ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios Judit Laguardia [email protected] ORCI Latam www.isaca.org.uy Agenda • Introducción a la Gestión de Servicios (ITIL®) • ISO/IEC 20000: Qué es y por qué se necesita • Economía de Servicios www.isaca.org.uy Servicios y Gestión de Servicios • “Un servicio es el medio de entregar valor a los clientes facilitándole los resultados que quieren lograr, sin costos ni riesgos específicos asociados” (ITIL® 2007) • Gestión de servicio es un conjunto de funciones y procesos para la gestión de servicios durante el ciclo de vida • La Gestión de Servicio transforma los recursos y capacidades de TI en servicios de TI que son apropiados para los requerimientos de las organizaciones • El Valor es el aspecto esencial del concepto de servicio y consta de 2 partes fundamentales que son: Utilidad Garantía www.isaca.org.uy Mejores Prácticas para la Gestión de Servicios TI •Adoptar mejores prácticas ayuda a “cerrar la brecha” entre la capacidad del proveedor y las expectativas de los clientes •El Marco de Referencia ITIL® provee una guía de mejores prácticas aplicable a todos los tipos de organizaciones que proveen servicios TI al negocio •ITIL® utiliza funciones, procesos y roles para crear un enfoque de ciclo de vida para la Gestión de Servicios TI www.isaca.org.uy Cuestionamientos de TI: •¿Está haciendo las cosas correctas? •¿Las está haciendo correctamente? •¿Las que están hechas están bien hechas? •¿Estamos recibiendo los beneficios? www.isaca.org.uy Marcos de referencia para TI ISO 20000 ISO 38500 ISO 19770 Gobernabilidad y Validación Control – Valor al Negocio – Capacidad – Continuidad PMP PMP PRINCE2 PRINCE2 SCRUM SCRUM Gestión de Proyectos Control – Equipo – Procesos- Fases – Límites Mejora Continua SixSigma – LEAN – Togaf Misión – Visión – Análisis - Mejora Seguridad Buenas Prácticas SANS Auditorías ISO 27000 Normativas ISO 17799 Desarrollo Equipos Controles Validaciones Control y Gobierno Procesos – Dominios – Requisitos Gestión Procesos – Suministradores – Roles Infraestructura Hardware – Software – Comunicaciones – Virtualización www.isaca.org.uy CMMi MOF SCRUM BPM Gestión del Riesgo Métodos ISO 31000 Evaluaciones PMI-RM Normativa M_o_R CobiT – SAM – SOX – BSC ITIL – Val IT Diferencias entre ITIL® v2 e ITIL® v3 www.isaca.org.uy Diferencias entre ITIL® v2 e ITIL® v3 • ITIL® v2 en torno a 2 libros principales: - Provisión del Servicio - Soporte del Servicio - Presenta un total de 11 procesos y 1 función - Se alinea con el negocio, todo lo que hacemos es por y para el negocio • ITIL® v3 en torno a 5 libros: Fases del ciclo de vida - SS Estrategia del Servicio; SD Diseño del Servicio ST Transición del Servicio; SO Operación del Servicio CSI Mejora Continua del Servicio Presenta un total de más de 20 procesos y 4 funciones Se integra con el negocio, TI “es” y “forma parte” del negocio www.isaca.org.uy Nueva Revisión ITIL® v3.1 • ITIL® v3 desde la liberación en el 2007 se han registrado 500 comentarios En 2009 arrancó el proceso de revisión con los siguientes objetivos: - Facilitar la implantación Se ha mejorado el libro de SS para que sea más sencillo Todas las publicaciones serán más entendibles Se eliminaron inconsistencias de la versión anterior Estandarizar glosario y definiciones • Se trata de una revisión, NO de una nueva versión; los cambios más enfocados a la forma que al contenido • Las certificaciones se mantendrán, NO será necesario recertificarse en ningún caso www.isaca.org.uy www.isaca.org.uy Panorama General Proveedor de Servicios TI Clientes Negocio Servicio Proceso Servicio Recursos y Capacidades www.isaca.org.uy Función Función Función Servicio Función Garantía y Utilidad Procesos de Negocio Creación de Valor Proceso Interacciones de las funciones Service Desk Gestión Técnica Mainframe Servidor Gestión de las Operaciones de TI Control de Operaciones TI Console Management Job Scheduling Red Backup and restore Almacenamiento Print and Output Base de datos Directory Svs Desktop Middleware Internet/We b © Crown Copyright 2007 Reproduced under licence from OGC www.isaca.org.uy Gestión de Instalaciones Data Centres Recovery Sites Consolidation Contracts ILFN V 4.0 Gestión de Aplicaciones Financial Apps HR Apps Business Apps Efectividad en la Gestión de servicios Las cuatro Ps www.isaca.org.uy • Introducción a la Gestión de Servicios (ITIL®) • ISO/IEC 20000: Qué es y por qué se necesita • Economía de Servicios www.isaca.org.uy ISO/IEC 20000 ¿Qué es ? • Su propósito es “proveer una norma de referencia común para toda empresa que ofrezca servicios de TI tanto a clientes internos como externos” • La norma establece todo lo que es obligatorio para la buena gestión de servicios de TI • Esta recopilación en una norma ISO de los puntos claves de las mejores prácticas ITIL® permite objetivizar y establecer de manera formal la adecuación de los proveedores de servicio a estas mejores prácticas • La parte 1 de ISO/IEC 20000 se publicó en el 2005, desde entonces el comité estuvo trabajando en las mejoras sugeridas por más de 20 países • Normalmente para simplificar se abrevia como ISO 20000 • ITIL ® e ISO/IEC 20000 están alineados (ITIL ® no está basado en ISO /IEC 20000, ni ISO/IEC 20000 está basado en ITIL ®) www.isaca.org.uy ISO/IEC 20000 ¿Para qué? ¿para quién? www.isaca.org.uy ISO/IEC 20000 Alcance • Organización – Toda o una parte – Solo puede ser una única entidad legal • Procesos – TODOS los procesos deben ser desarrollados – Si algunos están externalizados, el proveedor de servicios DEBE demostrar “Gestión de Control” sobro los procesos • Servicios – Los servicios que serán entregados • Clientes – Los Clientes a los cuales se entregarán los servicios • Locación geográfica – Localidades donde serán entregados los servicios • Infraestructura – Podría definirse límites de infraestructura www.isaca.org.uy Revisión ISO/IEC 20000:2011 • • • • • • • Todas las normas deben revisarse cada 5 años Mejor y mayor alineación con la ISO 9001 Mejor y mayor alineación con la ISO 27001 (SGSI) Mejor y mayor alineación con ISTIL v3 Terminología consistente e internacional Procesos nuevos o modificados (entre otros): Gestión de incidencias y peticiones de servicio Gestión de entregas y despliegues Se ha eliminado de su titulo las palabras “Tecnologías de la Información” - Ya no vamos a implantar un SGSTI (Sistema de Gestión de Servicios de Tecnologías de la Información) sino que vamos a implantar un SGS (Sistema de Gestión de Servicios) www.isaca.org.uy Gobierno de procesos operados por otras partes • El prestador de servicio identificará todos los procesos, o parte de procesos, cuyos requisitos sean especificados en las cláusulas de 5 a 9 y que sean operados por otras partes. Esas otras partes pueden ser grupos internos, clientes o proveedores El prestador de servicios demostrará control de gestión (gobierno) sobre procesos operados por otras partes: • Demostrando responsabilidad del proceso y autoridad para exigir adherencia al proceso • Controlando la definición de los procesos, e interfaces con otros procesos • Determinando la eficiencia del proceso, su efectividad y conformidad • Controlando la planificación y priorización de mejoras del proceso www.isaca.org.uy www.isaca.org.uy www.isaca.org.uy ISO/IEC 20000 Alcance www.isaca.org.uy www.isaca.org.uy Deming para Gestión de Servicios www.isaca.org.uy www.isaca.org.uy Ejemplo de Sentencia de Alcance “The IT Service Management System that covers the provision of <services> to <customers> within the technical and organisational boundaries of <legal entity> at <locations>. www.isaca.org.uy 12 Mantener la certificación Establecimiento e Implementación del Sistema de Gestión 11 8 Selección de Auditor ISO 20000 Definición y Administración del Plan 1 www.isaca.org.uy 5 4 Establecimiento de Caso de Negocio 2 Definición del Alcance 9 Evaluación de Preauditoria Mejora Continua 6 Concientización del Proyecto Auditoria de Certificación ISO20K 7 10 Valoración Gap Análisis para ISO 20000 3 www.isaca.org.uy ss e Le ve lM an en t ge m en ag em en t t 24 24 Se r 29 ag em en t vic e R Su ep or pp tin lie g rM an ag em en t vic an M an a M em 63 ur ity as e an ag en t en t 70 Se c el e M m em ag e M an ag an 71 R n m ra t io tM 44 Pr ob le O pe ag em en t t 0 In ci de n em en en t em en t ag em M an ag an en t 90 Se r n M M an ag ia lM an tio ge m 42 an c ur a ha n cit y ag e ge m en t an 50 Fi n on fig C ap a M g es 60 C vic pl em en t in M an a ty ip tin ui Im Se r te m 30 ns h on tio C el a & d ng ed tS ys 80 C R ty an Ch a 0 bi li in g d em en 10 in e ila an 70 Bu s Av a ew Pl an n N M an ag Porcentaje de Conformidad 100 80 66 58 51 43 40 27 20 14 4 ila ss bi li www.isaca.org.uy ge y M an M an ag en t em en t ge m m en t g ur at io ag em en n t M an ag Fi na em nc en ia t lM an ag In em ci de en nt t M an O ag pe em ra t io en n t M an ag Pr em ob le en m t M an ag R el em ea en se t M an ag Se em cu en rit t y Se M an rv ag ice em Le en ve t lM an ag em Se en rv t ice R Su ep or pp tin lie g rM an ag em en t on fig ha n cit an a ag e pl em en t in 14 C ap a em 25 C M ys t Se rv ice s M an Im ty p tin ui ns hi on tio C d ng ed tS 5 el a & an Ch a em en 35 C R ty d in g an 15 Bu sin e Av a ew Pl an n N M an ag No Conformidades Número de No Conformidades 40 37 34 30 31 27 23 20 18 10 18 14 11 32 26 21 21 17 12 6 0 Áreas de Oportunidad GAP ISO20000 Supplier Management (14%) Availability Management (22%) 100 Business Relationship Mangement (50%) 80 Capacity Management (10%) Service Reporting (31%) 60 40 Service Level Management (44%) Change Management (36%) 20 0 Service Continuity Management (0%) Configuration Management (5%) Security Management (28%) Release Management (22%) Problem Management (56%) www.isaca.org.uy Financial Management (44%) Incident Management (56%) Operation Management (68%) Para entender el GAP Análisis • Disciplinas Urgentes (corto plazo) Antes de 4 meses para implementación. • Disciplinas Críticos (mediano plazo) De 4 a 10 meses para implementación. • Disciplinas Necesarias (largo plazo) Posterior a los 10 meses para implementación. www.isaca.org.uy • Foco en los beneficios • Las herramientas son importantes, pero Procesos + Personas >> Herramientas • No subestime – El compromiso – Factor humando – El costo/ tiempos • Mejorar continuamente • SIP, basado en PDCA www.isaca.org.uy • Certificado válido por tres años • Auditorías anuales serán necesarias • Auditorías internas para la Parte 1 • Si hay una no-conformidad importante no se entrega el certificado • Si el auditor encuentra una no-conformidad menor se realizará seguimiento de la misma • En el tercer año se debe hacer una re-certificación total www.isaca.org.uy Cuánto tiempo para lograr la certificación? • Para una compañía que no tiene implementado ITIL: – Aprox. 2 años • Para una compañía con ITIL implementado: – Aprox. 9 meses • Para una compañía con ITIL medianamente implementado: – Aprox. 15 meses • Recuerde que una vez que un proceso es diseñado y documentado, se necesita ponerlo en producción y recabar al menos 3 meses de evidencias antes de ser auditado. www.isaca.org.uy Beneficios ISO/IEC 20000:2011 • • • • • Capacidad para desarrollar un sistema de gestión integrado para múltiples estándares Mayor alineamiento con ITIL Claridad de terminología y requisitos para aumentar su comprensión Proporciona un mayor beneficio de calidad, consistencia y productividad para la prestación del servicio La organización de TI, en verdad, conoce el costo de los servicios que provee. www.isaca.org.uy Ciclo de Vida El Negocio / Clientes Requisitos Estrategia Del servicio Políticas Estrategias Restricciones Portafolio del Servicio Catalogo del Servicio Diseño Del servicio Arquitectura Solución de Diseño Transición Del servicio Normas Planes de Transición Operación Del servicio Soluciones probadas Planes operacionales Mejora continua del Servicio www.isaca.org.uy © Crown Copyright 2007 Reproduced under licence from OGC Requisitos SDP s SKMS Servicios Operacionales Mejora de Acciones y planes www.isaca.org.uy • Introducción a la Gestión de Servicios (ITIL) • ISO/IEC 20000: Qué es y por qué se necesita • Economía de Servicios www.isaca.org.uy • Qué es Economía de Servicios? • Economía de Servicios es un paraguas que convierte los aspectos intangibles del servicio (incluyendo pero no limitado a procesos, personas, clientes, estrategia, valores de marca, competencias) en algo tangible (información financiera) que se aplica al valor del servicio entregado para demostrar al negocio el impacto del mismo www.isaca.org.uy Contabilidad de costos – Gestión Financiera •Traducción de sistemas financieros corporativos a gestión de servicios •Mayor detalle y entendimiento entre provisión y uso del servicio •Consolida existencia y rendimiento de TI •Permite desarrollar mejor la estrategia de servicios •Mejor toma de decisiones •Conformidad: métodos y prácticas adecuadas y consistentes www.isaca.org.uy www.isaca.org.uy Preguntas? Muchas Gracias Judit Laguardia [email protected] www.isaca.org.uy