“Caso aplicado de implantar un SGS

basado en la norma ISO 20000:2011 ”

Con la colaboración de ...

http://www.indracompany.com

Ponente: Mª Carmen BausetoDoctora en informática por la Universidad

Politécnica de Valencia (UPV).

o Gerente servicios TI de Indra desde 2010 y

Responsable del SGS de Sistemas de

Información.

o Profesora Máster ITIO de la UPV.

oITIL® Expert (EXIN)

oAuditor and Consultant Manager in ITSM

based on ISO/IEC 20000 (EXIN).

http://www.cfp.upv.es/consitio

Índice

Sistema de Gestión de Servicios (SGS)

• Norma ISO/IEC 20.000:2011: partes y procesos

Consideraciones de implantación

• ¿Por dónde empezar?

• Modelo DICE

• Métricas de proceso

Certificación ISO 20000

• Itinerario

• Externalización de servicios?

Integración de Sistemas de Gestión:

• ISO/IEC 20000 e ISO/IEC 27000

Sistema de Gestión de servicios (SGS)

• Incluye todas las políticas de gestión, objetivos, planes,

procesos y recursos requeridos para el diseño, transición,

provisión y mejora de los servicios que se prestan a la

organización. (UNE-ISO/IEC 20000-1:2011)

• Facilita la Gestión eficiente de los servicios con un enfoque

de procesos integrado, para mejorar la calidad de los

servicios a un coste efectivo.

Marcos de Referencia aplicados Gestión ServiciosIS

O/I

EC 2

0.0

00

UNE-ISO/IEC 20000-1Tecnología de la información. Gestión del Servicio. Parte 1:

Requisitos del Sistema de Gestión del Servicio (SGS)

ISO/IEC 20000-2:2012Tecnología de la información. Gestión del servicio. Parte 2: Directrices para la

implantación de los sistemas de gestión del servicio

ISO/IEC 20000-3:2012Tecnología de la información. Gestión del servicio. Parte 3:Directrices para la

definición del alcance y aplicabilidad de la Norma ISO/IEC 20000-1

ISO/IEC TR 20000-4:2010Tecnología de la información. Gestión del servicio. Parte 4: Modelo de procesos

de referencia

ISO/IEC TR 20000-5:2013Tecnología de la información. Gestión del servicio. Parte 5: Ejemplo de plan de

implementación de ISO/IEC 20000-1

ISO/IEC TR 20000-9:2014Tecnología de la información. Gestión del servicio. Parte 9:Directrices para la implementación de ISO/IEC 20000-1 en servicios de computación en la nube

ISO/IEC TR 20000-10:2013Tecnología de la información. Gestión del servicio. Parte 10:Conceptos y

Terminología

ITIL ® Estándar mundial de facto en la gestión de servicios informáticos aplicable a cualquier

modelo empresarial.

Descripción de los procesos: parte 1/2 Norma

UNE-ISO/IEC 20000-1:2011

Sistemas de GestiónResponsabilidades de la DirecciónRequisitos de la documentación

Competencia, concienciación y formación

Planificación e Implementación

Planificar, Implementar, Revisar, Mejorar (PDCA)

Planificación de nuevos servicios

Planificación e implementación de servicios nuevos o modificados

Procesos de Provisión del servicio

Procesos de Resolución

• Gestión de incidencias y peticiones del servicio

• Gestión de Problemas

Procesos de Relaciones• Gestión de Relaciones con

el Negocio• Gestión de

Suministradores

Procesos de Control• Gestión de la configuración• Gestión del cambio• Gestión de la entrega y

despliegue

• Gestión de la capacidad• Gestión de la disponibilidad y continuidad• Gestión de la Seguridad de la Información

• Informes del servicio• Gestión de Nivel de Servicio • Presupuestos y contabilidad servicios TI

Enfoque aplicado: Alineación entre procesos

Procesos Clave de la Organización

Catálogo/SLA´s de servicios TI de negocio

Procesos productivos Unidad de TI

Procesos del SGS

Provisión del servicio Soporte del servicio

Enfoque aplicado: SLA´s/procesos

Objetivos/KPI´s

Eficiencia en la provisión

Objetivos/KPI´s

Eficiencia en el

mantenimiento

Objetivos/KPI´s

Control del servicio

Objetivos/KPI´s

Satisfacción

Alcance,

Requisitos cliente

Definir Alcance SGS: parte 3 Norma

• Consideraciones clave:

– Equilibrio entre: necesidades del negocio y cumplimiento de

requerimientos del departamento TI

– Identificar:

» Servicios del catálogo/tecnología

» Clientes y su ubicación

» Ubicaciones/centros desde los que se prestan servicios

(proveedor)

– En fases posteriores (renovación certificación) podemos

ampliar alcance (nuevos servicios o ubicaciones)

Definir el proceso de implantación: Parte 5 Norma

Fase 1

• PGS

• Compromiso

• Catálogo

• CMDB

• Inc/pet

• Reg. Cambios

• Identificar

proveedores/clientes

• Costes

Fase 2

• SLA´s

• Continuidad

• Disponibilidad

• Capacidad

• Seguridad

• Problemas

• Entregas

Fase 3

• Nuevos servicios

• Satisfacción cliente

• Mejora continua

• SGS completo

• Auditoria Interna

Índice

Sistema de Gestión de Servicios (SGS)

–Norma ISO/IEC 20.000:2011: partes y procesos

Consideraciones de implantación

Modelo de medición

Certificación

₋ Externalización de servicios?

Integración de Sistemas de Gestión:

ISO 20000 e ISO 27000

Implantación: ¿por dónde empezar?

• Análisis GAP y Business Case : situación actual vs

Requerimientos parte 1 norma (alcance).

• Tenemos varias opciones:

– Tras el análisis GAP identificar problemática de la

organización.

– Empezar por procesos que facilitan resultados a corto plazo

como:

• Gestión de incidencias y peticiones

• Equipo y plan de proyecto (planificación, recursos, riesgos…)

– Documentación y formación (día a día)

– Clave: representación gestores operacionales

• Procesos a implementar ?

Análisis GAP

Puntos destacados:

• Analizar como se están gestionando los servicios

• Documentación/registros

• SLA´s

• Revisar informes auditorias/revisión servicio

• Conocimientos Staff

• Grandes cambios que pudieran impactar a la implantación

• Requerimientos regulatorios

• Casos aplicados otros proveedores similares

Implantación: Modelo DICE

• El modelo DICE está basado en un estudio de la consultora Boston

Consulting Group por Sirkin et al (2005) sobre 225 compañías.

• Cuatro factores clave para analizar el éxito de un proyecto que

implique impulsar la gestión del cambio (SGS):

–D: duración del proyecto

– I: integridad o capacidad de equipo de trabajo

–C1: compromiso ejecutivos senior, C2 empleados

–E: esfuerzo debería suponer menos del 10% para los empleados

• Concluyendo que los proyectos con éxito: se revisan frecuentemente ,

cuentan con equipo motivados, personal con conocimiento adecuado,

equipos cohesionados y que implican poco esfuerzo.

–Fórmula DICE Score= D+ (2xI)+(2xC1)+C2+E

Consideraciones Sistema de Medición

• Tres niveles:

Objetivos del Sistema de Gestión:

Alineados con los objetivos y estrategia del departamento de TI.

Procesos:

Se analiza su madurez utilizando como marco de referencia CMMI ®

Servicios: Debe incluir indicadores cuantitativos y cualitativos como la satisfacción.

Métricas de proceso – Fase de implantación

Fase inicial:

• Métricas de Cumplimiento: analizan el grado de utilización

de los procesos. Ej. Porcentaje de cambios registrados por

el SGS.

• Métricas de Progreso: podemos utilizar como referente

CMMI ®

En una fase posterior deben incorporarse métricas de eficiencia y

eficacia.

INICIAL:

impredecible y

reactivas

REPETIBLE:

procesos

gestionados a

través de

proyectos

DEFINIDO:

procesos

proactivos

GESTIONADO

CUANTITATIVAMENTE:

procesos medidos

OPTIMIZADO:

mejora

continua,

procesos

preventivos

Índice

Sistema de Gestión de Servicios (SGS)

–Norma ISO/IEC 20.000:2011: partes y procesos

Consideraciones de implantación

Modelo de medición

Certificación

₋ Externalización de servicios?

Integración de Sistemas de Gestión:

ISO 20000 e ISO 27000

Certificación SGS

• Aspectos clave:

– Definición del alcance

– Cumplir los requisitos de la parte 1 de la norma.

– Evidenciar el liderazgo Dirección:

• Revisión del SGS Dirección

– Implantar todos los procesos.

– Histórico de evidencias.

– Definir mínimo 2 objetivos medibles (business case):

SGS/procesos , servicios.->plan de gestión servicio

– Sistema medición procesos y servicios: madurez y SLA´s.

Itinerario de certificación

Concienciación

ISO/IEC 20000

Definir objetivos

y alcance

Análisis GAP

inicial

Business Case:

Aprobación

Plan de

formación

Seleccionar

auditor

Establecer el

SGS; políticas,

procesos y

procedimientos

Auditoria

Interna

Certificación

ISO/IEC 20000

Implementación

Auditoria

externa

¿Puede afectar la externalización a la certificación?

• Hay que poder demostrar el gobierno de los procesos aunque

haya parte de los procesos operados por terceros, lo que implica:

– Demostrar la responsabilidad de los procesos y autoridad para

exigir el seguimiento de los mismos.

– Controlar la definición e interfaces de los procesos.

– Determinar el rendimiento y el cumplimiento de los procesos

mediante el acceso y análisis de medidas y registros.

– Controlar la planificación y priorización de mejoras de los

procesos.

¿Puede afectar la externalización a la certificación?

• Punto 1.2 Norma ISO 20000:

– «El proveedor del servicio no puede delegar en evidencias

(punto 4) de gobierno de procesos que sean operados por

terceros»

• Requisitos generales del SGS (punto 4):

– Responsabilidad/compromiso Dirección

– Políticas y gestión documental

– Control documentos/registros

– G. recursos

– PDCA

Índice

Sistema de Gestión de Servicios (SGS)

–Norma ISO/IEC 20.000:2011: partes y procesos

Consideraciones de implantación

Modelo de medición

Certificación

₋ Externalización de servicios?

Integración de Sistemas de Gestión:

ISO 20000 e ISO 27000

Integración de SG´s: interrelación

Fuente: Fernández Sanchez, Carlos M., y Mario Piattini Velthuis. Modelo para

el gobierno de las TIC basado en las normas ISO. AENOR (Asociación

Española de Normalización y Certificación), 2012.

Integración ISO 20000 e ISO 27001

• La seguridad de la información, impacta en la gestión de los

servicios (SLA´s).

• Beneficios:

• Comparten la gestión documental, el sistema de medición…

• Mayor coordinación entre los SG´s, sinergias (ej. CMDB)

• Procesos en ambos Sistemas: gestión de incidencias,

continuidad, disponibilidad, seguridad de la información.

• Limitaciones:

– Compartir alcance

Beneficios destacados de implantar SGS

Evidenciar una gestión eficiente y eficaz de los servicios, a través del modelo de

medición.

Alineación con los objetivos organizacionales.

Sistematizar la operativa de los servicios con un enfoque a procesos.

Mayor comunicación entre las áreas.

Mejor entendimiento: lenguaje común

Con la colaboración de ...

http://www.indracompany.com/

Datos de contacto:

Mª Carmen Bauset

•Email: mabaucar@gmail.com

•Linkedin: https://www.linkedin.com/pub/m%C2%AA-

carmen-bauset-carbonell/29/809/b9a

¡Gracias por su atención!

http://www.cfp.upv.es/consitio

Con la colaboración de:

@exin_es

¡GRACIAS!

youtube/exinexams

facebook.com/EXINEnCastellano

slideshare.net/EXINEnCastellano