ISO/IEC 20000 para pymes

Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

ISO/IEC 20000 para pymes

Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

Ttulo: ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin Nextel S.A., CONETIC AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2010 Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte, sin la previa autorizacin escrita de AENOR. de las ilustraciones: Nextel S.A., Block Comunicaciones Integrales S.L. de la fotografa usada en las pginas 25 y 42: [Tatyana Drozdova]/[Fotolia.com] ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries.

ISBN: 978-84-8143-675-4 Depsito Legal: M-11019-2010 Impreso en Espaa - Printed in Spain Edita: AENOR Maqueta y diseo de cubierta: AENOR Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695 comercial@aenor.es www.aenor.es

ndice

Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Estructura de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Motivos para implantar un Sistema de Gestin de Servicios TI (SGSTI) en un entorno pyme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Conceptos previos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1. Calidad del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2. Servicio TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3. Ciclo de vida de un servicio TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4. ITIL frente a ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11 13 14 15 17 17 18 18 21 23 26 29 30 35 35 36 38 39 39 43 45

2. El Sistema de Gestin de Servicios TI (SGSTI) . . . . . . . . . . . . . . . . . . . . . 2.1. Planificacin del sistema de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1. Establecimiento del alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2. Definicin de la poltica de gestin de servicios TI . . . . . . . . . . . 2.1.3. Designacin de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.4. Asignacin del responsable de TI . . . . . . . . . . . . . . . . . . . . . . . 2.1.5. Identificacin de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.6. Gestin de la documentacin y los registros . . . . . . . . . . . . . . . 2.1.7. Gestin de la competencia, concienciacin y formacin . . . . . . 2.1.8. Diseo de los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2. Implementacin del sistema de gestin . . . . . . . . . . . . . . . . . . . . . . . . . 2.3. Monitorizacin y revisin del sistema de gestin . . . . . . . . . . . . . . . . . .

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

2.4. Mejora del sistema de gestin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5. El sistema de gestin de servicios TI. Ficha resumen . . . . . . . . . . . . . . . 3. Los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1. Estructura de los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2. Procesos de provisin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1. Gestin del nivel de servicio (SLM) . . . . . . . . . . . . . . . . . . . . . . 3.2.2. Generacin de informes del servicio . . . . . . . . . . . . . . . . . . . . . 3.2.3. Gestin de la continuidad y disponibilidad del servicio . . . . . . . 3.2.4. Presupuestar y contabilizar el servicio . . . . . . . . . . . . . . . . . . . . 3.2.5. Gestin de la capacidad del servicio . . . . . . . . . . . . . . . . . . . . 3.2.6. Gestin de la seguridad de la informacin del servicio . . . . . . . 3.3. Procesos de relacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1. Gestin de relaciones con el negocio . . . . . . . . . . . . . . . . . . . . 3.3.2. Gestin de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4. Procesos de resolucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1. Gestin de incidentes del servicio . . . . . . . . . . . . . . . . . . . . . . . 3.4.2. Gestin de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

48 51 53 53 55 55 60 64 70 75 79 84 84 89 94 94 99

3.5. Procesos de control y entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 3.5.1. Gestin de la configuracin del servicio . . . . . . . . . . . . . . . . . . 104 3.5.2. Gestin del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 3.5.3. Gestin de la entrega del servicio . . . . . . . . . . . . . . . . . . . . . . 119 4. Los servicios TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 4.1. La gestin de los servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 4.2. El catlogo de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 4.3. Servicios TI nuevos o modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 5. Auditora y certificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Anexo A. Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Anexo B. Documentacin normativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Anexo C. Integracin con otros sistemas de gestin . . . . . . . . . . . . . . . . . . 141

A finales de 2005 un grupo de nuestras asociaciones empresariales se unieron para aunar esfuerzos en beneficio de las empresas del sector TEIC. Con una actitud generosa y comprometida constituyeron la Confederacin Espaola de Empresas de Tecnologas de la Informacin, Comunicaciones y Electrnica (CONETIC). Actualmente somos 14 asociaciones que agrupan a ms de 1.600 empresas repartidas por casi la totalidad de la geografa espaola, impulsadas por la misma motivacin inicial: trabajar por la defensa de los intereses del sector, y promover el crecimiento y la madurez de la industria desde el desarrollo individual de las empresa, fomentando su especializacin y crecimiento, sustentado ste, en la cooperacin inter-empresarial. Fruto de esta apuesta por el avance competitivo de las empresas nos enorgullece presentar ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin, una adaptacin de las Normas UNE-ISO/IEC 20000 a las singularidades de las pequeas y medianas empresas. Esta publicacin es fruto del excelente trabajo realizado por un equipo de profesionales que han logrado una adaptacin pionera que ayudar a las empresas a obtener una certificacin especfica, y que ya ha sido probada con xito en ms de una veintena de empresas. En nombre de CONETIC quiero dar las gracias a todos los que han permitido este xito: al Ministerio de Industria, Turismo y Comercio, que ha sabido entender y atender con el Plan Avanza el reto competitivo al que se enfrenta el sector, representado mayoritariamente por pymes. A nuestra asociacin, GAIA, que con su visin estratgica present a CONETIC un proyecto arriesgado e ilusionante que permite conducir a las empresas a alcanzar un nivel de madurez imprescindible en la gestin de los servicios TIC, ofrecindoles una ventaja competitiva.

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

Agradecer a Toms Iriondo, Oihana Arrieta, Ana Soroa y a Eider Caraciolo su dedicacin, talento y esfuerzo entregado al servicio de las empresas. Tambin nuestro agradecimiento a nuestros colaboradores, el equipo de NEXTEL, S.A. por su gran profesionalidad y excelente trabajo en la elaboracin de este libro, a Symbiosis consultores por su apoyo en la implantacin de la norma en las empresas, a AENOR, encargada de la certificacin de las pymes y de la edicin de este libro y, por supuesto, a las empresas participantes en estas primeras ediciones del proyecto, que han iniciado y allanado un camino que ser recorrido por muchas ms, y que estn permitiendo con sus aportaciones ajustar la norma a la particularidad de las pymes. Por ltimo, gracias a los patrocinadores de esta publicacin: SPRI e INTECO, que permiten acercar los conocimientos y la experiencia a la hora de adaptar la norma a las empresas. En CONETIC estamos convencidos de que este libro animar a otras pymes a seguir el camino iniciado por 17 empresas en el ao 2008, y contribuir a contar con un sector ms maduro y competitivo capaz de afrontar con xito los retos del futuro.
Vicente Alciturri Gandarillas PRESIDENTE DE CONETIC

Desde que CONETIC (Confederacin Espaola de Empresas de Tecnologas de la Informacin, Comunicaciones y Electrnica) present el proyecto 20000PYME en la edicin 2008 del Plan Avanza, en Nextel S.A. hemos vivido el proyecto con la ilusin que nos caracteriza, la misma que hace ms de 20 aos nos impuls a introducirnos en el mercado de las telecomunicaciones con tesn y confianza. Iniciar un proyecto tan ambicioso como el de 20000PYME, liderando la coordinacin de las consultoras regionales, fue para Nextel S.A. una gran apuesta en su lnea de consultora IT. Para afrontar esta enorme responsabilidad, contamos en todo momento con la colaboracin de GAIA (Asociacin de Industrias de las Tecnologas Electrnicas y de la Informacin del Pas Vasco), una organizacin con la que hemos trabajado incesantemente a lo largo de este proyecto. Nuestro objetivo era acercar a las pequeas y medianas empresas una norma hasta el momento dedicada a grandes corporaciones. Hoy, terminada la redaccin de este libro, seguimos recibiendo el apoyo de importantes organizaciones como AENOR, que se encargar de certificar a las pymes participantes en este proyecto en los sistemas de gestin de servicios de tecnologas de la informacin, basndose en los requisitos de la Norma UNE-ISO/IEC 20000-1:2007. Tras nuestra estrecha colaboracin con todas las organizaciones que han intervenido, nos sentimos realmente agradecidos por haber completado un proyecto de tanta relevancia a nivel nacional, as como orgullosos por habernos convertido en pioneros del sector de la consultora IT gracias a la adaptacin de esta norma. Gracias, en nombre de Nextel S.A., a todas las personas que han trabajado en este proyecto, con la energa y la constancia que ha distinguido a todos los profesionales que participaron en 20000PYME, gracias por conseguir que se plasme en este

10

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

libro el minucioso trabajo realizado desde la primera fase del proyecto. Por ltimo, nuestro agradecimiento al Ministerio de Industria, Turismo y Comercio del Gobierno de Espaa por su apoyo incondicional a la innovacin y a la mejora continua de las empresas del sector. Con esta publicacin abrimos el camino que impulsar a que muchas ms pymes sigan esta norma, a fin de garantizar en sus empresas el cumplimiento de un SGSTI adaptado a sus necesidades y recursos. Agradecemos especialmente a AENOR su esmero en la supervisin de esta gua y a GAIA su inestimable ayuda en este proyecto.

Jos Ramn Bazo Lpez DIRECTOR GENERAL DE NEXTEL S.A.

Introduccin

El desarrollo de procesos de negocio en las organizaciones se halla en la actualidad ntimamente relacionado con los sistemas de informacin. Estos sistemas han pasado de estar orientados a procesos automatizados y muy especficos a ser por s mismos el corazn sobre el que se establecen todos los dems elementos productivos, de relacin y gestin, dentro de cualquier organizacin. Hoy por hoy, la mejora en los procesos productivos sera impensable sin la aportacin de los sistemas de informacin. Si en un primer instante las reas tcnicas dedicadas a la planificacin y explotacin de los sistemas concernan a una parte muy especfica de la organizacin, siendo en algunas ocasiones opaca ante la misma, en este momento se hace necesaria una relacin estrecha entre ambos mundos, el de las tecnologas de la informacin y el del negocio. Si bien, en un principio, el establecimiento de esta gestin TI (Tecnologas de la Informacin), orientada al negocio, se ha visto impulsada por las grandes organizaciones industriales, el sector financiero o los servicios pblicos, en la actualidad (incluso en organizaciones de menor tamao) es necesario no solo disponer de unos servicios TI adecuados, sino que estos demuestren tanto a accionistas como a clientes la calidad de los mismos en los procesos productivos que desarrollan. El paradigma del servicio de TI est generando un enorme cambio cultural dentro de las organizaciones, que deben adaptarse lo antes posible para beneficiarse de las ventajas derivadas de una buena gestin. Se establece una nueva relacin entre los servicios de informacin y el negocio, convirtindose este primero en proveedor interno que vende sus servicios TI y que, por tanto, debe garantizar la calidad de los mismos. Por otra parte, la venta de servicios TI deriva en un fortalecimiento del control de costes que garantice la rentabilidad de las inversiones en infraestructuras. Asimismo, el departamento TI depender de otros departamentos internos y evidentemente de proveedores externos. Entre ellos se formaliza la relacin cuya consolidacin dar como producto final el servicio TI gestionado.

12

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

Si establecemos este criterio de considerar de manera especfica la calidad de la prestacin de servicios TI a nuestro propio negocio, deberemos velar todava ms por aquellos servicios TI que ofrecemos a nuestros clientes externos. La calidad del servicio que prestamos tiene que quedar evidenciada tanto en la eficacia como en la eficiencia del mismo. La necesidad de gestionar de manera especfica los servicios TI origin, en los aos ochenta, la creacin de la denominada Biblioteca de Infraestructura de Tecnologas de la Informacin, conocida por su acrnimo en ingls ITIL (Information Technology Infrastructure Library), que recoga las mejores prcticas destinadas a facilitar la prestacin de servicios TI. Por otro lado, la institucin britnica BSI (British Standard Institution) comenz con su propia definicin de una norma para la gestin de servicios TI, denominada BS 15000. Posteriormente, se consider la necesidad de alinear la norma con las publicaciones de ITIL. Ya en 2005 se elev la norma de nacional a internacional, publicndose lo que hoy conocemos como ISO/IEC 20000-1:2005 e ISO/IEC 20000-2:2005. En Espaa, impulsado por itSMF (IT Service Management Forum), se realiza la traduccin de la norma al espaol y posteriormente, AENOR (Asociacin Espaola de Normalizacin y Certificacin) procede a su publicacin en junio de 2007 como UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del servicio. Parte 1: Especificaciones y UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del servicio. Parte 2: Cdigo de buenas prcticas. La Norma UNE-ISO/IEC 20000-1:2007 Tecnologa de la Informacin. Gestin del servicio. Parte 1: Especificaciones, objeto de anlisis y desarrollo en la presente gua, proporciona una norma nacional para todas aquellas organizaciones que ofrecen servicios TI, tanto a sus clientes internos como externos, estableciendo una referencia nica para todos los implicados: proveedores, suministradores y el propio cliente. En este contexto en el que se alinean y normalizan las distintas iniciativas para la gestin de servicios TI, las expectativas creadas no se han visto satisfechas en su totalidad. Al analizar las causas, se ha puesto de manifiesto la exigencia en relacin al desarrollo de todos los procesos que especifica, la referencia inevitable a las buenas prcticas consideradas por ITIL, as como la errnea consideracin de la necesidad casi obligada de herramientas. Todo esto ha hecho que el entorno objetivo, que hasta ahora se ha beneficiado de la mejora que supone un sistema de gestin de este tipo, se circunscriba exclusivamente al entorno de las grandes compaas. Este es el objetivo primordial de la gua que les presentamos: acabar con la asociacin que se estaba consolidando de relacionar los sistemas de gestin normalizados con la gran organizacin, y permitir la implantacin en un entorno mucho ms limitado en cuanto a recursos, como es la pequea y mediana organizacin (pyme).

Introduccin

13

Estructura de contenidos
La presente gua se ha estructurado de forma que resulte sencillo comprender las necesidades que satisface un SGSTI (Sistema de Gestin de Servicios de Tecnologas de la Informacin) y las exigencias que implica la implantacin de un SGSTI conforme a la Norma UNE-ISO/IEC 20000-1:2007. Para ello, la publicacin se ha organizado de la siguiente manera: Introduccin: recoge la motivacin de la gua, as como una breve explicacin de su contenido. Tambin incluye una ayuda explicativa del formato de algunas de las secciones, adems de: Objeto: refleja los objetivos que trata de cubrir el presente documento. Motivos para implantar un Sistema de Gestin de Servicios TI (SGSTI) en un entorno pyme: presenta las principales motivaciones que pueden inducir a una pyme a implantar un sistema de gestin de servicios TI conforme a la Norma UNE-ISO/IEC 20000-1:2007. Captulo 1. Conceptos previos: recoge una serie de aclaraciones y desarrollos conceptuales bsicos y necesarios para entender el resto del documento. Captulo 2. El Sistema de Gestin de Servicios TI (SGSTI): presenta los elementos de alto nivel del sistema de gestin, describiendo sus generalidades y caractersticas principales. Captulo 3. Los procesos: refleja el desarrollo de todos y cada uno de los procesos definidos por la Norma UNE-ISO/IEC 20000-1:2007, e identifica sus particularidades ms significativas. Captulo 4. Los servicios TI: recoge los principios generales que rigen la gestin de los servicios TI de acuerdo al sistema de gestin definido y a travs de los procesos identificados en el captulo anterior. Captulo 5. Auditora y certificacin. Adems de estos captulos, se recogen una serie de anexos que se han desarrollado con el fin de aclarar algunos de los aspectos especficos tratados: Anexo A: glosario de trminos utilizados a lo largo del libro. Anexo B: relacin de la documentacin obligatoria conforme a la Norma UNE-ISO/IEC 20000-1:2007. Anexo C: ventajas de la integracin del SGSTI con otros sistemas de gestin y correspondencias ms significativas con las normas de gestin ms extendidas.

14

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

En los captulos 2, 3 y 4 tras el texto explicativo, hay una serie de apartados finales donde se incluyen las fichas resumen de cada bloque, y cuyo propsito es facilitar la identificacin de los principales aspectos de cada uno de ellos. Estas fichas resumen recogen los siguientes aspectos: Objetivos: los objetivos esenciales del bloque. Puntos clave: los principales elementos dentro del bloque. Evidencias de implementacin: las evidencias fundamentales que pueden generarse para verificar la implementacin de los aspectos indicados en el bloque. Pistas para la auditora: aspectos ms significativos que deben considerarse de cara a una auditora en relacin al bloque.

Objeto
La presente gua surge con el fin ltimo de acercar la citada norma al entorno de la pequea y mediana organizacin, y ayudar as a la modernizacin de las mismas, para que puedan competir en un mercado cada vez ms globalizado. Pretende establecer unas nuevas metodologas de trabajo para conseguir la automatizacin e industrializacin de los servicios y capacitar al personal en las actuales metodologas de gestin. Uno de los objetivos bsicos es satisfacer a los clientes ms exigentes, y para ello la tecnologa de la informacin se ha convertido en una necesidad primordial para sobrevivir. En definitiva, se aspira a mejorar de manera continua la calidad del servicio ofrecido. Esta gua ha de servir de referencia, apoyo y consulta a aquellas pymes de cualquier mbito de actividad econmica que estn interesadas en la planificacin, implantacin y certificacin de un SGSTI basado en la Norma UNE-ISO/IEC 20000-1:2007. Se han establecido los contenidos especficos mnimos que debe cumplir la organizacin para la certificacin del sistema que se establezca. Se exponen a su vez, de forma prctica y sencilla, los aspectos esenciales para cada punto requerido por la norma, con ejemplos, buenas prcticas y recomendaciones. Esta gua, no pretende sustituir a la Norma UNE-ISO/IEC 20000-1:2007, sino que debe utilizarse de manera complementaria para lograr con xito la planificacin e implantacin de un sistema de gestin de servicios TI en un entorno reducido, como el que corresponde a una pyme.

Introduccin

15

Motivos para implantar un Sistema de Gestin de Servicios TI (SGSTI) en un entorno pyme

Los servicios TI se enfrentan a una serie de desafos desconocidos hasta ahora en los entornos tecnolgicos, y que requieren un tratamiento que va ms all del sistema de gestin tradicional para el aseguramiento de la calidad de los productos UNE-EN ISO 9001:2008 Sistemas de gestin de la calidad. Requisitos. Sobre los servicios TI actan de forma ms influyente que sobre cualquier otro entorno, las fuerzas que gobiernan la gestin de la diversidad: complejidad, globalizacin y extremada velocidad de cambio. Nos encontramos ante un nuevo paradigma, en donde la gestin de los servicios TI debe orientarse hacia un nuevo modelo de control. Este modelo se basar en: la coordinacin de mltiples agentes (internos y externos) que poseen el conocimiento, la automatizacin de los mecanismos de control de las infraestructuras TI, y la integracin de las TI con el resto de procesos de negocio a los que da soporte. Identificados los servicios de TI como el nuevo activo que ayudar a proporcionar a las organizaciones las mejoras en productividad y competitividad demandadas, deben disponerse los mecanismos necesarios para garantizar su eficacia y su eficiencia. De todos ellos, el principal mecanismo definido, reconocido internacionalmente, es la implantacin de un sistema de gestin de los servicios de TI basado en la serie de Normas ISO 20000. Pero, sin duda, las razones fundamentales para que las organizaciones gestionen la prestacin de sus servicios TI conforme a la Norma UNE-ISO/IEC 20000-1:2007, son: La optimizacin de recursos en dichas prestaciones. Evidenciar al cliente la calidad del servicio que se le ofrece. Aumentar la ventaja competitiva que supone la certificacin, por ejemplo, en las licitaciones a concursos de las Administraciones Pblicas u otro tipo de organizaciones que ya disponen de este tipo de gestin en otros mbitos. Sin embargo, por una serie de motivos que incluyen tanto la estabilidad del mercado necesaria como los recursos disponibles, las grandes organizaciones utilizan los modelos y metodologas de gestin mundialmente reconocidos para la puesta en marcha de un sistema de gestin estructurado y organizado, pero las pymes apenas lo hacen. La presente iniciativa ha sido diseada con una clara orientacin hacia las necesidades de las pymes, en consecuencia, su propia esencia se encuentra dirigida a este

16

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

segmento de la estructura econmica. El 99,8% del tejido organizacional est compuesto por pymes, empleando al 70% de los trabajadores en activo. Su relevancia resulta indiscutible cuando consideramos los datos a nivel macroeconmico, sin embargo todava existen grandes dificultades para estas en sus relaciones con el mercado. Las necesidades identificadas entre las pymes han provocado el diseo de la presente iniciativa, que aporta una serie de ventajas que se resumen a continuacin: Mejora del sistema de gestin desde una perspectiva global de la organizacin. Mejora de sus procesos operativos y consecuentemente de sus servicios. Aumento significativo en la calidad y el rendimiento de los servicios ofrecidos. Aprovechamiento de una certificacin para la creacin de una ventaja competitiva de carcter estratgico. Reconocimiento contrastado y comparativo de los esfuerzos que realizan las pyme y sus consecuentes niveles competitivos. Certificacin que reconoce su grado de calidad operativa, permitiendo avalar en el mercado la calidad de sus servicios y, por consecuencia, mejorar su competitividad. Facilidad en la adopcin de herramientas tecnolgicas adaptadas a las caractersticas especficas de las pymes. Adopcin de herramientas tecnolgicas con repercusin directa en la mejora de la competitividad de la organizacin. Integracin de las pymes en una red de colaboracin donde podrn cooperar, aunar esfuerzos y aprender de las experiencias de las grandes organizaciones adaptadas a la casustica de las pymes. En resumen, la mejora estratgica y operativa que puede provocar la implantacin de la presente iniciativa en el seno de las pymes permitir incrementar su competitividad eliminando, en parte, sus limitaciones y aprovechando sus potencialidades.

1
1.1. Calidad del servicio

Conceptos previos

La calidad del servicio es el primer concepto que deber tenerse en cuenta para cualquier organizacin que trate de implementar un SGSTI. El objetivo ltimo del sistema estar orientado a mejorar la calidad de sus servicios, entendiendo calidad como propiedad o conjunto de propiedades inherentes a algo, que permiten juzgar su valor. Esta definicin de la RAE (Real Academia Espaola) sintetiza claramente una de las finalidades del SGSTI: juzgar el valor de un servicio TI (ms adelante abordaremos el concepto de servicio TI). No obstante, esta definicin no es la nica que nos puede aportar luz sobre las connotaciones que hay en torno al concepto de la calidad. Si atendemos a la definicin de la Norma UNE-EN ISO 8402:1995 Gestin de la calidad y aseguramiento de la calidad. Vocabulario, comprobamos que calidad se define como el conjunto de caractersticas de una entidad que le confieren la aptitud para satisfacer las necesidades establecidas y las implcitas. En esta segunda definicin de la calidad aparece otra idea que se trabaja en esta norma: la satisfaccin de las necesidades explcitas e implcitas. En este sentido, este sistema considera tres elementos principales, que son los que determinan los criterios consensuados para juzgar la calidad de un servicio TI: el proveedor del servicio, el cliente o comprador del servicio y el usuario o beneficiario directo del servicio. De acuerdo a esta ltima definicin, un SGSTI establece dos tipos de necesidades con respecto a un servicio, las del proveedor y las del cliente. Se consideran procesos especficos que analizan a priori si el servicio que se plantea cubre las expectativas establecidas por parte de la organizacin que lo va a prestar. Adems, de modo previo a la prestacin del propio servicio, se establecen los acuerdos de nivel de servicio que convierten en tangibles las expectativas explcitas e implcitas del cliente con respecto a este.

18

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

1.2. Servicio TI
Cualquier organizacin que preste servicios TI puede establecer un SGSTI para asegurarse de que dichos servicios renen una calidad aceptable para sus clientes. No obstante, lo que en muchas ocasiones no queda claro es cules son precisamente los servicios TI que pueden beneficiarse del sistema de gestin. Qu servicios estn bajo el paraguas de servicios TI? Podemos definir un servicio de tecnologas de la informacin, o servicio TI, como todo aquel servicio que est soportado por tecnologas de la informacin y las comunicaciones, o bien como una serie de prestaciones ofrecidas por una organizacin, destinadas a satisfacer las necesidades de unos clientes mediante el uso de infraestructuras tecnolgicas. De acuerdo con esta definicin, podemos entender que el concepto de servicio TI posee una serie de caractersticas, no tanto definitorias pero s delimitadoras, que pueden servirnos para acotar el mbito de actuacin de estos sistemas de gestin. Estas caractersticas son: Una especial preocupacin por el propio concepto de servicio y su intangibilidad, en contraposicin al concepto de producto. Una clara orientacin al cliente a travs de las caractersticas de entrega de valor aadido y de satisfaccin de sus necesidades. Un uso predominante de las tecnologas de la informacin y las comunicaciones para poder efectuar la prestacin del servicio. Teniendo en cuenta estas caractersticas, podemos deducir que los servicios TI no son solamente los servicios proporcionados directamente por una infraestructura tecnolgica, sino que dentro de este mbito se engloban aquellos en los que el uso de tecnologas de la informacin y comunicacin juegan un papel fundamental a la hora de proporcionar ese valor aadido al cliente. Por lo tanto, dentro del concepto de servicios TI tambin podemos contemplar outsourcing, tales como la asistencia tcnica en relacin a los sistemas de informacin o la operacin y mantenimiento de infraestructuras tecnolgicas, siempre que estas actividades se desarrollen en forma de servicio continuado y no de proyecto puntual.

1.3. Ciclo de vida de un servicio TI

Desde el momento en que se decide sacar a la luz un nuevo servicio desde una organizacin, nos encontramos gestionando dicho servicio. Evidentemente no

Conceptos previos

19

estamos aplicando a dicho servicio un sistema de gestin, pero s que estaremos aplicando una gestin del servicio, sobre todo si lo hacemos sistemticamente y establecemos los criterios de planificacin partiendo de los datos recogidos de otras planificaciones previas. Para todo servicio TI puede establecerse el siguiente ciclo: planificacin del servicio, ejecucin, revisin y mejora del mismo, como se indica en la figura 1.1.

Plan Act

Do Check

Figura 1.1. PDCA: Plan (Planificacin), Do (Ejecucin), Check (Revisin), Act (Mejora)

En el mbito de la gestin se denomina ciclo de Deming al ciclo continuo. En nuestro caso, mientras se mantenga el servicio que se establece, y aplicando una metodologa especfica que nos permita dar un servicio de calidad y en continua mejora. Planificacin (Plan). El servicio se define de acuerdo a unas necesidades o expectativas previstas por la organizacin, tales como el rendimiento econmico, los recursos necesarios, el cliente objetivo, etc. Despus de la planificacin, le ofreceremos el servicio a un cliente concreto, conjugando las expectativas de nuestra organizacin con respecto al servicio planificado con las propias del cliente. Si esto lo consensuamos y documentamos, disponemos de los parmetros centrales para la prestacin de un servicio con calidad.

20

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

Ejecucin (Do). Tras la planificacin se comienza a prestar el servicio. Como en toda actividad de este tipo, tendremos que gestionar las incidencias o los cambios de requerimientos por parte del prestador o del cliente. Para gestionarlas, como mnimo, habremos asignado a alguien para su recepcin, para comprobar que efectivamente el cliente que llama es aquel con quien tenemos el servicio establecido y para conocer, adems, los detalles comprometidos, y con arreglo a los datos disponibles, actuaremos, resolviendo la incidencia con mayor o menor celeridad; en funcin de lo acordado en la fase de planificacin. Revisin (Check). Transcurrido un tiempo quizs no se hayan cumplido nuestras expectativas o las del cliente. No obstante, para verificar estos aspectos ser necesario revisar el servicio prestado y las caractersticas bajo las que se presta, y compararlas con la planificacin y previsin inicial para detectar desviaciones y reas de mejora. Mejora (Act). A partir de la revisin anterior podrn definirse las modificaciones del servicio prestado, que a su vez pueden conllevar otro anlisis interno en la organizacin prestadora y una posterior negociacin con el cliente final. Adems del ciclo de Deming, que puede ser aplicado a cualquier servicio en general, podemos establecer las especificidades que afectan a un servicio TI, y que se representan en la figura 1.2: 1. Inicio: se planifica el nuevo servicio en correspondencia a los requerimientos de la organizacin y del cliente. 2. Cambio: la planificacin inicial no se desarrolla directamente sobre un entorno en produccin, sino que se planifica el cambio que va a suponer la inclusin del servicio en el entorno de produccin. 3. Operacin: el servicio se encuentra en el entorno de operacin o explotacin y se opera. En esta fase es donde se desarrolla el servicio especificado por el proveedor y el que contrata el cliente. 4. Soporte: de manera inherente a la prestacin del servicio, surgirn incidentes que habr que solventar. 5. Modificacin: en consonancia con los datos recogidos de las fases de operacin, soporte y relacin con el cliente, se establecern modificaciones en el servicio que generarn otro ciclo completo. En el apartado 3.1 se desarrolla la relacin especfica entre los procesos planteados por la norma con cada una de las fases del ciclo de vida del servicio.

Conceptos previos

21

Planificacin del nuevo servicio o modificacin del existente

Planificacin de la introduccin del nuevo servicio o la modificacin en un entorno de produccin

Inicio Optimizacin

Cambio

Ciclo de vida del servicio TI

Soporte
Resolucin de las incidencias ocurridas en la operacin del servicio

Operacin
Explotacin del servicio en el entorno de produccin

Figura 1.2. Ciclo de vida del servicio

1.4. ITIL frente a ISO 20000

En este apartado se intenta aclarar la relacin existente entre ITIL y UNE-ISO/ IEC 20000:2007. Para facilitar su comprensin y aclarar conceptos, se ha utilizado como ejemplo grfico la fabricacin de un coche. La figura 1.3 representa la relacin entre ambas en forma de pirmide. La parte superior corresponde a la parte 1 de la norma (especificacin), es decir, los objetivos que se han de alcanzar con el SGSTI para que sea certificable. En este caso, y utilizando el ejemplo de la fabricacin de un vehculo, se puede considerar que en este documento se recogen las caractersticas que deber tener un sistema para ser considerado vehculo por el Ministerio de Industria. La segunda capa de la pirmide se corresponde con la parte 2 de la norma, cdigo de buenas prcticas, el cual trata de aclarar los requerimientos especificados de la parte 1. Siguiendo con el ejemplo, representara el manual para construir nuestro vehculo, independientemente de los recursos que se tengan, pero en lnea con las directrices del Ministerio. La tercera capa representa a ITIL, que contiene las mejores prcticas recogidas en el sector para la implementacin de un SGSTI. En nuestro ejemplo automovilstico

22

ISO/IEC 20000 para pymes. Cmo implantar un sistema de gestin de los servicios de tecnologas de la informacin

representara la opinin y las metodologas empleadas por los grandes fabricantes del mundo del automvil, donde se reflejan los procedimientos que les han permitido fabricar los mejores coches. La cuarta capa, objeto de esta publicacin, es la aplicacin prctica de todos los elementos anteriormente sealados. Es decir, se mantienen como principal referencia las especificaciones de la parte 1 (norma certificable), se tienen en cuenta la parte 2 de la norma (buenas prcticas) e ITIL (las mejores prcticas propuestas), pero se acomodan a un entorno ms limitado en cuanto a recursos humanos y materiales como es la pyme. Continuando con la analoga para la fabricacin de un vehculo, seguimos manteniendo las especificaciones a cumplir, y definidas por quien posteriormente verificar que nuestro coche es apto para circular; a su vez, se conoce y tiene en cuenta la experiencia y las maneras de fabricar que han resultado exitosas a lo largo del tiempo, pero fabricamos nuestro vehculo en un taller ubicado en cualquier ciudad del pas y no en un centro de produccin de una multinacional. El sistema de gestin de servicios TI que propone este libro desarrolla las especificaciones recogidas en la parte 1 de la norma y las traslada a un entorno concreto en forma de polticas, procesos, procedimientos, instrucciones tcnicas, etc. Posteriormente, sern auditadas y certificarn la gestin de los servicios TI definidos en el alcance conforme a la Norma UNE-ISO/IEC 20000-1:2007.

Especificacin

UNEISO/IEC 20000-1 UNE-ISO/IEC 20000-2

Cdigo de buenas prcticas

Certificacin

Las mejores prcticas

ITIL

SGSTI propio de la organizacin

Polticas, procedimientos, instrucciones tcnicas de cada organizacin

Figura 1.3. Relacin entre ITIL y UNE-ISO/IEC 20000:2007