Upload
exin
View
449
Download
6
Embed Size (px)
DESCRIPTION
Como tras conseguir un estado de madurez suficiente en ITIL, la ISO20000 nos podría, o no, llevar al siguiente nivel: aterrizando un poco los conceptosHablaremos de los pasos necesarios para ubicarnos con éxito en el despliegue de la norma. De cómo saber si estamos o no, listos para afrontar un proyecto de certificación con riesgos mínimos, y por qué es importante, y muy recomendable, conseguir primero determinados niveles de madurez (buena andadura) con ITIL como paso previo a contemplar la norma como algo necesario. Mucho se está hablando de la ISO20000 últimamente, pero es acaso una buena visión o es sólo otro argumento comercial? Realmente somos conscientes de lo que implica o sólo estamos siendo víctimas de las prisas, la desinformación y la necesidad de diferenciarnos? ...un proyecto ISO20000 puede ser una muy buena inversión, o no; sin embargo no deja de ser un proyecto, y como tal, tiene riesgos, tiempos, implicados, costes y demás cosas a considerar.
Citation preview
N
o
Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
GESTIÓN DE SERVICIOS CON ISO/IEC 20000
29/08/2013
N
o
Organizaciones invitadas:
Con la colaboración de ...
Datos de contacto de la empresa:
Calle Bolognesi 125, Oficina 1303. Miraflores, Lima-Perú
(0051) 2418509 | (0051) 4464144
www.facebook.com/pmconsultant
@pmc_latam
JUAN MANUEL ESPINOZA, es Master en Dirección y Gestión de Empresas - MBA, Postgraduado en Dirección y Gestión de las Tecnologías de la Información y Comunicaciones (TICs), Master en Gestión Avanzada de Proyectos, e Ingeniero en Informática; y ha complementado su preparación y visión de futuro con un Postgrado en Organización Jurídica, Económica y Política de la República Popular China y Taiwán. Adicionalmente, dispone de los certificados oficiales como: Consultant Manager en ISO/IEC 20000, Associate en ISO/IEC 20000, Auditor ISO27001, ISO27002, ITIL® v2 y v3, Cobit v4.1, Prince2, Cloud Computing, Microsoft Operations Framework, ITIL® Service Strategy, ITIL® Service Design, ITIL® Service Transition, ITIL® Service Operation, ITIL® Continual Service Improvement, ITIL® Managing Across the LifeCycle, e ITIL® EXPERT (Lifecycle Stream) y Certified Integrator Secure Cloud Services. Es entrenador acreditado internacionalmente por EXIN para ITIL® (Foundation, Intermediate y Advance), ISO/IEC 20000, ISO/IEC 27002, MOF y Cloud Computing. Profesor asociado de la Universidad Católica de Murcia, y de la Universidad Publica de Murcia, para sus programas de Postgrado en Dirección de Proyectos, Servicios y Gobierno de TI. Cuenta con más de 15 años de experiencia profesional, donde lleva los últimos 9 años dedicados exclusivamente a la Gestión de Servicios (ITSM), Gestión de Procesos de Negocio y Gestión de Proyectos y Programas. Todos ellos en España; siendo un profesional del ITSM ampliamente reconocido en diferentes países de habla hispana. Actualmente diseña y dirige diferentes proyectos de implementación y alineamiento ITIL® e ISO/IEC 20000:2011, en empresas del Perú.
ITIL® EXPERT (LifeCycle Stream)
ISO/IEC 20000 CONSULTANT MANAGER
ISTM EXPERIENCED PROFESSIONAL
GESTIÓN DE SERVICIOS CON ISO/IEC 20000 “EL SIGUIENTE PASO DESDE ITIL®”
PROVEEDOR
DE
TECHNOLOGÍA
PROVEEDOR
DE
SERVICIOS
PARTNER
ESTRATÉGICO
ROL DE LA
FUNCIÓN TI
GESTIÓN DE
INFRAESTRUCTURA
DE TI
GESTIÓN DE
SERVICIOS DE TI
ITIL®
ITIL® 2011
ITIL® v2
Foco: Estabilidad y control de la infraestructura
TI son técnicos expertos
TI se preocupa de minimizar las interrupciones del negocio
Foco: Calidad y eficiencia de los Procesos de TI
TI es un Proveedor de Servicios
TI está separado del negocio
TI depende del presupuesto para su control
Foco: Integración y alineamiento de TI y el Negocio
Gestión de Servicios para el Negocio y la Tecnología
Gobierno de la Estrategia y la Estrategia del Servicio
Mejora Continua
GESTIÓN DE
SERVICIOS
ITIL®, ahora va más allá…
ITIL®, en la mente de 9 de cada 10…
La mayor parte de las personas
implicadas en el área de TI, han
oído hablar de ITIL® (sin lugar a
dudas); sin embargo, la mayor
parte piensa que ITIL® es
principalmente para la operación
del Servicio.
Con dicha premisa, la mayor parte
de personas en el área de TI,
tienden a plantearse el QUE (hay
que hacer), en vez de el COMO
(llegamos a dicha conclusión).
Accesos
Requerimientos
Incidencias
Problemas
…demasiado básico, no?
OPERACION
La operación, sin base, es costosa…
Cuando la operación del Servicio
se ha planteado desde una
necesidad apremiante de “mejorar”
la situación del área de TI, respecto
a las incidencias que se generan
diariamente, por lo general, suele
convertirse en un dolor de cabeza
más antes que después.
El valor debe ser cuantificable,
siempre. No se debe implementar
“Operación del Servicio” sin mayor
análisis. Hace falta una estrategia.
Tengo un Call Center de TI, no ITIL®
Soporte Técnico
Las “incidencias” entran regularmente a
través del teléfono, pero:
• No aprendemos de ellas.
• No llevamos un registro formal (integrado).
• No se actualiza mi inventario de infraestructura
con cada cambio que realizo.
• No existe una perspectiva global de mi
infraestructura, y lo que tenia el mes pasado,
seguramente no sea lo que tengo hoy (ni lo de
ayer tampoco).
• No tengo trazabilidad ninguna, y automatizar
es inviable.
• No tengo ni idea de cuanto vale cada
“incidencia” o cuanto cuesta realmente el
solucionarla.
Escenarios comunes (en el cliente)…
“Si no sabes a donde vas, cualquier camino te vale igual”
• Ya tengo una súper herramienta, pero no tengo
procesos, decentes, para utilizarla.
• Los procesos que tengo son tan pobres, que con un
excel me basta (o eso creo).
• He invertido (gastado, realmente) un montón de
dinero y aun no se que decir cuando me preguntan
por el ROI (y antes o después, tendrás que
responder).
• He comprado una herramienta súper cara, porque
me dijeron que con eso tendría ITIL®.
• Como mi jefe se entere de que lo que contraté no
sirve para nada y que he gastado en vez de invertir,
lo mismo y me voy a la calle.
• Pienso que ITIL® es muy teórico, y la herramienta lo
vuelve tangible, así que debe ir primero.
• Me parece que la CMDB es lo ultimo que necesito,
total, no es más que un inventario.
• …
¿ITIL® es así, tan etéreo?…
No, de hecho promueve por principios
definidos, que el cliente reciba lo que
realmente necesita, y exige que el
servicio que se provea sea no solo
rentable para el proveedor, sino que
debe serlo también para el cliente.
Proveer un servicio valioso, va más allá
de simplemente instalar una
herramienta que luego no podrás
explotar al 100%.
Se debe plantear el servicio de forma
que el cliente sea capaz de cuantificar el
valor (no solo el coste) que como
proveedores entregamos.
Return on
assets
Utility
Warranty
Performance
of customer
assets
Performance
average
Performance
variation
Service
+
_
…es importante destacar que la implantación de ITIL®/ITSM requiere no solamente personas
cualificadas, las organizaciones también requieren la justificación económica y organizativa de los beneficios,
y hasta la fecha, pocas empresas se plantean seriamente la cuantificación de los beneficios derivados
de su aplicación... Tan, W.-G., Cater-Steel, A., & Toleman, M. (2009). Implementing IT Service Management: A case study focussing on critical
success factors. Journal of Computer Information Systems 50 (2), 1-12
Nota de quiebre…
En conclusión…
• ITIL® es mucho más útil que para simplemente “operar” un
servicio de TI. Soporta objetivos de negocio de manera
tangible, y no es algo teórico …teórico puede ser quien te
lo cuente (un consultor de papel).
• Puedes tener implementado ITIL® en tu negocio, y no
necesariamente tener Gestión de Incidencias, Problemas
o demás. ITIL® te ayuda a mejorar de mil formas,
estableciendo un marco formal para tus objetivos de
negocio.
• Lograr la inserción de una SMO dentro de la estructura
organizacional requiere de personal cualificado,
consultoría especializada en “algo más” que TI. Esto
trasciende al área de TI, aporta valor real al negocio.
Requiere estrategia y estrategas.
La serie ISO/IEC 20000, normalizada y
publicada por las organizaciones ISO e IEC
el 14 de diciembre de 2005, es el estándar
reconocido internacionalmente en gestión
de servicios de TI. La serie 20000 proviene
de la adopción de la serie BS 15000
desarrollada por la entidad de
normalización británica.
La implantación de un Sistema de Gestión
de Servicios, es un valor añadido a tener
en cuenta para la contratación de servicios,
sobre todo por parte de sectores tan fuertes
como las telecomunicaciones, finanzas o
sector público.
¿QUE ES LA ISO/IEC 20000?
Es una certificación que permite
demostrar a los clientes, de forma
independiente, que la entidad cumple de
forma sistemática y organizada con las
mejores prácticas en la prestación de sus
servicios, dentro del ámbito de TI y fuera
de el.
La norma es especialmente apropiada
tanto para proveedores internos de
servicios de TI, como para empresas
proveedoras de estos servicios a terceros.
¿PARA QUE SIRVE?
LA MEJORA CONTINUA, LA PIEZA CLAVE
La ISO/IEC 20000 coloca a todos los elementos en
el contexto de un proceso de mejora continua
basado en el modelo PDCA (Plan, Do, Check, Act).
• PLANIFICAR: Establecer los objetivos y
procesos necesarios para entregar resultados
de acuerdo con los requerimientos del cliente y
las políticas de la Organización.
• HACER: Implementar los procesos.
• VERIFICAR: Monitorear y medir los procesos y
servicios respecto a las políticas, objetivos y
requisitos y hacer un reporte de los resultados.
• ACTUAR: Tomar acciones para mejorar
continuamente el desempeño de los procesos.
EL MODELO PDCA (CICLO DE DEMING)
VISTA GLOBAL
• GRUPO DE PROCESOS DE PROVISIÓN
DEL SERVICIO.
1. Gestión del Nivel del Servicio
2. Generación de Informes del Servicio
3. Gestión de la Disponibilidad y
Continuidad del Servicio
4. Elaboración del Presupuesto y
Contabilidad de los Servicios de TI
5. Gestión de Capacidad
6. Gestión de la Seguridad de la
Información
• GRUPO DE PROCESOS DE CONTROL.
1. Gestión de la Configuración
2. Gestión del Cambio
3. Gestión de la Entrega
• GRUPO DE PROCESOS DE RESOLUCIÓN.
1. Gestión de Incidencias y requerimientos
2. Gestión de Problemas
• GRUPO DE PROCESOS DE RELACION.
1. Gestión de las Relaciones con el Negocio
2. Gestión de Suministradores
LOS GRUPOS DE PROCESOS
PARTIENDO DE ITIL®, EL CAMINO ES MAS NATURAL
IT steering group Project management
office
Business relationship
management
(role or function)
Service management
office
Business
relationship
management Demand
management
Financial
management
for IT services
Service
portfolio
management
Strategy
management
for IT services
BR manager
customer 1
BR manager
customer 2
BR manager
customer 3
BR manager
customer 4
Service A owner x x x
Service B owner x
Service C owner x
Service D owner x
Service E owner x
x x
x
Technology (technical, application and IT operations management)
Incident
mgt
Problem
mgt
Change
mgt
Access
mgt
Service
catalogue
mgt
Request
fulfilment
Service desk
Serv
ice le
vel m
anager(
s)
Serv
ice le
vel m
gt
Capacity mgt
Availability mgt
IT service continuity
mgt
Supplier mgt
Event mgt
Release and
deployment mgt
Service asset and
configuration mgt
SMO: ITIL/ISO20K
La importancia de que las
organizaciones estén orientadas a
procesos es que éstos se pueden
diseñar para facilitar una
metodología orientada al cliente, lo
que mejora la alineación entre la
organización de TI (responsable de
suministrar servicios e información)
y los clientes (responsables de usar
los sistemas de información).
Esta tendencia ha recibido el
nombre de alineación entre el
negocio y las TI (BITA por sus siglas
en inglés). Con una SMO
desplegada, el alinearnos con
ISO20K y mantenerla, es más
sencillo.
• La ISO/IEC 20000, es sin lugar a dudas una poderosa herramienta
para la diferenciación en el mercado, ya que demuestra nuestra
capacidad para gestionar servicios con calidad y valor.
• Lo más recomendable es apostar por este tipo de proyectos, una
vez que se ha alcanzado un adecuado nivel de madurez y rodaje
con los procesos que provee ITIL®.
• El primer paso para implementar (o no) la ISO/IEC 20000, será la
valoración de nuestra situación real, es decir, desplegar un
assessment respecto a la norma, que evidencie nuestro verdadero
punto de partida. Recuerda que por más que te empeñes, ninguna
ISO es igual a otra.
• Todo profesional que intervenga en un proyecto de despliegue,
valoración o implementación, deberá estar entrenado, certificado y
contar con experiencia real en este tipo de proyectos. Caso
contrario, puedes terminar en cualquier sitio.
• No son proyectos sencillos (y no es solo generar documentos),
como todos los proyectos, conllevan riesgos y desviaciones que
han de ser manejados de la mejor forma. Desconfía de quien te
diga que es algo simple, rápido y «de manual».
CONCLUSIONES
Determinar los objetivos y el ROI:
• ¿Por qué se aborda la implantación y certificación?
• ¿Cuáles son los objetivos?
• ¿Cuáles son los beneficios esperados?
Evaluar el nivel de madurez de la organización:
• ¿Hay otros sistemas de gestión implantados? (por
ejemplo ISO 9001)
• ¿Hay otras prácticas de gobierno implantadas? (por
ejemplo COBIT)
Elegir el alcance:
• Un alcance muy ambicioso puede ser inabordable.
• El alcance de la certificación no tiene porqué ser el real.
• El alcance puede modificarse a posteriori.
CONSIDERACIONES PREVIAS
PASOS A SEGUIR (EN EL 99.9% DE LAS OCASIONES)
Identificar objetivos y
beneficios esperados
Evaluar el nivel de
madurez de la
organización
Definir el alcance,
considerando objetivos,
beneficios e impacto
(política)
Asignar recursos y
responsabilidades al
Sistema de Gestión y a
los procesos
Diseñar los procesos
Pilotar el Sistema de
Gestión de Servicios
Auditoria de
Certificación
Empresa:
Entrevistado: Cargo:
Fecha: Hora:
VALORACION
FINAL¿Cumple las
condiciones de la
norma?
Documento(Presenta documento
o Acta formal)
1
Los servicios nuevos o modificados se deben
probar para verificar que cumplen con los
requisitos del servicio y con el diseño
docuemntado. Los servicios nuevos o
modificados se deben verificar frente a los
criterios de aceptacion acordados
previamente entre el proveedor del servicio
y las partes interesadas. Si no se cumplen los
criterios de aceptacion del servicio, el
proveedor del servicio y las aprtes
interesadas deben tomar una decision sobre
las acciones necesarias y sobre el despliegue.
PSV NR NR
2
Se debe utilizar el proceso de gestion de la
entrega y del despliegue para hacer uso de
los servicios nuevos o modificados
aprobados en el entorno operativo.
PSV NR NR
3
Tras la finalizacion de las actividades de
transicion, el proveedor del servicio debe
informar a las partes interesadas sobre los
resultados obtenidos frente a los resultados
esperados.
PSV NR NR
SI Documentos NO SI NO %
0 0 0 0 0 0
SI %
SI/NO NR - - -
SI/NO NR - - -
SI/NO NR 3 0 0
3 0 0
N° DESCRIPCION DE REQUISITOS ROL
EVIDENCIA:
Niveles de
Conformidad
Incremental
ISO/IEC 20000
5. DISEÑO Y TRANSICION DE SERVICIOS NUEVOS O MODIFICADOS
5.4.TRANSICION DE SERVICIOS NUEVOS O MODIFICADOS
Totales
OBSERVACIONES
SI/NO SI/NO N1 N2 N3
Escriba o seleccione SI o NO según corresponda
Resumen del Cuestionario: Evidencia Valoración
Respuestas
NR: No Requerido para el nivel TOTAL 0
Niveles de Conformidad Incremental para la ISO/IEC 20000 Cantidad de
Requisitos por
Cumplir
Cantidad de Requisitos
Cumplidos
Descripción Valores NO
Requisitos de Nivel 1 que se deben cumplir -
Requisitos de Nivel 2 que se deben cumplir -
Requisitos de Nivel 3 que se deben cumplir 0
VALORACION (CLAVE)
Si bien muchas organizaciones se gastan el
tiempo en diferentes planteamientos, entre
si si o si no, o van y vienen pensando en los
tiempos y demás variables de un proyecto
de implementación ISO20K. La única
realidad es que sin una ADECUADA
valoración de la realidad, no han de llegar
muy lejos.
Es importante partir de una valoración
hecha a conciencia, con la idea de poder
ser realistas en nuestras ambiciones,
objetivos de venta y demás situaciones
“post implementación”. Muchas
organizaciones pierden el tiempo cocinando
la liebre antes de cazarla.
UNA BUENA PROPUESTA
Toda propuesta de servicios, debería
contemplar que este tipo de proyectos han
de ir siempre por FASES.
Un indicador de que la propuesta es
BUENA o por lo menos consecuente, suele
ser que el precio no está cerrado, si no que
más bien, está condicionado a los
resultados de las fases de valoración, y que
cuenta con el adecuado calculo de
desviaciones (dólar arriba, dólar abajo).
Este tipo de proyectos, dependiendo del
alcance y la complejidad del servicio que se
pretende certificar, puede tomar desde los
10 meses (siendo lógicos), hasta los 38
meses.
DURACION SERVICIO
100 Horas
FASE DESCRIPCION ACTIVIDADES PRINCIPALES HORAS A DEDICAR ENTREGABLES
Fase IIdentificar objetivos y beneficios
esperados
Entrevistas con los principales implicados en el
proyecto, con la finalidad de establecer un
entendimiento claro de los beneficios que
proporciona la norma, y alinearlos con los objetivos
esperados por el cliente.
20
Establecimiento formal de los objetivos por parte del
cliente, y de los beneficios comprometidos y
esperados por parte del Proveedor (COSAPI
DATA/PMConsultant Latam).
Fase IIEvaluar nivel de madurez de la
organización
Reuniones con el equipo del cliente (Responsables y
Ejecutores) para el establecimiento de una linea
base (donde estamos realmente), y dar inicio al
Assessment de madurez según la ISO/IEC
20000:2011, y los niveles de la UNE 71020:2013.
50
Reporte de situación actual y estado de madurez
respecto a la ISO/IEC 20000:2011 y la UNE
71020:2013
Fase III Definir el alcance
Elaboración de la lista de actividades requeridas
para encaminar y alinear el proyecto con el objetivo
primario. Todo esto basado en el reporte de
situación actual y estado de madurez respecto a la
ISO/IEC 20000:2011 y la UNE 71020:2013
30
Reporte de actividades, dedicacion y esfuerzo
necesarios, para la consecucion del alcance
comprometido.
Fase IV Asignar recursos y responsabilidades
Elaboración de la planificación del proyecto de
implementación (actividades, duración, recursos,
hitos, controles). Todo esto basado en los reportes
de situación actual y estado de madurez respecto a
la ISO/IEC 20000:2011 y la UNE 71020:2013, asi
como en el reporte de actividades, dedicacion y
esfuerzo necesarios, para la consecucion del
alcance comprometido.
50Plafinicación global, diseño del proyecto y marco de
gobierno.
Fase V Diseñar Procesos
Elaboración de los procesos identificados como
necesarios para la implementacion de la ISO/IEC
20000:2011 y su alineamiento con el modelo de
niveles que plantea la UNE 71020:2013.
500
Servicio debidamente alineado con la ISO/IEC
20000:2011, con todos sus procesos diseñados,
procedimentados, e integrados, incluyendo los
artefactos necesarios para cada proceso y su
correspondiente despliegue.
Fase VI Pilotar el Sistema de GestiónDespliegue del Sistema de Gestión en entorno
controlado (según lo más adecuado en cada caso).250
Evidencias del SGS (por cada proceso y actividad
requerida) desplegado y funcionando a traves del
servicio a certificar.
Fase VII Auditoria de Certificación
Acompañamiento durante la fase de revisión por
parte del auditor, con la finalidad de respaldar y
sustentar las actividades desplegadas.
50 Servicio Certificado (Auditoria Exitosa)
950
ALCANCE INICIALMENTE PLANTEADO
* Elaboración del Cronograma de actividades criticas y
relacionadas para la implementacion de un SGS (Sistema de
Gestión de Servicios), basandonos en la ISO/IEC 20000:2011.
* Acompañamiento y tutorización planificada, durante la puesta
en marcha del proyecto.
* Absolución de dudas puntuales, revisión de avances y garantizar
el alineamiento durante el periodo pactado.
OBJETIVO PRIMARIO
Apoyar al equipo responsable, por parte de GMD, en la consecución de la
Certificación ISO/IEC 20000:2011.
El proyecto tendrá una duración aproximada de 10 MESES, y contará con 2
consultores especializados para el desarrollo de todas las fases. La dedicación
de los consultores, será de aproximadamente unas 6 horas diarias.
HORAS PRESUPUESTADAS
Las auditorias de certificación, revisan el
Sistema de Gestión y buscan evidencias del
cumplimiento de los requisitos que
establece la norma.
Es absolutamente inviable, que la auditoria
se de por “buena” sin haber tenido un
periodo de pilotaje razonable (3 a 4 meses),
para la generación de evidencias reales.
El periodo de pilotaje, sirve adicionalmente
para identificar y desplegar mejoras en el
Sistema de Gestión de Servicios, y para
asegurar el cambio cultural en la
organización.
LAS AUDITORIAS
A TENER EN CUENTA…
La implantación de las mejores prácticas de ITIL®
o la certificación en ISO/IEC 20000 es exigente
en cuanto a recursos humanos pero también en
cuanto a recursos económicos. No es viable una
implantación que no considere presupuesto para
formación o para la adquisición de herramientas
software de apoyo.
¿DUDAS, PREGUNTAS?
Con la colaboración de ...
Datos de contacto de la empresa:
Calle Bolognesi 125, Oficina 1303. Miraflores, Lima-Perú
(0051) 2418509 | (0051) 4464144
www.facebook.com/pmconsultant
@pmc_latam
ITIL® EXPERT (LifeCycle Stream)
ISO/IEC 20000 CONSULTANT MANAGER
ISTM EXPERIENCED PROFESSIONAL
¡Gracias por su atención!
¡Gracias por su atención!
N
o
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
@EXIN_ES ( Hash Tag: #EXINWebinarsEnCastellano )
Obtén este y otros Webinars en nuestro canal Youtube Coporativo
http://www.youtube.com/user/ExinExams