro del problema todos los actores que van a acabar trabajando en l. Por esto
se debe alimentar constantemente el registro del caso, con todos los implicados y
sus aportaciones. Como en un anlisis forense, cualquier prueba que sea subestimada en una parte del proceso puede ser vital para el esclarecimiento del caso. En
un problema pasa lo mismo; todos los elementos son vitales para la determinacin
de la causa raz.
UNE-ISO/IEC 20000-1
Las acciones de mejora identificadas durante este proceso se deben registrar e
incluir en el plan de mejora del servicio.
UNE-ISO/IEC 20000-2
Se deberan realizar revisiones de los problemas siempre que, la investigacin para
esclarecer los problemas no resueltos, no
habituales o de gran repercusin, las justifique. La finalidad de estas revisiones es
encontrar mejoras para el proceso y evitar
la repeticin de incidentes o errores.
Las revisiones de problemas son normalmente:
a) revisiones de los niveles de incidentes individuales y del estado
En ISO/IEC 20000-2 se detallan los temas que se deben tratar en las revisiones de
los problemas importantes.
8. Procesos de resolucin
8.3. Gestin del problema
611
UNE-ISO/IEC 20000-2
Las revisiones deberan incluir informacin de:
a) tendencias, por ejemplo, problemas e incidentes recurrentes, errores conocidos, etc.;
b) problemas recurrentes de una
determinada clasificacin de
componente o de ubicacin;
c) deficiencias causadas por la subcontratacin, la formacin o la
documentacin;
d) no conformidades, por ejemplo,
conforme a normas, polticas y
leyes;
e) errores conocidos en las entregas
planificadas;
Todas las acciones de mejora identificadas a lo largo del proceso de gestin del problema, tanto tcnicas (causas raz detectadas) como organizacionales, constituye
informacin importante para aportar al plan de mejora del servicio (SIP, vase el
apartado 6.1) o al plan de mejora unificado de los procesos y de los servicios (vase
el captulo 4).
UNE-ISO/IEC 20000-1
Se deben llevar a cabo acciones preventivas para reducir los problemas potenciales,
por ejemplo las derivadas de anlisis de tendencias de volmenes y tipos de incidentes.
612
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En ISO/IEC 20000-2 se establece un alcance bastante amplio para la gestin proactiva, que comprende desde la prevencin de problemas individuales, pasando por
la toma de decisiones estratgicas de cambio, hasta las acciones de formacin a los
usuarios y clientes sobre el uso de los servicios.
UNE-ISO/IEC 20000-2
La gestin proactiva de problemas
debera conducir a una reduccin de los
incidentes y de los problemas. Debera
incluir referencias a la informacin que
resulte de ayuda para el anlisis como,
por ejemplo:
a) activos y configuracin;
b) gestin del cambio;
c) un error conocido y divulgado,
informacin sobre las soluciones
provisionales de los proveedores;
d) informacin histrica sobre problemas similares.
La prevencin de problemas debera
abarcar desde la prevencin de inci-
dentes individuales, tales como las dificultades reiteradas para utilizar una
determinada funcin de un sistema,
hasta las decisiones estratgicas. Es
probable que estas ltimas requieran
un gasto de implementacin considerable, por ejemplo, la inversin en una
red mejor; a este nivel, la gestin del
problema proactiva se funde con la
gestin de la disponibilidad.
La prevencin de problemas tambin
incluye el suministro de informacin a
los clientes para evitar que tengan que
pedir ayuda en el futuro, por ejemplo,
para prevenir incidentes causados por
la falta de conocimiento o la falta de
formacin del usuario.
En ITIL se establece que las actividades principales de los procesos de gestin proactiva de problemas son el anlisis de tendencias y la identificacin de acciones preventivas.
Anlisis de tendencias. El objetivo es identificar componentes frgiles en la
infraestructura de TI e investigar las razones de esta fragilidad. As, los informes
sobre el anlisis de incidentes y problemas proporcionan informacin sobre medidas proactivas. El anlisis de tendencias puede llevar a la identificacin de defectos
en la infraestructura de TI y tambin puede llevar a identificar reas que necesitarn ms atencin del rea de soporte.
Identificacin de acciones preventivas. Como consecuencia de la actividad anterior se identifican acciones preventivas que de deben implementar e integrar en el
plan de mejora del servicio (SIP) o en el plan de mejora unificado de los procesos y
de los servicios. Debera ser posible establecer comparaciones significativas expresndolas en trminos de costes financieros para la organizacin.
8. Procesos de resolucin
8.3. Gestin del problema
613
614
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los resultados esperados por una buena gestin del problema se pueden apreciar a
travs de:
La reduccin de la cantidad de incidentes, al eliminar la causa raz que los
provoca y, por tanto, evitar su recurrencia.
La reduccin de tiempo para la reparacin de un incidente (MTTR), debido
a la base de conocimiento que se va generando, junto con un incremento de
la tasa de resolucin de incidentes en primer nivel.
La reduccin de los tiempos necesarios para la resolucin de los problemas.
La disminucin de los costes asociados a la resolucin.
En el grfico de la figura 8.3.9 se muestra el resumen de los indicadores ms relevantes para este proceso seleccionados por un grupo de trabajo de itSMF Espaa. En l
se aprecia que la gestin del problema es un proceso interno de TI, con poca visibilidad directa por parte del negocio. Por ello, no tiene presente ningn KGI de TI.
Figura 8.3.9. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
8. Procesos de resolucin
8.3. Gestin del problema
615
tengan que intervenir primero para restaurar el servicio y posteriormente para eliminar la causa raz, participando as en los dos procesos asumiendo diferentes roles.
Esta situacin puede implicar un conflicto de intereses entre la dedicacin a la restauracin del servicio y la dedicacin a la eliminacin de los defectos. Se debe diferenciar claramente entre la actuacin del personal tcnico bajo la resolucin de problemas y en caso de incidentes.
Los participantes en este proceso deben tener una cualificacin tcnica muy alta,
involucrando a los especialistas, internos o externos, que se necesiten.
Como en el resto de los procesos, los roles que intervienen en el proceso se estructuran en los roles propios del proceso y los roles ajenos al proceso (el gestor del
nivel de servicio).
Los roles propios del proceso son los siguientes:
El gestor de problemas (gestor del proceso o process manager). Es el responsable de la operacin diaria del proceso de gestin de problemas, velando
por la implicacin de los equipos ante la definicin de un problema, asegurando que se cumplen los SLA, y coordinando los escalados entre grupos en
caso de necesidad.
Lder de equipo de gestin del problema. Es el responsable de liderar de
forma eficaz y eficiente al equipo de trabajo encargado de la resolucin
de un problema
Analista tcnico de problemas. Es el rol encargado de llevar a cabo la investigacin, diagnstico y resolucin de problemas. En este rol participan los tcnicos especialistas de todo tipo, de desarrollo, tcnico de sistemas, del hardware, etc., que participan en las actividades de investigacin y diagnstico
del problema y en la resolucin de errores.
Los roles ajenos que son relevantes en este proceso son los siguientes:
El responsable del centro de servicio al usuario, por la estrecha relacin entre
el soporte en la primera lnea de incidentes y la gestin del problema.
El responsable de desarrollo y el responsable de infraestructuras o de tecnologa, pues deben proveer tcnicos especialistas en las disciplinas que se necesiten para identificar y resolver los problemas.
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define las actividades del proceso y se encarga de la mejora
616
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
continua del mismo. Todo ello, de una forma integrada con el modelo de
gestin del proveedor de TI incorporado en el SGSTI.
Los roles de mayor relevancia que participan en el proceso de gestin del problema
se representan en el grfico de la figura 8.3.10.
Responsable de la
gestin del servicio
SGSTI
Gestor de
problemas
Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)
Gestor del
service desk
Lder de equipo
de gestin del problema
Analista tcnico
de problemas
Resumen
La misin del proceso de gestin del problema es evitar que se produzcan incidentes repetitivos o nuevos. Este proceso es uno de los ms eficaces y que mejores
resultados proporciona, pues va buscando y subsanando defectos en los servicios
para hacerlos ms estables.
8. Procesos de resolucin
8.3. Gestin del problema
617
Beneficios
Entre las ventajas de adoptar un enfoque formal de gestin del problema se incluyen las siguientes:
Mejora de la calidad de los servicios de TI. La gestin del problema ayuda a
generar un ciclo en el que la calidad de los servicios de TI se incrementa rpidamente.
Reduccin del volumen de incidentes. La gestin del problema contribuye a
reducir el nmero de incidentes que interrumpen el curso normal del negocio.
Aporte de soluciones permanentes. Se produce una reduccin gradual del
nmero e impacto de problemas y errores, ya que las soluciones son permanentes y no parches provisionales.
Incremento del conocimiento de la organizacin. El proceso de gestin del
problema genera la base de errores conocidos que permite reutilizar las experiencias previas.
Mejora del ratio de resoluciones en la primera lnea de soporte. El conocimiento generado sobre la resolucin de errores permite resolver mayor
nmero de incidentes en la primera lnea.
618
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Describa un problema relevante que haya ocurrido en su organizacin, y
sobre l:
Realice un esquema Ishikawa (raspa de pez) con los errores ms frecuentes para un servicio crtico, agrupados segn esta metodologa de
anlisis de causa-raz.
En el caso, describa qu se hizo mal, qu se hizo bien y que cambiara en su organizacin.
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
9
CMDB
Captulo 9
Procesos
de control
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
9. Procesos de control
621
Tener todo bajo control es el primer deseo de los responsables de TI. Los sistemas de informacin, cada vez ms importantes para la empresa, deben evolucionar de una forma controlada. La industria ha consensuado dos procesos cuyo
nfasis se centra en este deseado control de TI y de sus servicios: el proceso de la
gestin de la configuracin y el proceso de la gestin del cambio. El primero controla la informacin sobre los elementos considerados clave para la gestin de los
servicios de TI, y el segundo, que no se cambie nada sin seguir las reglas preestablecidas.
Se puede considerar que la gestin de la configuracin supone para TI lo que la
imprenta para la Humanidad: una forma industrializada de tratamiento con rigor
del conocimiento comn. Efectivamente, los servicios de TI cada vez ms crticos no se pueden gestionar mediante acciones voluntaristas de algunos profesionales de TI, la informacin y el conocimiento de TI debe ser tratado con rigor
bajo una estricta poltica definida en la empresa. Slo de esta forma se podr
garantizar que las decisiones se toman con la informacin precisa y fidedigna.
Al avanzar en el presente captulo se apreciar cmo el proceso de gestin de la
configuracin articula las polticas y mecanismos que hacen posible que la informacin que se necesite para la gestin de TI est disponible y con la calidad y fiabilidad deseadas.
Por otra parte, el mayor porcentaje de incidentes y fallos en los servicios de TI provienen de errores o defectos introducidos al cambiar. Pero los cambios son necesarios para mantener los servicios alineados con la evolucin del negocio y de la tecnologa.
El proceso de la gestin del cambio introduce una serie de mejores prcticas que
ayudan a que la necesaria actividad de realizar modificaciones se realice de la forma
ms segura y controlada posible.
Las prcticas ms importantes que se aprendern es este captulo son las siguientes:
Cmo disear y gestionar la base de datos de la gestin de la configuracin.
Cmo articular la informacin comn para que sea til.
Los dos roles para garantizar el control: el gestor de la configuracin y el
gestor del cambio.
Cmo pone orden un simple formulario, la peticin de cambio.
A definir y articular el comit de control de cambios, que posibilita la
coordinacin de todos los recursos humanos que estn involucrados en un
cambio.
622
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
623
624
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
625
Proceso de gestin de la
configuracin
Qu aporta:
Definicin:
626
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMDB
9. Procesos de control
627
Documentacin
SLAs
Gestor de la
configuracin
CI CI CI CI
CI
CI
CI
CI
CI CI CI CI CI
CMDB
DSL
SW
Elementos de configuracin
(CI)
Lnea base
(baseline)
Biblioteca de
software definitivo
HW
6.3 Gestin de la
continuidad y
disponibilidad
del servicio
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
Los componentes principales que se emplean en el proceso de gestin de la configuracin son los siguientes:
Base de datos de la gestin de la configuracin (CMDB, Configuration Management Data Base). Es el repositorio que alberga los registros sobre los elementos
de configuracin que se hayan decidido incluir. Contiene los detalles relevantes de
cada elemento de configuracin o CI (atributos e historial), as como detalles
de las relaciones importantes entre ellos.
Esta base de datos debe incluir nicamente la informacin comn a los procesos
que se haya planificado compartir. No hay que confundirla con la informacin o
base de datos que cada proceso y cada rea de TI deben disponer y controlar, que
retendrn la informacin que se necesite para cada actividad. De esta forma, la
gestin del incidente dispondr de una base de datos de los incidentes ocurridos
con las indicaciones para resolverlos, de igual manera que ocurre con el resto de
628
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
los procesos. De toda esta informacin gestionada por los procesos y reas, slo se
alojar en la CMDB la que se haya decidido que compartirla aporta valor. No obstante, es necesaria una buena integracin entre las herramientas, de tal forma que
desde la CMDB se pueda consultar los registros asociados a un CI que existan en las
herramientas de soporte especfico de otros procesos (incidente, capacidad, etc.).
La CMDB est formada por:
Fichas con la informacin detallada de cada elemento de configuracin, pero
no suele albergar el elemento de configuracin en s mismo. Slo en los
casos en que los elementos de configuracin son documentos electrnicos
(SLA, contratos, etc.), se podrn incluir el CI de forma completa en la CMDB.
Los archivos fuentes y los ejecutables de los programas no se suelen incluir
en la CMDB.
Relaciones entre los diferentes elementos de configuracin.
Biblioteca de software definitivo (DSL, Definive Software Library). Es un repositorio, archivo fsico o electrnico, que aloja todos los archivos fuentes y ejecutables de los productos y programas que utilizan los servicios. La DSL contiene los
archivos completos correspondientes a todo CI de software, con un histrico de sus
versiones. Toda versin del CI recogida en la CMDB debe tener sus ficheros originales en la DSL, para poder reinstalar el CI software cuando sea necesario.
Hay que destacar que en ITIL v2 la gestin de la DSL se encarga al proceso de
gestin de la entrega. En ISO/IEC 20000, el control de la DSL lo ejercita el proceso de gestin de la configuracin; situacin que parece ms razonable y acorde
con las funciones requeridas de bibliotecario. En ITIL v3, la DSL se denomina
DML (biblioteca de medios definitivos) y est gestionada por el proceso de gestin de la configuracin y activos del servicio.
En cualquier caso, la actualizacin de la DSL con las ltimas versiones del software
instalado parece razonable que lo realice la gestin de la entrega, con la supervisin
de la gestin de la configuracin.
Por tanto, la CMDB contiene las fichas que identifican y catalogan los elementos
software, mientras que la DSL contiene los archivos que contienen el software y sus
versiones.
Luego, tanto en la planificacin de la gestin de la configuracin como en sus actividades posteriores habr que considerar el diseo, implementacin y control de la DSL.
Elemento de configuracin (CI, Configuration Item). Un CI es todo componente fsico o lgico de tecnologa de la informacin necesario para la prestacin
del servicio. Como ejemplo se citan los siguientes:
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
629
630
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La lnea base recoge informacin de la CMDB sobre el estado en un instante determinado de la configuracin de un CI o de un conjunto de CI, es decir, las fichas de
los CI. Como la lnea base contiene slo la informacin del estado de los CI, para
la recuperacin completa se necesitarn tambin las copias de seguridad realizadas,
los archivos fuentes y ejecutables, la parametrizacin realizada, etc. (contenidas en
la DSL).
Relaciones entre los elementos de configuracin. Un CI no est aislado. Necesita e interacta con otros elementos para componer el servicio final que presta TI.
Por ello, es importante definir, cargar y controlar en la CMDB las relaciones entre
los elementos de configuracin. Las relaciones aportan un valor excepcional a la
informacin sobre la configuracin.
Las relaciones entre dos CI pueden ser de diversos tipos. A continuacin se muestran ejemplos de ellas:
Usa. Un CI del tipo empleado utiliza al otro CI del tipo PC.
Parte de (hijo). Un componente de red es parte de una red.
Formado por (padre). Una red est formada por componentes de comunicaciones.
Conectado a. Un CI de almacenamiento est conectado a un CI servidor.
Instalado en. Un CI software est instalado en un CI servidor.
Localizado en. Un CI est ubicado en otro CI del tipo localizacin.
Las relaciones nos permiten obtener todos los CI que participan en un servicio
determinado.
Con las relaciones se construyen estructuras de configuracin o esquemas de relacin, que tienen por eje central el CI que interese conocer en un momento determinado. Forman, por tanto, el rbol en el que se estructuran las categoras de los
elementos de configuracin. As, los esquemas de relacin ms habituales son
los siguientes:
Esquema de relacin de un servicio, que muestra todos los componentes que
participan en ese servicio.
Esquema de relacin de un servidor, para conocer todo lo instalado en l y
en que servicios est soportando.
Esquema de relacin de red, muestra los componentes de una red.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
631
Entradas
Actividades
Desencadenantes
del proceso:
3 Planificacin e implementacin de
la gestin de la configuracin.
Detalles para
actualizar la CMDB.
3 Identificacin de configuracin
(estructurar).
Resultados
herramientas
autodescubrimiento.
Cargas de datos.
Cambios.
Ficheros para actualizar
la DSL.
Fuentes y ejecutables
de programa.
Software del
fabricante.
3 Control de configuracin
(registrar y actualizar).
3 Seguimiento del estado de
la configuracin e informes
(informar).
3 Verificacin y auditora
de la configuracin.
3 Supervisin y mejora del
proceso.
Tanto de la CMDB como de la DSL.
Salidas
Salida principal:
Plan de gestin de la
configuracin.
CMDB creada, cargada
y actualizada.
DSL creada, cargada y
actualizada.
Informacin de detalles
del estado de la
configuracin (CI).
Salidas secundarias:
Inconsistencias.
Informacin del proceso.
Plan de mejora del
proceso.
632
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMDB
9. Procesos de control
633
Identificacin de
la configuracin
(estructura, alcance y detalle)
Control de configuracin
(registrar y actualizar)
Modificaciones
a los CI
Planificacin e implementacin
de la gestin de la
configuracin
Otros procesos
5. Planificacin e implementacin de nuevos servicios o de servicios modificados
CI CI CI CI
CI
CI
CI
CI
CI CI CI CI CI
CMDB
Verificacin y
auditora de la
configuracin
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
9. Procesos de control
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
DSL
PDCA
SGSTI
Supervisin y
mejora del proceso
Fuente: HP y e.p.
alcance y nivel de detalle establecidos. Se actualiza con los cambios producidos sobre los elementos de configuracin.
DSL creada, cargada (inicial) y actualizada (a travs de gestin de la
entrega).
Informacin detalles del estado de la configuracin. Informacin sobre
el estado y detalles de la configuracin almacenados en la CMDB y DSL
que es requerida por otros procesos o reas de la organizacin de TI para el
desarrollo de su actividad.
634
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
implementacin de la gestin del servicio (vase el captulo 4). El equipo de implementacin de la gestin del servicio tambin asumir la implementacin de este proceso, teniendo en cuenta lo que dictan estas normas y las caractersticas propias de la
organizacin de TI.
En el apartado 9.1 de estas normas se establecen los requerimientos y recomendaciones que se deben cumplir en la planificacin e implementacin de la gestin de
la configuracin. As, se establece que la planificacin del proceso debe definir el
propsito, objetivos, alcance, estrategia, polticas y procedimientos, as como,
la organizacin e infraestructura tecnolgica necesaria para la implantacin del
proceso.
La implantacin de este proceso es ardua y muchas veces desemboca en el fracaso,
principalmente porque se suele ser muy ambicioso en los objetivos iniciales de
informacin a albergar en la CMDB y despus de un tremendo esfuerzo en la carga
inicial, no es fcil mantener los datos actualizados. Por ello, se suele recomendar
que se inicie con unos objetivos muy acotados; empezar poco a poco, con una
estructura liviana de CMDB para ir creciendo segn vaya madurando la implantacin de la monitorizacin y el descubrimiento automtico de la infraestructura, que
permitir actualizar automticamente los cambios en los elementos de configuracin (CI).
ISO/IEC 20000-1 pone ms nfasis en el control de los activos, requiriendo un
vnculo claro con la contabilidad financiera, el control de los activos de software (en la
DSL) y sentando las bases de la CMDB.
UNE-ISO/IEC 20000-1
Debe existir una visin integrada para la planificacin de la gestin del cambio y de
la configuracin.
El proveedor del servicio debe definir la interfaz con los procesos de contabilidad
financiera de activos.
Nota: La contabilidad financiera de los activos queda fuera del mbito de esta seccin.
Debe existir una poltica que defina qu se considera como elemento de configuracin y qu componentes lo constituyen.
Deben estar controladas, en una biblioteca fsica o electrnica segura, las copias
maestras de los elementos de configuracin digitales, con referencias a los registros
de configuracin, por ejemplo software, productos de prueba, documentos de
soporte.
Todos los elementos de configuracin deben ser identificables de manera nica y
registrados en la base de datos de gestin de la configuracin, cuyo acceso para
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
635
636
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Adems de lo indicado en la segunda parte de estas normas, es conveniente considerar los siguientes aspectos:
Designar un responsable: una descentralizacin excesiva puede generar
descoordinacin y llevar al fracaso todo el proceso.
Invertir en una herramienta de software adecuada para la CMDB y DSL.
En grandes organizaciones es esencial y suele ser uno de los primeros proyectos que se inician en la gestin del servicio, ya que una solucin amanuense es impracticable. Aunque en el caso de pequeas instalaciones y,
sobre todo si el volumen de CI que se van a gestionar es pequeo, podra
considerarse el uso de una simple herramienta ofimtica.
Realizar un cuidadoso anlisis de los recursos ya existentes: gestin de
activos, autodescubrimiento, etc.
Establecer claramente un alcance y objetivos modestos inicialmente, definiendo el nivel de detalle adecuado en los CI. Una falta de planificacin, as
como un alcance y grado de detalle demasiado ambicioso en una fase temprana de la implementacin del proceso, conducir con total certeza a una
gestin de la configuracin con informacin desactualizada, con las graves
consecuencias que esto supondr para el resto de los procesos.
Coordinar las actualizaciones estrechamente con la gestin del cambio, la
gestin de la entrega y los departamentos de compras o suministros.
Uno de los aspectos importantes a la hora de garantizar el xito de la actividad de planificacin es la determinacin de los procedimientos, las estructuras organizativas y el
contexto tcnico para la generacin y mantenimiento de la CMDB. La importancia
es mayor si se tiene en cuenta que muchas veces se piensa que para alimentar una base
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
637
Propsito.
Objetivo.
Alcance.
Polticas y procedimientos.
Estrategia de implantacin.
Planificacin de actividades:
Diseo de la CMDB.
Diseo de la DSL.
Organizacin.
Herramientas de soporte.
Las principales dificultades con las que se encuentra la implementacin de la gestin de la configuracin son las siguientes:
Un diseo terico no realista: no involucrar a los equipos adecuados a la
hora de definir los campos y de registrar el contenido de la CMDB, puede
llevar a tener una CMDB intil.
638
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Una incorrecta planificacin: es esencial programar correctamente las actividades necesarias en la identificacin de la configuracin para evitar duplicaciones o incorrecciones.
Una estructura muy pesada de la CMDB: mantener actualizada una base de
datos de la configuracin excesivamente detallada y compleja puede ser una
tarea muy engorrosa y que consuma demasiados recursos.
Herramientas inadecuadas: es necesario disponer del software adecuado para
agilizar los procesos de registro y sacar el mximo provecho de la CMDB y
la DSL.
Falta de coordinacin con la gestin de cambios y de la entrega que imposibilita el mantenimiento actualizado de la CMDB y la DSL.
Falta de organizacin: es importante que haya una correcta asignacin de
recursos y responsabilidades. Es preferible que la gestin de la configuracin
se lleve a cabo por personal independiente y especializado.
Falta de compromiso: los beneficios de la gestin de la configuracin no son
inmediatos y son casi siempre indirectos, lo que puede provocar el desinters
de la direccin de la empresa y consecuentemente de los implicados.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
639
UNE-ISO/IEC 20000-2
Todos los elementos de configuracin
deberan estar identificados de manera
unvoca y estar definidos por atributos
que describan sus caractersticas funcionales y fsicas. La informacin debera
ser relevante y auditable.
En la base de datos de la configuracin
se deberan utilizar y registrar los marcados apropiados u otros mtodos de
identificacin.
Los elementos a ser gestionados se deberan identificar usando los criterios de
seleccin establecidos y deberan incluir:
a) todas las distribuciones y entregas
de los sistemas de informacin y del
software (incluyendo software de
terceras partes) y la documentacin
relativa de los sistemas, por ejemplo, las especificaciones de requisitos, diseos, informes de prueba,
documentacin de la entrega;
b) las lneas de referencia de la configuracin o las premisas de construccin para cada entorno,
mdulo hardware normalizado y
versin;
c) copia fsica maestra y bibliotecas
electrnicas, por ejemplo: la biblioteca definitiva de software;
d) las herramientas o paquetes usados para la gestin de la configuracin;
e) licencias;
f) componentes de seguridad, por
ejemplo: cortafuegos;
640
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Nombre.
Estado.
Categora.
Bloqueo.
Descripcin.
Propietario (responsable).
Administrador.
Proveedor.
Marca del producto.
Comentarios.
nico.
Entorno.
Segn el tipo
de CI (servidor,
red, servicio,
persona, etc.)
se necesitar
informacin
especfica.
N. mximo de instalaciones.
Situacin en la que se
encuentra el elemento en
el ciclo de vida estipulado.
Indica que el CI no debe
ser usado.
Nombre de la persona/grupo
de trabajo responsable de
la administracin del CI.
Informacin puntual o
importante de recoger
relacionada con el CI.
Identificador de elemento
nico.
Nombre del entorno
donde se encuentra el CI:
desarrollo, integracin,
produccin
N. de veces mximo que
puede existir un elemento
no nico. Slo se aplica
a elementos no nicos.
(Instancias, licencias, )
......
......
......
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
641
CI tipo servidor
Campos comunes en la ficha de un CI:
... (vase la figura anterior).
Fuente: Telefnica.
En relacin a la nomenclatura identificativa de los CI, se deben predefinir los cdigos de clasificacin para que el sistema sea operativo. Las recomendaciones existentes convergen en que:
El identificador sea constante, que no vare a lo largo de la vida del elemento
(desde su registro, a su enajenacin).
642
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
643
Es esencial incluir, al menos, todos los sistemas de hardware y software implicados en los servicios crticos.
Se debe determinar qu CI deben incluirse, dependiendo del estado de su ciclo
de vida. Por ejemplo, pueden obviarse componentes que ya han sido retirados.
Es recomendable incorporar, al menos, la documentacin asociada a la
estructura organizativa, los proyectos, los SLA, los contratos con suministradores (UC) y las licencias.
Profundidad y nivel de detalle. Una vez determinado el alcance es necesario establecer la profundidad (tipos de CI que se deben contemplar dentro de una categora) y el nivel de detalle de la informacin asociada a un tipo de CI, como:
Los atributos que describen a un determinado CI.
Tipo de relaciones lgicas y fsicas registradas entre los diferentes CI.
Subcomponentes que se deban registrar independientemente.
Por ejemplo, en el caso de los ordenadores de sobremesa en la CMDB se podra
seleccionar:
Atributos: fecha de compra, fabricante, procesador, sistema operativo, propietario, estado, coste, etc.
Relaciones: conexin en red, impresoras conectadas, departamento, etc.
Profundidad: memoria, disco, tarjetas grficas, software instalado, tipo monitor, etc.
En la figura 9.1.10 se muestra un boceto del diseo de una CMDB.
La estructura de la CMDB normalmente contemplar las siguientes categoras :
Hardware. Servidores, almacenamiento, equipos de comunicacin, ordenadores personales, impresoras, etc.
Software. Aplicaciones que forman los servicios, productos y paquetes software, herramientas de desarrollo, herramientas tcnicas de monitorizacin y
de gestin, software ofimtico, etc.
Documentacin. Organizativa, operaciones, tcnica, etc.
Servicio. Servicios de TI, servicios internos, servicios de terceros, etc.
Activo de informacin. Bases de datos, archivos que contienen datos personales, manuales de usuarios, material de formacin, procedimientos de
644
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
trabajo, planes de continuidad, etc. Contratos, documentacin de la organizacin, correos electrnicos, etc.
Contrato. SLA o acuerdos con clientes, OLA o acuerdos internos, UC o
contratos con suministradores.
Persona. Personal de TI, directivos de la empresa, personal subcontratado,
personas de contacto de suministradores, de vigilantes de seguridad, personal de servicios, personal de limpieza, etc. A efectos del proceso de gestin
de la seguridad de la informacin, puede ser necesario tener una relacin
exhaustiva de personas propias o ajenas que habitualmente tienen acceso a
las instalaciones o sistemas de la empresa.
Localizacin. Edificios, centros de datos, sistemas de climatizacin, sistemas de alimentacin elctrica, sistemas de deteccin de incendios, etc.
Entidad lgica. Clusters, instancias de servidores virtualizados, etc.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
645
646
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
647
Ficha
del CI
software
Diseo de la DSL:
Definir nomenclatura, etiquetado
y ficha catalogrfica.
Definir mbito, alcance.
Definir tipos de CI software a incluir.
Requisitos herramienta DSL y
del almacenamiento fsico.
Perodo retencin del software.
Procedimientos actualizacin.
Relacin con procesos de cambio
y de entrega.
Relacin con el rea de proyectos
desarrollo software.
Procedimientos de auditora.
Plan de capacidad y de continuidad.
CI CI CI CI
CI
CI
CI
CI
CI CI CI CI CI
CMDB
CI
software
Archivo fsico
Archivo electrnico
DSL
La DSL y la CMDB deben estar cubiertas por el plan de continuidad de TI y contempladas como los primeros elementos a recuperar, pues sin ellas ser imposible
restaurar los servicios.
Tambin se deber realizar la gestin de la capacidad de la DSL, para almacenar
todas las actualizaciones de software que envan los fabricantes. No hay que pasar
por alto el espacio necesario en armarios para clasificar los DVD y CD, y los
manuales de los fabricantes, aunque la tendencia de la industria es ir reduciendo el
soporte fsico. El almacenamiento de los justificantes de las licencias para propsitos de auditoras posteriores, tambin requiere su arte, debido a los diferentes
formatos en que se facilitan (un cdigo electrnico, una pegatina en la caja, un
documento impreso, etc.). La DSL debe almacenarse en un entorno seguro y es
conveniente que se realicen copias de seguridad peridicas de la parte digital.
En empresas de tamao medio o grande, lo lgico es utilizar un producto del mercado para soportar la DSL. Para el control de los cdigos fuente de los aplicativos de
648
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
El proceso debera garantizar que slo los
elementos de la configuracin autorizados e identificables son aceptados y registrados desde su recepcin hasta su baja.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
649
650
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
Los registros de la configuracin se deberan mantener actualizados y con la precisin adecuada para reflejar los cambios en el estado, localizacin y versin
de los elementos de la configuracin.
El seguimiento del estado debera proporcionar informacin sobre los datos actuales e histricos de cada elemento de configuracin a lo largo de su ciclo de vida.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
651
652
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Los procedimientos de auditora de la configuracin deben incluir el registro de deficiencias, el lanzamiento de acciones correctivas y la comunicacin de su resultado.
UNE-ISO/IEC 20000-2
Los procesos de verificacin y auditoria,
en sus aspectos fsicos y funcionales, se
deberan planificar y se debera realizar
una comprobacin para asegurar que
los procesos y recursos adecuados estn
establecidos para:
a) proteger las configuraciones fsicas y el capital intelectual de la
organizacin;
b) asegurar que el proveedor del
servicio tiene el control de sus
configuraciones, las copias maestras y las licencias;
c) garantizar que la informacin de
la configuracin est actualizada,
controlada y es visible;
d) asegurar que un cambio, una
entrega, un sistema o un entorno
es conforme a los requisitos contratados o especificados y que los
registros de la configuracin son
exactos.
Peridicamente se deberan realizar auditoras de la configuracin, antes y despus de un cambio importante, despus
de un desastre y a intervalos aleatorios.
Las deficiencias y las no conformidades
se deberan registrar, evaluar e iniciar
una accin correctiva, actuar sobre
ellas; y se debera realimentar a las partes correspondientes as como establecer un plan de mejora del servicio.
Nota: Normalmente hay dos tipos de auditoria
de la configuracin:
a) auditoria funcional de la configuracin:
un examen formal para verificar que un
elemento de configuracin ha alcanzado el rendimiento y caractersticas
funcionales especificadas en sus documentos de configuracin;
b) auditoria fsica de la configuracin: un
examen formal de la configuracin
segn sale de fbrica de un elemento
de configuracin para verificar su conformidad con sus documentos de configuracin del producto.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
653
654
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Las auditoras fsicas y peridicas, tambin deben alimentar los registros de oportunidades de mejora, y arrancar las consiguientes acciones correctivas.
La deteccin de inconsistencias debe llevar aparejada una concienciacin de todos
los implicados sobre la importancia y gravedad (impacto) que puede representar
una inexactitud en la informacin recogida. As, no slo se favorece la mejora continua, sino que adems, se garantiza la solvencia de la CMDB y la DSL, hacindolas cada vez ms robustas y fiables.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
655
Figura 9.1.12. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
656
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Resumen
Sin una buena informacin de la configuracin es imposible alcanzar una eficiencia
y madurez en la gestin de las TI. Una informacin fidedigna y completa sobre la
infraestructura de TI, sus servicios y la organizacin que los presta, son los cimientos para reducir los incidentes, ser giles en la provisin de peticiones, evitar errores en los cambios, etc.
De una forma paulatina pero constante, en la implementacin de la gestin del
servicio hay que dedicar esfuerzos importantes a aglutinar y organizar la informacin sobre la configuracin de TI. Por ello, es uno de los primeros procesos que
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
657
Responsable de la
gestin del servicio
Gestor de la
configuracin
SGSTI
Administrador de
la CMDB y DSL
Propietario del
modelo (SGSTI)
Titulares de elementos
de configuracin
Administrador y
soporte del proceso
de configuracin
658
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Beneficios
Algunos de los beneficios de alcanzar una correcta gestin de la configuracin son
los siguientes:
Resolucin ms rpida de los incidentes y los problemas, que redunda en
una mayor calidad de servicio. Una fuente habitual de problemas es la
incompatibilidad entre diferentes CI (por ejemplo, drivers desactualizados,
etc.). La deteccin de estos errores sin una CMDB actualizada alarga considerablemente el ciclo de vida de un incidente o de un problema.
Disponer de los fuentes precisos y actualizados cuando empieza un proyecto de evolucin, as como, tener un correcto control de los mdulos
que cada equipo de desarrollo est modificando resulta esencial para ahorrar esfuerzos intiles y que varios equipos trabajen sobre software desactualizado.
De la misma forma, no tiene precio la eficacia y seguridad que le otorga a un
equipo de desarrollo que comienza un proyecto, el conocer con precisin la
configuracin real del entrono de produccin en donde se explotar el aplicativo.
Una gestin del cambio ms eficiente. Es imprescindible para conocer la
estructura previa, analizar el impacto y disear un cambio que no genere
nuevas incompatibilidades o incidentes.
Reduccin de costes. El conocimiento detallado de todos los elementos de
configuracin permite, por ejemplo, eliminar duplicidades innecesarias y
ahorrar tiempo en repetidas bsquedas de informacin.
Control de licencias. Al contrario de lo que pasaba antao, que el control
de licencias acarreaba el descubrimiento de software ilegal, hoy da tener un
buen control de las licencias puede traer importantes ahorros en costes,
por licencias no utilizadas, por mantenimientos innecesarios, por duplicidades, etc.
Mayores niveles de seguridad. Una CMDB y DSL actualizadas permiten,
por ejemplo, detectar vulnerabilidades en la infraestructura.
Mayor rapidez en la restauracin del servicio. Si se conocen todos los elementos de configuracin y sus interrelaciones ser mucho ms sencillo recuperar la configuracin de produccin en el tiempo ms breve posible.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
659
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Realice un esquema con los dos primeros niveles de una CMDB para
su organizacin.
Qu campos incluira en la ficha del CI tipo servicio?
Cmo se organiza en su empresa el paso de los componentes software, que suelen mantener de los equipos de desarrollo (control de
versiones), a la DSL?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
9. Procesos de control
9.2. Gestin del cambio
661
662
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Qu aporta:
Definicin:
La gestin del cambio debe trabajar para asegurar que los cambios:
Son necesarios y estn justificados.
Se llevan a cabo sin perjuicio de la calidad del servicio de TI.
Estn convenientemente registrados, clasificados y documentados.
Cumplen los plazos acordados.
Han sido cuidadosamente probados en un entorno de prueba.
9. Procesos de control
9.2. Gestin del cambio
663
Figura 9.2.3. Principios directores que deben regir la gestin del cambio
El equilibrio entre estos tres mandatos permitir que, el control y rigor que impone
este proceso en la organizacin para conseguir la fiabilidad y reducir el riesgo, se
pueda realizar incurriendo en el mnimo coste organizativo. Si se adoptan procedimientos excesivamente restrictivos, se mejora la fiabilidad, pero se dificultan los
cambios y la organizacin se vuelve lenta. Si por el contrario el proceso de cambio
se trivializa, se provoca una falta de estabilidad en el servicio que infringir importantes costes a causa de incidentes y la imposibilidad de controlar su calidad.
En el diseo del proceso y de las tareas que incluye hay que tener en cuenta el volumen de cambios que se tendrn que gestionar, pues una organizacin grande (por
664
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ejemplo, de 10.000 usuarios y 500 servidores) suele gestionar entre 70 y 100 peticiones de cambio ya formalizadas a la semana (sin contar los cambios estndar preautorizados), por lo que, gran parte de la actividad del proceso se centra en controlar que todos los involucrados en este flujo sin fin de cambios cumplan las reglas.
Disponer de una herramienta para su soporte es esencial.
Tambin, es conveniente diferenciar las actividades propias de la gestin del cambio de las actividades especficas de la gestin de los proyectos que se encargan de
la construccin de los grandes cambios. El primero hace referencia al proceso
de control de toda la actividad que pueda impactar en los servicios, y el segundo se
encarga de engranar la actividad necesaria para construir o modificar las aplicaciones o plataformas que forman parte de un cambio especfico. La gestin del cambio se rige por ISO/IEC 20000, mientras que la gestin de proyectos utiliza disciplinas como PMBOK o PRINCE2.
Adems, hay que considerar que la gestin del cambio es una parte esencial del proceso de creacin de servicios (planificacin e implementacin de servicios nuevos o
modificados; vase el captulo 5), pues da luz verde al inicio de la construccin y se
responsabiliza de la implantacin del nuevo servicio.
Gestin del cambio tiene una estrecha relacin con gestin de la entrega, pues cada
uno de los cambios aprobados debe ser implantado y desplegado por este ltimo
proceso.
En la figura 9.2.4 se recoge un resumen de los elementos que intervienen el proceso de gestin del cambio.
Los elementos principales que componen el proceso de gestin del cambio son los
siguientes:
Cambio. Accin especfica y prevista que alterar o tendr un efecto sobre los servicios o la infraestructura de TI. En general, es cualquier adicin, eliminacin,
modificacin o movimiento de uno o ms CI (elementos de configuracin). En la
actividad habitual del proceso, los cambios se articulan en funcin de una serie de
criterios entre los que podemos considerar:
Atendiendo a su alcance, complejidad o impacto:
Gran cambio (macro).
Cambio significativo (mayor).
Cambio menor.
Atendiendo a la forma en que se ejecuta el cambio:
Cambio normal.
9. Procesos de control
9.2. Gestin del cambio
ACTORES
665
SERVICIOS
CI
Documentacin
HW
Promotores
de los cambios
Comit de cambios
(CAB)
SLAs
SW
Gestionar la
mejora del proceso
Plan de pruebas
Informe de
disponibilidad (PSA)
Aprobacin
construccin
Aprobacin
transicin
Comprobacin
post-implantacin
Cambio estndar.
Cambio preautorizado.
Cambio urgente o de emergencia.
Realmente cada organizacin va a determinar los tipos de cambio ms adecuados a
sus necesidades. A continuacin, se describen los ms frecuentes:
Cambios macro y mayor. Habitualmente se gestionan bajo una estructura
de proyecto. Son complejos y requieren la dedicacin de bastantes recursos.
Suelen ser cambios que provienen del proceso de creacin o evolucin de
servicios. En estos casos, el cambio tiene gran importancia y suele tener un
impacto probable en otras partes de la organizacin, por lo que se aplica el
666
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ciclo de vida del cambio hasta su ltimo requisito. Son ejemplos, implantar
un nuevo servicio con toda su infraestructura, realizar una consolidacin de
servidores, cambiar la arquitectura de los firewalls.
Cambio menor. De impacto bajo y que requiere pocos recursos. Suelen
recorrer un ciclo de vida mucho ms corto, eliminndose actividades de control que no tienen sentido para estos cambios menores. Por ejemplo, instalar
un servidor nuevo.
Cambio preautorizado. Cambio recurrente que se gestiona por delegacin
siguiendo unas reglas predeterminadas. Para cambios de escasa importancia,
recurrentes o que se repiten peridicamente, pueden acordarse procedimientos estndar que no requieran la aprobacin expresa de la gestin del cambio
(cambios preautorizados). Una vez definida esta tipologa, permite una gestin ms rpida y eficiente de cambios de bajo impacto en la organizacin de
TI. Por ejemplo, establecer los perfiles de acceso de un nuevo empleado,
generar una nueva contrasea o instalar una aplicacin en un PC.
Cambio de emergencia. Establecen la forma de actuar cuando es imprescindible introducir un cambio de forma inmediata para solucionar una crisis
grave.
Clasificacin de un cambio. Todo cambio debe ser clasificado para poder tratarlo
de la forma ms adecuada posible. De forma similar a los incidentes y los problemas, se establecen dos tipos de clasificaciones: la categora que tipifica el contenido
del cambio y la prioridad con la que debe ser tratado:
Categora del cambio. Tipificacin de un cambio segn una clasificacin
predefinida, que tendr en cuenta el efecto del cambio en la organizacin
de TI en funcin de los recursos que se estimen necesarios para su implantacin.
Prioridad del cambio. Valor que se asigna a la solicitud de cambio (RFC)
para indicar su importancia para la organizacin. Su objeto es el de asegurar
la adecuada asignacin de recursos y determinar el plazo en el que se requiere
su ejecucin. La prioridad depender de:
El impacto del cambio. Medida del efecto sobre el negocio.
La urgencia del cambio. Medida de plazo para la atencin de un cambio.
Comit de cambios (CAB, Change Advisory Board). Comisin o grupo representativo de TI y de la empresa, con autoridad y competencia para valorar y aconsejar la implementacin de los cambios, desde los puntos de vista tcnicos y de
9. Procesos de control
9.2. Gestin del cambio
667
negocio. Se rene de forma regular para informar al gestor del cambio sobre la idoneidad de aprobar cada cambio. El CAB es convocado y liderado por el gestor del
cambio.
Gestor del cambio. Responsable de todo el proceso de gestin del cambio. Responsable ltimo de que toda la actividad de cambios no impacte en los servicios y
de que se realice segn lo establecido.
Herramienta de gestin del cambio. Es el conjunto de aplicaciones y bases de
datos necesarios para dar soporte informtico al proceso.
Informe de disponibilidad prevista del servicio (PSA, Projected Service Availability). Es el documento utilizado en la gestin del cambio para describir el efecto
de los cambios sobre los niveles de disponibilidad definidos en los acuerdos de
nivel de servicio. El PSA muestra detalles de las variaciones de la disponibilidad en
los acuerdos de nivel de servicio, motivadas por el cambio programado propuesto.
Lista de cambios planificados (FSC, Forward Schedule of Change). Es una programacin unificada de todos los cambios en curso, que recoge los detalles de los
cambios cuya implantacin haya sido aprobada, as como las fechas propuestas para
su implantacin. En ITIL v3 se ha pasado a denominar lista de cambios (change
schedule).
La FSC es controlada por el gestor del cambio y debe ser acordada con todas las
partes: los clientes, la gestin de nivel de servicio, el centro de servicio al usuario,
gestin de la disponibilidad, etc. Una vez acordada, el centro de servicio al usuario debera comunicar a la comunidad de usuarios cualquier planificacin o
tiempo adicional de parada para la implantacin de cambios, utilizando para ello
los mtodos ms efectivos disponibles.
La FSC es una entrada esencial del proceso de gestin de la entrega.
Plan de pruebas del cambio. Documento que detalla todas las pruebas necesarias
que se realizarn en todas las etapas por las que pasa el cambio, desde las pruebas
durante la fase de construccin, las pruebas en la fase de implementacin, hasta las
pruebas de aceptacin final del cambio. El plan de pruebas se prepara en el mbito
del proyecto.
Promotores de los cambios. Personas de la organizacin de TI que, a partir de
una necesidad de realizar un cambio, desencadenan la solicitud del cambio. En
cambios grandes o complejos, el cambio se gestionara como un proyecto y el promotor sera el jefe del proyecto.
Registro de cambios. Base de datos que contiene toda la informacin relativa a los
cambios en curso ya realizados o rechazados. Contiene las RFC, los detalles sobre
668
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
9. Procesos de control
9.2. Gestin del cambio
Entradas
Actividades
Desencadenantes
del proceso:
3 Planificacin e implementacin de
la gestin del cambio.
RFC de diferentes
fuentes.
Necesidad cambio de
emergencia.
Entradas de soporte:
CMDB.
Lista de cambios
programados (FSC)
anterior.
BD de cambios.
Plan del proyecto.
Plan de pruebas.
Anlisis del impacto del
cambio.
Salidas
Salidas principales:
Cambio implementado
Comunicacin usuario.
Actualizacin CMDB
y DSL.
Actualizacin BD de
cambios.
Salidas secundarias:
RFC cerradas.
Lista de cambios
programados (FSC).
3 Actuacin en cambios de
emergencia.
Informe de
disponibilidad
prevista (PSA).
CMBD actualizada.
669
DSL actualizada
Propuesta de actividades
para la mejora del
proceso.
Figura 9.2.5. Entradas, actividades y salidas del proceso de gestin del cambio
670
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
De una forma especfica, las Normas ISO/IEC 20000 establecen unas directrices
concretas que el proceso de gestin del cambio debe cumplir y que se deben tener
en cuenta en la planificacin, definicin, implantacin y operacin habitual del proceso.
UNE-ISO/IEC 20000-1
Los cambios en los servicios y la infraestructura deben tener un mbito claramente
definido y documentado.
Todas las peticiones de cambio se deben registrar y clasificar, por ejemplo en urgentes, de emergencia, importantes, menores. Se debe evaluar el riesgo, el impacto y
los beneficios para el negocio de las peticiones de cambio.
El proceso de gestin del cambio debe incluir la forma en que puede darse marcha
atrs o corregir cada cambio si no se realiza con xito.
Los cambios se deben aprobar y tras ello deben ser comprobados, y deben ser
implementados de una forma controlada.
Las fechas planificadas para la implementacin de los cambios se deben utilizar
como base para la planificacin de cambios y entregas. Se debe mantener y comunicar a las partes correspondientes la planificacin que contenga los detalles de
todos los cambios aprobados para su implementacin y las fechas propuestas.
UNE-ISO/IEC 20000-2
Los procesos y procedimientos de gestin de cambio deberan garantizar que:
9. Procesos de control
9.2. Gestin del cambio
671
10) asociado a incidentes, problemas, otro cambio y a los registros de elementos de configuracin, cuando sea apropiado.
Cuando se pueda ocasionar una perdida del servicio durante el horario normal del servicio, las personas afectadas
deberan acordar el cambio antes de su
implementacin.
Para garantizar una correcta gestin de los servicios, los procesos y procedimientos
de gestin de cambio debern garantizar que los cambios tengan su alcance claramente definido y documentado. En coordinacin con la estrategia y la gestin del
porfolio de proyectos, la gestin del cambio tambin vela por que slo sean aprobados los cambios que proporcionan beneficios al negocio, por ejemplo, comerciales, legales, regulatorios o estatutarios.
En la planificacin del proceso, es recomendable definir y establecer los motivos
por los que se realizarn cambios, y quienes sern los promotores de estos cambios,
acotndose claramente los actores y la forma en la que se van a producir las entradas del proceso.
En la implementacin de una adecuada poltica de gestin del cambio en la
organizacin se deben superar algunos aspectos culturales crticos como los
siguientes:
Que los diferentes departamentos acepten la autoridad de la gestin del
cambio.
Que se sigan con rigor los procedimientos establecidos y, en particular, que
se actualice correctamente en la CMDB la informacin sobre los elementos
del servicio cambiados.
672
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Que los encargados de la gestin del cambio conozcan a fondo las actividades, servicios, necesidades y estructura de la organizacin capacitndoles
para desarrollar correctamente su actividad.
Que los gestores del cambio dispongan de las herramientas adecuadas de software para monitorizar y documentar adecuadamente el proceso.
Y por supuesto, el compromiso suficiente de la direccin por implementar
rigurosamente los procesos asociados.
En este aspecto, es recomendable que en las fases iniciales de la implementacin del
proceso se preste atencin en conseguir el consenso y la implicacin de todos los
involucrados, ya que promotores, gestores, supervisores, personal tcnico de despliegues y titulares de los elementos de configuracin de la CMDB, se van a ver
envueltos en un proceso que seguramente les va a cambiar su forma de trabajar.
Tambin es importante que la figura del responsable del proceso tenga la autoridad
suficientemente reconocida en la organizacin para llevarlo a cabo, contando con la
participacin de todos y el apoyo de la direccin.
Es recomendable implantar de forma conjunta los dos procesos de control: la gestin del cambio y la gestin de la configuracin. As, con el primero garantizamos
el control de todo cambio en los servicios, mientras que el segundo mantiene la
fidelidad de toda la informacin relacionada con los servicios. Implantando ambos
procesos se consigue que:
Los CI afectados por los cambios se hallen siempre registrados en la CDMB.
Los CI registrados en la CMDB estn sujetos al control del proceso de gestin del cambio.
Debe existir tambin un procedimiento, medio de publicacin o notificacin de
cambios, en funcin de su relevancia que incluya: los medios de comunicacin, los
actores a comunicar, las confirmaciones de recepcin de notificacin o informaciones (si se precisan), al nivel de autoridad definido por el proceso, que evidencie que
todas las partes implicadas (y especialmente el cliente) estn debidamente informadas de la activacin de un cambio.
El tratamiento de las descargas automticas a travs de Internet, que son continuas en el mbito de los ordenadores personales, es un tema que se debe analizar
de forma detallada en la organizacin y establecer las polticas de gestin adecuadas. Estas descargas se despliegan autnomamente en el entorno productivo y
cambian la configuracin del puesto de trabajo. De una forma automtica tambin se saltan varios procesos esenciales: la gestin del cambio, de la entrega y de
la configuracin.
9. Procesos de control
9.2. Gestin del cambio
673
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
674
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
9. Procesos de control
9.2. Gestin del cambio
675
676
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Registro de la RFC
En todos los cambios, la solicitud de cambio es recibida por el proceso de cambio
y desencadena las actividades del ciclo de vida del cambio. La primera de ellas, es el
registro de la RFC que, normalmente, lo realizar el propio promotor del cambio
en la herramienta de gestin del proceso. En el registro se introduce la informacin
inicial de la RFC.
Aceptacin de la RFC
Tras el registro de la RFC se debe evaluar preliminarmente su pertinencia. Una
RFC puede ser rechazada si se considera que el cambio no est justificado o se
puede solicitar su modificacin si se considera que algunos aspectos de la misma
son susceptibles de mejora o mayor definicin. En este caso, la RFC debe ser
9. Procesos de control
9.2. Gestin del cambio
677
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
678
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
devuelta al departamento o persona que la solicit, para que se puedan realizar nuevas alegaciones o para que pueda ser modificada.
La aceptacin de la peticin de cambio no implica su posterior aprobacin por el
CAB, es slo indicacin de que se ha encontrado justificado su procesamiento.
Categora
del cambio
Descripcin
Macro
Mayor
Menor
Preautorizado
Un cambio recurrente, bien conocido, para el que existe un procedimiento predefinido a seguir, con un riesgo relativamente bajo.
9. Procesos de control
9.2. Gestin del cambio
679
El impacto. Medida del efecto sobre el negocio que el tiene cambio actualmente o podra tener potencialmente. Se relaciona con el grado de incumplimiento del SLA. Se puede valorar en funcin de la criticidad para el negocio
del/los servicio/s afectado/s, el nmero de usuarios afectados y su importancia relativa en la organizacin.
La urgencia. Medida de la criticidad para la atencin de un cambio, en funcin de los tiempos lmites que fueron pactados con el negocio. Puede identificarse con el tiempo disponible para su tratamiento antes de que se llegue
al incumplimiento del SLA. Se puede establecer mediante la estimacin del
tiempo necesario para la resolucin, tomando como referencia los tiempos
de respuesta establecidos en el SLA.
En cualquier caso, los criterios para definir el impacto y la urgencia deberan establecerse en coordinacin con los responsables del negocio y formalizarse en el SLA.
En la figura 9.2.9 se presentan los tipos de prioridad ms habituales y su correspondencia con el procedimiento aplicable.
Prioridad
Descripcin
Tiempo de
atencin
Procedimiento
Crtica
Se necesita una accin inmediata. Puede ser necesario convocar reuniones urgentes del Comit de cambios (Comit de Cambios de Emergencia). Puede ser
necesario asignar recursos inmediatamente para desarrollar tales cambios autorizados.
minutos
Emergencia
Alta
horas
Normal
Media
das
Normal
Baja
das
Normal
680
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Lo convoca y lo lidera:
el gestor del cambio
Miembros permanentes:
Gestin de nivel de servicio.
Gestin de la disponibilidad.
Gestin de la capacidad.
Miembros invitados:
Gestin entrega.
Comit de cambios
(CAB)
reas cliente.
Especialistas.
La frecuencia y el tipo de reuniones del comit de cambios (presnciales, telefnicas, etc.) se deben determinar en funcin del volumen y tipo de cambios que se
vayan a realizar. Estas reuniones representan un consumo de tiempo importante
para sus miembros. Por tanto, se deben establecer medidas para agilizar las reuniones del CAB, como por ejemplo, facilitar el acceso a la documentacin a tratar
antes de la reunin, control estricto del tiempo de la reunin, permitir flexibilidad
para enviar a un representante si el titular no puede asistir, facilitar que algunos
miembros asistan de forma remota (especialmente los invitados que slo deban
participar en un cambio), realizar algunas reuniones por medios electrnicos
9. Procesos de control
9.2. Gestin del cambio
681
no presenciales. En cualquier caso, se recomienda tener peridicamente una reunin presencial del CAB con los miembros permanentes.
El comit de cambios debe incluir representacin de todas las capas tecnolgicas
dentro de TI, adems de representacin de los principales clientes de TI.
En cualquier caso, la aprobacin de los cambios es responsabilidad nica del gestor
del cambio, ya que es el responsable de autorizar o denegar un cambio. De ah la
importancia de seleccionar un profesional adecuado para este rol, ya que debe
conocer con detalle la estructura de los servicios y su impacto en el negocio. Aunque parezca poco democrtica, la funcin del CAB es nicamente asesora.
Durante el ciclo de vida del cambio, y segn lo establezca cada organizacin en su
SGSTI, el cambio podr estar sometido a varias aprobaciones. As, en grandes
cambios (macro y mayores), se podra pasar por:
La aprobacin de la construccin del cambio, se debera consultar al CAB.
La aprobacin de la implementacin del cambio, para iniciar la integracin,
pruebas y despliegue a realizar por el proceso de gestin de la entrega, que
realiza tambin el CAB.
La aprobacin del paso a produccin del cambio tomada por el gestor del
cambio, se debera informar al CAB.
La revisin postimplementacin previa al cierre.
Para la aprobacin de la construccin del cambio el gestor del cambio debe evaluarlo minuciosamente, especialmente los grandes (de categora macro y mayor)
contemplando:
Cules son los beneficios esperados del cambio propuesto. Revisin del caso
de negocio (business case) presentado por el promotor del cambio.
Justificacin de esos beneficios frente a los costes asociados al proceso de
cambio.
Cules son los riesgos asociados. Revisin del informe de disponibilidad prevista (PSA).
Si se dispone de los recursos necesarios para llevar a cabo el cambio, en forma
y plazo, con garantas de xito.
Prioridad asignada: urgencia, conocer si puede demorarse el cambio e
impacto, cul ser el impacto general sobre la infraestructura y la calidad de
los servicios de TI.
Puede el cambio afectar los niveles establecidos de seguridad de TI?
682
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
9. Procesos de control
9.2. Gestin del cambio
683
y/o la gestin de infraestructuras de TI. Pero el proceso de gestin del cambio debe
realizar una supervisin de esta actividad.
En la fase de construccin del cambio se deber supervisar el proyecto para asegurar que:
Tanto el software desarrollado como el hardware adquirido se ajustan a las
especificaciones predeterminadas.
Se cumplen los calendarios previstos y la asignacin de recursos es la adecuada.
El entorno de pruebas es realista y simula adecuadamente el entorno de produccin.
Los planes de marcha atrs permitirn la rpida recuperacin de la ltima
configuracin estable.
Si es posible, debe permitirse el acceso restringido de usuarios al entorno de
pruebas para que realicen una valoracin preliminar de los nuevos sistemas
en lo que respecta a su funcionalidad, usabilidad y accesibilidad.
Implementacin de un cambio
La etapa de implementacin corresponde a la integracin del cambio en la infraestructura, a las pruebas finales y al paso al entorno productivo.
Aunque la gestin del cambio no es la encargada directa de implementar el cambio,
algo de lo que se encarga habitualmente la gestin de la entrega (con recursos de
infraestructuras y del propio proyecto) o directamente los equipos tcnicos, s es la
encargada de supervisar y coordinar todo el proceso. Mientras que en ISO/IEC
20000 y en ITIL v2 es el proceso de gestin de la entrega (release management), en
ITIL v3 la implementacin de cambio se realiza bajo el proceso denominado gestin de versiones y despliegues (release and deployment management).
684
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Se debe revisar el xito de todos los cambios y, en caso contrario, se deben decidir y
llevarse a cabo acciones correctivas tras la implementacin.
UNE-ISO/IEC 20000-2
Todos los cambios se deberan revisar
en relacin a su xito o fallo despus de
la implementacin y cualquier mejora
debera ser registrada. Se debera realizar una revisin despus de la implementacin en los cambios principales
para comprobar que:
a) el cambio cumple sus objetivos;
b) los clientes estn satisfechos con
los resultados;
La gestin del cambio se encarga de realizar su propia revisin postimplementacin consultando a las partes implicadas, para asegurar que los cambios realmente
han sido satisfactorios. Los aspectos fundamentales que debe tener en cuenta el
PIR son los siguientes:
Se cumplieron los objetivos previstos?
En qu medida se apart el proceso de las previsiones realizadas por la gestin del cambio.
Provoc el cambio problemas o interrupciones del servicio imprevistas?
Cul ha sido la percepcin de los usuarios respecto al cambio?
Se pusieron en marcha los planes de marcha atrs en alguna fase del proceso? y por qu?
Si la evaluacin final determina que el proceso y los resultados han sido satisfactorios, se proceder al cierre de la RFC.
9. Procesos de control
9.2. Gestin del cambio
685
Cambios de emergencia
Cualquier interrupcin del servicio de alto impacto, ya sea por el nmero de usuarios
afectados o porque se han visto involucrados sistemas o servicios crticos para la organizacin, debe encontrar una respuesta inmediata adecuada. Es frecuente que la solucin al incidente requiera un cambio urgente, pero hasta las urgencias y las situaciones de crisis, deben estar reguladas mediante un procedimiento de emergencia.
El procedimiento que se debe seguir en estos casos de crisis debe estar debidamente
previsto. Como el objetivo prioritario en estas situaciones crticas es restaurar el
servicio, es a menudo frecuente que los procesos asociados sigan un orden inverso
al usual, realizndose a posteriori tanto en los registros en la CMDB, como en la
documentacin asociada al cambio.
686
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
En ocasiones se requiere la realizacin
de cambios de emergencia, y cuando
sea posible, se debera seguir el proceso
de cambio, aunque algunos detalles se
documenten a posteriori. Cuando el proceso de emergencia se salte algunos
requisitos del proceso de gestin del
Un cambio de emergencia requiere, como su nombre indica, una actuacin inmediata. Estos cambios provocan trastornos en el ritmo de trabajo de toda la organizacin, desplazamientos de otros cambios y replanificaciones encadenadas, etc. Por
ello, es extremadamente importante reducir el volumen de los cambios de emergencia. Habitualmente muchos de los cambios de emergencia surgen como resultado de una planificacin deficiente o de una organizacin trastabillada. As, una
cuidada planificacin y programacin de los cambios y una buena gestin de los
plazos que necesita el negocio son las palancas de reduccin de este factor.
En un cambio de emergencia, normalmente el CAB no se rene fsicamente, sino
que estn identificados los participantes (normalmente de alto nivel) que asesoran
si se debera llevar a cabo o no. Este subgrupo del comit de cambios, se le suele
denominar CAB de emergencia. Pero como siempre, convocarlo y la aprobacin
es responsabilidad del gestor del cambio.
9. Procesos de control
9.2. Gestin del cambio
687
UNE-ISO/IEC 20000-1
Los registros de cambios se deben analizar regularmente para detectar incrementos
en el volumen de cambios, tipos recurrentes frecuentemente, tenencias emergentes y
cualquier otra informacin relevante. Los resultados y conclusiones obtenidos a partir del anlisis de los cambios se deben registrar.
Las acciones de mejora identificadas para la gestin del cambio se deben registrar y
debe proporcionar informacin de entrada al plan de mejora del servicio.
UNE-ISO/IEC 20000-2
Los registros de los cambios se deberan
analizar de forma peridica, para
detectar incrementos en el nivel de cambios, frecuencia de los tipos recurrentes,
tendencias emergentes y cualquier otra
688
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Figura 9.2.11. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
9. Procesos de control
9.2. Gestin del cambio
689
Resumen
La necesidad de continua evolucin de las tecnologas de la informacin requiere
una actividad constante de cambios en las infraestructuras y en los desarrollos para
permanecer actualizado y evitar que los servicios se queden obsoletos.
El proceso de gestin del cambio es clave para mantener la estabilidad de los
servicios, pues regula y controla toda actuacin sobre ellos. El proceso necesita
690
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Responsable de la
gestin del servicio
Promotores
o solicitantes
de los cambios
SGSTI
Propietario del
modelo (SGSTI)
Gestor
del cambio
Comit de cambios
(CAB)
Especialistas
tcnicos
Administrador y
soporte del proceso
del cambio
9. Procesos de control
9.2. Gestin del cambio
691
El proceso controla y supervisa tanto la construccin del cambio como su implementacin, pero no realiza este trabajo, que lo asumen los equipos tcnicos
actuando bajo el proceso de la gestin de la entrega.
Beneficios
Los principales beneficios derivados de una correcta gestin del cambio son los
siguientes:
Se reduce el nmero de incidentes y problemas potencialmente asociados a
todo cambio. Por lo tanto, se reduce el riesgo asociado a los cambios.
Se reducen los plazos medios en la implantacin de los cambios.
La organizacin realiza los cambios con ms eficiencia.
Se reduce el impacto en el negocio debido a las paradas asociadas a los
cambios.
Se puede retornar a configuraciones estables de manera sencilla y rpida en el
caso en el que el cambio tenga un efecto negativo.
Se reduce el nmero de operaciones de marcha atrs necesarias.
Los cambios son mejor aceptados y se evitan tendencias inmovilistas.
Se evalan los verdaderos costes asociados al cambio y, por tanto, es ms sencillo valorar el retorno real de la inversin.
La CMDB y la DSL estn correctamente actualizadas, algo imprescindible
para la correcta gestin del resto de los procesos de TI.
Se reducen las actuaciones de emergencia y el trastorno que ocasionan en el
trabajo diario.
Se desarrollan procedimientos de cambio estndar que permiten la rpida
actualizacin de sistemas no crticos.
692
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cite tres ejemplos en su organizacin de cambios pre-autorizados, de
cambios mayores y de cambios de emergencia.
Por limitacin de recursos, debe escoger slo 3 procesos para implementar en primer lugar. Si uno de ellos es gestin del cambio, qu
otros dos procesos implementara en su organizacin?
Qu aspectos de lo descrito en este apartado no se adaptan bien a
su organizacin? Por qu?
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
10
Captulo 10
Proceso de gestin
de la entrega
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
695
La mayor cantidad de fallos en los servicios viene generada por errores en los cambios e implantaciones, tanto por defectos en su construccin como por errores en
las operaciones que conlleva la puesta en explotacin. Pero las organizaciones de TI
deben mantener un ritmo constante de cambios y de creacin de nuevos servicios
para responder de una forma gil a las necesidades del negocio.
Realizar cambios en los servicios no es tarea sencilla, tanto por la cantidad de componentes hardware y software, como por el nmero de suministradores que entran
en escena para mantener los servicios de TI. Adems, se requiere que los servicios
evolucionen sin interferir en la produccin normal, manteniendo los niveles de servicio acordados y garantizando los tiempos comprometidos, no slo para las tareas
identificadas del despliegue, sino tambin para los plazos que marca el negocio
(time to market).
La importante misin de introducir cambios se realiza mediante dos procesos: la
gestin del cambio y la gestin de la entrega. Si la gestin del cambio pone control
y orden en todas las peticiones de cambio, bajo el concepto del proceso de entrega,
se agrupan las actividades operativas necesarias para que el cambio se ponga en el
entorno productivo, minimizando el riesgo de fallos y maximizando la eficiencia de
las tareas que se deben llevar a cabo.
Las Normas ISO/IEC 20000 dedican la mayor extensin de requisitos y recomendaciones a este proceso. El xito en este proceso de entrega vendr dado por la utilizacin de unos procedimientos y tareas bien desarrollados y controlados, que permitan una gestin correcta de los recursos puestos a disposicin del proceso, y la
optimizacin y mejora del mismo.
Un proveedor de TI de tamao medio suele realizar entre 70 y 100 cambios semanales en sus servicios. Adems de esto, cada servicio operativo suele tener dos o tres
grandes versiones al ao. Para complicarlo an ms, muchos estos cambios se debern realizar fuera de la jornada laboral. Por tanto, la realizacin de una forma segura
y eficiente de las tareas de implementacin de los cambios resulta esencial para la
calidad de los servicios y para la tranquilidad de todos. En este captulo encontrar
las prcticas ms avanzadas para lograrlo.
697
El nombre del proceso de gestin de la entrega, del trmino ingls release management, ha tenido mltiples traducciones al castellano. Tambin se le conoce como
gestin de despliegues, gestin de versiones, gestin de lanzamientos, gestin de
despliegue de versiones, etc. En ISO/IEC 20000 e ITIL v2 se ha traducido como
gestin de la entrega, mientras que en ITIL v3 adopta el nombre de gestin de despliegues y versiones (release and deployment management) 1.
La gestin de la entrega ejecuta las acciones a realizar para producir el cambio autorizado.
Los cambios se convierten en entregas una vez que han sido construidos y ha sido
aprobada su transicin, por ello, toda entrega ha tenido que pasar primero por la
gestin del cambio. El proceso se activa con la recepcin de la peticin de cambio
aprobada (RFC) y de los elementos a instalar. Desde este momento hasta que el
cambio ha sido incorporado a la produccin normal, es necesaria la intervencin
698
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Proceso de gestin de la
entrega
Qu aporta:
Orden y eficiencia en el trabajo
continuo de implementar los cambios.
Definicin:
Objetivo:
Entregar, distribuir y realizar el
seguimiento de uno o ms cambios en el
entorno de produccin real.
699
700
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
701
Multitud de cambios pequeos, que se tendern a agrupar o asociar en unidades de un tamao manejable.
Cambios urgentes.
En la figura 10.1.4 se muestran los componentes principales del proceso.
Poltica
de entregas
Metodologa
de pruebas
Planificacin
de la entrega
Plataformas
de pruebas
e integracin
Entrega
CMDB
Lista de cambios
planificados (FSC)
Base de datos
de gestin de
la configuracin
DSL
Biblioteca de
software definitivo
Almacn definitivo
de hardware
702
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los componentes que intervienen en el proceso de gestin del incidente son los
siguientes.
Almacn de Hardware Definitivo (DHS). Uno o varios emplazamientos dispuestos para el almacenamiento seguro de componentes y repuestos de hardware.
Estos componentes se gestionan con el mismo nivel que los elementos de configuracin hardware equivalentes del entorno de produccin. El mantenimiento completo del DHS es responsabilidad directa del proceso de gestin de la entrega. En
ITIL v3, en el proceso de gestin de la configuracin se habla del almacenamiento
de los recambios o repuestos definitivos (DS, Definitive Spares).
Base de Datos de Gestin de la Configuracin (CMDB). Base de datos gestionada por el proceso de gestin de la configuracin y que el proceso de gestin de la
entrega debe actualizar con los cambios a los elementos de configuracin (CI) que
realice de forma coordinada con gestin de la configuracin.
Biblioteca de Software Definitivo (DSL). La gestin de la entrega debe actualizar este repositorio con las ltimas versiones del software implementado en produccin, as como con la parametrizacin realizada y la documentacin asociada. En
ISO/IEC 20000 la responsabilidad de este repositorio recae en gestin de la configuracin. Por tanto, al igual que en el caso de la CMDB, cualquier actualizacin en
esta biblioteca debe estar coordinada con el proceso de gestin de la configuracin.
Despliegue. Es la accin de poner en produccin el conjunto de cambios que contiene una entrega. Es importante poner foco en la automatizacin de este proceso
mediante el uso de las herramientas tcnicas adecuadas.
Entrega. Es un conjunto de cambios aprobados en un servicio TI, que se prueban
e introducen como conjunto en el entorno de produccin. Consta del software
nuevo o modificado y del hardware nuevo o modificado. Se define por las RFC que
implementa. La entrega se caracteriza por:
Unidad de entrega. Porciones de los servicios que normalmente se implementan a la vez. Generalmente, esta unidad es variable, dependiendo de los
tipos de elementos de software y hardware implicados
Tipo de entrega. Se definen varias categoras de entregas en funcin del
impacto (mayores y menores), la urgencia (normales y emergencia) y la tasa de
renovacin de elementos de configuracin (completas, delta y empaquetadas).
Identificacin de la entrega. Las entregas deben estar identificadas unvocamente de acuerdo a un esquema definido en la poltica de entregas. Debe
incluir una referencia al servicio o elemento de configuracin que representa
y un nmero de versin de hasta tres niveles (por ejemplo, servicio_
nomina_V2.3.6).
703
704
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
la conexin del aplicativo software con el entorno real (reglas del firewall, segmentacin de VLAN, integracin con el middleware, automatizacin de tareas batch, integracin en la monitorizacin, integracin en el backup, etc.) para poder comprobar
su correcto funcionamiento antes del paso a produccin regular.
Poltica de entrega. Define las funciones y responsabilidades principales de la gestin de la entrega. Establece las pautas en toda la organizacin para la implementacin de los cambios. Normalmente se suelen definir tres o cuatro grandes ciclos de
entrega anuales, que regula todo el mantenimiento evolutivo y correctivo de las
aplicaciones. Los cambios que no pueden asociarse a estos ciclos anuales, se gestionan al detalle intentando agruparlos o empaquetarlos. La poltica de entrega debe
incluir tambin la numeracin, frecuencia de las entregas y el nivel de infraestructura TI comprendido en las entregas. La poltica de entrega es parte del plan del
proceso de gestin de la entrega.
Revisin (PIR, Post Implementation Review). Comprobacin tcnica y funcional
que se realiza transcurrido un determinado perodo de tiempo tras la implantacin
de la entrega y cuyo objetivo es el de validar si los efectos de los cambios han sido
los deseados, para proceder al cierre definitivo de la entrega y, consecuentemente,
de los cambios que alberga. La realiza el proceso de gestin de la entrega, la lidera
el gestor del cambio.
Entradas
Actividades
Desencadenantes
del proceso:
3 Definicin de la poltica de
entrega.
DSL.
CMDB.
DHS.
BD de gestin
del cambio.
705
Salidas
Salida principal:
Entrega implementada:
FSC actualizado.
DSL actualizada.
CMDB actualizada.
PIR enviado a gestin
del cambio.
Almacn de HW
gestionado (DHS).
Salidas secundarias:
Informes de errores en
las pruebas.
Propuesta de actividades
para la mejora del
servicio.
Asegurar, en colaboracin con la gestin del cambio y gestin de la configuracin, que todos los cambios se ven correctamente reflejados en la CMDB.
Archivar copias idnticas al software en produccin, as como, de toda su
documentacin asociada, en la biblioteca de software definitivo (DSL).
Actuacin ante las entregas de emergencia, provenientes de cambios de
emergencia.
Gestionar y mantener actualizado el almacn de repuestos hardware o Almacn de hardware definitivo (DHS).
Supervisin del correcto funcionamiento de todo el proceso. Realizacin de
las propuestas de mejora al plan unificado de mejora del servicio (vase el
captulo 4).
Realizacin de informes y anlisis sobre las actividades del proceso.
La salida principal del proceso es la implementacin de la entrega con xito y
cerrada mediante la revisin postimplementacin (PIR) que se enva a la gestin
del cambio. Tambin se obtiene el almacn de hardware gestionado y actualizado,
706
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La entrega
Se define como entrega a una coleccin de hardware, software, documentacin,
procesos u otros componentes requeridos para implementar uno o ms cambios
aprobados a los servicios de TI. Los contenidos de cada entrega son administrados,
probados e implementados como una nica entidad (Glosario ITIL v3, OGC).
Las entregas se suelen clasificar segn su impacto en la infraestructura TI, en las
siguientes categoras:
Entregas mayores. Representan importantes despliegues de software y hardware, y que introducen modificaciones importantes en la funcionalidad,
caractersticas tcnicas, etc.
Entregas menores. Suelen implicar la correccin de errores conocidos puntuales. Su tamao reducido no exime que se implementen de una manera
procedimentada y correctamente documentada.
En funcin de la urgencia para su implantacin:
Entregas normales. Siguen el ciclo de vida de la entrega y van ordenadas
por su categora y prioridad.
707
708
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ciclo PDCA establecido en el proceso de implementacin de la gestin del servicio (vase el captulo 4). Este equipo de procesos colaborar estrechamente con el
futuro responsable de gestin de la entrega. A este respecto, las Normas ISO/IEC
20000 establecen un marco de actuacin.
UNE-ISO/IEC 20000-1
Nota: El proceso de gestin de la entrega se debera integrar con los procesos de gestin de la configuracin y de gestin del cambio.
El proveedor del servicio debe planificar con el negocio la entrega de los servicios,
sistemas, software y hardware. Los planes sobre cmo desplegar una entrega se
deben acordar y autorizar por todas las partes pertinentes, por ejemplo clientes,
usuarios, personal de operaciones y de soporte.
UNE-ISO/IEC 20000-2
La gestin de la entrega debera coordinar las actividades del proveedor del
servicio, los diferentes proveedores y el
negocio para planificar y desplegar una
entrega a lo largo de un entorno distribuido.
Son esenciales una buena planificacin
y gestin para empaquetar y distribuir
una entrega con xito, y para gestionar
los impactos y riesgos asociados para el
negocio y para TI. Se debera planificar
con el negocio la entrega de los sistemas de informacin, infraestructuras,
servicios y documentacin afectados.
Todas las actualizaciones asociadas a la
documentacin se deberan incluir en la
709
710
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Poltica de entrega
La principal misin de la poltica de entrega es que toda la organizacin entienda y
asuma la funcin de la entrega y su alto nivel de implicacin y responsabilidad en la
construccin y evolucin de los servicios, una vez aprobados por la gestin del
cambio. La poltica de entrega se debe realizar alineada con la poltica de construccin de servicios y la estrategia de TI.
UNE-ISO/IEC 20000-1
Se debe documentar y acordar la poltica de entrega que establezca la frecuencia y
el tipo de las entregas.
711
UNE-ISO/IEC 20000-2
Debera existir una poltica de entrega
que incluya:
a) la frecuencia y tipos de entregas;
b) los roles y las responsabilidades
para la gestin de la entrega;
g) la verificacin y la aceptacin de
una entrega.
La poltica de entrega define para toda la organizacin la forma en que se construirn e implementarn los cambios correctivos y evolutivos de los servicios. La poltica de entregas contiene las directrices que se deben cumplir, tanto por los participantes en el proceso, como por el resto de la organizacin. Tambin define la
numeracin y frecuencia de las entregas, los criterios para las entregas de emergencia, etc.
La poltica de entrega forma parte de la planificacin e implementacin del proceso
de entrega. Vela especialmente por el equilibrio entre la necesidad de unos plazos
adecuados de evolucin, la estabilidad de los servicios, la carga de trabajo de la
organizacin de TI y los costes.
Las organizaciones ms avanzadas definen tres o cuatro ciclos anuales de puesta en
produccin en los que se agrupa toda la entrega del software y hardware evolutivo y
correctivo. En un momento determinado del tiempo, puede existir un ciclo en fase
de diseo, otro en construccin y otro en pruebas. As, los grandes pasos a produccin slo se realizan en tres o cuatro momentos pactados del ao. Con esto se consigue que la organizacin de TI trabaje de una forma sncrona.
En la figura 10.1.6 se presentan las directrices para el diseo de la poltica de
entrega.
712
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Poltica de entrega
Metodologa de pruebas.
Constr.
Dis.
Pru.
Constr.
Dis.
Pru.
Constr.
Pru.
Etc.
El ciclo de vida completo de una entrega comienza una vez que el cambio ha sido
construido, aceptado por el equipo tcnico y aprobada su implementacin por la
gestin del cambio. En la figura 10.1.7 se presenta el ciclo tpico de una entrega.
El ciclo de vida completo de una entrega se resume en:
La gestin del cambio (el gestor o el CAB) aprueba la implantacin del cambio construido. La aprobacin acta como desencadenante del proceso de
gestin de la entrega.
Se realiza la aceptacin y revisin preliminar del cambio construido. Se realiza la primera planificacin, acorde con lo previsto en el proyecto de construccin.
713
714
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Realizar la formacin necesaria a los usuarios y tcnicos para que sean capaces de gestionar los nuevos servicios.
Garantizar y ejecutar un plan de marcha atrs a un punto consistente si la
entrega no tuviera xito.
Comunicar y formar a los clientes y usuarios sobre las funcionalidades de
la nueva versin.
Comunicar y formar a los tcnicos y responsables de produccin sobre la
operacin de la nueva versin, errores conocidos o cambios en los niveles
de servicio.
Actualizar la CMDB, DSL y DHS. Es fundamental garantizar que se han
actualizado correctamente estos repositorios.
Realizar la verificacin postimplementacin de la entrega y comunicrselo a
la gestin del cambio.
Planificacin de una entrega. Lo primero para decidir cundo y cmo realizar
una entrega es analizar la categorizacin del cambio, evaluando si es de emergencia
o es un cambio normal dentro de la planificacin pactada de antemano. En
segundo lugar, las entregas vienen con la categora y prioridad asignadas en la gestin del cambio.
Cada entrega debe tener una planificacin que comprenda todas las etapas del
ciclo de vida: la pruebas, la integracin, la preparacin del despliegue, el paso al
entorno productivo (incluyendo los planes de marcha atrs) y la revisin postimplementacin.
Es necesario establecer un marco general para planificar las entregas que fije una
sistemtica rpida de trabajo. Esto es especialmente importante para los casos de
entregas menores y de emergencia, pues en el caso de entregas de gran envergadura, se deben desarrollar planes especficos que tomen en cuenta las peculiaridades de cada caso.
UNE-ISO/IEC 20000-1
El proveedor del servicio debe planificar con el negocio la entrega de los servicios,
sistemas, software y hardware. Los planes sobre cmo desplegar una entrega se
deben acordar y autorizar por todas las partes pertinentes, por ejemplo clientes,
usuarios, personal de operaciones y de soporte.
El proceso debe incluir la forma en que se de marcha atrs o se corrija la entrega si
no se realiza con xito.
715
Los planes deben registrar los entregables y las fechas de la entrega, y hacer referencia a las peticiones de cambio, errores conocidos y problemas relacionados.
El proceso de gestin de la entrega debe proporcionar la informacin adecuada al
proceso de gestin del incidente.
Las peticiones de cambio se deben evaluar en cuanto a su impacto en los planes de
entregas. Los procedimientos de gestin de la entrega deben incluir la actualizacin
y el cambio de la informacin de configuracin y los registros de cambio. Las entregas de emergencia se deben gestionar de acuerdo a un proceso definido que realice la interfaz con el proceso de gestin del cambio de emergencia.
ISO/IEC 20000-2 detalla los contenidos que se deben contemplar en la planificacin de una entrega.
UNE-ISO/IEC 20000-2
El proveedor del servicio debera trabajar conjuntamente con el negocio para
asegurar que los elementos de configuracin que se van a desplegar en una
entrega son compatibles entre s y con
los elementos de configuracin del
entornode destino.
La planificacin de la entrega debera
asegurar que los cambios de los sistemas de informacin, infraestructuras,
servicios y documentacin afectados
son acordados, autorizados, planificados, coordinados y que se realiza un
seguimiento de los mismos.
La entrega y el despliegue se deberan
planificar en etapas ya que los detalles
del despliegue podran no ser conocidos inicialmente.
La planificacin de una entrega y del
despliegue normalmente debera incluir:
a) las fechas de la entrega y la descripcin de los entregables;
b) los cambios y problemas relacionados, errores conocidos cerrados o resueltos por esta entrega y
716
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
717
718
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
719
UNE-ISO/IEC 20000-1
Se debe establecer un entorno controlado de pruebas de aceptacin para construir
y probar todas las entregas previamente a su distribucin.
UNE-ISO/IEC 20000-2
Se deberan verificar en el momento de
la recepcin, las entregas de sistemas
de informacin y de software provenientes de equipos de desarrollo propios,
desarrolladores de sistemas, integradores u otras organizaciones.
Es importante que los planes de pruebas incluyan tambin la prueba de los planes
de marcha atrs, para asegurar la posibilidad de volver a la ltima versin estable
de una forma rpida, ordenada y sin prdida de informacin valiosa.
Las principales actividades realizadas en el proceso de prueba deben incluir:
Pruebas del correcto funcionamiento de la versin en un entorno realista.
Pruebas de integracin con la versin en produccin. Si se realiza un despliegue fragmentado en el entorno de produccin, ser necesario realizar las
pruebas con las versiones operativas.
Pruebas de regresin si fueran necesarias en preproduccin.
Pruebas de capacidad en el entorno de preproduccin.
Pruebas de los procedimientos automticos o manuales de instalacin.
Listas de errores detectados, si se diera el caso.
Pruebas de los planes de marcha atrs.
Documentacin para usuarios, tcnicos de soporte y desarrolladores.
Disear, construir, documentar y configurar una entrega. Dependiendo del
tipo de entrega, puede ser necesario el empaquetado para la distribucin de una
entrega. Tambin puede ser necesaria la preparacin de programas o scripts que ejecuten secuencias de comandos para la instalacin. Se suelen utilizar herramientas
que automatizan el despliegue de las versiones de los productos software. Tanto la
720
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
entrega, como su empaquetado y distribucin se debe preparar para que se mantenga la integridad de los servicios.
UNE-ISO/IEC 20000-1
Las entregas y su distribucin se deben disear e implementar de forma que la integridad del hardware y del software se mantenga a lo largo de la instalacin, la manipulacin, el empaquetado y la provisin.
UNE-ISO/IEC 20000-2
Los procesos de gestin de la entrega y
distribucin se deberan disear e implementar para:
a) asegurar que existe conformidad
con la arquitectura de sistemas, la
gestin del servicio y las normas
de infraestructura del proveedor
del servicio;
b) mantener la integridad durante la
construccin, instalacin, manipulacin, empaquetado y entrega;
c) usar bibliotecas de software y repositorios relacionados para gestionar y controlar los componentes
durante los procesos de construccin y de entrega;
d) asegurar que los riesgos estn
claramente identificados y que se
pueden llevar a cabo acciones de
recuperacin si se requieren;
e) habilitar verificaciones antes de la
instalacin para comprobar que
La construccin de la entrega debe incluir todos los scripts de instalacin imprescindibles para el despliegue de la versin. Los scripts encadenaran secuencias de
actuaciones, que evitarn errores humanos. Estos scripts debern tener en cuenta
aspectos tales como:
Recuperacin automtica de datos a un punto de retorno estable.
721
UNE-ISO/IEC 20000-2
La documentacin apropiada debera
estar disponible en su totalidad y almacenada segn la gestin de la configuracin en referencia al elemento de
configuracin desplegado. Esta documentacin debera incluir:
a) la documentacin de apoyo, por
ejemplo, los acuerdos de nivel de
servicio;
b) la documentacin de apoyo, por
ejemplo, el esquema del sistema,
722
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
relacionadas de la verificacin y
la aceptacin.
Si un sistema o servicio no cumple completamente con los requisitos especificados para l, antes de pasar a produccin se debera identificar y registrar
mediante la gestin de la configuracin
y la gestin del problema.
723
Despliegue, distribucin e instalacin. Superada la fase de validacin o las pruebas, la gestin del cambio ser la encargada de proporcionar la autorizacin final a
la entrega para que se proceda a su instalacin.
La distribucin de la nueva versin, tambin conocida como rollout, puede ser de
varios tipos:
Completa y sincronizada: se realiza de manera integral y simultnea en todos
los emplazamientos.
Fragmentada: ya sea bien espacial o temporalmente. Por ejemplo, introduciendo la nueva versin por grupos de trabajo o incrementando progresivamente la funcionalidad ofrecida.
UNE-ISO/IEC 20000-2
Se debera revisar el plan de despliegue
y se deberan aadir detalles, si es necesario, para asegurar que se van a llevar
a cabo todas las actividades necesarias.
Es importante que la entrega sea proporcionada de un modo seguro para su
destino en el estado esperado. Los procesos de despliegue, distribucin e instalacin deberan asegurar que:
a) todas las zonas de almacenamiento de hardware y software son
seguras;
b) existen procedimientos adecuados
para el almacenamiento, expedicin, recepcin y eliminacin de
bienes;
c) se planifican y completan las
comprobaciones sobre las insta-
724
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
725
Comunicacin y formacin. Salvo contadas excepciones, es necesaria la interaccin usuario-aplicacin y sta suele representar el eslabn ms dbil de la cadena.
Es frecuente, y a su vez un grave error, que cuando se aborden cuestiones de carcter tcnico se obvie el factor humano. Es intil disponer de un sofisticado servicio
TI si los usuarios, debido a una incompleta formacin, no se encuentran en disposicin de aprovechar sus ventajas.
En cambios menores, ser suficiente con informar a los usuarios.
En nuevos servicios o cambios radicales, la formacin adquiere una relevancia
importante y debe estructurarse en distintos niveles:
Los usuarios deben conocer las entregas que se van a implementar y conocer
con anterioridad la nueva funcionalidad planificada o los errores que se pretenden resolver para participar, a su discrecin, en el proceso.
Siempre que sea posible, las pruebas de carcter funcional deben ser realizadas por un grupo de usuarios finales (conviene seguir disciplinas tipo focus
group para captar la opinin de los usuarios). Durante este proceso de
prueba se documentarn y analizarn:
La experiencia subjetiva de usuario.
Los comentarios y sugerencias sobre usabilidad y funcionalidad.
Las dudas que hayan surgido durante el uso de la nueva versin.
La claridad de la documentacin que se pondr a disposicin del usuario
final.
Cuando se considere oportuno se impartirn cursos presenciales o remotos
mediante mdulos de e-learning, sobre el funcionamiento de la nueva versin.
Generar un documento en el soporte ms adecuado (pagina web, nota informativa en tabln de anuncios, etc.) con preguntas frecuentes (FAQ), en
donde los usuarios puedan aclarar las dudas ms habituales y puedan solicitar ayuda o soporte tcnico en el uso de la nueva versin.
Se formar a los tcnicos responsables de la explotacin de nuevos modelos
de operacin o de nuevas tecnologas si fuera necesario.
Evaluar resultados y Revisin postimplantacin. Una vez implantada la entrega,
se debe realizar la revisin postimplantacin (PIR) con los clientes y usuarios, para
garantizar que la entrega y los cambios que contiene funcionan a la perfeccin. Una
vez obtenida la aceptacin por el rea cliente y los usuarios, se procede al cierre de
la entrega y de las RFC que contiene.
726
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La revisin postimplantacin es ejecutada por la gestin de la entrega, y comunicada a gestin del cambio.
En cambios importantes, se suele dejar un plazo de un par de semanas para realizar
el PIR.
UNE-ISO/IEC 20000-2
Se debera medir y analizar el nmero de
incidentes relacionados con una entrega
en el periodo inmediatamente posterior a
un despliegue para evaluar su impacto
en el negocio, en las operaciones y en
los recursos de personal de apoyo.
727
Figura 10.1.8. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
728
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Resumen
El proceso de la gestin de la entrega proporciona control sobre la implementacin
de los cambios, garantiza la calidad de lo construido y vela por minimizar el
impacto de las paradas en los entornos productivos. Junto con la gestin del incidente, es uno de los procesos que ms recursos consume de TI y ms tensin
genera, por lo que deber tenerse en cuenta en su primera implementacin y en el
ciclo de mejora continua.
Por tanto, la gestin de la entrega:
Proporciona confianza, en cuanto a robustez de la solucin, al haber sido
certificada en los entornos y modelos de pruebas.
Aporta eficiencia a la organizacin, al ofrecer una sistemtica para el despliegue de componentes, optimizado y monitorizado, que reduce el tiempo necesario para realizar estas tareas. Automatizando aquellas que sean repetitivas.
Pone orden manteniendo un listado de cambios planificados (FSC).
Ejerce control sobre los servicios, al disponer de una sistemtica para instalar
cualquier versin de estos.
Garantiza, de forma coordinada con el proceso de la gestin del cambio, la
disponibilidad y estabilidad de la operacin diaria de los servicios con una
729
Responsable de la
gestin del servicio
SGSTI
Gestor de
la entrega
Administrador y
soporte del proceso
de entrega
Propietario del
modelo (SGSTI)
Especialista
en tecnologas
Especialista
en aplicaciones
Especialista
en formacin
poltica de entregas pactadas, con fechas para los pasos a explotacin acordados. Esto permite hacer un calendario junto con los responsables de los servicios, que posibilita el no hacer coincidir en el tiempo despliegues y puntas
de negocio, o fechas crticas para la correcta prestacin del servicio.
Prev con anterioridad la necesidad de recursos para el proceso, lo que permitir una correcta planificacin de las personas y los componentes.
Controla a los proveedores en cuanto a la validez de sus entregas.
Garantiza de que la CMDB esta correctamente actualizada.
Controla el software instalado en produccin, su parametrizacin y documentacin, a travs de una DSL actualizada. Esto incluye no slo sistemas operativos y aplicaciones sino tambin controladores de dispositivos y documentacin asociada.
730
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Beneficios
Los principales beneficios aportados por el proceso de gestin de la entrega son los
siguientes:
Los cambios en los servicios se realizan sin deterioro de la calidad de servicio.
Las nuevas versiones cumplen los objetivos propuestos.
Se reduce el nmero de incidentes por incompatibilidades con otro software
o hardware instalado.
Se establece un orden lgico para el paso a produccin, que permite la integracin no traumtica de las diferentes soluciones, evitando los incidentes
por efectos colaterales en produccin.
El proceso de pruebas asociado, no slo permite asegurar la calidad del software
y hardware que se va a instalar, sino que tambin permite conocer la opinin de
los usuarios sobre la funcionalidad y usabilidad de las nuevas versiones.
Tambin permite detectar posibles problemas de capacidad, en las pruebas
realizadas, y actuar con la gestin de la capacidad, para garantizar las necesidades en produccin.
El correcto mantenimiento de la DSL impide que se pierdan las valiosas
copias de los archivos fuente.
Se reduce el nmero de copias de software ilegales.
Control centralizado del software y hardware desplegado.
Se garantiza la existencia de un plan de marcha atrs a un punto estable, que
garantiza la posibilidad de continuidad de la explotacin, todos los despliegues
son controlados en cuanto un nivel de impacto y riesgo sobre la produccin.
Proteccin contra virus y problemas asociados a versiones de software incontroladas.
Se garantiza la existencia de los procedimientos de gestin y monitorizacin,
que permiten la correcta operatividad en produccin, del software y hardware
desplegado.
731
Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 2:
Cmo encaja la metodologa de pruebas en el proceso de entrega?
El equipo de desarrollo de software, qu papel juega en este proceso?
Cite dos mejores prcticas en su organizacin relativas al proceso de
entrega.
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
11
Captulo 11
La certificacin de la
gestin del servicio de TI
conforme a ISO/IEC 20000
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
735
El presente captulo introduce los aspectos prcticos sobre el conjunto de actividades necesarias para obtener la certificacin del cumplimiento de los requisitos de
ISO/IEC 20000-1.
En primer lugar, es importante resaltar que la certificacin no debera ser un fin en
s misma, sino ms bien un medio. Es un medio que aporta un reconocimiento por
una entidad ajena al proveedor de TI, independiente, imparcial y con la credibilidad necesaria. El hecho de recorrer el camino de la certificacin obliga a aplicar con
rigor los requisitos de la norma, por lo que tambin se conseguir una mejora significativa en la prestacin de los servicios.
La certificacin declara pblicamente a las partes interesadas (organizacin, clientes, proveedores, competencia) y a toda la sociedad en general, que dicha organizacin gestiona sus servicios mediante procesos de acuerdo a esta normativa.
Aunque la certificacin frente a ISO/IEC 20000 es voluntaria, observamos cmo
el mercado est exigindola cada vez ms, hoy se requiere en los contratos a suministradores de TI, pero en poco tiempo se ir extendiendo a los departamentos
internos. Adems, la certificacin de la gestin de los servicios de TI aporta una
herramienta de marketing, interna y externa, a las organizaciones que la han alcanzado.
A lo largo de este captulo se explicar todo el recorrido necesario para certificarse
en ISO/IEC 20000, desde la solicitud inicial hasta la ejecucin de la primera auditora y en su caso la obtencin de la certificacin. La descripcin del proceso se ha
realizado tomando como referencia los procedimientos del rea de certificacin de
AENOR, y aunque los conceptos son generalizables, algunas actividades pueden
variar en la certificacin con otras entidades certificadoras.
Antes de iniciar la lectura del captulo se recomienda revisar el apartado 1.3
Entender los entornos de normalizacin y certificacin de este libro, pues presentan una visin bastante completa de los actores en este mbito.
De forma complementaria, en el apartado 11.2 se proponen una serie de evidencias esenciales obtenidas de la experiencia prctica de la certificacin.
737
De forma paulatina, se observa que la alineacin con ISO/IEC 20000 es cada vez
ms un criterio empleado en la toma de decisiones relevantes en la contratacin de
recursos de TI, dado que la aplicacin de estas normas permite a cualquier proveedor de servicios de TI acreditar la calidad en la prestacin de sus servicios. Esto
quiere decir que estn alineados con el negocio, que se aplican criterios de eficiencia, que se reducen los riesgos de operacin del servicio, que se satisfacen los requisitos de sus clientes, que se vela por el cumplimiento de los suministradores, etc.
Para obtener la certificacin ISO/IEC 20000 es necesario tener implementado el
sistema de gestin del servicio de TI (SGSTI) y tambin haber evolucionado en las
formas de trabajar para incorporar las prcticas y los requisitos de estas normas.
A partir de este momento, se est en disposicin de cubrir una serie de etapas necesarias para la obtencin de la certificacin.
El ciclo de certificacin no es un recorrido lineal que empieza y termina. Ms
bien, es parecido a un crculo de mejora, que comienza con la certificacin inicial
y que culmina con el mantenimiento y mejora en la calidad de la gestin de los
servicios. Este aspecto es clave en ISO/IEC 20000-1. Por ello, en las normas se
738
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ha definido un apartado especfico denominado: 4. Planificacin e implementacin de la gestin del servicio y el ciclo PDCA, que se convierten en los instrumentos fundamentales, tanto para la realizacin de las auditoras de seguimiento
anual, como en la renovacin del certificado que se realiza cada 3 aos.
Para iniciar este camino se necesitan dos actores: el solicitante (empresa u organizacin que aspira a conseguir la certificacin conforme a la norma) y la entidad de
certificacin (empresa u organizacin que tras la etapa de auditora y evaluacin de
conformidad de la organizacin solicitante respecto a la norma, concede o deniega
la certificacin).
En la figura 11.1.2 se muestran las etapas del ciclo de certificacin.
Las 9 etapas del ciclo de certificacin se explican a continuacin. Estas etapas estn
en conformidad con ISO/IEC 17021.
739
1. Determinar alcance
2. Solicitud de certificacin
3. Auditora fase I:
Anlisis de documentacin
4. Auditora fase I:
Visita previa
5. Auditora fase II
La primera
certificacin
Existen
no conformidades?
Plan de acciones
correctivas
6. Evaluacin y decisin
Cumple
requisitos?
No
Auditora extraordinaria
(a los 6 meses)
Mantenimiento de
la certificacin
8. Auditoras de seguimiento
(aos 1 y 2)
9. Auditora de renovacin
(cada tercer ao)
Responsabilidad proveedor TI
Lidera el certificador
Fuente: AENOR.
740
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
PDCA. Pero no est tan claro si se deben certificar todos los servicios, todas las
localizaciones, todos los clientes a la vez. De aqu, la importancia en consensuar el
alcance.
Es frecuente acometer el alcance completo en varias certificaciones sucesivas, ms
pequeas, ms rpidas y con menos riesgo de fracaso. Es importante que los servicios seleccionados para la certificacin sean lo suficientemente representativos para
el proveedor de TI, ya sea por volumen de actividad, impacto en la cuenta de resultados, etc.
Una vez identificados los servicios hay que determinar las ubicaciones en las que se
prestan. Es necesario identificar qu ubicaciones entrarn a formar parte de la certificacin. En este punto, lo deseable es que las ubicaciones elegidas sean todas en
las que se prestan los servicios seleccionados y, en el caso de certificaciones con el
alcance reducido deben ser lo suficientemente representativas. Adems, las exclusiones deben estar perfectamente justificadas.
Llegados a este punto es recomendable que el proveedor de TI realice una evaluacin de la situacin actual del alcance definido para la certificacin (vase la evaluacin o assessment descrito en el captulo 4). De esta forma, podr determinar su
situacin respecto a los requerimientos de la norma. En el caso de necesitar acometer mejoras en el sistema de gestin del servicio de TI, evaluar su viabilidad, y
tomar la decisin de si se inicia el proceso de certificacin.
Hasta este momento el proveedor de TI no ha tenido contacto con el equipo de
auditora de la certificacin, por lo que la definicin del alcance y la evaluacin realizados son internas y no estn validadas por el certificador.
2. Solicitud de certificacin
El siguiente paso cubre la confeccin del formulario de solicitud de certificacin,
que la entidad de certificacin remite al proveedor de TI previa solicitud.
En la solicitud se incluye informacin, como por ejemplo, el alcance de la certificacin, contactos, direcciones, nmero de personas de la organizacin, nmero de
emplazamientos, etc. (vase la figura 11.1.3).
Esta informacin es importante, ya que proporciona una idea de la dimensin del
sistema de gestin de servicios que se pretende certificar y que ser una de las variables que se deben tener en cuenta a la hora de planificar la auditora. Esta planificacin determina el volumen de las actividades que se van a realizar y la estimacin
de carga de trabajo, que dar como resultado una oferta de la entidad de certificacin con un presupuesto.
741
Fuente: AENOR.
742
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
743
sern tenidas en cuenta por el equipo auditor en la siguiente actividad, que se denomina visita previa.
Este anlisis se puede realizar tanto en las instalaciones de la organizacin de TI,
como en las instalaciones de la entidad certificadora. En ocasiones se realiza
de forma conjunta con la visita previa que se detalla a continuacin. El anlisis de
documentacin y la visita previa forman parte de la auditora fase I.
744
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
5. Auditora fase II
La auditora fase II es la actividad clave en el proceso de certificacin. En ella el
equipo auditor evala al completo el sistema de gestin de servicios de TI
(SGSTI). Analiza su conformidad con relacin a los requisitos de la norma y comprueba su implantacin y funcionamiento operativo.
Para ello, la entidad certificadora confecciona un plan de auditora especfico para
el cliente (vase la figura 11.1.4).
La auditora fase II comienza con una reunin en la que se presenta el plan de trabajo de la auditora y se concretan las entrevistas con las personas de las reas que
sern objeto de la visita. Esta etapa, dependiendo del alcance de la certificacin
acordado, puede durar entre 3 y 6 jornadas.
Para cada uno de los servicios y centros incluidos en el alcance de la certificacin, se
revisar el cumplimiento del manual de gestin de servicios y su adecuacin a la
norma objeto de certificacin. Para realizar esta labor, el equipo auditor revisar el
cumplimiento de la norma mediante comprobaciones in situ y evidencias formales
de su cumplimiento.
El resultado de la auditora fase II se plasma en un informe, en cuyo contenido se
reflejarn las no conformidades o incumplimientos detectados por el equipo
auditor. Dichos incumplimientos estarn contrastados frente a los requisitos especificados por la norma, los legales o reglamentarios, los de los clientes de la organizacin o los propios del SGSTI.
El informe ser entregado y comentado en la reunin final de auditora.
Plan de acciones correctivas. En el caso que el informe de la auditora refleje no
conformidades, el proveedor de TI debe confeccionar un documento especfico: el
Plan de Acciones Correctivas (PAC).
Para ello, la organizacin dispone de un plazo de tiempo establecido para presentar
a la entidad de certificacin el plan de acciones correctivas dirigido a subsanar las no
conformidades detectadas en la auditora. En dicho plan se debe incluir un anlisis
745
de las causas que motivaron cada uno de los incumplimientos y, tambin, deben
quedar reflejados los responsables de la implantacin de dichas acciones.
Una vez emitido el plan de acciones correctivas, puede ocurrir que se necesiten
aclaraciones relacionadas con las acciones enviadas, por lo que podra ser necesario
efectuar ampliaciones del PAC.
6. Evaluacin y decisin
Cuando se ha cerrado el plan de acciones correctivas, el responsable de la auditora
enva un informe a la entidad de certificacin con una recomendacin sobre la conveniencia de conceder, o no, la certificacin al proveedor de TI solicitante.
746
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En este punto, el comit de certificacin (de la entidad de certificacin) decide otorgar o no la certificacin, basndose en el anlisis del informe de la auditora fase II y
en el plan de acciones correctivas, si se cumplen los requisitos de certificacin.
Auditora extraordinaria. En el caso que no se cumplan los requisitos de certificacin, sera necesaria una visita adicional, llamada auditora extraordinaria, que normalmente se planifica a seis meses despus de la auditora fase II. Su objetivo es comprobar la implantacin de los incumplimientos que motivaron la visita extraordinaria.
8. Auditoras de seguimiento
El certificado tiene una validez de tres aos. A lo largo de los cuales la entidad certificadora realizar auditoras de seguimiento para comprobar que el sistema de
gestin contina cumpliendo con los requisitos indicados en la norma y que cada
ao el SGSTI se mantiene y mejora dentro del ciclo de mejora continua.
De este modo, transcurrido un ao desde la certificacin, se planifica la primera
auditora de seguimiento (AS1) y, al ao de sta, se planifica la segunda auditora
de seguimiento (AS2).
9. Auditora de renovacin
Una vez cumplidos los 3 aos de validez, la certificacin expira (caduca) y se debe
realizar una auditora de renovacin de la certificacin (muy similar a la auditora
de certificacin fase II).
Tanto en las auditoras de seguimiento como en la de renovacin, tambin se emite
un informe en el que quedan reflejadas las no conformidades o incumplimientos. El
proceso de respuesta a las no conformidades mediante el plan de acciones correctivas
(PAC) se repite, as como, el de evaluacin y decisin.
747
Fuente: AENOR.
Si se siguen cumpliendo con los requisitos de certificacin, se otorga el mantenimiento (en el caso de auditoras de seguimiento) o la renovacin (en el caso de
auditora de renovacin) del certificado. Al igual que en la auditora fase II, tambin podra darse el caso que se necesitase de una auditora extraordinaria para
estos mantenimientos o renovaciones.
748
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
749
751
752
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
753
decir que sea un listado exhaustivo o excluyente, pero s til, y en algunos casos
suficiente para determinadas organizaciones.
Por tanto, esta relacin no se puede considerar como obligatoria, simplemente pretende ser una ayuda. Ser el auditor, en cada caso, el que determine cules son las
evidencias ms adecuadas para cada situacin. Dado que las evidencias son el modo
por el que la organizacin muestra que tiene control sobre cada uno de los procesos que integran el sistema de gestin, habr que adaptar el nmero y el tipo de
evidencias que se van a recopilar a la realidad de cada organizacin y cmo stas
se asocian a cada proceso.
A continuacin se detallan, para cada uno de los procesos definidos en la Norma
ISO/IEC 20000-1 las evidencias asociadas.
754
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
755
ao se haya auditado todo el sistema de gestin, siempre antes de la auditora de certificacin. Estas auditoras pueden ser realizadas por auditores que
pertenezcan a la compaa o, en su defecto, por un tercero independiente.
En cualquier caso debe respetarse el principio: No tener responsabilidad
directa sobre el trabajo que se va a auditar.
Informe de auditora interna.
Ficha de indicador. Proporciona informacin relativa al proceso, la descripcin del indicador, el tipo de anlisis que se debe realizar, el lmite admisible, el
responsable del indicador, la frecuencia del anlisis, la recogida de resultados.
Cuadro de seguimiento del sistema de gestin. Recopila todos los indicadores, agrupados por procesos y en l se van reflejando los resultados de cada
uno de los indicadores, segn la periodicidad establecida. Proporciona una
fotografa del desempeo y eficacia del sistema de gestin. Habitualmente
es mantenido por el responsable del sistema. Estos indicadores deben tener
un valor objetivo a alcanzar o un umbral de control.
Cuadro de gestin de la mejora. Al igual que ocurre con los indicadores,
consolida todas las propuestas de mejora realizadas por cualquier actor del
sistema de gestin, una vez que han sido aprobadas por el responsable del
sistema o la direccin (segn proceda). Facilita el seguimiento de las mejoras
y su gestin.
756
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
757
758
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
759
760
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Elementos de configuracin (CI). Informacin correcta sobre los componentes de los servicios en la CMDB.
Base de datos de gestin de la configuracin (CMDB). Actualizada.
Biblioteca de software definitivo (DSL). Actualizada.
Informes de la gestin de la configuracin.
Resultados de auditoras de la configuracin.
Evidencias para 9.2. Gestin del cambio:
Solicitudes de cambio (RFC). Debe poder diferenciarse qu RFC corresponden a cambios urgentes frente al resto. Datos de las RFC correctamente
cumplimentados. Existencia de planes de marcha atrs.
Informes de disponibilidad prevista (PSA).
Informes de los resultados de las pruebas.
Informes de intervenciones.
Lista de cambios planificados (FSC).
Informes de revisiones post implementacin (PIR).
Lista de notificacin de intervencin sin registrar.
Actas del comit de cambios (CAB).
761
Bibliografa y referencias
764
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Bibliografa y referencias
765
Normativa
UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del servicio.
Parte 1: Especificaciones.
UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del servicio.
Parte 2: Cdigo de buenas prcticas.
UNE-ISO/IEC 17021:2006 Evaluacin de la conformidad. Requisitos para los
organismos que realizan la auditora y la certificacin de sistemas de gestin.
UNE-ISO 10005:2005 Sistemas de gestin de la calidad. Directrices para los planes
de la calidad.
UNE-ISO/IEC 17799:2002 Tecnologa de la informacin. Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin.
UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
UNE 71044:1999 Tecnologa de la informacin. Procesos del ciclo de vida del software.
UNE-EN ISO 9001:2008 Sistemas de gestin de la calidad. Requisitos.
ISO/IEC 15288:2008 Systems and software engineering System life cycle processes.
ISO/IEC 15504-1:2004 Information technology Process assessment Part 1: Concepts and vocabulary.
ISO/IEC 15504-2:2003 Information technology Process assessment Part 2: Performing an assessment.
ISO/IEC 15504-3:2004 Information technology Process assessment Part 3:
Guidance on performing an assessment.
ISO/IEC 15504-4:2004 Information technology Process assessment Part 4: Guidance on use for process improvement and process capability determination.
ISO/IEC 15504-5:2006 Information technology Process Assessment Part 5: An
exemplar Process Assessment Model.
766
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ISO/IEC TR 24774:2007 Software and systems engineering Life cycle management Guidelines for process description.
Trminos y definiciones
Activo (Asset): Componente de un servicio de TI. Los activos pueden incluir personas, alojamiento, sistemas de ordenadores, redes, registros manuales, fax, etc.
Acuerdo de nivel de servicio (SLA): Un acuerdo escrito entre el proveedor de
servicio y cliente, que documenta niveles de servicio acordados por un servicio.
Acuerdos de colaboracin operacional (OLA): Un acuerdo interno que da
cobertura a los servicios que soporta la organizacin de TI en su prestacin
de servicios al cliente.
Anlisis del impacto (impact analysis): La identificacin de procesos de negocio
crticos, y el dao potencial o la prdida que se puede causar a la organizacin
como resultado de una interrupcin a estos procesos.
Anlisis del riesgo: La identificacin y evaluacin del nivel (medida) de los riesgos, calculado a partir del valor de los activos y de los niveles evaluados de amenazas y vulnerabilidades a los que estn expuestos dichos activos.
Autoridad de cambios (Change authority): Grupo al que se delega autoridad de
aprobacin de los cambios, por ejemplo por un comit de proyectos. Algunas
veces tambin se le conoce como comit de configuracin.
Base de datos de la gestin de la configuracin (CMDB): Una base de datos
que contiene todos los detalles relevantes de cada CI y detalles de relaciones
importantes entre los CI.
Biblioteca de software: Una coleccin controlada de CI software designada para
mantener juntos esos que tienen estados o gneros similares y segregados de
esos que no se parecen, para ayudar en desarrollo, operacin y mantenimiento.
Biblioteca de software definitivo (DSL): Repositorio en el que se almacenan y
protegen las versiones autorizadas definitivas de todos los CI software. Se trata
768
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Trminos y definiciones
769
770
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Trminos y definiciones
771
entrega delta contendr slo aquellos mdulos que hayan sido modificados o
renovados desde la ltima entrega.
Error conocido (KE, Known Error): Aquel incidente, o aquel problema, cuya causa
raz se conoce y para la que se ha identificado un arreglo provisional o una alternativa permanente. Ante un caso con impacto en el negocio se realizar una solicitud
de cambio (RFC), pero siempre seguir considerndose como error conocido
hasta su solucin permanente mediante el correspondiente cambio.
Estructura de la configuracin (Configuration structure): Jerarqua de todos
los CI que conforman una configuracin.
Externalizacin: El proceso mediante el cual las funciones realizadas por la organizacin son contratadas externamente para la operacin por terceros en nombre de la organizacin.
Funcin de negocio (Business function): Una unidad de negocio en la organizacin, por ejemplo, un departamento, divisin, oficina, etc.
Gestin de la configuracin (Configuration management): Proceso que se
ocupa de la identificacin y definicin de los CI de un sistema, registrando e
informando sobre el estado de los CI y las RFC (solicitudes de cambio), y verificando la exactitud y correccin de dichos CI.
Gestin de nivel de servicio (Service level management): El proceso encargado
de definir, acordar, documentar y gestionar los niveles de servicio al cliente,
segn sus requerimientos y con unos costes justificados.
Gestin de servicios (Service management): Gestin de los servicios segn los
requisitos del cliente.
Gestin del cambio (Change management): Proceso de control de los cambios
de cualquier aspecto de los servicios, o en la infraestructura, de un modo controlado, permitiendo llevar a cabo los cambios aprobados con el mnimo
impacto en el servicio.
Gestin del coste (Cost management): Todos los procedimientos, tareas y entregables necesarios para satisfacer el coste de una organizacin y los requerimientos de precio.
Herramienta de gestin de la configuracin (Configuration management tool):
Un producto software que proporciona asistencia automatizada para el control
de cambios, configuracin y versiones.
Hoja de especificaciones (SS, SpecSheet): Especifica detalladamente lo que el
cliente quiere (externo) y que consecuencias tiene para el proveedor de servicio
(interno), como recursos requeridos y habilidades.
772
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Trminos y definiciones
773
principalmente de naturaleza fsica, y que son materia de la gestin de la continuidad del negocio.
Prioridad (Priority): La secuencia en la que es necesario resolver un incidente o
un problema, basndose en su impacto y urgencia.
Problema (Problem): La causa desconocida que subyace a uno o ms incidentes.
Proceso (Process): Una serie de acciones, actividades, cambios, etc., conectados
entre s y realizados por agentes determinados, con la intencin de lograr un
propsito o alcanzar un objetivo.
Proceso de negocio (Business process): Un grupo de actividades asumidas por la
organizacin en la bsqueda de un objetivo comn. Los procesos tpicos de
negocio incluyen la recepcin de pedidos, servicios de marketing, venta de productos, provisin de servicios, distribucin de productos, facturacin de servicios, contabilidad de los ingresos. Un proceso de negocio habitualmente soporta
varias funciones de negocio diferentes, por ejemplo, TI, personal, alojamiento.
Un proceso de negocio difcilmente funciona aislado, es decir, otros procesos de
negocio dependern de l y l depender de otros procesos.
Programa: Un conjunto de actividades y proyectos que implementan de forma
conjunta un nuevo requerimiento o funcin corporativa.
Programa de mejora de servicio (SIP, Service Improvement Programme): Un
proyecto formal emprendido dentro de una organizacin para identificar e
introducir mejoras medibles dentro de un rea o proceso de trabajo.
Proveedor de servicio (Service provider): Organizacin de terceros que suministra servicios o productos a clientes.
Proveedor tercero (Third-party supplier): Una empresa o grupo, externo a la
empresa del cliente, que proporciona servicios y/o productos a la empresa de
aquel.
Registro del cambio (Change record): Registro que contiene detalles sobre los
CI afectados por un cambio autorizado (planificado o implementado) y cmo
resultan afectados.
Repositorio de software (Software library): Una serie controlada de CI de software designado para mantener juntos los que tengan un estado y tipo similares,
y separados de los que sean distintos, sirviendo as de ayuda para el desarrollo,
las operaciones y el mantenimiento.
Riesgo: Una medida de la exposicin a un evento inesperado a la que puede estar
sujeta una organizacin. Es una combinacin de la probabilidad de ocurrencia
774
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
de una interrupcin del negocio y de las posibles prdidas que pueda ocasionar
dicha interrupcin.
Rol (Role): Una serie de responsabilidades, actividades y autorizaciones.
Servicios (Services): Entregables de la organizacin de servicios informticos que
son percibidos por los clientes; los servicios no consisten simplemente en hacer
disponibles los recursos de ordenadores para el uso de los clientes.
Sistema (System): Conjunto integrado de uno o ms procesos, hardware, software,
utilidades y personal, que proporciona la capacidad de satisfacer una necesidad
o un alcanzar objetivo determinado.
Solicitud de cambio (RFC, Request For Change): Formulario o pantalla usada
para registrar los detalles de una solicitud para un cambio a cualquier CI dentro
de la infraestructura o para procedimientos y elementos asociados con la infraestructura.
Solucin temporal (Workaround): Mtodo para evitar un incidente o un problema, bien mediante un arreglo provisional o mediante una tcnica que implique que el cliente no dependa de un aspecto especfico del servicio del cual se
sepa que presenta un problema.
TIC (ICT) / TI (IT): La convergencia de Informacin Tecnolgica, Comunicaciones y Datos.
Unidad de negocio: Una divisin de una entidad de negocio en la que los ingresos son registrados y los gastos incurridos se controlan, de forma que los ingresos y gastos se usan para evaluar el rendimiento de la divisin.
Urgencia (Urgency): Medida de la criticidad para el negocio de un incidente o
un problema, basada en su impacto sobre las necesidades de negocio de los
clientes.
Usuario (User): La persona que utiliza los servicios de manera habitual.
Usuario final (End-User): Vase Usuario.
Versin (Version): Elemento identificado de un CI, dentro de la estructura desglosada de un producto o en la estructura de configuracin, que sirve de referencia para el seguimiento y auditoria del historial de cambios. Tambin se utiliza en los SCI, definindose una referencia especfica en el desarrollo para el
diseo, revisin, modificacin, pruebas o produccin.
Versin completa (Full release): Todos los componentes de la unidad de entrega
que se desarrollan, prueban, distribuyen e implementan a la vez. Vase tambin
versin delta.
Trminos y definiciones
775
Versin delta (Delta release): Una versin delta o parcial, es aqulla que solamente incluye los CI de la unidad de entrega que se hayan modificado o renovado desde la ltima entrega completa o parcial (delta). Por ejemplo, si la unidad de versin es el programa, una versin delta contendr solo aquellos
mdulos que hayan sido modificados o renovados desde la ltima entrega completa del programa o desde la ltima versin delta de determinados mdulos.
Vase tambin Versin completa.