Post on 31-Jan-2016
description
transcript
Gestión de Data Center
TRABAJO FINAL
Alumnos: Jean C. Ignacio Sánchez
LIMA-2015
TEMA:
Gestión de Servicios ISO 20000
INDICE
INTRODUCCION 2DESARROLLO DEL TEMA 3
Introducción a las normas ISO/IEC 20000 3Las normas ISO/IEC 20000 4Normas, estándares y marco de referencia TI 6Las principales normas y buenas practicas TI 8Calidad de los servicios TI ISO 20000 9Propósito de ISO/IEC 20000 10
CONSECUENCIAS E IMPORTANCIA 10Consecuencias ISO 20000 10Importancia de la automatización para la ISO 20000 13
CONCLUSIONES 15BIBLIOGRAFIA 15
Página 1
1. INTRODUCCION
La biblioteca de Infraestructura de Tecnologías de la Información (ITIL) es aceptada en todo
el mundo como el estándar de facto para las mejores prácticas de los procesos en la gestión
de Servicios de Tecnologías de la Información (en adelante TI). No fue hasta hace unos
pocos años cuando estuvo disponible una norma formalmente documentada con la que los
proveedores de servicio que aplicaban el marco de trabajo de ITIL fueron capaces de mostrar
su conformidad. En el año 2000, BSI, el Instituto británico de Estandarización, definió
oficialmente los requisitos para la entrega efectiva de servicios al negocio y sus clientes, en
una norma británica: BS 15000.
La primera edición de BS 15000 fue publicada en noviembre de 2000, basada en una
publicación anterior – DISC PD0005:1998 – El Código de Práctica para la gestión de
Servicios de TI. BS 15000-1:2002 se convirtió en la segunda edición, siendo el resultado de
la experiencia y feedback de los que habían adoptado anteriormente la primera edición. El
desarrollo de la estrategia de certificación ha dado un gran impulso a la aceptación de BS
15000 como norma oficial.
Las tecnologías de la información y las comunicaciones han avanzado mucho más de lo
esperado, pero después de poblar el mundo de dispositivos de silicio, con unas capacidades
de proceso inimaginables, nos encontramos con un panorama desalentador:
• Equipos que se bloquean.
• Sistemas que se “caen”.
• Servicios que se interrumpen.
• Atención al usuario deficiente.
• Pérdidas de tiempo y de productividad de los usuarios.
• Personal técnico desbordado por llamadas y peticiones de asistencia.
• Directores de sistemas de información que ven cómo, a pesar del esfuerzo continuo de su equipo, el roce y el malestar con el resto de la empresa no cesan.
Página 2
La dinámica industria de tecnologías de la información y las comunicaciones (TIC), que es
capaz de duplicar la capacidad de proceso y de almacenamiento cada año y medio, lleva
desarrollando, en paralelo al avance tecnológico, metodologías de trabajo que van ofreciendo
soluciones de gestión a estos retos planteados. El sector de las TIC ha ido creando distintas
disciplinas para cubrir algunas de las facetas que necesita la gestión global de las TIC en la
empresa. Soluciones que no siempre se han aplicado con el ahínco y el rigor necesarios.
Las Normas ISO/IEC 20000 definen los procesos y las actividades esenciales para que las
áreas de TI puedan prestar un servicio eficiente y alineado con las necesidades de la empresa
u organización. Estas normas, construidas sobre la base del modelo ITIL, se centran
principalmente en la ordenación de las disciplinas de soporte y provisión de servicios de TI.
Son normas específicas para la gestión de los servicios que ofrecen las áreas o los
proveedores de tecnologías de la información.
Las Normas ISO/IEC 20000 no son de índole técnico, ni tecnológico. En ellas se describen
los principales flujos de actividades (agrupados en forma de procesos) cuyo fin es lograr una
entrega efectiva y con la calidad requerida de los servicios a los clientes y usuarios. Además,
definen un sistema reconocido y probado de gestión que permite a los proveedores de TI (ya
sean áreas internas u organizaciones externas) planificar, gestionar, entregar, monitorizar,
informar, revisar y mejorar sus servicios.
2. DESARROLLO DEL TEMA
2.1. INTRODUCCION A LAS NORMAS ISO/IEC 20000
La serie de Normas ISO/IEC 20000 (UNE-ISO/IEC 20000 en la versión española) es el
primer conjunto de normativa internacional específica para la gestión de los servicios
basados en las Tecnologías de la Información (TI). Presentan una organización cabal de
las principales actividades necesarias para gestionar estos servicios, agrupadas en un
conjunto de procesos considerados esenciales para la creación, prestación y evolución d
los servicios de las TI. Al aplicar sus requisitos y recomendaciones, las organizaciones
de TI emprenderán un camino indudable de mejora en el control y la calidad de su
actividad. Es el primer gran salto hacia la excelencia demandada por la sociedad a las TI.
Página 3
Se pueden considerar como normas “troncales” en la gestión de las TI, pues estructuran
en torno a procesos las actividades más esenciales. Alrededor del eje vertebrador qu
crean las Normas ISO/IEC 20000 se irán construyendo y transformando el resto de las
funciones de la organización de las TI. Sobre este núcleo central, creado para la gestión
de las TI, se irán incorporando otras mejores formas de hacer proporcionadas por otras
normas, otros marcos de mejores prácticas, por la experiencia propia de la empresa o por
las aportaciones de consultores externos. Las Normas ISO/IEC 20000 introducen en la
organización de las TI una forma de trabajo metódica, integrada y orientada a los
procesos, haciendo especial énfasis en garantizar la calidad del servicio a los distintos
clientes de las TI. Además, articulan su implantación con un sistema de gestión
específico, que incorpora la disciplina y el rigor de ISO 90000 en la implantación del
modelo de trabajo en las TI. Las Normas ISO/IEC 20000 forman parte del conjunto de
normas producidas por la Organización Internacional de Normalización (ISO) y la
Comisión Electrotécnica Internacional (IEC). Su adopción como normas internacionales
surge a raíz de la iniciativa de elevar a ISO e IEC las normas británicas BS 15000
relativas a la gestión del servicio de las TI. Las Normas ISO/IEC 20000 hoy vigentes se
tramitaron en ISO a través del procedimiento rápido denominado procedimiento
fasttrack.
Esto quiere decir, que estas normas tienen muchas similitudes con la original, que la
duración del proceso es de aproximadamente un año, y que ha contado con la
participación y voto de los representantes nacionales en ISO/IEC. Las Normas ISO/IEC
20000 se componen de dos partes: la primera es la especificación para la gestión del
servicio y tiene un carácter preceptivo, y la segunda se establece como un código de
buenas prácticas o recomendaciones. Ambas partes forman un marco para definir las
características de los procesos implicados en la gestión del servicio, que son esenciales
para la prestación de los mismos con la calidad requerida.
2.2. LAS NORMAS ISO/IEC 20000
Comparando la gestión habitual de las tecnologías de la información con otras áreas de
la empresa, podremos encontrar que, en las más avanzadas, existen modelos de gestión
Página 4
firmemente establecidos que las hacen parecerse al modelo de una orquesta sinfónica en
la que, si bien cada músico es un excelente especialista en su instrumento, es en la
interpretación del concierto cuando la orquesta demuestra su auténtico valor actuand
como un todo. En cambio, las áreas que gestionan sistemas tecnológicos han puesto
tradicionalmente el foco en el conocimiento y dominio de la tecnología. Es esencial
obvio que se necesitan buenos técnicos para el diseño, la construcción y el
mantenimiento del hardware y del software. Sin embargo, la situación actual refleja que
el control de la técnica, aunque totalmente imprescindible, no es suficiente para
satisfacer todo lo que la empresa demanda de las áreas de TI. Queda una importante
asignatura pendiente que, por más que se invierta en tecnología y en técnicos, no se
consigue resolver: actuar perfectamente engranados, todos juntos y bien coordinados
para conseguir un fin común: ser cada vez más eficientes en costes y capaces de
evolucionar con la agilidad típica del “ecosistema” Internet (objeto de deseo de todos los
negocios para sus áreas de TI). Los responsables de los departamentos de TI deben
responder a importantes desafíos: la eficiencia en costes, la calidad, el cumplimiento de
plazos, la agilidad y la satisfacción de los clientes y usuarios están entre ellos. La gestión
de las TI debe evolucionar desde los modelos artesanales hacia formas de hacer más
industrializadas. Implementar formas de trabajo repetibles, mejorando la calidad de lo
construido, la fiabilidad de los servicios o aumentando la capacidad de “producción” de
la organización, todo ello, dentro de un nuevo entorno más fluido en las relaciones y que
genere menos estrés en las personas. En esta evolución, las buenas prácticas sectoriales
recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otras normas y marcos
de referencia, marcan el camino a recorrer para alcanzar la excelencia en la gestión de
las TI. Del mismo modo que un abogado debe conocer las leyes para ejercer su
profesión, o un arquitecto la legislación y reglamentación sobre urbanismo y edificación;
la dirección y los profesionales de los departamentos de TI deben conocer con detalle e
conjunto de buenas prácticas, normas o estándares que se están consolidando en su
propio sector. La actividad de los directivos y profesionales de las TI, debe pasar por
conocer con detalle la normativa y marcos de las mejores prácticas aceptados por el
mercado, para aplicarlas posteriormente en su organización. Este es un buen camino para
la mejora de las actividades.
Página 5
2.3. NORMAS, ESTÁNDARES, MARCOS DE REFERENCIA Y
METODOLOGÍAS RECONOCIDAS EN EL ÁMBITO DE LAS TI
Entre estos modelos o recomendaciones destacan las Normas ISO/IEC 20000, que
compiten por un reconocimiento en este campo. El hecho de llegar con el respaldo de los
organismos de normalización internacionales, es un claro empuje para que se asiente
como un referente en la sociedad. Como además, se han publicado también como norma
nacional en muchos países, cumplen todo lo necesario para que los gobiernos puedan
incluirlas en sus legislaciones o regulaciones (pudiendo llegar a convertirse en
obligatorias).
El veterano marco ITIL destaca como el gran compendio de referencia, que aspira a
convertirse en ese modelo universal que estructura y organiza toda la actividad de las TI.
Si bien la versión 2, publicada en el año 2000, ha tenido una aceptación excepcional, hay
que esperar a ver cómo el sector va adoptando la nueva versión 3, publicada en el año
2007, y que presenta una visión más amplia y coherente de la gestión de las TI, agrupada
en torno al ciclo de vida del servicio. El marco para el desarrollo de software CMMI
Página 6
(Capability Maturity Model Integration) aparece como el modelo más aceptado para la
medición de la madurez de los procesos de gestión en la construcción de aplicaciones.
Para complicar más el panorama, en su última versión se crea un nuevo modelo CMMI
for Services, que se superpone en gran medida con el ámbito central de ITIL; y por
tanto, también con las Normas ISO/IEC 20000. Además, para los procesos y medición
de la madurez del desarrollo, también la normativa internacional inició desde 1993 su
andadura. ISO e IEC han desarrollado un modelo para la evaluación de los procesos de
desarrollo de software bajo la iniciativa SPICE que ha desembocado en la publicación de
la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto de norma
relativas a la ingeniería del software (ISO/IEC 15288, ISO/IEC 12207, ISO/IEC 25001,
ISO/IEC 25030, ISO/IEC 16085, etc.).
En relación a la gestión de proyectos de desarrollo de software, el marco líder es
PMBOK (Project Management Body of Knowledge), una metodología reconocida por el
organismo norteamericano de normalización ANSI. También hay que tener en cuenta el
modelo PRINCE2 (Projects In Controlled Environments) que, realizado por los
impulsores de ITIL, es más sencillo que el anterior, y resulta de utilidad para proyectos
de mejora y de implantación de ITIL o de ISO/IEC 20000.
Tanta abundancia de información y recomendaciones resulta confusa para las
organizaciones que sólo desean soluciones prácticas y directas para mejorar su gestión
de las TI. De todo el mapa anterior, se recomienda centrarse inicialmente en las normas
y marcos de mayor relevancia y más aceptados para la mejora de TI, como son:
• ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la gestión de
los servicios de TI.
• COBIT para la auditoría y la medición de las TI.
• ISO/IEC 27001 para la gestión de la seguridad de la información.
• ISO/IEC 15504 y CMMI for Development para la gestión del desarrollo de software.
• ISO/IEC 38500 y COBIT como referencias para el gobierno de las tecnologías de la
información.
Página 7
2.4. LAS PRINCIPALES NORMAS Y BUENAS PRACTICAS EN TI
En el ámbito de los servicios de TI, resulta esencial que los servicios se provean en un
marco de gestión eficaz y de calidad, para entender claramente los requisitos y gestionar
su cumplimiento. Las Normas ISO/IEC 20000 articulan el proceso de prestación de los
servicios engranados sobre un sistema de gestión del servicio. El proceso de mejora
continua establecido por la Norma ISO 9001 para la fabricación de productos prestación
de servicios (siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar – Plan, Do
Check, Act), también se incorpora en esta norma como un “motor” de la mejora continua
de los servicios de TI.
Página 8
2.5. CALIDAD DE LOS SERVICIOS TI ISO 20000
Los sistemas de tecnología de la información desempeñan un papel crítico en la
práctica totalidad de las empresas. Estos sistemas necesitan una supervisión
constante por parte de profesionales para mantenerlos actualizados y en condiciones
de funcionamiento. No obstante, imagine las consecuencias si su departamento de
tecnología de la información fuese incapaz de proporcionar los servicios que
necesita. La Organización Internacional de Estandarización (ISO), a través de las
normas recogidas en ISO / IEC 20000, establece una implementación efectiva y un
planteamiento estructurado para desarrollar servicios de tecnología de la información
fiables en lo referente a la gestión de servicios de TI. La certificación permite
demostrar de manera independiente que los servicios ofrecidos cumplen con las
mejores prácticas. La Norma ISO 20000 consta de:
13 procesos definidos.
Un proceso de planificación e implementación de servicios.
Requisitos de un sistema de gestión.
Ciclo de mejora continua (PDCA).
Página 9
2.6. PROPOSITO DE ISO/IEC 20000
El propósito de ISO 20000 es “proveer una norma de referencia común para toda
empresa que ofrezca servicios de TI tanto a clientes internos como externos”. Ya que la
comunicación juega un papel esencial en la gestión de servicio, uno de los objetivos más
importantes de la norma es crear una terminología común para las organizaciones
proveedoras de servicio TI, sus suministradores y sus clientes.
La norma promueve la adopción de un planteamiento de procesos integrados para la
gestión de los servicios de TI. Estos procesos han sido posicionados en un modelo de
procesos, cubriendo los procesos ITIl de soporte de servicio y de provisión de servicio,
así como algunos procesos de gestión adicionales. Esta norma se establece para definir
todo aquello que es obligatorio para la buena gestión de servicios (aspectos comunes y
requeridos para toda gestión de servicios de un proveedor de servicios) y no para
especificar directamente requisitos particulares.
La recopilación de la información clave de los procesos de gestión de servicio de ITIl en
una norma ISO internacional formalizada, permite a los proveedores de servicio TI
decidir su adecuación de manera formal a estas mejores prácticas. Hasta ahora la
certificación formal estaba centrada en individuos (ITIl Foundation, ITIl Service
Manager, ITIl Practitioner), no en organizaciones. El desarrollo de un certificado
internacional focalizado en la organización estimulará más aún la aceptación de la
gestión de servicio de TI como un campo importante.
3. CONSECUENCIAS E IMPORTANCIAS
3.1. CONSECUENCIAS DE LA NORMA ISO 20000
¿Qué deben hacer las organizaciones con respecto a la norma ISO 20000? ¿Deben
solicitar la certificación? Si no la solicitan, ¿qué medidas deben adoptar teniendo en
cuenta la existencia de la nueva norma? Esta sección pretende ayudar a resolver estas
Página 10
cuestiones. ¿Conviene solicitar la certificación? Como hemos mencionado
anteriormente, la certificación ISO 20000 sirve para constatar que una empresa ha
implantado las mejores prácticas de gestión de servicios de TT.II., según se demuestra a
través de una evaluación externa e independiente realizada por una empresa de auditoría
autorizada que toma como referencia la norma.
Este nivel de validación puede contribuir a mejorar la competitividad de la empresa.
Para decidir si le conviene solicitar la certificación ISO 20000, una organización debería
tener en cuenta los siguientes factores:
La ISO 20000 es particularmente importante para organizaciones de sectores
industriales en los que la calidad de los servicios de TT.II. es fundamental para el
éxito del negocio. Esto incluye, entre otros, el sector financiero, el sanitario y el
de servicios públicos como son el suministro de agua y electricidad. La
certificación permite a las organizaciones que pertenecen a estas industrias
demostrar a sus accionistas y clientes que disponen de una infraestructura
tecnológica bien gestionada.
La ISO 20000 también es importante para organizaciones que prestan servicios
gestionados internamente o mediante subcontratación. La certificación les
permite garantizar a sus clientes que sus entornos de TT.II. se administrarán de la
forma adecuada y que recibirán servicios tecnológicos de alta calidad. Los
proveedores de servicios deben probar que han documentado las cinco áreas
fundamentales previstas por la ISO 20000 y que cumplen todos los requisitos de
la norma. La documentación debe incluir las políticas y los planes de gestión de
servicios, los acuerdos de nivel de servicio, los procesos y procedimientos
exigidos por la norma y sus registros de datos correspondientes.
Las empresas deben tener en cuenta las implicaciones de la certificación con
respecto al cumplimiento de la normativa local. Cada vez hay más normas y
leyes cuyo cumplimiento es preciso demostrar. Muchas de estas normas, como la
ley Sarbanes-Oxley o la ley de portabilidad y responsabilidad de seguros médicos
de 1996 (Health Insurance Portability and Accountability Act) de EE.UU. tienen
Página 11
que ver específicamente con los servicios tecnológicos y su gestión. En la
actualidad, los inspectores no exigen la presentación de certificaciones como
prueba de cumplimiento, pero podrían hacerlo en un futuro. Dado que la ISO
20000 aborda específicamente la calidad de gestión de los servicios de TT.II.,
podría convertirse en una norma internacional utilizada por los inspectores para
comprobar el cumplimiento de la ley.
La certificación ISO 20000 sólo se otorgará a organizaciones que realicen operaciones
de gestión de servicios de TT.II. y sólo certificará el buen funcionamiento de esas
operaciones. Su objetivo no es certificar productos ni servicios de consultoría relativos a
la aplicación de buenas prácticas. La certificación puede convertirse en un requisito
imprescindible para poder hacer negocios con determinadas organizaciones tales como
instituciones gubernamentales o empresas que subcontratan servicios tecnológicos.
Organizaciones que no solicitan la certificación: usar la ISO 20000 como directriz
Aunque inicialmente no quieran solicitar la certificación, la documentación de la norma
proporciona una valiosa (y económica) fuente de referencia para aquellas organizaciones
que hayan adoptado el modelo ITIL y estén implantando o vayan a implantar procesos
de gestión de servicios de TT.II. basados en las directrices de dicho modelo, ya que
proporciona una forma normalizada de medir sus progresos en el proyecto de
implantación. Asimismo, las inversiones y el esfuerzo realizados para cumplir la norma
ISO 20000 podrán aprovecharse posteriormente en caso de que las organizaciones
decidan solicitar finalmente la certificación o quieran demostrar que han implementado
un servicio de alta calidad. La importancia de la mejora contínua Todas las
organizaciones deberían tener presente que uno de los objetivos fundamentales del
modelo ITIL y, por tanto, de la ISO 20000 es validar la continua mejora de la calidad de
la gestión de los servicios. El modelo de mejora permanente de la calidad se basa en los
principios de PlanEjecución-Verificación-Acción definidos por W. Edwards Deming y
aplicados inicialmente en la industria de la fabricación (véase la Figura 3). Un factor
importante para lograr esta mejora contínua es realizar comprobaciones periódicas de la
calidad de gestión de los servicios de TT.II. La ISO 20000 proporciona una forma de
verificar qué tal se está comportando una organización en su objetivo de seguir
Página 12
mejorando la calidad de los servicios. La organización puede utilizar la ISO 20000 (y
COBIT) para definir y medir sus avances en la consecución de nuevos niveles de mejora
a medida que la gestión de los servicios gana en madurez.
3.2.Importancia de la automatización para la ISO 20000
Las organizaciones modernas de informática necesitan manejar la complejidad, tanto de
la infraestructura de sistemas como de los procesos necesarios para gestionarla. La ya
compleja estructura de sistemas de información sigue creciendo a medida que las
organizaciones implantan arquitecturas multicapa, arquitecturas orientadas a servicios y
tecnologías de virtualización. Internet ha contribuido a aumentar esta complejidad con la
introducción de muchos más usuarios, tanto dentro como fuera de los límites de las
empresas, que ahora incluyen empleados, clientes y proveedores. Para gestionar estas
infraestructuras, muchas organizaciones están adoptando las directrices del modelo ITIL
para aplicar las mejores prácticas a los procesos de gestión. ITIL exige el
establecimiento de procesos en numerosas disciplinas de la gestión de servicios, así
como la integración de esos procesos transversalmente, a lo largo de todas las
Página 13
disciplinas. Es una tarea difícil de abordar a la que se suma la dificultad añadida de tener
que conseguir una mejora continua (algo fundamental para la especificación ITIL y la
norma ISO 20000). En este contexto tecnológico tan complejo, los procesos manuales no
son viables. Las organizaciones necesitan implementar soluciones y herramientas de
automatización basadas en sistemas para facilitar la administración de entornos
complejos.
Ventajas de la automatización La automatización reporta una serie de ventajas
importantes:
Ayuda a garantizar la integración de los procesos. Si la gestión manual favorece
la delimitación de los procesos y, con ello, el mantenimiento de “áreas de poder”
dentro de la organización, la automatización, por el contrario, favorece la
integración de los procesos.
Asegura la homogeneidad y sistematización de los procesos. Las personas
tienden a “adaptar” los procesos manuales con el paso del tiempo para ajustarlos
a sus propias necesidades, lo que provoca falta de coherencia. Sin embargo, la
automatización permite establecer procesos homogéneos y sistemáticos, y obliga
a utilizarlos.
Agiliza la implementación del modelo ITIL y, potencialmente, acelera la
obtención de la certificación ISO 20000. Las soluciones de automatización
basadas en ITIL pueden ayudar a la organización a implementar rápidamente las
prácticas recomendadas por este modelo y acortar el periodo de obtención de la
certificación.
Ayuda a reducir costes. La automatización puede ayudar a reducir gastos de
personal al minimizar los cortes del servicio y asumir la ejecución de funciones
rutinarias y repetitivas que normalmente exigiría gran parte del tiempo de los
miembros de la plantilla.
Facilita el cumplimiento de la normativa. La automatización ayuda a las
organizaciones a establecer e imponer el uso de buenas prácticas, además de
facilitar un registro de auditoría que les permita lograr y demostrar ese
cumplimiento.
Página 14
4. CONCLUSIONES
En conclusión tenemos que la norma ISO se concentra en problemas de tecnologías de
información mediante el uso de un planteamiento de sistema de asistencia y asegurar y
demostrar el cumplimiento de la función de TI en la entrega de servicios de acuerdo con las
mejores prácticas de la industria mundialmente aceptadas.
Las empresas dependen cada vez más de sus Sistemas de TI y necesitan una correcta gestión
y mantenimiento de éstos. Por esta razón, las preocupaciones en torno a los servicios de TI
tanto internos como subcontratados crecen de manera significativa, debido a que estos
servicios no se ajustan a las necesidades de las empresas y de los clientes. Una solución
reconocida a este problema es utilizar un sistema de gestión de servicios de TI (SGSTI)
basado en ISO 20000, la norma internacional para gestión de servicios de TI.
Es fundamental tener claro que para la implementación y certificación de la norma ISO
20000 se requiere de una cultura de mejora continua de la calidad en materia de gestión de
servicios tecnológicos adoptada de manera permanente por la organización, permitiendo de
esta manera mejorar la credibilidad y competitividad de la misma.
5. BIBLIOGRAFIA
http://www.normas-iso.com/iso-20000
http://www.aenor.es/aenor/descargadocumento.asp?nomfich=/Documentos/
Comercial/Archivos/
PUB_DOC_Tabla_AEN_7172_1.pdf&cd_publicacion=7172&cd_publicacion_doc=1
http://www.ngi-library.nl/Samplefiles/9789077212882_iso-iec-20000-gu-a-de-bolsillo.pdf
http://documents.bmc.com/products/documents/49/67/64967/64967.pdf
Página 15