Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso 20000
Iso 20000
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Ttulo: ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin Telefnica, S.A. Coordinador: Luis Morn Abad AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2009 Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte, sin la previa autorizacin escrita de AENOR. Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of Government Commerce under delegated authority from the Controller of HMSO.
Licensed Product
ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. The Swirl logo is a Trade Mark of the Office of Government Commerce. The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom. PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries.
ISBN: 978-84-8143-662-4 Depsito Legal: M-47292-2009 Impreso en Espaa - Printed in Spain Edita: AENOR Maqueta y diseo de cubierta: AENOR Imprime: Xxxxxx
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695 comercial@aenor.es www.aenor.es
Este libro est dedicado a todos los profesionales de tecnologas de la informacin y las comunicaciones que abnegadamente han aportado sus conocimientos y experiencia para la definicin y difusin de las normas y las mejores prcticas que marcan el camino de evolucin de este sector.
Agradecimientos
Este libro recopila las experiencias de profesionales que estn fuertemente involucrados en el impulso de las normas y las buenas prcticas internacionales relativas a la gestin de las tecnologas de la informacin y las comunicaciones. En la creacin de esta primera edicin del libro han participado: Direccin de la obra (Telefnica): Luis Morn Abad Direccin tcnica y contenido final. Alejandro Prez Snchez Contenido intermedio. Autores principales (Telefnica): Luis Morn Abad Alejandro Prez Snchez Juan Trujillo Gaona David Bathiely Fernndez Miguel Jos Gonzlez-Simancas Sanz Colaboradores: Paloma Garca Lpez (AENOR) Carlos Manuel Fernndez Snchez (AENOR) Eduardo Mndez Polo (Telefnica) Jaime Pastor Pastor (Telefnica)
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Toms Hernndez Lpez (Telefnica) Carmen Fernndez Prieto (Telefnica) Mara Luisa Lpez de Castro (Telefnica) Julio Morilla Padial (Telefnica) Andrs Leiva Araos (Telefnica) Ronaldo Gonalves Tiago (Telefnica) Julio Jos Ballesteros Garca (Quint Group) Luis Miguel Rosa Nieto (EXIN Espaa) Pablo Castro Montero
(Entre parntesis se indica la empresa en la que trabajaban a fecha 01.01.2009.)
El control independiente de idoneidad tcnica de los contenidos est avalado por profesionales de itSMF Espaa y de AENOR, junto con otros profesionales independientes: Carlos Lpez Alonso (Hewlett-Packard) por itSMF Espaa Antonio Jos Rodrguez (Quint Group) por itSMF Espaa Ana Ramos (British Telecom) por itSMF Espaa Leopoldo Martnez-Osorio del Ro (INDRA) por itSMF Espaa Carmen Caballero (INDRA) por itSMF Espaa Manuel Fernando Juan Martnez (Banco de Santander) Julio Gonzlez Sanz Boris Delgado Riss (AENOR) Agradecer tambin a la direccin de Sistemas de Informacin de Telefnica que de forma directa ha hecho posible esta publicacin: Mara Fernanda Torquati (Telefnica) Jos Mara Tavera Ms (Telefnica) Fabriciano Gangoso Alonso (Telefnica) Isidro Abad Gosalvez (Telefnica)
ndice
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Captulo 1. El camino a la excelencia ya existe . . . . . . . . . . . . . . . . . . . . . 1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . . 1.2. Normas, estndares, marcos de referencia y metodologas reconocidas en el mbito de las TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3. Entender los entornos de normalizacin y certificacin . . . . . . . . . . . . . . 1.4. Las principales normas y buenas prcticas en TI . . . . . . . . . . . . . . . . . . . Captulo 2. Entender las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . 2.1. Introduccin a las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . . 2.2. Objeto y campo de aplicacin de ISO/IEC 20000 . . . . . . . . . . . . . . . . . 2.3. La estructura de las Normas ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . 2.4. Relacin entre ISO/IEC 20000 e ITIL . . . . . . . . . . . . . . . . . . . . . . . . . . . Captulo 3. El Sistema de Gestin del Servicio de TI (SGSTI) . . . . . . . . . . . . 3.1. El sistema de gestin de tecnologas de la informacin . . . . . . . . . . . . . .
13 15 21 23 24 27 37 51 53 65 70 75 79 83
Captulo 4. Planificacin e implementacin de la gestin del servicio . . . . . 107 4.1. Cmo planificar e implementar la gestin del servicio . . . . . . . . . . . . . . 111
10
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Captulo 5. Planificacin e implementacin de nuevos servicios o de servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 5.1. El proceso de planificacin e implementacin de nuevos servicios o de servicios modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Captulo 6. Procesos de provisin de servicio . . . . . . . . . . . . . . . . . . . . . . . 191 6.1. Gestin de nivel de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 6.2. Generacin de informes del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 6.3. Gestin de la continuidad y disponibilidad del servicio . . . . . . . . . . . . . . 279 6.4. Elaboracin de presupuestos y contabilidad de los servicios de TI . . . . . . 331 6.5. Gestin de la capacidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 6.6. Gestin de la seguridad de la informacin . . . . . . . . . . . . . . . . . . . . . . 403 Captulo 7. Procesos de relaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 7.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 7.2. Gestin de las relaciones con el negocio . . . . . . . . . . . . . . . . . . . . . . . . 457 7.3. Gestin de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485 Captulo 8. Procesos de resolucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535 8.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 8.2. Gestin del incidente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545 8.3. Gestin del problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589 Captulo 9. Procesos de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619 9.1. Gestin de la configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623 9.2. Gestin del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661 Captulo 10. Procesos de entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693 10.1. Gestin de la entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697 Captulo 11. La certificacin conforme a ISO/IEC 20000 de la gestin del servicio de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733 11.1. La primera certificacin conforme a ISO/IEC 20000 . . . . . . . . . . . . . . 737 11.2. Evidencias y registros importantes en una certificacin . . . . . . . . . . . . . 751
ndice
11
Presentacin
Las tecnologas de la informacin son cada da ms necesarias en la gestin de las empresas. Este sector, en su evolucin hacia la madurez, ha ido generando diversos conjuntos de mejores prcticas que ayudan a las organizaciones a gestionar estos entornos tecnolgicos cada vez ms complicados y, por otra parte, ms esenciales. Este libro nace con la intencin de ayudar a todo tipo de empresas en la gestin de la actividad de sus departamentos informticos. Profesionales de Telefnica y de AENOR han puesto su mejor empeo en explicar y aportar sus aos de experiencia en este mbito. Para ello, se ha utilizado como eje vertebrador las Normas UNE-ISO/IEC 20000, que se enriquecen con las buenas prcticas de otros marcos como ITIL. Los autores han desarrollado una buena gua sobre la forma de incorporar estas mejores prcticas de la industria en la gestin diaria de las tecnologas. Esta publicacin ayudar a las empresas a adoptar los ltimos avances en la forma de organizar las actividades que contribuyen a que el mundo tecnolgico sea operativo y rentable para las organizaciones y para la sociedad. Esperamos que todo su contenido sea de gran utilidad en la mejora de los servicios de tecnologas de la informacin prestados en su organizacin.
Telefnica
Introduccin
Durante la dcada de los aos 50, algunas predicciones futuristas imaginaron que, para el ao 2000, los coches seran capaces de volar, se ira de vacaciones a Marte, y que Estados Unidos podra llegar a contar con nada menos que trescientos mil ordenadores. En 1947 el director de una famosa multinacional del sector predijo que en el mundo slo habra mercado para 5 ordenadores. Estas predicciones hoy en da nos parecen ridculas, unas por lo exageradas, y otras por que se han quedado muy cortas. Las tecnologas de la informacin y las comunicaciones han avanzado mucho ms de lo esperado, pero despus de poblar el mundo de dispositivos de silicio, con unas capacidades de proceso inimaginables, nos encontramos con un panorama desalentador: Equipos que se bloquean. Sistemas que se caen. Servicios que se interrumpen. Atencin al usuario deficiente. Prdidas de tiempo y de productividad de los usuarios. Personal tcnico desbordado por llamadas y peticiones de asistencia. Directores de sistemas de informacin que ven cmo, a pesar del esfuerzo continuo de su equipo, el roce y el malestar con el resto de la empresa no cesan. Por ello, no es de extraar que encontremos frecuentemente que los departamentos de las tecnologas de la informacin (TI) se consideren ms una carga que una ayuda para el negocio.
16
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La dinmica industria de tecnologas de la informacin y las comunicaciones (TIC), que es capaz de duplicar la capacidad de proceso y de almacenamiento cada ao y medio, lleva desarrollando, en paralelo al avance tecnolgico, metodologas de trabajo que van ofreciendo soluciones de gestin a estos retos planteados. El sector de las TIC ha ido creando distintas disciplinas para cubrir algunas de las facetas que necesita la gestin global de las TIC en la empresa. Soluciones que no siempre se han aplicado con el ahnco y el rigor necesarios. Parece lgico que los organismos de normalizacin internacionales, como ISO (International Organization for Standardization, Organizacin Internacional de Normalizacin) e IEC (International Electrotechnical Commission, Comisin Electrotcnica Internacional), propicien la elaboracin de normas que van consolidando las prcticas establecidas relativas a la organizacin del trabajo en las reas de TI. Adems, estos organismos de normalizacin disponen de mecanismos de trabajo asentados que garantizan una amplia participacin de los agentes del sector de las TIC. Este es el caso de las Normas ISO/IEC 20000, partes 1 y 2, y sus traducciones oficiales al castellano, publicadas por AENOR como Normas UNE-ISO/IEC 20000 1 en junio de 2007. El presente libro se centra en explicar la aplicacin de estas dos normas. Las Normas ISO/IEC 20000 definen los procesos y las actividades esenciales para que las reas de TI puedan prestar un servicio eficiente y alineado con las necesidades de la empresa u organizacin. Estas normas, construidas sobre la base del modelo ITIL, se centran principalmente en la ordenacin de las disciplinas de soporte y provisin de servicios de TI. Son normas especficas para la gestin de los servicios que ofrecen las reas o los proveedores de tecnologas de la informacin. Las Normas ISO/IEC 20000 no son de ndole tcnico, ni tecnolgico. En ellas se describen los principales flujos de actividades (agrupados en forma de procesos) cuyo fin es lograr una entrega efectiva y con la calidad requerida de los servicios a los clientes y usuarios. Adems, definen un sistema reconocido y probado de gestin que permite a los proveedores de TI (ya sean reas internas u organizaciones externas) planificar, gestionar, entregar, monitorizar, informar, revisar y mejorar sus servicios.
Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo trmino ISO/IEC 20000 para referirse a estas normas, tanto para la serie UNE, como para la serie ISO/IEC.
Introduccin
17
cualquier tipo de organizacin que provea servicios de tecnologa, tanto internamente a su organizacin como externamente al mercado, tanto en grandes organizaciones como en pequeas o medianas empresas. Este libro va dirigido a todos los profesionales del mbito de las tecnologas de la informacin y las comunicaciones que estn involucrados en la provisin de servicios. Resultar imprescindible tanto a los responsables de su gestin, como a cualquier otro profesional de TI: direccin, gestores, responsables de procesos, consultores, tcnicos, personal de soporte, etc. Al avanzar en este libro, el lector constatar que la industria ya ha normalizado gran parte del conjunto de actividades necesarias para que los servicios proporcionados por las TI sean fiables y eficientes. Cubren desde las actividades del da a da inmediato, como es la atencin a los incidentes y peticiones, hasta la definicin de una estrategia que permita continuar prestando los servicios en caso de catstrofe, todo ello, sin olvidar conceptos como la planificacin o la mejora continua. Persiguiendo este fin ltimo de utilidad, los contenidos de cada apartado, adems de incluir ntegramente la norma, se han enriquecido con otras buenas prcticas ITIL y con la amplia experiencia profesional de los autores. Por tanto, este libro pretende ser una gua completa de aplicacin, una ayuda y una razonable interpretacin de estas normas. No pretende sentar jurisprudencia al respecto. Los autores dan por hecho que puede haber otras formas de aplicar o interpretar las directrices de las normas, ya que las particularidades de cada negocio y organizacin tienen gran influencia.
18
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El captulo 2 Entender las Normas ISO/IEC 20000 las posiciona en el mbito global de las TIC, para pasar despus a explicar su alcance, su estructura, sus coincidencias y las principales diferencias frente a ITIL. Este captulo resulta esencial para entender adecuadamente los siguientes. Para facilitar la comprensin, el ncleo central del libro, desde el captulo 3 al 10, se organiza siguiendo una estructura de captulos y numeracin de apartados paralela a las normas de referencia. En la figura I.1 se muestra este paralelismo intencionado. El captulo 3 El Sistema de Gestin del servicio de TI (SGSTI), explica este concepto que suele resultar nuevo para los profesionales de las TIC no acostumbrados a los sistemas de gestin definidos en la normativa de calidad ISO. Explica con detalle la creacin de un sistema de gestin aplicado a la provisin y soporte del servicio de tecnologas de la informacin. Este sistema de gestin constituye en s mismo el diseo de las nuevas formas de hacer que transformarn el servicio de TI. Su utilizacin ofrece un valor aadido y permitir alcanzar una posicin diferencial a las organizaciones que lo implementen. En el captulo 4 Planificacin e implementacin de la gestin del servicio, se trata la implantacin de las Normas ISO/IEC 20000. Explica la forma de organizar y llevar a cabo esta transformacin que suponen las nuevas formas de hacer, acordes con estas normas y definidas en el sistema de gestin. Se explican los aspectos que hay que tener en cuenta previos a la implantacin, para entrar posteriormente en el ciclo de mejora continua. Se sigue el enfoque a las cuatro etapas del ciclo de mejora continua (PDCA, de Deming o de Shewhart), que tambin se explica en este captulo. Los captulos del 5 al 10 se corresponden con los principales procesos identificados en la gestin del servicio relativos a: creacin, provisin, relaciones, resolucin, control y entrega del servicio. En el libro, tambin se ha considerado que las empresas, adems de mejorar sus servicios de TI, quieren obtener una certificacin que les acredite ante su Direccin o ante sus clientes de la conformidad de su gestin frente a los requisitos de estas normas de referencia. A este respecto, el captulo 11 es una gua que explica el proceso habitual para obtenerla. El libro se ha preparado para que se pueda leer en tres recorridos diferentes: Recorrido 1: lectura rpida. Paso rpido por los conceptos del libro, sin profundizar en los procesos. Este recorrido pasa por la lectura de los captulos 1, 2 y 3 en detalle, pues contienen conceptos y posicionamientos que nadie debera descartar. A partir de este punto, el resto de los captulos y procesos tienen su introduccin y grficos que resumen los principales conceptos que todo involucrado en las TI debera conocer.
Introduccin
19
5 Planificacin e implementacin de nuevos servicios o de servicios modificados 6 Procesos de la provisin del servicio 6.1 Gestin de nivel de servicio 6.2 Generacin de informes del servicio 6.3 Gestin de la continuidad y disponibilidad del servicio 6.4 Elaboracin de presupuesto y contabilidad de los servicios de TI (gestin financiera de TI) 6.5 Gestin de la capacidad 6.6 Gestin de la seguridad de la informacin 7 Procesos de relaciones 7.1 Generalidades 7.2 Gestin de las relaciones con el negocio 7.3 Gestin de suministradores 8 Procesos de resolucin 8.1 Antecedentes 8.2 Gestin del incidente 8.3 Gestin del problema 9 Procesos de control 9.1 Gestin de la configuracin 9.2 Gestin del cambio 10 Proceso de entrega 10.1 Proceso de gestin de la entrega 11 La certificacin conforme a ISO/IEC 20000 de la gestin del servicio de TI 11.1 La primera certificacin conforme a ISO/IEC 20000 11.2 Evidencia y registros importantes en una certificacin Bibliografa 12 Bibliografa y referencias 13 Trminos y definiciones
Figura I.1. La estructura del libro transcurre paralela a las Normas ISO/IEC 20000
20
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Recorrido 2: lectura secuencial y a fondo. De principio a fin, que es la recomendada por los autores. Recorrido 3: manual de consulta. La estructura del libro con temtica independiente permite utilizarlo tambin como manual de consulta, accediendo directamente a cada proceso.
Captulo 1
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia 1.2. Normas, estndares, marcos de referencia y metodologas reconocidas en el mbito de las TI 1.3. Entender los entornos de normalizacin y certificacin 1.4. Las principales normas y buenas prcticas en TI
38
50
M CM
B CO
IT
ITIL
0 70
00 000 0 9 20
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
23
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia
Comparando la gestin habitual de las tecnologas de la informacin con otras reas de la empresa, podremos encontrar que, en las ms avanzadas, existen modelos de gestin firmemente establecidos que las hacen parecerse al modelo de una orquesta sinfnica en la que, si bien cada msico es un excelente especialista en su instrumento, es en la interpretacin del concierto cuando la orquesta demuestra su autntico valor actuando como un todo. En cambio, las reas que gestionan sistemas tecnolgicos han puesto tradicionalmente el foco en el conocimiento y dominio de la tecnologa. Es esencial y obvio que se necesitan buenos tcnicos para el diseo, la construccin y el mantenimiento del hardware y del software. Sin embargo, la situacin actual refleja que el control de la tcnica, aunque totalmente imprescindible, no es suficiente para satisfacer todo lo que la empresa demanda de las reas de TI. Queda una importante asignatura pendiente que, por ms que se invierta en tecnologa y en tcnicos, no se consigue resolver: actuar perfectamente engranados, todos juntos y bien coordinados para conseguir un fin comn: ser cada vez ms eficientes en costes y capaces de evolucionar con la agilidad tpica del ecosistema Internet (objeto de deseo de todos los negocios para sus reas de TI). Los responsables de los departamentos de TI deben responder a importantes desafos: la eficiencia en costes, la calidad, el cumplimiento de plazos, la agilidad y la satisfaccin de los clientes y usuarios estn entre ellos. La gestin de las TI debe evolucionar desde los modelos artesanales hacia formas de hacer ms industrializadas. Implementar formas de trabajo repetibles, mejorando la calidad de lo construido, la fiabilidad de los servicios o aumentando la capacidad de produccin de la organizacin, todo ello, dentro de un nuevo entorno ms fluido en las relaciones y que genere menos estrs en las personas. En esta evolucin, las buenas prcticas sectoriales recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otras normas y marcos de referencia, marcan el camino a recorrer para alcanzar la excelencia en la gestin de las TI. Del mismo modo que un abogado debe conocer las leyes para ejercer su profesin, o un arquitecto la legislacin y reglamentacin sobre urbanismo y edificacin; la direccin y los profesionales de los departamentos de TI deben conocer con detalle el conjunto de buenas prcticas, normas o estndares que se estn consolidando en su propio sector. La actividad de los directivos y profesionales de las TI, debe pasar por conocer con detalle la normativa y marcos de las mejores prcticas aceptados por el mercado, para aplicarlas posteriormente en su organizacin. Este es un buen camino para la mejora de las actividades.
24
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
25
mbito de la empresa p
mbito especfico p de TI
Empresa
Gobierno TI
Funciones de TI (desarrollo, ( , seg., g , etc.) ) SPICE ISO/IEC 15504 People P l CMMI CMMI ISO/IEC 17799 o 27002
Tecnologa
SAS 8000 TQM King ACC ISO 9001 ISO SO EFQM 9004 ISO 14001 Lean 6 Sigma TL 9000 COBIT
Tipo de us so
Directrice es
ISO ISO/IEC 90003 ASL ISO 27001 DSDM 12207 BS 25999 ISPL PAS 77 PMBOK
Pr rescriptivo
RUP SOX
PRINCE2
Figura 1.1. Mapa de las diferentes normas y marcos de referencia relacionados con las TI
El veterano marco ITIL destaca como el gran compendio de referencia, que aspira a convertirse en ese modelo universal que estructura y organiza toda la actividad de las TI. Si bien la versin 2, publicada en el ao 2000, ha tenido una aceptacin excepcional, hay que esperar a ver cmo el sector va adoptando la nueva versin 3, publicada en el ao 2007, y que presenta una visin ms amplia y coherente de la gestin de las TI, agrupada en torno al ciclo de vida del servicio. El marco para el desarrollo de software CMMI (Capability Maturity Model Integration) aparece como el modelo ms aceptado para la medicin de la madurez de los procesos de gestin en la construccin de aplicaciones. Para complicar ms el panorama, en su ltima versin se crea un nuevo modelo CMMI for Services, que se superpone en gran medida con el mbito central de ITIL; y por tanto, tambin con las Normas ISO/IEC 20000. Adems, para los procesos y medicin de la madurez del desarrollo, tambin la normativa internacional inici desde 1993 su andadura. ISO e IEC han desarrollado un modelo para la evaluacin de los procesos de desarrollo de software bajo la iniciativa SPICE que ha desembocado en la publicacin de la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto de normas relativas a la ingeniera del software (ISO/IEC 15288, ISO/IEC 12207, ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).
26
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La gestin de la seguridad de los sistemas de informacin ha sido una de las reas ms difundidas en el entorno normativo de las TI, con las normas UNE-ISO/ IEC 27001 (sistema de gestin de seguridad) y UNE-ISO/IEC 17799 (un cdigo de buenas prcticas para la gestin de la seguridad de la informacin), que se ha renumerado como UNE-ISO/IEC 27002. Recientemente han aparecido unas normas britnicas sobre la gestin de la continuidad de negocio, denominadas BS 25999. En el mbito de la auditora, medicin y gobierno de TI el modelo COBIT (Control Objectives for Information and Related Technology) est reconocido como una excelente referencia. En relacin al gobierno de las TI, la normativa internacional de ISO ha tomado posiciones con la nueva Norma ISO/IEC 38500 Corporate Governance of Information Technology (tambin denominada en sus etapas de borrador como 29382), inspirada en la Norma australiana AS 8015. Como un hijo menor del modelo COBIT, para la medicin del valor que aportan las TI al negocio, se ha definido un nuevo sub-marco denominado ValIT. En relacin a la gestin de proyectos de desarrollo de software, el marco lder es PMBOK (Project Management Body of Knowledge), una metodologa reconocida por el organismo norteamericano de normalizacin ANSI. Tambin hay que tener en cuenta el modelo PRINCE2 (Projects In Controlled Environments) que, realizado por los impulsores de ITIL, es ms sencillo que el anterior, y resulta de utilidad para proyectos de mejora y de implantacin de ITIL o de ISO/IEC 20000. Otros modelos que se complementan o solapan con los anteriores, aunque con poca aceptacin en el sector de las TI son: en el mbito de la gestin de proveedores ISPL (Information Services Procurement Library), para disponer de un mapa completo en la construccin de aplicaciones: ASL (Application Services Library) o DSDM (Dynamic Systems Development Method). Por su importancia y universalidad, tambin hay que tener en cuenta la serie de normas internacionales ISO 9000, familia de normas y directrices que contienen los requisitos para la gestin de la calidad general de una organizacin. Dentro de esta serie destaca la Norma UNE-EN ISO 9001, que contiene los requisitos del sistema de gestin de la calidad, tambin esencial para la implantacin de las Normas ISO/IEC 20000. La Norma UNE-EN ISO 9004 contiene recomendaciones prcticas para aquellas empresas que quieran ir ms all de los requisitos mnimos establecidos en UNE-EN ISO 9001. En el mbito de la calidad aplicada al desarrollo de software, tambin hay que considerar la Norma UNE-ISO/IEC 9003 que versa sobre las directrices para la aplicacin de la Norma UNE-EN ISO 9001 al desarrollo de software. Por otra parte, la Norma ISO/IEC 12207 proporciona un marco para los procesos, actividades y tareas relacionadas con el ciclo de vida del software.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
27
Por otra parte, los temas medioambientales tambin tienen su impacto en la gestin de TI. Deben tenerse en cuenta: la legislacin nacional, local y la normativa sobre retirada y gestin del equipamiento y residuos informticos; la serie de Normas ISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe tambin la Norma UNE 150002 Sistemas de gestin medioambiental. Gua para la aplicacin de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la gua para la aplicacin de los sistemas de gestin medioambiental a las relaciones con suministradores y clientes, denominada UNE 150004 EX; o el Cdigo de Conducta para la Eficiencia Energtica en Centros de Datos publicado por la Unin Europea. Tanta abundancia de informacin y recomendaciones resulta confusa para las organizaciones que slo desean soluciones prcticas y directas para mejorar su gestin de las TI. De todo el mapa anterior, se recomienda centrarse inicialmente en las normas y marcos de mayor relevancia y ms aceptados para la mejora de TI, como son: ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la gestin de los servicios de TI. COBIT para la auditora y la medicin de las TI. ISO/IEC 27001 para la gestin de la seguridad de la informacin. ISO/IEC 15504 y CMMI for Development para la gestin del desarrollo de software. ISO/IEC 38500 y COBIT como referencias para el gobierno de las tecnologas de la informacin.
28
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
marcos de mejores prcticas (organismos de normalizacin internacional, organismos de normalizacin en cada pas y las principales iniciativas de organizaciones privadas aunque algunas con el respaldo indirecto gubernamental). Las filas enumeran algunos organismos e instituciones. Bajo el concepto de promotor se incluyen quin est principalmente detrs de las iniciativas respaldando a las instituciones. Finalmente se presentan algunas normas y marcos de cada mbito.
Normalizacin y acreditacin segn el pas Espaa: AENOR - ENAC UK: BSI - UKAS USA: ANSI Alemania: DIN - TV Argentina: IRAM Chile: INN Mxico: DGN Per: INDECOPI Australia: SA Gobierno del pas OGC
Normalizacin internacional ISO O Organismos e instituciones IEC UIT CEN CENELEC ETSI
Gobiernos Promotore es
OGC (UK)
DoD (USA)
ISACA (USA)
PMI (USA)
Participan los lderes y gurs de la industria TI itSMF ITIL SEI y ESI CMMI COBIT PMBOK
No ormas
Prince2
Fuente: Telefnica
En el mbito de la normalizacin internacional, los organismos de normalizacin internacionales (ISO, IEC, UIT) y los europeos (CEN, CENELEC, ETSI) disponen de procedimientos estables que garantizan la participacin de los pases miembros y de la industria local. Aunque cada organismo tiene procedimientos especficos para la realizacin de la normativa, en todos est garantizada la participacin de los pases y de sus representantes. Para garantizar la representacin se utilizan estructuras de comits, subcomits y grupos de trabajo internacionales, que frecuentemente se reflejan en estructuras similares en los pases. Por tanto, no hay un ciclo nico para la creacin de las normas, aunque todos se basan en la representacin de los organismos de normalizacin de los pases a travs de sus miembros nacionales (AENOR, BSI, DIN, etc.) como instrumento para garantizar la participacin nacional.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
29
Por otra parte, el mbito de las denominadas iniciativas privadas (ITIL, CMMI, COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prcticas y no de normativa. Los procedimientos y la gestin de la representacin del sector quedan a la libre eleccin de la institucin u organismo que impulsa la iniciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamada pblica de participacin para trabajar en la siguiente edicin de estos marcos a la que suelen responder los principales actores internacionales y gurs en la materia. El proceso de seleccin del equipo de revisin es especfico de cada institucin, as como el procedimiento de edicin de la nueva versin del marco de referencia. Como se puede intuir hay que ser un autentico especialista en la materia para comprender los diversos esquemas y estructuras que se han ido creando alrededor de la normalizacin y marcos de mejores prcticas. Por la vinculacin con la temtica de este libro se explican los procesos de creacin de las normas ISO/IEC y de las normas UNE espaolas: Ciclo de creacin de las normas ISO/IEC. Una norma internacional se desarrolla en el mbito de los comits tcnicos y de los subcomits tcnicos de ISO y de IEC. El proceso sigue seis etapas: propuesta, preparatoria, comit, consulta, aprobacin y publicacin. En este proceso, el documento propuesta de norma pasa por tres estados que indican el grado de aceptacin y apoyo que se va alcanzando de los diversos borradores: CD (Committee Draft): es un borrador generado por un grupo de trabajo, que ha recibido la aprobacin del grupo y se remite al comit correspondiente para su aprobacin. DIS (Draft of International Standard): es el borrador de norma internacional que el comit de normalizacin ha aprobado y somete a comentarios y votacin por parte de los pases. FDIS (Final Draft of International Standard): es el borrador final de la norma internacional, que el comit enva para su aprobacin final a todos los miembros para su publicacin final como norma internacional. En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. En la etapa 3 se aprueba el borrador para pasar al estado de borrador de comit (DIS) que ser sometido a aprobacin en la etapa 4 o de consulta. As, el borrador aprobado pasa al estado de borrador final de norma internacional (FDIS) que ser sometido para su aprobacin definitiva en la etapa 5. Adems, existe el procedimiento rpido de aprobacin, o fast-track, para documentos con un grado alto de madurez, como es el caso de normas locales que se quieran elevar a internacionales. En este caso, primero se somete a una votacin para
30
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasar directamente como DIS a la etapa 4. Normalmente el procedimiento rpido puede durar un ao, mientras que el normal suele durar entre 2 y 3 aos, dependiendo de la dificultad de alcanzar el consenso en las diversas etapas. Ciclo de creacin de las normas UNE espaolas. El proceso de elaboracin de una norma UNE est sometido a una serie de fases que permiten asegurar que el documento final es fruto del consenso, y que cualquier persona, aunque no pertenezca al comit de AENOR, productor de la norma, pueda emitir sus opiniones o comentarios. Tras la aprobacin del proyecto final de norma por un Comit Tcnico de Normalizacin, el Boletn Oficial del Estado (BOE) publica la relacin mensual de proyectos UNE sometidos a un perodo de Informacin Pblica, durante el cual cualquier persona o entidad interesada podr presentar observaciones. Las observaciones deben realizarse a AENOR. Una vez analizados los comentarios recibidos en esta fase, el comit redactar el texto final, que ser aprobado y publicado como norma UNE por AENOR. En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional.
Proceso de elaboracin de una norma ISO/IEC internacional 1. Etapa de propuesta Se elabora la propuesta de norma 2. Etapa preparatoria Se consensa el borrador CD 3. Etapa de comit El comit aprueba CD DIS 4. Etapa de consulta DIS se somete a consulta 5. Etapa de aprobacin Se aprueba DIS FDIS 6. Etapa de publicacin FDIS se edita como norma ISO
Fuente: ISO y e.p.
Proceso de elaboracin de una norma UNE espaola 1. Trabajos preliminares 2. Elaboracin del proyecto de norma en el seno de un Comit Tcnico de Normalizacin (CTN) 3. Envo de la norma al BOE para informacin pblica 4. Elaboracin y aprobacin por el CTN de la propuesta final de norma 5. Aprobacin de la propuesta final por AENOR 6. Publicacin de la nueva norma UNE
Fuente: AENOR
A continuacin, se presenta una visin general de los principales actores en este mbito normativo que tienen cierta relevancia en la gestin de las TI, aunque no pretende ser un tratado exhaustivo.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
31
32
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
europeo e internacional para el desarrollo de actividades de normalizacin y certificacin (N+C) en un mbito multisectorial. Cuenta en la actualidad con ms de 20 centros operativos repartidos en: Espaa, Mxico, Chile, El Salvador, Italia, Portugal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el desarrollo de las actividades de N+C, a mejorar la gestin de la calidad en las empresas, sus productos y servicios, proteger el medio ambiente y, con ello, lograr el bienestar de la sociedad en su conjunto. BSI (British Standards Institute). Organismo de normalizacin del Reino Unido. Es destacable su actividad en la elaboracin de nuevas normas en el mbito de la gestin de las TI. Creador de la serie de normas BS 15000, base sobre la que se han definido las actuales Normas ISO/IEC 20000. En general, cada pas tiene su propio organismo de normalizacin, entre otros podemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA en Australia, etc. Otros organismos de habla hispana, con los que AENOR mantiene una estrecha colaboracin motivada, entre otras cosas, por la traduccin conjunta de normas internacionales al espaol, son: IRAM en Argentina, INN en Chile, DGN en Mxico, INDECOPI en Per, etc.
Los gobiernos
Es importante destacar el papel activo de los gobiernos, instituciones gubernamentales y administraciones pblicas en el campo de la normalizacin, pues desempean un triple papel: como sustento de la actividad de normalizacin mediante subvenciones a los organismos de normalizacin, como impulsores de algunas iniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bien estableciendo una regulacin o bien en su papel de cliente contratante de servicios al sector de las TIC. Entre estos organismos destacan el Ministerio de Comercio Britnico (OGC, Office of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense) como impulsor de CMMI.
Organismos de acreditacin
Las entidades nacionales de acreditacin son entidades independientes cuya funcin es la acreditacin de entidades certificadoras y laboratorios de ensayo. Es decir,
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
33
el reconocimiento formal de que una organizacin es competente para la realizacin de una determinada actividad de evaluacin de la conformidad o la realizacin de un ensayo determinado. Las organizaciones que podemos destacar son: Internacionalmente: IAF (International Accreditation Forum). En Europa: EA (European Cooperation for Accreditation). En Espaa: ENAC (Entidad Nacional de Acreditacin en Espaa). En el Reino Unido: UKAS (United Kingdom Accreditation System). IQNet. Un papel parecido a la acreditacin lo realiza la Red Internacional de Certificacin (IQNet, International Certification Network), asociacin formada por las entidades de certificacin lderes en la certificacin de empresas en sus respectivos pases. Entre sus objetivos estn: El reconocimiento y promocin de los certificados expedidos por sus miembros en todos los sectores industriales y de servicios. La coordinacin de los procesos de certificacin de empresas que operan en distintos pases. Normalmente, los certificados locales emitidos por las entidades certificadoras van acompaados de el reconocimiento internacional de IQNet.
Entidades certificadoras
Para que las empresas puedan demostrar a nivel nacional e internacional que cumplen las normas, necesitan un certificado. Se trata de un instrumento para verificar la correcta implantacin de las normas. La obtencin del certificado se realiza mediante un proceso de evaluacin independiente por parte de una entidad certificadora o de certificacin. Un requisito importante que asegura la solvencia para que una entidad pueda conceder una marca de certificacin es que dicha entidad sea competente para certificar los productos, los servicios, los sistemas de gestin o las personas, a los que se aplica la marca de certificacin. Los organismos de acreditacin son los encargados de acreditar a las entidades de certificacin. Las entidades de certificacin utilizan los servicios profesionales de los auditores.
34
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Marcas de certificacin
Las marcas de certificacin las conceden las entidades correspondientes a los productos, sistemas y servicios que cumplen con los requisitos definidos. La certificacin, en base a normas, tiene su reflejo en los distintivos de certificacin, cuya concesin significa que el producto o servicio ha pasado por el adecuado proceso de certificacin de forma satisfactoria. Cuando, por ejemplo, se trata de una marca de seguridad, la concesin de la marca significar que cumple los requisitos de seguridad, segn la norma de referencia. En un producto con certificado de calidad, la etiqueta puede contener distintos logotipos (vase la figura 1.4) dependiendo de la entidad que otorgue el certificado.
En el Reino Unido se ha desarrollado una marca de certificacin especfica para ISO/IEC 20000, segn un acuerdo interno entre UKAS (organismo de acreditacin de ese pas) e itSMF-UK (captulo ingls del itSMF, Information Technology Service Management Forum), con un reglamento especfico (esquema de certificacin). Por el contrario, en la mayora de los pases, la certificacin ISO/IEC 20000 transcurre por los caminos habituales de la certificacin del pas, con marcas especficas de cada entidad certificadora, y regulado por el organismo de acreditacin del pas.
Auditores
Los auditores son los nicos profesionales acreditados para realizar la auditora del cumplimiento de los requisitos de una norma por una organizacin. La calificacin de auditor se concede nicamente a los candidatos que demuestren experiencia suficiente y hayan pasado los exmenes exigidos para ello.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
35
En el caso de la Norma ISO/IEC 20000-1, existe una acreditacin especfica de auditor otorgada por UKAS e itSMF-UK a profesionales con amplia experiencia, tras superar un curso en entidades de formacin acreditadas y superar el examen al respecto. Esta acreditacin de auditor est vinculada al esquema de certificacin conjunto de UKAS e itSMF-UK.
Consultores
Los consultores asesoran, bien a las organizaciones o entidades que quieren implantar las normas, o bien, una vez implantadas, que desean certificarse. Para esta funcin existe una acreditacin profesional especfica. La formacin que reciben les permite adquirir un nivel suficiente de conocimiento de la normas, del esquema de certificacin y de su aplicacin. Los consultores asisten a las organizaciones en la interpretacin y aplicacin de la normas, as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestin del servicio. Asimismo, el consultor externo puede efectuar una evaluacin de los niveles de gestin del servicio y establecer el nivel de preparacin necesario para una solicitud de certificacin y su posterior consecucin. Actualmente, existe una acreditacin de consultor ISO/IEC 20000 otorgada por entidades de formacin acreditadas por UKAS e itSMF-UK. Otros organismos que regulan la formacin profesional (EXIN, APMG) tambin estn entrando en este campo.
36
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
TSO se encarga de la publicacin impresa y online de los libros ITIL, gestionando sus derechos de propiedad intelectual. itSMF International (Information Technology Service Management Forum, Foro internacional para la Gestin del Servicio de TI). Creado en el Reino Unido en 1991, es una red mundial de grupos de usuarios de TI que ofrecen mejores prcticas y guas basadas en normas para la provisin de servicios de TI. La organizacin internacional coordina las actividades de los captulos locales y apoya al desarrollo y difusin de las evoluciones de ITIL. itSMF est presente en pases como: Francia, Blgica, Alemania, Portugal, Noruega, Japn, Brasil, Dinamarca, Austria, Finlandia, Canad, EEUU, Singapur, Australia, Italia, Hungra, Rumania, Suecia, Argentina, Espaa, etc. itSMF Espaa. Captulo espaol de itSMF. Constituido como una asociacin sin nimo de lucro, acta como una comunidad de usuarios. Centra sus intereses en las prcticas y metodologas de gestin y gobierno de las TI. Tiene como objetivo ayudar a las organizaciones a adoptar soluciones de gestin de servicios TI e impulsar la adopcin de las mejores prcticas.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
37
En el mbito de ISO/IEC 20000, la aparicin de estos esquemas de certificacin profesional garantizados es ms reciente, destaca la iniciativa de EXIN (Examination Institute for Information Science), pero posiblemente aparecern otros, ya que el entorno de normativa internacional no ejerce el concepto de propietario de marca.
Sistema de Gestin del Servicio de TI (SGSTI) Planificacin e implementacin de la gestin del servicio (PDCA) Planificacin e implementacin de nuevos servicios o de servicios modificados
Procesos de la provisin del servicio Gestin de la capacidad Gestin de la continuidad y disponibilidad del servicio Gestin de nivel de servicio Generacin de informes del servicio Procesos de control Gestin de la configuracin Gestin del cambio Proceso de entrega Proceso de gestin de la entrega Procesos de resolucin Gestin del incidente Gestin del problema Procesos de relaciones Gestin de las relaciones con el negocio Gestin de suministradores Gestin de la seguridad de la informacin Elaboracin de presupuesto y contabilidad de los servicios de TI
38
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
junto al proceso del captulo 5 Planificacin e implementacin de nuevos servicios o de servicios modificados). Adems, las normas incluyen dos aspectos muy importantes: el sistema de gestin y la planificacin e implementacin de la gestin del servicio. En el mbito de los servicios de TI, resulta esencial que los servicios se provean en un marco de gestin eficaz y de calidad, para entender claramente los requisitos y gestionar su cumplimiento. Las Normas ISO/IEC 20000 articulan el proceso de prestacin de los servicios engranados sobre un sistema de gestin del servicio (vase el captulo 3). El proceso de mejora continua establecido por la Norma ISO 9001 para la fabricacin de productos o prestacin de servicios (siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar Plan, Do, Check, Act), tambin se incorpora en esta norma como un motor de la mejora continua de los servicios de TI (vase el captulo 4).
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
39
BS 15000
ISO/IEC 20000
1986
1989
2000
2005
2007
IBM,s ISMA
itSMF
40
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ITIL v2 se ha utilizado como base para la creacin de las Normas ISO/IEC 20000. En la figura 1.7, se muestra una representacin tpica de ITIL v2. En ella se puede apreciar el negocio a la izquierda del todo, en el extremo derecho se sita la tecnologa, y, en medio, haciendo que la tecnologa sea til para el negocio estn los procesos ITIL. De ellos, los dos libros ms valiosos por su contenido y ms aceptados por el mercado son los relativos a la gestin de servicio (libros Soporte de Servicio y Provisin de Servicio publicados por OGC).
Planificacin de la implantacin de gestin del servicio Perspectiva de negocio Gestin relacin con negocio E L N E G O C I O Gestin relacin proveedores Planificacin y desarrollo arquitectura TI Relacin formacin y comunicacin de TI con el negocio Financiero Continuidad Disponibilidad Capacidad G. nivel de servicio Provisin de servicio Gestin de activos Gestin de la seguridad Planificar Implementar Evaluar Mantener Controlar Gestin de servicio Gestin de infraestructuras TIC Diseo y planificacin Despliegue Operacin Soporte tcnico L A T E C N O L O G A
Soporte de servicio Centro atencin usr. Incidente Problema Configuracin Cambio Entrega
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
41
La versin 3 de ITIL, que apareci a mediados de 2007, respeta los principales procesos del soporte y de la provisin del servicio ya definidos en la versin anterior. Tambin saca a la luz mucha de las actividades de gestin de TI no reflejadas anteriormente, ampliando su alcance a ms de 20 procesos. Esta versin pone mayor nfasis en la integracin de TI con el negocio. Se estructura en torno al ciclo completo de creacin de servicios: estrategia, diseo, transicin, operacin y mejora continua (vase la figura 1.8).
ITIL v3
n i io c i s ic an erv r T ls de
Figura 1.8. La estructura de los libros ITIL v3 se articula segn el ciclo de vida de los servicios
42
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ESTRATEGIA
DISEO
TRANSICIN
OPERACIN
MEJORA CONTINUA
Estrategia del servicio Generacin de la estrategia Gestin financiera de TI Gestin de la demanda Gestin del porfolio de servicios
Diseo del servicio Diseo de servicios nuevos o modificados Gestin del catlogo de servicios Gestin de nivel de servicio Gestin de la capacidad Gestin de la disponibilidad Gestin de la continuidad del servicio TI Gestin de la seguridad de la informacin Gestin de suministradores
Transicin del servicio Planificacin y soporte de la transicin Gestin de cambios Gestin de la configuracin y de activos del servicio Gestin de versiones y despliegues
Mejora continua del servicio El proceso de mejora en 7 etapas Informes del servicio Medicin del servicio Retorno de inversin para la mejora Preguntas al negocio para la mejora Gestin de nivel de servicio
ITIL v3
Figura 1.9. Contenido de las cinco etapas del ciclo de vida de los servicios en ITIL v3
Otras normas y metodologas relacionadas son: COBIT para la auditora y gobierno de TI, ISO/IEC 27001 para la seguridad, CMMI e ISO/IEC 15504 (SPICE) como modelos de madurez del desarrollo del software. En los apartados siguientes se presenta una introduccin a ellas.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
43
Monitorizar y evaluar ME1 Monitorizar y evaluar el desempeo de TI ME2 Monitorizar y evaluar el control interno ME3 Garantizar cumplimiento regulatorio ME4 Proporcionar gobierno de TI
n ci ea gica n i Al rat t es
del icin Med mpeo dese
En de treg va a lor
Adm inis de r tracin iesg os
PO7 Administrar recursos humanos de TI PO8 Administrar calidad PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos
Gobierno de TI
Adquirir e implantar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el software aplicativo AI3 Adquirir y mantener la infraestructura tecnolgica AI4 Facilitar la operacin y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
Administracin de recursos
Fuente: ISACA.
44
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En el mbito de la certificacin de los profesionales, en 2008 ISACA ha puesto en marcha la certificacin en el gobierno de las TI (CGEIT, Certified in the Governance of Enterprise IT). Adems, existe la acreditacin a ttulo profesional para auditor de las TI (CISA, Certified Information Systems Auditor) y la relativa a la seguridad de las TI (CISM, Certified Information Security Manager). Vinculado a COBIT, y con el fin de desarrollar las prcticas para la medicin de del valor de la contribucin de TI al negocio, ISACA ha creado el marco Val IT.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
45
Modelo en ISO/IEC 27001 4.2.1 Creacin del SGSI 4.2.2 Implementacin y operacin del SGSI 4.2.3 Supervisin y revisin del SGSI 4.2.4 Mantenimiento y mejora del SGSI
ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002) recoge un cdigo de buenas prcticas para la gestin de la seguridad de la informacin. Se centra en desarrollar los objetivos de control de la seguridad, y para cada uno de ellos, se indica una gua para su implantacin. Cada organizacin debe considerar cuntos sern realmente los aplicables segn sus propias necesidades.
46
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisiciones (CMMI for Adquisition) y una nueva para la prestacin de servicios (CMMI for Services). CMMI describe cinco etapas evolutivas (niveles) en las cuales una organizacin se sita segn la madurez de sus procesos: 1. Inicial (Initial). Los procesos son caticos; pocos procesos estn realmente definidos. 2. Repetible (Repeatable). Se establecen los procesos bsicos y se observa cierto nivel de disciplina respecto a ellos. 3. Definido (Defined). Todos los procesos estn definidos, documentados, normalizados e integrados. 4. Gestionado (Managed). Los procesos se miden recogiendo datos detallados de los mismos. 5. En optimizacin (Optimizing). La mejora de los procesos es continua y proporciona nuevas ideas y oportunidades. Con la publicacin en Marzo del 2009 de CMMI for Services, el SEI tambin entra en el mbito de la gestin del servicio, con bastante solape con ITIL e ISO/IEC 20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
47
Figura 1.13. Los procesos definidos en CMMI para servicios (CMMI-SVC) en su versin 1.2
48
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Prcticas base. Actividades esenciales de un proceso especfico, agrupado por categoras de procedimientos y procesos de acuerdo al tipo de actividad. Prcticas genricas. Aplicables a cualquier proceso, que representa las actividades necesarias para administrar el proceso y mejorar su potencialidad. El modelo agrupa a los procesos en cinco categoras: Procesos cliente-proveedor (customer-supplier). Esta categora consta de los procesos que directamente impactan al cliente, al soporte de desarrollo y a la transicin del software al cliente. Procesos de ingeniera (engineering). Esta categora consta de los procesos que directamente especifican, implementan, y mantienen un sistema, un producto de software y la documentacin del usuario. Procesos de proyecto (project). Esta categora consta de los procesos establecidos dentro del proyecto, coordinacin y administracin de los recursos para producir un producto o proveer un servicio para satisfacer al cliente. Procesos de soporte (support). Esta categora consta de los procedimientos que establecen y soportan el desempeo de los otros procesos del proyecto. Procesos de la organizacin (organization). Esta categora consta de los procesos que establecen las metas de negocio de la organizacin, los procesos de desarrollo y los recursos que ayudan a la organizacin alcanzar dichas metas. En la figura 1.14 siguiente se muestra un esquema con estos procesos:
Procesos de soporte
38
50
CM
MI
CO
BIT
ITIL
0 27
01
00 00 90 200
49
Existen seis niveles de capacidad en el modelo: Nivel 0: Incompleto. Sera un fracaso general tratar de aplicar las prcticas base a los procesos, ya que no es fcil identificar las salidas de los procesos o el funcionamiento de los productos. Nivel 1: Realizado. Generalmente se ejecutan las prcticas base de los procesos. La ejecucin de dichas prcticas puede no ser planificada rigurosamente y ni seguida, y depender del conocimiento y esfuerzo personal. Se identifican algunos procesos. Nivel 2: Gestionado. Se planifica y se sigue la ejecucin de las prcticas base en los procesos. El desempeo estar acorde con los procedimientos especificados. La primera distincin entre el nivel 1 y el 2 es que la ejecucin de los procesos est planificada y administrada y progresan hacia un modelo bien definido. Nivel 3: Establecido. Las prcticas bases se ejecutan de acuerdo a una versin adaptada del estndar. Los procesos estn aprobados, bien definidos y documentados. Nivel 4: Predecible. Se recaban y evalan las mediciones detalladas del rendimiento o ejecucin. Se conoce de forma cuantitativa el rendimiento de los procesos y es posible su prediccin. Las prcticas se administran objetivamente. La calidad de las mismas se conoce cuantitativamente. Nivel 5: Optimizado. Se establecen en forma cuantitativa procesos y metas eficientes, basados en los objetivos de la organizacin. Los procesos se van mejorando de forma continua, mediante la retroalimentacin (feedback) obtenida por los resultados de procesos definidos, por ideas, por pilotos y por nuevas tecnologas.
2
6.5 Gestin de la capacidad 6.3 Gestin de la continuidad y disponibilidad del servicio 10. Proceso de entrega 10.1 Proceso de gestin de la entrega
Captulo 2
2.1. Introduccin a las Normas ISO/IEC 20000 2.2. Objeto y campo de aplicacin de ISO/IEC 20000 2.3. La estructura de las Normas ISO/IEC 20000 2.4. Relacin entre ISO/IEC 20000 e ITIL
3. Sistema de Gestin del Servicio de TI (SGSTI) 4. Planificacin e implementacin de la gestin del servicio (PDCA) 5. Planificacin e implementacin de nuevos servicios o de servicios modificados
6. Procesos de la provisin del servicio 6.1 Gestin de nivel de servicio 6.2 Generacin de informes del servicio 9. Procesos de control 9.1 Gestin de la configuracin 9.2 Gestin del cambio 8. Procesos de resolucin 8.2 Gestin del incidente 8.3 Gestin del problema 7. Procesos de relaciones 7.2 Gestin de las relaciones con el negocio 7.3 Gestin de suministradores 6.6 Gestin de la seguridad de la informacin 6.4 Elaboracin de presupuesto y contabilidad de los servicios de TI
Sistema de Gestin del Servicio de TI (SGSTI) Planificacin e implementacin de la gestin del servicio (PDCA) Planificacin e implementacin de nuevos servicios o de servicios modificados
Procesos de la provisin del servicio Gestin de la capacidad Gestin de la continuidad y disponibilidad del servicio Gestin de nivel de servicio Generacin de informes del servicio Procesos de control Gestin de la configuracin Gestin del cambio Proceso de entrega Proceso de gestin de la entrega Procesos de resolucin Gestin del incidente Gestin del problema Procesos de relaciones Gestin de las relaciones con el negocio Gestin de suministradores Gestin de la seguridad de la informacin Elaboracin de presupuesto y contabilidad de los servicios de TI
53