Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Guía práctica de ISO/IEC 20000-1 para servicios TIC Ana Andrés Álvarez Carlos Manuel Fernández Sánchez Boris Delgado Riss www.full-ebook.com http://www.aenor.es/aenor/normas/ediciones/ediciones.asp Créditos Título: Guía práctica de ISO/IEC 20000-1 para servicios TIC. ePUB Autores: Ana Andrés Álvarez, Carlos Manuel Fernández Sánchez y Boris Delgado Riss © AENOR (Asociación Española de Normalización y Certificación), 2016 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR. ISBN: 978-84-8143-930-4 Impreso en España - Printed in Spain Edita: AENOR Maqueta y diseño de cubierta: AENOR Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra. Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695 comercial@aenor.es • www.aenor.es www.full-ebook.com mailto:comercial%40aenor.es?subject= http://www.aenor.es/aenor/inicio/home/home.asp Agradecimientos Queremos expresar nuestro agradecimiento en primer lugar a María Vázquez Iglesias, de Dársena 33, por su colaboración para la elaboración de este libro. A las empresas que han implantado y certificado este estándar, y a los auditores de AENOR y de entidades colaboradoras, por su trabajo de campo y colaboración constante. A la asociación ITSMF – Chapter España (Madrid) por su apoyo y colaboración para la divulgación de esta norma. A la Dirección de Comunicación de AENOR por su ayuda y soporte en la publicación de artículos de ISO en las TIC. A la Dirección Comercial de Certificación, a la Dirección de Servicios de Información y al Departamento Editorial de AENOR por su ánimo y apoyo constantes, haciendo posible que esta publicación concluyera con éxito. Ana Andrés Álvarez Carlos Manuel Fernández Sánchez Boris Delgado Riss www.full-ebook.com Introducción En nuestra sociedad tecnificada, el sector industrial ha ido cediendo espacio al sector servicios de manera muy significativa. La problemática que presenta la gestión de la producción de servicios, y en particular de los servicios de TI, ha ocasionado que en esta nueva industria se hayan reutilizado rápidamente muchos métodos de gestión existentes. Pero la experiencia se ha encontrado con muchas dificultades, ya que hay muchos aspectos que no quedan cubiertos, mientras que otros no es posible aplicarlos; así, poco a poco, han ido surgiendo nuevas maneras de gestión. Mientras que algunos marcos de trabajo se han hecho con un nombre en los últimos 30 años y han sido ampliamente utilizados por grandes organizaciones, había una gran parte de la industria a la que le hacía falta un enfoque más preciso y limitado a la hora de requerir recursos; necesidad que vino a cubrir la Norma UNE-ISO/IEC 20000-1 publicada en su primera versión en el año 2005. En este corto espacio de tiempo, aun tratándose de una época difícil, se ha visto cómo la industria abrazaba esta norma debido a que proporcionaba una metodología para afrontar las complejidades de la gestión de servicios de una manera ordenada y asequible, tanto técnica como económicamente. La Norma UNE-ISO/IEC 20000-1, que proporciona las herramientas para diseñar, crear y operar los servicios de manera eficaz y eficiente, se ha visto actualizada en 2011 y es la utilizada en la elaboración de esta publicación. Se acompaña de otras dos normas que le dan soporte, aunque no son objeto de esta guía: UNE-ISO/IEC 20000-2, que proporciona directrices para la aplicación del sistema de gestión del servicio; y la UNE-ISO/IEC 20000-3, que las da para la definición del alcance y la aplicabilidad de la norma. En la presente guía se detallan los requisitos que plantea la norma para la definición e implantación del sistema de gestión, así como los que presenta el establecimiento de los procesos asociados con la gestión de servicios. Objetivo de esta guía Al abordar la realización de la guía, nuestro objetivo principal ha sido el de colaborar en aportar valor a la organización que decida afrontar la aventura de una mejor gestión de sus servicios. www.full-ebook.com En cualquier empresa, y en las pymes de manera apremiante, los recursos son limitados y por tanto es importante hacer uso y sacar provecho de cualquier herramienta disponible que sirva para utilizarlos de la mejor manera. Si a los beneficios de la norma les incorporamos pautas para implantarla como las que intenta aportar esta guía, resolviendo dudas y sugiriendo soluciones, queda claro que su pretensión última es que la implantación de la norma sea fácil, barata y rentable. Con este fin, se quiere facilitar la tarea: • A todos aquellos que no están familiarizados con las normas ISO, explicando los principales conceptos relacionados con los sistemas de gestión. • A todos aquellos que no están habituados con los conceptos de la gestión de servicios, detallando los principios y directrices de este aspecto de la gestión. • A quienes quieren implantar la gestión de servicios y no cuentan con el conocimiento necesario para ello. • A quienes necesitan soporte para adaptar la norma a su organización. Con todo ello se pretende que los conceptos relacionados con la gestión de los servicios de TI sean más fáciles de asimilar en cualquier organización y apoyar la idea de que es posible gestionarlos de manera más eficaz y eficiente, haciendo que esta gestión rinda beneficios tangibles y cuantificables al negocio. Con respecto al futuro de los servicios de TI (Tecnologías de la Información) y su relación con el desarrollo de aplicaciones (software), este libro posibilita una solución ágil al concepto “DevOps” (Development-Operations), teniendo en cuenta metodologías ágiles en el desarrollo de nuevas aplicaciones, tal y como se puede apreciar en el artículo de Fernández Sánchez, Garzás y Morales “DevOps rompiendo las barreras entre desarrollo y operaciones bajo el marco de la agilidad, la ISO 20000 y la ISO 15504/12207”. Revista BYTE. Junio 2015. www.full-ebook.com Capítulo 1. Conceptos de gestión de servicios 1.1. Qué es un servicio TI Todos estamos familiarizados con los servicios en nuestra vida cotidiana. Utilizamos servicios bancarios, de telefonía, de educación, sanitarios, etc. En muy poco tiempo nuestra sociedad ha pasado de ser una sociedad industrial, que producía bienes tangibles, a una de servicios, donde los productos ya no son materiales ni visibles. Algunas de las definiciones que proporciona el Diccionario de la lengua española para “servicio” dejan claro de qué hablamos: • 16. m. Organización y personal destinados a cuidar intereses o satisfacer necesidades del público o de alguna entidad oficial o privada. Servicio de correos, de incendios, de reparaciones. • 17. m. Función o prestación desempeñadas por organizaciones de servicio y su personal. Para las normas ISO la definición es: • Medio de entrega de valor al cliente facilitando que alcance los resultados que quiere lograr. Los servicios que utilizan tecnologías de la información y las comunicaciones son servicios TI. Esta utilización es la que marca la diferencia con el resto de servicios. Las implicaciones de este uso los hace especiales en muchos sentidos: • Se puede ser mucho más productivo, atendiendo a más clientes con los mismos recursos. • Se puede ser más innovador, creando servicios nuevos para las nuevas necesidades de usuarios cada vez más exigentes y sofisticados. • Se puede dar más calidad y más prestaciones sin aumentar los gastos de manera proporcional. Por supuesto las ventajas tienen su contrapartida: • Hay que tener conocimientos técnicos significativos si queremos resultados. • Los costesde creación y mantenimiento pueden ser importantes y escalar sin www.full-ebook.com control. • Una mala atención al cliente puede hundir el servicio mejor diseñado. 1.2. La calidad de los servicios Como ya no vemos ni tocamos los productos, puede parecer que es más difícil saber en qué consiste la calidad de los servicios. Nada más lejos de la realidad. En nuestra vida cotidiana tenemos infinidad de casos en los que sabemos si un servicio es de calidad o no. Si vamos a tomar un café en un establecimiento y tardan en servirnos, nos dan un café frío, amargo, o incluso una manzanilla, si nos cobran mal… ¿diríamos que el servicio ha sido bueno? Lo mismo sienten nuestros clientes si no atendemos sus demandas, si no les suministramos lo que querían o si no hacemos lo que se espera de nosotros. Los criterios de calidad de un producto solo se pueden extrapolar en parte a los servicios. Hay que pensar de otra manera, pero todos somos usuarios de servicios, por lo que debemos pensar en lo que nosotros mismos valoramos como clientes o como usuarios, por ejemplo: • La disponibilidad del servicio: que esté ahí cuando lo necesitamos. • La rapidez con la que se presta el servicio: que no haya demoras en su entrega. • La capacidad: que podamos almacenar toda nuestra información, que pueda atender al mismo tiempo a todos nuestros usuarios, que acoja nuestro volumen de transacciones, etc. • La mejora continua: que se solucionen rápido los errores o fallos que inevitablemente se producirán. Hay que identificar qué características de nuestros servicios son las que los clientes valorarán y, por tanto, estarán dispuestos a pagar. Estas características serán nuestro sello de calidad. 1.3. Qué es la gestión de servicios Podemos definir la gestión de servicios como el conjunto de capacidades y procesos para dirigir y controlar las actividades del proveedor de servicios, y los recursos para el diseño, transición, provisión y mejora de los servicios para cumplir con los requisitos de los contratos. Dicho en una frase parece sencillo, pero cualquiera que se haya enfrentado al reto www.full-ebook.com sabe que no es así. Hay multitud de factores, condicionantes, requisitos e implicados, que hacen de la gestión de servicios una tarea compleja en todas sus vertientes: de gestión del negocio, financiera, técnica y humana. Manejar de manera precisa y eficiente todos estos elementos es un proceso que necesita herramientas y conocimiento que no siempre están disponibles en las organizaciones. También ocurre con frecuencia que se tiene el convencimiento de que nuestro negocio solo lo conocemos nosotros, y quiénes mejor, por tanto, para diseñar un nuevo método para gestionarlo que se ajuste a nuestras necesidades y capacidades. Si bien esto es cierto, los beneficios de no empezar de cero, sino partiendo de la experiencia y conocimientos de muchos expertos de distintos ámbitos, condensados en las buenas prácticas relacionadas con la gestión de servicios, no pueden sino beneficiarnos. 1.4. Contexto de aplicación Para los propósitos de esta guía, se considera que el contexto de aplicación de la Norma UNE-ISO/IEC 20000-1 son pymes que prestan servicios de TI. Está claro que el concepto de pyme abarca desde microempresas con menos de diez trabajadores hasta medianas empresas con un par de cientos de trabajadores. Sin embargo, y salvo excepciones, debería ser posible aplicar los requisitos de la norma en todos ellos de manera similar. Las diferencias en la implantación suelen venir dadas por la estructura organizacional o por la cultura de la organización, que marcan pautas que la distinguen de sus colegas y competidores. Pero la filosofía, por así decirlo, de la gestión es la misma. Haciendo el ejercicio de pensar en grandes empresas, la metodología habitual para la gestión de los servicios en este tipo de empresas es la versión original y ampliada de lo que propone la norma. Por lo tanto todos aquellos con dudas acerca de si la norma se puede aplicar en su organización, pueden dejar de preocuparse por este aspecto. La norma se aplica a todo tipo de organizaciones, del sector que sean, del tamaño que sean, tengan la estructura que tengan. Las directrices serán las mismas para todos, y lo que variará será la manera de aplicarlas en la organización. 1.5. Principios básicos En nuestra experiencia hay tres principios básicos que rigen la gestión de www.full-ebook.com servicios: • Hay tres factores que deben equilibrarse: coste, tiempo y calidad. A pesar de las peculiares características de los servicios de TI, los clientes siguen esperando las mismas cosas que de otro tipo de productos o servicios: que les den lo que han comprado (calidad), que sea barato (coste) y que se lo den cuando lo piden (tiempo). Los proveedores tienen que encontrar la manera de suministrar los mejores servicios al mejor precio y a tiempo. No es nada nuevo en cualquier gestión de proyectos, pero aquí se añaden las dificultades de la complejidad de la provisión de servicios, con sus numerosos elementos y relaciones entre ellos. • Siempre es más barato solucionar errores en planificación que en operación. Tomar precauciones para que alguien no autorizado entre en nuestras instalaciones es más barato que solucionar una intrusión y los daños derivados de ella. En nuestra vida cotidiana tenemos numerosos ejemplos de que esto es así; sin embargo, cuando se plantea lanzar un servicio al mercado es sorprendente la falta de previsión y planificación con la que se hace en numerosas ocasiones. Planificar marca la diferencia entre un servicio prestado de manera profesional y seria, y un servicio prestado con buena voluntad. • La mejora continua no es opcional. Los tiempos cambian, nuestros clientes cambian, las tecnologías cambian. Todo ello supone retos y oportunidades para mejorar y mantenernos como proveedores de confianza para nuestros clientes. Si no es así, nosotros mismos nos echaremos fuera del mercado. O mejoramos o nos quedaremos atrás. Es muy fácil ver que la norma recoge estos tres principios en la manera en la que está pensada y estructurada. La gestión de servicios se plantea como un requisito de negocio para prestar servicios adecuados a los clientes a un coste aceptable para la organización. Esto implica saber y documentar lo que esperan nuestros clientes y lo que vamos a darles; vigilar lo que cuestan los distintos elementos de los servicios prestados; y trabajar en todo momento para hacer las cosas bien de manera que sea más rápido, y por tanto más barato, prestar los servicios al nivel que se pretende. 1.6. Buenas prácticas: las normas ISO Las normas ISO son las responsables de que nuestra vida sea más fácil. En numerosos ámbitos, la normalización ha supuesto una racionalización de prácticas www.full-ebook.com y usos. La manera de funcionar de ISO, en la que colaboran muchísimos países, con comités de expertos en cada materia, hacen que las normas ISO sean de un valor incalculable a la hora de diseñar, fabricar y comercializar productos y servicios, puesto que cualquier cliente en cualquier punto del planeta puede estar razonablemente seguro de que lo que compra es lo que viene definido por las normas que se le apliquen. En el caso de los sistemas de gestión, con la Norma ISO 9001 lanzada en 1987, se han sentado a nivel mundial las bases de lo que hoy se conoce como calidad y mejora continua. Una empresa certificada en Japón y otra en España cumplen con los mismos requisitos en ambos casos. Esto da tranquilidad y confianza a los clientes de que los productos y servicios ofrecidos por estas organizaciones son lo que pueden esperar según lo establecidoen las normas aplicables. Con el tiempo, otras normas como la ISO 14001 para la gestión medioambiental, la ISO/IEC 27001 para la gestión de la seguridad de la información, etc., han ido cubriendo aspectos de la gestión que la industria iba requiriendo. Las buenas prácticas que recogen estas normas ISO permiten a cualquier organización afrontar la gestión, a veces compleja, de una manera más fácil y rápida que si tuvieran que investigar por su cuenta cómo hacerlo, y luego ir probando métodos y herramientas hasta dar con la que funcione. Además, simplemente proponen los requisitos más básicos de la gestión, por lo que a partir de ahí las empresas pueden ir mejorando y ampliando según sus necesidades y recursos. Es decir, no limitan la actuación de las organizaciones, simplemente sientan las bases para que puedan funcionar de manera eficaz con un método probado y consensuado por una parte importante de la industria. La evolución positiva del número de empresas que adoptan las normas ISO de manera voluntaria no hace más que confirmar la utilidad de estas normas y reconocer el valor que aportan a las organizaciones. www.full-ebook.com Capítulo 2. La norma UNE-ISO/IEC 20000-1 y la gestión de los servicios La norma UNE-ISO/IEC 20000-1 Tecnología de la Información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS) ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la información1. La segunda edición, publicada en 2011, anula y sustituye a las normas UNE-ISO/IEC 20000-1:2007 y UNE- ISO/IEC 2000-1:2007/1M:2009. Esta norma es la traducción y adopción por parte de España (AENOR) de la norma internacional ISO/IEC 20000-1:2011. Con esta norma, ISO ha puesto a disposición pública una manera eficaz y eficiente de enfrentarse a la gestión de los servicios mediante procesos derivados de buenas prácticas reconocidas por la industria. Además, y como el resto de las normas relacionadas con los sistemas de gestión en el ámbito de ISO, esta norma tiene embebida la mejora continua, por lo que disponemos de buenas prácticas que ya han probado su validez y utilidad en todo tipo de organizaciones, y que podemos ir mejorando con el tiempo de acuerdo con nuestras necesidades. En resumen, lo que la norma propone es desarrollar un sistema de gestión (con sus directrices, objetivos y medios de verificación) aplicado sobre procesos que ya han demostrado sobradamente su utilidad en la gestión de servicios. 2.1. Características de la nueva versión Aunque la mayor parte de los requisitos básicos permanecen idénticos en las dos versiones, si tenemos un sistema de gestión del servicio (SGS) basado en la versión anterior y queremos actualizarlo, se han producido cambios significativos que conviene tener en cuenta. Los cambios a alto nivel en la nueva versión de 2011 con respecto a la versión anterior son los siguientes: 1. Mayor armonización con la norma ISO 9001. 2. Mayor armonización con la norma ISO/IEC 27001. 3. Cambio en la terminología para reflejar usos internacionales. www.full-ebook.com 4. Inclusión de muchas más definiciones, modificación de algunas, y eliminación de dos definiciones. 5. Inclusión del término “sistema de gestión del servicio”. 6. Unificación de los capítulos 3 y 4 de la norma UNE-ISO/IEC 20000-1:2005 para incluir todos los requisitos del sistema de gestión en un solo capítulo. 7. Clarificación de los requisitos para el gobierno de los procesos operados por terceros. 8. Clarificación de los requisitos para definir el alcance del sistema de gestión del servicio (SGS). 9. Clarificación de que la metodología PHVA (Planificar-Hacer-Verificar- Actuar, PDCA en inglés) se aplica al SGS, incluyendo a los procesos de la gestión del servicio, y a los servicios. 10. Inclusión de nuevos requisitos para el diseño y la transición de servicios nuevos o modificados. 11. En la descripción de cada proceso se elimina el párrafo “objetivo”. 12. El proveedor de servicios considera siempre a “los clientes y partes interesadas”. 13. Se tiende a sustituir “necesidades y/o requisitos del negocio” por “necesidades y/o requisitos del cliente y partes interesadas”. 14. En muchos casos se indica explícitamente “debe existir un procedimiento/proceso documentado”. En algunos casos se habla de procedimientos o referencias a ellos. Los requisitos de la norma incluyen el diseño, transición, provisión y mejora de los servicios para cumplir con los requisitos del servicio, y para aportar un valor tanto para el cliente como para el proveedor del servicio. Además, se requiere del proveedor del servicio un enfoque basado en procesos integrados cuando planifica, establece, implementa, opera, controla, revisa, mantiene y mejora un SGS. Cuando se utilizan dentro de un SGS, los aspectos más importantes de un enfoque de procesos integrados y de la metodología PHVA son los siguientes (véase la figura 2.1): • Entender y cumplir los requisitos de servicio para lograr la satisfacción del cliente. www.full-ebook.com • Establecer la política y objetivos de la gestión del servicio. • Diseñar y proveer, mediante el SGS, servicios que aportan valor al cliente. • Monitorizar, medir y revisar el comportamiento del SGS y de los servicios. • Mejorar de forma continua el SGS y los servicios utilizando mediciones objetivas. Figura 2.1. Ciclo PHVA de mejora continua en la gestión del servicio La conformidad con una norma internacional no confiere inmunidad frente a requisitos legales y regulatorios, pero es muy valiosa para gestionar estos requisitos de una manera eficaz y eficiente. 2.2. Diferencias entre las dos versiones Los cambios más relevantes se muestran a continuación. El detalle de los cambios entre las versiones de UNE-ISO/IEC 20000-1:2007 y UNE-ISO/IEC 20000- 1:2011 se desglosa en el anexo A de este libro. • Apartado 1.1 Generalidades: la Norma UNE-ISO/IEC 20000-1:2011 (en adelante, UNE-ISO/IEC 20000-1), especifica al proveedor del servicio los requisitos para planificar, establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGS. Los requisitos incluyen el diseño, transición, provisión, y mejora de los www.full-ebook.com servicios para satisfacer los requisitos de servicio. Puede ser utilizada por cualquier organización que quiera: – Garantías de que los servicios que presta un proveedor de servicios cumplen con los requisitos estipulados. – Un enfoque consistente para gestionar a todos sus proveedores del servicio, incluidos los de una cadena de suministro. – Acreditar ante sus clientes actuales o potenciales su capacidad de suministrar servicios adecuados a los requisitos estipulados. – Controlar sus procesos de gestión del servicio y los servicios para su funcionamiento óptimo. – Mejorar la gestión de sus servicios mediante una implementación y operación eficaces del SGS. – Someter a la evaluación de un asesor o auditor, la conformidad del SGS de un proveedor del servicio respecto a los requisitos la norma. La figura 2.2 muestra el SGS, e incluye los procesos de gestión del servicio. Los procesos de gestión del servicio y las relaciones entre los procesos se pueden implementar de diferentes formas por cada proveedor del servicio. • Apartado 1.2 Campo de aplicación: todos los requisitos son aplicables a cualquier proveedor de servicios, independientemente del sector en que opere, el tamaño o el tipo de organización. Los requisitos recogidos en los capítulos 4 al 9 deben ser cumplidos sin excepción. Las evidencias del cumplimiento del punto 4 deben ser demostradas por el proveedor del servicio aunque los procesos sean operados por terceros. La evidencia del cumplimientodel resto de los requisitos debe ser igualmente presentada. • Capítulo 2 Normas para consulta: sin cambios relevantes. • Capítulo 3 Términos y definiciones: las definiciones disponibles se amplían, con respecto a la edición anterior, de 13 a 37. En algunos casos, las definiciones existentes se han redefinido. Por ejemplo, CI (elemento de configuración), CMDB, la inclusión del término “accesibilidad” en la definición de seguridad de la información, etc. www.full-ebook.com Figura 2.2. Sistema de gestión del servicio 1 En este libro se ha utilizado indistintamente Sistema de Gestión de Servicios de TI (SGSTI) o Sistema de Gestión de Servicios (SGS) para hacer referencia a la Norma UNE-ISO/IEC 20000-1:2015. www.full-ebook.com Capítulo 3. El proyecto de implantación Plantear la implantación de un sistema de gestión de servicios de TI con la norma UNE-ISO/IEC 20000-1 requiere grandes dosis de compromiso por parte de la dirección. Este tipo de proyectos necesitan tiempo y dedicación, que no se destinarán al proyecto si no es con ese compromiso. Contando con ello, el proyecto debe comenzar identificando las prioridades de la organización en cuanto a sus servicios. Esto dará el punto de partida para marcar los objetivos y la dirección que tomará el proyecto. Como esas prioridades ya están en cierto modo imbricadas en la actividad de la organización, no será difícil asumir el comienzo de las mejoras por esos aspectos. 3.1. Recomendaciones Hay varios puntos clave que deben ser tratados con esmero, ya que constituyen poderosas herramientas para garantizar el éxito del proyecto: • Ser realistas a la hora de planificar: si la planificación es demasiado ambiciosa en cuanto a tiempos y plazos, hay muchas probabilidades de fracasar, impidiendo la materialización de los beneficios. Si bien es cierto que alargar mucho estos plazos tampoco ayuda a que el proyecto se desarrolle adecuadamente, porque el entusiasmo y el compromiso iniciales pueden decaer con el tiempo, y la falta de resultados puede mermar la credibilidad del proyecto. • Limitar el alcance a los recursos que se puedan dedicar: como ninguno de los requisitos de la norma puede ser excluido, esta limitación del alcance tiene que hacerse en función de los servicios o las áreas del negocio en los que se quiera implantar el sistema de gestión de los servicios. Es decir, si suministramos varios servicios, escoger únicamente un subconjunto de ellos para incluir en el SGS. O bien, si nuestra organización se encuentra dividida en áreas de negocio, escoger una o varias para hacerlo. La parte de la organización que se escoja para el proyecto tiene que ser relevante para el negocio, o no se verán los beneficios de la implantación de la gestión de servicios. También es cierto que, para empresas muy pequeñas, en muchas ocasiones la mejor estrategia es que el alcance abarque toda la organización, porque no es posible o práctico seccionarlo. www.full-ebook.com • Ser pacientes a la hora de mostrar los resultados: aunque la planificación y el alcance sean perfectos para las necesidades y recursos de la organización, los beneficios de la gestión de servicios nunca van a ser inmediatos. Se necesita un cierto tiempo para que la puesta en marcha de esta gestión ponga en evidencia los fallos que se estaban cometiendo y las mejoras que se han introducido. Además, las personas directamente involucradas en la ejecución de tareas, por ejemplo en la resolución de incidentes, verán antes que se trabaja mejor, con menos esfuerzo y tensión, y resolviendo en menos tiempo estos incidentes. Sin embargo, escalar estas mejoras hacia la dirección requiere recoger datos fehacientes de que esto es así, por lo que hay un periodo de tiempo en el que, aunque los beneficios ya estén ahí, estos no son suficientes para que el negocio los perciba. 3.2. Problemas habituales Un proyecto de esta complejidad va a generar inevitablemente problemas, de los cuales los más graves por su frecuencia e impacto son: • Querer hacerlo todo a la vez: como es un tema complejo, una vez decidido que se va a abordar la implantación de un SGS, algunas organizaciones se ven tentadas a querer hacerlo para toda la organización sin haber valorado si están preparadas para ello, tanto cultural como económicamente. La resistencia al cambio de alguna parte importante de la organización puede dar al traste con el proyecto mejor planteado. Por ello es importante escoger aquellas partes de la organización que sean menos reacias al mismo o, al menos, que no supongan una amenaza clara para el proyecto. En cuanto al coste económico, hay que valorar si se pueden dedicar todos los recursos humanos necesarios para hacer una implantación de esa envergadura y si se está dispuesto a hacer el desembolso que probablemente irá asociado a esa implantación. Empezar un proyecto que no se puede continuar por falta de recursos es muy frustrante y contraproducente de cara al futuro, ya que las próximas iniciativas de mejora se verán lastradas por este fracaso. • Compromiso que declina con el tiempo: pasadas las primeras fases del proyecto, las dificultades que entraña y la impaciencia por alcanzar resultados pueden ocasionar que el compromiso de la dirección no se mantenga en el tiempo, por lo que se añadirá presión al proyecto y quizá se retiren recursos; con ello se estará colaborando activamente al fracaso del proyecto. www.full-ebook.com • Objetivos poco realistas que no se llegan a alcanzar: la gestión de servicios es, como ya hemos advertido, un tema complejo que involucra a toda la organización, de arriba abajo y transversalmente. Con tantas partes implicadas en una tarea con tantas facetas, es fácil que haya expectativas que no se ajusten a la realidad. Hay que informar adecuadamente desde el principio de los objetivos del proyecto, de lo que se espera de cada uno y de la aportación de la dirección; así como, posteriormente, de la marcha del proyecto y de los resultados que se están obteniendo, intentando en todo momento que las expectativas de las distintas partes se vean satisfechas. Para ello es importante mantenerlas dentro de lo posible y alcanzable. www.full-ebook.com Capítulo 4. El sistema de gestión de servicios de TI 4.1. Introducción En este capítulo se desglosan los distintos requisitos que debe cumplir el sistema de gestión. Por un lado están los intrínsecos del sistema (los requisitos generales), que definen un marco de trabajo orientado a la mejora continua; y por el otro, los de los distintos procesos que componen la metodología de gestión del servicio propuesta por la norma. Para cada proceso se muestra un modelo del mismo, con los siguientes elementos: • Entradas: información, datos y cualquier otro elemento que sea necesario para llevar a cabo el proceso. • Actividades: tareas típicas que se pueden encontrar en este proceso, determinadas por la norma. • Salidas: información, datos, servicios y cualquier otro elemento que sea producto de la realización del proceso. • Puntos de control: tareas o información utilizadas para verificar que el proceso se está realizando conforme a lo establecido. Además, en cada proceso se incluye también una síntesis, enfocada a resaltar y reforzar las principales ideas y conceptos de cada uno. En la síntesis se definen: • Objetivo del proceso: para qué sirve, qué es lo que se pretende obtener de su aplicación. • Aspectos claves: aquellos que no es posible obviar sin desvirtuar el objetivo del proceso o ponerlo en peligro; qué es lo que hay que hacer para alcanzar el objetivo. • Indicadores y medidas: se proponen en este punto algunos indicadoresy medidas asociadas con ellos, de manera que se pueda medir objetivamente la buena marcha del proceso, verificando si se está alcanzando el objetivo. 4.2. Los requisitos generales En el capítulo 4 se detallan los requisitos que debe tener el sistema de gestión de www.full-ebook.com servicios, es decir, cómo se define, desarrolla e implementa dicho sistema. Figura 4.1. Sistema de gestión del servicio y sus procesos Quien esté familiarizado con los sistemas de gestión de las normas ISO no verá diferencias significativas con cualquier otro sistema de gestión. Se basa en el compromiso de la dirección, debe haber una política, hay que documentar, gestionar esta documentación, implantar y mejorar el sistema de gestión. Aunque la norma no lo exige, crear un manual en el que se recojan todos aquellos temas que la norma pide documentar y definir el SGS es una buena práctica que facilita el cumplimiento. Una manera de representar el SGS y los distintos procesos involucrados se muestra en la figura 4.1: por un lado tenemos un cliente que requiere los servicios prestados por un proveedor que, utilizando los procesos de creación de nuevos servicios, provisión del servicio, relación, resolución y control, es capaz de suministrarlos y de obtener una importante base de datos de la configuración (CMDB) como productos de salida. Los procesos se comunican entre sí, facilitándose la información que les hace falta para rendir al máximo en su ejecución; de ahí que haya relaciones en ambos sentidos entre todos los grupos de procesos. Este trasvase de información, que se recogerá en la base de datos de la configuración, es tan importante para una buena gestión como los propios procesos. El proceso de mejora continua va embebido en todo el circuito para permitir la corrección de errores y la identificación de oportunidades de mejora, y para www.full-ebook.com conseguir los objetivos que se hayan marcado en el menor tiempo posible y con la mayor eficacia. Es decir, además de tener un ciclo de mejora continua general, los trece procesos del estándar tendrán a su vez un sencillo ciclo de mejora continua (PHVA). Los requisitos generales del SGS establecen las bases cruciales para una buena gestión del servicio: son el marco de trabajo para que el esfuerzo que se le dedique al SGS rinda beneficios rápidamente. Las relaciones entre los procesos se muestran en la tabla 4.1, distinguiendo entre “e” (entradas), y “s” (salidas), según el proceso de la primera columna funcione como entrada para otros procesos, como salida o incluso, en los casos de realimentación, siendo tanto entrada como salida (e/s). Tabla 4.1. Relaciones entre procesos Diseño y transición de servicios nuevos Gestión del nivel de servicio Informes del servicio Gestión de la continuidad y disponibilidad Elaboración de presupuesto y contabilidad Gestión de la capacidad Gestión de la seguridad Gestión de relaciones con el negocio Gestión de suministradores Gestión de incidencias y peticiones de servicio Gestión de problemas Gestión de la configuración Diseño y transición de servicios nuevos/modificados e e e e s Gestión del nivel de servicio s e/s e e e e e e Informes del servicio e/s e s s Gestión de la continuidad y disponibilidad s e e s Elaboración de presupuesto y contabilidad s e s s Gestión de la capacidad s e s s Gestión de la seguridad de la información s e/s s s Gestión de relaciones con el negocio e e Gestión de suministradores s e e e Gestión de incidencias y peticiones de servicio e e Gestión de problemas s Gestión de la www.full-ebook.com configuración s s Gestión de cambios s s s s s Gestión de la entrega y despliegue e 4.3. Responsabilidad de la dirección 4.3.1. Objetivo del proceso El objetivo del proceso es demostrar que la dirección está comprometida con la calidad de los servicios y la mejora continua. 4.3.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.2) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso. 4.3.3. Descripción del proceso 4.3.3.1. Compromiso de la dirección Ningún proyecto de mejora puede progresar sin el compromiso de la alta dirección de la organización. Por ello, la norma exige evidencias de que está involucrada y apoya el proceso de implantación de un SGS a lo largo de todo su ciclo de vida. Esto implica que la alta dirección debe participar de algún modo a la largo de todo el sistema, desde la planificación, definición e implantación, pasando por la operación y seguimiento, hasta la revisión y la mejora del SGS y los servicios a los que se aplica. www.full-ebook.com Figura 4.2. Modelo del proceso Responsabilidad de la dirección Como mínimo, la dirección debe: • Establecer y comunicar el alcance del SGS: claramente esta es una decisión organizativa, y tanto si es la única involucrada en definir el alcance como si únicamente valora las propuestas de aquellos en quienes ha delegado la tarea, es la dirección la única que tiene la potestad de decidir qué servicios quedan dentro del alcance y cuáles no. La amplitud del alcance tiene repercusiones organizativas y económicas, por lo que cae dentro de la responsabilidad de un departamento aislado. Puesto que es una decisión de la dirección, es a ella a quien corresponde transmitirla a la organización. • Establecer la política: de nuevo, esta es una decisión al más alto nivel. La posición de la organización respecto a la gestión del servicio no puede emanar más que de la dirección, que debe poner además los medios para difundirla y presentarla adecuadamente a toda la organización. • Establecer los objetivos de la gestión del servicio: la gestión de servicios es una herramienta de gestión para obtener beneficios empresariales, por lo que solo la dirección puede establecer cuáles son los objetivos que se persiguen y comunicarlo a todos los interesados. • Poner los medios necesarios para crear el plan de gestión del servicio, para que se lleve a cabo y se mantenga: con ello se dará soporte a la política, a la consecución de objetivos de gestión del servicio y a dar el servicio de www.full-ebook.com acuerdo con los requisitos que se hayan definido. • Comunicar la importancia de cumplir con los requisitos del servicio que esperan los clientes y usuarios. • Comunicar la importancia de cumplir con los requisitos legales, normativos, reglamentarios y contractuales. No dejan de ser otros requisitos que hay que satisfacer, aunque no tengan tanta visibilidad como los de los clientes y usuarios. • Proporcionar los recursos necesarios para llevar a cabo todas las tareas que conlleva el diseño, despliegue y mantenimiento de un SGS. • Llevar a cabo revisiones del SGS y de la gestión de los servicios de manera periódica. • Respaldar la evaluación de los riesgos del servicio y su posterior gestión. 4.3.3.2. Política de gestión del servicio Una política es un documento que recoge la postura de una organización respecto a un determinado aspecto de la gestión, y las directrices que se van a seguir en un tema concreto. En el caso de la gestión del servicio, la política contendrá líneas de actuación para, por ejemplo, distinguir nuestros servicios de los de la competencia, o que indiquen si vamos a ser innovadores o por el contrario vamos a ofrecer servicios basados en la experiencia acumulada. En cualquier caso, y sin perder de vista que esta política de gestión del servicio va a dar apoyo al negocio, la dirección la definirá de tal manera que: • Sea apropiada para el propósito de nuestra organización. • Muestre un compromiso de satisfacción de los requisitos del servicio. • Muestre el compromiso con la mejora continua de la eficacia del SGS y de los servicios,utilizando para ello una política de mejora continua. • Sirva como marco de referencia para definir y revisar los objetivos de gestión del servicio. • Sea comunicada a todo el personal y se pongan los medios para que sea entendida. • Sea revisada periódicamente para que siempre sea adecuada a nuestros objetivos y contexto. 4.3.3.3. Autoridad, responsabilidad y comunicación www.full-ebook.com Como no puede ser de otra manera, la alta dirección es la responsable de que se definan y mantengan las distintas responsabilidades de la gestión del servicio y de que haya canales y medios de comunicación adecuados. En las organizaciones más pequeñas la dirección, encarnada por su dirección general, será la que realmente defina los distintos roles, como los responsables de procesos, y autorice personalmente los distintos nombramientos. En organizaciones más grandes, la dirección delegará estas tareas, y después supervisará y dará las correspondientes autorizaciones. Lo mismo sucederá con los mecanismos de comunicación. La implicación directa de la dirección será probablemente más acusada cuanto menor sea el tamaño de la organización pero, sin excepción, la responsabilidad de estas tareas recae sobre ella. 4.3.3.4. Representante de la dirección Otra de las responsabilidades de la dirección es decidir quién va a representarla en cuanto a la gestión de los servicios, ya que hay numerosas tareas y decisiones que deberán contar con la aprobación de la alta dirección, pero no resultaría eficiente esperar a su reunión física para llevarlas a cabo. Esta persona deberá tener autoridad suficiente para asegurarse de que se lleven a cabo todas las actividades necesarias para identificar, documentar y cumplir con los requisitos del servicio. Además, se encargará de asignar las responsabilidades y autorizaciones que aseguren que la gestión de los servicios, y los procesos relacionados con ellos, se llevan a cabo de acuerdo con la política establecida y los objetivos que se hayan marcado para ellos, y que están integrados con el sistema de gestión de la organización. El representante de la dirección se encargará de que los activos y sus licencias, cuando proceda, se utilicen de manera regulada y acorde con la ley, además de cumplir con lo exigido por los contratos. Otro de sus principales papeles es informar al resto de la dirección de cómo funciona el sistema de gestión del servicio y cómo se puede mejorar bien el SGS, bien los servicios mismos. 4.3.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.3) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el www.full-ebook.com proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula). Figura 4.3. Síntesis del proceso Responsabilidad de la dirección 4.4. Gobierno de los procesos operados por terceros 4.4.1. Objetivo del proceso El objetivo del proceso es definir y gestionar unos niveles de servicio apropiados para cubrir los requisitos de los servicios prestados y los niveles de servicio acordados con los clientes. 4.4.2. Diagrama del proceso En el diagrama de proceso que se muestra a continuación (véase la figura 4.4) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso. www.full-ebook.com Figura 4.4. Modelo del proceso Gobierno de procesos operados por terceros 4.4.3. Descripción del proceso Habitualmente, cualquier proveedor tendrá uno o varios de sus procesos operados por terceros, ya sean estos un grupo interno, un cliente o un suministrador. En cualquier caso, estos procesos deben estar controlados por la organización, tanto o más que si los operara ella misma. La responsabilidad ante los clientes en caso de fallo o error siempre será del proveedor del servicio, ya que es quien se presenta ante ellos y cobra por sus servicios. Para mantener el control debido sobre los procesos no operados directamente hay que: • Exigir del tercero los mismos requisitos o más que los que estamos obligados a cumplir. • Controlar cómo se definen estos procesos y cómo se relacionan con el resto de nuestros procesos. • Definir cómo se deben comportar estos procesos y cuáles son los criterios para medir este comportamiento y su grado de cumplimiento de los requisitos. • Controlar la planificación de los procesos y aplicar criterios para la mejora de los mismos. Todo esto pasa por documentar en un acuerdo las responsabilidades de cada parte www.full-ebook.com y los requisitos del proceso. Si el tercero es un suministrador, el acuerdo tendrá la forma de un contrato y se gestionará mediante el proceso de gestión de suministradores. Si es un grupo interno o un cliente, tomará la forma de un SLA (acuerdo de nivel de servicio) y se gestionará con el proceso de gestión del nivel de servicio. 4.4.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.5) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula). Figura 4.5. Síntesis del proceso Gobierno de procesos operados por terceros 4.5. Gestión de la documentación 4.5.1. Objetivo del proceso El objetivo del proceso es definir y controlar la documentación necesaria para una buena gestión de los servicios. 4.5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.6) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso. www.full-ebook.com Figura 4.6. Modelo del proceso Gestión de la documentación 4.5.3. Descripción del proceso 4.5.3.1. Establecimiento y mantenimiento de documentos Todos los sistemas de gestión deben estar documentados, y contarán con varios tipos de documentos que evidencien cómo se ha planificado el sistema, como se opera, controla y mejora. En el caso de un sistema de gestión del servicio, los documentos mínimos que la norma requiere son: • Política de gestión del servicio. • Objetivos de gestión del servicio. • Plan de gestión del servicio. • Políticas y planes documentados creados para procesos específicos. • Catálogo de servicios. • Acuerdos SLA (Service Level Agreements). • Procesos de gestión del servicio, como la gestión de la capacidad. • Procedimientos y registros requeridos, como la propia gestión de la documentación y sus correspondientes registros. • Documentos adicionales, incluyendo los de origen externo, que sean necesarios para asegurar la operación eficaz del SGS y la provisión de www.full-ebook.com servicios. 4.5.3.2. Control de documentos Todos los documentos del SGS deben estar controlados, incluidos los registros. Habrá un procedimiento documentado con información sobre quién puede crear y aprobar los documentos antes de publicarlos, quién puede informar a las partes interesadas acerca de documentos nuevos o modificados, quién puede revisar y mantener los documentos, y quién se encargará de que se identifiquen los cambios en los documentos para que quede constancia del estado actual de revisión de cada uno de ellos. Además, se debe asegurar que solo las versiones vigentes de los documentos estén disponibles para todos aquellos que los necesitan, que los documentos se puedan identificar fácilmente y sean legibles, y que también los documentos de origen externo estén identificados y su distribución controlada. Es muy importante que los documentos obsoletos estén identificados como tales sean o destruidos para evitar su uso. Hay que tener en cuenta que el formato y el soporte de losdocumentos no debe impedir o ser una excusa para no cumplir con todos estos requisitos. Cada organización debe tomarse un tiempo para definir cómo se van a cubrir estos puntos, ya que una vez generada toda la documentación será más difícil aplicar nuevas reglas. 4.5.3.3. Control de registros Los registros son la herramienta mediante la que se demuestra que se están realizando las tareas de acuerdo con los requisitos del SGS. Cuando se ejecutan las tareas, todas aquellas trazas que deja su realización son susceptibles de ser registros del SGS. Por ejemplo, la realización de la auditoría interna puede suponer la emisión de un plan de auditoría y la de un informe de auditoría. Ambos son registros, y demuestran que se ha realizado la tarea de manera más o menos ajustada al protocolo impuesto por el procedimiento. Debido a su importancia, la norma exige que haya un procedimiento para identificar, almacenar, proteger, recuperar y conservar los registros, así como para retirarlos cuando estén obsoletos. Lógicamente, los registros deben ser legibles para poder utilizarlos, su identificación debe ser sencilla y hay que poder acceder a ellos fácilmente. Sin embargo, hay que tener en cuenta que el formato es irrelevante, así como el www.full-ebook.com soporte. Un log de eventos también puede ser un registro. 4.5.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.7) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula). Figura 4.7. Síntesis del proceso Gestión de la documentación 4.6. Gestión de recursos 4.6.1. Objetivo del proceso El objetivo del proceso es estimar y asignar los recursos suficientes y necesarios, tanto para establecer y gestionar el SGS como para el suministro de los servicios y la mejora de la satisfacción del cliente. 4.6.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.8) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso. www.full-ebook.com Figura 4.8. Modelo del proceso Gestión de recursos 4.6.3. Descripción del proceso 4.6.3.1. Provisión de recursos Como en cualquier otro tipo de proyecto, para la implantación de la norma es necesario estimar, definir y asignar los recursos que hacen falta para llevarlo a cabo. Esto incluye personal, perfiles de puestos, información, presupuesto y recursos materiales. Estos recursos tienen que ser suficientes para establecer el SGS y mantenerlo en el tiempo, suministrar los servicios y mejorar la satisfacción del cliente suministrando servicios que se ajusten a sus requisitos. 4.6.3.2. Recursos humanos La competencia del personal de un proveedor de servicios es crucial a la hora de asegurar que dichos servicios se prestan de acuerdo a los requisitos. Por lo tanto, el proveedor debe contar con personal que esté adecuadamente formado y tenga las habilidades, competencias y experiencia necesarias para desempeñar su trabajo de la mejor manera posible. Para ello: • Establecerá el nivel de competencia necesario en cada puesto, y se ocupará de que el personal en ese puesto se ajuste a lo definido. • Según sea necesario, se proporcionará formación o preparación para que el www.full-ebook.com personal tenga el nivel de competencia necesario. • Se evaluará la eficacia de las acciones formativas realizadas. • Se informará al personal de cómo está colaborando para alcanzar los objetivos de gestión del servicio y en el cumplimiento de los requisitos del mismo, para que todos sean conscientes de su contribución. • Se mantendrán registros de la educación, formación, habilidades y experiencia del personal, según sea necesario para la gestión de los recursos. 4.6.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.9) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula). Figura 4.9. Síntesis del proceso Gestión de recursos 4.7. Establecer y mejorar el SGS (PHVA) 4.7.1. Objetivo del proceso El objetivo del proceso es mejorar continuamente el SGS y, por tanto, la prestación de servicios. En la figura 2.1 se mostró el ciclo aplicado a la gestión de servicios. 4.7.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 4.10) www.full-ebook.com se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso. Figura 4.10. Modelo del proceso Establecer y mejorar el SGS 4.7.3. Descripción del proceso 4.7.3.1. Definir el alcance Como primer paso para establecer el SGS hay que definir y documentar el alcance que va a tener. La definición contendrá los servicios que se suministran y el nombre de la organización o de la unidad organizativa que lo hace. También se tendrán en cuenta y se incluirán, según se crea procedente: • La localización geográfica desde la que el proveedor del servicio proporciona los servicios. • El cliente y las ubicaciones en las que recibe los servicios. • La tecnología utilizada para prestar los servicios. Para ayudar en este punto se puede consultar la norma UNE-ISO/IEC 20000-3, en la que se encuentran las directrices para la definición del alcance y la aplicabilidad de la norma UNE-ISO/IEC 20000-1. 4.7.3.2. Planificar el SGS (Planificar) La planificación del SGS comienza con la definición, puesta en marcha y www.full-ebook.com ejecución de un plan de gestión del servicio. Este plan recogerá el alcance del SGS y estará alineado con la política de gestión del servicio, los requisitos de los servicios y los de la propia norma. En general, este plan tendrá el siguiente contenido: • Los objetivos de la gestión del servicio que se pretenden alcanzar. Por ejemplo, un cumplimiento del 90% de los acuerdos de nivel de servicio. • Los requisitos del servicio o servicios dentro del alcance. • Las limitaciones conocidas que pueden afectar al SGS, como por ejemplo las relacionadas con recursos. • Las políticas, normas, requisitos legales y regulatorios, y las obligaciones contractuales que afectan a la gestión del servicio. Los servicios sanitarios, por ejemplo, tendrán obligaciones legales distintas de las de los servicios de telecomunicaciones. • La estructura organizativa de la gestión del servicio: quién tiene autoridad sobre qué, las distintas responsabilidades y los roles identificados para este proceso. • Los diferentes recursos (humanos, técnicos, financieros, de información, etc.) que se necesitan para alcanzar los objetivos de gestión del servicio. • El enfoque que se va a adoptar para trabajar con terceros involucrados en el proceso de diseño y transición de servicios nuevos o modificados. Es decir, qué tipo de asociaciones o colaboraciones vamos utilizar y cómo se van a controlar. • Cómo se van a integrar los procesos propios de la gestión del servicio con las demás partes del SGS. • Cómo se va enfocar la gestión de riesgos y cuáles van a ser los criterios para la aceptación de riesgos. • Qué tecnología se va a usar para soportar el SGS, ya que es muy difícil gestionar los servicios sin herramientas, por sencillas que sean. • Qué se va a hacer para medir la eficacia del SGS y los servicios. Si es necesario crear planes para procesos específicos, estos deben basarse y alinearse con el plan de gestión del servicio. Tanto uno como otros se deben revisar a intervalos planificados y actualizarlos según se requiera.4.7.3.3. Implementar y operar el SGS (Hacer) www.full-ebook.com Una vez definido el plan, hay que poner en marcha el SGS para que el diseño, puesta en producción, provisión y mejora de los servicios se haga según lo planificado. Para ello hay que asignar fondos al plan, nombrar a los distintos responsables definidos, gestionar los recursos disponibles, realizar el análisis de riesgos de los servicios y, en definitiva, gestionar los procesos de gestión del servicio, controlando su funcionamiento y rendimiento para poder realizar informes sobre su comportamiento. Este es uno de los momentos más difíciles, ya que hay que alinear y aunar voluntades y esfuerzos en una dirección que probablemente no todo el mundo tenga clara o comparta. Cualquier acción encaminada a aclarar dudas sobre el papel de cada uno en la tarea o sobre la finalidad de la misma, ayudará enormemente a conseguir que el proyecto empiece con decisión y energía. 4.7.3.4. Monitorizar y revisar el SGS (Verificar) 4.7.3.4.1. Generalidades Una parte fundamental de la gestión del servicio consiste en hacer un seguimiento del funcionamiento del SGS y de los servicios para detectar errores y problemas con tiempo para reaccionar o, al menos, para limitar el daño que pudieran ocasionar. Por otro lado, sin medir el funcionamiento y el rendimiento del SGS y los servicios no será posible saber si se alcanzan los objetivos que se persiguen. Los métodos a utilizar para las tareas de verificación del SGS incluyen las auditorías internas y las revisiones por la dirección. Con estas dos herramientas de verificación se pueden detectar la mayoría de los problemas relevantes que puede presentar un sistema de gestión a lo largo de todo su ciclo de vida. Es importante que se documenten los objetivos de las auditorías y las revisiones, para centrar la monitorización y revisión específicamente en la gestión de servicios. Con estas herramientas se evalúa la capacidad del SGS y de los servicios para cumplir con los requisitos establecidos y para alcanzar los objetivos marcados. Cuando se detecta que el sistema no es capaz de cumplir con ello, surgen las no conformidades, es decir, las carencias en cuanto al cumplimiento de los requisitos de la norma, del SGS o del servicio. Para poder comunicar y utilizar los resultados, tanto de las auditorías como de las revisiones por la dirección, estos deben ser documentados. Entre los resultados www.full-ebook.com tienen que estar las no conformidades identificadas, las observaciones y las acciones que se van a tomar. Estos resultados deben transmitirse a las partes interesadas: unidades organizativas, dirección, etc. 4.7.3.4.2. Auditoría interna Las auditorías internas se harán periódicamente, siguiendo un procedimiento documentado que recoja las distintas responsabilidades: quién planifica la auditoría, quién la realiza, quién informa de los resultados y quién mantiene los registros de auditoría, que son una información sensible para la organización. El objetivo de una auditoría interna es verificar que el SGS y los servicios cumplen con los requisitos que les afectan (los de la norma, los del propio SGS y los de los servicios), y que son ejecutados y mantenidos eficazmente. Tiene que haber un programa de auditoría que, en función del estado y la importancia de los procesos a auditar y los resultados de anteriores auditorías, recoja cuáles van a ser los criterios a seguir, el alcance, la frecuencia y los métodos de auditoría. Un factor muy importante en el éxito de una auditoría es la selección de los auditores, que debe garantizar que se realiza de manera objetiva e imparcial, por lo que un auditor nunca puede auditar su propio trabajo. Las no conformidades detectadas deben priorizarse, se les deben adjudicar responsables y deben ser comunicadas a todos los interesados, de manera que las acciones a realizar sobre ellas sean ejecutadas con presteza. Es responsabilidad del área auditada que se ejecuten las acciones necesarias para corregir las no conformidades y sus causas en los plazos definidos. Además, hay que verificar que las acciones han conseguido la corrección buscada y documentar todo lo que se ha hecho y los resultados obtenidos. 4.7.3.4.3. Revisión por la dirección Como parte importante del papel que la dirección asume en virtud de su compromiso con el SGS se encuentra la revisión por la dirección. Esta tarea consiste en revisar periódicamente el SGS y los servicios para comprobar que son adecuados y eficaces para la organización. En esta revisión se incluyen la evaluación de oportunidades de mejora y la necesidad de cambios en el SGS, incluida la política y objetivos de la gestión del servicio. La norma es bastante específica en cuanto a la información que se debe incluir, tanto de entrada como de salida, que como mínimo es: www.full-ebook.com • Entradas a la revisión: – Retroalimentación del cliente; es decir, comentarios, quejas, reclamaciones o felicitaciones que el cliente haya hecho. – Comportamiento y conformidad del servicio y de los procesos, si se han alcanzado los objetivos, si se han identificado no conformidades, etc. – Niveles actuales y previstos de recursos humanos, técnicos, de información, y financieros. – Capacidades humanas y técnicas actuales y previstas. – Resultados de la evaluación y gestión de los riesgos. – Resultados de las auditorías y acciones derivadas de ellas. – Resultados y acciones de seguimiento de las revisiones de la gestión previas. – Estado de las acciones preventivas y correctivas. – Cambios que puedan afectar al SGS y a los servicios, tanto en el contexto externo (regulaciones nuevas, nuevas tecnologías) como en el interno (cambios en la organización, en los objetivos). – Oportunidades de mejora. • Salidas de la revisión: – Decisiones relacionadas con los recursos. – Acciones para la mejora de la eficacia del SGS. – Acciones para la mejora de los servicios. Debido a su importancia, es imprescindible mantener registros de las revisiones por la dirección, que habitualmente consisten en un documento con la información requerida que se analiza y aprueba en el comité de gestión, de lo cual quedará constancia en el acta de la reunión. 4.7.3.5. Mantener y mejorar el SGS (Actuar) 4.7.3.5.1. Generalidades Todo mecanismo necesita un mantenimiento y, en la medida de lo posible, una mejora para funcionar como el primer día o mejor. En el caso de un SGS, este mantenimiento vendrá determinado por una política de mejora continua del SGS y los servicios, la cual incluirá criterios para evaluar las oportunidades de mejora. Se definirá un procedimiento documentado que incluya las autoridades y www.full-ebook.com responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir e informar de las mejoras. Se deben documentar las oportunidades de mejora, incluyendo las acciones correctivas. Es imprescindible corregir la causa de las no conformidades identificadas. Si solo se toman medidas para paliar los daños ocasionados, se corre el peligro de que vuelvan a ocurrir. La única solución para evitarlo es identificar el origen de la no conformidad y resolverlo, aunque a veces no es fácil ni lo primero ni lo segundo. También se tomarán acciones cuando, aun sin haber identificado una no conformidad, se identifica una fuente potencial de problemas. De esta manera se evitará que ocurran e impacten en el SGS o en los servicios. 4.7.3.5.2. Gestión de mejoras En el curso de la provisión de servicios se irán detectando oportunidades de mejora. Lo normal es que no todas se puedan aprovechar, por lo que es necesariodefinir cómo se van a escoger. Para ello se utilizarán los criterios de evaluación de oportunidades de mejora definidos en la política de mejora continua, para asignarles una prioridad y planificar su ejecución según esa prioridad. La gestión de las actividades de mejora incluye, como mínimo: • Establecer objetivos de mejora en uno o más de los aspectos de la calidad, como valor, capacidad, coste, productividad, utilización de recursos y reducción de riesgos. • Garantizar que las mejoras aprobadas se apliquen. • Revisar periódicamente, y siempre que haya eventos que lo requieran, las políticas de gestión del servicio, planes, procesos y procedimientos. • Medir las mejoras implementadas frente a los objetivos establecidos y, cuando no se hayan alcanzado, tomar las acciones necesarias para corregir la situación. • Realizar informes de las mejoras implementadas. 4.7.4. Síntesis del proceso La síntesis del proceso (véase la figura 4.11) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula). www.full-ebook.com Figura 4.11. Síntesis del proceso Establecer y mejorar el SGS www.full-ebook.com Capítulo 5. Diseño y transición de servicios nuevos o modificados El SGS se compone de dos tipos de procesos. En los apartados anteriores se han detallado los relacionados con el propio sistema de gestión; en este capítulo y en los siguientes se explicarán los distintos procesos del modelo de mejora para la gestión de los servicios que propone la norma, que son catorce: • Diseño y transición de servicios nuevos o modificados. • Procesos de provisión del servicio: – Gestión del nivel de servicio. – Informes del servicio. – Gestión de la continuidad y disponibilidad del servicio. – Elaboración de presupuesto y contabilidad de los servicios. – Gestión de la capacidad. – Gestión de la seguridad de la información. • Procesos de relación: – Gestión de relaciones con el negocio. – Gestión de suministradores. • Procesos de resolución: – Gestión de incidencias y peticiones de servicio. – Gestión de problemas. • Procesos de control: – Gestión de la configuración. – Gestión de cambios. – Gestión de la entrega y despliegue. Para cada uno de estos procesos, a continuación se tratará de facilitar información necesaria y suficiente para su comprensión, y de facilitar una implantación adecuada en la organización. 5.1. Objetivo del proceso www.full-ebook.com El objetivo del proceso es definir, planificar y abordar nuevos servicios o modificar los existentes para satisfacer a los clientes y apoyar los objetivos de negocio. 5.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 5.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso. Figura 5.1. Modelo del proceso Planificación de servicios nuevos o modificados 5.3. Descripción del proceso Este proceso es una de las novedades de la última versión de la norma. Es el primero en el orden de aparición de la norma, y en una organización debería ser el primero a abordar antes de poner en marcha un servicio. Lo que ocurre en la mayoría de los casos es que, cuando empezamos un proyecto de implantación de servicios, ya hay servicios en producción. Este proceso comenzará, entonces, cuando se quieran hacer cambios significativos en esos servicios ya operativos y, lógicamente, cuando se pretenda crear alguno nuevo, aunque esto ocurrirá con menos frecuencia. Más adelante veremos el proceso de gestión de cambios en detalle, pero es www.full-ebook.com importante señalar aquí que este proceso llega hasta donde comienza el proceso de diseño y transición de servicios nuevos o modificados. Es decir, los cambios pequeños o poco significativos se gestionarán mediante el proceso de cambios; por ejemplo, cambiar el número de informes que se presentan al cliente. Pero si hay que crear un servicio nuevo o si el cambio es importante, hay que hacerlo mediante este proceso; por ejemplo, reestructurar completamente en formato, contenidos, frecuencia y diseño los informes que se presentan al cliente. Este proceso tiene también una relación importante con el de gestión de la configuración. En un servicio nuevo o con cambios importantes, habrá numerosos elementos de configuración afectados. Actualizar la información sobre estos elementos es tarea del proceso de gestión de la configuración. En la figura 5.1 se muestra una propuesta de modelo del proceso. Un nuevo servicio puede surgir porque el cliente lo solicita, y entonces es habitual que sea fácil decidir sobre los requisitos que debe cumplir el nuevo servicio: quiénes serán los usuarios, qué funcionalidades debe tener, tiempos de respuesta, etc. También puede surgir al descubrir nuevas necesidades de los clientes que no están cubiertas, o al proporcionar un proveedor nuevas prestaciones que permiten hacer cosas diferentes a las hechas hasta ahora. En estos casos puede ser más difícil delimitar los requisitos del nuevo servicio, y habrá que ser cuidadosos en la definición de unos requisitos equilibrados entre lo que idealmente se quiere ofrecer al cliente y lo que el cliente está dispuesto a pagar. Puede ser que un servicio aparentemente magnífico, con grandes prestaciones sobre una tecnología impresionante, no tenga cabida en los planes de nuestros clientes. Bien porque excede sus expectativas, bien porque no están dispuestos a desembolsar lo que cuesta, o porque no perciban los beneficios de esa opción sobre los de otras más baratas o más fáciles de asumir en su organización por motivos culturales, de organización, etc. Por ejemplo, una empresa que no esté preparada para asumir la subcontratación de su gestión de nóminas debido al peso en la organización del responsable de esta tarea. El proveedor del servicio deberá comprobar a lo largo de todo el proceso, y hasta la entrada en producción del nuevo servicio, que los requisitos definidos se cumplen, tomando las medidas oportunas cuando se detecten carencias o desviaciones. 5.3.1. Planificación de servicios nuevos o modificados Nunca es fácil especificar requisitos: es una tarea que en muchas ocasiones se www.full-ebook.com obvia. Incluso cuando se habla sobre ello y se llega a acuerdos, es muy raro que se documenten. De la inexactitud y la ambigüedad sobre los requisitos a abordar, derivan los problemas que ocurren después: los malentendidos, los desarrollos erróneos, las decepciones. Es imprescindible identificar los requisitos y documentarlos; de esta manera prevenimos este tipo de problemas y se puede planificar el desarrollo del nuevo servicio con criterio. Como en cualquier tipo de requisitos, lo más recomendable es tener un amplio consenso sobre ellos, de manera que tanto clientes como proveedores, usuarios y cualquier otra parte interesada hayan sido informados y hayan dado su aprobación, cuanto más formal mejor. La planificación para desarrollar un nuevo servicio o modificar uno existente pasa por definir el impacto que va a tener en la organización en diversos aspectos: • Financiero: cuánto va a costar, con qué presupuesto se cuenta, qué medios de financiación están disponibles. • Organizativo: qué equipo necesitamos, qué equipo tenemos, de qué estrategias disponemos para prestar el nuevo servicio con los medios que hay. • Técnico: qué conocimientos y herramientas son necesarios para desarrollar y operar el servicio, y con cuáles contamos en la organización. • De gestión: si el servicio está incluido o no en el sistema degestión y, de no estarlo, si se va a incluir o quedará excluido. En esta planificación hay que incluir: • Roles y responsabilidades de las personas que van a realizar el diseño, desarrollo y transición de los servicios nuevos o modificados. • Tareas a realizar por la organización, por los proveedores y, si procede, por los clientes o usuarios. Hay muchas tareas en las que pueden ayudar los usuarios finales de los servicios si es posible su colaboración, siendo tal vez la más importante la de realizar pruebas de validación, ya que, si los usuarios dan su visto bueno al servicio antes de que entre en producción, nos evitaremos costosos ajustes tras su lanzamiento. Los proveedores pueden resultar críticos para el éxito de un servicio, por lo que es crucial: – Tener bien identificados los servicios que necesitamos de ellos para comprar lo que realmente hace falta www.full-ebook.com – Escoger al proveedor más capaz técnica y organizativamente de cumplir con nuestros requerimientos. – Tener identificados varios proveedores para un mismo servicio, para obtener el mejor precio y no depender exclusivamente de uno por si fallara en algún momento. – Mantener un control riguroso sobre el rendimiento de los proveedores para tomar medidas si dejan de ofrecernos el servicio que necesitamos. • Flujos de comunicación con todas las partes interesadas. • Recursos asignados al servicio: económicos, humanos, técnicos y de conocimiento. • Calendario de tareas. • Dependencias de otros servicios. • Pruebas que se van a realizar para comprobar que se cumple con los requisitos y que el servicio funciona según lo esperado. • Cuáles van a ser los criterios de aceptación de los servicios. • Resultados esperados del nuevo servicio o del modificado. Esto tiene que expresarse en términos medibles, para que sea posible verificar de manera clara si se han alcanzado o no. Por ejemplo, se puede definir que con el nuevo servicio queremos aumentar la cartera de clientes en un 10%. Para la norma, retirar un servicio es un cambio en el mismo y se regirá por lo dispuesto en este proceso. Lógicamente, en este caso la planificación tiene que recoger: • La(s) fecha(s) de la retirada del servicio y sus componentes. • El archivo que se va a realizar, qué y cómo se van a archivar los distintos elementos del servicio que lo requieran. • La eliminación o transferencia de los datos que se han usado o se han generado por el servicio. • La documentación que se va a guardar del servicio. • Los componentes del servicio, entre los que van a estar la infraestructura y las aplicaciones con licencias asociadas. Habrá componentes que se retiren definitivamente, como por ejemplo aplicaciones que hayan sido sustituidas por otras, y otros que seguirán en uso para otros servicios, como una plataforma de virtualización. www.full-ebook.com 5.3.2. Diseño y desarrollo de servicios nuevos o modificados Los requisitos recogidos en la fase anterior se utilizarán para el desarrollo de los servicios. La norma es estricta en cuanto a la documentación que hay que tener, por lo que el diseño del servicio recogerá: • Roles y responsabilidades. • Actividades que ser van a llevar cabo. • Requisitos de recursos económicos, humanos y técnicos. • Tecnología que se va a utilizar. • Planes y políticas nuevas o modificadas para incorporar el servicio al sistema de gestión. • Contratos nuevos o modificados que se hayan firmado o se tengan que firmar para poder dar el nuevo servicio. • Cambios introducidos en el sistema de gestión, en particular en los acuerdos de nivel de servicio y en el catálogo de servicios. • Procedimientos, mediciones e información que se van a usar para dar soporte a la provisión del nuevo servicio. El diseño del servicio es un documento que describe lo que se pretende hacer y cómo lo vamos a hacer, detallando los resultados que esperamos de esas acciones. Cuando se diseña una máquina, los ingenieros dibujan un plano y anotan medidas, materiales, rangos de funcionamiento, etc. No podemos “dibujar” un servicio en un plano: lo hacemos mediante este documento de diseño, en el que vertemos qué va a hacer el servicio, qué “materiales” vamos a usar para fabricar el servicio y cómo se va a comportar. 5.3.3. Transición de servicios nuevos o modificados Antes de lanzar a producción los servicios que hemos desarrollado, hay que probarlos, de la misma manera que se prueba, por ejemplo, una aplicación. Esto facilita que el posterior proceso de entrega y despliegue se pueda realizar de manera simple y sin incidencias. Las pruebas tienen como finalidad: • Verificar que se cumplen los requisitos definidos; por ejemplo, que el servicio www.full-ebook.com puede operar 24×7. • Comprobar que se ha seguido el diseño; por ejemplo, que se ha firmado un contrato con un proveedor para la provisión de cierto servicio necesario. La manera de diseñar las pruebas consiste en usar los criterios de aceptación que se hayan definido en la fase de especificación de requisitos. Por ejemplo, si uno de los criterios de aceptación es que el servicio opere al menos 24×5, una de las pruebas será comprobar que efectivamente el servicio está operativo ese tiempo. Si todas las pruebas son superadas, cumpliéndose así los criterios de aceptación, se puede lanzar el servicio. Si no es así, el proveedor del servicio tendrá que actuar sobre aquellos aspectos que no se cumplen antes de poner el servicio en marcha. En cualquiera de los casos, hay que informar a todos los implicados del estado del servicio y del curso de acción que se va a tomar. En cuanto el servicio esté listo para pasar a producción, se pondrá en marcha el proceso de gestión de la entrega y despliegue, el cual se encarga de utilizar los servicios nuevos o modificados. 5.4. Síntesis del proceso La síntesis del proceso (véase la figura 5.2) resume el proceso con un objetivo, aspectos claves (cuáles son los puntos más importantes a considerar en el proceso) y posibles indicadores (valor objetivo a conseguir) y medidas (el ratio o fórmula). Figura 5.2. Síntesis del proceso Creación de servicios www.full-ebook.com Capítulo 6. Procesos de provisión del servicio El objetivo de los procesos de provisión es regular las actividades necesarias para que los servicios cumplan los requerimientos pactados con el negocio, y por lo tanto sus procesos cobran una especial relevancia para dar cobertura a la provisión eficiente de servicios de TI con los niveles apropiados de calidad y seguridad, alineados con los objetivos del negocio, que cubran las necesidades actuales y –un aspecto clave– que sean capaces de evolucionar rápidamente para cubrir las necesidades futuras. Para cubrir este objetivo, la norma UNE-ISO/IEC 20000-1 ha definido para este capítulo seis procesos junto son sus requisitos a cumplir: • Proceso de gestión del nivel de servicio. • Proceso de generación de informes del servicio. • Proceso de gestión de la continuidad y disponibilidad del servicio. • Proceso de elaboración de presupuesto y contabilidad de los servicios. • Proceso de gestión de la capacidad. • Proceso de gestión de la seguridad de la información. 6.1 Proceso Gestión del nivel de servicio 6.1.1. Objetivo del proceso El objetivo del proceso es definir, acordar, registrar y gestionar los niveles de servicio. 6.1.2. Diagrama del proceso En el diagrama del proceso que se muestra a continuación (véase la figura 6.1) se recogen sus entradas (requisitos, recursos), actividades que realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso. www.full-ebook.com Figura 6.1. Modelo del proceso Gestión del nivel de servicio 6.1.3. Descripción del proceso Cuando se habla de gestión de servicios, los conceptos de este proceso son los primeros
Compartir