Calidad en Gestión de

Servicios de TI: mejores

prácticas y normas

Septiembre 2010

Horacio Lago

Introducción

ITIL

ISO 20000

COBIT

Aplicación conjunta

Conclusiones

AGENDA

1

Mejores prácticas: : Actividades o procesos probados que se han utilizado

con éxito por varias organizaciones. ITIL es un ejemplo de buenas prácticas.

Normas: documentos técnico-legales con especificaciones técnicas de

aplicación voluntaria. Elaborados por consenso de las partes interesadas: fabricantes, administraciones, usuarios y consumidores, centros de investigación y laboratorios, entre otros. Aprobados por un organismo nacional, regional o internacional de normalización reconocido. Disponibles al público.

Normas ISO: organismo promotor del desarrollo de normas internacionales

de fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Busca estandarizar normas de productos y seguridad para empresas u organizaciones a nivel internacional.

Algunas definiciones

2

Calidad: Característica de un producto, servicio o proceso para proporcionar su

propio valor y cumplir con determinados requisitos.

Servicios: ● Medios de entregar valor a los clientes facilitando los resultados que

desean alcanzar sin la propiedad de costos y de riesgos específicos. (ITIL v3).

● Conjunto de recursos de tecnología que son provistos a los clientes para agregar valor y ventaja competitiva a la operación de una o más áreas de Cliente y que es percibido como algo único y completo. (ITIL v2).

Gestión de servicios: es un conjunto de habilidades organizacionales

especializadas en proveer valor para los clientes en forma de servicios. El núcleo de la Gestión de Servicio es transformar los recursos en servicios de valor.

Algunas definiciones

3

ITIL

(Information Technology

Infrastructure Library)

● Un marco de referencia de las mejores prácticas para la gestión de servicios de tecnología de Información de mayor aceptación a nivel mundial.

● Proporciona un conjunto completo y coherente de las mejores prácticas en la materia, promoviendo un enfoque de calidad para lograr la eficacia empresarial y la eficiencia en el uso de sistemas de información.

● Basado en la experiencia colectiva de profesionales del ámbito privado y gubernamental de todo el mundo. Hoy tiene un enfoque fiable y coherente, y que se ha convertido en un estándar de-facto adoptado por organismos públicos y privados, Gobierno y empresas y organizaciones de variado rango e industrias.

Breve Reseña

4

ITIL = Information Technology Infrastructure Library

● Es una guía no propietaria de Mejores Prácticas para la Gestión de Servicios de TI (IT Service Management)

● Aplicable a todo tipo de organizaciones

● Desarrollado por OGC en el Reino Unido en los 80’s

● Desde los años 90 es el “estándar de facto” para ITSM

● Lo actualizan los foros (itSMF s)

● Su enfoque se basa en:

- Servicios

- Procesos

- Calidad

- Orientación al cliente

- Independencia de proveedores de TI

5

Breve Reseña

Evolución de ITIL

6

• Es la versión más reciente, promueve claramente el alineamiento e integración de TI a los negocios.

• Establece el marco de procesos, roles y funciones necesarios para ejecutar TI como un negocio en si mismo.

• Se basa en el concepto de ciclo de vida de servicios y esta estructurado en cinco fases:

- Estrategia - Diseño- Transición- Operación - Mejora continua

7

ITIL V3

ITIL v3 - Ciclo de vida del servicio

Estrategia: representar y conceptualizar el conjunto de servicios que ayudan a lograr los objetivos de negocio.

Diseño del servicio: diseñar los servicios, teniendo en mente los objetivos de utilidad y garantía.

Transición: Puesta en marcha del servicio en el ambiente de producción.

Operación: gestión de los servicios en forma permanente para garantizar que se logren los objetivos de utilidad y garantía.

Mejora continua: evaluar los servicios e identificar formas de mejorar su utilidad y garantía.

8

Service Transition (ST)1. Transition Planning and Support2. Change Management3. Service Asset & Configuration Mgmt4. Release and Deployment Mgmt5. Service Validation and Testing6. Evaluation7. Knowledge Management

Service Operation (SO)1. Event Management2. Incident Management3. Request Fulfilment4. Problem Management5. Access Management

ITIL v3 - Ciclo de vida del servicio

Procesos de cada fase

9

Continual Service Improvement (CSI)1. 7-Step Improvement Process2. Service Measurement3. Service Reporting

Service Strategy (SS)1. Strategy Generation2. Financial Management3. Service Portfolio Management4. Demand Management

Service Design (SD)1. Service Catalogue Management2. Service Level Management3. Capacity Management4. Availability Management5. IT Service Continuity Management6. Information Security Managem

10

Razones para mejorar los procesos internos de TI

● Mejorar el alineamiento de IT con el negocio

● Generar confianza y credibilidad

● Garantizar cumplimiento de normativas

● Mejorar la eficiencia de TI

● Implementar mejores prácticas

● Mejorar la capacidad de ejecución

● Reducir costos

ITIL / ITSM hoy

ITIL

Caso de

Implementación

Misión del programa

Incrementar la satisfacción de nuestros Clientes y disminuir costos de TI, implementando globalmente la Gestión de Servicios de TI de acuerdo a la metodología ITIL.

11

12

● Alinear mejor la organización de TI con las estrategias

● Adoptar Procesos estándar y consistentes a nivel Global, independientemente de quien presta el servicio (sourcing).

● Conocer mejor el desempeño.

● Soportar mejor otras iniciativas globales.

● Balancear los requerimientos del Cliente con las capacidades de TI para mejorar la entrega de sus servicios.

● Mejora continua de los procesos en pos de la mejora en la entrega de servicios.

Razones de la adopción

13

Factores claves

● Recursos Humanos

● Procesos

- Usar las mejores prácticas de la industria: Procesos ITIL

● Tecnología

● Métricas

Procesos

RecursosHumanos

Software y

Métricas

Tecnología

Actitudes CreenciasConductas Valores

Conocimiento

Cultura

ITILFramework

14

● Implementación de procesos consistentes, estándares y globales

● Clara comprensión de:– Los servicios que TI proporciona a los Clientes

– El nivel de servicios que requieren los Clientes

– La performance con la que TI proporciona estos servicios

● Alineamiento de los servicios de TI a las necesidades de los Clientes

● Optimización de costos de acuerdo al nivel de servicio requerido

Beneficios

Procesos = Métricas = Oportunidad de mejora

Nos permite analizar cada paso de un proceso

Analizar si es necesario:• Agrega valor?• Es necesario por razones de cumplimiento de

ciertas normas?

• Mejorarlo:• Aumentar la dinámica• Eliminar defectos y disminuir la variabilidad

Implementar procesos es sólo el comienzo!

Perspectiva de Procesos

15

Cambios

Entregar servicios de TI al nivel requerido por los Clientes

Triángulo de valorEjemplo de integración de procesos

Reducir tiempo de resolución de incidentes

Reducir número de incidentes

Reducir disrupciones del ambiente de TI

CMDB

Configuración

16

Perspectiva de Procesos

17

Perspectiva de servicios

Definición: Conjunto de recursos de tecnología que son provistos a los clientes para agregar valor y ventaja competitiva a la operación de una o más áreas de Cliente y que es percibido como algo único y completo.

18

Se estableció que todos los servicios:

● Deben tener designado un responsable (service owner)

● Deben ser gestionados considerando todos sus componentes (“end toend”). Sus componentes:

● Deben tener acuerdos de niveles de operación (OLA) acordados con todos los responsables de componentes de servicio y estar debidamente documentados y comunicados.

● Deben gestionarse a través de los procesos definidos basados en ITIL.

19

● Nuevas expectativas

● Nuevos procesos

● Nueva herramienta

● Nuevas definiciones

● Nuevos roles

Cambios en la organización

20

Service Management

Tool team

Process Architect

Local

Expert (3)

Regional Process

Managers (2)

Global Process

Owners (1)

-

Global Program

Manager

Roles y Modelo de organización

por procesos

(1) Responsable por diseñar, desarrollar, implementar nuevos procesos, y monitorear y mejorar procesos existentes.

(2) Trabaja con el seguimiento del proceso en el día a día. Si se dedica fulltime, reporta al Process Owner apropiado. Si se dedica tiempo parcial, reporta con línea solida al team operacional, y con línea punteada al Process Owner

(3) Experto del proceso para un team o una localización. Brinda asistencia a los otros miembros del team.

21

● Gestión End to End del servicio: control integral y por componentes.

● Gestión a través de los procesos basados en ITIL en coordinación con los responsables de los procesos.

● Procurar plan de entrenamiento y educación.

● Gestión del ciclo de vida.

● Orientar a todos los responsables de componentes de servicio acerca de los impactos en el servicio.

● Desarrollar estrategia de despliegue entre 1 y 3 años.

● Desarrollar / gestionar:

- Presupuesto

- Modelo de recuperación de costos.

- Proyección de la demanda

Service Owner - Responsabilidades

22

● Implementar IT Service Management en la región según las mejores prácticas de ITIL de acuerdo al programa global.

● Implementar una herramienta que soporte y facilite la integración de todos los procesos de ITSM.

● La función del Service Desk implementada en forma consistente en toda la región.

● Procesos de ITSM y la herramienta de soporte a estos, compartidos globalmente.

Objetivos para las regiones

23

● Organización de TI Regional y en transición hacia una organización global con más servicios tercerizados.

● Gerencias regionales de Infraestructura, aplicaciones, y de relacionamiento con los Clientes.

● Concepto de SSC para toda la región.

● Alto nivel de estandarización.

● Integración con servicios globales.

● A nivel regional:

– +8000 usuarios de servicios de tecnología distribuidos en 14 países

– +400 profesionales de TI

– +200 servicios de tecnología

Contexto organizacional

Actividades previas

● Gap Analysis: Actividad de

única vez, previa a las

implementaciones, para

poder establecer nivel de

madurez por cada proceso y

determinar el esfuerzo

necesario para la

implementación.

● Instalación herramienta de

software para gestión de

procesos.

Implementación

24

Actividades por proceso

● Desarrollo del modelo de proceso

● Métricas

● Reportes

● Comunicaciones

● Planificación

● Software de gestión de procesos

● Capacitación

● Coordinación de actividades con las personas con roles en

procesos

● Puesta en marcha

25

Implementación

26

ITIL / ITSM es una metodología de alto valor para la organización pero

hay que considerar:

Conclusiones

● Trabajar en conjunto con los Clientes

● La organización de TI debe tener total

entendimiento de los objetivos de ITSM como

herramienta de gestión táctica y estratégica.

● Implementar nuevos procesos toma tiempo

debido a que implica cambio en la cultura de

trabajo y requiere soporte, compromiso y

disciplina para su adopción.

● Todo esto toma tiempo, ES UN LARGO CAMINO.

ISO/IEC

20000

● ISO/IEC 20000 (ISO 20K) es el primer estándar formal orientado a los procesos de gestión de servicios de TI, y reconocido internacionalmente a través del esquema de certificación ISO.

● Fue publicada el 15 de Diciembre de 2005, en reemplazo de su predecesora, la norma del Reino Unido BS15000, que había sido lanzada en Julio de 2003.

● Describe un conjunto de procesos de gestión integrados para lograr una entrega efectiva de servicios de TI a la organización y a sus clientes.

ISO 20000 – Visión general

27

● ISO/IEC 20000 se basa en y es complementaria a las mejores prácticas de ITIL. Es por esto que cualquier organización que haya adoptado ITIL no tendrá inconvenientes en interpretar / certificar ISO/IEC 20000.

● ISO/IEC 20000 es probable que se convierta en un requisito básico del negocio, de la misma manera que lo es ISO 9000.

● BS15000 según Gartner… (ahora ISO/IEC 20000)

– “Todas las iniciativas de mejora en Gestión de servicios de TI deben hacerse con ITIL y BS 15000 como base y marco de referencia.”

28

ISO 20000 – Visión general

● La organización se orienta más a los clientes.

● Mejora la reputación, la consistencia y las operaciones.

● Método estándar de valoración y auditoria externa e imparcial.

● Reconocimiento internacional en la industria.

● La valoración y las comparativas son un elemento importante de la mejora de procesos.

● Proporciona una guía de las medidas de Gestión de Calidad que se deben tomar para implementar una política de calidad en la organización.

● Garantizar que todos los procesos de Gestión del Servicio de TI certificados son auditados al menos una vez al año por un organismo de certificación registrado.

29

ISO 20000 – Propósitos y beneficios

● La norma se ajusta a ITIL pero amplía el concepto en términos de control.

● Valida que el concepto de Gestión de servicios se ha implementado y funciona correctamente, y define un nivel de calidad para las actividades de ITSM que puedan ser auditadas.

● La norma establece la certificación de manera de probar que se han implementado las mejores prácticas y las están empleando consistentemente a través de toda la organización.

● Se estableció el ciclo de Deming como metodología para lograr y mejorar la calidad a través de la mejora continua y la evaluación de los procesos de la organización. Utiliza el concepto de gestión PDCA (Plan, Do, Check, Act).

30

ISO 20000 – Control y calidad

Ciclo de Deming

ISO 20000 - mejora continua

31

Otros procesos, negocios proveedores,

clientes

PLANPlan gestión de servicios

DOImplementar

gestión de servicios

ACT

CHECKMonitorear,

medir, revisar

ACT Mejora

continua

Requerimientos de negocio

Requerimientos del cliente

Requerimientos para cambios / habilitación

de servicios

Otros procesos, negocios proveedores,

clientes

Service desk

Otro teams, ej: seguridad, IT operations,

Resultados de negocio

Satisfacción del cliente

Servicios nuevos / modificados

Satisfacción de los equipos de trabajo y

de las personas

ISO 20000

Partes constitutivas de la norma (1)

Parte 1ª: Especificación (Obligatorio)

● Es el estándar formal, identifica y define los requerimientos que una organización debe tener para la conformidad y certificación de la norma.

● Con esto se garantiza un nivel de servicio de TI de calidad

● Es la especificación para la Gestión del Servicio que abarca la Gestión del Servicio de TI. Ésta es la parte que se puede auditar .

● Documenta la lista de objetivos y controles que requiere la organización para lograr la certificación.

● Hay 217 requisitos dentro del estándar de la ISO/IEC 20000.

32

ISO 20000

Partes constitutivas de la norma (2)

Parte 2ª: Código de Buenas Prácticas (Recomendaciones)

● Profundiza en los requerimientos y brinda una guía a los Proveedores del Servicio para alcanzar este estándar.

● Sigue la misma estructura que la parte 1ª pero describe con detalle las mejores prácticas y ofrece instrucciones y recomendaciones dentro del alcance de la norma formal

● Es el código profesional para la Gestión del Servicio

33

ISO 20000 - Procesos

Gestión de Incidentes

Gestión de Problemas

Gestión de Relación

con el Negocio

Gestión con

Proveedores

Gestión de

Capacidad

Gestión de

Continuidad del

Servicio y

Disponibilidad

Gestión de Nivel de Servicio

Servicio de Reporte

Gestión de Seguridad

de la Información

Servicios de

Presupuestación y

Contabilidad de TI

Gestión de Configuración

Gestión de Cambios

Gestión de Release

Provisión del Servicio

Control

Release

Resolución

Relacionamiento

Sistema de Gestión

Planeando e implementando Gestión de Servicio

Planeando e implementando servicios nuevos y cambios

34

PR

OG

RA

MA

DE

CU

ALI

FIC

AC

IÓN

. GES

TIÓ

N D

E SE

RV

ICIO

S TI

35

Programa de Certificación

● Puede ahorrarle tiempo de aprendizaje y dinero prestando especial atención a los aspectos más importantes de ITSM.

● Certificaciones basadas en roles que se centran en lo que las personas necesita saber y cómo ponerlo en práctica (habilidades).

● Programa de certificación auto-contenido.

● La certificación incluye diversos temas, entre otros: como abordar aspectos culturales y una guía práctica sobre la implantación de ITSM.

● Los límites del programa están definidos por la norma ISO/IEC 20000, lo que significa que el personal adquiere las habilidades clave de ITSM.

● Los Proveedores de Servicios obtienen un mayor beneficio con este enfoque, independientemente de que el objetivo sea o no la certificación ISO/IEC 20000.

PR

OG

RA

MA

DE

CER

TIFI

CA

CIÓ

NG

ESTI

ÓN

DE

SER

VIC

IOS

TI A

LIN

EAD

A C

ON

ISO

/IEC

20

00

0ISO 20000 - Programa de Certificación

36

Foundation Level – Objetivo

● Familiarizarse con los objetivos básicos y los contenidos de ISO/IEC 20000.

– Conocimiento básico de las mejores prácticas y la terminología técnica necesaria.

– El “know-how” adquirido será indispensable para establecer un sistema de gestión.

– Familiarizarse con el proceso de auditoría.

– Será capaz de priorizar la urgencia de las medidas

– Aplicar la mejora continua (CIP) en su organización

● El certificado en ISO/IEC 20000 Foundation es la base para una formación y certificación más avanzada en relación con ITSM dentro de los límites de ISO/IEC 20000.

37

Professional Level – Objetivo

● Ejercita sus habilidades profesionales en el día a día de la empresa. Está

involucrado en el nivel operacional y en su actividad los cambios son

constantes.

● En los cinco cursos de este nivel, adquirirá las habilidades necesarias para

afrontar con confianza estos retos.

● El conocimiento adquirido puede implantarse directamente en diferentes

etapas del proceso

● Se requiere un mínimo sobre los “Procesos de gestión y mejora de ITSM”

para avanzar bien por el itinerario “IT Management” o por el itinerario IT

Auditing”.

PR

OG

RA

MA

DE

CU

ALI

FIC

AC

IÓN

. GES

TIÓ

N D

E SE

RV

ICIO

S TI

38

IT Management Track – Objetivo

● Hoy en día la mejora continua es un requerimiento indispensable en cualquier organización.

● La formación y certificación de este nivel cubre todos los aspectos de los sistemas de gestión.

● Esta certificación le provee de un profundo conocimiento como consultor en la implantación de ITSM dentro de los límites de ISO/IEC 20000 o bien como responsable de la gestión de una compañía o departamento TIC cuya gestión se alinee con las mejores prácticas de la Gestión de Servicios de TI (ITSM).

PR

OG

RA

MA

DE

CU

ALI

FIC

AC

IÓN

. GES

TIÓ

N D

E SE

RV

ICIO

S TI

39

IT Auditing Track – Objetivo

● Obtendrá el conocimiento necesario para desarrollar profesionalmente auditorias internas o externas.

● Los cursos de este nivel se centran en la planificación, técnicas de entrevista y preparación de informes.

● Aprenderá a interpretar los requisitos de ISO/IEC 20000, habilitándole para identificar oportunidades de mejora y formular las medidas apropiadas.

● Podrá definir el alcance del plan de certificación .

● Tras completar el máximo nivel de formación usted será capaz de planificar auditorias más complejas como ISO 19011 y liderar un equipo de auditoría.

40

COBIT

(Control Objectives for Information

and related Technology)

COBIT - “Control OBjectives for Information and related Technology”.

• Marco de gobierno de TI y un conjunto de herramientas de soporte que permite a las áreas de decisión reducir la brecha entre los requerimientos de control, las cuestiones técnicas de TI y los riesgos de negocio.

• Permite el desarrollo de políticas claras y buenas prácticas para todo el control de la organización. Hace hincapié en el cumplimiento normativo y ayuda a las organizaciones a aumentar el valor alcanzado desde TI.

41

COBIT

COBIT

COBIT utiliza un modelo de madurez como medio de evaluar la madurez de los procesos descritos en los dominios (ver más abajo para una descripción completa de dominios). El modelo está compuesto de los siguientes niveles:

0 – no se aplican procesos administrativos en absoluto1 – procesos ad hoc y desorganizados2 – procesos siguen un patrón regular3 – proceso se documentan y comunican 4 – procesos se monitorean y se miden5 – las buenas prácticas se siguen y automatizan

42

COBIT – matriz dominio / procesos

43

Dominio Procesos

1. Planificación y organización (PO)

PO1 Definir plan estratégico y dirección de TIPO2 Definir la arquitectura de la informaciónPO3 Determinar la dirección tecnológicaPO4 Definir los procesos de TI, su organización y las relacionesPO5 Manejo de las inversiones(relación con ITIL: Financial Management)PO6 Comunicar de los objetivos de gestión y direcciónPO7 Gestión de los recursos humanos de TIPO8 Gestión de la calidadPO9 Evaluación y gestión de los riesgos de TIPO10 Gestión de proyectos

2. Adquisiciones e implementaciones (AI)

AI1 identificar soluciones automatizadasAI2 Adquirir y mantener software de aplicaciónAI3 Adquirir y mantener la infraestructura tecnológicaAI4 Permitir la operación y usoAI5 Obtener recursos de TIAI6 Gestionar cambios (relación con ITIL: Change Management)AI7 Instalar y acreditar soluciones y cambios (relación con ITIL: Release Management)

COBIT se compone de "dominios", "procesos" y "actividades", los que se resumen a continuación:

44

Dominio Procesos

3. Entrega y soporte (DS)

DS1 Definir y gestionar niveles de servicio (relación con ITIL: Service Level Management)DS2 Gestionar servicios de terceras partesDS3 Gestionar performance y capacidad (relación con ITIL: Capacity Management)DS4 Asegurar continuidad del servicio (relación con ITIL: IT Service ContinuityManagement)DS5 Garantizar la seguridad de los sistemas (relación con ITIL: Security Management)DS6 Identificar y asignar costos (relación con ITIL: Financial Management)DS7 Educación y entrenamiento a usuariosDS8 Gestión del Service Desk y de incidentes (relación con ITIL: Service Desk / IncidentManagement)DS9 Gestion de la configuracion (relación con ITIL: Configuration Management)DS10 Gestión de problemas (relación con ITIL related: Problem Management)DS11 Gestión de datos (relación con ITIL: Availability Management)DS12 Gestión del ambiente físicoDS13 Gestión de operaciones

4. Monitorear y evaluar (ME)

ME1 Monitorear y evaluar procesos de TIME2 Monitorear y evaluar control InternoME3 Asegurar cumplimientos regulatoriosME4 Proporcionar gobierno de TI

COBIT – matriz dominio / procesos