ISO 20000 para PYMES 'Cómo implantar un Sistema de ... · ISO 20000 para PYMES · Mxtel 2 gestionado. Si establecemos el criterio de considerar de manera específica la calidad de

ISO 20000 para PYMESCómo implantar un Sistema

de Gestión de los Servicios de Tecnologías de la Información

www.mxtel.com.mx

© MXtel 2017

I N D I C E

1. Introducción ................................................................................... 1

1.1. Estructura de contenidos ..................................................................3

2. Objeto ............................................................................................. 6

3. Motivos para implantar un Sistema de Gestión de Servicios

TI en un entorno PYME ................................................................. 7

4. Conceptos previos ........................................................................ 10

4.1. Calidad del servicio ..........................................................................10

4.2. Servicio TI ........................................................................................11

4.3. Ciclo de vida de un servicio TI ........................................................12

4.4. ITIL vs. ISO 20000 ...........................................................................16

5. El Sistema de Gestión de Servicios TI ........................................ 19

5.1. Planificación del sistema de gestión ................................................22

5.1.1. Establecimiento del alcance ...................................................27

5.1.2. Definición de la Política de Gestión de Servicios TI ...............29

5.1.3. Designación de recursos .......................................................37

5.1.4. Asignación del Responsable de TI ........................................38

5.1.5. Identificación de los riesgos ..................................................38

5.1.6. Gestión de la documentación y los registros .........................41

5.1.7. Gestión de la competencia, concientización y formación .......42

5.1.8. Diseño de los procesos .........................................................43

5.1.9. Gobierno de los procesos tercerizados .................................49

5.2. Implementación del sistema de gestión ..........................................50

5.3. Monitoreo y revisión del sistema de gestión ....................................53

5.4. Mejora del sistema de gestión .........................................................59

5.5. El sistema de gestión de servicios TI. Ficha resumen .....................61

6. Los procesos ................................................................................. 65

6.1. Estructura de los procesos ..............................................................65

6.2. Procesos de provisión .....................................................................67

6.2.1. Gestión del nivel de servicio (SLM) ........................................67

6.2.2. Generación de informes del servicio ......................................75

6.2.3. Gestión de la continuidad y disponibilidad del servicio .........81

6.2.4. Presupuestar y contabilizar el servicio ...................................89

6.2.5. Gestión de la capacidad del servicio ....................................96

6.2.6. Gestión de la seguridad de la información del servicio .........102

6.3. Procesos de relación .......................................................................109

6.3.1. Gestión de relaciones con el negocio ....................................109

6.3.2. Gestión de suministradores ...................................................118

6.4. Procesos de resolución ..................................................................125

6.4.1. Gestión de incidencias y peticiones del servicio ....................125

6.4.2. Gestión de problemas ...........................................................132

6.5. Procesos de control y entrega .........................................................138

6.5.1. Gestión de la configuración del servicio ................................138

6.5.2. Gestión del cambio ...............................................................154

6.5.3. Gestión de la entrega y despliegue del servicio ....................160

6.6. Proceso para el diseño y transición de servicios nuevos

o modificados ..................................................................................167

7. Los servicios TI ............................................................................. 172

7.1. La gestión de los servicios ...............................................................172

7.2. El catálogo de servicios ...................................................................177

7.3. Servicios TI nuevos o modificados. Ficha resumen .........................179

8. Auditoríaycertificación ................................................................ 181

ANEXO 1: Glosario .................................................................................. 184

ANEXO 2: Documentación normativa .................................................... 190

ANEXO 3: Integración con otros sistemas de gestión ........................ 193

1ISO 20000 para PYMES · Mxtel

1. IntroducciónEl desarrollo de procesos de negocio en las organizaciones está en la actualidad

íntimamente relacionado con los sistemas de información. Estos sistemas han

pasado de estar orientados a procesos automatizados y muy específicos, a ser

por sí mismos el corazón sobre el que se establecen todos los demás elementos

productivos, de relación y gestión, dentro de cualquier organización. La mejora

en los procesos productivos sería impensable en la actualidad sin la aportación

de los sistemas de información. Si en un inicio las áreas técnicas dedicadas a la

planificación y explotación de los sistemas pertenecían a una parte muy específica

de la organización (siendo en algunas ocasiones muy pobre el desempeño ante

la misma), en la actualidad se hace necesaria una relación muy estrecha entre

ambos “mundos”, el de las tecnologías de la información y el de negocio. En otros

tiempos, el establecimiento de la gestión TI (Tecnologías de la Información) orientada

al negocio, fue impulsada por las grandes organizaciones industriales, el sector

financiero o los servicios públicos; en la actualidad, incluso en organizaciones de

menor tamaño, se hace necesario no solo disponer de servicios TI adecuados, sino

que estos demuestren tanto a accionistas como a clientes, la calidad de los mismos

en los procesos productivos que desarrollan.

El paradigma del servicio de TI está generando un enorme cambio cultural dentro de

las organizaciones y estas tienen que adaptarse lo antes posible para beneficiarse

de las ventajas derivadas de una buena gestión. Se establece una nueva relación

entre los líderes de los servicios de información y el negocio, convirtiéndose los

primeros en proveedores internos que “venden” sus servicios TI y que por tanto,

deben garantizar la calidad de los mismos. Por otra parte, la venta de servicios

TI deriva en un fortalecimiento del control de costos, que garantice la rentabilidad

de las inversiones en infraestructura. Así mismo, el departamento TI dependerá de

otros departamentos internos, y evidentemente de proveedores externos. Entre ellos

se formaliza la relación cuya consolidación, dará como producto final el servicio TI


gestionado.

Si establecemos el criterio de considerar de manera específica la calidad de la

prestación de servicios TI a nuestro propio negocio, más aún deberemos velar por

aquellos servicios TI que ofrecemos a nuestros clientes externos. La calidad del

servicio que prestamos tiene que quedar evidenciada tanto en la eficacia como en

la eficiencia del mismo.

La necesidad de gestionar de manera específica los servicios TI originó en los

años 80 la creación de la denominada “Biblioteca de Infraestructura de Tecnologías

de la Información” conocida por su acrónimo en inglés como ITIL (Information

Technology Infrastructure Library), que recogía las mejores prácticas destinadas a

facilitar la prestación de servicios TI. Por otro lado, la institución británica BSI (British

Standards Institution) comenzó con su propia definición de una norma para la gestión

de servicios TI denominada BS 15000. Posteriormente, se consideró la necesidad

de alinear la norma con las publicaciones de ITIL. Ya en el año 2005 se elevó la

norma nacional a internacional, publicándose lo que hoy conocemos como ISO/IEC

20000-1:2005 Parte 1: Especificaciones y ISO/IEC 20000-1:2005 Tecnología de la

Información. Gestión del servicio. Parte 2: Guía de prácticas. En España, impulsado

por itSMF (IT Service Management Forum), se realiza la traducción de la norma

al castellano y posteriormente, AENOR (Asociación Española de Normalización y

Certificación) procede a su publicación, que se realiza en junio de 2007.

La norma UNE-ISO/IEC 20000-1:2011 Tecnología de la Información. Gestión del

servicio. Parte 1: Especificaciones, objeto de análisis y desarrollo en la presente

guía, proporciona una norma internacional para todas aquellas organizaciones que

ofrecen servicios TI, tanto a sus clientes internos como externos, estableciendo

una referencia única para todos los participantes: la propia organización, sus

suministradores y sus clientes.

En este contexto en el que se alinean y normalizan las distintas iniciativas para la

gestión de servicios TI, las expectativas creadas no se han visto satisfechas en su


totalidad. Al analizar las causas, se ha puesto de manifiesto la gran exigencia en

relación al desarrollo de todos los procesos que especifica, la referencia inevitable

a las buenas prácticas consideradas por ITIL, así como la errónea consideración de

la necesidad “casi obligada” de herramientas. Todo esto ha hecho que el entorno

objetivo que hasta ahora se ha beneficiado de la mejora que supone un sistema

de gestión de este tipo, se circunscriba exclusivamente al entorno de las grandes

compañías.

Este es principalmente el objetivo de la guía que les presentamos, acabar con

la asociación de relacionar los sistemas de gestión normalizados con la gran

organización y permitir la implantación en un entorno mucho más limitado en cuanto

a recursos como es la pequeña y mediana organización (PYME).

1.1. Estructura de contenidos

La presente guía se ha estructurado de forma que se facilite la comprensión de las

necesidades que satisface un SGS (Sistema de Gestión de Servicios -de Tecnologías

de la Información-) y de las exigencias que supone la implantación de un SGS

conforme con la norma UNE-ISO/IEC 20000-1:2011. Para ello, el documento se ha

organizado de acuerdo con los siguientes capítulos:

• Introducción: recoge la motivación de la guía, así como una breve

explicación de su contenido. También incluye una ayuda explicativa

del formato de algunas de las secciones.

• Objeto: refleja los objetivos que trata de cubrir el presente

documento.

• Motivos para implantar un SGS en un entorno PYME: presenta

las principales motivaciones que pueden inducir a una PYME a

implantar un Sistema de Gestión de Servicios TI conforme con la

norma UNE-ISO/IEC 20000-1:2011.


• Conceptos previos: recoge una serie de aclaraciones y

desarrollos conceptuales básicos y necesarios para entender el resto

del documento.

• El SGS: presenta los elementos de alto nivel del sistema de

gestión, describiendo sus generalidades y características principales.

• Los procesos: refleja el desarrollo de todos y cada uno de los

procesos definidos por la norma UNE-ISO/IEC 20000-1:2011, e

identifica sus particularidades más significativas.

• Los servicios TI: recoge los principios generales que rigen la

gestión de los servicios TI de acuerdo al sistema de gestión definido

y a través de los procesos identificados en el capítulo anterior.

Además de los capítulos que componen el cuerpo del documento, la presente

guía recoge una serie de anexos desarrollados con el fin de aclarar algunos de los

aspectos específicos mencionados en la guía. Los anexos desarrollados son los

siguientes:

• Anexo 1: glosario de términos utilizados a lo largo de la guía.

• Anexo 2: relación de documentación obligatoria de acuerdo a la

norma UNE-ISO/IEC 20000-1:2011.

• Anexo 3: explicación del proceso de auditoría y certificación de

una organización bajo la norma UNE-ISO/IEC 20000-1:2011.

• Anexo 4: ventajas de la integración del SGS con otros sistemas

de gestión y correspondencias más significativas con las normas de

gestión más comunes.

En cada uno de los capítulos centrales de la guía, comprendidos entre el 5 y el 7,

y con correspondencia directa con el cuerpo de la norma UNE-ISO/IEC 20000-

1:2011, se han desarrollado, además del texto explicativo, una serie de apartados


finales en los que se incluyen las fichas resumen de cada bloque, con el fin de

facilitar la identificación de los principales aspectos de cada uno de ellos. Estas

fichas resumen señalan los siguientes aspectos:

• Objetivos: objetivos principales del bloque.

• Puntos clave: principales elementos a considerar dentro del

bloque.

• Evidencias de implementación: principales evidencias que se

pueden generar para verificar la implementación de los aspectos

indicados en el bloque.

• Pistas de auditoría: aspectos más significativos a tener en cuenta

de cara a una auditoría en relación al bloque.


2. ObjetoLa presente guía se establece con el fin último, ya señalado anteriormente, de

acercar la citada norma al entorno de la pequeña y mediana organización y ayudar

a la modernización de las mismas para competir en un mercado cada vez más

globalizado. Se pretenden establecer nuevas metodologías de trabajo, que permitan

conseguir la automatización e industrialización de los servicios y capaciten a su

personal en las actuales metodologías de gestión. Uno de los objetivos principales

es satisfacer a los clientes más exigentes, y para ello la tecnología de la información

se ha convertido en una necesidad básica para sobrevivir. En definitiva, mejorar de

manera continua la calidad del servicio ofrecido.

Esta guía servirá de referencia, apoyo y consulta para aquellas PYME de cualquier

ámbito de actividad económica, que estén interesadas en la planificación,

implantación y certificación de un SGS basado en la norma UNE-ISO/IEC 20000-

1:2011.

Se han establecido los contenidos específicos mínimos a cumplir por parte de la

organización para la certificación del sistema que se establezca. Se exponen a su

vez, de forma práctica y sencilla, los aspectos esenciales para cada punto requerido

por la norma, con ejemplos, buenas prácticas y recomendaciones.

Esta guía, no pretende sustituir a la norma UNE-ISO/IEC 20000-1:2011, sino que

debe utilizarse de manera complementaria, para lograr con éxito la planificación e

implantación de un sistema de gestión de servicios TI en un entorno reducido como

el correspondiente a una PYME.


3. Motivos para implantar un Sistema de Gestión de Servicios TI en un entorno PYME

Los servicios TI se enfrentan a un conjunto de nuevos desafíos no conocidos

hasta ahora en los entornos tecnológicos que requieren un tratamiento que va más

allá del sistema de gestión tradicional para el aseguramiento de la calidad de los

productos UNE-EN ISO 9001:2008 Sistemas de gestión de la calidad, Requisitos.

Y es que sobre los servicios TI actúan de forma más influyente que sobre cualquier

otro entorno, las fuerzas que gobiernan la gestión de la diversidad: complejidad,

globalización y extremada velocidad de cambio. Por tanto, nos encontramos ante

un nuevo paradigma, en donde sin duda, la gestión de los servicios TI deben

orientarse hacia un nuevo modelo de control. Este modelo debe estar basado en la

coordinación de múltiples agentes (internos y externos) que poseen el conocimiento,

en la automatización de los mecanismos de control de las infraestructuras TI, y

finalmente en la integración de las TI con el resto de procesos de negocio a los que

da soporte.

Habiendo identificado a los “Servicios de TI” como el nuevo activo que ayudará a

proporcionar a las organizaciones las mejoras en productividad y competitividad

demandadas, se deben proporcionar los mecanismos necesarios para garantizar su

eficacia y su eficiencia. De todos ellos, el principal mecanismo definido, reconocido

internacionalmente, supone la implantación de un sistema de gestión de los servicios

de TI basado en la serie de normas ISO 20000.

Pero sin duda alguna, las razones fundamentales para que las organizaciones

gestionen la prestación de sus servicios TI en base a la norma UNE-ISO/IEC 20000-

1:2011, son:


• La optimización de recursos en dichas prestaciones.

• Evidenciar al cliente la calidad del servicio que se le ofrece.

• Aumentar la ventaja competitiva que supone la certificación,

por ejemplo, en las licitaciones a concursos de la Administraciones

Públicas u otro tipo de organizaciones que ya disponen de este tipo

de gestión en otros ámbitos.

Sin embargo, por una serie de motivos que incluyen tanto la estabilidad del mercado

necesaria como los recursos disponibles, los modelos y metodologías de gestión

mundialmente reconocidos para la puesta en marcha de un sistema de gestión

estructurado y organizado, los utilizan las grandes organizaciones, pero muy poco

las PYME.

La presente iniciativa ha sido diseñada con una clara orientación hacia las necesidades

de las PYME, en consecuencia, su propia esencia está dirigida a este segmento

de la estructura económica. El 99,8% del tejido organizacional está compuesto

por PYME, empleando al 70% de los trabajadores en activo. Su relevancia resulta

indiscutible cuando consideramos los datos a nivel macroeconómico, sin embargo,

todavía existen grandes dificultades para éstas en sus relaciones con el mercado. Las

necesidades identificadas entre las PYME han provocado el diseño de la presente

iniciativa, la cual aporta una serie de ventajas que se resumen a continuación:

• Mejora del Sistema de Gestión desde una perspectiva global de

la organización.

• Mejora de sus procesos operativos y consecuentemente de sus

servicios.

• Aumento significativo en la calidad y el rendimiento de los servicios

ofrecidos.

• Aprovechamiento de una certificación para la creación de una


ventaja competitiva de carácter estratégico.

• Reconocimiento contrastado y comparativo de los esfuerzos que

realizan las PYME y sus consecuentes niveles competitivos.

• Certificación que reconoce su grado de calidad operativa,

permitiendo avalar en el mercado la calidad de sus servicios y

consecuentemente mejorar su competitividad.

Facilidad en la adopción de herramientas tecnológicas adaptadas a las características

específicas de las PYME.

• Adopción de herramientas tecnológicas con repercusión directa

en la mejora de la competitividad de la organización.

• Integración de las PYME en una red de colaboración donde

podrán cooperar, aunar esfuerzos y aprender de las experiencias de

las grandes organizaciones adaptadas a la casuística de las PYME.

En resumen, la mejora estratégica y operativa que puede provocar la implantación de

la presente iniciativa en el seno de las PYME permitirá incrementar su competitividad

eliminando en parte sus limitaciones y aprovechando sus potencialidades.


4. Conceptos previos

4.1. Calidad del servicio

La calidad del servicio es el primer concepto que deberá tenerse en cuenta para

cualquier organización que trate de implementar un SGS. El objetivo último del

sistema deberá estar orientado a mejorar la calidad de sus servicios, entendiendo

calidad como:

Propiedad o conjunto de propiedades inherentes a algo, que permiten

juzgar su valor.

Esta definición de la RAE (Real Academia Española) sintetiza claramente una de

las finalidades del SGS: Juzgar el valor de un servicio TI (más adelante entraremos

en profundidad sobre el concepto de “servicio TI”). No obstante, esta definición no

es la única que nos puede aportar luz sobre las connotaciones que hay en torno

al concepto de la calidad. Si atendemos a la definición de la norma UNE-EN ISO

8402:1995 Gestión de la calidad y aseguramiento de la calidad. Vocabulario., vemos

que calidad se define como:

Conjunto de características de un producto o servicio que influyen en la

satisfacción de las necesidades explícitas e implícitas.

En esta segunda definición de la calidad aparece otra idea que se trabaja en esta

norma: la satisfacción de las necesidades explícitas e implícitas. En este sentido,

este sistema considera tres elementos principales que son los que determinan los

criterios consensuados para juzgar la calidad de un servicio TI. El proveedor del

servicio, el cliente o “comprador” del servicio y el usuario o beneficiario directo

del servicio. De acuerdo a esta última definición, un SGS establece dos tipos de

necesidades con respecto a un servicio, las del proveedor y las del cliente. Se

consideran procesos específicos que analizan a priori si el servicio que se plantea


cubre las expectativas que se establecen por parte de la organización que lo va

a prestar. Además, previo a la prestación del propio servicio, se establecen los

acuerdos de nivel de servicio que traducen a tangibles las expectativas explícitas e

implícitas del cliente con respecto a este.

4.2. Servicio TI

Cualquier organización que preste servicios TI puede establecer un SGS para

asegurarse de que dichos servicios son provistos a una calidad aceptable para sus

clientes. No obstante, lo que en muchas ocasiones no queda claro es, cuáles son

precisamente esos servicios TI que pueden beneficiarse del sistema de gestión.

¿Qué servicios están bajo el paraguas de servicios TI?

Podemos definir un servicio de tecnologías de la información, o servicio TI,

como todo aquél servicio que está soportado por tecnologías de la información

y las comunicaciones, o bien, como una serie de prestaciones ofrecidas por una

organización y destinadas a satisfacer las necesidades de unos clientes mediante

el uso de infraestructuras tecnológicas.

De acuerdo con esta definición, podemos entender que el concepto de servicio TI

tiene una serie de características no tanto definitorias, pero si delimitadoras, que

nos pueden servir para acotar el ámbito de actuación de estos sistemas de gestión.

Estas características son:

• Una especial preocupación por el propio concepto de servicio y

su intangibilidad, en contraposición al concepto de producto.

• Una clara orientación al cliente a través de las características de

entrega de valor añadido y de satisfacción de sus necesidades.

• Un uso predominante de las tecnologías de la información y las

comunicaciones para poder llevar a cabo la prestación del servicio.


Teniendo en cuenta estas características, podemos deducir que los servicios TI

no son sólo aquellos servicios proporcionados directamente por una infraestructura

tecnológica, sino que dentro de este ámbito podemos entender también todos

aquellos en los que el uso de tecnologías de la información y comunicación juegan un

papel fundamental a la hora de proporcionar ese valor añadido al cliente. Por lo tanto,

dentro del concepto de servicios TI también podemos contemplar outsourcing, tales

como la asistencia técnica en relación a los sistemas de información o la operación y

mantenimiento de infraestructuras tecnológicas, siempre y cuando estas actividades

se desarrollen en forma de servicio continuado y no de proyecto puntual.

4.3. Ciclo de vida de un servicio TI

Desde el momento en que se decide sacar a la luz un nuevo servicio desde una

organización estamos gestionando dicho servicio. Evidentemente no estamos

aplicando a dicho servicio un sistema de gestión, pero sí que estaremos aplicando

una “gestión del servicio”, sobre todo si lo hacemos sistemáticamente y establecemos

los criterios de planificación en base a datos recogidos de otras planificaciones

previas.

Sobre todo servicio TI se puede establecer un ciclo de: planificación del servicio,

ejecución, revisión y mejora del mismo, como se indica en la figura 4.1


Figura4.1·PDCA:Plan(Planificación),Do(Ejecución),Check

(Revisión),Act(Mejora)

En el ámbito de la gestión se denomina Ciclo de Deming al ciclo continuo. En

nuestro caso, mientras se mantenga el servicio que se establece y aplicando una

metodología específica, nos permite dar un servicio de calidad y continuamente

mejorado.

Planificación (Plan). Se define el servicio en base a unas necesidades o expectativas

previstas por la organización, como pueden ser rendimiento económico, recursos

necesarios, cliente objetivo, etc. Tras la planificación le ofreceremos el servicio

a un cliente concreto, conjugando las expectativas de nuestra organización con

respecto al servicio planificado con las propias del cliente. Si esto lo consensuamos

y documentamos, disponemos de los parámetros centrales para la prestación de un

servicio con calidad.

Ejecución (Do). Tras la planificación se comienza a prestar el servicio. Como

en toda actividad de este tipo tendremos que gestionar incidencias o cambios

Plan Do

Act Check


de requerimientos por parte del prestador o del cliente. Para gestionarlas, como

mínimo, tendremos a alguien asignado para su recepción, ver que efectivamente el

cliente que llama es con quien tenemos el servicio establecido y conocer además

los detalles comprometidos, y en base a los datos de que disponemos, actuar

resolviendo la incidencia con mayor o menor celeridad, en función de lo acordado

en la fase de planificación.

Revisión (Check). Trascurrido el tiempo puede que nuestras expectativas o las

del cliente no se hayan cumplido. No obstante, para verificar estos aspectos será

necesario revisar el servicio prestado y las características bajo las que se presta,

y compararlas con la planificación y previsión inicial para detectar desviaciones y

áreas de mejora.

Mejora (Act). A partir de la revisión anterior se podrán definir modificaciones

del servicio prestado, que a su vez pueden conllevar otro análisis interno en la

organización prestadora y posterior negociación con el cliente final.

Además del ciclo de Deming que puede ser aplicado a cualquier servicio en general,

podemos establecer las especificidades que afectan a un servicio TI representadas

en la siguiente figura 4.2:


Figura 4.2 · Ciclo de vida del servicio

• Inicio: se planifica el nuevo servicio en base a los requerimientos

de la organización y del cliente.

• Cambio: la planificación inicial no se desarrolla directamente

sobre un entorno en producción, sino que se planifica el cambio que

va a suponer la inclusión del servicio en el entorno de producción.

• Operación: el servicio se encuentra en el entorno de operación o

explotación y se opera. Es en esta fase donde se desarrolla el servicio

especificado por el proveedor y que el cliente contrata.

• Soporte: inherente a la prestación del servicio surgirán incidentes

que habrá que solventar.

Ciclo de vida del Servicio IT

Inicio Optimización Cambio

Soporte Operación

Resolución de las incidencias ocurridas en la operación del servicio

Explotación del servicio en el entorno de producción


• Modificación: en base a los datos recogidos de las fases

de operación, soporte y relación con el cliente se establecerán

modificaciones en el servicio que generarán otro ciclo completo.

En el apartado 6.1 se desarrolla la relación específica entre los procesos planteados

por la norma con cada una de las fases del ciclo de vida del servicio.

4.4. ITIL vs. ISO 20000

Con el fin de evitar posibles confusiones, en este apartado se presenta la relación

existente entre ITIL e UNE-ISO/IEC 20000:2011 y lo que cada referencia aporta, con

un ejemplo muy sencillo y gráfico.

Figura 4.3 · ITIL UNE-ISO/IEC 20000-1:2011

Como se indica en la figura 4.3, la parte superior de la pirámide representa la parte

1 de la norma (Especificación), es decir, objetivos a alcanzar con el SGS para que

UNE-ISO/IEC 20000-1

UNE-ISO/IEC 20000-2

ITIL

Políticas, procedimientos, instrucciones técnicas decada organización

SGSTI propio de la organización

Las mejores prácticas

Código de prácticas


sea certificable. En este caso y utilizando el ejemplo de la construcción de un

vehículo de seguridad, podemos considerar que en este documento se recogen las

características que deberá tener un sistema para ser considerado vehículo por la

Secretaría de Seguridad Pública.

La segunda capa de la pirámide representa la parte 2 de la norma, es el código

de buenas prácticas y guía que trata de aclarar los requerimientos especificados

de la parte uno. Siguiendo con el símil del vehículo, representaría el “manual” para

construir nuestro vehículo, independientemente de los recursos que tengamos, pero

en línea con las directrices de la Secretaría.

La tercera capa, que representa la capa ITIL, contiene las mejores prácticas recogidas

en el sector para la implementación de un SGS. En nuestro símil automovilístico,

representaría la opinión y metodologías empleadas por los grandes fabricantes del

mundo del automóvil donde se reflejan los procedimientos que les han permitido

construir los mejores coches y específicamente, en el ramo de la seguridad.

La cuarta capa, objeto del presente documento, es la aplicación práctica de todos

los elementos o capas anteriormente señaladas. Es decir, se mantienen como

principal referencia las especificaciones de la parte 1, máxime teniendo en cuenta

que es la norma certificable, se considera la parte 2 de la norma, buenas prácticas

y las mejores prácticas propuestas por ITIL, pero se acomodan a un entorno más

limitado en cuanto a recursos humanos y materiales como es la PYME. Siguiendo

con la analogía para la construcción de un vehículo, seguimos manteniendo las

especificaciones a cumplir, y definidas por quien posteriormente verificará que

nuestro coche puede circular por las carreteras. Conocemos y tenemos en cuenta a

su vez, la experiencia y maneras de construir que han resultado exitosas a lo largo

del tiempo, pero construimos nuestro vehículo en un taller ubicado en cualquier

ciudad del país y no en un centro de producción de una multinacional.

El sistema de gestión de servicios TI que propone esta guía desarrolla las

especificaciones recogidas en la parte 1 de la norma y las traslada a un entorno


concreto en forma de políticas, procesos, procedimientos, instrucciones técnicas,

etc. Posteriormente serán auditadas y certificarán la gestión de los servicios TI

definidos en el alcance bajo la norma UNE-ISO/IEC 20000-1:2011.


5. El Sistema de Gestión de Servicios TI

Es un conjunto interrelacionado y coordinado de reglas, principios y actividades,

estructuradas en forma de procesos. Estos procesos permiten dirigir y controlar

tanto a la propia infraestructura tecnológica que soporta los servicios como a las

personas encargadas de su soporte y provisión, con el fin de conseguir que los

servicios TI proporcionados alcancen los objetivos previamente definidos.

De acuerdo con esta definición, en un SGS podemos identificar tres componentes

principales, como son:

• El propio “esqueleto” del sistema de gestión, que incluye todas

las actividades de alto nivel y que conforma la estructura general

(funcional y organizativa) que garantiza el correcto funcionamiento del

sistema.

• Los procesos, que desarrollan los aspectos de bajo nivel del

sistema y constituyen su apartado operativo. Podemos considerarlos

como los músculos que mueven el esqueleto anterior.

• Los servicios TI, que son los elementos sobre los que se aplica

el sistema de gestión, los receptores de los beneficios que el sistema

aporta. Podemos considerarlos como cada una de las actividades

que permite realizar el cuerpo (esqueleto + músculos): caminar, saltar,

correr, etc.

Con el fin de que los componentes del SGS se estructuren de forma óptima, todos

ellos se articulan en forma de ciclo de Deming, siguiendo la filosofía de mejora

continua expuesta en el apartado 4.3. De acuerdo con este principio podemos

identificar varios ciclos de mejora dentro del SGS:


• El ciclo PDCA que constituye el propio esqueleto del sistema

de gestión, y que garantiza su mejora continua (sus recursos, sus

procesos, sus personas, etc.).

• El ciclo PDCA que constituye cada uno de los procesos, y que

garantiza la mejora continua de cada uno de ellos (sus actividades,

sus herramientas, etc.).

• El ciclo PDCA que constituye el propio ciclo de vida del servicio,

que garantiza la mejora continua del propio servicio (sus objetivos, su

eficacia, etc.).

Figura 5.1 · Engranaje

Como se indica en la figura 5.1, todos los componentes del SGS se integran en una

estructura unificada, que consolida en un sencillo esquema todas las exigencias

Necesidades de la organización y del cliente

Servicios gestionados

P

D

C

A Sistema de gestión

P

D

C

A Ciclo de vidadel servicio

P

C

A Procesos TI D


identificadas a lo largo del presente documento. Esta estructura se articula de la

siguiente forma:

• Un componente de planificacióndelsistemadegestiónysus

procesos, en el que se definen los principios generales de gestión

de los servicios TI. Se lleva a cabo el diseño general del sistema y de

los procesos que lo componen y se designan los recursos necesarios

para desarrollarlo.

• Un componente de planificación e implementación de los

servicios TI, que en paralelo al anterior, y teniendo en cuenta tanto las

exigencias propias del negocio como las de los clientes, se encarga

de diseñar los propios servicios TI que se van a prestar, bien sean

nuevos servicios o bien sean modificaciones sobre los servicios que

ya se están prestando.

• Una fase de implementación del SGS, en la que se despliega el

sistema de gestión, se desarrollan y ponen en práctica los procesos

y se implementan los servicios TI diseñados, habilitando a su vez

todos los recursos necesarios tanto a nivel tecnológico como a nivel

humano.

• Una fase de revisión del SGS, en la que se monitorean, auditan y

revisan los resultados obtenidos, tanto a nivel de los propios servicios

TI como a nivel del sistema de gestión diseñado.

• Una fase de mejora del SGS en la que, en función de los resultados

obtenidos en la fase de revisión, se identifican las mejoras a adoptar

en relación tanto al propio sistema de gestión o a los procesos que lo

articulan, como a los propios servicios prestados.

Gráficamente podemos representar esta estructura tal y como se indica en la figura

5.2:


Figura 5.2 · Estructura SGS

En la figura 5.2 se identifican los aspectos principales de cada una de las fases,

además de aparecer reflejados si son aspectos relativos al propio sistema de gestión

(en cursiva), a los procesos (subrayada) o a los servicios (en negrita).

5.1. Planificación del sistema de gestión

Como ya hemos señalado, la primera fase del SGS es la planificación del sistema de

gestión. Esta fase tiene como objetivo, según la propia norma UNE-ISO/IEC 20000-

1:2011, planificar la implementación y la prestación de la gestión del servicio. En

definitiva, en esta fase se lleva a cabo el diseño completo del sistema de gestión,

tanto en lo referente a sus principios y objetivos como en relación al modelo funcional,

organizativo y estructural del mismo.

NECESIDADES CLIENTE

- Compromiso de la dirección.- Alcance. - Objetivos.- Políticas.

ESTRATEGIA CORPORATIVA

- Recursos. - R&R.- Riesgos. - Procesos.

Mejora del sistema completo

- Implantación de los servicios TI. - Implantación de los procesos. - Gestión de recursos. - Documentación. - Formación.

implementación del Sistema de Gestión y los Servicios

- Revisar resultados de nuevos servicios. - Monitorizar servicios TI. - Auditar procesos. - Revisar indicadores. - Revisión por la dirección.

Revisión del sistema completo


En concreto, en la planificación del sistema de gestión se desarrollan las siguientes

actividades:

• Identificación del alcance: el primer paso es la identificación de los

límites que va a tener el SGS. Esto supone definir tanto el personal, las

ubicaciones afectadas como los servicios TI que van a estar cubiertos

por el SGS. Véase el apartado 5.1.1.

• Definición de la política de gestión de servicios TI: también es

necesario que la organización desarrolle un documento en el que

especifique los principios generales que van a guiar su actuación en

torno a la prestación de servicios TI. Esta política debe contener, al

menos, los siguientes aspectos:

₀ Identificación de los objetivos y los requisitos que deben

ser alcanzados por el sistema de gestión.

₀ Declaración del compromiso de la alta dirección con el

SGS y con sus principios generales, de acuerdo a lo expuesto

en el apartado 3 de este documento.

₀ Identificación de las normativas generales definidas por

la organización en relación a la gestión de servicios TI.

Véase el apartado 5.1.2.

• Designación de recursos: una vez llevadas a cabo las tareas

anteriores será necesario que la organización designe los recursos

necesarios para desarrollar el SGS. Esta designación de recursos

deberá contemplar tanto el apartado de personas específicas

asignadas a las tareas relacionadas con el SGS, como la designación

de los recursos económicos y materiales necesarios para llevar a

cabo dichas tareas.


• Definiciónderolesyresponsabilidades: también será necesario

definir, entre el personal designado para formar parte del SGS, los

roles y responsabilidades asociados a cada una de las tareas y las

funciones que se deben desarrollar en el ámbito del SGS. Véase el

apartado 5.1.4 y el 6.

• Identificación de los riesgos: uno de los aspectos más

significativos de la planificación del sistema de gestión supone

el estudio de los riesgos de negocio que se pueden derivar de la

propia implantación del SGS. Este estudio se puede entender de

diversas formas, que pueden ir desde la realización de un análisis de

riesgos de negocio formal hasta la realización de un análisis DAFO

(Debilidades, Amenazas, Fortalezas, Oportunidades) del SGS, con el

fin de evidenciar los posibles riesgos derivados de su implantación.

• Diseño de los procesos: otro de los aspectos fundamentales de

la fase de planificación del sistema de gestión supone diseñar los

procesos que van a articularlo. Estos procesos vienen predefinidos

por la propia UNE-ISO/IEC 20000-1:2011 y la implementación de

un SGS conforme a dicha norma obliga a que se desarrollen todos

ellos. No obstante, lo que sí que permite la norma es la posibilidad de

desarrollar procesos adicionales si se considera necesario.


Figura 5.3 · Procesos ISO 20000

Estos 14 procesos, como ya hemos dicho, deben ser diseñados en la fase de

planificación. También se deben diseñar sus interrelaciones y la forma en la que van

a coordinarse las distintas actividades que componen cada uno de ellos. Véase el

apartado 6.

Por otra parte, en la fase de diseño de los procesos también será necesario

contemplar de nuevo las actividades de designación de recursos y de definición de

roles y responsabilidades. Todo ello con el fin de identificar los recursos específicos

(herramientas, aplicaciones, etc.) que se van a utilizar en cada uno de los procesos

y los perfiles profesionales que van a desarrollar cada una de las actividades. Véase

el apartado 6.

• Formación: todo el personal que interviene en la prestación

de servicios deberá conocer tanto el SGS en general como las

particularidades que sobre sus responsabilidades habituales se

establezcan. El objetivo es que la mejora de la calidad del servicio

Procesos de provisión del servicio

- Gestión de la capacidad.- Gestión de la continuidad ydisponibilidad del servicio.

- Gestión del nivel de servicioinformes del servicio.

- Gestión de la seguridad de la información.- Elaboración de presupuesto y contabilidad de los servicios.

- Gestión de incidencias y peticionesde servicio.- Gestión de problemas.

Procesos de resolución- Gestión de relaciones con el negocio..- Gestión de suministradores.

Procesos de relación

Procesos de control


constituya una parte más de sus tareas habituales. Además de la

formación inicial sobre el sistema a implementar, la dirección deberá

de dotarse de mecanismos para establecer esta formación periódica,

garantizando el desarrollo de la misma para todo el personal. En

fases de madurez posterior se deberá identificar mediante aspectos

medibles la calidad de la misma y el modo en que contribuye realmente

a la mejora del servicio. La planificación del sistema de gestión

deberá especificar la manera en que la organización desarrolla estos

aspectos señalados.

• Auditoría: consiste en la verificación por parte de personas ajenas

a la implementación del sistema, de las actividades establecidas en

la documentación normativa generada para la prestación de servicios

TI, en este caso, el documento “Planificación del Sistema de Gestión

de servicios TI”. El auditor contrasta el documento de planificación

con las evidencias de realización de las actividades señaladas. En

el caso que nos ocupa, ya que queremos que nuestro sistema de

gestión sea también conforme a la norma UNE-ISO/IEC 20000-1:2011,

estableceremos otro criterio de auditoría. Es decir, deberemos cumplir

no solo lo establecido en nuestra organización como normativa de

gestión de servicios, sino que esta deberá cumplir las especificaciones

establecidas en la parte 1 de la citada norma. Para la certificación

del sistema por parte de una auditoría de 3ª parte (así se conoce

a la auditoría que realizará la entidad de certificación) se establece

la realización de una auditoría interna y otra externa de certificación.

En el apartado 5.3 “Monitoreo y revisión del sistema de gestión” se

describe con mayor detalle la fase de auditoría interna. En el Anexo 3

se describe el proceso de auditoría externa y el de certificación.

• Revisión y mejora: la planificación del sistema de gestión deberá

dedicar un apartado específico, describiendo los mecanismos


utilizados tanto para la revisión de todo el sistema de gestión como

para su mejora continua. Constituye la fase de “check” del ciclo PDCA.

Con el fin de facilitar el chequeo del sistema, para cada elemento que

se implemente se establecerán “indicadores” que posteriormente se

utilizarán para su revisión y en función de su estado mejorarlos, si

procede. Véase el apartado 5.3 y 5.4.

• Gestión documental y de registros: el sistema de gestión que

estamos implementando se basa fundamentalmente en aspectos

documentales. Las normativas que se establecen en la fase de

planificación y gran parte de los registros o evidencias que se manejan

se generan documentalmente, por tanto, la gestión adecuada de

estos es un punto fundamental dentro del sistema de gestión. El

control de versiones, la redacción, revisión y validación deberán tener

consistencia, y documentar el sistema adecuadamente en base a un

procedimiento que se deberá desarrollar, el cual constituye una parte

fundamental del sistema. En relación a la certificación deberemos

saber que esta se realiza para un alcance definido y un catálogo de

servicios específicos e identificables inequívocamente mediante fecha

y versión. Esto no quiere decir que debamos tener esta información

en soporte papel, es más, las tareas de publicación, divulgación y

formación sobre nuevos contenidos o modificación de los existentes,

se realiza de manera óptima en los actuales sistemas de trabajo

colaborativo tipo intranets, etc.

5.1.1. Establecimiento del alcance

La definición del alcance supone identificar el contorno de la organización que

queda sujeta al SGS. El alcance definido debe ser de alto nivel para que el SGS sea

lo más breve posible y deje claro las actividades de la organización que se desea

que estén integradas dentro del sistema de gestión de servicios TI.


Para definir el alcance de forma correcta se deben considerar principalmente los

siguientes aspectos:

• El desarrollo de negocio de la organización.

• Cómo es la estructura organizativa.

• La ubicación física.

• Los servicios TI cubiertos.

• Los elementos internos y externos que hacen que se puedan

desarrollar dichos servicios, con consideración específica a los

terceros intervinientes en cada proceso y/o parte de proceso.

Dentro de las opciones señaladas, un alcance global que cubra todos los servicios

TI prestados no suele ser la opción más eficaz. Hay que tener en cuenta que la

implantación de un SGS es un proyecto con efectos importantes en todo el alcance

que se defina y que repercute hasta en la filosofía de la organización. Por tanto, la

mejor opción será diseñar un SGS para un alcance reducido y que más adelante se

podrá ampliar.

Una de las razones para ampliar el alcance dentro de la organización, es porque se

ha decidido que incluya nuevos servicios que inicialmente no se habían considerado,

porque simplemente han surgido nuevos servicios que antes no se realizaban o

se ha llevado a cabo una reestructuración organizativa. Esta variación del alcance

se puede presentar, por ejemplo, durante la revisión del sistema por parte de la

dirección.

A continuación, se presenta un ejemplo de alcance de un SGS:


Alcance

El Sistema de Gestión de los Servicios de Tecnologías de la Información

de ___(nombre empresa)____ comprende los servicios de ___(listado

de los servicios cubiertos por el SGS)___ prestados desde las sedes de

___(dirección de las sedes desde donde se prestan los servicios TI)___ .

La descripción de dichos servicios puede consultarse en la versión ___

(indicar versión)___ del Catálogo de Servicios de la organización, fechada

en ___(indicar fecha de la versión del catálogo de servicios)___ .

5.1.2. Definición de la Política de Gestión de

Servicios TI

La forma más apropiada de establecer un SGS es mediante el desarrollo de una

política de gestión eficaz de servicios TI. Este documento debe definir el porqué de

la implantación, quién, cómo se promueve y qué objetivos o soluciones se pretenden

conseguir con su aplicación.

Esta sección contempla la política y las actividades de trabajo precisas para que

una organización pueda realizar una eficiente implantación y gestión de los servicios

TI. La política de gestión de los Servicios TI debe cubrir, al menos, los aspectos de

compromiso y responsabilidad de la dirección, objetivos de la gestión de servicios

TI y normas generales para la gestión de servicios TI.

La política debe ser aprobada por la dirección de la organización, como garantía

de que está incluida en los objetivos del negocio. Se debe someter a revisión cada

vez que se considere oportuno en función de los posibles cambios que sufra la

organización.


A continuación, se detalla un ejemplo de política de gestión de servicios TI:

Política de Gestión de Servicios TI

La Dirección de ___ (nombre empresa)___ , dentro de la estrategia definida

para el desarrollo del negocio, considera la correcta gestión de los servicios

TI un aspecto fundamental para garantizar la consecución de los objetivos

de negocio definidos. Por ello se compromete a velar por la adecuada

gestión de los servicios TI prestados por la organización, con el fin de

ofrecer a todos sus grupos de interés las mayores garantías en torno a la

calidad de dichos servicios.

Los objetivos de la presente Política de Gestión de los Servicios TI son:

• Asegurar que los servicios TI están alineados con las

necesidades de sus clientes y usuarios.

• Mejorar la comunicación entre el personal que participa en

la prestación de los servicios TI y los clientes y usuarios de

dichos servicios.

• Mejorar la eficacia y eficiencia de los procesos internos de

prestación de los servicios TI.

• Ofrecer a los clientes y usuarios servicios de mayor calidad.

Para desarrollar esta política, la Dirección de ___(nombre empresa)___

se compromete a establecer un Sistema de Gestión de los Servicios de

Tecnologías de la Información o SGS basado en la norma UNE-ISO/IEC

20000-1:2011, que cubra de forma adecuada todos los requisitos necesarios

para garantizar que los servicios TI contemplados en el alcance ofrecen los

niveles de calidad requeridos por sus destinatarios y se gestionan de


acuerdo a las exigencias contempladas en dicha norma. Este compromiso

se traduce en los siguientes principios:

• Nombrar un Responsable del SGS que se encargue de

gestionar el sistema y vele por el desarrollo, mantenimiento y

mejora del mismo.

• Llevar a cabo un análisis de las necesidades existentes en

torno a la prestación de servicios TI y desarrollar los servicios

necesarios para dar una adecuada respuesta a dichas

necesidades.

• Cumplir con todos los requisitos legales, normativos y

reglamentarios aplicables.

• Desarrollar una completa estructura de gestión que regule las

condiciones en las que la organización, dentro del alcance

establecido, debe desarrollar su actividad para respetar los

requerimientos establecidos.

• Destinar los recursos y medios necesarios para desarrollar

los servicios con los niveles de calidad exigidos por sus

destinatarios, manteniendo un adecuado balance entre coste

y beneficio.

• Establecer un Plan de formación y concienciación en materia

de gestión de servicios TI que ayude a todo el personal

implicado a conocer y cumplir las actividades de gestión

definidas y a participar de forma proactiva en la gestión de

los servicios TI.


• Desarrollar todas las medidas necesarias para garantizar

que los niveles de calidad ofrecidos por los servicios se

mantienen en el tiempo, gestionando adecuadamente las

incidencias que puedan producirse en relación a los mismos.

• Establecer periódicamente un conjunto de objetivos e

indicadores en materia de gestión de los servicios TI

que permitan a la Dirección llevar a cabo un adecuado

seguimiento tanto de los niveles de servicio ofrecidos como

de las actividades de gestión desarrolladas en torno a ellos.

• Establecer una metodología de revisión, auditoría y mejora

continua del sistema, siguiendo un ciclo PDCA que garantice

el mantenimiento continuo de los niveles de calidad deseados.

Con el fin de que estos principios se articulen de forma adecuada, ___

(nombre empresa)___ establece una serie de directrices en torno a las

actividades de gestión de los servicios TI desarrolladas por la organización.

Estas directrices son las siguientes:

• Todo el personal relacionado con la prestación de servicios

TI debe medir, revisar y mejorar continuamente las

características de los servicios TI prestados a los usuarios.

Se establecerán niveles de servicio por defecto para cada

uno de los servicios provistos por la organización, así como

con aquellas áreas de la organización externas al alcance

del SGS requeridas para la prestación de los servicios, y se

habilitarán los mecanismos oportunos para que se puedan

acordar con cada cliente niveles de servicio específicos si

así lo desean. Dichos acuerdos de nivel de servicio deberán


• ser formalmente documentados, y en ellos se especificarán

los niveles a cumplir para cada una de las características

del servicio. Todo el personal velará por que los servicios

prestados cumplan con dichos acuerdos de nivel de servicio.

• Todos los servicios TI proporcionados deberán estar

adecuadamente monitoreados, con el fin de que la

organización sea capaz de proporcionar a los clientes de

cada servicio toda la información necesaria para llevar a

cabo el seguimiento de todas las características relevantes

de los mismos.

• Todo el personal participará en la identificación de los

requerimientos de disponibilidad y continuidad de los servicios

TI proporcionados por la organización. Estos requisitos serán

adecuadamente implementados, y de forma periódica se

planificará, medirá y monitoreará la disponibilidad de los

servicios TI y la infraestructura que los soporta para verificar

que los requisitos se cumplen y mejoran progresivamente.

Además, se llevarán a cabo pruebas periódicas de

continuidad y se desarrollarán planes de acción para

corregir las desviaciones que puedan producirse frente a los

resultados deseados.

• Todos los servicios TI prestados por la organización estarán

adecuadamente presupuestados, considerando tanto los

costos directos como los indirectos e incluyendo en dichos

presupuestos tanto los costos iniciales como los derivados

del mantenimiento periódico de los activos asociados a


cada servicio. Estos presupuestos se contrastarán con los

resultados de la contabilidad asociada, con el fin de llevar un

adecuado seguimiento de los costos reales y disponer de la

información necesaria para corregir y mejorar el control de

los costos de los servicios TI.

• Todo el personal implicado en la prestación de servicios

TI velará por que los servicios prestados satisfagan las

demandas de servicio de sus respectivos usuarios. Se

llevarán a cabo análisis y mediciones para asegurar que

tanto las necesidades de capacidad actuales como las

futuras son adecuadamente satisfechas, garantizando que

las demandas de capacidad de los clientes son atendidas

del modo más eficiente posible.

• Se analizarán los riesgos de seguridad de la información de

todos los servicios TI prestados por la organización, y se

establecerán los controles asociados necesarios para mitigar

los riesgos identificados. Estos controles de seguridad se

desarrollarán de acuerdo a las directrices recogidas en la

Normativa de Seguridad de la Información.

• Se llevarán a cabo reuniones periódicas con los clientes de

los servicios TI prestados por la organización, con el fin de

identificar sus necesidades, llevar a cabo un seguimiento del

nivel de satisfacción en relación a los servicios prestados

e identificar cualquier cambio o petición de mejora de los

servicios prestados. Así mismo se habilitarán las medidas

necesarias para gestionar las reclamaciones que puedan


tener los clientes en relación a los servicios prestados.

• Se establecerán acuerdos de nivel de servicio con las

subcontratas y suministradores involucrados en la prestación

de servicios TI, especialmente con aquellos que participan

directamente en alguno de los procesos de prestación de los

servicios, con el fin de asegurar que los niveles de servicio

recibidos por parte de éstos son suficientes como para

cumplir con los niveles de servicio que la organización ha

suscrito con sus clientes. Se llevará a cabo un seguimiento

y monitoreo de los niveles de servicio recibidos con el fin de

identificar y corregir cualquier tipo de desviación que pueda

afectar a los servicios ofrecidos a los clientes.

• Todas las personas de la organización envueltas en la

prestación de servicios TI participarán en la gestión de los

incidentes relacionados con los servicios provistos, con el fin

de restablecer con la máxima celeridad posible los niveles

normales de operación de los servicios y minimizar los

impactos adversos de dichos incidentes en la organización,

asegurando que se mantienen los niveles de calidad y

disponibilidad pactados en los acuerdos de nivel de servicio.

• Todos los problemas identificados, tanto a raíz de las

actividades de identificación preventiva como los escalados a

partir de un incidente, serán adecuadamente analizados hasta

identificar la causa subyacente del error y se establecerán

las acciones correctivas necesarias para subsanar o paliar

sus efectos.


• Todo el personal involucrado en la gestión de servicios

TI registrará, mantendrá y llevará a cabo un adecuado

seguimiento de los elementos de configuración a su cargo

y sus características. Para ello se establecen los siguientes

principios:

• Proporcionar toda la información necesaria para registrar

las características significativas de los elementos de

configuración.

• Proporcionar toda la información necesaria para el resto de

los procesos de gestión de los servicios TI (gestión financiera,

gestión de incidencias y peticiones de servicio, gestión de

problemas, gestión de cambios, gestión de versiones, etc.).

• Verificar periódicamente que los registros de configuración

se mantienen actualizados, y corregir los desajustes que se

puedan producir.

• Todos los cambios que se produzcan en relación a cualquier

aspecto de los servicios TI, provistos por la organización,

deberán haber sido iniciados por una propuesta de cambio

formal y autorizados de acuerdo a un procedimiento regulado.

Todos los cambios que se produzcan serán revisados y

validados de manera formal.

• Todo el personal envuelto en la prestación de servicios TI

deberá asegurar que las nuevas versiones de los elementos

de configuración se pasan a producción siguiendo los

procedimientos establecidos. Estos procedimientos deberán


garantizar que sólo después de pasar por un proceso de

planificación, diseño, desarrollo, configuración y testeo

formales se ponen en producción las nuevas versiones,

garantizando de ese modo que son versiones estables.

La presente política es conocida y suscrita por todo el personal de ___

(nombre empresa)___ contemplado en el alcance, de acuerdo a las

exigencias de la Dirección. Esta política será revisada con una periodicidad

máxima anual, y sus cambios deberán ser aprobados por la Dirección de

la organización.

5.1.3. Designación de recursos

Si bien queda claro con la política del apartado anterior la intención de la dirección

en relación al SGS, se deberán establecer de manera fehaciente los mecanismos

que permitan el desarrollo, implementación y mejora de las capacidades de gestión

del servicio dentro del contexto de los requisitos del negocio y de los del cliente. El

cambio tanto organizativo como operativo dentro de la organización es obligado,

aparecen nuevas actividades, nuevos roles, que requerirán de una dotación de

recursos tanto presupuestarios como de personal o materiales. Para una primera

iteración del SGS el desarrollo del proyecto de implementación y la dotación

presupuestaria asignada serán suficientes como evidencia. Posteriormente será

interesante identificar elementos tangibles que evidencien este hecho. Desde el

punto de vista de la auditoría se van a intentar localizar, para considerar el SGS

conforme a la norma, elementos como, por ejemplo:

• Entrevistas con la dirección, responsables de proceso y servicio.

• Inclusión del SGS en el Plan Estratégico de la organización.


• Asignación presupuestaria para el SGS.

• Contrataciones relacionadas con el SGS.

• Decisiones adoptadas tras la fase de revisión por la Dirección.

• Proyectos generados en relación al SGS.

El indicador de designación de recursos o cuantificación de los mismos a lo largo

del tiempo evidencia el compromiso de la organización con el sistema y en qué

medida “empapa” a la organización, pierde fuerza o prioridad a lo largo del tiempo.

La inclusión de indicadores cuantificables nos permitirá identificar tendencias y

corregir a tiempo si es necesario.

5.1.4. Asignación del Responsable de TI

La figura del responsable del SGS es la de gestionar y mantener el SGS, y deberá

ser directamente asignada por la dirección para este fin. Entre sus responsabilidades

se encuentra la de mantener el proceso de mejora continua del sistema, y para

ello debe trabajar junto con los responsables de los procesos y de los servicios.

Con respecto a las actividades de gestión, debe planificar las auditorías internas

y llevar la gestión de los incidentes relativos a los servicios que gestiona. Deberá

formar parte de la dirección de la organización o participar en los foros de decisión

establecidos.

5.1.5. Identificación de los riesgos

Tal y como hemos señalado, una de las actividades a llevar a cabo a la hora de

planificar el SGS es estudiar los riesgos que puede suponer su implementación.

Por una parte, la adopción de un SGS puede suponer un impacto significativo en

la propia organización, ya que es probable que provoque cambios organizativos, el

desarrollo de nuevos roles y responsabilidades y la aparición de nuevas actividades a


desarrollar. Además, es posible que estos cambios requieran un redimensionamiento

del personal participante en el SGS, así como la adopción de ciertas tecnologías

capaces de automatizar algunas de las actividades consideradas. Estas necesidades

van a tener repercusiones directas en el aspecto económico de la organización, y

por tanto será necesario estudiarlas adecuadamente.

Por otra parte, y al igual que cualquier otro proyecto interno que se desarrolle dentro

de la organización, el proyecto de implantación de un SGS va a llevar asociados una

serie de riesgos, como pueden ser los derivados de una planificación deficiente o de

un incumplimiento de la misma, que pueden afectar directamente a los resultados

finales del mismo. Por todo ello, es necesario llevar a cabo un estudio de los riesgos

a los que puede estar expuesto el SGS, con el fin de poder tratarlos de la forma más

conveniente para la organización y de modo que el proyecto pueda ser implantado

con éxito.

Con el fin de facilitar el trabajo de identificación de los riesgos, a continuación, se

presentan algunos de los riesgos más habituales a los que puede estar sujeto un

proyecto de implantación de un SGS:

• Riesgos de organización

₀ Alcance excesivamente ambicioso.

₀ Reestructuración de la organización.

₀ Resistencia al cambio.

₀ Cambios en las prioridades de la organización.

₀ Insuficiente dedicación de recursos (equipo de trabajo).

• Riesgos financieros

₀ Asignación presupuestaria incorrecta.

₀ Recortes presupuestarios.


₀ Ampliaciones del proyecto no presupuestadas.

₀ Aparición de costos ocultos.

• Riesgos tecnológicos

₀ Tecnología inapropiada.

₀ Tecnología experimental.

₀ Solución tecnológica incorrecta.

₀ Fallos y errores tecnológicos.

₀ Insuficiente rendimiento de la tecnología.

₀ Obsolescencia tecnológica.

• Riesgos operativos

₀ Supuestos de inicio incorrectos.

₀ Cambios en el alcance del proyecto.

₀ Demoras en la toma de decisiones.

₀ Planificación incorrecta.

₀ Trabajos imprevistos.

• Riesgos del entorno

₀ Oposición social.

₀ Efectos macroeconómicos perjudiciales.

₀ Incumplimientos legales o regulatorios.

₀ Incumplimientos contractuales.


Por tanto, en la fase de planificación de un SGS será necesario llevar a cabo un

estudio de los distintos riesgos que pueden afectar al resultado final del proyecto

y, una vez analizados, determinar las líneas de actuación más apropiadas para

evitarlos o mitigarlos, de forma que en la medida de lo posible se pueda asegurar

el éxito del proyecto.

5.1.6. Gestión de la documentación y los

registros

Tal como se ha señalado en el apartado 5.1 la gestión correcta de los documentos

y registros del SGS constituye una parte fundamental que garantiza la coherencia

y el control sobre los aspectos normativos que se establecen, la ratificación de

las decisiones adoptadas y la evidencia de realización de actividades. Deberemos

establecer un procedimiento que establezca:

Identificación de documentos y registros del sistema: con el fin de tener

claramente identificado el ámbito sobre el que se centra la gestión documental,

será suficiente con una identificación del título del documento. Podemos tener la

fecha y versión vigente en cada caso en un documento anexo que será el que

habitualmente se modifique con cada cambio de versión:

• Tipos de documento: política, procedimiento, registro, etc.

• Soportes: ubicación en la que podamos localizar el documento

específico, bien sea en papel o digital.

Definición de responsabilidades en el control de documentos y registros:

para cada uno de los documentos del SGS deberemos especificar qué roles se

establecen para cada fase de desarrollo documental, por ejemplo:

• Elaboración/revisión: se genera inicialmente o cambian


contenidos si se producen cambios en el SGS.

• Aprobación: si la entidad del documento lo requiere, puede

solicitarse la aprobación del documento. En esta fase se revisa el

documento y se aprueba o devuelve al responsable de elaboración/

revisión.

• Distribución: fase en la que se publica para consideración del

personal implicado en la gestión de servicios.

Se deberá especificar el formato en que se archivan documentos y registros,

soporte papel y/o informático. Para cada formato se deberá especificar la ubicación

del documento o registro y establecerse el tiempo de conservación de los mismos

teniendo en cuenta posibles requerimientos legales o sectoriales a los que se esté

obligado.

Se deberán establecer en ambos casos las medidas pertinentes para garantizar

la seguridad tanto de los documentos como de los registros del SGS (integridad,

disponibilidad y confidencialidad).

5.1.7. Gestión de la competencia,

concientización y formación

Desde las fases iniciales, previas a la implantación del SGS, la formación y

sensibilización o concientización sobre las aportaciones que el nuevo sistema va

a introducir en todos los estamentos de la organización es crucial para el éxito

del proyecto. Esta fase tiene como objetivo minimizar los rechazos a una nueva

metodología que se puede identificar como amenaza, fiscalización, control, etc.;

y convertirla en ilusión, compromiso y beneficio tangible. La dirección deberá

establecer todos los mecanismos que tenga a su alcance para que el resto de la

organización se suba al proyecto y obtenga beneficios del mismo.


Aparecerán nuevas responsabilidades que habrá que combinar asignando tanto

a personal interno como a nuevas incorporaciones. La formación en ambos casos

garantizará el éxito de las actividades encomendadas. La inclusión de los aspectos

que aporta el SGS al negocio deberá estar identificada en toda la documentación

que el nuevo empleado recibe al incorporarse a la organización.

Tal como se ha indicado en el apartado 5.1.3 titulado “Designación de recursos”

deberá evidenciarse la formación continua tanto en aspectos técnicos, organizativos,

de liderazgo, etc. En función de la capacitación que se obtenga por parte del personal

se deberán ampliar sus Currículos Vitae y promocionar al personal gestionando la

competencia adecuadamente. Para la consideración del cumplimiento se deberá

disponer de registros cronológicos de las distintas formaciones recibidas por el

personal.

Los aspectos de requerimientos de personal, el perfil requerido y la formación

específica deberá aparecer claramente identificado en el “Plan de nuevo Servicio “.

Se deberán establecer indicadores relativos a aspectos formativos y de gestión de

la competencia.

5.1.8. Diseño de los procesos

Los procesos son la base del SGS, ya que constituyen en sí mismos las herramientas

que define el Sistema de Gestión para gestionar los servicios TI. Cada uno de ellos

regula un aspecto distinto dentro del ciclo de vida del servicio, de forma que en

conjunto sean capaces de regular el ciclo completo. Podemos pensar que los

procesos constituyen cada una de las piezas que componen el timón de los servicios

TI, y en su conjunto se encargan de asegurar que los servicios cumplen los objetivos

definidos, dirigiéndolos hacia ellos, corrigiendo las desviaciones y verificando los

resultados.

Los procesos se diseñan, tal y como hemos señalado en el apartado correspondiente,


en la fase de Planificación del SGS. En dicha fase se define y acota cada uno de los

procesos que integra el sistema de gestión, estableciéndose tanto las propiedades

de cada uno de ellos como sus interrelaciones con el resto. En base a esa definición

se lleva a cabo, en la fase de Ejecución, la implementación de los procesos,

organizando tanto las actividades como el personal de acuerdo a lo estipulado.

En esta fase se ponen en práctica todas las tareas que definen los procesos y

se incorporan todas las herramientas necesarias para su desarrollo. En la fase de

Revisión se lleva a cabo la revisión de los procesos y su auditoría, verificando que

cada uno de ellos se ha implementado según lo establecido y que cumple con los

objetivos definidos, verificándose los resultados que proporciona cada uno de ellos.

Finalmente, en la fase de Mejora se modifican todos aquellos aspectos de cada

proceso que se hayan identificado como mejorables, y que pueden afectar tanto a

la definición de los procesos y/o sus interrelaciones como a la implementación de

cada uno de ellos.


Fuente: MOF (Microsoft Operations Framework).

Figura5.4·MOF(MicrosoftOperationsFramework):Ciclode

vida del servicio

Como hemos señalado en la figura 5.4, cada uno de los procesos regula un aspecto

distinto dentro del ciclo de vida del servicio. Si analizamos cada una de las fases del

ciclo de vida podemos ver esta relación:

• Inicio/optimización del servicio: en relación a la fase inicial, en

la que se planifican todos los aspectos relativos a las características

del nuevo servicio o la modificación de uno existente, intervienen los

siguientes procesos:

₀ Diseño (y transición) de servicios nuevos (o modificados).

₀ Gestión del nivel de servicio.

₀ Gestión de la capacidad.

Inicio Optimización Cambio

Soporte Operación

- Gestión de incidentes.- Gestión de problemas.

EJECUCIÓN- Servicio de monitorización.

- Administración de sistemas.- Administración de comunicaciones.

- Administración de la seguridad.

Ciclo de vida del Servicio IT

InicioCambioRevisión

VersiónProducción

Revisión

SLARevisión

OperaciónRevisión


₀ Gestión de la continuidad y disponibilidad.

₀ Gestión de la seguridad.

₀ Gestión financiera.

₀ Gestión de las relaciones con el negocio.

₀ Gestión de proveedores.

• Cambio: fase en la que se planifica el pase a producción del

servicio planificado en la fase anterior, intervienen los siguientes

procesos:

₀ (Diseño y) Transición de servicios (nuevos o) modificados.

₀ Gestión de cambios.

₀ Gestión de configuración.

₀ Gestión de versiones.

• Operación: fase en la que se opera el servicio definido y

contratado con el cliente, en esta fase se administran los elementos TI

que intervienen, se desarrollan actividades como:

₀ Monitoreo y control.

₀ Administración de sistemas.

₀ Administración de las comunicaciones.

₀ Administración de la seguridad.

• Explotación: en esta fase se desarrollan los procesos de resolución

sobre el sistema que se está operando, y en la cual intervienen los

siguientes procesos:


₀ Gestión de incidencias y peticiones de servicio.

₀ Gestión de problemas.

• Optimización: fase en la que con los datos obtenidos de las

fases de operación y soporte, los aspectos considerados en la de

planificación y la retroalimentación recibida por parte del cliente, se

realizan los cambios oportunos sobre el servicio con el fin de mejorarlo.

Pese a que cada proceso se centre en alguna de las fases específicas del ciclo de vida

del servicio, su principal beneficio es que constituyen un sistema integrado, donde

el conjunto de actividades desarrolladas en cada proceso está interrelacionada con

el fin de lograr que el servicio alcance los objetivos planteados. Estas interrelaciones

son complejas y múltiples, y en cierta medida dependen de la implementación

específica de cada proceso en la organización. No obstante, se ha querido presentar

en este apartado un esquema básico de interrelación entre procesos, con el fin de

ofrecer una representación completa del sistema de procesos, y en el que al mismo

tiempo se pueda apreciar su complejidad.


Figura 5.5 · Flujos UNE-ISO/IEC 20000-2:2011

Creemos necesario reiterar que el esquema representado en la figura 5.5, es un

esquema básico en el que no aparecen reflejadas todas las interrelaciones. En

los siguientes apartados se aclara el diseño de cada uno de los procesos, y se

identifican en detalle las interrelaciones estándar de cada proceso con el resto.

5.1.9. Gobierno de los procesos tercerizados

Entrega del Servicio

Soporte del Servicio

Clientes

Planificación de los Servicios

Informes del Servicio

Gestión de la capacidad

Gestión de la contabilidad ydisponibilidad del Servicio

Necesidades menores

Informes

Gestión de la entrega

Gestión delcambio

Gestión de incidentes

Gestión de problemas

Gestión de la configuración

CAU

Respuestas

Respuestas

IncidentesPeticiones

Problemas

SolucionesIncidentes

Resultados

IncidentesPeticiones

CambiosRFCs

Cambios

NuevasVersiones Valoración

ConfiguracionesRFCs

Informes

SLAsCatálogo deServicios

Gestión de proveedores

Usuarios

Proveedores

Necesidades mayoresSatisfacción del ciente

Requisitos de servicio

Servicios IT CMDB

UCsGestión de la seguridad de la información

Gestión de relacionesde negocio

Gestión del Nivel de Servicio

Requerimientos y objetivos

Presupuestos y contabilidad de Servicios


Dentro del diseño de cada uno de los procesos habrá que considerar expresamente

aquellas casuísticas en las que los procesos están parcial o completamente

tercerizados, y un tercero desarrolla parte o todas las tareas asociadas al proceso.

Independientemente del grado de participación de los terceros en los procesos, la

propia organización será la responsable de la definición de los mismos, debiendo

determinar para cada uno de ellos al menos los siguientes aspectos (definidos en

los siguientes capítulos para cada proceso):

• Objetivos

• Condicionantes

• Entradas

• Salidas

• Responsable

• Seguimiento y control

Por contrario, dependiendo del grado de tercerización de cada tarea o actividad,

podrá quedar en manos de los terceros la definición de los siguientes aspectos de

cada proceso:

• Actividades

• Recursos

• Registros

• Herramientas

Si la tercerización se produce dentro de la propia organización el gobierno de

estos aspectos se deberá llevar a cabo de manera específica a través del proceso

de gestión de niveles de servicio, centrado en los mecanismos de seguimiento y

control definidos. Si por el contrario la tercerización se produce en una organización


externa, será el proceso de gestión de suministradores quien deba llevar a cabo

el gobierno de los aspectos externalizados, con la visión completa que requiere el

citado proceso.

5.2. Implementación del sistema de gestión

La implementación del plan anteriormente definido, constituye una parte nuclear del

sistema de gestión, ya que se traslada a la operativa real de la organización todo

aquello que hasta el momento únicamente se ha definido en papel. Este es un punto

fundamental para las partes restantes del ciclo PDCA. La generación de evidencias

y registros que serán utilizadas en la fase de revisión y los posteriores cambios que

pueda suponer la fase de mejora, son determinantes para establecer el ciclo de

mejora continua del sistema y su origen en la fase de implantación. No obstante,

a lo largo de nuestra experiencia en este tipo de sistemas de gestión observamos

en algunas organizaciones, que se considera la fase de planificación la principal,

viendo cierta relajación en las fases posteriores, ejecución, chequeo, y acción. En

este sentido conviene recordar que la auditoría que sobre el sistema se realiza,

interna y externa, se centra tanto en el establecimiento de la estructura de gestión

definida en la fase de plan, como en las evidencias de que en la organización se

llevan a cabo las acciones definidas. Tomando como referencias de auditoría tanto

la norma, en nuestro caso la UNE-ISO/IEC 20000-1:2011 como la documentación

generada para implementarla.

En la fase de implementación se empezarán a generar evidencias de la realización

de las acciones definidas, es por ello que para considerar un SGS certificable

deberá transcurrir un periodo no inferior a tres meses desde la finalización de esta

fase. Este es el tiempo mínimo considerado para que las acciones definidas en el

plan y ejecutadas, queden evidenciadas en los correspondientes registros y sobre

estos se desarrollen acciones de mejora.

Actividades consideradas en la fase de implantación y sobre las que deberemos


disponer de evidencia documental son:

Asignación específica de fondos para el SGS: establecemos en el ámbito

presupuestario la partida correspondiente para el sistema, que habremos definido

en la fase anterior.

Asignación de roles y responsabilidades: dentro de la organización ya tendremos

asignadas figuras específicas en base a las necesidades definidas en la fase de

planificación. Tanto en lo relativo al propio sistema de gestión como a los procesos

y servicios.

Gestión documental: estaremos desarrollando y actualizando la documentación del

SGS en base a una metodología o procedimiento definida en la fase de planificación

y que afectará también a los registros generados.

Gestión de riesgos del servicio: estaremos desarrollando una metodología para

identificar posibles riesgos que puedan actuar sobre el propio sistema de gestión,

sobre los procesos y los servicios sobre los que se implementan.

Contratación de personal: en caso de necesidad se estarán realizando

contrataciones con el fin de desarrollar las tareas definidas tanto para el sistema

de gestión como para los procesos desarrollados. En cada servicio, estas últimas

contrataciones, estarán descritas en el plan de servicio y comprometidas con

clientes concretos en los acuerdos de nivel de servicio establecidos SLA s (Service

Level Agreements).

Se implementarán partidas presupuestarias: específicas tanto para equipamiento

como para el personal, para el sistema de gestión como para el desarrollo de los

procesos y servicios.

Se desplegarán los grupos de asistencia: que se considere, en base a la definición

del servicio definido y las necesidades contratadas por el cliente.

Se establece seguimiento: en relación al propio SGS, a los procesos y a los


servicios que estamos estableciendo.

Todos estos aspectos y otros son los que se recogen en el Plan de Implantación del

SGS, documento que establece la estrategia para la gestión de los servicios.

En esta fase hay que destacar la importancia de difundir todos los aspectos

implementados, sobre todo si en la fase de planificación no se ha involucrado a

todo el personal interviniente en la prestación de los servicios. Es en esta etapa de

implementación en la que se hacen realidad las definiciones y consideraciones que

se han establecido, es inevitable el ajuste. Si este ajuste supone redefinir o modificar

lo previamente definido perfecto, únicamente deberemos dejar constancia de este

hecho en el registro de versiones de la documentación, y difundir el cambio. Hay

que tener en cuenta que una herramienta de auditoría muy utilizada y que evidencia

el grado de “calado” del sistema son las entrevistas personales. De esta manera

se tiene la seguridad, independientemente de los registros documentales que

generemos, que el personal conoce el marco de gestión creado y que conoce, en

base a él, sus funciones y responsabilidades dentro del sistema.

Considerando que estamos ya desarrollando la fase de implementación del sistema

de gestión, deberemos de igual modo desarrollar los propios procesos que hemos

definido. En este sentido se considera de especial relevancia tanto el desarrollo del

propio proceso como la relación que entre ellos se establece, tal como se establece

en la parte 2 de la norma en su punto 4.2, “La consecución de los procesos de

mejores prácticas de gestión del servicio capaces de satisfacer los requisitos de

la norma ISO 20000 no se alcanzará si los servicios originales no cumplen los

requisitos descritos para la implementación en la norma ISO/IEC 20000-1”. (UNE-

ISO/IEC 20000-1 Tecnologías de la Información - Gestión del servicio - Parte 2:

Código de prácticas, punto 4.2.). Es decir, deberemos implantar tanto el sistema de

gestión, como los procesos sobre los servicios para cubrir todas las especificaciones

definidas por la norma.


5.3. Monitoreo y revisión del

sistema de gestión

“No podemos gestionar lo que no podemos controlar; no podemos

controlar lo que no medimos”.

Esta sencilla frase sintetiza la necesidad de la fase de monitoreo y revisión dentro del

ciclo PDCA, en base a la ejecución de las actividades en la fase de planificación, de

esta forma obtenemos cierta información que nos tiene que permitir tomar decisiones.

Pero esto que parece tan sencillo lo tenemos que sistematizar, es por ello que sea

tan importante la actividad que implementamos como la posibilidad de ser medida.

Si una actividad de un sistema de gestión no se puede medir, no merece la pena su

implementación.

Los procesos de monitoreo y revisión se tienen que aplicar no solo al sistema de

gestión, sino también a los procesos y a los propios servicios, tal como se indica

en la figura 5.1 tendremos que desarrollar tres procesos de monitoreo. Después de

esto, debemos trasladar los datos al “Plan de mejora del servicio”.

Como se indica en la figura 5.6, el monitoreo del sistema de gestión nos permitirá

modificar partes esenciales del mismo que permitirán su mejora continua.

Estableceremos observación sobre la propia implementación, sobre la eficacia

y eficiencia de las medidas adoptadas, que en su caso pueden generar una

actualización de las políticas definidas. Fundamentalmente nos permitirá identificar

el impacto en el negocio, en este caso el servicio, el modelo implantado con el fin

de poder tomar decisiones y variar, si procede las metas y objetivos. Toda esta

información será tratada en la fase de mejora, pero serán las partes interesadas las

que habrán tomado las decisiones en base a la información recogida en esta fase

del ciclo PDCA.


Figura 5.6 · Mejora continua

Centraremos los aspectos relativos al monitoreo y revisión del sistema de gestión a

los siguientes:

Auditorías internas: la auditoría interna es un elemento esencial como indicador de

la situación del sistema de gestión. Tomando como referencias de auditoría tanto la

norma UNE-ISO/IEC 20000:2011 como el documento diseñado en la organización

para la implementación del sistema de gestión, “Plan de Implantación de la Gestión

de Servicios TI” se evalúa el grado de conformidad en base tanto de evidencias o

registros documentales generados, como de entrevistas u otro tipo de evidencias

del SGS. Las No Conformidades, Acciones de Mejora que se identifiquen en la

auditoría interna y el Plan de Acciones Correctivas propuesto para solventarlas,

constituyen elementos importantes para la fase de la revisión por la dirección que

comentaremos en este mismo capítulo.

Si tenemos intención de certificar el SGS por parte de un tercero, denominada

“auditoría de tercera parte”, la información generada en la auditoría interna y sus

IMPACTO EN EL NEGOCIO- Pérdidas o ganancias obtenidas.- Estimación de pérdidas aceptables.

- Política de gestión de servicios IT- Procedimientos- Guías- Reglamentación normativa

Implementación del SGSTIMetas/Objetivos

EFICACIACapacidad de lograr el efectoque se desea.EFICIENCIACapacidad de alcanzar el efectoque se desea con el mínimo derecursos y tiempo.

IMPLEMENTACIÓN DEPROCESOSNivel de implementación en elestablecimiento de las políticasy procedimientos.

Organización,partes

interesadas

Resultadosde los programas

Nivel de implementaciónImpacto en la

Misión/Negocio


resultados constituyen otro hito importante. Probablemente, uno de los primeros

documentos que solicite el auditor externo en su revisión, sea el PAC (Plan de

Acciones Correctivas) de la auditoría interna.

Los elementos que deberemos tener documentados en relación a la auditoría interna

serán como mínimo:

• Programa de auditoría: definir temporalmente las auditorías que se

realizarán.

• Procedimiento de auditoría: se establecerán los criterios, alcance,

frecuencia y métodos a emplear en las auditorías.

La selección de los auditores deberá garantizar su imparcialidad y objetividad, no

pudiendo estos auditar su propio trabajo.

Seguimiento y medición de los procesos: el seguimiento se centrará sobre

los aspectos previamente planificados en el “Plan de Implantación del SGS” así

como la propia norma UNE-ISO/IEC 20000-1:2011. En el presente documento para

cada proceso se establece un punto específico “Seguimiento y control”, en el que

proponen indicadores a tener en cuenta para evidenciar el correcto desarrollo del

proceso. No obstante, si bien no se establece a nivel global del sistema de gestión,

el resultado de los indicadores de cada uno de los procesos sí constituirá otra de las

entradas que deberá conocer la dirección. En el entorno en el que está planteado

este documento consideramos la gestión de las desviaciones del proceso como

generadoras de NC (No Conformidades), AC (Acciones Correctivas) y observaciones

a ser tratadas de la misma manera que las referidas al SGS.

No conformidades, acciones preventivas y correctivas: Los elementos

anteriormente mencionados como son las auditorías internas, los indicadores del

SGSTI y los indicadores de procesos o las reclamaciones que se establecen en el

proceso de relación con el negocio, deberán ser gestionados convenientemente. En

relación tanto a la norma UNE-ISO/IEC 20000-1:2011 como a la aplicación práctica


en la organización y explicitadas en el documento “Plan de Implantación del SGS” se

deberá establecer una metodología para solventar o atender situaciones específicas:

• No conformidades: evidencia manifiesta de situación no conforme

con respecto a los elementos de referencia considerados.

• Acciones preventivas: situación que deberá prevenirse

convenientemente para no incurrir en una NC con el SGS.

• Acciones correctivas: acciones destinadas a eliminar la causa

de una NC u otras situaciones que puedan originarla.

Tras la identificación de la situación se deberán establecer los mecanismos que

garanticen que todas ellas son atendidas en función de su gravedad, debiendo

quedar registradas todas las fases desarrolladas para su resolución (registro,

responsable para la corrección, acción correctiva, plazos, etc.).

Revisión por la dirección: el objeto de esta fase es la de recopilar información

relevante para evaluar el SGS y determinar las acciones a realizar para la mejora

continua del mismo. Es una fase determinante para garantizar la supervivencia del

SGS y en ningún caso se podrá obviar. Esta revisión se realizará sobre todos los

elementos establecidos en el SGS en función de su grado de madurez y de la

capacidad de obtener datos objetivos. Tal como indica la norma en su punto tres, la

dirección deberá evidenciar tanto su grado de compromiso con el sistema mediante

la asignación de recursos, como su participación constante y toma de decisiones

que permitan en base a datos objetivos la mejora continua. En este sentido, para la

siguiente fase de mejora continua, la revisión por la dirección constituye la entrada

única, principal y directiva para la mejora continua del SGS.

Como se indica en la figura 5.7, las acciones derivadas de la revisión por la

dirección afectarán a todas las partes del sistema: sistema gestión, procesos y

servicios. Gracias a la metodología definida se garantiza que dichas acciones se

desarrollen de forma centralizada y coordinada, considerando todos los puntos de


vista importantes tanto para la organización como para el cliente, de forma que se

eviten acciones particulares que puedan acometerse desde un abordaje parcial de

la solución.


Figura 5.7 · Entradas de la mejora continua I

Revisión deindicadores estratégicos, tácticos yoperativos.

Aplicación de las políticas

del SGSTI

Objetivosdel SGSTI

Revisión de ladirección

Resultados deauditorías

Análisis y seguimientode eventos

Medidas preventivas y

correctivas

Propuestas de mejora

Revisión de losrequisitos de:

- Negocio. - Seguridad.- Reguladores.- Legales. - Contractuales.

Revisión de losinformes deauditoríasinternos y externos.

Revisión de incidenciasocurridas en el SGSTI.

Revisión de losindicadores de medidas preventivasy correctivas.

Partes interesadasy responsablesde procesos y servicios.

Entradas para la revisión

Fase de recopilación de datos para el análisis

Fase de análisis

Fase de decisión de acciones de mejora

Revisión por la dirección

Acciones de mejora SGSTI

Mejora del sistema de gestión


5.4. Mejora del sistema de gestión

Parte fundamental del sistema de gestión y fin último de todas las fases anteriormente

descritas. Con la fase de mejora se cierra el ciclo PDCA que mueve todos los

engranes identificados en el sistema. La mejora continua del sistema de gestión, el

denominado “esqueleto” de todo el sistema promoverá los cambios considerados

en el resto de ciclos, el de los procesos y el relativo a los servicios. Desde el punto

de vista de la auditoría, la mejora del SGS junto con el desarrollo y mejora de los

procesos aplicados al servicio, constituyen aspectos fundamentales a verificar.

Estos elementos indican a su vez el grado de “compromiso” de la organización

con el sistema de gestión. Si bien en la primera iteración PDCA del sistema se

busca una estructura alineada con el negocio, práctica en el entorno específico de

la organización y conocida por todo el personal, en las siguientes se incide sobre

todo en el ciclo de mejora continua del sistema. Tal como se ha indicado en el punto

anterior de revisión por la dirección, en base a las entradas analizadas se toman

decisiones concretas, y la planificación de las acciones se convierte en la primera

del siguiente ciclo PDCA.

Este compromiso con la mejora continua de los servicios deberá ser evidenciada en

un documento que deberán conocer todas las personas implicadas en la prestación

del mismo.

Para cada uno de los procesos y servicios que se desarrollan, se propondrán por

parte de sus responsables acciones de mejora que revisará la dirección como una

más de las entradas y que derivarán en planificaciones concretas y coordinadas.

La siguiente figura 5.8 representa las fases de revisión por la dirección y mejora

continua. Se puede observar la retroalimentación del ciclo de revisión de la siguiente

iteración con las mejoras tanto desestimadas como ejecutadas.


Figura 5.8 · Entradas de la mejora continua II

Para la planificación relativa a los servicios, la norma establece un capítulo concreto: “5.

Planificación e implementación de servicios, nuevos o modificados” describiéndose

para estos un flujo específico descrito en el apartado correspondiente.

Asignación deresponsabilidades

¿Ajuste de mejoradel SGSTI?

Asignación de tareasEntr

ada

para

revi

sión

por

dire

cció

n

Desarrollo de mejoras

Mejora

Si

No

Priorización de mejoras


5.5. El sistema de gestión de servicios TI.

Ficha resumen

Objetivos

• Proveer un sistema de gestión que incluya políticas y un marco de

trabajo para hacer posible una efectiva gestión e implementación de

todos los servicios TI.

• Establecer una metodología conocida como PDCA.

Puntos clave

• Definir por parte de la dirección los objetivos de la gestión de

servicios TI.

• Generar una política de gestión de servicios TI.

• Comunicar la importancia de la mejora continua en la prestación

de servicios TI.

• Establecer la gestión de servicios TI en base a necesidades del

negocio y el cliente.

• Asignar a un miembro de la dirección la responsabilidad de los

servicios TI.

• Asignar recursos para el funcionamiento del sistema de gestión de

servicios TI.

• Analizar el riesgo que supone la implantación de un SGS y los

servicios.


• Revisar periódicamente el SGS por parte de la dirección.

• Documentar el SGS y generar los registros correspondientes.

• Generar un procedimiento de gestión documental.

• Establecer los roles y responsabilidades para cada parte del SGS.

• Disponer de un plan de formación acorde a cada rol que se

establece dentro del SGS.

• Garantizar la concienciación del personal y su contribución al SGS.

• Establecer auditorías internas que garanticen el ciclo de mejora

continua.

• Establecer un plan de auditorías con procedimiento que establezca

criterios concretos.

• Definir un plan de gestión de servicios.

• Alinear los procesos con el plan de gestión del servicio.

• Aplicar métodos de monitoreo y medición de la gestión de servicios

TI.

• Comunicar a las partes interesadas el resultado de evaluaciones y

auditorías de la gestión del servicio.

• Establecer una política clara sobre la mejora del servicio.

• Identificar, medir, gestionar e informar sobre las actividades de

mejora.


Evidencias de implementación

• Política de gestión de servicios TI documentada y difundida.

• Evidencias de difusión.

• Plan de implantación de la gestión de servicios TI.

• Actas de reuniones, comunicaciones relativas a la mejora continua

de los servicios TI.

• Actas de la dirección en relación a contrataciones, recursos.

• Informe del análisis del riesgo del SGS y servicios.

• Programa de auditoría.

• Informes de auditoría.

• Planes de acciones correctiva.

• Política de mejora del servicio.

Pistas de auditoría

• La política debe estar accesible para todo el personal involucrado

en la gestión de servicios TI.

• Los objetivos de la gestión de servicios TI deben estar alineados

con los objetivos del negocio, por ejemplo inclusión en el plan

estratégico.

• Los roles, las asignaciones concretas y sus responsabilidades, en

relación al SGS deberán estar documentados.


• El plan de gestión de servicios TI identificará claramente al

responsable de los servicios TI, tendrá en el organigrama de la

organización capacidad de decisión.

• Documento de alcance aprobado por la dirección.


6. Los procesos

6.1. Estructura de los procesos

Un proceso es, en la práctica, cualquiera de las secuencias repetitivas de actividades

que ocurren normalmente en una organización. Si lo que buscamos es una definición

más formal, podemos definir un proceso como cualquier secuencia repetitiva de

actividades que una o varias personas desarrollan para hacer llegar una salida a un

destinatario a partir de unos recursos que se utilizan o que se consumen.

De acuerdo con la definición ya podemos identificar algunas de las propiedades de

un proceso:

• Debe ser capaz de transformar una serie de entradas en una serie

de salidas.

• Debe aportar un valor añadido a su destinatario.

• Está constituido por una serie de actividades internas coordinadas.

• Las actividades las realizan personas, individualmente o en grupo

(áreas, departamentos, unidades organizativas, etc.).

• Estas actividades se pueden esquematizar en forma de diagrama

de flujo.

• Durante el desarrollo de dichas actividades se consumen o utilizan

una serie de recursos o herramientas.

Además, tenemos que tener en cuenta dos características significativas de los

procesos, como son:

• Repetitividad: los procesos se crean para producir un resultado

y poder repetirlo.


• Variabilidad: cada vez que se repite un proceso se producen

ligeras variaciones en las actividades que a su vez generan variaciones

en los resultados obtenidos (en las características de las salidas).

Esta característica de variabilidad puede afectar al nivel de satisfacción de los

destinatarios respecto a las salidas del proceso. Por tanto, será necesario establecer

algún sistema de medición y control que permita conocer dicha variabilidad y

determinar los márgenes aceptables, con el fin de mantener acotado el resultado

del proceso para garantizar la satisfacción de los destinatarios. Dicho sistema

tendrá que ser capaz de generar una serie de registros que constituyan la evidencia

del funcionamiento del proceso, con el fin de que dichos registros sean evaluados

y contrastados con los objetivos deseados. Y no debemos perder de vista que

la determinación de los márgenes que son considerados admisibles, puede venir

dada tanto por condicionantes de los propios destinatarios del proceso como por

condicionantes exógenos, como pueden ser, entre otros, legales, reglamentarios o

contractuales, y que pueden obligar a que los resultados o las características del

propio proceso cumplan unos requisitos determinados.

Por último, es necesario señalar que, dada la complejidad que puede llegar a tener

un proceso adecuadamente desarrollado, será necesario identificar un responsable

del mismo, que se encargue de garantizar tanto el adecuado uso de los recursos

designados como la mejora continua del mismo, desarrollando mejoras que permitan

incrementar la eficiencia y/o eficacia de las acciones que componen el proceso.

De acuerdo con todas estas consideraciones, un proceso vendrá definido por los

siguientes parámetros:

• Nombre: identificación del proceso.

• Objetivo: propósito del proceso.

• Condicionantes: elementos externos que van a afectar a las

características del proceso.


• Actividades: las tareas que forman parte del proceso.

• Entradas: aquello que origina el proceso.

• Salidas: los resultados del proyecto.

• Responsable: la persona encargada de dirigir el proceso.

• Recursos: los intervinientes en el proceso.

• Seguimiento y control: el sistema que se ha definido para verificar

el funcionamiento del proceso.

• Registros: las evidencias de funcionamiento del proceso.

• Herramientas: equipamiento y material utilizado o consumido

para la ejecución del proceso.

En el presente capítulo se definen cada uno de los procesos que forman el SGS de

acuerdo a estos parámetros.

6.2. Procesos de provisión

6.2.1. Gestión del nivel de servicio (SLM)

El proceso de gestión del nivel de servicio SLM (Service Level Management) es

uno de los procesos fundamentales de un SGS. Gracias a él se asegura que cada

cliente obtiene en relación a cada servicio los niveles definidos como aceptables,

y que dicho servicio se presta de acuerdo a las condiciones acordadas. Para ello,

esta actividad se articula en forma de proceso, de forma que se identifican los

siguientes aspectos:

• Objetivo: el objetivo del proceso es definir, acordar, registrar y

gestionar los niveles de servicio.


• Condicionantes: los principales condicionantes en relación al

proceso de gestión del nivel de servicio son:

₀ La política de servicios TI de la organización, que regula

las pautas generales bajo las que se deben gestionar los

servicios.

₀ El catálogo de servicios, que define las características

generales de los servicios TI prestados por la organización.

₀ La propia UNE ISO/IEC 20000-1:2011, que en su cláusula

6.1 recoge los requisitos que debe cumplir este proceso.

₀ Las obligaciones legales, regulatorias y contractuales a

las que esté sujeta la organización en relación a cada uno

de los servicios TI contemplados en el catálogo de servicios.

• Actividades: las actividades principales de este proceso se

pueden resumir en:

₀ Acordar, en función de las características de los servicios

ofrecidos y las necesidades de los clientes, los niveles de

servicio que se van a proveer en cada uno de ellos.

₀ Escribir y firmar oficialmente dichos acuerdos de nivel de

servicio, SLAs.

₀ Revisar periódicamente los acuerdos de nivel de servicio

y verificar que se mantiene su validez.

₀ Cursar las solicitudes de cambio realizadas por los

clientes en relación a los SLAs.

₀ Actualizar los acuerdos de nivel de servicio en base a los

cambios realizados.


₀ Supervisar los niveles de servicio ofrecidos.

₀ Revisar las razones de los incumplimientos de los SLAs,

definiendo acciones de mejora.

• Entradas: atendiendo a las actividades del proceso, sus entradas

son las siguientes:

₀ Las necesidades de los clientes en relación a cada uno

de los servicios existentes.

₀ Las características de los servicios prestados.

₀ Los acuerdos de nivel de servicio firmados con cada

cliente para cada servicio.

₀ Los resultados de los servicios ofrecidos, una vez

procesados.

₀ Las solicitudes de cambio en los acuerdos de nivel de

servicio establecidos.

• Salidas: en relación a las actividades y entradas definidas, las

salidas de este proceso son las siguientes:

₀ Acuerdos de Nivel de Servicio.

₀ Solicitudes de cambio para los SLAs.

₀ Acciones de mejora a incorporar al Plan de Mejora del

Servicio.

• Responsable: dadas las consideraciones anteriores, el

responsable del proceso de gestión de niveles de servicio debe

poseer capacidades de gestión, tener una visión de alto nivel en torno

a los servicios prestados y ser capaz de entender la postura de los


clientes en torno a los servicios TI recibidos.

• Recursos: el presente proceso requiere la participación de dos

tipos de perfiles:

₀ Perfil comercial: será necesario que participe en el

proceso, personal con capacidad para llegar a acuerdos con

los clientes.

₀ Perfil técnico: será necesario que el personal que

participe en el proceso tenga capacidad para supervisar los

niveles de servicio prestados y para definir líneas de mejora

en la provisión de los servicios.

• Seguimiento y control: en este proceso se pueden identificar dos

indicadores principales. El primero de ellos supondría el seguimiento

de la tasa de cambios que sufren los SLAs, y permitiría identificar

problemas en la definición de los mismos y por consiguiente indicar

posibles riesgos de insatisfacción por parte de los clientes. El segundo

de ellos supondría el seguimiento de la tasa de incumplimientos de

los SLAs, con el fin de llevar a cabo una medida directa del nivel de

calidad que la organización es capaz de ofrecer a sus clientes.

• Registros: el principal registro que genera este proceso son los

propios SLAs, que en sí mismos demuestran que se definen, acuerdan

y registran los correspondientes niveles de servicio. Además, podemos

identificar una serie de registros complementarios como son las

solicitudes de modificaciones en los SLAs, que van a garantizar que

se mantienen actualizados, o los informes de incumplimiento de los

SLAs, que demuestran que se verifican. Así mismo, todas las entradas

que genere este proceso para el Plan de Mejora del Servicio serán un

registro de que el proceso garantiza que los servicios se mejoran de

forma continua.


• Herramientas: para desarrollar el proceso de gestión del nivel de

servicio se requieren principalmente, las siguientes herramientas:

₀ Plantillas para los acuerdos de nivel de servicio.

₀ Plantillas para las solicitudes de cambio.

₀ Plantilla para la proposición de contenido al Plan de

Mejora del Servicio.

Además de las plantillas citadas también será necesario contar con un programa en

el que se garantice la revisión periódica de cada uno de los acuerdos de nivel de

servicio establecidos por la organización, como se indica en la figura 6.1.

Figura 6.1 · Procesos TI - Gestión SLM

CONDICIONANTES

- ISO 20000 cláusula 6.1.

- Política de Gestión de servicios TI.

- Catálogo de servicios.

- Contratos y legislación.

HERRAMIENTAS

- Plantillas para SLA.

- Plantillas para RFC.

- Plantillas para el Plan de mejora.

- Programa de evisión de SLA.

SEGUIMIENTO Y CONTROL

- Cambios (y/o mejoras) en los SLA.

- Incumplimiento de los SLA.

ENTRADAS

- Necesidades del servicio.

- Características del servicio.

- SLA.

- Resultados de los servicios.

- Solicitudes de cambio.

SALIDAS

- SLA.

- RFC.

- Inputs para el plan de

mejora del servicio.


6.2.1.1. Gestión del nivel de servicio (SLM).

Ficha resumen

Objetivos

• Pactar en relación a las características y necesidades de los

clientes, un conjunto de servicios que estén definidos y acordados en

un documento denominado SLA.

• Implantar la metodología de mejora continua conocida como

PDCA.

Puntos clave

• Deben existir informes detallados, que comparen los niveles de

servicio reales con los pactados, mostrando la evolución del servicio

correspondiente.

• Definir una interfaz documentada y aplicada entre los procesos de

Gestión del Nivel de Servicio y Gestión del Cambio.

• Instalar un procedimiento definido, documentado y aplicado que

defina e implante los requisitos del cliente.

• El proveedor del servicio debe entender en su totalidad el negocio

del cliente.

• Se debe coordinar, gestionar y monitorizar las exigencias de los

clientes que estén relacionadas con los SLAs, los procesos internos y

de proveedores.


• Debe existir un procedimiento de interacción con los procesos de:

relación con el negocio y gestión de proveedores, que este aplicado,

definido y documentado.

• Disponer de un ciclo de mejora continua efectivo.


• Informes de monitoreo y cumplimiento del servicio.

• Documentación del proceso de gestión del cambio y del proceso

de gestión del nivel de servicio debiendo existir comunicaciones y

entrevistas entre los gerentes de ambos procesos.

• Documentación del proceso de relación con el negocio y del

proceso de gestión del nivel de servicio de forma que permita

comunicaciones y entrevistas entre los gerentes de ambos procesos.

• Entrevistas a gerentes de los procesos, a equipos de gestión del

servicio TIC, y a clientes.

• Establecer un proceso de gestión de la mejora continua, con

informes de los procesos antes y después de la implantación de estas

mejoras.

• Comunicaciones vía mail, comunicado a las partes implicadas.

• Actas de revisión de planes, políticas y procedimientos de la

gestión del servicio.


• Los informes de nivel de servicio entregados al cliente deben ser


por lo menos mensuales, internamente en TI semanales y diarios al

SLM.

• Los indicadores de los informes deberían mantener una serie

histórica del año en curso y estar preparados para años posteriores.

• La gestión del cambio tiene que aprobar y registrar las

modificaciones al catálogo de servicios, al SLA, OLAs (Operational

Level Agreement) y UCs (Underpinning Contract).

• Los requisitos formulados por el cliente se comunican mediante un

procedimiento establecido a los equipos de soporte.

• Asegurar que los niveles de servicio a cumplir son conocidos por

toda la organización TI.

• Los equipos de soporte deben estar formalizados con el negocio

entendiendo como fluyen las áreas de TI.

• El SLM analiza semanalmente los gráficos y las tendencias del

servicio.

• En caso de identificar un problema el SLM debe lanzar una RFC

(Request for change) para ejecutar un cambio que mejore el servicio.

• Se debe asegurar que los requisitos expresados por el negocio,

son conocidos por el equipo y los proveedores, estableciendo

procedimientos adecuados para cumplir las expectativas.

• Se recomienda criterio y experiencia en vez de aplicar al pie de la

letra las recomendaciones.


6.2.2. Generación de informes del servicio

El proceso de generación de informes del servicio es uno de los procesos más

importantes de cara a la comunicación con los clientes y la toma de decisiones.

Gracias a él se asegura el seguimiento de los servicios TI prestados y la normalización

de la información generada en torno al funcionamiento y resultados obtenidos por

dichos servicios. Para ello, esta actividad se articula en forma de proceso, de forma

que se identifican los siguientes aspectos:

• Objetivo: el objetivo del proceso es generar los informes

acordados en plazo, fiables y precisos, para una toma de decisiones

bien informada y para una comunicación efectiva, tanto a nivel interno

como a nivel externo.


proceso de generación de informes del servicio son:



servicios.

₀ Los acuerdos de nivel de servicio, que definen los

parámetros a cumplir en relación a cada servicio TI prestado.

₀ La propia UNE-ISO/IEC 20000-1:2011, que en su cláusula



pueden resumir en:

₀ Definir las características de cada informe, identificando

para cada destinatario tanto los aspectos que va a contener

el informe como las condiciones en las que se va a generar.


₀ Monitorear y supervisar los resultados de los servicios,

recabando toda la información necesaria.

₀ Generar los informes en las condiciones establecidas

(propósito, destinatarios, periodicidad, etc.).

₀ Remitir los informes a los destinatarios apropiados en

cada caso.

₀ Modificar las características de los informes de acuerdo

a las solicitudes recibidas en cada caso.


son las siguientes:

₀ Características de los servicios ofrecidos (aspectos a

medir y objetivos en cada caso).

₀ Necesidades de medición en torno a los servicios

ofrecidos.

₀ Resultados de los servicios ofrecidos.

₀ Las órdenes de cambio respecto a los informes.


salidas de este proceso son sencillamente, las siguientes:

₀ Informes del servicio.

₀ Solicitudes de cambio para los informes.


responsable del proceso de generación de informes debe poseer

capacidad analítica y tener una visión clara de las características de

los servicios prestados y la percepción de los usuarios respecto a


ellas.

• Recursos: el presente proceso requiere de la participación de

perfiles técnicos, capaces de monitorizar la información relativa a los

resultados de los servicios y procesarla para obtener la información

relevante.

• Seguimiento y control: el principal indicador de este proceso

es la tasa de cambios que sufren los informes, ya que permite

identificar el grado de idoneidad de los informes generados. También

se puede utilizar como indicador de eficiencia del proceso el nivel de

automatización de los informes, y es posible hacer uso del contenido

de los propios informes como indicadores específicos de los procesos,

a título individual o de forma agregada.

• Registros: el principal registro que genera este proceso son los

propios informes, que en sí mismos demuestran que se lleva a cabo

un seguimiento de los servicios. En este caso también podemos

identificar registros complementarios, como son las solicitudes de

modificaciones en los informes.

• Herramientas: para desarrollar el proceso de generación de

informes del servicio se requieren, principalmente, las siguientes

herramientas:

₀ Plantillas para los informes, que deberán contemplar al

menos los siguientes aspectos:

- Condicionantes generales del informe: identificador,

propósito, destinatarios, origen de los datos, periodicidad

de generación, etc.

- Rendimiento del servicio frente a objetivos de nivel

de servicio.


- Incumplimientos del nivel de servicio y eventos

relacionados.

- Características de carga de trabajo en relación al

servicio.

- Rendimiento tras la ocurrencia de eventos

significativos.

- Tendencias en el servicio.

- Satisfacción en relación al servicio.

₀ Herramientas de monitoreo, que van a proporcionar la

información relativa a los resultados del servicio.


Estas herramientas, indicadas en la figura 6.2, no tienen por qué ser de uso exclusivo

en este proceso, y del mismo modo la información implicada en el proceso podrá

ser utilizada en otros si así se requiere.


Figura 6.2 · Procesos TI – Informes del Servicio

6.2.2.1. Generación de informes del servicio.

Ficha resumen

Objetivos

• Con el fin de obtener una buena comunicación con los clientes y

una acertada toma de decisiones, generar informes exactos, honestos

y en plazo acordado.

REGISTROS

- Informes.

- Cambios en los informes.

CONDICIONANTES



- Acuerdos de Nivel de Servicio.

HERRAMIENTAS

- Plantillas de informes.


- Herramientas de monitorización.


- Tasa de cambios en los informes.

- Contenido de los propios informes.

ENTRADAS

- Características y objetivos de

los servicios.

- Necesidades de medición.


- Cambios.

SALIDAS

- Informes.

- RFC.


Puntos clave

• Los informes del servicio deben estar descritos junto con su

identificador, propósito, audiencia y detalles del origen de los datos.

• Se deben incluir todos los requisitos exigidos por la norma.

• Se deben documentar los informes a todas las partes implicadas.

• Los informes se utilizarán para la mejora del servicio en base a las

acciones correctivas y mejoras a implantar.

• Realizar las actividades necesarias para garantizar que el ciclo

de mejora continua de la generación de informes del servicio, sea

efectivo.


• Elaboración de informes en los que se describa la estructura

mínima de cada informe de servicio.

• Realizar informes de rendimiento del servicio.

• Establecer acciones correctivas y preventivas, y un plan de mejora

continua.

• Proceso de gestión de la mejora continua.

• Elaboración de informes sobre indicadores de los procesos antes

y después de la implantación de mejoras.

• Enviar comunicaciones a las partes implicadas mediante mails,

comunicado, etc.


• Se deben incluir actas de revisión de planes, políticas y

procedimientos de la gestión del servicio.


• Comprobar que los informes de servicio incluyen un mínimo de

prestaciones e informes.

• Justificar el estado y la evolución de las acciones correctivas y

preventivas.

• Se recomienda aplicar criterio y experiencia en vez de seguir al

pie de la letra las recomendaciones.

6.2.3. Gestión de la continuidad y

disponibilidad del servicio

El proceso de gestión de la continuidad y disponibilidad es un proceso clave para la

satisfacción de los clientes, ya que trata de asegurar que los servicios se prestan de

forma continua y no sufren interrupciones. Gracias a este proceso se asegura que la

organización está preparada para contrarrestar los eventos negativos que puedan

afectar a la disponibilidad o continuidad de los servicios TI prestados. Para ello, esta

actividad se articula en forma de proceso, identificándose los siguientes aspectos:

• Objetivo: el objetivo del proceso es asegurar la satisfacción de

los clientes, acordando con ellos compromisos de continuidad y

disponibilidad del servicio, certificando que no sufran interrupciones y

que pueden cumplirse bajo todas las circunstancias.



proceso de gestión de la continuidad y la disponibilidad son:



servicios.





₀ Las obligaciones legales, regulatorias y contractuales

a las que esté sujeta la organización en relación a la

disponibilidad y/o continuidad de cada uno de los servicios

TI contemplados.

₀ Los planes de negocio y las evaluaciones de riesgo

realizadas.

• Actividades: Las actividades principales de este proceso se

pueden resumir en:

₀ Identificar los requisitos de disponibilidad y continuidad.

₀ Desarrollar planes de disponibilidad y continuidad de los

servicios.

₀ Medir la disponibilidad de los servicios.

₀ Probar los planes de disponibilidad y continuidad tras

cambios significativos.

₀ Investigar las causas de indisponibilidades no planificadas

y desarrollar las acciones necesarias.


₀ Probar los planes de continuidad y desarrollar las

acciones necesarias para las pruebas fallidas.

₀ Mantener, revisar y actualizar los planes, al menos

anualmente.


son las siguientes:

₀ Necesidades de continuidad y disponibilidad de los

servicios ofrecidos.

₀ Características de los servicios ofrecidos.


₀ Resultados de las pruebas desarrolladas.

₀ Las órdenes de cambio respecto a los planes



₀ Planes de disponibilidad.

₀ Planes de continuidad.

₀ Planes de pruebas.

₀ Solicitudes de cambio para los planes.

₀ Acciones correctivas.

₀ Aportaciones al Plan de Mejora del Servicio.


responsable del proceso de gestión de la continuidad y disponibilidad

del servicio debe poseer un perfil de analista de sistemas y amplias


capacidades de planificación, con el fin de garantizar la viabilidad de

los planes diseñados y la adecuada coordinación de las pruebas que

se lleven a cabo.

• Recursos: el presente proceso requiere la participación de

perfiles técnicos, con capacidad para diseñar y probar soluciones de

disponibilidad y/o continuidad, así como con capacidad para analizar

los resultados de las actividades llevadas a cabo.

• Seguimiento y control: el principal indicador de este proceso es

la tasa de pruebas con éxito llevadas a cabo, ya que permite identificar

el grado de idoneidad de los planes diseñados. También se pueden

utilizar otros indicadores auxiliares, como la propia disponibilidad de

los servicios, la tasa de cambios en los planes desarrollados o la tasa

de acciones diseñadas, cuyo resultado es satisfactorio en la siguiente

prueba. Todo ello con el fin de disponer de otro tipo de parámetros

sobre la efectividad del proceso y de las soluciones diseñadas.

• Registros: los principales registros que genera este proceso son

tanto los propios planes de disponibilidad y continuidad diseñados,

que garantizan que se planifican dichos aspectos, como los resultados

de las pruebas llevadas a cabo, que permiten verificar su revisión.

También las acciones diseñadas que se pueden traducir tanto en

acciones correctivas como en aportaciones al Plan de Mejora del

Servicio, sirven para verificar la mejora continua de las soluciones

de disponibilidad y continuidad. En este caso también podemos

identificar registros complementarios, como son los propios logs de

las herramientas de monitoreo de la disponibilidad o las solicitudes de

modificación de los planes, entre otros.

• Herramientas: para desarrollar el proceso de generación de

informes del servicio se requieren, principalmente, las siguientes


herramientas:

₀ Plantillas para los planes de disponibilidad y continuidad,

que deberán contemplar al menos los siguientes aspectos:

- Condicionantes específicos: niveles de servicio,

planes de negocio, evaluaciones del riesgo, etc.

- Requisitos a cumplir: disponibilidad extremo a

extremo, tiempos de respuesta, derechos de acceso,

etc.

- Soluciones de disponibilidad y continuidad

propuestas.

- Vuelta a la normalidad (sólo plan de continuidad).

₀ Herramientas de monitoreo de la disponibilidad de los

servicios.

₀ Plantillas para los planes de pruebas.

₀ Plantillas para la proposición de contenido al Plan de


₀ Plantillas para la generación de acciones correctivas.


Además de las plantillas citadas en la figura 6.3, también será necesario contar con

un programa, si las plantillas para los planes de pruebas no lo incluyen, en el que

se estipule el alcance y periodicidad de las pruebas a ejecutar, así como las fechas

previstas para su realización.


Figura 6.3 · Procesos TI – Continuidad y disponibilidad

6.2.3.1. Gestión de la continuidad y

disponibilidad del servicio. Ficha resumen

Objetivos

• Asegurar que los compromisos, de continuidad y disponibilidad,

acordados con los clientes pueden cumplirse bajo todas las

circunstancias.

GESTIÓN DE LA CONTINUIDAD Y

DISPONIBILIDAD DEL SERVICIO

Asegurar la disponibilidad y continuidad acordada

- Desarrollar planes de disponibilidad y continuidad.

- Realizar mediciones.

- Realizar pruebas de disponibilidad y continuidad.

- Desarrollar acciones para las pruebas fallidas.

- Mantener, revisar y actualizar los planes.

CONDICIONANTES



- Acuerdos de Nivel de Servicio.


- Planes de negocio y riesgos.

HERRAMIENTAS

- Plantillas para los planes de disponibilidad

y continuidad.


- Plantillas para planes de prueba.

- Plantillas para Plan de Mejora.

- Plantilla acciones correctivas.


- Pruebas con éxito.

- Disponibilidad de los servicios.

- Cambios de los planes.

- Acciones existosas.

ENTRADAS

- Necesidades de disponibilidad y continuidad. - Resultados y características delos servicios. - Resultados de las pruebas. - Solicitudes de cambio.

SALIDAS- Planes de disponibilidad y continuidad. - Planes de prueba. - RFC. - Inputs para Plan de mejoradel servicio. Acciones correctivas.


• Proceso de mejora continua aplicado a todos los procesos y

requisitos de la norma.

Puntos clave

• Identificar y hacer corresponder con los planes del negocio, los

SLAs y las evaluaciones de riesgo los requisitos de continuidad y

disponibilidad del servicio.

• Se deben identificar los derechos de acceso, los tiempos de

respuesta y la disponibilidad de los componentes del sistema.

• Asegurar que los planes de disponibilidad y continuidad se

desarrollan y revisan al menos una vez al año, siempre que haya

cambios requeridos por el negocio.

• Se debe evaluar el impacto de cualquier cambio, realizándose

pruebas periódicas después de cada cambio importante en la

infraestructura del negocio.

• Disponer de informes y registros sobre la Disponibilidad,

supervisando las causas de indisponibilidad mediante acciones

correctivas adecuadas.

• Realizar un análisis para predecir los eventos potenciales que

permitan llevar a cabo las medidas preventivas oportunas.

• El plan de continuidad del servicio debe incluir una actividad que

cubra la vuelta a la normalidad en caso necesario.

• Se deben realizar y registrar pruebas del plan de continuidad del

servicio según las necesidades del negocio, elaborando planes de


acción para las pruebas fallidas.

• Realizar todas las actividades necesarias para asegurar que el

plan de mejora continua sea efectivo.


• Es necesario cumplir con unos requisitos mínimos de disponibilidad

y continuidad del negocio, SLAs, planes de negocio, RFCs, actas de

revisión y evaluación de riesgos del servicio.

• Se deben realizar informes de evaluación de impacto, de post-

implantación, de pruebas, RFCs y de revisión periódica del servicio.

• Realizar registros del proceso de disponibilidad y continuidad, de

no-conformidades y de acciones preventivas.

• Contar con una prueba de accesibilidad a la documentación de

los planes de continuidad del servicio, la lista de contactos y la base

de datos de gestión de la configuración.

• Establecer planes de negocio, de pruebas fallidas y de

disponibilidad.

• Disponer de un proceso de gestión de la mejora continua.

• Disponer de informes de indicadores de los procesos antes y

después de la implantación de las mejoras.

• Comunicaciones vía mail, comunicados… a las partes implicadas.

• Es necesario realizar actas de revisión de planes, políticas y

procedimiento de la gestión del servicio.



• Planes de disponibilidad y de continuidad.

• Comprobar la trazabilidad de no-conformidades, de acciones

correctivas y preventivas, de cambios y continuidad de la disponibilidad.

• Asegurar que existe una definición de cambios importantes.

• Necesario contar con al menos una copia de todos los documentos

relativos a la continuidad del servicio.

• Cada copia deberá estar almacenada y mantenida en una

localización remota segura, junto al equipamiento necesario para

permitir su uso.

• Asegurarse que el plan de continuidad contiene la actividad de

vuelta a la normalidad.

• Se recomienda aplicar criterio y experiencia en vez de aplicar al


6.2.4. Presupuestar y contabilizar el servicio

El proceso de elaboración de presupuestos y contabilización de servicios TI es uno

de los procesos clave dentro de la gestión de servicios TI, ya que es el encargado de

mantener controlados los costos de los servicios prestados. Gracias a este proceso

se asegura que la organización está preparada para asumir los costos y gastos

asociados a la provisión de servicios. Para ello, esta actividad se articula en forma

de proceso, identificándose los siguientes aspectos:

• Objetivo: el objetivo del proceso es mantener controlados los


presupuestos y la contabilidad de los costos de la provisión del

servicio.


proceso de elaboración de presupuestos y contabilización de servicios

TI son:



servicios.

₀ Las prácticas financieras y contables de la organización.




las que esté sujeta la organización en relación a la contabilidad

asociada a los servicios TI contemplados.


pueden resumir en:

₀ Definir las normas de elaboración de presupuestos y

contabilización de los servicios.

₀ Desarrollar los presupuestos.

₀ Contabilizar los costos.

₀ Contrastar costos y presupuestos.

₀ Mantener, revisar y actualizar costes y presupuestos.


son las siguientes:


₀ Necesidades de contabilización de los servicios.


₀ Costos de los servicios ofrecidos.

₀ Las órdenes de cambio respecto a los presupuestos y la

contabilidad de los servicios.



₀ Presupuestos.

₀ Contabilidad.

₀ Solicitudes de cambio.

• Responsable: dadas las consideraciones anteriores, el responsable

del proceso de elaboración de presupuestos y contabilización de los

servicios, debe poseer un perfil financiero con la suficiente capacidad

técnica como para modelar los costos asociados a los servicios TI.

• Recursos: el presente proceso requiere la participación de perfiles

financieros y contables, con capacidad para analizar los costos de los

servicios TI e identificar desviaciones presupuestarias.

• Seguimiento y control: los principales indicadores de este

proceso son el grado de desviación de los presupuestos frente a

los costos contabilizados, ya que permite identificar la eficacia de

los presupuestos y el nivel de certidumbre que se puede otorgar a

dichas estimaciones, y los propios costos de los servicios, ya que son

la principal referencia para evaluar su eficiencia. Además, podemos

identificar otros indicadores auxiliares, como la tasa de cambios en los

presupuestos o en la contabilización de costos, que permitan ofrecer


una imagen aproximada sobre el nivel de madurez del proceso.

• Registros: los principales registros que genera este proceso

son tanto los propios presupuestos como los registros contables

de los costos asociados a los servicios. También las solicitudes de

modificación son registros generados por el proceso.

• Herramientas: para desarrollar el proceso de elaboración de

presupuestos y contabilización de los servicios TI se requieren,

principalmente, las siguientes herramientas:

₀ Criterios de elaboración de presupuestos y contabilización

de los servicios, que contemplen:

- Los costos directos (fungibles).

- Los activos tecnológicos.

- Los recursos compartidos.

- Los gastos generales.

- Los servicios recibidos desde el exterior.

- Las personas.

- Los seguros.

- Las licencias.

- La repercusión de costos indirectos.

- El control y autorización financieros.

₀ Plantillas para los presupuestos.

₀ Herramientas de contabilidad.



Además de las herramientas citadas en la figura 6.4, en este punto será necesario

tener en cuenta el resto de herramientas asociadas a las funciones financieras y

contables de la organización, siempre que dichas herramientas puedan ser utilizadas

para facilitar las actividades contempladas por el proceso.

Figura 6.4 · Procesos TI – Presupuestos y contabilidad

REGISTROS

- Presupuestos.

- Registros contables.

- Solicitudes de cambios.

CONDICIONANTES



- Prácticas contables.


HERRAMIENTAS

- Criterios para presupuestar y contabilizar.

- Plantilla de presupuestos.

- Herramientas contables.



- Desviación de costes vs. presupuestos.

- Costes contabilizados.

- Estadísticas de cambios.

SALIDAS- Presupuestos.

- Contabilidad.

- RFC.


6.2.4.1. Presupuestar y contabilizar el servicio.

Ficha resumen

Objetivos

• Presupuestar y contabilizar los costos de la provisión del servicio.



Puntos clave

• Debe existir una política de elaboración de presupuestos y

contabilidad en la que las prácticas contables de TI estén establecidas

y alineadas con las prácticas de la organización.

• Contar con una política definida que indique el tipo y el reparto de

costos a tener en cuenta y que defina los enlaces con la gestión del

nivel de servicio.

• Debe existir un documento definido y delimitado en el tiempo, que

esté alineado con las prácticas contables y con las necesidades del

negocio, para producir periódicamente informes de control.

• Establecer una interfaz definida entre la gestión de los presupuestos

y la gestión del cambio, con el objeto de que se monitoricen los costos

derivados de los cambios implementados.

• Realizar las actividades necesarias y exigidas por la norma para

asegurar un ciclo de mejora continua efectivo.



• Establecer políticas de presupuestos, contabilidad y de gestión

presupuestaria de la organización.

• Contar con documentación del proceso y presupuestos.

• Se deben realizar informes del proceso, de la gestión del cambio

y configuración, de informes de los procesos e informes periódicos

de seguimiento.

• Establecer una base de datos de gestión de contabilidad y

presupuestos.

• Es necesario disponer de una CMDB (Configuration Management

Data Base) y/o inventarios.

• Se deben realizar especificaciones del servicio.

• Aprobaciones del departamento financiero.


• Disponer de informes de indicadores de los procesos antes y

después de la implantación de las mejoras.

• Comunicaciones vía e-mail o comunicados a las partes implicadas.




• La política del proceso puede hacer referencia a la política


financiera global de la organización.

• Se debe demostrar la alineación de todas las políticas mediante

interfaces definidos.

• Se deben comprobar todos los cambios incluso los iniciados por

las áreas tecnológicas.

• Será necesario comprobar la existencia de un apartado contable

en las RFCs.



6.2.5. Gestión de la capacidad del servicio

El proceso de gestión de la capacidad es un proceso de gran importancia para el

correcto dimensionamiento de los servicios, ya que trata de asegurar no sólo que

los servicios sean capaces de atender las demandas crecientes de clientes y/o

usuarios, sino también que la organización sea capaz de ofrecer un mismo servicio a

más clientes sin que se produzcan problemas por dimensionamiento. Para ello, esta


• Objetivo: el objetivo del proceso es certificar que el proveedor

del servicio disponga del volumen suficiente para cubrir la demanda

pactada, actual y futura, de las necesidades del cliente.


proceso de gestión de la capacidad son:




servicios.






las que esté sujeta la organización en relación a la capacidad

de los servicios TI contemplados.


pueden resumir en:

₀ Identificar los requisitos de capacidad.

₀ Desarrollar el plan de capacidad.

₀ Medir la capacidad de los servicios.

₀ Mantener, revisar y actualizar el plan de capacidad.

₀ Proponer mejoras para la capacidad de los servicios.


son las siguientes:

₀ Necesidades de capacidad de los servicios ofrecidos.



₀ Las órdenes de cambio respecto al plan.



salidas de este proceso son, sencillamente, las siguientes:

₀ Plan de capacidad.

₀ Solicitudes de cambio para el plan.



responsable del proceso de gestión de la capacidad debe poseer un

perfil de analista de sistemas y amplias capacidades de planificación,

con el fin de garantizar la viabilidad del plan diseñado.


perfiles técnicos, con aptitudes para diseñar y monitorizar soluciones

de gestión de la capacidad y analizar los resultados de las actividades

llevadas a cabo.


proceso son, la carga media de los servicios, que permite identificar

el nivel de capacidad de cada servicio, y la tasa de cambios de los

planes de capacidad, que proporciona información sobre la previsión

de necesidades de capacidad. También se puede utilizar como

indicador la tasa de aportaciones al Plan de Mejora del Servicio,

con el fin de disponer de una medida del grado de pro-actividad y

optimización en torno a los servicios prestados.


tanto el propio plan de capacidad como las medidas realizadas de

la capacidad de los servicios. También los cambios realizados o las

aportaciones al Plan de Mejora del Servicio sirven para verificar la

mejora continua de la capacidad de los servicios.

• Herramientas: para desarrollar el proceso de gestión de la


capacidad se requieren, principalmente, las siguientes herramientas:

₀ Plantillas para el plan de capacidad, que deberá

contemplar al menos los siguientes aspectos:

- Requisitos de capacidad y rendimiento actuales y

previstos.

- Identificación de plazos, umbrales y costos para

las ampliaciones de capacidad del servicio.

- Evaluación de los efectos sobre la capacidad de

los cambios previstos.

- La previsión del impacto que puede tener sobre la

capacidad los cambios del entorno.

- Los datos y los procesos para poder realizar análisis

predictivos de capacidad.

₀ Herramientas de monitoreo de la capacidad de los

servicios.




El proceso de gestión de la capacidad se indica detalladamente en la figura 6.5 con

sus herramientas, registros, etc.


Figura 6.5 · Procesos TI - Capacidad

6.2.5.1. Gestión de la capacidad del servicio.

Ficha resumen

Objetivos

• Asegurar que el proveedor del servicio tiene, en todo momento,

la capacidad suficiente para cubrir la demanda acordada, actual y

futura, de las necesidades del negocio del cliente.

REGISTROS

- Planes de capacidad.

- Solicitudes de cambio.

- Propuestas.

CONDICIONANTES


- Política de servicios TI.

- Acuerdos de nivel de servicio.


HERRAMIENTAS

- Plantillas para plan de capacidad.


- Plantillas para plan de mejora.



- Mediciones de los servicios.

- Tasa de cambios en los planes.

ENTRADAS

- Necesidades de capacidad.

- Características de los servicios.

- Cambios.


SALIDAS- Planes de capacidad.

- RFC.

- Inputs para mejora del

servicio.




Puntos clave

• Debe existir un plan de capacidad que incluya todos los requisitos

a cubrir por las necesidades actuales y futuras del negocio del cliente.

• Es necesario contar con un plan de capacidad que produzca

informes periódicos que se comparen con los requisitos del negocio,

con objeto de planificar las evoluciones necesarias a medio/largo

plazo.

• Establecer métodos, procedimientos y técnicas para el análisis de

la capacidad del servicio, de forma que se ajuste el rendimiento a las

necesidades del negocio.

• Realizar las actividades necesarias y exigidas por la norma para

asegurar que el ciclo de mejora continua sea efectivo en la gestión de

la capacidad.


• Establecer un plan de capacidad y un plan de negocio y/o

estratégico.


• Disponer de informes periódicos del proceso, de la gestión de la

capacidad e informes de indicadores de los procesos antes y después

de la implantación.

• Comunicaciones vía e-mail y comunicados a las partes implicadas.





• Es necesario comprobar la existencia de datos sobre el rendimiento

real de la infraestructura y excepciones de los SLAs, comprobando

que se comparan datos reales.

• Verificar que el plan de capacidad examina las evoluciones

necesarias para mejorar el servicio y el negocio al menos a un año

vista.

• Comprobar informes de la gestión del incidente, gestión del

problema, gestión de la disponibilidad y la gestión del nivel de servicio.

• Los informes deberán comunicar sobre el rendimiento esperado,

obtenido y los incidentes que afectan o pueden afectar la capacidad.



6.2.6. Gestión de la seguridad de la

información del servicio

El proceso de gestión de la seguridad de la información es un proceso clave para

la organización, ya que se pretende garantizar que la información envuelta en los

servicios está adecuadamente protegida. Gracias a este proceso se asegura que

los riesgos de seguridad de la información identificados en torno a los servicios

TI provistos están adecuadamente gestionados, y que se han implementado los


controles de seguridad necesarios en cada caso. Para ello, esta actividad se articula

en forma de proceso, identificándose los siguientes aspectos:

• Objetivo: el objetivo del proceso es gestionar la seguridad

de la información de manera efectiva, de modo que los riesgos

de las actividades del servicio estén correctamente controlados y

gestionados.


proceso de gestión de la seguridad de la información son:



servicios y las políticas específicas definidas en materia de

seguridad de la información.






las que esté sujeta la organización en relación a la seguridad

de los servicios TI contemplados.


pueden resumir en:

₀ Identificar los requisitos de seguridad.

₀ Desarrollar el análisis de riesgos de seguridad de la

información.

₀ Gestionar los riesgos no aceptables.


₀ Implementar y documentar los controles de seguridad

necesarios.

₀ Mantener y revisar la seguridad, proponiendo mejoras de

seguridad al Plan de Mejora del Servicio.

₀ Gestionar los incidentes de seguridad que se produzcan,

resolviéndolos mediante acciones preventivas y/o correctivas.


son las siguientes:

₀ Necesidades de seguridad de los servicios ofrecidos.


₀ Resultados de los controles de seguridad implementados.

₀ Incidentes de seguridad detectados.

₀ Las órdenes de cambio respecto a la seguridad

implementada.



₀ Análisis de riesgos.

₀ Controles de seguridad.

₀ Solicitudes de cambio en relación a la seguridad.

₀ Acciones correctivas y preventivas.



responsable del proceso de gestión de la seguridad de la información


debe poseer un perfil especializado en seguridad de la información,

dotes de gestión y capacidad técnica para desarrollar las actividades

identificadas.

• Recursos: el presente proceso requiere la participación de personal

con conocimientos tanto de gestión como de seguridad técnica, con

capacidad para definir e implementar controles de seguridad.


proceso son, por un lado, los resultados del análisis de riesgos (tanto

en relación a los riesgos iniciales como a los residuales), que nos va

a proporcionar información directa sobre el nivel de seguridad de los

servicios prestados, y por otro los relativos a la medida de los incidentes

de seguridad, que van a reflejar el grado de estabilidad y control que

tiene la organización sobre la seguridad implementada. También se

pueden utilizar como indicadores la tasa de aportaciones al Plan de

Mejora del Servicio o las tasas de cambios o acciones preventivas o

correctivas definidas, con el fin de disponer de una medida del grado

de mejora de la seguridad que desarrolla la organización en torno a

los servicios prestados.


tanto los resultados del propio análisis de riesgos como los incidentes

de seguridad que se detectan. Otro de los registros fundamentales del

proceso son los derivados de la implementación y documentación de

los controles de seguridad definidos, y también se pueden entender

como registros secundarios los que pueden generar los propios

controles. Como en el resto de los procesos, las salidas del proceso

relacionadas con acciones, cambios y mejoras también serán registros

que den fe del correcto funcionamiento del proceso.

• Herramientas: para desarrollar el proceso de gestión de la


seguridad de la información se requieren, principalmente, las siguientes

herramientas:

₀ Metodología de análisis y gestión de riesgos.

₀ Plantillas o herramientas de análisis de riesgos.

₀ Plantillas o herramientas de tratamiento de riesgos.

₀ Procedimiento de gestión de incidentes de seguridad.

₀ Registro de incidentes de seguridad.




₀ Plantillas para la generación de acciones correctivas o

preventivas.

Además de las herramientas señaladas en la figura 6.6, también será necesario contar

con herramientas asociadas a los propios controles de seguridad implementados, y

que en función de su tipología (técnicos, procedimentales, normativos, contractuales,

etc.) podrán ser de distinto tipo.


Figura 6.6 · Procesos TI - Seguridad

6.2.6.1. Gestión de la seguridad de la

información del servicio. Ficha resumen

Objetivos

• Gestionar la seguridad de la información de manera efectiva para

todas las actividades del servicio.

• Las acciones de mejora identificadas durante el proceso se deben

registrar proporcionando entradas al plan de mejora.

GESTIÓN DE LA SEGURIDAD

Gestionar la seguridad de la información de manera

efectiva para todas las actividades del servicio

- Analizar riesgos.

- Gestionar riesgos.

- Implementar controles.

- Mantener y revisar la seguridad.

- Gestionar incidentes de seguridad.

CONDICIONANTES





HERRAMIENTAS

- Metodología de gestión de riesgos.

- Plantillas/herramientas de gestión de

riesgos.

- Procedimiento de gestión de incidentes de

seguridad.

- Plantillas para acciones, plan de mejora y

RFC.


- Resultados del análisis de riesgos.

- Incidentes de seguridad.

- Estadísticas de mejoras del servicio.

ENTRADAS

- Requisitos de seguridad.


- Resultados de los controles.

- Incidentes de seguridad.

- Cambios.

SALIDAS- Análisis de riesgos. - Controles. - RFC. - Inputs para plan de mejora del servicio.- Acciones correctivas/preventivas.


Puntos clave

• Debe existir una política de seguridad documentada y comunicada,

para lo cual se puede considerar la referencia establecida en la

norma UNE-ISO/IEC 27001 Tecnología de la información. Técnicas

de seguridad. Sistemas de Gestión de la Seguridad de la Información

(SGSI). Requisitos. y que contemple y describa los riesgos y controles

necesarios vinculados a la seguridad de los sistemas de información.

• Establecer un análisis y un plan para la gestión del riesgo de los

activos asociados al servicio.

• Evaluación del riesgo en el servicio para cada uno de los cambios

propuestos en la gestión del cambio.

• Se deben formalizar los accesos de terceras partes a los sistemas

de información y a los servicios, teniendo en cuenta la evaluación de

riesgos.

• Se debe comunicar, gestionar, registrar, cuantificar y monitorizar

los incidentes de seguridad de acuerdo al proceso de gestión del

incidente.

• Efectuar, registrar y gestionar propuestas de mejora tanto en los

mecanismos de seguridad como en el propio proceso.


• Establecer una política de gestión de seguridad.

• Se debe realizar un análisis y un plan de la gestión de riesgos.

• Disponer de informes de evaluación de riesgos, de controles


periódicos, de los incidentes de seguridad y de las mejoras propuestas.

• Documentación del proceso y RFCs.

• UCs, contratos con clientes y acuerdos de confidencialidad con

terceros.

• Establecer registros de incidentes de seguridad y de mejoras

propuestas por la gestión de seguridad.

• Plan de mejora continua.


• Valorar la evaluación respecto al tipo de cambio, pre-autorizado o

importante.

• Justificar los requisitos de gestión del cambio.

• Verificar mención expresa la confidencialidad de la información.

• Comprobar el ciclo de mejora continua de principio a fin.

6.3. Procesos de relación

6.3.1. Gestión de relaciones con el negocio

El proceso de gestión de relaciones con el negocio es el encargado de gestionar

la interacción con los clientes de los servicios, de forma que se puedan diseñar los

servicios TI proporcionados para que sean capaces de satisfacer las necesidades

de negocio de los clientes. Para ello, esta actividad se articula en forma de proceso,


identificándose los siguientes aspectos:

• Objetivo: el objetivo del proceso es mantener una buena relación

entre el proveedor del servicio y el cliente, basada en el entendimiento

de este último y de sus necesidades de negocio.


proceso de gestión de relaciones con el negocio son:



servicios.




las que esté sujeta la organización en relación a los servicios

TI contemplados.


pueden resumir en:

₀ Identificar los clientes de los servicios.

₀ Identificar los requisitos y necesidades de los clientes.

₀ Proponer especificaciones para los servicios en base a

lo anterior.

₀ Revisar periódicamente los requisitos y necesidades.

₀ Proponer cambios en los servicios prestados.

₀ Gestionar las reclamaciones de los clientes.

₀ Gestionar la satisfacción de los clientes.



son las siguientes:

₀ Necesidades y requisitos de los clientes respecto de los

servicios.

₀ Reclamaciones de los clientes.

₀ Satisfacción de los clientes.

₀ Las órdenes de cambio respecto al proceso.



₀ Especificaciones para los servicios prestados.

₀ Solicitudes de cambio en relación a los servicios

prestados.

₀ Encuestas de satisfacción respecto de los servicios.

₀ Informes sobre las reclamaciones.

₀ Acciones correctivas y preventivas.



responsable del proceso de gestión de relaciones con el negocio

debe tener amplias dotes de comunicación, capacidad para entender

el negocio y los deseos y necesidades de los clientes e inteligencia

emocional para saber gestionar las reclamaciones y la satisfacción de

los clientes.


personal con distintos tipos de perfiles:


₀ Perfil comercial, capaz de relacionarse con el cliente y

entender sus requisitos y necesidades.

₀ Perfil técnico analista, con capacidad para traducir las

necesidades de los clientes en especificaciones para los

servicios TI.

₀ Perfil administrativo, encargado de la gestión de las

encuestas de satisfacción.

Además, estos perfiles deberán poseer habilidades de gestión y

capacidad para resolver de forma efectiva las reclamaciones de los

clientes.

• Seguimiento y control: los principales indicadores de este proceso

son, por un lado, los resultados de las encuestas de satisfacción, que

permiten obtener una imagen aproximada de la satisfacción general

de los clientes, y por otro los resultados de las reclamaciones, que

permiten identificar aspectos conflictivos en las relaciones entre la

organización y sus clientes. Otros indicadores útiles para este proceso

pueden ser la tasa de aportaciones al Plan de Mejora del Servicio

o las tasas de cambios, que pueden ofrecer una imagen del grado

de adaptación de los servicios prestados a las necesidades de los

clientes.

• Registros: el principal registro de este proceso lo constituyen las

actas de reunión con los clientes, en las que deben quedar reflejadas

las necesidades e inquietudes de estos respecto de los servicios

prestados. El listado de clientes por servicio también es otro de los

registros importantes del proceso. Otros de los registros que debemos

tener en cuenta son los resultados de las encuestas de satisfacción y

las reclamaciones gestionadas. Por último, los registros de cambios,

las acciones, las mejoras y especificaciones para servicios generadas


por el proceso también serán registros que van a permitir verificar la

operatividad del proceso.

• Herramientas: para desarrollar el proceso de gestión de

relaciones con el negocio se requieren, principalmente, las siguientes

herramientas:

₀ Programa de reuniones con los clientes, de ciclo máximo

anual, que contemple los siguientes aspectos:

- Revisión del servicio.

- Cambios de cualquier tipo.

- Rendimientos.

- Cumplimientos.

- Planes de acción.

- Etc.

₀ Plantilla de acta de reunión.

₀ Procedimiento de gestión de reclamaciones, que al

menos tenga en cuenta los siguientes aspectos:

- Registro de la reclamación.

- Investigación.

- Escalado.

- Acciones para su tratamiento.

- Reporte al cliente.

- Cierre.


₀ Plantilla de registro y/o informe de reclamación.

₀ Procedimiento de gestión de la satisfacción, que

contemple al menos lo siguiente:

- Medición periódica de la satisfacción.

- Desarrollo y registro de acciones de mejora.

- Utilización de las acciones como entradas al Plan

de Mejora del Servicio.

₀ Plantilla de encuesta de satisfacción.




₀ Plantillas para la generación de acciones correctivas o

preventivas.

Además de las herramientas señaladas en la figura 6.7, también podrán figurar en

este ámbito herramientas de gestión de las relaciones con los clientes como un

CRM (Customer Relationship Management) que pueda disponer la organización

para llevar a cabo este tipo de actividades.


Figura 6.7 · Procesos TI – Relación

6.3.3.1. Gestión de relaciones con el negocio.

Ficha resumen

Objetivos

• Implantar y mantener una buena relación entre el cliente y el

proveedor del servicio, apoyándose en el entendimiento del cliente y

en los fundamentos de su negocio.

CONDICIONANTES





HERRAMIENTAS

- Programa de reuniones.

- Plantillas de acta de reunión.

- Procedimiento de reclamaciones.

- Plantillas de reclamaciones.

- Procedimiento de encuestas.

- Plantillas para acciones, plan de mejora y

RFC.


- Encuestas de satisfacción.

- Reclamaciones.

- Estadísticas de mejoras del servicio.

- Tasa de cambios.

ENTRADAS

- Requisitos y necesidades del cliente.

- Cambios.

- Reclamaciones.

- Satisfacción.


Puntos clave

• Se deben identificar y documentar las relaciones con el negocio

de todos los intervinientes y clientes de los servicios.

• Es necesario que se realicen reuniones periódicas entre clientes y

proveedores para la revisión de los contratos y SLAs, documentando

y registrando los resultados de esas reuniones.

• Los cambios realizados a los contratos o SLAs, se deben registrar

y tratar a través del proceso de gestión del cambio, en caso de que

existan.

• Deben existir procesos y procedimientos para el seguimiento de

las evoluciones del negocio y la adaptación de los servicios TI a las

necesidades detectadas.

• Verificar la existencia de un proceso de recepción y registro de

reclamaciones por parte del cliente.

• Debe existir un responsable de las reclamaciones que elimine

cualquier ambigüedad sobre lo que constituye una reclamación y su

gestión.

• Debe existir un proceso de gestión para la satisfacción del cliente

en el que se identifique un responsable, se examine un procedimiento

de medición periódica y la satisfacción del cliente.

• Actuar en consecuencia a la información y comentarios obtenidos.

• Establecer un proceso de investigación para las variaciones

significantes del nivel de satisfacción, utilizando los resultados del


proceso del cliente para realizar propuestas de mejora del servicio.

• Identificar y documentar las relaciones con el negocio, de forma

que se definan todos los intervinientes y clientes de los servicios.


• Se exigen evidencias documentales de la identificación para cada

servicio de los actores principales y clientes, y de nuevas necesidades

del negocio.

• Realizar un procedimiento de revisión de los contratos y SLAs.

• Actas de reunión de revisión y RFCs.

• Procesos y procedimientos de gestión de la demanda, proceso

de recepción y registro de las reclamaciones del cliente y proceso de

seguimiento de la satisfacción del cliente.

• Análisis de la satisfacción mediante informes del resultado obtenido,

comunicándoselo al responsable del servicio correspondiente.

• Propuestas de mejora al plan general de mejora del servicio.


• Se pueden utilizar diversos métodos que sean efectivos, para

analizar la satisfacción del cliente.

• Percibir trazabilidad entre las propuestas de mejora y los resultados

de satisfacción del cliente.


6.3.2. Gestión de suministradores

El proceso de gestión de suministradores es el encargado de asegurar que los

suministros y servicios recibidos se gestionan adecuadamente, así como de que las

actividades externalizadas de cada proceso se realizan de acuerdo a lo establecido

por la organización, de modo que sean capaces de satisfacer en cada momento las

necesidades de la organización para prestar sus propios servicios TI. Para ello, esta


• Objetivo: el objetivo del proceso de gestión de proveedores es

administrar los servicios y suministros recibidos para garantizar la

provisión sin interrupciones y con la calidad apropiada de los propios

servicios.


proceso de gestión de suministradores son:



servicios.



₀ Las obligaciones legales, regulatorias y contractuales

a las que esté sujeta la organización en relación a los

proveedores.

₀ Los acuerdos de nivel de servicio establecidos con los

proveedores.


pueden resumir en:


₀ Regular las relaciones con los suministradores.

₀ Designar un gestor responsable para cada suministrador.

₀ Formalizar las condiciones en las que se reciben los

servicios, mediante el desarrollo de contratos de soporte y la

firma de los correspondientes acuerdos de nivel de servicio.

₀ Verificar el cumplimiento de los niveles de servicio

recibidos e identificar mejoras.

₀ Revisar periódicamente los acuerdos con los proveedores.

₀ Gestionar los desacuerdos contractuales.

₀ Gestionar la finalización o transferencia de los servicios

recibidos por parte de los proveedores.


son las siguientes:

₀ Requisitos y necesidades propios en relación a los

servicios recibidos.

₀ Características de los servicios recibidos.

₀ Resultados de los servicios recibidos.

₀ Órdenes de cambio.

₀ Resultados de las reclamaciones.



₀ Contratos de soporte firmados.

₀ Solicitudes de cambio en relación a los servicios


recibidos.

₀ Reclamaciones respecto de los servicios recibidos.


• Responsable: teniendo en cuenta las consideraciones descritas,

el responsable del proceso de gestión de proveedores debe tener

amplias dotes de negociación con los suministradores, capacidad para

entender el negocio de la organización e inteligencia emocional para

saber gestionar adecuadamente las reclamaciones a los proveedores.


personal con perfil de gestión, encargados de la gestión de cada

proveedor específico, con capacidad de negociación con cada uno

de los suministradores asignados.


proceso son, por una parte, el referente a los resultados de las

reclamaciones a proveedores, que permiten identificar dificultades en

las relaciones entre el proveedor del servicio y los suministradores, y

por otra el correspondiente a los resultados de la revisión de los niveles

de servicio recibidos, que permiten verificar el grado de idoneidad de

los servicios y/o suministros recibidos.

• Registros: el principal registro de este proceso lo constituyen

los contratos de soporte con los proveedores, como la principal

muestra de que se firman y mantienen dichos acuerdos. Otro de los

principales registros del proceso son las actas que reflejen la revisión

de los contratos, y también constituyen registros del proceso los

asociados al resto de las salidas, como son los registros de cambios,

reclamaciones y propuestas de mejora generadas, que van a permitir

verificar la operatividad del proceso.


• Herramientas: para desarrollar el proceso de gestión de

suministradores se requieren, principalmente, las siguientes

herramientas:

₀ Procedimiento de gestión de proveedores, en el que

se especifiquen los aspectos generales a respetar en esta

actividad, como pueden ser:

- La designación de un responsable para cada

proveedor.

- La periodicidad máxima de las revisiones de los

contratos de soporte.

₀ Plantillas de contrato de soporte, que incluya aspectos

como:

- La identificación de los responsables de cada

proveedor.

- La identificación de las características de los

servicios recibidos.

- Las interfaces existentes entre la organización y los

proveedores.

- Los niveles de servicio acordados.

- Los roles y responsabilidades envueltos por ambas

partes en el contrato de soporte.

- La forma de revisar los niveles de servicio recibidos.

₀ Plantillas de reclamación



Mejora del Servicio

₀ Plantillas para las solicitudes de cambio

₀ Plantillas para la revisión de los contratos de soporte, en

caso de que se consideren necesarias.

Además de las herramientas señaladas en la figura 6.8, también podrán figurar

en este ámbito herramientas de monitorización, destinadas a la supervisión de los

servicios recibidos, así como cualquier otra herramienta relacionada con la gestión

automatizada de las relaciones con alguno de los proveedores que pueda disponer

la organización para llevar a cabo este tipo de actividades.

Figura 6.8 · Procesos TI - Suministradores

REGISTROS

- Contratos de soporte con proveedores.

- Actas de reunión, revisión servicio.

- Registros de cambios.

- Reclamaciones.

- Propuestas de mejora.

CONDICIONANTES





HERRAMIENTAS

- Procedimiento de gestión de proveedores.

- Plantillas de contrato de soporte.

- Plantillas de reclamaciones.

- Plantillas de solicitud de cambio.

- Plantillas para la revisión de los contratos

de soporte.


- Resultados de las reclamaciones.

- Revisión niveles de servicio.

ENTRADAS- Requisitos y necesidades en relacióna los servicios recibidos. - Características de los serviciosrecibidos. - Resultados de los servicios recibidos. - Ordenes de cambio. - Resultados de las reclamaciones.


6.3.2.1. Gestión de suministradores. Ficha

resumen

Objetivos

• Gestionar los suministradores de forma que se garantice la

provisión sin interrupciones de servicios de calidad.

• Cualquier cambio que se realice debe estar sujeto al proceso de

gestión del cambio.

Puntos clave

• Debe existir una documentación de gestión de suministradores.

• Para cada suministrador se debe identificar un gestor responsable,

detallar los requisitos, las responsabilidades, el alcance, el nivel de

servicio, los procesos de comunicación, la revisión y los cambios.

• Es necesario que los SLAs junto con los suministradores, definan

las interfaces entre los procesos utilizados para cada parte, de forma

que estén alineados con los SLAs firmados con el negocio.

• Los roles y relaciones entre suministradores principales y

subcontratados deben estar documentados.

• Los suministradores principales tienen que demostrar que cuentan

con procesos para garantizar que los subcontratistas cumplen con

los requisitos contractuales.

• Se debe establecer una revisión periódica del contrato, de forma


que los resultados den lugar a cambios procesados por la gestión del

cambio.

• Se debe contemplar en el proceso el registro y tratamiento de los

desacuerdos contractuales con el suministrador.

• Se debe garantizar la finalización normal y anticipada de un

servicio y la transferencia a un suministrador distinto.

• Es fundamental que se monitorice y revise el rendimiento de los

suministradores frente a los objetivos del nivel de servicio.

• Se deben identificar y proponer acciones de mejora de forma que

se incluyan en el plan general de mejora del servicio.


• Se deben establecer procedimientos de gestión de suministradores,

de gestión de relación con suministradores, de monitorización y

revisión del rendimiento de los suministradores.

• Establecer documentos contractuales, RFCs y OLAs.

• Disponer de un proceso de finalización y/o transferencia de

contratos.

• Establecer informes de revisión y modificación del servicio y

propuestas de mejora del plan general de mejora del servicio.


• Se deben comprobar las fechas para justificar la evolución y

cambios en los acuerdos con suministradores.


• Será necesario analizar la forma en que se tratan los incumplimientos

que no llegan a ser desacuerdos.

6.4. Procesos de resolución

6.4.1. Gestión de incidencias y peticiones del

servicio

Tras la implantación del servicio en el entorno de operación se producirán

inevitablemente situaciones que requieran el soporte del servicio, en este sentido se

establecen dos niveles, uno inicial de gestión de incidencias y peticiones de servicio

y otro adicional de gestión de problemas. En esta fase será el usuario del servicio el

que establece contacto con la organización prestadora para requerir la solución de

los mismos o realizar peticiones de servicio.

• Objetivo: el objetivo de la gestión de incidencias y peticiones de

servicio es restaurar el servicio pactado con el cliente o responder a

peticiones de servicio tan pronto como sea posible.


proceso de gestión de incidencias y peticiones son:



servicios.



₀ El catálogo de servicios para los cuales se establecerá la


gestión de incidencias y peticiones.


pueden resumir en:

₀ Definir un procedimiento para la gestión de incidencias.

₀ Definir un procedimiento para la gestión de peticiones de

servicio.

₀ Mantener informado del progreso de la incidencia o

petición de servicio tanto al cliente como al usuario afectado.

₀ Resolver las incidencias y peticiones de servicio.

₀ Generar problemas.

₀ Generar solicitudes de cambio.


son las siguientes:

₀ Requerimientos del usuario.



₀ Incidencias y peticiones de servicio solucionadas.

₀ Problemas.

₀ RFCs.

• Responsable: el responsable del proceso deberá establecer una

relación directa con gestión de problemas además de con gestión de

cambios.

• Recursos: teniendo en cuenta que el personal que gestiona las


incidencias y peticiones de servicio son la parte más visible del servicio

contratado, estos deberán disponer de habilidades sociales que les

permitan un trato amable con el interlocutor y cierta capacidad técnica

para solventar la necesidad que le plantea el cliente o el usuario del

servicio. Dependerá del ámbito la necesidad de establecer distintos

niveles de atención.

• Seguimiento y control: información que nos ayudará a determinar

el desarrollo correcto del proceso, pueden ser:

₀ Relación entre las llamadas recibidas y llamadas

atendidas.

₀ Tiempos de respuesta, atención y cierre de incidencias.

₀ Incidencias escaladas a un segundo nivel frente a las

totales.

₀ Relación entre incidencias y peticiones de servicio

gestionadas y notificaciones a clientes.

• Registros: podemos obtener, con el fin de evidenciar la realización

del proceso, los siguientes registros:

₀ Control de versiones del procedimiento de gestión de

incidencias y peticiones de servicio.

₀ Registro de notificaciones a los clientes.

₀ Registro de incidencias y peticiones resueltas o no

resueltas.

₀ Registro en la CMDB de las incidencias y peticiones de

servicio.

₀ Evidencia de la apertura de un problema en base a


incidencias.

₀ Evidencia de la solicitud de un cambio.

• Herramientas: consideramos la utilización de los siguientes

elementos de apoyo para el desarrollo del proceso:

₀ CMDB.

₀ Procedimientos para la gestión de incidencias y peticiones

de servicio.

₀ SLAs.

₀ Catálogo de servicios.

El proceso de gestión de incidencias se indica detalladamente en la figura 6.9 con


Figura 6.9 · Procesos TI - Gestión de incidencias y peticiones

CONDICIONANTES

- ISO 20000 cláusula 8.2..



HERRAMIENTAS

- CMDB.

- Procedimientos para la gestión de

incidentes.

- SLA.


ENTRADAS

- Requerimientos del cliente

o usuario.

SALIDAS

- Incidentes solucionados.

- Problemas.

- Solicitudes de cambio RFC.


6.4.1.1. Gestión de incidentes del servicio.

Ficha resumen

Objetivos

• Restaurar el servicio acordado con el negocio tan pronto como

sea posible o responder a peticiones de servicio.

Puntos clave

• Se deben registrar todas las incidencias y peticiones registradas

por cualquier medio, en relación a un proceso establecido y teniendo

en cuenta todos los requisitos expresados por la norma.

• Establecer procedimientos para gestionar el impacto de las

incidencias y peticiones.

• Debe existir un punto único de contacto para la gestión de las

incidencias y peticiones.

• Es fundamental disponer de una herramienta de gestión del

conocimiento con acceso a la base de datos de gestión del problema

y la CMDB.

• Debe existir una comunicación hacia el cliente.

• Garantizar que se contempla el seguimiento de los SLAs acordados

con los clientes.

• Asegurar que los usuarios se mantienen informados durante el

proceso de resolución, incluso dentro de los límites acordados.


• El cliente debe realizar el cierre formal de todas las incidencias,

certificando el restablecimiento del servicio.

• Asegurar que existe un procedimiento específico con un responsable

identificado y con autoridad suficiente para la identificación y gestión

de incidencias graves.

• El proceso de gestión de incidencias graves debe asegurar una

revisión que proporcione información para el plan general de mejora

del servicio.

• Es fundamental tener como objetivo y máxima prioridad el

restablecimiento del servicio.


• Deben existir políticas de gestión del cambio.

• Documentación del proceso de gestión del cambio y de gestión

del incidente.

• Se deben realizar entrevistas a usuarios y personal de soporte.

• Es fundamental disponer de un registro de incidencias y de SLAs.

• Contar con informes de la gestión de incidencias.

• Deben existir reclamaciones de usuarios y base de datos de

conocimiento.

• Disponer de una herramienta para la gestión de incidencias.

Asegurar el acceso a la herramienta de gestión de incidencias y a la

herramienta de gestión de la configuración.



• Se requiere una base de datos de acceso o registro electrónico.

• Asegurar que exista para todas las incidencias y peticiones, un

registro numerado que identifique el servicio afectado, describa la

incidencia o petición y refleje el estado y las acciones.

• Garantizar la información de las incidencias y peticiones sobre

la prioridad, clasificación y contactos por parte del cliente como del

equipo de soporte.

• Deben existir informes que reflejen los niveles de servicio

alcanzados y que los compare con los niveles de servicio acordados.

• Asegurar el acceso al catálogo de servicios por el personal de

soporte de TI para realizar un registro adecuado.

• Se debe comprobar que exista un punto de contacto único al que

el cliente se pueda dirigir en caso de incidencia, de forma que sea

conocido por todos los usuarios.

• Es fundamental que el proceso de gestión de la incidencia se

preocupe por el restablecimiento del servicio lo antes posible.

• Para que el impacto al negocio sea mínimo, se deben garantizar

soluciones tan rápido como sea posible, verificando a su vez, la

disponibilidad de soluciones alternativas.

• Debe existir una base de datos de conocimiento que permita

consultar históricos y soluciones en la gestión de incidencias y

peticiones.


• Para una correcta detección y resolución de la gestión de las

incidencias el personal debe tener acceso a las herramientas más

relevantes.

6.4.2. Gestión de problemas

Mediante la gestión de incidencias se reestablece el servicio tras un incidente,

mientras que mediante la gestión de problemas se identifica la causa que ha

originado tal incidente. Además, en base a el monitoreo, la gestión de problemas

identifica proactivamente las incidencias y las gestiona. La gestión de problemas

puede solicitar cambios sobre los elementos de configuración del servicio.

• Objetivo: el objetivo de la gestión de problemas es disminuir los

resultados negativos de las interrupciones en el servicio, identificando

la causa que ha originado el problema, mediante el monitoreo y

gestión.


proceso de gestión de la entrega son:



servicios.




gestión de incidencias.

₀ Los acuerdos de nivel de servicio establecidos con los


clientes.


pueden resumir en:

₀ Definir un procedimiento para la gestión de problemas.

₀ Resolver problemas en base a su prioridad.

₀ Generar información para gestión de incidencias.

₀ Generar RFCs para solucionar problemas.

₀ Generar registro de errores conocidos.

₀ Informar a los clientes para evitar que tengan que pedir

ayuda en el futuro.


son las siguientes:

₀ Solicitud de gestión de problemas por parte de gestión

de incidencias.

₀ Seguimiento de los servicios.



₀ Resolución de problemas.

₀ Informe de resolución.

₀ Información actualizada para gestión de incidencias.

₀ Acciones para la mejora del proceso.

₀ RFCs.


₀ Registro de errores conocidos.

• Responsable: el responsable del proceso deberá establecer

relación directa gestión de cambios. También facilitará información a

la gestión de incidencias, deberá ser conocedor de la infraestructura

TI, del servicio como de otros elementos de configuración de los que

dependa.

• Recursos: en este proceso deberá participar tanto personal técnico

especializado como personal encargado del resto de elementos del

servicio no técnicos pero que permitan solventar el problema. Para la

gestión proactiva de problemas el personal participante deberá tener

capacidad para interpretar los indicadores que entrega el sistema.

• Seguimiento y control: información que nos ayudará a determinar

el desarrollo correcto del proceso pueden ser:

₀ Relación de problemas resueltos frente al total registrado.

₀ Informaciones reportadas a gestión de incidencias que

impidan su repetición.

₀ Acciones correctivas realizadas frente a las propuestas.

• Registros: con el fin de evidenciar la realización del proceso,

podemos obtener los siguientes registros:

₀ Registro de problemas.

₀ Registro de errores conocidos.

₀ Control de versiones de procedimiento de resolución de

problemas.

₀ Registro de requerimientos de cambio.


₀ Registro de acciones de mejora del proceso.



₀ CMDB.

₀ Procedimientos para la gestión de problemas.

₀ SLAs.

₀ Catálogo de servicios.

El proceso de gestión de problemas se indica detalladamente en la figura 6.10 con


Figura 6.10 · Procesos TI - Gestión de los problemas

REGISTROS

- Registro de problemas.

- Registro de errores conocidos.

- Control de versiones de procedimiento.

- Registro de requerimientos de cambio.

- Registro de acciones de mejora del proceso.

CONDICIONANTES

- ISO 20000 cláusula 8.3..




HERRAMIENTAS

- CMDB.

- Procedimientos para la gestión de

problemas.

- SLA.



- Relación de problemas resueltos frente al

total registrado.

- Informaciones reportadas a gestión de

incidentes que impidan su repetición.

- Acciones correctivas realizadas frente a las

propuestas.

ENTRADAS

- Solicitud de gestión de problemas

por parte de gestión de incidentes.

- Seguimiento de los servicios.

SALIDAS

- Resolución de problemas. - Informe de resolución. - Información actualizada para gestión de incidentes. - Acciones para la mejora del procesos. - Solicitud de cambio RFC. - Registro de errores conocidos.


6.4.2.1. Gestión de problemas. Ficha resumen

Objetivos

• Minimizar los efectos negativos sobre el negocio de interrupciones

del servicio, mediante la identificación proactiva, el análisis de la

causa de las incidencias y la gestión de los problemas para su cierre.

• Las acciones de mejora identificadas durante el proceso se deben

registrar e incluir en el plan de mejora del servicio.

Puntos clave

• Deben existir procesos y procedimientos para identificar, clasificar,

registrar, minimizar, actualizar y evitar el impacto de los incidentes y

de los problemas.

• Para reducir los problemas potenciales se deben llevar a cabo

acciones preventivas.

• Garantizar un procedimiento que identifique la causa raíz de un

problema y tome las decisiones para resolver el error, de forma que

la resolución se gestione a través del proceso de gestión del cambio.

• Debe existir un procedimiento que supervise, revise y elabore

informes sobre la resolución eficaz de problemas.

• Disponer de una fuente de información actualizada por el equipo

de gestión del problema, sobre problemas, errores conocidos y

problemas corregidos, y sea accesible por la gestión del incidente.

• Es fundamental elaborar y registrar propuestas de mejoras al


proceso general de mejora del servicio.

• Deben existir procesos y procedimientos para identificar, clasificar,

registrar, minimizar, actualizar y evitar el impacto de los incidentes y

problemas.


• Disponer de procesos y procedimientos de la gestión del problema

y de la gestión preventiva del problema.

• Establecer registros de problemas y de acciones preventivas.

• Se deben obtener informes de investigación de problemas, de

gestión de problemas e informes para la investigación de problemas.

• RFCs asociados a uno o varios problemas.

• Disponer de una base de datos de registro de problemas y errores

conocidos.

• Generar propuestas de mejora al plan general de mejora del

servicio.


• Verificar la asignación de personal específico.

• Se debe comprobar que todas las soluciones definitivas a

problemas se han tramitado a través de la gestión del cambio.

• Contar con informes que comprueben el porcentaje de problemas

reabiertos.


• Se debe comprobar mediante informes el beneficio aportado por

la resolución del problema.

• Asegurar mediante la realización de comprobaciones la

disponibilidad y accesibilidad de la base de datos.

• Establecer informes de control y propuestas de mejora asociadas

a puntos de control diferentes.

• Verificar la asignación de personal específico para la gestión y

resolución del problema.

6.5. Procesos de control y entrega

6.5.1. Gestión de la configuración del servicio

Todo servicio se compone de partes más pequeñas de las que depende, estos

elementos se denominan elementos de configuración y permiten la prestación

del servicio. La información que dispongamos de esas partes permitirá actuar

correctamente ante cualquier decisión que se deba tomar. Las modificaciones,

inclusiones o eliminaciones de estos elementos deberán realizarse de manera

coordinada. Tanto la gestión de la configuración como del cambio deberán estar

estrechamente relacionadas.

• Objetivo: el objetivo de la gestión de la configuración es disponer

y controlar la información sobre los componentes del servicio y de

la infraestructura, manteniendo una información precisa sobre la

configuración.






servicios.

₀ La política de entrega.




gestión de la configuración.


pueden resumir en:

₀ Definir una política que establezca los elementos de

configuración.

₀ Definir la información que sobre cada elemento se va a

identificar.

₀ Realizar seguimiento sobre las versiones.

₀ Proporcionar información a gestión de cambio sobre el

impacto del mismo sobre la infraestructura y la configuración

del servicio.

₀ Controlar las copias maestras de los elementos de

configuración.

₀ Registrar los elementos de configuración en la CMDB.

₀ Gestionar la CMDB.

₀ Gestión de las deficiencias del proceso y su tratamiento.


₀ Realizar auditorías de la configuración y gestionar las

acciones correctivas.


son las siguientes:

₀ Nuevas versiones.

₀ Salidas: en relación a las actividades y entradas definidas,

las salidas de este proceso son las siguientes:

₀ Información a gestión de cambio sobre impacto del

cambio solicitado sobre la gestión de la configuración.

₀ Actualización de los elementos de configuración.

₀ Línea base de los elementos de configuración.

₀ Informes de auditoría del proceso.

• Responsable: deberá tener relación directa o indirectamente con

los procesos de resolución, control y contabilidad del servicio. Visión

general del servicio con capacidad de trasladar al negocio mejoras

sobre el mismo en base a la información disponible.

• Recursos: los recursos a emplear estarán principalmente

orientados a aspectos técnicos y centrados en la gestión correcta de

la CMDB y la generación de información para gestión de cambio y la

auditoría del proceso.

₀ Seguimiento y control: los indicadores que se pueden

establecer en relación a este proceso pueden orientarse a

las cinco responsabilidades principales:

₀ Revisiones realizadas de la política de gestión de

configuración en un periodo.


₀ Revisiones sobre la modelización de elementos en un

periodo.

₀ Versiones realizadas frente a las registradas.

₀ Elementos erróneos en la CMDB en un periodo

determinado.

₀ Auditorías realizadas en un periodo determinado.

₀ Acciones correctivas realizadas frente a las planteadas.

• Registros: con respecto a la gestión de la configuración se

pueden identificar los siguientes registros:

₀ Control de versiones de la política de configuraciones.

₀ Comunicación con gestión de cambios y otros procesos.

₀ Evidencias del control sobre copias maestras.

₀ Acciones correctivas definidas tras la auditoría.



₀ CMDB.

₀ Política de configuración.

₀ Procedimiento de gestión de la configuración.

₀ Procedimiento de auditoria de la configuración.

El proceso de gestión de la configuración se indica detalladamente

en la figura 6.11 con sus herramientas, registros, etc.


Figura6.11·ProcesosTI-Configuración

6.5.1.1. Gestión de la configuración del

servicio. Ficha resumen

Objetivos

• Definir y controlar los componentes del servicio y de la

infraestructura, y conservar información precisa sobre la configuración.

CONDICIONANTES



- Política de entrega.



- Control de versiones.

- Comunicación con gestión de cambios y

otros procesos.

- Evidencias del control.

- Acciones correctivas.

ENTRADAS

- Nuevas versiones.

SALIDAS

- Información a gestión de cambio. - Actualización de los elementos. - Línea de base de los elementos. - Informes de auditoría del proceso.


Puntos clave

• Deben existir y respetarse relaciones e interfaces que se hayan

definido entre la gestión de la configuración y los procesos de gestión

del cambio y gestión financiera.

• Establecer una política que defina los objetivos del proceso, el

alcance de la CMDB y el responsable de su mantenimiento.

• Debe existir y aplicarse un plan que defina los procesos y los medios

de identificación, la auditoría, el seguimiento de los componentes

de las configuraciones y los roles y responsabilidades del personal

involucrado en el proceso.

• Establecer informes para el apoyo en las tomas de decisión y que

proporcionen la información necesaria sobre los componentes.

• Contar con un procedimiento para el establecimiento de una línea

base antes de una modificación importante, y a partir de la cual se

realiza el seguimiento de la evolución de la configuración.

• Se deben definir los atributos mínimos y las relaciones que se tienen

que identificar de un componente, así como los datos necesarios para

su correcta identificación y posterior gestión.

• Establecer procedimientos de verificaciones y auditorías

periódicas del proceso y de la CMDB, que examinen el rendimiento,

las características funcionales y el estado de los CIs (Configuration

Items) registrados.

• Los procedimientos de verificaciones y auditorías deben alimentar

el proceso general de mejora continua con las no-conformidades


detectadas.


• Disponer de documentación sobre los procesos de gestión de la

configuración, gestión del cambio y gestión financiera.

• Establecer RFCs.

• Contar con detalles económicos en relación a los CIs en la CMDB.

• CMDB

• Debe existir una política de gestión de la configuración.

• Existencia formal del gerente de la configuración.

• Plan de gestión de la configuración.

• Disponer de procedimientos de identificación, control, auditoría y

seguimiento de los CIs.

• Se deben realizar informes de gestión de la configuración.

• Establecer procedimientos de seguimiento del ciclo de vida de los

CIs.

• Información comunicada para el plan de mejora continua.


• Relación directa con el desarrollo de sistemas, de forma que

se compruebe que la gestión del cambio y la gestión de la entrega

incorporan los productos nuevos o actualizados.


• Asegurar que el control pase del proyecto o distribuidor al

proveedor del servicio en el momento programado y con un registro

de configuración correcto, de forma que se comprueben los registros

e historial de los CIs.

• Los RFCs hacen referencia a los componentes presentes en la

CMDB, y debe existir en esta información de costos acerca de los CIs.

• Definir la profundidad de la CMDB considerando un CI, los atributos

a exhibir, las relaciones imprescindibles de los CIs entre sí y con los

distintos SLAs, OLAs y UCs.

• La política identifica a su vez el responsable del proceso,

definiendo sus responsabilidades en todos los apartados del proceso:

identificación, control, mantenimiento y verificación.

• Asegurar un control de los informes de gestión de la configuración

e historial de los CIs.

• La documentación de gestión de la configuración proporciona

información exacta sobre las configuraciones y su documentación

para ayudar a todos los procesos.

• Garantizar que solo se registran desde su recepción hasta su

retirada los ECs (Esquema de Clasificación) autorizados e identificables.

• Se deben verificar los registros de configuración contrastados con

la infraestructura, el histórico de cambios y los SLAs.

• Comprobar un mínimo del contenido de los informes de la gestión

de configuración.

• Contemplar revisiones periódicas de la CMDB y DSL (Definitive

Software Library) y revisiones después de cada cambio importante,

comprobando informes e historiales.


• Comprobar la existencia y consistencia de la CMDB y la DSL,

hojas de cálculos, base de datos u otros sistemas electrónicos.

• Comprobar las entradas al plan de mejora continua y RFCs de


6.5.1.2. La base de datos de gestión de la

configuración

La CMDB es una base de datos que contiene todos los detalles relevantes de cada

elemento de configuración CI y los detalles de las relaciones importantes entre ellos.

A su vez, un elemento de configuración es cada uno de los componentes, tanto

tecnológicos como no tecnológicos, que constituyen los servicios TI, así como los

propios servicios.

De acuerdo con estas definiciones, podemos afirmar que toda CMDB tiene que

cumplir con dos premisas:

• Reflejar las características relevantes de cada servicio y

componente de los servicios prestados.

• Reflejar las principales relaciones entre todos ellos.

El objetivo de la CMDB es modelar los servicios TI proporcionados, de forma que

sea capaz de ofrecer una imagen global de la prestación de servicios TI. Bajo

esa premisa, la CMDB se debe constituir en la herramienta nuclear de un SGS,

ya que va a contener toda la información relevante necesaria para poder gestionar

adecuadamente los servicios prestados. Por tanto, deberá ser la principal herramienta

de referencia para que todos los procesos lleven a cabo sus actividades de forma

adecuada.


Como acabamos de ver, el diseño e implantación de una CMDB persigue un

objetivo ambicioso: ser capaces de modelar adecuadamente toda la infraestructura

(tecnológica, operativa, funcional y contractual) que ha dispuesto la organización

para prestar los servicios TI considerados. No obstante, lo ambicioso del objetivo no

nos debe cegar, ya que el principal error a la hora de abordar el diseño e implantación

de una CMDB es sobredimensionar el proyecto, debido principalmente a diversos

errores en el enfoque del mismo.

El primer aspecto que es necesario tener en cuenta es que los elementos de

configuración pueden tener el “tamaño” que nos interese en cada caso. Por tanto,

es posible definir desde elementos de configuración que representan a un sistema

informático completo hasta elementos de configuración que reflejan un componente

hardware específico. Además, el nivel de detalle de cada uno de ellos es totalmente

flexible, y será la propia organización la que defina qué características son lo

suficientemente relevantes como para incluirlas en la CMDB.

Uno de los errores más frecuentes es entender la CMDB como una base de datos

para la gestión de activos informáticos, ya que cada una de ellas tiene unos objetivos

y características distintas. La CMDB está desarrollada desde el punto de vista del

negocio, y su objetivo es facilitar las decisiones en relación a la gestión de servicios,

mientras que el objetivo de la gestión de activos informáticos es simplemente el

mantenimiento de un inventario TI. Además, la CMDB no sólo contiene activos

informáticos, sino que también contempla otro tipo de elementos de configuración

fundamentales para la visión de negocio, como son los servicios, los SLAs o los

procedimientos. Además, la CMDB requiere mucho menos nivel de detalle en

relación a los atributos de cada elemento de configuración, y en cambio el nivel de

trazabilidad de cada elemento de configuración es mucho mayor que el requerido

para la gestión de activos informáticos.

Otro de los errores más habituales en relación al concepto de CMDB es entenderla

como un repositorio de información único, completo y auto-consistente. La información

recogida en la CMDB tiene que ser consistente, pero en ningún caso tenemos la


obligación de que constituya un repositorio unificado. De hecho, una de las filosofías

más utilizadas a la hora de desarrollar una CMDB es su desarrollo en forma de

CMDB federada: un repositorio central con parte de la información necesaria y que

sea capaz de enlazar con repositorios secundarios que contengan las otras partes

de la información requerida (y que pueden ser tanto características como relaciones).

La única dificultad que aparece en relación a la utilización de CMDBs federadas es

que tenemos que tener claro en qué lugar está cada información, y garantizar que

una misma información no está replicada en varias fuentes no sincronizadas.

También es necesario tener en cuenta que la información de la CMDB tiene que

ser una información estructurada, pero en ningún caso existe la obligación de que

dicha información esté almacenada en forma de bases de datos relacionales. Pese

a que dicho formato sea generalmente el más apropiado para llevar a cabo una

explotación de los datos, el formato en el que se encuentren almacenados debe ser

transparente, siempre que dicha información sea explotable.

Por otra parte, no tenemos que perder de vista que el objetivo de la CMDB es

ser capaz de modelar la infraestructura de la organización para facilitar la toma de

decisiones de negocio. Por tanto, la CMDB tiene que ser algo más que un simple

repositorio de datos: tiene que ser en sí misma una aplicación que nos permita

explotar la información almacenada y obtener a partir de ella la información de

negocio requerida.

Tampoco tenemos que olvidar que la CMDB no es otra cosa que una representación

virtual de la realidad. Tanto los activos como las interrelaciones ya existen

independientemente de que tengamos o no una CMDB, de modo que el objetivo es

que la representación virtual sea fidedigna. Por lo tanto, uno de los aspectos que

van a condicionar el éxito de la CMDB es su capacidad para mantener actualizada

esa representación de la realidad.

El principio anterior desemboca en uno de los aspectos más delicados a la hora

de implementar una CMDB: su grado de automatización. Evidentemente, cuanto


mayor sea la capacidad que tiene la CMDB para representar la realidad de forma

automática más sencilla será mantener la CMDB actualizada. Sin embargo, dicha

automatización no es fácil de conseguir, ya que más allá de las características y ciertas

relaciones de la infraestructura tecnológica, que sí pueden ser recopiladas de forma

automática mediante herramientas o módulos de descubrimiento, existe una gran

cantidad de activos no tecnológicos para los que la identificación y representación

automática de sus características y relaciones es extremadamente compleja. Esto

provoca que en el mercado existan pocas soluciones que incorporen altos grados

de automatización, y que dichas soluciones alcancen precios bastante elevados.

La necesidad de mantener la CMDB actualizada implica, obviamente, la presunción

de que se van a producir cambios. Cambios que pueden ir desde la introducción

de nuevos elementos de configuración hasta la modificación de una característica

concreta de uno de ellos o de una determinada relación entre dos. Todos esos

cambios deben ser adecuadamente reflejados y registrados, ya que es necesario

conocer tanto el resultado del cambio como las características concretas del cambio

que se ha llevado a cabo. Por tanto, la trazabilidad de los elementos de configuración

va a ser otro de los aspectos a tener en cuenta a la hora de diseñar e implementar

una CMDB.

De acuerdo a los principios y consideraciones que hemos hecho hasta el momento,

es obvio que el diseño de la CMDB no es una tarea sencilla. Existen una gran

cantidad de parámetros a valorar, como pueden ser el tamaño de los elementos

de configuración, el nivel de detalle de cada uno de ellos, el grado de federación

de la CMDB, las fuentes de datos a utilizar, el grado de automatización, el nivel de

trazabilidad. No obstante, es posible plantear una serie de indicaciones que faciliten

esta tarea, y que permitan diseñar e implementar una CMDB de forma asequible y

con una dedicación de recursos aceptable.

En primer lugar, existen una serie de recomendaciones generales a la hora de

definir las características principales de los elementos de configuración. Estas

características deben responder a un modelo que recoja los siguientes aspectos:


• Estado: define el estado actual del elemento de configuración,

dentro de lo que podríamos considerar el ciclo de vida del elemento

de configuración.

• Trazas: contiene el histórico del elemento de configuración, las

modificaciones sufridas, los cambios de estado, etc.

• Atributos: caracteriza al elemento de configuración, definiendo su

nombre, propiedades específicas, parámetros, etc.

• Relaciones: refleja las interrelaciones del elemento de

configuración con el resto.

Además de las características generales que deben contemplar los elementos de

configuración se definen una serie de tipologías genéricas para ellos, de modo

que queden identificados y caracterizados a nivel general dentro de un grupo de

elementos de configuración con una serie de atributos concretos. Esta tipología de

elementos de configuración es la siguiente:

• Servicios: son los servicios TI prestados por la organización.

• Clientes: son las organizaciones contratantes o peticionarias de

los servicios TI prestados.

• SLAs: son los acuerdos de nivel de servicio firmados entre el

cliente del servicio TI y la organización para ese servicio TI.

• Usuarios: son las personas sobre las que recae el servicio TI, los

que hacen uso del mismo.

• Información: es la propia información que interviene en el servicio,

la que forma parte de él y se presta como la circundante que lo soporta.

• Procesos: son las actividades que llevan a cabo las personas en

relación a los servicios TI, y que en este caso vienen definidas por la


UNE-ISO/IEC 20000-1:2011.

• Personal: son las personas que llevan a cabo las actividades

definidas en los procesos.

• Sistemas: son los dispositivos informáticos y tecnológicos que

soportan los servicios TI.

• Comunicaciones: son las redes de comunicación que

interconectan los sistemas.

• Elementos auxiliares: son los dispositivos periféricos a los

sistemas y las redes que soportan el acondicionamiento general de

los mismos.

• Sedes: son las ubicaciones físicas que albergan tanto a las

personas como a los sistemas que participan en los servicios.

• Subcontratas: son organizaciones externas que proporcionan

servicios orientados a la participación en el desarrollo de las actividades

definidas en los procesos.

• Proveedores: son organizaciones externas que proporcionan

elementos fungibles necesarios para la provisión de los servicios TI.

Esta tipología de elementos de configuración permite no sólo clasificar cada

elemento de configuración en su grupo correspondiente, sino predefinir una serie

de atributos que van a compartir todos los elementos de configuración del grupo.

Además, a partir de esta clasificación es posible establecer un modelo básico de

relaciones entre cada tipo de activo, de modo que se genere una estructura básica

para la CMDB. Este modelo de relaciones se indica en la siguiente figura 6.12:


Figura 6.12 · Activos de información

Con rectángulos en color gris oscuro se representan los activos propios de la

organización, con óvalos en color gris claro los destinatarios de los servicios y con

rectángulos en color gris claro los proveedores de productos o servicios, que como

participantes en la prestación de los servicios deben ser identificados como activos,

aunque no pertenezcan a la organización.

ServiciosClientes

Información

Procesos

Subcontratas

Personal

Sistemas

Comunicaciones

Elementos Auxiliares

Proveedores

Sedes

SLAs

Usuarios


• Los SLAs dependen tanto de los clientes como de los servicios,

ya que se asocian a ambos.

• Los usuarios dependen de los SLAs, ya que existen en el contexto

de un servicio prestado a un cliente específico y acotado mediante un

SLA.

• Los servicios están soportados tanto por la propia información

que interviene en el servicio como por los sistemas informáticos que

participan en la prestación del servicio.

• La información se erige en el núcleo de los servicios, es gestionada

por los procesos y almacenada y procesada por los sistemas.

• Los procesos se desarrollan mediante la participación tanto de

personal propio como de posibles subcontratas.

• El personal propio está ubicado en las sedes de la organización.

• Los sistemas se interrelacionan entre sí mediante comunicaciones,

son soportados por elementos auxiliares, dependen de la provisión,

entre otros, de energía eléctrica por parte de proveedores externos y

se ubican en las sedes correspondientes.

• Las comunicaciones también están soportadas por elementos

auxiliares, dependen de la provisión de energía eléctrica y en muchos

casos de servicios de comunicación externos por parte de proveedores

y también se ubican en unas determinadas sedes.

• Los elementos auxiliares también pueden depender de proveedores

externos y obviamente van a estar ubicados en las mismas sedes que

los casos anteriores.

• Las sedes, como ya hemos dicho, van a albergar tanto a personas

como a infraestructura (sistemas, comunicaciones y elementos


auxiliares),

De acuerdo con este modelo de relaciones es posible diseñar una CMDB que refleje

tanto la visión de alto nivel, relativa a los servicios TI, como la visión de bajo nivel,

centrada en los sistemas de información y la tecnología.

6.5.2. Gestión del cambio

El desarrollo correcto de este proceso y su utilización como punto único de entrada

de cualquier nuevo elemento en el alcance definido, nos permitirá el desarrollo del

resto de los procesos de manera más sencilla. Deberemos entender el cambio con

independencia de que previamente haya existido algo o no, es decir, la creación

de un nuevo servicio también deberá considerarse un cambio que tendrá que ser

gestionado mediante este proceso. Tal como se observa en la figura 5.4 del capítulo

5.1.8 “Diseño de los procesos”, nos estaremos refiriendo al cuadrante “INICIO /

OPTIMIZACIÓN” del servicio.

• Objetivo: El objetivo de la gestión del cambio es garantizar que

cualquier cambio sea valorado, aprobado, implementado y revisado

de manera controlada.


proceso de gestión del cambio son:



servicios.

₀ La política de gestión del cambio.






• Actividades: las actividades principales de este proceso se pueden

resumir en:

₀ Registrar y clasificar las peticiones de cambio.

₀ Elaborar procedimientos para la vuelta atrás tras un

cambio fallido.

₀ Aprobar los cambios y comprobarlos después de su

implantación.

₀ Comunicar a las partes interesadas la planificación de

los cambios.

₀ Gestionar los registros de cambios.

₀ Identificar acciones de mejora para el proceso e incluirlas

como entrada en el plan de mejora del servicio.


son las siguientes:

₀ RFCs.



₀ Cambio realizado.

₀ Informe y comunicación del cambio.

₀ Información para el plan de mejora del servicio.

₀ Información para gestión de entrega de versiones.



relación directa con gestión de entrega de versiones, además de

tener conocimiento sobre la infraestructura de la organización y visión

clara de los servicios ofrecidos. Informará a las partes interesadas de

la solicitud recibida de cambio y de los resultados del mismo.

• Recursos: se encargarán del análisis de la solicitud de cambio

conforme a la situación actual y los posibles riesgos que puede

suponer por lo que deberán tener conocimiento del negocio y de la

infraestructura tecnológica y humana que lo sustenta.

• Seguimiento y control: indicadores que nos mostrarán tanto

el desarrollo del proceso como su grado de implantación serán el

número solicitudes de cambio con respecto a los cambios realizados,

otro indicador que mostrará el interfaz entre cambio y versiones se

puede obtener del análisis de versiones realizadas con respecto a

solicitudes de cambio. Finalmente podremos identificar el número

de notificaciones a las partes interesadas frente a las peticiones de

cambio solicitadas.

• Registros: podremos evidenciar el desarrollo del proceso

mediante:

₀ El registro de cambios solicitados.

₀ El informe de análisis del cambio solicitado y su validación

o no.

₀ Las notificaciones a gestión de versiones.

₀ Las notificaciones a las partes interesadas.



₀ Registro de cambios.


₀ Procedimiento de gestión de cambios.

₀ Procedimiento de gestión de cambios de emergencia.

₀ Planificación de cambios.

El proceso de gestión del cambio se indica detalladamente en la figura 6.13 con sus

herramientas, registros, etc.

Figura 6.13 · Procesos TI - Cambio

6.5.2.1. Gestión del cambio. Ficha resumen

CONDICIONANTES



- Política de gestión del cambio.


ENTRADAS

- Peticiones de cambio (RFC).

SALIDAS

- Cambio realizado. - Informe y comunicación delcambio. - Información para el plan demejora del servicio. - Información para gestión deentrega de versiones.


Objetivos

• Asegurar que todos los cambios son valorados, aprobados,

implementados y revisados de una manera controlada.

Puntos clave

• Debe existir una política de gestión del cambio documentada,

definida e implementada, que indique el alcance del cambio, la

planificación según su prioridad e impacto y efectúe una comunicación

efectiva de los gerentes de procesos y clientes impactados.

• Procedimiento definido para la planificación, registro, aprobación,

comprobación y clasificación de los cambios, que contemple el riesgo

y las acciones correctivas en caso de fallo.

• Debe existir un procedimiento definido para el control y autorización

de cambios de emergencia que incluya una revisión a posteriori y una

actualización de la información de configuración.

• Contar con un procedimiento definido para el análisis periódico

de los resultados y conclusiones, que trate de identificar tendencias

emergentes y mejoras.

• Debe existir un proceso de gestión del cambio que contemple la

detección de posibles mejoras y las comunique para su inclusión en

el plan de mejora continua.


• Debe existir una política de gestión del cambio.

• Contar con documentación del proceso de gestión del cambio.


• Deben existir tablas de cambios FSCs (Forward Schedule of

Changes), actas de reuniones del CAB y PIRs (Post Implementation

Review).

• Se debe realizar un registro de análisis y un plan general de mejora

continua


• Asegurar que los cambios que surgen como resultado de problemas,

buscan en éstos ventajas de manera proactiva, comprobando que la

política de gestión del cambio determina lo que es un cambio y su

alcance.

• Disponer de una alta visibilidad y canales de comunicación

abiertos para facilitar unas transiciones suaves cuando tengan lugar

los cambios.

• Comprobar la existencia de un formulario estándar de RFC y FSC

y de su canal de alimentación.

• Verificar que las RFCs soportan como mínimo: el motivo y detalle

del cambio, un análisis de impacto y riesgo, una planificación, una

solución de marcha atrás, aprobación y firma, y en caso de cambio

importante un plan de pruebas y resultados.

• Comprobar la existencia de la base de datos de gestión del cambio,

los registros y accesibilidad de la misma, los PIRs, las planificaciones

y los FSCs.

• Verificar el proceso de gestión del cambio, comprobando la

existencia de un procedimiento de emergencia, un procedimiento


de revisión periódica y de gestión de tendencias, y una revisión de

registros.

• Identificar el proceso de gestión del cambio y comprobar la

existencia de un procedimiento de revisión periódica y de detección

de tendencias.

• La frecuencia de los cambios dependerá del tipo de cambio y de

la organización, siendo mensuales o trimestrales.

• Comprobar las entradas al plan de mejora continua.

6.5.3. Gestión de la entrega y despliegue del

servicio

Este proceso, tiene como finalidad coordinar la entrega de nuevas versiones

planificadas en el proceso de gestión de cambios para su pase al entorno en

producción. En un entorno muy cambiante se deben establecer frecuencias para la

integración en el entorno de producción de distintos elementos hardware/software,

con el fin de poder evaluar su impacto y en caso de problemas identificar la causa

que lo provoca.

• Objetivo: el objetivo de la gestión de la entrega y despliegue es

coordinar, realizar y hacer el seguimiento de uno o más cambios y

poder valorar su impacto en el entorno de producción real.






servicios.

₀ La política de entrega.




gestión de la entrega.


pueden resumir en:

₀ Acordar y documentar la política de entregas con todas

las partes intervinientes.

₀ Planificar las entregas.

₀ Evaluar las peticiones de cambio para que no afecten a

los planes de entrega.

₀ Establecer procedimientos de marcha atrás ante

problemas en los pases a producción.

₀ Actualizar tras la entrega el registro de configuración y el

de cambios.

₀ Gestionar cambios de emergencia.

₀ Verificar y aceptar la entrega mediante pruebas.


son las siguientes:

₀ RFCs.


₀ Errores conocidos.

₀ Problemas relacionados.



₀ Información para la gestión de incidencias.

₀ Informe de la entrega.

₀ Información para el plan de mejora del servicio.

₀ Nuevas versiones.

₀ Información para gestión de la configuración y el cambio.


relación directa con gestión de la configuración y gestión de

cambio, además de tener conocimiento sobre la infraestructura de la

organización y visión clara de los servicios ofrecidos.

• Recursos: los recursos deberán estar relacionados con la gestión

de cambio y configuración, dependiendo de la organización se podrá

considerar un único grupo para todos los procesos de control y

entrega.

• Seguimiento y control: indicadores que nos mostrarán tanto el

desarrollo del proceso como su grado de implantación, serán por

ejemplo el número de pases a producción gestionados por control de

versiones con respecto a los totales realizados, las comunicaciones

realizadas tanto previas al pase como posterior al mismo.

• Registros: registros que podemos obtener de la ejecución del

proceso, serán por ejemplo los informes de pruebas realizadas

antes de validar el pase, informes de incidentes tras la entrega,


comunicaciones a las partes implicadas, indicadores de seguimiento

y control, actas de revisión del proceso, etc.



₀ CMDB.

₀ Procedimientos para la gestión de la entrega.

₀ Procedimientos para la gestión de la entrega de

emergencia.

₀ Entorno controlado de pruebas.

El proceso de gestión de la entrega del servicio se indica detalladamente en la

figura 6.14 con sus herramientas, registros, etc.

Figura 6.14 · Procesos TI - Entrega

REGISTROS

- Informe de pruebas realizadas.

- Informe de incidentes tras la entrega.

- Comunicaciones con las partes implicadas.

- Indicadores de seguimiento y control.

- Actas de revisión del proceso.

CONDICIONANTES


- Política de gestión de servicios TI.


- Política de entregas.

HERRAMIENTAS

- CMDB.

- Procedimiento para la gestión de la entrega.

- Procedimiento para la gestión de la entrega

de emergencia.

- Entorno controlado de pruebas.

ENTRADAS

- Peticiones de cambio (RFC).

- Errores conocidos.

- Problemas relacionados.

SALIDAS

- Información para la gestión deincidentes. - Informe de la entrega (éxito o fracaso). - Información para el plan de mejoradel servicio. - Nuevas versiones.


6.5.3.1. Gestión de la entrega del servicio.

Ficha resumen

Objetivos

• Entregar, distribuir y realizar el seguimiento de uno o más cambios

en el entorno de producción real.

Puntos clave

• Debe existir una política de entrega que establezca la frecuencia

y el tipo de las entregas.

• Examinar en los planes de la entrega de los servicios, sistemas,

software y hardware, como desplegar una entrega, de forma que

estén acordados y autorizados por las partes pertinentes.

• Se debe incluir la forma de dar marcha atrás o corregir la entrega,

si esta no tiene el éxito esperado.

• Se deben incluir las fechas, referencias a RFCs, entregables,

errores conocidos y problemas relacionados.

• Asegurar que el proceso de gestión de entrega proporciona la

información adecuada al proceso de gestión del incidente.

• Es fundamental que las peticiones de cambio se evalúen teniendo

en cuenta su impacto en los planes de las entregas.

• Las actividades internas se deben incluir como la actualización de

la base de datos de la configuración.


• Se deben realizar pruebas de aceptación en un entorno controlado

y de forma previa a su distribución.

• Es fundamental que se mida el éxito y el fallo de las entregas en el

periodo siguiente a su despliegue.

• Se deben realizar las actividades necesarias y exigidas por la

norma para asegurar un ciclo de mejora continua efectivo.

• Se debe establecer la frecuencia y el tipo de las entregas.

• Debe existir un procedimiento definido que responda a las

peticiones de cambio de emergencia y realice la gestión de las

entregas de emergencia.


• Deben existir políticas y planes de gestión de la entrega.

• Establecer documentación del proceso de gestión de entrega y

de los planes de entrega.

• Comunicación o accesibilidad de la información de la entrega a de

gestión del incidente.

• Establecer informes de evaluación de impacto de cambios en las

entregas.

• Contar con un procedimiento de gestión de las entregas de

emergencia.

• Existencia de un entorno de pruebas.

• Deben existir informes de resultados de las pruebas e informes de


control.

• Debe haber una relación de incidentes generados por las entregas.

• Contar con un proceso de gestión de la mejora continua.

• Establecer informes de indicadores de los procesos.

• Disponer de comunicaciones a las partes implicadas vía mails,

comunicados…

• Actas de revisión de planes, políticas y procedimientos de la

gestión del servicio.


• Comprobar que la política contenga la frecuencia y la descripción

del contenido de las entregas.

• La política debería contemplar el almacenamiento controlado de

todas las entregas de software (DSL).

• Debe existir una documentación técnica de la entrega.

• Es fundamental trazar sobre la lista de cambios planificados (FSC)

las fechas de las entregas.

• Se debería usar un cuestionario de satisfacción y aceptación por

parte del cliente de la instalación para registrar el éxito o el fracaso de

la entrega.

• Establecer una revisión en caso de entrega de emergencia.

• Se deben solicitar (si existen) estadísticas de las pruebas realizadas.


• Asegurar cambios en la planificación de la entrega si los resultados

de las pruebas no son los esperados.

• Dado la amplitud del requisito, se recomienda aplicar criterio y

experiencia más que seguir al pie de la letra las recomendaciones.

6.6. Proceso para el diseño y transición

de servicios nuevos o modificados

El diseño de servicios nuevos o la transición de servicios modificados son actividades

que pueden ser desarrolladas en forma de proceso. No obstante, la finalidad de

este proceso es muy diferente a la de los anteriores, ya que su objetivo no es dar

soporte a los servicios en producción, sino gobernar su puesta en producción. Por

ello, pese a que en el presente apartado se presenta la estructura del proceso para

el diseño y transición de servicios nuevos o modificados, se ha desarrollado un

capítulo específico, a continuación, en el que se profundiza en sus implicaciones.

• Objetivo: el objetivo del proceso es definir, diseñar, implementar

y poner en producción cualquier nuevo servicio o cualquier cambio

en un servicio con un gran impacto sobre el cliente o sobre el servicio

modificado.


proceso de gestión del nivel de servicio son:



servicios.


₀ La política de gestión de cambios, que regula los cambios

que van a ser planificados y desarrollados de acuerdo al

presente proceso.

₀ El catálogo de servicios, que define las características

generales de los servicios TI prestados por la organización.


5 recoge los requisitos que debe cumplir este proceso.


las que esté sujeta la organización en relación a cada uno

de los servicios TI contemplados en el catálogo de servicios.


pueden resumir en:

₀ Determinar los requisitos generales que el nuevo servicio

debe satisfacer o los nuevos requisitos que un servicio ya

existente debe satisfacer, en función de los intereses y

necesidades de la organización y de los clientes.

₀ Definir las características que debe tener el nuevo

servicio o que se deben modificar en el servicio ya existente

para satisfacer los citados requisitos.

₀ Diseñar el nuevo servicio de acuerdo a las características

generales definidas.

₀ Planificar la implementación del nuevo servicio,

considerando todos los aspectos necesarios para su puesta

en producción.

₀ Desarrollar el nuevo servicio de acuerdo a la planificación

definida.


₀ Probar de manera preliminar el nuevo servicio, verificando

que cumple con el diseño definido y es capaz de satisfacer

los requisitos iniciales.


son las siguientes:

₀ Los intereses y necesidades de los clientes en relación a

los servicios prestados por la organización.

₀ Los intereses y necesidades de la organización en

relación a los servicios prestados por la organización.

₀ Las características de los servicios prestados.

₀ Los resultados de los servicios ofrecidos, una vez

procesados.



₀ Nuevos servicios a ser puestos en producción a través

de los procesos de gestión de cambios y gestión de entregas

y despliegues.

₀ Modificaciones significativas en los servicios existentes

a ser puestas en producción a través de los procesos de

gestión de cambios y gestión de entregas y despliegues.


responsable del proceso de diseño y transición de servicios nuevos

o modificados debe poseer capacidades de gestión, tener una visión

de negocio en torno a los servicios prestados y ser capaz de entender

la postura de los clientes en torno a los servicios TI recibidos.


• Recursos: el presente proceso requiere la participación de dos

tipos de perfiles:

• Perfil comercial: será necesario que participe en el proceso

personal con capacidad para determinar de manera específica los

requisitos de los clientes a ser satisfechos.

• Perfil técnico: será necesario que el personal que participe en

el proceso tenga capacidad para diseñar e implementar los servicios

capaces de satisfacer los requisitos definidos.

• Seguimiento y control: en este proceso se puede identificar

como indicador principal el seguimiento de la tasa de cambios

que sufren los servicios, que permitiría identificar problemas en la

definición de los mismos y/o posibles riesgos de insatisfacción por

parte de los clientes, asociados a que sus requisitos no terminan por

ser satisfechos.

• Registros: el principal registro que genera este proceso es el

propio catálogo de servicios y sus cambios. Así mismo, cada uno de

los planes de servicio demuestra que se definen los servicios para

satisfacer los requisitos de los clientes, y que cada uno de ellos es

diseñado, planificado e implementado de acuerdo a dichos requisitos.

Todos estos planes serán un registro de que el proceso garantiza que

los servicios se mejoran de forma continua.

• Herramientas: para desarrollar el proceso de gestión del nivel de

servicio se requieren principalmente, las siguientes herramientas:

₀ Catálogo de Servicios.

₀ Plantilla de Plan del Servicio.

₀ Plantilla para la proposición de contenido al Plan de




Además de las plantillas citadas también será necesario contar con un programa en

el que se garantice la revisión periódica del catálogo de servicios, como se indica

en la figura 6.1.

Figura 6.15 · Proceso de Diseño y Transición de Servicios

NuevosoModificados

REGISTROS


- Planes de servicio.

- Planes de mejora de los servicios.

CONDICIONANTES

- ISO 20000 cláusula 5.


- Política de gestión de servicios TI.

- Política de gestión de cambios.

HERRAMIENTAS


- Plantillas para planes de servicio.

- Plantillas para planes de mejora de los

servicios.

- Plantillas para RFCs.


- Tasa de servicios nuevos al año.

- Tasa de cambios en los servicios.

ENTRADAS

- Intereses y necesidades propios.

- Intereses y necesidades de los

clientes.




7. Los servicios TI

7.1. La gestión de los servicios

El sistema de gestión que hemos diseñado no tendría sentido si no existieran servicios

TI sobre los que aplicarlo. No obstante, si queremos desarrollar un SGS efectivo,

una de las principales preocupaciones tiene que ser la de que esos servicios TI

realmente cumplan con los objetivos de satisfacción del cliente y del negocio que

la organización ha planteado en relación al mismo. Es por ello por lo que surge este

componente: para asegurar que tanto los servicios nuevos como las modificaciones

a los existentes se pueden gestionar y entregar con los costos y la calidad acordados.

La planificación de los servicios es una actividad complementaria a la planificación

del sistema de gestión. Si en el primer caso se diseña el sistema de gestión, en

este se diseñan los servicios que van a ser gestionados por dicho sistema. Son dos

elementos independientes pero interrelacionados, ya que las características de uno

van a afectar en el otro, y viceversa.

Tanto en el diseño del sistema de gestión como en el diseño de los servicios existe

un importante componente estratégico, pero en este segundo caso el aspecto

estratégico es clave. Debe ser el negocio, a partir de sus propias necesidades y

de las de los clientes, quien defina qué servicios TI debe ofrecer la organización,

con el fin de garantizar que dichos servicios van a responder claramente a dichas

expectativas. Es por ello que la planificación de los servicios TI es una actividad

que se desarrolla principalmente en los niveles directivos de las organizaciones, ya

que requiere de un adecuado balance entre beneficios a proporcionar, riesgos que

supone y costos en los que se incurre a la hora de optar por desarrollar o modificar

los servicios TI proporcionados.

La planificación de servicios TI no tiene por qué ser una actividad novedosa en

ninguna organización. De hecho, la mayor parte de las organizaciones llevan a cabo


este tipo de actividades en forma de proyectos internos, dentro de los cuales en

muchas ocasiones se desarrollan nuevos servicios o se llevan a cabo modificaciones

sobre los existentes. No obstante, el hecho de desarrollar un SGS obliga a que estos

proyectos que van a afectar a los servicios TI proporcionados, cumplan con una

serie de exigencias, primero en relación al análisis previo de los resultados positivos

y negativos que puede tener el desarrollo del proyecto y segundo en lo referente

a la planificación preliminar de los servicios que se van a crear o modificar. Por

tanto, el SGS obliga a que todas las necesidades adicionales que puedan provocar

la creación o modificación de los servicios hayan sido previamente estudiadas y

validadas.

En resumidas cuentas, la planificación de servicios TI se va a llevar a cabo a partir

de las propuestas o solicitudes de nuevos servicios, tanto por parte de los clientes

como de la propia organización, de las propuestas o solicitudes para la mejora

de los servicios, provenientes de los niveles estratégicos (clientes y/o dirección),

de los propios procesos del sistema de gestión y de las solicitudes de cambios

en los servicios originadas por las fuentes ya citadas. El objetivo de la gestión de

los servicios TI debe ser el de asegurar que tanto los servicios nuevos como las

modificaciones a los existentes se pueden gestionar y entregar con los costos y la

calidad acordados. Para ello es necesario tener en cuenta distintos condicionantes,

entre los que podemos encontrar los siguientes:

• La estrategia de la organización, que define las líneas maestras

en relación a qué servicios TI se deben ofrecer y en qué condiciones.

• La política de servicios TI de la organización, que regula las pautas

generales bajo las que se deben gestionar los servicios.

• Los SLAs que tenga firmados la organización con sus clientes en

relación a cada servicio, y que constituyen los límites dentro de los

que se debe mover cualquier modificación que se lleve a cabo sobre

los servicios a los que se refieran los respectivos SLAs.


Evidentemente existirán otra serie de condicionantes genéricos para la fase de

planificación, como son las obligaciones legales, regulatorias y/o contractuales a las

que esté sujeta la organización o la propia norma UNE-ISO/IEC 20000-1:2011, que

especificará los requisitos que debe cumplir la organización en este ámbito. Uno de

los aspectos en los que se centra la norma es en determinar las actividades que se

deben llevar a cabo para la planificación de los servicios TI. Estas actividades se

pueden resumir en:

• Análisis de la viabilidad de las propuestas, considerando los

beneficios que pueden proporcionar y los impactos que pueden

producir, a todos los niveles.

• Validación o rechazo de la propuesta, en base a los resultados del

análisis anterior.

• Planificación de un nuevo servicio o de la modificación de uno

existente, en caso de que se haya validado la propuesta, generando

el correspondiente plan de servicio.

El plan de servicio es uno de los documentos más importantes dentro del SGS, y su

contenido mínimo está regulado por la norma. De acuerdo a ella, un plan de servicio

debe contener, al menos, los siguientes aspectos:

• Los presupuestos correspondientes al servicio.

• Los roles y responsabilidades asociados al servicio, tanto propios

de la organización como relativos a clientes y proveedores en caso de

que sea necesario. En este punto se deberá asignar un responsable

de servicio.

• Los requisitos de mano de obra y contratación necesarios, junto

con los perfiles y formación asociados.

• La planificación temporal y los plazos manejados.


• Las modificaciones que provoca el servicio, tanto en los propios

servicios como a nivel interno en el SGS, así como a nivel externo en

los acuerdos, contratos y niveles de servicio.

• Los procesos, recursos y herramientas que van a ser necesarios

para llevar a cabo el servicio.

• La forma en que se va a difundir a todas las partes interesadas.

• Los criterios de aceptación.

• Los resultados esperados, expresados en términos medibles.

Este plan de servicios deberá ser adecuadamente implementado en la fase de

ejecución. Esta implantación puede ir desde un pequeño cambio en un servicio ya

existente hasta el despliegue de una compleja infraestructura tecnológica, necesaria

para dar soporte a un nuevo servicio TI que la organización quiera prestar. En cualquier

caso, esa implantación debe quedar bajo el control del proceso de gestión de

cambios, que a su vez relegará su desarrollo en el proceso de gestión de la entrega,

pasando finalmente el nuevo servicio o la modificación del existente a producción.

El proceso de gestión del cambio será el que defina, en función de la magnitud del

cambio, qué medidas de control se deben desplegar para gestionar la implantación

en cuestión. Estas medidas pueden ir desde una simple validación del cambio hasta

la gestión en modo proyecto de una compleja implantación tecnológica, el desarrollo

de aplicaciones o la incorporación de personas para desplegar el nuevo servicio.

El final de la fase de ejecución es la aceptación por parte de la organización del

nuevo servicio o de la modificación del mismo. Esta aceptación debe garantizar

que se ha completado la planificación prevista, y que la implantación corresponde

con lo planificado. A partir de ese momento la organización ya está en condiciones

de prestar el nuevo servicio, o de ofrecer a sus clientes y usuarios las nuevas

características del que se haya modificado. Por ello, es conveniente que esta fase

concluya con la actualización del catálogo de servicios, con el fin de que queden


oficialmente reflejados, y a disposición de todos los interesados, los resultados del

nuevo servicio (o de los cambios realizados en él), según se indica en el apartado

7.2 del presente capítulo).

El objeto de la fase de revisión de los servicios TI es verificar el resultado de los

mismos. Por ello, dentro de esta fase se lleva a cabo la comparación de los resultados

del servicio con los resultados previstos inicialmente, de modo que se puedan

identificar las desviaciones entre la previsión, la realidad y el grado de bondad de

las previsiones realizadas. Esta revisión, que debe formar parte de la revisión por la

dirección según se especifica en el apartado 5.3 del presente documento, constituye

el principal indicador de este componente. Sirve para que se genere la información

necesaria y poder saber si las planificaciones se están llevando a cabo de forma

adecuada y si los resultados que se obtienen son los resultados deseados desde el

punto de vista del negocio.

Para finalizar el ciclo, los resultados de la fase de revisión de los servicios, junto con

toda la información aportada por los procesos del sistema de gestión en relación a

los resultados específicos de los servicios TI en torno a cada uno de los aspectos

tratados en cada proceso, va a provocar la generación de solicitudes de cambios

y propuestas de mejoras en torno a los servicios prestados. Estas propuestas se

materializarán en forma de plan de mejora del servicio, un documento normativo

en el que se especificarán todos aquellos aspectos relativos a los cambios que

haya que introducir en los servicios para conseguir su mejora. Y creemos necesario

recordar que estas propuestas de mejora podrán partir no sólo de decisiones de

negocio o de propuestas de los clientes, sino que todos los procesos que articulan el

sistema de gestión pueden generar “entradas” para este plan de mejora del servicio,

de forma que cada proceso proponga mejoras en el ámbito que le compete. Este

hecho se puede apreciar más claramente a lo largo del capítulo 6, donde se pueden

ver las características concretas de cada proceso.


7.2. El catálogo de servicios

El catálogo de servicios es una relación ordenada en la que se describen de forma

individual los distintos servicios TI prestados por la organización. Este catálogo

describe las principales características de cada uno de los servicios prestados, y

debe convertirse en el principal marco de referencia para la interlocución entre el

proveedor de servicios TI y sus clientes, tanto potenciales como reales.

Como hemos señalado, el catálogo de servicios describe las principales

características de cada uno de los servicios prestados. Por lo tanto, dicho catálogo

supone la principal herramienta a utilizar de cara a presentar la oferta de servicios

TI de la organización. En él se encuentran concentradas las características que

definen y diferencian cada uno de los servicios ofrecidos, y por tanto permite a

cualquier potencial cliente evaluar de forma preliminar dicho servicio en base a

las características reflejadas. Además, dichas características también pueden ser

utilizadas por los clientes existentes para verificar que los niveles acordados con

ellos se enmarcan dentro de las características generales del servicio, de forma que

puedan verificar su viabilidad dentro del planteamiento general de la organización

respecto a los servicios ofrecidos. Por lo tanto, debe ser una referencia fácilmente

accesible tanto por el propio personal de servicios TI como por parte de los clientes.

Es conveniente que el catálogo de servicios esté redactado en lenguaje entendible

por los clientes. Es la herramienta mediante la que la organización presenta los

servicios TI ofrecidos, y como tal debe ser perfectamente entendido por los clientes.

Esto supone que las características de los servicios sean descritas desde el punto

de vista de los usuarios, abstrayendo la complejidad del lenguaje tecnológico y

describiendo las propiedades de los servicios en lenguaje comercial. No obstante,

esta adaptación del entendimiento lingüístico no debe ser excusa para que las

características de los servicios no aparezcan adecuadamente descritas, ya que

estas constituyen precisamente la esencia de los servicios TI proporcionados.

El catálogo de servicios debe recoger las características generales de los mismos.


Este catálogo y su versión deben ser referenciados desde los acuerdos de nivel de

servicio que se definan entre el proveedor y el cliente, de forma que sólo queden

reflejadas las particularidades de cada acuerdo específico y no los aspectos

cambiantes de los mismos.

Entre las características de los servicios podríamos encontrar:

• Nombre del servicio.

• Descripción del servicio.

• Objetivos.

• Medios de contacto.

• Horario del servicio y excepciones.

• Planes de seguridad.

• Características de valor añadido del servicio.

• Etc.

El catálogo de servicios es un documento que se genera dentro de la planificación

e implementación de servicios, como ya hemos comentado. Dicho componente

se encarga de plasmar en el catálogo la estrategia corporativa en relación a los

servicios TI, así como de mantener actualizadas las nuevas versiones del mismo

en función de los cambios que se vayan definiendo en relación a la incorporación,

eliminación o modificación de los servicios incluidos en él.


7.3. Servicios TI nuevos o

modificados. Ficha resumen

Objetivos

• Asegurar que, tanto los servicios nuevos, como las modificaciones

a los existentes, se pueden gestionar y entregar con los costos y la

calidad acordados.

Puntos clave

• Las propuestas de nuevos servicios o modificaciones de los

existentes se deben tramitar a través del proceso de gestión de

cambio.

• Se deberán considerar los costos, recursos, impacto organizativo,

técnico y comercial en su gestión y entrega.

• Se deberán generar pruebas de aceptación del nuevo servicio por

parte del proveedor del mismo.

• Una vez implementado el servicio se deberá realizar una revisión

para la validación de los resultados obtenidos frente a los objetivos

establecidos.


• Plan de servicio.

• Propuesta de nuevo servicio.

• Pruebas de aceptación.


• Evidencia de revisión post-implantación del nuevo servicio.

• Actas de revisión de planes, políticas de la gestión del servicio.


• Deberemos comunicar a las partes afectadas el cambio en el

servicio y generar evidencias.

• Deberán existir los nuevos contratos o modificación de los

existentes.

• Deberemos tener identificados los resultados esperados al operar

el nuevo servicio.


8. Auditoría y certificación

El proceso de certificación y auditoría consiste en un proceso sistemático,

independiente y documentado para obtener una seguridad de la auditoría y poder

evaluar de forma objetiva hasta qué punto el criterio de auditoría se cumple. Este

proceso se realiza por:

• Requerimientos de UNE-ISO/IEC 20000-1:2011.

• Controlar y medir el sistema de gestión.

• Promover la mejora continua de un sistema de gestión.

La principal condición para establecer la certificación es mediante el compromiso

por parte de la alta dirección.

La certificación aporta a la organización motivación, y demuestra confiabilidad y

calidad de los servicios para los empleados, clientes y partes interesadas. En un

primer momento hay tres aspectos que por su peso en las organizaciones suelen

revisarse:

• Infraestructura tecnológica (software,

hardware, telecomunicaciones…).

• Los sistemas de información (aplicaciones, bases de datos…).

• El personal informático y su organización.

Esta claro que estos puntos son claves, pero no suficientes para obtener una

dimensión real del área de TI y elaborar un informe de evaluación útil para la alta

dirección.

El proceso de certificación adecuado que abarque todo el sistema de gestión,


puede resumirse en:

1. Estudio por parte de AENOR de la documentación del SGS

(Manual, procedimientos, etc.)

2. Envío del plan de auditoría a la organización, indicando fechas,

equipo auditor y plan previsto.

3. Aprobación por parte de la organización del plan de auditoría.

4. Realización de la auditoría de certificación, FASE1 y FASE2

5. Realización del Informe de auditoría, donde se indican las

desviaciones detectadas.

6. Corrección de las desviaciones detectadas y presentación de la

solución de las mismas (PAC, Plan de Acciones Correctivas).

7. Concesión del certificado de acuerdo al alcance y al catálogo de

servicios correspondiente.

El esquema de certificación sigue la norma ISO/IEC 17021 y las

recomendaciones de ISO/IEC 20000-3.

Fuente: AENOR

Tras la ejecución de las diferentes fases de la auditoría, sus beneficios se reflejan

claramente en la organización:

• Prueba de conformidad con requerimientos.

• Incrementa la concienciación y la comprensión.

• Proporciona a la alta dirección de la organización una medida de


la eficacia de un sistema de gestión.

• Reduce el riesgo de fallo de un sistema de gestión.

• Identifica oportunidades de mejora.

• La mejora continua se lleva a cabo de forma regular.


ANEXO 1: GlosarioA

Acción correctiva (AC)

Acción tomada para eliminar la causa de una no-conformidad detectada u otra

situación indeseable.

Acción preventiva (AP)

Acción tomada para eliminar la causa de una no-conformidad potencial u otra

situación potencialmente indeseable.

C

CI (Configuration Item)

Elemento de configuración: Componente de un elemento que esta o estará bajo el

control de la gestión de configuración: hardware, software…

CMDB (Configuration Management DataBase)

Base de datos de gestión de la configuración: Base de datos que contiene los

detalles relevantes de cada elemento de configuración y los detalles de las relaciones

entre ellos.

D

Disponibilidad

Capacidad de un componente/servicio para realizar la funcionalidad requerida en

un periodo de tiempo determinado: Relación entre el tiempo en que el servicio está

disponible realmente para su uso por el negocio y el número de horas de servicio.


Documento

Información y el medio que la contiene: Declaración de políticas, planes,

procedimientos, acuerdos de servicio y contratos.

DSL (Definitive Software Library)

Biblioteca de software definitivo. Debe contener copia de todo el software instalado

en el entorno TI. Esto incluye no solo sistemas operativos y aplicaciones sino también

controladores de dispositivos y documentación asociada.

E

EC

Esquema de clasificación.

Evidencias de servicio

Son las partes del servicio que el cliente siente y puede valorar, porque son las

únicas partes del servicio que le resultan tangibles.

F

Fiabilidad del servicio

Indica en qué grado el cliente puede estar seguro de que el servicio será realizado

conforme a lo que ha sido publicado.

FSC (Forward Schedule of Changes)

Tabla de cambios.

G

Gestión de Servicio

Gestión de los servicios para cumplir con los requisitos de negocio.


I

IEC (International Electrotechnical Commission)

Comisión Electrónica Internacional

Incidente

Evento que no es parte de la operación estándar de un servicio y puede causar una

interrupción del servicio o disminución de la calidad.

Incumplimiento

Resultado de no haber observado algún requisito, norma o precepto a los que se

esta legalmente obligado en la prestación del servicio.

Indicador

Medida sustitutiva de información que permite calificar un concepto abstracto. Se

mide en porcentajes, tasas y razones para permitir comparaciones.

ISO (International Organization for Standardization)

Organización Internacional de Normalización. Su nombre significa “igual” en griego.

Fue fundada en el año 1946 y unifica a más de cien países. Se encarga de crear

normas internacionales.

ISO/IEC 20000

Norma Internacional formada por 2 partes:

Especificación

Código de practicas

ITIL (IT Infrastructure Library)

Biblioteca de Infraestructura de Tecnologías de la Información. Es un marco de


gestión de los servicios de Tecnologías de la información.

ITSCM (IT Service Continuity Management)

Gestión de continuidad del servicio. Se preocupa de impedir que una imprevista y

grave interrupción de los servicios TI, debido a desastres naturales u otras fuerzas

de causa mayor, tenga consecuencias catastróficas para el negocio.

N

NC (No Conformidad)

Incumplimiento de algún requisito del sistema de gestión de la calidad del servicio.

O

OLA (Operational Level Agreement)

Acuerdo de nivel de operaciones. Relaciones internas formalizadas.

P

PDCA (Plan, Do, Check, Act)

Las siglas PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,

Actuar). También conocido como “Círculo de Deming” (de Edwards Daming), y es

una estrategia de mejora continua de la calidad en cuatro pasos, basada en un

concepto ideado por Walter A. Shewhart. También se denomina espiral de mejora

continua.

Problema

Causa subyacente desconocida de uno o más incidentes.

PIR (Post Implementation Review)

Revisión Post Implementación de un cambio o un proyecto. Determina si el cambio

o proyecto se completo con éxito e identifica nuevas oportunidades de mejora.


Proveedor de servicio

La organización de TI que quiere cumplir con la norma ISO/IEC 20000: El proveedor

de servicio puede pertenecer a una organización cliente o a una organización

externa.

PYME

Pequeña y Mediana Empresa

R

RFC (Request for change)

Petición de cambio: Formulario, impreso o en pantalla, para registrar los detalles de

una petición de cambio de cualquier elemento de configuración perteneciente a un

servicio o a una infraestructura.

Registro

Documento que establece los resultados alcanzados: Los informes de auditoría,

las peticiones de cambio, los informes de incidencias, los registros de formación

individual y las facturas enviadas al cliente.

Registro de cambio

Registro que contiene los detalles de los elementos de configuración que son

afectados y como son afectados por un cambio autorizado.

S

Servicios de TI

Servicios de Tecnologías de la Información. Todo aquél servicio que está soportado

por tecnologías de la información y las comunicaciones.

SGS


Sistema de Gestión de Servicios -de Tecnologías de la Información-

SLM (Service Level Management)

Gestión del nivel de servicio. Proceso responsable de negociar y asegurar el

cumplimiento de los SLAs.

SLA (Service Level Agreement)

Acuerdo de Nivel de Servicio: Acuerdo escrito entre un proveedor del servicio y un

cliente, en el que se documentan los servicios y los niveles de servicio acordados

Service Desk

Centro de servicio al usuario: Grupo de soporte de cara al cliente o usuario, que

realiza una parte elevada del trabajo de soporte.

U

UC (Underpinning Contract)

Contratos de Soporte. De estos servicios depende el servicio entregado y deben

estar documentados y acordados con cada proveedor.


ANEXO 2: Documentación normativa

La documentación obligatoria en un SGS conforme a la norma UNE-ISO/IEC 20000-

1:2011 es la siguiente:

• Política de Gestión de los Servicios de Tecnologías de la

Información.

• Alcance del SGS.

• Plan de Gestión de los Servicios TI.

• Plan de formación.

• Programa de auditoría.

• Procedimiento de auditorías.

• Fichas de los procesos que forman el SGS.

• Plan de Mejora del Servicio.

• Catálogo de Servicios.

• Plan del Servicio.

• Política de Mejora Continua.

• Procedimiento de Gestión documental.

• Procedimiento de gestión de niveles del servicio.

• Acuerdos de nivel de servicio.


• Informes de servicio.

• Planes de disponibilidad y continuidad.

• Política de presupuestos y contabilidad.

• Procedimientos de presupuestos y contabilidad.

• Plan de capacidad.

• Política de Seguridad de la Información.

• Análisis de riesgos.

• Controles de Seguridad de la Información.

• Procedimiento de relación con los clientes.

• Procedimiento de reclamaciones.

• Procedimiento de satisfacción del cliente.

• Procedimiento de gestión de proveedores.

• Procedimiento de gestión de incidentes.

• Procedimiento de gestión de problemas.

• Política de gestión de la configuración.

• Procedimiento de control de la configuración.

• CMDB.

• Peticiones de cambio.

• Política de gestión de cambios.

• Procedimiento de gestión de cambios.


• Política de versiones.

• Planes de entrega (de versiones).

• Indicadores.

Además de los documentos normativos aquí señalados será necesario disponer de

los distintos registros y evidencias que permitan verificar el cumplimiento de todas y

cada una de las obligaciones identificadas por la norma.


ANEXO 3: Integración con otros sistemas de gestión

Un SGS es básicamente un sistema de gestión de servicios basado en un esquema

nacional ISO de gestión. Todos los sistemas de gestión basados en este tipo de

normas siguen el esquema PDCA de mejora continua como motor del sistema.

Una de las principales ventajas de la norma UNE-ISO/IEC 20000-1:2011 es que se

puede integrar de forma sencilla con otros sistemas de gestión que puede tener

implementados la organización. Los sistemas más comunes con los que puede

integrarse son el sistema de gestión de Medio Ambiente (UNE-EN ISO 14001:2004

Sistemas de gestión ambiental. Requisitos con orientación para su uso.), el sistema

de gestión de Calidad (UNE-EN ISO 9001:2008) y el Sistema de Gestión de la

Seguridad de la Información (UNE-ISO/IEC 27001).

Si se realiza un análisis detallado de las diferencias entre las normas UNE-EN ISO

9001:2008 e UNE-ISO/IEC 20000-1:2011, se puede comprobar que tienen bastantes

conceptos en común. Algunos de ellos pueden ser:

• Compromiso de la dirección.

• Control de la documentación.

• Gestión de recursos.

• Auditoría interna.

• Revisión por la dirección.

• Mejora continua: acciones correctivas y preventivas.

A los que la UNE-ISO/IEC 20000:2011 añade:

• La planificación e implementación de servicios nuevos o


modificados.

• La definición específica de los procesos de gestión de TI.

No obstante, existen algunas diferencias significativas. El Sistema de Gestión

de la Calidad (SGC) que define la UNE-EN ISO 9001:2008 cubre a priori toda la

organización, mientras que la UNE-ISO/IEC 20000-1:2011 se centra en las áreas

de TI. Además, la UNE-EN ISO 9001:2008 únicamente exige que los procesos

se definan, pero no determina ningún proceso específico a cumplir. Sin embargo,

ambas normas se centran en la satisfacción del cliente, y regulan desde aspectos

estratégicos hasta aspectos tácticos y operativos.

Si comparamos las exigencias de la UNE-ISO/IEC 20000-1:2011 con el Sistema

de Gestión de Seguridad de la Información (SGSI) definido por la UNE-ISO/IEC

27001 vemos que este último combina la satisfacción de los requisitos del cliente en

materia de seguridad con los de la propia compañía. Define una serie de requisitos

de seguridad a cumplir, unos a nivel general y otros específicos para el área TIC,

aunque su ámbito de aplicación sea a priori toda la organización, y cubre desde las

debilidades en materia de seguridad hasta el desarrollo del plan de continuidad de

negocio de la organización. Muchos de sus requisitos coinciden con los exigidos

por el sistema de gestión de calidad, tal y como se puede observar en los anexos

de la propia norma.

El SGS que define la UNE-ISO/IEC 20000-1:2011 se centra en la gestión de los

servicios TI, y en ella contempla desde los aspectos estratégicos hasta los operativos.

Amplía los requisitos que en materia de definición de procesos realiza la UNE-EN

ISO 9001:2008, identificando los que deben desarrollarse en dicha área, y desarrolla

de forma más extensa algunos de los requisitos de seguridad contemplados en la

UNE-ISO/IEC 27001, estableciendo procesos para los que antes sólo se definían

controles. Es una norma que facilita la adecuada definición del catálogo de servicios

y permite desarrollar de forma efectiva los SLAs que los regulen.

Todos estos puntos en común hacen necesario plantearse la integración de los


sistemas. En la medida que sea posible, la organización no debe mantener dos

sistemas de gestión de características similares de forma independiente. Tanto si

estos sistemas nacen a la vez como si ya teníamos implantado uno de ellos, el SGS

debería integrarse con él en la medida de lo posible, aprovechando los elementos

en común.

Lo que se pretende evitar con la integración es tener dos sistemas de control

documental implantados en la empresa, o dos procedimientos independientes

de realizar auditorías internas. Está claro que los procedimientos no pueden ser

exactamente iguales, pero sí se pueden aprovechar las partes comunes y adaptar

a nuestro sistema lo específico de la norma.

En resumen, la UNE-ISO/IEC 20000:2011 propone el desarrollo de un sistema

de gestión que, con objetivos específicos, exige la implementación de medidas

coincidentes, en muchos casos, con otros sistemas de gestión normalizados. Por

tanto, la implementación integrada de varios sistemas de gestión nos va a permitir

el desarrollo de un único modelo de gestión que cumpla simultáneamente con los

requisitos de todos ellos, con la consiguiente mejora en eficiencia y eficacia que

dicha integración puede llegar a suponer para la organización.


www.mxtel.com.mx

Documents

ISO 20000 para PYMES 'Cómo implantar un Sistema de ... · ISO 20000 para PYMES · Mxtel 2 gestionado. Si establecemos el criterio de considerar de manera específica la calidad de