GUÍA AVANZADA GESTIÓN DE SERVICIOS LNCS

Transcripción

1 GUÍA AVANZADA GESTIÓN DE SERVICIOS LNCS

2 AVISO LEGAL CMMI es una marca registrada en la Oficina de Marcas y Patentes de EEUU por la Universidad Carnegie Mellon Las distintas normas ISO mencionadas han sido desarrolladas por la International Organization for Standardization. ITIL (Information Technology Infrastructure Library es una marca registrada de la OGC, Office of Government Commerce (Oficina de comercio gubernamental), que es una división del Ministerio de Hacienda del Reino Unido. CobiT es una marca registrada del Information Systems Audit and Control Association (ISACA ) y el IT Governance Institute (ITGI). Todas las demás marcas registradas que se mencionan, usan o citan en la presente guía son propiedad de los respectivos titulares. INTECO cita estas marcas porque se consideran referentes en los temas que se tratan, buscando únicamente fines puramente divulgativos. En ningún momento INTECO busca con su mención el uso interesado de estas marcas ni manifestar cualquier participación y/o autoría de las mismas. Nada de lo contenido en este documento debe ser entendido como concesión, por implicación o de otra forma, y cualquier licencia o derecho para las Marcas Registradas deben tener una autorización escrita de los terceros propietarios de la marca. Por otro lado, INTECO renuncia expresamente a asumir cualquier responsabilidad relacionada con la publicación de las Marcas Registradas en este documento en cuanto al uso de ninguna en particular y se eximen de la responsabilidad de la utilización de dichas Marcas por terceros. El carácter de todas las guías editadas por INTECO es únicamente formativo, buscando en todo momento facilitar a los lectores la comprensión, adaptación y divulgación de las disciplinas, metodologías, estándares y normas presentes en el ámbito de la calidad del software. Guía avanzada de gestión de servicios 2

3 ÍNDICE 1. INTRODUCCIÓN Conceptos Qué es un servicio? Qué es la gestión de servicios? Por qué es importante la gestión de servicios? Roles y responsabilidades ENFOQUE METODOLOGÍAS (ITIL VS ISO VS ITSM VS CMMI-SVC ) ITIL (Information Technology Infrastructure Library) Componentes El ciclo de vida del servicio ISO Componentes del estándar: Beneficios del uso del estándar ITSM (Information Technology Service Management) Metodología general ITSM CMMI-SVC PROCESOS DE LA SERVICIOS Estrategia de servicio Gestión financiera Objetivos y metas del proceso Gestión de la Demanda Objetivos y metas del proceso Diseño y Planificación de servicios Gestión de la disponibilidad Beneficios del proceso y valor de negocio Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de la seguridad Beneficios y valor de negocio del proceso 23 Guía avanzada de gestión de servicios 3

4 Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de nivel de servicio Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de proveedores Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de la continuidad Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de la capacidad Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión del catálogo de servicios Objetivos y metas del proceso Roles y responsabilidades Transición y Control de servicios Gestión de cambios 35 Guía avanzada de gestión de servicios 4

5 Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de la configuración Beneficios y valor de negocio Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de la liberación de versiones Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Operación de Servicios Gestión de problemas Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de incidencias Beneficios y valor de negocio del proceso Objetivos y metas del proceso Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Gestión de solicitudes Beneficios y valor de negocio del proceso Objetivos y metas del proceso 52 Guía avanzada de gestión de servicios 5

6 Roles y responsabilidades Métricas relacionadas con el proceso Relación con otros procesos y funciones de la gestión de servicios Otros procesos de la operación de servicios Gestión del acceso Gestión de Eventos Funciones dentro de la operación de servicios Service Desk Gestión técnica Gestión de operaciones IT Gestión de aplicaciones ARTEFACTOS RELACIONADOS CON SERVICIOS GLOSARIO ACRÓNIMOS REFERENCIAS 68 Guía avanzada de gestión de servicios 6

7 ÍNDICE DE FIGURAS Figura 1. Conceptos de la gestión de servicios... 9 Figura 2. Áreas de proceso de CMMI-SVC Figura 3. Relaciones del proceso de gestión de la disponibilidad Figura 4. Relaciones del proceso de gestión de seguridad Figura 5. Relaciones del proceso de gestión de nivel de servicio Figura 6. Relaciones del proceso de gestión de proveedores Figura 7. Relaciones del proceso de gestión de continuidad Figura 8. Relaciones del proceso de gestión de la capacidad Figura 9. Relaciones del proceso de gestión de cambio Figura 10. Relaciones del proceso de gestión de la configuración Figura 11. Relaciones del proceso de la liberación de versiones Figura 12. Relaciones del proceso de gestión de problemas Figura 13. Relaciones del proceso de gestión de incidencias Figura 14. Relaciones del proceso de gestión de solicitudes Guía avanzada de gestión de servicios 7

8 1. INTRODUCCIÓN La tecnología de la información (IT) es imprescindible en las organizaciones actuales. Hoy en día nadie duda de que la información es el recurso estratégico más importante que tiene cualquier organización y que para que la organización proporcione servicios IT de alta calidad es fundamental que se realice un análisis, producción y distribución de la información que maximicen dicha calidad. IT juega un papel crítico en la satisfacción de los requisitos de negocio. En el paradigma actual de la organización, IT proporciona servicios esenciales para que la organización dé soporte a su negocio. Más allá de la necesidad de gestionar la tecnología IT está la necesidad de establecer y emplear mejores prácticas en los procesos para optimizar los servicios IT. Llevar a cabo una gestión de servicios exitosa requiere un entendimiento de la forma en la que se realiza el trabajo en la organización IT y un programa de cambio dentro de la misma. Este tipo de cambio es, por su naturaleza, propenso a dificultades. En dicho cambio están implicadas todas las personas que forman parte de la organización y la forma en que realizan su trabajo. A la gente normalmente no le gusta cambiar. Para introducir en una organización un modelo de gestión de servicios hay que explicar los beneficios del cambio a todo el mundo para conseguir su respaldo y asegurarse de que van a romper con las prácticas anteriores de trabajo CONCEPTOS La concienciación de que los servicios IT son cada vez más importantes para el negocio ha llevado a la introducción de la gestión de servicios IT. La gestión de servicios IT está dirigida a proporcionar datos para la toma de decisiones desde una perspectiva de procesos, y proporcionar una implementación profesional con responsabilidades bien definidas. Un prerrequisito de las organizaciones es una disposición incondicional tanto de dirección como del personal IT para centrarse en el cliente y en el servicio. La introducción de una gestión de servicios IT efectiva hace necesario focalizarse menos en funciones y componentes, y más en un enfoque guiado por los procesos de negocio. La gestión de servicios persigue tres objetivos principales: - Alinear los servicios IT con las necesidades futuras y actuales del negocio y sus clientes - Mejorar la calidad de los servicios IT - Reducir el coste en la provisión de servicios a largo plazo Además, la gestión de servicios IT para que sea efectiva y eficiente integra tres conceptos: personas, procesos y herramientas. Guía avanzada de gestión de servicios 8

9 PERSONAS PROCESOS HERRAMIENTAS Figura 1. Conceptos de la gestión de servicios Qué es un servicio? Entender la gestión de servicios como una práctica, empieza por entender que un servicio es un medio de entregar valor a los clientes facilitándoles los resultados que quieren conseguir sin que tengan la propiedad de los costes y los riesgos. Una buena analogía es un crucero. Los pasajeros quieren pasárselo bien, comer bien y llegar sanos y salvos a su destino. No se preocupan sobre los motores o los detalles de la cocina o los temas relacionados con la navegación. Sin embargo, cada una de estas funciones es crítica para cumplir con las expectativas del cliente. Así que, un servicio es un medio de entregar valor, no el hardware o la infraestructura física. Los resultados son posibles mediante el desempeño de tareas y están limitados por la presencia de ciertas restricciones. En líneas generales, los servicios facilitan resultados mejorando el resultado y reduciendo la existencia de restricciones. El resultado es un incremento en la posibilidad de resultados deseados. Mientras algunos servicios mejoran el desempeño de tareas, otros tienen un impacto más directo, realizan la tarea ellos mismos Qué es la gestión de servicios? La gestión de servicios es un conjunto de capacidades organizacionales especializadas para proporcionar valor a los clientes en forma de servicios. Tales capacidades incluyen funciones y procesos utilizados para gestionar los servicios a través de su ciclo de vida, con especializaciones en estrategia, diseño, transición, operación y mejora continua. El acto de transformar recursos en servicios con valor es el centro de la gestión de servicios POR QUÉ ES IMPORTANTE LA SERVICIOS? Llevar a cabo una buena gestión de servicios nos va a proporcionar una serie de beneficios, entre los que podemos destacar: - Alinear IT con el negocio y cumplir las demandas de los clientes de una forma mejor Guía avanzada de gestión de servicios 9

10 - Mejorar la calidad del servicio IT, que tiene en cuenta las necesidades de la compañía - Mejor comunicación con los usuarios e intercambio de información actualizada - Mayor flexibilidad y en consecuencia mayor alcance de las acciones de la organización cuando se dan cambios en las situaciones de mercado - Mejora en la satisfacción de los clientes puesto que se les asegura la mejor calidad de servicio posible - Incremento cualitativo en la salud, seguridad, disponibilidad y rendimiento de los servicios IT - Reducir el coste a largo plazo de la provisión de servicios - Centrarse en los beneficios del cliente /negocio - Recogida de métricas que nos podrán ayudar en la toma de decisiones - Destacar puntos de contacto - Centrarse en la mejora continua - Evitar reinventar la rueda - Supervivencia a largo plazo 1.3. ROLES Y RESPONSABILIDADES Existen una gran cantidad de roles y responsabilidades asociados a cada uno de los procesos y funciones implicados en la gestión de servicios. Cada proceso y cada función tienen roles y responsabilidades asociados al diseño, desarrollo, ejecución y gestión. Un rol dentro de un proceso puede definirse como un conjunto de responsabilidades. En una organización, una persona puede tener múltiples roles dependiendo de los requisitos específicos de la organización. La responsabilidad del proceso recae en el propietario del proceso. En esta guía se va a tratar la gestión de servicios identificando los distintos procesos y funciones involucrados. Para cada uno de ellos se identificarán los roles y responsabilidades. Guía avanzada de gestión de servicios 10

11 2. ENFOQUE METODOLOGÍAS (ITIL VS ISO VS ITSM VS CMMI-SVC ) Existen diferentes modelos, metodologías y marcos de trabajo que contemplan la gestión de servicios de diferentes maneras. A continuación se van a describir brevemente algunos de estos modelos, marcos de trabajo y metodologías más extendidos ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY) ITIL (Information Technology Infrastructure Library) es el enfoque más ampliamente aceptado de la gestión de servicios IT. Proporciona un conjunto de mejores prácticas recogidas a partir de experiencias exitosas tanto de sectores públicos y privados. Proporciona detalles de implementación para el soporte de otros marcos de trabajo y estándares, como pueden ser CobiT y la ISO/IEC Fue publicado por primera vez por el gobierno de UK a finales de los 80. Se actualizó a la versión V2 entre 2000/2001 y a la versión V3 en Pertenece al Office of Government Commerce (OGC). Entre otras características que lo definen, se puede destacar que: - Está ampliamente probado - Puede ser soportado por herramientas - Es un estándar de facto para la gestión de servicios IT - Es un conjunto de mejores prácticas exhaustivo y consistente ITIL es utilizado por organizaciones de todo el mundo para crear y mantener capacidades de gestión de servicios. La versión 3 reconoce que hay otros muchos estándares, enfoques y metodologías en la industria de IT. ITIL puede usarse junto con ellos para conseguir un mejor alineamiento con el negocio, servicios de calidad mayor, así como conformidad cuando sea necesario. La versión 3 muestra cómo se usan los procesos a través del ciclo de vida de los servicios. Esto hace que sea más fácil implementar la gestión de servicios y gestionar los servicios para conseguir los resultados de negocio Componentes ITIL tiene los siguientes componentes: - El corazón de ITIL : guía de mejores prácticas aplicable a todos los tipos de organizaciones que proporcionan servicios a un negocio. Guía avanzada de gestión de servicios 11

12 - Guía complementaria de ITIL : conjunto complementario de publicaciones con guías específicas a sectores de la industria, tipos de organizaciones, modelos operativos y arquitecturas tecnológicas. - Web ITIL : paquete unificado de soporte basado en Web que se ofrece a los usuarios de ITIL. Como ejemplos de material web se incluyen mapas de procesos, plantillas y casos de estudio. La versión 3 de ITIL consiste en cinco libros e incorpora la mayoría de los contenidos de los ocho libros de la versión Estrategia de servicio: muestra cómo identificar los resultados de negocio claves y cómo definir servicios que permitan al negocio conseguirlos. Los recursos y la inversión necesarios para construir y entregar dichos servicios se analizan de forma detallada antes de que sean diseñados y construidos. 2. Diseño de servicio: especifica qué será necesario entregar, cuál será el soporte de los servicios y cómo se relaciona cada componente de un servicio con el resto. El diseño de servicio también define los requisitos de rendimiento operacional y cómo se han de cumplir. 3. Transición de servicio: prueba cada servicio y lo despliega después de una planificación exhaustiva. Cada cambio se gestiona de forma que sólo se puedan liberar los servicios autorizados y probados. La transición de servicio también gestiona cualquier dato, información o conocimiento necesario para gestionar los servicios IT. 4. Operación de servicio: coordina y ejecuta las actividades y procesos del día a día para entregar y gestionar servicios a niveles por encima de lo acordado. Se resuelven las interrupciones de servicio de tal forma que el negocio pueda continuar trabajando, y se toman medidas para asegurar que esas interrupciones no ocurran de nuevo. 5. Mejora continua de servicio: alinea los servicios de IT a las necesidades de cambio del negocio identificando mejoras en cuanto a eficiencia y efectividad El ciclo de vida del servicio ITIL se basa en el ciclo de vida del servicio a la hora de mostrar los distintos procesos involucrados en la gestión de servicios. El ciclo de vida lo divide en 5 etapas que corresponden a cada uno de los cinco libros de los que se ha hablado anteriormente. A continuación se muestran los procesos que pertenecen a cada una de estas etapas: 1. Estrategia de servicio o Gestión de la demanda o Gestión financiera 2. Diseño de servicio o Gestión del catálogo de servicios o Gestión de nivel de servicio o Gestión de disponibilidad Guía avanzada de gestión de servicios 12

13 o Gestión de la seguridad de la información o Gestión de proveedores o Gestión de capacidad o Gestión de continuidad de servicio IT 3. Transición de servicio o Gestión de cambio o Gestión de la configuración y activos de servicio o Gestión de liberación y despliegue 4. Operación de servicio Procesos: o Gestión de eventos o Gestión de incidencias o Gestión de solicitudes o Gestión de problemas o Gestión de acceso Funciones: o Service Desk o Gestión técnica o Gestión de operaciones IT o Gestión de aplicaciones 5. Mejora continua de servicio (CSI Continual Service Improvement Manager) 2.2. ISO Es un estándar de calidad para gestión de servicios IT: - Define los requisitos de una organización para entregar servicios gestionados con una calidad aceptable a sus clientes. - Se basa en las mejores prácticas de la industria para la gestión de entornos IT complejos. ISO es un estándar internacional para la gestión de servicios IT, basada en BS propiedad de BSI. Es un estándar formal que enfatiza el enfoque de procesos integrados para gestionar los servicios IT de forma efectiva. Se basa en las mejores prácticas de ITIL y en la gestión de la calidad genérica. Promociona la mejora continua Componentes del estándar: Parte 1: Especificación (ISO/IEC ) Define y documenta los requisitos para que un proveedor de servicios entregue los servicios a niveles aceptables a sus clientes. o Requisitos para una organización que implemente un marco de trabajo ITIL o Lista las reglas que hay que cumplir Guía avanzada de gestión de servicios 13

14 o La organización será auditada contra estas reglas Parte 2: Código de práctica (ISO/IEC ) Proporciona una guía a las organizaciones para cumplir los requisitos establecidos en la parte 1 del estándar. o Guías y recomendaciones para implementar un marco de trabajo ITIL o Lista el conjunto de guías (código de práctica) o No se audita contra estas guías Las dos partes están estructuradas de la misma manera: Introducción 1. Alcance 2. Términos y definiciones 3. Requisitos de un sistema de gestión 4. Planificar e implementar un sistema de gestión 5. Planificar e implementar servicios nuevos o cambios en los servicios 6. Procesos de entrega de servicios - Gestión de nivel de servicio: definir, acordar, registrar y gestionar niveles de servicio - Informe de servicios: producir informes acordados, oportunos, fiables y exactos para una toma de decisiones informada y una comunicación efectiva - Gestión de la continuidad y disponibilidad de servicios: asegurar que el compromiso de continuidad y disponibilidad acordado con los clientes se cumple en todas las circunstancias - Administración y responsabilidades para servicios IT: administrar y manejar los costes de provisión de servicios - Gestión de la capacidad: asegurar que el proveedor de servicios tiene, en todo momento, capacidad suficiente para cumplir con las demandas acordadas, presentes y futuras, de las necesidades de negocio del cliente - Gestión de seguridad de la información: gestionar la seguridad de la información de forma efectiva dentro de todas las actividades de los servicios 7. Procesos de relaciones - Gestión de relaciones de negocio: establecer y mantener unas buenas relaciones entre el proveedor de servicios y el cliente basada en el entendimiento del cliente y sus factores de negocio - Gestión de proveedores: gestionar proveedores para asegurar unos servicios de calidad fluidos 8. Procesos de resolución - Gestión de incidencias: restablecer el servicio acordado tan pronto como sea posible o responder a peticiones de servicio - Gestión de problemas: minimizar la interrupción del negocio mediante una identificación proactiva, el análisis de la causa de los incidentes y la gestión de los problemas hasta su cierre 9. Procesos de control Guía avanzada de gestión de servicios 14

15 - Gestión de la configuración: definir y controlar los componentes del servicio y de la infraestructura, y mantener una información de configuración exacta - Gestión del cambio: asegurar que todos los cambios se evalúan, aprueban, implementan y se revisan de una forma controlada 10. Procesos de liberación - Gestión de la liberación: entregar, distribuir y gestionar uno o más cambios en una versión en el entorno de producción Beneficios del uso del estándar Entre los beneficios que puede aportar la adherencia a este estándar, destacamos los que se enumeran a continuación: - Mejor utilización de los recursos y mayor productividad - Confianza de los clientes - Mejor planificación y enfoque sistemático para conseguir los objetivos - Reconocimiento internacional - Mejor valor para las inversiones de los clientes 2.3. ITSM (INFORMATION TECHNOLOGY SERVICE MANAGEMENT) Information Technology Service Management (ITSM) es un conjunto de procesos que detallan mejores prácticas basadas en estándares ITIL para permitir y optimizar los servicios IT para satisfacer los requisitos del negocio y gestionar la infraestructura de IT tanto táctica como estratégicamente. ITSM es una práctica basada en procesos con la intención de alinear la entrega de servicio de IT con las necesidades de la empresa, enfatizando el beneficio a los clientes. ITSM implica un cambio de paradigma. Pasa de gestionar IT como un montón de componentes individuales, a centrarse en la entrega de servicios usando mejores prácticas de modelos de procesos. ITSM emplea las mejores prácticas documentadas en ITIL y, en muchos casos, se extiende más allá en otras áreas adicionales tales como procesos mejorados e implementación para proporcionar funcionalidades de valor añadido adicionales. En este momento, los métodos ITSM han evolucionado para incluir formas específicas para permitir y optimizar la evaluación, planificación e implementación de las mejores prácticas de ITIL. Uno de los primeros orígenes de ITSM se puede encontrar en los servicios y funciones de gestión de sistemas desarrollados históricamente en entornos a larga escala. A través de un constante refinamiento durante años, estos servicios y funciones alcanzaron un alto nivel de madurez. Gestión de problemas y cambios, gestión de la configuración, planificación de capacidad, gestión de rendimiento (desempeño), recuperación de desastres, gestión de la disponibilidad, etc. son algunos ejemplos. Cuando se examinan las diferencias entre servicios de gestión de sistemas e ITSM, se ve que cuando ITSM se aplica a los entornos IT de hoy en día y a través de la empresa, se resaltan y demuestran los beneficios y sofisticación de sus mejores prácticas. ITSM se Guía avanzada de gestión de servicios 15

16 puede aplicar tanto a entornos distribuidos como centralizados. ITSM proporciona servicios integrados que están basados en procesos con foco en satisfacer los requisitos de negocio. Aunque gestionar la tecnología en sí mismo es un componente necesario de la mayoría de las soluciones ITSM, no es el foco primario. Por el contrario ITSM trata la necesidad de alinear estrechamente la entrega de servicios IT con las necesidades del negocio. Los objetivos de negocio, los objetivos de nivel de servicio, la infraestructura de la tecnología y otras áreas juegan papeles críticos en cualquier paradigma de método ITSM Metodología general ITSM ITSM e ITIL, sobre lo que está basado, son ambos conjuntos de mejores prácticas basadas en procesos e integradas para la gestión de servicios IT. Mientras que ITIL define y documenta las mejores prácticas, ITSM las emplea para cumplir con los requisitos y prioridades de los clientes. Se encuentra dividida en 2 grupos que abarcan 11 disciplinas. La metodología ITSM abarca las siguientes áreas: - Soporte de servicios IT o Gestión de configuración: perspectiva física y lógica de la infraestructura y los servicios IT que se proporcionan o Gestión de cambios: métodos y procedimientos estándar para la gestión efectiva de todos los cambios o Gestión de liberación: pruebas, verificación y liberación de cambios del entorno IT o Gestión de incidencias: procesos del día a día que restablecen los servicios aceptables normales con un impacto mínimo en el negocio o Gestión de problemas: diagnóstico de las causas raíz de incidentes con el esfuerzo de eliminarlos proactivamente y gestionarlos o Service Desk (función): es una función no un proceso. Proporciona un punto central de contacto entre usuarios e IT - Entrega de servicios IT o Gestión de disponibilidad: optimiza las capacidades, servicios y soporte de la infraestructura de IT para minimizar interrupciones de los servicios y proporcionar niveles de servicio sostenibles para cumplir los requisitos del cliente. o Continuidad de servicios IT: gestiona la capacidad de una organización para proporcionar los niveles de servicio necesarios después de una interrupción de un servicio o Gestión de la capacidad: permite a una organización gestionar recursos tácticamente y planes estratégicamente o Gestión de nivel de servicio: mantener y mejorar el nivel de servicio de la organización o Gestión financiera de los servicios IT: gestiona los costes asociados con proveer a la organización los recursos necesarios para cumplir los requisitos Guía avanzada de gestión de servicios 16

17 2.4. CMMI-SVC CMMI para servicios es un anteproyecto diseñado para cubrir las actividades necesarias para gestionar, crear y entregar servicios. La información que se proporciona a continuación pertenece al artefacto The latest draft of the CMMI for Services model, updated November 7, 2008 ( La constelación de servicios de CMMI lleva la arquitectura CMMI al mundo de las prácticas que cubren la creación, entrega y gestión de servicios. CMMI para servicios se construye sobre la misma información de otras constelaciones de CMMI y añade metas y prácticas que se centran específicamente en el trabajo relacionado con los servicios. CMMI para servicios también se basa en conceptos y prácticas de otros estándares y modelos centrados en servicios, incluyendo: - Information Technology Infrastructure Library (ITIL ) - ISO/IEC 20000: Information Technology Service Management - Control Objects for Information and related Technology (CobiT ) - Information Technology Services CMM (ITSCMM) CMMI para servicios es una constelación de CMMI que cubre las actividades necesarias para gestionar, crear y entregar servicios. Como se define en el contexto de CMMI, un servicio es simplemente un producto intangible que no se puede almacenar. CMMI para servicios se ha desarrollado para ser compatible con esta amplia definición, y sus metas y prácticas son por lo tanto relevantes a cualquier organización afectada con la entrega de servicios, incluyendo empresas de sectores como defensa, tecnología de la información, sanidad, finanzas y transportes. Las áreas de proceso en la constelación de CMMI para servicios contienen prácticas que cubren la gestión de proyectos, la gestión de procesos, la creación de servicios, la entrega de servicios y otros procesos de soporte. La constelación de CMMI para servicios comparte una parte muy amplia de material común con otras constelaciones CMMI. La constelación CMMI para servicios incluye 24 áreas de proceso agrupadas en las cuatro categorías que aparecen en la siguiente tabla. Los nombres de las áreas de proceso y categorías únicas para la constelación de CMMI para servicios se han escrito en cursiva. Categoría Gestión de procesos Gestión de proyectos Área de Proceso Innovación y despliegue en los procesos organizacionales (OID) Definición de procesos organizacionales (OPD) Enfoque de los procesos organizacionales (OPF) Rendimiento de los procesos organizacionales (OPP) Formación organizacional (OT) Gestión de la capacidad y la disponibilidad (CAM) Gestión integrada de proyectos (IPM) Guía avanzada de gestión de servicios 17

18 Seguimiento y control de proyectos (PMC) Planificación de proyectos (PP) Gestión de requisitos (REQM) Gestión de riesgos (RSKM) Gestión cuantitativa de proyectos (QPM) Continuidad de servicios (SCON) Gestión de acuerdos con proveedores (SAM) Creación y entrega de servicios Soporte Resolución y prevención de incidencias (IRP) Entrega de servicios (SD) Desarrollo de sistemas de servicio (SSD) Transición de sistemas de servicios (SST) Gestión de servicios estratégicos (STSM) Análisis de causas y resolución (CAR) Gestión de la configuración (CM) Análisis de decisiones y resolución (DAR) Medición y análisis (MA) Aseguramiento de la calidad de procesos y productos (PPQA) Figura 2. Áreas de proceso de CMMI-SVC A diferencia de la constelación de CMMI para el desarrollo, la constelación de CMMI para servicios no incluye una categoría de áreas de proceso de Ingeniería. En cambio, CMMI para servicios tiene cinco nuevas áreas de proceso en una categoría llamada Creación y entrega de servicios. El resto de las nuevas áreas de proceso de CMMI para servicios están distribuidas en las categorías de Gestión de Procesos, Gestión de proyectos y Soporte. Guía avanzada de gestión de servicios 18

19 3. PROCESOS DE LA SERVICIOS Como se ha explicado en el apartado anterior existen diferentes modelos, metodologías y marcos de trabajo que contemplan la gestión de servicios de diferentes maneras. A continuación se van a explicar los distintos procesos y funciones que están relacionados con la gestión de servicios y que la mayoría de estos modelos o metodologías contemplan. Los procesos y las funciones que se van a explicar se han agrupado en cuatro grandes grupos: estrategia de servicio, diseño y planificación de servicios, transición y control de servicios y operación de servicios ESTRATEGIA DE SERVICIO Este conjunto de procesos se encarga de identificar los resultados de negocio clave y definir los servicios que permitirán al negocio conseguirlos. Se analizan los recursos y las inversiones necesarios para construir y entregar estos servicios antes de que se diseñen y construyan. Los dos procesos pertenecientes a este grupo son la gestión financiera y la gestión de la demanda Gestión financiera El propósito principal del proceso de gestión financiera es proporcionar administración rentable de los activos de IT y los recursos utilizados en la provisión de servicios IT. La gestión financiera ha de ser capaz de dar cuentas de los gastos en servicios IT y atribuir estos costes a los servicios entregados a los clientes de la organización. Además ha de asistir a las decisiones de gestión en inversión IT Objetivos y metas del proceso Entre los objetivos y metas principales del proceso de gestión financiera destacan: - Visibilidad y responsabilidad financiera - Conformidad y control financiero - Entender el coste del suministro de servicios - Entender el valor que adquieren los clientes al usar los servicios - Mejorar la toma de decisiones a través del ciclo de vida de servicios completo Gestión de la Demanda La gestión de la demanda agrupa las actividades que entienden e influencian la demanda de los clientes de servicios y la provisión de capacidad para cumplir dichas demandas. A un nivel estratégico, la gestión de la demanda puede implicar análisis de patrones de actividades de negocio y perfiles de usuario. Guía avanzada de gestión de servicios 19

20 Objetivos y metas del proceso Entre los objetivos y metas principales del proceso de gestión de la demanda destacan: - Entender los requisitos de los clientes para los servicios y cómo pueden variar sobre el ciclo de negocio - Asegurar el suministro de niveles de servicio apropiados - Asegurar que la garantía y utilidad que se ofrece cumple las necesidades del cliente 3.2. DISEÑO Y PLANIFICACIÓN DE SERVICIOS Este conjunto de procesos se encargan de especificar qué será necesario entregar, el soporte que habrá de hacerse a cada servicio y las relaciones de cada servicio con los demás. También se encargan de definir los requisitos de rendimiento operacional y cómo se han de cumplir Gestión de la disponibilidad La gestión de la disponibilidad busca optimizar la capacidad de la infraestructura IT, los servicios y el soporte de la organización para entregar un nivel de disponibilidad prolongado y efectivo en cuanto a coste. Esto permite al negocio cumplir sus objetivos Beneficios del proceso y valor de negocio Esta sección ilustra los beneficios de implementar y adherirse a un proceso de gestión de la disponibilidad dentro de una organización. - Hay una reducción de riesgos de violación de acuerdos de nivel de servicio (SLA). La gestión de disponibilidad proporciona negocios con un riesgo de disponibilidad gestionado para que sus servicios IT prevengan posibles pérdidas de negocio. - Definiendo un nivel de servicio aceptable se evitan gastos innecesarios de mantenimiento y resistencia. La gestión de la disponibilidad reduce: el número de incidencias relacionadas con temas de disponibilidad, la cantidad de mantenimiento correctivo y el coste subyacente del tiempo de inactividad. - Al reducirse las incidencias se mejora la calidad de servicio así como se reduce el tiempo medio de reparación del servicio Objetivos y metas del proceso Los objetivos que persigue la gestión de la disponibilidad son los que se enumeran a continuación: - Asegurar que se proporcionan los niveles de capacidad acordados - Optimizar y mejorar de forma continua la disponibilidad de servicios, infraestructura de IT, soporte de la organización - Proporcionar mejoras de disponibilidad efectivas en cuanto a coste que puedan entregar beneficios al negocio y a los clientes - Producir y mantener un plan de disponibilidad Guía avanzada de gestión de servicios 20

21 Roles y responsabilidades El rol principal de este proceso es el de gestor de la disponibilidad. Entre las responsabilidades que tiene dicho rol se encuentran las siguientes: - Propietario del proceso - Asegurar que los servicios se entregan con los niveles de disponibilidad acordados - Creación y mantenimiento de un plan de disponibilidad - Evaluar cambios - Monitorizar e informar de la disponibilidad - Mejora proactiva de la disponibilidad de los servicios y optimización de la infraestructura de IT para optimizar costes - Ayudar con la investigación y diagnóstico de incidencias y problemas que causen incidencias de disponibilidad Métricas relacionadas con el proceso Hay una gran cantidad de métricas se pueden tomar para controlar y gestionar el proceso de gestión de la disponibilidad. Entre ellas se encuentran las que aparecen a continuación: - Porcentaje de no disponibilidad de los servicios y componentes - Número e impacto de brechas en el servicio - Tiempo medio entre fallos - Tiempo medio de reparación de fallos - Tiempo para completar el plan de disponibilidad Relación con otros procesos y funciones de la gestión de servicios Este apartado muestra de forma gráfica las relaciones de este proceso con otros procesos y funciones involucrados en la gestión de servicios. Guía avanzada de gestión de servicios 21

22 CAMBIOS LA CONFIGURACIÓN NIVEL DE SERVICIO Plan de continuidad Peticiones de servicio Plan de disponibilidad Plan de disponibilidad Consulta CMDB LA DISPONIBILIDAD Informes de rendimiento Info CI Plan de disponibilidad Registro de problemas Plan de seguridad LA CONTINUIDAD PROBLEMAS LA CAPACIDAD LA SEGURIDAD Figura 3. Relaciones del proceso de gestión de la disponibilidad Gestión de la seguridad La gestión de la seguridad es el proceso de gestionar un nivel de seguridad para la información y los servicios IT. Proporciona las bases y los métodos para determinar los niveles de seguridad que se han de aplicar a la información y a los servicios IT. Este sistema también asegura la aplicación consistente de niveles de seguridad en la organización. La gestión de la seguridad es un proceso repetitivo, un ciclo que no termina nunca de: planificar, ejecutar, comprobar y actuar. El proceso de gestión de la seguridad es disparado por cualquier cambio que tenga relación con la seguridad de la información y los servicios IT, así como incidentes de seguridad que puedan ocurrir. Entradas clave a este proceso son requisitos de negocio, la arquitectura IT, la sección de seguridad en los acuerdos de nivel de servicio, los requisitos de seguridad y los informes de evaluación de riesgos. Las salidas del proceso de gestión de la seguridad son informes del cumplimiento o no conformidad de los acuerdos de nivel de servicio, informes de auditorías y especificaciones de seguridad. Entre las tareas clave que se han de llevar a cabo se encuentran las siguientes: - Identificar y clasificar los activos que han de asegurarse - Verificar la identidad de todas las cuentas - Asegurar que el acceso a los recursos de IT sólo se permite para cuentas autorizadas - Toma de medidas necesarias para detectar la existencia de y para prevenir daños de software no autorizado Guía avanzada de gestión de servicios 22

23 - Gestión de virus (actualización con parches de virus) - Gestión de parches Beneficios y valor de negocio del proceso Esta sección ilustra los beneficios de implementar y adherirse a un proceso de gestión de la seguridad dentro de una organización. - La seguridad de la información trata sobre aseguramiento. Una adecuada seguridad de la información asegura la continuidad del negocio y la consecución de metas de negocio - Establece interfaces formales que son parte de los procesos de gestión de IT generales - Incorpora métricas de seguridad a las métricas de IT - Asegura que la seguridad está embebida donde es necesario a lo largo de toda la IT - Define niveles de protección en cuanto a servicios - Mejora la calidad de los servicios IT - El análisis de riesgos es un elemento clave del proceso de seguridad de la información, lo que asegura que tanto los riesgos de negocio como los técnicos son identificados y reducidos mediante la implementación de las medidas de seguridad necesarias - Asegurando los sistemas y la infraestructura de IT se asegura la reducción de costes relacionados con la producción perdida, reemplazo de datos o equipamiento robado o dañado, pagos de compensación, etc. - Auditorias y evaluaciones regulares de las medidas de seguridad ayudan a revisar la efectividad y eficacia de la gestión de la seguridad lo que permite mejorar las medidas de seguridad implementadas así como el plan de seguridad Objetivos y metas del proceso Los objetivos principales del proceso de gestión de la seguridad son: - Cumplir con los requisitos de seguridad y conformidad: estos son salidas de los requisitos de seguridad en los acuerdos de nivel de servicio. Estos requisitos externos para la seguridad también provienen de contratas, legislaciones o cualquier política de seguridad impuesta. - Cumplir los requisitos mínimos de seguridad y conformidad internos de la empresa necesarios para asegurar consistencia y continuidad. Esto también es necesario para simplificar los objetivos de gestión de la seguridad de la información. La complejidad aumenta como resultado de gestionar un gran número de acuerdos de nivel de servicio. Por esta razón, se ha de establecer una línea base de seguridad que debe ser implementada de forma consistente; cualquier excepción debe ser documentada y comunicada al nivel de gestión apropiado. - Proteger los intereses de aquellos que dependen de la información. - Proteger los sistemas y comunicaciones que entregan información. Guía avanzada de gestión de servicios 23

24 Roles y responsabilidades El rol principal de este proceso es el de gestor de la seguridad y cuenta con las siguientes responsabilidades: - Propietario del proceso - Desarrollar y mantener la política de seguridad de la información - Comunicar y publicar la conciencia y política de seguridad - Realizar análisis de riesgos de seguridad y gestión de riesgos - Monitorizar y gestionar rupturas e incidencias de seguridad Métricas relacionadas con el proceso Son muchas las métricas que se pueden recoger y calcular y que pueden ayudar a la hora de controlar el proceso de gestión de seguridad. Entre ellas se encuentran las que se muestran a continuación: - Número de llamadas de servicio, peticiones de cambio y arreglos relacionados con la seguridad - Cantidad de periodos de inactividad causados por incidencias de seguridad - Número de sistemas sujetos a procesos de detección de intrusiones - Tiempo medio entre la detección, el informe y la toma de acciones sobre incidencias de seguridad - Porcentaje de escalados de seguridad sobre el número total de incidencias de seguridad - Número de alertas de seguridad por cambios no autorizados - Número de no conformidades con las políticas de seguridad - Número de incidencias de seguridad por categoría - Número y duración de los fallos de sistema Relación con otros procesos y funciones de la gestión de servicios Este apartado muestra de forma gráfica las relaciones de este proceso con otros procesos y funciones involucrados en la gestión de servicios. Guía avanzada de gestión de servicios 24

25 PROBLEMAS INCIDENCIAS LA CONTINUIDAD Registro de problemas Plan de seguridad Especificación de seguridad para diseños disponibles Respuesta a incidencias de seguridad Esp. de seg. para el plan de continuidad LIBERACIÓN Actividad de liberación Especificación de seguridad Consulta CMDB LA SEGURIDAD Especif. de seguridad LA CONFIGURACIÓN Sección de seguridad de SLAa Atributos y relaciones de CI RFC Plan de seguridad, OLAs Plan de seguridad Sección de seguridad de OLAs CAMBIOS Especificaciones de seguridad LA CAPACIDAD PROVEEDORES LA DISPONIBILIDAD NIVEL DE SERVICIO OPERACIONES Figura 4. Relaciones del proceso de gestión de seguridad Gestión de nivel de servicio El proceso de gestión de nivel de servicio define y gestiona los niveles de servicio de IT ofrecidos al cliente, establecidos en el acuerdo con el cliente. La gestión de nivel de servicio busca mantener y mejorar la calidad de los servicios IT a través de un ciclo constante de definición, acuerdo, monitorización e informe sobre los éxitos de los servicios IT y el inicio de acciones para erradicar servicios deficientes. Este proceso trata de asegurar que la calidad del servicio cumple las expectativas de requisitos para servicios nuevos o modificados y las expectativas y percepción del negocio, clientes y usuarios. Este enfoque trata de mejorar las relaciones entre IT, sus clientes y usuarios. Se deben establecer acuerdos a nivel de servicio (SLAs) para todos los servicios IT que se provean. Además hay que disponer de contratos de soporte (Underpinning Contracts UC) y de acuerdos a nivel operacional (OLAs) con proveedores externos e internos respectivamente de los que depende la entrega continuada de servicios. La gestión de nivel de servicio busca conseguir sus objetivos planificando, implementando y gestionando un conjunto coherente de procedimientos para proveer servicios IT. Este proceso es disparado por cambios en los requisitos de negocio, la estrategia de mercado, una petición de cliente para un nuevo servicio o un cambio en un servicio existente, un ciclo de revisión de un servicio o cualquier cambio de la infraestructura técnica. Guía avanzada de gestión de servicios 25

26 Beneficios y valor de negocio del proceso Esta sección ilustra los beneficios de implementar y adherirse a un proceso de gestión de nivel de servicio dentro de una organización. Los puntos presentados a continuación representan objetivos de negocio, por ejemplo: reducción de riesgos, mejora de la calidad y beneficios de costes de la entrega y soporte de servicios. - Documentación clara y precisa de los servicios proporcionados y SLAs dirigida a la reducción del rendimiento deficiente - Especificación clara de los servicios y componentes necesarios dirigidos a la gestión de costes y recursos controlados a largo plazo - Asegurar la responsabilidad del rendimiento de servicios contra acuerdos de servicio del cliente específicos - Los servicios se diseñan para cumplir con las expectativas, como se define en los requisitos de nivel de servicio - Monitorizar los niveles de servicio e iniciar acciones de mejora de servicio cuando sea necesario - El rendimiento de los servicios se puede medir, lo que significa que se puede gestionar e informar - Estabiliza las relaciones entre la organización IT y el cliente - Interfaz consistente con el negocio para todas las incidencias relacionadas con los servicios IT - Realimentación de los fallos o brechas de los servicios y las acciones de resolución tomadas - Canales de comunicación fiables y relaciones fiables Objetivos y metas del proceso Los objetivos y metas que persigue este proceso son los siguientes: - Negociar, acordar y documentar niveles de servicio - Medir, informar y mejorar niveles de servicio - Comunicación con el negocio y los clientes - Mantener y mejorar la calidad de los servicios IT - Tomar las acciones necesarias en los incumplimientos de SLA - Erradicar los servicios deficientes con justificación de negocio o coste Roles y responsabilidades El rol principal de este proceso es el de gestor de nivel de servicio, que cuenta con las siguientes responsabilidades: - Es el propietario del proceso - Asegurar que se evalúa el impacto de los cambios en los niveles de servicio - Gestionar las relaciones con los clientes - Responsabilidad de establecer y revisar los contratos, SLA, OLA y UC Guía avanzada de gestión de servicios 26

27 - Programas de mejora de servicios - Monitorizar, informar y revisar los niveles de servicio - Plan de calidad de servicio Métricas relacionadas con el proceso Existen diversas métricas que se pueden tomar para mantener un seguimiento del proceso, a continuación se enumeran algunas de ellas: - Nº de objetivos de servicio perdidos (incumplimiento de SLA) - Nº de apagones de servicio y su duración - Nº de usuarios afectados por los apagones de servicio - Índice de satisfacción del cliente Relación con otros procesos y funciones de la gestión de servicios Este apartado muestra de forma gráfica las relaciones de este proceso con otros procesos y funciones involucrados en la gestión de servicios. LIBERACIÓN OPERACIONES LA CONTINUIDAD Notificación y actividades de liberación Peticiones de servicio Datos de rendimiento CAMBIOS Plan de continuidad Peticiones de servicio Actividades de RFC LA CAPACIDAD Consulta CMDB LA CONFIGURACIÓN NIVEL DE SERVICIO Plan de capacidad Peticiones de servicio Info CI Plan de seguridad LA SEGURIDAD Informes de servicio -Peticiones de servicio - Plan de disponibilidad LA DISPONIBILIDAD Datos de rendimiento de servicio INCIDENCIAS PROBLEMAS Figura 5. Relaciones del proceso de gestión de nivel de servicio Guía avanzada de gestión de servicios 27

28 Gestión de proveedores El propósito de la gestión de proveedores es gestionar a los proveedores y asegurar el suministro de servicios continuos de calidad definiendo interfaces entre la organización y los procesos de los proveedores, asegurando que los roles y las relaciones entre proveedores están documentados y se realizan revisiones formales de los proveedores Beneficios y valor de negocio del proceso Esta sección ilustra beneficios de implementar y adherirse a un proceso de gestión de proveedores dentro de una organización. - Asegura que los contratos y acuerdos con proveedores están alineados con las necesidades del negocio - Identifica y mitiga riesgos de proveedores - Asegura que los proveedores cumplen o exceden los objetivos y se adhieren a los acuerdos de contrato Objetivos y metas del proceso Los objetivos más significantes de este proceso son los siguientes: - Gestionar relaciones y rendimiento de los proveedores - Negociar y acordar contratos - Gestionar contratos a través del ciclo de vida - Mantener una política de proveedores y una base de datos de proveedores y contratos (SCD) Roles y responsabilidades El rol principal del proceso de gestión de proveedores es el de gestor de proveedores que tiene asociadas las siguientes responsabilidades: - Propietario del proceso - Mantener y revisar la base de datos de proveedores y contratos y los posibles conflictos en el proceso de contratos - Ayudar en el desarrollo y revisión de SLAs, contratos, acuerdos - Realizar revisiones de proveedores, contratos y SLAs - Evaluar el impacto de cambios en proveedores, servicios de soporte y contratos Métricas relacionadas con el proceso Como en todos los procesos son muchas las métricas que se pueden tomar para ayudar al control y gestión del proceso. En el proceso de gestión de proveedores podemos tomar las siguientes métricas: - Número de proveedores que cumplen los objetivos del contrato - Número de disputas formales con proveedores Guía avanzada de gestión de servicios 28