Escolar Documentos
Profissional Documentos
Cultura Documentos
@nZ\hfie^mZ]^Zieb\Z\bg
iZkZeZ`^lmbg]^ehll^kob\bhl
]^m^\gheh`Zl]^eZbg_hkfZ\bg
ISO/IEC 20000.
Gua completa de aplicacin
para la gestin de los servicios
de tecnologas de la informacin
Ttulo: ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Telefnica, S.A.
Coordinador: Luis Morn Abad
AENOR (Asociacin Espaola de Normalizacin y Certificacin), 2009
Todos los derechos reservados. Queda prohibida la reproduccin total o parcial en cualquier soporte,
sin la previa autorizacin escrita de AENOR.
Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of
Government Commerce under delegated authority from the Controller of HMSO.
Licensed Product
ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
The Swirl logo is a Trade Mark of the Office of Government Commerce.
The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.
PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the United
Kingdom and other countries.
M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
ISBN: 978-84-8143-662-4
Depsito Legal: M-47292-2009
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR
Imprime: Xxxxxx
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
Agradecimientos
Este libro recopila las experiencias de profesionales que estn fuertemente involucrados en el impulso de las normas y las buenas prcticas internacionales relativas a
la gestin de las tecnologas de la informacin y las comunicaciones.
En la creacin de esta primera edicin del libro han participado:
Direccin de la obra (Telefnica):
Luis Morn Abad Direccin tcnica y contenido final.
Alejandro Prez Snchez Contenido intermedio.
Autores principales (Telefnica):
Luis Morn Abad
Alejandro Prez Snchez
Juan Trujillo Gaona
David Bathiely Fernndez
Miguel Jos Gonzlez-Simancas Sanz
Colaboradores:
Paloma Garca Lpez (AENOR)
Carlos Manuel Fernndez Snchez (AENOR)
Eduardo Mndez Polo (Telefnica)
Jaime Pastor Pastor (Telefnica)
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ndice
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
21
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia . . . . .
23
24
27
37
51
53
65
70
75
79
83
10
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ndice
11
Presentacin
Introduccin
Durante la dcada de los aos 50, algunas predicciones futuristas imaginaron que,
para el ao 2000, los coches seran capaces de volar, se ira de vacaciones a Marte, y
que Estados Unidos podra llegar a contar con nada menos que trescientos mil
ordenadores. En 1947 el director de una famosa multinacional del sector predijo
que en el mundo slo habra mercado para 5 ordenadores. Estas predicciones hoy
en da nos parecen ridculas, unas por lo exageradas, y otras por que se han quedado muy cortas.
Las tecnologas de la informacin y las comunicaciones han avanzado mucho ms
de lo esperado, pero despus de poblar el mundo de dispositivos de silicio, con
unas capacidades de proceso inimaginables, nos encontramos con un panorama
desalentador:
Equipos que se bloquean.
Sistemas que se caen.
Servicios que se interrumpen.
Atencin al usuario deficiente.
Prdidas de tiempo y de productividad de los usuarios.
Personal tcnico desbordado por llamadas y peticiones de asistencia.
Directores de sistemas de informacin que ven cmo, a pesar del esfuerzo continuo de su equipo, el roce y el malestar con el resto de la empresa no cesan.
Por ello, no es de extraar que encontremos frecuentemente que los departamentos
de las tecnologas de la informacin (TI) se consideren ms una carga que una
ayuda para el negocio.
16
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo trmino
ISO/IEC 20000 para referirse a estas normas, tanto para la serie UNE, como para la serie
ISO/IEC.
Introduccin
17
cualquier tipo de organizacin que provea servicios de tecnologa, tanto internamente a su organizacin como externamente al mercado, tanto en grandes organizaciones como en pequeas o medianas empresas.
Este libro va dirigido a todos los profesionales del mbito de las tecnologas de la
informacin y las comunicaciones que estn involucrados en la provisin de servicios. Resultar imprescindible tanto a los responsables de su gestin, como a cualquier otro profesional de TI: direccin, gestores, responsables de procesos, consultores, tcnicos, personal de soporte, etc.
Al avanzar en este libro, el lector constatar que la industria ya ha normalizado
gran parte del conjunto de actividades necesarias para que los servicios proporcionados por las TI sean fiables y eficientes. Cubren desde las actividades del da
a da inmediato, como es la atencin a los incidentes y peticiones, hasta la definicin de una estrategia que permita continuar prestando los servicios en caso
de catstrofe, todo ello, sin olvidar conceptos como la planificacin o la mejora
continua.
Persiguiendo este fin ltimo de utilidad, los contenidos de cada apartado, adems
de incluir ntegramente la norma, se han enriquecido con otras buenas prcticas
ITIL y con la amplia experiencia profesional de los autores.
Por tanto, este libro pretende ser una gua completa de aplicacin, una ayuda y una
razonable interpretacin de estas normas. No pretende sentar jurisprudencia al
respecto. Los autores dan por hecho que puede haber otras formas de aplicar o
interpretar las directrices de las normas, ya que las particularidades de cada negocio
y organizacin tienen gran influencia.
18
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Introduccin
0 Introduccin
2 Trminos y definiciones
12 Bibliografa y referencias
13 Trminos y definiciones
19
20
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Captulo 1
El camino a la excelencia
ya existe
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia
1.2. Normas, estndares, marcos de referencia y metodologas reconocidas
en el mbito de las TI
1.3. Entender los entornos de normalizacin y certificacin
1.4. Las principales normas y buenas prcticas en TI
38
M
CM
ITIL
00 000
0
9 20
0
70
IT
B
CO
50
38
CM
ITIL
00 00
90 200
23
0
27
MI
01
BIT
CO
50
24
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
38
CM
ITIL
00 00
90 200
mbito de la empresa
p
Evaluacin
Calidad
y medio
ambiente
Empresa
Directrice
es
Prrescriptivo
Gobierno TI
Gestin del
servicio de TI
Ticket
King
ACC
Tipo de usso
mbito especfico
p
de TI
SAS
8000
TQM
ISO
9001 ISO
SO
EFQM 9004
ISO
14001
ITIL v2
ISO/IEC
38500
Funciones de TI
((desarrollo,, seg.,
g , etc.))
ISO/IEC
20000
SAS 70
MOF
People
P
l
CMMI
CMMI
SOX
ISO/IEC
17799 o
27002
ISO
ISO/IEC
90003
ASL
ISO
27001
DSDM 12207
BS 25999
ISPL
PAS 77
FEAF
TOGAF
Zachman
PMBOK
RUP
TL 9000
Tecnologa
SPICE
ISO/IEC 15504
CMMI for
Services
ITIL v3
COSO
Lean
6
Sigma
COBIT
CoCo
eTOM
(Telcos)
25
PRINCE2
CORBA
XML
SOA
El veterano marco ITIL destaca como el gran compendio de referencia, que aspira
a convertirse en ese modelo universal que estructura y organiza toda la actividad de
las TI. Si bien la versin 2, publicada en el ao 2000, ha tenido una aceptacin
excepcional, hay que esperar a ver cmo el sector va adoptando la nueva versin 3,
publicada en el ao 2007, y que presenta una visin ms amplia y coherente de la
gestin de las TI, agrupada en torno al ciclo de vida del servicio.
El marco para el desarrollo de software CMMI (Capability Maturity Model Integration) aparece como el modelo ms aceptado para la medicin de la madurez de los
procesos de gestin en la construccin de aplicaciones. Para complicar ms el panorama, en su ltima versin se crea un nuevo modelo CMMI for Services, que se
superpone en gran medida con el mbito central de ITIL; y por tanto, tambin con
las Normas ISO/IEC 20000. Adems, para los procesos y medicin de la madurez
del desarrollo, tambin la normativa internacional inici desde 1993 su andadura.
ISO e IEC han desarrollado un modelo para la evaluacin de los procesos de desarrollo de software bajo la iniciativa SPICE que ha desembocado en la publicacin
de la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto de
normas relativas a la ingeniera del software (ISO/IEC 15288, ISO/IEC 12207,
ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).
0
27
MI
01
BIT
CO
50
26
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
38
CM
ITIL
00 00
90 200
27
Por otra parte, los temas medioambientales tambin tienen su impacto en la gestin de TI. Deben tenerse en cuenta: la legislacin nacional, local y la normativa
sobre retirada y gestin del equipamiento y residuos informticos; la serie de Normas ISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe tambin la Norma UNE 150002 Sistemas de gestin medioambiental. Gua para la aplicacin de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la gua para
la aplicacin de los sistemas de gestin medioambiental a las relaciones con suministradores y clientes, denominada UNE 150004 EX; o el Cdigo de Conducta
para la Eficiencia Energtica en Centros de Datos publicado por la Unin Europea.
Tanta abundancia de informacin y recomendaciones resulta confusa para las organizaciones que slo desean soluciones prcticas y directas para mejorar su gestin
de las TI.
De todo el mapa anterior, se recomienda centrarse inicialmente en las normas y
marcos de mayor relevancia y ms aceptados para la mejora de TI, como son:
ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la
gestin de los servicios de TI.
COBIT para la auditora y la medicin de las TI.
ISO/IEC 27001 para la gestin de la seguridad de la informacin.
ISO/IEC 15504 y CMMI for Development para la gestin del desarrollo de
software.
ISO/IEC 38500 y COBIT como referencias para el gobierno de las
tecnologas de la informacin.
0
27
MI
01
BIT
CO
50
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
28
marcos de mejores prcticas (organismos de normalizacin internacional, organismos de normalizacin en cada pas y las principales iniciativas de organizaciones
privadas aunque algunas con el respaldo indirecto gubernamental). Las filas enumeran algunos organismos e instituciones. Bajo el concepto de promotor se incluyen quin est principalmente detrs de las iniciativas respaldando a las instituciones. Finalmente se presentan algunas normas y marcos de cada mbito.
Promotore
es
O
Organismos
e
instituciones
Normalizacin internacional
ISO
CEN
IEC
CENELEC
UIT
ETSI
Normalizacin y acreditacin
segn el pas
Espaa: AENOR - ENAC
UK: BSI - UKAS
USA: ANSI
Alemania: DIN - TV
Argentina: IRAM
Chile: INN
Mxico: DGN
Per: INDECOPI
Australia: SA
Gobiernos
Participan comits
normalizacin pases
No
ormas
(en UNE-ISO
UNE ISO 20000)
ISO 9001
ISO 20000
ISO/IEC
38500
ISO/IEC
20000
ISO/IEC
27001
ISO/IEC
17799
ISO/IEC
20000
BS 15000
AS 8015
ISO 27001
ISO 1779927002
BS 25999
PAS 77
Carnegie
Mellon
ITGI
PMI
OGC
(UK)
DoD
(USA)
ISACA
(USA)
PMI
(USA)
SEI y ESI
ITIL
CMMI
COBIT
PMBOK
Prince2
Fuente: Telefnica
38
CM
ITIL
00 00
90 200
29
Por otra parte, el mbito de las denominadas iniciativas privadas (ITIL, CMMI,
COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prcticas y no de normativa. Los procedimientos y la gestin de la representacin del
sector quedan a la libre eleccin de la institucin u organismo que impulsa la iniciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamada
pblica de participacin para trabajar en la siguiente edicin de estos marcos a la
que suelen responder los principales actores internacionales y gurs en la materia.
El proceso de seleccin del equipo de revisin es especfico de cada institucin, as
como el procedimiento de edicin de la nueva versin del marco de referencia.
Como se puede intuir hay que ser un autentico especialista en la materia para comprender los diversos esquemas y estructuras que se han ido creando alrededor de la
normalizacin y marcos de mejores prcticas. Por la vinculacin con la temtica de
este libro se explican los procesos de creacin de las normas ISO/IEC y de las normas UNE espaolas:
Ciclo de creacin de las normas ISO/IEC. Una norma internacional se desarrolla en el mbito de los comits tcnicos y de los subcomits tcnicos de ISO y de
IEC. El proceso sigue seis etapas: propuesta, preparatoria, comit, consulta, aprobacin y publicacin. En este proceso, el documento propuesta de norma pasa por
tres estados que indican el grado de aceptacin y apoyo que se va alcanzando de los
diversos borradores:
CD (Committee Draft): es un borrador generado por un grupo de trabajo,
que ha recibido la aprobacin del grupo y se remite al comit correspondiente para su aprobacin.
DIS (Draft of International Standard): es el borrador de norma internacional que el comit de normalizacin ha aprobado y somete a comentarios y
votacin por parte de los pases.
FDIS (Final Draft of International Standard): es el borrador final de la
norma internacional, que el comit enva para su aprobacin final a todos los
miembros para su publicacin final como norma internacional.
En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. En la
etapa 3 se aprueba el borrador para pasar al estado de borrador de comit (DIS)
que ser sometido a aprobacin en la etapa 4 o de consulta. As, el borrador aprobado pasa al estado de borrador final de norma internacional (FDIS) que ser
sometido para su aprobacin definitiva en la etapa 5.
Adems, existe el procedimiento rpido de aprobacin, o fast-track, para documentos con un grado alto de madurez, como es el caso de normas locales que se quieran elevar a internacionales. En este caso, primero se somete a una votacin para
0
27
MI
01
BIT
CO
50
30
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasar
directamente como DIS a la etapa 4. Normalmente el procedimiento rpido puede
durar un ao, mientras que el normal suele durar entre 2 y 3 aos, dependiendo de
la dificultad de alcanzar el consenso en las diversas etapas.
Ciclo de creacin de las normas UNE espaolas. El proceso de elaboracin de
una norma UNE est sometido a una serie de fases que permiten asegurar que el
documento final es fruto del consenso, y que cualquier persona, aunque no pertenezca al comit de AENOR, productor de la norma, pueda emitir sus opiniones o
comentarios. Tras la aprobacin del proyecto final de norma por un Comit Tcnico de Normalizacin, el Boletn Oficial del Estado (BOE) publica la relacin
mensual de proyectos UNE sometidos a un perodo de Informacin Pblica,
durante el cual cualquier persona o entidad interesada podr presentar observaciones. Las observaciones deben realizarse a AENOR. Una vez analizados los comentarios recibidos en esta fase, el comit redactar el texto final, que ser aprobado y
publicado como norma UNE por AENOR.
En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional.
Proceso de elaboracin de una
norma ISO/IEC internacional
1. Etapa de propuesta
Se elabora la propuesta de norma
1. Trabajos preliminares
2. Etapa preparatoria
Se consensa el borrador CD
3. Etapa de comit
El comit aprueba CD DIS
4. Etapa de consulta
DIS se somete a consulta
5. Etapa de aprobacin
Se aprueba DIS FDIS
6. Etapa de publicacin
FDIS se edita como norma ISO
6. Publicacin de la nueva
norma UNE
Fuente: AENOR
38
CM
ITIL
00 00
90 200
31
0
27
MI
01
BIT
CO
50
32
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
europeo e internacional para el desarrollo de actividades de normalizacin y certificacin (N+C) en un mbito multisectorial. Cuenta en la actualidad con ms de 20
centros operativos repartidos en: Espaa, Mxico, Chile, El Salvador, Italia, Portugal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el desarrollo de las actividades de N+C, a mejorar la gestin de la calidad en las empresas, sus productos y servicios, proteger el medio ambiente y, con ello, lograr el
bienestar de la sociedad en su conjunto.
BSI (British Standards Institute). Organismo de normalizacin del Reino Unido.
Es destacable su actividad en la elaboracin de nuevas normas en el mbito de la
gestin de las TI. Creador de la serie de normas BS 15000, base sobre la que se han
definido las actuales Normas ISO/IEC 20000.
En general, cada pas tiene su propio organismo de normalizacin, entre otros
podemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA en
Australia, etc.
Otros organismos de habla hispana, con los que AENOR mantiene una estrecha
colaboracin motivada, entre otras cosas, por la traduccin conjunta de normas
internacionales al espaol, son: IRAM en Argentina, INN en Chile, DGN en
Mxico, INDECOPI en Per, etc.
Los gobiernos
Es importante destacar el papel activo de los gobiernos, instituciones gubernamentales y administraciones pblicas en el campo de la normalizacin, pues desempean un triple papel: como sustento de la actividad de normalizacin mediante subvenciones a los organismos de normalizacin, como impulsores de algunas
iniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bien
estableciendo una regulacin o bien en su papel de cliente contratante de servicios
al sector de las TIC.
Entre estos organismos destacan el Ministerio de Comercio Britnico (OGC, Office
of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y
el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense)
como impulsor de CMMI.
Organismos de acreditacin
Las entidades nacionales de acreditacin son entidades independientes cuya funcin es la acreditacin de entidades certificadoras y laboratorios de ensayo. Es decir,
38
CM
ITIL
00 00
90 200
33
el reconocimiento formal de que una organizacin es competente para la realizacin de una determinada actividad de evaluacin de la conformidad o la realizacin
de un ensayo determinado.
Las organizaciones que podemos destacar son:
Internacionalmente: IAF (International Accreditation Forum).
En Europa: EA (European Cooperation for Accreditation).
En Espaa: ENAC (Entidad Nacional de Acreditacin en Espaa).
En el Reino Unido: UKAS (United Kingdom Accreditation System).
IQNet. Un papel parecido a la acreditacin lo realiza la Red Internacional de Certificacin (IQNet, International Certification Network), asociacin formada por las
entidades de certificacin lderes en la certificacin de empresas en sus respectivos
pases. Entre sus objetivos estn:
El reconocimiento y promocin de los certificados expedidos por sus miembros en todos los sectores industriales y de servicios.
La coordinacin de los procesos de certificacin de empresas que operan en
distintos pases.
Normalmente, los certificados locales emitidos por las entidades certificadoras van
acompaados de el reconocimiento internacional de IQNet.
Entidades certificadoras
Para que las empresas puedan demostrar a nivel nacional e internacional que cumplen las normas, necesitan un certificado. Se trata de un instrumento para verificar
la correcta implantacin de las normas.
La obtencin del certificado se realiza mediante un proceso de evaluacin independiente por parte de una entidad certificadora o de certificacin. Un requisito
importante que asegura la solvencia para que una entidad pueda conceder una
marca de certificacin es que dicha entidad sea competente para certificar los
productos, los servicios, los sistemas de gestin o las personas, a los que se aplica la
marca de certificacin.
Los organismos de acreditacin son los encargados de acreditar a las entidades de
certificacin. Las entidades de certificacin utilizan los servicios profesionales
de los auditores.
0
27
MI
01
BIT
CO
50
34
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Marcas de certificacin
Las marcas de certificacin las conceden las entidades correspondientes a los productos, sistemas y servicios que cumplen con los requisitos definidos.
La certificacin, en base a normas, tiene su reflejo en los distintivos de certificacin, cuya concesin significa que el producto o servicio ha pasado por el adecuado
proceso de certificacin de forma satisfactoria. Cuando, por ejemplo, se trata de
una marca de seguridad, la concesin de la marca significar que cumple los requisitos de seguridad, segn la norma de referencia.
En un producto con certificado de calidad, la etiqueta puede contener distintos
logotipos (vase la figura 1.4) dependiendo de la entidad que otorgue el certificado.
Auditores
Los auditores son los nicos profesionales acreditados para realizar la auditora del
cumplimiento de los requisitos de una norma por una organizacin. La calificacin
de auditor se concede nicamente a los candidatos que demuestren experiencia
suficiente y hayan pasado los exmenes exigidos para ello.
38
CM
ITIL
00 00
90 200
35
Consultores
Los consultores asesoran, bien a las organizaciones o entidades que quieren
implantar las normas, o bien, una vez implantadas, que desean certificarse. Para
esta funcin existe una acreditacin profesional especfica. La formacin que reciben les permite adquirir un nivel suficiente de conocimiento de la normas, del
esquema de certificacin y de su aplicacin.
Los consultores asisten a las organizaciones en la interpretacin y aplicacin de la
normas, as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestin del
servicio. Asimismo, el consultor externo puede efectuar una evaluacin de los niveles de gestin del servicio y establecer el nivel de preparacin necesario para una
solicitud de certificacin y su posterior consecucin.
Actualmente, existe una acreditacin de consultor ISO/IEC 20000 otorgada por entidades de formacin acreditadas por UKAS e itSMF-UK. Otros organismos que regulan la formacin profesional (EXIN, APMG) tambin estn entrando en este campo.
0
27
MI
01
BIT
CO
50
36
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
38
CM
ITIL
00 00
90 200
37
Gestin de la
continuidad y
disponibilidad
del servicio
Generacin de
informes del servicio
Procesos de control
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
0
27
MI
01
BIT
CO
50
38
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
junto al proceso del captulo 5 Planificacin e implementacin de nuevos servicios o de servicios modificados). Adems, las normas incluyen dos aspectos
muy importantes: el sistema de gestin y la planificacin e implementacin de
la gestin del servicio.
En el mbito de los servicios de TI, resulta esencial que los servicios se provean
en un marco de gestin eficaz y de calidad, para entender claramente los requisitos y gestionar su cumplimiento. Las Normas ISO/IEC 20000 articulan el proceso de prestacin de los servicios engranados sobre un sistema de gestin del
servicio (vase el captulo 3). El proceso de mejora continua establecido por la
Norma ISO 9001 para la fabricacin de productos o prestacin de servicios
(siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar Plan, Do, Check,
Act), tambin se incorpora en esta norma como un motor de la mejora continua
de los servicios de TI (vase el captulo 4).
38
CM
ITIL
00 00
90 200
39
BS 15000
1986
IBM,s
ISMA
1989
itSMF
2000
ITIL v1:
42 libros
ITIL v2:
7 libros
ISO/IEC
20000
UNE-ISO/
IEC 20000
2005
2007
Creacin
itSMF Espaa
Evolucin
ISO/IEC 20000
ITIL v3:
5 libros
ITIL v0:
Service Level
Management
0
27
MI
01
BIT
CO
50
40
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ITIL v2 se ha utilizado como base para la creacin de las Normas ISO/IEC 20000.
En la figura 1.7, se muestra una representacin tpica de ITIL v2. En ella se puede
apreciar el negocio a la izquierda del todo, en el extremo derecho se sita la tecnologa, y, en medio, haciendo que la tecnologa sea til para el negocio estn los procesos ITIL. De ellos, los dos libros ms valiosos por su contenido y ms aceptados
por el mercado son los relativos a la gestin de servicio (libros Soporte de Servicio y
Provisin de Servicio publicados por OGC).
Soporte de servicio
Gestin relacin
con negocio
E
L
N
E
G
O
C
I
O
Gestin relacin
proveedores
Planificacin
y desarrollo
arquitectura TI
Relacin
formacin y
comunicacin
de TI con el
negocio
Gestin de
infraestructuras TIC
Gestin de servicio
Diseo y
planificacin
Incidente
Despliegue
Problema
Operacin
Configuracin
Financiero
Cambio
Continuidad
Entrega
Soporte tcnico
Disponibilidad
Capacidad
G. nivel de servicio
Provisin de servicio
Gestin de aplicaciones
Requerimientos
Disear y construir
Despliegue
Operar
Gestin
de activos
Gestin de
la seguridad
Planificar
L
A
T
E
C
N
O
L
O
G
Implementar
Evaluar
Mantener
Controlar
Optimizar
38
CM
ITIL
00 00
90 200
41
Diseo
del servicio
Operacin
del servicio
Estrategia
del servicio
ITIL v3
n
i io
c
i
s ic
an erv
r
T ls
de
Mejora
del servicio
Fuente: Libro ITIL Estrategia del Servicio publicado por OGC y e.p.
0
27
MI
01
BIT
CO
50
42
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ESTRATEGIA
DISEO
TRANSICIN
OPERACIN
MEJORA
CONTINUA
Gestin financiera de TI
Planificacin y soporte de la
transicin
Gestin de la demanda
Gestin de cambios
Gestin de la configuracin y
de activos del servicio
Gestin de la capacidad
Gestin de la disponibilidad
Gestin de la continuidad del
servicio TI
Gestin de la seguridad de la
informacin
Gestin de versiones y
despliegues
Gestin de suministradores
Mejora continua del servicio
El proceso de mejora
en 7 etapas
Procesos:
Gestin de incidencias
Gestin de peticiones
Gestin de problemas
Gestin de eventos
ITIL v3
Gestin de accesos
Funciones:
Centro de servicio al usuario
Gestin tcnica
Gestin de operaciones TI
Gestin de aplicaciones
38
CM
ITIL
00 00
90 200
43
Monitorizar y evaluar
ME1 Monitorizar y evaluar el desempeo
de TI
del
icin
Med mpeo
dese
in
ac ca
il ne tgi
A ra
t
es
En
de treg
va a
lor
Gobierno
de TI
Administracin
de recursos
Adm
inis
de r tracin
iesg
os
Adquirir e implantar
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el software aplicativo
Fuente: ISACA.
0
27
MI
01
BIT
CO
50
44
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
38
CM
ITIL
00 00
90 200
45
Ciclo PDCA
Plan
Planificar
Do
Act
Hacer
Actuar
Check
Verificar
Planificar
Hacer
Verificar
Actuar
ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002) recoge un cdigo
de buenas prcticas para la gestin de la seguridad de la informacin. Se centra en
desarrollar los objetivos de control de la seguridad, y para cada uno de ellos, se
indica una gua para su implantacin. Cada organizacin debe considerar cuntos
sern realmente los aplicables segn sus propias necesidades.
0
27
MI
01
BIT
CO
50
46
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CMMI
for Services
CMMI
Foundation
CMMI for
Development
16 reas
de proceso
comunes
CMMI for
Acquisition
para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisiciones (CMMI for Adquisition) y una nueva para la prestacin de servicios (CMMI
for Services).
CMMI describe cinco etapas evolutivas (niveles) en las cuales una organizacin se
sita segn la madurez de sus procesos:
1. Inicial (Initial). Los procesos son caticos; pocos procesos estn realmente
definidos.
2. Repetible (Repeatable). Se establecen los procesos bsicos y se observa cierto
nivel de disciplina respecto a ellos.
3. Definido (Defined). Todos los procesos estn definidos, documentados, normalizados e integrados.
4. Gestionado (Managed). Los procesos se miden recogiendo datos detallados
de los mismos.
5. En optimizacin (Optimizing). La mejora de los procesos es continua y proporciona nuevas ideas y oportunidades.
Con la publicacin en Marzo del 2009 de CMMI for Services, el SEI tambin entra
en el mbito de la gestin del servicio, con bastante solape con ITIL e ISO/IEC
20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.
38
CM
ITIL
00 00
90 200
47
Process Management
Project Management
0
27
MI
01
BIT
CO
50
48
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Procesos cliente-proveedor
Procesos de ingeniera
Procesos de proyecto
Procesos
de soporte
Procesos de organizacin
Fuente: SPICE.
38
CM
ITIL
00 00
90 200
49
0
27
MI
01
BIT
CO
50
Captulo 2
Entender las
Normas ISO/IEC 20000
6.1 Gestin de
nivel de servicio
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso
de entrega
7. Procesos
de relaciones
8. Procesos
de resolucin
7.3 Gestin de
suministradores
Gestin de la seguridad
de la informacin
Elaboracin de
presupuesto y contabilidad
de los servicios de TI
Gestin de la configuracin
Gestin del cambio
Proceso
de entrega
Proceso de gestin
de la entrega
53
Procesos
de resolucin
Procesos
de relaciones
Gestin de suministradores
58
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
SGSTI
85
Fuente: Telefnica.
Tambin hay que entender que estas normas y marcos de referencia del mercado
(ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no son
utilizables, como tal, directamente en la empresa. Requieren concretarse en procesos y procedimientos, que son los instrumentos sobre los que se articula la gestin
de la actividad. Adems, para que sean de verdad tiles, la aplicacin de todos estos
estndares debe adaptarse a las particularidades de cada empresa (tamao, negocio,
cultura, estrategia, etc.).
Por ello, todo proveedor u organizacin de TI debe crear su propio sistema de gestin que tenga en cuenta cmo adaptar las normas a todas las particularidades propias de cada empresa.
SGSTI
99
UNE-ISO/IEC 20000-2
El personal que realiza el trabajo relativo
a la gestin del servicio debera ser competente para esta funcin gracias a la
educacin recibida, a la formacin, las
habilidades y la experiencia adecuadas.
El proveedor del servicio debera:
a) determinar las aptitudes necesarias para cada rol en la gestin
del servicio;
b) asegurar que el personal es consciente de la relevancia e importancia de sus actividades dentro
Como no poda ser de otra forma, ISO/IEC 20000-2 hace especial hincapi en
el desarrollo profesional y de las competencias de las personas que forman parte
de TI:
UNE-ISO/IEC 20000-2
Desarrollo profesional. El proveedor
del servicio debera desarrollar y mejorar las competencias profesionales de
su fuerza de trabajo. Entre las medidas
tomadas para conseguir esto, el proveedor del servicio debera incluir lo
siguiente:
a) contratacin: con el objetivo de
comprobar la validez de los detalles de los candidatos al puesto
de trabajo (incluyendo su cualificacin profesional) y de identificar
la fortalezas, debilidades y habilidades potenciales de los candidatos frente a una descripcin/perfil
del puesto de trabajo, frente a los
objetivos de la gestin del servicio
153
158
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Cada uno de los otros procesos que participan en la cadena tiene unos objetivos
especficos y su propio aporte a la construccin del servicio final. Aunque estos
procesos no se han tratado todava en este libro, es conveniente tener una visin
general de su participacin en este proceso. A continuacin, se detallan los principales:
Relaciones con el negocio. Su objetivo es establecer y mantener una buena relacin entre el proveedor del servicio y el cliente, basndose en el entendimiento del
cliente y de los fundamentos de su negocio (vase el captulo 7 para obtener ms
detalles de este proceso).
El proceso de creacin de servicios engrana con este proceso de relaciones para que
gestione todo el contacto necesario con las reas de negocio. Su contribucin se
centra en la toma de requisitos de las necesidades del cliente, la posterior negociacin de la propuesta de servicio, la gestin del nuevo acuerdo de nivel de servicio y
el consenso con el cliente de la planificacin para la creacin del servicio realizada
por el proceso de creacin. En su funcin comercial, durante el proceso de creacin, se encarga de mantener informado al cliente y estar presente en las reuniones
de seguimiento, acompaando al jefe de proyecto. En la entrega, gestiona la participacin del cliente en las validaciones funcionales y en las reuniones para el cierre
del proyecto de creacin.
198
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
fijar los acuerdos operativos. Tambin establece los requisitos para que los contratos de soporte con los suministradores estn alineados con los compromisos del
servicio, contratos que negociar y seguir el proceso de gestin de suministradores (vase el apartado 7.3).
En la figura 6.1.4 se muestran los principios bsicos en los que se sustenta la actividad de este proceso.
La implementacin de las Normas ISO/IEC 20000 requiere un cambio en la cultura de la organizacin, con una orientacin al servicio y al cliente. La gestin de
nivel de servicio es el instrumento principal para inculcar la cultura de servicios en
la organizacin de TI. As, la misin de la organizacin de TI va ms all de la pura
tecnologa, para ofrecer soluciones al negocio empaquetadas bajo el concepto de
servicio. Para ello, el catlogo de servicios y los acuerdos de nivel de servicio (SLA)
son las principales palancas para esta transformacin cultural. Los servicios que se
ofrecen a los clientes se recogen en un catlogo de servicios de TI, alineado con el
negocio, que gestiona y mantiene este proceso. Adems, los servicios llevan asociados un compromiso de prestacin negociado con los clientes, incluidos en los
242
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Poltica
de informes
Niveles
de servicio
Diseo de
informes
Cuadros
de mando
Realizacin
de informes
Informes
KGI
Panel de
control
KPI
Arquitectura
de mtricas
Indicadores
Monitorizacin
Base de datos de
indicadores y mediciones
290
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
DISPONIBILIDAD
Entradas
Desencadenantes
del proceso:
Peticin de la direccin.
Negociacin de un SLA.
Incumplimiento
disponibilidad.
Fecha revisin del plan
disponibilidad.
Entradas de soporte:
Riesgos.
SLA firmados.
Informacin de
incidentes y problemas.
Datos de monitorizacin .
RFC.
CMDB.
Actividades
3 Inicio:
Salidas
Salidas principales:
Poltica disponibilidad.
Plan de disponibilidad.
3 Requerimientos y estrategia:
Evaluacin de riesgos.
Determinar requisitos.
3 Implementacin:
Disear para la disponibilidad.
Disear para la recuperacin.
Directrices de diseo
de la disponibilidad y
arquitectura.
Informes de
seguimiento de
disponibilidad.
Verificar la seguridad.
Salidas secundarias:
Requisitos de
monitorizacin.
Generar el plan de
disponibilidad.
3 Gestin operativa:
Plan paradas
planificadas-PSO.
Supervisar la disponibilidad.
Resultados anlisis de
riesgos.
Investigar y mejorar
disponibilidad.
Resultados tcnicos
investigacin incidentes.
Actualizar plan de
disponibilidad.
3 Mejora del proceso
99,99%
315
Siguiendo la clasificacin realizada en ITIL, las principales soluciones de continuidad que se pueden considerar son:
Recuperacin inmediata. Proporciona una recuperacin instantnea (mirroring) sin prdida de servicios y sin prdida de informacin apreciable (RPO y
RTO son iguales a cero). Esta solucin se basa en centros de proceso de datos
conectados en activo-activo, es decir, un mismo servicio est ejecutndose de
forma simultnea en ambos centros, con datos sincronizados y balanceando
la carga entre ambos. Las soluciones de procesamiento distribuido entre mltiples servidores y centros de datos (grid computing) son soluciones de alta
resistencia, pero que requieren aplicaciones especialmente adaptadas.
Recuperacin rpida. Conocida como hot standby, est proporcionada por
dos centros de datos conectados y con las aplicaciones cargadas en ambos y
350
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El presupuesto dota econmicamente a TI y, por tanto, condiciona toda la actividad en el ejercicio. Debe ir estrechamente vinculado al desarrollo de la estrategia
de TI.
Las Normas ISO/IEC 20000 requieren que los presupuestos tengan el suficiente
detalle para posibilitar el control econmico y la toma de decisiones.
UNE-ISO/IEC 20000-1
Los costes se deben presupuestar con suficiente detalle para permitir el control econmico efectivo y la toma de decisiones.
El proveedor del servicio debe monitorizar e informar de los costes contra el presupuesto, revisar las previsiones econmicas y gestionar los costes en consonancia.
Los costes de los cambios en el servicio se deben valorar y aprobar a travs del proceso de gestin del cambio.
ISO/IEC 20000-1 requiere que los cambios se valoren en cuanto a sus costes y que
se aprueben a travs del proceso de gestin del cambio. De esta forma, se tiene
un mejor conocimiento y control de los costes. Las peticiones de cambio (RFC),
presentadas con el fin de aprobar su ejecucin, deben incorporar el coste asociado
(as se establece en el formato de RFC del apartado 9.2). El proceso de gestin
financiera controlar a travs de su presencia en el comit de cambios (CAB,
Change Advisory Board), que se actu dentro de los presupuestos asignados.
Una vez aprobado el cambio, cuando se necesite la ejecucin de alguna compra
(equipamiento, licencias, servicios, etc.), volver a intervenir la gestin financiera
para autorizarla econmicamente.
UNE-ISO/IEC 20000-2
Elaboracin del presupuesto
La elaboracin del presupuesto debera tener en cuenta los cambios planificados de los servicios durante el
periodo presupuestario y, en el caso de
que las necesidades presupuestarias
excedan los fondos disponibles, plani-
381
fase de pruebas (en el caso de aplicaciones sujetas a mantenimiento). Tambin se puede realizar en cambios importantes. Si se ha realizado el modelado, se utilizarn sus resultados.
Realizacin de informes de capacidad y rendimiento. Preparacin y difusin de informes diversos sobre la utilizacin de recursos (tcnicos y humanos), la capacidad remanente y el rendimiento de los sistemas. Los informes
se realizarn de forma peridica o bajo peticin, en ambos casos coordinados con el proceso de gestin de informes.
Administrar la base de datos de capacidad (CDB). Diseo y creacin de
la base de datos y administracin posterior de la misma. La base de datos
contiene informacin histrica sobre la demanda y crecimiento del negocio,
sobre los servicios y sobre la capacidad de los elementos de configuracin.
Supervisin y mejora del proceso. Revisin continua del funcionamiento
del proceso y de sus actividades con el fin de detectar mejoras al mismo.
Las actividades de este proceso, con su participacin en los mbitos de negocio,
servicios y recursos, se muestran en la figura 6.5.6.
Actividades
Subprocesos
Elaborar
el plan de
capacidad
Ciclo de mejora
de la capacidad
y rendimiento
Gestin capacidad
del negocio
Relacionarse
con otros
procesos
Modelado
Monitorizacin
Realizacin
de informes
Anlisis
Gestin capacidad
de los servicios
Ajuste
Gestin capacidad
de los recursos
Influir en la
utilizacin
Dimensionado
aplicaciones
Implementacin
CDB
386
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Estructura de la CDB
Datos de
los servicios
Procesos de negocio.
Edificios y
emplazamientos.
Rendimiento: perfil de
variacin de la carga:
Picos de carga.
Nmero de
transacciones.
Tiempos de
respuesta.
Distribucin
geogrfica usuarios.
Distribucin funcional
usuarios.
Volmenes de
actividad del negocio.
Transacciones de
negocio.
Perfil de la actividad
del negocio (horario,
semanal y estacional).
Perodos crticos para
cada proceso de
negocio.
Capacidad: consumo
por usuario o
transaccin.
Costes del servicio.
Datos de rendimiento
de la infraestructura
que soporta el servicio.
Concurrencia con otros
servicios sobre las
plataformas comunes.
Datos utilizacin
recursos
Lmites tcnicos
Comunicaciones
externas.
Red interna.
Lmite uso
almacenamiento.
Cortafuegos.
Servidores frontales.
Servidores
middleware.
Servidores backend.
Almacenamiento
compartido.
Copias de seguridad
reas de soporte:
Service desk.
Operacin.
Soporte tcnico.
Informacin
financiera
TCO por puesto.
Coste licencias por
usuario.
Coste transaccin.
Coste por MIP.
Coste por GB.
415
En la figura 6.6.8 se muestra un esquema con las actividades del proceso, realizado
imitando el ya legendario esquema de gestin de la continuidad de ITIL v2.
GESTIN DE LA SEGURIDAD DE LA INFORMACIN
PLAN
Anlisis de riesgos
de seguridad
Evaluacin de riesgos
Requerimientos y estrategia
Seleccin de objetivos de
control y sus controles
Declaracin de
riesgos de seguridad
Declaracin de riesgos
Implementacin
y operacin
DO
Poltica seguridad
Plan tratamiento
riesgos seguridad
Pruebas iniciales
CHECK
Pruebas iniciales
Supervisin
y revisin
Revisin y
auditora
Prueba de
controles
Supervisar,
monitorizar
y registrar
Investigar
incidentes
Actualizar
ACT
Fuente: e.p. a partir del libro ITIL Provisin de Servicio publicado por OGC y de UNE-EN ISO 27001.
Siguiendo esta estructuracin en dos niveles, a continuacin se relacionan las actividades del proceso alineadas con lo indicado en la Norma ISO/IEC 27001.
Creacin del proceso o del sistema de gestin SGSI. La primera etapa para
empezar a implantar la seguridad es la fase de creacin del propio proceso de gestin de la seguridad (si se est en ISO/IEC 20000) o del sistema de gestin de la
7. Procesos de relaciones
7.3. Gestin de suministradores
491
Fases del ciclo de vida del outsourcing desde la perspectiva de organizaciones contratantes
Anlisis
Inicio
Anlisis oportunidades
externalizacin
Planificacin de
la externalizacin
Estrategia de
externalizacin
Evaluacin de
suministradores
Prestacin
Terminacin
Finalizacin del
servicio
Acuerdos (contratos)
Transferencia
del servicio
Gestin de la gobernabilidad
Gestin de los
recursos humanos
Gestin del conocimiento
Figura 7.3.5. Esquema del modelo de gestin de outsourcing del modelo eSCM-CL
8. Procesos de resolucin
8.2. Gestin del incidente
581
582
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Figura 8.2.12. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
La medicin del ciclo de vida de una peticin se centra en ratios de agilidad, de eficiencia y de satisfaccin del usuario. Los ms comunes son el volumen de peticiones
gestionadas, el volumen de peticiones segn su estado, desglose de las peticiones por
tipo (de servicio, consulta, etc.), el tamao de lista de peticiones de servicio pendientes, el plazo medio de provisin por tipo de peticin, las peticiones de servicio terminadas en plazo, el nmero de quejas y reclamaciones, el coste medio de provisin,
la satisfaccin del usuario con la gestin de peticiones de servicio, etc.
En la figura 8.2.13 se muestra el resumen de los indicadores ms relevantes para
este proceso seleccionados en ITIL v3 (en el libro Operacin del Servicio).
CMDB
9. Procesos de control
9.1. Gestin de la configuracin
657
Responsable de la
gestin del servicio
Gestor de la
configuracin
SGSTI
Administrador de
la CMDB y DSL
Propietario del
modelo (SGSTI)
Titulares de elementos
de configuracin
Administrador y
soporte del proceso
de configuracin
739
1. Determinar alcance
2. Solicitud de certificacin
3. Auditora fase I:
Anlisis de documentacin
4. Auditora fase I:
Visita previa
5. Auditora fase II
La primera
certificacin
Existen
no conformidades?
Plan de acciones
correctivas
6. Evaluacin y decisin
Cumple
requisitos?
No
Auditora extraordinaria
(a los 6 meses)
Mantenimiento de
la certificacin
8. Auditoras de seguimiento
(aos 1 y 2)
9. Auditora de renovacin
(cada tercer ao)
Responsabilidad proveedor TI
Lidera el certificador
Fuente: AENOR.
756
ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
EL><MHK=>E:LM><GHEH@:L=>E:BG?HKF:<BG>GLN>OHEN<BGA:<B:E:F:=NK>SA:B=H
@>G>K:G=H<HGCNGMHL=>F>CHK>LIK<MB<:LJN>:RN=:G:E:LHK@:GBS:<BHG>L:@>LMBHG:K
>LMHL>GMHKGHLM><GHE@B<HL<:=:O>SFL<HFIEB<:=HLR:E:O>SFLG><>L:KBHL
%:L'HKF:L",(">LI><B?B<:GE:L:<MBOB=:=>L;LB<:LI:K:@>LMBHG:K<HG<:EB=:=
EHLL>KOB<BHL=>M><GHEH@:L=>E:BG?HKF:<BGJN>LHGIK>LM:=HLBGM>KG:F>GM>>GNG:
>FIK>L:HIHKI:KM>=>NGIKHO>>=HK>QM>KGH
-HF:G=H<HFH;:L>EHLM>QMHLGM>@KHL=>E:LGHKF:L>LM>EB;KHFN>LMK:<FHF>CHK:K
E: @>LMBG => EHL L>KOB<BHL => M><GHEH@:L => E: BG?HKF:<BG :IHKM:G=H E:L F>CHK>L
IK<MB<:L=>"-"%RE:@K:G>QI>KB>G<B:IKH?>LBHG:E=>EHL=BO>KLHL:NMHK>LH?K><B>G=H:
E:L>FIK>L:LHIKH?>LBHG:E>L=>EL><MHKNG<HGM>GB=H>L>G<B:EI:K:F>CHK:KLNGBO>E=>
@>LMBGRE:<:EB=:==>LNLL>KOB<BHL=>M><GHEH@:L=>E:BG?HKF:<BG
<>K<:=>EHL:NMHK>L
%HL :NMHK>L => >LM> EB;KH K>G>G >G LN <HGCNGMH NG: @K:G
>QI>KB>G<B:>G=BO>KLHLF;BMHLRHK@:GBS:<BHG>L=>M><GHEH@:L
=> E: BG?HKF:<BG ,NL MK:R><MHKB:L IKH?>LBHG:E>L LHG :FIEB:L
:;:K<:G=H =BO>KL:L K>:L <HFH IKH=N<<BG >QIEHM:<BG =>
LBLM>F:L <:EB=:= R IKH<>LHL >M< R =>L>FI>:G=H =B?>K>GM>L
?NG<BHG>L>GMK>E:LJN>L>=>LM:<:GE:K>OBLBGH<>KMB?B<:<BG=>
LBLM>F:L=><:EB=:=",(",("",(""-"%
R&&"
,6%1