14 Capítulo Assesment ITIL 20000

Anexo 1. Cuestionario de autoevaluación

Anexo 1

Cuestionario de autoevaluación

(Cuestionario no incluido en el Libro por motivos de espacio)

document.doc 1 Libro ISO200001

A


ISO/IEC 20000.Guía completa de aplicación

para la gestión de los serviciosde tecnologías de la informa-

ciónAnexo 1

Cuestionario de autoevaluación

(Cuestionario no incluido en el Libro por motivos de espacio)

Título: ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la informaciónTelefónica, S.A.Coordinador: Luis Morán Abad© AENOR (Asociación Española de Normalización y Certificación), 2009Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,sin la previa autorización escrita de AENOR.© Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office ofGovernment Commerce under delegated authority from the Controller of HMSO.ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.The Swirl logo™ is a Trade Mark of the Office of Government Commerce.The OGC logo® is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.PRINCE® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.IT Infrastructure Library® is Registered Trade Mark of the Office of Government Commerce in the UnitedKingdom and other countries.M_o_R® is Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.ISBN: 978-84-8143-662-4Depósito Legal: M-47292-2009Impreso en España - Printed in SpainEdita: AENORMaqueta y diseño de cubierta: AENORImprime: XxxxxxNota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.




En este anexo se presenta un cuestionario que permita al proveedor de TI conocer su

posicionamiento en relación al cumplimiento de los requisitos de las Normar ISO/IEC

20000 partes 1 y 2. Este cuestionario es orientativo y no es vinculante para las auditorías

y certificaciones. El cuestionario se ha estructurado siguiendo lo capítulos de requisi-

tos de la norma, por ello comienza en el capítulo 3.

3. Requisitos del sistema de gestión

# Pregunta SI NOFecha

PlanificadaPeso

3.1 Responsabilidades de la dirección

3.1.1 La alta dirección debe proveer, a través del liderazgo y de acciones, evidencias de su compromiso en desarrollar, implementar y mejorar sus capacidades de gestión de servicios dentro del contexto de los requisitos de negocio de la organización y de los requisitos de los clientes.

3.1.2 La dirección debe:

a. Establecer las políticas de gestión de servicios, sus objeti-vos y planes.

b. Comunicar la importancia de cumplir con los objetivos de gestión de servicios y la necesidad de mejora continua.

c. Asegurar que los requisitos del cliente están fijados y son cumplidos con el propósito de mejorar la satisfacción del cliente.

d. Designar un miembro de la dirección como responsable para la coordinación y gestión de todos los servicios.

e. Determinar y proveer recursos para planificar, implemen-tar, monitorizar, revisar y mejorar la provisión y gestión del servicio, por ejemplo, contratación del personal apropiado o gestionar la rotación de personal.

f. Gestionar los riesgos para la organización de gestión del servicio y para los servicios.

g. Llevar a cabo revisiones de la gestión de servicios, en los intervalos planificados, para asegurar la idoneidad, la ade-cuación y la efectividad continuadas.

3.1.3 Para asegurar el compromiso se debería identificar un responsable a nivel de alta dirección como responsable de los planes de gestión del servicio. Este responsable senior debe responsabilizarse de la entrega a todos los niveles del plan de gestión de los servicios.

3.1.4 El rol de responsable senior debe estar al frente de los recursos de-




PlanificadaPeso

signados para las actividades de mejora del servicio, bien sean acti-vidades continuas o con un enfoque de proyecto.

3.1.5 El responsable senior debe estar apoyado por un grupo de toma de decisiones con suficiente autoridad para definir la política y para ha-cer cumplir sus decisiones.

3.2 Requisitos de documentación3.2.1 Los proveedores de servicios deben proveer documentos y regis-

tros para asegurar una efectiva planificación, operación y control de la gestión del servicio:

Políticas y planificaciones documentadas de la gestión de ser-vicios.a. Acuerdos del nivel de servicio documentados.

b. Procesos y procedimientos documentados requeridos por esta norma.

c. Registros requeridos por esta norma.

d. Procedimientos y las responsabilidades para: la creación, revisión, aprobación, mantenimiento, eliminación y control de los diferentes tipos de documentos y registros.

3.2.2 El responsable senior debe asegurar que las evidencias necesarias están disponibles para una auditoria de las políticas, planificaciones y procedimientos de la gestión del servicio y de cualquier actividad relacionada con ellos.

3.2.3 Debe existir un proceso para la creación y gestión de los documen-tos para ayudar a asegurar que las características descritas son cu-biertas.

3.2.4 La documentación debe ser protegida de daños debidos, por ejem-plo, a escasas condiciones del entorno donde se encuentran y de-sastres en los sistemas informáticos.

3.3 Competencia, conciencia y formación3.3.1 Deben definirse y mantenerse todos los roles y las responsabilida-

des de la gestión de servicios junto con las competencias que sean requeridas para su ejecución efectiva.

3.3.2 Las competencias y necesidades de formación del personal deben ser revisadas y gestionadas para permitir al personal llevar a cabo sus roles de forma efectiva.

3.3.3 La alta dirección debe asegurar que sus empleados son conscien-tes de la relevancia e importancia de sus actividades y de como de-ben contribuir a la consecución de los objetivos de la gestión de servicios.

3.3.4 El personal que realiza el trabajo en el ámbito de la gestión del ser-vicio debe ser competente gracias a la educación recibida, la forma-




PlanificadaPeso

ción, las habilidades y a la experiencia adecuada.3.3.5 El proveedor del servicio debe:

a. Determinar las aptitudes necesarias para cada rol en la gestión del servicio.

b. Asegurar que el personal es consciente de la relevancia e importancia de sus actividades dentro del más amplio con-texto de negocio y de cómo contribuyen a la consecución de objetivos de calidad.

c. Mantener registros apropiados de la educación, la forma-ción, las habilidades y la experiencia.

d. Proveer formación o llevar a cabo otras acciones que sa-tisfagan estas necesidades.

e. Evaluar la efectividad en las actuaciones realizadas.

3.3.6 El proveedor del servicio debería desarrollar y mejorar las compe-tencias profesionales de su fuerza de trabajo (Contratación, Planifi-cación, Formación y Desarrollo - Ver apartado 3.3.2 de ISO 20000:2-).

3.3.7 Se debe formar al personal en los aspectos relevantes de la gestión del servicio (por ejemplo, vía cursos de formación, auto estudio, tu-torías y formación en el trabajo) y se debería desarrollar el trabajo en equipo y las habilidades de liderazgo.

3.3.8 Se debe mantener un registro de formación cronológica para cada persona, junto con descripciones de la formación proporcionada.

3.3.9 Para que los equipos de personal alcancen unos niveles apropiados de competencia, el proveedor del servicio debería decidir cual es la proporción óptima entre las contrataciones a corto plazo y de forma permanente.

3.3.10 El proveedor del servicio debería decidir también en cuanto a la proporción a alcanzar entre la contratación de nuevo personal con las habilidades requeridas y el reciclaje de personal ya existente.

NOTA: El óptimo equilibrio entre las contrataciones a corto plazo y de forma permanente es particularmente importante cuando el pro-veedor del servicio está planificando como proveer un servicio du-rante y después de cambios a gran escala en el número y habilida-des del personal de soporte.

3.3.11 Los factores que se deben considerar para establecer la combina-ción más adecuada de estos enfoques incluyen:

a. Carácter de las competencias nuevas o modificadas: si son de corto o de medio plazo.

b. Tasa de cambio en las habilidades y competencias.c. Picos y descensos esperados en la carga de trabajo y

combinación de habilidades requeridas, datos que se de-ben basar en la gestión del servicio y en la planificación de mejora del servicio.

d. Disponibilidad de personal competente.




PlanificadaPeso

e. Tasas de rotación de personal.

f. Planes de formación.

3.12 Para todo el personal, el proveedor del servicio debe revisar el ren-dimiento a nivel individual al menos anualmente y tomar las accio-nes oportunas.

4. PLANIFICACIÓN E IMPLEMENTACIÓN DE LA GESTIÓN DEL SERVI-

CIO


PlanificadaPeso

4.1 Planificación de la gestión de servicios (Planificar)

4.1.1 La dirección debe definir el alcance como parte de sus responsabili-dades de gestión (y como parte del plan de gestión del servicio). Luego se debería comprobar si el alcance resulta adecuado para ISO/IEC 20000-1.

4.1.2 Las planificaciones deben definir:

a. El alcance de la gestión del servicio en el proveedor del servicio.

b. Los objetivos y los requisitos que deben ser alcanzados por la gestión de servicio.

c. Las planificaciones deben definir los procesos que se van a ejecutar.

d. El marco de los roles y responsabilidades de la dirección, incluyendo: al directivo responsable de alto nivel, al propie-tario del proceso y al gestor de los suministradores.

e. Las interfaces entre los procesos de gestión del servicio y el modo en que se deben coordinar las actividades.

f. El enfoque que se debe dar a la identificación, la evalua-ción y la gestión de actividades y riesgos para la consecu-ción de los objetivos definidos.

g. El enfoque para la relación con proyectos que estén crean-do o modificando servicios.

h. Los recursos, el equipamiento y los presupuestos necesa-rios para alcanzar los objetivos definidos -

i. Las herramientas adecuadas para dar soporte a los proce-sos

j. Cómo se gestionará, auditará y mejorará la calidad del ser-vicio.

4.1.3 La planificación de la gestión del servicio debe formar parte del pro-




PlanificadaPeso

ceso para convertir las necesidades de los clientes y las intenciones de los directivos en servicios y para proporcionar una guía para diri-gir el progreso.

4.1.4 Un plan de gestión del servicio debe incluir:

a. La implementación de la gestión del servicio (o de parte de la gestión del servicio).

b. La entrega de los procesos de gestión del servicio.

c. Los cambios de los procesos de gestión del servicio.

d. Las mejoras de los procesos de gestión del servicio.

e. Los nuevos servicios (hasta el punto que afectan a los pro-cesos incluidos en el alcance acordado de la gestión del servicio).

4.1.5 El plan de gestión del servicio debería estar dirigido a los procesos de gestión del servicio y a los cambios en los servicios desencade-nados por mejoras del servicio, la estandarización de infraestructu-ras, cambios de la legislación, etc…

4.1.6 Debe haber una dirección de gestión definida y responsabilidades documentadas para revisar, autorizar, comunicar, implementar y mantener los planes.

4.1.7 Cualquier plan específico de un proceso que se elabore deberá ser compatible con el plan de gestión del servicio.

4.2 Implementación de la gestión de los servicios y la presta-ción de los servicios (Realizar)

4.2.1 Plan de gestión para:

a. Los presupuestos y la asignación de fondos.

b. La asignación de roles y responsabilidades

c. La documentación y el mantenimiento de políticas, planes, procedimientos y definiciones para cada proceso o conjun-to de ellos.

d. La identificación y la gestión de riesgos para el servicio.

e. La gestión de la fuerza de trabajo, por ejemplo, la contrata-ción y el desarrollo del personal adecuado y la gestión de la retención del personal.

f. La gestión del equipamiento y el presupuesto.




PlanificadaPeso

g. La gestión de los equipos o grupos, incluidos el centro de servicio al usuario y las operaciones.

h. Informar del progreso en comparación con los planes.

i. La coordinación de los procesos de gestión de servicios.

4.3 Monitorización, medición y revisión (Comprobar)

4.3.1 El proveedor del servicio debe aplicar métodos adecuados para la monitorización y, cuando sea necesario, la medición de los proce-sos de gestión del servicio. Estos métodos deberán demostrar la capacidad de los procesos para alcanzar los resultados planifica-dos.

4.3.2 Los resultados del análisis deben de dar entrada de información a un plan para la mejora del servicio.

4.3.3 Los requisitos de gestión del servicio cumplen el plan de gestión del servicio y los requisitos de esta norma.

4.3.4 Los requisitos de gestión del servicio se implementan y se mantie-nen eficazmente.

4.3.5 Se debe planificar un programa de auditorías, teniendo en cuenta el estado y la importancia de los procesos y las áreas que se deben auditar, así como, los resultados de las auditorías anteriores.

4.3.6 Se deben definir en un procedimiento: los criterios, el alcance, la frecuencia y los métodos de la auditoría.

4.3.7 La selección de los auditores y la realización de las auditorías debe garantizar la objetividad y la imparcialidad del proceso de auditoría.

4.3.8 Los auditores no deben auditar su propio trabajo.

4.3.9 El objetivo de las revisiones, evaluaciones y auditorías de la gestión del servicio se debe registrar junto con las conclusiones de dichas auditorías, sus revisiones y las acciones correctivas que se hayan identificado.

4.3.10 Las auditorías internas y las comprobaciones se deberían planificar, ser llevadas a cabo de modo competente y ser registradas.

4.3.11 Se debe comunicar a las partes relevantes la existencia de cual-quier área significativa con alguna no conformidad u otra discrepan-cia.

4.4 Mejora Continua (Actuar)

4.4.1 Debe haber una política publicada sobre la mejora del servicio.

4.4.2 Se debe corregir cualquier falta de conformidad con la norma o con




PlanificadaPeso

los planes de gestión del servicio. 4.4.3 Se deben definir claramente los roles y las responsabilidades para

las actividades de mejora del servicio.4.4.4 Todas las personas implicadas en la gestión del servicio y la mejora

del servicio deben ser conscientes de la política de calidad del ser-vicio y de cuál debería ser su contribución personal a la consecu-ción de los objetivos establecidos en esta política.

4.4.5 Se deben evaluar, registrar, priorizar y autorizar todas las mejoras del servicio propuestas.

4.4.6 Se debe utilizar un plan para controlar la actividad.

4.4.7 Debe haber una coordinación eficaz entre la estructura de gestión propia del proveedor del servicio, los clientes y los suministradores del proveedor del servicio al tratar cuestiones que afecten a la cali-dad del servicio y a los requerimientos del cliente.

4.4.8 El proveedor del servicio debe disponer de un proceso para identifi-car, medir y gestionar las actividades de mejora e informar de di-chas actividades continuamente.

4.4.9 Este proceso debe incluir: las mejoras de un proceso aislado que el propietario del proceso pueda implementar con los recursos de per-sonal habituales (por ejemplo, la realización de acciones correctivas y preventivas.

4.4.10 Este proceso debe incluir: las mejoras en toda la organización o en más de un proceso.

4.4.11 Los proveedores del servicio deben adoptar un enfoque metódico y coordinado para cumplir los requisitos de la política desde su propia perspectiva y desde la perspectiva del cliente.

4.4.12 El proveedor del servicio debe realizar actividades para recopilar y analizar datos para delimitar y medir la capacidad del proveedor del servicio para gestionar y proveer el servicio junto con los procesos de gestión del mismo.

4.4.13 Antes de implementar un plan de mejora del servicio, se deben re-gistrar los niveles de servicio y la calidad del servicio como línea ba-se sobre la que se puedan comparar las mejoras reales. La mejora real se debería comparar con la mejora prevista para evaluar la efi-cacia del cambio.

4.4.14 El proveedor del servicio debe realizar actividades para:

a. Identificar, planificar e implementar mejoras.

b. Consultar a todas las partes implicadas.

c. Establecer objetivos de mejora en: la calidad, los costes y la utilización de recursos.

d. Tener en cuenta las aportaciones de relevancia, referentes a mejoras, que se realicen desde todos los procesos de gestión de servicios.

e. Medir, informar y comunicar las mejoras en el servicio.

f. Revisar las políticas, los planes y los procedimientos de gestión del servicio, siempre que sea necesario.

4.4.15 Los objetivos de mejora del servicio deben ser medibles, estar vin-




PlanificadaPeso

culados con objetivos de negocio y estar documentados en un plan.4.4.16 La mejora del servicio se debe gestionar activamente y el progreso

se debe supervisar tomando como referencia los objetivos acorda-dos formalmente.

4.4.17 El proveedor del servicio debe realizar actividades para garantizar que todas las acciones aprobadas se lleven a cabo y que se alcan-cen los objetivos deseados.

5. PLANIFICACIÓN E IMPLEMENTACIÓN DE SERVICIOS NUEVOS O MO-

DIFICADOS


PlanificadaPeso

5.1 Planificación e implementación de servicios nuevos o mo-dificados

5.1.1 En las propuestas, de nuevos servicios o modificaciones en los existentes, se deben considerar los costes y el impacto organizati-vo, técnico y comercial que pudieran derivar de su entrega y ges-tión.

5.1.2 La planificación de servicios nuevos o modificados debe incluir la revisión de los siguientes puntos:

a. Presupuestos.

b. Recursos de personal.

c. Niveles de servicio existentes.

d. SLAs y otros objetivos o compromisos del servicio.

e. Procesos de gestión del servicio, procedimientos y docu-mentación existentes.

f. El enfoque de la gestión del servicio, incluyendo la imple-mentación de los procesos de gestión del servicio que hu-bieran sido excluidos previamente del enfoque.

5.1.3 La implementación, de nuevos servicios o modificaciones en los existentes (incluyendo la eliminación de un servicio), debe ser plani-ficada y aprobada a través de un proceso formal de gestión del cambio.

5.1.4 Todas las modificaciones al servicio deben ser reflejadas en regis-tros de Gestión del Cambio. Esto incluye a los planes para:

a. La contratación y formación del personal.

b. La reubicación.

c. La formación al usuario.


10



PlanificadaPeso

d. Las comunicaciones sobre los cambios.

e. Los cambios en la naturaleza de la tecnología a la que se da soporte.

f. El cierre formal de los servicios.5.1.5 La planificación e implementación deben incluir fondos y recursos

adecuados para realizar los necesarios cambios para la provisión y la gestión del servicio.

5.1.6 Los planes deben incluir los roles y responsabilidades para imple-mentar, operar y mantener los nuevos servicios o modificaciones en los existentes, incluyendo las actividades a llevar a cabo por clien-tes y suministradores.

5.1.7 Los planes deben incluir los cambios al marco de trabajo existente de gestión de servicios y a los propios servicios.

5.1.8 Los planes deben incluir:

a. La comunicación a las partes relevantes.

b. Los nuevos contratos y acuerdos, o modificaciones a los contratos y acuerdos existentes, para estar alineados con las necesidades del negocio.

c. Los requisitos de mano de obra y contratación.

d. Los requisitos de perfiles y formación, por ejemplo: usuarios, soporte técnico.

e. Los procesos, medidas, métodos y herramientas que de-ben ser usados en relación a los nuevos servicios o mo-dificaciones en los existentes, por ejemplo: gestión de la capacidad, gestión financiera.

f. Los presupuestos y plazos de tiempo.

g. Los criterios de aceptación del servicio.

h. Los resultados esperados al operar con el nuevo servi-cio, expresados en términos medibles.

5.1.9 Los nuevos servicios, o modificaciones en los existentes, deben ser aceptados por el proveedor del servicio antes de ser implementa-dos en el entorno de producción real.

5.1.10 Tras la implementación, el proveedor del servicio debe informar de los resultados alcanzados por el servicio nuevo, o el servicio modifi-cado, en comparación con aquellos previstos. Debe realizarse una revisión posterior a la implementación, que compare los resultados reales con los planificados a través del proceso de gestión del cam-bio.


11


6. PROCESO DE LA ENTREGA DEL SERVICIO


PlanificadaPeso

6.1 Gestión del Nivel de Servicio

6.1.1 Catalogo de Servicios

6.1.1.1 Totalidad de los servicios definidos.

6.1.1.2 Todos los servicios deben definirse en un catálogo de servicios. Es-te catálogo puede ser referenciado desde el SLA y debería em-plearse para recoger aspectos considerados demasiado cambian-tes como para ser introducidos en el SLA.

6.1.1.3 Contienen especificaciones de servicio que no puedan ser incluidas en los ANS.

6.1.1.4 El catálogo de servicios debe estar actualizado en todo momento.Nota: El catálogo de servicios puede incluir información genérica como:

a. Nombre del servicio.

b. Objetivos (p. e. tiempo de respuesta o de instalación de una impresora, tiempo para reiniciar un servicio tras un fa-llo importante).

c. Medios de contacto (teléfonos u otra información).

d. Horario del servicio y excepciones.

e. Planes de seguridad.6.1.1.5 El catálogo de servicios es un documento clave para fijar las expec-

tativas del cliente y debe ser fácilmente accesible y estar amplia-mente disponible tanto para los clientes como para la plantilla de soporte.

6.1.1.6 La descripción del servicio incluye:

a. Los datos de los contactos relevantes.

b. Los horarios de servicio y ventanas de mantenimiento.

c. Los requisitos de seguridad.

6.1.1.7 El catálogo de servicios es fácilmente accesible para los cliente y los equipos de soporte.

6.1.1.8 El catalogo de servicio incluye una valoración financiera de cada uno de los servicios.

6.1.2 Acuerdos de Nivel de Servicio

6.1.2.1 Incluye y describe conjunto total de los servicios ofrecidos acorda-dos y registrados por todas las partes.

6.1.2.2 Incluye y describe los objetivos de nivel de servicio correspondien-tes a los servicios ofrecidos acordados y registrados por todas las


12



PlanificadaPeso

partes.6.1.2.3 Los ANS son acordados y registrados por todos los participantes re-

levantes.

6.1.2.4 Los procedimientos de Establecimiento de los ANS son acordados y registrados por todos los participantes relevantes.

6.1.2.5 Los procedimientos de revisión de los ANS son acordados y regis-trados por todos los participantes relevantes.

6.1.2.6 Los procedimientos de Actualización de los ANS son acordados y registrados por todos los participantes relevantes.

6.1.2.7 Los ANS deben ser formalmente autorizados por representantes del cliente y del proveedor del servicio con la debida autoridad.

6.1.2.8 Cada servicio ofrecido es definido en uno o más Acuerdos de Nivel de Servicio.

6.1.2.9 Cada servicio ofrecido es acordado en uno o más Acuerdos de Ni-vel de Servicio.

6.1.2.10 Cada servicio ofrecido es documentado en uno o más Acuerdos de Nivel de Servicio.

6.1.2.11 ANS bajo el control de la gestión del cambio.

6.1.2.12 Descripción del Servicio sujeta a Gestión del Cambio.6.1.2.13 Las necesidades y el presupuesto del cliente son los parámetros

que se utilizan para la definición de los objetivos y la estructura de los ANS.

6.1.2.14 Los parámetros base frente a cuales se medirán los niveles de ser-vicio son definidos desde la perspectiva del cliente.

6.1.2.15 Los ANS incluyen únicamente un extracto apropiado de los objeti-vos de servicio basados en los aspectos cruciales del servicio.

6.1.2.16 El contenido mínimo de un ANS debe ser: Ver descripción ISO 20000:2 - Apt. 6.1.2 - P4 (a-t).

6.1.3 Acuerdos de Servicio de Soporte

6.1.3.1 Existe un o varios Acuerdos de Servicio de Soporte respaldando ca-da uno de los ANS existentes.

6.1.3.2 Conjunto de los componentes de los servicios ofrecidos acordados y registrados por todas las partes.

6.1.3.3 Objetivos de nivel de servicio correspondientes a los componentes de los servicios ofrecidos acordados y registrados por todas las par-tes.

6.1.3.4 Acuerdos de Servicio de Soporte acordados y registrados por todos los participantes relevantes.

6.1.3.5 Procedimientos de Establecimiento de los Acuerdos de Servicio de Soporte acordados y registrados por todos los participantes rele-vantes.


13



PlanificadaPeso

6.1.3.6 Procedimientos de revisión de los Acuerdos de Servicio de Soporte acordados y registrados por todos los participantes relevantes.

6.1.3.7 Procedimientos de Actualización de los Acuerdos de Servicio de Soporte acordados y registrados por todos los participantes rele-vantes.

6.1.3.8 Cada componente de servicio ofrecido es definido en uno o más Acuerdos de Servicio de Soporte.

6.1.3.9 Cada componente de servicio ofrecido es acordado en uno o más Acuerdos de Servicio de Soporte.

6.1.3.10 Cada componente de servicio ofrecido es documentado en uno o más Acuerdos de Servicio de Soporte.

6.1.3.11 Acuerdos de Servicio de Soporte bajo el control de la gestión del cambio.

6.1.4 Contratos de Suministradores

6.1.4.1 Existe un o varios Contratos de Suministradores respaldando cada uno de los Acuerdos de Servicio de Soporte existentes.

6.1.4.2 Conjunto total de los componentes de los servicios ofrecidos acor-dados y registrados por todas las partes.

6.1.4.3 Objetivos de nivel de servicio correspondientes a los componentes de los servicios ofrecidos acordados y registrados por todas las par-tes.

6.1.4.4 Contratos de Suministradores acordados y registrados por todos los participantes relevantes.

6.1.4.5 Procedimientos de Establecimiento de los Contratos de Suministra-dores acordados y registrados por todos los participantes relevan-tes.

6.1.4.6 Procedimientos de revisión de los Contratos de Suministradores acordados y registrados por todos los participantes relevantes.

6.1.4.7 Procedimientos de Actualización de los Contratos de Suministrado-res acordados y registrados por todos los participantes relevantes.

6.1.4.8 Contratos de Suministradores bajo el control de la gestión del cam-bio.

6.1.5 Proceso / Procedimientos de Gestión de Nivel de Servicio

6.1.5.1 El proveedor del servicio dispone de la información necesaria para entender los requisitos del cliente y sus objetivos de negocio.

6.1.5.2 El proceso de Gestión del nivel de servicio asegura que:

a. El enfoque del servicio, tanto en su planificación como en su provisión se hace desde la perspectiva del cliente.

b. El enfoque del servicio en su implementación se hace des-de la perspectiva del cliente.


14



PlanificadaPeso

c. El proveedor del servicio gestiona la provisión desde la perspectiva del cliente.

d. El proveedor del servicio gestiona y coordina los acuerdos de requisitos de servicio y de estimaciones de carga.

e. El proveedor del servicio gestiona y coordina los acuerdos de objetivos de servicio.

f. El proveedor del servicio mide los niveles de servicio pro-porcionados.

g. El proveedor del servicio informa de los niveles de servicio proporcionados.

h. El proveedor del servicio gestiona y coordina las cargas del servicio.

i. El proveedor del servicio informa de los motivos de los in-cumplimientos de los niveles de servicio acordados.

j. El proveedor del servicio inicia acciones correctivas para la mejora del servicio.

k. Las mejoras propuestas se incluyen en un plan de mejora general.

l. El proveedor del servicio así como el cliente trabajan con-juntamente asumiendo la responsabilidad compartida del servicio.

m. El proceso de Gestión del nivel de servicio asegura que existe la colaboración entre las áreas de provisión del ser-vicio, el negocio y los suministradores de las TIC para ase-gurar la satisfacción del cliente.

6.1.6 Monitorización de los Niveles de Servicio

6.1.6.1 Monitorización de los Niveles de Servicio.

6.1.7 Generación periódica de informes de Nivel de Servicio

6.1.7.1 Generación periódica de informes sobre Nivel de Servicio alcanza-do comparándolo con el nivel de servicio acordado.

6.1.7.2 Generación periódica de informes sobre Nivel de Servicio alcanza-do analizando las tendencias.

6.1.7.3 Generación periódica de informes sobre Nivel de Servicio alcanza-do identificando incumplimientos y motivos de los mismos.

6.1.7.4 Procedimiento de comunicación de los incumplimientos de los Nive-les de Servicio acordados.

6.1.7.5 Procedimiento de revisión de los incumplimientos de los Niveles de Servicio acordados.

6.1.7.6 Encuesta de satisfacción de los clientes.

6.1.8 Acciones de Mejoras


15



PlanificadaPeso

6.1.8.1 Procedimiento de definición de mejoras del proceso.

6.1.8.2 Procedimiento de definición de mejoras del servicio en base a análi-sis de los informes.

6.1.8.3 Registro de las mejoras del servicio identificadas.

6.1.8.4 Comunicación de las mejoras para su inclusión en el plan de mejora del servicio.

6.2 Generación de Informes de Servicios

6.2.1 Generación de Informes de Servicios

6.2.1.1 Debe describirse claramente cada informe de servicio, incluyéndo-se: su identificador, el propósito, la audiencia y los detalles del ori-gen los datos.

6.2.1.2 Los requerimientos de la generación de informes para clientes y gestión interna deben ser acordados y registrados.

6.2.1.3 Los informes del servicio deben ser generados para verificar si se cumplen los requisitos y necesidades de los usuarios.

6.2.1.4 Los informes de servicio deben adecuarse a las necesidades de quien lo recibe y ser suficientemente precisos para poder utilizarlos como herramienta de soporte en la toma de decisiones.

6.2.1.5 Los informes de servicio deben incluir:

a. El rendimiento frente a los objetivos de nivel de servicio.

b. No conformidades frente a estándares.

c. Incumplimientos y asuntos relacionados, por ejemplo: de los SLA o agujeros de seguridad.

d. Características de la carga de trabajo, por ejemplo: volú-menes o utilización de recursos.

e. Informes de rendimiento de los principales eventos, por ejemplo: principales incidencias y cambios.

f. Información sobre tendencias.

g. Análisis de satisfacción

h. Informes que incluyan información de cada proceso, p. e. número de incidentes y preguntas más frecuentes, compo-nentes de la infraestructura poco fiables, tareas que con-sumen gran número de recursos económicos, técnico o humanos.

6.2.1.6 La supervisión del servicio y la generación de informes abarca to-dos los aspectos medibles del servicio, proporcionando datos ac-tuales e históricos.

6.2.1.7 Cuando existan múltiples proveedores, suministradores primarios y suministradores de éstos, los informes deben reflejar las relaciones


16



PlanificadaPeso

entre ellos.6.2.1.8 Los informes de servicio deberían ser generados a tiempo, claros,

fiables y concisos.6.2.1.9 Se Deben generarse distintos tipos de informes:

a. informes reactivos, que muestran lo que ha ocurrido.

b. -informes proactivos, que avisen por adelantado de even-tos significativos con objeto de permitir que se puedan rea-lizar acciones preventivas de antemano (por ejemplo, infor-mes sobre inminentes rupturas de los SLAs).

c. informes planificados previamente que señalen actividades planificadas.

6.2.1.10 Las decisiones de gestión y las acciones correctoras deben tener en cuenta los aspectos destacados en los informes de servicio y de-ben comunicarse a las partes implicadas.

6.3 Gestión de la continuidad y disponibilidad del Servicio

6.3.1 Gestión de la continuidad y disponibilidad del servicio

6.3.1.1 Los requisitos de disponibilidad y de continuidad del servicio deben ser identificados sobre la base de los planes de negocio, los SLAs y las evaluaciones del riesgo.

6.3.1.2 Los requisitos deben incluir: los derechos de acceso y los tiempos de respuesta, así como, la disponibilidad extremo a extremo de los componentes del sistema.

6.3.1.3 Los planes de disponibilidad y continuidad del servicio deben ser desarrollados y revisados al menos una vez al año, para asegurar que los requisitos son cumplidos y acordados en todas las circuns-tancias: desde la normalidad, hasta la pérdida grave del servicio.

6.3.1.4 Estos planes deben mantenerse para asegurar que reflejan los cambios acordados, requeridos por el negocio.

6.3.1.5 El proveedor del servicio debe planificar para satisfacer los datos conocidos de incrementos o decrementos de volumen de usuarios, picos o caídas de demanda previstos y cualquier otro cambio futuro conocido.

6.3.1.6 Los planes de disponibilidad y de continuidad del servicio deben ser probados de nuevo con cada cambio importante en el entorno del negocio.

6.3.1.7 La gestión de la disponibilidad y continuidad del servicio deben tra-bajar conjuntamente con la finalidad de asegurar que se mantengan los niveles de servicio acordados.

6.3.1.8 Los requerimientos de la gestión de la disponibilidad y continuidad deben tener una influencia capital en las acciones, esfuerzos y re-cursos destinados para satisfacer la disponibilidad de los servicios que los soportan.


17



PlanificadaPeso

6.3.1.9 Los procesos que aseguren que se mantenga la disponibilidad re-querida deben incluir aquellos elementos de la provisión del servicio que estén bajo el control bien del propio cliente o de otros provee-dores de servicio.

6.3.1.10 El proceso de gestión del cambio debe evaluar el impacto de cual-quier cambio sobre los planes de disponibilidad y de continuidad del servicio.

6.3.1.11 La disponibilidad debe ser medida y registrada. La indisponibilidad no planificada debe ser investigada y se deben realizar acciones apropiadas al respecto.

6.3.1.12 Los planes de continuidad del servicio, la lista de contactos y la ba-se de datos de gestión de la configuración, deben estar disponibles cuando el acceso normal a las oficinas está bloqueado.

6.3.1.13 El plan de continuidad del servicio debe incluir la actividad de vuelta a la normalidad.

6.3.1.14 El plan de continuidad del servicio debe ser probado de acuerdo a las necesidades del negocio.

6.3.1.15 Todas las pruebas de continuidad deberán ser registradas y se de-berán elaborar planes de acción para las pruebas fallidas.

6.3.2 Actividades y supervisión de la disponibilidad

6.3.2.1 La gestión de la disponibilidad debe supervisar y registrar la dispo-nibilidad del servicio.

6.3.2.2 La gestión de la disponibilidad debe mantener datos históricos pre-cisos.

6.3.2.3 La gestión de la disponibilidad debe realizar comparaciones con los requerimientos definidos en los SLAs para identificar no conformi-dades con los objetivos de disponibilidad acordados.

6.3.2.4 La gestión de la disponibilidad debe documentar y revisar las no conformidades.

6.3.2.5 La gestión de la disponibilidad debe predecir la disponibilidad a fu-turo.

6.3.2.6 La gestión de la disponibilidad debe cuando sea posible, predecir los potenciales problemas y realizar acciones preventivas.

6.3.2.7 Se debe asegurar la disponibilidad de todos los componentes del servicio, registrando las acciones correctoras y llevándolas a cabo.

6.3.3 Estrategia de continuidad del servicio

6.3.3.1 El proveedor del servicio debe desarrollar y mantener una estrate-gia que defina el enfoque general a seguir para satisfacer las obli-gaciones de continuidad del servicio.

6.3.3.2 La estrategia debe incluir la evaluación de riesgos y tomar en cuen-ta los horarios de servicio acordados y los periodos críticos del ne-gocio.

6.3.3.3 El proveedor del servicio debe acordar con cada grupo de clientes y servicios:

a. Los periodos máximos aceptables de pérdida continuada del servicio.

b. Los periodos máximos aceptables de degradación del ser-vicio.

c. Los niveles aceptables de degradación del servicio durante


18



PlanificadaPeso

un periodo de recuperación del servicio.6.3.3.4 La estrategia de continuidad debe ser revisada con una periodici-

dad acordada, al menos anualmente.6.3.4 Planificación y prueba de la continuidad del servicio

6.3.4.1 El proveedor del servicio debe asegurar que los planes de continui-dad tienen en cuenta las dependencias entre servicios y componen-tes de los sistemas.

6.3.4.2 El proveedor del servicio debe asegurar que se registran y mantie-nen los planes de continuidad del servicio y el resto de documentos requeridos para dar soporte a la continuidad del servicio.

6.3.4.3 El proveedor del servicio debe asegurar que la responsabilidad para activar los planes de continuidad está claramente asignada y los planes establecen claramente la responsabilidad para la toma de las acciones necesarias frente a cada objetivo.

6.3.4.4 El proveedor del servicio debe asegurar que las copias de seguri-dad de los datos, los documentos y el software y cualquier equipo y personal necesario para la restauración del servicio están disponi-bles de forma rápida ante un desastre o un fallo importante del ser-vicio.

6.3.4.5 El proveedor del servicio debe asegurar que al menos una copia de todos los documentos relativos a la continuidad del servicio debería estar almacenada y mantenida en una localización remota segura, junto al equipamiento que sea necesario para permitir su uso.

6.3.4.6 El proveedor del servicio debe asegurar que el personal conoce y asume su rol para activar y/o ejecutar los planes y tiene acceso a la documentación relativa a la continuidad del servicio.

6.4 Presupuestar y contabilizar servicios TI

6.4.1 Presupuestar y contabilizar servicios TI

6.4.1.1 Todas las prácticas contables en uso deben estar alineadas con las prácticas contables más amplias de la organización del proveedor del servicio.

6.4.1.2 Debe haber políticas y procedimientos claros para presupuestar y contabilizar todos los componentes, incluyendo: activos de tecnolo-gías de la información, recursos compartidos, gastos generales, servicios suministrados externamente, personas, seguros y licen-cias.

6.4.1.3 Debe haber políticas y procedimientos claros para:

a. La repercusión de costes indirectos y asignación de cos-tes directos a servicios.

b. El control y autorización financieros efectivos.

6.4.1.4 Los costes deben presupuestarse con suficiente detalle para permi-tir el control económico efectivo y la toma de decisiones.


19



PlanificadaPeso

6.4.1.5 El proveedor del servicio debe monitorizar e informar de los costes contra el presupuesto, revisar las previsiones económicas y gestio-nar los costes en consonancia.

6.4.1.6 Los costes de los cambios al servicio deben valorarse y aprobarse a través del proceso de gestión del cambio.

6.4.2 Política

6.4.2.1 La política debe tener en cuenta:

a. Los tipos de costes a ser contabilizados.

b. El reparto de los gastos generales, por ejemplo reparto en partes iguales, reparto porcentual o reparto basado en el tamaño de los elementos variables empleados.

c. La granularidad del negocio del cliente, por ejemplo uni-dades de negocio tomadas como una sola, dividas en departamentos o según las diferentes ubicaciones.

d. Las reglas para manejar las variaciones frente al presu-puesto, por ejemplo el nivel de variación necesario para que se escale a la alta dirección.

e. Los enlaces o vinculación con la gestión de nivel de ser-vicio.

f. Los tipos de costes a ser contabilizados.

6.4.2.2 El nivel de inversión en los procesos de presupuesto y contabilidad debe estar basado en las necesidades de detalles financieros que tengan los clientes, el proveedor del servicio y los proveedores, se-gún esté definido en la política.Nota: los proveedores de servicios que operen en un entorno co-mercial podrían necesitar invertir mucho más esfuerzo y tiempo en la gestión financiera. Contrariamente, para aquellos proveedores de servicios que sólo necesiten la simple identificación de los costes, esta gestión puede ser mucho más simple.

6.4.2.3 La realización de los presupuestos y la contabilidad deberían ser realizadas por todos los proveedores de servicios, cualesquiera que fueran sus otras políticas en cuanto a gestión financiera.

6.4.3 Realización de los presupuestos

6.4.3.1 La realización de los presupuestos debe tomar en cuenta los cam-bios planificados a los servicios durante el periodo presupuestario y, en el caso de que las necesidades presupuestarias excedan los fondos disponibles, planificar la gestión que se va a hacer del défi-cit.

6.4.3.2 El seguimiento de los costes frente al presupuesto debe facilitar lo antes posible información de las variaciones frente al presupuesto.

6.4.3.3 Se debe establecerse un proceso para gestionar las implicaciones de las variaciones frente al presupuesto.

6.4.3.4 La realización de los presupuestos y el seguimiento de los costes deben dar soporte a la planificación de la operación y los cambios a los servicios para que los niveles de servicio puedan mantenerse a lo largo del año.

6.4.4 Contabilidad


20



PlanificadaPeso

6.4.4.1 Los procesos de contabilidad deben usarse para realizar el segui-miento de los costes hasta el nivel de detalle acordado durante un periodo de tiempo acordado.

6.4.4.2 Las decisiones sobre la provisión del servicio deben estar basadas en comparaciones sobre la eficacia en costes.

6.4.4.3 Los modelos de costes deben ser capaces de demostrar los costes de la provisión del servicio.

6.4.4.4 Los estados de cuenta deben mostrar las situaciones de excesos y defectos de gasto y las recuperaciones de dichas situaciones y de-berían permitir al lector apreciar los costes de niveles bajos de ser-vicio o de pérdidas de servicio.

6.5 Gestión de la capacidad

6.5.1 Gestión de la capacidad

6.5.1.1 Todas las prácticas contables en uso deben estar alineadas con las prácticas contables más amplias de la organización del proveedor del servicio.

6.5.1.2 La gestión de capacidad debe generar y mantener un plan de capa-cidad.

6.5.1.3 Los requerimientos de servicio actuales y esperados del negocio deben ser conocidos en términos de lo que el negocio va a necesi-tar para dar servicio a sus clientes.

6.5.1.4 La gestión de la capacidad debe estar dirigida a las necesidades del negocio e incluir los requisitos de capacidad y rendimiento ac-tuales y previstos.

6.5.1.5 El resultado de las variaciones en la carga de trabajo o en el en-torno debe ser predecible; se deben recoger y analizar al nivel ade-cuado datos actuales e históricos de utilización de componentes y recursos con el fin de dar soporte al proceso.

6.5.1.6 La gestión de la capacidad debe estar dirigida a las necesidades del negocio e incluir:

a. La identificación de plazos, umbrales y costes para las ac-tualizaciones del servicio.

b. La evaluación de los efectos sobre la capacidad de: actua-lizaciones anticipadas del servicio, peticiones de cambio, y nuevas tecnologías y técnicas.

c. La previsión del impacto de cambios externos, por ejem-plo: cambios legislativos.

d. Los datos y los procesos para poder realizar análisis pre-dictivos.

6.5.1.7 La Gestión de la Capacidad debe ser el punto focal de todos las cuestiones de rendimiento y capacidad.

6.5.1.8 Se deben identificar métodos, procedimientos y técnicas para: la monitorización de la capacidad del servicio, el ajuste del rendimien-to del servicio y la provisión de la capacidad adecuada.


21



PlanificadaPeso

6.5.1.9 El proceso debe ofrecer soporte directo al desarrollo de servicios nuevos y a la modificación de los mismos realizando dimensiona-miento y modelización de servicios.

6.5.1.10 Se debe generar un plan de capacidad donde se documente el ren-dimiento real de la infraestructura y los requerimientos esperados, con la frecuencia suficiente para tener en cuenta el ritmo de cam-bios de los servicios y de los volúmenes de servicio, la información de los informes de Gestión de Cambios y el negocio del cliente.

6.5.1.11 Dicho informe debe elaborarse al menos anualmente. Debe docu-mentar las opciones existentes con su coste para cumplir con los requerimientos del negocio, y soluciones recomendadas para ga-rantizar que se cumplen los objetivos de nivel de servicio tal como están definidos en el SLA.

6.5.1.12 La gestión de capacidad debe generar y mantener un plan de capa-cidad.

6.6 Gestión de seguridad de la información

6.6.1 Gestión de seguridad de la información

6.6.1.1 La dirección, con la autoridad apropiada, debe aprobar una política de seguridad de la información, que debe comunicarse a todo el personal implicado y, cuando sea adecuado, a los clientes.

6.6.1.2 Los controles adecuados de seguridad deben ayudar a:

a. Implementar los requisitos de la política de seguridad de la información.

b. Gestionar los riesgos asociados al acceso al servicio o a los sistemas.

6.6.1.3 Los controles de seguridad deben estar documentados.

6.6.1.4 La documentación debe describir los riesgos a los que están aso-ciados los controles, y la manera de utilizarlos y el mantenimiento de los mismos.

6.6.1.5 El impacto de los cambios sobre los controles debe ser evaluado antes de que los cambios sean implementados.

6.6.1.6 Los servicios que impliquen el acceso de organizaciones externas a los sistemas de información y a los servicios, deben basarse en un acuerdo formal que defina todos los requisitos de seguridad nece-sarios.

6.6.1.7 Los incidentes de seguridad deben ser comunicados y registrados tan pronto como sea posible y de acuerdo a los procedimientos de gestión del incidente.

6.6.1.8 Se deben poner en marcha procedimientos para asegurar que to-dos los incidentes de seguridad son investigados, y que se toman medidas al respecto.

6.6.1.9 Se deben poner en marcha mecanismos para poder cuantificar y monitorizar los tipos, volúmenes e impacto de los incidentes y el


22



PlanificadaPeso

mal funcionamiento de la seguridad.6.6.1.10 Las acciones de mejora identificadas durante este proceso deben

registrarse y proporcionar entradas al plan de mejora del servicio.6.6.2 Identificación y clasificación de los activos de la información

6.6.2.1 El proveedor del servicio debe mantener un inventario de los acti-vos de información (por ejemplo, ordenadores, sistemas de comuni-cación, documentos y otra información) que son necesarios para la prestación de los servicios.

6.6.2.2 El proveedor del servicio debe clasificar cada activo de acuerdo con su criticidad para el servicio y el nivel de protección que requiera, y nombrar a un propietario para ser responsable de proveer dicha protección.

6.6.2.3 El proveedor del servicio debe delegar la responsabilidad para la protección de los activos; la responsabilidad debe recaer en el pro-pietario de dichos activos, aunque estos pueden delegar las respon-sabilidades de la gestión diaria de la seguridad.

6.6.3 Prácticas para la evaluación de los riesgos de seguridad

6.6.3.1 La evaluación de los riesgos de seguridad debe ser:

a. Realizada con una periodicidad acordada.

b. Registrada.

c. Mantenida durante los cambios (cambios de necesida-des del negocio, de procesos o de configuraciones).

6.6.3.2 La evaluación de los riesgos de seguridad debe:

a. Ayudar a entender qué podría impactar uno de los servi-cios gestionados.

b. Proveer de información para las decisiones referentes a los tipos de controles a establecer.

6.6.4 Riesgos para los activos de la información

6.6.4.1 Los riesgos para los activos de información deben ser evaluados en función de:

a. Su naturaleza (p. e.: funcionamiento defectuoso del so-ftware, errores de operación, fallos de comunicación).

b. La probabilidad.

c. El impacto potencial para el negocio.

d. Experiencias pasadas.

6.6.5 Seguridad y disponibilidad de la información

6.6.5.1 Al evaluar los riesgos se debería prestar atención a:

a. La revelación de información sensible a partes no autori-zadas.

b. La información inexacta, incompleta o inválida (p. e.: in-formación fraudulenta).

c. La información que quede inservible para su uso (p. e.: debido a un corte de energía eléctrica).


23



PlanificadaPeso

d. El daño físico o destrucción de los equipos necesarios para proveer los servicios.

6.6.5.2 También se deben tener en cuenta:

a. Los objetivos de la política de seguridad de la información.

b. Las necesidades para satisfacer los requerimientos espe-cíficos de los clientes respecto a la seguridad (p. e.: nive-les de disponibilidad).

c. Los requerimientos legales o regulatorios que apliquen.

6.6.6 Controles

6.6.6.1 Los proveedores del servicio deben controlar que la alta dirección define la política de seguridad de la información, la comunica a su personal y a sus clientes y asegurarse de que se implanta eficaz-mente.

6.6.6.2 Los proveedores del servicio deben controlar que los roles y las res-ponsabilidades para la gestión de la seguridad de la información se definen y se asignan a un puesto de trabajo.

6.6.6.3 Los proveedores del servicio deben controlar que un representante del equipo de dirección (el rol puede ser desempeñado por el res-ponsable senior) supervisa y mantiene la eficacia de la Política de Seguridad de la Información.

6.6.6.4 Los proveedores del servicio deben controlar que el personal que ejerce un rol significativo en seguridad recibe formación en seguri-dad de la información.

6.6.6.5 Los proveedores del servicio deben controlar que todo el personal esta concienciado acerca de la política de seguridad de la informa-ción.

6.6.6.6 Los proveedores del servicio deben controlar que hay apoyo de ex-pertos en la evaluación de riesgos y en la implementación de con-troles.

6.6.6.7 Los proveedores del servicio deben controlar que los cambios no comprometen la operación efectiva de los controles.

6.6.6.8 Los proveedores del servicio deben controlar que los incidentes de seguridad de la información son reportados siguiendo los procedi-mientos de gestión del incidente y debería también iniciarse una respuesta a dichos incidentes.

6.6.7 Documentación y registros

6.6.7.1 Los registros deben ser analizados periódicamente para proveer de información:

a. En cuanto a la eficacia de la política de seguridad de la información.

b. En cuanto a tendencias que aparezcan en los incidentes en seguridad de la información.

c. Para dar entrada de información a un plan de mejora del servicio.

d. Para tener bajo control el acceso a la información, los activos y los sistemas.

6.6.7.2 La gestión de la seguridad de la información debe estar fiablemente


24



PlanificadaPeso

documentada.

7. GESTIÓN DE RELACIONES CON EL NEGOCIO


PlanificadaPeso

7.2 Gestión de relaciones con el negocio

7.2.1 Gestión de relaciones con el negocio

7.2.1.1 El proveedor del servicio debe identificar y documentar quienes son actores principales y los clientes de los servicios.

7.2.1.2 El proveedor del servicio y los clientes deben reunirse, al menos una vez al año, para la revisión del servicio y para discutir cualquier cambio: en el alcance del mismo, en el SLA, en el contrato (si exis-te) o en las necesidades del negocio.

7.2.1.3 Deben mantener reuniones en intervalos acordados para discutir los rendimientos, los cumplimientos, asuntos varios y planes de ac-ción.

7.2.1.4 Estas reuniones deben documentarse. A las reuniones puede invi-tarse a otros actores relacionados con el servicio.

7.2.1.5 Los cambios al contrato(s), si existen, y al SLA(s) se deben ser el resultado de las reuniones mencionadas, cuando se apropiado.

7.2.1.6 Estos cambios deben estar sujetos al proceso de gestión del cam-bio.

7.2.1.7 El proveedor del servicio debe permanecer al tanto de las necesida-des del negocio y los principales cambios en el mismo para prepa-rar una respuesta a dichas necesidades.

7.2.1.8 Debe existir un proceso de reclamaciones. La definición de la recla-mación formal sobre el servicio debe estar acordada con el cliente.

7.2.1.9 Todas las reclamaciones formales sobre el servicio son: registradas por el proveedor del servicio, investigadas, emprendida acción, re-portadas y formalmente cerradas.

7.2.1.10 Cuando una reclamación no sea resuelta mediante los canales nor-males, el cliente debe disponer de un mecanismo de escalado.

7.2.1.11 El proveedor del servicio debe tener una o varias personas asigna-das como responsable(s) de gestionar la satisfacción del cliente y de todo el proceso de gestión de relaciones con el negocio.

7.2.1.12 Debe existir un proceso de medición periódica de la satisfacción del cliente para obtener información y comentarios, y actuar en conse-cuencia.

7.2.1.13 Las acciones de mejora que se identifiquen durante este proceso deben ser registradas y utilizadas como información de partida para un plan de mejora del servicio.


25



PlanificadaPeso

7.2.2 Revisiones del servicio

7.2.2.1 La revisión debe considerar el comportamiento previo, tratar las ne-cesidades de negocio actuales y previstas y proponer cualquier cambio necesario en el alcance del servicio y los SLAs.

7.2.2.2 Otros grupos de interés implicados como por ejemplo subcontratis-tas, clientes, grupos de usuarios u otros grupos representativos, pueden ser invitados a participar en las reuniones de revisión.

7.2.2.3 El proveedor del servicio y los clientes deben también acordar los procedimientos de revisión parcial para tratar el progreso, los logros y los problemas detectados. Estas reuniones deben ser planificadas y notificadas a los grupos de interés para los que sea relevante.

7.2.3 Reclamaciones del servicio

7.2.3.1 El proceso debe identificar al contacto en el proveedor del servicio al que dirigir las reclamaciones formales.

7.2.3.2 El proveedor del servicio debe registrar, investigar, tomar acciones, reportar y cerrar formalmente todas las reclamaciones de servicio.

7.2.3.3 Las reclamaciones más relevantes deben ser revisadas periódica-mente y escaladas a la alta dirección si no se resuelven dentro de los plazos acordados con los clientes.

7.2.4 Medición de la satisfacción del cliente

7.2.4.1 Se debe medir la satisfacción del cliente para permitir al proveedor del servicio comparar el desempeño con los objetivos de satisfac-ción de clientes y con encuestas previas. El alcance y la compleji-dad de la encuesta deben estar concebidos de forma que los clien-tes puedan responder fácilmente y sin que se requiera un excesivo tiempo para cumplimentar adecuadamente la misma.

7.2.4.2 Los resultados y conclusiones de las encuestas de satisfacción del cliente deben ser tratados con el cliente. Debería acordarse un plan de acción, utilizándolo como entrada para un plan de mejora del servicio sobre cuyo progreso se informe al cliente.

7.2.4.3 Las felicitaciones sobre el servicio deben ser documentadas y da-das a conocer al equipo que esté prestando el servicio.

7.3 Gestión de suministradores

7.3.1 Gestión de suministradores

7.3.1.1 El proveedor de servicio debe tener documentados los procesos de gestión de suministradores y debe designar un gestor responsable del contacto para cada suministrador.

7.3.1.2 Los requisitos, alcance, nivel de servicio y procesos de comunica-


26



PlanificadaPeso

ción a ser proporcionados por el suministrador(es) deben estar do-cumentados en SLAs u otros documentos, y acordados por todas las partes.

7.3.1.3 Los SLAs con los suministradores deben estar alineados con los SLAs con el negocio.

7.3.1.4 Los procedimientos de gestión de suministradores deben garantizar que:

a. El suministrador entiende sus obligaciones frente al pro-veedor del servicio.

b. Los requisitos acordados y legítimos son cumplidos den-tro del alcance y los niveles de servicio acordados.

c. Los cambios son gestionados.

d. Se registran las transacciones de negocio entre todas las partes.

e. Se puede controlar la información sobre el desempeño de todos los suministradores y actuar en consecuencia.

7.3.1.5 Las interfaces entre los procesos utilizados por cada parte deben estar documentadas y acordadas.

7.3.1.6 Todos los roles y relaciones entre suministradores principales y su-bcontratados deben estar claramente documentados.

7.3.1.7 Los suministradores principales deben ser capaces de demostrar que tienen procesos para garantizar que los subcontratistas cum-plen con los requisitos contractuales.

7.3.1.8 Se debe disponer de un proceso, de periodicidad mínima anual, pa-ra la revisión detallada del contrato o del acuerdo formal, que ga-rantice que las necesidades y obligaciones contractuales del nego-cio se siguen cumpliendo.

7.3.1.9 Los cambios al contrato(s), si existen, y al SLA(s) se deben ser el resultado de estas revisiones, según proceda o cuando sea requeri-do en cualquier otro momento.

7.3.1.10 Cualquier cambio debe estar sujeto al proceso de gestión del cam-bio.

7.3.1.11 Debe existir un proceso para el tratamiento de desacuerdos con-tractuales.

7.3.1.12 Debe existir un proceso para gestionar la finalización normal o anti-cipada de un servicio, o la transferencia del mismo a un tercero.

7.3.1.13 Se deben monitorizar y revisar el rendimiento frente a los objetivos de nivel de servicio.

7.3.1.14 Las acciones de mejora identificadas durante este proceso deben ser registradas y utilizadas como información de entrada al plan de mejora del servicio.

7.3.2 Gestión de contratos

7.3.2.1 El proveedor del servicio debe designar un responsable para hacer-


27



PlanificadaPeso

se cargo de los contratos y acuerdos con los suministradores. En el caso de que haya todo un grupo de gestión involucrado en esta ta-rea, debería haber un proceso común para asegurar que la informa-ción sobre el desempeño de los suministradores se controla y se actúa consecuentemente.

7.3.2.2 Debe existir una persona de contacto establecida dentro de la orga-nización del proveedor del servicio que sea el responsable de la re-lación con cada suministrador.

7.3.2.3 Todos los contratos con suministradores deben contener una plani-ficación de las revisiones para evaluar si los objetivos de negocio para el suministro de un servicio siguen siendo válidos.

7.3.2.4 Debe existir un proceso claramente definido para la gestión de cada contrato. El proceso para la modificación de contratos debe estar también claramente definido. Cualquier cambio a este procedimien-to debe ser formalmente notificado a todos los suministradores afectados.

7.3.2.5 Debe mantenerse una lista de puntos de contacto dentro de las res-pectivas organizaciones (la del suministrador y la del proveedor del servicio).

7.3.2.6 Si un contrato incluye penalizaciones o bonificaciones, debe esta-blecerse claramente sus fundamentos y reportarse el cumplimiento de los requisitos.

7.3.3 Definición del servicio

7.3.3.1 Para cada servicio y suministrador el proveedor del servicio debe mantener una definición de servicios, roles y responsabilidades.

7.3.3.2 Para cada servicio y suministrador el proveedor del servicio debe mantener el alcance del servicio.

7.3.3.3 Para cada servicio y suministrador el proveedor del servicio debe mantener un proceso de gestión de contratos, los niveles de autori-zación y un plan de extinción del contrato.

7.3.3.4 Para cada servicio y suministrador el proveedor del servicio debe mantener las condiciones de pago, si son relevantes.

7.3.3.5 Para cada servicio y suministrador el proveedor del servicio debe mantener los parámetros de reporte acordados y registro del de-sempeño alcanzado.

7.3.4 Gestión de múltiples suministradores

7.3.4.1 Debe quedar claro si el proveedor del servicio trata con todos los suministradores de forma directa o mediante un suministrador prin-cipal que toma la responsabilidad de los suministradores subcontra-tados.El suministrador principal debe registrar los nombres, responsabili-dades y relaciones entre todos los suministradores subcontratados y ponerla a disposición del proveedor del servicio si así lo requiere.El proveedor del servicio debe obtener evidencias de que los sumi-nistradores principales gestionan formalmente a los suministradores subcontratados.


28



PlanificadaPeso

7.3.5 Gestión de los conflictos contractuales

7.3.5.1 Tanto el proveedor del servicio como el suministrador deben funcio-nar conforme a un proceso para gestionar los conflictos, el cual de-bería estar definido o referenciado dentro del contrato.

7.3.5.2 Debe existir un procedimiento o itinerario para poder escalar los conflictos que no puedan ser resueltos mediante el procedimiento ordinario.

7.3.5.3 El proceso debería asegurar que los conflictos son registrados, in-vestigados, que se toman las acciones necesarias sobre ellos y que se cierran formalmente.

7.3.6 Fin del contrato

7.3.6.1 El proceso de gestión de contratos debe contemplar la extinción del contrato (tanto planificada, como prematura). También debería pro-porcionar un mecanismo de transferencia del servicio a otra organi-zación.

8. Procesos de resolución


PlanificadaPeso

8.2 Gestión de incidentes

8.2.1 Registro de incidentes

8.2.1.1 Todos los incidentes quedan registrados de forma que la informa-ción relevante pueda ser extraída y analizada.

8.2.1.2 Todas las acciones quedan registradas en el registro de cada inci-dente.

8.2.2 Procedimientos para gestionar el impacto de los incidentes

8.2.2.1 La Gestión de Incidentes es un servicio proporcionado por un "Ser-vice Desk", punto único de contacto con los usuarios del servicio.

8.2.2.2 El proceso de Gestión de Incidentes es a la vez reactivo y proactivo intentando prevenir incidentes que afecten o puedan afectar el ser-vicio.

8.2.2.3 El proceso de Gestión de Incidentes se preocupa del reestableci-miento del servicio en un plazo de tiempo mínimo y no de la causa del mismo.

8.2.2.4 El proceso de Gestión de Incidentes se contempla el modo de re-cepción de un incidente (Los incidentes pueden ser señalados por teléfono, mails, físicamente, cartas, faxes o pueden ser registrados directamente por los usuarios con acceso a la plataforma de gestión de los incidentes, o por las herramientas de supervisión).


29



PlanificadaPeso

8.2.2.5 El proceso de Gestión de Incidentes contempla:

a. El registro de todos los incidentes.

b. La asignación de un nivel de prioridad a cada incidente.

c. La clasificación de cada incidente.

d. La evaluación del impacto en el negocio.

e. El procedimiento de resolución en primera línea.

f. La posibilidad de proveer alguna alternativa al cliente mientras se procede a la resolución del incidente.

g. El procedimiento de escalado de los incidentes.

h. Las implicaciones de seguridad.

i. El procedimiento de seguimiento de los incidentes.

j. El procedimiento de verificación y cierre de un incidente.

k. El procedimiento de información del cliente durante la resolución del incidente.

8.2.3 Herramientas / Acceso a la información

8.2.3.1 El personal de la Gestión de Incidentes tiene acceso a una BBDD de gestión del conocimiento actualizada.

8.2.3.2 La BBDD de gestión del conocimiento contiene:

a. información sobre los especialistas técnicos.

b. La BBDD de gestión del conocimiento contiene informa-ción sobre los incidentes resueltos previamente.

c. La BBDD de gestión del conocimiento contiene informa-ción sobre los problemas y errores conocidos.

d. La BBDD de gestión del conocimiento contiene (solucio-nes temporales) "workarounds".

e. La BBDD de gestión del conocimiento contiene checklis-ts para el reestablecimiento del servicio.

8.2.3.3 El personal de la Gestión de Incidentes dispone de una herramienta de gestión de los incidentes.

8.2.4 Comunicación hacia el cliente

8.2.4.1 La primera línea del personal de la Gestión de Incidentes comunica con el cliente.

8.2.4.2 El estado de un incidentes debe ser comunicado a los clientes afec-tados o potencialmente afectos.

8.2.4.3 Se le debe alertar por adelantado si los niveles de servicio no se pueden satisfacer.

8.2.4.4 Se deben acordar con el cliente las acciones a tomar.

8.2.4.5 El cierre formal de todas los incidentes se formaliza únicamente cuando el cliente haya dado su visto bueno y certificado el reesta-blecimiento del servicio.


30



PlanificadaPeso

8.2.5 Proceso de gestión de los incidentes importantes

8.2.5.1 Los incidentes de mayor consideración se deber clasificar y gestio-nar de acuerdo con un proceso.

8.2.5.2 Debe de estar identificado en el proceso el que tiene la autoridad para afectar el proceso de resolución de un incidente o de un pro-blema

8.2.5.3 Todos los incidentes clasificados como importantes deben de tener un responsable claro y identificado en cada momento

8.2.5.4 El responsable de la resolución de un incidente importante debe disponer de los niveles de autoridad suficiente para coordinar la re-solución del incidente.

8.2.5.5 El proceso de gestión de un incidentes importante debe incluir una revisión que luego formara parte del plan de mejora del servicio.

8.3 Gestión del problema

8.3.1 Gestión del problema

8.3.1.1 Todos los problemas identificados se deben registrar.

8.3.1.2 Se deben adoptar procedimientos para identificar, minimizar y evitar el impacto de los incidentes y de los problemas.

8.3.1.3 Estos procedimientos deben definir: el registro, la clasificación, la actualización, el escalado, la resolución y el cierre, de todos los pro-blemas.

8.3.1.4 Se deben llevar a cabo acciones preventivas para reducir los pro-blemas potenciales, por ejemplo: las derivadas de análisis de ten-dencias de volúmenes y tipos de incidentes.

8.3.1.5 Los cambios necesarios para corregir la causa subyacente de pro-blemas se deben remitir al proceso de gestión del cambio.

8.3.1.6 Para que resulte eficaz la resolución de problemas, se debe: su-pervisar, revisar y elaborar informes sobre ella.

8.3.1.7 El equipo de gestión del problema debe ser responsable de garanti-zar que haya disponible, para la gestión de incidentes, información actualizada sobre errores conocidos y problemas corregidos.

8.3.1.8 Las acciones de mejora identificadas durante este proceso se debe-rán registrar e incluir en el plan de mejora del servicio.

8.3.2 Errores conocidos

8.3.2.1 Cuando la investigación de gestión del problema haya identificado la causa de origen de un incidente y un método para resolver los in-cidentes, el problema se debe clasificar como un error conocido.

8.3.2.2 Se deben registrar todos los errores conocidos tomando como refe-rencia los servicios real o potencialmente afectados además del elemento de configuración que se sospeche que causa el error en cuestión.

8.3.2.3 La información sobre errores conocidos en servicios que se estén


31



PlanificadaPeso

introduciendo en el entorno productivo se debería pasar a la gestión del servicio y se debe registrar en la base de datos de conocimien-to, junto con las soluciones provisionales existentes.

8.3.2.4 Un error conocido no se debe cerrar hasta que se haya resuelto sa-tisfactoriamente.NOTA: El cliente o el proveedor del servicio pueden decidir que la resolución resulta demasiado cara o que no aporta beneficio al ne-gocio. En este caso, esto se debería documentar con claridad. No obstante, el error conocido debería permanecer abierto, puesto que aún existirá la posibilidad de que se produzcan incidentes a conse-cuencia de este error y es posible que se necesiten soluciones pro-visionales y/o una reconsideración de la decisión de resolver o no el error.

8.3.3 Resolución del problema

8.3.3.1 Cuando la causa raíz se haya identificado y se haya tomado una decisión para resolver el error, la resolución se debe conducir a tra-vés del proceso de gestión de cambios.

8.3.4 Comunicación

8.3.4.1 La información sobre soluciones provisionales, arreglos permanen-tes o el progreso del problema se debe comunicar a las partes afec-tadas o puede ser requerida para dar soporte a los servicios afec-tados.

8.3.5 Seguimiento y escalado

8.3.5.1 Se debe realizar un seguimiento del progreso de todos los proble-mas.

8.3.5.2 Todos los problemas se deben escalar a las partes apropiadas.

8.3.5.3 El proceso debe cubrir:

a. El registro de los cambios de las identidades de los res-ponsables de la resolución de problemas durante el ciclo de vida de cada problema.

b. La identificación de incidentes que rompan los objetivos de nivel de servicio.

c. La distribución de información en cascada a clientes y co-legas para que puedan emprender las acciones adecua-das para minimizar la repercusión del problema no resuel-to.

d. La definición de los puntos de escalado.

e. El registro de los recursos empleados y de las acciones realizadas.

8.3.6 Cierre de registros de incidentes y problemas

8.3.6.1 El procedimiento de cierre del registro debe incluir comprobaciones para garantizar que:

a. Detalles de la resolución se hayan registrado con preci-sión.

b. La causa esté categorizada para facilitar el análisis.


32



PlanificadaPeso

c. Es necesario que tanto el personal del cliente como el personal de soporte estén al corriente de la resolución.

d. El cliente acepte que la resolución se ha conseguido.

e. El cliente sea informado si no se va a llegar a una reso-lución o ésta no resulta posible.

8.3.7 Revisiones de problemas

8.3.7.1 Se deben realizar revisiones de los problemas siempre que la in-vestigación para esclarecer problemas no resueltos, inusuales o de gran repercusión las justifique.

8.3.7.2 Las revisiones deben incluir información de:

a. Tendencias, por ejemplo, problemas e incidentes recu-rrentes, errores conocidos, etc.

b. Problemas recurrentes de una determinada tipología de componente o ubicación.

c. Deficiencias causadas por la subcontratación, la forma-ción o la documentación.

d. Incumplimientos, por ejemplo, de normas, políticas y le-yes.

e. Errores conocidos en despliegues de versiones planifi-cados.

f. El compromiso del personal para resolver los incidentes y los problemas.

g. Repetición de incidentes o problemas resueltos.

8.3.7.3 La información se debe añadir a la base de conocimientos de ges-tión del problema.

8.3.7.4 Toda la documentación relevante debe ser actualizada, por ejem-plo, las guías del usuario y la documentación del sistema.

8.3.8 Prevención de problemas

8.3.8.1 La prevención de problemas debe abarcar desde la prevención de incidentes individuales, tales como las dificultades reiteradas para utilizar una determinada función de un sistema, hasta las decisiones estratégicas.

8.3.8.2 La prevención de problemas también incluye el suministro de infor-mación a los clientes para evitar que tengan que pedir ayuda en el futuro, por ejemplo para prevenir incidentes causados por la falta de conocimiento o formación del usuario.

9. PROCESO DE CONTROL


33



PlanificadaPeso

9.1 Gestión de la Configuración


34



PlanificadaPeso

9.1.1 Gestión de la configuración

9.1.1.1 Debe existir una visión integrada para la planificación de la gestión del cambio y de la configuración.Debe existir información precisa sobre la configuración para dar so-porte a la planificación y al control de los cambios a medida que sis-temas y servicios nuevos y modificados son liberados y distribuidos. El resultado debe ser un sistema eficiente que integre los procesos de gestión de la información de configuración del proveedor del ser-vicio con los de los clientes y suministradores, cuando proceda.

9.1.1.2 El proveedor del servicio debe definir la interfaz con los procesos de contabilidad financiera de activos.

9.1.1.3 Debe existir una política que defina cuando existe un elemento de configuración y los componentes que lo constituyen.

9.1.1.4 Todos los activos y configuraciones principales deben ser tenidos en cuenta y tener un gestor responsable que asegure que se man-tienen la protección y control apropiados, por ejemplo: los cambios son autorizados antes de la implementación.

9.1.1.5 Se puede delegar la tarea de implementar los controles, pero la res-ponsabilidad sigue siendo del gestor responsable. Este responsable debe disponer de la información necesaria para delegar esta res-ponsabilidad, por ejemplo, la persona que autoriza un cambio po-dría requerirle información del coste, riesgos, impacto del cambio y recursos para la implementación.

9.1.1.6 La infraestructura y/o los servicios deben tener un plan(es) actuali-zado de gestión de la configuración, que puede ser independiente o formar parte de otros documentos de planificación.

9.1.1.7 Los documentos de planificación deben incluir o describir:

a. ámbito, objetivos, políticas, roles estándares y responsa-bilidades.

b. Los documentos de planificación deben incluir o descri-bir los procesos de gestión de la configuración para defi-nir los elementos de configuración de los servicios e in-fraestructuras, controlar los cambios en las configuracio-nes, registrar e informar del estado de los ítems de con-figuración y verificar la integridad y la exactitud de los elementos de configuración.

c. Los documentos de planificación deben incluir o descri-bir los requerimientos para las responsabilidades, el se-guimiento y la auditoria, por ejemplo, para propósitos de seguridad, legales, de regulación o de negocio.

d. Los documentos de planificación deben incluir o descri-bir el control de configuración (acceso, protección, ver-sionado, construcción, control de lanzamiento).

e. Los documentos de planificación deben incluir o descri-bir el proceso de control de los elementos de contacto que identifiquen, registren y gestionen los elementos de configuración en las fronteras comunes a dos o más or-ganizaciones, por ejemplo: interfaces de sistemas, ver-siones.


35



PlanificadaPeso

f. Los documentos de planificación deben incluir o descri-bir la planificación y el establecimiento de los recursos para mantener los activos y configuraciones bajo control y mantener del sistema de gestión de la configuración, por ejemplo, formación.

g. Los documentos de planificación deben incluir o descri-bir la gestión de los suministradores y subcontratistas que estén llevando a cabo labores de gestión de la con-figuración.

9.1.1.8 Se debe definir la información que va a ser registrada para cada elemento, y se deben incluir las relaciones y la documentación ne-cesaria para la gestión efectiva del servicio.

9.1.1.9 La gestión de la configuración debe proporcionar los mecanismos para identificar, controlar y hacer el seguimiento de las versiones de los componentes identificables del servicio y de la infraestructura.

9.1.1.10 La gestión de la configuración debe asegurarse que el grado de control es suficiente para cubrir las necesidades del negocio, los riesgos de fallo y la criticidad del servicio.

9.1.1.11 La gestión de la configuración debe proporcionar información al pro-ceso de gestión del cambio sobre el impacto del cambio solicitado sobre la configuración del servicio y de la infraestructura.

9.1.1.12 Los cambios en los elementos de configuración deben ser fáciles de identificar (trazables) y auditables, cuando sea adecuado, por ejemplo: para cambios y movimientos en el software y el hardware.

9.1.1.13 Los procedimientos de control de configuración deben asegurar que se mantiene la integridad de los sistemas, servicios y componentes de servicio.

9.1.1.14 Antes de un paso al entorno real, debe establecerse una línea base de los elementos de configuración correspondientes.

9.1.1.15 Deben controlarse en una librería física o electrónica segura las co-pias maestras de los elementos de configuración digitales, con refe-rencias a los registros de configuración, por ejemplo: software, pro-ductos de prueba, documentos de soporte.

9.1.1.16 Todos los elementos de configuración deben ser identificables de manera única y registrados en la CMDB, cuyo acceso para actuali-zaciones debe estar estrictamente controlado.

9.1.1.17 La base de datos de gestión de la configuración debe ser gestiona-da y verificada activamente para asegurar su fiabilidad y precisión.

9.1.1.18 El estado de los elementos de configuración, sus versiones, ubica-ción, cambios y problemas relacionados y la documentación asocia-da deben estar visibles para quienes lo requieran.

9.1.1.19 Los procedimientos de auditoría de la configuración deben incluir: el registro de deficiencias, la iniciación de acciones correctivas y la co-municación de su resultado.

9.1.2 Identificación de configuración

9.1.2.1 Todos los elementos de configuración deben estar identificados uní-vocamente y definidos por atributos que describan sus característi-cas funcionales y físicas. La información debe se relevante y audita-ble.


36



PlanificadaPeso

9.1.2.2 En la base de datos de configuración se deben utilizar y registrar las marcas apropiadas u otros métodos de identificación.

9.1.2.3 Los elementos a ser gestionados deberían estar identificados usan-do criterios de selección establecidos.

9.1.2.4 Los criterios de selección y identificación deben incluir:

a. Todas las distribuciones y versiones de los sistemas de información y del software (incluyendo software de ter-ceras partes) y la documentación de los sistemas rela-cionada, por ejemplo, especificaciones de requerimien-tos, diseños, informes de prueba, documentación de la versión.

b. Las líneas base de configuración o las premisas de construcción para cada entorno, módulo estándar har-dware y versión.

c. Copia física maestra y bibliotecas electrónicas, por ejemplo: la biblioteca definitiva de software.

d. Las herramientas o paquetes usados para la gestión de la configuración.

e. Licencias.

f. Componentes de seguridad, por ejemplo: cortafuegos.

g. Activos físicos que necesiten por la gestión contable de activos o por motivos de negocio, por ejemplo: medios magnéticos seguros, equipamiento.

h. Documentación relacionada con el servicio, por ejemplo: SLAs, procedimientos.

i. Instalaciones para el soporte del servicio, por ejemplo: energía eléctrica a la sala de ordenadores.

j. Relaciones y dependencias entre elementos de configu-ración.

9.1.2.5 Se deben identificar las relaciones y dependencias adecuadas entre los elementos de configuración para proporcionar el nivel de control necesario.

9.1.2.6 Cuando sea necesario establecer trazabilidad, el proceso debe ase-gurar que se puede seguir el registro de los elementos de configu-ración en todo su ciclo de vida, desde los documento de requisitos hasta los registros de lanzamiento, por ejemplo, utilizando una ma-triz de trazabilidad.

9.1.3 Control de configuración

9.1.3.1 El proceso debe garantizar que sólo los elementos de configuración autorizados e identificables son aceptados y registrados desde su recepción hasta su baja.

9.1.3.2 Ningún elemento de configuración debe ser añadido, modificado, reemplazado o eliminado/retirado sin la documentación de control apropiada, por ejemplo: aprobación de la petición de cambio, infor-mación actualizada de la versión.

9.1.3.3 Para proteger la integrad de los sistemas, servicios e infraestructu-ra, los elementos de configuración deben mantenerse en un en-


37



PlanificadaPeso

torno seguro y adecuado que:a. Los proteja de accesos no autorizados, cambios o co-

rrupción, por ejemplo: virus.b. Proporcione algún medio de recuperación ante desas-

tres.c. Permita la recuperación controlada de una copia del ma-

estro controlado, por ejemplo: software.9.1.4 Seguimiento del estado de configuración e informes

9.1.4.1 Los registros de configuración deben mantenerse actualizados y fi-dedignos para reflejar los cambios en el estado, localización y ver-sión de los elementos de configuración.

9.1.4.2 El seguimiento del estado debe proporcionar información sobre los datos actuales e históricos de cada elemento de configuración a lo largo de su ciclo de vida. Debería permitir el seguimiento de los cambios en los elementos de configuración a través de sus diferen-tes estados, por ejemplo: solicitado, recibido, en pruebas de acep-tación, activo, en cambio, retirado y eliminado.

9.1.4.3 La información de configuración debe mantenerse actualizada y dis-ponible para: planificación, la toma de decisiones y la realización de cambios a las configuraciones definidas.

9.1.4.4 Cuando sea requerida, la información de configuración debe estar accesible a: usuarios, clientes, suministradores y asociados para darles apoyo en sus planificaciones y toma de decisiones. Por ejemplo, un proveedor externo de servicios podría hacer accesible su información de configuración a los clientes y a otras partes, para dar soporte a los procesos de gestión del servicio del resto de par-tes implicadas para un servicio completo extremo a extremo.

9.1.4.5 Los informes de gestión de la configuración deben estar disponibles para todas las partes relevantes. Los informes deben cubrir: la iden-tificación y el estado de los elementos de configuración, sus versio-nes y la documentación asociada.

9.1.4.6 Los informes deben cubrir las últimas versiones de los elementos de configuración.

9.1.4.7 Los informes deben cubrir localización del elemento de configura-ción y, para el software, la localización de las versiones maestras.

9.1.4.8 Los informes deben cubrir las interdependencias.

9.1.4.9 Los informes deben cubrir la historia de la versión.

9.1.4.10 Los informes deben cubrir estado de los elementos de configura-ción que constituyan juntos:

a. La configuración del servicio o del sistema.

b. Un cambio, una línea base, un paquete de instalación o una entrega.

c. Una versión o una variante.

9.1.5 Verificación y auditoría de la configuración

9.1.5.1 Los procesos de verificación y auditoria, en sus aspectos físicos y funcionales, deberían ser planificados y se debería realizar una


38



PlanificadaPeso

comprobación para asegurar que los procesos y recursos adecua-dos están establecidos para:

a. Proteger las configuraciones físicas y del capital intelec-tual de la organización.

b. Asegurar que el proveedor del servicio tiene el control de sus configuraciones, las copias maestras y las licen-cias.

c. Garantizar que la información de la configuración está actualizada, controlada y visible.

d. Asegurar que un cambio, una versión, un sistema o un entorno está conforme a los requerimientos contratados o especificados y que los registros de la configuración son exactos.

9.1.5.2 Periódicamente se deben realizarse auditorías de la configuración, antes y después de un cambio importante, después de un desastre y en intervalos aleatorios.

9.1.5.3 Las deficiencias y no conformidades se deben registrar, evaluar e iniciar una acción correctiva, actuar sobre ellas; se debería reali-mentar a las partes relevantes y establecer un plan de mejora del servicio.

9.2 Gestión del cambioSI NO

Fecha Planificada

Peso

9.2.1 Gestión del cambio

9.2.1.1 Los cambios en los servicios y la infraestructura deber tener un ám-bito claramente definido y documentado.

9.2.1.2 Los procesos y procedimientos de gestión de cambio deben garan-tizar que:

a. Los cambios tienen claramente definido y documentado su alcance.

b. Sólo son aprobados los cambios que proporcionan be-neficios al negocio, por ejemplo: comercial, legal, regu-latorios o estatutarios.

c. Los cambios son planificados en base a la prioridad y el riesgo.

d. Los cambios a las configuraciones pueden se verifica-dos durante la implementación del cambio.

e. Cuando se requiera, el plazo para la implementación de cambios es supervisado y mejorado.

9.2.1.3 Los procesos y procedimientos de gestión de cambio deben garan-tizar que puede demostrarse cómo un cambio es:

a. Generado, registrado y clasificado (con referencias a los documentos que dieron origen al cambio).

b. Evaluado en relación al impacto, la urgencia, el coste, los beneficios y el riesgo, del cambio en el servicio, en


39



PlanificadaPeso

los clientes y en los planes de despliegue.

c. Retrocedido o remediado, si no tuvo éxito.

d. Documentado, por ejemplo, la solicitud de cambio está asociada a los elementos de configuración afectados, a la versión actualizada por la implementación y a los pla-nes de despliegue.

e. Aprobado o rechazado por una autoridad de cambios, dependiendo de su tipo, tamaño o riesgo.

f. Implantado por el responsable nominado con los grupos responsables de los componentes a ser cambiados.

g. Probado, verificado y entregado.

h. Cerrado y revisado.

i. Planificado, supervisado e informado.

j. Asociado a incidentes, problemas, otro cambio y regis-tros de elementos de configuración, cuando sea apropia-do.

9.2.1.4 Todas las peticiones de cambio deben ser registradas y clasifica-das, por ejemplo: urgentes, de emergencia, importantes, menores.

9.2.1.5 Se debe evaluar el riesgo, impacto y beneficios para el negocio de las peticiones de cambio.

9.2.1.6 El proceso de gestión del cambio debe incluir la forma en que cada cambio puede volverse atrás o corregirse, si no tiene éxito.

9.2.1.7 Los cambios deben ser aprobados y después comprobados, y de-ben ser implementados de una forma controlada.

9.2.1.8 Se debe revisar el éxito de todos los cambios y, en caso contrario, se deben decidir y se realizarán acciones correctivas tras la imple-mentación.

9.2.1.9 Deben existir políticas y procedimientos para controlar la autoriza-ción e implementación de cambios de emergencia.

9.2.1.10 Las fechas de implementación planificadas para los cambios deben ser utilizadas como base para la planificación de cambios y entre-gas.

9.2.1.11 Se debe mantener y comunicar a las partes relevantes la planifica-ción que contenga los detalles de todos los cambios aprobados pa-ra su implementación y las fechas propuestas.

9.2.1.12 Cuando se pueda ocasionar una perdida de servicio durante el ho-rario normal del servicio, las personas afectadas deben aceptar el cambio antes de su implementación.

9.2.1.13 Los registros de cambios deben ser analizados regularmente para detectar: incrementos en el volumen de cambios, tipos recurrentes frecuentemente, tenencias emergentes y cualquier otra información relevante.

9.2.1.14 La información de planificación debe estar disponible a las perso-nas afectadas por el cambio.

9.2.1.15 Los resultados y conclusiones obtenidos a partir del análisis de los cambios deben ser registrados.

9.2.1.16 Las acciones de mejora identificadas para la gestión del cambio


40



PlanificadaPeso

deben ser registradas y constituirán una entrada al plan de mejora del servicio.

9.2.2 Cierre y revisión de una solicitud de cambio

9.2.2.1 Todos los cambios deben ser revisados en relación a su éxito o fa-llo después de la implementación y debería registrarse cualquier mejora.

9.2.2.2 La revisión post-implementación en los cambios principales debe comprobar que:

a. El cambio cumple sus objetivos.

b. Los clientes están satisfechos con los resultados.

c. No ha habido efectos colaterales inesperados.

9.2.2.3 Toda no conformidad debe ser registrada y tomarse las acciones pertinentes.

9.2.2.4 Cualquier debilidad o deficiencia identificada en la revisión del pro-ceso de gestión de cambios, debería alimentar los planes de mejora del servicio.

9.2.3 Cambios de emergencia

9.2.3.1 En ocasiones se requiere la realización de cambios de emergencia, y cuando sea posible, se debe seguir el proceso de cambios, aun-que algunos detalles se documenten a posteriori.

9.2.3.2 Cuando el proceso de emergencia se salte algunos requerimientos de gestión del cambio, el cambio debe cumplir estos requerimientos tan pronto como sea posible.

9.2.3.3 Los cambios de emergencia deben estar justificados por quien los implementa y revisados después del cambio para verificar que era una emergencia real.

9.2.4 Informes, análisis y acciones de gestión de cambios

9.2.4.1 Los registros de cambios deben analizarse de forma periódica, para detectar incrementos en el nivel de cambios, frecuencia de tipos re-currentes, tendencias emergentes y otra información relevante. Los resultados y conclusiones derivados del análisis de los cambios de-berían registrarse y actuar sobre ellos.

10. PROCESO DE ENTREGA


PlanificadaPeso

10.1 Proceso de gestión de la entrega

10.1.1 Proceso de gestión de la entrega

10.1.1.1 Se debe documentar y acordar la política de entrega que establez-


41



PlanificadaPeso

ca la frecuencia y el tipo de las entregas.10.1.1.2 El proveedor del servicio debe planificar con el negocio la entrega

de las versiones de los servicios, sistemas, software y hardware.10.1.1.3 Los planes sobre cómo desplegar la entrega de una versión deben

ser acordados y autorizados por todas las partes relevantes, por ejemplo: clientes, usuarios, personal de operaciones y de soporte.

10.1.1.4 El proceso debe incluir la forma en que se de marcha atrás o se co-rrija la entrega si no tiene éxito.

10.1.1.5 Los planes deben registrar los entregables y las fechas de la entre-ga, y hacer referencia a las peticiones de cambio, errores conocidos y problemas relacionados.

10.1.1.6 El proveedor del servicio debe asegurarse que los aspectos técni-cos y no técnicos del despliegue de la versión son considerados conjuntamente.

10.1.1.7 El proceso de gestión de la entrega debe proporcionar la informa-ción adecuada al proceso de gestión del incidente.

10.1.1.8 Las peticiones de cambio deben ser evaluadas en cuanto a su im-pacto en los planes de entregas.

10.1.1.9 Los procedimientos de gestión de la entrega deben incluir la actuali-zación y el cambio de: la información de configuración y los regis-tros de cambio.

10.1.1.10 Las entregas de emergencia deben ser gestionadas de acuerdo a un proceso definido que realice la interfaz con el proceso de gestión del cambio de emergencia.

10.1.1.11 Se debe establecer un entorno controlado de pruebas de acepta-ción para construir y probar todas las versiones previamente a su distribución.

10.1.1.12 Las versiones y su distribución deben ser diseñadas e implementa-das de forma que la integridad del hardware y del software se man-tenga a lo largo de la instalación, la manipulación, el empaquetado y su provisión.

10.1.1.13 Los elementos de la versión deben ser trazables y no modificables. Solo se deben aceptar en el entorno de producción las versiones adecuadas, probadas y aprobadas.

10.1.1.14 Se debe medir el éxito y el fallo de las entregas. Las mediciones de-berán incluir los incidentes relacionados con una versión en el pe-riodo siguiente a su despliegue.

10.1.1.15 Los análisis deben incluir la evaluación del impacto: en el negocio y en el personal de operación y soporte TI, y deben proveer informa-ción de entrada al plan para la mejora del servicio.

10.1.2 Política de versiones

10.1.2.1 Debe existir una política de versiones que incluya la frecuencia y ti-pos de versiones.

10.1.2.2 Debe existir una política de versiones que incluya los roles y las responsabilidades para la gestión de la entrega.

10.1.2.3 Debe existir una política de versiones que incluya la autoridad para pasar la versión a los entornos de pruebas de aceptación y produc-ción.

10.1.2.4 Debe existir una política de versiones que incluya una identificación


42



PlanificadaPeso

y descripción única para todas las versiones.10.1.2.5 Debe existir una política de versiones que incluya una aproximación

en torno a la agrupación de los cambios en una versión.10.1.2.6 Debe existir una política de versiones que incluya una aproximación

para la automatización de los procesos de construcción, instalación, despliegue de versiones y distribución para apoyar su repetibilidad y su eficiencia.

10.1.2.7 Debe existir una política de versiones que incluya la verificación y la aceptación de una versión.

10.1.3 Planificación de la entrega y el despliegue

10.1.3.1 El proveedor del servicio debe trabajar conjuntamente con el nego-cio para asegurar que los elementos de configuración que se van a desplegar en una versión son compatibles entre sí y con los ele-mentos de configuración del entorno destino.

10.1.3.2 La planificación de la versión debe asegurar que los cambios de los sistemas de información, infraestructuras, servicios y documenta-ción afectados son acordados, autorizados, planificados, coordina-dos y se realiza un seguimiento.

10.1.3.3 La versión y el despliegue deben ser planificados en etapas ya que los detalle del despliegue podrían no ser conocidos inicialmente.

10.1.3.4 La planificación de una versión y del despliegue debe incluir:

a. Las fechas de la versión y la descripción de los entrega-bles.

b. Cambios relacionados, problemas relacionados y errores conocidos cerrados o resueltos por esta versión y errores conocidos que hayan sido identificados durantes las prue-bas de la versión.

c. Procesos relacionados para la implementación de una ver-sión a lo largo de todo el negocio y las diferentes unidades geográficas.

d. El modo en el que se dará marcha atrás de la versión o en que esta se remediará si no se concluye con éxito.

e. Los procesos de verificación y aceptación.

f. La comunicación, preparación, documentación y formación para los clientes y personal de soporte.

g. La logística implicada y los procesos para realizar la com-pra, el almacenamiento, la expedición, la conexión, la aceptación y la puesta a disposición de los bienes.

h. Los recursos de soporte necesarios para asegurar el man-tenimiento de los niveles de servicio.

i. La identificación de las dependencias, cambios relaciona-dos y riesgos asociados que pueden perjudicar el paso sin complicaciones de una versión a los entornos de pruebas de aceptación y producción.

j. La autorización de la versión.

k. El calendario de auditorías del entorno de producción cuando sea necesario asegurar, para actualizaciones de


43



PlanificadaPeso

gran tamaño, que el entorno de producción está en el esta-do esperado en el momento de instalar la versión.

10.1.4 Desarrollo o compra de software

10.1.4.1 Las versiones de sistemas de información y de software provenien-tes de equipos de desarrollo propios, desarrolladores de sistemas, integradores u otras organizaciones deben ser verificadas al recibir-se.

10.1.4.2 El proceso completo debe documentarse en el plan de gestión de la configuración.

10.1.5 Diseñar, construir y configurar una entrega

10.1.5.1 Los procesos de gestión de la entrega y distribución se deben dise-ñar e implementar para:

a. Asegurar que existe conformidad con la arquitectura de sistemas, la gestión del servicio y los estándares de infra-estructura del proveedor del servicio.

b. Mantener la integridad durante la construcción, instalación, manipulación, empaquetado y entrega.

c. Usar bibliotecas de software y repositorios relacionados para gestionar y controlar los componentes durante los procesos de construcción y despliegue de versiones.

d. Asegurar que los riesgos son claramente identificados y que se pueden llevar a cabo acciones de recuperación si se requieren.

e. Habilitar verificaciones antes de la instalación para com-probar que la plataforma destino satisface los prerrequisi-tos.

f. Habilitar verificaciones que comprueben que una versión está completa antes de que llegue a su destino.

10.1.5.2 Las salidas de este proceso deben incluir las notas de la versión, las instrucciones de instalación y la instalación ya realizada del so-ftware y el hardware relativo a la línea de base de la configuración.

10.1.5.3 Las salidas de la versión deben ser entregadas al grupo responsa-ble de las pruebas.

10.1.5.4 Los procesos de construcción, gestión de la entrega y distribución deben ser automatizados para reducir errores, asegurando que el proceso es repetible y que se pueden desplegar rápidamente las nuevas versiones.

10.1.6 Verificación y aceptación de la entrega

10.1.6.1 El resultado final debe ser una aprobación basada en el grado en el que el paquete completo de la versión recoge la totalidad de los re-querimientos.

10.1.6.2 Los procesos de verificación y aceptación deben verificar que el en-torno controlado de pruebas de aceptación se ajusta a los requeri-mientos del entorno de producción destino.

10.1.6.3 Los procesos de verificación y aceptación deben asegurar que la versión se ha creado a partir de versiones bajo el control de gestión de la configuración y que se han instalado en el entorno de pruebas de aceptación usando el proceso de producción planificado.


44



PlanificadaPeso

10.1.6.4 Los procesos de verificación y aceptación deben verificar que se ha completado el nivel adecuado de pruebas, por ejemplo, pruebas funcionales y no funcionales, pruebas de aceptación por el negocio, pruebas en los procedimientos de construcción, despliegue de ver-siones, distribución e instalación.

10.1.6.5 Los procesos de verificación y aceptación deben asegurar que la versión es probada a la satisfacción de los clientes del negocio y del personal del proveedor del servicio.

10.1.6.6 Los procesos de verificación y aceptación deben asegurar que la autoridad apropiada en cuanto a la gestión de la entrega aprueba cada etapa de las pruebas de aceptación.

10.1.6.7 Los procesos de verificación y aceptación deben verificar antes de la instalación que la plataforma destino satisface los prerrequisitos de software y hardware.

10.1.6.8 Los procesos de verificación y aceptación deben verificar que la versión está completa cuando llega a su destino.

10.1.7 Documentación

10.1.7.1 La documentación apropiada completa debe estar disponible y al-macenada según la gestión de la configuración en referencia al ele-mento de configuración desplegado.

10.1.7.2 La documentación debe incluir:

a. Documentación de soporte, por ejemplo, los acuerdos de nivel de servicio.

b. Documentación de soporte, por ejemplo, esquema del sis-tema, procedimientos de instalación y soporte, apoyos pa-ra el diagnóstico e instrucciones de operación y adminis-tración.

c. Los procesos de construcción, versiones, instalación y dis-tribución.

d. Los procesos de construcción, versiones, instalación y dis-tribución.

e. Planes de contingencia y marcha atrás.

f. Planificación de la formación para los responsables del servicio, el personal de soporte y los clientes.

g. Una línea base de configuración para la versión, incluyen-do los elementos de configuración asociados tales como documentación del sistema, entornos de pruebas, docu-mentación de pruebas y versiones de las herramientas de construcción y desarrollo.

h. Cambios, problemas y errores conocidos relacionados.

i. Evidencias de la autorización de la versión y evidencias re-lacionadas de la verificación y la aceptación.

10.1.7.3 Si un sistema o servicio no cumple completamente con los requeri-mientos especificados para él, antes de pasar a producción debe ser identificado y registrado mediante la gestión de la configuración y la gestión del problema.

10.1.7.4 La información sobre errores conocidos debe ser comunicada a


45



PlanificadaPeso

gestión del incidente.10.1.7.5 Si la versión es rechazada, retrasada o cancelada, se debe informar

a gestión de cambios.10.1.8 Despliegue, distribución e instalación

10.1.8.1 Se debe revisar el plan de despliegue y deben añadirse detalles si es necesario, para asegurar que se van a llevar a cabo todas las actividades necesarias.

10.1.8.2 Los procesos de despliegue, distribución e instalación deben ase-gurar que:

a. Todas las zonas de almacenamiento de hardware y so-ftware son seguras.

b. Existen procedimientos adecuados para el almacena-miento, expedición, recepción y eliminación de bienes.

c. Se planifican y completan comprobaciones sobre las ins-talaciones físicas, el entorno, las instalaciones eléctricas y el otros servicios.

d. Se notifican las nuevas versiones al personal del nego-cio y del proveedor del servicio.

e. Los productos, servicios y licencias que quedan sin utili-dad tras la nueva versión son eliminadas.

10.1.8.3 Tras una distribución de software en una red es esencial comprobar que las versión está completa y operativa tras llegar a su destino.

10.1.8.4 Los registros de activos y gestión de la configuración deben ser ac-tualizados con la ubicación y el propietario del software y el hardwa-re tras una instalación exitosa.

10.1.8.5 Se debe usar un cuestionario de satisfacción y aceptación por parte del cliente de la instalación para registrar el éxito o el fracaso de di-cha instalación. Todos los resultados de encuestas de satisfacción de los clientes deben constituir una realimentación para la gestión de las relaciones con el negocio.

10.1.9 Post implantación y despliegue de la versión

10.1.9.1 Se debe medir y analizar el número de incidentes relacionadas con una versión en el periodo inmediatamente posterior a un despliegue para evaluar su impacto en el negocio, en las operaciones y en los recursos de personal de soporte.

10.1.9.2 El proceso de gestión de cambios debe incluir una revisión post-im-plantación.

10.1.9.3 Las recomendaciones deben ser incluidas en un plan de mejora del servicio.


46

14 Capítulo Assesment ITIL 20000

Documents

Transcript of 14 Capítulo Assesment ITIL 20000