gestión de recursos de ti - inacal.org.uy · objetivo: asegurar que todos los cambios son...

INSTITUTO URUGUAYOINSTITUTO URUGUAYO DE NORMAS TECNICASDE NORMAS TECNICAS

Sistemas de gestión en servicios

de TI

(UNIT ISO/IEC 20000-1)

Ing. Virginia Pardo

30 de Julio 2009

Servicios y calidad

El proceso de proveer un servicio es la combinación de producción y uso en la que participan simultáneamente el proveedor y el cliente.

La percepción del cliente es esencial para la provisión de los servicios:

¿ El servicio cumple con mis expectativas ? ¿ Puedo esperar un servicio similar la próxima vez ? ¿ Es razonable el costo del servicio ?

Evolución

Madurez de las TIC en la Organización

Madurez de los Procesos

0-Inexistente

1-Inicial

2-Repetible

3-Definido

4-Gerenciado

5-Optimizado

Proceso necesario

Proceso disciplinado

Proceso estandarizado

Proceso predecible

Proceso mejorado continuamente

Cuando una organización determina su madurez, puede desarrollar una estrategia para perfeccionarse.

La organización mejora paso a paso, con resultados intermedios visibles.

Se debe tener presente el nivel de madurez del cliente.

Procesos Tecnológicos

Los recursos de TI son administrados por procesos de TI, los cuales permiten al área de tecnología la entrega de servicios para que la organización pueda cumplir con sus objetivos.

Objetivos del negocio

Procesos de TI

Recursos de TI

Servicios

Requerimientos de información

Gestión de Servicios TI

Conjunto de procesos estrechamente relacionados,organizados en grupos de procesos, que permiten cumplir con los requisitos definidos por el negocio y/o cliente.

Tomando en consideración las necesidades específicas de

un negocio, el proveedor podrá decidir qué objetivos y

controles adicionales son necesarios.

ITIL

• ITIL (Information Technology Infrastructure Library) es el estándar de facto para las mejores prácticas de los procesos para la administración de servicios de tecnologías de la información.

• Fue desarrollado por sectores públicos y privados con el fin de conjuntar las mejores prácticas a nivel mundial.

• El organismo propietario de esta referencia de estándares es la OGC (Office of Government Commerce), una entidad independiente de la tesorería del gobierno británico.

Mientras ITIL representa mejores prácticas y un proceso que facilita su implantación, el estándar ISO/IEC 20000 certifica un sistema de Gestión de Servicios de TI. Tiene dos partes:

1.Parte 1: Requisitos UNIT-ISO/IEC 20000-1:2005, Define los controles obligatorios que los proveedores de servicio deben cumplir para obtener la certificación.

2.Parte 2: Código de prácticas ISO/IEC 20000-2:2005, Conjunto de mejores prácticas y guía de recomendaciones para los procesos de Gestión de Servicios de TI.

Mientras ITIL es una colección de buenas prácticas para la gestión y gobierno de servicio descritas en distintos procesos, UNIT-ISO/IEC 20000 define una colección de requerimientos para una buena gestión de servicios de calidad, los cuales serán alcanzables actuando tanto con los procesos ITIL como con el código de prácticas ISO/IEC 20000-2:2005.

Relación ISO/IEC 20000 - ITIL

Relación ISO/IEC 20000 - ITIL

Estándar de calidad que se espera conseguir

Introducción a la gestión del servicio y la visión general de la gestión

Definiciones de procesos

Documentos propios de la organización

INSTITUTO URUGUAYOINSTITUTO URUGUAYO DE NORMAS TECNICASDE NORMAS TECNICAS

Sistemas de gestión en

servicios de TI

(UNIT ISO/IEC 20000-1)

Parte 1: RequisitosParte 1: Requisitos

Estructura General

Índice:

1- Objeto

2- Términos y definiciones

3- Requisitos de un sistema de gestión

3.1 Responsabilidad de la dirección

3.2 Requisitos de la documentación

3.3 Competencia, concientización y formación

4- Planificación e implementación de la gestión del servicio (PDCA)

5- Planificación e implementación de nuevos servicios o de servicios modificados

6 al 10– Descripción de los Procesos

Objeto (1)

La norma UNIT-ISO/IEC 20000 impulsa el uso de un enfoque integral de gestión de procesos para brindar servicios que satisfagan las necesidades de los clientes y requerimientos del negocio.

La norma puede ser usada:

- Por una organización que necesita demostrar la habilidad para brindar servicios

- Por proveedores que quieren medir su gestión de servicios de TI

- Como base para obtener una certificación formal

- Por una organización que quiere mejorar sus servicios

Planificación e implementación de la gestión de servicios (4)

PLANIFICAR

ACTUAR

VERIFICAR

HACER

Procesos de Gestión de Servicios (6 al 10)

Procesos de prestación del servicio (6)

Gestión de la capacidad

Gestión del nivel de servicio

Gestión de la seguridad de la información

Gestión de la continuidad y disponibilidad del servicio

Generación de informes del

servicioPresupuesto y contabilidad

de los servicios de TI

Proceso de

Liberación (10)

Gestión de la liberación

Procesos de resolución (8)

Gestión de incidentes

Gestión de problemas

Procesos de relaciones (7)

Gestión de las relaciones con el negocio

Gestión de proveedores

Procesos de control (9)

Gestión de la configuración

Gestión de cambios

Procesos de prestación del Servicio (6)

Procesos de prestación del servicio








Proceso de

liberación


Procesos de resolución



Procesos de relaciones



Procesos de control


Gestión de cambios

Gestión del nivel de servicio (6.1)

- Definir, acordar y documentar uno o varios niveles de acuerdos de servicios (SLAs) para cada servicio provisto

- Mantener los SLAs bajo control de cambios

- Realizar revisiones regulares de los SLAs

- Monitorear los niveles de servicios

- Reportar las razones del no cumplimiento con los objetivos del servicio

Se debe:

Objetivo: definir, acordar, registrar y gestionar los niveles de servicio.

Gestión del nivel de servicio (6.1)

Servicio A Servicio B Servicio C

SLA

Infraestructura de TI

Acuerdos de nivel Operativo (OLAs)

Organizaciones internas

Contratos

Organizaciones externas

Contratos accesorios y OLAs

Generación de informes del servicio (6.2)

Debe haber una clara descripción de cada informe de servicio conteniendo su identificación, propósito, audiencia y detalle de la fuente de datos.

Objetivo: generar en plazo los informes acordados, fiables y precisos para la toma de decisiones y una comunicación eficaz.

Se deben tomar decisiones y acciones correctivas que consideren los hallazgos determinados por los informes de servicio y deben ser comunicadas a las partes interesadas.

Gestión de la continuidad y disponibilidad del servicio (6.3)

Objetivo: asegurar que los compromisos de continuidad y disponibilidad acordados con los clientes pueden cumplirse en todas las circunstancias.

Desarrollar planes de disponibilidad y continuidad de los servicios

Evaluar el impacto de un cambio en los planes

Medir y registrar la disponibilidad y los niveles de servicios

Incluir en el plan de continuidad el retorno al trabajo normal

Tener disponible los planes de continuidad, listas de contactos y CMDB bajo cualquier circunstancia

Probar regularmente el plan y registrar los resultados

Se debe:

Elaboración del presupuesto y contabilidad de los servicios de TI (6.4)

Objetivo: presupuestar y contabilizar los costos de la provisión del servicio.

Presupuestar todos los componentes incluyendo activos de TI, servicios de tercerizados, personal, seguros, licencias.

Determinar los costos indirectos de los servicios.

Realizar el control financiero.

Deben haber políticas y procedimientos para:

Gestión de la capacidad (6.5)

Objetivo: asegurar que el proveedor del servicio tiene, en todo momento, la capacidad suficiente para cumplir la demanda actual y futura, de las necesidades del negocio del cliente.

La gestión de la capacidad debe generar y mantener un plan de capacidad que considere las necesidades del negocio.

Deben ser identificados métodos, procedimientos y técnicas para monitorear la capacidad del servicio.

Gestión de la seguridad de la información (6.6)

Objetivo: gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio.

Aprobar una política de seguridad de la información y comunicarla a todas las partes interesadas.

Documentar los controles de seguridad

Establecer los requerimientos de seguridad en los acuerdos con terceros

Reportar y registrar los incidentes de seguridad

Identificar acciones de mejora

Se debe:

Procesos de relaciones (7)

Procesos de prestación de servicios








Proceso de

liberación








Procesos de control


Gestión de cambios

Gestión de las relaciones con el negocio (7.2)

Objetivo: establecer y mantener una buena relación entre el proveedor del servicio y el cliente basada en una comprensión del cliente y las necesidades del negocio.

Identificar a los clientes del servicio

Realizar reuniones de revisiones del servicio con los clientes

Asignar personas como responsables de gestionar la satisfacción del cliente y el proceso de relacionamiento con el negocio

Identificar acciones de mejora

Se debe:

Gestión de proveedores (7.3)

Objetivo: gestionar los proveedores contratados para garantizar la provisión sin interrupciones de servicios de calidad.

Tener documentados los procesos de gestión de sus proveedores

Nombrar a un responsable de mantener el contacto con cada uno de sus proveedores

Documentar en un SLA los niveles de servicios prestados

Tener procedimientos establecidos para lidiar con disputas contractuales y fin del servicio

Revisar los contratos y SLAs al menos una vez al año

Se debe:

Procesos de resolución (8)









Proceso de

liberación








Procesos de control


Gestión de cambios

Gestión de incidentes (8.2)

Objetivo: restaurar el servicio acordado tan pronto como sea posible y responder a peticiones de servicio.

Registrar todos los incidentes

Definir procedimientos para gestionar los incidentes

Mantener informado al cliente del progreso de su incidente

Tener acceso a errores conocidos, resolución de problemas y CMDB por parte del personal involucrado

Clasificar y gestionar a los incidentes mayores según un procedimiento establecido

Se debe:

Gestión de problemas (8.3)

Objetivo: minimizar los efectos negativos de la interrupción del servicio , mediante la identificación y análisis proactivo de la causa de los incidentes.

Registrar todos los problemas

Definir procedimientos para el registro, clasificación, actualización, escalamiento, resolución y cierre de problemas

Tomar acciones preventivas para reducir la ocurrencia de problemas potenciales

Monitorear la efectividad en la resolución de problemas

Actualizar la información de errores conocidos y problemas

Se debe:

Procesos de control (9)









Proceso de

liberación








Procesos de control


Gestión de cambios

Gestión de la configuración (9.1)

Objetivo: definir y controlar los componentes del servicio y de la infraestructura, y mantener información exacta de la configuración.

o Tener una política que defina qué se entiende por elemento de configuración (CI) y qué componentes lo constituyen

o Poder trazar y auditar los cambios en los CI

o Mantener copias maestras de los CI en lugares seguros

o Tener disponible la información almacenada en la CMDB

o Realizar auditorías que incluyan el registro de deficiencias y la toma de acciones correctivas

Se debe:

Gestión de cambios (9.2)

Objetivo: asegurar que todos los cambios son evaluados, probados, implementados y revisados de forma controlada.

o Registrar y clasificar todos los cambios

o Evaluar el riesgo, impacto y beneficio para el negocio de todos los cambios

o Aprobar todos los cambios previo a su implementación

o Revisar los cambios luego de su implementación

o Tener políticas y procedimientos para cambios de emergencia

o Definir y comunicar fechas para el despacho de cambios

Se debe:

Proceso de liberación (10)









Proceso de

liberación








Procesos de control


Gestión de cambios

Proceso de gestión de la liberación (10.1)

Objetivo: entregar, distribuir y realizar el seguimiento de uno o más cambios en la liberación en el entorno de producción.

Tener una política de liberación documentada y aprobada

Acordar las liberaciones con las partes interesadas

Definir la forma de retroceso si la liberación fracasa

Gestionar las liberaciones de emergencia según los procedimientos

Establecer un ambiente controlado para realizar las pruebas de aceptación previo a la distribución

Se debe:

Muchas gracias !!

email: [email protected]

UNIT ISO/IEC 20000-1

gestión de recursos de ti - inacal.org.uy · objetivo: asegurar que todos los cambios son...

Documents