Formación Auditor Líder ISO 20000

Agosto 2018
 • Check In
• Objetivo
• El Sistema Integrado
Agenda
• Los Grupos de Procesos y Procesos
• Proceso de Auditoría
• Check Out

2
 • ¿Cómo vengo a esta sesión?
Check In • ¿Qué espero de este sesión?

3
 • Formar como Auditor Lider de ISO
20000
Objetivo • Conocer ISO 20000
• Definir procesos de control de ISO
20000

4
Roles y Procesos de
ISO20000
Smart IT Scan

5
 ¿Cuál es el
Sistema de
ISO 20000?

6
 Fabian Medina/Rodrigo Pedemonte

Raul Castro/Ricarte Hernandez

Rodrigo Lagos/Francisco Cruz Luis Meza/Felipe Cancino Luis Leiva/Miguel Angel Ortiz
Eduardo Gomez/Osvaldo Rodrigo Lagos/Francisco Cruz
Cifuentes Eduardo Seco/Camilo Vidal

Andres Campos/David Catrileo

Rodrigo Lagos/David Catrileo
Mario Estrada/Carolina Bravo

Jesús Calles/Francisco Cruz Raul Castro/Pablo Retamales

Jesús Calles/Francisco Cruz Carlos Ulises

7
 Dueño de Proceso
La persona que sostiene la responsabilidad por asegurar que un
proceso cumple con su propósito. Las responsabilidades del diseño
de proceso incluyen el auspiciar (sponsor), diseñar, gestionar el
cambio y la mejora continua del proceso y sus métricas. Este rol
puede ser asignado a la misma persona que lleva a cavo el rol de
gestor del proceso, pero los dos roles debe estar separados en
Dueño de organizaciones de gran tamaño
Proceso - Rol
El rol de dueño de proceso es responsable (accountable) de
asegurar que un proceso cumple con su propósito. Este rol es a
veces asignado a la persona que lleva a cabo la gestión del
proceso, pero los dos roles deberían estar separados en
organizaciones de gran tamaño. El rol del dueño de proceso es
responsable por asegurar que su proceso es realizado de acuerdo
a los documentos estándares acordados y satisface el espíritu de
la definición del proceso 8
 Dueño del Proceso - Responsabilidades
• Auspiciar (facilitador/sponsor), diseñar y
gestionar el cambio del proceso y sus
métricas
• Definir la estrategia del proceso
• Asistir con el diseño del proceso
• Asegurar que la apropiada
documentación del proceso está
disponible y actualizada
• Definir las apropiadas políticas y
estándares para ser empleados a lo largo
del proceso
• Auditar periódicamente el proceso para
asegurar cumplimiento de la política y
estándares
• Revisar periódicamente la estrategia del
proceso para asegurar que los cambios
apropiados son solicitados
• Comunicar la información o cambios del
proceso apropiadamente para asegurar
conciencia de los mismos.
Proveer los recursos del proceso para
soportar las actividades necesarias a lo largo
de todo su ciclo de vida
Asegurar que los técnicos del proceso
tienen el conocimiento y habilidades
necesarias, y la comprensión del negocio
para entregar el proceso, y que entienden
su rol en el proceso
Revisar las oportunidades para mejorar la
eficiencia y efectividad del proceso
Direccionar cuestiones o incidentes que
ocurren con el proceso
Identificar mejoras para ser incorporadas en
el registro de mejoras continuas (CSI)
Revisar/priorizar mejoras en el registro de
CSI con CSI y con el gestor del proceso
9
Hacer mejoras al proceso
Sistema de Gestión
Integrado
Smart IT Scan

10
ISO 20000

11
Componentes
de la Norma

12
Alcance de la
Norma

13
 Relación con
otros sistemas
y procesos
internos

14
Definición de
proceso bajo
ISO 9001

15
 Procesos a
realizar por la
Organización

16
 Aspectos
básicos del
Sistema de
Gestión de
Servicios de TI

SGSTI
SMSIT
SGS
SMS

17
El sistema de
gestión define
el modelo de
trabajo a
seguir por el
proveedor de
TI

18
El Sistema de
Gestión del
Servicio

19
 El Sistema de
Gestión del
Servicio debe
estar
integrado con
el Sistema de
Gestión
General de la
Empresa

20
 Aspectos
esenciales en
la
implantación
sistema de
gestión de TI

21
 La alta dirección debe proveer, a través del liderazgo y
de acciones, evidencias de su compromiso para
desarrollar, implementar y mejorar sus capacidades
de gestión del servicio dentro del contexto de los
requisitos de negocio de la organización y de los
requisitos de los clientes.
La dirección debe:
ISO 20000-1
Responsabilidad a) establecer la política de la gestión del servicio, sus
de la Dirección objetivos y planes;
b) comunicar la importancia de cumplir con los
objetivos de gestión del servicio y la necesidad de
la mejora continua;
c) asegurar que los requisitos del cliente se
determinan y se cumplen con el objetivo de
mejorar la satisfacción del cliente; 22
 La dirección debe:
d) designar un miembro de la dirección como
responsable para la coordinación y gestión de
todos los servicios;
e) determinar y proveer recursos para planificar,
implementar, monitorizar, revisar y mejorar la
ISO 20000-1 provisión y la gestión de los servicios, por ejemplo,
Responsabilidad contratando el personal apropiado o gestionando
de la Dirección la rotación de personal;
f) gestionar los riesgos para la organización de la
gestión del servicio y para los servicios; y
g) llevar a cabo revisiones de la gestión del servicio, a
intervalos planificados, para asegurar la
continuidad de su idoneidad, su adecuación y su
efectividad. 23
 Los proveedores del servicio deben facilitar
documentos y registros para asegurar una
planificación, operación y control de la gestión del
servicio efectivas. Esto debe
incluir:
a) políticas y planes de la gestión del servicio
ISO 20000-1 documentados;
Requisitos de b) acuerdos del nivel de servicio documentados;
Documentación c) procesos y procedimientos documentados
requeridos por esta norma; y
d) registros requeridos por esta norma.
Deben establecerse los procedimientos y las
responsabilidades para la creación, revisión,
aprobación, mantenimiento, eliminación y control de
los diferentes tipos de documentos y registros
24
 El sistema de gestión debería contemplar los
siguientes contenidos:
• Manual del SGSTI, que incluye:
• Declaraciones documentadas de una política de gestión
de servicios: mandato de la alta dirección, estrategia,
Estructura del políticas y objetivos.
sistema de • El plan de acción.
gestión • La asignación de recursos para su definición y evolución.
Constitución de un equipo de trabajo para definir y
evolucionar el SGSTI.
• El modelo de los procesos de TI.
• Estructura organizativa de TI.

25
 El sistema de gestión debería contemplar los
siguientes contenidos:
• Manual de procesos y procedimientos del SGSTI:
• Los procesos completamente documentados.
Estructura del • Roles, competencias y desarrollo de la estructura
organizativa.
sistema de
• Los procedimientos detallados, documentos requeridos
gestión por la organización para asegurarse de la eficaz
planificación, operación y control de sus
procesos.
• Instrucciones de trabajo.

26
 El sistema de gestión debería contemplar los
siguientes contenidos:
• Registros de los procesos:
• Las evidencias o registros requeridos por la Norma
ISO/IEC 20000-1 para la certificación de la conformidad
Estructura del • Las métricas de los procesos y de los servicios.
sistema de • Las evaluaciones de madurez de la actividad y auditorías.
gestión • La gestión del propio SGSTI:
• El manual sobre la propia organización del sistema de
gestión.

27
Componentes
y contenidos
habituales
en un sistema
de gestión de
TI (SGSTI)

28
 Ejemplo del
índice del
documento
para la
definición de
un proceso

29
 Ejemplo del
índice de una
instrucción de
trabajo

30
 • Se deben definir y mantener todos los roles y
responsabilidades de la gestión del servicio, junto
con las competencias que sean requeridas para su
ejecución efectiva.
ISO 20000-1 • Las competencias y necesidades de formación del
Competencia, personal deben revisarse y gestionarse para permitir
concienciación y al personal llevar a cabo sus roles de forma efectiva.
formación • La alta dirección debe asegurar que sus empleados
son conscientes de la relevancia e importancia de
sus actividades y de cómo deben contribuir a la
consecución de los objetivos de la gestión del
servicio.

31
Desarrollo
Futuro del
Sistema de
COASIN

32
 Visión
completa del
SGSTI y su
relación con el
día a día
del proveedor
de TI

33
 Estructura
documental
de un SGSTI

34
Planificación e
implantación
de la gestión
del servicio
siguiendo el
ciclo PDCA

35
 Ciclo PDCA
aplicado a la
implantación
del sistema de
gestión de TI

36
 La
metodología
planificar-
hacer-
verificar-
actuar
para los
procesos de
gestión del
servicio

37
 Las 3 áreas
que se deben
considerar
siempre
para la
implantación
con éxito de
ISO/IEC 20000

38
Herramientas
mínimas y
necesarias en
la gestión del
servicio y los
procesos a los
que dan
soporte

39
 Planificación e
Implantación de Servicios
Smart IT Scan
Nuevos o Modificados

40
ISO 20000

41
 Esquema
general del
proceso de
planificación e
implantación
de nuevos
servicios o de
servicios
modificados

42
 Alcance del
proceso
comparado
con el ciclo de
vida
del servicio de
ITIL v3

43
 El ciclo de
creación de los
servicios
comienza en el
cliente, termina
con los servicios
operativos y
utiliza el resto
de procesos y
actividades de
TI

44
 El proceso de
creación de
servicios integra
en su flujo a los
procesos
de desarrollo de
software y las
metodologías
de gestión de
proyectos

45
 Ciclo tipo de
creación de
servicios en el
marco de las
actividades de
TI

46
 El proceso
orquesta la
actividad de
fabricación del
servicio

47
Introducción
general al
proceso

48
Los factores
clave del
proceso

49
Componentes
principales de
las etapas de
diseño y
transición del
proceso

50
 Entradas,
actividades y
salidas del
proceso

51
 Secuencia de
actividades
principales del
proceso con
foco
en la
integración
con otros
procesos de
gestión del
servicio
52
 ISO 20000-1
• En las propuestas de nuevos servicios o modificaciones
Planificación e
en los existentes, se deben considerar los costes y el
Implantación de
impacto a nivel organizativo, técnico y comercial que
Servicios Nuevos
pudiera derivar de su entrega y gestión.
o Modificados

53
 • La planificación e implementación deben incluir los
fondos y recursos adecuados para llevar a cabo los
cambios necesarios para la provisión y la gestión del
servicio.
• Los planes deben incluir:
ISO 20000-1 a) los roles y responsabilidades para implementar,
operar y mantener los nuevos servicios o
Planificación e modificaciones en los existentes, incluyendo las
Implantación de actividades a llevar a cabo por clientes y
Servicios Nuevos suministradores;
o Modificados b) los cambios en el marco de trabajo existente de
gestión del servicio y en los propios servicios;
c) la comunicación a las partes afectadas;
d) los nuevos contratos y acuerdos, o modificaciones a
los contratos y acuerdos existentes, para estar
alineados con las necesidades del negocio; 54
 • Los planes deben incluir:
e) los requisitos de mano de obra y contratación;
f) los requisitos de perfiles y formación, por ejemplo
usuarios, soporte técnico;
ISO 20000-1
g) los procesos, medidas, métodos y herramientas que
Planificación e
han de usarse con relación a los nuevos servicios o
Implantación de
modificaciones en los existentes, por ejemplo
Servicios Nuevos
gestión de la capacidad, gestión financiera;
o Modificados
h) los presupuestos y plazos de tiempo;
i) los criterios de aceptación del servicio; y
j) los resultados esperados al operar con el nuevo
servicio, expresados en términos medibles.
55
 • La implementación de nuevos servicios o
ISO 20000-1
modificaciones en los existentes, incluyendo la
Planificación e
eliminación de un servicio, debe ser planificada y
Implantación de
aprobada a través de un proceso formal de gestión del
Servicios Nuevos
cambio.
o Modificados

56
 ISO 20000-1
• Los nuevos servicios, o las modificaciones en los
Planificación e
existentes, deben ser aceptados por el proveedor del
Implantación de
servicio antes de ser implementados en el entorno de
Servicios Nuevos
producción real.
o Modificados

57
 • Tras la implementación, el proveedor del servicio debe
ISO 20000-1 informar de los resultados alcanzados por el servicio
Planificación e nuevo, o por el servicio modificado, comparándolos
Implantación de con los previstos. Se debe realizar una revisión
Servicios Nuevos posterior a la implementación, que compare los
o Modificados resultados reales con los planificados a través del
proceso de gestión del cambio.

58
 Métricas
relevantes
para el
proceso de
creación de
servicios

59
 Roles del
proceso de
creación de
servicios

60
 Resumen del
ciclo de
fabricación de
un servicio de
TI

61
Procesos de Relación
Smart IT Scan

62
ISO 20000

63
 Los procesos
de relación en
ISO/IEC 20000

64
Gestión de las Relaciones Raúl Castro

con elSmart
Negocio
IT Scan Pablo Retamales

65
 Actividades
del proceso de
gestión de las
relaciones con
el negocio

66
 Introducción
al proceso de
gestión de las
relaciones
con el negocio

67
 El proceso de
relaciones con
el negocio
enmarcado
entre el
negocio y el
resto de la
organización
de TI

68
 Bases de la
gestión de las
relaciones con
el negocio

69
Componentes
más
destacados del
proceso de las
relaciones con
el negocio

70
 Entradas,
actividades y
salidas del
proceso de las
relaciones con
el negocio

71
 Distribución
de actividades
entre la
gestión de
nivel de
servicio
y la gestión de
las relaciones
con el negocio
en ISO/IEC
20000
72
 • El proveedor del servicio y los clientes se deben reunir, al
menos una vez al año, para la revisión del servicio y para
discutir cualquier cambio en el alcance del mismo, en el
SLA, en el contrato (si existe) o en las necesidades del
negocio. Se deben mantener reuniones a intervalos
acordados para discutir el comportamiento y las
prestaciones, los cumplimientos, asuntos varios y planes
de acción. Estas reuniones se deben documentar.
ISO 20000-1 • A las reuniones puede invitarse a otros actores
Revisión del relacionados con el servicio.
Servicio • Los cambios al contrato(s), si existen, y al SLA deben ser
el resultado de las reuniones mencionadas, cuando sea
apropiado. Estos cambios deben estar sujetos al proceso
de gestión del cambio.
• El proveedor del servicio debe permanecer al tanto de
las necesidades del negocio y de los principales cambios
en el mismo para preparar una respuesta a dichas
necesidades 73
 • Debe existir un proceso de reclamaciones. La
definición de la reclamación formal sobre el servicio
debe estar acordada con el cliente. Todas las
reclamaciones formales sobre el servicio son
ISO 20000-1 registradas por el proveedor del servicio,
Reclamación del investigadas, controladas emprendiendo acciones
Servicio sobre ellas, informadas y formalmente cerradas.
• Cuando una reclamación no sea resuelta mediante
los canales normales, el cliente debe disponer de un
mecanismo de escalado.

74
 • El proveedor del servicio debe tener una o varias
personas asignadas como responsable(s) de
gestionar la satisfacción del cliente y todo el proceso
de gestión de relaciones con el negocio. Debe existir
ISO 20000-1 un proceso de medición periódica de la satisfacción
Medición de la del cliente para obtener información y comentarios,
satisfacción del y actuar en consecuencia.
cliente
• Las acciones de mejora que se identifiquen durante
este proceso se deben registrar y utilizar como
información de entrada para un plan de mejora del
servicio

75
 La misión de
punto de
contacto único
con el cliente
de este
proceso

76
Resumen de
las métricas
para este
proceso
estratificadas
por
destinatario

77
 Roles del
proceso de
gestión de las
relaciones con
el negocio

78
 Gestión de
Suministradores
Smart IT Scan

79
 Actividades
del proceso de
gestión de
suministrador

80
 Introducción
al proceso de
gestión de
suministrador

81
 Bases de la
gestión de
suministrador

82
El proceso de
gestión de
suministrador

83
 Diversos
alcances del
proceso de
gestión de
suministrador

84
 Entradas,
actividades y
salidas del
proceso

85
 • El proveedor del servicio debe tener documentados los
procesos de gestión de suministradores y debe designar
un gestor responsable del contacto con cada
suministrador
• Los SLAs con los suministradores se deben alinear con
los SLAs con el negocio.
• Las interfaces entre los procesos utilizados por cada
ISO 20000-1 parte deben ser acordadas y documentadas.
Gestión de • Todos los roles y relaciones entre suministradores
principales y subcontratados deben estar claramente
Suministradores documentados. Los suministradores principales deben
ser capaces de demostrar que tienen procesos para
garantizar que los subcontratistas cumplen con los
requisitos contractuales.
• Se debe disponer de un proceso para la revisión
detallada del contrato o del acuerdo formal, con
periodicidad mínima anual, que garantice que las
necesidades y obligaciones contractuales del negocio se
siguen cumpliendo. 86
 Principales
actividades del
ciclo de
selección y
contratación
del
suministrador

87
 • Los requisitos, alcance, nivel de servicio y procesos
de comunicación a ser proporcionados por el
ISO 20000-1 suministrador(es) se deben acordar por todas las
Gestión de partes y documentar en los SLAs u otros
Suministradores documentos.
• Los SLAs con los suministradores se deben alinear
con los SLAs con el negocio.

88
 • Se debe monitorizar y revisar el comportamiento y
las prestaciones frente a los objetivos de nivel de
ISO 20000-1 servicio.
Gestión de • Las acciones de mejora identificadas durante este
Suministradores proceso se deben registrar y utilizar como
información de entrada al plan de mejora del
servicio.

89
 Principales
actividades de
la gestión de
la prestación
del
suministrador

90
 • Los cambios al contrato(s), si existen, y los SLAs
ISO 20000-1 deben ser el resultado de estas revisiones o de
Gestión de aquellas requeridas en cualquier otro momento.
Suministradores • Cualquier cambio debe estar sujeto al proceso de
gestión del cambio

91
 Principales
actividades de
la fase de
finalización del
contrato

92
ISO 20000-1
• Debe existir un proceso para tratar los desacuerdos
Gestión de
contractuales.
Suministradores

93
 Ejemplo de
métricas para
este proceso

94
 Roles del
proceso de
gestión de
suministrador

95
Procesos de Resolución
Smart IT Scan

96
ISO 20000

97
Los procesos
de resolución
en ISO/IEC
20000

98
 Jesús Calles
Gestión de Incidentes
Smart IT Scan Francisco Cruz

99
 Actividades
principales del
proceso de
gestión del
incidente

100
Introducción
al proceso de
gestión del
incidente

101
Bases de la
gestión del
incidente

102
Componentes
del Proceso

103
 Entradas,
actividades y
salidas del
proceso

104
Ciclo de vida
del incidente

105
 • Se deben registrar todos los incidentes.
• Se deben adoptar procedimientos para gestionar el
ISO 20000-1 impacto de los incidentes.
Gestión de • Los procedimientos deben definir el registro, la
Incidentes priorización, el impacto en el negocio, la
clasificación, la actualización, el escalado, la
resolución y el cierre formal de todos los incidentes.

106
 • Se puede informar sobre incidentes mediante
llamadas telefónicas, buzón de voz, visitas, cartas,
faxes o mensajes de correo electrónico, o bien
pueden ser registrados los avisos directamente por
los clientes que tengan acceso al sistema de registro
ISO 20000-1 de incidentes, o se pueden registrar
Gestión de automáticamente mediante un software de
Incidentes supervisión automática.
• El progreso (o su ausencia) de la resolución del
incidente se debería comunicar a las partes real o
potencialmente afectadas. Todas las acciones se
deberían registrar en el registro del incidente

107
 • Todo el personal implicado en la gestión del
ISO 20000-1 incidente debe tener acceso a información relevante
Gestión de como, por ejemplo errores conocidos, resoluciones
Incidentes de problemas y la base de datos de gestión de la
configuración.

108
Ciclo de vida
de la petición
de servicio

109
Métricas para
este proceso

110
Métricas para
este proceso

111
 Roles del
proceso de
gestión del
incidente

112
Gestión de Problemas
Smart IT Scan

113
 Actividades
principales del
proceso de
gestión del
problema

114
Introducción
al proceso de
gestión del
problema

115
Bases de la
gestión del
problema

116
Componentes
principales del
proceso

117
 Entradas,
actividades y
salidas del
proceso

118
Actividades
del ciclo de
vida de un
problema

119
 • Se deben registrar todos los problemas
identificados.
ISO 20000-1 • Se deben adoptar procedimientos para identificar,
Gestión de minimizar y evitar el impacto de los incidentes y de
Problemas los problemas. Estos procedimientos deben definir
el registro, la clasificación, la actualización, el
escalado, la resolución y el cierre de todos los
problemas.

120
 • Se deben remitir al proceso de gestión del cambio
ISO 20000-1
los cambios necesarios para corregir la causa
Gestión de
subyacente de problemas.
Problemas

121
ISO 20000-1 • Las acciones de mejora identificadas durante este
Gestión de proceso se deben registrar e incluir en el plan de
Problemas mejora del servicio

122
Métricas para
este proceso

123
 Roles
principales del
proceso de
gestión del
problema

124
Procesos de Provisión del
Servicio
Smart IT Scan

125
Procesos de
provisión del
servicio y su
ámbito de
relación

126
 Rodrigo Lagos
Gestión de la Capacidad
Smart IT Scan Francisco Cruz

127
 Esquema
general del
proceso de
gestión de la
capacidad

128
Introducción
al proceso de
gestión de la
capacidad

129
Principios
básicos del
proceso

130
Componentes
principales del
proceso de
gestión de la
capacidad

131
 Entradas,
actividades y
salidas del
proceso

132
Actividades de
la gestión de
la capacidad

133
• La gestión de la capacidad debe elaborar y mantener un plan
de capacidad.
• La gestión de la capacidad debe estar dirigida a las
necesidades del negocio y debe incluir:
a) los requisitos de capacidad, rendimiento y
comportamiento, actuales y previstos;
b) la identificación de plazos, umbrales y costes para las
actualizaciones del servicio
c) la evaluación de los efectos sobre la capacidad de
actualizaciones anticipadas del servicio, peticiones de
cambio, y nuevas tecnologías y técnicas;
d) la previsión del impacto de cambios externos, por ejemplo
cambios legislativos;
e) los datos y los procesos para poder realizar análisis
predictivos.

134
Estructura del
plan de
capacidad
propuesta en
ITIL

135
Estructuración
ejemplo de la
base de datos
de capacidad

136
 Ejemplo de
escenarios del
negocio
en un plan de
capacidad

137
 • Se deben identificar métodos, procedimientos y
técnicas para la monitorización de la capacidad del
Aspectos servicio, el ajuste del comportamiento y de las
Normativos prestaciones del servicio y la provisión de la
adecuada capacidad.

138
Métricas para
este proceso

139
 Roles del
proceso de
gestión de la
capacidad

140
 Rodrigo Lagos
Informes del Servicio
Smart IT Scan Francisco Cruz

141
 Esquema
general del
proceso de
generación de
informes de
servicio

142
 Introducción
al proceso de
generación de
informes del
servicio

143
 Principios
básicos de la
generación de
informes

144
 Entradas,
actividades y
salidas del
proceso

145
 • Se debe describir claramente cada informe de servicio,
incluyendo su identificador, el propósito, la audiencia y los
detalles del origen de los datos.
• Los informes de servicio se deben generar para verificar si se
cumplen los requisitos y necesidades de los usuarios. Los
informes de servicio deben incluir:
a) el rendimiento y comportamiento frente a los objetivos de
nivel de servicio;
b) las no conformidades y problemas relacionados, por
Aspectos ejemplo con los SLA o agujeros de seguridad;
Normativos c) las características de la carga de trabajo, por ejemplo
volumen o utilización de recursos;
d) los informes de los resultados de los principales eventos,
por ejemplo los principales incidentes y cambios;
e) la información sobre tendencias;
f) el análisis de satisfacción
• Las decisiones de gestión y las acciones correctivas deben
tener en cuenta los aspectos destacados en los informes de
servicio y deben comunicarse a las partes afectadas
146
Representación
en tres niveles
de los
indicadores de
los procesos

147
 Clasificación
de los
informes más
relevantes
utilizados en
TI

148
 Periodicidad
de los diversos
informes en TI

149
 Métricas
principales
para el
proceso

150
 Roles del
proceso de
generación de
informes del
servicio

151
 Gestión de la Eduardo Gomez
Disponibilidad y la
Smart IT Scan
Continuidad del Servicio
Osvaldo Cifuentes

152
 Esquema
general del
proceso de la
gestión de
la
disponibilidad
y de la
continuidad

153
 Introducción
al proceso de
gestión de la
disponibilidad
y continuidad

154
 Principios
básicos de la
gestión de la
disponibilidad
y continuidad

155
 Diferentes
aproximacione
s a la
disponibilidad
en ITIL

156
 Estructura
bastante
similar de las
actividades de
continuidad
en las dos
versiones de
ITIL

157
Elementos del
proceso de
gestión de la
disponibilidad
y de la
continuidad

158
 Entradas,
actividades y
salidas de la
gestión de la
disponibilidad

159
Actividades de
la gestión de
la
disponibilidad

160
 • Se deben identificar los requisitos de disponibilidad
y de continuidad del servicio sobre la base de los
planes de negocio, los SLAs y las evaluaciones del
Aspectos riesgo.
Normativos • Los requisitos deben incluir los derechos de acceso y
los tiempos de respuesta, así como, la disponibilidad
extremo a extremo de los componentes del sistema.

161
 Contenido
tipo de un
plan de
disponibilidad
y
del plan de
recuperación
asociado

162
 • La disponibilidad se debe medir y registrar.
Aspectos • Se debe investigar la no disponibilidad no planeada
Normativos y se deben llevar a cabo las acciones necesarias

163
 • Los planes de disponibilidad y continuidad del servicio se
deben desarrollar y revisar al menos una vez al año, para
asegurar que los requisitos cumplen lo acordado bajo
todas las circunstancias, desde la normalidad hasta la
pérdida grave del servicio.
• Estos planes se deben mantener para asegurar que
Aspectos reflejan los cambios acordados, requeridos por el
negocio.
Normativos
• Los planes de disponibilidad y de continuidad del
servicio se deben probar de nuevo cuando se produzca
un cambio importante en el entorno del negocio.
• El proceso de gestión del cambio debe evaluar el
impacto de cualquier cambio sobre los planes de
disponibilidad y de continuidad del servicio.

164
 Entradas,
actividades y
salidas de la
gestión de la
continuidad

165
 Esquema de
las actividades
de la gestión
de la
continuidad
de TI

166
Estructura tipo
del BIA

167
Ficha ejemplo
para la
descripción de
las VBF

168
Metodologías
de evaluación
y de gestión
de riesgos

169
 Estructura
ejemplo de un
plan de
continuidad
de TI

170
 • Los planes de continuidad del servicio, la lista de
contactos y la base de datos de gestión de la
configuración deben estar disponibles incluso en el
Aspectos caso de que no sea posible el acceso normal a las
Normativos oficinas.
• El plan de continuidad del servicio debe incluir la
actividad de vuelta a la normalidad.

171
 Contenido
tipo de un
plan de
recuperación
ante un
desastre

172
 • El plan de continuidad del servicio debe probarse de
acuerdo a las necesidades del negocio.
Aspectos
• Todas las pruebas de continuidad se deben registrar
Normativos y tras las pruebas fallidas se deben elaborar planes
de acción.

173
Métricas de la
gestión de la
disponibilidad

174
 Métricas
principales de
la gestión de
la continuidad

175
 Roles de
gestión de la
disponibilidad
y continuidad

176
Gestión del Nivel de Luis Meza

Servicio
Smart IT Scan Felipe Cancino

177
 Esquema
general del
proceso de la
gestión de
nivel de
servicio

178
Introducción
al proceso de
gestión de
nivel de
servicio

179
Principios
básicos del
proceso

180
 Principales
componentes
del proceso de
gestión
de nivel de
servicio

181
 Entradas,
actividades y
salidas del
proceso de
gestión
de nivel de
servicio

182
 • Se deben acordar por las partes, y registrar, el
conjunto total de los servicios a ser provistos, junto
Aspectos a los correspondientes objetivos de nivel de servicio
Normativos y las características de la carga de trabajo que deben
soportar

183
Estructura tipo
de un catálogo
de servicios

184
 • Cada servicio ofrecido se debe definir, acordar y
documentar en uno o más acuerdos de nivel de
servicio (SLAs).
• Se deben acordar y registrar por todas las partes
Aspectos relevantes los SLAs, junto con los acuerdos de
Normativos servicios de soporte, los contratos con
suministradores y los correspondientes
procedimientos.
• Los SLAs deben estar bajo el control de la gestión del
cambio.

185
 Plantilla de
una ficha
descriptiva de
un servicio

186
Acuerdos de
nivel de
servicio
multinivel

187
 • Los SLAs se deben revisar periódicamente por las
partes, para asegurar que se encuentran
Aspectos actualizados y continúan siendo eficaces con el
Normativos transcurso del tiempo.

188
Ejemplo de la
cadena de
control de los
SLA

189
 Contenido
tipo de un
acuerdo de
nivel operativo
(OLA)

190
 Contenido
tipo de los
contratos de
soporte (UC)

191
 • Los niveles de servicio se deben monitorizar y se
deben generar informes de dichos niveles con
relación a los objetivos, mostrando tanto la
información actual como las tendencias. Las razones
Aspectos para las no conformidades se deben comunicar y
Normativos revisar
• Las acciones de mejora definidas durante este
proceso se deben registrar y constituyen una
entrada al plan de mejora del servicio.

192
 Contenido
tipo de un SIP

193
 Principales
relaciones del
proceso de
gestión de
nivel de
servicio
con otros
procesos y
áreas de TI

194
Métricas para
este proceso

195
Roles para el
proceso de
gestión de
nivel de
servicio

196
 Presupuesto y Eduardo Seco
Contabilidad de los
Smart IT
Servicios de TIScan Camilo Vidal

197
 Actividades
principales del
proceso de
gestión
financiera de
TI

198
Introducción
al proceso de
gestión
financiera de
TI

199
 Principios
directores que
deben regir el
proceso

200
Componentes
principales del
proceso de
gestión
financiera de
TI

201
 Entradas,
actividades y
salidas del
proceso

202
Integración de
la gestión
financiera de
TI con
la gestión
financiera de
la empresa

203
Integración de
la gestión
financiera de
TI con
la gestión
financiera de
la empresa

204
 • Debe haber políticas y procedimientos claros para:
a) presupuestar y contabilizar todos los
componentes, incluyendo los activos de
tecnologías de la información, recursos
Aspectos compartidos, gastos generales, servicios
Normativos suministrados externamente, personas, seguros y
licencias;
b) la repercusión de costes indirectos y la asignación
de costes directos a servicios;
c) el control económico efectivo y la autorización.

205
 Propuesta de
una estructura
común de los
elementos de
coste en TI

206
 • Los costes se deben presupuestar con suficiente
detalle para permitir el control económico efectivo y
la toma de decisiones.
• El proveedor del servicio debe monitorizar e
informar de los costes contra el presupuesto, revisar
Aspectos las previsiones económicas y gestionar los costes en
Normativos consonancia.
• Los costes de los cambios en el servicio se deben
valorar y aprobar a través del proceso de gestión del
cambio.

207
 Plantilla
simplificada
para la
elaboración de
un
presupuesto
de TI

208
Ejemplo de un
modelo de
coste por
servicio

209
 Roles del
proceso de
gestión
financiera de
TI

210
Métricas para
este proceso

211
Gestión de la Seguridad
de la Información
Smart IT
[* ISO 27001] Scan

212
 Fabian Medina/Rodrigo Pedemonte

Raul Castro/Ricarte Hernandez

Rodrigo Lagos/Francisco Cruz Luis Meza/Felipe Cancino Luis Leiva/Miguel Angel Ortiz
Eduardo Gomez/Osvaldo Rodrigo Lagos/Francisco Cruz
Cifuentes Eduardo Seco/Camilo Vidal

Andres Campos/David Catrileo

Rodrigo Lagos/David Catrileo
Mario Estrada/Carolina Bravo

Jesús Calles/Francisco Cruz Raul Castro/Pablo Retamales

Jesús Calles/Francisco Cruz Carlos Ulises

213
 Actividades
del proceso de
gestión de la
seguridad de
la información

214
 Introducción
al proceso de
gestión de
seguridad de
la información

215
 Principios
básicos del
proceso
de gestión de
la seguridad
de la
información

216
Componentes
del proceso de
gestión de
seguridad

217
 Entradas,
actividades y
salidas
de gestión de
seguridad de
la información

218
 Actividades
del SGSI según
ISO 27001

219
 Enfoque de la
gestión de la
seguridad de
la información

220
Contenidos de
la política de
seguridad de
la información

221
 • La dirección, con la autoridad apropiada, debe
Aspectos aprobar una política de seguridad de la información,
Normativos que debe comunicarse a todo el personal implicado
y, cuando sea adecuado, a los clientes.

222
 • Los adecuados controles de seguridad deben ayudar a:
a) implementar los requisitos de la política de seguridad
de la información;
b) gestionar los riesgos asociados al acceso al servicio o a
los sistemas.
Aspectos
Normativos • Los controles de seguridad deben estar documentados.
La documentación debe describir los riesgos a los que
están asociados los controles, la manera de utilizarlos y
el mantenimiento de los mismos.
• El impacto de los cambios sobre los controles se debe
evaluar antes de que los cambios sean implementados.

223
 Áreas de
gestión de la
seguridad en
ISO/IEC 27001
y el apartado
en el que se
tratan en la
norma

224
Ejemplo de los
controles en
las
Normas
ISO/IEC 27001
e ISO/IEC
17799

225
 • Los servicios que impliquen el acceso de
organizaciones externas a los sistemas de
Aspectos información y a los servicios, deben estar basados
Normativos en un acuerdo formal que defina todos los requisitos
de seguridad necesarios.

226
 • Los incidentes de seguridad se deben comunicar y
registrar tan pronto como sea posible de acuerdo a los
procedimientos de gestión del incidente.
• Se deben poner en marcha procedimientos para
asegurar que todos los incidentes de seguridad son
investigados, y que se toman medidas al respecto.
Aspectos
• Se deben poner en marcha mecanismos para poder
Normativos cuantificar y monitorizar los tipos, volúmenes e impacto
de los incidentes y el mal funcionamiento de la
seguridad.
• Las acciones de mejora identificadas durante este
proceso se deben registrar y servir como información de
entrada al plan de mejora del servicio.
227
 Sistema
Unificado

228
 Métricas del
proceso de
seguridad de
la información

229
 Roles que
intervienen en
el proceso de
gestión
de la
seguridad de
la información

230
 Andres Campos
David Catrileo
Procesos de Control Rodrigo Lagos
Smart IT Scan Mario Estrada
Carolina Bravo

231
Procesos de
Control

232
Gestión de la Andres Campos

Configuración
Smart IT Scan David Catrileo

233
 Actividades
principales del
proceso de
gestión de la
configuración

234
Introducción
al proceso de
gestión de la
configuración

235
 Bases de la
gestión de la
configuración

236
Componentes
del Proceso

237
 Entradas,
actividades y
salidas del
proceso

238
 Actividades
principales de
gestión de la
configuración

239
 • Debe existir una visión integrada para la planificación de la gestión del cambio y
de la configuración.
• El proveedor del servicio debe definir la interfaz con los procesos de contabilidad
financiera de activos.
Nota: La contabilidad financiera de los activos queda fuera del ámbito de esta
sección.
• Debe existir una política que defina qué se considera como elemento de
configuración y qué componentes lo constituyen.
Aspectos • Deben estar controladas, en una biblioteca física o electrónica segura, las copias
maestras de los elementos de configuración digitales, con referencias a los
registros de configuración, por ejemplo software, productos de prueba,
Normativos documentos de soporte.
• Todos los elementos de configuración deben ser identificables de manera única y
registrados en la base de datos de gestión de la configuración, cuyo acceso para
actualizaciones se debe controlar de manera estricta.
• La base de datos de gestión de la configuración se debe gestionar y verificar
activamente para asegurar su fiabilidad y precisión.
• El estado de los elementos de configuración, sus versiones, ubicación, cambios y
problemas relacionados, así como la documentación asociada deben estar visibles
para quienes lo requieran.

240
Índice ejemplo
del plan de
gestión de la
configuración

241
 • Se debe definir la información que se debe registrar
para cada elemento, y se deben incluir las relaciones
y la documentación necesaria para la gestión
efectiva del servicio.
• La gestión de la configuración debe proporcionar los
Aspectos mecanismos para identificar, controlar y hacer el
Normativos seguimiento de las versiones de los componentes
identificables del servicio y de la infraestructura.
• Se debe asegurar que el grado de control es
suficiente para cubrir las necesidades del negocio,
los riesgos de fallo y la criticidad del servicio.

242
Ficha ejemplo
de un
elemento de
configuración

243
 Diseño
ejemplo de
una CMDB

244
 Elementos a
considerar en
el diseño de la
DSL

245
 • Los procedimientos de control de configuración
Aspectos deben asegurar que se mantiene la integridad de los
Normativos sistemas, servicios y componentes de servicio

246
 • La gestión de la configuración debe proporcionar
información al proceso de gestión del cambio sobre
el impacto de un cambio solicitado sobre la
configuración del servicio y de la infraestructura.
• Los cambios en los elementos de configuración
Aspectos deben ser fáciles de identificar y auditables cuando
Normativos sea apropiado, por ejemplo para cambios y
movimientos en el software y el hardware.
• Antes de un paso al entorno real, debe establecerse
una línea de referencia de los elementos de
configuración correspondientes

247
 • Los procedimientos de auditoría de la configuración
deben incluir el registro de deficiencias, el
Aspectos lanzamiento de acciones correctivas y la
Normativos comunicación de su resultado

248
Métricas para
este proceso

249
 Roles del
proceso de
gestión de la
configuración

250
 Rodrigo Lagos
Gestión de Cambios
Smart IT Scan David Catrileo

251
 Esquema
general del
proceso de la
gestión del
cambio

252
Introducción
al proceso de
gestión del
cambio

253
 Principios
directores que
deben regir la
gestión del
cambio

254
Elementos del
proceso de
gestión del
cambio

255
 Entradas,
actividades y
salidas del
proceso de
gestión del
cambio

256
 • Los cambios en los servicios y la infraestructura deben tener un
ámbito claramente definido y documentado.
• Todas las peticiones de cambio se deben registrar y clasificar, por
ejemplo en urgentes, de emergencia, importantes, menores. Se
debe evaluar el riesgo, el impacto y los beneficios para el negocio
de las peticiones de cambio.
• El proceso de gestión del cambio debe incluir la forma en que
puede darse marcha atrás o corregir cada cambio si no se realiza
Aspectos con éxito.
Normativos • Los cambios se deben aprobar y tras ello deben ser comprobados,
y deben ser implementados de una forma controlada.
• Las fechas planificadas para la implementación de los cambios se
deben utilizar como base para la planificación de cambios y
entregas.
• Se debe mantener y comunicar a las partes correspondientes la
planificación que contenga los detalles de todos los cambios
aprobados para su implementación y las fechas propuestas.

257
 Ciclo de vida
completo de
un cambio
grande (macro
o mayor)

258
 Formato
ejemplo de
una solicitud
de cambio

259
Composición
del comité de
cambios

260
 • Se debe revisar el éxito de todos los cambios y, en
Aspectos caso contrario, se deben decidir y llevarse a cabo
Normativos acciones correctivas tras la implementación.

261
 • Deben existir políticas y procedimientos para
Aspectos controlar la autorización e implementación de
Normativos cambios de emergencia.

262
 • Los registros de cambios se deben analizar
regularmente para detectar incrementos
en el volumen de cambios, tipos recurrentes
frecuentemente, tenencias emergentes y
cualquier otra información relevante.
Aspectos • Los resultados y conclusiones obtenidos a partir del
Normativos análisis de los cambios se deben registrar.
• Las acciones de mejora identificadas para la gestión
del cambio se deben registrar y debe proporcionar
información de entrada al plan de mejora del
servicio.

263
Métricas para
este proceso

264
 Roles del
proceso de
gestión del
cambio

265
Gestión de Entregas
Smart IT Scan

266
 Esquema
general del
proceso de la
gestión de la
entrega

267
Introducción
al proceso de
gestión de la
entrega

268
Principios
básicos del
proceso

269
Componentes
principales del
proceso de
gestión de la
entrega

270
 Entradas,
actividades y
salidas del
proceso

271
 • Nota: El proceso de gestión de la entrega se debería
integrar con los procesos de gestión de la
configuración y de gestión del cambio.
• El proveedor del servicio debe planificar con el
negocio la entrega de los servicios, sistemas,
Aspectos software y hardware.
Normativos • Los planes sobre cómo desplegar una entrega se
deben acordar y autorizar por todas las partes
pertinentes, por ejemplo clientes, usuarios, personal
de operaciones y de soporte.

272
 • Se debe documentar y acordar la política de entrega
Aspectos que establezca la frecuencia y el tipo de las entregas.
Normativos

273
 Esquema de
una política de
entrega

274
Ciclo de Vida
de una
Entrega

275
 • El proveedor del servicio debe planificar con el negocio la entrega de los servicios,
sistemas, software y hardware. Los planes sobre cómo desplegar una entrega se
deben acordar y autorizar por todas las partes pertinentes, por ejemplo clientes,
usuarios, personal de operaciones y de soporte.
• El proceso debe incluir la forma en que se de marcha atrás o se corrija la entrega
si no se realiza con éxito.
• Los planes deben registrar los entregables y las fechas de la entrega, y hacer
referencia a las peticiones de cambio, errores conocidos y problemas
Aspectos relacionados.
• El proceso de gestión de la entrega debe proporcionar la información adecuada al
Normativos proceso de gestión del incidente.
• Las peticiones de cambio se deben evaluar en cuanto a su impacto en los planes
de entregas.
• Los procedimientos de gestión de la entrega deben incluir la actualización
y el cambio de la información de configuración y los registros de cambio.
• Las entregas de emergencia se deben gestionar de acuerdo a un proceso definido
que realice la interfaz con el proceso de gestión del cambio de emergencia

276
 • Se debe establecer un entorno controlado de
pruebas de aceptación para construir
Aspectos y probar todas las entregas previamente a su
Normativos distribución.

277
 • Las entregas y su distribución se deben diseñar e
implementar de forma que la integridad del
Aspectos hardware y del software se mantenga a lo largo de
Normativos la instalación, la manipulación, el empaquetado y la
provisión.

278
Métricas para
este proceso

279
 Roles del
proceso de
gestión de la
entrega

280
Proceso de Certificación
Etapas de un
ciclo de
certificación
genérico

282
Ciclo típico de
certificación
utilizado para
ISO/IEC
20000-1

283
Solicitud de
certificación

284
Contenido del
plan para la
auditoría fase
II

285
Certificado de
Registro de
Empresa
ISO/IEC 20000

286
 • Las pretensiones de dar conformidad a los requisitos de la norma ISO/IEC 20000
pueden ser verificadas de manera independiente como parte de un esquema oficial
de certificación, gestionado a través de ISO.

• ISO ha determinado estándares para que las Entidades de acreditación puedan

acreditar Organismos de Evaluación de la Conformidad (Conformity assessment
bodies (organismos de certificación Cab)).

• “Evaluación de la conformidad” es un término técnico dado al proceso de evaluar y

aprobar.
El Proceso de
Certificación • Estos organismos de certificación pueden de esta manera evaluar y certificar
organizaciones que se ajusten a los requisitos de ISO/IEC 20000.

• Si se verifica que una organización se ajusta a los requisitos de la norma ISO/IEC

20000, puede ser registrada como tal por el organismo de certificación.

• Un organismo de certificación puede ser acreditado por una entidad de acreditación

que esté reconocido por ISO. un organismo de certificación puede ofrecer sus
servicios en cualquier país, esté acreditado o no en ese país.

287
El Proceso de
Certificación

288
 • Las organizaciones pueden evaluar su conformidad con ISO/IEC
20000 y – si la evaluación es positiva – pueden ser certificadas por
Entidades acreditadas de Certificación.

• Las entidades de certificación necesitan obtener la acreditación de

un Organismo de acreditación en un país que sea miembro de ISO.
Acreditación
de Entidades • La norma ISO/IEC 20000 sigue las reglas internacionales
de estandarizadas, de acuerdo a ISO.
Certificación
• Todos los países que son miembros de la organización ISO tienen
organismos nacionales propios de acreditación, y estos cuerpos de
acreditación tienen el poder investido que les otorga el derecho de
certificar a organizaciones bajo ISO 20000

289
 • Hasta la fecha, muchas organizaciones en todo el mundo
ofrecen cursos de formación en ISO/IEC 20000, tanto para las
organizaciones proveedoras de TI como para certificadores,
demostrando el incremento del amplio interés inicial en
ISO/IEC 20000

Formación

290
 • Aunque los proveedores de servicio TI pueden afirmar que cumplen con las
especificaciones de la norma ISO/IEC 20000, una auditoría y una certificación formal
les darán significativamente más peso para dar a conocer al mercado dicho
cumplimiento.
• los proveedores de servicio que quieran certificarse bajo la norma ISO/IEC 20000
pueden contactar con una Entidad de Certificación acreditada (Certificador) en
cualquier parte del mundo, y solicitar la certificación.
• los Certificadores son evaluados y aprobados por el propietario del esquema de
certificación. los Certificadores son sometidos a una revisión minuciosa para velar
por su independencia y competencia. Nótese que un Certificador no puede ser una
compañía proveedora de servicios de consultoría de ITIl porque entraría en un
Certificación conflicto de intereses; el auditor debe ser independiente, de ahí la necesidad de
separar auditoría de servicios de consultoría. La lista de Certificadores acreditados
está disponible por el propietario del esquema.
• los Certificadores certificarán a los proveedores de servicio de TI de acuerdo a los
requerimientos de la norma y expedirán un certificado.
• los proveedores de servicio certificados tienen derecho a utilizar el logo oficial, de
acuerdo a las restricciones y requerimientos especificados, y son incluidos en una
lista pública.
• los proveedores de servicio certificados serán evaluados regularmente para
confirmar su conformidad con ISO/IEC 20000.

291
Certificación

292
Evidencias y Registros
 Esquema
general de los
registros y
evidencias

294
 Evidencias
para “3.
Requisitos de
un sistema de
gestión”

295
 Evidencias
para “3.
Requisitos de
un sistema de
gestión”

296
 Evidencias
para “4.
Planificación e
implementaci
ón de la
gestión del
servicio”

297
 Evidencias
para “4.
Planificación e
implementaci
ón de la
gestión del
servicio”

298
 Evidencias
para “5.
Planificación e
implementaci
ón de
nuevos
servicios o de
servicios
modificados”

299
 Evidencias
para “6.
Procesos de
provisión de
servicio”

300
 Evidencias
para “6.
Procesos de
provisión de
servicio”

301
 Evidencias
para “6.
Procesos de
provisión de
servicio”

302
 Evidencias
para “6.
Procesos de
provisión de
servicio”

303
 Evidencias
para “7.
Procesos de
relación”

304
 Evidencias
para “8.
Procesos de
resolución”

305
 Evidencias
para “9.
Procesos de
control”

306
 Evidencias
para “9.
Procesos de
control”

307
Evidencias
para “10.
Proceso de
entrega de
versiones

308
 Ejemplo de
Implantación

309
Chequeo de
Preparación

310
Mesa Abierta
Smart IT Scan

311
 ¿Respuesta
¿Preguntas? conocida?
Responder

Indicar que
Agradecer a la lamentablemente se
Audiencia acabó el tiempo de la
presentación

Cerrar la
Presentación

312
 • ¿Cómo me voy de esta sesión?
• ¿Cómo quedaron mis
Check Out expectativas?
• ¿Algo que debiera mejorarse?

313