1_9788481436846 by Editorial Tirant Lo Blanch

ISO/IEC 20000 para pymes C贸mo implantar un sistema de gesti贸n de los servicios de tecnolog铆as de la informaci贸n

Nextel S.A.

Título: ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información Nextel S.A. © AENOR (Asociación Española de Normalización y Certificación), 2010 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR. © de las ilustraciones: Nextel S.A., Block Comunicaciones Integrales S.L. © de la fotografía usada en las páginas 25 y 42: [Tatyana Drozdova]/[Fotolia.com] ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries.

ISBN: 978-84-8143-675-4 Depósito Legal: M-11019-2010 Impreso en España - Printed in Spain Edita: AENOR Maqueta y diseño de cubierta: AENOR Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695 comercial@aenor.es • www.aenor.es

Índice

Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Estructura de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Motivos para implantar un Sistema de Gestión de Servicios TI (SGSTI) en un entorno pyme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1. Conceptos previos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.1. Calidad del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.2. Servicio TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.3. Ciclo de vida de un servicio TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1.4. ITIL® frente a ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2. El Sistema de Gestión de Servicios TI (SGSTI) . . . . . . . . . . . . . . . . . . . . .

2.1. Planificación del sistema de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.1. Establecimiento del alcance . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.2. Definición de la política de gestión de servicios TI . . . . . . . . . . .

2.1.3. Designación de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1.4. Asignación del responsable de TI . . . . . . . . . . . . . . . . . . . . . . .

2.1.5. Identificación de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . .

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

2.1.6. Gestión de la documentación y los registros . . . . . . . . . . . . . . .

2.1.7. Gestión de la competencia, concienciación y formación . . . . . .

2.1.8. Diseño de los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.2. Implementación del sistema de gestión . . . . . . . . . . . . . . . . . . . . . . . . .

2.3. Monitorización y revisión del sistema de gestión . . . . . . . . . . . . . . . . . .

2.4. Mejora del sistema de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.5. El sistema de gestión de servicios TI. Ficha resumen . . . . . . . . . . . . . . .

3. Los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.1. Estructura de los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.2. Procesos de provisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.2.1. Gestión del nivel de servicio (SLM) . . . . . . . . . . . . . . . . . . . . . .

3.2.2. Generación de informes del servicio . . . . . . . . . . . . . . . . . . . . .

3.2.3. Gestión de la continuidad y disponibilidad del servicio . . . . . . .

3.2.4. Presupuestar y contabilizar el servicio . . . . . . . . . . . . . . . . . . . .

3.2.5. Gestión de la capacidad del servicio . . . . . . . . . . . . . . . . . . . .

3.2.6. Gestión de la seguridad de la información del servicio . . . . . . .

3.3. Procesos de relación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.3.1. Gestión de relaciones con el negocio . . . . . . . . . . . . . . . . . . . .

3.3.2. Gestión de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.4. Procesos de resolución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.4.1. Gestión de incidentes del servicio . . . . . . . . . . . . . . . . . . . . . . .

3.4.2. Gestión de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3.5. Procesos de control y entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 3.5.1. Gestión de la configuración del servicio . . . . . . . . . . . . . . . . . . 104 3.5.2. Gestión del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 3.5.3. Gestión de la entrega del servicio . . . . . . . . . . . . . . . . . . . . . . 119

Índice

4. Los servicios TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 4.1. La gestión de los servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 4.2. El catálogo de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 4.3. Servicios TI nuevos o modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 5. Auditoría y certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Anexo A. Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Anexo B. Documentación normativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Anexo C. Integración con otros sistemas de gestión . . . . . . . . . . . . . . . . . . 141

Prólogo

Desde que CONETIC (Confederación Española de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica) presentó el proyecto 20000PYME en la edición 2008 del Plan Avanza, en Nextel S.A. hemos vivido el proyecto con la ilusión que nos caracteriza, la misma que hace más de 20 años nos impulsó a introducirnos en el mercado de las telecomunicaciones con tesón y confianza. Iniciar un proyecto tan ambicioso como el de 20000PYME, liderando la coordinación de las consultoras regionales, fue para Nextel S.A. una gran apuesta en su línea de consultoría IT. Para afrontar esta enorme responsabilidad, contamos en todo momento con la colaboración de GAIA (Asociación de Industrias de las Tecnologías Electrónicas y de la Información del País Vasco), una organización con la que hemos trabajado incesantemente a lo largo de este proyecto. Nuestro objetivo era acercar a las pequeñas y medianas empresas una norma hasta el momento dedicada a grandes corporaciones. Hoy, terminada la redacción de este libro, seguimos recibiendo el apoyo de importantes organizaciones como AENOR, que se encargará de certificar a las pymes participantes en este proyecto en los sistemas de gestión de servicios de tecnologías de la información, basándose en los requisitos de la Norma UNE-ISO/IEC 20000-1:2007. Tras nuestra estrecha colaboración con todas las organizaciones que han intervenido, nos sentimos realmente agradecidos por haber completado un proyecto de tanta relevancia a nivel nacional, así como orgullosos por habernos convertido en pioneros del sector de la consultoría IT gracias a la adaptación de esta norma. Gracias, en nombre de Nextel S.A., a todas las personas que han trabajado en este proyecto, con la energía y la constancia que ha distinguido a todos los profesionales que participaron en 20000PYME, gracias por conseguir que se plasme en este

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

libro el minucioso trabajo realizado desde la primera fase del proyecto. Por último, nuestro agradecimiento al Ministerio de Industria, Turismo y Comercio del Gobierno de España por su apoyo incondicional a la innovación y a la mejora continua de las empresas del sector. Con esta publicación abrimos el camino que impulsará a que muchas más pymes sigan esta norma, a fin de garantizar en sus empresas el cumplimiento de un SGSTI adaptado a sus necesidades y recursos. Agradecemos especialmente a AENOR su esmero en la supervisión de esta guía y a GAIA su inestimable ayuda en este proyecto.

José Ramón Bazo López DIRECTOR GENERAL DE NEXTEL S.A.

Introducción

El desarrollo de procesos de negocio en las organizaciones se halla en la actualidad íntimamente relacionado con los sistemas de información. Estos sistemas han pasado de estar orientados a procesos automatizados y muy específicos a ser por sí mismos el corazón sobre el que se establecen todos los demás elementos productivos, de relación y gestión, dentro de cualquier organización. Hoy por hoy, la mejora en los procesos productivos sería impensable sin la aportación de los sistemas de información. Si en un primer instante las áreas técnicas dedicadas a la planificación y explotación de los sistemas concernían a una parte muy específica de la organización, siendo en algunas ocasiones opaca ante la misma, en este momento se hace necesaria una relación estrecha entre ambos “mundos”, el de las tecnologías de la información y el del negocio. Si bien, en un principio, el establecimiento de esta gestión TI (Tecnologías de la Información), orientada al negocio, se ha visto impulsada por las grandes organizaciones industriales, el sector financiero o los servicios públicos, en la actualidad (incluso en organizaciones de menor tamaño) es necesario no solo disponer de unos servicios TI adecuados, sino que estos demuestren tanto a accionistas como a clientes la calidad de los mismos en los procesos productivos que desarrollan. El paradigma del servicio de TI está generando un enorme cambio cultural dentro de las organizaciones, que deben adaptarse lo antes posible para beneficiarse de las ventajas derivadas de una buena gestión. Se establece una nueva relación entre los servicios de información y el negocio, convirtiéndose este primero en proveedor interno que “vende” sus servicios TI y que, por tanto, debe garantizar la calidad de los mismos. Por otra parte, la venta de servicios TI deriva en un fortalecimiento del control de costes que garantice la rentabilidad de las inversiones en infraestructuras. Asimismo, el departamento TI dependerá de otros departamentos internos y evidentemente de proveedores externos. Entre ellos se formaliza la relación cuya consolidación dará como producto final el servicio TI gestionado.

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

Si establecemos este criterio de considerar de manera específica la calidad de la prestación de servicios TI a nuestro propio negocio, deberemos velar todavía más por aquellos servicios TI que ofrecemos a nuestros clientes externos. La calidad del servicio que prestamos tiene que quedar evidenciada tanto en la eficacia como en la eficiencia del mismo. La necesidad de gestionar de manera específica los servicios TI originó, en los años ochenta, la creación de la denominada Biblioteca de Infraestructura de Tecnologías de la Información, conocida por su acrónimo en inglés ITIL® (Information Technology Infrastructure Library), que recogía las mejores prácticas destinadas a facilitar la prestación de servicios TI. Por otro lado, la institución británica BSI (British Standard Institution) comenzó con su propia definición de una norma para la gestión de servicios TI, denominada BS 15000. Posteriormente, se consideró la necesidad de alinear la norma con las publicaciones de ITIL®. Ya en 2005 se elevó la norma de nacional a internacional, publicándose lo que hoy conocemos como ISO/IEC 20000-1:2005 e ISO/IEC 20000-2:2005. En España, impulsado por itSMF (IT Service Management Forum), se realiza la traducción de la norma al español y posteriormente, AENOR (Asociación Española de Normalización y Certificación) procede a su publicación en junio de 2007 como UNE-ISO/IEC 20000-1:2007 Tecnología de la información. Gestión del servicio. Parte 1: Especificaciones y UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas. La Norma UNE-ISO/IEC 20000-1:2007 Tecnología de la Información. Gestión del servicio. Parte 1: Especificaciones, objeto de análisis y desarrollo en la presente guía, proporciona una norma nacional para todas aquellas organizaciones que ofrecen servicios TI, tanto a sus clientes internos como externos, estableciendo una referencia única para todos los implicados: proveedores, suministradores y el propio cliente. En este contexto en el que se alinean y normalizan las distintas iniciativas para la gestión de servicios TI, las expectativas creadas no se han visto satisfechas en su totalidad. Al analizar las causas, se ha puesto de manifiesto la exigencia en relación al desarrollo de todos los procesos que especifica, la referencia inevitable a las buenas prácticas consideradas por ITIL®, así como la errónea consideración de la necesidad “casi obligada” de herramientas. Todo esto ha hecho que el entorno objetivo, que hasta ahora se ha beneficiado de la mejora que supone un sistema de gestión de este tipo, se circunscriba exclusivamente al entorno de las grandes compañías. Este es el objetivo primordial de la guía que les presentamos: acabar con la asociación que se estaba consolidando de relacionar los sistemas de gestión normalizados con la gran organización, y permitir la implantación en un entorno mucho más limitado en cuanto a recursos, como es la pequeña y mediana organización (pyme).

Introducción

Estructura de contenidos La presente guía se ha estructurado de forma que resulte sencillo comprender las necesidades que satisface un SGSTI (Sistema de Gestión de Servicios de Tecnologías de la Información) y las exigencias que implica la implantación de un SGSTI conforme a la Norma UNE-ISO/IEC 20000-1:2007. Para ello, la publicación se ha organizado de la siguiente manera: • Introducción: recoge la motivación de la guía, así como una breve explicación de su contenido. También incluye una ayuda explicativa del formato de algunas de las secciones, además de: – Objeto: refleja los objetivos que trata de cubrir el presente documento. – Motivos para implantar un Sistema de Gestión de Servicios TI (SGSTI) en un entorno pyme: presenta las principales motivaciones que pueden inducir a una pyme a implantar un sistema de gestión de servicios TI conforme a la Norma UNE-ISO/IEC 20000-1:2007. • Capítulo 1. Conceptos previos: recoge una serie de aclaraciones y desarrollos conceptuales básicos y necesarios para entender el resto del documento. • Capítulo 2. El Sistema de Gestión de Servicios TI (SGSTI): presenta los elementos de alto nivel del sistema de gestión, describiendo sus generalidades y características principales. • Capítulo 3. Los procesos: refleja el desarrollo de todos y cada uno de los procesos definidos por la Norma UNE-ISO/IEC 20000-1:2007, e identifica sus particularidades más significativas. • Capítulo 4. Los servicios TI: recoge los principios generales que rigen la gestión de los servicios TI de acuerdo al sistema de gestión definido y a través de los procesos identificados en el capítulo anterior. • Capítulo 5. Auditoría y certificación. Además de estos capítulos, se recogen una serie de anexos que se han desarrollado con el fin de aclarar algunos de los aspectos específicos tratados: • Anexo A: glosario de términos utilizados a lo largo del libro. • Anexo B: relación de la documentación obligatoria conforme a la Norma UNE-ISO/IEC 20000-1:2007. • Anexo C: ventajas de la integración del SGSTI con otros sistemas de gestión y correspondencias más significativas con las normas de gestión más extendidas.

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

En los capítulos 2, 3 y 4 tras el texto explicativo, hay una serie de apartados finales donde se incluyen las fichas resumen de cada bloque, y cuyo propósito es facilitar la identificación de los principales aspectos de cada uno de ellos. Estas fichas resumen recogen los siguientes aspectos: • Objetivos: los objetivos esenciales del bloque. • Puntos clave: los principales elementos dentro del bloque. • Evidencias de implementación: las evidencias fundamentales que pueden generarse para verificar la implementación de los aspectos indicados en el bloque. • Pistas para la auditoría: aspectos más significativos que deben considerarse de cara a una auditoría en relación al bloque.

Objeto La presente guía surge con el fin último de acercar la citada norma al entorno de la pequeña y mediana organización, y ayudar así a la modernización de las mismas, para que puedan competir en un mercado cada vez más globalizado. Pretende establecer unas nuevas metodologías de trabajo para conseguir la automatización e industrialización de los servicios y capacitar al personal en las actuales metodologías de gestión. Uno de los objetivos básicos es satisfacer a los clientes más exigentes, y para ello la tecnología de la información se ha convertido en una necesidad primordial para sobrevivir. En definitiva, se aspira a mejorar de manera continua la calidad del servicio ofrecido. Esta guía ha de servir de referencia, apoyo y consulta a aquellas pymes de cualquier ámbito de actividad económica que estén interesadas en la planificación, implantación y certificación de un SGSTI basado en la Norma UNE-ISO/IEC 20000-1:2007. Se han establecido los contenidos específicos mínimos que debe cumplir la organización para la certificación del sistema que se establezca. Se exponen a su vez, de forma práctica y sencilla, los aspectos esenciales para cada punto requerido por la norma, con ejemplos, buenas prácticas y recomendaciones. Esta guía, no pretende sustituir a la Norma UNE-ISO/IEC 20000-1:2007, sino que debe utilizarse de manera complementaria para lograr con éxito la planificación e implantación de un sistema de gestión de servicios TI en un entorno reducido, como el que corresponde a una pyme.

Introducción

Motivos para implantar un Sistema de Gestión de Servicios TI (SGSTI) en un entorno pyme Los servicios TI se enfrentan a una serie de desafíos desconocidos hasta ahora en los entornos tecnológicos, y que requieren un tratamiento que va más allá del sistema de gestión tradicional para el aseguramiento de la calidad de los productos UNE-EN ISO 9001:2008 Sistemas de gestión de la calidad. Requisitos. Sobre los servicios TI actúan de forma más influyente que sobre cualquier otro entorno, las fuerzas que gobiernan la gestión de la diversidad: complejidad, globalización y extremada velocidad de cambio. Nos encontramos ante un nuevo paradigma, en donde la gestión de los servicios TI debe orientarse hacia un nuevo modelo de control. Este modelo se basará en: la coordinación de múltiples agentes (internos y externos) que poseen el conocimiento, la automatización de los mecanismos de control de las infraestructuras TI, y la integración de las TI con el resto de procesos de negocio a los que da soporte. Identificados los “servicios de TI” como el nuevo activo que ayudará a proporcionar a las organizaciones las mejoras en productividad y competitividad demandadas, deben disponerse los mecanismos necesarios para garantizar su eficacia y su eficiencia. De todos ellos, el principal mecanismo definido, reconocido internacionalmente, es la implantación de un sistema de gestión de los servicios de TI basado en la serie de Normas ISO 20000. Pero, sin duda, las razones fundamentales para que las organizaciones gestionen la prestación de sus servicios TI conforme a la Norma UNE-ISO/IEC 20000-1:2007, son: • La optimización de recursos en dichas prestaciones. • Evidenciar al cliente la calidad del servicio que se le ofrece. • Aumentar la ventaja competitiva que supone la certificación, por ejemplo, en las licitaciones a concursos de las Administraciones Públicas u otro tipo de organizaciones que ya disponen de este tipo de gestión en otros ámbitos. Sin embargo, por una serie de motivos que incluyen tanto la estabilidad del mercado necesaria como los recursos disponibles, las grandes organizaciones utilizan los modelos y metodologías de gestión mundialmente reconocidos para la puesta en marcha de un sistema de gestión estructurado y organizado, pero las pymes apenas lo hacen. La presente iniciativa ha sido diseñada con una clara orientación hacia las necesidades de las pymes, en consecuencia, su propia esencia se encuentra dirigida a este

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

segmento de la estructura económica. El 99,8% del tejido organizacional está compuesto por pymes, empleando al 70% de los trabajadores en activo. Su relevancia resulta indiscutible cuando consideramos los datos a nivel macroeconómico, sin embargo todavía existen grandes dificultades para estas en sus relaciones con el mercado. Las necesidades identificadas entre las pymes han provocado el diseño de la presente iniciativa, que aporta una serie de ventajas que se resumen a continuación: • Mejora del sistema de gestión desde una perspectiva global de la organización. • Mejora de sus procesos operativos y consecuentemente de sus servicios. • Aumento significativo en la calidad y el rendimiento de los servicios ofrecidos. • Aprovechamiento de una certificación para la creación de una ventaja competitiva de carácter estratégico. • Reconocimiento contrastado y comparativo de los esfuerzos que realizan las pyme y sus consecuentes niveles competitivos. • Certificación que reconoce su grado de calidad operativa, permitiendo avalar en el mercado la calidad de sus servicios y, por consecuencia, mejorar su competitividad. • Facilidad en la adopción de herramientas tecnológicas adaptadas a las características específicas de las pymes. • Adopción de herramientas tecnológicas con repercusión directa en la mejora de la competitividad de la organización. • Integración de las pymes en una red de colaboración donde podrán cooperar, aunar esfuerzos y aprender de las experiencias de las grandes organizaciones adaptadas a la casuística de las pymes. En resumen, la mejora estratégica y operativa que puede provocar la implantación de la presente iniciativa en el seno de las pymes permitirá incrementar su competitividad eliminando, en parte, sus limitaciones y aprovechando sus potencialidades.

Conceptos previos

1.1. Calidad del servicio La calidad del servicio es el primer concepto que deberá tenerse en cuenta para cualquier organización que trate de implementar un SGSTI. El objetivo último del sistema estará orientado a mejorar la calidad de sus servicios, entendiendo calidad como “propiedad o conjunto de propiedades inherentes a algo, que permiten juzgar su valor”. Esta definición de la RAE (Real Academia Española) sintetiza claramente una de las finalidades del SGSTI: juzgar el valor de un servicio TI (más adelante abordaremos el concepto de servicio TI). No obstante, esta definición no es la única que nos puede aportar luz sobre las connotaciones que hay en torno al concepto de la calidad. Si atendemos a la definición de la Norma UNE-EN ISO 8402:1995 Gestión de la calidad y aseguramiento de la calidad. Vocabulario, comprobamos que calidad se define como el “conjunto de características de una entidad que le confieren la aptitud para satisfacer las necesidades establecidas y las implícitas”. En esta segunda definición de la calidad aparece otra idea que se trabaja en esta norma: la satisfacción de las necesidades explícitas e implícitas. En este sentido, este sistema considera tres elementos principales, que son los que determinan los criterios consensuados para juzgar la calidad de un servicio TI: el proveedor del servicio, el cliente o “comprador” del servicio y el usuario o beneficiario directo del servicio. De acuerdo a esta última definición, un SGSTI establece dos tipos de necesidades con respecto a un servicio, las del proveedor y las del cliente. Se consideran procesos específicos que analizan a priori si el servicio que se plantea cubre las expectativas establecidas por parte de la organización que lo va a prestar. Además, de modo previo a la prestación del propio servicio, se establecen los acuerdos de nivel de servicio que convierten en tangibles las expectativas explícitas e implícitas del cliente con respecto a este.

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

1.2. Servicio TI Cualquier organización que preste servicios TI puede establecer un SGSTI para asegurarse de que dichos servicios reúnen una calidad aceptable para sus clientes. No obstante, lo que en muchas ocasiones no queda claro es cuáles son precisamente los servicios TI que pueden beneficiarse del sistema de gestión. ¿Qué servicios están bajo el paraguas de servicios TI? Podemos definir un servicio de tecnologías de la información, o servicio TI, como todo aquel servicio que está soportado por tecnologías de la información y las comunicaciones, o bien como una serie de prestaciones ofrecidas por una organización, destinadas a satisfacer las necesidades de unos clientes mediante el uso de infraestructuras tecnológicas. De acuerdo con esta definición, podemos entender que el concepto de servicio TI posee una serie de características, no tanto definitorias pero sí delimitadoras, que pueden servirnos para acotar el ámbito de actuación de estos sistemas de gestión. Estas características son: • Una especial preocupación por el propio concepto de servicio y su intangibilidad, en contraposición al concepto de producto. • Una clara orientación al cliente a través de las características de entrega de valor añadido y de satisfacción de sus necesidades. • Un uso predominante de las tecnologías de la información y las comunicaciones para poder efectuar la prestación del servicio. Teniendo en cuenta estas características, podemos deducir que los servicios TI no son solamente los servicios proporcionados directamente por una infraestructura tecnológica, sino que dentro de este ámbito se engloban aquellos en los que el uso de tecnologías de la información y comunicación juegan un papel fundamental a la hora de proporcionar ese valor añadido al cliente. Por lo tanto, dentro del concepto de servicios TI también podemos contemplar outsourcing, tales como la asistencia técnica en relación a los sistemas de información o la operación y mantenimiento de infraestructuras tecnológicas, siempre que estas actividades se desarrollen en forma de servicio continuado y no de proyecto puntual.

1.3. Ciclo de vida de un servicio TI Desde el momento en que se decide sacar a la luz un nuevo servicio desde una organización, nos encontramos gestionando dicho servicio. Evidentemente no

Conceptos previos

estamos aplicando a dicho servicio un sistema de gestión, pero sí que estaremos aplicando una “gestión del servicio”, sobre todo si lo hacemos sistemáticamente y establecemos los criterios de planificación partiendo de los datos recogidos de otras planificaciones previas. Para todo servicio TI puede establecerse el siguiente ciclo: planificación del servicio, ejecución, revisión y mejora del mismo, como se indica en la figura 1.1.

Plan Act

Do Check

Figura 1.1. PDCA: Plan (Planificación), Do (Ejecución), Check (Revisión), Act (Mejora)

En el ámbito de la gestión se denomina “ciclo de Deming” al ciclo continuo. En nuestro caso, mientras se mantenga el servicio que se establece, y aplicando una metodología específica que nos permita dar un servicio de calidad y en continua mejora. Planificación (Plan). El servicio se define de acuerdo a unas necesidades o expectativas previstas por la organización, tales como el rendimiento económico, los recursos necesarios, el cliente objetivo, etc. Después de la planificación, le ofreceremos el servicio a un cliente concreto, conjugando las expectativas de nuestra organización con respecto al servicio planificado con las propias del cliente. Si esto lo consensuamos y documentamos, disponemos de los parámetros centrales para la prestación de un servicio con calidad.

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

Ejecución (Do). Tras la planificación se comienza a prestar el servicio. Como en toda actividad de este tipo, tendremos que gestionar las incidencias o los cambios de requerimientos por parte del prestador o del cliente. Para gestionarlas, como mínimo, habremos asignado a alguien para su recepción, para comprobar que efectivamente el cliente que llama es aquel con quien tenemos el servicio establecido y para conocer, además, los detalles comprometidos, y con arreglo a los datos disponibles, actuaremos, resolviendo la incidencia con mayor o menor celeridad; en función de lo acordado en la fase de planificación. Revisión (Check). Transcurrido un tiempo quizás no se hayan cumplido nuestras expectativas o las del cliente. No obstante, para verificar estos aspectos será necesario revisar el servicio prestado y las características bajo las que se presta, y compararlas con la planificación y previsión inicial para detectar desviaciones y áreas de mejora. Mejora (Act). A partir de la revisión anterior podrán definirse las modificaciones del servicio prestado, que a su vez pueden conllevar otro análisis interno en la organización prestadora y una posterior negociación con el cliente final. Además del ciclo de Deming, que puede ser aplicado a cualquier servicio en general, podemos establecer las especificidades que afectan a un servicio TI, y que se representan en la figura 1.2: 1. Inicio: se planifica el nuevo servicio en correspondencia a los requerimientos de la organización y del cliente. 2. Cambio: la planificación inicial no se desarrolla directamente sobre un entorno en producción, sino que se planifica el cambio que va a suponer la inclusión del servicio en el entorno de producción. 3. Operación: el servicio se encuentra en el entorno de operación o explotación y se opera. En esta fase es donde se desarrolla el servicio especificado por el proveedor y el que contrata el cliente. 4. Soporte: de manera inherente a la prestación del servicio, surgirán incidentes que habrá que solventar. 5. Modificación: en consonancia con los datos recogidos de las fases de operación, soporte y relación con el cliente, se establecerán modificaciones en el servicio que generarán otro ciclo completo. En el apartado 3.1 se desarrolla la relación específica entre los procesos planteados por la norma con cada una de las fases del ciclo de vida del servicio.

Conceptos previos

Planificación de la introducción del nuevo servicio o la modificación en un entorno de producción

Planificación del nuevo servicio o modificación del existente

Inicio Optimización

Cambio

Ciclo de vida del servicio TI

Soporte

Operación

Resolución de las incidencias ocurridas en la operación del servicio

Explotación del servicio en el entorno de producción

Figura 1.2. Ciclo de vida del servicio

1.4. ITIL® frente a ISO 20000 En este apartado se intenta aclarar la relación existente entre ITIL® y UNE-ISO/ IEC 20000:2007. Para facilitar su comprensión y aclarar conceptos, se ha utilizado como ejemplo gráfico la fabricación de un coche. La figura 1.3 representa la relación entre ambas en forma de pirámide. La parte superior corresponde a la parte 1 de la norma (especificación), es decir, los objetivos que se han de alcanzar con el SGSTI para que sea certificable. En este caso, y utilizando el ejemplo de la fabricación de un vehículo, se puede considerar que en este documento se recogen las características que deberá tener un sistema para ser considerado vehículo por el Ministerio de Industria. La segunda capa de la pirámide se corresponde con la parte 2 de la norma, código de buenas prácticas, el cual trata de aclarar los requerimientos especificados de la parte 1. Siguiendo con el ejemplo, representaría el “manual” para construir nuestro vehículo, independientemente de los recursos que se tengan, pero en línea con las directrices del Ministerio. La tercera capa representa a ITIL®, que contiene las mejores prácticas recogidas en el sector para la implementación de un SGSTI. En nuestro ejemplo automovilístico

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

representaría la opinión y las metodologías empleadas por los grandes fabricantes del mundo del automóvil, donde se reflejan los procedimientos que les han permitido fabricar los mejores coches. La cuarta capa, objeto de esta publicación, es la aplicación práctica de todos los elementos anteriormente señalados. Es decir, se mantienen como principal referencia las especificaciones de la parte 1 (norma certificable), se tienen en cuenta la parte 2 de la norma (buenas prácticas) e ITIL® (las mejores prácticas propuestas), pero se acomodan a un entorno más limitado en cuanto a recursos humanos y materiales como es la pyme. Continuando con la analogía para la fabricación de un vehículo, seguimos manteniendo las especificaciones a cumplir, y definidas por quien posteriormente verificará que nuestro coche es apto para circular; a su vez, se conoce y tiene en cuenta la experiencia y las maneras de fabricar que han resultado exitosas a lo largo del tiempo, pero fabricamos nuestro vehículo en un taller ubicado en cualquier ciudad del país y no en un centro de producción de una multinacional. El sistema de gestión de servicios TI que propone este libro desarrolla las especificaciones recogidas en la parte 1 de la norma y las traslada a un entorno concreto en forma de políticas, procesos, procedimientos, instrucciones técnicas, etc. Posteriormente, serán auditadas y certificarán la gestión de los servicios TI definidos en el alcance conforme a la Norma UNE-ISO/IEC 20000-1:2007.

Especificación

Código de buenas prácticas

Las mejores prácticas

SGSTI propio de la organización

UNEISO/IEC 20000-1 UNE-ISO/IEC 20000-2

Certificación

ITIL®

Políticas, procedimientos, instrucciones técnicas de cada organización

Figura 1.3. Relación entre ITIL® y UNE-ISO/IEC 20000:2007