Guia de Aproximacion Incremental a Iso 20000 (2)

GUA DE APROXIMACIN INCREMENTAL A ISO/IEC

20000

Laboratorio Nacional de Calidad del Software

Febrero 2010

Gua de Aproximacin Incremental a ISO/IEC 20000 2

El Instituto Nacional de Tecnologas de la Comunicacin, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin.

INTECO tiene la vocacin de ser un centro de desarrollo de carcter innovador y de inters pblico a nivel nacional que constituye una iniciativa enriquecedora y difusora de las nuevas tecnologas en Espaa en clara sintona con Europa.

Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Informacin, con actividades propias en el mbito de la innovacin y el desarrollo de proyectos asociados a las Tecnologas de la Informacin y la Comunicacin (TIC), basndose en tres pilares fundamentales: la investigacin aplicada, la prestacin de servicios y la formacin.

La misin de INTECO es aportar valor e innovacin a los ciudadanos, a las PYMES, a las Administraciones Pblicas y al sector de las tecnologas de la informacin, a travs del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Informacin en nuestro pas, promoviendo adems una lnea de participacin internacional.

Para ello, INTECO desarrolla actuaciones en las siguientes lneas:

Seguridad Tecnolgica: INTECO est comprometido con la promocin de servicios de la Sociedad de la Informacin cada vez ms seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su informacin y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas pblicas en torno a la seguridad de las TIC, que se materializan en la prestacin de servicios por parte del Observatorio de la Seguridad de la Informacin, el Centro Demostrador de Tecnologas de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin (INTECO-CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYMES, Administraciones Pblicas y el sector tecnolgico.

Accesibilidad: INTECO promueve servicios de la Sociedad de la Informacin ms accesibles, que supriman las barreras de exclusin, cualquiera que sea la dificultad o carencia tcnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integracin progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Informacin. Asimismo desarrolla proyectos en el mbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrnicamente con las AA.PP.

Calidad TIC. INTECO promueve unos servicios de la Sociedad de la Informacin que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una


informacin precisa y clara sobre la evolucin de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta lnea impulsa la competitividad de la industria del Software a travs de la promocin de la mejora de la calidad y la certificacin de las empresas y profesionales de la ingeniera del software.

Formacin: la formacin es un factor determinante para la atraccin de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formacin de universitarios y profesionales en las tecnologas ms demandadas por la industria.


NOTA DE EDICIN

Esta gua ha sido desarrollada por el Laboratorio Nacional de Calidad del Software de INTECO. Esta primera versin ha sido editada en Febrero del 2010.

Copyright 2009 Instituto Nacional de Tecnologas de la comunicacin (INTECO)

El presente documento est bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir Igual versin 2.5 Espaa. Usted es libre de: - copiar, distribuir y comunicar pblicamente la obra - hacer obras derivadas Bajo las condiciones siguientes: - Reconocimiento. Debe reconocer los crditos de la obra de la manera especificada por el autor o el licenciador

(pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra). - No comercial. No puede utilizar esta obra para fines comerciales. - Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, slo puede

distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor Nada en esta licencia menoscaba o restringe los derechos morales del autor. Esto es un resumen legible por humanos del texto legal (la licencia completa) disponible en http://creativecommons.org/licenses/by-nc-sa/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.

Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.


AVISO LEGAL Las distintas normas ISO mencionadas han sido desarrolladas por la International

Organization for Standardization.

ITIL (Information Technology Infrastructure Library es una marca registrada de la OGC, Office of Government Commerce (Oficina de comercio gubernamental), que es una divisin del Ministerio de Hacienda del Reino Unido.

The Open Group es una marca registrada y TOGAF es una marca de The Open Group en EE.UU y otros paises.

Todas las dems marcas registradas que se mencionan, usan o citan en la presente gua son propiedad de los respectivos titulares.

INTECO cita estas marcas porque se consideran referentes en los temas que se tratan, buscando nicamente fines puramente divulgativos. En ningn momento INTECO busca con su mencin el uso interesado de estas marcas ni manifestar cualquier participacin y/o autora de las mismas.

Nada de lo contenido en este documento debe ser entendido como concesin, por implicacin o de otra forma, y cualquier licencia o derecho para las Marcas Registradas deben tener una autorizacin escrita de los terceros propietarios de la marca.

Por otro lado, INTECO renuncia expresamente a asumir cualquier responsabilidad relacionada con la publicacin de las Marcas Registradas en este documento en cuanto al uso de ninguna en particular y se eximen de la responsabilidad de la utilizacin de dichas Marcas por terceros.

El carcter de todas las guas editadas por INTECO es nicamente formativo, buscando en todo momento facilitar a los lectores la comprensin, adaptacin y divulgacin de las disciplinas, metodologas, estndares y normas presentes en el mbito de la calidad del software.


NDICE

1. INTRODUCCIN 10

2. INTRODUCCIN A LA NORMA ISO/IEC 20000 11

2.1. Origen 11

2.2. Principios y objetivos 132.2.1. Qu es calidad? 132.2.2. Ciclo PDCA 142.2.3. Principios de la gestin de la calidad 15

2.3. Contexto actual 16

3. DEFINICIN DEL MBITO DE APLICACIN DE ISO/IEC 20000-1 20

3.1. Aplicabilidad de la Norma 203.1.1. Control de la gestin 213.1.2. Influencia de los proveedores externos en la aplicabilidad de

la certificacin 21

3.2. mbito de consideracin 223.2.1. Parmetros del mbito de aplicacin 22

3.3. Ejemplos de Aplicabilidad y de declaracin de mbito de aplicacin 233.3.1. Ejemplo 1 233.3.2. Ejemplo 2 23

4. PLANIFICACIN E IMPLEMENTACIN DE UN SGSTI 25

4.1. Requerimientos de un sistema de gestin 254.1.1. Responsabilidad de la direccin 254.1.2. Requerimientos de la documentacin 264.1.3. Competencia, concienciacin y formacin 26

4.2. Planificar e implementar gestin de servicios de TI 264.2.1. Planificar la gestin de servicios de TI (Planificar) 274.2.2. Implementar la gestin de servicios de TI (Hacer) 274.2.3. Verificar la gestin de servicios de TI (Verificar) 274.2.4. Mejora continua de la gestin de servicios de TI (Actuar) 27

5. IMPLEMENTACIN DE LOS PROCESOS DE GESTIN DE SERVICIOS DE TI 28

5.1. Introduccin a ISO/IEC 20000-2 e ITIL 285.1.1. ISO/IEC 20000-1 e ISO/IEC 20000-2 295.1.2. ISO/IEC 20000-1 e ITIL v2 30


5.2. Mtodo de adopcin de mejores prcticas 315.2.1. Arquitectura como nexo de unin entre negocio y TI 315.2.2. Una aproximacin a la arquitectura de la solucin: TOGAF 32

6. APROXIMACIN INCREMENTAL EN TRES FASES 34

6.1. Modelo de Adopcin 346.1.1. Aplicabilidad y mbito 346.1.2. Evaluacin inicial 356.1.3. Compromiso de la direccin 356.1.4. Establecimiento de una estructura de proyecto 35

6.2. Visin general de las tres fases 356.2.1. Objetivos y actuaciones de cada fase 356.2.2. Caractersticas de cada fase 37

7. GLOSARIO 40

8. ACRNIMOS 42

9. REFERENCIAS 43


NDICE DE FIGURAS

Figura 1. Origen de la norma ISO/IEC 20000 .......................................................................12

Figura 2. Ciclo PDCA ...........................................................................................................14

Figura 3. Panorama de estandarizacin en torno a ISO/IEC 20000......................................17


NDICE DE TABLAS

Tabla 1. Principios de la gestin de la calidad ......................................................................15

Tabla 2. ISO/IEC 20000: parte 1 frente a parte 2..................................................................29

Tabla 3. ISO/IEC 20000-1 frente a ITIL ................................................................................30

Tabla 4. Objetivos y actuaciones de cada fase .....................................................................36

Tabla 5. Caractersticas de cada fase ..................................................................................38


1. INTRODUCCIN

Esta gua pretende servir de base para el cumplimiento de los requisitos de la norma internacional ISO/IEC 20000, incluyendo los mtodos y la secuenciacin de adopcin de mejores prcticas.

Para la secuenciacin se ha tenido en cuenta la iniciativa, lanzada desde ISO/IEC (JTC1 SC7 WG25), que propone una aproximacin incremental a la adopcin del estndar ISO/IEC 20000 en un proveedor de servicios de TI.

Esta gua comienza con una breve introduccin a la norma ISO/IEC 20000 y su contexto, con especial atencin a los principios, objetivos y requerimientos incluidos en la parte 1 de la misma.

A continuacin, se tratan los tres aspectos fundamentales de una adopcin de ISO/IEC 20000:

- Definicin del mbito de aplicacin de la norma: Lo primero que tiene que plantearse un proveedor de servicios de TI es si la norma es de aplicacin a su situacin (en definitiva, si el proveedor cumple con los requisitos y condicionantes de partida exigidos para la adopcin de la norma como pueda ser tener el control de la gestin de los procesos incluidos en la misma); una vez comprobado este punto, el proveedor de servicios de TI deber decidir el mbito de aplicacin de la norma desde, al menos, tres puntos de vista: organizacional, geogrfico y de servicios prestados a clientes.

- Planificacin e implementacin de un Sistema de Gestin de Servicios de TI (SGSTI): Adems de la adopcin de los procesos especficos incluidos en la norma, para que un proveedor de servicios de TI pueda demostrar el control de la gestin de los mismos, debe poner en marcha un sistema completo de gestin que acte como marco de referencia y garante de la adecuada (calidad y mejora continua) prestacin de los servicios de TI.

- Implementacin de los procesos de gestin de servicios de TI: Mediante la adopcin de mejores prcticas.

Finalmente, se describe en detalle el contenido de cada una de las tres fases recomendadas para la adopcin de ISO/IEC 20000 que conforman la aproximacin incremental.


2. INTRODUCCIN A LA NORMA ISO/IEC 20000

En este apartado se explica brevemente el origen de la norma ISO/IEC 20000, publicada por ISO e IEC (organismos que constituyen el sistema especializado para la normalizacin a nivel mundial) a travs de su organismo comn JTC1, as como los principios, objetivos y requerimientos de la parte 1 de la norma.

Se presenta tambin el contexto actual con respecto a las distintas partes de la norma (tanto en vigor como en desarrollo), as como las distintas organizaciones involucradas en la elaboracin y revisin de las mismas.

2.1. ORIGEN

Para entender el origen de la norma ISO/IEC 20000, y su reflejo a nivel nacional (norma UNE-ISO/IEC 20000 publicada en junio de 2007), hay que remontarse a 1989, en Reino Unido, donde se lanz una iniciativa por parte del BSI con el objetivo de establecer un estndar para la gestin de servicios de TI.

A partir de ah, la cronologa es la recogida en la siguiente figura:


Figura 1. Origen de la norma ISO/IEC 20000

2000

1995

2002

2003

2004

2005

Se publica el cdigo de prcticas PD0005, que recoge ya el marco de procesos elaborado por la OGC en su ITIL.

Se publica la norma BS 15000:2000, que acabara convirtindose en la norma ISO/IEC 20000.

Se publica la norma BS15000-1:2002, que reemplazaba a la BS 15000:2000 tras la prueba y evaluacin de adopcin por parte de organizaciones pioneras, y predecesora de la parte 1 de la norma ISO/IEC 20000.

Se publica la norma BS15000-2:2003, que es un cdigo de prctica para la gestin de servicios de TI, y predecesora de la parte 2 de la norma ISO/IEC 20000.

Se solicita la evolucin de la BS 15000 a norma internacional a travs del procedimiento de fast-track, que permite una tramitacin ms rpida de la norma. La norma internacional es adoptada por el Comit Tcnico conjunto ISO/IEC JTC 1.

Se publican las partes 1 y 2 de la norma internacional ISO/IEC 20000 (ISO/IEC 20000-1:2005 e ISO/IEC 20000-2:2005).

2007 Se publica la norma espaola UNE ISO/IEC 20000 (partes 1 y 2) como traduccin de la norma internacional.

2009 Se publica la parte 3 de la norma internacional bajo el formato de Technical Report ISO/IEC TR 20000-3:2009.


2.2. PRINCIPIOS Y OBJETIVOS

Como se ha indicado anteriormente, la adopcin de ISO/IEC 20000 por parte de un proveedor de servicios de TI, implica la implantacin de un sistema de gestin de servicios TI, o lo que es lo mismo, la implantacin de un sistema de gestin de la calidad o la extensin del ya existente para contemplar el nuevo dominio de consideracin.

Por este motivo, en la norma ISO/IEC 20000 se combinan los principios ISO de gestin de la calidad con los principios y mejores prcticas del sector de las TIC para la gestin de servicios de TI. Consecuentemente, cuando hablamos de principios en ISO/IEC 20000, estamos hablando implcitamente de principios de la calidad.

Para proporcionar una doble visin de principios y requisitos de aseguramiento de la calidad en la prestacin de los servicios de TI, y del conjunto de mejores prcticas de la industria, la norma ISO/IEC 20000 est estructurada en dos partes:

- La parte 1 recoge los requerimientos en s que debe cumplir el sistema de gestin de servicios de TI.

- La parte 2 recoge un conjunto de mejores prcticas que sirven de gua a las organizaciones para conseguir la conformidad con la parte 1, pero sin constituir requisitos de obligado cumplimiento.

Las siguientes secciones introducen los principios de la norma, los objetivos perseguidos al aplicarlos, y los conceptos de calidad necesarios para su correcta comprensin.

2.2.1. Qu es calidad?

La norma ISO 9000 establece la calidad como el grado en el cual un nmero de caractersticas de un producto o servicio satisface los requisitos de un cliente. Si bien, en funcin del organismo correspondiente, existen mltiples y diversas definiciones del trmino calidad, s se ha observado con el paso del tiempo una evolucin de las mismas en la que el foco pasa de ser exclusivamente la calidad inherente del producto o servicio en particular, a centrar la calidad en el proceso de generacin del producto o prestacin del servicio. As, la gestin de la calidad debe tener en cuenta todo aquello que una organizacin hace (gestin de la calidad del proceso) para garantizar que sus servicios cubren los requisitos de sus clientes (gestionar la calidad del producto), al mismo tiempo que se cumple con aquellas normas que puedan aplicarse a esos servicios.

En el caso de un proveedor de servicios de TI, el aseguramiento de la calidad significa entonces entender las necesidades del negocio y controlar que disea y gestiona los servicios proporcionados para satisfacer estas necesidades.


2.2.2. Ciclo PDCA

El objetivo final de la gestin de la calidad, o de la gestin de servicios de TI, no es el establecimiento o adopcin de unos modos de trabajo que aseguren y controlen la calidad, sino que es tambin la adopcin de unos mecanismos y una cultura de mejora continua, tanto en la vertiente de la calidad del servicio en s, como desde la perspectiva de los procesos y prcticas utilizadas para tal fin. Este espritu de mejora continua constituye un principio bsico de la calidad y, consecuentemente, forma parte de los requisitos impuestos al sistema de gestin de servicios de TI dentro de la norma ISO/IEC 20000.

Si bien existen numerosas aproximaciones al concepto y adopcin de la mejora continua, por simplicidad y practicidad, la norma considera la utilizacin del modelo PDCA -siglas inglesas de Planificar, Hacer, Verificar, Actuar1

Figura 2. Ciclo PDCA

-, tambin conocido como ciclo de Deming -por ser William Edwards Deming quien lo introdujo-. Este modelo establece cuatro fases cclicas a aplicar a cualquier proceso o servicio que se est gestionando.

PLANIFICAR

HACER

VERIFICAR

ACTUAR

Las fases son:

1. Planificar: Qu se va a hacer, cundo, cmo, con qu, y por quin.

2. Hacer: Ejecutar las actividades planificadas.

1 PDCA: Plan, Do, Check, Act.


3. Verificar: Comprobar si los resultados obtenidos son los esperados.

4. Actuar: Ajustar los planes segn los resultados de la fase anterior.

Es importante recordar que aplicamos este ciclo para ir mejorando tambin la calidad de nuestro sistema de gestin de servicios de TI. De manera que, con cada ciclo, debemos asegurarnos de que consolidamos el nivel de calidad alcanzado, sirviendo ste, a su vez, de base para el siguiente ciclo de mejora.

2.2.3. Principios de la gestin de la calidad

La norma ISO/IEC 20000 incluye los ocho principios de la gestin de la calidad de ISO 9000, que sirven para que la direccin de TI gue la mejora del rendimiento de su organizacin.

Tabla 1. Principios de la gestin de la calidad

Principio Objetivos Aplicacin

Enfoque a cliente

Ofrecer una respuesta ms rpida y flexible a las necesidades de los clientes y hacer un uso ms eficaz de los recursos en cuanto a aumentar la satisfaccin del cliente.

Desarrollar la estrategia en base a las necesidades futuras de los clientes, medir el grado de satisfaccin de los clientes y gestionar las relaciones con los clientes.

Liderazgo Motivar a las personas para que asuman como propios los objetivos de la organizacin, implantar las actividades de un modo homogneo y fomentar la comunicacin entre los distintos niveles de la organizacin.

Tener una visin, es decir una idea clara del futuro de la organizacin, definir una misin y objetivos especficos, establecer los valores por los que se va a regir la organizacin y proporcionar a las personas los medios necesarios para desarrollar su labor, animndolas a conseguir los objetivos marcados y reconociendo sus logros.

Implicacin de las personas

Conseguir ser una organizacin formada por personas motivadas y comprometidas con los objetivos de la misma, y que contribuyen a la mejora continua.

La direccin debe conseguir que las personas comprendan el rol que desempean en la organizacin y cul es su contribucin a los objetivos de la misma, que evalen su rendimiento en funcin de sus objetivos personales, que busquen oportunidades de mejora; para ello, la direccin debe tambin fomentar la libre circulacin de informacin entre las personas.


Planteamiento de procesos

Hacer un uso ms eficaz de los recursos, que los resultados de las distintas actividades sean coherentes y predecibles y enfocar y priorizar las oportunidades de mejora.

Definir sistemticamente las actividades necesarias para obtener el resultado deseado, definir roles y responsabilidades para dichas actividades o identificar los puntos de contacto entre las distintas actividades y entre stas y las funciones de la organizacin.

Mejora continua

Mayor rendimiento, ms calidad en el servicio, alineacin con los objetivos de la organizacin y flexibilidad.

Planteamiento coherente de la mejora en toda la organizacin, divulgacin de mtodos y herramientas de la mejora, analizar y evaluar para identificar reas de mejora, definir objetivos para la mejora, aplicar las mejoras identificadas, hacer un seguimiento de la mejora continua, verificar que la aplicacin de las mejoras obtiene los resultados esperados, etc.

Planteamiento basado en hechos para la toma de decisiones

Tomar decisiones basadas en la informacin adecuada y mejorar la capacidad de evaluar la eficacia de las decisiones tomadas.

Garantizar que se dispone de datos precisos y suficientes, hacer estos datos accesibles y analizar correctamente la informacin.

Relaciones de mutuo beneficio con los proveedores

Generacin de valor tanto para la organizacin y como para sus suministradores, flexibilidad y rapidez en las respuestas conjuntas a las necesidades de los clientes y optimizacin de costes.

Establecer relaciones equilibradas con los suministradores, compartir experiencias, informacin, planes y recursos y fomentar acciones de mejora conjunta.

Planteamiento de sistema para la gestin

Integracin y alineacin de los distintos procesos, concentrar esfuerzos en los procesos clave y conseguir confianza en la coherencia, eficacia y eficiencia de la organizacin.

Comprender las dependencias entre los procesos, adoptar enfoques estructurados para integrar los procesos, identificar roles y responsabilidades para objetivos comunes, comprender la capacidad de la organizacin, marcar objetivos especficos y posibilitar la mejora continua del sistema como tal.

2.3. CONTEXTO ACTUAL

Como ya se ha introducido, la presente norma ISO/IEC 20000:2005 (partes 1 y 2) es el resultado en diciembre de 2005 de la tramitacin por el procedimiento de fast-track de la norma britnica BS15000. El hecho de que esta norma no tenga como origen el propio trabajo de generacin del JTC-1 pone de manifiesto un hecho que, no por habitual, no debe dejar de recalcarse: la norma ISO/IEC 20000 no es algo aislado o independiente. Por tanto, para entender esta norma, su aplicacin y su posible evolucin es conveniente tambin considerar su contexto, tanto en tiempo de generacin, como a partir de la misma.

La siguiente figura recoge una visin resumida y a alto nivel de las principales caractersticas del contexto de estandarizacin en torno a la norma ISO/IEC 20000.


Figura 3. Panorama de estandarizacin en torno a ISO/IEC 20000

De forma general, el contexto de estandarizacin de la norma ISO/IEC 20000 se puede agrupar en torno a tres grandes bloques u organismos de estandarizacin, cada uno de los cuales jugando un papel diferente, pero necesario, para la conformacin y evolucin de la norma.

El origen de la norma ISO/IEC 20000, como se ha detallado en secciones anteriores y queda reflejado en la figura anterior, debemos buscarlo en las iniciativas de estandarizacin de la gestin de TI lanzadas por el organismo de estandarizacin britnico (BS) como son PD005 y BS15000 que han dado lugar a estndares de facto como ITIL o estndares de iure como ISO/IEC 20000.

Desde 2004, fecha en la que el JTC-1 (comit conjunto de ISO e IEC) recibi la solicitud de tramitacin de la BS15000, el impulso de estandarizacin pasa al mbito internacional, sin


que esto signifique que el resto de organizaciones dejen de trabajar en la generacin de estndares nacionales o de recomendaciones de trabajo en el campo de la gestin y el gobierno de las TIC.

Dentro del JTC-1 se constituy en 2006 el Grupo de Trabajo 25 (WG25), adscrito al Subcomit 7 (SC7), con el objeto de proceder a la revisin de la nueva norma ISO/IEC 20000 (como compromiso alcanzado para la tramitacin y aprobacin de la norma BS15000 como estndar ISO/IEC), y para proceder a su evolucin y ampliacin subsiguiente. Los principales resultados del trabajo de este grupo son:

- Ampliacin de la norma mediante la publicacin en 2009 de un informe tcnico (ISO/IEC TR 20000-3:2009) para ayudar en el establecimiento del mbito de certificacin de la norma.

- Ampliacin de la norma mediante la publicacin esperada en 2011 de un informe tcnico (TR ISO/IEC 20000-4) con la descripcin de un Modelo de Referencia de Procesos (y evaluacin) para la norma.

- Ampliacin de la norma mediante la publicacin esperada en 2010 de un informe tcnico (TR ISO/IEC 20000-5) con un modelo de adopcin incremental de la norma.

- Revisin de la parte 1 de la norma mediante la publicacin en 2010/11 de una nueva versin de la misma (ISO/IEC 20000-1:2010/11).

- Revisin de la parte 2 de la norma mediante la publicacin en 2011 (dependiente de la liberacin de la parte 1 revisada) de una nueva versin de la misma (ISO/IEC 20000-2:2011).

De forma paralela a la estandarizacin internacional de la norma ISO/IEC 20000, a nivel local se lanzaron las siguientes iniciativas:

- El captulo espaol del itSMF procedi conjuntamente con AENOR Normalizacin, como organismo espaol autorizado para ello, a la localizacin de la norma, publicndose la versin espaola (UNE ISO/IEC 20000, partes 1 y 2) en 2007.

Posteriormente, ese mismo ao 2007, el comit de Catalua del captulo espaol del itSMF junto con TermCat procedi a la generacin de una versin en cataln de la norma ISO/IEC 20000.

- AENOR, actuando como organismo de estandarizacin espaol, procedi a la creacin en 2007 del grupo de trabajo (GT25) reflejo del WG25 internacional.

A partir de este momento, el GT25 se ha encargado de participar en todas las actividades anteriormente reseadas para el WG25 del JTC-1.

Igualmente, y como muestra de la relacin con otros estndares y la influencia mutua:


Se gener un anexo a la norma espaola indicando el mapeado de requisitos del sistema de gestin de servicios de TI y la norma ISO 9001.

Se estableci un enlace permanente con el SC27/GT1 para asegurar el alineamiento con la norma ISO/IEC 27001.

Finalmente, y como aspecto tambin de consideracin por el impacto que puede suponer sobre la norma ISO/IEC 20000 y su evolucin, es necesario considerar los avances realizados en el marco del Gobierno de TI.

- Tramitacin y aprobacin por procedimiento fast-track (sin revisin posterior a la aprobacin) de la norma australiana AS8015 para conformar la norma ISO/IEC 38500:2009 para el gobierno corporativo de las TIC.

- Conformacin del Grupo de Trabajo JTC-1/WG6 con foco en la evolucin de la norma ISO/IEC 38500:2009.

Las funciones espejo de este grupo de trabajo las asume tambin el GT25 de AENOR a nivel espaol.


3. DEFINICIN DEL MBITO DE APLICACIN DE ISO/IEC 20000-1

Una de las demandas de la industria de las TIC acerca de la norma ISO/IEC 20000 es la de disponer de una ayuda, no slo acerca de cmo aplicar dicha norma en sus organizaciones, sino tambin de si su organizacin es la adecuada para aplicarla.

Para cubrir esta demanda, JTC-1 desarroll un Informe Tcnico (TR) -publicado en octubre de 2009 como parte 3 de la norma ISO/IEC 20000- que sirve como gua para, por un lado, evaluar la aplicabilidad de la norma a una organizacin proveedora de servicios de TI y, por otro, definir el mbito de consideracin en el caso de requerir una certificacin otorgada por una entidad certificadora.

As, teniendo en cuenta lo indicado, lo primero que debe responder un proveedor de servicios a la hora de plantearse la adopcin de ISO/IEC 20000 es:

- Si quiere certificarse: Es aplicable la certificacin de la norma a mi organizacin?

- Cul es el mbito de aplicacin o consideracin de la norma en mi caso?

Las siguientes secciones resumen los conceptos principales aportados por este TR al efecto de poder responder a las preguntas anteriores.

3.1. APLICABILIDAD DE LA NORMA

La parte 1 de la norma ISO/IEC 20000 no establece diferenciacin de ningn tipo en funcin del tipo de organizacin que persigue su adopcin, de tal forma que los requisitos planteados aplican tanto a grandes organizaciones como a pequeas; sin embargo, de sus requisitos se pueden extraer condiciones para la adopcin de un sistema de gestin de servicios de TI acorde con la norma, o dicho de otro modo, condiciones de aplicabilidad de una potencial certificacin con respecto de la norma.

Un proveedor de servicios que pretende conseguir la certificacin en la norma ISO/IEC 20000-1 puede ser una organizacin entera o bien formar parte de otra ms grande. Sin embargo, un sistema de gestin de servicios de TI en el que el control de los procesos de gestin est distribuido entre ms de una entidad legal, no puede ser certificado.

De manera adicional, los dos puntos ms importantes que tiene que cumplir un proveedor de servicios de TI para que le sea aplicable la norma a efectos de una certificacin son:

- Todos los procesos recogidos en la norma deben estar implementados.

- El proveedor de servicios de TI mantiene el control de la gestin de dichos procesos.


Una vez que el proveedor de servicios de TI haya comprobado la aplicabilidad de la norma ISO/IEC 20000-1 a su situacin, el siguiente paso ser, tal como se indica en la misma2

3.1.1. Control de la gestin

, establecer el mbito de consideracin para la aplicacin de la norma.

Hemos dicho que, para que la norma sea aplicable a un proveedor de servicios, dicho proveedor debe tener el control de la gestin de todos los procesos incluidos.

Pues bien, para probar dicho control sobre la gestin, el proveedor debe demostrar que:

- Mantiene la total responsabilidad y control sobre la definicin de los procesos considerados en la norma.

- Es responsable del cumplimiento de los procesos, aunque no es obligatorio que lleve a cabo la ejecucin de los mismos.

- Dispone de evidencias de la ejecucin de los procesos de la norma.

- Mantiene la total responsabilidad y control sobre la definicin de los servicios de TI.

- Mantiene la total responsabilidad y control sobre la definicin del plan de gestin de servicios de TI.

- Mantiene la total responsabilidad y control sobre la mejora continua de los servicios de TI.

3.1.2. Influencia de los proveedores externos en la aplicabilidad de la certificacin

La dependencia de proveedores externos para la provisin de los servicios de TI no significa necesariamente la no aplicabilidad de la norma para un proveedor de servicios de TI a efectos de una posible certificacin. Siempre y cuando el proveedor de servicios de TI pueda demostrar que mantiene el control de la gestin de los procesos y servicios (ver punto anterior), la norma -y una posible certificacin- ser aplicable.

No es objeto de esta gua entrar en el detalle de los posibles casos que se pueden dar en cuanto a las relaciones con proveedores externos, y su influencia en la aplicabilidad de la norma.

Se puede encontrar ms informacin en el TR mencionado al principio de este captulo.

2 Clusula 4.1 de la norma: Planificacin de la gestin del servicio (Planificar).


3.2. MBITO DE CONSIDERACIN

Como se ha indicado en el punto anterior, la norma no establece distingos en funcin del tipo o tamao de la organizacin proveedora de servicios de TI. Ahora bien, las organizaciones proveedoras de servicios de TI presentan caractersticas organizacionales, geogrficas o incluso legales, que pueden variar tambin entre compaas pertenecientes a una misma categora. Esto significa que, de manera anloga, los sistemas de gestin de servicios de TI pueden ser diferentes en funcin de las caractersticas mencionadas.

Consecuentemente, la definicin del mbito de aplicacin o consideracin respecto de la adopcin de la norma constituye un aspecto crtico a la hora de que una organizacin proveedora de servicios de TI decida marcarse el objetivo de adoptar ISO/IEC 20000.

Si adems se considera la certificacin como parte de los objetivos de la organizacin, la determinacin del mbito de consideracin se hace mucho ms crtico ya que recordemos que en este caso la organizacin deber mostrar evidencias de que cumple con los requerimientos de la parte 1, debiendo demostrar, entre otras cosas, que:

- Los procesos incluidos en la norma estn implementados.

- Dichos procesos estn adecuadamente integrados.

- Tiene el control de la gestin de los procesos.

Por todo lo anterior, un proveedor de servicios de TI debe definir claramente el mbito de la gestin de servicios de TI que se pretende incluir en la certificacin. A esta definicin se le llama declaracin de mbito de aplicacin.

Se incluyen a continuacin los aspectos a tener en cuenta para la definicin del mbito de aplicacin de la norma.

3.2.1. Parmetros del mbito de aplicacin

La declaracin de mbito de aplicacin debe considerar explcitamente, cuando menos:

- Qu reas geogrficas de la organizacin se incluyen (Ej.: Una oficina en concreto, todo un pas, etc.)

- Qu unidades organizativas estn incluidas (Ej.: Todo el departamento de TI, una unidad funcional especfica, etc.)

- Qu servicios estn considerados (Ej.: Todos los servicios de TI prestados por la organizacin, un nico servicio, etc.).

- Para qu clientes se considera la certificacin (Ej.: Un nico cliente, todos los clientes externos, grupo de departamentos de la compaa, etc.)


La estructura tpica de una declaracin de mbito de aplicacin es:

El provisto por a desde .

3.3. EJEMPLOS DE APLICABILIDAD Y DE DECLARACIN DE MBITO DE APLICACIN

A continuacin se incluyen dos ejemplos ilustrativos de evaluacin de aplicabilidad y declaracin de mbito de aplicacin de la norma. En el primero de ellos la norma s es aplicable al proveedor de servicios, y en el segundo no.

3.3.1. Ejemplo 1

Un departamento interno es el nico proveedor de los servicios de TI en el cliente XYZ. El proveedor de servicios internos ha adoptado las mejores prcticas de gestin de servicios para todos los servicios ofrecidos a otras unidades de negocio internas.

El proveedor de servicios mantiene el control de gestin de los procesos, de los servicios y del plan de mejora de servicios, incluyendo todos los aspectos de su relacin con los proveedores externos.

Aplicabilidad

Puede definir este proveedor de servicios un mbito que le permita conseguir la certificacin ISO/IEC 20000?

La respuesta es s, una vez haya implementado todos los procesos incluidos en la norma.

Definicin del mbito de aplicacin

En este ejemplo, muy sencillo, el cliente XYZ puede certificar su departamento interno y su sistema de gestin de servicios de TI. El certificado ISO/IEC 20000 indicara que el certificado se otorga al proveedor de servicios interno, y no a todo XYZ.

As, la declaracin del mbito de aplicacin podra ser:

La provisin de los servicios internos a XYZ por el departamento interno de XYZ

3.3.2. Ejemplo 2

El proveedor de servicios interno del cliente ABC ha externalizado la gestin de la infraestructura, para evitar tener que invertir en herramientas. Adems, dicho proveedor ha decidido no involucrarse en la gestin del proceso de gestin de la configuracin.


Aplicabilidad

Puede definir este proveedor de servicios un mbito que le permita conseguir la certificacin ISO/IEC 20000?

En este caso la respuesta sera no. El hecho de externalizar la gestin de la infraestructura no es un impedimento en s mismo para no obtener la certificacin, pero el no mantenimiento del control del proceso de gestin de la configuracin s, al tratarse de un proceso incluido en la norma.


4. PLANIFICACIN E IMPLEMENTACIN DE UN SGSTI

Una vez hemos comprobado que la norma ISO/IEC 20000-1 es aplicable a nuestra organizacin y hemos delimitado el mbito donde la queremos adoptar, el siguiente paso consiste en planificar las mejoras necesarias para su adopcin.

Antes de empezar a implementar las mejoras en los procesos de gestin, necesitamos asegurarnos de que contamos con las bases de lo que va a ser nuestro Sistema de Gestin de Servicios de TI (SGSTI), y asegurarnos de que dichas bases cumplen con el objetivo de un SGSTI, que es, segn recoge en su clusula 3 la parte 2 de la norma, proveer un sistema de gestin, incluyendo polticas y un marco de trabajo para posibilitar una efectiva gestin e implementacin de todos los servicios TI.

As, lo primero que debemos conocer son los requerimientos que debe cumplir un sistema de gestin para, posteriormente, planificar su adopcin como soporte fundamental en nuestra gestin de servicios.

4.1. REQUERIMIENTOS DE UN SISTEMA DE GESTIN

No se pretende en este captulo detallar los requerimientos de la parte 1 de la norma asociados al sistema de gestin, ni las correspondientes recomendaciones de la parte 2. Lo que se pretende es explicar al lector el por qu de la importancia de implementar un sistema de gestin y de fundamentarlo correctamente.

Los requerimientos que debe cumplir un sistema de gestin se agrupan en tres reas: responsabilidad de la direccin, requerimientos de la documentacin y competencia del personal.

4.1.1. Responsabilidad de la direccin

La adopcin y pervivencia de un sistema de gestin en cualquier organizacin necesita el compromiso de la direccin de dicha organizacin. Esto es especialmente crtico para la adopcin de un SGSTI.

Dicho compromiso deber plasmarse en la designacin de un miembro de la alta direccin como responsable de los planes de gestin del servicio de TI.

Esto quiere decir que el nivel de toma de decisin requerido est asegurado en todos los casos. sta es la forma de garantizar uno de los puntos ya indicados como imprescindibles para demostrar el control de la gestin: disponer de la autoridad suficiente para exigir el cumplimiento de los procesos, adems de asegurar igualmente la asignacin de personas de la organizacin para el control y propiedad de los procesos que se utilicen.


4.1.2. Requerimientos de la documentacin

Una organizacin que se est planteando implementar un sistema de gestin, debe tener previsto cmo gestionar la documentacin3

Implementando y haciendo cumplir este proceso nos aseguramos que la documentacin necesaria para nuestro sistema de gestin se crea y gestiona adecuadamente.

(incluyendo los registros que evidencian el cumplimiento de los requisitos) asociada. Si adems se est buscando la certificacin, donde se pedirn evidencias de cmo se cumplen los requerimientos, el establecimiento de un proceso de gestin de la documentacin se hace imprescindible.

Finalmente, al igual que en el punto anterior, si volvemos al pilar central de un SGSTI que representa mantener el control de la gestin, una correcta gestin de la documentacin nos permitir demostrar que se poseen evidencias de la ejecucin de los procesos.

4.1.3. Competencia, concienciacin y formacin

Un sistema de gestin adecuado debe asegurarse de que todas las personas que ostentan un rol dentro de la gestin de servicios tienen las competencias adecuadas para dicho rol.

Para ello, se necesitar definir las habilidades y aptitudes necesarias para desempear cada rol incluido en nuestro SGSTI.

Una vez definidos los roles adecuadamente, la organizacin deber asegurarse de que las personas asignadas poseen las habilidades requeridas, que se les proporciona la formacin necesaria y se les comunica adecuadamente todo lo que necesitan saber para ejercer su rol, y que se les expone a las experiencias adecuadas para conseguir el suficiente nivel de competencia.

4.2. PLANIFICAR E IMPLEMENTAR GESTIN DE SERVICIOS DE TI

Al hablar de los principios y objetivos de la norma ISO/IEC 20000 introdujimos el ciclo de calidad PDCA como la base de la gestin de un proceso o servicio. Pues bien, el mismo ciclo se deber aplicar a la adopcin de la gestin de servicios de TI. De la misma manera, seguiremos aplicando dicho ciclo a la posterior gestin del SGSTI adoptado al efecto de asegurar la mejora continua del mismo.

Los siguientes puntos recogen los aspectos ms destacados de cada una de las fases del ciclo, aplicado a la implementacin de la gestin de servicios.

3 Se entiende por documentacin tanto la informacin propiamente dicha, como el soporte elegido para contenerla.


4.2.1. Planificar la gestin de servicios de TI (Planificar)

En esta fase es donde se genera el plan de adopcin de la gestin de servicios de TI, como mnimo deber considerar:

- Alcance: aqu debemos aplicar lo desarrollado en el captulo anterior correspondiente a la definicin del mbito de aplicacin de la norma, ya que nuestro SGSTI deber cubrir, al menos, el alcance que pretendemos dar a la adopcin de la norma.

- Enfoque: donde consideraremos qu aproximacin se adecua mejor a las caractersticas de nuestra organizacin, segn el alcance establecido, para adoptar la gestin de servicios de TI.

4.2.2. Implementar la gestin de servicios de TI (Hacer)

En esta fase se debe ejecutar el plan diseado en la fase anterior de planificacin, teniendo siempre en cuenta el objetivo final, que es aumentar el nivel de calidad de la prestacin de nuestros servicios de TI y, una vez aumentado, consolidarlo. Es decir, una vez adoptada la gestin de servicios de TI, hay que mantenerla.

4.2.3. Verificar la gestin de servicios de TI (Verificar)

El objeto de esta fase es comprobar, a travs de la monitorizacin, medicin y revisin del SGSTI adoptado, que los objetivos que se queran conseguir con su implementacin se estn cumpliendo.

El resultado ms tpico de esta fase son las acciones de mejora a incluir en el Plan de Mejora del Servicio de TI.

4.2.4. Mejora continua de la gestin de servicios de TI (Actuar)

Finalmente, el ciclo de la mejora continua se cierra con la fase de actuacin. En esta fase es donde se planifican las mejoras detectadas en la fase anterior de Verificacin, e introducidas en el Plan de Mejora del Servicio de TI.

Adems de la revisin de los resultados de la implementacin, otra forma de ayudar al objetivo final de mejorar la eficacia y eficiencia de la gestin de servicios de TI, es la adopcin de polticas y mecanismos de identificacin de reas de mejora en los que participen todas las personas involucradas en la gestin de servicios de TI.


5. IMPLEMENTACIN DE LOS PROCESOS DE GESTIN DE SERVICIOS DE TI

En el captulo anterior hemos visto cules son las bases de un sistema de gestin de servicios de TI y la metodologa recomendada para adoptarlo y aplicarle la mejora continua: el ciclo de calidad PDCA.

Una vez sentadas estas bases, que servirn de gua para nuestra gestin de servicios de TI, el siguiente paso es plantearnos cmo vamos a implementar los procesos en s para la gestin de los servicios de TI; procesos que, a su vez, nos permitirn cumplir con la norma ISO/IEC 20000.

En las siguientes secciones se introducen:

- Dos conjuntos de mejores prcticas que nos ayudarn a cumplir los requerimientos de la norma: la propia parte 2 de la norma e ITIL.

- Un marco de desarrollo e implementacin de arquitecturas empresariales, como mtodo de aproximacin estructurada a la adopcin de mejores prcticas.

5.1. INTRODUCCIN A ISO/IEC 20000-2 E ITIL

Tal como se recoge en la introduccin de esta gua, si bien la parte 1 de la norma consta de los requerimientos en s que debe cumplir un sistema de gestin de servicios de TI, la parte 2 recoge un conjunto de mejores prcticas que pueden servir de ayuda para conseguir la conformidad con la parte 1.

En este sentido, ISO/IEC 20000 comparte orgenes con la librera de mejores prcticas de gestin de TI, publicada por la Oficina de Comercio del Gobierno Britnico (OGC) bajo el nombre de ITIL, que son las siglas de Information Technology Infrastructure Library (Biblioteca de Infraestructura de TI).

En concreto, ISO/IEC 20000, si bien existen diferencias, est muy alineada con la versin 2 de ITIL (ITIL v2), lo que hace que el conjunto de mejores prcticas planteadas por ITIL pueda servir como gua complementaria a la propia ISO/IEC 20000-2 para conseguir la conformidad con ISO/IEC 20000-1.

As, adoptar las mejores prcticas recogidas en estos dos conjuntos, si bien no es equivalente a conseguir la conformidad con ISO/IEC 20000-1, es definitivamente uno de los mejores caminos para conseguirlo.

A continuacin se recogen las comparaciones, por un lado, entre la parte 1 y 2 de la norma y, por otro, entre dicha parte 1 e ITIL v2. La primera pretende ilustrar las diferencias entre lo que son requerimientos de una norma y un conjunto de mejores prcticas (recomendaciones), y la segunda, an introduciendo las diferencias en la estructura de ambas, el mencionado alineamiento de la norma con ITIL.


5.1.1. ISO/IEC 20000-1 e ISO/IEC 20000-2

Ambas partes de la norma comparten estructura -tienen el mismo ndice-, consideran los mismos procesos y con los mismos objetivos para cada uno de ellos.

La diferencia principal radica en la naturaleza del contenido de cada una: mientras la parte 1 contiene requerimientos (debe), la parte 2 contiene recomendaciones (debera).

En la siguiente tabla se incluyen algunos ejemplos en los que se puede observar esta diferencia (esta tabla no pretende ser exhaustiva).

Tabla 2. ISO/IEC 20000: parte 1 frente a parte 2

Clusula

Parte 1 Parte 2

3.1 Responsabilidadesde la direccin

4.3 Monitorizacin, medicin y revisin

6.1 Gestin del nivel de servicio

7.2 Gestin de relaciones con el negocio

Establecer las polticas

Comunicar

Cumplir los requisitos del cliente

Designar un miembro de ladireccin como responsable de losservicios

Proveer recursos

Gestionar los riesgos

Llevar a cabo revisiones

Aplicar mtodos adecuados para la monitorizacin y medicin de los procesos de gestin del servicio

Acordar el conjunto total de los servicios que sern provistos

Crear SLA

Reunirse, al menos una vez al ao, para la revisin del servicio

Debe existir un proceso de reclamaciones

Identificar un responsable senior

Poner el rol de responsable senior al frente delos recursos designados

Apoyar al responsable senior para hacercumplir sus decisiones

Planificar e implementar la supervisin, la evaluacin y el anlisis del servicio, los procesos de gestin del servicio y los sistemas asociados

Todos los servicios deberan definirse en un catlogo de servicios

Contenido mnimo que debera tener un SLA

Realizar revisiones del servicio, al menos anualmente y antes y despus de cambios importantes

Acordar un procedimiento formal de reclamaciones que elimine cualquier ambigedad sobre qu constituye una reclamacin y cmo debera ser gestionada


8.3 Gestin del problema

Identificar, minimizar y evitar el impacto de los incidentes y de los problemas

Acciones preventivas para reducir los problemas potenciales

Clasificar los incidentes para ayudar a determinar las causas de los problemas

Registrar todos los errores conocidos

9.1 Gestin de la configuracin

Visin integrada para la planificacin de la gestin del cambio y de la configuracin

Poltica que defina cuando existe un elemento de configuracin

La gestin de la configuracin debera planificarse e implementarse con la gestin de cambios y de versiones

Plan actualizado de gestin de la configuracin (con contenidos recomendados)

5.1.2. ISO/IEC 20000-1 e ITIL v2

ITIL es un conjunto de mejores prcticas aceptadas generalizadamente en el mbito de las TI. Por sus orgenes e historia, ISO/IEC 20000 est alineado con ITIL v2.

La tabla que se muestra a continuacin recoge, dentro del alineamiento de ambas partes, las principales diferencias entre la norma y las mejores prcticas.

Tabla 3. ISO/IEC 20000-1 frente a ITIL

rea Parte 1 ITIL v2

General Es un estndar Son mejores prcticas recomendadas para la gestin de servicios de TI

Se recoge en pocas pginas Consta de varios libros

Consta de frases muy concisas que definen los requerimientos

Incluye material adicional y ejemplos que ayudan a la implementacin de las mejores prcticas

Se debe cumplir con todos los requerimientos para conseguir la certificacin

Se debe adaptar a las circunstancias de cada organizacin

SGSTI Existe una seccin dedicada a los requerimientos de un SGSTI

No se define un SGSTI como tal.

La planificacin e implementacin de la gestin del servicio se basa en el ciclo PDCA

La planificacin de la implementacin de la gestin del servicio se basa en el ciclo de mejora continua: cul es la visin, dnde estamos ahora, dnde queremos estar, cmo llegamos a donde queremos estar, cmo comprobamos que


hemos llegado, cmo mantenemos el impulso

Provisin de servicio

Los procesos de Gestin del nivel de servicio e Informes del servicio son dos procesos distintos

Gestin del nivel de servicio incluye los informes del servicio como parte del mismo

Gestin de la continuidad y de la disponibilidad del servicio es un solo proceso

Gestin de la disponibilidad y Gestin de la continuidad del servicio son dos procesos distintos

Solo considera los presupuestos y la contabilidad como parte de la gestin financiera

La Gestin financiera incluye los presupuestos, la contabilidad y, opcionalmente, el cobro de los servicios

Soporte al servicio

No se incluye la funcin Service Desk Si incluye la funcin Service Desk

No se tiene en cuenta la gestin de la tecnologa

En el libro ICT Infrastructure Management and Application Management se consideran los aspectos tecnolgicos de la gestin de servicios

Planificacin e implementacin de servicios nuevos o modificados es una seccin independiente

La planificacin e implementacin de servicios nuevos o modificados es parte de la Gestin de cambios y Gestin de la entrega

5.2. MTODO DE ADOPCIN DE MEJORES PRCTICAS

Tal como hemos dicho, la forma ms aconsejable de implementar ISO/IEC 20000-1 es a travs de la adopcin de mejores prcticas.

De todo lo dicho anteriormente, tambin se desprende que acometer una iniciativa de estas caractersticas es una tarea compleja y, en muchos casos, novedosa para la organizacin.

Por otro lado, la adopcin de mejores prcticas en la organizacin de TI tiene sentido desde el punto de vista del valor que pueda aportar al negocio.

As, para asegurarnos, tanto de que la solucin implantada tiene todas las caractersticas deseadas como de que aporta valor al negocio, necesitamos una aproximacin estructurada que permita integrar las perspectivas de todos los involucrados en la misma (negocio y TI).

5.2.1. Arquitectura como nexo de unin entre negocio y TI

La arquitectura es un medio para recoger los acuerdos alcanzados para la sincronizacin de los entornos de negocio y de TI.

La arquitectura de una solucin especifica:


- Las propiedades esenciales de la solucin (cmo cubrir las necesidades detectadas)

- Las restricciones estructurales de la solucin (modelos, estndares, componentes, relaciones)

- El criterio para la toma de decisiones (valores, prioridades, principios)

La arquitectura trata los elementos esenciales de la solucin (personas, procesos, tecnologa) y sus relaciones:

- Impulsores y objetivos del negocio, para dotar del contexto de negocio a la solucin

- Principios, para proporcionar un contexto de toma de decisiones durante la vida de la solucin

- Modelos, para identificar los componentes y sus relaciones

- Estndares, para proporcionar interoperabilidad y modularidad

5.2.2. Una aproximacin a la arquitectura de la solucin: TOGAF

The Open Group, un consorcio neutral tanto desde el punto de vista de proveedores como tecnolgico, a travs de su Architecture Forum, ha desarrollado y mantiene TOGAF (The Open Group Architecture Framework), un marco para la ayuda en la aceptacin, produccin, uso y mantenimiento de arquitecturas.

Este marco de trabajo puede usarse para un amplio espectro de arquitecturas empresariales y, dependiendo de los casos particulares de aplicacin, puede ser complementado con otros marcos de mejores prcticas.

La principal aportacin de TOGAF es el mtodo para el desarrollo de una arquitectura alineada con las necesidades de negocio y que las satisfaga.

TOGAF cubre el desarrollo de cuatro tipos de arquitecturas:

- De negocio: estrategia de negocio, gobierno, organizacin y procesos clave de negocio.

- De datos: estructura de los datos lgicos y fsicos de una organizacin, y recursos para la gestin de los datos.

- De aplicacin: modelo para el despliegue de aplicaciones, sus interacciones y sus relaciones con los procesos de negocio.

- De tecnologa: capacidades de hardware y software necesarias para el desarrollo de los servicios de negocio, datos y aplicaciones.


5.2.2.1. Estructura de TOGAF

Como hemos dicho, la principal aportacin de este marco de arquitecturas es el mtodo (ADM: Architecture Development Method).

El ADM describe paso a paso cmo desarrollar una arquitectura que derive de las necesidades de negocio, para satisfacerlas. El mtodo incluye las fases del desarrollo de una arquitectura, as como una descripcin detallada de cada una de ellas, en trminos de objetivos, aproximacin, entradas, pasos y salidas.

Adems del ADM, TOGAF incluye tambin material adicional complementario:

- Tcnicas y pautas para la aplicacin del ADM.

- Contenidos del marco de arquitectura: artefactos, bloques, meta-modelo, elementos a entregar, etc.

- Taxonoma y herramientas para categorizar y almacenar los resultados de las actividades relacionadas con la arquitectura.

- Dos modelos de referencia: el Technical Reference Model, y el Integrated Information Infrastructure Reference Model.

- Marco de capacidades: organizacin, procesos, roles y responsabilidades necesarios para las actividades relacionadas con arquitectura empresarial.


6. APROXIMACIN INCREMENTAL EN TRES FASES

Segn ISO/IEC 20000-1:2005, para lograr la conformidad con la norma hay que cumplir todos los requerimientos de la misma.

Esta exigencia, para muchas organizaciones, puede significar una inversin importante, que haga que no sean justificables los objetivos perseguidos con su adopcin. Por otro lado, tambin hay que tener en cuenta el impacto organizacional que la adopcin supone.

As, una aproximacin incremental a la adopcin de ISO/IEC 20000-1 facilitar su adopcin, ofreciendo a la organizacin unos pasos intermedios que, por un lado, le permitan comprobar que la adopcin de la norma va por buen camino y, por otro, ir incorporando las mejores prcticas de una manera estructurada.

Para cubrir esta demanda, ISO e IEC asignaron al grupo de trabajo JTC1 SC7 WG25 la tarea de elaborar un TR donde se incluyera un ejemplo de aproximacin incremental (ISO/IEC TR 20000-5).

6.1. MODELO DE ADOPCIN

La aproximacin incremental es, bsicamente, una adopcin por fases secuenciadas en el tiempo. Las fases se proponen de manera que se implementen los requerimientos de forma estructurada y teniendo en cuenta la realidad del da a da de una organizacin de TI.

Es importante destacar que la aproximacin inicial, lgicamente, no vara mucho de la que se tomara en el caso de acometer la adopcin de la norma completa. Los siguientes puntos describen los pasos recomendados para la adopcin incremental.

6.1.1. Aplicabilidad y mbito

Tal como se explica en el captulo 3 de esta gua, las dos primeras preguntas que debe hacerse un proveedor de servicios a la hora de plantearse la certificacin son:

- Si quiere certificarse: Es aplicable la certificacin de la norma a mi organizacin?

- Cul es el mbito de aplicacin o consideracin de la norma en mi caso?

As, lo primero que hay que hacer es decidir el mbito en el que se va aplicar la norma (ver captulo 3 para ms detalles).

En el caso de una adopcin por fases, es posible que se considere ampliar el mbito inicialmente considerado una vez finalizada, por ejemplo, la primera fase. Esta gua considera a todos los efectos que el mbito no cambia durante la adopcin de las tres fases.

Si lo que se pretende es, una vez implementada la norma completa en un mbito reducido, ampliar dicha adopcin, la manera ms fcil de hacerlo suele ser volver a aplicar la aproximacin incremental al nuevo mbito.


6.1.2. Evaluacin inicial

Para saber qu tenemos que hacer para adoptar la norma, primero debemos evaluar dnde estamos con respecto al cumplimiento de los requerimientos de la misma, dentro del mbito definido en el paso anterior.

En la evaluacin hay que tener en cuenta todos los aspectos de un SGSTI recogidos en la norma y comentados anteriormente.

6.1.3. Compromiso de la direccin

Como ya se ha indicado en los captulos anteriores el compromiso de la direccin con la adopcin del SGSTI es un requisito de obligado cumplimiento, no slo porque lo indica la norma de manera explcita, sino porque sin ese compromiso se pone en serio riesgo de fracaso la iniciativa de adopcin en s misma y cualquier iniciativa de este tipo.

Un mecanismo muy recomendable para facilitar la consecucin del compromiso de la direccin es la elaboracin de un caso de negocio, donde se especifiquen los objetivos, la intencin y forma de certificacin, el mbito propuesto, la mejora prevista en los servicios, impacto en la organizacin, beneficios esperados, etc.

6.1.4. Establecimiento de una estructura de proyecto

La adopcin de mejores prcticas en general, o de la norma ISO/IEC 20000-1 en particular, debe acometerse utilizando tcnicas de gestin de proyectos, asegurndonos de que se dispone de:

- El patrocinador adecuado para el proyecto (compromiso de la direccin).

- Los rganos de gobierno adecuados.

- El equipo de proyecto adecuado.

6.2. VISIN GENERAL DE LAS TRES FASES

Se presentan a continuacin los objetivos y principales caractersticas de las tres fases definidas en esta aproximacin incremental.

6.2.1. Objetivos y actuaciones de cada fase

En la siguiente tabla se recogen los objetivos que se establecen para cada fase de la aproximacin incremental as como el conjunto de actuaciones requeridas, a alto nivel.


Tabla 4. Objetivos y actuaciones de cada fase

Objetivos

Fase 1 Fase 2 Fase 3

1. Dotar al proveedor de servicios TI de un comportamiento bsico (reactivo) que le permita responder con eficacia a las peticiones del negocio y controlar la infraestructura de prestacin del servicio TI.

2. Sentar los fundamentos de un SGSTI.

1. Permitir al proveedor de servicios de TI la anticipacin a las demandas del negocio, as como a potenciales situaciones de impacto sobre la prestacin del Servicio TI.

2. Ampliar la capacidad del SGSTI.

1. Completar el cambio cultural del proveedor de servicios de TI (orientacin al Negocio/Cliente).

2. Consolidar el SGSTI.

Actuaciones


1. Adopcin de los Procesos de Resolucin (clusula 8 de la norma):

Gestin del Incidente.

Gestin del Problema.

2. Adopcin parcial de los Procesos de Control (clusula 9 de la norma):

Gestin del Cambio.

Gestin de la Configuracin (fundamentos)

3. Adopcin del Proceso de Entrega (clusula 10 de la norma):

Gestin de la Entrega.

4. Establecimiento de los fundamentos del SGSTI (clusula 3 de la norma):

Obtencin del compromiso de la direccin.

Establecimiento de

1. Aplicacin y estabilizacin del SGSTI resultante de la Fase anterior.

2. Adopcin (no plena) de los Procesos de Provisin del Servicio (clusula 6 de la norma):

Gestin de Nivel de Servicio.

Generacin de Informes del Servicio (parcial).

Gestin de la Continuidad del Servicio.

Elaboracin de Presupuesto y Contabilidad de los Servicios de TI.

Gestin de la Capacidad (parcial).

3. Adopcin de los Procesos de Relacin (clusula 7 de la norma):

Gestin de las Relaciones

1. Aplicacin y estabilizacin del SGSTI resultante de la Fase anterior.

2. Completar la adopcin de los Procesos de Provisin del Servicio (clusula 6 de la norma):

Generacin de Informes del Servicio.

Gestin de la Capacidad.

Gestin de la Seguridad de la Informacin.

3. Formalizacin de la planificacin e implementacin de nuevos servicios o de servicios modificados (clusula 5 de la norma).

4. Finalizacin de adopcin de la Gestin del Servicio (clusula 4 de la norma):

Aplicacin plena de la mejora continua sobre el servicio de TI y su


polticas de gestin.

Generacin de la documentacin.

Determinacin de roles y responsabilidades.

5. Arranque de la Gestin del Servicio (clusula 4 de la norma):

Planificacin de la gestin del servicio de TI: alcance, objetivos, procesos (y su soporte), roles, mtricas y medidas, etc.

Implementacin de la Gestin del Servicio de TI: dotacin de recursos (econmicos y humanos), documentacin, gestin, coordinacin y seguimiento.

con el Negocio.

Gestin de Suministradores

4. Completar la adopcin de los Procesos de Control (clusula 9 de la norma):

Gestin de la Configuracin.

5. Ampliacin de la Gestin del Servicio (clusula 4 de la norma):

Aplicacin de mtodos de monitorizacin y revisin del comportamiento en la gestin del servicio de TI (Verificar).

prestacin (Actuar).

SGSTI completado.

6.2.2. Caractersticas de cada fase

De acuerdo con lo indicado como objetivos para cada una las fases de aproximacin incremental propuesta, la siguiente tabla recoge las principales caractersticas o sub-objetivos para cada fase.


Tabla 5. Caractersticas de cada fase

Caractersticas (generales)


El proveedor de servicios de TI:

Puede responder al negocio (peticiones de servicio u operacionales).

Toma consciencia de las relaciones entre los elementos de prestacin del servicio de TI y su impacto en la operativa del negocio (incidencias, problemas y cambios).

Controla las intervenciones sobre el entorno productivo, las planifica y asegura la validez y eficacia de las mismas antes de su activacin (cambios y entrega).

Dispone de un SGSTI inicial (planifica y acta) para la prestacin de servicios de TI.


Dispone de un catlogo de servicios de TI (utilizable por el negocio as como por el propio departamento de TI) que recoge todos los servicios de TI (sus caractersticas principales y los componentes del mismo) prestados al negocio.

Puede acordar con el negocio caractersticas de prestacin de los servicios de TI de acuerdo con las capacidades internas del departamento de Ti para su cumplimiento.

Tiene identificados los servicios de TI claves para la pervivencia del negocio y dispone de una estrategia y un plan para garantizar la prestacin de los mismos en el caso de acontecer una situacin de desastre.

Posee una visin integrada y ajustada de los costes y presupuestos asociados a la prestacin de los servicios de TI para los diferentes componentes del Negocio.

Controla la calidad de los servicios que recibe de organizaciones terceras, y el rendimiento general de los terceros a efectos de asegurar la prestacin de sus servicios de TI.

Dispone de una visin exacta y controlada de los elementos de prestacin de los servicios de TI junto con sus relaciones, sirviendo como


Dispone de cuadros de mando e informes de gestin del servicio de TI, tanto a nivel de rendimiento de los mismos, como a nivel de satisfaccin del cliente.

Integra la gestin de la seguridad de la informacin como una parte ms de la gestin del servicio de TI, mejorando el control sobre la prestacin del servicio de TI e incorporando caractersticas especficas para la continuidad de la prestacin del servicio de TI.

Gestiona la demanda estratgica (incorporacin de nuevos servicios de TI, o modificacin funcional de los ya existentes) de manera integrada con la gestin de la demanda operacional (peticiones de servicio y cambios no funcionales).

Dispone de un SGSTI completo (mejora continua) para la prestacin de servicios de TI.


fuente de informacin para la adecuada toma de decisiones en la gestin del servicio de TI.

Dispone de un SGSTI ampliado (verifica su comportamiento) para la prestacin de Servicios de TI.


7. GLOSARIO

- Acuerdo de nivel de servicio (SLA Service Level Agreement): acuerdo entre un proveedor de servicio y un cliente. El SLA describe el servicio IT, documenta los objetivos de nivel de servicio, y especifica las responsabilidades del proveedor de servicios y del cliente.

- Arquitectura: la estructura de un sistema o servicio IT, incluyendo las relaciones de componentes y el entorno. La arquitectura tambin incluye los estndares y guas que guan el diseo y evolucin del sistema.

- Calidad: capacidad de un producto, servicio o proceso de proporcionar el valor pretendido.

- Configuracin: trmino genrico usado para describir un grupo de tems de configuracin que funcionan de forma conjunta para entregar un servicio IT, o una parte reconocible de un servicio IT. La configuracin se usa tambin para describir el establecimiento de parmetros de uno o ms CI.

- Disponibilidad: capacidad de un tem de configuracin o un servicio IT de realizar las funciones acordadas cuando se requiere. La disponibilidad se determina por la fiabilidad, capacidad de mantenimiento, capacidad de dar servicio, rendimiento y seguridad. La disponibilidad se calcula normalmente como un porcentaje. Este clculo se basa con frecuencia en el tiempo de servicio acordado y el tiempo de inactividad.

- Gestin de la calidad: actividades coordinadas para dirigir y controlar una organizacin con respecto a la calidad. Dirigir y controlar una organizacin en relacin a la calidad incluye generalmente el establecimiento de la poltica y los objetivos de calidad, la planificacin de la calidad, el control de la calidad, el aseguramiento de la calidad y la mejora de la calidad.

- Gestin de servicios: conjunto de capacidades organizacionales para proveer valor a los clientes en forma de servicios.

- Mejores prcticas: mtodo superior o prctica innovadora que contribuye a la mejora de rendimiento en una organizacin bajo un contexto dado, normalmente reconocido como el mejor por otras organizaciones similares.

- Nivel de servicio: logro objetivo y medido contra uno o ms objetivos de nivel de servicio. Este trmino se usa a veces de forma informal para referirse a objetivo de nivel de servicio.

- Service desk: punto de contacto entre el proveedor de servicios y los usuarios. Un service desk tpico gestiona incidencias y peticiones de servicio, y tambin maneja comunicacin con los usuarios.


- Servicio: un medio de entregar valor a los clientes facilitndoles los resultados que quieren conseguir sin que tengan la propiedad de costes y riesgos especficos.


8. ACRNIMOS

BSI: British Standards Institution (Institucin Britnica de Normalizacin)

IEC: International Electrotechnical Commission (Comisin Electrotcnica Internacional)

ISO: International Organization for Standardization (Organizacin Internacional para la Normalizacin)

IT: Information Technology (Tecnologas de la Informacin)

ITIL: Information Technology Infrastructure Library (Biblioteca de Infraestructura de TI)

itSMF: IT Service Management Forum (Foro de la gestin de servicios de TI)

JTC: Joint Technical Committee (Comit tcnico conjunto)

OGC: Office of Government Commerce (Oficina de Comercio del Gobierno)

PDCA: Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar)

SGSTI: Sistema de Gestin de Servicios de TI

SLA: Service Level Agreement (Acuerdo de nivel de servicio)

TI: Tecnologas de la Informacin

TIC: Tecnologas de la Informacin y la Comunicacin

TOGAF: The Open Group Architecture Framework

TR: Technical Report (Informe Tcnico)

UNE: Una Norma Espaola

WG: Work Group (Grupo de trabajo)


9. REFERENCIAS

ISO/IEC 20000-1:2005 Information technology -- Service management -- Part 1: Specification. Edition: 1 | Stage: 90.92 | JTC 1/SC 7. ICS: 03.080.99; 35.020. Document available as of: 2005-12-14

ISO/IEC 20000-2:2005 Information technology -- Service management -- Part 2: Code of practice. Edition: 1 | Stage: 90.92 | JTC 1/SC 7. ICS: 03.080.99; 35.020. Document available as of: 2005-12-14

ISO/IEC TR 20000-3:2009 Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1. Edition: 1 | Stage: 60.60 | JTC 1/SC 7. ICS: 03.080.99; 35.020. Document available as of: 2009-10-14

itSMF ISO/IEC 20000 Certification Scheme - Scoping Guidelines. Versin 0.4e. itSMF 2006

Jan van Bon, itSMF ISO/IEC 20000 An Introduction. itSMF, 2007.

The Open Group, TOGAF Version 9 Enterprise Edition: An Introduction, Document No.: W094, January 2009.

UNE-ISO/IEC 20000-1:2007 Tecnologa de la Informacin. Gestin del servicio. Parte 1: Especificaciones.

UNE-ISO/IEC 20000-2:2007 Tecnologa de la Informacin. Gestin del servicio. Parte 2: Cdigo de buenas prcticas.

ndicendice de figurasndice de tablasIntroduccinIntroduccin a la norma ISO/IEC 20000OrigenPrincipios y objetivosQu es calidad?Ciclo PDCAPrincipios de la gestin de la calidad

Contexto actual

Definicin del mbito de aplicacin de ISO/IEC 20000-1Aplicabilidad de la NormaControl de la gestinInfluencia de los proveedores externos en la aplicabilidad de la certificacin

mbito de consideracinParmetros del mbito de aplicacin

Ejemplos de Aplicabilidad y de declaracin de mbito de aplicacinEjemplo 1Ejemplo 2

Planificacin e implementacin de un SGSTIRequerimientos de un sistema de gestinResponsabilidad de la direccinRequerimientos de la documentacinCompetencia, concienciacin y formacin

Planificar e implementar gestin de servicios de TIPlanificar la gestin de servicios de TI (Planificar)Implementar la gestin de servicios de TI (Hacer)Verificar la gestin de servicios de TI (Verificar)Mejora continua de la gestin de servicios de TI (Actuar)

Implementacin de los procesos de gestin de servicios de TIIntroduccin a ISO/IEC 20000-2 e ITILISO/IEC 20000-1 e ISO/IEC 20000-2ISO/IEC 20000-1 e ITIL v2

Mtodo de adopcin de mejores prcticasArquitectura como nexo de unin entre negocio y TIUna aproximacin a la arquitectura de la solucin: TOGAF

Aproximacin incremental en tres fasesModelo de AdopcinAplicabilidad y mbitoEvaluacin inicialCompromiso de la direccinEstablecimiento de una estructura de proyecto

Visin general de las tres fasesObjetivos y actuaciones de cada faseCaractersticas de cada fase

GlosarioAcrnimosReferencias

Guia de Aproximacion Incremental a Iso 20000 (2)

Documents

Transcript of Guia de Aproximacion Incremental a Iso 20000 (2)