Ruta de implementación y principales novedades de la segunda edición de la Norma ISO/IEC 20000
1. Ruta de Implementación y Principales
Novedades de la Segunda Edición
de la Norma ISO/IEC 20000
Bismark Israel Suárez Herrera
Consultor ITSM
Junio 2011
2. Agenda para la Sesión
I. Preámbulo a los Sistemas de Gestión
● ¿Qué son las normas ISO?.
● ¿Para qué recibir una certificación ISO?.
II. La norma para la Gestión de Servicios de Tecnologías de la Información
● ¿Qué es la ISO/IEC 20000?.
● ¿Cuál es su alcance y sus objetivos principales?.
III. Cómo implementamos nuestro Sistema de Gestión de Servicios de TI.
● Interacción de los procesos.
● Estructura documental del Sistema de Gestión.
● Rumbo a la certificación ISO/IEC 20000.
● Serie de normas ISO/IEC 20000.
IV. Segunda edición de la norma y principales novedades.
Slide: 2
3. ¿Qué son las normas ISO?
ISO es la Organización
Internacional de
Normalización.
9001 Gestión de la
Calidad
Alineación
TI al
Negocio
14001 Gestión Ambiental
Actuar Planear
27001 Gestión de la
Nivel de Madurez
Verificar Hacer
Seguridad de la
Información
20000 Gestión de
Servicios de Tecnologías
de la Información (TI) Escala de
Tiempo
Slide: 3
4. ¿Para qué recibir una certificación ISO?
Ampliación de mercados (cumplimiento con los clientes que requieren
proveedores certificados).
Mejorar procesos (evitar retrabajo, optimizar gastos, documentar
actividades).
Fomenta la cultura de calidad en la Organización (PHVA).
Mayor control sobre proveedores.
Slide: 4
5. ¿Qué es la norma ISO/IEC 20000?
Normalizada por las organizaciones ISO e IEC.
1a Edición: 14 de diciembre de 2005, 2a Edición: 15 de abril de 2011.
Estándar reconocido internacionalmente para la Gestión de Servicios de
TI.
Proviene de la adopción de la serie BS 15000 desarrollada por la British
Standards Institution (BSI).
Existe una percepción de que los servicios de TI no están alineados con las
necesidades del negocio.
Evidencia el compromiso de cumplir con las necesidades del negocio a
través de un SGSTI.
Slide: 5
6. ¿Qué es la norma ISO/IEC 20000?
Alineación con ISO 9001 e ISO/IEC 27001.
Alineación con ITIL®.
Nos dice qué debemos lograr, pero no el cómo, (COBIT® , ITIL® , ISO/IEC
27001, etc.).
Promueve que la documentación no sea excesiva.
Aplica tanto a proveedores de TI, como a Áreas Internas de TI de
cualquier Organización.
Slide: 6
7. Alcance de la norma ISO/IEC 20000-1:2005
3. Sistema de Gestión
(Responsabilidad de la Dirección, Requisitos de Documentación , Competencia, Concientización y
Formación)
4. Planeando & Implementando la Gestión del Servicio PDCA
5. Planificación e implementación de Servicios nuevos o modificados
6. Procesos de Provisión del Servicio
Gestión de Niveles de Servicio
Reportes de Servicio Gestión de la
Gestión de la Capacidad
Seguridad de la
Gestión de la Continuidad y la Información
Disponibilidad del Servicio
Presupuestando y
contabilizando los
9. Procesos de Control servicios de TI
Gestión de las Configuraciones
Gestión de Cambios
10. Procesos de 7. Procesos de
8. Procesos de
Liberación Relaciones
Resolución
Gestión de Incidentes Gestión de Relaciones del Negocio
Gestión de Liberaciones
Gestión de Problemas Gestión de Proveedores
Slide: 7
8. Alcances y objetivos por proceso
Requisitos de un Sistema de Gestión
● Proveer un sistema de gestión que incluya las políticas y el marco de trabajo para hacer
posible una efectiva gestión e implantación de todos los servicios de TI, incluye la
responsabilidad de la dirección, los requisitos de la documentación y la competencia,
concienciación y formación.
Planificación e implementación del servicio
● Planear, Implementar y verificar los servicios y sus procesos de gestión, y actuar en
consecuencia para la mejora continua.
Planificación e implementación de servicios nuevos o modificados
● Asegurar que tanto los servicios nuevos, como las modificaciones a los existentes, se
pueden gestionar y proveer con los costes y calidad acordados.
Gestión del nivel de servicio
● Definir, acordar, registrar y gestionar los niveles de servicio.
Informes del servicio
● Generar en plazo los informes acordados, fiables y precisos, que sirvan de apoyo a la toma
de decisiones y faciliten una comunicación eficaz.
Slide: 8
9. Alcances y objetivos por proceso
Gestión de la disponibilidad y la continuidad del servicio
● Asegurar que los compromisos adquiridos con los clientes sobre la disponibilidad y la
continuidad del servicio se pueden cumplir bajo todas las circunstancias.
Presupuestos y contabilidad de los servicios de TI
● Elaborar y controlar los presupuestos y contabilizar los costos de la provisión del servicio.
Gestión de la seguridad de la información
● Gestionar eficazmente la seguridad de la información para todas las actividades del
servicio.
Gestión de relaciones con el negocio
● Establecer y mantener una buena relación entre el proveedor de servicios y el cliente,
basándose en el entendimiento del cliente y de los fundamentos de su negocio.
Slide: 9
10. Alcances y objetivos por proceso
Gestión de Proveedores
• Gestionar a los proveedores para garantizar la provisión sin interrupciones de servicios de
calidad.
Gestión de Incidentes
• Restaurar el servicio acordado con el negocio tan pronto sea posible o responder a peticiones
de servicio.
Gestión de Problemas
• Minimizar los efectos negativos sobre el negocio de interrupciones del servicio, mediante la
identificación y el análisis proactivos de la causa de los incidentes y la gestión de los problemas
para su cierre.
Slide: 10
11. Alcances y objetivos por proceso
Gestión de la Configuración
• Definir y controlar los componentes del servicio y la infraestructura, y mantener información
precisa sobre la configuración.
Gestión de Cambios
• Asegurar que todos los cambios son evaluados, aprobados, implantados y revisados de una
manera controlada.
Gestión de Entrega
• Suministrar, distribuir y realizar el seguimiento de uno o más cambios en una entrega en el
entorno de producción.
Slide: 11
12. Interacción de procesos
Gestión del Servicio
Procesos de Gestión de
Planificar Servicios
Entradas Planificar la
• Requisitos del Gestión de Salidas
Servicios
cliente • Requisitos del
• Requisitos del cliente
servicio cumplidos
• Información Hacer • SLA cumplidos
para los planes Actuar Servicios Implementar la • Planes de
de gestión de Mejora Continua de TI gestión del gestión del
servicio
servicios servicio
• Solicitud de • Servicios nuevos
Proceso: Acciones correctivas/
servicios nuevos preventivas/mejora
o modificados
o modificados • Satisfacción del
• Solicitudes al Verificar cliente y de los
Service Desk Monitorizar, medir usuarios
• Información y revisar • Satisfacción del
para grupos de Proceso: Auditorías Internas equipo y de las
soporte personas
• Presupuesto
• Políticas y
directrices
Proceso: Revisiones directivas
Soporte Administrativo Proceso: Control de documentos
Proceso: Control de registros
Responsabilidad en la Dirección, Proceso: Competencia.
Requisitos de la documentación, Concientización y formación
Competencia, conciliación y
formación
Slide: 12
13. Estructura documental de los sistemas ISO
Visión
Misión
Política y objetivos
Estructura del SGSTI
Para controlar documentos, registros, realizar
auditorias internas, revisiones directivas, no
conformidades, acciones correctivas,
preventivas y de mejora, y los procesos de
gestión del servicio
Actividades específicas enunciadas en
los procedimientos
Evidencia de cumplimiento
Slide: 13
14. Rumbo a la Certificación ISO 20000
• Análisis de brecha.
• Definición del alcance.
• Diseño de procesos
• Acciones correctivas, (procedimientos, instructivos de
preventivas y de mejora. trabajo y documentos de evidencia).
• Preparación de las herramientas
Proceso de
Certificación si la
auditoría interna es
satisfactoria • Implementación formal del Sistema
de Gestión de Servicios de TI
(manual, procedimientos,
instrucciones de trabajo).
• Generación de evidencia.
• Auditorias Internas/externas. • Seguimiento de procesos y
• Revisión al cumplimiento procedimientos.
y recomendaciones. • Campañas periódicas de
capacitación al SGSTI y
sensibilización al personal
Slide: 14
15. Serie de normas ISO/IEC 20000
Parte 1: ISO/IEC 20000-1:2005 – Especificación.
Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas.
Parte 3: ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la
aplicabilidad.
Parte 4: ISO/IEC TR 20000-4: 2010 - Modelo de referencia de procesos.
Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de un plan de
implementación (caso de negocio, análisis GAP de tres fases).
Slide: 15
16. Novedades de la Segunda
Edición de la Norma
ISO/IEC 20000-1
:2011
17. Metodología PDCA aplicada a la gestión del
servicio en la norma ISO/IEC 20000-1:2011
Plan
Sistema de Gestión de
Servicios (SMS)
Actuar Procesos de gestión Hacer
del servicio
Servicios
Verificar
Slide: 17
18. Alcance de la norma ISO/IEC 20000-1:2011
4. Sistema de Gestión de Servicios (SMS)
(Responsabilidad de la Dirección, gobierno de procesos operados por
otras partes, gestión de recursos, implementando el SMS)
PDCA
5. Diseño y transición de servicios nuevos o
modificados
Requisitos 6. Procesos de Provisión del Servicio Servicios
del servicio
Gestión de Niveles de Servicio Gestión de la
Gestión de la Capacidad Reportes de Servicio Seguridad de la (Clientes y
(Clientes y
Gestión de la Continuidad y la
Información otras partes
otras partes
Disponibilidad del Servicio Presupuestando y interesadas)
interesadas)
9. Procesos de Control contabilizando los
servicios de TI
Gestión de las Configuraciones
Gestión de Cambios
Gestión de liberaciones y despliegue
7. Procesos de 8. Procesos de
Resolución Relaciones
Gestión de Relaciones del
Gestión de Incidentes y
Negocio
solicitudes de servicio
Gestión de Proveedores
Gestión de Problemas
Slide: 18
19. Novedades de la segunda edición de la
norma
Sección 1ra. edición 2da.edición
1 Objeto y campo de aplicación Alcance
Aplicación (Resalta el control que debe mantener el proveedor de
servicios respecto de los procesos que son operados por otras
partes).
2 Términos y definiciones Referencias normativas (nueva)
• Referencia a la parte dos de la norma “Código de prácticas”.
3 Requisitos del Sistema de Gestión Términos y definiciones
•Responsabilidad de la dirección.
•Requisitos de la documentación.
•Competencia, concientización y
formación.
Slide: 19
20. Novedades de la segunda edición de la
norma
Sección 1ra. edición 2da.edición
4 Planificación e Requerimientos generales de un Sistema de Gestión del Servicio, ahora
implementación de la incluye:
gestión del servicio Requisitos del SMS (anteriormente secc. 3)
Mayores referencias para lo que la Alta dirección debe hacer.
Clarifica el contenido de la política de gestión (ampliar la comunicación
de los requerimientos legales y reglamentarios, relación con todos los
procesos de gestión del servicio, resalta el control sobre los procesos
ejecutados por otras partes, información que se debe generar para
revisar y evaluar el sistema).
Amplia los requisitos para la gestión documental.
Amplia los requisitos para el aseguramiento de la competencia de
personal involucrado en la gestión del servicio.
Alineación de los planes de gestión del servicio con las políticas y los
servicios.
Prioriza la atención a las no conformidades y a su resolución.
Los criterios para evaluar el sistema deben estar basados en una
actividad de mejora continua.
La mejora debe estar basada en la calidad y valor a la organización.
Incluye la metodología PDCA para la gestión del Servicio:
Planear , Implementar, Monitorear y Actuar.
Slide: 20
21. Novedades de la segunda edición de la
norma
Sección 1ra. edición 2da.edición
5 Planeación e implementación de Diseño y transición de servicios nuevos o modificados
servicios nuevos o modificados Secciona el apartado en 3 fases: Planificación, Diseño y
Incluye los requerimientos desarrollo, y Transición.
para la fase de Planificación. Amplia los requisitos para asegurar que la entrega del servicio
cumpla con los objetivos establecidos.
Amplia los requisitos de gestión para cuando un servicio va a
ser liberado.
Adiciona un requerimiento para la gestión de riesgos durante
todo el ciclo de vida del servicio.
Slide: 21
22. Novedades de la segunda edición de la
norma
Sección 1ra. edición 2da.edición
6 Procesos de provisión del Procesos de provisión del servicio
servicio Niveles de servicio.- las dependencias entre los servicios, ahora
deben ser declaradas en el catálogo de servicios, especifica los rubros
que deben ser cubiertos por los SLA (objetivos, carga de trabajo,
excepciones).
Reportes del servicio.- se requiere definir la frecuencia de los
reportes, clarifica las no conformidades en el servicio que deben ser
reportadas, así como la tramitación de quejas.
Continuidad y disponibilidad.- Clarifica los requerimientos para
acordar los requisitos de continuidad y disponibilidad con el cliente y
con las partes interesadas, especifica los contenidos del plan de
continuidad del servicio.
Presupuesto y contabilidad.- Definir las interfaces entre este proceso
y otros que se encuentren inmersos en la gestión financiera, los
costos generales de cada servicio deben ser conocidos.
Capacidad.-Los planes de capacidad deben considerar a las personas,
tecnología, información, implicaciones monetarias y limitaciones.
Seguridad.-Evaluar la efectividad de los controles de seguridad, e
implementar las acciones correctivas necesarias, clarifica los
requisitos para las auditorias a la seguridad de la información, mayor
alineación con ISO 27000.
Slide: 22
23. Novedades de la segunda edición de la
norma
Sección 1ra. edición 2da.edición
7 Procesos de relaciones Procesos de relaciones
Relaciones con el negocio.- La evaluación de la satisfacción del cliente
debe ser realizada a intervalos planificados.
Proveedores.- Clarifica los contenidos de los contratos con
suministradores (ej. Carga de trabajo, gestión de variaciones con
respecto a lo contratado, etc.).
8 Procesos de resolución Procesos de resolución
Gestión del incidente El proceso de incidentes ahora es denominado “Gestión de
incidentes y solicitudes de servicio”.
Gestión de incidentes y solicitudes de servicio.- las solicitudes de
servicio deben estar gestionadas de acuerdo a un procedimiento
establecido, amplia los requisitos para la gestión de incidentes
mayores (su definición, su asignación, su revisión post cierre).
Problemas.- se deben implementar acciones que mitiguen el impacto
causado por errores conocidos, o bien, directamente abordarlo bajo
la gestión de problemas para su solución, se deben priorizar los
problemas detectados.
Slide: 23
24. Novedades de la segunda edición de la
norma
Sección 1ra. edición 2da.edición
9 Procesos de control Procesos de control
Configuraciones.- Cita los atributos mínimos que debe enunciar cada
CI (ejemplo, relaciones entre los CI), los errores conocidos enlazados
con cada CI ahora deben ser registrados.
Cambios.- Definir una política de gestión de cambios, adición de
requisitos para la clasificación de cambios, relación con el proceso de
diseño y transición (secc. 5) para cambios mayores, la CMDB debe ser
actualizada después de la liberación y despliegue de un servicio.
Gestión de la liberación y despliegue.- la definición de una liberación
de emergencia debe ser acordada con el cliente, los criterios de
aceptación de una liberación deben ser acordados y revisados
posteriormente al despliegue.
10 Proceso de liberaciones N/A
Gestión de
liberaciones
Slide: 24