Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

Transcripción

1 INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC ) Ing. Virginia Pardo 30 de Julio 2009

2 Servicios y calidad El proceso de proveer un servicio es la combinación de producción y uso en la que participan simultáneamente el proveedor y el cliente. La percepción del cliente es esencial para la provisión de los servicios: El servicio cumple con mis expectativas? Puedo esperar un servicio similar la próxima vez? Es razonable el costo del servicio?

3 Evolución Madurez de las TIC en la Organización

4 Madurez de los Procesos Proceso mejorado continuamente 5-Optimizado Proceso estandarizado Proceso predecible 3-Definido 4-Gerenciado Proceso necesario Proceso disciplinado 0-Inexistente 1-Inicial 2-Repetible Cuando una organización determina su madurez, puede desarrollar una estrategia para perfeccionarse. La organización mejora paso a paso, con resultados intermedios visibles. Se debe tener presente el nivel de madurez del cliente.

5 Procesos Tecnológicos Los recursos de TI son administrados por procesos de TI, los cuales permiten al área de tecnología la entrega de servicios para que la organización pueda cumplir con sus objetivos. Objetivos del negocio Requerimientos de información Servicios Procesos de TI Recursos de TI

6 Gestión de Servicios TI Conjunto de procesos estrechamente relacionados, organizados en grupos de procesos, que permiten cumplir con los requisitos definidos por el negocio y/o cliente. Tomando en consideración las necesidades específicas de un negocio, el proveedor podrá decidir qué objetivos y controles adicionales son necesarios.

7 ITIL ITIL (Information Technology Infrastructure Library) es el estándar de facto para las mejores prácticas de los procesos para la administración de servicios de tecnologías de la información. Fue desarrollado por sectores públicos y privados con el fin de conjuntar las mejores prácticas a nivel mundial. El organismo propietario de esta referencia de estándares es la OGC (Office of Government Commerce), una entidad independiente de la tesorería del gobierno británico.

8 Relación ISO/IEC ITIL Mientras ITIL representa mejores prácticas y un proceso que facilita su implantación, el estándar ISO/IEC certifica un sistema de Gestión de Servicios de TI. Tiene dos partes: 1.Parte 1: Requisitos UNIT-ISO/IEC :2005, Define los controles obligatorios que los proveedores de servicio deben cumplir para obtener la certificación. 2.Parte 2: Código de prácticas ISO/IEC :2005, Conjunto de mejores prácticas y guía de recomendaciones para los procesos de Gestión de Servicios de TI. Mientras ITIL es una colección de buenas prácticas para la gestión y gobierno de servicio descritas en distintos procesos, UNIT-ISO/IEC define una colección de requerimientos para una buena gestión de servicios de calidad, los cuales serán alcanzables actuando tanto con los procesos ITIL como con el código de prácticas ISO/IEC :2005.

9 Relación ISO/IEC ITIL Estándar de calidad que se espera conseguir Introducción a la gestión del servicio y la visión general de la gestión Definiciones de procesos Documentos propios de la organización

10 INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC ) Parte 1: Requisitos

11 Estructura General Índice: 1- Objeto 2- Términos y definiciones 3- Requisitos de un sistema de gestión 3.1 Responsabilidad de la dirección 3.2 Requisitos de la documentación 3.3 Competencia, concientización y formación 4- Planificación e implementación de la gestión del servicio (PDCA) 5- Planificación e implementación de nuevos servicios o de servicios modificados 6 al 10 Descripción de los Procesos

12 Objeto (1) La norma UNIT-ISO/IEC impulsa el uso de un enfoque integral de gestión de procesos para brindar servicios que satisfagan las necesidades de los clientes y requerimientos del negocio. La norma puede ser usada: - Por una organización que necesita demostrar la habilidad para brindar servicios - Por proveedores que quieren medir su gestión de servicios de TI - Como base para obtener una certificación formal - Por una organización que quiere mejorar sus servicios

13 Planificación e implementación de la gestión de servicios (4) PLANIFICAR HACER ACTUAR VERIFICAR

14 Procesos de Gestión de Servicios (6 al 10) Procesos de prestación del servicio (6) Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Proceso de Liberación (10) Gestión de la liberación Gestión del nivel de servicio Generación de informes del servicio Procesos de control (9) Gestión de la configuración Gestión de cambios Procesos de resolución (8) Gestión de incidentes Gestión de problemas Gestión de la seguridad de la información Presupuesto y contabilidad de los servicios de TI Procesos de relaciones (7) Gestión de las relaciones con el negocio Gestión de proveedores

15 Procesos de prestación del Servicio (6) Procesos de prestación del servicio Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Gestión del nivel de servicio Generación de informes del servicio Gestión de la seguridad de la información Presupuesto y contabilidad de los servicios de TI Proceso de liberación Gestión de la liberación Procesos de control Gestión de la configuración Gestión de cambios Procesos de resolución Gestión de incidentes Gestión de problemas Procesos de relaciones Gestión de las relaciones con el negocio Gestión de proveedores

16 Gestión del nivel de servicio (6.1) Objetivo: definir, acordar, registrar y gestionar los niveles de servicio. Se debe: - Definir, acordar y documentar uno o varios niveles de acuerdos de servicios (SLAs) para cada servicio provisto - Mantener los SLAs bajo control de cambios - Realizar revisiones regulares de los SLAs - Monitorear los niveles de servicios - Reportar las razones del no cumplimiento con los objetivos del servicio

17 Gestión del nivel de servicio (6.1) Contratos accesorios y OLAs SLA Servicio A Servicio B Servicio C Infraestructura de TI Acuerdos de nivel Operativo (OLAs) Contratos Organizaciones internas Organizaciones externas

18 Generación de informes del servicio (6.2) Objetivo: generar en plazo los informes acordados, fiables y precisos para la toma de decisiones y una comunicación eficaz. Debe haber una clara descripción de cada informe de servicio conteniendo su identificación, propósito, audiencia y detalle de la fuente de datos. Se deben tomar decisiones y acciones correctivas que consideren los hallazgos determinados por los informes de servicio y deben ser comunicadas a las partes interesadas.

19 Gestión de la continuidad y disponibilidad del servicio (6.3) Objetivo: asegurar que los compromisos de continuidad y disponibilidad acordados con los clientes pueden cumplirse en todas las circunstancias. Se debe: Desarrollar planes de disponibilidad y continuidad de los servicios Evaluar el impacto de un cambio en los planes Medir y registrar la disponibilidad y los niveles de servicios Incluir en el plan de continuidad el retorno al trabajo normal Tener disponible los planes de continuidad, listas de contactos y CMDB bajo cualquier circunstancia Probar regularmente el plan y registrar los resultados

20 Elaboración del presupuesto y contabilidad de los servicios de TI (6.4) Objetivo: presupuestar y contabilizar los costos de la provisión del servicio. Deben haber políticas y procedimientos para: Presupuestar todos los componentes incluyendo activos de TI, servicios de tercerizados, personal, seguros, licencias. Determinar los costos indirectos de los servicios. Realizar el control financiero.

21 Gestión de la capacidad (6.5) Objetivo: asegurar que el proveedor del servicio tiene, en todo momento, la capacidad suficiente para cumplir la demanda actual y futura, de las necesidades del negocio del cliente. La gestión de la capacidad debe generar y mantener un plan de capacidad que considere las necesidades del negocio. Deben ser identificados métodos, procedimientos y técnicas para monitorear la capacidad del servicio.

22 Gestión de la seguridad de la información (6.6) Objetivo: gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio. Se debe: Aprobar una política de seguridad de la información y comunicarla a todas las partes interesadas. Documentar los controles de seguridad Establecer los requerimientos de seguridad en los acuerdos con terceros Reportar y registrar los incidentes de seguridad Identificar acciones de mejora

23 Procesos de relaciones (7) Procesos de prestación de servicios Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Gestión del nivel de servicio Generación de informes del servicio Gestión de la seguridad de la información Presupuesto y contabilidad de los servicios de TI Proceso de liberación Gestión de la liberación Procesos de control Gestión de la configuración Gestión de cambios Procesos de resolución Gestión de incidentes Gestión de problemas Procesos de relaciones Gestión de las relaciones con el negocio Gestión de proveedores

24 Gestión de las relaciones con el negocio (7.2) Objetivo: establecer y mantener una buena relación entre el proveedor del servicio y el cliente basada en una comprensión del cliente y las necesidades del negocio. Se debe: Identificar a los clientes del servicio Realizar reuniones de revisiones del servicio con los clientes Asignar personas como responsables de gestionar la satisfacción del cliente y el proceso de relacionamiento con el negocio Identificar acciones de mejora

25 Gestión de proveedores (7.3) Objetivo: gestionar los proveedores contratados para garantizar la provisión sin interrupciones de servicios de calidad. Se debe: Tener documentados los procesos de gestión de sus proveedores Nombrar a un responsable de mantener el contacto con cada uno de sus proveedores Documentar en un SLA los niveles de servicios prestados Tener procedimientos establecidos para lidiar con disputas contractuales y fin del servicio Revisar los contratos y SLAs al menos una vez al año

26 Procesos de resolución (8) Procesos de prestación de servicios Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Proceso de liberación Gestión de la liberación Gestión del nivel de servicio Generación de informes del servicio Procesos de control Gestión de la configuración Gestión de cambios Procesos de resolución Gestión de incidentes Gestión de problemas Gestión de la seguridad de la información Presupuesto y contabilidad de los servicios de TI Procesos de relaciones Gestión de las relaciones con el negocio Gestión de proveedores

27 Gestión de incidentes (8.2) Objetivo: restaurar el servicio acordado tan pronto como sea posible y responder a peticiones de servicio. Se debe: Registrar todos los incidentes Definir procedimientos para gestionar los incidentes Mantener informado al cliente del progreso de su incidente Tener acceso a errores conocidos, resolución de problemas y CMDB por parte del personal involucrado Clasificar y gestionar a los incidentes mayores según un procedimiento establecido

28 Gestión de problemas (8.3) Objetivo: minimizar los efectos negativos de la interrupción del servicio, mediante la identificación y análisis proactivo de la causa de los incidentes. Se debe: Registrar todos los problemas Definir procedimientos para el registro, clasificación, actualización, escalamiento, resolución y cierre de problemas Tomar acciones preventivas para reducir la ocurrencia de problemas potenciales Monitorear la efectividad en la resolución de problemas Actualizar la información de errores conocidos y problemas

29 Procesos de control (9) Procesos de prestación de servicios Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Proceso de liberación Gestión de la liberación Gestión del nivel de servicio Generación de informes del servicio Procesos de control Gestión de la configuración Gestión de cambios Procesos de resolución Gestión de incidentes Gestión de problemas Gestión de la seguridad de la información Presupuesto y contabilidad de los servicios de TI Procesos de relaciones Gestión de las relaciones con el negocio Gestión de proveedores

30 Gestión de la configuración (9.1) Objetivo: definir y controlar los componentes del servicio y de la infraestructura, y mantener información exacta de la configuración. Se debe: o Tener una política que defina qué se entiende por elemento de configuración (CI) y qué componentes lo constituyen o Poder trazar y auditar los cambios en los CI o Mantener copias maestras de los CI en lugares seguros o Tener disponible la información almacenada en la CMDB o Realizar auditorías que incluyan el registro de deficiencias y la toma de acciones correctivas

31 Gestión de cambios (9.2) Objetivo: asegurar que todos los cambios son evaluados, probados, implementados y revisados de forma controlada. Se debe: o Registrar y clasificar todos los cambios o Evaluar el riesgo, impacto y beneficio para el negocio de todos los cambios o Aprobar todos los cambios previo a su implementación o Revisar los cambios luego de su implementación o Tener políticas y procedimientos para cambios de emergencia o Definir y comunicar fechas para el despacho de cambios

32 Proceso de liberación (10) Procesos de prestación de servicios Gestión de la capacidad Gestión de la continuidad y disponibilidad del servicio Gestión del nivel de servicio Generación de informes del servicio Gestión de la seguridad de la información Presupuesto y contabilidad de los servicios de TI Proceso de liberación Gestión de la liberación Procesos de control Gestión de la configuración Gestión de cambios Procesos de resolución Gestión de incidentes Gestión de problemas Procesos de relaciones Gestión de las relaciones con el negocio Gestión de proveedores

33 Proceso de gestión de la liberación (10.1) Objetivo: entregar, distribuir y realizar el seguimiento de uno o más cambios en la liberación en el entorno de producción. Se debe: Tener una política de liberación documentada y aprobada Acordar las liberaciones con las partes interesadas Definir la forma de retroceso si la liberación fracasa Gestionar las liberaciones de emergencia según los procedimientos Establecer un ambiente controlado para realizar las pruebas de aceptación previo a la distribución

34 UNIT ISO/IEC Muchas gracias!!