MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

���������� ��������������������������������������������������������������������� ��������������������

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN ISO/IEC 20000.

Guía completa de aplicación

para la gestión de los servicios

de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Título: ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Telefónica, S.A.

Coordinador: Luis Morán Abad

© AENOR (Asociación Española de Normalización y Certificación), 2009

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,sin la previa autorización escrita de AENOR.

© Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office ofGovernment Commerce under delegated authority from the Controller of HMSO.

ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.

The Swirl logo™ is a Trade Mark of the Office of Government Commerce.

The OGC logo® is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.

PRINCE® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.

IT Infrastructure Library® is Registered Trade Mark of the Office of Government Commerce in the UnitedKingdom and other countries.

M_o_R® is Registered Trade Mark of the Office of Government Commerce in the United Kingdom andother countries.

ISBN: 978-84-8143-662-4Depósito Legal: M-47292-2009Impreso en España - Printed in Spain

Edita: AENORMaqueta y diseño de cubierta: AENORImprime: Xxxxxx

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695comercial@aenor.es • www.aenor.es

Licensed Product

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Agradecimientos

Este libro recopila las experiencias de profesionales que están fuertemente involu-crados en el impulso de las normas y las buenas prácticas internacionales relativas ala gestión de las tecnologías de la información y las comunicaciones.

En la creación de esta primera edición del libro han participado:

• Dirección de la obra (Telefónica):

Luis Morán Abad – Dirección técnica y contenido final.

Alejandro Pérez Sánchez – Contenido intermedio.

• Autores principales (Telefónica):

Luis Morán Abad

Alejandro Pérez Sánchez

Juan Trujillo Gaona

David Bathiely Fernández

Miguel José González-Simancas Sanz

• Colaboradores:

Paloma García López (AENOR)

Carlos Manuel Fernández Sánchez (AENOR)

Eduardo Méndez Polo (Telefónica)

Jaime Pastor Pastor (Telefónica)

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Tomás Hernández López (Telefónica)

Carmen Fernández Prieto (Telefónica)

María Luisa López de Castro (Telefónica)

Julio Morilla Padial (Telefónica)

Andrés Leiva Araos (Telefónica)

Ronaldo Gonçalves Tiago (Telefónica)

Julio José Ballesteros García (Quint Group)

Luis Miguel Rosa Nieto (EXIN España)

Pablo Castro Montero

(Entre paréntesis se indica la empresa en la que trabajaban a fecha 01.01.2009.)

• El control independiente de idoneidad técnica de los contenidos está avaladopor profesionales de itSMF España y de AENOR, junto con otros profesio-nales independientes:

Carlos López Alonso (Hewlett-Packard) por itSMF España

Antonio José Rodríguez (Quint Group) por itSMF España

Ana Ramos (British Telecom) por itSMF España

Leopoldo Martínez-Osorio del Río (INDRA) por itSMF España

Carmen Caballero (INDRA) por itSMF España

Manuel Fernando Juan Martínez (Banco de Santander)

Julio González Sanz

Boris Delgado Riss (AENOR)

Agradecer también a la dirección de Sistemas de Información de Telefónica que deforma directa ha hecho posible esta publicación:

María Fernanda Torquati (Telefónica)

José María Tavera Más (Telefónica)

Fabriciano Gangoso Alonso (Telefónica)

Isidro Abad Gosalvez (Telefónica)

8 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Índice

Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Capítulo 1. El camino a la excelencia ya existe . . . . . . . . . . . . . . . . . . . . . 21

1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . . 23

1.2. Normas, estándares, marcos de referencia y metodologías reconocidas en el ámbito de las TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.3. Entender los entornos de normalización y certificación . . . . . . . . . . . . . . 27

1.4. Las principales normas y buenas prácticas en TI . . . . . . . . . . . . . . . . . . . 37

Capítulo 2. Entender las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . 51

2.1. Introducción a las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . . 53

2.2. Objeto y campo de aplicación de ISO/IEC 20000 . . . . . . . . . . . . . . . . . 65

2.3. La estructura de las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . 70

2.4. Relación entre ISO/IEC 20000 e ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Capítulo 3. El Sistema de Gestión del Servicio de TI (SGSTI) . . . . . . . . . . . . 79

3.1. El sistema de gestión de tecnologías de la información . . . . . . . . . . . . . . 83

Capítulo 4. Planificación e implementación de la gestión del servicio . . . . . 107

4.1. Cómo planificar e implementar la gestión del servicio . . . . . . . . . . . . . . 111

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información10

Capítulo 5. Planificación e implementación de nuevos servicios o de servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

5.1. El proceso de planificación e implementación de nuevos servicios o de servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Capítulo 6. Procesos de provisión de servicio . . . . . . . . . . . . . . . . . . . . . . . 191

6.1. Gestión de nivel de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

6.2. Generación de informes del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

6.3. Gestión de la continuidad y disponibilidad del servicio . . . . . . . . . . . . . . 279

6.4. Elaboración de presupuestos y contabilidad de los servicios de TI . . . . . . 331

6.5. Gestión de la capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

6.6. Gestión de la seguridad de la información . . . . . . . . . . . . . . . . . . . . . . 403

Capítulo 7. Procesos de relaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449

7.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

7.2. Gestión de las relaciones con el negocio . . . . . . . . . . . . . . . . . . . . . . . . 457

7.3. Gestión de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485

Capítulo 8. Procesos de resolución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535

8.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539

8.2. Gestión del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545

8.3. Gestión del problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589

Capítulo 9. Procesos de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619

9.1. Gestión de la configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623

9.2. Gestión del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661

Capítulo 10. Procesos de entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693

10.1. Gestión de la entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697

Capítulo 11. La certificación conforme a ISO/IEC 20000 de la gestión del servicio de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733

11.1. La primera certificación conforme a ISO/IEC 20000 . . . . . . . . . . . . . . 737

11.2. Evidencias y registros importantes en una certificación . . . . . . . . . . . . . 751

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Índice 11

Bibliografía y referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763

Términos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Presentación

Las tecnologías de la información son cada día más necesarias en la gestión de lasempresas.

Este sector, en su evolución hacia la madurez, ha ido generando diversos conjuntosde mejores prácticas que ayudan a las organizaciones a gestionar estos entornos tec-nológicos cada vez más complicados y, por otra parte, más esenciales.

Este libro nace con la intención de ayudar a todo tipo de empresas en la gestión de la actividad de sus departamentos informáticos. Profesionales de Telefónica y deAENOR han puesto su mejor empeño en explicar y aportar sus años de experien-cia en este ámbito. Para ello, se ha utilizado como eje vertebrador las NormasUNE-ISO/IEC 20000, que se enriquecen con las buenas prácticas de otros marcoscomo ITIL®.

Los autores han desarrollado una buena guía sobre la forma de incorporar estasmejores prácticas de la industria en la gestión diaria de las tecnologías. Esta publi-cación ayudará a las empresas a adoptar los últimos avances en la forma de organizarlas actividades que contribuyen a que el mundo tecnológico sea operativo y rentablepara las organizaciones y para la sociedad.

Esperamos que todo su contenido sea de gran utilidad en la mejora de los serviciosde tecnologías de la información prestados en su organización.

Telefónica

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Durante la década de los años 50, algunas predicciones futuristas imaginaron que,para el año 2000, los coches serían capaces de volar, se iría de vacaciones a Marte, yque Estados Unidos podría llegar a contar con “nada menos” que trescientos milordenadores. En 1947 el director de una famosa multinacional del sector predijoque en el mundo sólo habría mercado para 5 ordenadores. Estas predicciones hoyen día nos parecen ridículas, unas por lo exageradas, y otras por que se han que-dado muy cortas.

Las tecnologías de la información y las comunicaciones han avanzado mucho másde lo esperado, pero después de poblar el mundo de dispositivos de silicio, conunas capacidades de proceso inimaginables, nos encontramos con un panoramadesalentador:

• Equipos que se bloquean.

• Sistemas que se “caen”.

• Servicios que se interrumpen.

• Atención al usuario deficiente.

• Pérdidas de tiempo y de productividad de los usuarios.

• Personal técnico desbordado por llamadas y peticiones de asistencia.

• Directores de sistemas de información que ven cómo, a pesar del esfuerzo con-tinuo de su equipo, el roce y el malestar con el resto de la empresa no cesan.

Por ello, no es de extrañar que encontremos frecuentemente que los departamentosde las tecnologías de la información (TI) se consideren más una carga que unaayuda para el negocio.

Introducción

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

1 Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo término“ISO/IEC 20000” para referirse a estas normas, tanto para la serie UNE, como para la serieISO/IEC.

ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información16

La dinámica industria de tecnologías de la información y las comunicaciones(TIC), que es capaz de duplicar la capacidad de proceso y de almacenamiento cadaaño y medio, lleva desarrollando, en paralelo al avance tecnológico, metodologíasde trabajo que van ofreciendo soluciones de gestión a estos retos planteados. El sec-tor de las TIC ha ido creando distintas disciplinas para cubrir algunas de las facetasque necesita la gestión global de las TIC en la empresa. Soluciones que no siemprese han aplicado con el ahínco y el rigor necesarios.

Parece lógico que los organismos de normalización internacionales, como ISO (Inter-national Organization for Standardization, Organización Internacional de Normaliza-ción) e IEC (International Electrotechnical Commission, Comisión ElectrotécnicaInternacional), propicien la elaboración de normas que van consolidando las prácti-cas establecidas relativas a la organización del trabajo en las áreas de TI. Además,estos organismos de normalización disponen de mecanismos de trabajo asentadosque garantizan una amplia participación de los agentes del sector de las TIC. Este esel caso de las Normas ISO/IEC 20000, partes 1 y 2, y sus traducciones oficiales alcastellano, publicadas por AENOR como Normas UNE-ISO/IEC 200001 en juniode 2007. El presente libro se centra en explicar la aplicación de estas dos normas.

Las Normas ISO/IEC 20000 definen los procesos y las actividades esenciales paraque las áreas de TI puedan prestar un servicio eficiente y alineado con las necesida-des de la empresa u organización. Estas normas, construidas sobre la base delmodelo ITIL, se centran principalmente en la ordenación de las disciplinas desoporte y provisión de servicios de TI. Son normas específicas para la gestión de losservicios que ofrecen las áreas o los proveedores de tecnologías de la información.

Las Normas ISO/IEC 20000 no son de índole técnico, ni tecnológico. En ellas sedescriben los principales flujos de actividades (agrupados en forma de procesos) cuyofin es lograr una entrega efectiva y con la calidad requerida de los servicios a los clien-tes y usuarios. Además, definen un sistema reconocido y probado de gestión que per-mite a los proveedores de TI (ya sean áreas internas u organizaciones externas) plani-ficar, gestionar, entregar, monitorizar, informar, revisar y mejorar sus servicios.

Objeto del libro

Este libro se centra en explicar y facilitar la comprensión de las Normas ISO/IEC20000 con un enfoque práctico, para que su implantación resulte efectiva en

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Introducción 17

cualquier tipo de organización que provea servicios de tecnología, tanto interna-mente a su organización como externamente al mercado, tanto en grandes orga-nizaciones como en pequeñas o medianas empresas.

Este libro va dirigido a todos los profesionales del ámbito de las tecnologías de lainformación y las comunicaciones que estén involucrados en la provisión de servi-cios. Resultará imprescindible tanto a los responsables de su gestión, como a cual-quier otro profesional de TI: dirección, gestores, responsables de procesos, consul-tores, técnicos, personal de soporte, etc.

Al avanzar en este libro, el lector constatará que la industria ya ha normalizadogran parte del conjunto de actividades necesarias para que los servicios propor-cionados por las TI sean fiables y eficientes. Cubren desde las actividades del díaa día inmediato, como es la atención a los incidentes y peticiones, hasta la defi-nición de una estrategia que permita continuar prestando los servicios en casode catástrofe, todo ello, sin olvidar conceptos como la planificación o la mejoracontinua.

Persiguiendo este fin último de utilidad, los contenidos de cada apartado, ademásde incluir íntegramente la norma, se han enriquecido con otras buenas prácticasITIL y con la amplia experiencia profesional de los autores.

Por tanto, este libro pretende ser una guía completa de aplicación, una ayuda y unarazonable interpretación de estas normas. No pretende sentar “jurisprudencia” alrespecto. Los autores dan por hecho que puede haber otras formas de aplicar ointerpretar las directrices de las normas, ya que las particularidades de cada negocioy organización tienen gran influencia.

Estructura del libro

Se ha puesto énfasis en que los contenidos ayuden a la transformación real y per-ceptible de la gestión de las TI en toda empresa que se inicie en el camino de la apli-cación de ISO/IEC 20000.

El capítulo 1 “El camino a la excelencia ya existe”, introduce al lector en las nue-vas tendencias de gestión de las TI, como son: la orientación a procesos, la cali-dad, las normas y las mejores prácticas. La intención del capítulo es presentar elamplio, y cada vez más complejo, entorno normativo y de mejores prácticas. Seconocerá quiénes son los principales actores en estos ámbitos y se tendrá unaprimera aproximación de cómo se posiciona cada norma o iniciativa. Este capí-tulo es un paso previo, que proporciona una visión general de todo este escena-rio internacional, antes de zambullirse en las especificidades de las NormasISO/IEC 20000.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

El capítulo 2 “Entender las Normas ISO/IEC 20000” las posiciona en el ámbitoglobal de las TIC, para pasar después a explicar su alcance, su estructura, sus coin-cidencias y las principales diferencias frente a ITIL. Este capítulo resulta esencialpara entender adecuadamente los siguientes.

Para facilitar la comprensión, el núcleo central del libro, desde el capítulo 3 al 10,se organiza siguiendo una estructura de capítulos y numeración de apartados para-lela a las normas de referencia. En la figura I.1 se muestra este paralelismo inten-cionado.

El capítulo 3 “El Sistema de Gestión del servicio de TI (SGSTI)”, explica este con-cepto que suele resultar nuevo para los profesionales de las TIC no acostumbradosa los sistemas de gestión definidos en la normativa de calidad ISO. Explica condetalle la creación de un sistema de gestión aplicado a la provisión y soporte delservicio de tecnologías de la información. Este sistema de gestión constituye en símismo el diseño de las nuevas formas de hacer que transformarán el servicio de TI.Su utilización ofrece un valor añadido y permitirá alcanzar una posición diferenciala las organizaciones que lo implementen.

En el capítulo 4 “Planificación e implementación de la gestión del servicio”, se tratala implantación de las Normas ISO/IEC 20000. Explica la forma de organizar y lle-var a cabo esta transformación que suponen las nuevas formas de hacer, acordes conestas normas y definidas en el sistema de gestión. Se explican los aspectos que hayque tener en cuenta previos a la implantación, para entrar posteriormente en el ciclode mejora continua. Se sigue el enfoque a las cuatro etapas del ciclo de mejora con-tinua (PDCA, de Deming o de Shewhart), que también se explica en este capítulo.

Los capítulos del 5 al 10 se corresponden con los principales procesos identificadosen la gestión del servicio relativos a: creación, provisión, relaciones, resolución,control y entrega del servicio.

En el libro, también se ha considerado que las empresas, además de mejorar sus ser-vicios de TI, quieren obtener una certificación que les acredite ante su Dirección oante sus clientes de la conformidad de su gestión frente a los requisitos de estas nor-mas de referencia. A este respecto, el capítulo 11 es una guía que explica el procesohabitual para obtenerla.

El libro se ha preparado para que se pueda leer en tres recorridos diferentes:

• Recorrido 1: lectura rápida. Paso rápido por los conceptos del libro, sinprofundizar en los procesos. Este recorrido pasa por la lectura de los capítu-los 1, 2 y 3 en detalle, pues contienen conceptos y posicionamientos quenadie debería descartar. A partir de este punto, el resto de los capítulos y pro-cesos tienen su introducción y gráficos que resumen los principales concep-tos que todo involucrado en las TI debería conocer.

18 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

19Introducción

1 Objeto y campo de aplicación

2 Términos y definiciones

Índice de las Normas ISO/IEC 20000

0 Introducción

1 El camino de la excelencia ya exite

2 Entender las normas ISO/IEC 20000

Bibliografía

11 La certificación conforme a ISO/IEC 20000 de la gestión del servicio de TI

11.1 La primera certificación conforme a ISO/IEC 20000

11.2 Evidencia y registros importantes en unacertificación

12 Bibliografía y referencias

13 Términos y definiciones

Índice del libro ISO 20000

4 Planificación e implementación de la gestión del servicio

5 Planificación e implementación de nuevos servicios o de servicios modificados

6 Procesos de la provisión del servicio

6.1 Gestión de nivel de servicio

6.2 Generación de informes del servicio

6.3 Gestión de la continuidad y disponibilidad del servicio

6.4 Elaboración de presupuesto y contabilidad de los servicios de TI (gestión financiera de TI)

6.5 Gestión de la capacidad

6.6 Gestión de la seguridad de la información

7 Procesos de relaciones

7.1 Generalidades

7.2 Gestión de las relaciones con el negocio

7.3 Gestión de suministradores

8 Procesos de resolución

8.1 Antecedentes

8.2 Gestión del incidente

8.3 Gestión del problema

9 Procesos de control

9.1 Gestión de la configuración

9.2 Gestión del cambio

10 Proceso de entrega

10.1 Proceso de gestión de la entrega

3 Requisitos de un sistema de gestión 3 El Sistema de Gestión del Servicio de TI (SGSTI)

Figura I.1. La estructura del libro transcurre paralela a las Normas ISO/IEC 20000

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

• Recorrido 2: lectura secuencial y a fondo. De principio a fin, que es larecomendada por los autores.

• Recorrido 3: manual de consulta. La estructura del libro con temáticaindependiente permite utilizarlo también como manual de consulta, acce-diendo directamente a cada proceso.

20 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia

1.2. Normas, estándares, marcos de referencia y metodologías reconocidas en el ámbito de las TI

1.3. Entender los entornos de normalización y certificación

1.4. Las principales normas y buenas prácticas en TI

Capítulo 1

El camino a la excelenciaya existe1

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

1.1. Las Normas ISO/IEC 20000 son parte delcamino a la excelencia

Comparando la gestión habitual de las tecnologías de la información con otrasáreas de la empresa, podremos encontrar que, en las más avanzadas, existen mode-los de gestión firmemente establecidos que las hacen parecerse al modelo de unaorquesta sinfónica en la que, si bien cada músico es un excelente especialista en suinstrumento, es en la interpretación del concierto cuando la orquesta demuestra suauténtico valor actuando como un todo.

En cambio, las áreas que gestionan sistemas tecnológicos han puesto tradicional-mente el foco en el conocimiento y dominio de la tecnología. Es esencial y obvioque se necesitan buenos técnicos para el diseño, la construcción y el mantenimientodel hardware y del software. Sin embargo, la situación actual refleja que el controlde la técnica, aunque totalmente imprescindible, no es suficiente para satisfacertodo lo que la empresa demanda de las áreas de TI. Queda una importante asigna-tura pendiente que, por más que se invierta en tecnología y en técnicos, no se con-sigue resolver: actuar perfectamente engranados, todos juntos y bien coordinadospara conseguir un fin común: ser cada vez más eficientes en costes y capaces de evolucionar con la agilidad típica del “ecosistema” Internet (objeto de deseo detodos los negocios para sus áreas de TI).

Los responsables de los departamentos de TI deben responder a importantes des-afíos: la eficiencia en costes, la calidad, el cumplimiento de plazos, la agilidad y lasatisfacción de los clientes y usuarios están entre ellos. La gestión de las TI debeevolucionar desde los modelos artesanales hacia formas de hacer más industrializa-das. Implementar formas de trabajo repetibles, mejorando la calidad de lo cons-truido, la fiabilidad de los servicios o aumentando la capacidad de “producción” dela organización, todo ello, dentro de un nuevo entorno más fluido en las relacionesy que genere menos estrés en las personas. En esta evolución, las buenas prácticassectoriales recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otrasnormas y marcos de referencia, marcan el camino a recorrer para alcanzar la exce-lencia en la gestión de las TI.

Del mismo modo que un abogado debe conocer las leyes para ejercer su profesión,o un arquitecto la legislación y reglamentación sobre urbanismo y edificación; ladirección y los profesionales de los departamentos de TI deben conocer con detalleel conjunto de buenas prácticas, normas o estándares que se están consolidando ensu propio sector. La actividad de los directivos y profesionales de las TI, debe pasarpor conocer con detalle la normativa y marcos de las mejores prácticas aceptadospor el mercado, para aplicarlas posteriormente en su organización. Este es un buencamino para la mejora de las actividades.

231. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

1.2. Normas, estándares, marcos de referencia y metodologías reconocidas en el ámbito de las TI

El mundo de la ciencia está empeñado en la búsqueda de una ley universal que seaválida tanto para el mundo del átomo como para las grandes galaxias. De maneraanáloga, en el ámbito de las TI todavía no se ha conseguido definir un modelo for-mal universal de toda su actividad que contemple desde la más detallada tarea téc-nica, hasta la definición al más alto nivel de la estrategia alineada con el negocio.

El interés por mejorar las actividades de las TI ha hecho que se hayan ido desarro-llando varios marcos o modelos que cubren las principales parcelas de la gestión ydel conocimiento. A veces son complementarios entre sí, en otros aspectos se sola-pan y, con frecuencia, presentan enfoques distintos sin ofrecer una integración claracon otros modelos o aproximaciones. A pesar de ello, es indudable la utilidad detrabajar con éstos modelos de referencia ya definidos y los beneficios que aportan alas organizaciones que los utilizan como base para avanzar.

Una buena representación que permite realizar una primera aproximación a estemundo en ebullición de normas, modelos y marcos de referencia, es la realizada porla consultora Gartner Group, presentada en la figura 1.1. En ella, se posicionan lasnormas en función de dos conceptos: el ámbito de aplicación y el tipo de uso de lanormativa. El ámbito de aplicación de las normas ocupa las columnas de la tabla yse divide en dos alcances: el general de la empresa y las disciplinas específicas de TI(gobierno de TI, gestión del servicio de TI, funciones de TI y tecnología). El tipode uso de la normativa se representa en tres filas: normativa con foco en la evalua-ción de la actividad, directrices y mejores prácticas, y la normativa de carácter másprescriptivo. La tabla original de Gartner se ha actualizado con la contribución delos autores, incorporando nuevas normas y marcos de referencia, como: ITIL v3,CMMI for Services, ISO/IEC15504, ISO/IEC 38500, ISO 9004, ISO14001, ISO90003, ISO/IEC 27001, PRINCE2, ISPL, ASL y DSDM). La dinámica de estesector hará que en breve aparezcan nuevas normas y estándares para incorporar aéste gráfico.

Entre estos modelos o recomendaciones destacan las Normas ISO/IEC 20000,que compiten por un reconocimiento en este campo. El hecho de llegar con el res-paldo de los organismos de normalización internacionales, es un claro empuje paraque se asiente como un referente en la sociedad. Como además, se han publicadotambién como norma nacional en muchos países, cumplen todo lo necesario paraque los gobiernos puedan incluirlas en sus legislaciones o regulaciones (pudiendollegar a convertirse en obligatorias).

24 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

El veterano marco ITIL destaca como el gran compendio de referencia, que aspiraa convertirse en ese modelo universal que estructura y organiza toda la actividad delas TI. Si bien la versión 2, publicada en el año 2000, ha tenido una aceptaciónexcepcional, hay que esperar a ver cómo el sector va adoptando la nueva versión 3,publicada en el año 2007, y que presenta una visión más amplia y coherente de lagestión de las TI, agrupada en torno al ciclo de vida del servicio.

El marco para el desarrollo de software CMMI (Capability Maturity Model Integra-tion) aparece como el modelo más aceptado para la medición de la madurez de losprocesos de gestión en la construcción de aplicaciones. Para complicar más el pano-rama, en su última versión se crea un nuevo modelo CMMI for Services, que sesuperpone en gran medida con el ámbito central de ITIL; y por tanto, también conlas Normas ISO/IEC 20000. Además, para los procesos y medición de la madurezdel desarrollo, también la normativa internacional inició desde 1993 su andadura.ISO e IEC han desarrollado un modelo para la evaluación de los procesos de desa-rrollo de software bajo la iniciativa SPICE que ha desembocado en la publicaciónde la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto denormas relativas a la ingeniería del software (ISO/IEC 15288, ISO/IEC 12207,ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).

251. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

Figura 1.1. Mapa de las diferentes normas y marcos de referencia relacionados con las TI

Fuente: Gartner y e.p.

Ámbito de la empresa Ámbito específico de TIp p

Calidad y medio

ambienteEmpresa Gobierno TI Gestión del

servicio de TIFunciones de TI

(desarrollo, seg., etc.) Tecnologíaambiente

( , g , )

uaci

ón

P l

TicketSAS

8000

SPICEISO/IEC 15504

Eval

es

ACC

CoCo

FEAF

TOGAF

People CMMI

TQM KingCOBIT

CMMI forServices

ITIL v3 CMMI

ITIL v2 ASL

ISO 90003

ISO

ISO/IEC17799 o 27002

ISO/IEC27001SO

ISO 9001so

Dire

ctric

e

COSO

Zachman

TOGAF

PMBOK

eTOM(Telcos)

SAS 70

ITIL v2

MOF

ISO/IEC 20000 ISPL

DSDMBS 25999

PAS 77ISO/IEC 38500

ISO 14001

EFQM

ISO 12207

27001ISO 9004

9001

Tipo

de

us

resc

riptiv

o

TL 9000

PMBOK

CORBA

SOA

XML

Lean

6 Sigma

RUP

SAS 70

PRINCE2

SOX

Pr SOA

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

La gestión de la seguridad de los sistemas de información ha sido una de las áreasmás difundidas en el entorno normativo de las TI, con las normas UNE-ISO/IEC 27001 (sistema de gestión de seguridad) y UNE-ISO/IEC 17799 (uncódigo de buenas prácticas para la gestión de la seguridad de la información),que se ha renumerado como UNE-ISO/IEC 27002. Recientemente han apare-cido unas normas británicas sobre la gestión de la continuidad de negocio, deno-minadas BS 25999.

En el ámbito de la auditoría, medición y gobierno de TI el modelo COBIT (Con-trol Objectives for Information and Related Technology) está reconocido como unaexcelente referencia. En relación al gobierno de las TI, la normativa internacionalde ISO ha tomado posiciones con la nueva Norma ISO/IEC 38500 CorporateGovernance of Information Technology (también denominada en sus etapas de borra-dor como 29382), inspirada en la Norma australiana AS 8015. Como un hijomenor del modelo COBIT, para la medición del valor que aportan las TI al negocio,se ha definido un nuevo “sub-marco” denominado ValIT.

En relación a la gestión de proyectos de desarrollo de software, el marco líder esPMBOK (Project Management Body of Knowledge), una metodología reconocidapor el organismo norteamericano de normalización ANSI. También hay que teneren cuenta el modelo PRINCE2 (Projects In Controlled Environments) que, reali-zado por los impulsores de ITIL, es más sencillo que el anterior, y resulta de utili-dad para proyectos de mejora y de implantación de ITIL o de ISO/IEC 20000.

Otros modelos que se complementan o solapan con los anteriores, aunque conpoca aceptación en el sector de las TI son: en el ámbito de la gestión de proveedo-res ISPL (Information Services Procurement Library), para disponer de un mapacompleto en la construcción de aplicaciones: ASL (Application Services Library) oDSDM (Dynamic Systems Development Method).

Por su importancia y universalidad, también hay que tener en cuenta la serie denormas internacionales ISO 9000, familia de normas y directrices que contienenlos requisitos para la gestión de la calidad general de una organización. Dentro deesta serie destaca la Norma UNE-EN ISO 9001, que contiene los requisitos delsistema de gestión de la calidad, también esencial para la implantación de las Nor-mas ISO/IEC 20000. La Norma UNE-EN ISO 9004 contiene recomendacionesprácticas para aquellas empresas que quieran ir más allá de los requisitos mínimosestablecidos en UNE-EN ISO 9001.

En el ámbito de la calidad aplicada al desarrollo de software, también hay que consi-derar la Norma UNE-ISO/IEC 9003 que versa sobre las directrices para la apli-cación de la Norma UNE-EN ISO 9001 al desarrollo de software. Por otra parte, laNorma ISO/IEC 12207 proporciona un marco para los procesos, actividades ytareas relacionadas con el ciclo de vida del software.

26 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Por otra parte, los temas medioambientales también tienen su impacto en la ges-tión de TI. Deben tenerse en cuenta: la legislación nacional, local y la normativasobre retirada y gestión del equipamiento y residuos informáticos; la serie de Nor-mas ISO-EN 14000 relativa a la gestión medioambiental; en España existe tam-bién la Norma UNE 150002 Sistemas de gestión medioambiental. Guía para la apli-cación de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la guía parala aplicación de los sistemas de gestión medioambiental a las relaciones con sumi-nistradores y clientes, denominada UNE 150004 EX; o el Código de Conductapara la Eficiencia Energética en Centros de Datos publicado por la Unión Europea.

Tanta abundancia de información y recomendaciones resulta confusa para las orga-nizaciones que sólo desean soluciones prácticas y directas para mejorar su gestiónde las TI.

De todo el mapa anterior, se recomienda centrarse inicialmente en las normas ymarcos de mayor relevancia y más aceptados para la mejora de TI, como son:

• ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar lagestión de los servicios de TI.

• COBIT para la auditoría y la medición de las TI.

• ISO/IEC 27001 para la gestión de la seguridad de la información.

• ISO/IEC 15504 y CMMI for Development para la gestión del desarrollo desoftware.

• ISO/IEC 38500 y COBIT como referencias para el gobierno de lastecnologías de la información.

1.3. Entender los entornos de normalización ycertificación

Tiene gran interés conocer “quién es quién” en el ámbito de la normalización y ladefinición de las buenas prácticas relacionadas con la provisión de servicios de TI.Concurren en este espacio: organizaciones internacionales y europeas de caráctermultisectorial que producen normas (como ISO, IEC, CEN, CENELEC, ETSI,UIT), organismos de normalización nacionales (AENOR en España, BSI en UK,etc.), administraciones públicas e instituciones gubernamentales (como OGC enUK, DoD en los EEUU), organizaciones privadas (itSMF, ITGI), universidades(Carnegie Mellon), junto a otros organismos del mundo de la certificación y acre-ditación de empresas. La figura 1.2 presenta en forma de tabla los principales acto-res. En las columnas se muestran las instituciones generadoras de normativas y

271. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

marcos de mejores prácticas (organismos de normalización internacional, organis-mos de normalización en cada país y las principales iniciativas de organizacionesprivadas –aunque algunas con el respaldo indirecto gubernamental). Las filas enu-meran algunos organismos e instituciones. Bajo el concepto de promotor se inclu-yen quién está principalmente detrás de las iniciativas respaldando a las institucio-nes. Finalmente se presentan algunas normas y marcos de cada ámbito.

En el ámbito de la normalización internacional, los organismos de normalizacióninternacionales (ISO, IEC, UIT) y los europeos (CEN, CENELEC, ETSI) dispo-nen de procedimientos estables que garantizan la participación de los países miem-bros y de la industria local. Aunque cada organismo tiene procedimientos específi-cos para la realización de la normativa, en todos está garantizada la participación delos países y de sus representantes. Para garantizar la representación se utilizan estruc-turas de comités, subcomités y grupos de trabajo internacionales, que frecuente-mente se reflejan en estructuras similares en los países. Por tanto, no hay un cicloúnico para la creación de las normas, aunque todos se basan en la representación delos organismos de normalización de los países a través de sus miembros nacionales(AENOR, BSI, DIN, etc.) como instrumento para garantizar la participaciónnacional.

28 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Figura 1.2. Actores en el ámbito de la normalización relacionados con las TI

Fuente: Telefónica

Normalización internacionalNormalización y acreditación

según el paísPrincipales iniciativas privadas

OGC Carnegie ITGI PMI• España: AENOR - ENAC• UK: BSI - UKASISO CEN

Org

anis

mos

e

nstit

ucio

nes Mellon

• UK: BSI - UKAS• USA: ANSI• Alemania: DIN - TÜV• Argentina: IRAM• Chile: INN• México: DGN

IEC CENELEC

UIT ETSI

O ies

• México: DGN• Perú: INDECOPI• Australia: SA

Gobiernos Gobierno del país OGC(UK)

DoD(USA)

ISACA(USA)

PMI(USA)

Prom

otor

e (UK)

Participan los líderes y gurús de la industria TI

(USA) (USA) (USA)

itSMF SEI y ESI

Participan comités normalización países

Participa industria local

itSMF España y GT-25(en UNE-ISO 20000)

orm

as

PMBOKISO 9001 COBITCMMIITILISO 27001

BS 15000

ISO/IEC 20000

ISO/IEC27001ISO 20000

ISO/IEC20000

ISO 17799-27002

(en UNE ISO 20000)

No

Prince2BS 25999PAS 77AS 8015

ISO/IEC17799

27001ISO/IEC38500

27002

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Por otra parte, el ámbito de las denominadas iniciativas privadas (ITIL, CMMI,COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prác-ticas y no de normativa. Los procedimientos y la gestión de la representación delsector quedan a la libre elección de la institución u organismo que impulsa la ini-ciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamadapública de participación para trabajar en la siguiente edición de estos marcos a laque suelen responder los principales actores internacionales y gurús en la materia.El proceso de selección del equipo de revisión es específico de cada institución, asícomo el procedimiento de edición de la nueva versión del marco de referencia.

Como se puede intuir hay que ser un autentico especialista en la materia para com-prender los diversos esquemas y estructuras que se han ido creando alrededor de lanormalización y marcos de mejores prácticas. Por la vinculación con la temática deeste libro se explican los procesos de creación de las normas ISO/IEC y de las nor-mas UNE españolas:

Ciclo de creación de las normas ISO/IEC. Una norma internacional se desarro-lla en el ámbito de los comités técnicos y de los subcomités técnicos de ISO y deIEC. El proceso sigue seis etapas: propuesta, preparatoria, comité, consulta, apro-bación y publicación. En este proceso, el documento propuesta de norma pasa portres estados que indican el grado de aceptación y apoyo que se va alcanzando de losdiversos borradores:

• CD (Committee Draft): es un borrador generado por un grupo de trabajo,que ha recibido la aprobación del grupo y se remite al comité correspon-diente para su aprobación.

• DIS (Draft of International Standard): es el borrador de norma internacio-nal que el comité de normalización ha aprobado y somete a comentarios yvotación por parte de los países.

• FDIS (Final Draft of International Standard): es el borrador final de lanorma internacional, que el comité envía para su aprobación final a todos losmiembros para su publicación final como norma internacional.

En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. En laetapa 3 se aprueba el borrador para pasar al estado de borrador de comité (DIS)que será sometido a aprobación en la etapa 4 o de consulta. Así, el borrador apro-bado pasa al estado de borrador final de norma internacional (FDIS) que serásometido para su aprobación definitiva en la etapa 5.

Además, existe el procedimiento rápido de aprobación, o fast-track, para documen-tos con un grado alto de madurez, como es el caso de normas locales que se quie-ran elevar a internacionales. En este caso, primero se somete a una votación para

291. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasardirectamente como DIS a la etapa 4. Normalmente el procedimiento rápido puededurar un año, mientras que el normal suele durar entre 2 y 3 años, dependiendo dela dificultad de alcanzar el consenso en las diversas etapas.

Ciclo de creación de las normas UNE españolas. El proceso de elaboración deuna norma UNE está sometido a una serie de fases que permiten asegurar que eldocumento final es fruto del consenso, y que cualquier persona, aunque no perte-nezca al comité de AENOR, productor de la norma, pueda emitir sus opiniones ocomentarios. Tras la aprobación del proyecto final de norma por un Comité Téc-nico de Normalización, el Boletín Oficial del Estado (BOE) publica la relaciónmensual de proyectos UNE sometidos a un período de Información Pública,durante el cual cualquier persona o entidad interesada podrá presentar observacio-nes. Las observaciones deben realizarse a AENOR. Una vez analizados los comen-tarios recibidos en esta fase, el comité redactará el texto final, que será aprobado ypublicado como norma UNE por AENOR.

En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional.

A continuación, se presenta una visión general de los principales actores en esteámbito normativo que tienen cierta relevancia en la gestión de las TI, aunque nopretende ser un tratado exhaustivo.

30 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Proceso de elaboración de una norma ISO/IEC internacional

1. Etapa de propuestaSe elabora la propuesta de norma

2. Etapa preparatoriaSe consensúa el borrador CD

3. Etapa de comitéEl comité aprueba CD → DIS

4. Etapa de consultaDIS se somete a consulta

5. Etapa de aprobaciónSe aprueba DIS → FDIS

6. Etapa de publicaciónFDIS se edita como norma ISO

1. Trabajos preliminares

2. Elaboración del proyecto denorma en el seno de un ComitéTécnico de Normalización (CTN)

3. Envío de la norma al BOE para información pública

4. Elaboración y aprobación por elCTN de la propuesta final de norma

5. Aprobación de la propuesta finalpor AENOR

6. Publicación de la nueva norma UNE

Proceso de elaboración de una norma UNE española

Figura 1.3. Procedimientos de creación de normas internacionales y nacionales

Fuente: ISO y e.p. Fuente: AENOR

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Organismos de normalización internacionales

ISO (International Organization for Standardization, Organización Internacionalde Normalización). Es el organismo de normalización oficial reconocido a nivelinternacional. Su objetivo es poner a disposición de la industria un catálogo de nor-mas sobre productos y servicios que se puedan utilizar para dar garantía de unosniveles de calidad preestablecidos. Fue creado en febrero de 1947 y tiene su sede enGinebra. Cuenta en la actualidad con la representación de 153 países. Tiene comoobjetivo lograr la coordinación internacional y la unificación de las normas de laindustria. Coopera estrechamente con la IEC.

IEC (International Electrotechnical Commission, Comisión Electrotécnica Interna-cional). Es la organización internacional centrada en la normalización de los ámbi-tos eléctrico, electrónico y de tecnologías relacionadas. ISO e IEC cooperan estre-chamente en campos de interés mutuo, especialmente en el ámbito de las TI en elque desarrollan normas de forma conjunta, las denominadas ISO/IEC.

UIT (International Telecommunication Union, Unión Internacional de Telecomuni-caciones). Organismo internacional encargado de la elaboración de recomendacio-nes para el sector de las telecomunicaciones.

Organismos de normalización europeos

CEN (European Committee for Standardization, Comité Europeo de Normaliza-ción). Es el organismo espejo de ISO a nivel europeo. Está centrado en la normali-zación en todos los campos excepto en el eléctrico y en el de telecomunicaciones.

CENELEC (European Committee for Electrotechnical Standardization, ComitéEuropeo de Normalización Electrotécnica). Es el organismo espejo de IEC a niveleuropeo. Está dedicado a la normalización en el ámbito eléctrico y electrónico.

ETSI (European Telecommunications Standards Institute, Instituto Europeo de Normas de Telecomunicación). Organismo equivalente a la UIT para Europa,cuyo campo de actividad se centra en las telecomunicaciones y comunicacioneselectrónicas.

Organismos de normalización nacionales

AENOR (Asociación Española de Normalización y Certificación). Es el orga-nismo que desarrolla la actividad de normalización en España. Es una organizaciónprivada, independiente y sin ánimo de lucro, reconocida en los ámbitos nacional,

311. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

europeo e internacional para el desarrollo de actividades de normalización y certifi-cación (N+C) en un ámbito multisectorial. Cuenta en la actualidad con más de 20centros operativos repartidos en: España, México, Chile, El Salvador, Italia, Portu-gal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el des-arrollo de las actividades de N+C, a mejorar la gestión de la calidad en las empre-sas, sus productos y servicios, proteger el medio ambiente y, con ello, lograr elbienestar de la sociedad en su conjunto.

BSI (British Standards Institute). Organismo de normalización del Reino Unido.Es destacable su actividad en la elaboración de nuevas normas en el ámbito de lagestión de las TI. Creador de la serie de normas BS 15000, base sobre la que se handefinido las actuales Normas ISO/IEC 20000.

En general, cada país tiene su propio organismo de normalización, entre otrospodemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA enAustralia, etc.

Otros organismos de habla hispana, con los que AENOR mantiene una estrechacolaboración motivada, entre otras cosas, por la traducción conjunta de normasinternacionales al español, son: IRAM en Argentina, INN en Chile, DGN enMéxico, INDECOPI en Perú, etc.

Los gobiernos

Es importante destacar el papel activo de los gobiernos, instituciones gubernamen-tales y administraciones públicas en el campo de la normalización, pues desempe-ñan un triple papel: como sustento de la actividad de normalización mediante sub-venciones a los organismos de normalización, como impulsores de algunasiniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bienestableciendo una regulación o bien en su papel de cliente contratante de serviciosal sector de las TIC.

Entre estos organismos destacan el Ministerio de Comercio Británico (OGC, Officeof Government Commerce) en su papel de creador, impulsor y propietario de ITIL yel Departamento de Defensa de Estados Unidos (DoD, Departament of Defense)como impulsor de CMMI.

Organismos de acreditación

Las entidades nacionales de acreditación son entidades independientes cuya fun-ción es la acreditación de entidades certificadoras y laboratorios de ensayo. Es decir,

32 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

el reconocimiento formal de que una organización es competente para la realiza-ción de una determinada actividad de evaluación de la conformidad o la realizaciónde un ensayo determinado.

Las organizaciones que podemos destacar son:

• Internacionalmente: IAF (International Accreditation Forum).

• En Europa: EA (European Cooperation for Accreditation).

• En España: ENAC (Entidad Nacional de Acreditación en España).

• En el Reino Unido: UKAS (United Kingdom Accreditation System).

IQNet. Un papel parecido a la acreditación lo realiza la Red Internacional de Cer-tificación (IQNet, International Certification Network), asociación formada por lasentidades de certificación líderes en la certificación de empresas en sus respectivospaíses. Entre sus objetivos están:

• El reconocimiento y promoción de los certificados expedidos por sus miem-bros en todos los sectores industriales y de servicios.

• La coordinación de los procesos de certificación de empresas que operan endistintos países.

Normalmente, los certificados locales emitidos por las entidades certificadoras vanacompañados de el reconocimiento internacional de IQNet.

Entidades certificadoras

Para que las empresas puedan demostrar a nivel nacional e internacional que cum-plen las normas, necesitan un certificado. Se trata de un instrumento para verificarla correcta implantación de las normas.

La obtención del certificado se realiza mediante un proceso de evaluación indepen-diente por parte de una entidad certificadora o de certificación. Un requisitoimportante que asegura la solvencia para que una entidad pueda conceder unamarca de certificación es que dicha entidad sea “competente para certificar” losproductos, los servicios, los sistemas de gestión o las personas, a los que se aplica lamarca de certificación.

Los organismos de acreditación son los encargados de acreditar a las entidades decertificación. Las entidades de certificación utilizan los servicios profesionales de los auditores.

331. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Marcas de certificación

Las marcas de certificación las conceden las entidades correspondientes a los pro-ductos, sistemas y servicios que cumplen con los requisitos definidos.

La certificación, en base a normas, tiene su reflejo en los distintivos de certifica-ción, cuya concesión significa que el producto o servicio ha pasado por el adecuadoproceso de certificación de forma satisfactoria. Cuando, por ejemplo, se trata deuna marca de seguridad, la concesión de la marca significará que cumple los requi-sitos de seguridad, según la norma de referencia.

En un producto con certificado de calidad, la etiqueta puede contener distintoslogotipos (véase la figura 1.4) dependiendo de la entidad que otorgue el certificado.

En el Reino Unido se ha desarrollado una marca de certificación específica paraISO/IEC 20000, según un acuerdo interno entre UKAS (organismo de acreditaciónde ese país) e itSMF-UK (capítulo inglés del itSMF, Information Technology ServiceManagement Forum), con un reglamento específico (esquema de certificación). Porel contrario, en la mayoría de los países, la certificación ISO/IEC 20000 transcurrepor los caminos habituales de la certificación del país, con marcas específicas de cadaentidad certificadora, y regulado por el organismo de acreditación del país.

Auditores

Los auditores son los únicos profesionales acreditados para realizar la auditoría delcumplimiento de los requisitos de una norma por una organización. La calificaciónde auditor se concede únicamente a los candidatos que demuestren experienciasuficiente y hayan pasado los exámenes exigidos para ello.

34 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Figura 1.4. Ejemplos de marcas de certificación de sistema y de producto en el caso de AENOR

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

En el caso de la Norma ISO/IEC 20000-1, existe una acreditación específica deauditor otorgada por UKAS e itSMF-UK a profesionales con amplia experiencia,tras superar un curso en entidades de formación acreditadas y superar el examen alrespecto. Esta acreditación de auditor está vinculada al esquema de certificaciónconjunto de UKAS e itSMF-UK.

Consultores

Los consultores asesoran, bien a las organizaciones o entidades que quierenimplantar las normas, o bien, una vez implantadas, que desean certificarse. Paraesta función existe una acreditación profesional específica. La formación que reci-ben les permite adquirir un nivel suficiente de conocimiento de la normas, delesquema de certificación y de su aplicación.

Los consultores asisten a las organizaciones en la interpretación y aplicación de lanormas, así como, para la aplicación efectiva de ISO/IEC 20000 en la gestión delservicio. Asimismo, el consultor externo puede efectuar una evaluación de los nive-les de gestión del servicio y establecer el nivel de preparación necesario para unasolicitud de certificación y su posterior consecución.

Actualmente, existe una acreditación de consultor ISO/IEC 20000 otorgada por enti-dades de formación acreditadas por UKAS e itSMF-UK. Otros organismos que regu-lan la formación profesional (EXIN, APMG) también están entrando en este campo.

Las organizaciones alrededor de ITIL

ITIL (Information Technology Infrastructure Library, Biblioteca de Infraestructurasde Tecnologías de la Información) es el compendio de las mejores prácticas en lagestión de TI más extendido y ampliamente aceptado por la industria.

La estrecha relación entre los contenidos de las Normas ISO/IEC 20000 y loslibros ITIL, hace relevante conocer cuáles son los principales miembros de este“ecosistema” creado para la difusión y evolución de estas prácticas:

OGC (Office of Government Commerce, Oficina de Comercio del Gobierno). Ofi-cina dependiente del Ministerio de Economía y Hacienda británico, responsable deun amplio programa para mejorar la eficiencia de las empresas. Este organismo(antes denominado CCTA) fue el creador de ITIL a finales de los años 80.

TSO. Editorial inicialmente vinculada al entorno gubernamental británico, centradaen la publicación de libros y documentación producida en este ámbito. Fue privati-zada en 1996 y ha sido comprada por el grupo Williams Lea en enero de 2007.

351. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

TSO se encarga de la publicación impresa y online de los libros ITIL, gestionandosus derechos de propiedad intelectual.

itSMF International (Information Technology Service Management Forum, Forointernacional para la Gestión del Servicio de TI). Creado en el Reino Unido en1991, es una red mundial de grupos de usuarios de TI que ofrecen mejores prác-ticas y guías basadas en normas para la provisión de servicios de TI. La organiza-ción internacional coordina las actividades de los capítulos locales y apoya al desa-rrollo y difusión de las evoluciones de ITIL.

itSMF está presente en países como: Francia, Bélgica, Alemania, Portugal, Nor-uega, Japón, Brasil, Dinamarca, Austria, Finlandia, Canadá, EEUU, Singapur,Australia, Italia, Hungría, Rumania, Suecia, Argentina, España, etc.

itSMF España. Capítulo español de itSMF. Constituido como una asociación sinánimo de lucro, actúa como una comunidad de usuarios. Centra sus intereses en lasprácticas y metodologías de gestión y gobierno de las TI. Tiene como objetivo ayu-dar a las organizaciones a adoptar soluciones de gestión de servicios TI e impulsarla adopción de las mejores prácticas.

Certificación profesional privada en el ámbito de lagestión del servicio

Alrededor de la difusión de las mejores prácticas de gestión del servicio de TI seha ido creando una oferta de servicios de formación para los profesionales, deno-minadas “privadas” por no tener asociadas un reconocimiento oficial del Estado,pero muy apreciadas en el mundo empresarial. No se debe confundir esta certifi-cación individual de profesionales con la certificación de organizaciones o provee-dores de TI.

En el ámbito de ITIL, las certificaciones profesionales tienen gran tradición. Se haevolucionado del esquema anterior de certificaciones de ITIL v2 en tres niveles(Foundation, Clusters y Service Manager) a uno nuevo en ITIL v3 basado en unaestructura más flexible de cuatro capas: Foundation para los conocimientos gene-rales iniciales, Intermediate para el conocimiento en más detalle de uno o varios delos libros del ciclo de vida o de agrupaciones de procesos, ITIL Expert que capacitapara la gestión integral de los servicios que requiere haber realizado un conjunto decursos Intermediate e ITIL Master, máximo grado de certificación que ratifica lacapacidad de analizar y aplicar los conceptos ITIL a nuevas áreas. La calidad de lasempresas de formación y el control de los exámenes los gestiona APM Group, aquién la OGC ha otorgado en 2006 la gestión de la acreditación de la formaciónrelacionada con la marca ITIL.

36 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

En el ámbito de ISO/IEC 20000, la aparición de estos esquemas de certificaciónprofesional garantizados es más reciente, destaca la iniciativa de EXIN (ExaminationInstitute for Information Science), pero posiblemente aparecerán otros, ya que elentorno de normativa internacional no ejerce el concepto de “propietario de marca”.

1.4. Las principales normas y buenas prácticasen TI

Las Normas ISO/IEC 20000

Dado que estas normas se tratan en profundidad en el resto del libro, única-mente se presenta en la figura 1.5 un esquema general de su estructuración en14 procesos (los 13 procesos descritos en los capítulos 6 al 10 de las normas,

371. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

Figura 1.5. Esquema general de los procesos de ISO/IEC 20000

Fuente: UNE-ISO/IEC y e.p.

Planificación e implementación de la gestión del servicio (PDCA)

Planificación e implementación de nuevos servicios o de servicios modificados

Gestión de la capacidad

Gestión de la continuidad ydisponibilidad

del servicio

Procesos de la provisión del servicio

Gestión de nivel de servicio

Generación de informes del servicio

Gestión de la seguridad de la información

Elaboración de presupuesto y contabilidad

de los servicios de TI

Proceso de entrega

Proceso de gestión de la entrega

Procesos de resolución

Gestión del incidente

Gestión del problema

Procesos de relaciones

Gestión de las relaciones con el negocio

Gestión de suministradores

Sistema de Gestión del Servicio de TI (SGSTI)

Procesos de control

Gestión de la configuración

Gestión del cambio

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

junto al proceso del capítulo 5 “Planificación e implementación de nuevos servi-cios o de servicios modificados”). Además, las normas incluyen dos aspectosmuy importantes: el sistema de gestión y la planificación e implementación dela gestión del servicio.

En el ámbito de los servicios de TI, resulta esencial que los servicios se proveanen un marco de gestión eficaz y de calidad, para entender claramente los requisi-tos y gestionar su cumplimiento. Las Normas ISO/IEC 20000 articulan el pro-ceso de prestación de los servicios engranados sobre un sistema de gestión delservicio (véase el capítulo 3). El proceso de mejora continua establecido por laNorma ISO 9001 para la fabricación de productos o prestación de servicios(siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar – Plan, Do, Check,Act), también se incorpora en esta norma como un “motor” de la mejora continuade los servicios de TI (véase el capítulo 4).

La serie ISO 9000, normas de calidad

Según el diccionario de la Real Academia Española, la calidad se define como la “pro-piedad o conjunto de propiedades inherentes a algo que permiten juzgar su valor”.

El aseguramiento de la calidad nace como una evolución natural del control de cali-dad, que resultaba limitado y poco eficaz para prevenir la aparición de defectos.Para ello, se hizo necesario crear sistemas de calidad que incorporasen la preven-ción como forma de funcionamiento y gestión, y que, en todo caso, sirvieran paraanticiparse a los errores antes de que estos se produjeran.

Un sistema de gestión de la calidad se centra en garantizar que el producto o el servicio ofrecido por una organización cumple con las especificaciones establecidaspreviamente por la empresa y el cliente, y así, asegurar unos niveles de calidad pre-decibles y su mejora continua a lo largo del tiempo.

El sistema de gestión de la calidad general es el conjunto de elementos interrelacio-nados de una empresa u organización por los cuales se organiza y planifica el tra-bajo de la misma en la búsqueda de la satisfacción de sus clientes. Sus elementosprincipales son:

• La estructura de la organización.

• Sus procesos.

• Sus documentos.

• Sus recursos.

38 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

ITIL (Information Technology Infrastructure Library)

Es un conjunto de publicaciones que recogen las buenas prácticas en la gestión deservicios de las TI. Define un modelo de procesos bastante amplio que abarcadesde la definición de la estrategia hasta la gestión de las infraestructuras. El éxito yla fama de ITIL se han fundamentado en la calidad de sus buenas prácticas y en laflexibilidad para que las empresas pudieran adaptarlas a sus necesidades.

Entre 1989 y 1992, la versión 1 de ITIL se centraba en la gestión de la tecnologíay estaba claramente orientado al entorno mainframe. Paulatinamente, las prácticasfueron evolucionando hacia procesos y servicios. ITIL, en su versión 2 (de princi-pios del año 2000), se estructuraba en 7 libros básicos (además, hay uno nuevo dededicado al inventariado o a la gestión de activos software y otro enfocado a imple-mentaciones en organizaciones de TI de menor escala como en pymes). En lafigura 1.6 se muestra la evolución histórica de ITIL y la aparición de ISO/IEC20000 en los últimos años.

391. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

IBM,sISMA

itSMF ITIL v1: 42 libros

ITIL v2: 7 libros

ITIL v3: 5 libros

Creación itSMF España

1986 1989 2000 2005 2007

Figura 1.6. Historia de la evolución de la normativa de gestión del servicio de TI

ITIL v0:Service LevelManagement

BS 15000ISO/IEC20000

UNE-ISO/IEC 20000

EvoluciónISO/IEC 20000

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

40 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

LA

TECNOLOGÍA

EL

NEGOCIO

Gestión de servicio

Soporte de servicio

• Centro atención usr.

• Incidente

• Problema

• Configuración

• Cambio

• Entrega

• Financiero

• Continuidad

• Disponibilidad

• Capacidad

• G. nivel de servicio

Provisión de servicio

Planificación de la implantación de gestión del servicio

Perspectiva de negocio

• Gestión relacióncon negocio

• Gestión relaciónproveedores

• Planificación y desarrollo arquitectura TI

• Relación formación y comunicación de TI con el negocio

Gestión de infraestructuras TIC

• Diseño y planificación

• Despliegue

• Operación

• Soporte técnico

Gestión de aplicaciones

• Requerimientos

• Diseñar y construir

• Despliegue

• Operar

• Optimizar

Gestión de la seguridad

• Planificar

• Implementar

• Evaluar

• Mantener

• Controlar

Gestión de activos

Figura 1.7. Procesos definidos en los libros ITIL v2

Fuente: Libro ITIL Soporte de Servicio publicado por OGC y e.p.

ITIL v2 se ha utilizado como base para la creación de las Normas ISO/IEC 20000.En la figura 1.7, se muestra una representación típica de ITIL v2. En ella se puedeapreciar el negocio a la izquierda del todo, en el extremo derecho se sitúa la tecno-logía, y, en medio, haciendo que la tecnología sea útil para el negocio están los pro-cesos ITIL. De ellos, los dos libros más valiosos por su contenido y más aceptadospor el mercado son los relativos a la gestión de servicio (libros Soporte de Servicio yProvisión de Servicio publicados por OGC).

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

La versión 3 de ITIL, que apareció a mediados de 2007, respeta los principalesprocesos del soporte y de la provisión del servicio ya definidos en la versión ante-rior. También saca a la luz mucha de las actividades de gestión de TI no reflejadasanteriormente, ampliando su alcance a más de 20 procesos. Esta versión ponemayor énfasis en la integración de TI con el negocio. Se estructura en torno al ciclocompleto de creación de servicios: estrategia, diseño, transición, operación ymejora continua (véase la figura 1.8).

411. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

Figura 1.8. La estructura de los libros ITIL v3 se articula según el ciclo de vida de los servicios

Fuente: Libro ITIL Estrategia del Servicio publicado por OGC y e.p.

Mejora del servicio

Diseñodel servicio

ITIL v3

Estrategiadel servicio

Ope

raci

ónde

l ser

vici

o

Trans

ición

del s

ervici

o

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

42 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Estrategia del servicio

• Generación de la estrategia

• Gestión financiera de TI

• Gestión de la demanda

• Gestión del porfolio de servicios

Diseño del servicio

• Diseño de servicios nuevos omodificados

• Gestión del catálogo de servicios

• Gestión de nivel de servicio

• Gestión de la capacidad

• Gestión de la disponibilidad

• Gestión de la continuidad del servicio TI

• Gestión de la seguridad de lainformación

• Gestión de suministradores

Transición del servicio

• Planificación y soporte de la transición

• Gestión de cambios

• Gestión de la configuración y de activos del servicio

• Gestión de versiones y despliegues

• Validación y pruebas del servicio

• Evaluación

• Gestión del conocimiento

Mejora continua del servicio

• El proceso de mejora en 7 etapas

• Informes del servicio

• Medición del servicio

• Retorno de inversión para la mejora

• Preguntas al negocio para la mejora

• Gestión de nivel de servicio

Operación del servicio

Procesos:

• Gestión de eventos

• Gestión de incidencias

• Gestión de peticiones

• Gestión de problemas

• Gestión de accesos

Funciones:

• Centro de servicio al usuario

• Gestión técnica

• Gestión de operaciones TI

• Gestión de aplicaciones

ESTRATEGIA DISEÑO TRANSICIÓN OPERACIÓN MEJORA CONTINUA

Figura 1.9. Contenido de las cinco etapas del ciclo de vida de los servicios en ITIL v3

Fuente: Libros ITIL v3 publicados por OGC y e.p.

ITIL v3

El conjunto de temática y procesos tratados en ITIL v3 se muestra en la figura 1.9.

Otras normas y metodologías relacionadas son: COBIT para la auditoría ygobierno de TI, ISO/IEC 27001 para la seguridad, CMMI e ISO/IEC 15504(SPICE) como modelos de madurez del desarrollo del software. En los apartadossiguientes se presenta una introducción a ellas.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Monitorizar y evaluar

ME1 Monitorizar y evaluar el desempeño de TI

ME2 Monitorizar y evaluar el control interno

ME3 Garantizar cumplimiento regulatorio

ME4 Proporcionar gobierno de TI

Entregar y dar soporte

DS1 Definir y administrar niveles de servicio

DS2 Administrar servicios de terceros

DS3 Administrar desempeño y capacidad

DS4 Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y asignar costos

DS7 Educar y entrenar a los usuarios

DS8 Administrar la mesa de servicio y los incidentes

DS9 Administrar la configuración

DS10 Administrar los problemas

DS11 Administrar los datos

DS12 Administrar el ambiente físico

DS13 Administrar las operaciones

Planear y organizar

PO1 Definir el plan estratégico de TI

PO2 Definir la arquitectura de la información

PO3 Determinar la dirección tecnológica

PO4 Definir procesos, organización y relaciones de TI

PO5 Administrar la inversión en TI

PO6 Comunicar las aspiraciones y la dirección de la gerencia

PO7 Administrar recursos humanos de TI

PO8 Administrar calidad

PO9 Evaluar y administrar riesgos de TI

PO10 Administrar proyectos

Adquirir e implantar

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener el software aplicativo

AI3 Adquirir y mantener la infraestructura tecnológica

AI4 Facilitar la operación y el uso

AI5 Adquirir recursos de TI

AI6 Administrar cambios

AI7 Instalar y acreditar soluciones y cambios

COBIT (Control objectives for information and relatedtechnology)

Es un conjunto de mejores prácticas e indicadores para el control y auditoría de lossistemas de información. Fue creado por ISACA (Information Systems Audit andControl Association) y el ITGI (IT Governance Institute) y ha ido extendiendo sualcance hacia las métricas de TI y las disciplinas de gobierno de las TI.

La primera edición fue publicada en 1996, la segunda en 1998, la tercera en 2000y la cuarta en Diciembre de 2005.

COBIT 4 se estructura en cuatro dominios que cubren un total de 34 objetivosprincipales de control (denominados también procesos), que permiten garantizarun adecuado sistema de gobierno para el entorno de las TI. En la figura 1.10 semuestran estos dominios.

431. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

Figura 1.10. Los 4 dominios de COBIT para el gobierno de TI

Fuente: ISACA.

Gobiernode TI

Administraciónde recursos

Adm

inis

trac

ión

de r

iesg

osM

edición del

desempeño

Entregade valorAlin

eación

estratégica

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

En el ámbito de la certificación de los profesionales, en 2008 ISACA ha puesto enmarcha la certificación en el gobierno de las TI (CGEIT, Certified in the Governanceof Enterprise IT). Además, existe la acreditación a título profesional para auditor delas TI (CISA, Certified Information Systems Auditor) y la relativa a la seguridad de las TI (CISM, Certified Information Security Manager).

Vinculado a COBIT, y con el fin de desarrollar las prácticas para la medición de delvalor de la contribución de TI al negocio, ISACA ha creado el marco Val IT.

ISO/IEC 27001 e ISO/IEC 17799 para la seguridad de las TI

El objetivo de la gestión de la seguridad de la información es asegurar la continui-dad de las operaciones de la organización y reducir al mínimo los daños causadospor una contingencia, así como, optimizar la inversión en tecnologías de seguridad.

ISO/IEC 27001 establece los principios de: integridad, disponibilidad y continui-dad de la información. Proporciona un modelo para la creación, implementación,operación, supervisión, revisión, mantenimiento y mejora de un sistema de gestiónde la seguridad de la información (SGSI). Esta norma establece un conjunto de 30actividades para la gestión de la seguridad, define 11 áreas principales de control,para cada una establece 39 objetivos de control y 133 controles (o medidas de sal-vaguarda) de seguridad. Las áreas de control son:

• Área: 5. Política de seguridad.

• Área: 6. Aspectos organizativos de la seguridad de la información.

• Área: 7. Gestión de activos.

• Área: 8. Seguridad ligada a los recursos humanos.

• Área: 9. Seguridad física y ambiental.

• Área: 10. Gestión de comunicaciones y operaciones.

• Área: 11. Control de acceso.

• Área: 12. Adquisición, desarrollo y mantenimiento de los sistemas de infor-mación.

• Área: 13. Gestión de incidentes de seguridad de la información.

• Área: 14. Gestión de la continuidad del negocio.

• Área: 15. Cumplimiento.

44 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

ISO/IEC 17799 (que pasará a ser denominada ISO/IEC 27002) recoge un códigode buenas prácticas para la gestión de la seguridad de la información. Se centra endesarrollar los objetivos de control de la seguridad, y para cada uno de ellos, seindica una guía para su implantación. Cada organización debe considerar cuántosserán realmente los aplicables según sus propias necesidades.

CMMI (Capability Maturity Model Integration)

CMMI es una evolución de estándar inicial CMM, que fue desarrollado por el SEI(Software Engineering Institute) de la universidad Carnegie Mellon, en 1986. Fueiniciado en respuesta a la petición del Gobierno de los EEUU (Departamento deDefensa, DoD) de proporcionar un método para controlar la capacidad de desarro-llo de software de sus contratistas.

Originalmente, fue diseñado para su uso por los desarrolladores de software, perohoy se ha ampliado, proporcionando un modelo completo de evaluación de lamadurez de las actividades de desarrollo de aplicaciones de una organización. Estemodelo está estructurado y repleto de prácticas de gran utilidad para la mejora delas actividades de una organización de TI.

En la figura 1.12 se muestra la estructura de las prácticas de CMMI en cuatro áreasdenominadas constelaciones. Cada una de estas constelaciones se pueden conside-rar equivalentes a un libro de ITIL. En el modelo CMMI a los procesos se les deno-mina área de proceso (PA, Process Area). Se establece una constelación común(CMMI Fountation) que contiene los procesos que son comunes, una específica

451. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

En la figura 1.11 se muestra la estructura de actividades propuesta en la norma.

Ciclo PDCA

• Planificar

• Hacer

• Verificar

• Actuar

4.2.1 Creación del SGSI

4.2.2 Implementación y operación del SGSI

4.2.3 Supervisión y revisión del SGSI

4.2.4 Mantenimiento y mejora del SGSI

Modelo en ISO/IEC 27001Plan

Planificar

Do

Hacer

Act

Actuar

Check

Verificar

Figura 1.11. Estructura de actividades de ISO/IEC 27001

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisi-ciones (CMMI for Adquisition) y una nueva para la prestación de servicios (CMMIfor Services).

CMMI describe cinco etapas evolutivas (niveles) en las cuales una organización sesitúa según la madurez de sus procesos:

1. Inicial (Initial). Los procesos son caóticos; pocos procesos están realmentedefinidos.

2. Repetible (Repeatable). Se establecen los procesos básicos y se observa ciertonivel de disciplina respecto a ellos.

3. Definido (Defined). Todos los procesos están definidos, documentados, nor-malizados e integrados.

4. Gestionado (Managed). Los procesos se miden recogiendo datos detalladosde los mismos.

5. En optimización (Optimizing). La mejora de los procesos es continua y pro-porciona nuevas ideas y oportunidades.

Con la publicación en Marzo del 2009 de CMMI for Services, el SEI también entraen el ámbito de la gestión del servicio, con bastante solape con ITIL e ISO/IEC20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.

46 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

CMMI for Development

CMMIfor Services

CMMI for Acquisition

CMMIFoundation

16 áreas de proceso comunes

Figura 1.12. Constelaciones (áreas o libros) de CMMI

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

ISO/IEC 15504 (SPICE, Software Process Improvementand Capability dEtermination)

En el ámbito del desarrollo del software en enero de 1993 en el seno del comité con-junto de ISO e IEC, surge el proyecto SPICE para el desarrollo de un estándarinternacional para la evaluación de los procesos de construcción del software. Elresultado de este trabajo se plasmó en la serie de normas ISO/IEC 15504, que pre-sentan un modelo de referencia que describe los procesos de una organización paraejecutar, adquirir, desarrollar, operar, evolucionar y proporcionar soporte al soft-ware. Este marco es la respuesta de la normativa internacional al modelo de madu-rez CMMI for Development y en muchos aspectos se solapa.

La arquitectura del modelo organiza las prácticas en números de categorías utili-zando diferentes tipos de aproximaciones. La arquitectura distingue entre:

471. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

Support

• Causal Analysis and Resolution (CAR)

• Configuration Management (CM)

• Decision Analysis and Resolution (DAR)

• Measurement and Analysis (MA)

• Process and Product Quality Assurance (PPQA)

Service Establishment and Delivery

• Incident Resolution and Prevention (IRP)

• Service Delivery (SD)

• Service System Development (SSD)

• Service System Transition (ST)

• Strategic Service Management (STSM)

Process Management

• Organizational Innovation and Deployment (OID)

• Organizational Process Definition (OPD)

• Organizational Process Focus (OPF)

• Organizational Process Performance (OPP)

• Organizational Training (OT)

Project Management

• Capacity and Availability Management (CAM)

• Integrated Project Management (IPM)

• Project Monitoring and Control (PMC)

• Project Planning (PP)

• Requirements Management (REQM)

• Risk Management (RSKM)

• Quantitative Project Management (QPM)

• Service Continuity (SCON)

• Supplier Agreement Management (SAM)

Figura 1.13. Los procesos definidos en CMMI para servicios (CMMI-SVC)en su versión 1.2

Fuente: SEI.

Las 24 áreas de proceso (PA) en CMMI-SVC

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

• Prácticas base. Actividades esenciales de un proceso específico, agrupadopor categorías de procedimientos y procesos de acuerdo al tipo de actividad.

• Prácticas genéricas. Aplicables a cualquier proceso, que representa lasactividades necesarias para administrar el “proceso” y mejorar su potencia-lidad.

El modelo agrupa a los procesos en cinco categorías:

• Procesos cliente-proveedor (customer-supplier). Esta categoría consta de losprocesos que directamente impactan al cliente, al soporte de desarrollo y a latransición del software al cliente.

• Procesos de ingeniería (engineering). Esta categoría consta de los procesosque directamente especifican, implementan, y mantienen un sistema, un pro-ducto de software y la documentación del usuario.

• Procesos de proyecto (project). Esta categoría consta de los procesos esta-blecidos dentro del proyecto, coordinación y administración de los recursospara producir un producto o proveer un servicio para satisfacer al cliente.

• Procesos de soporte (support). Esta categoría consta de los procedimientosque establecen y soportan el desempeño de los otros procesos del proyecto.

• Procesos de la organización (organization). Esta categoría consta de losprocesos que establecen las metas de negocio de la organización, los proce-sos de desarrollo y los recursos que ayudan a la organización alcanzar dichasmetas.

En la figura 1.14 siguiente se muestra un esquema con estos procesos:

48 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Procesos cliente-proveedor

Procesos de ingeniería

Procesos de soporte

Procesos de proyecto

Procesos de organización

Figura 1.14. Las cinco categorías de procesos definidas en SPICE

Fuente: SPICE.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Existen seis niveles de capacidad en el modelo:

• Nivel 0: Incompleto. Sería un fracaso general tratar de aplicar las prácticasbase a los procesos, ya que no es fácil identificar las salidas de los procesos oel funcionamiento de los productos.

• Nivel 1: Realizado. Generalmente se ejecutan las prácticas base de los pro-cesos. La ejecución de dichas prácticas puede no ser planificada rigurosa-mente y ni seguida, y dependerá del conocimiento y esfuerzo personal. Seidentifican algunos procesos.

• Nivel 2: Gestionado. Se planifica y se sigue la ejecución de las prácticasbase en los procesos. El desempeño estará acorde con los procedimientosespecificados. La primera distinción entre el nivel 1 y el 2 es que la ejecuciónde los procesos está planificada y administrada y progresan hacia un modelobien definido.

• Nivel 3: Establecido. Las prácticas bases se ejecutan de acuerdo a una ver-sión adaptada del estándar. Los procesos están aprobados, bien definidos ydocumentados.

• Nivel 4: Predecible. Se recaban y evalúan las mediciones detalladas del ren-dimiento o ejecución. Se conoce de forma cuantitativa el rendimiento de losprocesos y es posible su predicción. Las prácticas se administran objetiva-mente. La calidad de las mismas se conoce cuantitativamente.

• Nivel 5: Optimizado. Se establecen en forma cuantitativa procesos y metaseficientes, basados en los objetivos de la organización. Los procesos se vanmejorando de forma continua, mediante la retroalimentación (feedback)obtenida por los resultados de procesos definidos, por ideas, por pilotos ypor nuevas tecnologías.

491. El camino a la excelencia ya existe

38500

CMMI

ITIL

900020000

27001

COBIT

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

2.1. Introducción a las Normas ISO/IEC 20000

2.2. Objeto y campo de aplicación de ISO/IEC 20000

2.3. La estructura de las Normas ISO/IEC 20000

2.4. Relación entre ISO/IEC 20000 e ITIL

Capítulo 2

Entender las Normas ISO/IEC 200002

4. Planificación e implementación de la gestión del servicio (PDCA)

5. Planificación e implementación de nuevos servicios o de servicios modificados

6.5 Gestión de la capacidad

6.3 Gestión de la continuidad y disponibilidad

del servicio

6. Procesos de la provisión del servicio

6.1 Gestión de nivel de servicio

6.2 Generación de informes del servicio

6.6 Gestión de la seguridad de la información

6.4 Elaboración depresupuesto y contabilidad

de los servicios de TI

10. Proceso de entrega

10.1 Proceso de gestión de la entrega

8. Procesos de resolución

8.2 Gestión del incidente

8.3 Gestión del problema

7. Procesos de relaciones

7.2 Gestión de las relaciones con el negocio

7.3 Gestión de suministradores

3. Sistema de Gestión del Servicio de TI (SGSTI)

9. Procesos de control

9.1 Gestión de la configuración

9.2 Gestión del cambio

Fuente: UNE-ISO/IEC y e.p.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Planificación e implementación de la gestión del servicio (PDCA)

Planificación e implementación de nuevos servicios o de servicios modificados

Gestión de la capacidad

Gestión de la continuidad ydisponibilidad

del servicio

Procesos de la provisión del servicio

Gestión de nivel de servicio

Generación de informes del servicio

Gestión de la seguridad de la información

Elaboración de presupuesto y contabilidad

de los servicios de TI

Proceso de entrega

Proceso de gestión de la entrega

Procesos de resolución

Gestión del incidente

Gestión del problema

Procesos de relaciones

Gestión de las relaciones con el negocio

Gestión de suministradores

Sistema de Gestión del Servicio de TI (SGSTI)

Procesos de control

Gestión de la configuración

Gestión del cambio

2.1. Introducción a las Normas ISO/IEC 20000

La serie de Normas ISO/IEC 20000 (UNE-ISO/IEC 20000 en la versión espa-ñola) es el primer conjunto de normativa internacional específica para la gestión delos servicios basados en las Tecnologías de la Información (TI). Presentan unaorganización cabal de las principales actividades necesarias para gestionar estos servi-cios, agrupadas en un conjunto de procesos considerados esenciales para la creación,prestación y evolución de los servicios de las TI. Al aplicar sus requisitos y reco-mendaciones, las organizaciones de TI emprenderán un camino indudable demejora en el control y la calidad de su actividad. Es el primer gran salto hacia laexcelencia demandada por la sociedad a las TI.

Se pueden considerar como normas “troncales” en la gestión de las TI, pues estruc-turan en torno a procesos las actividades más esenciales. Alrededor del eje vertebra-dor que crean las Normas ISO/IEC 20000 se irán construyendo y transformandoel resto de las funciones de la organización de las TI. Sobre este núcleo central, creado para la gestión de las TI, se irán incorporando otras mejores formas de hacerproporcionadas por otras normas, otros marcos de mejores prácticas, por la expe-riencia propia de la empresa o por las aportaciones de consultores externos.

Las Normas ISO/IEC 20000 introducen en la organización de las TI una forma detrabajo metódica, integrada y orientada a los procesos, haciendo especial énfasis engarantizar la calidad del servicio a los distintos clientes de las TI. Además, articulansu implantación con un sistema de gestión específico, que incorpora la disciplina yel rigor de ISO 90000 en la implantación del modelo de trabajo en las TI.

Las Normas ISO/IEC 20000 forman parte del conjunto de normas producidas porla Organización Internacional de Normalización (ISO) y la Comisión Electrotéc-nica Internacional (IEC). Su adopción como normas internacionales surge a raízde la iniciativa de elevar a ISO e IEC las normas británicas BS 15000 relativas a lagestión del servicio de las TI. Las Normas ISO/IEC 20000 hoy vigentes se trami-taron en ISO a través del procedimiento rápido denominado procedimiento fast-track. Esto quiere decir, que estas normas tienen muchas similitudes con la origi-nal, que la duración del proceso es de aproximadamente un año, y que ha contadocon la participación y voto de los representantes nacionales en ISO/IEC.

Las Normas ISO/IEC 20000 se componen de dos partes: la primera es la especifi-cación para la gestión del servicio y tiene un carácter preceptivo, y la segunda seestablece como un código de buenas prácticas o recomendaciones. Ambas partesforman un marco para definir las características de los procesos implicados en lagestión del servicio, que son esenciales para la prestación de los mismos con la cali-dad requerida.

532. Entender las Normas ISO/IEC 20000

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Principios básicos de ISO/IEC 20000

Cuando ISO, IEC y las empresas del sector se plantearon la forma de organizar lasactividades en las áreas de TI se dieron cuenta que, además de la omnipresente tec-nología, tenían que poner foco en cuatro principios tradicionalmente relegados(véase la figura 2.4):

• El servicio. Es fundamental orientar las TI hacia el objetivo de prestar servicioa sus áreas de negocio. La actividad de TI se debe estructurar completamentebajo el concepto de servicio y no centrarse exclusivamente en el dominio detecnologías aisladas.

58 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Figura 2.3. En el mapa de disciplinas de TI, las Normas ISO/IEC 20000 contribuyen a la parte troncal de la gestión del servicio

Fuente: Telefónica.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

853. El Sistema de Gestión del Servicio de TI (SGSTI)

SGSTI

de TI siguiendo los procesos y formas de hacer formalizadas en la organizacióndel proveedor de servicios de TI. Es un sistema “vivo” en constante evolución, puesestablece lo que hay que implantar y recoge evidencias de la actividad realizada.

La figura 3.2 muestra la estrecha correlación que existe entre el SGSTI y la ejecu-ción del trabajo diario del proveedor de TI. Nos encontramos ante un sistema degestión que establece los procesos de funcionamiento de TI. Estos procesos debenestar lo suficientemente soportados por herramientas que permitan su gestión efi-caz y su incorporación al día a día.

También hay que entender que estas normas y marcos de referencia del mercado(ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no sonutilizables, como tal, directamente en la empresa. Requieren concretarse en proce-sos y procedimientos, que son los instrumentos sobre los que se articula la gestiónde la actividad. Además, para que sean de verdad útiles, la aplicación de todos estosestándares debe adaptarse a las particularidades de cada empresa (tamaño, negocio,cultura, estrategia, etc.).

Por ello, todo proveedor u organización de TI debe crear su propio sistema de ges-tión que tenga en cuenta cómo adaptar las normas a todas las particularidades pro-pias de cada empresa.

Figura 3.2. El sistema de gestión define el modelo de trabajo a seguir por el proveedor de TI

Fuente: Telefónica.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

993. El Sistema de Gestión del Servicio de TI (SGSTI)

SGSTI

Como no podía ser de otra forma, ISO/IEC 20000-2 hace especial hincapié en el desarrollo profesional y de las competencias de las personas que forman partede TI:

UNE-ISO/IEC 20000-2

El personal que realiza el trabajo relativoa la gestión del servicio debería ser com-petente para esta función gracias a laeducación recibida, a la formación, lashabilidades y la experiencia adecuadas.

El proveedor del servicio debería:

a) determinar las aptitudes necesa-rias para cada rol en la gestióndel servicio;

b) asegurar que el personal es cons-ciente de la relevancia e impor-tancia de sus actividades dentro

del más amplio contexto de nego-cio y de cómo contribuyen a laconsecución de los objetivos decalidad;

c) mantener registros apropiados dela educación, formación, habili-dades y experiencia;

d) proveer formación o llevar a cabootras acciones para satisfacerestas necesidades;

e) evaluar la efectividad de las ac-ciones realizadas.

UNE-ISO/IEC 20000-2

Desarrollo profesional. El proveedordel servicio debería desarrollar y mejo-rar las competencias profesionales desu fuerza de trabajo. Entre las medidastomadas para conseguir esto, el prove-edor del servicio debería incluir losiguiente:

a) contratación: con el objetivo decomprobar la validez de los deta-lles de los candidatos al puestode trabajo (incluyendo su cualifi-cación profesional) y de identificarla fortalezas, debilidades y habili-dades potenciales de los candida-tos frente a una descripción/perfildel puesto de trabajo, frente a losobjetivos de la gestión del servicio

y frente al conjunto de objetivosde la calidad del servicio;

b) planificación: con el objetivo dedotar de personal a los serviciosnuevos o a aquellos que se hayanampliado (también contratandoservicios), usando tecnologíanueva, asignando personal degestión del servicio a los equiposde desarrollo de proyecto, planifi-cando la sucesión y rellenandolos vacíos que se generen debidoa rotación anticipada del personal;

c) formación y desarrollo: con elobjetivo de identificar los requisi-tos de formación y desarrollodentro de un plan de formación y

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

5.1. El proceso de planificación e implementaciónde nuevos servicios o de servicios modificados

5. Planificación e implementación de nuevos servicios o de servicios modificados 153

Actualmente no basta con ser rápidos. Es necesario que el proceso de creación yentrega de servicios TI se realice de forma eficiente y que el producto resultantereúna los requisitos demandados por el cliente (véase la figura 5.1). Plazos, eficien-cia y calidad son tres exigencias para el éxito empresarial.

Para conseguir el objetivo de gestionar y entregar tanto los nuevos servicios comolas modificaciones a los existentes con la calidad y costes adecuados, ISO/IEC20000 esboza un proceso que se encarga de gestionar el ciclo completo de creaciónde los servicios. Su ámbito de actuación abarca tanto los nuevos servicios como lasevoluciones de los que ya están en su fase de operación habitual.

En este capítulo se presenta el marco de un proceso completamente nuevo inspiradoa partir de los requisitos de ISO/IEC 20000. El proceso de creación de servicios, osimilar, no está contemplado explícitamente en ITIL. Aunque la v3 estructure suslibros alrededor del ciclo de vida del servicio y proporcione gran cantidad de detallesy buenas prácticas articuladas en diferentes procesos, no tiene un único proceso queaglutine todas las actividades de las diferentes áreas de TI para una creación eficiente

Figura 5.1. Esquema general del proceso de planificación e implementaciónde nuevos servicios o de servicios modificados

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Figura 5.6. El presente proceso orquesta la actividad de fabricación del servicio

ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información158

Cada uno de los otros procesos que participan en la cadena tiene unos objetivosespecíficos y su propio aporte a la construcción del servicio final. Aunque estosprocesos no se han tratado todavía en este libro, es conveniente tener una visióngeneral de su participación en este proceso. A continuación, se detallan los prin-cipales:

Relaciones con el negocio. Su objetivo es establecer y mantener una buena rela-ción entre el proveedor del servicio y el cliente, basándose en el entendimiento delcliente y de los fundamentos de su negocio (véase el capítulo 7 para obtener másdetalles de este proceso).

El proceso de creación de servicios engrana con este proceso de relaciones para quegestione todo el contacto necesario con las áreas de negocio. Su contribución secentra en la toma de requisitos de las necesidades del cliente, la posterior negocia-ción de la propuesta de servicio, la gestión del nuevo acuerdo de nivel de servicio yel consenso con el cliente de la planificación para la creación del servicio realizadapor el proceso de creación. En su función “comercial”, durante el proceso de crea-ción, se encarga de mantener informado al cliente y estar presente en las reunionesde seguimiento, acompañando al jefe de proyecto. En la entrega, gestiona la parti-cipación del cliente en las validaciones funcionales y en las reuniones para el cierredel proyecto de creación.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

fijar los acuerdos operativos. También establece los requisitos para que los contra-tos de soporte con los suministradores estén alineados con los compromisos delservicio, contratos que negociará y seguirá el proceso de gestión de suministrado-res (véase el apartado 7.3).

En la figura 6.1.4 se muestran los principios básicos en los que se sustenta la activi-dad de este proceso.

La implementación de las Normas ISO/IEC 20000 requiere un cambio en la cul-tura de la organización, con una orientación al servicio y al cliente. La gestión denivel de servicio es el instrumento principal para inculcar la cultura de servicios enla organización de TI. Así, la misión de la organización de TI va más allá de la puratecnología, para ofrecer soluciones al negocio empaquetadas bajo el concepto deservicio. Para ello, el catálogo de servicios y los acuerdos de nivel de servicio (SLA)son las principales palancas para esta transformación cultural. Los servicios que seofrecen a los clientes se recogen en un catálogo de servicios de TI, alineado con elnegocio, que gestiona y mantiene este proceso. Además, los servicios llevan asocia-dos un compromiso de prestación negociado con los clientes, incluidos en los

198 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Figura 6.1.4. Principios básicos del proceso

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

En la figura 6.2.4 se muestran los componentes principales del proceso.

Arquitectura de métricas. Es un documento que analiza y estructura por niveles todoslos indicadores necesarios para la gestión de TI. Para cada indicador se define una fichade detalle. En organizaciones maduras suele contener más de 200 indicadores.

Base de datos de indicadores y mediciones. Es una base de datos que contiene ladefinición de cada uno de los indicadores (fichas) y el histórico de las mediciones decada uno de los indicadores. Es la base fundamental para la generación de informes.

Cuadro de mando integral (BSC, Balanced Score Card). Término difundido porKaplan y Norton para mostrar el estado de una empresa en base a objetivos e indi-cadores agrupados en cuatro perspectivas: económica, cliente, interna y crecimiento.

242 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

COMPONENTES DE GENERACIÓN DE INFORMES

Cuadros de mando

Informes

Panel decontrol

Monitorización

Nivelesde servicio

Hechosocurridos

Diseño deinformes

Política de informes Realización

de informes

Base de datos deindicadores y mediciones

Arquitecturade métricas

KGI

KPI

Indicadores

Figura 6.2.4. Componentes principales del proceso de generación de informes

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

Entradas, actividades y salidas de la gestión de ladisponibilidad

La gestión de la disponibilidad se encarga de garantizar que los servicios son capa-ces de cumplir los requisitos de disponibilidad y tiempo de respuesta que se hanpactado con el negocio. Sus actividades se pueden considerar divididas en dos gran-des grupos: uno primero destinado a planificar e implementar las soluciones de dis-ponibilidad y, un segundo, que realiza la gestión operativa de la misma.

En el esquema de la figura 6.3.7 se muestran las entradas, actividades y salidas dela gestión de la disponibilidad. Las actividades de disponibilidad y continuidad se

290 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Desencadenantes del proceso:Ü Petición de la dirección.ÜNegociación de un SLA.Ü Incumplimiento

disponibilidad.Ü Fecha revisión del plan

disponibilidad.

Entradas de soporte:Ü Riesgos.Ü SLA firmados.Ü Información de

incidentes y problemas.Ü Datos de monitorización .Ü RFC.Ü CMDB.

3 Inicio:• Política disponibilidad.• Definición e inicio proyecto.

3 Requerimientos y estrategia:• Evaluación de riesgos.• Determinar requisitos.

3 Implementación:• Diseñar para la disponibilidad.• Diseñar para la recuperación.• Verificar la seguridad.• Planificar las paradas.• Generar el plan de

disponibilidad.

3 Gestión operativa:• Supervisar la disponibilidad.• Investigar y mejorar

disponibilidad.• Actualizar plan de

disponibilidad.

3 Mejora del proceso

Salidas principales:Ü Plan de disponibilidad.Ü Funciones vitales del

negocio-VBF.Ü Directrices de diseño

de la disponibilidad yarquitectura.

Ü Informes deseguimiento dedisponibilidad.

Salidas secundarias:Ü Requisitos de

monitorización.Ü Plan paradas

planificadas-PSO.Ü Resultados análisis de

riesgos.Ü Resultados técnicos

investigación incidentes.

Entradas

DISPONIBILIDAD

Actividades Salidas

Figura 6.3.7. Entradas, actividades y salidas de la gestión de la disponibilidad

Fuente: e.p. y Telefónica.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

de recuperación (RTO), más cara es la implantación de la solución para TI, peromenos pérdidas habrá en el negocio.

Siguiendo la clasificación realizada en ITIL, las principales soluciones de continui-dad que se pueden considerar son:

• Recuperación inmediata. Proporciona una recuperación instantánea (mirro-ring) sin pérdida de servicios y sin pérdida de información apreciable (RPO yRTO son iguales a cero). Esta solución se basa en centros de proceso de datosconectados en activo-activo, es decir, un mismo servicio está ejecutándose deforma simultánea en ambos centros, con datos sincronizados y balanceandola carga entre ambos. Las soluciones de procesamiento distribuido entre múl-tiples servidores y centros de datos (grid computing) son soluciones de altaresistencia, pero que requieren aplicaciones especialmente adaptadas.

• Recuperación rápida. Conocida como hot standby, está proporcionada pordos centros de datos conectados y con las aplicaciones cargadas en ambos y

3156. Procesos de provisión de servicio

6.3. Gestión de la continuidad y disponibilidad del servicio

99,99%

Figura 6.3.18. Alternativas de recuperación de los servicios de TI

Fuente: The Definitive Handbook of BCM y e.p.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

350 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

El presupuesto dota económicamente a TI y, por tanto, condiciona toda la acti-vidad en el ejercicio. Debe ir estrechamente vinculado al desarrollo de la estrategiade TI.

Las Normas ISO/IEC 20000 requieren que los presupuestos tengan el suficientedetalle para posibilitar el control económico y la toma de decisiones.

ISO/IEC 20000-1 requiere que los cambios se valoren en cuanto a sus costes y quese aprueben a través del proceso de gestión del cambio. De esta forma, se tiene un mejor conocimiento y control de los costes. Las peticiones de cambio (RFC),presentadas con el fin de aprobar su ejecución, deben incorporar el coste asociado(así se establece en el formato de RFC del apartado 9.2). El proceso de gestiónfinanciera controlará a través de su presencia en el comité de cambios (CAB,Change Advisory Board), que se actué dentro de los presupuestos asignados.

Una vez aprobado el cambio, cuando se necesite la ejecución de alguna compra(equipamiento, licencias, servicios, etc.), volverá a intervenir la gestión financierapara autorizarla económicamente.

UNE-ISO/IEC 20000-2

Elaboración del presupuesto

La elaboración del presupuesto debe-ría tener en cuenta los cambios planifi-cados de los servicios durante elperiodo presupuestario y, en el caso deque las necesidades presupuestariasexcedan los fondos disponibles, plani-

ficar la gestión que se va a hacer deldéficit.

La elaboración de los presupuestospuede tener en cuenta factores talescomo variaciones estacionales y cam-bios planificados a corto plazo en loscostes y facturación de los servicios.

UNE-ISO/IEC 20000-1

Los costes se deben presupuestar con suficiente detalle para permitir el control eco-nómico efectivo y la toma de decisiones.

El proveedor del servicio debe monitorizar e informar de los costes contra el presu-puesto, revisar las previsiones económicas y gestionar los costes en consonancia.

Los costes de los cambios en el servicio se deben valorar y aprobar a través del pro-ceso de gestión del cambio.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

3816. Procesos de provisión de servicio

6.5. Gestión de la capacidad

fase de pruebas (en el caso de aplicaciones sujetas a mantenimiento). Tam-bién se puede realizar en cambios importantes. Si se ha realizado el mode-lado, se utilizarán sus resultados.

• Realización de informes de capacidad y rendimiento. Preparación y difu-sión de informes diversos sobre la utilización de recursos (técnicos y huma-nos), la capacidad remanente y el rendimiento de los sistemas. Los informesse realizarán de forma periódica o bajo petición, en ambos casos coordina-dos con el proceso de gestión de informes.

• Administrar la base de datos de capacidad (CDB). Diseño y creación dela base de datos y administración posterior de la misma. La base de datoscontiene información histórica sobre la demanda y crecimiento del negocio,sobre los servicios y sobre la capacidad de los elementos de configuración.

• Supervisión y mejora del proceso. Revisión continua del funcionamientodel proceso y de sus actividades con el fin de detectar mejoras al mismo.

Las actividades de este proceso, con su participación en los ámbitos de negocio,servicios y recursos, se muestran en la figura 6.5.6.

Actividades

Subprocesos

Elaborarel plan decapacidad

Ciclo de mejorade la capacidady rendimiento

Monitorización

Análisis

Ajuste

Implementación

Relacionarsecon otrosprocesos

Influir en lautilización

Modelado

Dimensionadoaplicaciones

Realizaciónde informes

Administrar la base de datos de capacidad

Supervisión y mejora del proceso

Gestión capacidaddel negocio

Gestión capacidadde los servicios

Gestión capacidadde los recursos

CDB

Figura 6.5.6. Actividades de la gestión de la capacidad

Fuente: Libro ITIL Provisión de Servicio publicado por OGC y e.p.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

386 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

detalles horarios. Típicamente se recoge la información sobre el rendimiento(picos de carga, volumen de transacciones, tiempos de respuesta, perfil devariación horaria de la carga del servicio, concurrencia en número de usua-rios, etc.); el rendimiento de los componentes de la infraestructura quesoporta el servicio; la coincidencia de la carga entre los servicios sobre lasplataformas comunes (comunicaciones exteriores, red interna, frontales web,backend de procesamiento, red almacenamiento, backup, etc.); los niveles deservicio acordados en los SLA; etc.

Los datos de los servicios se obtienen de las herramientas de monitoriza-ción extremo a extremo de los servicios y de las herramientas de monitori-zación específicas de los recursos. Junto a la información técnica se registrala información necesaria para el cálculo de los costes y su posterior imputa-ción por el proceso de gestión financiera.

• Procesos de negocio. • Edificios y

emplazamientos.• Distribución

geográfica usuarios.• Distribución funcional

usuarios.• Volúmenes de

actividad del negocio.• Transacciones de

negocio.• Perfil de la actividad

del negocio (horario,semanal y estacional).

• Períodos críticos paracada proceso denegocio.

Datos del negocio

Estructura de la CDB

Por cada servicio:• Rendimiento: perfil de

variación de la carga:– Picos de carga.– Número de

transacciones.– Tiempos de

respuesta.• Capacidad: consumo

por usuario otransacción.

• Costes del servicio.• Datos de rendimiento

de la infraestructuraque soporta el servicio.

• Concurrencia con otrosservicios sobre lasplataformas comunes.

Datos de los servicios

• Comunicacionesexternas.

• Red interna.• Cortafuegos.• Servidores frontales.• Servidores

middleware.• Servidores backend.• Almacenamiento

compartido.• Copias de seguridad• Áreas de soporte:

– Service desk.– Operación.– Soporte técnico.

Datos utilizaciónrecursos

• Límite uso CPU.• Límite uso

almacenamiento.• Límite uso red.

Límites técnicos

• TCO por puesto.• Coste licencias por

usuario.• Coste transacción.• Coste por MIP.• Coste por GB.

TCO: Coste total de propiedad.MIP: Millones de instrucciones por segundo.

Informaciónfinanciera

Figura 6.5.8. Estructuración ejemplo de la base de datos de capacidad

Fuente: Libro ITIL Provisión de Servicio publicado por OGC y Telefónica.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

4156. Procesos de provisión de servicio

6.6. Gestión de la seguridad de la información

En la figura 6.6.8 se muestra un esquema con las actividades del proceso, realizadoimitando el ya legendario esquema de gestión de la continuidad de ITIL v2.

Siguiendo esta estructuración en dos niveles, a continuación se relacionan las acti-vidades del proceso alineadas con lo indicado en la Norma ISO/IEC 27001.

Creación del proceso o del sistema de gestión SGSI. La primera etapa paraempezar a implantar la seguridad es la fase de creación del propio proceso de ges-tión de la seguridad (si se está en ISO/IEC 20000) o del sistema de gestión de la

Selección de objetivos decontrol y sus controles

Análisis de riesgosde seguridad

Figura 6.6.8. Enfoque de la gestión de la seguridad de la información en este libro

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Alcance, política y enfoque

Proyecto implantación

Fuente: e.p. a partir del libro ITIL Provisión de Servicio publicado por OGC y de UNE-EN ISO 27001.

Evaluación de riesgos

Declaración de riesgos

Plan tratamiento de riesgos

Implementar el plan de tratamiento de riesgos

Revisión y auditoría

Prueba de controles

Supervisar,monitorizar y registrar Investigar

incidentes

Procedimiento incidentes seguridad Pruebas iniciales

Pruebas iniciales

Gestionar incidentes severos de seguridad

Actualizar

Creación del proceso

• Alcance, política y enfoque

• Requerimientos y estrategia

Implementacióny operación

Supervisióny revisión

Mantenimiento y mejora

Declaración de riesgos de seguridad

Política seguridad

Plan tratamientoriesgos seguridad

PLAN

DO

ACT

CH

ECK

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

4917. Procesos de relaciones

7.3. Gestión de suministradores

Análisis

• Análisis oportunidadesexternalización

• Estrategia de externalización

Áreas permanentes de capacidad

• Gestión estratégica del sourcing

• Gestión de la gobernabilidad

• Gestión de las relaciones

• Gestión del valor

• Gestión del cambio organizacional

• Gestión de los recursos humanos

• Gestión del conocimiento

Inicio

• Planificación de la externalización

• Evaluación de suministradores

• Acuerdos (contratos)

• Transferencia del servicio

Prestación

• Gestión del servicio externalizado

Terminación

• Finalización del servicio

Figura 7.3.4. El proceso de gestión de suministradores en ITIL v3

Fuente: Libro ITIL Provisión de Servicio publicado por OGC.

Fuente: CMMI y ASENTTI.

Fases del ciclo de vida del outsourcing desde la perspectiva de organizaciones contratantes

Figura 7.3.5. Esquema del modelo de gestión de outsourcing del modelo eSCM-CL

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

5818. Procesos de resolución

8.2. Gestión del incidente

• Tiempo medio de reparación o MTTR (Mean Time To Repair), es el tiempomedio transcurrido desde que ocurre un incidente hasta que se restaura el ser-vicio. Representa el tiempo que el servicio está caído (downtime). Esta métricasuele estar asociada a otras métricas de disponibilidad como, por ejemplo, eltiempo medio entre fallos o MTBF (Mean Time Between Failures), que es el tiempo medio que tarda en fallar un servicio (uptime) y el tiempo medio entreincidentes en servicios MTBSI (Mean Time Between System Interruptions), quees el tiempo medio transcurrido entre dos fallos consecutivos en un servicio.En la figura 8.2.11 se aprecia la diferencia entre ellas.

• Porcentaje de incidentes resueltos en plazo.

• Calidad en la asignación de los incidentes.

• Calidad de la documentación.

Además, es habitual medir los ratios de incidentes autorresueltos por el usuario, elporcentaje de incidentes reclamados, el coste medio de resolución de un incidente,el porcentaje de incidentes resueltos, etc.

En la figura 8.2.12 se muestra el resumen de los indicadores más relevantes paraeste proceso seleccionados por un grupo de trabajo de itSMF España.

Figura 8.2.11. Métricas de resolución de incidentes junto a las de disponibilidad

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

582 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Figura 8.2.12. Métricas para este proceso del Modelo Abreviado de Métricas de itSMF España

La medición del ciclo de vida de una petición se centra en ratios de agilidad, de efi-ciencia y de satisfacción del usuario. Los más comunes son el volumen de peticionesgestionadas, el volumen de peticiones según su estado, desglose de las peticiones portipo (de servicio, consulta, etc.), el tamaño de lista de peticiones de servicio pendien-tes, el plazo medio de provisión por tipo de petición, las peticiones de servicio ter-minadas en plazo, el número de quejas y reclamaciones, el coste medio de provisión,la satisfacción del usuario con la gestión de peticiones de servicio, etc.

En la figura 8.2.13 se muestra el resumen de los indicadores más relevantes paraeste proceso seleccionados en ITIL v3 (en el libro Operación del Servicio).

Roles participantes en el proceso

Como en el resto de los procesos, los roles intervinientes en este proceso se estruc-turan en los roles propios del proceso y los roles ajenos al proceso (el gestor delnivel de servicio).

Los roles propios del proceso (del ciclo de vida del incidente) son los siguientes:

• Gestor de incidentes. Es el responsable de que los incidentes y peticiones delos usuarios se resuelvan con la máxima eficiencia y se cumplan los acuerdos

Fuente: itSMF España.

Métricas principales del proceso (incidente)

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

se suele implementar, aunque por su laboriosidad no se le puede calificar de éxitorápido.

La CMDB no se limita a una mera enumeración del stock de piezas, sino que nosbrinda una imagen global de la infraestructura de TI de la organización, con todossus elementos.

En ISO/IEC 20000, al igual que en ITIL v3, la gestión de la DSL se encarga a lagestión de la configuración, a diferencia de ITIL v2, que estaba bajo la responsabi-lidad de la gestión de la entrega.

CMDB9. Procesos de control

9.1. Gestión de la configuración 657

Figura 9.1.13. Roles del proceso de gestión de la configuración

Gestor del cambio

SGSTI

Responsable de lagestión del servicio

Propietario del modelo (SGSTI)

Administrador dela CMDB y DSL

Gestor de laconfiguración

Administrador ysoporte del proceso

de configuraciónTitulares de elementos

de configuración

Roles del proceso

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

11. La certificación de la gestión del servicio de TI conforme a ISO/IEC 2000011.1. La primera certificación conforme a ISO/IEC 20000 739

Figura 11.1.2. Ciclo típico de certificación utilizado para ISO/IEC 20000-1

1. Determinar alcance

2. Solicitud de certificación

3. Auditoría fase I:Análisis de documentación

4. Auditoría fase I:Visita previa

5. Auditoría fase II

6. Evaluación y decisión

7. Emisión del certificado

8. Auditorías de seguimiento(años 1 y 2)

9. Auditoría de renovación(cada tercer año)

¿Existenno conformidades?

¿Cumplerequisitos?

Plan de accionescorrectivas

Auditoría extraordinaria(a los 6 meses)

Sí

No

Sí

La primeracertificación

Mantenimiento dela certificación

Responsabilidad proveedor TI

Lidera el certificador

Fuente: AENOR.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

756 ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Evidencias para “6. Procesos de provisión de servicio”

Evidencias para “6.1. Gestión de nivel de servicio”:

• Catálogo de servicios. Documento que elabora la organización TI parainformar a clientes y usuarios.

• Catálogo de SLA.

• Acuerdos de nivel operativo (OLA). Documentos que formaliza acuerdosde colaboración entre departamentos internos de la organización TI para laprovisión y entrega de un servicio.

• Contratos de soporte (UC). Documentos contractuales entre la organiza-ción TI y los proveedores externos de servicios.

Evidencias para “6.2. Generación de informes del servicio”:

• Informes de servicio. Informes de cumplimiento de SLA, informes de inci-dentes, informes de disponibilidad, informes de capacidad, etc.

Evidencias para “6.3. Gestión de la continuidad y disponibilidad del servicio”:

• Plan de disponibilidad. Recoge los elementos de la infraestructura de TIque deben ser monitorizados para medir la disponibilidad, comparando losvalores obtenidos con los de referencia. Sirve como base para determinar elcumplimiento de los niveles de servicio en los SLA.

• Informes de disponibilidad. Informes periódicos que muestran el cumpli-miento de los niveles de disponibilidad acordados.

• Documentos de requisitos de nivel de servicio (SLR). Deben recoger losrequisitos de disponibilidad del servicio demandados por los clientes.

• Plan de continuidad de TI. Identifica los activos del sistema de gestión de servicios de TI, las situaciones de contingencia que pueden producirse, así como,la probabilidad de que éstas se produzcan. Muestra cómo cada una de estassituaciones de contingencia pueden afectar a los activos; por tanto, proporcionainformación de cómo afectan las contingencias a los servicios prestados.

Proporciona información sobre los siguientes aspectos:

– Objetivo y alcance del plan de continuidad.

– Descripción de la situación a controlar (información sobre el suceso y losparámetros que se quieren mantener).

– Suceso.

MU

ES

TRA

PA

RA

EV

ALU

AC

IÓN

���������� ����

������������������ ������������� ������ �� ����������� �����������������������

�� �� ��� �� ������������������������������ ��������� ����� ���������� ��

������ � ����� ��������������������������������������������� ��������

��������� !"# �$�%&&&&����������� �����������������'���������������� ��� ���������

����������������� ������������� ������ ������ ���������� �� ��� ���� �� ��

������������������� ��������(�� ��

)�� �����'���������(���� ������������ ���*��������'�����������������

��� ������ � ��� ��� �������� ��� ��� ������ ��� ��� � ������ *� ���� �� ���� ������

������������ ) �+�������� ��(���� ��������� ���������������������*������ ����

������������������ ��������������� �� �� ������ ����������������� ��������

������ ����������������������������������� ������������� ������ �

�������������� ���

��� ������ ��� ����� ��'� �, � � � � ��� � �� �� � �� �� �

�(���� ����� ����������'�������� ����� ��������� ������

��� ��� � ������ �� !��� ���������� ����� ����� � � �������*�

�'��� �� �������� ����� ��� ������� *� �(������� � ���

��������*� �������� �� �����*� ����� �� �������-� �� ����� ����

�� �� ���� ��������������������� ���������� ������������� ����

��������������������. !"�/&&0*� !"# �$�%1&&&*� !"# �$�%&&&*� ) �+�

��$22 3��