iso/iec 20000 ed. 2011 y su aporte a la economía de servicios · •itil® v2 en torno a 2 libros...
TRANSCRIPT
ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios
www.isaca.org.uy
Judit [email protected]
ORCI Latam
Agenda• Introducción a la Gestión de Servicios (ITIL®)• ISO/IEC 20000: Qué es y por qué se necesita• Economía de Servicios
www.isaca.org.uy
• Economía de Servicios
• “Un servicio es el medio de entregar valor a los clientes facilitándole los resultados que quieren lograr, sin costos ni riesgos específicos asociados”(ITIL® 2007)
• Gestión de servicio es un conjunto de funciones y procesos para la gestión de servicios durante el ciclo de vida
Servicios y Gestión de Servicios
www.isaca.org.uy
servicios durante el ciclo de vida
• La Gestión de Servicio transforma los recursos y capacidades de TI en servicios de TI que son apropiados para los requerimientos de las organizaciones
• El Valor es el aspecto esencial del concepto de servicio y consta de 2 partes fundamentales que son:
UtilidadGarantía
•Adoptar mejores prácticas ayuda a “cerrar la brecha” entre la capacidad del proveedor y las expectativas de los clientes
•El Marco de Referencia ITIL® provee una guía de mejores prácticas aplicable a todos los tipos de organizaciones que proveen servicios TI al negocio
Mejores Prácticas para la Gestión de Servicios TI
www.isaca.org.uy
a todos los tipos de organizaciones que proveen servicios TI al negocio
•ITIL® utiliza funciones, procesos y roles para crear un enfoque de ciclo de vida para la Gestión de Servicios TI
Cuestionamientos de TI:
•¿Está haciendo las cosas correctas?•¿Las está haciendo correctamente?
www.isaca.org.uy
•¿Las está haciendo correctamente?•¿Las que están hechas están bien hechas?•¿Estamos recibiendo los beneficios?
Marcos de referencia para TI
Gobernabilidad y ValidaciónControl – Valor al Negocio – Capacidad – Continuidad
ISO 20000ISO 38500ISO 19770
PMPPRINCE2SCRUM
Gestión de ProyectosControl – Equipo – Procesos- Fases – Límites
Mejora ContinuaMisión – Visión – Análisis - Mejora SixSigma – LEAN – Togaf
PMPPRINCE2
SCRUM
����
www.isaca.org.uy
� � � � �� � � � � �� � � �� �� � � �� � � �� �� � �� � ���� �� � � ��� � � � � � � � �� � � � � �� � � �� �� � � �� � � �� �� � �� � ���� �� � � ��� � � � � � � � �� � � � � �� � � �� �� � � �� � � �� �� � �� � ���� �� � � ��� � � � � � � � �� � � � � �� � � �� �� � � �� � � �� �� � �� � ���� �� � � ��� � � � ����
SeguridadBuenas Prácticas SANSAuditorías ISO 27000Normativas ISO 17799
Gestión del RiesgoMétodos ISO 31000Evaluaciones PMI-RMNormativa M_o_R
Desarrollo CMMiEquipos MOFControles SCRUMValidaciones BPM
Control y GobiernoProcesos – Dominios – Requisitos
CobiT – SAM – SOX – BSC
InfraestructuraHardware – Software – Comunicaciones – Virtualización
GestiónProcesos – Suministradores – Roles
ITIL – Val IT
Diferencias entre ITIL® v2 e ITIL® v3
www.isaca.org.uy
• ITIL® v2 en torno a 2 libros principales: - Provisión del Servicio- Soporte del Servicio- Presenta un total de 11 procesos y 1 función- Se alinea con el negocio, todo lo que hacemos es por y para el negocio
• ITIL® v3 en torno a 5 libros: Fases del ciclo de vida
Diferencias entre ITIL® v2 e ITIL® v3
www.isaca.org.uy
• ITIL® v3 en torno a 5 libros: Fases del ciclo de vida- SS Estrategia del Servicio; SD Diseño del Servicio- ST Transición del Servicio; SO Operación del Servicio- CSI Mejora Continua del Servicio- Presenta un total de más de 20 procesos y 4 funciones- Se integra con el negocio, TI “es” y “forma parte” del negocio
• ITIL® v3 desde la liberación en el 2007 se han registrado 500 comentarios En 2009 arrancó el proceso de revisión con los siguientes objetivos:
- Facilitar la implantación - Se ha mejorado el libro de SS para que sea más sencillo- Todas las publicaciones serán más entendibles- Se eliminaron inconsistencias de la versión anterior
Nueva Revisión ITIL® v3.1
www.isaca.org.uy
- Se eliminaron inconsistencias de la versión anterior- Estandarizar glosario y definiciones
• Se trata de una revisión, NO de una nueva versión; los cambios más enfocados a la forma que al contenido
• Las certificaciones se mantendrán, NO será necesario recertificarse en ningún caso
www.isaca.org.uy
Pro
ceso
s de
Neg
ocio
Proveedor de Servicios TI
Proceso
Servicio
Gar
antía
y U
tilid
ad
Cre
ació
n de
Val
or
Clientes
Negocio
Panorama General
www.isaca.org.uy
Pro
ceso
s de
Neg
ocio
Proceso
Recursos y CapacidadesFu
nció
n
Func
ión
Func
ión
Func
ión
Servicio
Servicio
Gar
antía
y U
tilid
ad
Cre
ació
n de
Val
or
Control de Operaciones TIConsole ManagementJob SchedulingBackup and restore
Mainframe
Servidor
Red
Gestión de las Operaciones de TI
Gestión Técnica
Gestión deAplicaciones
ServiceDesk
Financial Apps
HR Apps
Business Apps
Interacciones de las funciones
www.isaca.org.uy
ILFN V 4.0
Backup and restorePrint and Output
Gestión de InstalacionesData CentresRecovery SitesConsolidationContracts
Almacenamiento
Base de datos
Directory Svs
Desktop
Middleware
Internet/Web
© Crown Copyright 2007 Reproduced under licence from OGC
Efectividad en la Gestión de serviciosLas cuatro Ps
��������
www.isaca.org.uy
��������
• Introducción a la Gestión de Servicios (ITIL®)• ISO/IEC 20000: Qué es y por qué se necesita• Economía de Servicios
www.isaca.org.uy
• Economía de Servicios
• Su propósito es “proveer una norma de referencia común para toda empresa que ofrezca servicios de TI tanto a clientes internos como externos”
• La norma establece todo lo que es obligatorio para la buena gestión de servicios de TI
• Esta recopilación en una norma ISO de los puntos claves de las
ISO/IEC 20000 ¿Qué es ?
www.isaca.org.uy
• Esta recopilación en una norma ISO de los puntos claves de las mejores prácticas ITIL® permite objetivizar y establecer de manera formal la adecuación de los proveedores de servicio a estas mejores prácticas
• La parte 1 de ISO/IEC 20000 se publicó en el 2005, desde entonces el comité estuvo trabajando en las mejoras sugeridas por más de 20 países
• Normalmente para simplificar se abrevia como ISO 20000• ITIL ® e ISO/IEC 20000 están alineados (ITIL ® no está basado en ISO
/IEC 20000, ni ISO/IEC 20000 está basado en ITIL ®)
ISO/IEC 20000 ¿Para qué? ¿para quién?
www.isaca.org.uy
• Organización– Toda o una parte– Solo puede ser una única entidad legal
• Procesos– TODOS los procesos deben ser desarrollados– Si algunos están externalizados, el proveedor de servicios DEBE
demostrar “Gestión de Control” sobro los procesos
ISO/IEC 20000 Alcance
www.isaca.org.uy
demostrar “Gestión de Control” sobro los procesos • Servicios
– Los servicios que serán entregados• Clientes
– Los Clientes a los cuales se entregarán los servicios • Locación geográfica
– Localidades donde serán entregados los servicios• Infraestructura
– Podría definirse límites de infraestructura
• Todas las normas deben revisarse cada 5 años• Mejor y mayor alineación con la ISO 9001• Mejor y mayor alineación con la ISO 27001 (SGSI)• Mejor y mayor alineación con ISTIL v3• Terminología consistente e internacional• Procesos nuevos o modificados (entre otros):
Revisión ISO/IEC 20000:2011
www.isaca.org.uy
• Procesos nuevos o modificados (entre otros):- Gestión de incidencias y peticiones de servicio- Gestión de entregas y despliegues• Se ha eliminado de su titulo las palabras “Tecnologías de la
Información”- Ya no vamos a implantar un SGSTI (Sistema de Gestión de Servicios
de Tecnologías de la Información) sino que vamos a implantar un SGS (Sistema de Gestión de Servicios)
• El prestador de servicio identificará todos los procesos, o parte de procesos, cuyos requisitos sean especificados en las cláusulas de 5 a 9 y que sean operados por otras partes. Esas otras partes pueden ser grupos internos, clientes o proveedores
El prestador de servicios demostrará control de gestión (gobierno) sobre
Gobierno de procesos operados por otras partes
www.isaca.org.uy
El prestador de servicios demostrará control de gestión (gobierno) sobre procesos operados por otras partes:
• Demostrando responsabilidad del proceso y autoridad para exigir adherencia al proceso
• Controlando la definición de los procesos, e interfaces con otros procesos• Determinando la eficiencia del proceso, su efectividad y conformidad• Controlando la planificación y priorización de mejoras del proceso
www.isaca.org.uy
www.isaca.org.uy
ISO/IEC 20000 Alcance
www.isaca.org.uy
www.isaca.org.uy
Deming para Gestión de Servicios
www.isaca.org.uy
www.isaca.org.uy
“The IT Service Management System that covers the provision of <services> to <customers> within the technical and organisational boundaries of <legal entity>at <locations>.
Ejemplo de Sentencia de Alcance
www.isaca.org.uy
Establecimiento e Implementación del
Mantener la certificación
Mejora Continua
ISO20K
Evaluación dePreauditoria
Auditoria de Certificación
7 8 9
12 11 10
www.isaca.org.uy
Concientización del Proyecto
Implementación del Sistema de Gestión
Definición del Alcance
Definición y Administración del Plan
Mejora Continua Preauditoria
Valoración Gap Análisis para ISO 20000
Establecimiento de Caso de Negocio
Selección de Auditor ISO 20000
1 2 3
6 5 4
Porcentaje de Conformidad
63
51
71
42 44
80
43
7066
58
40
50
60
70
80
90
100
www.isaca.org.uy
0
29
4
24 24 27
14
0
10
20
30
40
Manag
emen
t Sys
tem
New an
d Cha
nged
Ser
vices
Plannin
g and
Imple
mentin
g
Availa
bility
& C
ontin
uity M
anag
emen
t
Busine
ss R
elatio
nship
Man
agem
ent
Capac
ity M
anag
emen
t
Chang
e Man
agem
ent
Config
uratio
n Man
agem
ent
Finan
cial M
anag
emen
t
Incide
nt Man
agem
ent
Operat
ion M
anag
emen
t
Proble
m Man
agem
ent
Releas
e Man
agem
ent
Securi
ty Man
agem
ent
Servic
e Lev
el Man
agem
ent
Servic
e Rep
ortin
g
Suppli
er M
anag
emen
t
Número de No Conformidades
34
27
23
18
37
18 17
31
26
21 21
32
20
25
30
35
40
No Conformidades
www.isaca.org.uy
14
6
14
18 18 17
11 12
0
5
10
15
Manag
emen
t Sys
tem
New an
d Cha
nged
Ser
vices
Plannin
g and
Imple
mentin
g
Availa
bility
& C
ontin
uity M
anag
emen
t
Busine
ss R
elatio
nship
Man
agem
ent
Capac
ity M
anag
emen
t
Chang
e Man
agem
ent
Config
uratio
n Man
agem
ent
Finan
cial M
anag
emen
t
Incide
nt Man
agem
ent
Operat
ion M
anag
emen
t
Proble
m Man
agem
ent
Releas
e Man
agem
ent
Securi
ty Man
agem
ent
Servic
e Lev
el Man
agem
ent
Servic
e Rep
ortin
g
Suppli
er M
anag
emen
t
GAP ISO20000
40
60
80
100Availability Management (22%)
Business Relationship Mangement (50%)
Capacity Management (10%)
Change Management (36%)Service Level Management (44%)
Service Reporting (31%)
Supplier Management (14%)
Áreas de Oportunidad
www.isaca.org.uy
0
20
Change Management (36%)
Configuration Management (5%)
Financial Management (44%)
Incident Management (56%)
Operation Management (68%)Problem Management (56%)
Release Management (22%)
Security Management (28%)
Service Continuity Management (0%)
Service Level Management (44%)
• Disciplinas Urgentes (corto plazo) Antes de 4 meses para implementación.
• Disciplinas Críticos (mediano plazo) De 4 a 10 meses para implementación.
Para entender el GAP Análisis
www.isaca.org.uy
para implementación.
• Disciplinas Necesarias (largo plazo) Posterior a los 10 meses para implementación.
������������������� ���� ����������������������������� �����������
����������������������������������������������
• Foco en los beneficios• Las herramientas son importantes, peroProcesos + Personas >> Herramientas• No subestime
– El compromiso
www.isaca.org.uy
– Factor humando– El costo/ tiempos
• Mejorar continuamente• SIP, basado en PDCA
• Certificado válido por tres años
• Auditorías anuales serán necesarias
• Auditorías internas para la Parte 1
• Si hay una no-conformidad importante no se entrega el certificado
www.isaca.org.uy
• Si hay una no-conformidad importante no se entrega el certificado
• Si el auditor encuentra una no-conformidad menor se realizará seguimiento de la misma
• En el tercer año se debe hacer una re-certificación total
• Para una compañía que no tiene implementado ITIL:– Aprox. 2 años
• Para una compañía con ITIL implementado:– Aprox. 9 meses
• Para una compañía con ITIL medianamente implementado:– Aprox. 15 meses
Cuánto tiempo para lograr la certificación?
www.isaca.org.uy
– Aprox. 15 meses
• Recuerde que una vez que un proceso es diseñado y documentado, se necesita ponerlo en producción y recabar al menos 3 meses de evidencias antes de ser auditado.
• Capacidad para desarrollar un sistema de gestión integrado para múltiples estándares
• Mayor alineamiento con ITIL• Claridad de terminología y requisitos para aumentar su comprensión• Proporciona un mayor beneficio de calidad, consistencia y productividad para la
prestación del servicio • La organización de TI, en verdad, conoce el costo de los servicios que provee.
Beneficios ISO/IEC 20000:2011
www.isaca.org.uy
Estrategia Del servicio
DiseñoDel servicio
EstrategiasPolíticas
Restricciones Requisitos
Solución ArquitecturaNormas
SDP s
Requisitos El Negocio / Clientes
Ciclo de Vida
www.isaca.org.uy
Por
tafo
lio d
el S
ervi
cio
Cat
alog
o de
l Ser
vici
o
Transición Del servicio
Operación Del servicio
Solución de Diseño
Arquitectura
Planes deTransición
Soluciones probadas
SKMS
Mejora de Acciones y planes
Planesoperacionales
Mejora continuadel Servicio
ServiciosOperacionales
© Crown Copyright 2007 Reproduced under licence from OGC
www.isaca.org.uy
• Introducción a la Gestión de Servicios (ITIL)• ISO/IEC 20000: Qué es y por qué se necesita• Economía de Servicios
www.isaca.org.uy
• Economía de Servicios
• Qué es Economía de Servicios?
• Economía de Servicios es un paraguas que convierte los aspectos intangibles del servicio (incluyendo pero no limitado a procesos, personas, clientes, estrategia, valores de marca, competencias) en algo tangible (información financiera) que se aplica al valor del servicio entregado para
www.isaca.org.uy
(información financiera) que se aplica al valor del servicio entregado para demostrar al negocio el impacto del mismo
•Traducción de sistemas financieros corporativos a gestión de servicios•Mayor detalle y entendimiento entre provisión y uso del servicio•Consolida existencia y rendimiento de TI•Permite desarrollar mejor la estrategia de servicios•Mejor toma de decisiones
Contabilidad de costos – Gestión Financiera
www.isaca.org.uy
•Mejor toma de decisiones•Conformidad: métodos y prácticas adecuadas y consistentes
www.isaca.org.uy