ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información"

Transcripción

1

2 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

3 Título: ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Telefónica, S.A. Coordinador: Luis Morán Abad AENOR (Asociación Española de Normalización y Certificación), 2009 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR. Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of Government Commerce under delegated authority from the Controller of HMSO. Licensed Product ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. The Swirl logo is a Trade Mark of the Office of Government Commerce. The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom. PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. ISBN: Depósito Legal: M Impreso en España - Printed in Spain Edita: AENOR Maqueta y diseño de cubierta: AENOR Imprime: Xxxxxx Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra. Génova, Madrid Tel.: Fax:

4 Agradecimientos Este libro recopila las experiencias de profesionales que están fuertemente involucrados en el impulso de las normas y las buenas prácticas internacionales relativas a la gestión de las tecnologías de la información y las comunicaciones. En la creación de esta primera edición del libro han participado: Dirección de la obra (Telefónica): Luis Morán Abad Dirección técnica y contenido final. Alejandro Pérez Sánchez Contenido intermedio. Autores principales (Telefónica): Luis Morán Abad Alejandro Pérez Sánchez Juan Trujillo Gaona David Bathiely Fernández Miguel José González-Simancas Sanz Colaboradores: Paloma García López (AENOR) Carlos Manuel Fernández Sánchez (AENOR) Eduardo Méndez Polo (Telefónica) Jaime Pastor Pastor (Telefónica)

5 8 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Tomás Hernández López (Telefónica) Carmen Fernández Prieto (Telefónica) María Luisa López de Castro (Telefónica) Julio Morilla Padial (Telefónica) Andrés Leiva Araos (Telefónica) Ronaldo Gonçalves Tiago (Telefónica) Julio José Ballesteros García (Quint Group) Luis Miguel Rosa Nieto (EXIN España) Pablo Castro Montero (Entre paréntesis se indica la empresa en la que trabajaban a fecha ) El control independiente de idoneidad técnica de los contenidos está avalado por profesionales de itsmf España y de AENOR, junto con otros profesionales independientes: Carlos López Alonso (Hewlett-Packard) por itsmf España Antonio José Rodríguez (Quint Group) por itsmf España Ana Ramos (British Telecom) por itsmf España Leopoldo Martínez-Osorio del Río (INDRA) por itsmf España Carmen Caballero (INDRA) por itsmf España Manuel Fernando Juan Martínez (Banco de Santander) Julio González Sanz Boris Delgado Riss (AENOR) Agradecer también a la dirección de Sistemas de Información de Telefónica que de forma directa ha hecho posible esta publicación: María Fernanda Torquati (Telefónica) José María Tavera Más (Telefónica) Fabriciano Gangoso Alonso (Telefónica) Isidro Abad Gosalvez (Telefónica)

6 Índice Presentación Introducción Capítulo 1. El camino a la excelencia ya existe Las Normas ISO/IEC son parte del camino a la excelencia Normas, estándares, marcos de referencia y metodologías reconocidas en el ámbito de las TI Entender los entornos de normalización y certificación Las principales normas y buenas prácticas en TI Capítulo 2. Entender las Normas ISO/IEC Introducción a las Normas ISO/IEC Objeto y campo de aplicación de ISO/IEC La estructura de las Normas ISO/IEC Relación entre ISO/IEC e ITIL Capítulo 3. El Sistema de Gestión del Servicio de TI (SGSTI) El sistema de gestión de tecnologías de la información Capítulo 4. Planificación e implementación de la gestión del servicio Cómo planificar e implementar la gestión del servicio

7 10 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Capítulo 5. Planificación e implementación de nuevos servicios o de servicios modificados El proceso de planificación e implementación de nuevos servicios o de servicios modificados Capítulo 6. Procesos de provisión de servicio Gestión de nivel de servicio Generación de informes del servicio Gestión de la continuidad y disponibilidad del servicio Elaboración de presupuestos y contabilidad de los servicios de TI Gestión de la capacidad Gestión de la seguridad de la información Capítulo 7. Procesos de relaciones Generalidades Gestión de las relaciones con el negocio Gestión de suministradores Capítulo 8. Procesos de resolución Antecedentes Gestión del incidente Gestión del problema Capítulo 9. Procesos de control Gestión de la configuración Gestión del cambio Capítulo 10. Procesos de entrega Gestión de la entrega Capítulo 11. La certificación conforme a ISO/IEC de la gestión del servicio de TI La primera certificación conforme a ISO/IEC Evidencias y registros importantes en una certificación

8 Índice 11 Bibliografía y referencias Términos y definiciones

9 Presentación Las tecnologías de la información son cada día más necesarias en la gestión de las empresas. Este sector, en su evolución hacia la madurez, ha ido generando diversos conjuntos de mejores prácticas que ayudan a las organizaciones a gestionar estos entornos tecnológicos cada vez más complicados y, por otra parte, más esenciales. Este libro nace con la intención de ayudar a todo tipo de empresas en la gestión de la actividad de sus departamentos informáticos. Profesionales de Telefónica y de AENOR han puesto su mejor empeño en explicar y aportar sus años de experiencia en este ámbito. Para ello, se ha utilizado como eje vertebrador las Normas UNE-ISO/IEC 20000, que se enriquecen con las buenas prácticas de otros marcos como ITIL. Los autores han desarrollado una buena guía sobre la forma de incorporar estas mejores prácticas de la industria en la gestión diaria de las tecnologías. Esta publicación ayudará a las empresas a adoptar los últimos avances en la forma de organizar las actividades que contribuyen a que el mundo tecnológico sea operativo y rentable para las organizaciones y para la sociedad. Esperamos que todo su contenido sea de gran utilidad en la mejora de los servicios de tecnologías de la información prestados en su organización. Telefónica

10 Introducción Durante la década de los años 50, algunas predicciones futuristas imaginaron que, para el año 2000, los coches serían capaces de volar, se iría de vacaciones a Marte, y que Estados Unidos podría llegar a contar con nada menos que trescientos mil ordenadores. En 1947 el director de una famosa multinacional del sector predijo que en el mundo sólo habría mercado para 5 ordenadores. Estas predicciones hoy en día nos parecen ridículas, unas por lo exageradas, y otras por que se han quedado muy cortas. Las tecnologías de la información y las comunicaciones han avanzado mucho más de lo esperado, pero después de poblar el mundo de dispositivos de silicio, con unas capacidades de proceso inimaginables, nos encontramos con un panorama desalentador: Equipos que se bloquean. Sistemas que se caen. Servicios que se interrumpen. Atención al usuario deficiente. Pérdidas de tiempo y de productividad de los usuarios. Personal técnico desbordado por llamadas y peticiones de asistencia. Directores de sistemas de información que ven cómo, a pesar del esfuerzo continuo de su equipo, el roce y el malestar con el resto de la empresa no cesan. Por ello, no es de extrañar que encontremos frecuentemente que los departamentos de las tecnologías de la información (TI) se consideren más una carga que una ayuda para el negocio.

11 16 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información La dinámica industria de tecnologías de la información y las comunicaciones (TIC), que es capaz de duplicar la capacidad de proceso y de almacenamiento cada año y medio, lleva desarrollando, en paralelo al avance tecnológico, metodologías de trabajo que van ofreciendo soluciones de gestión a estos retos planteados. El sector de las TIC ha ido creando distintas disciplinas para cubrir algunas de las facetas que necesita la gestión global de las TIC en la empresa. Soluciones que no siempre se han aplicado con el ahínco y el rigor necesarios. Parece lógico que los organismos de normalización internacionales, como ISO (International Organization for Standardization, Organización Internacional de Normalización) e IEC (International Electrotechnical Commission, Comisión Electrotécnica Internacional), propicien la elaboración de normas que van consolidando las prácticas establecidas relativas a la organización del trabajo en las áreas de TI. Además, estos organismos de normalización disponen de mecanismos de trabajo asentados que garantizan una amplia participación de los agentes del sector de las TIC. Este es el caso de las Normas ISO/IEC 20000, partes 1 y 2, y sus traducciones oficiales al castellano, publicadas por AENOR como Normas UNE-ISO/IEC en junio de El presente libro se centra en explicar la aplicación de estas dos normas. Las Normas ISO/IEC definen los procesos y las actividades esenciales para que las áreas de TI puedan prestar un servicio eficiente y alineado con las necesidades de la empresa u organización. Estas normas, construidas sobre la base del modelo ITIL, se centran principalmente en la ordenación de las disciplinas de soporte y provisión de servicios de TI. Son normas específicas para la gestión de los servicios que ofrecen las áreas o los proveedores de tecnologías de la información. Las Normas ISO/IEC no son de índole técnico, ni tecnológico. En ellas se describen los principales flujos de actividades (agrupados en forma de procesos) cuyo fin es lograr una entrega efectiva y con la calidad requerida de los servicios a los clientes y usuarios. Además, definen un sistema reconocido y probado de gestión que permite a los proveedores de TI (ya sean áreas internas u organizaciones externas) planificar, gestionar, entregar, monitorizar, informar, revisar y mejorar sus servicios. Objeto del libro Este libro se centra en explicar y facilitar la comprensión de las Normas ISO/IEC con un enfoque práctico, para que su implantación resulte efectiva en 1 Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo término ISO/IEC para referirse a estas normas, tanto para la serie UNE, como para la serie ISO/IEC.

12 Introducción 17 cualquier tipo de organización que provea servicios de tecnología, tanto internamente a su organización como externamente al mercado, tanto en grandes organizaciones como en pequeñas o medianas empresas. Este libro va dirigido a todos los profesionales del ámbito de las tecnologías de la información y las comunicaciones que estén involucrados en la provisión de servicios. Resultará imprescindible tanto a los responsables de su gestión, como a cualquier otro profesional de TI: dirección, gestores, responsables de procesos, consultores, técnicos, personal de soporte, etc. Al avanzar en este libro, el lector constatará que la industria ya ha normalizado gran parte del conjunto de actividades necesarias para que los servicios proporcionados por las TI sean fiables y eficientes. Cubren desde las actividades del día a día inmediato, como es la atención a los incidentes y peticiones, hasta la definición de una estrategia que permita continuar prestando los servicios en caso de catástrofe, todo ello, sin olvidar conceptos como la planificación o la mejora continua. Persiguiendo este fin último de utilidad, los contenidos de cada apartado, además de incluir íntegramente la norma, se han enriquecido con otras buenas prácticas ITIL y con la amplia experiencia profesional de los autores. Por tanto, este libro pretende ser una guía completa de aplicación, una ayuda y una razonable interpretación de estas normas. No pretende sentar jurisprudencia al respecto. Los autores dan por hecho que puede haber otras formas de aplicar o interpretar las directrices de las normas, ya que las particularidades de cada negocio y organización tienen gran influencia. Estructura del libro Se ha puesto énfasis en que los contenidos ayuden a la transformación real y perceptible de la gestión de las TI en toda empresa que se inicie en el camino de la aplicación de ISO/IEC El capítulo 1 El camino a la excelencia ya existe, introduce al lector en las nuevas tendencias de gestión de las TI, como son: la orientación a procesos, la calidad, las normas y las mejores prácticas. La intención del capítulo es presentar el amplio, y cada vez más complejo, entorno normativo y de mejores prácticas. Se conocerá quiénes son los principales actores en estos ámbitos y se tendrá una primera aproximación de cómo se posiciona cada norma o iniciativa. Este capítulo es un paso previo, que proporciona una visión general de todo este escenario internacional, antes de zambullirse en las especificidades de las Normas ISO/IEC

13 18 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información El capítulo 2 Entender las Normas ISO/IEC las posiciona en el ámbito global de las TIC, para pasar después a explicar su alcance, su estructura, sus coincidencias y las principales diferencias frente a ITIL. Este capítulo resulta esencial para entender adecuadamente los siguientes. Para facilitar la comprensión, el núcleo central del libro, desde el capítulo 3 al 10, se organiza siguiendo una estructura de capítulos y numeración de apartados paralela a las normas de referencia. En la figura I.1 se muestra este paralelismo intencionado. El capítulo 3 El Sistema de Gestión del servicio de TI (SGSTI), explica este concepto que suele resultar nuevo para los profesionales de las TIC no acostumbrados a los sistemas de gestión definidos en la normativa de calidad ISO. Explica con detalle la creación de un sistema de gestión aplicado a la provisión y soporte del servicio de tecnologías de la información. Este sistema de gestión constituye en sí mismo el diseño de las nuevas formas de hacer que transformarán el servicio de TI. Su utilización ofrece un valor añadido y permitirá alcanzar una posición diferencial a las organizaciones que lo implementen. En el capítulo 4 Planificación e implementación de la gestión del servicio, se trata la implantación de las Normas ISO/IEC Explica la forma de organizar y llevar a cabo esta transformación que suponen las nuevas formas de hacer, acordes con estas normas y definidas en el sistema de gestión. Se explican los aspectos que hay que tener en cuenta previos a la implantación, para entrar posteriormente en el ciclo de mejora continua. Se sigue el enfoque a las cuatro etapas del ciclo de mejora continua (PDCA, de Deming o de Shewhart), que también se explica en este capítulo. Los capítulos del 5 al 10 se corresponden con los principales procesos identificados en la gestión del servicio relativos a: creación, provisión, relaciones, resolución, control y entrega del servicio. En el libro, también se ha considerado que las empresas, además de mejorar sus servicios de TI, quieren obtener una certificación que les acredite ante su Dirección o ante sus clientes de la conformidad de su gestión frente a los requisitos de estas normas de referencia. A este respecto, el capítulo 11 es una guía que explica el proceso habitual para obtenerla. El libro se ha preparado para que se pueda leer en tres recorridos diferentes: Recorrido 1: lectura rápida. Paso rápido por los conceptos del libro, sin profundizar en los procesos. Este recorrido pasa por la lectura de los capítulos 1, 2 y 3 en detalle, pues contienen conceptos y posicionamientos que nadie debería descartar. A partir de este punto, el resto de los capítulos y procesos tienen su introducción y gráficos que resumen los principales conceptos que todo involucrado en las TI debería conocer.

14 Introducción 19 Índice de las Normas ISO/IEC Objeto y campo de aplicación 2 Términos y definiciones 0 Introducción Índice del libro ISO El camino de la excelencia ya exite 2 Entender las normas ISO/IEC Requisitos de un sistema de gestión 3 El Sistema de Gestión del Servicio de TI (SGSTI) 4 Planificación e implementación de la gestión del servicio 5 Planificación e implementación de nuevos servicios o de servicios modificados 6 Procesos de la provisión del servicio 6.1 Gestión de nivel de servicio 6.2 Generación de informes del servicio 6.3 Gestión de la continuidad y disponibilidad del servicio 6.4 Elaboración de presupuesto y contabilidad de los servicios de TI (gestión financiera de TI) 6.5 Gestión de la capacidad 6.6 Gestión de la seguridad de la información 7 Procesos de relaciones 7.1 Generalidades 7.2 Gestión de las relaciones con el negocio 7.3 Gestión de suministradores 8 Procesos de resolución 8.1 Antecedentes 8.2 Gestión del incidente 8.3 Gestión del problema 9 Procesos de control 9.1 Gestión de la configuración 9.2 Gestión del cambio 10 Proceso de entrega 10.1 Proceso de gestión de la entrega 11 La certificación conforme a ISO/IEC de la gestión del servicio de TI 11.1 La primera certificación conforme a ISO/IEC Evidencia y registros importantes en una certificación Bibliografía 12 Bibliografía y referencias 13 Términos y definiciones Figura I.1. La estructura del libro transcurre paralela a las Normas ISO/IEC 20000

15 20 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Recorrido 2: lectura secuencial y a fondo. De principio a fin, que es la recomendada por los autores. Recorrido 3: manual de consulta. La estructura del libro con temática independiente permite utilizarlo también como manual de consulta, accediendo directamente a cada proceso.

16 1 Capítulo 1 El camino a la excelencia ya existe 1.1. Las Normas ISO/IEC son parte del camino a la excelencia 1.2. Normas, estándares, marcos de referencia y metodologías reconocidas en el ámbito de las TI 1.3. Entender los entornos de normalización y certificación 1.4. Las principales normas y buenas prácticas en TI 9000 ITIL CMMI COBIT 38500

17 9000 ITIL CMMI COBIT 1. El camino a la excelencia ya existe Las Normas ISO/IEC son parte del camino a la excelencia Comparando la gestión habitual de las tecnologías de la información con otras áreas de la empresa, podremos encontrar que, en las más avanzadas, existen modelos de gestión firmemente establecidos que las hacen parecerse al modelo de una orquesta sinfónica en la que, si bien cada músico es un excelente especialista en su instrumento, es en la interpretación del concierto cuando la orquesta demuestra su auténtico valor actuando como un todo. En cambio, las áreas que gestionan sistemas tecnológicos han puesto tradicionalmente el foco en el conocimiento y dominio de la tecnología. Es esencial y obvio que se necesitan buenos técnicos para el diseño, la construcción y el mantenimiento del hardware y del software. Sin embargo, la situación actual refleja que el control de la técnica, aunque totalmente imprescindible, no es suficiente para satisfacer todo lo que la empresa demanda de las áreas de TI. Queda una importante asignatura pendiente que, por más que se invierta en tecnología y en técnicos, no se consigue resolver: actuar perfectamente engranados, todos juntos y bien coordinados para conseguir un fin común: ser cada vez más eficientes en costes y capaces de evolucionar con la agilidad típica del ecosistema Internet (objeto de deseo de todos los negocios para sus áreas de TI). Los responsables de los departamentos de TI deben responder a importantes desafíos: la eficiencia en costes, la calidad, el cumplimiento de plazos, la agilidad y la satisfacción de los clientes y usuarios están entre ellos. La gestión de las TI debe evolucionar desde los modelos artesanales hacia formas de hacer más industrializadas. Implementar formas de trabajo repetibles, mejorando la calidad de lo construido, la fiabilidad de los servicios o aumentando la capacidad de producción de la organización, todo ello, dentro de un nuevo entorno más fluido en las relaciones y que genere menos estrés en las personas. En esta evolución, las buenas prácticas sectoriales recogidas en las Normas ISO/IEC 20000, en los libros ITIL, en otras normas y marcos de referencia, marcan el camino a recorrer para alcanzar la excelencia en la gestión de las TI. Del mismo modo que un abogado debe conocer las leyes para ejercer su profesión, o un arquitecto la legislación y reglamentación sobre urbanismo y edificación; la dirección y los profesionales de los departamentos de TI deben conocer con detalle el conjunto de buenas prácticas, normas o estándares que se están consolidando en su propio sector. La actividad de los directivos y profesionales de las TI, debe pasar por conocer con detalle la normativa y marcos de las mejores prácticas aceptados por el mercado, para aplicarlas posteriormente en su organización. Este es un buen camino para la mejora de las actividades.

18 24 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información 1.2. Normas, estándares, marcos de referencia y metodologías reconocidas en el ámbito de las TI El mundo de la ciencia está empeñado en la búsqueda de una ley universal que sea válida tanto para el mundo del átomo como para las grandes galaxias. De manera análoga, en el ámbito de las TI todavía no se ha conseguido definir un modelo formal universal de toda su actividad que contemple desde la más detallada tarea técnica, hasta la definición al más alto nivel de la estrategia alineada con el negocio. El interés por mejorar las actividades de las TI ha hecho que se hayan ido desarrollando varios marcos o modelos que cubren las principales parcelas de la gestión y del conocimiento. A veces son complementarios entre sí, en otros aspectos se solapan y, con frecuencia, presentan enfoques distintos sin ofrecer una integración clara con otros modelos o aproximaciones. A pesar de ello, es indudable la utilidad de trabajar con éstos modelos de referencia ya definidos y los beneficios que aportan a las organizaciones que los utilizan como base para avanzar. Una buena representación que permite realizar una primera aproximación a este mundo en ebullición de normas, modelos y marcos de referencia, es la realizada por la consultora Gartner Group, presentada en la figura 1.1. En ella, se posicionan las normas en función de dos conceptos: el ámbito de aplicación y el tipo de uso de la normativa. El ámbito de aplicación de las normas ocupa las columnas de la tabla y se divide en dos alcances: el general de la empresa y las disciplinas específicas de TI (gobierno de TI, gestión del servicio de TI, funciones de TI y tecnología). El tipo de uso de la normativa se representa en tres filas: normativa con foco en la evaluación de la actividad, directrices y mejores prácticas, y la normativa de carácter más prescriptivo. La tabla original de Gartner se ha actualizado con la contribución de los autores, incorporando nuevas normas y marcos de referencia, como: ITIL v3, CMMI for Services, ISO/IEC15504, ISO/IEC 38500, ISO 9004, ISO14001, ISO 90003, ISO/IEC 27001, PRINCE2, ISPL, ASL y DSDM). La dinámica de este sector hará que en breve aparezcan nuevas normas y estándares para incorporar a éste gráfico. Entre estos modelos o recomendaciones destacan las Normas ISO/IEC 20000, que compiten por un reconocimiento en este campo. El hecho de llegar con el respaldo de los organismos de normalización internacionales, es un claro empuje para que se asiente como un referente en la sociedad. Como además, se han publicado también como norma nacional en muchos países, cumplen todo lo necesario para que los gobiernos puedan incluirlas en sus legislaciones o regulaciones (pudiendo llegar a convertirse en obligatorias).

19 9000 ITIL CMMI COBIT El camino a la excelencia ya existe 25 Ámbito de la empresa Ámbito específico de TI Calidad y medio ambiente Empresa Gobierno TI Gestión del servicio de TI Funciones de TI (desarrollo, seg., etc.) Tecnología Tipo de us so Evaluación Directrice es Pr rescriptivo TQM ISO 9001 ISO EFQM 9004 ISO Lean 6 Sigma TL 9000 SAS 8000 King ACC CoCo COSO etom (Telcos) SOX COBIT ISO/IEC Ticket CMMI for Services SAS 70 ITIL v3 ITIL v2 MOF SPICE ISO/IEC People CMMI CMMI ISO ASL ISO DSDM ISO/IEC ISPL RUP PMBOK PRINCE2 ISO/IEC o ISO/IEC BS PAS 77 FEAF TOGAF XML Zachman CORBA SOA Fuente: Gartner y e.p. Figura 1.1. Mapa de las diferentes normas y marcos de referencia relacionados con las TI El veterano marco ITIL destaca como el gran compendio de referencia, que aspira a convertirse en ese modelo universal que estructura y organiza toda la actividad de las TI. Si bien la versión 2, publicada en el año 2000, ha tenido una aceptación excepcional, hay que esperar a ver cómo el sector va adoptando la nueva versión 3, publicada en el año 2007, y que presenta una visión más amplia y coherente de la gestión de las TI, agrupada en torno al ciclo de vida del servicio. El marco para el desarrollo de software CMMI (Capability Maturity Model Integration) aparece como el modelo más aceptado para la medición de la madurez de los procesos de gestión en la construcción de aplicaciones. Para complicar más el panorama, en su última versión se crea un nuevo modelo CMMI for Services, que se superpone en gran medida con el ámbito central de ITIL; y por tanto, también con las Normas ISO/IEC Además, para los procesos y medición de la madurez del desarrollo, también la normativa internacional inició desde 1993 su andadura. ISO e IEC han desarrollado un modelo para la evaluación de los procesos de desarrollo de software bajo la iniciativa SPICE que ha desembocado en la publicación de la serie ISO/IEC En paralelo, han ido evolucionando otro conjunto de normas relativas a la ingeniería del software (ISO/IEC 15288, ISO/IEC 12207, ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).

20 26 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información La gestión de la seguridad de los sistemas de información ha sido una de las áreas más difundidas en el entorno normativo de las TI, con las normas UNE-ISO/ IEC (sistema de gestión de seguridad) y UNE-ISO/IEC (un código de buenas prácticas para la gestión de la seguridad de la información), que se ha renumerado como UNE-ISO/IEC Recientemente han aparecido unas normas británicas sobre la gestión de la continuidad de negocio, denominadas BS En el ámbito de la auditoría, medición y gobierno de TI el modelo COBIT (Control Objectives for Information and Related Technology) está reconocido como una excelente referencia. En relación al gobierno de las TI, la normativa internacional de ISO ha tomado posiciones con la nueva Norma ISO/IEC Corporate Governance of Information Technology (también denominada en sus etapas de borrador como 29382), inspirada en la Norma australiana AS Como un hijo menor del modelo COBIT, para la medición del valor que aportan las TI al negocio, se ha definido un nuevo sub-marco denominado ValIT. En relación a la gestión de proyectos de desarrollo de software, el marco líder es PMBOK (Project Management Body of Knowledge), una metodología reconocida por el organismo norteamericano de normalización ANSI. También hay que tener en cuenta el modelo PRINCE2 (Projects In Controlled Environments) que, realizado por los impulsores de ITIL, es más sencillo que el anterior, y resulta de utilidad para proyectos de mejora y de implantación de ITIL o de ISO/IEC Otros modelos que se complementan o solapan con los anteriores, aunque con poca aceptación en el sector de las TI son: en el ámbito de la gestión de proveedores ISPL (Information Services Procurement Library), para disponer de un mapa completo en la construcción de aplicaciones: ASL (Application Services Library) o DSDM (Dynamic Systems Development Method). Por su importancia y universalidad, también hay que tener en cuenta la serie de normas internacionales ISO 9000, familia de normas y directrices que contienen los requisitos para la gestión de la calidad general de una organización. Dentro de esta serie destaca la Norma UNE-EN ISO 9001, que contiene los requisitos del sistema de gestión de la calidad, también esencial para la implantación de las Normas ISO/IEC La Norma UNE-EN ISO 9004 contiene recomendaciones prácticas para aquellas empresas que quieran ir más allá de los requisitos mínimos establecidos en UNE-EN ISO En el ámbito de la calidad aplicada al desarrollo de software, también hay que considerar la Norma UNE-ISO/IEC 9003 que versa sobre las directrices para la aplicación de la Norma UNE-EN ISO 9001 al desarrollo de software. Por otra parte, la Norma ISO/IEC proporciona un marco para los procesos, actividades y tareas relacionadas con el ciclo de vida del software.

21 9000 ITIL CMMI COBIT 1. El camino a la excelencia ya existe 27 Por otra parte, los temas medioambientales también tienen su impacto en la gestión de TI. Deben tenerse en cuenta: la legislación nacional, local y la normativa sobre retirada y gestión del equipamiento y residuos informáticos; la serie de Normas ISO-EN relativa a la gestión medioambiental; en España existe también la Norma UNE Sistemas de gestión medioambiental. Guía para la aplicación de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la guía para la aplicación de los sistemas de gestión medioambiental a las relaciones con suministradores y clientes, denominada UNE EX; o el Código de Conducta para la Eficiencia Energética en Centros de Datos publicado por la Unión Europea. Tanta abundancia de información y recomendaciones resulta confusa para las organizaciones que sólo desean soluciones prácticas y directas para mejorar su gestión de las TI. De todo el mapa anterior, se recomienda centrarse inicialmente en las normas y marcos de mayor relevancia y más aceptados para la mejora de TI, como son: ISO/IEC partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la gestión de los servicios de TI. COBIT para la auditoría y la medición de las TI. ISO/IEC para la gestión de la seguridad de la información. ISO/IEC y CMMI for Development para la gestión del desarrollo de software. ISO/IEC y COBIT como referencias para el gobierno de las tecnologías de la información Entender los entornos de normalización y certificación Tiene gran interés conocer quién es quién en el ámbito de la normalización y la definición de las buenas prácticas relacionadas con la provisión de servicios de TI. Concurren en este espacio: organizaciones internacionales y europeas de carácter multisectorial que producen normas (como ISO, IEC, CEN, CENELEC, ETSI, UIT), organismos de normalización nacionales (AENOR en España, BSI en UK, etc.), administraciones públicas e instituciones gubernamentales (como OGC en UK, DoD en los EEUU), organizaciones privadas (itsmf, ITGI), universidades (Carnegie Mellon), junto a otros organismos del mundo de la certificación y acreditación de empresas. La figura 1.2 presenta en forma de tabla los principales actores. En las columnas se muestran las instituciones generadoras de normativas y

22 28 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información marcos de mejores prácticas (organismos de normalización internacional, organismos de normalización en cada país y las principales iniciativas de organizaciones privadas aunque algunas con el respaldo indirecto gubernamental). Las filas enumeran algunos organismos e instituciones. Bajo el concepto de promotor se incluyen quién está principalmente detrás de las iniciativas respaldando a las instituciones. Finalmente se presentan algunas normas y marcos de cada ámbito. Normalización internacional Normalización y acreditación según el país Principales iniciativas privadas Organismos e i nstituciones ISO IEC UIT CEN CENELEC ETSI España: AENOR - ENAC UK: BSI - UKAS USA: ANSI Alemania: DIN - TÜV Argentina: IRAM Chile: INN México: DGN Perú: INDECOPI Australia: SA OGC Carnegie ITGI PMI Mellon Promotore es Gobiernos Gobierno del país OGC (UK) Participan comités normalización países Participa industria local itsmf España y GT-25 (en UNE-ISO 20000) DoD ISACA PMI (USA) (USA) (USA) Participan los líderes y gurús de la industria TI itsmf SEI y ESI No ormas ISO 9001 ISO ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC BS AS 8015 ISO ISO BS PAS 77 ITIL Prince2 CMMI COBIT PMBOK Fuente: Telefónica Figura 1.2. Actores en el ámbito de la normalización relacionados con las TI En el ámbito de la normalización internacional, los organismos de normalización internacionales (ISO, IEC, UIT) y los europeos (CEN, CENELEC, ETSI) disponen de procedimientos estables que garantizan la participación de los países miembros y de la industria local. Aunque cada organismo tiene procedimientos específicos para la realización de la normativa, en todos está garantizada la participación de los países y de sus representantes. Para garantizar la representación se utilizan estructuras de comités, subcomités y grupos de trabajo internacionales, que frecuentemente se reflejan en estructuras similares en los países. Por tanto, no hay un ciclo único para la creación de las normas, aunque todos se basan en la representación de los organismos de normalización de los países a través de sus miembros nacionales (AENOR, BSI, DIN, etc.) como instrumento para garantizar la participación nacional.

23 9000 ITIL CMMI COBIT 1. El camino a la excelencia ya existe 29 Por otra parte, el ámbito de las denominadas iniciativas privadas (ITIL, CMMI, COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prácticas y no de normativa. Los procedimientos y la gestión de la representación del sector quedan a la libre elección de la institución u organismo que impulsa la iniciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamada pública de participación para trabajar en la siguiente edición de estos marcos a la que suelen responder los principales actores internacionales y gurús en la materia. El proceso de selección del equipo de revisión es específico de cada institución, así como el procedimiento de edición de la nueva versión del marco de referencia. Como se puede intuir hay que ser un autentico especialista en la materia para comprender los diversos esquemas y estructuras que se han ido creando alrededor de la normalización y marcos de mejores prácticas. Por la vinculación con la temática de este libro se explican los procesos de creación de las normas ISO/IEC y de las normas UNE españolas: Ciclo de creación de las normas ISO/IEC. Una norma internacional se desarrolla en el ámbito de los comités técnicos y de los subcomités técnicos de ISO y de IEC. El proceso sigue seis etapas: propuesta, preparatoria, comité, consulta, aprobación y publicación. En este proceso, el documento propuesta de norma pasa por tres estados que indican el grado de aceptación y apoyo que se va alcanzando de los diversos borradores: CD (Committee Draft): es un borrador generado por un grupo de trabajo, que ha recibido la aprobación del grupo y se remite al comité correspondiente para su aprobación. DIS (Draft of International Standard): es el borrador de norma internacional que el comité de normalización ha aprobado y somete a comentarios y votación por parte de los países. FDIS (Final Draft of International Standard): es el borrador final de la norma internacional, que el comité envía para su aprobación final a todos los miembros para su publicación final como norma internacional. En la etapa 2, o preparatoria, se emite el borrador de la norma en fase CD. En la etapa 3 se aprueba el borrador para pasar al estado de borrador de comité (DIS) que será sometido a aprobación en la etapa 4 o de consulta. Así, el borrador aprobado pasa al estado de borrador final de norma internacional (FDIS) que será sometido para su aprobación definitiva en la etapa 5. Además, existe el procedimiento rápido de aprobación, o fast-track, para documentos con un grado alto de madurez, como es el caso de normas locales que se quieran elevar a internacionales. En este caso, primero se somete a una votación para

24 30 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasar directamente como DIS a la etapa 4. Normalmente el procedimiento rápido puede durar un año, mientras que el normal suele durar entre 2 y 3 años, dependiendo de la dificultad de alcanzar el consenso en las diversas etapas. Ciclo de creación de las normas UNE españolas. El proceso de elaboración de una norma UNE está sometido a una serie de fases que permiten asegurar que el documento final es fruto del consenso, y que cualquier persona, aunque no pertenezca al comité de AENOR, productor de la norma, pueda emitir sus opiniones o comentarios. Tras la aprobación del proyecto final de norma por un Comité Técnico de Normalización, el Boletín Oficial del Estado (BOE) publica la relación mensual de proyectos UNE sometidos a un período de Información Pública, durante el cual cualquier persona o entidad interesada podrá presentar observaciones. Las observaciones deben realizarse a AENOR. Una vez analizados los comentarios recibidos en esta fase, el comité redactará el texto final, que será aprobado y publicado como norma UNE por AENOR. En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional. Proceso de elaboración de una norma ISO/IEC internacional 1. Etapa de propuesta Se elabora la propuesta de norma 2. Etapa preparatoria Se consensúa el borrador CD 3. Etapa de comité El comité aprueba CD DIS 4. Etapa de consulta DIS se somete a consulta 5. Etapa de aprobación Se aprueba DIS FDIS 6. Etapa de publicación FDIS se edita como norma ISO Fuente: ISO y e.p. Proceso de elaboración de una norma UNE española 1. Trabajos preliminares 2. Elaboración del proyecto de norma en el seno de un Comité Técnico de Normalización (CTN) 3. Envío de la norma al BOE para información pública 4. Elaboración y aprobación por el CTN de la propuesta final de norma 5. Aprobación de la propuesta final por AENOR 6. Publicación de la nueva norma UNE Fuente: AENOR Figura 1.3. Procedimientos de creación de normas internacionales y nacionales A continuación, se presenta una visión general de los principales actores en este ámbito normativo que tienen cierta relevancia en la gestión de las TI, aunque no pretende ser un tratado exhaustivo.

25 9000 ITIL CMMI COBIT 1. El camino a la excelencia ya existe 31 Organismos de normalización internacionales ISO (International Organization for Standardization, Organización Internacional de Normalización). Es el organismo de normalización oficial reconocido a nivel internacional. Su objetivo es poner a disposición de la industria un catálogo de normas sobre productos y servicios que se puedan utilizar para dar garantía de unos niveles de calidad preestablecidos. Fue creado en febrero de 1947 y tiene su sede en Ginebra. Cuenta en la actualidad con la representación de 153 países. Tiene como objetivo lograr la coordinación internacional y la unificación de las normas de la industria. Coopera estrechamente con la IEC. IEC (International Electrotechnical Commission, Comisión Electrotécnica Internacional). Es la organización internacional centrada en la normalización de los ámbitos eléctrico, electrónico y de tecnologías relacionadas. ISO e IEC cooperan estrechamente en campos de interés mutuo, especialmente en el ámbito de las TI en el que desarrollan normas de forma conjunta, las denominadas ISO/IEC. UIT (International Telecommunication Union, Unión Internacional de Telecomunicaciones). Organismo internacional encargado de la elaboración de recomendaciones para el sector de las telecomunicaciones. Organismos de normalización europeos CEN (European Committee for Standardization, Comité Europeo de Normalización). Es el organismo espejo de ISO a nivel europeo. Está centrado en la normalización en todos los campos excepto en el eléctrico y en el de telecomunicaciones. CENELEC (European Committee for Electrotechnical Standardization, Comité Europeo de Normalización Electrotécnica). Es el organismo espejo de IEC a nivel europeo. Está dedicado a la normalización en el ámbito eléctrico y electrónico. ETSI (European Telecommunications Standards Institute, Instituto Europeo de Normas de Telecomunicación). Organismo equivalente a la UIT para Europa, cuyo campo de actividad se centra en las telecomunicaciones y comunicaciones electrónicas. Organismos de normalización nacionales AENOR (Asociación Española de Normalización y Certificación). Es el organismo que desarrolla la actividad de normalización en España. Es una organización privada, independiente y sin ánimo de lucro, reconocida en los ámbitos nacional,

26 32 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información europeo e internacional para el desarrollo de actividades de normalización y certificación (N+C) en un ámbito multisectorial. Cuenta en la actualidad con más de 20 centros operativos repartidos en: España, México, Chile, El Salvador, Italia, Portugal, Brasil, Bulgaria, China, etc. Tiene como objetivo contribuir, mediante el desarrollo de las actividades de N+C, a mejorar la gestión de la calidad en las empresas, sus productos y servicios, proteger el medio ambiente y, con ello, lograr el bienestar de la sociedad en su conjunto. BSI (British Standards Institute). Organismo de normalización del Reino Unido. Es destacable su actividad en la elaboración de nuevas normas en el ámbito de la gestión de las TI. Creador de la serie de normas BS 15000, base sobre la que se han definido las actuales Normas ISO/IEC En general, cada país tiene su propio organismo de normalización, entre otros podemos destacar: DIN en Alemania, AFNOR en Francia, UNI en Italia, SA en Australia, etc. Otros organismos de habla hispana, con los que AENOR mantiene una estrecha colaboración motivada, entre otras cosas, por la traducción conjunta de normas internacionales al español, son: IRAM en Argentina, INN en Chile, DGN en México, INDECOPI en Perú, etc. Los gobiernos Es importante destacar el papel activo de los gobiernos, instituciones gubernamentales y administraciones públicas en el campo de la normalización, pues desempeñan un triple papel: como sustento de la actividad de normalización mediante subvenciones a los organismos de normalización, como impulsores de algunas iniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bien estableciendo una regulación o bien en su papel de cliente contratante de servicios al sector de las TIC. Entre estos organismos destacan el Ministerio de Comercio Británico (OGC, Office of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense) como impulsor de CMMI. Organismos de acreditación Las entidades nacionales de acreditación son entidades independientes cuya función es la acreditación de entidades certificadoras y laboratorios de ensayo. Es decir,

27 9000 ITIL CMMI COBIT 1. El camino a la excelencia ya existe 33 el reconocimiento formal de que una organización es competente para la realización de una determinada actividad de evaluación de la conformidad o la realización de un ensayo determinado. Las organizaciones que podemos destacar son: Internacionalmente: IAF (International Accreditation Forum). En Europa: EA (European Cooperation for Accreditation). En España: ENAC (Entidad Nacional de Acreditación en España). En el Reino Unido: UKAS (United Kingdom Accreditation System). IQNet. Un papel parecido a la acreditación lo realiza la Red Internacional de Certificación (IQNet, International Certification Network), asociación formada por las entidades de certificación líderes en la certificación de empresas en sus respectivos países. Entre sus objetivos están: El reconocimiento y promoción de los certificados expedidos por sus miembros en todos los sectores industriales y de servicios. La coordinación de los procesos de certificación de empresas que operan en distintos países. Normalmente, los certificados locales emitidos por las entidades certificadoras van acompañados de el reconocimiento internacional de IQNet. Entidades certificadoras Para que las empresas puedan demostrar a nivel nacional e internacional que cumplen las normas, necesitan un certificado. Se trata de un instrumento para verificar la correcta implantación de las normas. La obtención del certificado se realiza mediante un proceso de evaluación independiente por parte de una entidad certificadora o de certificación. Un requisito importante que asegura la solvencia para que una entidad pueda conceder una marca de certificación es que dicha entidad sea competente para certificar los productos, los servicios, los sistemas de gestión o las personas, a los que se aplica la marca de certificación. Los organismos de acreditación son los encargados de acreditar a las entidades de certificación. Las entidades de certificación utilizan los servicios profesionales de los auditores.

28 34 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Marcas de certificación Las marcas de certificación las conceden las entidades correspondientes a los productos, sistemas y servicios que cumplen con los requisitos definidos. La certificación, en base a normas, tiene su reflejo en los distintivos de certificación, cuya concesión significa que el producto o servicio ha pasado por el adecuado proceso de certificación de forma satisfactoria. Cuando, por ejemplo, se trata de una marca de seguridad, la concesión de la marca significará que cumple los requisitos de seguridad, según la norma de referencia. En un producto con certificado de calidad, la etiqueta puede contener distintos logotipos (véase la figura 1.4) dependiendo de la entidad que otorgue el certificado. Figura 1.4. Ejemplos de marcas de certificación de sistema y de producto en el caso de AENOR En el Reino Unido se ha desarrollado una marca de certificación específica para ISO/IEC 20000, según un acuerdo interno entre UKAS (organismo de acreditación de ese país) e itsmf-uk (capítulo inglés del itsmf, Information Technology Service Management Forum), con un reglamento específico (esquema de certificación). Por el contrario, en la mayoría de los países, la certificación ISO/IEC transcurre por los caminos habituales de la certificación del país, con marcas específicas de cada entidad certificadora, y regulado por el organismo de acreditación del país. Auditores Los auditores son los únicos profesionales acreditados para realizar la auditoría del cumplimiento de los requisitos de una norma por una organización. La calificación de auditor se concede únicamente a los candidatos que demuestren experiencia suficiente y hayan pasado los exámenes exigidos para ello.

29 9000 ITIL CMMI COBIT 1. El camino a la excelencia ya existe 35 En el caso de la Norma ISO/IEC , existe una acreditación específica de auditor otorgada por UKAS e itsmf-uk a profesionales con amplia experiencia, tras superar un curso en entidades de formación acreditadas y superar el examen al respecto. Esta acreditación de auditor está vinculada al esquema de certificación conjunto de UKAS e itsmf-uk. Consultores Los consultores asesoran, bien a las organizaciones o entidades que quieren implantar las normas, o bien, una vez implantadas, que desean certificarse. Para esta función existe una acreditación profesional específica. La formación que reciben les permite adquirir un nivel suficiente de conocimiento de la normas, del esquema de certificación y de su aplicación. Los consultores asisten a las organizaciones en la interpretación y aplicación de la normas, así como, para la aplicación efectiva de ISO/IEC en la gestión del servicio. Asimismo, el consultor externo puede efectuar una evaluación de los niveles de gestión del servicio y establecer el nivel de preparación necesario para una solicitud de certificación y su posterior consecución. Actualmente, existe una acreditación de consultor ISO/IEC otorgada por entidades de formación acreditadas por UKAS e itsmf-uk. Otros organismos que regulan la formación profesional (EXIN, APMG) también están entrando en este campo. Las organizaciones alrededor de ITIL ITIL (Information Technology Infrastructure Library, Biblioteca de Infraestructuras de Tecnologías de la Información) es el compendio de las mejores prácticas en la gestión de TI más extendido y ampliamente aceptado por la industria. La estrecha relación entre los contenidos de las Normas ISO/IEC y los libros ITIL, hace relevante conocer cuáles son los principales miembros de este ecosistema creado para la difusión y evolución de estas prácticas: OGC (Office of Government Commerce, Oficina de Comercio del Gobierno). Oficina dependiente del Ministerio de Economía y Hacienda británico, responsable de un amplio programa para mejorar la eficiencia de las empresas. Este organismo (antes denominado CCTA) fue el creador de ITIL a finales de los años 80. TSO. Editorial inicialmente vinculada al entorno gubernamental británico, centrada en la publicación de libros y documentación producida en este ámbito. Fue privatizada en 1996 y ha sido comprada por el grupo Williams Lea en enero de 2007.

30 36 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información TSO se encarga de la publicación impresa y online de los libros ITIL, gestionando sus derechos de propiedad intelectual. itsmf International (Information Technology Service Management Forum, Foro internacional para la Gestión del Servicio de TI). Creado en el Reino Unido en 1991, es una red mundial de grupos de usuarios de TI que ofrecen mejores prácticas y guías basadas en normas para la provisión de servicios de TI. La organización internacional coordina las actividades de los capítulos locales y apoya al desarrollo y difusión de las evoluciones de ITIL. itsmf está presente en países como: Francia, Bélgica, Alemania, Portugal, Noruega, Japón, Brasil, Dinamarca, Austria, Finlandia, Canadá, EEUU, Singapur, Australia, Italia, Hungría, Rumania, Suecia, Argentina, España, etc. itsmf España. Capítulo español de itsmf. Constituido como una asociación sin ánimo de lucro, actúa como una comunidad de usuarios. Centra sus intereses en las prácticas y metodologías de gestión y gobierno de las TI. Tiene como objetivo ayudar a las organizaciones a adoptar soluciones de gestión de servicios TI e impulsar la adopción de las mejores prácticas. Certificación profesional privada en el ámbito de la gestión del servicio Alrededor de la difusión de las mejores prácticas de gestión del servicio de TI se ha ido creando una oferta de servicios de formación para los profesionales, denominadas privadas por no tener asociadas un reconocimiento oficial del Estado, pero muy apreciadas en el mundo empresarial. No se debe confundir esta certificación individual de profesionales con la certificación de organizaciones o proveedores de TI. En el ámbito de ITIL, las certificaciones profesionales tienen gran tradición. Se ha evolucionado del esquema anterior de certificaciones de ITIL v2 en tres niveles (Foundation, Clusters y Service Manager) a uno nuevo en ITIL v3 basado en una estructura más flexible de cuatro capas: Foundation para los conocimientos generales iniciales, Intermediate para el conocimiento en más detalle de uno o varios de los libros del ciclo de vida o de agrupaciones de procesos, ITIL Expert que capacita para la gestión integral de los servicios que requiere haber realizado un conjunto de cursos Intermediate e ITIL Master, máximo grado de certificación que ratifica la capacidad de analizar y aplicar los conceptos ITIL a nuevas áreas. La calidad de las empresas de formación y el control de los exámenes los gestiona APM Group, a quién la OGC ha otorgado en 2006 la gestión de la acreditación de la formación relacionada con la marca ITIL.

31 9000 ITIL CMMI COBIT El camino a la excelencia ya existe 37 En el ámbito de ISO/IEC 20000, la aparición de estos esquemas de certificación profesional garantizados es más reciente, destaca la iniciativa de EXIN (Examination Institute for Information Science), pero posiblemente aparecerán otros, ya que el entorno de normativa internacional no ejerce el concepto de propietario de marca Las principales normas y buenas prácticas en TI Las Normas ISO/IEC Dado que estas normas se tratan en profundidad en el resto del libro, únicamente se presenta en la figura 1.5 un esquema general de su estructuración en 14 procesos (los 13 procesos descritos en los capítulos 6 al 10 de las normas, Sistema de Gestión del Servicio de TI (SGSTI) Planificación e implementación de la gestión del servicio (PDCA) Planificación e implementación de nuevos servicios o de servicios modificados Procesos de la provisión del servicio Gestión de la capacidad Gestión de nivel de servicio Gestión de la Generación de continuidad y informes del servicio disponibilidad del servicio Procesos de control Gestión de la configuración Gestión del cambio Proceso de entrega Proceso de gestión de la entrega Procesos de resolución Gestión del incidente Gestión del problema Gestión de la seguridad de la información Elaboración de presupuesto y contabilidad de los servicios de TI Procesos de relaciones Gestión de las relaciones con el negocio Gestión de suministradores Fuente: UNE-ISO/IEC y e.p. Figura 1.5. Esquema general de los procesos de ISO/IEC 20000

32 38 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información junto al proceso del capítulo 5 Planificación e implementación de nuevos servicios o de servicios modificados ). Además, las normas incluyen dos aspectos muy importantes: el sistema de gestión y la planificación e implementación de la gestión del servicio. En el ámbito de los servicios de TI, resulta esencial que los servicios se provean en un marco de gestión eficaz y de calidad, para entender claramente los requisitos y gestionar su cumplimiento. Las Normas ISO/IEC articulan el proceso de prestación de los servicios engranados sobre un sistema de gestión del servicio (véase el capítulo 3). El proceso de mejora continua establecido por la Norma ISO 9001 para la fabricación de productos o prestación de servicios (siguiendo el ciclo PDCA: planificar, hacer, verificar y actuar Plan, Do, Check, Act), también se incorpora en esta norma como un motor de la mejora continua de los servicios de TI (véase el capítulo 4). La serie ISO 9000, normas de calidad Según el diccionario de la Real Academia Española, la calidad se define como la propiedad o conjunto de propiedades inherentes a algo que permiten juzgar su valor. El aseguramiento de la calidad nace como una evolución natural del control de calidad, que resultaba limitado y poco eficaz para prevenir la aparición de defectos. Para ello, se hizo necesario crear sistemas de calidad que incorporasen la prevención como forma de funcionamiento y gestión, y que, en todo caso, sirvieran para anticiparse a los errores antes de que estos se produjeran. Un sistema de gestión de la calidad se centra en garantizar que el producto o el servicio ofrecido por una organización cumple con las especificaciones establecidas previamente por la empresa y el cliente, y así, asegurar unos niveles de calidad predecibles y su mejora continua a lo largo del tiempo. El sistema de gestión de la calidad general es el conjunto de elementos interrelacionados de una empresa u organización por los cuales se organiza y planifica el trabajo de la misma en la búsqueda de la satisfacción de sus clientes. Sus elementos principales son: La estructura de la organización. Sus procesos. Sus documentos. Sus recursos.

33 9000 ITIL CMMI COBIT El camino a la excelencia ya existe 39 ITIL (Information Technology Infrastructure Library) Es un conjunto de publicaciones que recogen las buenas prácticas en la gestión de servicios de las TI. Define un modelo de procesos bastante amplio que abarca desde la definición de la estrategia hasta la gestión de las infraestructuras. El éxito y la fama de ITIL se han fundamentado en la calidad de sus buenas prácticas y en la flexibilidad para que las empresas pudieran adaptarlas a sus necesidades. Entre 1989 y 1992, la versión 1 de ITIL se centraba en la gestión de la tecnología y estaba claramente orientado al entorno mainframe. Paulatinamente, las prácticas fueron evolucionando hacia procesos y servicios. ITIL, en su versión 2 (de principios del año 2000), se estructuraba en 7 libros básicos (además, hay uno nuevo de dedicado al inventariado o a la gestión de activos software y otro enfocado a implementaciones en organizaciones de TI de menor escala como en pymes). En la figura 1.6 se muestra la evolución histórica de ITIL y la aparición de ISO/IEC en los últimos años. BS ISO/IEC UNE-ISO/ IEC Evolución ISO/IEC IBM,s ISMA itsmf ITIL v1: 42 libros ITIL v2: 7 libros Creación itsmf España ITIL v3: 5 libros ITIL v0: Service Level Management Figura 1.6. Historia de la evolución de la normativa de gestión del servicio de TI

34 40 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información ITIL v2 se ha utilizado como base para la creación de las Normas ISO/IEC En la figura 1.7, se muestra una representación típica de ITIL v2. En ella se puede apreciar el negocio a la izquierda del todo, en el extremo derecho se sitúa la tecnología, y, en medio, haciendo que la tecnología sea útil para el negocio están los procesos ITIL. De ellos, los dos libros más valiosos por su contenido y más aceptados por el mercado son los relativos a la gestión de servicio (libros Soporte de Servicio y Provisión de Servicio publicados por OGC). Planificación de la implantación de gestión del servicio E L N E G O C I O Perspectiva de negocio Gestión relación con negocio Gestión relación proveedores Planificación y desarrollo arquitectura TI Relación formación y comunicación de TI con el negocio Gestión de servicio Soporte de servicio Centro atención usr. Financiero Continuidad Disponibilidad Capacidad G. nivel de servicio Provisión de servicio Gestión de aplicaciones Requerimientos Diseñar y construir Despliegue Operar Optimizar Incidente Problema Configuración Cambio Entrega Gestión de infraestructuras TIC Diseño y planificación Despliegue Operación Soporte técnico Gestión de activos Gestión de la seguridad Planificar Implementar Evaluar Mantener Controlar L A T E C N O L O G Í A Fuente: Libro ITIL Soporte de Servicio publicado por OGC y e.p. Figura 1.7. Procesos definidos en los libros ITIL v2

35 9000 ITIL CMMI COBIT El camino a la excelencia ya existe 41 La versión 3 de ITIL, que apareció a mediados de 2007, respeta los principales procesos del soporte y de la provisión del servicio ya definidos en la versión anterior. También saca a la luz mucha de las actividades de gestión de TI no reflejadas anteriormente, ampliando su alcance a más de 20 procesos. Esta versión pone mayor énfasis en la integración de TI con el negocio. Se estructura en torno al ciclo completo de creación de servicios: estrategia, diseño, transición, operación y mejora continua (véase la figura 1.8). Diseño del servicio Estrategia del servicio Operación del servicio ITIL v3 Transición del servicio Mejora del servicio Fuente: Libro ITIL Estrategia del Servicio publicado por OGC y e.p. Figura 1.8. La estructura de los libros ITIL v3 se articula según el ciclo de vida de los servicios

36 42 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información El conjunto de temática y procesos tratados en ITIL v3 se muestra en la figura 1.9. ESTRATEGIA DISEÑO TRANSICIÓN OPERACIÓN MEJORA CONTINUA Estrategia del servicio Generación de la estrategia Gestión financiera de TI Gestión de la demanda Gestión del porfolio de servicios Mejora continua del servicio El proceso de mejora en 7 etapas Informes del servicio Medición del servicio Retorno de inversión para la mejora Preguntas al negocio para la mejora Gestión de nivel de servicio Diseño del servicio Diseño de servicios nuevos o modificados Gestión del catálogo de servicios Gestión de nivel de servicio Gestión de la capacidad Gestión de la disponibilidad Gestión de la continuidad del servicio TI Gestión de la seguridad de la información Gestión de suministradores ITIL v3 Transición del servicio Planificación y soporte de la transición Gestión de cambios Gestión de la configuración y de activos del servicio Gestión de versiones y despliegues Validación y pruebas del servicio Evaluación Gestión del conocimiento Operación del servicio Procesos: Gestión de eventos Gestión de incidencias Gestión de peticiones Gestión de problemas Gestión de accesos Funciones: Centro de servicio al usuario Gestión técnica Gestión de operaciones TI Gestión de aplicaciones Fuente: Libros ITIL v3 publicados por OGC y e.p. Figura 1.9. Contenido de las cinco etapas del ciclo de vida de los servicios en ITIL v3 Otras normas y metodologías relacionadas son: COBIT para la auditoría y gobierno de TI, ISO/IEC para la seguridad, CMMI e ISO/IEC (SPICE) como modelos de madurez del desarrollo del software. En los apartados siguientes se presenta una introducción a ellas.

37 9000 ITIL CMMI COBIT El camino a la excelencia ya existe 43 COBIT (Control objectives for information and related technology) Es un conjunto de mejores prácticas e indicadores para el control y auditoría de los sistemas de información. Fue creado por ISACA (Information Systems Audit and Control Association) y el ITGI (IT Governance Institute) y ha ido extendiendo su alcance hacia las métricas de TI y las disciplinas de gobierno de las TI. La primera edición fue publicada en 1996, la segunda en 1998, la tercera en 2000 y la cuarta en Diciembre de COBIT 4 se estructura en cuatro dominios que cubren un total de 34 objetivos principales de control (denominados también procesos), que permiten garantizar un adecuado sistema de gobierno para el entorno de las TI. En la figura 1.10 se muestran estos dominios. Monitorizar y evaluar Planear y organizar ME1 Monitorizar y evaluar el desempeño de TI ME2 Monitorizar y evaluar el control interno ME3 Garantizar cumplimiento regulatorio ME4 Proporcionar gobierno de TI Entregar y dar soporte DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones Medición del desempeño Alineación estratégica Entrega de valor Gobierno de TI Administración de recursos Administración de riesgos PO1 Definir el plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las aspiraciones y la dirección de la gerencia PO7 Administrar recursos humanos de TI PO8 Administrar calidad PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos Adquirir e implantar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el software aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios Fuente: ISACA. Figura Los 4 dominios de COBIT para el gobierno de TI

38 44 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información En el ámbito de la certificación de los profesionales, en 2008 ISACA ha puesto en marcha la certificación en el gobierno de las TI (CGEIT, Certified in the Governance of Enterprise IT). Además, existe la acreditación a título profesional para auditor de las TI (CISA, Certified Information Systems Auditor) y la relativa a la seguridad de las TI (CISM, Certified Information Security Manager). Vinculado a COBIT, y con el fin de desarrollar las prácticas para la medición de del valor de la contribución de TI al negocio, ISACA ha creado el marco Val IT. ISO/IEC e ISO/IEC para la seguridad de las TI El objetivo de la gestión de la seguridad de la información es asegurar la continuidad de las operaciones de la organización y reducir al mínimo los daños causados por una contingencia, así como, optimizar la inversión en tecnologías de seguridad. ISO/IEC establece los principios de: integridad, disponibilidad y continuidad de la información. Proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). Esta norma establece un conjunto de 30 actividades para la gestión de la seguridad, define 11 áreas principales de control, para cada una establece 39 objetivos de control y 133 controles (o medidas de salvaguarda) de seguridad. Las áreas de control son: Área: 5. Política de seguridad. Área: 6. Aspectos organizativos de la seguridad de la información. Área: 7. Gestión de activos. Área: 8. Seguridad ligada a los recursos humanos. Área: 9. Seguridad física y ambiental. Área: 10. Gestión de comunicaciones y operaciones. Área: 11. Control de acceso. Área: 12. Adquisición, desarrollo y mantenimiento de los sistemas de información. Área: 13. Gestión de incidentes de seguridad de la información. Área: 14. Gestión de la continuidad del negocio. Área: 15. Cumplimiento.

39 9000 ITIL CMMI COBIT El camino a la excelencia ya existe 45 En la figura 1.11 se muestra la estructura de actividades propuesta en la norma. Plan Planificar Do Act Hacer Actuar Check Verificar Ciclo PDCA Planificar Hacer Verificar Actuar Modelo en ISO/IEC Creación del SGSI Implementación y operación del SGSI Supervisión y revisión del SGSI Mantenimiento y mejora del SGSI Figura Estructura de actividades de ISO/IEC ISO/IEC (que pasará a ser denominada ISO/IEC 27002) recoge un código de buenas prácticas para la gestión de la seguridad de la información. Se centra en desarrollar los objetivos de control de la seguridad, y para cada uno de ellos, se indica una guía para su implantación. Cada organización debe considerar cuántos serán realmente los aplicables según sus propias necesidades. CMMI (Capability Maturity Model Integration) CMMI es una evolución de estándar inicial CMM, que fue desarrollado por el SEI (Software Engineering Institute) de la universidad Carnegie Mellon, en Fue iniciado en respuesta a la petición del Gobierno de los EEUU (Departamento de Defensa, DoD) de proporcionar un método para controlar la capacidad de desarrollo de software de sus contratistas. Originalmente, fue diseñado para su uso por los desarrolladores de software, pero hoy se ha ampliado, proporcionando un modelo completo de evaluación de la madurez de las actividades de desarrollo de aplicaciones de una organización. Este modelo está estructurado y repleto de prácticas de gran utilidad para la mejora de las actividades de una organización de TI. En la figura 1.12 se muestra la estructura de las prácticas de CMMI en cuatro áreas denominadas constelaciones. Cada una de estas constelaciones se pueden considerar equivalentes a un libro de ITIL. En el modelo CMMI a los procesos se les denomina área de proceso (PA, Process Area). Se establece una constelación común (CMMI Fountation) que contiene los procesos que son comunes, una específica

40 46 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información CMMI for Services CMMI for Development CMMI Foundation 16 áreas de proceso comunes CMMI for Acquisition Figura Constelaciones (áreas o libros) de CMMI para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisiciones (CMMI for Adquisition) y una nueva para la prestación de servicios (CMMI for Services). CMMI describe cinco etapas evolutivas (niveles) en las cuales una organización se sitúa según la madurez de sus procesos: 1. Inicial (Initial). Los procesos son caóticos; pocos procesos están realmente definidos. 2. Repetible (Repeatable). Se establecen los procesos básicos y se observa cierto nivel de disciplina respecto a ellos. 3. Definido (Defined). Todos los procesos están definidos, documentados, normalizados e integrados. 4. Gestionado (Managed). Los procesos se miden recogiendo datos detallados de los mismos. 5. En optimización (Optimizing). La mejora de los procesos es continua y proporciona nuevas ideas y oportunidades. Con la publicación en Marzo del 2009 de CMMI for Services, el SEI también entra en el ámbito de la gestión del servicio, con bastante solape con ITIL e ISO/IEC En la figura 1.13 se muestran los procesos de este nuevo modelo.

41 9000 ITIL CMMI COBIT El camino a la excelencia ya existe 47 Las 24 áreas de proceso (PA) en CMMI-SVC Support Causal Analysis and Resolution (CAR) Configuration Management (CM) Decision Analysis and Resolution (DAR) Measurement and Analysis (MA) Process and Product Quality Assurance (PPQA) Service Establishment and Delivery Incident Resolution and Prevention (IRP) Service Delivery (SD) Service System Development (SSD) Service System Transition (ST) Strategic Service Management (STSM) Process Management Organizational Innovation and Deployment (OID) Organizational Process Definition (OPD) Organizational Process Focus (OPF) Organizational Process Performance (OPP) Organizational Training (OT) Project Management Capacity and Availability Management (CAM) Integrated Project Management (IPM) Project Monitoring and Control (PMC) Project Planning (PP) Requirements Management (REQM) Risk Management (RSKM) Quantitative Project Management (QPM) Service Continuity (SCON) Supplier Agreement Management (SAM) Fuente: SEI. Figura Los procesos definidos en CMMI para servicios (CMMI-SVC) en su versión 1.2 ISO/IEC (SPICE, Software Process Improvement and Capability determination) En el ámbito del desarrollo del software en enero de 1993 en el seno del comité conjunto de ISO e IEC, surge el proyecto SPICE para el desarrollo de un estándar internacional para la evaluación de los procesos de construcción del software. El resultado de este trabajo se plasmó en la serie de normas ISO/IEC 15504, que presentan un modelo de referencia que describe los procesos de una organización para ejecutar, adquirir, desarrollar, operar, evolucionar y proporcionar soporte al software. Este marco es la respuesta de la normativa internacional al modelo de madurez CMMI for Development y en muchos aspectos se solapa. La arquitectura del modelo organiza las prácticas en números de categorías utilizando diferentes tipos de aproximaciones. La arquitectura distingue entre:

42 48 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Prácticas base. Actividades esenciales de un proceso específico, agrupado por categorías de procedimientos y procesos de acuerdo al tipo de actividad. Prácticas genéricas. Aplicables a cualquier proceso, que representa las actividades necesarias para administrar el proceso y mejorar su potencialidad. El modelo agrupa a los procesos en cinco categorías: Procesos cliente-proveedor (customer-supplier). Esta categoría consta de los procesos que directamente impactan al cliente, al soporte de desarrollo y a la transición del software al cliente. Procesos de ingeniería (engineering). Esta categoría consta de los procesos que directamente especifican, implementan, y mantienen un sistema, un producto de software y la documentación del usuario. Procesos de proyecto (project). Esta categoría consta de los procesos establecidos dentro del proyecto, coordinación y administración de los recursos para producir un producto o proveer un servicio para satisfacer al cliente. Procesos de soporte (support). Esta categoría consta de los procedimientos que establecen y soportan el desempeño de los otros procesos del proyecto. Procesos de la organización (organization). Esta categoría consta de los procesos que establecen las metas de negocio de la organización, los procesos de desarrollo y los recursos que ayudan a la organización alcanzar dichas metas. En la figura 1.14 siguiente se muestra un esquema con estos procesos: Procesos cliente-proveedor Procesos de ingeniería Procesos de proyecto Procesos de soporte Procesos de organización Fuente: SPICE. Figura Las cinco categorías de procesos definidas en SPICE

43 9000 ITIL CMMI COBIT 1. El camino a la excelencia ya existe 49 Existen seis niveles de capacidad en el modelo: Nivel 0: Incompleto. Sería un fracaso general tratar de aplicar las prácticas base a los procesos, ya que no es fácil identificar las salidas de los procesos o el funcionamiento de los productos. Nivel 1: Realizado. Generalmente se ejecutan las prácticas base de los procesos. La ejecución de dichas prácticas puede no ser planificada rigurosamente y ni seguida, y dependerá del conocimiento y esfuerzo personal. Se identifican algunos procesos. Nivel 2: Gestionado. Se planifica y se sigue la ejecución de las prácticas base en los procesos. El desempeño estará acorde con los procedimientos especificados. La primera distinción entre el nivel 1 y el 2 es que la ejecución de los procesos está planificada y administrada y progresan hacia un modelo bien definido. Nivel 3: Establecido. Las prácticas bases se ejecutan de acuerdo a una versión adaptada del estándar. Los procesos están aprobados, bien definidos y documentados. Nivel 4: Predecible. Se recaban y evalúan las mediciones detalladas del rendimiento o ejecución. Se conoce de forma cuantitativa el rendimiento de los procesos y es posible su predicción. Las prácticas se administran objetivamente. La calidad de las mismas se conoce cuantitativamente. Nivel 5: Optimizado. Se establecen en forma cuantitativa procesos y metas eficientes, basados en los objetivos de la organización. Los procesos se van mejorando de forma continua, mediante la retroalimentación (feedback) obtenida por los resultados de procesos definidos, por ideas, por pilotos y por nuevas tecnologías.

44 2 Capítulo 2 Entender las Normas ISO/IEC Introducción a las Normas ISO/IEC Objeto y campo de aplicación de ISO/IEC La estructura de las Normas ISO/IEC Relación entre ISO/IEC e ITIL 3. Sistema de Gestión del Servicio de TI (SGSTI) 4. Planificación e implementación de la gestión del servicio (PDCA) 5. Planificación e implementación de nuevos servicios o de servicios modificados 6. Procesos de la provisión del servicio 6.5 Gestión de la capacidad 6.1 Gestión de 6.3 Gestión de la nivel de servicio continuidad y 6.2 Generación de disponibilidad informes del servicio del servicio 9. Procesos de control 9.1 Gestión de la configuración 10. Proceso 9.2 Gestión del cambio de entrega 10.1 Proceso de gestión de la entrega 8. Procesos de resolución 8.2 Gestión del incidente 8.3 Gestión del problema 6.6 Gestión de la seguridad de la información 6.4 Elaboración de presupuesto y contabilidad de los servicios de TI 7. Procesos de relaciones 7.2 Gestión de las relaciones con el negocio 7.3 Gestión de suministradores Fuente: UNE-ISO/IEC y e.p.

45 Sistema de Gestión del Servicio de TI (SGSTI) Planificación e implementación de la gestión del servicio (PDCA) Planificación e implementación de nuevos servicios o de servicios modificados Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Proceso de entrega Proceso de gestión de la entrega Procesos de la provisión del servicio Gestión de nivel de servicio Generación de informes del servicio Procesos de control Gestión de la configuración Gestión del cambio Procesos de resolución Gestión del incidente Gestión del problema Gestión de la seguridad de la información Elaboración de presupuesto y contabilidad de los servicios de TI Procesos de relaciones Gestión de las relaciones con el negocio Gestión de suministradores 2. Entender las Normas ISO/IEC Introducción a las Normas ISO/IEC La serie de Normas ISO/IEC (UNE-ISO/IEC en la versión española) es el primer conjunto de normativa internacional específica para la gestión de los servicios basados en las Tecnologías de la Información (TI). Presentan una organización cabal de las principales actividades necesarias para gestionar estos servicios, agrupadas en un conjunto de procesos considerados esenciales para la creación, prestación y evolución de los servicios de las TI. Al aplicar sus requisitos y recomendaciones, las organizaciones de TI emprenderán un camino indudable de mejora en el control y la calidad de su actividad. Es el primer gran salto hacia la excelencia demandada por la sociedad a las TI. Se pueden considerar como normas troncales en la gestión de las TI, pues estructuran en torno a procesos las actividades más esenciales. Alrededor del eje vertebrador que crean las Normas ISO/IEC se irán construyendo y transformando el resto de las funciones de la organización de las TI. Sobre este núcleo central, creado para la gestión de las TI, se irán incorporando otras mejores formas de hacer proporcionadas por otras normas, otros marcos de mejores prácticas, por la experiencia propia de la empresa o por las aportaciones de consultores externos. Las Normas ISO/IEC introducen en la organización de las TI una forma de trabajo metódica, integrada y orientada a los procesos, haciendo especial énfasis en garantizar la calidad del servicio a los distintos clientes de las TI. Además, articulan su implantación con un sistema de gestión específico, que incorpora la disciplina y el rigor de ISO en la implantación del modelo de trabajo en las TI. Las Normas ISO/IEC forman parte del conjunto de normas producidas por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su adopción como normas internacionales surge a raíz de la iniciativa de elevar a ISO e IEC las normas británicas BS relativas a la gestión del servicio de las TI. Las Normas ISO/IEC hoy vigentes se tramitaron en ISO a través del procedimiento rápido denominado procedimiento fasttrack. Esto quiere decir, que estas normas tienen muchas similitudes con la original, que la duración del proceso es de aproximadamente un año, y que ha contado con la participación y voto de los representantes nacionales en ISO/IEC. Las Normas ISO/IEC se componen de dos partes: la primera es la especificación para la gestión del servicio y tiene un carácter preceptivo, y la segunda se establece como un código de buenas prácticas o recomendaciones. Ambas partes forman un marco para definir las características de los procesos implicados en la gestión del servicio, que son esenciales para la prestación de los mismos con la calidad requerida.

46 58 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Fuente: Telefónica. Figura 2.3. En el mapa de disciplinas de TI, las Normas ISO/IEC contribuyen a la parte troncal de la gestión del servicio Principios básicos de ISO/IEC Cuando ISO, IEC y las empresas del sector se plantearon la forma de organizar las actividades en las áreas de TI se dieron cuenta que, además de la omnipresente tecnología, tenían que poner foco en cuatro principios tradicionalmente relegados (véase la figura 2.4): El servicio. Es fundamental orientar las TI hacia el objetivo de prestar servicio a sus áreas de negocio. La actividad de TI se debe estructurar completamente bajo el concepto de servicio y no centrarse exclusivamente en el dominio de tecnologías aisladas.

47 SGSTI 3. El Sistema de Gestión del Servicio de TI (SGSTI) 85 de TI siguiendo los procesos y formas de hacer formalizadas en la organización del proveedor de servicios de TI. Es un sistema vivo en constante evolución, pues establece lo que hay que implantar y recoge evidencias de la actividad realizada. La figura 3.2 muestra la estrecha correlación que existe entre el SGSTI y la ejecución del trabajo diario del proveedor de TI. Nos encontramos ante un sistema de gestión que establece los procesos de funcionamiento de TI. Estos procesos deben estar lo suficientemente soportados por herramientas que permitan su gestión eficaz y su incorporación al día a día. Figura 3.2. El sistema de gestión define el modelo de trabajo a seguir por el proveedor de TI Fuente: Telefónica. También hay que entender que estas normas y marcos de referencia del mercado (ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no son utilizables, como tal, directamente en la empresa. Requieren concretarse en procesos y procedimientos, que son los instrumentos sobre los que se articula la gestión de la actividad. Además, para que sean de verdad útiles, la aplicación de todos estos estándares debe adaptarse a las particularidades de cada empresa (tamaño, negocio, cultura, estrategia, etc.). Por ello, todo proveedor u organización de TI debe crear su propio sistema de gestión que tenga en cuenta cómo adaptar las normas a todas las particularidades propias de cada empresa.

48 SGSTI 3. El Sistema de Gestión del Servicio de TI (SGSTI) 99 UNE-ISO/IEC El personal que realiza el trabajo relativo a la gestión del servicio debería ser competente para esta función gracias a la educación recibida, a la formación, las habilidades y la experiencia adecuadas. El proveedor del servicio debería: a) determinar las aptitudes necesarias para cada rol en la gestión del servicio; b) asegurar que el personal es consciente de la relevancia e importancia de sus actividades dentro del más amplio contexto de negocio y de cómo contribuyen a la consecución de los objetivos de calidad; c) mantener registros apropiados de la educación, formación, habilidades y experiencia; d) proveer formación o llevar a cabo otras acciones para satisfacer estas necesidades; e) evaluar la efectividad de las acciones realizadas. Como no podía ser de otra forma, ISO/IEC hace especial hincapié en el desarrollo profesional y de las competencias de las personas que forman parte de TI: UNE-ISO/IEC Desarrollo profesional. El proveedor del servicio debería desarrollar y mejorar las competencias profesionales de su fuerza de trabajo. Entre las medidas tomadas para conseguir esto, el proveedor del servicio debería incluir lo siguiente: a) contratación: con el objetivo de comprobar la validez de los detalles de los candidatos al puesto de trabajo (incluyendo su cualificación profesional) y de identificar la fortalezas, debilidades y habilidades potenciales de los candidatos frente a una descripción/perfil del puesto de trabajo, frente a los objetivos de la gestión del servicio y frente al conjunto de objetivos de la calidad del servicio; b) planificación: con el objetivo de dotar de personal a los servicios nuevos o a aquellos que se hayan ampliado (también contratando servicios), usando tecnología nueva, asignando personal de gestión del servicio a los equipos de desarrollo de proyecto, planificando la sucesión y rellenando los vacíos que se generen debido a rotación anticipada del personal; c) formación y desarrollo: con el objetivo de identificar los requisitos de formación y desarrollo dentro de un plan de formación y

49 5. Planificación e implementación de nuevos servicios o de servicios modificados El proceso de planificación e implementación de nuevos servicios o de servicios modificados Figura 5.1. Esquema general del proceso de planificación e implementación de nuevos servicios o de servicios modificados Actualmente no basta con ser rápidos. Es necesario que el proceso de creación y entrega de servicios TI se realice de forma eficiente y que el producto resultante reúna los requisitos demandados por el cliente (véase la figura 5.1). Plazos, eficiencia y calidad son tres exigencias para el éxito empresarial. Para conseguir el objetivo de gestionar y entregar tanto los nuevos servicios como las modificaciones a los existentes con la calidad y costes adecuados, ISO/IEC esboza un proceso que se encarga de gestionar el ciclo completo de creación de los servicios. Su ámbito de actuación abarca tanto los nuevos servicios como las evoluciones de los que ya están en su fase de operación habitual. En este capítulo se presenta el marco de un proceso completamente nuevo inspirado a partir de los requisitos de ISO/IEC El proceso de creación de servicios, o similar, no está contemplado explícitamente en ITIL. Aunque la v3 estructure sus libros alrededor del ciclo de vida del servicio y proporcione gran cantidad de detalles y buenas prácticas articuladas en diferentes procesos, no tiene un único proceso que aglutine todas las actividades de las diferentes áreas de TI para una creación eficiente

50 158 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Figura 5.6. El presente proceso orquesta la actividad de fabricación del servicio Cada uno de los otros procesos que participan en la cadena tiene unos objetivos específicos y su propio aporte a la construcción del servicio final. Aunque estos procesos no se han tratado todavía en este libro, es conveniente tener una visión general de su participación en este proceso. A continuación, se detallan los principales: Relaciones con el negocio. Su objetivo es establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio (véase el capítulo 7 para obtener más detalles de este proceso). El proceso de creación de servicios engrana con este proceso de relaciones para que gestione todo el contacto necesario con las áreas de negocio. Su contribución se centra en la toma de requisitos de las necesidades del cliente, la posterior negociación de la propuesta de servicio, la gestión del nuevo acuerdo de nivel de servicio y el consenso con el cliente de la planificación para la creación del servicio realizada por el proceso de creación. En su función comercial, durante el proceso de creación, se encarga de mantener informado al cliente y estar presente en las reuniones de seguimiento, acompañando al jefe de proyecto. En la entrega, gestiona la participación del cliente en las validaciones funcionales y en las reuniones para el cierre del proyecto de creación.

51 198 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información fijar los acuerdos operativos. También establece los requisitos para que los contratos de soporte con los suministradores estén alineados con los compromisos del servicio, contratos que negociará y seguirá el proceso de gestión de suministradores (véase el apartado 7.3). En la figura se muestran los principios básicos en los que se sustenta la actividad de este proceso. Figura Principios básicos del proceso La implementación de las Normas ISO/IEC requiere un cambio en la cultura de la organización, con una orientación al servicio y al cliente. La gestión de nivel de servicio es el instrumento principal para inculcar la cultura de servicios en la organización de TI. Así, la misión de la organización de TI va más allá de la pura tecnología, para ofrecer soluciones al negocio empaquetadas bajo el concepto de servicio. Para ello, el catálogo de servicios y los acuerdos de nivel de servicio (SLA) son las principales palancas para esta transformación cultural. Los servicios que se ofrecen a los clientes se recogen en un catálogo de servicios de TI, alineado con el negocio, que gestiona y mantiene este proceso. Además, los servicios llevan asociados un compromiso de prestación negociado con los clientes, incluidos en los

52 242 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información En la figura se muestran los componentes principales del proceso. COMPONENTES DE GENERACIÓN DE INFORMES Hechos ocurridos Niveles de servicio Cuadros de mando Política de informes Diseño de informes Realización de informes Informes KGI KPI Panel de control Arquitectura de métricas Indicadores Monitorización Base de datos de indicadores y mediciones Figura Componentes principales del proceso de generación de informes Arquitectura de métricas. Es un documento que analiza y estructura por niveles todos los indicadores necesarios para la gestión de TI. Para cada indicador se define una ficha de detalle. En organizaciones maduras suele contener más de 200 indicadores. Base de datos de indicadores y mediciones. Es una base de datos que contiene la definición de cada uno de los indicadores (fichas) y el histórico de las mediciones de cada uno de los indicadores. Es la base fundamental para la generación de informes. Cuadro de mando integral (BSC, Balanced Score Card). Término difundido por Kaplan y Norton para mostrar el estado de una empresa en base a objetivos e indicadores agrupados en cuatro perspectivas: económica, cliente, interna y crecimiento.

53 290 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Entradas, actividades y salidas de la gestión de la disponibilidad La gestión de la disponibilidad se encarga de garantizar que los servicios son capaces de cumplir los requisitos de disponibilidad y tiempo de respuesta que se han pactado con el negocio. Sus actividades se pueden considerar divididas en dos grandes grupos: uno primero destinado a planificar e implementar las soluciones de disponibilidad y, un segundo, que realiza la gestión operativa de la misma. En el esquema de la figura se muestran las entradas, actividades y salidas de la gestión de la disponibilidad. Las actividades de disponibilidad y continuidad se DISPONIBILIDAD Entradas Actividades Salidas Desencadenantes del proceso: Ü Petición de la dirección. Ü Negociación de un SLA. Ü Incumplimiento disponibilidad. Ü Fecha revisión del plan disponibilidad. Entradas de soporte: Ü Riesgos. Ü SLA firmados. Ü Información de incidentes y problemas. Ü Datos de monitorización. Ü RFC. Ü CMDB. 3 Inicio: Política disponibilidad. Definición e inicio proyecto. 3 Requerimientos y estrategia: Evaluación de riesgos. Determinar requisitos. 3 Implementación: Diseñar para la disponibilidad. Diseñar para la recuperación. Verificar la seguridad. Planificar las paradas. Generar el plan de disponibilidad. 3 Gestión operativa: Supervisar la disponibilidad. Investigar y mejorar disponibilidad. Actualizar plan de disponibilidad. 3 Mejora del proceso Salidas principales: Ü Plan de disponibilidad. Ü Funciones vitales del negocio-vbf. Ü Directrices de diseño de la disponibilidad y arquitectura. Ü Informes de seguimiento de disponibilidad. Salidas secundarias: Ü Requisitos de monitorización. Ü Plan paradas planificadas-pso. Ü Resultados análisis de riesgos. Ü Resultados técnicos investigación incidentes. Fuente: e.p. y Telefónica. Figura Entradas, actividades y salidas de la gestión de la disponibilidad

54 99,99% 6. Procesos de provisión de servicio 6.3. Gestión de la continuidad y disponibilidad del servicio 315 de recuperación (RTO), más cara es la implantación de la solución para TI, pero menos pérdidas habrá en el negocio. Fuente: The Definitive Handbook of BCM y e.p. Figura Alternativas de recuperación de los servicios de TI Siguiendo la clasificación realizada en ITIL, las principales soluciones de continuidad que se pueden considerar son: Recuperación inmediata. Proporciona una recuperación instantánea (mirroring) sin pérdida de servicios y sin pérdida de información apreciable (RPO y RTO son iguales a cero). Esta solución se basa en centros de proceso de datos conectados en activo-activo, es decir, un mismo servicio está ejecutándose de forma simultánea en ambos centros, con datos sincronizados y balanceando la carga entre ambos. Las soluciones de procesamiento distribuido entre múltiples servidores y centros de datos (grid computing) son soluciones de alta resistencia, pero que requieren aplicaciones especialmente adaptadas. Recuperación rápida. Conocida como hot standby, está proporcionada por dos centros de datos conectados y con las aplicaciones cargadas en ambos y

55 350 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información El presupuesto dota económicamente a TI y, por tanto, condiciona toda la actividad en el ejercicio. Debe ir estrechamente vinculado al desarrollo de la estrategia de TI. Las Normas ISO/IEC requieren que los presupuestos tengan el suficiente detalle para posibilitar el control económico y la toma de decisiones. UNE-ISO/IEC Los costes se deben presupuestar con suficiente detalle para permitir el control económico efectivo y la toma de decisiones. El proveedor del servicio debe monitorizar e informar de los costes contra el presupuesto, revisar las previsiones económicas y gestionar los costes en consonancia. Los costes de los cambios en el servicio se deben valorar y aprobar a través del proceso de gestión del cambio. ISO/IEC requiere que los cambios se valoren en cuanto a sus costes y que se aprueben a través del proceso de gestión del cambio. De esta forma, se tiene un mejor conocimiento y control de los costes. Las peticiones de cambio (RFC), presentadas con el fin de aprobar su ejecución, deben incorporar el coste asociado (así se establece en el formato de RFC del apartado 9.2). El proceso de gestión financiera controlará a través de su presencia en el comité de cambios (CAB, Change Advisory Board), que se actué dentro de los presupuestos asignados. Una vez aprobado el cambio, cuando se necesite la ejecución de alguna compra (equipamiento, licencias, servicios, etc.), volverá a intervenir la gestión financiera para autorizarla económicamente. UNE-ISO/IEC Elaboración del presupuesto La elaboración del presupuesto debería tener en cuenta los cambios planificados de los servicios durante el periodo presupuestario y, en el caso de que las necesidades presupuestarias excedan los fondos disponibles, planificar la gestión que se va a hacer del déficit. La elaboración de los presupuestos puede tener en cuenta factores tales como variaciones estacionales y cambios planificados a corto plazo en los costes y facturación de los servicios.

56 6. Procesos de provisión de servicio 6.5. Gestión de la capacidad 381 fase de pruebas (en el caso de aplicaciones sujetas a mantenimiento). También se puede realizar en cambios importantes. Si se ha realizado el modelado, se utilizarán sus resultados. Realización de informes de capacidad y rendimiento. Preparación y difusión de informes diversos sobre la utilización de recursos (técnicos y humanos), la capacidad remanente y el rendimiento de los sistemas. Los informes se realizarán de forma periódica o bajo petición, en ambos casos coordinados con el proceso de gestión de informes. Administrar la base de datos de capacidad (CDB). Diseño y creación de la base de datos y administración posterior de la misma. La base de datos contiene información histórica sobre la demanda y crecimiento del negocio, sobre los servicios y sobre la capacidad de los elementos de configuración. Supervisión y mejora del proceso. Revisión continua del funcionamiento del proceso y de sus actividades con el fin de detectar mejoras al mismo. Las actividades de este proceso, con su participación en los ámbitos de negocio, servicios y recursos, se muestran en la figura Actividades Subprocesos Elaborar el plan de capacidad Ciclo de mejora de la capacidad y rendimiento Relacionarse con otros procesos Modelado Gestión capacidad del negocio Gestión capacidad de los servicios Monitorización Análisis Ajuste Influir en la utilización Dimensionado aplicaciones Realización de informes Gestión capacidad de los recursos Implementación CDB Administrar la base de datos de capacidad Supervisión y mejora del proceso Fuente: Libro ITIL Provisión de Servicio publicado por OGC y e.p. Figura Actividades de la gestión de la capacidad

57 386 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Estructura de la CDB Datos del negocio Datos de los servicios Datos utilización recursos Límites técnicos Procesos de negocio. Edificios y emplazamientos. Distribución geográfica usuarios. Distribución funcional usuarios. Volúmenes de actividad del negocio. Transacciones de negocio. Perfil de la actividad del negocio (horario, semanal y estacional). Períodos críticos para cada proceso de negocio. Por cada servicio: Rendimiento: perfil de variación de la carga: Picos de carga. Número de transacciones. Tiempos de respuesta. Capacidad: consumo por usuario o transacción. Costes del servicio. Datos de rendimiento de la infraestructura que soporta el servicio. Concurrencia con otros servicios sobre las plataformas comunes. Comunicaciones externas. Red interna. Cortafuegos. Servidores frontales. Servidores middleware. Servidores backend. Almacenamiento compartido. Copias de seguridad Áreas de soporte: Service desk. Operación. Soporte técnico. Límite uso CPU. Límite uso almacenamiento. Límite uso red. Información financiera TCO por puesto. Coste licencias por usuario. Coste transacción. Coste por MIP. Coste por GB. TCO: Coste total de propiedad. MIP: Millones de instrucciones por segundo. Fuente: Libro ITIL Provisión de Servicio publicado por OGC y Telefónica. Figura Estructuración ejemplo de la base de datos de capacidad detalles horarios. Típicamente se recoge la información sobre el rendimiento (picos de carga, volumen de transacciones, tiempos de respuesta, perfil de variación horaria de la carga del servicio, concurrencia en número de usuarios, etc.); el rendimiento de los componentes de la infraestructura que soporta el servicio; la coincidencia de la carga entre los servicios sobre las plataformas comunes (comunicaciones exteriores, red interna, frontales web, backend de procesamiento, red almacenamiento, backup, etc.); los niveles de servicio acordados en los SLA; etc. Los datos de los servicios se obtienen de las herramientas de monitorización extremo a extremo de los servicios y de las herramientas de monitorización específicas de los recursos. Junto a la información técnica se registra la información necesaria para el cálculo de los costes y su posterior imputación por el proceso de gestión financiera.

58 6. Procesos de provisión de servicio 6.6. Gestión de la seguridad de la información 415 En la figura se muestra un esquema con las actividades del proceso, realizado imitando el ya legendario esquema de gestión de la continuidad de ITIL v2. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Creación del proceso Alcance, política y enfoque Política seguridad Alcance, política y enfoque Proyecto implantación PLAN Requerimientos y estrategia Evaluación de riesgos Selección de objetivos de control y sus controles Declaración de riesgos Análisis de riesgos de seguridad Declaración de riesgos de seguridad DO Implementación y operación Plan tratamiento de riesgos Implementar el plan de tratamiento de riesgos Procedimiento incidentes seguridad Pruebas iniciales Plan tratamiento riesgos seguridad Pruebas iniciales ACT CHECK Supervisión y revisión Mantenimiento y mejora Revisión y auditoría Prueba de controles Actualizar Supervisar, monitorizar y registrar Gestionar incidentes severos de seguridad Investigar incidentes Fuente: e.p. a partir del libro ITIL Provisión de Servicio publicado por OGC y de UNE-EN ISO Figura Enfoque de la gestión de la seguridad de la información en este libro Siguiendo esta estructuración en dos niveles, a continuación se relacionan las actividades del proceso alineadas con lo indicado en la Norma ISO/IEC Creación del proceso o del sistema de gestión SGSI. La primera etapa para empezar a implantar la seguridad es la fase de creación del propio proceso de gestión de la seguridad (si se está en ISO/IEC 20000) o del sistema de gestión de la

59 7. Procesos de relaciones 7.3. Gestión de suministradores 491 Fuente: Libro ITIL Provisión de Servicio publicado por OGC. Figura El proceso de gestión de suministradores en ITIL v3 Fases del ciclo de vida del outsourcing desde la perspectiva de organizaciones contratantes Análisis Inicio Prestación Terminación Análisis oportunidades externalización Estrategia de externalización Planificación de la externalización Evaluación de suministradores Gestión del servicio externalizado Finalización del servicio Acuerdos (contratos) Transferencia del servicio Gestión estratégica del sourcing Gestión de la gobernabilidad Gestión de las relaciones Áreas permanentes de capacidad Gestión del valor Gestión del cambio organizacional Gestión de los recursos humanos Gestión del conocimiento Fuente: CMMI y ASENTTI. Figura Esquema del modelo de gestión de outsourcing del modelo escm-cl

60 8. Procesos de resolución 8.2. Gestión del incidente 581 Tiempo medio de reparación o MTTR (Mean Time To Repair), es el tiempo medio transcurrido desde que ocurre un incidente hasta que se restaura el servicio. Representa el tiempo que el servicio está caído (downtime). Esta métrica suele estar asociada a otras métricas de disponibilidad como, por ejemplo, el tiempo medio entre fallos o MTBF (Mean Time Between Failures), que es el tiempo medio que tarda en fallar un servicio (uptime) y el tiempo medio entre incidentes en servicios MTBSI (Mean Time Between System Interruptions), que es el tiempo medio transcurrido entre dos fallos consecutivos en un servicio. En la figura se aprecia la diferencia entre ellas. Porcentaje de incidentes resueltos en plazo. Calidad en la asignación de los incidentes. Calidad de la documentación. Figura Métricas de resolución de incidentes junto a las de disponibilidad Además, es habitual medir los ratios de incidentes autorresueltos por el usuario, el porcentaje de incidentes reclamados, el coste medio de resolución de un incidente, el porcentaje de incidentes resueltos, etc. En la figura se muestra el resumen de los indicadores más relevantes para este proceso seleccionados por un grupo de trabajo de itsmf España.

61 582 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Métricas principales del proceso (incidente) Fuente: itsmf España. Figura Métricas para este proceso del Modelo Abreviado de Métricas de itsmf España La medición del ciclo de vida de una petición se centra en ratios de agilidad, de eficiencia y de satisfacción del usuario. Los más comunes son el volumen de peticiones gestionadas, el volumen de peticiones según su estado, desglose de las peticiones por tipo (de servicio, consulta, etc.), el tamaño de lista de peticiones de servicio pendientes, el plazo medio de provisión por tipo de petición, las peticiones de servicio terminadas en plazo, el número de quejas y reclamaciones, el coste medio de provisión, la satisfacción del usuario con la gestión de peticiones de servicio, etc. En la figura se muestra el resumen de los indicadores más relevantes para este proceso seleccionados en ITIL v3 (en el libro Operación del Servicio). Roles participantes en el proceso Como en el resto de los procesos, los roles intervinientes en este proceso se estructuran en los roles propios del proceso y los roles ajenos al proceso (el gestor del nivel de servicio). Los roles propios del proceso (del ciclo de vida del incidente) son los siguientes: Gestor de incidentes. Es el responsable de que los incidentes y peticiones de los usuarios se resuelvan con la máxima eficiencia y se cumplan los acuerdos

62 9. Procesos de control 9.1. Gestión de la configuración 657 CMDB Roles del proceso Responsable de la gestión del servicio SGSTI Gestor de la configuración Administrador de la CMDB y DSL Propietario del modelo (SGSTI) Gestor del cambio Titulares de elementos de configuración Administrador y soporte del proceso de configuración Figura Roles del proceso de gestión de la configuración se suele implementar, aunque por su laboriosidad no se le puede calificar de éxito rápido. La CMDB no se limita a una mera enumeración del stock de piezas, sino que nos brinda una imagen global de la infraestructura de TI de la organización, con todos sus elementos. En ISO/IEC 20000, al igual que en ITIL v3, la gestión de la DSL se encarga a la gestión de la configuración, a diferencia de ITIL v2, que estaba bajo la responsabilidad de la gestión de la entrega.

63 11. La certificación de la gestión del servicio de TI conforme a ISO/IEC La primera certificación conforme a ISO/IEC Determinar alcance 2. Solicitud de certificación 3. Auditoría fase I: Análisis de documentación 4. Auditoría fase I: Visita previa 5. Auditoría fase II La primera certificación Existen no conformidades? 6. Evaluación y decisión Sí Plan de acciones correctivas Cumple requisitos? No Auditoría extraordinaria (a los 6 meses) Sí 7. Emisión del certificado Mantenimiento de la certificación 8. Auditorías de seguimiento (años 1 y 2) 9. Auditoría de renovación (cada tercer año) Responsabilidad proveedor TI Lidera el certificador Fuente: AENOR. Figura Ciclo típico de certificación utilizado para ISO/IEC

64 756 ISO/IEC Guía completa de aplicación para la gestión de los servicios de tecnologías de la información Evidencias para 6. Procesos de provisión de servicio Evidencias para 6.1. Gestión de nivel de servicio : Catálogo de servicios. Documento que elabora la organización TI para informar a clientes y usuarios. Catálogo de SLA. Acuerdos de nivel operativo (OLA). Documentos que formaliza acuerdos de colaboración entre departamentos internos de la organización TI para la provisión y entrega de un servicio. Contratos de soporte (UC). Documentos contractuales entre la organización TI y los proveedores externos de servicios. Evidencias para 6.2. Generación de informes del servicio : Informes de servicio. Informes de cumplimiento de SLA, informes de incidentes, informes de disponibilidad, informes de capacidad, etc. Evidencias para 6.3. Gestión de la continuidad y disponibilidad del servicio : Plan de disponibilidad. Recoge los elementos de la infraestructura de TI que deben ser monitorizados para medir la disponibilidad, comparando los valores obtenidos con los de referencia. Sirve como base para determinar el cumplimiento de los niveles de servicio en los SLA. Informes de disponibilidad. Informes periódicos que muestran el cumplimiento de los niveles de disponibilidad acordados. Documentos de requisitos de nivel de servicio (SLR). Deben recoger los requisitos de disponibilidad del servicio demandados por los clientes. Plan de continuidad de TI. Identifica los activos del sistema de gestión de servicios de TI, las situaciones de contingencia que pueden producirse, así como, la probabilidad de que éstas se produzcan. Muestra cómo cada una de estas situaciones de contingencia pueden afectar a los activos; por tanto, proporciona información de cómo afectan las contingencias a los servicios prestados. Proporciona información sobre los siguientes aspectos: Objetivo y alcance del plan de continuidad. Descripción de la situación a controlar (información sobre el suceso y los parámetros que se quieren mantener). Suceso.

65

ISO/IEC ISO 20000 UNIVERSIDAD NACIONAL FEDERICO VILLARREAL ALUMNO: RAMIREZ FERNANDEZ RICHARD DAVID PROFESOR: INGENIERO FRANO CAPETA CICLO: X CICLO

ISO/IEC ISO 20000 UNIVERSIDAD NACIONAL FEDERICO VILLARREAL ALUMNO: RAMIREZ FERNANDEZ RICHARD DAVID PROFESOR: INGENIERO FRANO CAPETA CICLO: X CICLO ISO/IEC ISO 20000 UNIVERSIDAD NACIONAL FEDERICO VILLARREAL ALUMNO: RAMIREZ FERNANDEZ RICHARD DAVID PROFESOR: INGENIERO FRANO CAPETA CICLO: X CICLO Introducción En el pasado los procesos de misión crítica

Más detalles

La normalización como base de la acreditación

La normalización como base de la acreditación La normalización como base de la acreditación Gonzalo SOTORRÍO GONZÁLEZ Director de Normalización Madrid, 9 octubre 2007 Definiciones legales (Ley 21/1992) Certificación La actividad que permite establecer

Más detalles

Curso Fundamentos de ISO 20000

Curso Fundamentos de ISO 20000 Curso Fundamentos de ISO 20000 Introducción El objetivo del curso es aportar a los alumnos los conocimientos y habilidades necesarias para una buena comprensión de la gestión de calidad dentro del contexto

Más detalles

ITIL Intermediate Qualification: Service Transition (ST) (RCV)

ITIL Intermediate Qualification: Service Transition (ST) (RCV) ITIL Intermediate Qualification: Service Transition (ST) (RCV) Insurgentes Sur N 800 Piso 8, Col. Del Valle. México, D.F. C.P.03100 T: +52 (55) 5061 4946 http://www.bpgurus.com info@bpgurus.com ITIL Intermediate

Más detalles

Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario. Secretaría desempeña FESABID.

Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario. Secretaría desempeña FESABID. norma española UNE-ISO 30300 Diciembre 2011 TÍTULO Información y documentación Sistemas de gestión para los documentos Fundamentos y vocabulario Information and documentation. Management system for records.

Más detalles

Buenas Prácticas en Gestión Hospitalaria

Buenas Prácticas en Gestión Hospitalaria Buenas Prácticas en Gestión Hospitalaria AENOR INTERNACIONAL Ariel ESPEJO COMBES, MGc 2013-04-25 Temario Presentación de AENOR INTERNACIONAL Herramientas y modelos implementados en el sector sanitario

Más detalles

1. Introducción a ITIL V3. Figuras basadas en material ITIL

1. Introducción a ITIL V3. Figuras basadas en material ITIL 1. Introducción a ITIL V3 Figuras basadas en material ITIL Introducción INTRODUCCIÓN Objetivos Introducción a ITIL Objetivo de las buenas prácticas Antecedentes de la Edición 2011 Introducción a ITSM Basado

Más detalles

Facultad de Ciencias Naturales e Ingenierías Tecnología en Desarrollo de Sistemas Informáticos Selección y Evaluación de Tecnologías ITIL

Facultad de Ciencias Naturales e Ingenierías Tecnología en Desarrollo de Sistemas Informáticos Selección y Evaluación de Tecnologías ITIL Página 1 de 6 ITIL (Information Technology Infrastructure Library): Biblioteca de Infraestructura de Tecnologías de la Información. Fue creada a finales de la década de los 80 s por Central Computer and

Más detalles

El procés de certificació de les normes de requisits

El procés de certificació de les normes de requisits El procés de certificació de les normes de requisits Barcelona, 18 d'abril 1 Índice UNE 30301 aplicable a UNE 30301 aplicable para Relaciones La certificación Jornada30301_201203 Pag. 2 Organización privada,

Más detalles

Una guía para el éxito sostenido

Una guía para el éxito sostenido La ISO 9004 del 2009 Una guía para el éxito sostenido Tomas Orbea Celaya (*) Director General FUNDIBEQ Más allá del enfoque al cliente Son muchas las organizaciones a nivel mundial que han utilizado con

Más detalles

Caso Práctico: Proyecto de Certificación ISO 27001

Caso Práctico: Proyecto de Certificación ISO 27001 Caso Práctico: Proyecto de Certificación ISO 27001 SER MÁS LÍDERES 21 Junio 2.006 Índice 01 La Problemática 02 Qué es un Sistema de Gestión? 03 Qué es un SGSI? 04 Por qué un SGSI? 05 Qué es la Norma ISO/IEC

Más detalles

Modelos de Mejora de Procesos de Software

Modelos de Mejora de Procesos de Software Modelos de Mejora de Procesos de Software Normas Técnicas sobre Ingeniería de Software y Sistemas de Información en el Perú, Situación Actual y Futura Abraham Dávila Marzo, 2007 Diapositiva 1 Agenda Las

Más detalles

Determinación de la Capacidad de Mejora del Proceso de Software. Integrantes: Marisol Padilla Bautista Artemio Pérez Villa Manuel Lara

Determinación de la Capacidad de Mejora del Proceso de Software. Integrantes: Marisol Padilla Bautista Artemio Pérez Villa Manuel Lara Determinación de la Capacidad de Mejora del Proceso de Software Integrantes: Marisol Padilla Bautista Artemio Pérez Villa Manuel Lara ISO 15504 es una norma internacional para establecer y mejorar la capacidad

Más detalles

Acreditación de ENAC es su. mejor garantía. Prefiere gastar o invertir recursos en la certificación de sus sistemas de gestión?

Acreditación de ENAC es su. mejor garantía. Prefiere gastar o invertir recursos en la certificación de sus sistemas de gestión? Acreditación de ENAC es su mejor garantía Prefiere gastar o invertir recursos en la certificación de sus sistemas de gestión? Certificación Acreditada CERTIFICACIÓN ACREDITADA La certificación acreditada

Más detalles

CURSO I TERMEDIO ITIL SD. Service Design. Fórmate para ser experto en ITIL. Porqué formarte con nosotros?

CURSO I TERMEDIO ITIL SD. Service Design. Fórmate para ser experto en ITIL. Porqué formarte con nosotros? GESTIO A Y OPTIMIZA TUS PROYECTOS TI CURSO I TERMEDIO ITIL SD Fórmate para ser experto en ITIL ITIL Presentación Este curso permite a los alumnos conocer los conceptos, procesos, políticas y métodos asociados

Más detalles

Coordinación de Servicios Informáticos (CSEI)

Coordinación de Servicios Informáticos (CSEI) Coordinación de Servicios Informáticos (CSEI) Marco Metodológico SUGPC (Servicios al Usuario y Gestión de Prácticas Centrales) Junio 2011 Objetivos Nivelar conocimiento y uso de Metodologías para los Servicios

Más detalles

CALIDAD: DEFINICION Y CONCEPTOS

CALIDAD: DEFINICION Y CONCEPTOS CALIDAD: DEFINICION Y CONCEPTOS 1 Calidad: Definición y conceptos http://girona.ikaroo.es/index.cfm?pagina=noticias/articulo.cfm&id_noticias=5887 CALIDAD NORMALIZACION ACREDITACION CERTIFICACION Calidad

Más detalles

Introducción a ISO 9004:2000

Introducción a ISO 9004:2000 Gestión para el éxito. Presentación Inicial de Consultoría. Introducción a ISO 9004:2000 Intedya es una compañía global especializada en la CONSULTORÍA, AUDITORÍA, FORMACIÓN y las soluciones tecnológicas

Más detalles

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. EVALUACIÓN DEL PRODUCTO SOFTWARE. PARTE 1: VISIÓN GENERAL (ISO/IEC :1999, IDT)

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. EVALUACIÓN DEL PRODUCTO SOFTWARE. PARTE 1: VISIÓN GENERAL (ISO/IEC :1999, IDT) Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 14598-1 Primera edición 2014-01 TECNOLOGÍA DE LA INFORMACIÓN. EVALUACIÓN DEL PRODUCTO SOFTWARE. PARTE 1: VISIÓN GENERAL (ISO/IEC 14598-1:1999, IDT)

Más detalles

PROCEDIMIENTOS DE CERTIFICACIÓN Y ACREDITACIÓN

PROCEDIMIENTOS DE CERTIFICACIÓN Y ACREDITACIÓN PROCEDIMIENTOS DE CERTIFICACIÓN Y ACREDITACIÓN DN-02-11, Agosto 2016 Corporación CertforChile de Certificación Forestal Rut: 65.022.321-7 Bucarest 046, Oficina D Providencia, Santiago, Chile (56) 2 2334

Más detalles

Estructura del PMBOK. Por Mauricio Morales, PMP [ Acerca del autor]

Estructura del PMBOK. Por Mauricio Morales, PMP [ Acerca del autor] Estructura del PMBOK Por Mauricio Morales, PMP [ Acerca del autor] El Project Management Institute (PMI ) creó, en 1996, la primera edición de A Guide to the Project Management Body of Knowledge llevando

Más detalles

Modelos de Software. Ingeniería en Sistemas de Información 2016

Modelos de Software. Ingeniería en Sistemas de Información 2016 Ingeniería en Sistemas de Información 2016 Las normas y estándares Ingeniería en Sistemas de Información 2016 Introducción La Ingeniería del Software (IS) comprende todos los aspectos de la producción

Más detalles

Organismo Nacional de Certificación, Normalización y Evaluación de la Conformidad

Organismo Nacional de Certificación, Normalización y Evaluación de la Conformidad Organismo Nacional de Certificación, Normalización y Evaluación de la Conformidad Antecedentes NYCE Normalización y Certificación Electrónica A.C. es el único organismo en México acreditado para elaborar

Más detalles

Alcances y Beneficios de la Normalización y las Certificaciones Internacionales. Mayo, 2013

Alcances y Beneficios de la Normalización y las Certificaciones Internacionales. Mayo, 2013 Alcances y Beneficios de la Normalización y las Certificaciones Internacionales Mayo, 2013 Objetivos Presentar diferentes normativas internacionales Mostrar las implicaciones de cada una de las normas

Más detalles

Cartas de Servicios. La experiencia y los requisitos de AENOR en la certificación. Alicante. 27 de Octubre del 2011

Cartas de Servicios. La experiencia y los requisitos de AENOR en la certificación. Alicante. 27 de Octubre del 2011 Cartas de Servicios La experiencia y los requisitos de AENOR en la certificación Alicante. 27 de Octubre del 2011 AENOR Qué es AENOR? AENOR es la Asociación Española de Normalización y Certificación, una

Más detalles

SISTEMA DE GESTIÓN DE LA CALIDAD

SISTEMA DE GESTIÓN DE LA CALIDAD SISTEMA DE GESTIÓN DE LA CALIDAD BASADO EN ISO 9001:2008 (NMX-CC-9001-IMNC-2008) INTRODUCCIÓN Miguel Ángel Aguirre Pitol Contenido 1. Qué es ISO? 2. Cuál es el objetivo del ISO? 3. Qué es EMA? 4. Qué es

Más detalles

Qué es ITIL? Ventajas

Qué es ITIL? Ventajas Qué es ITIL? Ventajas Desarrollada a finales de los 80s, ITIL se ha convertido en un estándar para la administración de servicios. En sus inicios en la Gran Bretaña permitió que se administrará de manera

Más detalles

AENOR Y LA NORMALIZACIÓN. AENOR División de Normalización

AENOR Y LA NORMALIZACIÓN. AENOR División de Normalización AENOR Y LA NORMALIZACIÓN AENOR División de Normalización ÍNDICE I. AENOR. Misión, objetivos y fines. II. III. IV. LA NORMALIZACIÓN: Conceptos Básicos DOCUMENTOS NORMATIVOS: Tipos y elaboración COMITÉS

Más detalles

Curso ISO Lead Implementer

Curso ISO Lead Implementer Curso ISO 27001 Lead Implementer Presentación Professional Evaluation and Certification Board (PECB) es una certificadora canadiense quién ofrece servicios de certificación para sistemas de gestión, productos

Más detalles

Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz

Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz Lidia Romero Ramos ALCANCE E IMPORTANCIA DEL GOBIERNO DE

Más detalles

CONOCE LA DIFERENCIA ENTRE CERTIFICACIÓN ACREDITADA Y NO ACREDITADA?

CONOCE LA DIFERENCIA ENTRE CERTIFICACIÓN ACREDITADA Y NO ACREDITADA? CONOCE LA DIFERENCIA ENTRE CERTIFICACIÓN ACREDITADA Y NO ACREDITADA? Los servicios de certificación contribuyen a desarrollar las estrategias competitivas de las empresas y al impulso de la economía y

Más detalles

El Advanced Management Center nace con todo el know-how de PMC y un sinnúmero de profesionales, que han participado de diversas iniciativas

El Advanced Management Center nace con todo el know-how de PMC y un sinnúmero de profesionales, que han participado de diversas iniciativas El Advanced Management Center nace con todo el know-how de PMC y un sinnúmero de profesionales, que han participado de diversas iniciativas oficiales, dirigidas íntegramente a la gestión de proyectos,

Más detalles

ITIL e ISO 20000. 1. Introducción 2. Las buenas prácticas ITIL. 3. La norma ISO 20000

ITIL e ISO 20000. 1. Introducción 2. Las buenas prácticas ITIL. 3. La norma ISO 20000 Miembro Fundador de ITIL e ISO 20000 Contenido 1. Introducción 2. Las buenas prácticas ITIL 2.1. itsmf 2.2. ITIL 3. La norma ISO 20000 3.1. Sus orígenes: BS 15000 3.2. Sus características 3.3. La relación

Más detalles

GESTIÓN POR PROCESOS Y MEJORA CONTINUA

GESTIÓN POR PROCESOS Y MEJORA CONTINUA MÓDULO 8: UNIDAD 3: APARTADO 2: Gestión por procesos y control de gestión GUÍA PARA LA GESTIÓN DEL PROCESO DE MEJORA GUÍA PARA LA GESTIÓN DEL PROCESO DE MEJORA SEGÚN NORMAS ISO DIAPOSITIVA Nº: 2 SABER

Más detalles

CUADRO COMPARATIVO DE LOS MARCOS ITIL Y COBIT MARCOS DE REFENACIA

CUADRO COMPARATIVO DE LOS MARCOS ITIL Y COBIT MARCOS DE REFENACIA CUADRO COMPARATIVO DE LOS MARCOS ITIL Y COBIT MARCOS DE REFENACIA CONCEPTOS OBJETIVOS Es un marco de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la

Más detalles

ESPECIFICACIÓN TÉCNICA Traducción oficial Official translation Traduction officielle

ESPECIFICACIÓN TÉCNICA Traducción oficial Official translation Traduction officielle ESPECIFICACIÓN TÉCNICA Traducción oficial Official translation Traduction officielle ISO/IEC TS 17022 Primera edición 2012-04-01 Evaluación de la conformidad Requisitos y recomendaciones para el contenido

Más detalles

Gobierno de las Tecnologías de la Información Máster Universitario en Ingeniería Informática

Gobierno de las Tecnologías de la Información Máster Universitario en Ingeniería Informática UNIVERSIDAD DE CANTABRIA Examen de febrero de 2016 Gobierno de las Tecnologías de la Información Máster Universitario en Ingeniería Informática 2015-16 Nombre: Apellidos: DNI: Primera parte de teoría (45

Más detalles

14. RELLENAR LOS IMPRESOS DE CERTIFICADOS DE CALIDAD DE DIFERENTES PRODUCTOS

14. RELLENAR LOS IMPRESOS DE CERTIFICADOS DE CALIDAD DE DIFERENTES PRODUCTOS 14. RELLENAR LOS IMPRESOS DE CERTIFICADOS DE CALIDAD DE DIFERENTES PRODUCTOS 1 LECCIÓN 1: Qué es un certificado de calidad? Repasaremos primeramente el concepto de Normalización. Recordemos que se trata

Más detalles

ESTANDARES INTERNACIONALES PARA DESARROLLO DE SOFTWARE. INTRODUCCIÓN

ESTANDARES INTERNACIONALES PARA DESARROLLO DE SOFTWARE. INTRODUCCIÓN ESTANDARES INTERNACIONALES PARA DESARROLLO DE SOFTWARE. INTRODUCCIÓN La Ingeniería del Software (IS) es una disciplina de la ingeniería que comprende todos los aspectos de la producción de software desde

Más detalles

Gestor Integral de Proyectos en Entornos de Alta Incertidumbre PMBoK + PRINCE2

Gestor Integral de Proyectos en Entornos de Alta Incertidumbre PMBoK + PRINCE2 Gestor Integral de Proyectos en Entornos de Alta Incertidumbre PMBoK + PRINCE2 Propósito y Objetivos A. Lograr que los participantes, alcancen un entendimiento adecuado de las áreas de conocimiento, grupos

Más detalles

NTE INEN-ISO/IEC Cuarta edición

NTE INEN-ISO/IEC Cuarta edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27000 Cuarta edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DESCRIPCIÓN GENERAL

Más detalles

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio TALLER 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC 27001 Seguridad de la Información orientada al Negocio Introducción OBJETIVO Los principales estándares relacionados al gobierno en el tratamiento

Más detalles

Certificación CISA: Auditoría de los Sistemas de. Información.

Certificación CISA: Auditoría de los Sistemas de. Información. Id: SI27004P Curso Certificación CISA: Auditoría de los Sistemas de Información. Modalidad: Presencial Duración: 7 Sesiones de Tarde Dirigido a Profesionales y Técnicos en las Tecnologías y Sistemas de

Más detalles

El Advanced Management Center nace con todo el know-how de PMC y un sinnúmero de profesionales, que han participado de diversas iniciativas

El Advanced Management Center nace con todo el know-how de PMC y un sinnúmero de profesionales, que han participado de diversas iniciativas El Advanced Management Center nace con todo el know-how de PMC y un sinnúmero de profesionales, que han participado de diversas iniciativas oficiales, dirigidas íntegramente a la gestión de proyectos,

Más detalles

Sistema de gestión para el éxito sostenido de una organización. ISO 9004:2009

Sistema de gestión para el éxito sostenido de una organización. ISO 9004:2009 Sistema de gestión para el éxito sostenido de una organización. ISO 9004:2009 Isaac Navarro Director de Calidad, Medio Ambiente, Seguridad y Técnico de CONTAZARA. Experto del Comité de Normalización AEN/CTN66

Más detalles

Fundamentos Módulo 1. Introducción IT Governance

Fundamentos Módulo 1. Introducción IT Governance Fundamentos Módulo 1 Introducción IT Governance Conocimiento Lenguaje Conocer las estrategias y soluciones de tecnología que se implantan en las empresas. Entender las necesidades tecnológicas de las empresas

Más detalles

La Acreditación de laboratorios clínicos

La Acreditación de laboratorios clínicos La Acreditación de laboratorios clínicos Beneficios de la Beneficios de la Acreditación de ENAC Acreditación de ENAC El laboratorio clínico es una parte fundamental en la asistencia sanitaria a los pacientes,

Más detalles

La actualización de las normas ISO 9001 e ISO y la transición de la certificación de los sistemas de gestión

La actualización de las normas ISO 9001 e ISO y la transición de la certificación de los sistemas de gestión La actualización de las normas ISO 9001 e ISO 14001 y la transición de la certificación de los sistemas de gestión 2 Actualización de las normas de sistemas de gestión PLAN DE TRANSICIÓN 3 Antecedentes

Más detalles

LOS 10 PASOS QUE DEBES DAR PARA REALIZAR LA TRANSICIÓN ISO 9001:2008 A LA NUEVA VERSIÓN DE 2015

LOS 10 PASOS QUE DEBES DAR PARA REALIZAR LA TRANSICIÓN ISO 9001:2008 A LA NUEVA VERSIÓN DE 2015 LOS 10 PASOS QUE DEBES DAR PARA REALIZAR LA TRANSICIÓN ISO 9001:2008 A LA NUEVA VERSIÓN DE 2015 Wise Business SRL WWW.WISESRL.COM / info@wisesrl.com Contenido Introducción... 2 1. Definir el contexto de

Más detalles

Curso de Fundamentos de COBIT 5

Curso de Fundamentos de COBIT 5 Curso de Fundamentos de COBIT 5 Descripción del Curso: COBIT 5 es el único framework para el Gobierno y la Gestión de TI de la empresa. COBIT 5, la más reciente edición de ISACA, ayuda a maximizar el valor

Más detalles

NORMA ISO 14001:2015 Interpretación de los cambios y visión como Certificadores. Enrique Quejido Martín

NORMA ISO 14001:2015 Interpretación de los cambios y visión como Certificadores. Enrique Quejido Martín NORMA ISO 14001:2015 Interpretación de los cambios y visión como Certificadores Enrique Quejido Martín Programa del proceso de revisión ISO 14001 JUL 2014 DIS Borrador de Norma Internacional JUL 2015 FDIS

Más detalles

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN PROCESO DE EVALUACIÓN PARTE 2: REALIZACIÓN DE UNA EVALUACIÓN (ISO/IEC :2003, IDT)

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN PROCESO DE EVALUACIÓN PARTE 2: REALIZACIÓN DE UNA EVALUACIÓN (ISO/IEC :2003, IDT) Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 15504-2 Primera edición 2014-03 TECNOLOGÍA DE LA INFORMACIÓN PROCESO DE EVALUACIÓN PARTE 2: REALIZACIÓN DE UNA EVALUACIÓN (ISO/IEC 15504-2:2003,

Más detalles

LA CERTIFICACIÓN POR NIVELES DE MADUREZ DE ISO/IEC 15504

LA CERTIFICACIÓN POR NIVELES DE MADUREZ DE ISO/IEC 15504 LA CERTIFICACIÓN POR NIVELES DE MADUREZ DE ISO/IEC 15504 Mª Carmen García y Javier Garzás, www.kybeleconsulting.com http://kybeleconsulting.blogspot.com/ Cada vez más, la calidad del software está tomando

Más detalles

Inter American Accreditation Cooperation

Inter American Accreditation Cooperation IAF MD 15:2014 Publicación 1 Documento Obligatorio de IAF para la recolección de información para proveer indicadores de desempeño de los Organismos de certificación de sistemas de gestión Este documento

Más detalles

Escuela de Negocios AUDITOR LÍDER ISO 27001:2013

Escuela de Negocios AUDITOR LÍDER ISO 27001:2013 Escuela de Negocios AUDITOR LÍDER ISO 27001:2013 ACERCA DEL CURSO Este curso de certificación internacional, permite a los participantes desarrollar las habilidades necesarias para auditar Sistemas de

Más detalles

La importancia de los Sistemas de Gestión de la Calidad en las empresas y el entorno empresarial- Tendencias actuales

La importancia de los Sistemas de Gestión de la Calidad en las empresas y el entorno empresarial- Tendencias actuales Lima 04 de mayo 2017 La importancia de los Sistemas de Gestión de la Calidad en las empresas y el entorno empresarial- Tendencias actuales AENOR PERÚ Objetivo Obtener una visión general de la importancia

Más detalles

NT-28 Rev.3 Abril 08 INDICE. Página 1. GENERAL OBJETO Y CAMPO DE APLICACIÓN...2

NT-28 Rev.3 Abril 08 INDICE. Página 1. GENERAL OBJETO Y CAMPO DE APLICACIÓN...2 INDICE Página 1. GENERAL...1 2. OBJETO Y CAMPO DE APLICACIÓN...2 3. CRITERIOS PARTICULARES DE ACREDITACIÓN PARA LA GESTIÓN FORESTAL...2 4. CRITERIOS PARTICULARES DE ACREDITACIÓN PARA LA CADENA DE CUSTODIA...3

Más detalles

COMPILACION BIBLIOGRAFICA PMBOK, OPM3 JHON FREDY GIRALDO. Docente: Carlos Hernán Gomez Asignatura: Auditoria de Sistemas

COMPILACION BIBLIOGRAFICA PMBOK, OPM3 JHON FREDY GIRALDO. Docente: Carlos Hernán Gomez Asignatura: Auditoria de Sistemas COMPILACION BIBLIOGRAFICA PMBOK, OPM3 JHON FREDY GIRALDO Docente: Carlos Hernán Gomez Asignatura: Auditoria de Sistemas UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERIA INGENIERIA EN SISTEMAS Y COMPUTACION

Más detalles

NTE INEN-ISO Primera edición

NTE INEN-ISO Primera edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 50002 Primera edición AUDITORÍAS ENERGÉTICAS - REQUISITOS CON GUÍA PARA SU USO (ISO 50002:2014, IDT) ENERGY AUDITS REQUIREMENTS WITH GUIDANCE FOR USE

Más detalles

NORMA INTERNACIONAL. This is a preview of "ISO 14015:2001[S]". Click here to purchase the full version from the ANSI store.

NORMA INTERNACIONAL. This is a preview of ISO 14015:2001[S]. Click here to purchase the full version from the ANSI store. NORMA INTERNACIONAL Traducción oficial Official translation Traduction officielle ISO 14015 Gestión ambiental Evaluación ambiental de sitios y organizaciones (EASO) Environmental management Environmental

Más detalles

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 14598-5 Primera edición 2014-01 TECNOLOGÍA DE LA INFORMACIÓN. EVALUACIÓN DEL PRODUCTO SOFTWARE. PARTE 5: PROCEDIMIENTO PARA EVALUADORES (ISO/IEC

Más detalles

Curso ITIL Fundamentos. Capacítate, sé diferente. Servicio de transición. Estrategia de Servicio. Servicio de operación. Servicio de diseño

Curso ITIL Fundamentos. Capacítate, sé diferente. Servicio de transición. Estrategia de Servicio. Servicio de operación. Servicio de diseño Curso ITIL 2011 Fundamentos Servicio de transición Servicio de diseño Estrategia de Servicio Servicio de operación Capacítate, sé diferente PRESENTACIÓN Este curso provee un conocimiento dinámico e interesante

Más detalles

Serie Artículos sobre Gestión de IT y Calidad EL ANALISTA DE NEGOCIOS

Serie Artículos sobre Gestión de IT y Calidad EL ANALISTA DE NEGOCIOS Serie Artículos sobre Gestión de IT y Calidad EL ANALISTA DE NEGOCIOS 1 El Analista de Negocio PMBOK-BABOK Autor: Dr. Norberto Figuerola (PMP) Contador Público y Licenciado en Administración (U.B.A.) Master

Más detalles

Dirigido a: Organizaciones titulares de la certificación ICONTEC de sistema de gestión de la calidad con la norma NCh 2728.

Dirigido a: Organizaciones titulares de la certificación ICONTEC de sistema de gestión de la calidad con la norma NCh 2728. Dirigido a: Organizaciones titulares de la certificación ICONTEC de sistema de gestión de la calidad con la norma NCh 2728. 1. Aprobación de la revisión de la norma NCh 2728:2015. El 21 de diciembre de

Más detalles

Quito Ecuador EXTRACTO

Quito Ecuador EXTRACTO Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO /IEC 14598-3 Primera edición 2014-01 TECNOLOGÍA DE LA INFORMACIÓN. EVALUACIÓN DEL PRODUCTO SOFTWARE. PARTE 3: PROCEDIMIENTO PARA DESARROLLADORES (ISO/IEC

Más detalles

1. DATOS DE IDENTIFICACIÓN

1. DATOS DE IDENTIFICACIÓN 1. DATOS DE IDENTIFICACIÓN Titulación: Grado en Ingeniería Informática (Plan 2010) Facultad/Escuela: Escuela Politécnica Superior Asignatura: Calidad Tipo: Obligatoria Créditos ECTS: 6 Curso/Periodo Docente:

Más detalles

CONCEPTO CARACTERISTICAS

CONCEPTO CARACTERISTICAS CONCEPTO CARACTERISTICAS OBJETIVO COBIT Cobit significa Control ObjectivesforInformation and relatedtechnologyes una guía de mejores prácticas presentado como framework, dirigida a la gestión de tecnología

Más detalles

Inter American Accreditation Cooperation. Código de Conducta y Ética del Auditor

Inter American Accreditation Cooperation. Código de Conducta y Ética del Auditor Guía del Grupo de Prácticas de Auditoría de Acreditación sobre: Código de Conducta y Ética del Auditor Este documento es una traducción al español preparada y endosada por IAAC CLASIFICACIÓN Este documento

Más detalles

NORMA INTERNACIONAL. This is a preview of "ISO 9004:2009[S]". Click here to purchase the full version from the ANSI store.

NORMA INTERNACIONAL. This is a preview of ISO 9004:2009[S]. Click here to purchase the full version from the ANSI store. NORMA INTERNACIONAL Traducción oficial Official translation Traduction officielle ISO 9004 This is a preview of ":2009[S]". Click here to purchase the full version from the ANSI store. Tercera edición

Más detalles

1.1.1 El Sistema Nº 5 basado en el ensayo de tipo, seguido de auditorias anuales del sistema de control del calidad utilizado por el fabricante.

1.1.1 El Sistema Nº 5 basado en el ensayo de tipo, seguido de auditorias anuales del sistema de control del calidad utilizado por el fabricante. Página 1 de 5 1 OBJETO y ALCANCE 1.1 Este Reglamento de Contratación y Uso establece la metodología para el otorgamiento y seguimiento de la Certificación de productos según el Sistema Nº 5 del D.S. Nº

Más detalles

Temario. Certif icaciones Profesionales en TI CURSO. Fundamentos de ITIL

Temario. Certif icaciones Profesionales en TI CURSO. Fundamentos de ITIL Certif icaciones Profesionales en TI Temario CURSO Fundamentos de ITIL Curso Fundamentos de ITIL En este curso, usted recibirá una introducción al ciclo de vida de la gestión de los servicios de Informática

Más detalles

LA SEGURIDAD Y SALUD EN EL TRABAJO POR NORMA

LA SEGURIDAD Y SALUD EN EL TRABAJO POR NORMA LA SEGURIDAD Y SALUD EN EL TRABAJO POR NORMA Agustín SÁNCHEZ-TOLEDO LEDESMA Gerente de Seguridad y Salud en el Trabajo AENOR LOS INICIOS DE OHSAS SISTEMAS DE GESTIÓN DE LA SST DESEMPEÑO DE LA SST MEJORA

Más detalles

1. Los flujogramas o diagramas de flujo son herramientas de: 2. Entre los beneficios del trabajo en grupo se encuentra:

1. Los flujogramas o diagramas de flujo son herramientas de: 2. Entre los beneficios del trabajo en grupo se encuentra: 1. Los flujogramas o diagramas de flujo son herramientas de: a. Selección. b. Medición. c. Análisis.* d. Detección de errores. 2. Entre los beneficios del trabajo en grupo se encuentra: a. La rapidez en

Más detalles

International Laboratory Accreditation Cooperation. Por qué utilizar una entidad de inspección acreditada? global trust Testing Calibration Inspection

International Laboratory Accreditation Cooperation. Por qué utilizar una entidad de inspección acreditada? global trust Testing Calibration Inspection International Laboratory Accreditation Cooperation Por qué utilizar una entidad de inspección acreditada? Por qué una entidad de inspección acreditada? Existen numerosas empresas que prestan servicios

Más detalles

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2008-2009 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García

Más detalles

ITE INEN-ISO/IEC TR Primera edición

ITE INEN-ISO/IEC TR Primera edición Quito Ecuador INFORME TÉCNICO ECUATORIANO ITE INEN-ISO/IEC TR 38502 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN GOBERNANZA DE TI MARCO DE REFERENCIA Y MODELO. (ISO/IEC TR 38502:2014, IDT) INFORMATION

Más detalles

Análisis de las Cartas de Servicios de la Universidad de Cádiz

Análisis de las Cartas de Servicios de la Universidad de Cádiz II JORNADAS DE DIFUSIÓN DE MEJORA DE LA CALIDAD DE LOS SERVICIOS QUE PRESTA EL PAS DE LA UNIVERSIDAD DE CÁDIZ Análisis de las Cartas de Servicios de la Universidad de Cádiz Marivi Martínez Sancho Asesora

Más detalles

LA ACREDITACIÓN DE ENAC Una ventaja en los mercados internacionales

LA ACREDITACIÓN DE ENAC Una ventaja en los mercados internacionales LA ACREDITACIÓN DE ENAC Una ventaja en los mercados internacionales En un mercado cada vez más global y más exigente con el cumplimiento de unos estándares de calidad, la confianza en los productos y servicios

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

Los estándares internacionales para gestión de servicios y su relevancia en el mercado Latinoamericano. Pablo Corona

Los estándares internacionales para gestión de servicios y su relevancia en el mercado Latinoamericano. Pablo Corona Los estándares internacionales para gestión de servicios y su relevancia en el mercado Latinoamericano. Pablo Corona Cuál es la percepción sobre las certificaciones? Se requiere documentación solo para

Más detalles

DEPARTAMENTO DE ORGANIZACIÓN INDUSTRIAL Y GESTIÓN DE EMPRESAS ESCUELA SUPERIOR DE INGENIEROS DE LA UNIVERSIDAD DE SEVILLA

DEPARTAMENTO DE ORGANIZACIÓN INDUSTRIAL Y GESTIÓN DE EMPRESAS ESCUELA SUPERIOR DE INGENIEROS DE LA UNIVERSIDAD DE SEVILLA 6. CONCLUSIONES 6.1. Introducción En este trabajo se ha intentado realizar un estudio suficientemente exhaustivo, que pudiera recopilar los métodos y técnicas más relevantes en la gestión de proyectos

Más detalles

Procedimiento de Evaluación externa de Cartas de Servicios

Procedimiento de Evaluación externa de Cartas de Servicios Procedimiento de Evaluación externa de Cartas de Servicios Introducción...2 Objeto del documento...2 Destinatarias...2 Definición y justificación...2 Procedimiento de evaluación externa de Cartas de Servicios...3

Más detalles

CERTIFICACIÓN ISO 14001: Revisión a la nueva versión 2015 y Plan de Transición de Certificaciones

CERTIFICACIÓN ISO 14001: Revisión a la nueva versión 2015 y Plan de Transición de Certificaciones ISO 14001: Revisión a la nueva versión 2015 y Plan de Transición de Certificaciones Qué es la ISO 14001? La ISO 14001, al igual que la ISO 9001, se refiere a una serie de normas de proceso. Después de

Más detalles

COBIT 5. Foundation. 08 al 11 de mayo 2017

COBIT 5. Foundation. 08 al 11 de mayo 2017 COBIT 5 Foundation 08 al 11 de mayo 2017 ACCREDITED BY AMC es partner afiliado preferente de Quint Wellington Rewood con el marco de certificación de APMG. Cobit is a registered trademark of the information

Más detalles

estudio GERENCIA DE RIESGOS Y SEGUROS Nº

estudio GERENCIA DE RIESGOS Y SEGUROS Nº 54 Sistema de gestión de prevención de riesgos laborales según modelo OHSAS 18001 Se considerará que la prevención se ha integrado en la gestión y realización de una actividad si su procedimiento de ejecución

Más detalles

de la huella de carbono

de la huella de carbono ERIEConceptos básicos de la huella de carbono Sergio Álvarez Gallego (Coord.) - Agustín Rubio Sánchez Ana Rodríguez Olalla - Carmen Avilés Palacios - Manuel López Quero Huella de carbono Volumen 1 Conceptos

Más detalles

ISO SERIE MANUALES DE CALIDAD GUIAS DE IMPLEMENTACION. ISO 9001:2008 Como implementar los cambios parte 1 de 6

ISO SERIE MANUALES DE CALIDAD GUIAS DE IMPLEMENTACION. ISO 9001:2008 Como implementar los cambios parte 1 de 6 ISO 9001 2008 GUIAS DE IMPLEMENTACION ISO 9001:2008 Como implementar los cambios parte 1 de 6 SERIE MANUALES DE CALIDAD 1 NORMA INTERNACIONAL ISO 9000 Dentro de las modificaciones de la nueva versión de

Más detalles

Seminario ITIL. Optimizar los servicios de TI con ITIL

Seminario ITIL. Optimizar los servicios de TI con ITIL Optimizar los servicios de TI con ITIL ITIL (I) Information Technology Infrastructure Library ( Biblioteca de Infraestructura de Tecnologías de Información ). Marco de trabajo de mejores prácticas destinadas

Más detalles

La Norma GRH 27001: El Sistema de Gestión de Recursos Humanos

La Norma GRH 27001: El Sistema de Gestión de Recursos Humanos La Norma GRH 27001: El Sistema de Gestión de Recursos Humanos Desde AUREN hemos elaborado la Norma GRH 27001 Reglas para la Implantación de un Sistema de Gestión de Recursos Humanos que representa una

Más detalles

Plan de transición de la certificación con la norma ISO (Fecha de generación )

Plan de transición de la certificación con la norma ISO (Fecha de generación ) 1. Revisión de :2003 El primero de marzo de 2016, se publicó la nueva versión de la norma internacional de requisitos de sistema de gestión de la calidad para dispositivos médicos (ISO 13485), por parte

Más detalles

Elaborar y documentar el Plan de trabajo anual que la Unidad de Auditoría Interna desarrollará durante un período fiscal.

Elaborar y documentar el Plan de trabajo anual que la Unidad de Auditoría Interna desarrollará durante un período fiscal. 1. OBJETIVO Elaborar y documentar el Plan de trabajo anual que la Unidad de Auditoría Interna desarrollará durante un período fiscal. 2. ALCANCE Este proceso incluye la recopilación de información necesaria

Más detalles

TEMA 6. SISTEMAS DE GESTIÓN DE LA CALIDAD: NORMAS ISO 9000

TEMA 6. SISTEMAS DE GESTIÓN DE LA CALIDAD: NORMAS ISO 9000 TEMA 6. SISTEMAS DE GESTIÓN DE LA CALIDAD: NORMAS ISO 9000 6.1. Sistema de Gestión de la Calidad. Un Sistema de Gestión de la Calidad es el conjunto formado por la estructura organizativa de la empresa,

Más detalles

SEMINARIO /TALLER RISK MANAGER FUNDAMENTADO EN LA NORMA ISO 31000:2009

SEMINARIO /TALLER RISK MANAGER FUNDAMENTADO EN LA NORMA ISO 31000:2009 SEMINARIO /TALLER RISK MANAGER FUNDAMENTADO EN LA NORMA ISO 31000:2009 La Norma ISO 31000:2009, es un estándar internacional desarrollado por ISO e IEC que proporciona principios y directrices sobre la

Más detalles

FORMACION ISO/IEC 20000. Fundamentos en Gestión de la Calidad de Servicios TI

FORMACION ISO/IEC 20000. Fundamentos en Gestión de la Calidad de Servicios TI Osiatis, S.A. Registro Mercantil de Madrid, Tomo 6803 Gral., 5785 Sección 3ª del Libro de Sociedades, Folio 77, Hoja 58144, Inscripción 1ª - NIF.: A-28816379 FORMACION ISO/IEC 20000 Fundamentos en Gestión

Más detalles

REGLAMENTO CRT: 1997 REGLAMENTO DE CERTIFICACIÓN DE PROTOTIPO O LOTE DE PRODUCTOS

REGLAMENTO CRT: 1997 REGLAMENTO DE CERTIFICACIÓN DE PROTOTIPO O LOTE DE PRODUCTOS REGLAMENTO CRT: 1997 Comisión de Reglamentos Técnicos y Comerciales - INDECOPI Calle la Prosa 138, San Borja (Lima 41) Apartado 145 Lima, Perú REGLAMENTO DE CERTIFICACIÓN DE PROTOTIPO O LOTE DE PRODUCTOS

Más detalles

ETIQUETA DE CALIDAD Y CERTIFICACIÓN PARA LOS EXPORTADORES DE LIMÓN DE ESPAÑA COLABORA:

ETIQUETA DE CALIDAD Y CERTIFICACIÓN PARA LOS EXPORTADORES DE LIMÓN DE ESPAÑA COLABORA: ETIQUETA DE CALIDAD Y CERTIFICACIÓN PARA LOS EXPORTADORES DE LIMÓN DE ESPAÑA COLABORA: COLABORA: ETIQUETA DE CALIDAD Y CERTIFICACIÓN PARA LOS EXPORTADORES DE LIMÓN DE ESPAÑA O1 01. LA CERTIFICACIÓN DE

Más detalles

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información Todas las Unidades de Tecnología de las Instituciones del Estado, adscritas al Poder Ejecutivo, dentro

Más detalles

Norma ISO 17020: 2004

Norma ISO 17020: 2004 Norma ISO 17020: 2004 Criterios generales para el funcionamiento de diferentes tipos de organismos que realizan la inspección. El presente documento es la versión impresa de la página www.grupoacms.com

Más detalles

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO 14001 Y EL REGLAMENTO EMAS 5.1.- Reseña histórica 5.2.- La norma ISO 14001 5.3.- El reglamento EMAS 5.4.- Proceso de implantación y certificación

Más detalles

Quito Ecuador EXTRACTO PRODUCTOS SANITARIOS. SISTEMAS DE GESTIÓN DE LA CALIDAD. REQUISITOS PARA FINES REGLAMENTARIOS (ISO 13485:2003, IDT)

Quito Ecuador EXTRACTO PRODUCTOS SANITARIOS. SISTEMAS DE GESTIÓN DE LA CALIDAD. REQUISITOS PARA FINES REGLAMENTARIOS (ISO 13485:2003, IDT) Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 13485 Primera edición 2014-01 PRODUCTOS SANITARIOS. SISTEMAS DE GESTIÓN DE LA CALIDAD. REQUISITOS PARA FINES REGLAMENTARIOS (ISO 13485:2003, IDT) MEMEDICAL

Más detalles