ITIL e ISO/IEC de Gestión de IT a la certificación. De las mejores prácticas. Sergio Hrabinski Expocomm. Octubre 2006

Transcripción

1 ITIL e ISO/IEC De las mejores prácticas de Gestión de IT a la certificación Sergio Hrabinski Expocomm Octubre 2006 ITIL y IT Infrastructure Library son marcas registradas de la OGC

2 Agenda ITIL qué es? Qué implica aplicar ITIL a una organización Formas de encarar ITIL casos de éxito El Futuro de ITIL La ISO/IEC 20000

3 ITIL Qué es? ITIL: Information Technology Infrastructure Library (Biblioteca de Infraestructura de IT) Compendio de mejores prácticas para la gestión en áreas de IT. Nació hace más de 15 años - iniciativa del gobierno Inglés - aporte de empresas de diversas industrias Se enfoca en la calidad de la provisión de servicios Servicios de IT Promueve la alineación con el negocio

4 Objetivos de ITIL Promover la visión de IT como proveedor de servicios Fomentar el foco en el cliente Alinear la organización de IT con el negocio de la empresa Posicionar a IT como parte importante de la cadena de valor Estandarizar los procesos de gestión de servicios de IT Promover el uso de conceptos comunes para mejorar la comunicación Servir de base para la certificación de las personas y las empresas

5 Cadena de Valor de los Servicios de IT S u e m p r e s a Proveedor Externo Area Informática Mrktg Proveedor Externo Ventas Proveedor Externo Proveedores Internos Admin. Servicio de IT Productos y Servicios CLIENTE CLIENTE CLIENTE

6 Encuestas 2006 en UK

7 Principales razones para invertir en gestión de servicios

8 Qué tiene ITIL de especial? Promueve una gestión por procesos Especifica cuáles son las cosas que debería realizar una organización de IT para administrar sus servicios Define procesos y sus interrelaciones Indica roles y responsabilidades específicos Promueve una gestión orientada a servicios Promueve la alineación con el resto de la organización

9 Qué implica aplicar ITIL? ITIL Asignar roles y responsabilidades Manejar el Cambio Cultural (Management of Change) Formalización de Procesos Automatizar con herramientas ITIL Compliant

10 Casos de Éxito (1) Caso Datacenter (Service Provider) Situación: Necesidad de estandarizar la manera en que se implementan los servicios en sus clientes. Necesidad de contar con información sobre los componentes de los servicios Actividades realizadas: Definición y automatización de la Gestión de Configuraciones y del Release Management de ITIL, posteriormente la gestión de Cambios Resultados obtenidos: procesos estándar para toda la organización del Datacenter, mayor rapidez y asertividad en la activación de clientes y atención de los servicios existentes.

11 Casos de Éxito (2) Caso empresa telefonía celular: Situación: alto volumen de cambios a una infraestructura de 500 servidores y aplicaciones desarrolladas in-house Actividades realizadas: desarrollo e implementación del proceso de cambios en toda la organización de IT Resultados obtenidos: disminución de la cantidad de cambios total, aumento en la calidad de los cambios, cambios que generaron menos incidentes, capacidad de agrupar los cambios semanalmente, mejor organización de los recursos, mejor priorización y planificación de los cambios

12 Barreras para implementar de ITIL

13 Pasos para implantar ITIL Establecer la Administración de Servicios Si no sabes a dónde ir, cualquier camino te llevará hasta allí Si apuntas a ningún lado, allí es a donde llegarás Cómo nos mantenemos? Dónde queremos estar? Dónde estamos? Cómo hacemos para estar donde queremos? Cómo sabemos que llegamos?

14 Cómo comenzar un proyecto ITIL Conocer la situación actual (Personas, Procesos, Tecnología) Establecer las motivaciones Clarificar expectativas Diseñar los procesos prioritarios (enfoque modular). - Formalizarlos Implementarlos - Automatizar los procesos Establecer la mejora contínua

15 Nivel de Adopción de ITIL comparado con otros modelos

16 Mejoras identificadas Disminución del tiempo de duración de los incidentes Lenguaje común para el planeamiento de procesos Resultados de encuestas de satisfacción Alineación entre IT y el negocio Racionalización del hardware y del software Mejor gestión de recursos

17 El futuro de ITIL Proceso de revisión ITIL Refresh ITIL Versión 3 Se realizaron consultas públicas sobre el contenido para incorporar nuevos requerimientos del mercado Se formó un panel de expertos Se contrataron autores y equipos de mentores Revisión de consistencia, alcance y nivel de detalle Definición de Cinco volúmenes centrales orientados al ciclo de vida de los servicios Service Management Strategies Service Design Service Introduction Service Operation Continual Service Improvement

18 En resumen ITIL nos ayuda a poner en marcha una gestión de IT que esté enfocada en servicios nos permite estandarizar los procesos, roles y sus relaciones nos ayuda a entender de qué manera podemos automatizar mejor la gestión Es un vehículo para facilitar el cambio y capacitar a todos los que participan de esta iniciativa Es la base para poder certificarnos en ISO20000

19 ISO/IEC 20000

20 Temas Qué es la ISO 20000? Su relación con otros estándares ITIL y la ISO Por qué la ISO 20000? Beneficios de la certificación La ISO Ejemplos Preparando la certificación Consideraciones técnicas a tener en cuenta Claves para lograr la certificación La ISO hoy

21 Qué es la ISO 20000? Estándar que promueve la adopción de un conjunto integrado de procesos en busca de obtener una efectiva entrega de los Servicios de IT. Es un conjunto de controles contra los cuales una organización es evaluada por la eficaz administración de los servicios de IT.

22 Admin. Calidad SAROX HIPAA Basilea II Admin. Proyectos ISO y los estándares Control Gerencial COSO COBIT ISO 9000 Six Sigma PMI Prince2 Seguridad IT Desarrollo Aplicaciones Admin. Servicios ITIL BS ISO CMMI Operaciones ISO ISO 27000

23 ITIL y la ISO El estándar está alineado con ITIL ITIL provee una guía con las mejores prácticas para contar con: Procesos alineados con los requerimientos del negocio Personal del área de IT que entiende qué es lo que se requiere de ellos Procesos definidos, medidos, comunicados, usados y mejorados continuamente Una estrategia de administración de servicios definida claramente ISO provee una guía para definir el nivel de calidad de los procesos el cual puede ser auditadas. La Certificación ISO es el medio de probar que están implementadas esas mejores practicas dentro de IT.

24 ITIL y la ISO ISO Especificaciones ISO Código de Practica ITIL Procedimientos propios Objetivos Recomen- daciones Definición n de procesos Implementación De la solución

25 Por qué la ISO 20000? Para el negocio: Porque se convertirá en un requisito básico del negocio, de la misma manera que lo es la ISO 9000 Porque da un método estándar externo e imparcial de evaluación y auditoría Porque +40% de las principales compañías estarán certificadas o en proceso de certificación para el (Gartner 2005) Porque facilita los procesos de certificación de ISO 9000, ISO 27000, cumplimiento de COBIT, Sarbanes-Oxley, Basilea II, HIPAA, etc. Porque mejora su posicionamiento frente a otras compañías ya que es es una evaluación internacionalmente reconocida dentro de la industria

26 Por qué la ISO 20000? Para el área de IT: Da evidencias del nivel con el que se brindan los servicios de IT Es un hito relevante para el departamento de IT Asegura al negocio una operación más eficiente del área de IT Garantiza que se aplica un método de revisión y mejora continua a la Administración de Servicios de IT Permite compararse con otros proveedores de servicios de IT

27 Beneficios de la Certificación ISO Mayor alineamiento entre los servicios de IT y la estrategia del negocio. Mejora la relaciones entre los departamentos de la organización clarificando quién hace qué, y cuáles son las metas esperadas. Mejora la calidad del servicio de IT e incrementa la confianza de otras áreas de la organización y de los Clientes Mejora la reputación y la percepción de IT. Ayuda a la organización ante cambios mayores (fusiones, cambios de estructuras organizacionales, etc.) Reducción de gastos dentro del área de IT. Mejora administración de los riesgos.

28 La ISO Está dividida en 2 partes: Parte 1 : Especificaciones Describe los requerimientos mínimos obligatorios que se deben cumplir para lograr la certificación. Parte 2 : Código de Práctica Da las recomendaciones que debería cumplir el Proveedor del Servicio para mejorar la calidad del Servicio de IT (no son obligatorias).

29 La ISO La ISO especifica un número cerrado de procesos interrelacionados, que el Proveedor de Servicio (organización que desea lograr la certificación) debe demostrar que controla, esto es: Conoce y controla las Entradas Conoce, usa e interpreta las Salidas Define y dimensiona las Métricas Demuestra con evidencia objetiva su Responsabilidad de la funcionalidad de los procesos Define, dimensiona y revisa el Proceso de Mejora

30 Administración de Sistemas Planeamiento e implementación de la Administración de Servicios Planeamiento e implementación de Nuevos Servicios o Cambios en los Servicios existentes Administración de Capacidad Administración de Continuidad y Disponibilidad Entrega de los Servicios Administración de Niveles De Servicios Servicios de Reportes Procesos de Control Administración de Seguridad de la información Presupuestos y contabilidad de los Servicios de IT Administración de Configuración Administración de Cambios Proceso de Release Procesos de Relaciones Administración de Release Procesos de Resolución Administración de las Relaciones con el Negocio Administración de Incidentes Administración de Problemas Administración de Proveedores

31 ISO 20000:1 - Ejemplo 8.2 Administración de Incidentes Objetivo : Restaurar el servicio acordado con el negocio lo mas rápido posible o responder a los requerimientos de servicio Todos los incidentes / requerimientos de servicios deben ser registrados Debe existir un procedimiento que para el análisis del impacto de los incidentes Debe existir un proceso donde se contemplen el registro, priorización, clasificación, escalado, resolución y cierre de los incidentes. El primer nivel de resolución de incidentes debe tener acceso a: Errores conocidos Problemas resueltos CMDB. Debe existir un procedimiento definido para la Administración de los Incidentes Mayores (Críticos) El cliente debe mantenerse informado del estado de su Incidente/requerimiento y alertado si por alguna razón se va a violar el Acuerdo de Nivel de Servicio.

32 ISO 20000:2 - Ejemplo Administración de Incidentes El proceso de Administración de Incidentes debe incluir: a) Recepción del llamado, registrado, asignación de prioridad y clasificación. b) Primera línea de resolución o escalado. c) Consideraciones de temas de seguridad d) Seguimientos de los incidentes y administración del ciclo de vida de los mismos. e) Verificación y cierre de los incidentes f) Primer punto de contacto con el cliente g) Escalamientos jerárquicos. Los incidentes pueden ser reportados por teléfono, s, faxes, cartas, visitas, mensajes telefónicos, o pueden ser registrados directamente por los usuarios con acceso a sistema de registro de incidentes o por sistemas de monitoreo automáticos. Todos los incidentes deben ser registrados de forma tal que toda su información relevante pueda ser recuperada y analizada....

33 Preparando la Certificación Concientización ISO 2000 Definir Visión y Objetivos Definir necesidad De educación ITIL / ISO Definir Auditor Validar alcance Re-evaluación Manejar las Observaciones Auditoria De Certificación Definir Alcance Evaluación inicial Gap Análisis Dar evidencias de Políticas, Procesos Procedimientos ISO Definir Caso de Negocio Definir Sponsor Implementar Mejora Continua Mantener la Certificación Medir Métricas

34 Consideraciones técnicas a tener en cuenta Se requieren cumplir con TODOS los procesos especificados en la ISO :2005 Debe haber registros de al menos 3 meses desde la implementación del último de los procesos La certificación tiene una vigencia de 3 años Se requieren auditorías de control anuales La auditoría de Certificación la debe hacer algunos de los RCB (Registered Certification Bodies) certificados por el ITSMF. Los RCBs no pueden hacer consultoría Los Auditores NO pueden auditar su propio trabajo Se pueden definir diferentes Alcances para la certificación No hace falta auditar sobre lo que ya tiene Certificación ISO 9000 o ISO 17799

35 Claves para lograr la certificación Definir un Plan, Objetivos y Políticas para Administración de Sistemas Implementar el plan de Administración de Sistemas siguiendo la aproximación PDCA (Plan-Do-Check-Act) Manejar la comunicación y el cambio cultural Definir un alcance realista para la Certificación de acuerdo a aspectos: Geográficos Organizacionales Del Servicio Disponer de los recursos necesarios

36 La ISO hoy Empresas certificadas BS ( >70 compañías) Hewlett-Packard GlobalSoft Ltd (India) Hewlett-Packard HK SAR Ltd (Hong Kong) IBM UK Ltd (MOD LITS Service Delivery) (UK) Hitachi Electronics Services Co Ltd (Japon) Samsung Networks (Corea del Sur) ING Service Centre Budapest (Hungria) Lloyds TSB Group Group IT Service Delivery (UK) Public Procurement Service (Corea del sur) State Revenue Office Victoria (Autralia) English Heritage (UK)

37 La ISO hoy Empresas certificadas ISO BT España empresa de telecomunicaciones (España) NEC Corporation System Management Support Division (Japon) (Fortune 500) Northrop Grumman (USA) (Fortune 500) ACS, Affiliated Computer Service, Inc (USA) (Fortune 500) Marval Help desk & IT (UK) Satyam Computer Services Ltd - Servicios de IT (India) Competition Commission IT Dept Organismo público (UK)

38 Muchas Gracias!!! Lic. Sergio Hrabinski

39 ITIL BS ISO la OGC (Oficina Gubernamental del gobierno británico) publica ITIL BSI (Institución de Estándares Británicos) publica la BS 15000: BSI (Institución de Estándares Británicos) publica la BS 15000: ISO (Organización internacional para la estandarización) y la IEC (Comisión Electrotécnica Internacional) publican la ISO/IEC fecha máxima de la certificación BS fecha de validez de la certificación BS 15000