Creación e implantación de un Sistema de Gestión de Servicios Estándar basado en la norma ISO/IEC 20000-1:2011 Bernardo Gómez Vicent Moncada - 12 de Julio del 2013

1. Creación e implantación de un Sistema de
Gestión de Servicios Estándar basado en la
norma ISO/IEC 20000-1:2011
Bernardo Gómez Vicent
Moncada - 12 de Julio del 2013

2. ¿De qué va el Proyecto?
• El proyecto consta de dos partes:
– Creación de un Sistema de Gestión de Servicios Estándar a
partir de los requerimientos de la norma ISO 20000-1:2011
– Implantación de ese Sistema de Gestión de Servicios
Estándar en la empresa Network Security Advisors, con el fin
de obtener la certificación en uno de los servicios que provee
a sus clientes.
2

3. Índice
1. Introducción
2. Entorno de la ISO 20000
3. El Sistema de Gestión de Servicios Estándar
4. La Implantación en Network Security Advisors
5. Conclusiones
6. Turno de preguntas
3

4. 1. Introducción
• Dentro de la introducción veremos los siguientes puntos:
– Objetivos
– Planificación de una implantación real sin el Sistema de
Gestión de Servicios Estándar
– Propuesta de proyecto
– Beneficios que se persiguen
4

5. 1.1 Objetivos
Los objetivos que se persiguen con la creación de este proyecto
son los siguiente:
1. Proporcionar una visión general del contenido de la norma ISO
20000
2. Explicar el impacto que puede tener el certificación de dicha
norma para los proveedores de servicios de TI
3. La Creación del SGS Estándar
4. La implantación de dicho SGS
5

6. 1.2 Planificación de una implantación de la norma
sin el SGS Estándar
6

7. 1.3 Propuesta de proyecto
7

8. 1.4 Beneficios que se persiguen
• Aumentar la eficiencia en la gestión de los servicios de TI por
parte de las empresas proveedoras de dichos servicios.
• Reducir costes y optimizar recursos
• Entrar en un ciclo de mejora continua
• Aumentar la satisfacción de los clientes
• Mejorar de forma sustancial la imagen de la empresa en el
mercado
8

9. 2. Entorno de la ISO 20000
1. ¿Qué es ISO?
2. ISO 20000
3. ITIL
4. COBIT
5. MOF
6. Mapeo ISO 20000, ITIL, COBIT 5
9

10. 2.1 ¿Qué es ISO? (I)
• Organización
Internacional
de
Normalización fundada
en Ginebra (Suiza)
• Objetivo: regularizar los
estándares industriales y
facilitar la coordinación
internacional
10

11. 2.1 ¿Qué es ISO? (II)
• Todas las normas desarrolladas por ISO son voluntarias.
• No se puede imponer a un país; ya que es un organismo NO
gubernamental.
• El contenido de los estándares está protegido por derechos de
copyright y para acceder a esos documentos hay que
comprarlos.
11

12. 2.1 ¿Qué es ISO? (III)
Miembros natos
Miembros correspondientes
Miembros suscritos
Otros Estados no miembros de la ISO
12

13. 2.1 ¿Qué es ISO? (IV)
La creación de una norma ISO depende de que una industria o
sector comunique la necesidad de un estándar a uno de los
miembros de la ISO.
Si dicha petición es aceptada se crea el comité técnico (enfoque
muy específico)
• ISO posee 3 comités de política general que proporcionan
orientación estratégica (CASCO, COPOLCO y DEVCO)
Una vez creada se vota para aprobarla o si hay q hacer
correcciones.
13

14. 2.2 ISO 20000 (I)
• Es la primera norma dirigida a la gestión de servicios de TI
• Fue publicada como BS15000 en Reino Unido y reconvertida a
ISO 20000:2005 en diciembre del 2005.
• Es un enfoque integrado basado en procesos que alinea la
prestación de servicios TI con las necesidades de la
organización
• Su credibilidad es alta por haber sido desarrollada junto con
itSMF
14

15. 2.2 ISO 20000 (II)
• Formada por:
1. ISO 20000-1: Especificaciones
2. ISO 20000-2: Código de buenas prácticas
3. ISO 20000-3: Guía sobre la definición del alcance y
aplicabilidad de la norma ISO 20000-1
15

16. 2.2 ISO 20000 (III)
16

17. 2.2 ISO 20000 (IV)
• La mejora continua es uno de los requisitos que la norma ISO
20000 impone a un sistema de gestión de servicios de TI
• En ISO 20000 se propone el modelo PDCA (Plan-Do-CheckAct)
17

18. 2.2 ISO 20000 (V)
• ¿Quién puede aplicar la norma ISO 20000?
– Es aplicable a cualquier tamaño de organización que
proporcione servicios de TI a sus clientes.
– Un SGS en el que el control de los procesos de gestión está
distribuido entre más de una entidad legal, NO PUEDE
certificarse
18

19. 2.2 ISO 20000 (VI)
• ¿Cómo se demuestra que se tiene el control de los procesos?
– Se es responsable del cumplimiento de los procesos
– Se dispone de evidencias de la ejecución de los procesos
– Se mantiene total responsabilidad y control sobre la
definición de los procesos, de los servicios, de la mejora
continua y del plan de gestión de servicios
19

20. 2.2 ISO 20000 (VII)
20

21. 2.2 ISO 20000 (VIII)
• Principales certificadoras:
– AENOR
– BSI
– APPLUS+
– APCER
21

22. 2.3 ITIL (I)
Information Technology Infrastructure Library
Mejores prácticas basadas en un conjunto de conceptos y prácticas
para la gestión de servicios, el desarrollo y las operaciones de TI.
ITIL define qué hay que hacer no el cómo hay que hacerlo
22

23. 2.3 ITIL (II)
ITIL se basa en unos conceptos básicos:
-
Gestión de Servicios
-
Servicio
-
Valor
-
Función
-
Proceso
-
Ciclo de Vida
23

24. 2.3 ITIL (III)
El ciclo de vida del Servicio en ITIL consta de 5 fases:
-
Estrategia del Servicio
-
Diseño del Servicio
-
Transición del Servicio
-
Operación del Servicio
-
Mejora Continua del Servicio
24

25. 2.4 COBIT (I)
Control Objectives for Information and related Technology
Marco aceptado internacionalmente como una buena práctica para
el control de la información de TI y los riesgos que conllevan.
Optimiza las inversiones habilitadas por TI, asegura la entrega del
servicio y proporciona una métrica para comprobar que las cosas
marchen bien.
25

26. 2.4 COBIT (II)
COBIT proporciona un marco de trabajo el cual tiene un triple
enfoque:
• Enfocado a la gestión: Provee a la administración de una base
de mejoras prácticas con las que se pueden tomar decisiones
de TI e inversión.
• Enfocado a los usuarios de TI: Debido a la seguridad que les
brinda para el control de objetivos y procesos.
• Enfocado a auditores: Permite identificar problemas de TI
dentro de la infraestructura de TI de la compañía.
26

27. 2.4 COBIT(III)
• Principios de COBIT 5:
– Satisfacer las necesidades de las partes interesadas
– Cubrir la Organización de forma integral
– Aplicar sólo un marco integrado
– Habilitar un enfoque holístico
– Separar el Gobierno de la Administración TI
27

28. 2.4 COBIT (IV)
• Los 7 habilitadores de COBIT:
– Procesos
– Estructuras Organizacionales
– Cultura, Ética y Comportamiento
– Principios, políticas y marcos.
– Información
– Personas, Habilidades y Competencias
28

29. 2.4 COBIT (V)
29

30. 2.5 MOF(I)
• Microsoft Operations Framework
• Colección de recomendaciones, principios y modelos para la
administración de servicios TI basado en ITIL.
• Si ITIL definía qué hacer, MOF define el cómo hacerlo
(metodología).
30

31. 2.5 MOF (II)
• Procesos MOF constan de cuatro fases integradas;
– Cambios
– Funcionamiento
– Soporte Técnico
– Optimización
31

32. 2.6 Mapeo ISO 20000, ITIL, COBIT5
32

33. 3. El Sistema de Gestión de Servicios Estándar
1. Requerimientos de un Sistema de Gestión
2. Planificación e implementación de la Gestión de Servicios de TI
3. Definición de la documentación
4. Procesos ISO 20000:2011
33

34. 3.1 Requerimientos de un Sistema de Gestión
• 3 sectores fundamentales:
– Responsabilidad de la dirección
– Requerimientos de la documentación
– Competencia del personal
34

35. 3.2 Planificación e implementación de la Gestión de
Servicios de TI
Fases del ciclo de implementación de la gestión de servicios:
• Plan: Se especifica el alcance para la aplicabilidad de la norma
• Do: Se ejecuta lo establecido en el Plan.
• Check: Se utiliza la monitorización, medición y revisión del SGS
para comprobar que se consigue lo esperado. El resultado de
esta fase son las acciones de mejora
• Act: Planificación de las acciones de mejora
35

36. 3.3 Definición de la documentación (I)
La norma está documentada en 37 páginas; analizando la norma
se extraen:
36

37. 3.3 Definición de la documentación (II)
37

38. 3.3 Definición de la documentación (III)
• Definición de procesos:
1. Introducción
2. Glosario
3. Abreviaturas
4. Visión General del Proceso(Definición, objetivos y ámbito)
5. Proceso “que corresponda”(Diagrama, Actividades, Entradas,
Salidas)
6. Evaluación y Seguimiento(Indicadores e informes)
7. Integración con otros procesos
38

39. 3.3 Definición de la documentación (IV)
• Procedimientos:
1. Introducción
2. Diagrama general del proceso
3. Actividades
• Actividad “n”
a. Diagrama
b. Descripción
39

40. 3.4 Procesos ISO 20000 (I)
Planificación en implementación de servicios nuevos o
modificados:
• Objetivo: Asegurar que si se crea o modifica un servicio éste se
haga de la forma más eficiente; asegurando la calidad y
continuidad del servicio.
40

41. 3.4 Procesos ISO 20000 (II)
41

42. 3.4 Procesos ISO 20000 (III)
• Entradas:
– Solicitudes de clientes
– Reclamaciones de clientes
– Peticiones de cambio (RFC)
– Catálogo de Servicios
• Salidas:
– SLA(Service Level Agreement) firmado
– Catálogo de Servicios actualizado
42

43. 3.4 Procesos ISO 20000 (IV)
Gestión de Niveles de Servicio
• Objetivo: Definir, negociar y supervisar la calidad de los
servicios de TI ofrecidos.
43

44. 3.4 Procesos ISO 20000 (V)
44

45. 3.4 Procesos ISO 20000 (VI)
• Entradas:
– Información del resto de procesos
– SLA´s
• Salidas:
– SLA(Service Level Agreement)
– SLR (Requisitos de Nivel de Servicio)
45

46. 3.4 Procesos ISO 20000 (VII)
Gestión de la Continuidad y Disponibilidad del Servicio
• Objetivo: Asegurar que los servicios se prestan de forma
continuada y no sufren interrupciones.
46

47. 3.4 Procesos ISO 20000 (VIII)
47

48. 3.4 Procesos ISO 20000 (IX)
• Entradas:
– Incumplimientos en la disponibilidad
– Fecha de revisión de los planes de disponibilidad y
continuidad
– Peticiones de la dirección
• Salidas:
– Plan de disponibilidad
– Plan de continuidad
48

49. 3.4 Procesos ISO 20000 (X)
Elaboración de Presupuesto y Contabilidad de los
Servicios de TI
• Objetivo: Administrar de manera eficaz y rentable los servicios y
la organización de TI.
49

50. 3.4 Procesos ISO 20000 (XI)
50

51. 3.4 Procesos ISO 20000 (XII)
• Entradas:
– Necesidades de compra
– Costes del servicio
• Salidas:
– Presupuestos
– Informes de gastos
51

52. 3.4 Procesos ISO 20000 (XIII)
Gestión de la Capacidad
• Objetivo: Asegurar que la capacidad de las infraestructuras de
TI se corresponda con las necesidades del negocio. Es
necesario un equilibrio entre coste y capacidad y entre provisión
y demanda.
52

53. 3.4 Procesos ISO 20000 (XIV)
53

54. 3.4 Procesos ISO 20000 (XV)
• Entradas:
– Requisitos de capacidad
– Incidencias de capacidad
– Datos de monitorización
• Salidas:
– Plan de capacidad
54

55. 3.4 Procesos ISO 20000 (XVI)
Gestión de la Seguridad de la Información
• Objetivo: Establecer protocolos de seguridad que aseguren que
la información esté accesible cuando se necesita por aquellos
que tenga autorización para utilizarla
55

56. 3.4 Procesos ISO 20000 (XVII)
56

57. 3.4 Procesos ISO 20000 (XVIII)
• Entradas:
– Incidencias de seguridad
– Análisis de riesgos
• Salidas:
– Política de Seguridad de TI
– Evaluación de riesgos
57

58. 3.4 Procesos ISO 20000 (XIX)
Gestión de Relaciones con el Negocio
• Objetivo: Establecer y mantener una relación comercial entre el
proveedor de servicios y el cliente.
58

59. 3.4 Procesos ISO 20000 (XX)
59

60. 3.4 Procesos ISO 20000 (XXI)
• Entradas:
– Solicitudes de los clientes
– Reclamaciones
• Salidas:
– Encuestas
60

61. 3.4 Procesos ISO 20000 (XXII)
Gestión de Proveedores
• Objetivo: Alcanzar la mayor calidad del suministro al mejor coste
posible.
61

62. 3.4 Procesos ISO 20000 (XXIII)
62

63. 3.4 Procesos ISO 20000 (XXIV)
• Entradas:
– Conflictos contractuales
– Necesidades de compra
• Salidas:
– Contratos de Soporte
63

64. 3.4 Procesos ISO 20000 (XXV)
Gestión de Incidentes
• Objetivo: Resolver cualquier incidente que cause un mal
funcionamiento del servicio
64

65. 3.4 Procesos ISO 20000 (XXVI)
65

66. 3.4 Procesos ISO 20000 (XXVII)
• Entradas:
– Incidencias
• Salidas:
– Peticiones de cambio
66

67. 3.4 Procesos ISO 20000 (XXVIII)
Gestión de Problemas
• Objetivo: Determinar causas de problemas y buscar soluciones
67

68. 3.4 Procesos ISO 20000 (XXIX)
68

69. 3.4 Procesos ISO 20000 (XXX)
• Entradas:
– Información de incidentes
– Monitorización
• Salidas:
– Base de datos de soluciones
– Errores conocidos
69

70. 3.4 Procesos ISO 20000 (XXXI)
Gestión de la Configuración
• Objetivo: Identifica, organiza y controla las modificaciones al
servicio para maximizar la productividad
• CMDB (Base de Datos de la Configuración)
70

71. 3.4 Procesos ISO 20000 (XXXII)
71

72. 3.4 Procesos ISO 20000 (XXXIII)
• Entradas:
– Cambios
• Salidas:
– CMDB
72

73. 3.4 Procesos ISO 20000 (XXXIV)
Gestión del Cambio
• Objetivo: Controlar el ciclo de vida del cambio para minimizar
interrupciones
73

74. 3.4 Procesos ISO 20000 (XXXV)
74

75. 3.4 Procesos ISO 20000 (XXXVI)
• Entradas:
– Solicitud de cambios
• Salidas:
– Aprobación del cambio
– CMDB actualizada
75

76. 3.4 Procesos ISO 20000 (XXXVII)
Gestión de Entregas
• Objetivo: Proteger el entorno de producción a través de la
implementación de cambios aprobados
76

77. 3.4 Procesos ISO 20000 (XXXVIII)
77

78. 3.4 Procesos ISO 20000 (XXXIX)
• Entradas:
– Peticiones de cambio
• Salidas:
– Calendario de cambios
– Planificación detallada de cambios
78

79. 4. La Implantación en Network Security Advisors
1. Adaptación del SGS Estándar
2. Herramientas utilizadas
3. Implantación del SGS
79

80. 4.1 Adaptación del SGS Estándar
• Definición del Alcance: Servicio Tiendas OnLine
• Identificación de Activos:
– Tiendas OnLine
– Tiendas en local
– Documentación
– Máquina Virtual1
– Máquina Virtual2
– Servidor1
– Servidor2
80

81. 4.2 Herramientas utilizadas
• Nagios
• OTRS
• Pentaho Report Designer
• Plesk
• Gestión Documental
81

82. 4.3 Implantación del SGS
82

83. 5. Conclusiones
• La adquisición del certificado de una norma como la ISO 20000
asegura un eficiente funcionamiento en la gestión de los
servicios de TI y da confianza a los clientes.
• Imprescindible para sobrevivir en el mundo laboral de la
provisión de servicios.
• Como trabajo futuro:
- Creación de un cuadro de mandos para los indicadores
- Crear una Gestión Documental más eficiente.
83

84. 6. Turno de preguntas
84