Muestra Libro ISO20000 Extendida

M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
BLH(B>< +))))
@nZ \hfie^mZ ]^ Zieb\Z\bg
iZkZ eZ `^lmbg ]^ ehl l^kob\bhl
]^ m^\gheh`Zl ]^ eZ bg_hkfZ\bg
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
ISO/IEC 20000.
Gua completa de aplicacin
para la gestin de los servicios
de tecnologas de la informacin
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Ttulo: ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Telefnica, S.A.
Coordinador: Luis Morn Abad
AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2009
Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,
sin la previa autorizacin escrita de AENOR.
Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of
Government Commerce under delegated authority from the Controller of HMSO.
ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
The Swirl logo is a Trade Mark of the Office of Government Commerce.
The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.
PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the United
Kingdom and other countries.
M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
ISBN: 978-84-8143-662-4
Depsito Legal: M-47292-2009
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR
Imprime: Xxxxxx
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
Licensed Product
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Agradecimientos
Este libro recopila las experiencias de profesionales que estn fuertemente involu-
crados en el impulso de las normas y las buenas prcticas internacionales relativas a
la gestin de las tecnologas de la informacin y las comunicaciones.
En la creacin de esta primera edicin del libro han participado:
Direccin de la obra (Telefnica):
Luis Morn Abad Direccin tcnica y contenido final.
Alejandro Prez Snchez Contenido intermedio.
Autores principales (Telefnica):
Luis Morn Abad
Alejandro Prez Snchez
Juan Trujillo Gaona
David Bathiely Fernndez
Miguel Jos Gonzlez-Simancas Sanz
Colaboradores:
Paloma Garca Lpez (AENOR)
Carlos Manuel Fernndez Snchez (AENOR)
Eduardo Mndez Polo (Telefnica)
Jaime Pastor Pastor (Telefnica)
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Toms Hernndez Lpez (Telefnica)
Carmen Fernndez Prieto (Telefnica)
Mara Luisa Lpez de Castro (Telefnica)
Julio Morilla Padial (Telefnica)
Andrs Leiva Araos (Telefnica)
Ronaldo Gonalves Tiago (Telefnica)
Julio Jos Ballesteros Garca (Quint Group)
Luis Miguel Rosa Nieto (EXIN Espaa)
Pablo Castro Montero
(Entre parntesis se indica la empresa en la que trabajaban a fecha 01.01.2009.)
El control independiente de idoneidad tcnica de los contenidos est avalado
por profesionales de itSMF Espaa y de AENOR, junto con otros profesio-
nales independientes:
Carlos Lpez Alonso (Hewlett-Packard) por itSMF Espaa
Antonio Jos Rodrguez (Quint Group) por itSMF Espaa
Ana Ramos (British Telecom) por itSMF Espaa
Leopoldo Martnez-Osorio del Ro (INDRA) por itSMF Espaa
Carmen Caballero (INDRA) por itSMF Espaa
Manuel Fernando Juan Martnez (Banco de Santander)
Julio Gonzlez Sanz
Boris Delgado Riss (AENOR)
Agradecer tambin a la direccin de Sistemas de Informacin de Telefnica que de
forma directa ha hecho posible esta publicacin:
Mara Fernanda Torquati (Telefnica)
Jos Mara Tavera Ms (Telefnica)
Fabriciano Gangoso Alonso (Telefnica)
Isidro Abad Gosalvez (Telefnica)
8 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
ndice
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Captulo 1. El camino a la excelencia ya existe . . . . . . . . . . . . . . . . . . . . . 21
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . . 23
1.2. Normas, estndares, marcos de referencia y metodologas reconocidas
en el mbito de las TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.3. Entender los entornos de normalizacin y certificacin . . . . . . . . . . . . . . 27
1.4. Las principales normas y buenas prcticas en TI . . . . . . . . . . . . . . . . . . . 37
Captulo 2. Entender las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . 51
2.1. Introduccin a las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . . 53
2.2. Objeto y campo de aplicacin de ISO/IEC 20000 . . . . . . . . . . . . . . . . . 65
2.3. La estructura de las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . 70
2.4. Relacin entre ISO/IEC 20000 e ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Captulo 3. El Sistema de Gestin del Servicio de TI (SGSTI) . . . . . . . . . . . . 79
3.1. El sistema de gestin de tecnologas de la informacin . . . . . . . . . . . . . . 83
Captulo 4. Planificacin e implementacin de la gestin del servicio . . . . . 107
4.1. Cmo planificar e implementar la gestin del servicio . . . . . . . . . . . . . . 111
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin 10
Captulo 5. Planificacin e implementacin de nuevos servicios o de
servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.1. El proceso de planificacin e implementacin de nuevos servicios o de
servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Captulo 6. Procesos de provisin de servicio . . . . . . . . . . . . . . . . . . . . . . . 191
6.1. Gestin de nivel de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
6.2. Generacin de informes del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
6.3. Gestin de la continuidad y disponibilidad del servicio . . . . . . . . . . . . . . 279
6.4. Elaboracin de presupuestos y contabilidad de los servicios de TI . . . . . . 331
6.5. Gestin de la capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
6.6. Gestin de la seguridad de la informacin . . . . . . . . . . . . . . . . . . . . . . 403
Captulo 7. Procesos de relaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
7.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
7.2. Gestin de las relaciones con el negocio . . . . . . . . . . . . . . . . . . . . . . . . 457
7.3. Gestin de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Captulo 8. Procesos de resolucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
8.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539
8.2. Gestin del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545
8.3. Gestin del problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Captulo 9. Procesos de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
9.1. Gestin de la configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
9.2. Gestin del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Captulo 10. Procesos de entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
10.1. Gestin de la entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697
Captulo 11. La certificacin conforme a ISO/IEC 20000 de la gestin
del servicio de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
11.1. La primera certificacin conforme a ISO/IEC 20000 . . . . . . . . . . . . . . 737
11.2. Evidencias y registros importantes en una certificacin . . . . . . . . . . . . . 751
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
ndice 11
Bibliografa y referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 763
Trminos y definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Presentacin
Las tecnologas de la informacin son cada da ms necesarias en la gestin de las
empresas.
Este sector, en su evolucin hacia la madurez, ha ido generando diversos conjuntos
de mejores prcticas que ayudan a las organizaciones a gestionar estos entornos tec-
nolgicos cada vez ms complicados y, por otra parte, ms esenciales.
Este libro nace con la intencin de ayudar a todo tipo de empresas en la gestin
de la actividad de sus departamentos informticos. Profesionales de Telefnica y de
AENOR han puesto su mejor empeo en explicar y aportar sus aos de experien-
cia en este mbito. Para ello, se ha utilizado como eje vertebrador las Normas
UNE-ISO/IEC 20000, que se enriquecen con las buenas prcticas de otros marcos
como ITIL.
Los autores han desarrollado una buena gua sobre la forma de incorporar estas
mejores prcticas de la industria en la gestin diaria de las tecnologas. Esta publi-
cacin ayudar a las empresas a adoptar los ltimos avances en la forma de organizar
las actividades que contribuyen a que el mundo tecnolgico sea operativo y rentable
para las organizaciones y para la sociedad.
Esperamos que todo su contenido sea de gran utilidad en la mejora de los servicios
de tecnologas de la informacin prestados en su organizacin.
Telefnica
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Durante la dcada de los aos 50, algunas predicciones futuristas imaginaron que,
para el ao 2000, los coches seran capaces de volar, se ira de vacaciones a Marte, y
que Estados Unidos podra llegar a contar con nada menos que trescientos mil
ordenadores. En 1947 el director de una famosa multinacional del sector predijo
que en el mundo slo habra mercado para 5 ordenadores. Estas predicciones hoy
en da nos parecen ridculas, unas por lo exageradas, y otras por que se han que-
dado muy cortas.
Las tecnologas de la informacin y las comunicaciones han avanzado mucho ms
de lo esperado, pero despus de poblar el mundo de dispositivos de silicio, con
unas capacidades de proceso inimaginables, nos encontramos con un panorama
desalentador:
Equipos que se bloquean.
Sistemas que se caen.
Servicios que se interrumpen.
Atencin al usuario deficiente.
Prdidas de tiempo y de productividad de los usuarios.
Personal tcnico desbordado por llamadas y peticiones de asistencia.
Directores de sistemas de informacin que ven cmo, a pesar del esfuerzo con-
tinuo de su equipo, el roce y el malestar con el resto de la empresa no cesan.
Por ello, no es de extraar que encontremos frecuentemente que los departamentos
de las tecnologas de la informacin (TI) se consideren ms una carga que una
ayuda para el negocio.
Introduccin
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
1
Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo trmino
ISO/IEC 20000 para referirse a estas normas, tanto para la serie UNE, como para la serie
ISO/IEC.
La dinmica industria de tecnologas de la informacin y las comunicaciones
(TIC), que es capaz de duplicar la capacidad de proceso y de almacenamiento cada
ao y medio, lleva desarrollando, en paralelo al avance tecnolgico, metodologas
de trabajo que van ofreciendo soluciones de gestin a estos retos planteados. El sec-
tor de las TIC ha ido creando distintas disciplinas para cubrir algunas de las facetas
que necesita la gestin global de las TIC en la empresa. Soluciones que no siempre
se han aplicado con el ahnco y el rigor necesarios.
Parece lgico que los organismos de normalizacin internacionales, como ISO (Inter-
national Organization for Standardization, Organizacin Internacional de Normaliza-
cin) e IEC (International Electrotechnical Commission, Comisin Electrotcnica
Internacional), propicien la elaboracin de normas que van consolidando las prcti-
cas establecidas relativas a la organizacin del trabajo en las reas de TI. Adems,
estos organismos de normalizacin disponen de mecanismos de trabajo asentados
que garantizan una amplia participacin de los agentes del sector de las TIC. Este es
el caso de las Normas ISO/IEC 20000, partes 1 y 2, y sus traducciones oficiales al
castellano, publicadas por AENOR como Normas UNE-ISO/IEC 20000
1
en junio
de 2007. El presente libro se centra en explicar la aplicacin de estas dos normas.
Las Normas ISO/IEC 20000 definen los procesos y las actividades esenciales para
que las reas de TI puedan prestar un servicio eficiente y alineado con las necesida-
des de la empresa u organizacin. Estas normas, construidas sobre la base del
modelo ITIL, se centran principalmente en la ordenacin de las disciplinas de
soporte y provisin de servicios de TI. Son normas especficas para la gestin de los
servicios que ofrecen las reas o los proveedores de tecnologas de la informacin.
Las Normas ISO/IEC 20000 no son de ndole tcnico, ni tecnolgico. En ellas se
describen los principales flujos de actividades (agrupados en forma de procesos) cuyo
fin es lograr una entrega efectiva y con la calidad requerida de los servicios a los clien-
tes y usuarios. Adems, definen un sistema reconocido y probado de gestin que per-
mite a los proveedores de TI (ya sean reas internas u organizaciones externas) plani-
ficar, gestionar, entregar, monitorizar, informar, revisar y mejorar sus servicios.
Objeto del libro
Este libro se centra en explicar y facilitar la comprensin de las Normas ISO/IEC
20000 con un enfoque prctico, para que su implantacin resulte efectiva en
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Introduccin 17
cualquier tipo de organizacin que provea servicios de tecnologa, tanto interna-
mente a su organizacin como externamente al mercado, tanto en grandes orga-
nizaciones como en pequeas o medianas empresas.
Este libro va dirigido a todos los profesionales del mbito de las tecnologas de la
informacin y las comunicaciones que estn involucrados en la provisin de servi-
cios. Resultar imprescindible tanto a los responsables de su gestin, como a cual-
quier otro profesional de TI: direccin, gestores, responsables de procesos, consul-
tores, tcnicos, personal de soporte, etc.
Al avanzar en este libro, el lector constatar que la industria ya ha normalizado
gran parte del conjunto de actividades necesarias para que los servicios propor-
cionados por las TI sean fiables y eficientes. Cubren desde las actividades del da
a da inmediato, como es la atencin a los incidentes y peticiones, hasta la defi-
nicin de una estrategia que permita continuar prestando los servicios en caso
de catstrofe, todo ello, sin olvidar conceptos como la planificacin o la mejora
continua.
Persiguiendo este fin ltimo de utilidad, los contenidos de cada apartado, adems
de incluir ntegramente la norma, se han enriquecido con otras buenas prcticas
ITIL y con la amplia experiencia profesional de los autores.
Por tanto, este libro pretende ser una gua completa de aplicacin, una ayuda y una
razonable interpretacin de estas normas. No pretende sentar jurisprudencia al
respecto. Los autores dan por hecho que puede haber otras formas de aplicar o
interpretar las directrices de las normas, ya que las particularidades de cada negocio
y organizacin tienen gran influencia.
Estructura del libro
Se ha puesto nfasis en que los contenidos ayuden a la transformacin real y per-
ceptible de la gestin de las TI en toda empresa que se inicie en el camino de la apli-
cacin de ISO/IEC 20000.
El captulo 1 El camino a la excelencia ya existe, introduce al lector en las nue-
vas tendencias de gestin de las TI, como son: la orientacin a procesos, la cali-
dad, las normas y las mejores prcticas. La intencin del captulo es presentar el
amplio, y cada vez ms complejo, entorno normativo y de mejores prcticas. Se
conocer quines son los principales actores en estos mbitos y se tendr una
primera aproximacin de cmo se posiciona cada norma o iniciativa. Este cap-
tulo es un paso previo, que proporciona una visin general de todo este escena-
rio internacional, antes de zambullirse en las especificidades de las Normas
ISO/IEC 20000.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
El captulo 2 Entender las Normas ISO/IEC 20000 las posiciona en el mbito
global de las TIC, para pasar despus a explicar su alcance, su estructura, sus coin-
cidencias y las principales diferencias frente a ITIL. Este captulo resulta esencial
para entender adecuadamente los siguientes.
Para facilitar la comprensin, el ncleo central del libro, desde el captulo 3 al 10,
se organiza siguiendo una estructura de captulos y numeracin de apartados para-
lela a las normas de referencia. En la figura I.1 se muestra este paralelismo inten-
cionado.
El captulo 3 El Sistema de Gestin del servicio de TI (SGSTI), explica este con-
cepto que suele resultar nuevo para los profesionales de las TIC no acostumbrados
a los sistemas de gestin definidos en la normativa de calidad ISO. Explica con
detalle la creacin de un sistema de gestin aplicado a la provisin y soporte del
servicio de tecnologas de la informacin. Este sistema de gestin constituye en s
mismo el diseo de las nuevas formas de hacer que transformarn el servicio de TI.
Su utilizacin ofrece un valor aadido y permitir alcanzar una posicin diferencial
a las organizaciones que lo implementen.
En el captulo 4 Planificacin e implementacin de la gestin del servicio, se trata
la implantacin de las Normas ISO/IEC 20000. Explica la forma de organizar y lle-
var a cabo esta transformacin que suponen las nuevas formas de hacer, acordes con
estas normas y definidas en el sistema de gestin. Se explican los aspectos que hay
que tener en cuenta previos a la implantacin, para entrar posteriormente en el ciclo
de mejora continua. Se sigue el enfoque a las cuatro etapas del ciclo de mejora con-
tinua (PDCA, de Deming o de Shewhart), que tambin se explica en este captulo.
Los captulos del 5 al 10 se corresponden con los principales procesos identificados
en la gestin del servicio relativos a: creacin, provisin, relaciones, resolucin,
control y entrega del servicio.
En el libro, tambin se ha considerado que las empresas, adems de mejorar sus ser-
vicios de TI, quieren obtener una certificacin que les acredite ante su Direccin o
ante sus clientes de la conformidad de su gestin frente a los requisitos de estas nor-
mas de referencia. A este respecto, el captulo 11 es una gua que explica el proceso
habitual para obtenerla.
El libro se ha preparado para que se pueda leer en tres recorridos diferentes:
Recorrido 1: lectura rpida. Paso rpido por los conceptos del libro, sin
profundizar en los procesos. Este recorrido pasa por la lectura de los captu-
los 1, 2 y 3 en detalle, pues contienen conceptos y posicionamientos que
nadie debera descartar. A partir de este punto, el resto de los captulos y pro-
cesos tienen su introduccin y grficos que resumen los principales concep-
tos que todo involucrado en las TI debera conocer.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
19 Introduccin
1 Objeto y campo de aplicacin
2 Trminos y definiciones
ndice de las Normas ISO/IEC 20000
0 Introduccin
1 El camino de la excelencia ya exite
2 Entender las normas ISO/IEC 20000
Bibliografa
11 La certificacin conforme a ISO/IEC 20000
de la gestin del servicio de TI
11.1 La primera certificacin conforme
a ISO/IEC 20000
11.2 Evidencia y registros importantes en una
certificacin
12 Bibliografa y referencias
13 Trminos y definiciones
ndice del libro ISO 20000
4 Planificacin e implementacin de la gestin del servicio
5 Planificacin e implementacin de nuevos servicios o de servicios modificados
6 Procesos de la provisin del servicio
6.1 Gestin de nivel de servicio
6.2 Generacin de informes del servicio
6.3 Gestin de la continuidad y disponibilidad del servicio
6.4 Elaboracin de presupuesto y contabilidad de los servicios de TI (gestin financiera de TI)
6.5 Gestin de la capacidad
6.6 Gestin de la seguridad de la informacin
7 Procesos de relaciones
7.1 Generalidades
7.2 Gestin de las relaciones con el negocio
7.3 Gestin de suministradores
8 Procesos de resolucin
8.1 Antecedentes
8.2 Gestin del incidente
8.3 Gestin del problema
9 Procesos de control
9.1 Gestin de la configuracin
9.2 Gestin del cambio
10 Proceso de entrega
10.1 Proceso de gestin de la entrega
3 Requisitos de un sistema de gestin 3 El Sistema de Gestin del Servicio de TI (SGSTI)
Figura I.1. La estructura del libro transcurre paralela
a las Normas ISO/IEC 20000
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Recorrido 2: lectura secuencial y a fondo. De principio a fin, que es la
recomendada por los autores.
Recorrido 3: manual de consulta. La estructura del libro con temtica
independiente permite utilizarlo tambin como manual de consulta, acce-
diendo directamente a cada proceso.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia
1.2. Normas, estndares, marcos de referencia y metodologas reconocidas
en el mbito de las TI
1.3. Entender los entornos de normalizacin y certificacin
1.4. Las principales normas y buenas prcticas en TI
Captulo 1
El camino a la excelencia
ya existe
1
3
8
5
0
0
C
M
M
I
I
T
I
L
9
0
0
0
2
0
0
0
0
2
7
0
0
1
C
O
B
I
T
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
1.1. Las Normas ISO/IEC 20000 son parte del
camino a la excelencia
Comparando la gestin habitual de las tecnologas de la informacin con otras
reas de la empresa, podremos encontrar que, en las ms avanzadas, existen mode-
los de gestin firmemente establecidos que las hacen parecerse al modelo de una
orquesta sinfnica en la que, si bien cada msico es un excelente especialista en su
instrumento, es en la interpretacin del concierto cuando la orquesta demuestra su
autntico valor actuando como un todo.
En cambio, las reas que gestionan sistemas tecnolgicos han puesto tradicional-
mente el foco en el conocimiento y dominio de la tecnologa. Es esencial y obvio
que se necesitan buenos tcnicos para el diseo, la construccin y el mantenimiento
del hardware y del software. Sin embargo, la situacin actual refleja que el control
de la tcnica, aunque totalmente imprescindible, no es suficiente para satisfacer
todo lo que la empresa demanda de las reas de TI. Queda una importante asigna-
tura pendiente que, por ms que se invierta en tecnologa y en tcnicos, no se con-
sigue resolver: actuar perfectamente engranados, todos juntos y bien coordinados
para conseguir un fin comn: ser cada vez ms eficientes en costes y capaces
de evolucionar con la agilidad tpica del ecosistema Internet (objeto de deseo de
todos los negocios para sus reas de TI).
Los responsables de los departamentos de TI deben responder a importantes des-
afos: la eficiencia en costes, la calidad, el cumplimiento de plazos, la agilidad y la
satisfaccin de los clientes y usuarios estn entre ellos. La gestin de las TI debe
evolucionar desde los modelos artesanales hacia formas de hacer ms industrializa-
das. Implementar formas de trabajo repetibles, mejorando la calidad de lo cons-
truido, la fiabilidad de los servicios o aumentando la capacidad de produccin de
la organizacin, todo ello, dentro de un nuevo entorno ms fluido en las relaciones
y que genere menos estrs en las personas. En esta evolucin, las buenas prcticas
sectoriales recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otras
normas y marcos de referencia, marcan el camino a recorrer para alcanzar la exce-
lencia en la gestin de las TI.
Del mismo modo que un abogado debe conocer las leyes para ejercer su profesin,
o un arquitecto la legislacin y reglamentacin sobre urbanismo y edificacin; la
direccin y los profesionales de los departamentos de TI deben conocer con detalle
el conjunto de buenas prcticas, normas o estndares que se estn consolidando en
su propio sector. La actividad de los directivos y profesionales de las TI, debe pasar
por conocer con detalle la normativa y marcos de las mejores prcticas aceptados
por el mercado, para aplicarlas posteriormente en su organizacin. Este es un buen
camino para la mejora de las actividades.
23 1. El camino a la excelencia ya existe
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
1.2. Normas, estndares, marcos de referencia
y metodologas reconocidas en el mbito
de las TI
El mundo de la ciencia est empeado en la bsqueda de una ley universal que sea
vlida tanto para el mundo del tomo como para las grandes galaxias. De manera
anloga, en el mbito de las TI todava no se ha conseguido definir un modelo for-
mal universal de toda su actividad que contemple desde la ms detallada tarea tc-
nica, hasta la definicin al ms alto nivel de la estrategia alineada con el negocio.
El inters por mejorar las actividades de las TI ha hecho que se hayan ido desarro-
llando varios marcos o modelos que cubren las principales parcelas de la gestin y
del conocimiento. A veces son complementarios entre s, en otros aspectos se sola-
pan y, con frecuencia, presentan enfoques distintos sin ofrecer una integracin clara
con otros modelos o aproximaciones. A pesar de ello, es indudable la utilidad de
trabajar con stos modelos de referencia ya definidos y los beneficios que aportan a
las organizaciones que los utilizan como base para avanzar.
Una buena representacin que permite realizar una primera aproximacin a este
mundo en ebullicin de normas, modelos y marcos de referencia, es la realizada por
la consultora Gartner Group, presentada en la figura 1.1. En ella, se posicionan las
normas en funcin de dos conceptos: el mbito de aplicacin y el tipo de uso de la
normativa. El mbito de aplicacin de las normas ocupa las columnas de la tabla y
se divide en dos alcances: el general de la empresa y las disciplinas especficas de TI
(gobierno de TI, gestin del servicio de TI, funciones de TI y tecnologa). El tipo
de uso de la normativa se representa en tres filas: normativa con foco en la evalua-
cin de la actividad, directrices y mejores prcticas, y la normativa de carcter ms
prescriptivo. La tabla original de Gartner se ha actualizado con la contribucin de
los autores, incorporando nuevas normas y marcos de referencia, como: ITIL v3,
CMMI for Services, ISO/IEC15504, ISO/IEC 38500, ISO 9004, ISO14001, ISO
90003, ISO/IEC 27001, PRINCE2, ISPL, ASL y DSDM). La dinmica de este
sector har que en breve aparezcan nuevas normas y estndares para incorporar a
ste grfico.
Entre estos modelos o recomendaciones destacan las Normas ISO/IEC 20000,
que compiten por un reconocimiento en este campo. El hecho de llegar con el res-
paldo de los organismos de normalizacin internacionales, es un claro empuje para
que se asiente como un referente en la sociedad. Como adems, se han publicado
tambin como norma nacional en muchos pases, cumplen todo lo necesario para
que los gobiernos puedan incluirlas en sus legislaciones o regulaciones (pudiendo
llegar a convertirse en obligatorias).
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
El veterano marco ITIL destaca como el gran compendio de referencia, que aspira
a convertirse en ese modelo universal que estructura y organiza toda la actividad de
las TI. Si bien la versin 2, publicada en el ao 2000, ha tenido una aceptacin
excepcional, hay que esperar a ver cmo el sector va adoptando la nueva versin 3,
publicada en el ao 2007, y que presenta una visin ms amplia y coherente de la
gestin de las TI, agrupada en torno al ciclo de vida del servicio.
El marco para el desarrollo de software CMMI (Capability Maturity Model Integra-
tion) aparece como el modelo ms aceptado para la medicin de la madurez de los
procesos de gestin en la construccin de aplicaciones. Para complicar ms el pano-
rama, en su ltima versin se crea un nuevo modelo CMMI for Services, que se
superpone en gran medida con el mbito central de ITIL; y por tanto, tambin con
las Normas ISO/IEC 20000. Adems, para los procesos y medicin de la madurez
del desarrollo, tambin la normativa internacional inici desde 1993 su andadura.
ISO e IEC han desarrollado un modelo para la evaluacin de los procesos de desa-
rrollo de software bajo la iniciativa SPICE que ha desembocado en la publicacin
de la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto de
normas relativas a la ingeniera del software (ISO/IEC 15288, ISO/IEC 12207,
ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
Figura 1.1. Mapa de las diferentes normas y marcos de referencia
relacionados con las TI
Fuente: Gartner y e.p.
mbito de la empresa mbito especfico de TI p p
Calidad
y medio
ambiente
Empresa Gobierno TI
Gestin del
servicio de TI
Funciones de TI
(desarrollo, seg., etc.)
Tecnologa
ambiente
( , g , )
u
a
c
i
n
P l
Ticket
SAS
8000
SPICE
ISO/IEC 15504
E
v
a
l
e
s
ACC
CoCo
FEAF
TOGAF
People
CMMI
TQM
King
COBIT
CMMI for
Services
ITIL v3
CMMI
ITIL v2
ASL
ISO
90003
ISO
ISO/IEC
17799 o
27002
ISO/IEC
27001
SO
ISO
9001 s
o
D
i
r
e
c
t
r
i
c
e
COSO
Zachman
TOGAF
PMBOK
eTOM
(Telcos)
SAS 70
ITIL v2
MOF
ISO/IEC
20000
ISPL
DSDM
BS 25999
PAS 77
ISO/IEC
38500
ISO
14001
EFQM
ISO
12207
27001
ISO
9004
9001
T
i
p
o

d
e

u
s
r
e
s
c
r
i
p
t
i
v
o
TL 9000
PMBOK
CORBA
SOA
XML
Lean
6
Sigma
RUP
SAS 70
PRINCE2
SOX
P
rSOA
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
La gestin de la seguridad de los sistemas de informacin ha sido una de las reas
ms difundidas en el entorno normativo de las TI, con las normas UNE-ISO/
IEC 27001 (sistema de gestin de seguridad) y UNE-ISO/IEC 17799 (un
cdigo de buenas prcticas para la gestin de la seguridad de la informacin),
que se ha renumerado como UNE-ISO/IEC 27002. Recientemente han apare-
cido unas normas britnicas sobre la gestin de la continuidad de negocio, deno-
minadas BS 25999.
En el mbito de la auditora, medicin y gobierno de TI el modelo COBIT (Con-
trol Objectives for Information and Related Technology) est reconocido como una
excelente referencia. En relacin al gobierno de las TI, la normativa internacional
de ISO ha tomado posiciones con la nueva Norma ISO/IEC 38500 Corporate
Governance of Information Technology (tambin denominada en sus etapas de borra-
dor como 29382), inspirada en la Norma australiana AS 8015. Como un hijo
menor del modelo COBIT, para la medicin del valor que aportan las TI al negocio,
se ha definido un nuevo sub-marco denominado ValIT.
En relacin a la gestin de proyectos de desarrollo de software, el marco lder es
PMBOK (Project Management Body of Knowledge), una metodologa reconocida
por el organismo norteamericano de normalizacin ANSI. Tambin hay que tener
en cuenta el modelo PRINCE2 (Projects In Controlled Environments) que, reali-
zado por los impulsores de ITIL, es ms sencillo que el anterior, y resulta de utili-
dad para proyectos de mejora y de implantacin de ITIL o de ISO/IEC 20000.
Otros modelos que se complementan o solapan con los anteriores, aunque con
poca aceptacin en el sector de las TI son: en el mbito de la gestin de proveedo-
res ISPL (Information Services Procurement Library), para disponer de un mapa
completo en la construccin de aplicaciones: ASL (Application Services Library) o
DSDM (Dynamic Systems Development Method).
Por su importancia y universalidad, tambin hay que tener en cuenta la serie de
normas internacionales ISO 9000, familia de normas y directrices que contienen
los requisitos para la gestin de la calidad general de una organizacin. Dentro de
esta serie destaca la Norma UNE-EN ISO 9001, que contiene los requisitos del
sistema de gestin de la calidad, tambin esencial para la implantacin de las Nor-
mas ISO/IEC 20000. La Norma UNE-EN ISO 9004 contiene recomendaciones
prcticas para aquellas empresas que quieran ir ms all de los requisitos mnimos
establecidos en UNE-EN ISO 9001.
En el mbito de la calidad aplicada al desarrollo de software, tambin hay que consi-
derar la Norma UNE-ISO/IEC 9003 que versa sobre las directrices para la apli-
cacin de la Norma UNE-EN ISO 9001 al desarrollo de software. Por otra parte, la
Norma ISO/IEC 12207 proporciona un marco para los procesos, actividades y
tareas relacionadas con el ciclo de vida del software.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Por otra parte, los temas medioambientales tambin tienen su impacto en la ges-
tin de TI. Deben tenerse en cuenta: la legislacin nacional, local y la normativa
sobre retirada y gestin del equipamiento y residuos informticos; la serie de Nor-
mas ISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe tam-
bin la Norma UNE 150002 Sistemas de gestin medioambiental. Gua para la apli-
cacin de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la gua para
la aplicacin de los sistemas de gestin medioambiental a las relaciones con sumi-
nistradores y clientes, denominada UNE 150004 EX; o el Cdigo de Conducta
para la Eficiencia Energtica en Centros de Datos publicado por la Unin Europea.
Tanta abundancia de informacin y recomendaciones resulta confusa para las orga-
nizaciones que slo desean soluciones prcticas y directas para mejorar su gestin
de las TI.
De todo el mapa anterior, se recomienda centrarse inicialmente en las normas y
marcos de mayor relevancia y ms aceptados para la mejora de TI, como son:
ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la
gestin de los servicios de TI.
COBIT para la auditora y la medicin de las TI.
ISO/IEC 27001 para la gestin de la seguridad de la informacin.
ISO/IEC 15504 y CMMI for Development para la gestin del desarrollo de
software.
ISO/IEC 38500 y COBIT como referencias para el gobierno de las
tecnologas de la informacin.
1.3. Entender los entornos de normalizacin y
certificacin
Tiene gran inters conocer quin es quin en el mbito de la normalizacin y la
definicin de las buenas prcticas relacionadas con la provisin de servicios de TI.
Concurren en este espacio: organizaciones internacionales y europeas de carcter
multisectorial que producen normas (como ISO, IEC, CEN, CENELEC, ETSI,
UIT), organismos de normalizacin nacionales (AENOR en Espaa, BSI en UK,
etc.), administraciones pblicas e instituciones gubernamentales (como OGC en
UK, DoD en los EEUU), organizaciones privadas (itSMF, ITGI), universidades
(Carnegie Mellon), junto a otros organismos del mundo de la certificacin y acre-
ditacin de empresas. La figura 1.2 presenta en forma de tabla los principales acto-
res. En las columnas se muestran las instituciones generadoras de normativas y
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
marcos de mejores prcticas (organismos de normalizacin internacional, organis-
mos de normalizacin en cada pas y las principales iniciativas de organizaciones
privadas aunque algunas con el respaldo indirecto gubernamental). Las filas enu-
meran algunos organismos e instituciones. Bajo el concepto de promotor se inclu-
yen quin est principalmente detrs de las iniciativas respaldando a las institucio-
nes. Finalmente se presentan algunas normas y marcos de cada mbito.
En el mbito de la normalizacin internacional, los organismos de normalizacin
internacionales (ISO, IEC, UIT) y los europeos (CEN, CENELEC, ETSI) dispo-
nen de procedimientos estables que garantizan la participacin de los pases miem-
bros y de la industria local. Aunque cada organismo tiene procedimientos especfi-
cos para la realizacin de la normativa, en todos est garantizada la participacin de
los pases y de sus representantes. Para garantizar la representacin se utilizan estruc-
turas de comits, subcomits y grupos de trabajo internacionales, que frecuente-
mente se reflejan en estructuras similares en los pases. Por tanto, no hay un ciclo
nico para la creacin de las normas, aunque todos se basan en la representacin de
los organismos de normalizacin de los pases a travs de sus miembros nacionales
(AENOR, BSI, DIN, etc.) como instrumento para garantizar la participacin
nacional.
Figura 1.2. Actores en el mbito de la normalizacin relacionados con las TI
Fuente: Telefnica
Normalizacin internacional
Normalizacin y acreditacin
segn el pas
Principales iniciativas privadas
OGC Carnegie ITGI PMI
Espaa: AENOR - ENAC
UK: BSI - UKAS
ISO CEN
O
r
g
a
n
i
s
m
o
s

e

n
s
t
i
t
u
c
i
o
n
e
s
Mellon
UK: BSI - UKAS
USA: ANSI
Alemania: DIN - TV
Argentina: IRAM
Chile: INN
Mxico: DGN
IEC CENELEC
UIT ETSI
O
i
e
s
Mxico: DGN
Per: INDECOPI
Australia: SA
Gobiernos Gobierno del pas OGC
(UK)
DoD
(USA)
ISACA
(USA)
PMI
(USA)
P
r
o
m
o
t
o
r
e(UK)
Participan los lderes y gurs de la industria TI
(USA) (USA) (USA)
itSMF SEI y ESI
Participan comits
normalizacin pases
Participa industria local
itSMF Espaa y GT-25
(en UNE-ISO 20000)
o
r
m
a
s
PMBOK ISO 9001 COBIT CMMI ITIL ISO 27001
BS 15000
ISO/IEC
20000
ISO/IEC
27001
ISO 20000
ISO/IEC
20000
ISO 17799-
27002
(en UNE ISO 20000)
N
o
Prince2
BS 25999
PAS 77
AS 8015
ISO/IEC
17799
27001
ISO/IEC
38500
27002
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Por otra parte, el mbito de las denominadas iniciativas privadas (ITIL, CMMI,
COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prc-
ticas y no de normativa. Los procedimientos y la gestin de la representacin del
sector quedan a la libre eleccin de la institucin u organismo que impulsa la ini-
ciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamada
pblica de participacin para trabajar en la siguiente edicin de estos marcos a la
que suelen responder los principales actores internacionales y gurs en la materia.
El proceso de seleccin del equipo de revisin es especfico de cada institucin, as
como el procedimiento de edicin de la nueva versin del marco de referencia.
Como se puede intuir hay que ser un autentico especialista en la materia para com-
prender los diversos esquemas y estructuras que se han ido creando alrededor de la
normalizacin y marcos de mejores prcticas. Por la vinculacin con la temtica de
este libro se explican los procesos de creacin de las normas ISO/IEC y de las nor-
mas UNE espaolas:
Ciclo de creacin de las normas ISO/IEC. Una norma internacional se desarro-
lla en el mbito de los comits tcnicos y de los subcomits tcnicos de ISO y de
IEC. El proceso sigue seis etapas: propuesta, preparatoria, comit, consulta, apro-
bacin y publicacin. En este proceso, el documento propuesta de norma pasa por
tres estados que indican el grado de aceptacin y apoyo que se va alcanzando de los
diversos borradores:
CD (Committee Draft): es un borrador generado por un grupo de trabajo,
que ha recibido la aprobacin del grupo y se remite al comit correspon-
diente para su aprobacin.
DIS (Draft of International Standard): es el borrador de norma internacio-
nal que el comit de normalizacin ha aprobado y somete a comentarios y
votacin por parte de los pases.
FDIS (Final Draft of International Standard): es el borrador final de la
norma internacional, que el comit enva para su aprobacin final a todos los
miembros para su publicacin final como norma internacional.
En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. En la
etapa 3 se aprueba el borrador para pasar al estado de borrador de comit (DIS)
que ser sometido a aprobacin en la etapa 4 o de consulta. As, el borrador apro-
bado pasa al estado de borrador final de norma internacional (FDIS) que ser
sometido para su aprobacin definitiva en la etapa 5.
Adems, existe el procedimiento rpido de aprobacin, o fast-track, para documen-
tos con un grado alto de madurez, como es el caso de normas locales que se quie-
ran elevar a internacionales. En este caso, primero se somete a una votacin para
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasar
directamente como DIS a la etapa 4. Normalmente el procedimiento rpido puede
durar un ao, mientras que el normal suele durar entre 2 y 3 aos, dependiendo de
la dificultad de alcanzar el consenso en las diversas etapas.
Ciclo de creacin de las normas UNE espaolas. El proceso de elaboracin de
una norma UNE est sometido a una serie de fases que permiten asegurar que el
documento final es fruto del consenso, y que cualquier persona, aunque no perte-
nezca al comit de AENOR, productor de la norma, pueda emitir sus opiniones o
comentarios. Tras la aprobacin del proyecto final de norma por un Comit Tc-
nico de Normalizacin, el Boletn Oficial del Estado (BOE) publica la relacin
mensual de proyectos UNE sometidos a un perodo de Informacin Pblica,
durante el cual cualquier persona o entidad interesada podr presentar observacio-
nes. Las observaciones deben realizarse a AENOR. Una vez analizados los comen-
tarios recibidos en esta fase, el comit redactar el texto final, que ser aprobado y
publicado como norma UNE por AENOR.
En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional.
A continuacin, se presenta una visin general de los principales actores en este
mbito normativo que tienen cierta relevancia en la gestin de las TI, aunque no
pretende ser un tratado exhaustivo.
Proceso de elaboracin de una
norma ISO/IEC internacional
1. Etapa de propuesta
Se elabora la propuesta de norma
2. Etapa preparatoria
Se consensa el borrador CD
3. Etapa de comit
El comit aprueba CD DIS
4. Etapa de consulta
DIS se somete a consulta
5. Etapa de aprobacin
Se aprueba DIS FDIS
6. Etapa de publicacin
FDIS se edita como norma ISO
1. Trabajos preliminares
2. Elaboracin del proyecto de
norma en el seno de un Comit
Tcnico de Normalizacin (CTN)
3. Envo de la norma al BOE
para informacin pblica
4. Elaboracin y aprobacin por el
CTN de la propuesta final de norma
5. Aprobacin de la propuesta final
por AENOR
6. Publicacin de la nueva
norma UNE
Proceso de elaboracin de una
norma UNE espaola
Figura 1.3. Procedimientos de creacin de normas internacionales y nacionales
Fuente: ISO y e.p. Fuente: AENOR
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Organismos de normalizacin internacionales
ISO (International Organization for Standardization, Organizacin Internacional
de Normalizacin). Es el organismo de normalizacin oficial reconocido a nivel
internacional. Su objetivo es poner a disposicin de la industria un catlogo de nor-
mas sobre productos y servicios que se puedan utilizar para dar garanta de unos
niveles de calidad preestablecidos. Fue creado en febrero de 1947 y tiene su sede en
Ginebra. Cuenta en la actualidad con la representacin de 153 pases. Tiene como
objetivo lograr la coordinacin internacional y la unificacin de las normas de la
industria. Coopera estrechamente con la IEC.
IEC (International Electrotechnical Commission, Comisin Electrotcnica Interna-
cional). Es la organizacin internacional centrada en la normalizacin de los mbi-
tos elctrico, electrnico y de tecnologas relacionadas. ISO e IEC cooperan estre-
chamente en campos de inters mutuo, especialmente en el mbito de las TI en el
que desarrollan normas de forma conjunta, las denominadas ISO/IEC.
UIT (International Telecommunication Union, Unin Internacional de Telecomuni-
caciones). Organismo internacional encargado de la elaboracin de recomendacio-
nes para el sector de las telecomunicaciones.
Organismos de normalizacin europeos
CEN (European Committee for Standardization, Comit Europeo de Normaliza-
cin). Es el organismo espejo de ISO a nivel europeo. Est centrado en la normali-
zacin en todos los campos excepto en el elctrico y en el de telecomunicaciones.
CENELEC (European Committee for Electrotechnical Standardization, Comit
Europeo de Normalizacin Electrotcnica). Es el organismo espejo de IEC a nivel
europeo. Est dedicado a la normalizacin en el mbito elctrico y electrnico.
ETSI (European Telecommunications Standards Institute, Instituto Europeo de
Normas de Telecomunicacin). Organismo equivalente a la UIT para Europa,
cuyo campo de actividad se centra en las telecomunicaciones y comunicaciones
electrnicas.
Organismos de normalizacin nacionales
AENOR (Asociacin Espaola de Normalizacin y Certificacin). Es el orga-
nismo que desarrolla la actividad de normalizacin en Espaa. Es una organizacin
privada, independiente y sin nimo de lucro, reconocida en los mbitos nacional,
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
europeo e internacional para el desarrollo de actividades de normalizacin y certifi-
cacin (N+C) en un mbito multisectorial. Cuenta en la actualidad con ms de 20
centros operativos repartidos en: Espaa, Mxico, Chile, El Salvador, Italia, Portu-
gal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el des-
arrollo de las actividades de N+C, a mejorar la gestin de la calidad en las empre-
sas, sus productos y servicios, proteger el medio ambiente y, con ello, lograr el
bienestar de la sociedad en su conjunto.
BSI (British Standards Institute). Organismo de normalizacin del Reino Unido.
Es destacable su actividad en la elaboracin de nuevas normas en el mbito de la
gestin de las TI. Creador de la serie de normas BS 15000, base sobre la que se han
definido las actuales Normas ISO/IEC 20000.
En general, cada pas tiene su propio organismo de normalizacin, entre otros
podemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA en
Australia, etc.
Otros organismos de habla hispana, con los que AENOR mantiene una estrecha
colaboracin motivada, entre otras cosas, por la traduccin conjunta de normas
internacionales al espaol, son: IRAM en Argentina, INN en Chile, DGN en
Mxico, INDECOPI en Per, etc.
Los gobiernos
Es importante destacar el papel activo de los gobiernos, instituciones gubernamen-
tales y administraciones pblicas en el campo de la normalizacin, pues desempe-
an un triple papel: como sustento de la actividad de normalizacin mediante sub-
venciones a los organismos de normalizacin, como impulsores de algunas
iniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bien
estableciendo una regulacin o bien en su papel de cliente contratante de servicios
al sector de las TIC.
Entre estos organismos destacan el Ministerio de Comercio Britnico (OGC, Office
of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y
el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense)
como impulsor de CMMI.
Organismos de acreditacin
Las entidades nacionales de acreditacin son entidades independientes cuya fun-
cin es la acreditacin de entidades certificadoras y laboratorios de ensayo. Es decir,
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
el reconocimiento formal de que una organizacin es competente para la realiza-
cin de una determinada actividad de evaluacin de la conformidad o la realizacin
de un ensayo determinado.
Las organizaciones que podemos destacar son:
Internacionalmente: IAF (International Accreditation Forum).
En Europa: EA (European Cooperation for Accreditation).
En Espaa: ENAC (Entidad Nacional de Acreditacin en Espaa).
En el Reino Unido: UKAS (United Kingdom Accreditation System).
IQNet. Un papel parecido a la acreditacin lo realiza la Red Internacional de Cer-
tificacin (IQNet, International Certification Network), asociacin formada por las
entidades de certificacin lderes en la certificacin de empresas en sus respectivos
pases. Entre sus objetivos estn:
El reconocimiento y promocin de los certificados expedidos por sus miem-
bros en todos los sectores industriales y de servicios.
La coordinacin de los procesos de certificacin de empresas que operan en
distintos pases.
Normalmente, los certificados locales emitidos por las entidades certificadoras van
acompaados de el reconocimiento internacional de IQNet.
Entidades certificadoras
Para que las empresas puedan demostrar a nivel nacional e internacional que cum-
plen las normas, necesitan un certificado. Se trata de un instrumento para verificar
la correcta implantacin de las normas.
La obtencin del certificado se realiza mediante un proceso de evaluacin indepen-
diente por parte de una entidad certificadora o de certificacin. Un requisito
importante que asegura la solvencia para que una entidad pueda conceder una
marca de certificacin es que dicha entidad sea competente para certificar los
productos, los servicios, los sistemas de gestin o las personas, a los que se aplica la
marca de certificacin.
Los organismos de acreditacin son los encargados de acreditar a las entidades de
certificacin. Las entidades de certificacin utilizan los servicios profesionales
de los auditores.
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Marcas de certificacin
Las marcas de certificacin las conceden las entidades correspondientes a los pro-
ductos, sistemas y servicios que cumplen con los requisitos definidos.
La certificacin, en base a normas, tiene su reflejo en los distintivos de certifica-
cin, cuya concesin significa que el producto o servicio ha pasado por el adecuado
proceso de certificacin de forma satisfactoria. Cuando, por ejemplo, se trata de
una marca de seguridad, la concesin de la marca significar que cumple los requi-
sitos de seguridad, segn la norma de referencia.
En un producto con certificado de calidad, la etiqueta puede contener distintos
logotipos (vase la figura 1.4) dependiendo de la entidad que otorgue el certificado.
En el Reino Unido se ha desarrollado una marca de certificacin especfica para
ISO/IEC 20000, segn un acuerdo interno entre UKAS (organismo de acreditacin
de ese pas) e itSMF-UK (captulo ingls del itSMF, Information Technology Service
Management Forum), con un reglamento especfico (esquema de certificacin). Por
el contrario, en la mayora de los pases, la certificacin ISO/IEC 20000 transcurre
por los caminos habituales de la certificacin del pas, con marcas especficas de cada
entidad certificadora, y regulado por el organismo de acreditacin del pas.
Auditores
Los auditores son los nicos profesionales acreditados para realizar la auditora del
cumplimiento de los requisitos de una norma por una organizacin. La calificacin
de auditor se concede nicamente a los candidatos que demuestren experiencia
suficiente y hayan pasado los exmenes exigidos para ello.
Figura 1.4. Ejemplos de marcas de certificacin de sistema y de producto
en el caso de AENOR
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
En el caso de la Norma ISO/IEC 20000-1, existe una acreditacin especfica de
auditor otorgada por UKAS e itSMF-UK a profesionales con amplia experiencia,
tras superar un curso en entidades de formacin acreditadas y superar el examen al
respecto. Esta acreditacin de auditor est vinculada al esquema de certificacin
conjunto de UKAS e itSMF-UK.
Consultores
Los consultores asesoran, bien a las organizaciones o entidades que quieren
implantar las normas, o bien, una vez implantadas, que desean certificarse. Para
esta funcin existe una acreditacin profesional especfica. La formacin que reci-
ben les permite adquirir un nivel suficiente de conocimiento de la normas, del
esquema de certificacin y de su aplicacin.
Los consultores asisten a las organizaciones en la interpretacin y aplicacin de la
normas, as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestin del
servicio. Asimismo, el consultor externo puede efectuar una evaluacin de los nive-
les de gestin del servicio y establecer el nivel de preparacin necesario para una
solicitud de certificacin y su posterior consecucin.
Actualmente, existe una acreditacin de consultor ISO/IEC 20000 otorgada por enti-
dades de formacin acreditadas por UKAS e itSMF-UK. Otros organismos que regu-
lan la formacin profesional (EXIN, APMG) tambin estn entrando en este campo.
Las organizaciones alrededor de ITIL
ITIL (Information Technology Infrastructure Library, Biblioteca de Infraestructuras
de Tecnologas de la Informacin) es el compendio de las mejores prcticas en la
gestin de TI ms extendido y ampliamente aceptado por la industria.
La estrecha relacin entre los contenidos de las Normas ISO/IEC 20000 y los
libros ITIL, hace relevante conocer cules son los principales miembros de este
ecosistema creado para la difusin y evolucin de estas prcticas:
OGC (Office of Government Commerce, Oficina de Comercio del Gobierno). Ofi-
cina dependiente del Ministerio de Economa y Hacienda britnico, responsable de
un amplio programa para mejorar la eficiencia de las empresas. Este organismo
(antes denominado CCTA) fue el creador de ITIL a finales de los aos 80.
TSO. Editorial inicialmente vinculada al entorno gubernamental britnico, centrada
en la publicacin de libros y documentacin producida en este mbito. Fue privati-
zada en 1996 y ha sido comprada por el grupo Williams Lea en enero de 2007.
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
TSO se encarga de la publicacin impresa y online de los libros ITIL, gestionando
sus derechos de propiedad intelectual.
itSMF International (Information Technology Service Management Forum, Foro
internacional para la Gestin del Servicio de TI). Creado en el Reino Unido en
1991, es una red mundial de grupos de usuarios de TI que ofrecen mejores prc-
ticas y guas basadas en normas para la provisin de servicios de TI. La organiza-
cin internacional coordina las actividades de los captulos locales y apoya al desa-
rrollo y difusin de las evoluciones de ITIL.
itSMF est presente en pases como: Francia, Blgica, Alemania, Portugal, Nor-
uega, Japn, Brasil, Dinamarca, Austria, Finlandia, Canad, EEUU, Singapur,
Australia, Italia, Hungra, Rumania, Suecia, Argentina, Espaa, etc.
itSMF Espaa. Captulo espaol de itSMF. Constituido como una asociacin sin
nimo de lucro, acta como una comunidad de usuarios. Centra sus intereses en las
prcticas y metodologas de gestin y gobierno de las TI. Tiene como objetivo ayu-
dar a las organizaciones a adoptar soluciones de gestin de servicios TI e impulsar
la adopcin de las mejores prcticas.
Certificacin profesional privada en el mbito de la
gestin del servicio
Alrededor de la difusin de las mejores prcticas de gestin del servicio de TI se
ha ido creando una oferta de servicios de formacin para los profesionales, deno-
minadas privadas por no tener asociadas un reconocimiento oficial del Estado,
pero muy apreciadas en el mundo empresarial. No se debe confundir esta certifi-
cacin individual de profesionales con la certificacin de organizaciones o provee-
dores de TI.
En el mbito de ITIL, las certificaciones profesionales tienen gran tradicin. Se ha
evolucionado del esquema anterior de certificaciones de ITIL v2 en tres niveles
(Foundation, Clusters y Service Manager) a uno nuevo en ITIL v3 basado en una
estructura ms flexible de cuatro capas: Foundation para los conocimientos gene-
rales iniciales, Intermediate para el conocimiento en ms detalle de uno o varios de
los libros del ciclo de vida o de agrupaciones de procesos, ITIL Expert que capacita
para la gestin integral de los servicios que requiere haber realizado un conjunto de
cursos Intermediate e ITIL Master, mximo grado de certificacin que ratifica la
capacidad de analizar y aplicar los conceptos ITIL a nuevas reas. La calidad de las
empresas de formacin y el control de los exmenes los gestiona APM Group, a
quin la OGC ha otorgado en 2006 la gestin de la acreditacin de la formacin
relacionada con la marca ITIL.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
En el mbito de ISO/IEC 20000, la aparicin de estos esquemas de certificacin
profesional garantizados es ms reciente, destaca la iniciativa de EXIN (Examination
Institute for Information Science), pero posiblemente aparecern otros, ya que el
entorno de normativa internacional no ejerce el concepto de propietario de marca.
1.4. Las principales normas y buenas prcticas
en TI
Las Normas ISO/IEC 20000
Dado que estas normas se tratan en profundidad en el resto del libro, nica-
mente se presenta en la figura 1.5 un esquema general de su estructuracin en
14 procesos (los 13 procesos descritos en los captulos 6 al 10 de las normas,
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
Figura 1.5. Esquema general de los procesos de ISO/IEC 20000
Fuente: UNE-ISO/IEC y e.p.
Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados
Gestin de la capacidad
Gestin de la
continuidad y
disponibilidad
del servicio
Procesos de la provisin del servicio
Gestin de nivel de servicio
Generacin de
informes del servicio
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Proceso
de entrega
Proceso de gestin
de la entrega
Procesos
de resolucin
Gestin del incidente
Gestin del problema
Procesos
de relaciones
Gestin de las relaciones
con el negocio
Gestin de suministradores
Sistema de Gestin del Servicio de TI (SGSTI)
Procesos de control
Gestin de la configuracin
Gestin del cambio
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
junto al proceso del captulo 5 Planificacin e implementacin de nuevos servi-
cios o de servicios modificados). Adems, las normas incluyen dos aspectos
muy importantes: el sistema de gestin y la planificacin e implementacin de
la gestin del servicio.
En el mbito de los servicios de TI, resulta esencial que los servicios se provean
en un marco de gestin eficaz y de calidad, para entender claramente los requisi-
tos y gestionar su cumplimiento. Las Normas ISO/IEC 20000 articulan el pro-
ceso de prestacin de los servicios engranados sobre un sistema de gestin del
servicio (vase el captulo 3). El proceso de mejora continua establecido por la
Norma ISO 9001 para la fabricacin de productos o prestacin de servicios
(siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar Plan, Do, Check,
Act), tambin se incorpora en esta norma como un motor de la mejora continua
de los servicios de TI (vase el captulo 4).
La serie ISO 9000, normas de calidad
Segn el diccionario de la Real Academia Espaola, la calidad se define como la pro-
piedad o conjunto de propiedades inherentes a algo que permiten juzgar su valor.
El aseguramiento de la calidad nace como una evolucin natural del control de cali-
dad, que resultaba limitado y poco eficaz para prevenir la aparicin de defectos.
Para ello, se hizo necesario crear sistemas de calidad que incorporasen la preven-
cin como forma de funcionamiento y gestin, y que, en todo caso, sirvieran para
anticiparse a los errores antes de que estos se produjeran.
Un sistema de gestin de la calidad se centra en garantizar que el producto o el
servicio ofrecido por una organizacin cumple con las especificaciones establecidas
previamente por la empresa y el cliente, y as, asegurar unos niveles de calidad pre-
decibles y su mejora continua a lo largo del tiempo.
El sistema de gestin de la calidad general es el conjunto de elementos interrelacio-
nados de una empresa u organizacin por los cuales se organiza y planifica el tra-
bajo de la misma en la bsqueda de la satisfaccin de sus clientes. Sus elementos
principales son:
La estructura de la organizacin.
Sus procesos.
Sus documentos.
Sus recursos.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
ITIL (Information Technology Infrastructure Library)
Es un conjunto de publicaciones que recogen las buenas prcticas en la gestin de
servicios de las TI. Define un modelo de procesos bastante amplio que abarca
desde la definicin de la estrategia hasta la gestin de las infraestructuras. El xito y
la fama de ITIL se han fundamentado en la calidad de sus buenas prcticas y en la
flexibilidad para que las empresas pudieran adaptarlas a sus necesidades.
Entre 1989 y 1992, la versin 1 de ITIL se centraba en la gestin de la tecnologa
y estaba claramente orientado al entorno mainframe. Paulatinamente, las prcticas
fueron evolucionando hacia procesos y servicios. ITIL, en su versin 2 (de princi-
pios del ao 2000), se estructuraba en 7 libros bsicos (adems, hay uno nuevo de
dedicado al inventariado o a la gestin de activos software y otro enfocado a imple-
mentaciones en organizaciones de TI de menor escala como en pymes). En la
figura 1.6 se muestra la evolucin histrica de ITIL y la aparicin de ISO/IEC
20000 en los ltimos aos.
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
IBM,s
ISMA
itSMF ITIL v1:
42 libros
ITIL v2:
7 libros
ITIL v3:
5 libros
Creacin
itSMF Espaa
1986 1989 2000 2005 2007
Figura 1.6. Historia de la evolucin de la normativa de gestin del servicio de TI
ITIL v0:
Service Level
Management
BS 15000
ISO/IEC
20000
UNE-ISO/
IEC 20000
Evolucin
ISO/IEC 20000
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
L
A
T
E
C
N
O
L
O
G
A
E
L
N
E
G
O
C
I
O
Gestin de servicio
Soporte de servicio
Centro atencin usr.
Incidente
Problema
Configuracin
Cambio
Entrega
Financiero
Continuidad
Disponibilidad
Capacidad
G. nivel de servicio
Provisin de servicio
Planificacin de la implantacin de gestin del servicio
Perspectiva
de negocio
Gestin relacin
con negocio
Gestin relacin
proveedores
Planificacin
y desarrollo
arquitectura TI
Relacin
formacin y
comunicacin
de TI con el
negocio
Gestin de
infraestructuras TIC
Diseo y
planificacin
Despliegue
Operacin
Soporte tcnico
Gestin de aplicaciones
Requerimientos
Disear y construir
Despliegue
Operar
Optimizar
Gestin de
la seguridad
Planificar
Implementar
Evaluar
Mantener
Controlar
Gestin
de activos
Figura 1.7. Procesos definidos en los libros ITIL v2
Fuente: Libro ITIL Soporte de Servicio publicado por OGC y e.p.
ITIL v2 se ha utilizado como base para la creacin de las Normas ISO/IEC 20000.
En la figura 1.7, se muestra una representacin tpica de ITIL v2. En ella se puede
apreciar el negocio a la izquierda del todo, en el extremo derecho se sita la tecno-
loga, y, en medio, haciendo que la tecnologa sea til para el negocio estn los pro-
cesos ITIL. De ellos, los dos libros ms valiosos por su contenido y ms aceptados
por el mercado son los relativos a la gestin de servicio (libros Soporte de Servicio y
Provisin de Servicio publicados por OGC).
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
La versin 3 de ITIL, que apareci a mediados de 2007, respeta los principales
procesos del soporte y de la provisin del servicio ya definidos en la versin ante-
rior. Tambin saca a la luz mucha de las actividades de gestin de TI no reflejadas
anteriormente, ampliando su alcance a ms de 20 procesos. Esta versin pone
mayor nfasis en la integracin de TI con el negocio. Se estructura en torno al ciclo
completo de creacin de servicios: estrategia, diseo, transicin, operacin y
mejora continua (vase la figura 1.8).
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
Figura 1.8. La estructura de los libros ITIL v3 se articula
segn el ciclo de vida de los servicios
Fuente: Libro ITIL Estrategia del Servicio publicado por OGC y e.p.
Mejora
del servicio
Diseo
del servicio
ITIL v3
Estrategia
del servicio
O
p
e
r
a
c
i
n
d
e
l

s
e
r
v
i
c
i
o
T
r
a
n
s
i
c
i
n
d
e
l

s
e
r
v
i
c
i
o
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Estrategia del servicio
Generacin de la estrategia
Gestin financiera de TI
Gestin de la demanda
Gestin del porfolio de servicios
Diseo del servicio
Diseo de servicios nuevos o
modificados
Gestin del catlogo de servicios
Gestin de la disponibilidad
Gestin de la continuidad del
servicio TI
Gestin de la seguridad de la
informacin
Transicin del servicio
Planificacin y soporte de la
transicin
Gestin de cambios
Gestin de la configuracin y
de activos del servicio
Gestin de versiones y
despliegues
Validacin y pruebas del servicio
Evaluacin
Gestin del conocimiento
Mejora continua del servicio
El proceso de mejora
en 7 etapas
Informes del servicio
Medicin del servicio
Retorno de inversin para la
mejora
Preguntas al negocio para
la mejora
Operacin del servicio
Procesos:
Gestin de eventos
Gestin de incidencias
Gestin de peticiones
Gestin de problemas
Gestin de accesos
Funciones:
Centro de servicio al usuario
Gestin tcnica
Gestin de operaciones TI
Gestin de aplicaciones
ESTRATEGIA DISEO TRANSICIN OPERACIN
MEJORA
CONTINUA
Figura 1.9. Contenido de las cinco etapas del ciclo de vida
de los servicios en ITIL v3
Fuente: Libros ITIL v3 publicados por OGC y e.p.
ITIL v3
El conjunto de temtica y procesos tratados en ITIL v3 se muestra en la figura 1.9.
Otras normas y metodologas relacionadas son: COBIT para la auditora y
gobierno de TI, ISO/IEC 27001 para la seguridad, CMMI e ISO/IEC 15504
(SPICE) como modelos de madurez del desarrollo del software. En los apartados
siguientes se presenta una introduccin a ellas.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Monitorizar y evaluar
ME1 Monitorizar y evaluar el desempeo
de TI
ME2 Monitorizar y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio
ME4 Proporcionar gobierno de TI
Entregar y dar soporte
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Administrar desempeo y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los
incidentes
DS9 Administrar la configuracin
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones
Planear y organizar
PO1 Definir el plan estratgico de TI
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir procesos, organizacin y
relaciones de TI
PO5 Administrar la inversin en TI
PO6 Comunicar las aspiraciones y la
direccin de la gerencia
PO7 Administrar recursos humanos de TI
PO8 Administrar calidad
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos
Adquirir e implantar
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el software aplicativo
AI3 Adquirir y mantener la infraestructura
tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
COBIT (Control objectives for information and related
technology)
Es un conjunto de mejores prcticas e indicadores para el control y auditora de los
sistemas de informacin. Fue creado por ISACA (Information Systems Audit and
Control Association) y el ITGI (IT Governance Institute) y ha ido extendiendo su
alcance hacia las mtricas de TI y las disciplinas de gobierno de las TI.
La primera edicin fue publicada en 1996, la segunda en 1998, la tercera en 2000
y la cuarta en Diciembre de 2005.
COBIT 4 se estructura en cuatro dominios que cubren un total de 34 objetivos
principales de control (denominados tambin procesos), que permiten garantizar
un adecuado sistema de gobierno para el entorno de las TI. En la figura 1.10 se
muestran estos dominios.
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
Figura 1.10. Los 4 dominios de COBIT para el gobierno de TI
Fuente: ISACA.
Gobierno
de TI
Administracin
de recursos
A
d
m
i
n
i
s
t
r
a
c
i
n
d
e

r
i
e
s
g
o
s
M
e
d
i
c
i
n

d
e
l
d
e
s
e
m
p
e
o
E
n
t
r
e
g
a
d
e

v
a
l
o
r
A
l
i
n
e
a
c
i
n
e
s
t
r
a
t
g
i
c
a
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
En el mbito de la certificacin de los profesionales, en 2008 ISACA ha puesto en
marcha la certificacin en el gobierno de las TI (CGEIT, Certified in the Governance
of Enterprise IT). Adems, existe la acreditacin a ttulo profesional para auditor de
las TI (CISA, Certified Information Systems Auditor) y la relativa a la seguridad
de las TI (CISM, Certified Information Security Manager).
Vinculado a COBIT, y con el fin de desarrollar las prcticas para la medicin de del
valor de la contribucin de TI al negocio, ISACA ha creado el marco Val IT.
ISO/IEC 27001 e ISO/IEC 17799 para la seguridad
de las TI
El objetivo de la gestin de la seguridad de la informacin es asegurar la continui-
dad de las operaciones de la organizacin y reducir al mnimo los daos causados
por una contingencia, as como, optimizar la inversin en tecnologas de seguridad.
ISO/IEC 27001 establece los principios de: integridad, disponibilidad y continui-
dad de la informacin. Proporciona un modelo para la creacin, implementacin,
operacin, supervisin, revisin, mantenimiento y mejora de un sistema de gestin
de la seguridad de la informacin (SGSI). Esta norma establece un conjunto de 30
actividades para la gestin de la seguridad, define 11 reas principales de control,
para cada una establece 39 objetivos de control y 133 controles (o medidas de sal-
vaguarda) de seguridad. Las reas de control son:
rea: 5. Poltica de seguridad.
rea: 6. Aspectos organizativos de la seguridad de la informacin.
rea: 7. Gestin de activos.
rea: 8. Seguridad ligada a los recursos humanos.
rea: 9. Seguridad fsica y ambiental.
rea: 10. Gestin de comunicaciones y operaciones.
rea: 11. Control de acceso.
rea: 12. Adquisicin, desarrollo y mantenimiento de los sistemas de infor-
macin.
rea: 13. Gestin de incidentes de seguridad de la informacin.
rea: 14. Gestin de la continuidad del negocio.
rea: 15. Cumplimiento.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002) recoge un cdigo
de buenas prcticas para la gestin de la seguridad de la informacin. Se centra en
desarrollar los objetivos de control de la seguridad, y para cada uno de ellos, se
indica una gua para su implantacin. Cada organizacin debe considerar cuntos
sern realmente los aplicables segn sus propias necesidades.
CMMI (Capability Maturity Model Integration)
CMMI es una evolucin de estndar inicial CMM, que fue desarrollado por el SEI
(Software Engineering Institute) de la universidad Carnegie Mellon, en 1986. Fue
iniciado en respuesta a la peticin del Gobierno de los EEUU (Departamento de
Defensa, DoD) de proporcionar un mtodo para controlar la capacidad de desarro-
llo de software de sus contratistas.
Originalmente, fue diseado para su uso por los desarrolladores de software, pero
hoy se ha ampliado, proporcionando un modelo completo de evaluacin de la
madurez de las actividades de desarrollo de aplicaciones de una organizacin. Este
modelo est estructurado y repleto de prcticas de gran utilidad para la mejora de
las actividades de una organizacin de TI.
En la figura 1.12 se muestra la estructura de las prcticas de CMMI en cuatro reas
denominadas constelaciones. Cada una de estas constelaciones se pueden conside-
rar equivalentes a un libro de ITIL. En el modelo CMMI a los procesos se les deno-
mina rea de proceso (PA, Process Area). Se establece una constelacin comn
(CMMI Fountation) que contiene los procesos que son comunes, una especfica
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
En la figura 1.11 se muestra la estructura de actividades propuesta en la norma.
Ciclo PDCA
Planificar
Hacer
Verificar
Actuar
4.2.1 Creacin del SGSI
4.2.2 Implementacin y operacin del SGSI
4.2.3 Supervisin y revisin del SGSI
4.2.4 Mantenimiento y mejora del SGSI
Modelo en ISO/IEC 27001
Plan
Planificar
Do
Hacer
Act
Actuar
Check
Verificar
Figura 1.11. Estructura de actividades de ISO/IEC 27001
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisi-
ciones (CMMI for Adquisition) y una nueva para la prestacin de servicios (CMMI
for Services).
CMMI describe cinco etapas evolutivas (niveles) en las cuales una organizacin se
sita segn la madurez de sus procesos:
1. Inicial (Initial). Los procesos son caticos; pocos procesos estn realmente
definidos.
2. Repetible (Repeatable). Se establecen los procesos bsicos y se observa cierto
nivel de disciplina respecto a ellos.
3. Definido (Defined). Todos los procesos estn definidos, documentados, nor-
malizados e integrados.
4. Gestionado (Managed). Los procesos se miden recogiendo datos detallados
de los mismos.
5. En optimizacin (Optimizing). La mejora de los procesos es continua y pro-
porciona nuevas ideas y oportunidades.
Con la publicacin en Marzo del 2009 de CMMI for Services, el SEI tambin entra
en el mbito de la gestin del servicio, con bastante solape con ITIL e ISO/IEC
20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.
CMMI for
Development
CMMI
for Services
CMMI for
Acquisition
CMMI
Foundation
16 reas
de proceso
comunes
Figura 1.12. Constelaciones (reas o libros) de CMMI
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
ISO/IEC 15504 (SPICE, Software Process Improvement
and Capability dEtermination)
En el mbito del desarrollo del software en enero de 1993 en el seno del comit con-
junto de ISO e IEC, surge el proyecto SPICE para el desarrollo de un estndar
internacional para la evaluacin de los procesos de construccin del software. El
resultado de este trabajo se plasm en la serie de normas ISO/IEC 15504, que pre-
sentan un modelo de referencia que describe los procesos de una organizacin para
ejecutar, adquirir, desarrollar, operar, evolucionar y proporcionar soporte al soft-
ware. Este marco es la respuesta de la normativa internacional al modelo de madu-
rez CMMI for Development y en muchos aspectos se solapa.
La arquitectura del modelo organiza las prcticas en nmeros de categoras utili-
zando diferentes tipos de aproximaciones. La arquitectura distingue entre:
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
Support
Causal Analysis and Resolution (CAR)
Configuration Management (CM)
Decision Analysis and Resolution (DAR)
Measurement and Analysis (MA)
Process and Product Quality Assurance (PPQA)
Service Establishment and Delivery
Incident Resolution and Prevention (IRP)
Service Delivery (SD)
Service System Development (SSD)
Service System Transition (ST)
Strategic Service Management (STSM)
Process Management
Organizational Innovation and Deployment (OID)
Organizational Process Definition (OPD)
Organizational Process Focus (OPF)
Organizational Process Performance (OPP)
Organizational Training (OT)
Project Management
Capacity and Availability Management (CAM)
Integrated Project Management (IPM)
Project Monitoring and Control (PMC)
Project Planning (PP)
Requirements Management (REQM)
Risk Management (RSKM)
Quantitative Project Management (QPM)
Service Continuity (SCON)
Supplier Agreement Management (SAM)
Figura 1.13. Los procesos definidos en CMMI para servicios (CMMI-SVC)
en su versin 1.2
Fuente: SEI.
Las 24 reas de proceso (PA) en CMMI-SVC
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Prcticas base. Actividades esenciales de un proceso especfico, agrupado
por categoras de procedimientos y procesos de acuerdo al tipo de actividad.
Prcticas genricas. Aplicables a cualquier proceso, que representa las
actividades necesarias para administrar el proceso y mejorar su potencia-
lidad.
El modelo agrupa a los procesos en cinco categoras:
Procesos cliente-proveedor (customer-supplier). Esta categora consta de los
procesos que directamente impactan al cliente, al soporte de desarrollo y a la
transicin del software al cliente.
Procesos de ingeniera (engineering). Esta categora consta de los procesos
que directamente especifican, implementan, y mantienen un sistema, un pro-
ducto de software y la documentacin del usuario.
Procesos de proyecto (project). Esta categora consta de los procesos esta-
blecidos dentro del proyecto, coordinacin y administracin de los recursos
para producir un producto o proveer un servicio para satisfacer al cliente.
Procesos de soporte (support). Esta categora consta de los procedimientos
que establecen y soportan el desempeo de los otros procesos del proyecto.
Procesos de la organizacin (organization). Esta categora consta de los
procesos que establecen las metas de negocio de la organizacin, los proce-
sos de desarrollo y los recursos que ayudan a la organizacin alcanzar dichas
metas.
En la figura 1.14 siguiente se muestra un esquema con estos procesos:
Procesos cliente-proveedor
Procesos de ingeniera
Procesos
de soporte
Procesos de proyecto
Procesos de organizacin
Figura 1.14. Las cinco categoras de procesos definidas en SPICE
Fuente: SPICE.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Existen seis niveles de capacidad en el modelo:
Nivel 0: Incompleto. Sera un fracaso general tratar de aplicar las prcticas
base a los procesos, ya que no es fcil identificar las salidas de los procesos o
el funcionamiento de los productos.
Nivel 1: Realizado. Generalmente se ejecutan las prcticas base de los pro-
cesos. La ejecucin de dichas prcticas puede no ser planificada rigurosa-
mente y ni seguida, y depender del conocimiento y esfuerzo personal. Se
identifican algunos procesos.
Nivel 2: Gestionado. Se planifica y se sigue la ejecucin de las prcticas
base en los procesos. El desempeo estar acorde con los procedimientos
especificados. La primera distincin entre el nivel 1 y el 2 es que la ejecucin
de los procesos est planificada y administrada y progresan hacia un modelo
bien definido.
Nivel 3: Establecido. Las prcticas bases se ejecutan de acuerdo a una ver-
sin adaptada del estndar. Los procesos estn aprobados, bien definidos y
documentados.
Nivel 4: Predecible. Se recaban y evalan las mediciones detalladas del ren-
dimiento o ejecucin. Se conoce de forma cuantitativa el rendimiento de los
procesos y es posible su prediccin. Las prcticas se administran objetiva-
mente. La calidad de las mismas se conoce cuantitativamente.
Nivel 5: Optimizado. Se establecen en forma cuantitativa procesos y metas
eficientes, basados en los objetivos de la organizacin. Los procesos se van
mejorando de forma continua, mediante la retroalimentacin (feedback)
obtenida por los resultados de procesos definidos, por ideas, por pilotos y
por nuevas tecnologas.
38500
CM
M
I
ITIL
9
0
0
0
2
0
0
0
0
27001
COBIT
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
2.1. Introduccin a las Normas ISO/IEC 20000
2.2. Objeto y campo de aplicacin de ISO/IEC 20000
2.3. La estructura de las Normas ISO/IEC 20000
2.4. Relacin entre ISO/IEC 20000 e ITIL
Captulo 2
Entender las
Normas ISO/IEC 20000
2
4. Planificacin e implementacin de la gestin del servicio (PDCA)
5. Planificacin e implementacin de nuevos servicios o de servicios modificados
6.5 Gestin de la capacidad
6.3 Gestin de la
continuidad y
disponibilidad
del servicio
6. Procesos de la provisin del servicio
6.1 Gestin de
nivel de servicio
6.2 Generacin de
6.6 Gestin de la seguridad
de la informacin
6.4 Elaboracin de
10. Proceso
de entrega
10.1 Proceso de gestin
de la entrega
8. Procesos
de resolucin
8.2 Gestin del incidente
8.3 Gestin del problema
7. Procesos
de relaciones
7.2 Gestin de las
relaciones con el negocio
7.3 Gestin de
suministradores
3. Sistema de Gestin del Servicio de TI (SGSTI)
9. Procesos de control
9.1 Gestin de la configuracin
9.2 Gestin del cambio
Fuente: UNE-ISO/IEC y e.p.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Planificacin e implementacin de la gestin del servicio (PDCA)
Planificacin e implementacin de nuevos servicios o de servicios modificados
Gestin de la
continuidad y
disponibilidad
del servicio
Procesos de la provisin del servicio
Generacin de
Gestin de la seguridad
de la informacin
Elaboracin de
Proceso
de entrega
Proceso de gestin
de la entrega
Procesos
de resolucin
Gestin del incidente
Gestin del problema
Procesos
de relaciones
con el negocio
Sistema de Gestin del Servicio de TI (SGSTI)
Procesos de control
Gestin de la configuracin
Gestin del cambio
2.1. Introduccin a las Normas ISO/IEC 20000
La serie de Normas ISO/IEC 20000 (UNE-ISO/IEC 20000 en la versin espa-
ola) es el primer conjunto de normativa internacional especfica para la gestin de
los servicios basados en las Tecnologas de la Informacin (TI). Presentan una
organizacin cabal de las principales actividades necesarias para gestionar estos servi-
cios, agrupadas en un conjunto de procesos considerados esenciales para la creacin,
prestacin y evolucin de los servicios de las TI. Al aplicar sus requisitos y reco-
mendaciones, las organizaciones de TI emprendern un camino indudable de
mejora en el control y la calidad de su actividad. Es el primer gran salto hacia la
excelencia demandada por la sociedad a las TI.
Se pueden considerar como normas troncales en la gestin de las TI, pues estruc-
turan en torno a procesos las actividades ms esenciales. Alrededor del eje vertebra-
dor que crean las Normas ISO/IEC 20000 se irn construyendo y transformando
el resto de las funciones de la organizacin de las TI. Sobre este ncleo central,
creado para la gestin de las TI, se irn incorporando otras mejores formas de hacer
proporcionadas por otras normas, otros marcos de mejores prcticas, por la expe-
riencia propia de la empresa o por las aportaciones de consultores externos.
Las Normas ISO/IEC 20000 introducen en la organizacin de las TI una forma de
trabajo metdica, integrada y orientada a los procesos, haciendo especial nfasis en
garantizar la calidad del servicio a los distintos clientes de las TI. Adems, articulan
su implantacin con un sistema de gestin especfico, que incorpora la disciplina y
el rigor de ISO 90000 en la implantacin del modelo de trabajo en las TI.
Las Normas ISO/IEC 20000 forman parte del conjunto de normas producidas por
la Organizacin Internacional de Normalizacin (ISO) y la Comisin Electrotc-
nica Internacional (IEC). Su adopcin como normas internacionales surge a raz
de la iniciativa de elevar a ISO e IEC las normas britnicas BS 15000 relativas a la
gestin del servicio de las TI. Las Normas ISO/IEC 20000 hoy vigentes se trami-
taron en ISO a travs del procedimiento rpido denominado procedimiento fast-
track. Esto quiere decir, que estas normas tienen muchas similitudes con la origi-
nal, que la duracin del proceso es de aproximadamente un ao, y que ha contado
con la participacin y voto de los representantes nacionales en ISO/IEC.
Las Normas ISO/IEC 20000 se componen de dos partes: la primera es la especifi-
cacin para la gestin del servicio y tiene un carcter preceptivo, y la segunda se
establece como un cdigo de buenas prcticas o recomendaciones. Ambas partes
forman un marco para definir las caractersticas de los procesos implicados en la
gestin del servicio, que son esenciales para la prestacin de los mismos con la cali-
dad requerida.
53 2. Entender las Normas ISO/IEC 20000
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Principios bsicos de ISO/IEC 20000
Cuando ISO, IEC y las empresas del sector se plantearon la forma de organizar las
actividades en las reas de TI se dieron cuenta que, adems de la omnipresente tec-
nologa, tenan que poner foco en cuatro principios tradicionalmente relegados
(vase la figura 2.4):
El servicio. Es fundamental orientar las TI hacia el objetivo de prestar servicio
a sus reas de negocio. La actividad de TI se debe estructurar completamente
bajo el concepto de servicio y no centrarse exclusivamente en el dominio de
tecnologas aisladas.
Figura 2.3. En el mapa de disciplinas de TI, las Normas ISO/IEC 20000
contribuyen a la parte troncal de la gestin del servicio
Fuente: Telefnica.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
85 3. El Sistema de Gestin del Servicio de TI (SGSTI)
SGSTI
de TI siguiendo los procesos y formas de hacer formalizadas en la organizacin
del proveedor de servicios de TI. Es un sistema vivo en constante evolucin, pues
establece lo que hay que implantar y recoge evidencias de la actividad realizada.
La figura 3.2 muestra la estrecha correlacin que existe entre el SGSTI y la ejecu-
cin del trabajo diario del proveedor de TI. Nos encontramos ante un sistema de
gestin que establece los procesos de funcionamiento de TI. Estos procesos deben
estar lo suficientemente soportados por herramientas que permitan su gestin efi-
caz y su incorporacin al da a da.
Tambin hay que entender que estas normas y marcos de referencia del mercado
(ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no son
utilizables, como tal, directamente en la empresa. Requieren concretarse en proce-
sos y procedimientos, que son los instrumentos sobre los que se articula la gestin
de la actividad. Adems, para que sean de verdad tiles, la aplicacin de todos estos
estndares debe adaptarse a las particularidades de cada empresa (tamao, negocio,
cultura, estrategia, etc.).
Por ello, todo proveedor u organizacin de TI debe crear su propio sistema de ges-
tin que tenga en cuenta cmo adaptar las normas a todas las particularidades pro-
pias de cada empresa.
Figura 3.2. El sistema de gestin define el modelo de trabajo a seguir
por el proveedor de TI
Fuente: Telefnica.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
99 3. El Sistema de Gestin del Servicio de TI (SGSTI)
SGSTI
Como no poda ser de otra forma, ISO/IEC 20000-2 hace especial hincapi en
el desarrollo profesional y de las competencias de las personas que forman parte
de TI:
UNE-ISO/IEC 20000-2
El personal que realiza el trabajo relativo
a la gestin del servicio debera ser com-
petente para esta funcin gracias a la
educacin recibida, a la formacin, las
habilidades y la experiencia adecuadas.
El proveedor del servicio debera:
a) determinar las aptitudes necesa-
rias para cada rol en la gestin
del servicio;
b) asegurar que el personal es cons-
ciente de la relevancia e impor-
tancia de sus actividades dentro
del ms amplio contexto de nego-
cio y de cmo contribuyen a la
consecucin de los objetivos de
calidad;
c) mantener registros apropiados de
la educacin, formacin, habili-
dades y experiencia;
d) proveer formacin o llevar a cabo
otras acciones para satisfacer
estas necesidades;
e) evaluar la efectividad de las ac-
ciones realizadas.
UNE-ISO/IEC 20000-2
Desarrollo profesional. El proveedor
del servicio debera desarrollar y mejo-
rar las competencias profesionales de
su fuerza de trabajo. Entre las medidas
tomadas para conseguir esto, el prove-
edor del servicio debera incluir lo
siguiente:
a) contratacin: con el objetivo de
comprobar la validez de los deta-
lles de los candidatos al puesto
de trabajo (incluyendo su cualifi-
cacin profesional) y de identificar
la fortalezas, debilidades y habili-
dades potenciales de los candida-
tos frente a una descripcin/perfil
del puesto de trabajo, frente a los
objetivos de la gestin del servicio
y frente al conjunto de objetivos
de la calidad del servicio;
b) planificacin: con el objetivo de
dotar de personal a los servicios
nuevos o a aquellos que se hayan
ampliado (tambin contratando
servicios), usando tecnologa
nueva, asignando personal de
gestin del servicio a los equipos
de desarrollo de proyecto, planifi-
cando la sucesin y rellenando
los vacos que se generen debido
a rotacin anticipada del personal;
c) formacin y desarrollo: con el
objetivo de identificar los requisi-
tos de formacin y desarrollo
dentro de un plan de formacin y
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
5.1. El proceso de planificacin e implementacin
de nuevos servicios o de servicios modificados
5. Planificacin e implementacin de nuevos servicios o de servicios modificados 153
Actualmente no basta con ser rpidos. Es necesario que el proceso de creacin y
entrega de servicios TI se realice de forma eficiente y que el producto resultante
rena los requisitos demandados por el cliente (vase la figura 5.1). Plazos, eficien-
cia y calidad son tres exigencias para el xito empresarial.
Para conseguir el objetivo de gestionar y entregar tanto los nuevos servicios como
las modificaciones a los existentes con la calidad y costes adecuados, ISO/IEC
20000 esboza un proceso que se encarga de gestionar el ciclo completo de creacin
de los servicios. Su mbito de actuacin abarca tanto los nuevos servicios como las
evoluciones de los que ya estn en su fase de operacin habitual.
En este captulo se presenta el marco de un proceso completamente nuevo inspirado
a partir de los requisitos de ISO/IEC 20000. El proceso de creacin de servicios, o
similar, no est contemplado explcitamente en ITIL. Aunque la v3 estructure sus
libros alrededor del ciclo de vida del servicio y proporcione gran cantidad de detalles
y buenas prcticas articuladas en diferentes procesos, no tiene un nico proceso que
aglutine todas las actividades de las diferentes reas de TI para una creacin eficiente
Figura 5.1. Esquema general del proceso de planificacin e implementacin
de nuevos servicios o de servicios modificados
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Figura 5.6. El presente proceso orquesta la actividad de fabricacin del servicio
Cada uno de los otros procesos que participan en la cadena tiene unos objetivos
especficos y su propio aporte a la construccin del servicio final. Aunque estos
procesos no se han tratado todava en este libro, es conveniente tener una visin
general de su participacin en este proceso. A continuacin, se detallan los prin-
cipales:
Relaciones con el negocio. Su objetivo es establecer y mantener una buena rela-
cin entre el proveedor del servicio y el cliente, basndose en el entendimiento del
cliente y de los fundamentos de su negocio (vase el captulo 7 para obtener ms
detalles de este proceso).
El proceso de creacin de servicios engrana con este proceso de relaciones para que
gestione todo el contacto necesario con las reas de negocio. Su contribucin se
centra en la toma de requisitos de las necesidades del cliente, la posterior negocia-
cin de la propuesta de servicio, la gestin del nuevo acuerdo de nivel de servicio y
el consenso con el cliente de la planificacin para la creacin del servicio realizada
por el proceso de creacin. En su funcin comercial, durante el proceso de crea-
cin, se encarga de mantener informado al cliente y estar presente en las reuniones
de seguimiento, acompaando al jefe de proyecto. En la entrega, gestiona la parti-
cipacin del cliente en las validaciones funcionales y en las reuniones para el cierre
del proyecto de creacin.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
fijar los acuerdos operativos. Tambin establece los requisitos para que los contra-
tos de soporte con los suministradores estn alineados con los compromisos del
servicio, contratos que negociar y seguir el proceso de gestin de suministrado-
res (vase el apartado 7.3).
En la figura 6.1.4 se muestran los principios bsicos en los que se sustenta la activi-
dad de este proceso.
La implementacin de las Normas ISO/IEC 20000 requiere un cambio en la cul-
tura de la organizacin, con una orientacin al servicio y al cliente. La gestin de
nivel de servicio es el instrumento principal para inculcar la cultura de servicios en
la organizacin de TI. As, la misin de la organizacin de TI va ms all de la pura
tecnologa, para ofrecer soluciones al negocio empaquetadas bajo el concepto de
servicio. Para ello, el catlogo de servicios y los acuerdos de nivel de servicio (SLA)
son las principales palancas para esta transformacin cultural. Los servicios que se
ofrecen a los clientes se recogen en un catlogo de servicios de TI, alineado con el
negocio, que gestiona y mantiene este proceso. Adems, los servicios llevan asocia-
dos un compromiso de prestacin negociado con los clientes, incluidos en los
Figura 6.1.4. Principios bsicos del proceso
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
En la figura 6.2.4 se muestran los componentes principales del proceso.
Arquitectura de mtricas. Es un documento que analiza y estructura por niveles todos
los indicadores necesarios para la gestin de TI. Para cada indicador se define una ficha
de detalle. En organizaciones maduras suele contener ms de 200 indicadores.
Base de datos de indicadores y mediciones. Es una base de datos que contiene la
definicin de cada uno de los indicadores (fichas) y el histrico de las mediciones de
cada uno de los indicadores. Es la base fundamental para la generacin de informes.
Cuadro de mando integral (BSC, Balanced Score Card). Trmino difundido por
Kaplan y Norton para mostrar el estado de una empresa en base a objetivos e indi-
cadores agrupados en cuatro perspectivas: econmica, cliente, interna y crecimiento.
COMPONENTES DE GENERACIN DE INFORMES
Cuadros
de mando
Informes
Panel de
control
Monitorizacin
Niveles
de servicio
Hechos
ocurridos
Diseo de
informes
Poltica
de informes
Realizacin
de informes
Base de datos de
indicadores y mediciones
Arquitectura
de mtricas
KGI
KPI
Indicadores
Figura 6.2.4. Componentes principales del proceso de generacin de informes
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Entradas, actividades y salidas de la gestin de la
disponibilidad
La gestin de la disponibilidad se encarga de garantizar que los servicios son capa-
ces de cumplir los requisitos de disponibilidad y tiempo de respuesta que se han
pactado con el negocio. Sus actividades se pueden considerar divididas en dos gran-
des grupos: uno primero destinado a planificar e implementar las soluciones de dis-
ponibilidad y, un segundo, que realiza la gestin operativa de la misma.
En el esquema de la figura 6.3.7 se muestran las entradas, actividades y salidas de
la gestin de la disponibilidad. Las actividades de disponibilidad y continuidad se
Desencadenantes
del proceso:
Peticin de la direccin.
Negociacin de un SLA.
Incumplimiento
disponibilidad.
Fecha revisin del plan
disponibilidad.
Entradas de soporte:
Riesgos.
SLA firmados.
Informacin de
incidentes y problemas.
Datos de monitorizacin .
RFC.
CMDB.
3 Inicio:
Poltica disponibilidad.
Definicin e inicio proyecto.
3 Requerimientos y estrategia:
Evaluacin de riesgos.
Determinar requisitos.
3 Implementacin:
Disear para la disponibilidad.
Disear para la recuperacin.
Verificar la seguridad.
Planificar las paradas.
Generar el plan de
disponibilidad.
3 Gestin operativa:
Supervisar la disponibilidad.
Investigar y mejorar
disponibilidad.
Actualizar plan de
disponibilidad.
3 Mejora del proceso
Salidas principales:
Plan de disponibilidad.
Funciones vitales del
negocio-VBF.
Directrices de diseo
de la disponibilidad y
arquitectura.
Informes de
seguimiento de
disponibilidad.
Salidas secundarias:
Requisitos de
monitorizacin.
Plan paradas
planificadas-PSO.
Resultados anlisis de
riesgos.
Resultados tcnicos
investigacin incidentes.
Entradas
DISPONIBILIDAD
Actividades Salidas
Figura 6.3.7. Entradas, actividades y salidas de la gestin de la disponibilidad
Fuente: e.p. y Telefnica.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
de recuperacin (RTO), ms cara es la implantacin de la solucin para TI, pero
menos prdidas habr en el negocio.
Siguiendo la clasificacin realizada en ITIL, las principales soluciones de continui-
dad que se pueden considerar son:
Recuperacin inmediata. Proporciona una recuperacin instantnea (mirro-
ring) sin prdida de servicios y sin prdida de informacin apreciable (RPO y
RTO son iguales a cero). Esta solucin se basa en centros de proceso de datos
conectados en activo-activo, es decir, un mismo servicio est ejecutndose de
forma simultnea en ambos centros, con datos sincronizados y balanceando
la carga entre ambos. Las soluciones de procesamiento distribuido entre ml-
tiples servidores y centros de datos (grid computing) son soluciones de alta
resistencia, pero que requieren aplicaciones especialmente adaptadas.
Recuperacin rpida. Conocida como hot standby, est proporcionada por
dos centros de datos conectados y con las aplicaciones cargadas en ambos y
315
6. Procesos de provisin de servicio
6.3. Gestin de la continuidad y disponibilidad del servicio
99,99%
Figura 6.3.18. Alternativas de recuperacin de los servicios de TI
Fuente: The Definitive Handbook of BCM y e.p.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
El presupuesto dota econmicamente a TI y, por tanto, condiciona toda la acti-
vidad en el ejercicio. Debe ir estrechamente vinculado al desarrollo de la estrategia
de TI.
Las Normas ISO/IEC 20000 requieren que los presupuestos tengan el suficiente
detalle para posibilitar el control econmico y la toma de decisiones.
ISO/IEC 20000-1 requiere que los cambios se valoren en cuanto a sus costes y que
se aprueben a travs del proceso de gestin del cambio. De esta forma, se tiene
un mejor conocimiento y control de los costes. Las peticiones de cambio (RFC),
presentadas con el fin de aprobar su ejecucin, deben incorporar el coste asociado
(as se establece en el formato de RFC del apartado 9.2). El proceso de gestin
financiera controlar a travs de su presencia en el comit de cambios (CAB,
Change Advisory Board), que se actu dentro de los presupuestos asignados.
Una vez aprobado el cambio, cuando se necesite la ejecucin de alguna compra
(equipamiento, licencias, servicios, etc.), volver a intervenir la gestin financiera
para autorizarla econmicamente.
UNE-ISO/IEC 20000-2
Elaboracin del presupuesto
La elaboracin del presupuesto debe-
ra tener en cuenta los cambios planifi-
cados de los servicios durante el
periodo presupuestario y, en el caso de
que las necesidades presupuestarias
excedan los fondos disponibles, plani-
ficar la gestin que se va a hacer del
dficit.
La elaboracin de los presupuestos
puede tener en cuenta factores tales
como variaciones estacionales y cam-
bios planificados a corto plazo en los
costes y facturacin de los servicios.
UNE-ISO/IEC 20000-1
Los costes se deben presupuestar con suficiente detalle para permitir el control eco-
nmico efectivo y la toma de decisiones.
El proveedor del servicio debe monitorizar e informar de los costes contra el presu-
puesto, revisar las previsiones econmicas y gestionar los costes en consonancia.
Los costes de los cambios en el servicio se deben valorar y aprobar a travs del pro-
ceso de gestin del cambio.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
381
6.5. Gestin de la capacidad
fase de pruebas (en el caso de aplicaciones sujetas a mantenimiento). Tam-
bin se puede realizar en cambios importantes. Si se ha realizado el mode-
lado, se utilizarn sus resultados.
Realizacin de informes de capacidad y rendimiento. Preparacin y difu-
sin de informes diversos sobre la utilizacin de recursos (tcnicos y huma-
nos), la capacidad remanente y el rendimiento de los sistemas. Los informes
se realizarn de forma peridica o bajo peticin, en ambos casos coordina-
dos con el proceso de gestin de informes.
Administrar la base de datos de capacidad (CDB). Diseo y creacin de
la base de datos y administracin posterior de la misma. La base de datos
contiene informacin histrica sobre la demanda y crecimiento del negocio,
sobre los servicios y sobre la capacidad de los elementos de configuracin.
Supervisin y mejora del proceso. Revisin continua del funcionamiento
del proceso y de sus actividades con el fin de detectar mejoras al mismo.
Las actividades de este proceso, con su participacin en los mbitos de negocio,
servicios y recursos, se muestran en la figura 6.5.6.
Actividades
Subprocesos
Elaborar
el plan de
capacidad
Ciclo de mejora
de la capacidad
y rendimiento
Monitorizacin
Anlisis
Ajuste
Implementacin
Relacionarse
con otros
procesos
Influir en la
utilizacin
Modelado
Dimensionado
aplicaciones
Realizacin
de informes
Administrar la base de datos de capacidad
Supervisin y mejora del proceso
Gestin capacidad
del negocio
Gestin capacidad
de los servicios
Gestin capacidad
de los recursos
CDB
Figura 6.5.6. Actividades de la gestin de la capacidad
Fuente: Libro ITIL Provisin de Servicio publicado por OGC y e.p.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
detalles horarios. Tpicamente se recoge la informacin sobre el rendimiento
(picos de carga, volumen de transacciones, tiempos de respuesta, perfil de
variacin horaria de la carga del servicio, concurrencia en nmero de usua-
rios, etc.); el rendimiento de los componentes de la infraestructura que
soporta el servicio; la coincidencia de la carga entre los servicios sobre las
plataformas comunes (comunicaciones exteriores, red interna, frontales web,
backend de procesamiento, red almacenamiento, backup, etc.); los niveles de
servicio acordados en los SLA; etc.
Los datos de los servicios se obtienen de las herramientas de monitoriza-
cin extremo a extremo de los servicios y de las herramientas de monitori-
zacin especficas de los recursos. Junto a la informacin tcnica se registra
la informacin necesaria para el clculo de los costes y su posterior imputa-
cin por el proceso de gestin financiera.
Procesos de negocio.
Edificios y
emplazamientos.
Distribucin
geogrfica usuarios.
Distribucin funcional
usuarios.
Volmenes de
actividad del negocio.
Transacciones de
negocio.
Perfil de la actividad
del negocio (horario,
semanal y estacional).
Perodos crticos para
cada proceso de
negocio.
Datos del negocio
Estructura de la CDB
Por cada servicio:
Rendimiento: perfil de
variacin de la carga:
Picos de carga.
Nmero de
transacciones.
Tiempos de
respuesta.
Capacidad: consumo
por usuario o
transaccin.
Costes del servicio.
Datos de rendimiento
de la infraestructura
que soporta el servicio.
Concurrencia con otros
servicios sobre las
plataformas comunes.
Datos de
los servicios
Comunicaciones
externas.
Red interna.
Cortafuegos.
Servidores frontales.
Servidores
middleware.
Servidores backend.
Almacenamiento
compartido.
Copias de seguridad
reas de soporte:
Service desk.
Operacin.
Soporte tcnico.
Datos utilizacin
recursos
Lmite uso CPU.
Lmite uso
almacenamiento.
Lmite uso red.
Lmites tcnicos
TCO por puesto.
Coste licencias por
usuario.
Coste transaccin.
Coste por MIP.
Coste por GB.
TCO: Coste total de propiedad.
MIP: Millones de instrucciones por segundo.
Informacin
financiera
Figura 6.5.8. Estructuracin ejemplo de la base de datos de capacidad
Fuente: Libro ITIL Provisin de Servicio publicado por OGC y Telefnica.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
415
6.6. Gestin de la seguridad de la informacin
En la figura 6.6.8 se muestra un esquema con las actividades del proceso, realizado
imitando el ya legendario esquema de gestin de la continuidad de ITIL v2.
Siguiendo esta estructuracin en dos niveles, a continuacin se relacionan las acti-
vidades del proceso alineadas con lo indicado en la Norma ISO/IEC 27001.
Creacin del proceso o del sistema de gestin SGSI. La primera etapa para
empezar a implantar la seguridad es la fase de creacin del propio proceso de ges-
tin de la seguridad (si se est en ISO/IEC 20000) o del sistema de gestin de la
Seleccin de objetivos de
control y sus controles
Anlisis de riesgos
de seguridad
Figura 6.6.8. Enfoque de la gestin de la seguridad de la informacin en este libro
GESTIN DE LA SEGURIDAD DE LA INFORMACIN
Alcance, poltica y enfoque
Proyecto implantacin
Fuente: e.p. a partir del libro ITIL Provisin de Servicio publicado por OGC y de UNE-EN ISO 27001.
Evaluacin de riesgos
Declaracin de riesgos
Plan tratamiento de riesgos
Implementar el plan de tratamiento de riesgos
Revisin y
auditora
Prueba de
controles
Supervisar,
monitorizar
y registrar
Investigar
incidentes
Procedimiento incidentes seguridad Pruebas iniciales
Pruebas iniciales
Gestionar incidentes severos de seguridad
Actualizar
Creacin del proceso
Alcance, poltica y enfoque
Requerimientos y estrategia
Implementacin
y operacin
Supervisin
y revisin
Mantenimiento y mejora
Declaracin de
riesgos de seguridad
Poltica seguridad
Plan tratamiento
riesgos seguridad
P
L
A
N
D
O
A
C
T
C
H
E
C
K
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
491
7. Procesos de relaciones
7.3. Gestin de suministradores
Anlisis
Anlisis oportunidades
externalizacin
Estrategia de
externalizacin
reas permanentes de capacidad
Gestin estratgica del sourcing
Gestin de la gobernabilidad
Gestin del valor
Gestin del cambio
organizacional
Gestin de los
recursos humanos
Gestin del conocimiento
Inicio
Planificacin de
la externalizacin
Evaluacin de
suministradores
Acuerdos (contratos)
Transferencia
del servicio
Prestacin
Gestin del servicio
externalizado
Terminacin
Finalizacin del
servicio
Figura 7.3.4. El proceso de gestin de suministradores en ITIL v3
Fuente: Libro ITIL Provisin de Servicio publicado por OGC.
Fuente: CMMI y ASENTTI.
Fases del ciclo de vida del outsourcing desde la perspectiva de organizaciones contratantes
Figura 7.3.5. Esquema del modelo de gestin de outsourcing del modelo eSCM-CL
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
581
8. Procesos de resolucin
8.2. Gestin del incidente
Tiempo medio de reparacin o MTTR (Mean Time To Repair), es el tiempo
medio transcurrido desde que ocurre un incidente hasta que se restaura el ser-
vicio. Representa el tiempo que el servicio est cado (downtime). Esta mtrica
suele estar asociada a otras mtricas de disponibilidad como, por ejemplo, el
tiempo medio entre fallos o MTBF (Mean Time Between Failures), que es
el tiempo medio que tarda en fallar un servicio (uptime) y el tiempo medio entre
incidentes en servicios MTBSI (Mean Time Between System Interruptions), que
es el tiempo medio transcurrido entre dos fallos consecutivos en un servicio.
En la figura 8.2.11 se aprecia la diferencia entre ellas.
Porcentaje de incidentes resueltos en plazo.
Calidad en la asignacin de los incidentes.
Calidad de la documentacin.
Adems, es habitual medir los ratios de incidentes autorresueltos por el usuario, el
porcentaje de incidentes reclamados, el coste medio de resolucin de un incidente,
el porcentaje de incidentes resueltos, etc.
En la figura 8.2.12 se muestra el resumen de los indicadores ms relevantes para
este proceso seleccionados por un grupo de trabajo de itSMF Espaa.
Figura 8.2.11. Mtricas de resolucin de incidentes junto a las de disponibilidad
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Figura 8.2.12. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
La medicin del ciclo de vida de una peticin se centra en ratios de agilidad, de efi-
ciencia y de satisfaccin del usuario. Los ms comunes son el volumen de peticiones
gestionadas, el volumen de peticiones segn su estado, desglose de las peticiones por
tipo (de servicio, consulta, etc.), el tamao de lista de peticiones de servicio pendien-
tes, el plazo medio de provisin por tipo de peticin, las peticiones de servicio ter-
minadas en plazo, el nmero de quejas y reclamaciones, el coste medio de provisin,
la satisfaccin del usuario con la gestin de peticiones de servicio, etc.
En la figura 8.2.13 se muestra el resumen de los indicadores ms relevantes para
este proceso seleccionados en ITIL v3 (en el libro Operacin del Servicio).
Roles participantes en el proceso
Como en el resto de los procesos, los roles intervinientes en este proceso se estruc-
turan en los roles propios del proceso y los roles ajenos al proceso (el gestor del
nivel de servicio).
Los roles propios del proceso (del ciclo de vida del incidente) son los siguientes:
Gestor de incidentes. Es el responsable de que los incidentes y peticiones de
los usuarios se resuelvan con la mxima eficiencia y se cumplan los acuerdos
Fuente: itSMF Espaa.
Mtricas principales del proceso (incidente)
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
se suele implementar, aunque por su laboriosidad no se le puede calificar de xito
rpido.
La CMDB no se limita a una mera enumeracin del stock de piezas, sino que nos
brinda una imagen global de la infraestructura de TI de la organizacin, con todos
sus elementos.
En ISO/IEC 20000, al igual que en ITIL v3, la gestin de la DSL se encarga a la
gestin de la configuracin, a diferencia de ITIL v2, que estaba bajo la responsabi-
lidad de la gestin de la entrega.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin 657
Figura 9.1.13. Roles del proceso de gestin de la configuracin
Gestor del cambio
SGSTI
Responsable de la
gestin del servicio
Propietario del
modelo (SGSTI)
Administrador de
la CMDB y DSL
Gestor de la
configuracin
Administrador y
soporte del proceso
de configuracin
Titulares de elementos
de configuracin
Roles del proceso
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
11. La certificacin de la gestin del servicio de TI conforme a ISO/IEC 20000
11.1. La primera certificacin conforme a ISO/IEC 20000 739
Figura 11.1.2. Ciclo tpico de certificacin utilizado para ISO/IEC 20000-1
1. Determinar alcance
2. Solicitud de certificacin
3. Auditora fase I:
Anlisis de documentacin
4. Auditora fase I:
Visita previa
5. Auditora fase II
6. Evaluacin y decisin
7. Emisin del certificado
8. Auditoras de seguimiento
(aos 1 y 2)
9. Auditora de renovacin
(cada tercer ao)
Existen
no conformidades?
Cumple
requisitos?
Plan de acciones
correctivas
Auditora extraordinaria
(a los 6 meses)
S
No
S
La primera
certificacin
Mantenimiento de
la certificacin
Responsabilidad proveedor TI
Lidera el certificador
Fuente: AENOR.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
Evidencias para 6. Procesos de provisin de servicio
Evidencias para 6.1. Gestin de nivel de servicio:
Catlogo de servicios. Documento que elabora la organizacin TI para
informar a clientes y usuarios.
Catlogo de SLA.
Acuerdos de nivel operativo (OLA). Documentos que formaliza acuerdos
de colaboracin entre departamentos internos de la organizacin TI para la
provisin y entrega de un servicio.
Contratos de soporte (UC). Documentos contractuales entre la organiza-
cin TI y los proveedores externos de servicios.
Evidencias para 6.2. Generacin de informes del servicio:
Informes de servicio. Informes de cumplimiento de SLA, informes de inci-
dentes, informes de disponibilidad, informes de capacidad, etc.
Evidencias para 6.3. Gestin de la continuidad y disponibilidad del servicio:
Plan de disponibilidad. Recoge los elementos de la infraestructura de TI
que deben ser monitorizados para medir la disponibilidad, comparando los
valores obtenidos con los de referencia. Sirve como base para determinar el
cumplimiento de los niveles de servicio en los SLA.
Informes de disponibilidad. Informes peridicos que muestran el cumpli-
miento de los niveles de disponibilidad acordados.
Documentos de requisitos de nivel de servicio (SLR). Deben recoger los
requisitos de disponibilidad del servicio demandados por los clientes.
Plan de continuidad de TI. Identifica los activos del sistema de gestin de
servicios de TI, las situaciones de contingencia que pueden producirse, as como,
la probabilidad de que stas se produzcan. Muestra cmo cada una de estas
situaciones de contingencia pueden afectar a los activos; por tanto, proporciona
informacin de cmo afectan las contingencias a los servicios prestados.
Proporciona informacin sobre los siguientes aspectos:
Objetivo y alcance del plan de continuidad.
Descripcin de la situacin a controlar (informacin sobre el suceso y los
parmetros que se quieren mantener).
Suceso.
M
U
E
S
T
R
A

P
A
R
A

E
V
A
L
U
A
C
I
N
IsSN:978-84-8145-662-4
El sectcr ce las tecrclcias ce la ir|crracicr er su eclucicr lacia la racure/ la icc
ererarcc ccr|urtcs ce re|cres racticas ue a]ucar a las crari/acicres a esticrar
estcs ertcrrcs tecrclciccs caca e/ ras ccrlicaccs ] a la e/ ras recesarics.
Las Ncrras |S0j|EC 20000 eseci|icar las actiicaces basicas ara esticrar ccr calicac
lcs sericics ce tecrclcias ce la ir|crracicr ue scr restaccs irterrarerte er ura
erresa c cr arte ce ur rceeccr esterrc.
!crarcc ccrc base lcs testcs irtercs ce las rcrras, este librc ruestra ccrc re|crar
la esticr ce lcs sericics ce tecrclcias ce la ir|crracicr, acrtarcc las re|cres
racticas ce |!|L ] la rar eseriercia rc|esicral ce lcs cierscs autcres, c|reciercc a
las erresas c rc|esicrales cel sectcr ur ccrtericc esercial ara re|crar su riel ce
esticr ] la calicac ce sus sericics ce tecrclcias ce la ir|crracicr.
<>K<: => EHL :NMHK>L
Lcs autcres ce este librc reurer er su ccr|urtc ura rar
eseriercia er cierscs arbitcs ] crari/acicres ce tecrclcias
ce la ir|crracicr. Sus tra]ectcrias rc|esicrales scr arlias,
abarcarcc ciersas areas ccrc rccuccicr, eslctacicr ce
sisteras, calicac ] rccescs, etc. ] cesererarcc ci|erertes
|urcicres ertre las ue se cestacar la reisicr c certi|icacicr ce
sisteras ce calicac j|S0 9001, |S0j|EC 27000, |S0j|EC 2000, |!|L
] CHH|j.

Muestra Libro ISO20000 Extendida

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Muestra Libro ISO20000 Extendida

Cargado por

Copyright:

Formatos disponibles

M

También podría gustarte