Metodología de SONDA para la implementación exitosa de ISO 20000.

MÉXICO COSTA RICA PANAMÁ COLOMBIA ECUADOR PERÚ BRASIL URUGUAY CHILE ARGENTINA Metodología de SONDA para la implementación exitosa de ISO 20000. Rodrigo Baldecchi Q. Gerente Corporativo de Calidad 04-SEP-14

ÍNDICE 1. Marco general. 2. Arranque de nuestra metodología. 3. Para qué desarrollamos esta metodología? 4. Alcance. 5. Roadmap. 6. Definición de roles y responsabilidades. a) Gestor. b) Coordinador. 7. Síntesis gráfica. 8. Indicadores. 9. Conclusiones. 10. Preguntas. 2 www.sonda.com 2 Presentación ISO 20000 en congreso CIGRAS

Marco general Complejidad de la industria TI. Hoy las empresas se hallan en ambientes dinámicos y complejos. Por tanto, es necesario que tengan la capacidad para adaptarse crecientemente Es necesario que haya flexibilidad, rapidez de respuestas correctas y coherencia. Dar un buen servicio a los clientes, que cumpla los compromisos contractuales y ser rentables. 3 www.sonda.com 3 Presentación ISO 20000 en congreso CIGRAS

Arranque de nuestra metodología Usaremos un lenguaje más sugestivo y menos técnico Desde la experiencia y no desde la teoría 1ra. clave Los procesos TI son estructuras vacías, sin vida son las personas las que les dan vida Es decir, las acciones de las personas están en el centro de nuestra metodología Los procesos de actividad humana son no lineales. Se desvían de su finalidad inicial. En consecuencia, es necesario suministrarles energía externa para sostener la dirección Quien dirige un proyecto debe desarrollar la habilidad para saber en qué momento suministrarles energía 2da. clave Recomendamos no imponer por la vía del temor. Porque las personas pierden iniciativa, no crean, no reproducen En cambio, por la vía de la comprensión surge la responsabilidad. Es en los ámbitos donde la gente se entusiasma o se desmotiva, y es aquí donde se dan los ciclos y los ritmos al proyecto 3ra. clave 4 www.sonda.com 4 Presentación ISO 20000 en congreso CIGRAS

Para qué desarrollamos esta metodología? 5 www.sonda.com 5 Presentación ISO 20000 en congreso CIGRAS

Alcance ISO 20000 Consideraciones: Los gerentes responsables de las unidades de negocio deben garantizar el alcance de su unidad. El tiempo El alcance lo redactamos en forma general en vez de particular. Se propone el siguiente: Modelo ISO 20000-1 Descripción alcance Servicios en el campo de las tecnologías de información. Mesa de ayuda. Soporte en terreno. Servicios profesionales. Servicios de Data center y Cloud. 6 www.sonda.com 6 Presentación ISO 20000 en congreso CIGRAS

Roadmap ETAPA I ETAPA II ETAPA III ETAPA IV Preparación Implementación Análisis crítico Certificación Sistema de gestión del servicio TI Difundir Auditorías Internas Precertificación Procesos de negocios y transversales Capacitar Confeccionar, revisar y publicar Implementar Mejoras Certificación Marzo - Abril Mayo - Julio Agosto - Septiembre Octubre 2014 7 www.sonda.com 7 Presentación ISO 20000 en congreso CIGRAS

Sistema de Gestión del Servicio (SGS) - ISO 20000-1 8 www.sonda.com 8 Presentación ISO 20000 en congreso CIGRAS

Diagrama de procesos del SGS Gestión de Cambios Gestión de Entregas Gestión del Servicio Gestión de RRHH Gestión de Configuraciones Diseño y Transición Gestión de Problemas MESA DE SERVICIOS (Jorge Olmedo) SOPORTE EN SITIO (Ricardo Scheffer) SERVICIOS PROFESIONALES (Claudio Miranda) DATACENTER Y CLOUD (Sergio Rademacher) Gestión de SLA Gestión de Incidentes Único Punto de Contacto Coordinación Service Desk Operación Gestión de Informes Gestión de Suministrador es Soporte telefónico Soporte Terreno Servicios de soporte Infraestructura Gestión de Continuidad Gestión de Relaciones Gestión de Disponibilidad Gestión de la Seguridad de la Información Gestión de Capacidad Gestión de Presupuesto 9 www.sonda.com 9 Presentación ISO 20000 en congreso CIGRAS

Rol - Gestor Es el responsable de que los procesos transversales incluyan las buenas prácticas del modelo ISO 20000, que estén implementadas y se apliquen en cada área de negocio dentro del alcance. Para ello, en régimen, debe definir y exigir a los Coordinadores los indicadores que den cuenta de la correcta y completa aplicación del proceso transversal. A estos indicadores los llamamos indicadores del proceso transversal. Quien monitorea y toma acciones para este propósito es el Gestor del Servicio, interactuando con los Gestores de los procesos Transversales. Es decir, el Gestor del Servicio gestiona la estructura de procesos para el cumplimiento del modelo ISO 20000. Lo que permite la condición necesaria para la certificación. 10 www.sonda.com 10 Presentación ISO 20000 en congreso CIGRAS

Gestores N Tipo de proceso Proceso Rol Nombre del gestor 1 Gestión del Servicio Gestor del Servicio Luis A. De la Cruz 2 Gestión del Servicio Gestión de Recursos Humanos Gestor de Capacitación Solange Ruz 3 Diseño y Transición de Servicios Gestor de Transición de Servicios Lino Tejeda 4 Gestión de Niveles de Servicio Gestor de Niveles de Servicio Raúl Yáñez G. 5 Gestión de Informes Gestor de Informes Alfredo Niechi 6 Gestión de Continuidad Gestor de Continuidad Marcelo Aravena 7 Entrega del Gestión de Disponibilidad Gestor de Disponibilidad Günther Hennigs 8 Servicio Gestión de Presupuesto Gestor de Presupuesto Oscar Cerda 9 Gestión de Capacidad Gestor de Capacidad Günther Hennigs 10 Gestión de la Seguridad de la Información Gestor de la Seguridad de la Información Jacob Delgado S. 11 Relación del Gestión de Relaciones Gestor de Relaciones David Sciaraffia 12 Servicio Gestión de Suministradores Gestor de Suministradores Julio Ortiz 13 Resolución del Gestión de Incidentes Gestor de Incidentes Juan Aristizábal 14 Servicio Gestión de Problemas Gestor de Problemas Patricia Medina 15 Gestión de Configuraciones Gestor de Configuraciones Juan Carlos Cartes 16 Control del Servicio Gestión de Cambios Gestor de Cambios Juan Eduardo Cortez 17 Gestión de Entregas Gestor de Entregas Oscar Molina 11 www.sonda.com 11 Presentación ISO 20000 en congreso CIGRAS

Rol - Coordinador Es el responsable de que los procesos transversales, según fueron definidos por el Gestor, queden implementados y operen en su área para que cumplan las metas del negocio del área. Por lo tanto, deben existir indicadores del cumplimiento de esas metas. Debe ser una persona directamente relacionada con el proceso a nivel operativo. No hay dependencia jerárquica con el gestor, aunque están relacionados estructuralmente, en función del proceso. Quien monitorea y toma acciones para este propósito es el Coordinador del Servicio, que corresponde al gerente de la unidad de negocio dentro del alcance; es decir, JO; RC; CM; SR. Es decir, el Coordinador del Servicio gestiona la estructura de procesos para el cumplimiento de las metas del negocio, que deben estar alineadas con el Plan Operativo del área. 12 www.sonda.com 12 Presentación ISO 20000 en congreso CIGRAS

Coordinadores Proceso Mesa de Servicios Soporte Infraestructura Servicios Profesionales Servicios de Data Center G. del Servicio Jorge Olmedo Ricardo Scheffer Claudio Miranda Sergio Rademacher L. G. RRHH Ingrid Contreras Carla Luna Laura Retamales Pamela Ríos G. Diseño y T. de S. Ricardo Salinas Javier Nuñez Ivo Cavlovic Oscar Molina G. SLA Cristian Troncoso Carlos Castro Claudio Chamorro David Sciaraffia G. Informes Isabel Villalobos Sergio Tapia Carolina Lavin Pamela Ríos G. Continuidad Ernesto Cáceres Carla Luna Edith Salinas Jacob Delgado G. Disponibilidad Ernesto Cáceres Luis Suárez Verónica Giacamán Lautaro Carreño G. Presupuesto Juan Aristizábal Manuel Macías Claudio Miranda Roberto Maino G. Capacidad Ricardo Salinas Luis Suarez Hernán Fernández Lautaro Carreño G. SI Felipe Garay Jorge Vielma Patricio Castro Leonidas Pontigo G. Relaciones Ricardo Salinas Carlos Castro Juan Carmona Esteban León G. Suministradores Elizabeth Araya Nestor Medina Víctor Melo José Arriagada G. Incidentes Cristian Troncoso Sergio Tapia Hernán Fernández Mauricio Bilbao G. Problemas Ana Madrid Mauricio Sepúlveda Nelson Bustos Claudio Lizama G. Configuraciones Felipe Garay Jorge Vielma Hernán Fernández Cristina Puebla G. Cambios Felipe Garay Mauricio Sepúlveda Giovani Herrera Andrea Antonucci G. Entregas Ana Madrid Sergio Tapia Ivo Cavlovic Alicia Moreno 13 www.sonda.com 13 Presentación ISO 20000 en congreso CIGRAS

Implementación modelo ISO 20000 Gestor Servicio L. A. de la Cruz G. del servicio G. De RRHH G. Diseño y Tra G. de SLA A1GV Coordinador Serv. Jorge Olmedo Mesa de Servicio C1 P Coordinador Serv. Ricardo Scheffer Soporte en Sitio C1 Coordinador Serv. Claudio Miranda Servicios Profesionales C1 Data Center y Cloud C1 A4GCSH Coordinador Serv. Sergio Rademacher Roles G. Informes G. Continuidad G. Disponibilidad G. Presupuesto G. Capacidad C C C C C C C C A2GCH G. Seguridad de I. G. Relaciones G. Suministradores C C C C G. Incidentes G. Problemas G. Configuraciones C C C C G. Cambios G. Entregas C17 C17 C17 C17 NORMA ISO 20000-1 A3CV ISO 20000 Según necesidades del negocio ISO 20000 Según necesidades del negocio ISO 20000 Según necesidades del negocio ISO 20000 Según necesidades del negocio www.sonda.com 14 Presentación ISO 20000 en congreso CIGRAS 14

Demanda de tiempo de los Gestores 15 www.sonda.com 15 Presentación ISO 20000 en congreso CIGRAS

Cuál es la demanda de tiempo de los Coordinadores?? 16 www.sonda.com 16 Presentación ISO 20000 en congreso CIGRAS

Avance general 17 www.sonda.com 17 Presentación ISO 20000 en congreso CIGRAS

Avance por gestor 18 www.sonda.com 18 Presentación ISO 20000 en congreso CIGRAS

Avance por Coordinador 19 www.sonda.com 19 Presentación ISO 20000 en congreso CIGRAS

Avance por Coordinador 20 www.sonda.com 20 Presentación ISO 20000 en congreso CIGRAS

Tratamiento de Hallazgos Difusión Entregables del Proceso Indicadores del proceso Tratamiento de Hallazgos Difusión Entregables del Proceso Indicadores del proceso Tratamiento de Hallazgos Difusión Entregables del Proceso Indicadores del proceso Tratamiento de Hallazgos Difusión Entregables del Proceso Indicadores del proceso Indicadores Área Mesa de Servicios Soporte de Infraestructura Servicios Profesionales Data Center y Cloud Proceso Coordinador Coordinador Coordinador Coordinador Global Incidentes Cristian Troncoso Sergio Tapia Hernan Fernadez Mauricio Bilbao 100% Informes Marcelo Vilches Sergio Tapia Carolina Lavin Pamela Rios 100% Problemas Ana Madrid Mauricio Sepulveda Nelson Bustos Mariel Valeria 97% Continuidad Ernesto Cáceres Carla Luna Edith Salinas Jacob Delgado 84% Entregas Ana Madrid Sergio Tapia Ivo Cavlovic Marcela Valenzuela Relación con el negocio Ricardo Salinas Carlos Castro Juan Carmona Esteban León 84% Niveles del Serv Cristian Troncoso Carlos Castro Claudio Chamorro David Sciaraffia 94% Presupuesto y Contabilidad Juan Aristizabal Manuel Macías Claudio Miranda Roberto Maino 100% Capacidad Ricardo Salinas Luis Suarez Disponibilidad Ernesto Cáceres Luis Suarez Hernán Fernández Verónica Giacamán 88% Marce de Armas 94% Seguridad de la Información Felipe Garay Jorge Vielma Patricio Castro Jacob Delgado 72% Diseño y Transición Ricardo Salinas Javier Nuñez Ivo Cavlovic Oscar Molina 91% Gestión de Cambios Felipe Garay Mauricio Sepúlveda Suministradores Elizabeth Araya Nestor Medina Gustavo Ossandon Giovanni Herrera Andrea Antonucci 100% Hernan Fernandez 91% Carlos Regonezzi 78% Recursos Humanos Ingrid Contreras Carla Luna Laura Retamales Pamela Rios 81% Configuraciones Felipe Garay Jorge Vielma Hernán Fernandez Maritza Cisterna 84% 97% 88% 84% 91% 94% 97% 97% 91% 94% 81% 91% 91% 100% 81% 81% 81% 90% 95% 89% 86% 90% Nota: En el cálculo de los porcentajes promedio se considera: 0% 50% 100% www.sonda.com 21 Presentación ISO 20000 en congreso CIGRAS 21

Auditorías internas 22 www.sonda.com 22 Presentación ISO 20000 en congreso CIGRAS

Concomitancia Los procesos no están aislados y se explican por relaciones simultáneas con procesos del mismo ámbito A esto le llamamos concomitancia, en vez de causa y efecto. Esta es una clave fundamental P1 P2 P3 23 www.sonda.com 23 Presentación ISO 20000 en congreso CIGRAS

Conclusiones Lo que hicimos fue instalar una estructura Estructura que orienta y reduce la interpretación de nuestra actividad en el ámbito de los servicios TI y nos permite actuar de forma similar en este ámbito Red, tejido. La implementación es modular La madurez esperada para la auditoría de certificación, la caracterizamos como: Los procesos están definidos y estandarizados. Están documentados, han sido comunicados, se ejecutan y se miden; Las personas están adecuadamente capacitadas; Los procedimientos son simples, pero las prácticas están formalizadas y es obligación cumplirlos. 24 www.sonda.com 24 Presentación ISO 20000 en congreso CIGRAS

Control del proyecto Ámbito de Gestores (A1GV). Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos. Ámbito por procesos (A2GCH) Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos. Ámbito de Coordinadores (A3CV) Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos Ámbito del Gestor del Servicio con los Coordinadores del Servicio (A4GCSH) Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos. 25 www.sonda.com 25 Presentación ISO 20000 en congreso CIGRAS

Documentación del SGS La documentación del Sistema de Gestión del Servicio ISO 20000-1, se encuentra en el sistema MOEBIUS. 26 www.sonda.com 26 Presentación ISO 20000 en congreso CIGRAS

Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE www.sonda.com Rodrigo Baldecchi rodrigo.baldecchi@sonda.com FIN 27 www.sonda.com 27 Presentación ISO 20000 en congreso CIGRAS

Gestión del Servicio Proceso Gestor Gestión del Servicio TI Luis Alberto De La Cruz Objetivo Planificar, implementar, medir y mejorar el «Sistema de Gestión del Servicio TI», en relación al negocio y a los compromisos con el cliente. Responsabilidad a) establecer la política de la gestión del servicio, sus y planes; b) comunicar la importancia de cumplir con los de gestión del servicio y la necesidad de la mejora continua; c) asegurar que los requisitos del cliente se determinan y se cumplen con el objetivo de mejorar la satisfacción del cliente. d) determinar y proveer recursos para planificar, implementar, monitorizar, revisar y mejorar la provisión y la gestión de los servicios, por ejemplo, contratando el personal apropiado o gestionando la rotación de personal; e) gestionar los riesgos para la organización de la gestión del servicio y para los servicios; y f) llevar a cabo revisiones de la gestión del servicio, a intervalos planificados, para asegurar la continuidad de su idoneidad, su adecuación y su efectividad. www.sonda.com 28 Presentación ISO 20000 en congreso CIGRAS 28

Gestión de Recursos Humanos Proceso Gestor Gestión de RRHH Solange Ruz Objetivo Asegurar la competencia, concienciación y la formación del personal para un desempeño efectivo. Responsabilidad a) Se deben definir y mantener todos los roles y responsabilidades de la gestión del servicio, junto con las competencias que sean requeridas para su ejecución efectiva. b) Las competencias y necesidades de formación del personal deben revisarse y gestionarse para permitir al personal llevar a cabo sus roles de forma efectiva. c) Garantizar que los empleados son conscientes de la relevancia e importancia de sus actividades y de cómo deben contribuir a la consecución de los de la gestión del servicio. d) Mantener registros apropiados de la educación, formación, habilidades y experiencia. 29 www.sonda.com 29 Presentación ISO 20000 en congreso CIGRAS

Diseño y transición de servicios nuevos o modificados Proceso Gestor Objetivo Diseño y transición de servicios nuevos o modificados Pedro Graber Definir, acordar, registrar y gestionar los niveles de servicio. Responsabilidad a) El proveedor del servicio debe identificar los requisitos de servicio para los servicios nuevos o modificados. b) Los servicios nuevos o modificados se deben planificar para cumplir los requisitos de servicio. c) La planificación se debe acordar con los clientes y las partes interesadas. d) El proveedor del servicio debe identificar a terceros que contribuirán al suministro de componentes del servicio. e) Los servicios nuevos o modificados se deben diseñar y documentar. f) Los servicios nuevos o modificados se deben probar para verificar que cumplen con los requisitos del servicio y con el diseño documentado. 30 www.sonda.com 30 Presentación ISO 20000 en congreso CIGRAS

Gestión de SLA Proceso Gestor Objetivo Gestión de Niveles de Servicio Raúl Yáñez Definir, acordar, registrar y gestionar los niveles de servicio. Responsabilidad a) Acordar con el cliente los servicios a ser prestados. b) Acordar un catálogo de servicios con el cliente. c) Para cada servicio acordar con el cliente uno o más SLA. d) El proveedor del servicio debe revisar los servicios y los SLA con el cliente a intervalos planificados. e) Los cambios en los requisitos del servicio, el catálogo de servicios, los SLA y otros acuerdos documentados se deben controlar por el proceso de gestión de cambios. f) El proveedor del servicio debe monitorear las tendencias y el comportamiento frente a los de servicio a intervalos planificados. g) Para los componentes del servicio proporcionados por un grupo interno o por el cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado definiendo las actividad. 31 www.sonda.com 31 Presentación ISO 20000 en congreso CIGRAS

Gestión de Informes Proceso Gestor Objetivo Responsabilidad Gestión de Informes Alfredo Niechi Generar en plazo los informes acordados, fiables y precisos, para informar de la toma de decisiones y para una comunicación eficaz. Se debe describir claramente cada informe de servicio, incluyendo su identificador, el propósito, la audiencia y los detalles del origen de los datos. Los informes de servicio se deben generar para verificar si se cumplen los requisitos y necesidades de los usuarios. Los informes de servicio deben incluir: a) el rendimiento y comportamiento frente a los de nivel de servicio; b) las no-conformidades y problemas relacionados, por ejemplo con los SLAs o agujeros de seguridad; c) las características de la carga de trabajo, por ejemplo volumen o utilización de recursos; d) los informes de los resultados de los principales eventos, por ejemplo los principales incidentes y cambios; e) la información sobre tendencias; f) el análisis de satisfacción. Las decisiones de gestión y las acciones correctivas deben tener en cuenta los aspectos destacados en los informes de servicio y deben comunicarse a las partes afectadas. 32 www.sonda.com 32 Presentación ISO 20000 en congreso CIGRAS

Gestión de Continuidad Proceso Gestor Gestión de Continuidad del Servicio Marcelo Aravena Objetivo Asegurar que los compromisos de continuidad acordados con los clientes pueden cumplirse bajo todas las circunstancias. Responsabilidad a) Se deben identificar los requisitos de continuidad del servicio sobre la base de los planes de negocio, los SLAs y las evaluaciones del riesgo. b) Estos planes se deben mantener para asegurar que reflejan los cambios acordados, requeridos por el negocio. c) El proceso de gestión del cambio debe evaluar el impacto de cualquier cambio sobre los planes de continuidad del servicio. d) Los planes de continuidad del servicio, la lista de contactos y la base de datos de gestión de la configuración deben estar disponibles incluso en el caso de que no sea posible el acceso normal a las oficinas. El plan de continuidad del servicio debe incluir la actividad de vuelta a la normalidad. e) El plan de continuidad del servicio debe probarse de acuerdo a las necesidades del negocio. f) Todas las pruebas de continuidad se deben registrar y tras las pruebas fallidas se deben elaborar planes de acción. 33 www.sonda.com 33 Presentación ISO 20000 en congreso CIGRAS

Gestión de Disponibilidad Proceso Gestor Gestión de Disponibilidad del Servicio Günther Hennigs Objetivo Asegurar que los compromisos de disponibilidad acordados con los clientes pueden cumplirse bajo todas las circunstancias. Responsabilidad a) Se deben identificar los requisitos de disponibilidad del servicio sobre la base de los planes de negocio, los SLAs y las evaluaciones del riesgo. Los requisitos deben incluir los derechos de acceso y los tiempos de respuesta, así como, la disponibilidad extremo a extremo de los componentes del sistema. b) Los planes de disponibilidad del servicio se deben desarrollar y revisar al menos una vez al año, para asegurar que los requisitos cumplen lo acordado bajo todas las circunstancias, desde la normalidad hasta la pérdida grave del servicio. c) Estos planes se deben mantener para asegurar que reflejan los cambios acordados, requeridos por el negocio. d) Los planes de disponibilidad servicio se deben probar de nuevo cuando se produzca un cambio importante en el entorno del negocio. e) El proceso de gestión del cambio debe evaluar el impacto de cualquier cambio sobre los planes de disponibilidad del servicio. f) La disponibilidad se debe medir y registrar. Se debe investigar la nodisponibilidad no planeada y se deben llevar a cabo las acciones necesarias. 34 www.sonda.com 34 Presentación ISO 20000 en congreso CIGRAS

Gestión de Presupuesto Proceso Gestor Objetivo Gestión de Presupuesto Oscar Cerda Presupuestar y contabilizar los costes de la provisión del servicio. Responsabilidad Elaboración de presupuestos y contabilidad de los servicios de TI. Debe haber políticas y procedimientos documentados para: a) presupuestar y contabilizar todos los componentes, incluyendo los activos de tecnologías de la información, recursos compartidos, gastos generales, servicios suministrados externamente, personas, seguros y licencias; b) la repercusión de costes indirectos y la asignación de costes directos a servicios; c) el control económico efectivo y la autorización. Los costes se deben presupuestar con suficiente detalle para permitir el control económico efectivo y la toma de decisiones. El proveedor del servicio debe monitorizar e informar de los costes contra el presupuesto, revisar las previsiones económicas y gestionar los costes en consonancia. Los costes de los cambios en el servicio se deben valorar y aprobar a través del proceso de gestión del cambio. 35 www.sonda.com 35 Presentación ISO 20000 en congreso CIGRAS

Gestión de Capacidad Proceso Gestor Gestión de Capacidad Günther Hennigs Objetivo Asegurar que el proveedor del servicio tiene, en todo momento, la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente. Responsabilidad a) El proveedor del servicio debe elaborar, implementar y mantener un plan de capacidad teniendo en cuenta los recursos humanos, técnicos, de información y financieros. b) La gestión de la capacidad debe estar dirigida a las necesidades del negocio y debe incluir: c) los requisitos de capacidad, rendimiento y comportamiento, actuales y previstos; d) la identificación de plazos, umbrales y costes para las actualizaciones del servicio; e) la evaluación de los efectos sobre la capacidad de actualizaciones anticipadas del servicio, peticiones de cambio, y nuevas tecnologías y técnicas; f) la previsión del impacto de cambios externos, por ejemplo cambios legislativos; g) los datos y los procesos para poder realizar análisis predictivos. h) Se deben identificar métodos, procedimientos y técnicas para la monitorización de la capacidad del servicio, el ajuste del comportamiento y de las prestaciones del servicio y la provisión de la adecuada capacidad. 36 www.sonda.com 36 Presentación ISO 20000 en congreso CIGRAS

Gestión de Seguridad de la Información Proceso Gestor Gestión de Seguridad de la Información Jacob Delgado Objetivo Gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio. Responsabilidad a) Los miembros de la dirección con el nivel adecuado de autoridad deben aprobar una política de seguridad de la información. b) El proveedor del servicio debe gestionar los riesgos. Determinar e implementar los controles físicos, administrativos y técnicos de seguridad de la información. c) El proveedor del servicio debe revisar la eficacia de los controles de seguridad de la información. d) El proveedor del servicio debe identificar las organizaciones externas que tienen necesidad de acceder, utilizar o gestionar información o servicios del proveedor del servicio e) Se deben evaluar las solicitudes de cambio para identificar los riesgos de seguridad de la información f) Las incidencias de seguridad de la información se deben gestionar utilizando los procedimientos de gestión de incidencias. g) Las acciones de mejora identificadas durante este proceso, se deben registrar y servir como información de entrada al plan de mejora del servicio. 37 www.sonda.com 37 Presentación ISO 20000 en congreso CIGRAS

Gestión de Relaciones Proceso Gestor Gestión de Relaciones David Sciaraffia Objetivo Establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio. Responsabilidad a) Se debe identificar y documentar quienes son los actores principales y los clientes de los servicios. b) Se deben mantener reuniones a intervalos acordados con el cliente, para evaluar el servicio, los cumplimientos, asuntos varios y planes de acción. c) Debe existir un proceso de reclamaciones. Todas las reclamaciones formales sobre el servicio son registradas por el proveedor del servicio, investigadas, controladas emprendiendo acciones sobre ellas, informadas y formalmente cerradas. d) El proveedor del servicio debe tener una o varias personas asignadas como responsable(s) de gestionar la satisfacción del cliente y todo el proceso de gestión de relaciones con el negocio. Debe existir un proceso de medición periódica de la satisfacción del cliente para obtener información y comentarios, y actuar en consecuencia. Las acciones de mejora que se identifiquen durante este proceso se deben registrar y utilizar como información de entrada para un plan de mejora del servicio. 38 www.sonda.com 38 Presentación ISO 20000 en congreso CIGRAS

Gestión de Proveedores Proceso Gestor Gestión de Proveedores Julio Ortiz Objetivo Gestionar los suministradores para garantizar la provisión sin interrupciones de servicios de calidad. Responsabilidad a) El proveedor del servicio debe designar para cada suministrador, una persona que sea responsable de gestionar la relación; el contrato y el comportamiento del suministrador. b) El proveedor del servicio y el suministrador deben acordar un contrato documentado. c) El proveedor del servicio debe acordar con el suministrador niveles de servicio alineados para soportar los SLA entre el proveedor del servicio y el cliente. d) El proveedor del servicio debe asegurar que los roles y las relaciones entre, suministrador principal y subcontratados están documentados. El proveedor del servicio debe verificar que los suministradores principales gestionan a sus suministradores subcontratados para cumplir las obligaciones contractuales. e) El proveedor del servicio debe revisar el comportamiento del suministrador frente al contrato. 39 www.sonda.com 39 Presentación ISO 20000 en congreso CIGRAS

Gestión de Incidentes Proceso Gestor Gestión de Incidentes Cristián Troncoso Objetivo Restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio. Responsabilidad a) Debe existir un procedimiento documentado para todas las incidencias y las solicitudes de servicio desde su registro hasta su cierre. Las incidencias y solicitudes de servicio deben ser gestionadas de acuerdo a estos procedimientos. b) En la priorización de las incidencias y solicitudes de servicio, el proveedor del servicio debe tener en cuenta el impacto y la urgencia de la incidencia o la solicitud de servicio. c) El proveedor del servicio debe asegurar que el personal que participa en el proceso de gestión de incidencias y solicitudes de servicio puede acceder y usar la información pertinente (configuraciones, cambios, problemas, entregas) d) El proveedor del servicio debe mantener informado al cliente sobre el progreso de las incidencias o solicitudes de servicio que haya reportado. e) El proveedor del servicio debe documentar y acordar con el cliente la definición de incidencia grave. Las incidencias graves deben ser clasificadas y gestionadas de acuerdo a un procedimiento documentado. 40 www.sonda.com 40 Presentación ISO 20000 en congreso CIGRAS

Gestión de Problemas Proceso Gestor Gestión de Problemas Patricia Medina Objetivo Minimizar los efectos negativos sobre el negocio de interrupciones del servicio, mediante la identificación y el análisis proactivos de la causa de los incidentes y la gestión de los problemas para su cierre. Responsabilidad a) Debe existir un procedimiento documentado para identificar problemas y minimizar o evitar el impacto de las incidencias y los problemas. b) El proveedor del servicio debe analizar los datos y tendencias sobre incidencias y problemas para identificar causa raíz y su potencial acción preventiva. c) Los problemas que requieren cambios en un elemento de configuración (CI) deben ser resueltos mediante la generación de una solicitud de cambio. d) Cuando la causa raíz del problema ha sido identificada, pero el problema no ha sido resuelto de manera permanente, el proveedor del servicio debe identificar acciones para reducir o eliminar el impacto del problema en los servicios. Los errores conocidos deben ser registrados. 41 www.sonda.com 41 Presentación ISO 20000 en congreso CIGRAS

Gestión de Configuraciones Proceso Gestor Gestión de Configuraciones Juan Cartes Objetivo Definir y controlar los componentes del servicio y de la infraestructura, y mantener información precisa sobre la configuración. Responsabilidad a) Debe existir una definición documentada de cada tipo de CI. b) Los CI deben ser identificados de manera única y registrados en una CMDB. c) Debe existir un procedimiento documentado para el registro, control y seguimiento de las versiones de los CI. d) El proveedor del servicio debe auditar los registros almacenados en la CMDB. a intervalos planificados. e) Los cambios en los CI deben ser trazables y auditables para garantizar la integridad de los Cl y los datos de la CMDB. f) Se debe tomar una línea de base de configuración de los CI afectados antes del despliegue de una entrega en el entorno de producción. g) Se deben almacenar copias maestras de los CI registrados en la CMDB en una ubicación física segura o en bibliotecas digitales, referenciadas en los registros de configuración. 42 www.sonda.com 42 Presentación ISO 20000 en congreso CIGRAS

Gestión de Cambios Proceso Gestor Gestión de Cambios Mauricio Sepúlveda Objetivo Asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de una manera controlada. Responsabilidad a) Se debe establecer una política de gestión de cambios. b) Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar las solicitudes de cambio. c) El proveedor del servicio debe documentar y acordar con el cliente la definición de un cambio de emergencia. d) El proveedor del servicio y las partes interesadas deben tomar decisiones sobre la aprobación de las solicitudes de cambio. e) Se deben desarrollar y probar los cambios aprobados. f) Se debe establecer y comunicar a las partes interesadas una planificación de cambios. g) Se deben planificar, y cuando sea posible probar, las actividades necesarias para revertir o reparar un cambio no satisfactorio. 43 www.sonda.com 43 Presentación ISO 20000 en congreso CIGRAS

Gestión de Entregas Proceso Gestor Gestión de Entregas Oscar Molina Objetivo Entregar, distribuir y realizar el seguimiento de uno o más cambios en la entrega en el entorno de producción real. Responsabilidad a) El proveedor del servicio debe establecer y acordar con el cliente una política de entrega que indique la frecuencia y los tipos de entrega. b) El proveedor del servicio debe planificar con el cliente y las partes interesadas la implementación de servicios nuevos o modificados, y los componentes de servicio en el entorno de producción. c) El proveedor del servicio debe documentar y acordar con el cliente la definición de una entrega de emergencia. d) Las entregas se deben construir y probar antes de su despliegue. e) Los criterios de aceptación para las entregas se deben acordar con el cliente y las partes interesadas. f) Se deben planificar y probar cuando sea posible las actividades necesarias para revertir o reparar un despliegue sin éxito de una entrega. 44 www.sonda.com 44 Presentación ISO 20000 en congreso CIGRAS

Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE www.sonda.com FIN 45 www.sonda.com 45 Presentación ISO 20000 en congreso CIGRAS