Norma ISO/IEC 20000

Introducción

Certificación

Contenido

Implantación

FIN

INTRODUCCIÓN

Actualmente los servicios TI trascienden las fronteras de la organización convirtiéndose en productos de la compañía, situando a la gestión de los servicios TI como uno de los elementos clave que debe tener en cuenta en su estrategia del negocio, tanto en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia de la compañía ante situaciones críticas.En estos casos ya no basta con tener unos excelentes servicios TI, si no que es necesario demostrar que se disponen de una infraestructura tecnológica y unos servicios fiables y bien gestionados.

En este contexto nace en Diciembre de 2005 la norma ISO /IEC 20000 que aborda específicamente la calidad de gestión de los servicios TI que, debido a la necesidad del sector y organismos reguladores, podría convertirse en la norma internacional utilizada por los inspectores para comprobar el cumplimiento de determinadas normativas legales y locales. Ante esta situación se plantea una pregunta a las compañías de todo el mundo: ¿Qué debe hacer una organización de TI respecto a la norma ISO/IEC 20000.MENÚ

¿Qué es la norma ISO 2000

Es el primer estándar específico para la Gestión de Servicios de TI

Aporta requisitos necesarios, para que una organización provea servicios TI gestionados, de calidad

Satisfaciendo los requisitos de negocio de sus clientes.

Proporciona la base para probar que una organización de TI ha implantado buenas prácticas para gestión del servicio y que las está usando

Estructura de la norma ISO/IEC 20000

ISO/IEC 20000-1 ISO/IEC 20000-2.

El alineamiento entre el BS15000( estándar británico ) y el ITIL ha continuado con el ISO/IEC 20000.

Incluye el conjunto de los “requisitos obligatorios” que debe cumplir el proveedor de servicios TI

Contiene el código deprácticas para la gestión de servicios

Para así realizar una gestión eficaz de los servicios que responda a las necesidades de las empresas y sus clientes.

Trata cada uno de loselementos contemplados en la parte 1 analizando yaclarando su contenido.

Estos requisitos son aplicables, para el proveedor del servicio, de todos los tamaños y tipos, sin reparar si la organización está en el sector público o privado.

Las recomendaciones que aquí se dan son acercamientos opcionales para alcanzar los requisitos de la ISO/IEC 20000-1

Diagrama modelo ISO/IEC 20000

5

2

3

4

1

7

6

8

MENÚ

1.- Sistema de Gestión de servicios

Esta sección contempla la política y las actividades de trabajo necesarias para que una organización pueda realizar una eficiente implantación y gestión posterior de los servicios TI.

El Sistema de Gestión de los Servicios TI cubre los aspectos de Responsabilidad de la dirección, requisitos de la documentación, Competencia, Concienciación y Formación.

2.- Planificación e Implementación de la Gestión del Servicio.

Uno de los objetivos fundamentales de la norma ISO/IEC 20000 es validar la mejora continua de la calidad de la gestión de los servicios, y para ello ha utilizado el modelo de mejora de la calidad definido por W. Edwards Deming aplicado inicialmente en la industria de la fabricación y empleado con éxito en otras normas ISO/IEC (9000, 27001, etc.). Lo cual se puede apreciar en el siguiente cuadro.Requisitos del

negocio

Requisitos del Cliente

Petición de servicios nuevos

o reformados

Otros procesos, negocios, proveedor,

clienteOtros equipos, Ej. seguridad

Resultados del negocio

Satisfacción del Cliente

Servicios nuevos o reformados

Otros procesos, negocios, proveedor,

clienteOtros equipos, Ej. seguridad

MANEJO DE SERVICIOSManejo de

responsabilidadesPLANEAR : Planear la gestión de servicios

ACTUAR: Perfeccionamien

to continuo

HACER: Gestión de

implementación de servicios

CONTROLAR: Comprobación, Medir y revisar

Descripción de la Gestión de servicios La planificación de la gestión del servicio (Planificar)

Implementación de la gestión del servicio y la provisióndel servicio (Hacer)

Monitorización, medición y revisión(Verificar)

Mejora continua (Actuar)

Su objetivo es proyectar la implantación y la provisión del servicio de gestión de calidad

Implanta losobjetivos de la gestión del servicio y el plan definidos.Entre los aspectos principales se tiene:

Monitoriza, mide y revisa que los objetivos y el plan de gestión definidos se están cumpliendo, comprobando la capacidad de los procesos para alcanzar resultados.

Mejora la eficacia y la eficiencia de la entrega y de la gestión del servicio, contemplando aspectos como la política de mejora y la planificación de las mejoras del servicio.

Aspectos principales:

1. La definición del alcance del SGSTI

2. Definición de las políticas de gestión de servicios.

3. Establecer los objetivos

4. Definir los procesos5. Definir los recursos

La norma contempla 13 requisitos de control a cumplir.

1. Definir e implantar plan de gestión del servicio

2. Implantar los Procesos (documentación, responsables, registros, indicadores)

3. Implantar el Sistema de Gestión

Para cubrir este apartado la norma contempla 9 requisitos de control a cumplir

1. Desarrollo procedimientos de monitorización

2. Revisiones periódicas del SGSTI

3. Revisar objetivos y plan de gestión

4. Auditar internamente el SGSTI

Hay que cubrir 9 requisitos para el control

1. Identificar e implantar las mejoras

2. Adoptar acciones preventivas y correctivas

3. Comunicar acciones y resultados

4. Verificar que las mejoras cumplen su objetivo

Para cubrir este apartado la norma contempla 16 objetivos de control a cumplir.

3.- Planificación e Implementación de Servicios, Nuevos o Modificados

Contiene un solo proceso que tiene como objetivo asegurar que la creación de nuevos

servicios Puede modificar procesos existentes Incluso la eliminación de un servicio Se gestionan y proveen costos, calidad y

plazos acordadosGestiona el ciclo completo de la

provisión y entrega de los servicios

Actúa como un “proceso director” que permita coordinar y encadenar la

participación de todos los procesos

4.- Procesos de Provisión de Servicio

Se tratan los requisitos necesarios para cubrir la provisión de los servicios que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos servicios.

Para conseguir su objetivo ISO/IEC 20000 estructura esta sección en un conjunto de procesos con objetivos específicos y unitarios para evitar posibles conflictos.

Descripción de Provisión de serviciosGestión de Nivel de Servicio.

Generación de informes del servicio

Gestión de la continuidad y disponibilidad del servicio

Elaboración de presupuesto y contabilidad de losservicios

Gestión de la Capacidad.

Gestión de Seguridad de la Información

Define y acuerda con las partes los convenios de nivel de servicio, para registrarY gestionar

Genera informes deservicio, fiables, precisos , para verificar si se están cumpliendo losrequisitos y necesidades

Consigue que loscompromisos de disponibilidad y continuidad puedancumplirse en la forma en que se han acordado

Presupuesta y contabilizalos costes de la provisión del servicio. No secontempla la facturación de los servicios

Asegurar que el proveedor del servicio tiene lacapacidad suficiente para cubrir la demandaactual y futura, de las necesidades.

Administra la seguridad de lainformación de manera eficaz para todas las actividadesdel servicio.

Controla si se están consiguiendo los niveles de servicio, caso contrario determina los motivos y promueve mejoras.

Informa de latoma de decisiones con el fin de lograr una comunicacióneficaz.

Controlar los riesgos y mantiene la continuidad del servicio, tanto en situaciones de fallos o mal funcionamiento como en casos decatástrofes o desastres

Hay que tener en cuenta que lafacturación debe estar alineada con las prácticas contablestanto del país como las de la organización

Para poder realizar una gestión eficiente de lacapacidad es necesario elaborar un plan de capacidadque este dirigido a las necesidades reales delnegocio.

Para establecer una gestión de la seguridad es necesario establecer, y comunicar a todo el personal, una política deseguridad que contemple los controles adecuados

5.-Procesos de Relaciones

Una adecuada gestión de estas relaciones posibilita el control adecuado de los dos factores externos a la organización que son claves para la realización de una correcta gestión del servicio TI. En esta sección ISO/IEC 20000 trata los requisitos necesarios para cubrir estas relaciones mediante dos procesos específicos:

1.-Gestión de las relaciones con el negocio: Su objetivo es establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio, se logra negociando y acordando los niveles de servicio a proveer, monitorizando e informando acerca del rendimiento del servicio,.

2.-Gestión de suministradores: El objetivo de este proceso es gestionar los suministradores para garantizar la provisión, sin interrupciones, de servicios de calidad. Este proceso da cobertura a la gestión de suministradores mediante los controles necesarios para normalizar y acordar con todas las partes los acuerdos de servicio alineados son los establecidos con los clientes.

6.- Procesos de Resolución

Son gestión del incidente y del

problema

Gestión del incidente Gestión del problema

Recuperación del servicio acordado

A los usuarios, tan pronto como sea

posible

Es necesario tratar de formaadecuada los sucesos que provocan la degradación o pérdida del funcionamiento normal de un servicio

Identifica y elimina

Causas de los incidentes para que no vuelvan aproducirse.

Gracias a su correcta implantación es posible mejorar la calidad global de los servicios TI, estabilizar el entorno manteniendo el funcionamiento normal del negocio.

7.-Procesos de Control

Gestión de la configuración.

El objetivo de este proceso es definir y controlar los componentes del servicio y de la infraestructura, manteniendo información precisa y actualizada sobre la configuración.

Se ocupa de la identificación, control y verificación de los elementos de configuración que componen un servicio, registrando su estado y dando información para el apoyo al resto de los procesos de Gestión de TI.

Es el proceso que garantiza que la información necesaria para la adecuada gestión de los servicios TI esta correctamente registrada y administrada.

Gestión del cambio

El objetivo de este proceso es asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de una manera controlada.

Este proceso controla los cambios de forma eficiente de acuerdo con los compromisos de servicio y con el mínimo impacto en el entorno de producción.

Implanta una gestión integral de los cambios proporcionando una visión conjunta que facilita al análisis de los riesgos

8.-Procesos de Entrega

Gestión de la entrega

El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o más cambios en la entrega en el entorno de producción real.

Gestión de la entrega realiza la planificación y gestión de los recursos que permite distribuir correctamente un lanzamiento al cliente. Para realizar con éxito esta tarea, este proceso tiene una visión global de los servicios, con lo que se garantiza que todos los aspectos que afecten a las entregas, tanto técnicos como no técnicos, se analizan y tratan globalmente.

Resumen de Procesos en la ISO 20000

MENÚ

IMPLANTAR ISO/IEC 20000

Lo primero y mas importante es dejar claro que ISO/IEC 20000 no es un proyecto que se instala y se consigue el objetivo deseado, realmente la norma se centra en una gestión de los servicios orientada al negocio y basada en una estrategia de “mejora continua”, por lo que su adopción es mas un cambio cultural y de las formas de trabajar que un proyecto con un inicio y un fin. Los pasos para implantarla se describen a continuación

• Sus miembros deben conocer y comprender ISO/IEC 20000, adicionalmente también deberían familiarizarse con COBIT, y con ITIL para lograr los objetivos establecidos en la norma.

1. Conocer la documentación

• Determinar en qué situación se encuentra su gestión del servicio de TI con respecto a los requisitos de ISO/IEC 20000. Esta actividad aportará una idea clara del grado de adopción y cumplimiento con el que está trabajando la organización.

2.Analizar la situación actual

• En este punto hay que diseñar y desarrollar el programa de mejora para implantar de forma eficaz la estrategia establecida

3. Programa para la mejora del servicio

• La organización debe implantar las áreas de mejora identificadas en al análisis de la situación inicial de forma incremental, midiendo sus progresos respecto a la norma, y utilizando para lograrlo

4. Seguimiento y mejora continua.

MENÚ

CERTIFICACIÓN

En primer lugar, es importante resaltar que la certificación no debería ser un fin en sí misma, sino más bien un medio.¿En que consiste la certificación ISO 20000?Una vez que se ha implementado la gestión del servicio TI (SGSTI) según la norma y ha decidido certificar la conformidad de este sistema de gestión con la norma ISO/IEC 20000-1:2005, y por lo tanto su forma de diaria trabajo, es necesario cubrir una serie de actividades.Para iniciar este proceso se necesitan dos actores: el solicitante (organización que aspira a conseguir la certificación) y la entidad de certificación (organización que tras el proceso de auditoria y evaluación respecto a la norma, concede o deniega la certificación). Estos dos actores deben cubrir una serie de actividades, que como se puede se puede apreciar en la figurasiguiente no constituyen un proceso lineal que empieza y termina.

Descripción de pasos para certificarsePaso Descripción

1. Determinar el alcance de la certificación.

Se definen los servicios y centros sobre los que se aplicará el proceso de certificación.

2. Solicitud de certificación. Realizar la solicitud a una entidad de certificación acreditada

3. Análisis de documentación. Se estudia la documentación del sistema de gestión de servicios de la empresa solicitante

4. Visita previa. La entidad de certificación realiza su trabajo in-situ en los centros del proveedorsolicitante.

5. Auditoria Inicial. Se lleva a cabo la auditoria inicial de certificación, sobre los servicios e instalaciones acordadas, del proveedor solicitante.

6. Evaluación y decisión Un comité de decisión, analiza y valora dichas acciones y en caso de valoración positiva procederá a la concesión del certificado

7. Concesión del certificado. Se emite el certificado, con el alcance establecido, a favor del proveedor TI solicitante, caso contrario se necesitaría una auditoria externa

8. Auditoria de seguimiento. Durante los dos años siguientes, la entidad de certificación debe realizar auditorias de seguimiento del sistema de gestión certificado (AS1 y AS2)

9. Auditoria de renovación Pasados tres años desde la consecución del certificado, la entidad de certificación debe realizar una nueva auditoria, y en este caso su ámbito será muy parecido a la auditoria inicial. MENÚ