MÉXICO COSTA RICA PANAMÁ COLOMBIA ECUADOR BRASIL PERÚ URUGUAY CHILE ARGENTINA Metodología de SONDA para la implementación exitosa de ISO 20000. Rodrigo Baldecchi Q. Gerente Corporativo de Calidad 04-SEP-14 ÍNDICE 1. Marco general. 2. Arranque de nuestra metodología. 3. ¿Para qué desarrollamos esta metodología? 4. Alcance. 5. Roadmap. 6. Definición de roles y responsabilidades. a) Gestor. b) Coordinador. 7. Síntesis gráfica. 8. Indicadores. 9. Conclusiones. 10. Preguntas. 2 2 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Marco general Complejidad de la industria TI. Hoy las empresas se hallan en ambientes dinámicos y complejos. Por tanto, es necesario que tengan la capacidad para adaptarse crecientemente… Es necesario que haya flexibilidad, rapidez de respuestas correctas y coherencia. Dar un buen servicio a los clientes, que cumpla los compromisos contractuales y ser rentables. 3 3 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Arranque de nuestra metodología Usaremos un lenguaje más sugestivo y menos técnico… Desde la experiencia y no desde la teoría… 1ra. clave… Los “procesos TI” son estructuras vacías, sin vida… son las personas las que les dan vida… Es decir, las acciones de las personas están en el centro de nuestra metodología… Los procesos de actividad humana son no lineales. Se desvían de su finalidad inicial. En consecuencia, es necesario suministrarles energía externa para sostener la dirección… Quien dirige un proyecto debe desarrollar la habilidad para saber en qué momento suministrarles energía… 2da. clave… Recomendamos no imponer por la vía del temor. Porque las personas pierden iniciativa, no crean, no reproducen… En cambio, por la vía de la comprensión surge la responsabilidad. Es en los ámbitos donde la gente se entusiasma o se desmotiva, y es aquí donde se dan los ciclos y los ritmos al proyecto… 3ra. clave… 4 4 www.sonda.com Presentación ISO 20000 en congreso CIGRAS ¿Para qué desarrollamos esta metodología? 5 5 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Alcance ISO 20000 Consideraciones: Los gerentes responsables de las unidades de negocio deben garantizar el alcance de su unidad. El tiempo… El alcance lo redactamos en forma general en vez de particular. Se propone el siguiente: Modelo Descripción alcance ISO 20000-1 Servicios en el campo de las tecnologías de información. Mesa de ayuda. Soporte en terreno. Servicios profesionales. Servicios de Data center y Cloud. 6 6 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Roadmap ETAPA I Preparación ETAPA II Implementación Sistema de gestión del servicio TI Difundir Procesos de negocios y transversales Capacitar Confeccionar, revisar y publicar Marzo - Abril ETAPA III Análisis crítico ETAPA IV Certificación Auditorías Internas Precertificación Mejoras Certificación Implementar Mayo - Julio Agosto - Septiembre Octubre 2014 7 7 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Sistema de Gestión del Servicio (SGS) - ISO 20000-1 8 8 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Diagrama de procesos del SGS Gestión del Servicio Gestión de Entregas Gestión de Cambios Gestión de RRHH Gestión de Configuraciones Diseño y Transición MESA DE SERVICIOS (Jorge Olmedo) Gestión de Problemas Gestión de Incidentes Gestión de Suministrador es SOPORTE EN SITIO (Ricardo Scheffer) SERVICIOS PROFESIONALES (Claudio Miranda) DATACENTER Y CLOUD (Sergio Rademacher) Operación Único Punto de Contacto Coordinación Service Desk Soporte telefónico Soporte Terreno Servicios de soporte Infraestructura Gestión de Relaciones Gestión de Informes Gestión de Continuidad Gestión de Disponibilidad Gestión de la Seguridad de la Información 9 www.sonda.com Gestión de SLA Gestión de Capacidad Gestión de Presupuesto 9 Presentación ISO 20000 en congreso CIGRAS Rol - Gestor Es el responsable de que los procesos transversales incluyan las buenas prácticas del modelo ISO 20000, que estén implementadas y se apliquen en cada área de negocio dentro del alcance. Para ello, en régimen, debe definir y exigir a los Coordinadores los indicadores que den cuenta de la correcta y completa aplicación del proceso transversal. A estos indicadores los llamamos “indicadores del proceso transversal”. Quien monitorea y toma acciones para este propósito es el “Gestor del Servicio”, interactuando con los “Gestores de los procesos Transversales”. Es decir, el Gestor del Servicio gestiona la estructura de procesos para el cumplimiento del modelo ISO 20000. Lo que permite la condición necesaria para la certificación. 10 10 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestores N° Tipo de proceso Proceso Rol Nombre del gestor Gestión del Servicio Gestor del Servicio Luis A. De la Cruz Gestión de Recursos Humanos Gestor de Capacitación Solange Ruz 3 Diseño y Transición de Servicios Gestor de Transición de Servicios Lino Tejeda 4 Gestión de Niveles de Servicio Gestor de Niveles de Servicio Raúl Yáñez G. 5 Gestión de Informes Gestor de Informes Alfredo Niechi 6 Gestión de Continuidad Gestor de Continuidad Marcelo Aravena Gestión de Disponibilidad Gestor de Disponibilidad Günther Hennigs Gestión de Presupuesto Gestor de Presupuesto Oscar Cerda 9 Gestión de Capacidad Gestor de Capacidad Günther Hennigs 10 Gestión de la Seguridad de la Información Gestor de la Seguridad de la Información Jacob Delgado S. Relación del Servicio Gestión de Relaciones Gestor de Relaciones David Sciaraffia Gestión de Suministradores Gestor de Suministradores Julio Ortiz Resolución del Servicio Gestión de Incidentes Gestor de Incidentes Juan Aristizábal Gestión de Problemas Gestor de Problemas Patricia Medina Gestión de Configuraciones Gestor de Configuraciones Juan Carlos Cartes Gestión de Cambios Gestor de Cambios Juan Eduardo Cortez Gestión de Entregas Gestor de Entregas Oscar Molina 1 2 7 8 11 12 13 14 Gestión del Servicio Entrega del Servicio 15 16 Control del Servicio 17 11 www.sonda.com 11 Presentación ISO 20000 en congreso CIGRAS Rol - Coordinador Es el responsable de que los procesos transversales, según fueron definidos por el Gestor, queden implementados y operen en su área para que cumplan las “metas del negocio del área”. Por lo tanto, deben existir indicadores del cumplimiento de esas metas. Debe ser una persona directamente relacionada con el proceso a nivel operativo. No hay dependencia jerárquica con el gestor, aunque están relacionados estructuralmente, en función del proceso. Quien monitorea y toma acciones para este propósito es el “Coordinador del Servicio”, que corresponde al gerente de la unidad de negocio dentro del alcance; es decir, JO; RC; CM; SR. Es decir, el Coordinador del Servicio gestiona la estructura de procesos para el cumplimiento de las metas del negocio, que deben estar alineadas con el Plan Operativo del área. 12 12 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Coordinadores Proceso Mesa de Servicios Soporte Infraestructura Servicios Profesionales Servicios de Data Center G. del Servicio Jorge Olmedo Ricardo Scheffer Claudio Miranda Sergio Rademacher L. G. RRHH Ingrid Contreras Carla Luna Laura Retamales Pamela Ríos G. Diseño y T. de S. Ricardo Salinas Javier Nuñez Ivo Cavlovic Oscar Molina G. SLA Cristian Troncoso Carlos Castro Claudio Chamorro David Sciaraffia G. Informes Isabel Villalobos Sergio Tapia Carolina Lavin Pamela Ríos G. Continuidad Ernesto Cáceres Carla Luna Edith Salinas Jacob Delgado G. Disponibilidad Ernesto Cáceres Luis Suárez Verónica Giacamán Lautaro Carreño G. Presupuesto Juan Aristizábal Manuel Macías Claudio Miranda Roberto Maino G. Capacidad Ricardo Salinas Luis Suarez Hernán Fernández Lautaro Carreño G. SI Felipe Garay Jorge Vielma Patricio Castro Leonidas Pontigo G. Relaciones Ricardo Salinas Carlos Castro Juan Carmona Esteban León G. Suministradores Elizabeth Araya Nestor Medina Víctor Melo José Arriagada G. Incidentes Cristian Troncoso Sergio Tapia Hernán Fernández Mauricio Bilbao G. Problemas Ana Madrid Mauricio Sepúlveda Nelson Bustos Claudio Lizama G. Configuraciones Felipe Garay Jorge Vielma Hernán Fernández Cristina Puebla G. Cambios Felipe Garay Mauricio Sepúlveda Giovani Herrera Andrea Antonucci G. Entregas Ana Madrid Sergio Tapia Ivo Cavlovic Alicia Moreno 13 www.sonda.com 13 Presentación ISO 20000 en congreso CIGRAS Implementación modelo ISO 20000 Gestor Servicio L. A. de la Cruz A4GCSH Coordinador Serv. Jorge Olmedo Coordinador Serv. Ricardo Scheffer Coordinador Serv. Claudio Miranda Coordinador Serv. Sergio Rademacher Mesa de Servicio Soporte en Sitio Servicios Profesionales Data Center y Cloud A1GV G. del servicio G. De RRHH C1 G. Diseño y Tra P C1 Metas Negocio G. de SLA Metas Negocio C1 C1 Metas Negocio Roles Metas Negocio G. Informes C G. Continuidad Metas Negocio C Metas Negocio C C Metas Negocio A2GCH G. Disponibilidad G. Presupuesto C G. Capacidad Metas Negocio C Metas Negocio C Metas Negocio C Metas Negocio Metas Negocio G. Seguridad de I. G. Relaciones C G. Suministradores Metas Negocio C Metas Negocio C C Metas Negocio Metas Negocio G. Incidentes C G. Problemas G. Configuraciones Metas Negocio C Metas Negocio C C Metas Negocio Metas Negocio G. Cambios C17 G. Entregas NORMA ISO 20000-1 14 www.sonda.com A3CV Metas Negocio ISO 20000 Según necesidades del negocio C17 Metas Negocio ISO 20000 Según necesidades del negocio C17 C17 Metas Negocio ISO 20000 Según necesidades del negocio Metas Negocio ISO 20000 Según necesidades del negocio 14 Presentación ISO 20000 en congreso CIGRAS Demanda de tiempo de los Gestores 15 15 www.sonda.com Presentación ISO 20000 en congreso CIGRAS ¿Cuál es la demanda de tiempo de los Coordinadores? ¿? 16 16 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Avance general 17 17 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Avance por gestor 18 18 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Avance por Coordinador 19 19 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Avance por Coordinador 20 20 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Indicadores Indicadores del proceso Difusión Entregables del Proceso Coordinador Tratamiento de Hallazgos Indicadores del proceso Difusión Data Center y Cloud Entregables del Proceso Coordinador Tratamiento de Hallazgos Servicios Profesionales Indicadores del proceso Difusión Entregables del Proceso Coordinador Tratamiento de Hallazgos Difusión Indicadores del proceso Coordinador Soporte de Infraestructura Entregables del Proceso Proceso Tratamiento de Hallazgos Mesa de Servicios Área Global Incidentes Cristian Troncoso Sergio Tapia Hernan Fernadez Mauricio Bilbao 100% Informes Marcelo Vilches Sergio Tapia Carolina Lavin Pamela Rios 100% Problemas Ana Madrid Mauricio Sepulveda Nelson Bustos Mariel Valeria 97% Continuidad Ernesto Cáceres Carla Luna Edith Salinas Jacob Delgado 84% Entregas Ana Madrid Sergio Tapia Ivo Cavlovic Marcela Valenzuela 88% Relación con el negocio Ricardo Salinas Carlos Castro Juan Carmona Esteban León 84% Niveles del Serv Cristian Troncoso Carlos Castro Claudio Chamorro David Sciaraffia 94% Presupuesto y Contabilidad Juan Aristizabal Manuel Macías Claudio Miranda Roberto Maino 100% Marce de Armas 94% Gustavo Ossandon 91% Capacidad Ricardo Salinas Hernán Fernández Verónica Giacamán Luis Suarez Disponibilidad Ernesto Cáceres Luis Suarez Seguridad de la Información Felipe Garay Jorge Vielma Patricio Castro Jacob Delgado 72% Diseño y Transición Ricardo Salinas Javier Nuñez Ivo Cavlovic Oscar Molina 91% Gestión de Cambios Felipe Garay Mauricio Sepúlveda Giovanni Herrera Andrea Antonucci 100% Suministradores Elizabeth Araya Nestor Medina Hernan Fernandez Carlos Regonezzi 78% Recursos Humanos Ingrid Contreras Carla Luna Laura Retamales Pamela Rios 81% Jorge Vielma Hernán Fernandez Configuraciones Felipe Garay 97% 88% 84% 91% 94% 90% Nota: 21 www.sonda.com En el cálculo de los porcentajes promedio se considera: 0% 50% 100% 97% 97% 95% 91% Maritza Cisterna 94% 81% 91% 89% 91% 84% 100% 81% 81% 86% 81% 90% 21 Presentación ISO 20000 en congreso CIGRAS Auditorías internas 22 22 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Concomitancia Los procesos no están aislados y se explican por relaciones simultáneas con procesos del mismo ámbito… A esto le llamamos concomitancia, en vez de causa y efecto. Esta es una clave fundamental… P1 P2 P3 23 23 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Conclusiones Lo que hicimos fue instalar una estructura… Estructura que orienta y reduce la interpretación de nuestra actividad en el ámbito de los servicios TI y nos permite actuar de forma similar en este ámbito… Red, tejido. La implementación es modular… La madurez esperada para la auditoría de certificación, la caracterizamos como: Los procesos están definidos y estandarizados. Están documentados, han sido comunicados, se ejecutan y se miden; Las personas están adecuadamente capacitadas; Los procedimientos son simples, pero las prácticas están formalizadas y es obligación cumplirlos. 24 24 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Control del proyecto Ámbito de Gestores (A1GV). Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos. Ámbito por procesos (A2GCH) Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos. Ámbito de Coordinadores (A3CV) Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos Ámbito del Gestor del Servicio con los Coordinadores del Servicio (A4GCSH) Reunión semanal de 1 hr. Queda un acta de la reunión con los acuerdos y los compromisos. 25 25 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Documentación del SGS La documentación del Sistema de Gestión del Servicio ISO 200001, se encuentra en el sistema MOEBIUS. 26 26 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE www.SONDA.com Rodrigo Baldecchi [email protected] FIN 27 www.sonda.com 27 Presentación ISO 20000 en congreso CIGRAS Gestión del Servicio Proceso Gestión del Servicio TI Gestor Luis Alberto De La Cruz Objetivo Planificar, implementar, medir y mejorar el «Sistema de Gestión del Servicio TI», en relación al negocio y a los compromisos con el cliente. Responsabilidad a) b) c) d) e) f) establecer la política de la gestión del servicio, sus Metas y planes; comunicar la importancia de cumplir con los Metas de gestión del servicio y la necesidad de la mejora continua; asegurar que los requisitos del cliente se determinan y se cumplen con el objetivo de mejorar la satisfacción del cliente. determinar y proveer recursos para planificar, implementar, monitorizar, revisar y mejorar la provisión y la gestión de los servicios, por ejemplo, contratando el personal apropiado o gestionando la rotación de personal; gestionar los riesgos para la organización de la gestión del servicio y para los servicios; y llevar a cabo revisiones de la gestión del servicio, a intervalos planificados, para asegurar la continuidad de su idoneidad, su adecuación y su efectividad. 28 28 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Recursos Humanos Proceso Gestión de RRHH Gestor Solange Ruz Objetivo Asegurar la competencia, concienciación y la formación del personal para un desempeño efectivo. Responsabilidad a) b) c) d) Se deben definir y mantener todos los roles y responsabilidades de la gestión del servicio, junto con las competencias que sean requeridas para su ejecución efectiva. Las competencias y necesidades de formación del personal deben revisarse y gestionarse para permitir al personal llevar a cabo sus roles de forma efectiva. Garantizar que los empleados son conscientes de la relevancia e importancia de sus actividades y de cómo deben contribuir a la consecución de los Metas de la gestión del servicio. Mantener registros apropiados de la educación, formación, habilidades y experiencia. 29 29 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Diseño y transición de servicios nuevos o modificados Proceso Diseño y transición de servicios nuevos o modificados Gestor Pedro Graber Objetivo Definir, acordar, registrar y gestionar los niveles de servicio. Responsabilidad a) b) c) d) e) f) El proveedor del servicio debe identificar los requisitos de servicio para los servicios nuevos o modificados. Los servicios nuevos o modificados se deben planificar para cumplir los requisitos de servicio. La planificación se debe acordar con los clientes y las partes interesadas. El proveedor del servicio debe identificar a terceros que contribuirán al suministro de componentes del servicio. Los servicios nuevos o modificados se deben diseñar y documentar. Los servicios nuevos o modificados se deben probar para verificar que cumplen con los requisitos del servicio y con el diseño documentado. 30 30 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de SLA Proceso Gestión de Niveles de Servicio Gestor Raúl Yáñez Objetivo Definir, acordar, registrar y gestionar los niveles de servicio. Responsabilidad a) b) c) d) e) f) g) Acordar con el cliente los servicios a ser prestados. Acordar un catálogo de servicios con el cliente. Para cada servicio acordar con el cliente uno o más SLA. El proveedor del servicio debe revisar los servicios y los SLA con el cliente a intervalos planificados. Los cambios en los requisitos del servicio, el catálogo de servicios, los SLA y otros acuerdos documentados se deben controlar por el proceso de gestión de cambios. El proveedor del servicio debe monitorear las tendencias y el comportamiento frente a los Metas de servicio a intervalos planificados. Para los componentes del servicio proporcionados por un grupo interno o por el cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado definiendo las actividad. 31 31 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Informes Proceso Gestión de Informes Gestor Alfredo Niechi Objetivo Generar en plazo los informes acordados, fiables y precisos, para informar de la toma de decisiones y para una comunicación eficaz. Responsabilidad Se debe describir claramente cada informe de servicio, incluyendo su identificador, el propósito, la audiencia y los detalles del origen de los datos. Los informes de servicio se deben generar para verificar si se cumplen los requisitos y necesidades de los usuarios. Los informes de servicio deben incluir: a) el rendimiento y comportamiento frente a los Metas de nivel de servicio; b) las no-conformidades y problemas relacionados, por ejemplo con los SLAs o agujeros de seguridad; c) las características de la carga de trabajo, por ejemplo volumen o utilización de recursos; d) los informes de los resultados de los principales eventos, por ejemplo los principales incidentes y cambios; e) la información sobre tendencias; f) el análisis de satisfacción. Las decisiones de gestión y las acciones correctivas deben tener en cuenta los aspectos destacados en los informes de servicio y deben comunicarse a las partes afectadas. 32 32 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Continuidad Proceso Gestión de Continuidad del Servicio Gestor Marcelo Aravena Objetivo Asegurar que los compromisos de continuidad acordados con los clientes pueden cumplirse bajo todas las circunstancias. Responsabilidad a) b) c) d) e) f) Se deben identificar los requisitos de continuidad del servicio sobre la base de los planes de negocio, los SLAs y las evaluaciones del riesgo. Estos planes se deben mantener para asegurar que reflejan los cambios acordados, requeridos por el negocio. El proceso de gestión del cambio debe evaluar el impacto de cualquier cambio sobre los planes de continuidad del servicio. Los planes de continuidad del servicio, la lista de contactos y la base de datos de gestión de la configuración deben estar disponibles incluso en el caso de que no sea posible el acceso normal a las oficinas. El plan de continuidad del servicio debe incluir la actividad de vuelta a la normalidad. El plan de continuidad del servicio debe probarse de acuerdo a las necesidades del negocio. Todas las pruebas de continuidad se deben registrar y tras las pruebas fallidas se deben elaborar planes de acción. 33 33 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Disponibilidad Proceso Gestión de Disponibilidad del Servicio Gestor Günther Hennigs Objetivo Asegurar que los compromisos de disponibilidad acordados con los clientes pueden cumplirse bajo todas las circunstancias. Responsabilidad a) b) c) d) e) f) Se deben identificar los requisitos de disponibilidad del servicio sobre la base de los planes de negocio, los SLAs y las evaluaciones del riesgo. Los requisitos deben incluir los derechos de acceso y los tiempos de respuesta, así como, la disponibilidad extremo a extremo de los componentes del sistema. Los planes de disponibilidad del servicio se deben desarrollar y revisar al menos una vez al año, para asegurar que los requisitos cumplen lo acordado bajo todas las circunstancias, desde la normalidad hasta la pérdida grave del servicio. Estos planes se deben mantener para asegurar que reflejan los cambios acordados, requeridos por el negocio. Los planes de disponibilidad servicio se deben probar de nuevo cuando se produzca un cambio importante en el entorno del negocio. El proceso de gestión del cambio debe evaluar el impacto de cualquier cambio sobre los planes de disponibilidad del servicio. La disponibilidad se debe medir y registrar. Se debe investigar la nodisponibilidad no planeada y se deben llevar a cabo las acciones necesarias. 34 34 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Presupuesto Proceso Gestión de Presupuesto Gestor Oscar Cerda Objetivo Presupuestar y contabilizar los costes de la provisión del servicio. Responsabilidad Elaboración de presupuestos y contabilidad de los servicios de TI. Debe haber políticas y procedimientos documentados para: a) presupuestar y contabilizar todos los componentes, incluyendo los activos de tecnologías de la información, recursos compartidos, gastos generales, servicios suministrados externamente, personas, seguros y licencias; b) la repercusión de costes indirectos y la asignación de costes directos a servicios; c) el control económico efectivo y la autorización. Los costes se deben presupuestar con suficiente detalle para permitir el control económico efectivo y la toma de decisiones. El proveedor del servicio debe monitorizar e informar de los costes contra el presupuesto, revisar las previsiones económicas y gestionar los costes en consonancia. Los costes de los cambios en el servicio se deben valorar y aprobar a través del proceso de gestión del cambio. 35 35 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Capacidad Proceso Gestión de Capacidad Gestor Günther Hennigs Objetivo Asegurar que el proveedor del servicio tiene, en todo momento, la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente. Responsabilidad a) b) c) d) e) f) g) h) El proveedor del servicio debe elaborar, implementar y mantener un plan de capacidad teniendo en cuenta los recursos humanos, técnicos, de información y financieros. La gestión de la capacidad debe estar dirigida a las necesidades del negocio y debe incluir: los requisitos de capacidad, rendimiento y comportamiento, actuales y previstos; la identificación de plazos, umbrales y costes para las actualizaciones del servicio; la evaluación de los efectos sobre la capacidad de actualizaciones anticipadas del servicio, peticiones de cambio, y nuevas tecnologías y técnicas; la previsión del impacto de cambios externos, por ejemplo cambios legislativos; los datos y los procesos para poder realizar análisis predictivos. Se deben identificar métodos, procedimientos y técnicas para la monitorización de la capacidad del servicio, el ajuste del comportamiento y de las prestaciones del servicio y la provisión de la adecuada capacidad. 36 36 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Seguridad de la Información Proceso Gestión de Seguridad de la Información Gestor Jacob Delgado Objetivo Gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio. Responsabilidad a) b) c) d) e) f) g) Los miembros de la dirección con el nivel adecuado de autoridad deben aprobar una política de seguridad de la información. El proveedor del servicio debe gestionar los riesgos. Determinar e implementar los controles físicos, administrativos y técnicos de seguridad de la información. El proveedor del servicio debe revisar la eficacia de los controles de seguridad de la información. El proveedor del servicio debe identificar las organizaciones externas que tienen necesidad de acceder, utilizar o gestionar información o servicios del proveedor del servicio Se deben evaluar las solicitudes de cambio para identificar los riesgos de seguridad de la información Las incidencias de seguridad de la información se deben gestionar utilizando los procedimientos de gestión de incidencias. Las acciones de mejora identificadas durante este proceso, se deben registrar y servir como información de entrada al plan de mejora del servicio. 37 37 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Relaciones Proceso Gestión de Relaciones Gestor David Sciaraffia Objetivo Establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio. Responsabilidad a) b) c) d) Se debe identificar y documentar quienes son los actores principales y los clientes de los servicios. Se deben mantener reuniones a intervalos acordados con el cliente, para evaluar el servicio, los cumplimientos, asuntos varios y planes de acción. Debe existir un proceso de reclamaciones. Todas las reclamaciones formales sobre el servicio son registradas por el proveedor del servicio, investigadas, controladas emprendiendo acciones sobre ellas, informadas y formalmente cerradas. El proveedor del servicio debe tener una o varias personas asignadas como responsable(s) de gestionar la satisfacción del cliente y todo el proceso de gestión de relaciones con el negocio. Debe existir un proceso de medición periódica de la satisfacción del cliente para obtener información y comentarios, y actuar en consecuencia. Las acciones de mejora que se identifiquen durante este proceso se deben registrar y utilizar como información de entrada para un plan de mejora del servicio. 38 38 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Proveedores Proceso Gestión de Proveedores Gestor Julio Ortiz Objetivo Gestionar los suministradores para garantizar la provisión sin interrupciones de servicios de calidad. Responsabilidad a) b) c) d) e) El proveedor del servicio debe designar para cada suministrador, una persona que sea responsable de gestionar la relación; el contrato y el comportamiento del suministrador. El proveedor del servicio y el suministrador deben acordar un contrato documentado. El proveedor del servicio debe acordar con el suministrador niveles de servicio alineados para soportar los SLA entre el proveedor del servicio y el cliente. El proveedor del servicio debe asegurar que los roles y las relaciones entre, suministrador principal y subcontratados están documentados. El proveedor del servicio debe verificar que los suministradores principales gestionan a sus suministradores subcontratados para cumplir las obligaciones contractuales. El proveedor del servicio debe revisar el comportamiento del suministrador frente al contrato. 39 39 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Incidentes Proceso Gestión de Incidentes Gestor Cristián Troncoso Objetivo Restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio. Responsabilidad a) b) c) d) e) Debe existir un procedimiento documentado para todas las incidencias y las solicitudes de servicio desde su registro hasta su cierre. Las incidencias y solicitudes de servicio deben ser gestionadas de acuerdo a estos procedimientos. En la priorización de las incidencias y solicitudes de servicio, el proveedor del servicio debe tener en cuenta el impacto y la urgencia de la incidencia o la solicitud de servicio. El proveedor del servicio debe asegurar que el personal que participa en el proceso de gestión de incidencias y solicitudes de servicio puede acceder y usar la información pertinente (configuraciones, cambios, problemas, entregas) El proveedor del servicio debe mantener informado al cliente sobre el progreso de las incidencias o solicitudes de servicio que haya reportado. El proveedor del servicio debe documentar y acordar con el cliente la definición de incidencia grave. Las incidencias graves deben ser clasificadas y gestionadas de acuerdo a un procedimiento documentado. 40 40 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Problemas Proceso Gestión de Problemas Gestor Patricia Medina Objetivo Minimizar los efectos negativos sobre el negocio de interrupciones del servicio, mediante la identificación y el análisis proactivos de la causa de los incidentes y la gestión de los problemas para su cierre. Responsabilidad a) b) c) d) Debe existir un procedimiento documentado para identificar problemas y minimizar o evitar el impacto de las incidencias y los problemas. El proveedor del servicio debe analizar los datos y tendencias sobre incidencias y problemas para identificar causa raíz y su potencial acción preventiva. Los problemas que requieren cambios en un elemento de configuración (CI) deben ser resueltos mediante la generación de una solicitud de cambio. Cuando la causa raíz del problema ha sido identificada, pero el problema no ha sido resuelto de manera permanente, el proveedor del servicio debe identificar acciones para reducir o eliminar el impacto del problema en los servicios. Los errores conocidos deben ser registrados. 41 41 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Configuraciones Proceso Gestión de Configuraciones Gestor Juan Cartes Objetivo Definir y controlar los componentes del servicio y de la infraestructura, y mantener información precisa sobre la configuración. Responsabilidad a) b) c) d) e) f) g) Debe existir una definición documentada de cada tipo de CI. Los CI deben ser identificados de manera única y registrados en una CMDB. Debe existir un procedimiento documentado para el registro, control y seguimiento de las versiones de los CI. El proveedor del servicio debe auditar los registros almacenados en la CMDB. a intervalos planificados. Los cambios en los CI deben ser trazables y auditables para garantizar la integridad de los Cl y los datos de la CMDB. Se debe tomar una línea de base de configuración de los CI afectados antes del despliegue de una entrega en el entorno de producción. Se deben almacenar copias maestras de los CI registrados en la CMDB en una ubicación física segura o en bibliotecas digitales, referenciadas en los registros de configuración. 42 42 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Cambios Proceso Gestión de Cambios Gestor Mauricio Sepúlveda Objetivo Asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de una manera controlada. Responsabilidad a) b) c) d) e) f) g) Se debe establecer una política de gestión de cambios. Debe existir un procedimiento documentado para registrar, clasificar, evaluar y aprobar las solicitudes de cambio. El proveedor del servicio debe documentar y acordar con el cliente la definición de un cambio de emergencia. El proveedor del servicio y las partes interesadas deben tomar decisiones sobre la aprobación de las solicitudes de cambio. Se deben desarrollar y probar los cambios aprobados. Se debe establecer y comunicar a las partes interesadas una planificación de cambios. Se deben planificar, y cuando sea posible probar, las actividades necesarias para revertir o reparar un cambio no satisfactorio. 43 43 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Gestión de Entregas Proceso Gestión de Entregas Gestor Oscar Molina Objetivo Entregar, distribuir y realizar el seguimiento de uno o más cambios en la entrega en el entorno de producción real. Responsabilidad a) b) c) d) e) f) El proveedor del servicio debe establecer y acordar con el cliente una política de entrega que indique la frecuencia y los tipos de entrega. El proveedor del servicio debe planificar con el cliente y las partes interesadas la implementación de servicios nuevos o modificados, y los componentes de servicio en el entorno de producción. El proveedor del servicio debe documentar y acordar con el cliente la definición de una entrega de emergencia. Las entregas se deben construir y probar antes de su despliegue. Los criterios de aceptación para las entregas se deben acordar con el cliente y las partes interesadas. Se deben planificar y probar cuando sea posible las actividades necesarias para revertir o reparar un despliegue sin éxito de una entrega. 44 44 www.sonda.com Presentación ISO 20000 en congreso CIGRAS Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE www.SONDA.com FIN 45 www.sonda.com 45 Presentación ISO 20000 en congreso CIGRAS