Grupo 4 iso 20000-final

Universidad Nacional Mayor de San Marcos
Facultad de Ciencias Contables
Escuela de Contabilidad
ISO 20000-CALIDAD DE
LOS SERVICIOS TI
GRUPO: 4
INTEGRANTES:
Haro Bendita Freddy Andree
Hernández Atayupanqui Scott
Nieves Estacio José Guzmán
Julca Gonzales David
Hinostroza Parion Erick Alonso
 Chavez Ibarra Joao Sebastian
DOCENTE: Poma Torres, Walter
AULA: 312– N
2021

1
ISO 20000-CALIDAD DE LOS SERVICIOS TI
AUDITORÍA DE SISTEMAS
Índice
1. ¿Qué es la Norma ISO 20000?.....................................................................................3
2. ¿Cuál es el objetivo de la Norma ISO 20000?..............................................................3
3. ¿Qué son los servicios TI? ...........................................................................................4
4. Diferencias entre ITILe ISO 20000, ¿Se complementan?............................................5
5. Partes de ISO 20000....................................................................................................6
5.1. ISO 20000-1/2011. Requerimientos de Sistema de Gestión de Servicios. ...................6
5.2. ISO 20000-2/2012. Guía de Aplicación de los Sistemas de Gestión de los Servicios. ..8
5.3. ISO 20000-3/2012. Proveedores de Servicio............................................................9
5.4. ISO 20000-4/2012. Modelo de Evaluación de Procesos............................................9
5.5. ISO 20000-5/2013. Ejemplo de Plan de Implementación. .........................................9
5.6. ISO 20000-9/2015. Guía de Aplicación para Servicios en la Nube............................9
5.7. ISO 20000-10/2015. Conceptos y Metodología......................................................10
5.8. ISO 20000-12/2015. Guía de relación entre ISO e ITIL..........................................10
6. Porque es importante la ISO 20000...........................................................................10
7. Contenido de ISO 20000............................................................................................11
7.1. Objeto y campo de aplicación............................................................................11
7.2. Normas para consultas.......................................................................................11
7.3. Términos y definiciones .....................................................................................11
7.4. Contexto de la organización...............................................................................12
7.5. Liderazgo...........................................................................................................12
7.6. Planificación......................................................................................................12
7.7. Apoyo ................................................................................................................15
7.8. Operación..........................................................................................................17
7.8.1. Planificación y control operacional................................................................17
7.8.2. Portafolio de servicios ..................................................................................17
7.8.3. Relación y acuerdos......................................................................................19
7.8.4. Oferta y demanda.........................................................................................20
7.8.5. Diseño construcción y transición de servicios .................................................21
7.8.6. Resolución y ejecución .................................................................................22
7.8.7. Aseguramiento de servicios...........................................................................23
7.9. Evaluación del desempeño.................................................................................24
7.9.1. Seguimiento, medición, análisis y evaluación.................................................25
7.9.2. Auditoría interna ..........................................................................................25

2
7.9.3. Revisión por la dirección ..............................................................................26
7.9.4. Informes de servicio .....................................................................................27
7.10. Mejora............................................................................................................27
8. Caso ..........................................................................................................................28
8.1. Planteamiento del problema..............................................................................28
8.2. Estructura de la oficina general de TI................................................................30
8.3. Instrumentos de investigación............................................................................30
8.4. Plan de implantación de ISO 20000-1 ................................................................30
8.5. Planificación de implantación............................................................................31
8.6. Estado actual:....................................................................................................31
8.7. Implementación de los procesos.........................................................................33
8.7.1. Proceso gestión de nivel de servicio...............................................................33
8.7.2. Proceso gestión de los informes de servicio....................................................34
8.7.3. Proceso gestión de la capacidad:....................................................................34
8.7.4. Proceso gestión de la seguridad de la información ..........................................35
8.7.5. Proceso gestión de incidencias y peticiones del servicio..................................35
8.7.6. Proceso gestión de problemas........................................................................36
8.7.7. Proceso gestión de los cambios......................................................................36
8.8. Conclusiones y recomendaciones del estudio......................................................36
Conclusión y Recomendación...........................................................................................37
Bibliografía.......................................................................................................................38

3
1. ¿Qué es la Norma ISO 20000?
ISO 20000 es la norma internacional sobre Gestión de servicios de TI, publicada por ISO
(Organización Internacional de Normalización) e ICE (Comisión Electrotécnica
Internacional). Para convertirse en norma internacional, ISO 20000 tuvo que ser aceptada
por una mayoría de países miembros, lo que significa que es aceptada por la mayoría de
los países en todo el mundo.
La norma ISO 20000 recoge un conjunto de procesos eficientes de gestión sobre servicios
de TI, de aplicación, tanto en el ámbito interno de una empresa, como en el externo. Se
trata de una mejora y reorganización de contenidos de la norma BS15000, dándole
carácter internacional y convirtiéndola en un estándar de calidad en servicios de gestión
y soporte de TI.
La ISO 20000 proporciona la metodología y el marco que ayuda a gestionar la parte de
Gestión de Servicios de TI y, al mismo tiempo, permite demostrar que la empresa sigue
las mejores prácticas. Con los requerimientos de la norma se puede lograr las mejores
prácticas que ayudarán a mejorar la prestación de servicios de TI. Además, ISO 20000 se
puede aplicar a cualquier tamaño de empresa de cualquier sector económico.
Esquema ISO 20000 (2018) - Sistema de Gestión de Servicios de TI
2. ¿Cuál es el objetivo de la Norma ISO 20000?
El objetivo de la norma ISO es ofrecer a las empresas una certificación que garantiza que
la metodología y buenas prácticas están correctamente establecidas en sus procesos de
gestión de la información. Al implantar ISO 20000 las empresas conseguirán una

4
integración de sus procesos que incluye un sistema de mejora continuo en la calidad de
sus servicios, tanto a sus clientes como de forma interna.
3. ¿Qué son los servicios TI?
Son configuraciones que se realizan de un conjunto de recursos que están disponibles en
la organización de TI y se colocan a servicio de la organización.
A través del control de la tecnología se debe asegurar conocer los servicios críticos de TI
y posteriormente mantener la disponibilidad de estos servicios.
Pueden ser tanto Servicios a Clientes externos o servicios brindados a partes internas de
la organización y necesarios para el desarrollo de la actividad de su negocio
En el objetivo de mejorar la gestión de servicios TI ISO 20000 nos proporciona:
 Un conjunto de procesos de administración de servicios TI
 Un conjunto de buenas prácticas internacionales
Servicios rentables
Las inversiones en Tecnologías de la información para la provisión de servicios tanto
internos como a clientes son de vital importancia en las organizaciones afectando tanto a
sus operaciones como a sus formas de comunicación, marketing etc.
Es por ello que la gestión de los servicios TI supone para muchas organizaciones un
elemento fundamental de cómo hacer negocios.
En este escenario, cualquier organización basada en servicios de TI para alcanzar
objetivos tales como, adelantar a sus competidores, conseguir mayor cuota de mercado o
conseguir mayor rentabilidad y eficiencia, debe plantearse una metodología probada para
conseguir estas mejoras. Este es el campo de aplicación de la norma ISO 20000, que en
definitiva no persigue otro objetivo que conseguir mejorar los ingresos, la reputación
organizacional y reducir costos de operación para ser más competitivos.

5
SGSTI Sistema de Gestión de Servicios de Tecnologías de la Información (Fuente:
NORMA ISO)
4. Diferencias entre ITIL e ISO 20000, ¿Se complementan?
La diferencia básica entre ISO 20000 e ITIL es que ISO 20000 le proporciona la
metodología y el marco, mientras que ITIL le brinda los detalles (mejores prácticas) sobre
cómo gestionar todos y cada uno de los procesos de TI en su organización.
Una buena forma de pensarlo es que ISO 20000 le dice qué necesita hacer, mientras que
ITIL le dice cómo hacerlo.
ISO 20000 no funciona completamente aislado. Se puede implementar en forma separada
de ITIL, pero es una realidad que sí van muy bien juntos.
Distinto a una norma, ITIL es un marco práctico de mejores prácticas que se enfoca en
alinear sus servicios de TI con las necesidades mayores de su negocio. Como empresa,
usted no puede ser certificado por ITIL, solo puede cumplir las directrices de mejores
prácticas.
ISO 20000 está basada en los principios fundamentales de ITIL y es una norma ante la
cual puede certificar a su empresa.

6
Marcos y estándares de TI - ITIL e ISO 20000
Fuente: Gartner Group
5. Partes de ISO 20000
Son específicas para los proveedores del servicio, la norma ISO 2000 está dividida
en 8 bloques diferenciados, aunque los dos más utilizados son las denominadas parte
1 y parte 2.
5.1. ISO 20000-1/2011. Requerimientos de Sistema de Gestión de Servicios.
Define claramente todos los requerimientos que una entidad que presta servicios
necesita para brindarles a sus clientes servicios gestionados de TI de calidad
aceptable. Incluye:
a) Requerimientos del Sistema de gestión del servicio
La alta dirección deberá proporcionar evidencia de su compromiso con la
planificación, establecimiento, implementación, operación, monitoreo,
revisión, mantenimiento y mejora de los SMS y los servicios mediante:
a) Establecer y comunicar el alcance, la política y los objetivos para la
gestión del servicio;
b) Creando un plan de gestión del servicio con el fin de cumplir con la política
y lograr los objetivos para la gestión del servicio y los del propio servicio;
c) Comunicar la importancia de cumplir con los requisitos del servicio;
d) Comunicando la importancia de cumplir con los requisitos reglamentarios
y legales y las obligaciones contractuales;
e) Asegurando la provisión de recursos;

7
f) Planificar y realizar auditorías internas y revisiones de la administración;
g) Asegurando que los riesgos a los servicios sean evaluados y gestionados.
b) Diseño y transición de servicios nuevos o modificados
El proceso de gestión y control de cambios contempla la necesidad de las
empresas de incorporar nuevos servicios o mejorar los existentes,
estableciendo requisitos para el proceso de diseñas incorporar y realizar la
transición a los nuevos servicios.
Para ello se establecen requisitos para los siguientes procesos:
 Proceso de planificación de servicios nuevos o modificados: identificación
de los requisitos de servicio para el servicio nuevo o modificado.
 Proceso de diseño y desarrollo de servicios nuevos o modificados: diseño
y documentación del servicio nuevo o modificado.
 Proceso de transición de servicios nuevos o modificados: prueba del nuevo
servicio para verificar el cumplimiento de los requisitos del servicio y
diseño documentado.
c) Procesos de entrega de servicios
En esta cláusula se establecen requisitos para los siguientes procesos
relacionados con la entrega del servicio:
 Proceso de Gestión del Nivel de Servicio
 Proceso de realización de Informes de servicio: Requisitos para la
descripción de cada informe de servicio.
 Proceso de Gestión de disponibilidad y continuidad del servicio: el
proveedor del servicio evaluará y documentará los riesgos para la
continuidad del servicio y la disponibilidad de los servicios.
 Evaluación de costes y control financiero de los servicios: requisitos para
la evaluación de los costes a nivel presupuestario para permitir un control
financiero efectivo y la toma de decisiones para los servicios prestados.
d) Procesos de relaciones
Se establecen requisitos para dos procesos de relación con respecto a la
administración de los servicios TI:

8
 Gestión de relaciones comerciales: requisitos para establecer y
mantener unas buenas las relaciones entre el proveedor de servicios y
el cliente, basadas en la comprensión del cliente y sus unidades de
negocio.
 Gestión de proveedores: requisitos para la gestión de proveedores con
el objetivo de garantizar la prestación de servicios de calidad
constante.
e) Procesos de resolución
Esta cláusula incluye requisitos para la gestión de incidencias, solicitudes de
servicio, y gestión de problemas.
Para ello la norma se fija en las mejores prácticas existentes en muchas
organizaciones para procesar informes de incidentes y procesos de cambio de
servicio a través de un proceso común.
f) Procesos de control
En esta cláusula se describen los siguientes procesos y sus requerimientos
Gestión de la configuración: Se refiere a la gestión de los activos del servicio
y sus elementos de configuración (CI) para admitir otros procesos de gestión
de servicios.
Gestión del cambio: se establecerá una política de gestión del cambio que
defina
Gestión de liberación y despliegue: el proveedor del servicio debe establecer
y acordar con el cliente una política de liberación de servicios que considere
la frecuencia y el tipo de puesta en marcha de un servicio.
5.2. ISO 20000-2/2012. Guía de Aplicación de los Sistemas de Gestión de los
Servicios.
Es el código de práctica para gestión del servicio de TI; y es la guía para aplicación
de los sistemas de gestión del servicio. En otras palabras, le ayuda a interpretar
los requerimientos de la norma. Define los procesos de gestión de mejores
prácticas y es muy útil si se está preparando para ser auditado ante ISO 20000 o
si está planificando mejoras en los servicios.

9
5.3. ISO 20000-3/2012. Proveedores de Servicio
Se trata de una guía para ayudar a las empresas a definir el alcance de la aplicación
de la norma ISO/IEC 20000-1 así como para la definición de la conformidad con
sus requisitos.
5.4. ISO 20000-4/2012. Modelo de Evaluación de Procesos.
Describe el modelo para realizar una evaluación de procesos de provisión de
servicios TI según los requisitos de la norma ISO 15504. Contiene tanto los
requisitos para realizar la evaluación y una escala de medición para evaluar la
capacidad del proceso.
5.5. ISO 20000-5/2013. Ejemplo de Plan de Implementación.
Contiene recomendaciones para proveedores de servicios sobre la mejor manera
de cumplir con los requisitos de ISO / IEC 20000-1 estableciendo un plan de
implementación gradual de la norma en tres fases.
El modelo de implementación propuesto también contiene ejemplos de políticas
sobre provisión de servicios TI que cada proveedor puede adaptar para satisfacer
los requisitos de la norma y los propios de cada organización
Esta guía además provee una orientación sobre la gestión de la documentación,
incluyendo plantillas para algunos de los documentos especificados en ISO / IEC
20000-1: 2011 que pueden modificarse para adaptarse a las circunstancias
individuales.
5.6. ISO 20000-9/2015. Guía de Aplicación para Servicios en la Nube.
Se trata de una guía para implementar ISO / IEC 20000-1: 2011 en proveedores
de servicios que ofrecen servicios en la nube (Cloud Services). Es aplicable a
diferentes categorías de servicios en la nube, como las definidas en ISO / IEC
17788 / ITU-T Y.3500 e ISO / IEC 17789 / ITU-T Y.3502. Cubre todo tipo de
servicios en la nube tales como:
a) Servicio “IaaS” – Infraestructuras
b) Servicios (PaaS) – Plataformas
c) Servicio (SaaS) – Software

10
La aplicabilidad de ISO / IEC 20000-1 es independiente del tipo de tecnología o
modelo de servicio utilizado para prestar los servicios. Todos los requisitos en ISO
/ IEC 20000-1 pueden ser aplicables a los proveedores de servicios en la nube.
La guía se presenta como un conjunto de escenarios que pueden abordar muchas
de las actividades típicas de un proveedor de servicios en la nube.
5.7. ISO 20000-10/2015. Conceptos y Metodología.
Contiene conceptos básicos de ISO / IEC 20000 y lo que es más interesante, cómo
son las relaciones entre ISO / IEC 20000 y otras normas internacionales e informes
técnicos con una explicación de la terminología utilizada en ISO / IEC 20000, para
poder interpretar los conceptos correctamente.
5.8. ISO 20000-12/2015. Guía de relación entre ISO e ITIL.
Se trata de un informe técnico sobre la relación entre ISO / IEC 20000-1 y un
marco de gestión de servicios de uso común, ITIL.
Puede ser utilizado por cualquier organización o persona que desee comprender
cómo se puede usar ITIL con ISO / IEC 20000? 1: 2011, incluye recomendaciones
para integrar ITIL con ISO 20000 así como una relación de causas, procesos y
términos incluidos en ambas normas
6. Porque es importante la ISO 20000
Implantar la norma ISO 20000 ayudara a su organización a evaluar su Gestión de
servicios TI consiguiendo:
 Mejorar sus servicios.
 Demostrar la capacidad de su empresa para cumplir con los requisitos del
cliente.
 Adquirir una herramienta para la evaluación independiente de la calidad de sus
servicios.
 Obtendrá una diferenciación competitiva al demostrar confiabilidad y alta
calidad de servicio.
 Facilita el acceso a mercados clave, ya que muchas organizaciones en el sector
público y grandes empresas exigen que sus proveedores de servicios de TI
demuestren conformidad con ISO 20000.

11
 Mejora la confianza de sus clientes mediante la seguridad de que se cumplirán
sus requisitos de servicio.
 Instaura en su empresa un nivel medible de efectividad y una cultura de mejora
continua al permitir a los proveedores de servicios monitorear, medir y revisar
sus procesos y servicios de administración de servicios.
 Reduce los costos de conformidad con una multitud de regulaciones como por
ejemplo PCI DSS
 Facilita el poder aprovechas las mejores prácticas de ITIL para optimizar
recursos y procesos.
7. Contenido de ISO 20000
7.1. Objeto y campo de aplicación
La norma ISO 20000 tiene por objeto la gestión global y eficiente de los Servicios,
abarcando un conjunto de procesos clave que van desde la gestión de los niveles de
servicio, la generación de informes, presupuestos y contabilidad de los servicios, hasta
la gestión de proveedores, incidentes y problemas, gestión de cambios y gestión de la
entrega, entre otros. Dentro del campo de aplicación tenemos:
a) Para negocios que solicitan ofertas para sus servicios.
b) Para negocios que requieren de un enfoque consistente por parte de todos sus
Proveedores del servicio en la cadena de suministro.
c) Por proveedores del servicio para medir y comparar su gestión del servicio de
TI.
d) Como base de una evaluación independiente.
e) Por una organización que necesite demostrar su capacidad para proveer
servicios que cumplan con los requisitos de los clientes.
f) Por una organización que busque mejorar los servicios, mediante la aplicación
efectiva de los procesos para monitorizar y mejorar la calidad de los servicios.
7.2. Normas para consultas
Para ISO20000 no se incluye ninguno.
7.3. Términos y definiciones
Los términos y definiciones relevantes se dan en dos áreas; los específicos de los
estándares del sistema de gestión y los específicos de la gestión de servicios.

12
7.4. Contexto de la organización
Esta sección trata de comprender tanto como sea posible sobre la organización en sí y el
entorno en el que opera. El punto clave del SMS es que debe ser apropiado y relevante
para las características específicas de la empresa y los servicios a los que se aplica. Para
garantizar esto, las personas que implementan y ejecutan el SMS deben poder responder
preguntas sobre qué hace la organización, dónde, cómo y para quién (además de muchas
otras).
7.5. Liderazgo
La sección de liderazgo de la norma trata de demostrar que la alta dirección se toma en
serio el SMS y lo respalda. Pueden hacer esto de varias formas. La primera es
demostrando el compromiso de la dirección: en parte esto es simplemente diciendo que
apoyan al SMS en reuniones en artículos en revistas internas y externas, en
presentaciones a empleados y partes interesadas, etc. y en parte asegurándose de que los
recursos y procesos correctos estén en lugar para apoyar al personal de SMSer,
presupuesto, revisiones de la gerencia, planes, etc. A veces, este tipo de actividades
puede ser difícil de evidenciar ante una subasta, por lo que dentro del Kit de
herramientas hemos proporcionado una serie de documentos que pueden ayudar en esto,
incluida una alta gerencia plan de comunicación, una carta de apoyo ejecutivo y una
plantilla de acta de reuniones relevantes.
7.6. Planificación
Documentos relevantes del kit de herramientas
 Plan de gestión de servicios
 Proceso de evaluación y tratamiento de riesgos
 Herramienta de evaluación y tratamiento de riesgos
 Informe de evaluación de riesgos
 Plan de tratamiento de riesgos
 Herramienta de evaluación de oportunidades
La gestión de riesgos y oportunidades es un principio clave de ISO 20000 y un proceso
para lograrlo es proporcionada en la Caja de herramientas, junto con la herramienta, el
informe y el plan de acción correspondientes. Aunque el énfasis suele estar en gran
medida en el posible impacto negativo de los riesgos.

13
Es necesario realizar una evaluación de riesgos para analizar y evaluar la probabilidad de
varios eventos ocurriendo, particularmente con respecto a la seguridad de la información
y la continuidad del servicio. Esto le dará la oportunidad de hacer algo acerca de los
riesgos que son probables y tienen un impacto significativo impacto. La norma ISO 20000
lo alienta a ser proactivo en la prevención de problemas sucediendo en primer lugar;
obviamente, si todavía lo hacen, entonces tendrá un plan para administrar el impacto.
Hay muchas formas de analizar el riesgo y, aunque la norma ISO 20000 no lo sugiere
explícitamente, otra norma, la ISO 31000, podría utilizarse como marco para ello. Vale
la pena leer ISO 31000 y muestra cómo establecer un marco de evaluación de riesgos en
toda la organización, no solo para fines de gestión de servicios, sino para todos los riesgos
potenciales para el negocio. Pero la propia ISO 31000 no entra en detalles sobre cómo
deben identificarse los riesgos; hay otro estándar que lo hace, que es ISO 31010. A partir
de esto, puede darse cuenta de que la evaluación de riesgos es un tema muy importante
en sí mismo y que hay muchas técnicas disponibles para usar si lo desea; ISO 20000 no
dicta cuál usar y lo más recomendable es que lo mantenga lo más simple posible.
El Kit de herramientas proporciona un proceso de evaluación de riesgos que es compatible
con el estándar ISO 31000. La identificación eficaz del riesgo a menudo se puede hacer
simplemente llevando a las personas adecuadas con los conocimientos relevantes a una
sala y preguntándoles qué es lo que más le preocupa con respecto a su área de
responsabilidad. Esto debería brindarle un buen punto de partida para evaluar los riesgos
que identifican.
Se puede consultar a otras partes, como consultores externos y autoridades, cuando sea
apropiado, para obtener una imagen lo mejor posible.
Los riesgos identificados se pueden ingresar en la Herramienta de Evaluación y
Tratamiento de Riesgos para una entidad que esta implementado la ISO, le ayuda a
evaluar la probabilidad y el impacto de cada riesgo, dando una puntuación de riesgo. El
libro de trabajo utiliza un esquema de clasificación definido para etiquetar cada riesgo
como riesgo alto, medio o bajo, según su puntuación. Se proporciona una plantilla de
Informe de evaluación de riesgos en el Kit de herramientas para comunicar los resultados
de la evaluación de riesgos a la alta dirección y para que puedan aprobarla.
La necesidad de abordar o no cada riesgo mediante acciones depende del apetito por el
riesgo que decida adoptar. Para aquellos riesgos que deben abordarse, hay tres opciones
principales:

14
1. Mitigar: tomar alguna acción para reducir la probabilidad o el impacto del riesgo.
2. Evitar: dejar de realizar la actividad que da lugar al riesgo.
3. Transferencia: haga que otra parte asuma el riesgo (por ejemplo, un seguro).
Cada una de estas opciones tendrá algún efecto sobre la probabilidad o el impacto del
riesgo, o sobre ambos.
La herramienta de evaluación y tratamiento de riesgos le permite definir qué efecto cree
que tendrá la acción para decidir si es suficiente.
Una vez que se han identificado, analizado y evaluado los riesgos, se crea el plan de
tratamiento de riesgos.
Una vez más, la Caja de herramientas tiene un plan modelo que puede usarse para obtener
la aprobación de la alta dirección de las acciones de riesgo recomendadas, algunas de las
cuales pueden implicar un gasto de dinero. La alta dirección también debe estar de
acuerdo con los niveles de riesgo residual después de que se hayan implementado las
acciones (es decir, los riesgos que nos quedan una vez que hayamos hecho todo lo
propuesto).
El punto clave a recordar al abordar el riesgo es que se trata de una compensación. Pocas
organizaciones tienen fondos ilimitados y, por lo tanto, el dinero gastado en el tratamiento
de riesgos debe generar un beneficio mayor que el costo. Hay muchas formas de realizar
este tipo de análisis "cuantitativo" para que la pérdida potencial de un riesgo se puede
expresar en términos económicos. El método utilizado en la Caja de herramientas es
"cualitativo" en el sentido de que simplemente categoriza los riesgos. Si su organización
desea utilizar métodos cuantitativos más detallados para evaluar la pérdida de riesgo
frente al costo del tratamiento, entonces eso es perfectamente aceptable dentro de la
norma ISO 20000.
Dentro de la sección de planificación de la norma, debemos establecer qué se pretende
lograr con el SMS y cómo se hará. Conrespecto al SMS (SGS en español), hay dos niveles
principales de objetivos. El primero son los objetivos de alto nivel que se plantean al
definir el contexto del SMS. Estos tienden a ser bastante amplios y no específicos para
describir por qué el SMS es necesario en primer lugar y estos objetivos probablemente
no cambiarán mucho.

15
El segundo nivel de objetivos está más orientado a la acción y se referirá a un plazo fijo.
El Plan de gestión de servicios es un documento clave dentro del SMS y esta sección del
estándar le brinda una larga lista de cosas para incluir en él. El documento del Kit de
herramientas le pide que describa los diversos aspectos del plan y que amplíe cómo
funcionará su SMS. El plan debe cubrir una escala de tiempo específica y ser revisado de
manera regular. Generalmente, se recomienda un marco de tiempo de 1-3 años de
horizonte, dependiendo del tamaño de su organización y el grado de su ambición por su
SMS. Por ejemplo, un plan de un año que esté sincronizado con el año financiero (y, por
lo tanto, el ciclo presupuestario) podría ser apropiado para una empresa pequeña o
mediana con un grado razonable de cambio en sus servicios y clientes. Por supuesto,
podría planificar los próximos doce meses en detalle y siguientes 24 meses en esquema;
esto sería perfectamente aceptable para ISO / IEC 20000.
7.7. Apoyo
Documentos relevantes de la caja de herramientas
 Registro de documentación de SMS
 Procedimiento para el control de la información documentada
 Evaluación de habilidades y necesidades de capacitación
 Plantilla de acta de reunión
 Encuesta de desarrollo de habilidades
 Análisis de respuesta a la encuesta de desarrollo de habilidades
 Presentación de introducción a ISO 20000
Esta sección, que cubre los recursos, la competencia, la conciencia, la comunicación, la
información documentada y el conocimiento, describe algunas de las áreas de
antecedentes que deben existir para que el SMS funcione correctamente.
La alta dirección debe asegurarse de que se asignen suficientes recursos para establecer y
ejecutar el SMS; estos pueden presentarse en muchas formas, incluyendo personas
(tiempo completo y tiempo parcial), presupuesto (capital y continuo), información,
tiempo / espacio de procesamiento y alojamiento físico. La falta de recursos tenderá a
manifestarse en la falta de revisiones, un ritmo lento de mejora, una baja satisfacción del
cliente y una disminución generalizada de los SMS a lo largo del tiempo.

16
Con respecto a la competencia y el conocimiento, el énfasis está en comprender las
habilidades requeridas para ejecutar el SMS, si estas habilidades están actualmente
disponibles en cantidad suficiente y luego tomar medidas si no lo están. El kit de
herramientas proporciona una encuesta de habilidades que se debe realizar, cuyos
resultados luego se cotejan y analizan, y un conjunto de recomendaciones para mejorar.
Se sugiere que se dedique algún tiempo a definir las habilidades necesarias, incluida la
pregunta de la opinión de tantas partes interesadas como sea posible, antes de realizar la
encuesta.
El kit de herramientas proporciona un método para realizar una encuesta de las personas
involucradas en la implementación y ejecución del SMS, cotejando los resultados y luego
informando sobre aquellas áreas en las que se necesita más capacitación o conocimiento.
Para una entidad que esta implementado la ISO Deberá asegurarse de que se mantengan
los registros adecuados de la capacitación y que estén disponibles para que los vea el
auditor. Tengase en cuenta que la formación formal no siempre es la respuesta y que
también deben considerarse otras formas de transferencia de habilidades.
También se proporciona una plantilla de presentación de introducción a ISO 20000. Esto
se puede entregar de varias maneras, incluso en eventos especialmente organizados o en
reuniones regulares del equipo, según el calendario requerido y las oportunidades
disponibles. Tenga en cuenta que el enfoque de esto es la conciencia en lugar de la
formación detallada y que cualquier persona con un papel más involucrado que
desempeñar en el SMS puede necesitar una formación más profunda.
La información documentada requerida por la norma debe ser controlada, lo que
básicamente significa mantenerla segura, gestionar los cambios y asegurar que quienes la
necesiten tengan acceso a ella.
Los documentos y registros son clave para crear, ejecutar y evidenciar la SMS y para la
entidad debe asegurarse de tener métodos claros y consistentes para manejarlos durante
todo el ciclo de vida. El estándar proporciona una lista de doce puntos de documentos o
tipos de documentos que deben incluirse en su SMS y debe asegurarse de tenerlos. El kit
de herramientas proporciona un registro que se puede utilizar para realizar un seguimiento
de los documentos en su SMS, incluidos sus últimos números de versión.
El almacenamiento, la gestión y la aprobación de los documentos se puede realizar de
cualquier forma adecuada y los días de tener que imprimir todo y hacer que se firme hayan

17
quedado atrás. Las intranets, los sistemas de gestión de documentos y la unidad
compartida son formas aceptables de almacenar sus documentos y las firmas electrónicas
se consideran suficientes para las aprobaciones, si tiene una forma existente de gestionar
la documentación, por lo general no es necesario crear algo nuevo para ISO / IEC 20000.
Los registros pueden ser un desafío mayor, ya que a menudo se generan mediante distintos
sistemas y procedimientos en diferentes formatos. Deberá revisar aquellos que sean
relevantes para el SMS y asegurarse de saber dónde se guardan y cómo se controla el
acceso a ellos.
7.8. Operación
7.8.1. Planificación y control operacional
Al igual que con otras normas similares que siguen el formato del Anexo SL, esta
sección de ISO 20000 básicamente duplica los requisitos de varias otras secciones al
decir que los procesos (incluidos los procesos subcontratados) deben ser controlados, su
desempeño monitoreado y los registros mantenidos.
7.8.2. Portafolio de servicios
Documentos relevantes de la caja de herramientas
 Proceso de control de las partes involucradas en el ciclo de vida del servicio
 Catálogo de servicios
 Política de gestión de la configuración
 Proceso de gestión de la configuración
 Procedimiento de gestión de la configuración
 Catálogo definitiva Biblioteca multimedia
 Presentación de gestión de la configuración
Si la organización utiliza uno o más terceros internos o externos para entregar aspectos
de algunos de los procesos incluidos en ISO / IEC 20000, entonces la entidad deberá
demostrar que ha retenido el control general de estos procesos con fines de certificación.
Esto significa que efectivamente el tercero simplemente está proporcionando el recurso
para hacer el trabajo, no asumiendo toda la tarea por usted. Se sugiere que estas instancias
se establezcan en la Política de gestión de servicios y el Plan de gestión de servicios con
referencias a los contratos relevantes y acuerdos de nivel operativo que mostrarán cómo
funciona la relación en la práctica.

18
La entidad que esta implementado la ISO debe ser la que decida cómo se diseña, ejecuta
y mejora el proceso. El auditor esperará ver que la entidad está monitoreando el
desempeño del proceso y el proveedor de manera regular, lo que podría implicar la
celebración de reuniones, lo que por supuesto debería ser registradas. Esto no quiere decir
que no deba tener en cuenta la experiencia y los comentarios de las personas que realizan
el proceso, ya que pueden tener una mejor idea del funcionamiento diario del mismo y
puede sugerir mejoras.
Un buen primer paso en la gestión de servicios de TI es hacer una lista de todos los
servicios que proporciona. Incluya toda la información que pueda sobre a quién se prestan
los servicios, cuándo, cómo, en qué horario, contactos principales, etc. Este es el punto
de partida para la entidad que implementa la ISO su catálogo de servicios y proporcionado
una plantilla en el kit de herramientas para ayudar en este proceso. Hay varias formas de
crear y ver un catálogo de servicios para diferentes propósitos, pero el estándar ISO / IEC
20000 simplemente requiere uno que incluya las dependencias entre los servicios y los
componentes del servicio como mínimo y se acuerde con el cliente.
El estándar requiere que la información de configuración se registre (normalmente en un
Sistema de gestión de configuración, CMS) y que sea capaz de compartir esta información
con el proceso de gestión de cambios. Dependiendo de dónde se encuentre la organización
con sus herramientas de software en este momento, esto puede ser un desafío técnico y
financiero. Muchos de los sistemas de mesa de servicio populares proporcionan
herramientas automatizadas para capturar información de activos y configuración de
forma regular y este puede ser un buen lugar para comenzar. Será difícil cumplir con los
requisitos de esta sección sin una o más herramientas de software, a menos que el entorno
de TI sea muy pequeño.
Sin embargo, inicialmente deberá la entidad definir qué está dentro del alcance de la
administración de la configuración y qué no (por ejemplo, ¿necesita realizar un
seguimiento de los teclados y ratones?) Y esto se hace dentro de los documentos de
Política de administración de configuración y Proceso de administración de
configuración.
Si la organización está en el negocio del desarrollo de software, la gestión de la
configuración (y la gestión del lanzamiento y la implementación) será un tema más
importante que si no lo fuera. Para las empresas que no son de software, los elementos de
configuración principales serán el hardware, el software e idealmente también la

19
documentación, y deberá tener procedimientos para mostrar cómo se crean los elementos
nuevos y cómo se modifican o eliminan los existentes.
7.8.3. Relación y acuerdos
Documento de la caja de herramientas (Toolkit) relevantes son: Política de gestión de
relaciones comerciales; Plan de gestión de relaciones comerciales; Procedimiento de
quejas de servicio; Presentación de gestión de relaciones comerciales; Proceso de gestión
del nivel de servicio; Acuerdo de nivel de servicio; Proceso de gestión de proveedores;
Base de datos de proveedores y contratos; Presentación de gestión de proveedores;
Encuesta de satisfacción del usuario.
La gestión de relaciones comerciales es un proceso que juega un papel importante en
varios procesos como la gestión del nivel de servicio y la gestión de la capacidad mediante
la captura de clientes de forma continua. Esto significa que primero la organización
deberá definir quiénes son los clientes y luego establecer un mecanismo de comunicación,
como reuniones periódicas, llamadas telefónicas, correos electrónicos, etc. El ISO no es
específico sobre cómo se llevará a cabo dicha comunicación, pero en general debería ser
apropiado en términos de frecuencia; por ejemplo, mensualmente y luego se vuelven más
o menos frecuentes de acuerdo con la necesidad percibida de ambas partes.
También es necesario que exista un procedimiento de quejas para que los clientes tengan
un canal a través del cual registre las quejas sobre los servicios y asegurarse de que se
examinen de manera adecuada. Las quejas pueden ser relativamente poco común, por lo
que el auditor puede carecer de evidencia en esta área; algunas organizaciones fomentan
activamente las quejas para que se pueda utilizar el procedimiento, mientras que otros
simplemente ejecutan una queja de prueba para verificar el funcionamiento correcto.
También es un requisito del estándar que se mida la satisfacción del cliente y del usuario.
Existen varias formas de hacer esto, la satisfacción del cliente podría medirse durante las
reuniones de revisión del servicio o mediante una encuesta. La satisfacción del usuario
generalmente se mide mediante una encuesta regular o como parte de un proceso como
la gestión de incidentes. Se incluye un borrador del formulario de la encuesta de
satisfacción del usuario en el kit de herramientas (Toolkit) junto con una plantilla de
informe. Es una buena idea compartir los resultados de la encuesta con los usuarios para
que puedan ver que sus respuestas se toman en serio y que se producirán acciones de
mejora.

20
Una base de datos de proveedores y contratos es una buena forma de obtener y mantener
el control de la amplia variedad de proveedores con los que suele tratar. Esto ayudará a
comprender qué bienes y servicios se compran, cuánto cuestan, cuál es el compromiso
contractual e incluso si existe un contrato formal. La norma ISO / IEC 20000 incluye una
lista de los elementos que deben incluirse en cada contrato, aunque para los proveedores
más grandes, si todos estos elementos no están incluidos en su contrato estándar, puede
ser difícil agregarlos.
El proceso de gestión de proveedores muestra cómo categorizar a los proveedores y luego
organizar una comunicación regular y revisar en consecuencia. La organización deberá
asegurarse de que se registren todas las reuniones con los proveedores y cuando se
establezcan objetivos de servicio, estos se controlen y revisen periódicamente.
7.8.4. Oferta y demanda
Documento de la caja de herramientas (Toolkit) relevantes son: Política de Presupuesto
y Contabilidad de Servicios; Proceso presupuestario y contabilidad de servicios; Modelo
de costeo de servicios; Política de gestión de capacidad; Proceso de gestión de capacidad;
Plan de capacidad; Presentación de gestión de capacidad.
El estándar ISO / IEC 20000 requiere que los aspectos financieros de la gestión del
servicio estén bajo control con presupuestos definidos y monitoreados. Este es el caso
bajo las reglas financieras normales para todas las organizaciones, excepto para las más
pequeñas, por lo que partes de los requisitos generalmente no requieren trabajo adicional;
la función de TI generalmente tiene un presupuesto asignado a él por defecto.
Sin embargo, la norma también sugiere que los costos se asignen a servicios específicos
y esto a menudo es una nueva idea que requiere un buen grado de pensamiento. La
intención es comprender cuánto un servicio costó para proporcionar como base para una
posible comparación con métodos alternativos de provisión, y para ver si el beneficio
comercial vale el costo.
Para la gestión de la demanda y la capacidad: Estas secciones bastante cortas del ISO
20000 básicamente dicen que se debe tener un plan de capacidad. Sin embargo, el plan
debe cubrir no solo los recursos técnicos como procesamiento del servidor, espacio en
disco y ancho de banda de la red, sino también personas, información y finanzas, la
intención es que observe todas las áreas necesarias para ejecutar un servicio, no solo la
infraestructura.

21
Las reuniones con las partes interesadas deben notificar con anticipación los requisitos de
capacidad, parte de su proceso de gestión de relaciones comerciales y de las implicaciones
de cambios propuestos.
El estándar también requiere que controle el uso de la capacidad y ajuste el rendimiento.
Esto a menudo se hace utilizando una herramienta de software, ya que hacerlo
manualmente llevará demasiado tiempo. Esta información se puede usar para ver el ajuste
de esos recursos y asegurarse de que está aprovechando al máximo sus inversiones.
7.8.5. Diseño construcción y transición de servicios
Documento de la caja de herramientas (Toolkit) relevantes son: Política de gestión de
cambios; Proceso de gestión de cambios; Diseño y transición de procesos de servicios
nuevos o modificados; Documento de inicio del proyecto; Especificación de diseño de
servicio; Revisión posterior a la implementación del proyecto; Presentación de diseño y
transición de servicios nuevos o modificados; Política de administración de versiones e
implementaciones; Proceso de gestión de lanzamiento y despliegue; Plan de lanzamiento
y despliegue; Lista de verificación de aceptación del servicio; Informe de progreso del
proyecto.
El proceso de gestión del cambio sustenta una serie de otros procesos y actúa como una
influencia coordinadora en todo el SMS. La Política de Gestión de Cambios define bajo
qué circunstancias un cambio se considerará apropiado para pasar por el diseño y la
transición del proceso de servicios nuevos o modificados y ser gestionado como un
proyecto.
El proceso de gestión de cambios establece el flujo de los distintos tipos de cambio y
puede ser apropiado utilizarlo como base de un sistema de flujo de trabajo de software
que implementa el proceso, según las herramientas que tenga disponibles.
El auditor querrá ver algunos registros de cambios de ejemplo para rastrearlos a lo largo
del proceso y asegurarse de que se generaron, evaluaron, aprobaron, implementaron y
revisaron correctamente. También deben estar vinculados a cualquier incidente,
problema, configuración y registros de liberación asociados.
Es importante tener claro las circunstancias en las que se utilizará el diseño y la transición
del proceso de servicios nuevos o modificados, ya que implica un grado de control y
supervisión. El estándar dice que todos los cambios, incluidos los grandes, deben

22
controlarse a través del proceso de gestión de cambios, por lo que incluso un proyecto
importante tendría un número de cambio dentro del proceso o sistema de gestión de
cambios. Sin embargo, para los cambios con el potencial de tener un impacto importante
en los servicios o en el cliente, la implementación generalmente debe planificarse con
más detalle, con requisitos, diseño y aceptación definidos cuidadosamente y revisados
por una audiencia más amplia. Por tanto, se gestionan mejor en el entorno de un proyecto.
Lo importante a recordar al considerar el diseño y el desarrollo dentro del contexto de la
norma ISO / IEC 20000 es que se trata de servicios, en lugar de sistemas o aplicaciones.
Aunque las nuevas aplicaciones deben diseñarse y desarrollarse para satisfacer las
necesidades funcionales de los usuarios, esto a veces no aborda las necesidades de gestión
de servicios como la gestión de incidentes, roles y responsabilidades, niveles de servicio
y capacidad. Por lo tanto, el enfoque para el cumplimiento de la norma ISO / IEC 20000
está en los requisitos de soporte y en cómo se incorporará el nuevo servicio en el entorno
de gestión de servicios existente. De lo contrario, los SMS simplemente quedarían cada
vez más obsoletos a medida que se introdujeran y cambiaran más servicios. El documento
de Especificación de diseño de servicio dentro del Conjunto de herramientas asegura que
estas áreas (y otras) se consideren completamente durante la etapa de diseño.
Es importante que el nuevo servicio se pruebe antes de ser aceptado para su
implementación y para ello se proporciona una Lista de verificación de aceptación del
servicio. Por lo general, este será uno de los tipos de pruebas que se llevan a cabo, como
la aceptación del usuario y las pruebas de integración.
7.8.6. Resolución y ejecución
Documento de la caja de herramientas (Toolkit) relevantes son: Proceso de gestión de
incidentes; Proceso de gestión de incidentes importantes; Proceso de gestión de
solicitudes de servicio; Proceso de gestión de problemas; Informe de incidente mayor;
Panel de problema; Informe de problemas importantes.
La gestión de incidentes rara vez es un proceso nuevo para las organizaciones que buscan
cumplir con ISO / IEC 20000, por lo que este es realmente un caso de ajustar su proceso
existente para asegurarse de que cumpla con los requisitos. Los cambios clave pueden ser
asegurarse de que el proceso de gestión de tenga acceso a la información de otros
procesos, como errores conocidos, resolución de problemas y otros.

23
La gestión eficaz de problemas puede generar un gran retorno de la inversión si se hace
bien y la mayoría, si no todos, de los requisitos de la norma ISO / IEC 20000 se cumplen
siguiendo el Proceso de gestión de problemas.
7.8.7. Aseguramiento de servicios
Documento de la caja de herramientas (Toolkit) relevantes son: Proceso de análisis de
impacto empresarial; Plan de prueba de continuidad del servicio; Plan de gestión de
disponibilidad; Procedimiento de respuesta a incidentes; Proceso de evaluación y
tratamiento de riesgos; Informe de evaluación de riesgos; Plan de tratamiento de
riesgos; Informe posterior al incidente; Herramienta de evaluación y tratamiento de
riesgos.
Si nos enfocamos en los principales requisitos de disponibilidad y continuidad del
servicio en esta sección de la norma, se debe haber realizado una evaluación de riesgos,
debe tener un plan de continuidad del servicio, debe basarse en la comprensión de los
requisitos del cliente y debe probar el plan de forma regular. Si alguno de estos cuatro
no está en su lugar, es probable que reciba la no conformidad de un auditor.
En el Toolkit vamos un poco más allá al proporcionar un método para el análisis de
impacto comercial, que no es estrictamente requerido por la norma ISO / IEC 20000,
pero según algunos autores es la mejor manera de establecer los requisitos del cliente de
manera adecuada.
La entidad debe estar en condiciones de realizar una evaluación de riesgos utilizando el
Proceso de evaluación y tratamiento de riesgos y la Herramienta de evaluación y
tratamiento de riesgos, observando el impacto y la probabilidad de que ocurran varias
amenazas a estos servicios, lo que le otorga una puntuación de riesgo y una calificación
asociada de alto, medio o bajo. Luego, se deben tomar decisiones sobre qué hacer con
los riesgos que son inaceptables para usted.
Ahora, la norma ISO / IEC 20000 tiene requisitos para la continuidad y disponibilidad
del servicio en esta sección. En términos generales, las acciones que puede tomar para
mitigar algunos de sus riesgos deben incluirse en su Plan de administración de
disponibilidad; se trata de ser proactivo y evitar que sucedan cosas en primer lugar. Para
los demás, en los que necesite planificar el riesgo que realmente se presenta, se
necesitará un Plan de continuidad del servicio.

24
Una vez implementados, los planes deben probarse para asegurarse de que funcionan y
para identificar cualquier mejora que se pueda realizar. También deberá mantenerlos
actualizados a medida que cambien la organización y sus servicios de TI. El proceso de
gestión de cambios deberá activarse cuando un cambio tenga un efecto en los planes de
continuidad del servicio; en un caso extremo, incluso un pequeño cambio puede
significar que un plan de continuidad del servicio ya no funcione en la práctica.
La seguridad de la información es un área grande que tiene un estándar internacional
propio (ISO / IEC 27001), pero el estándar ISO / IEC 20000 hace un buen trabajo al
resumir los puntos importantes en un espacio relativamente corto.
Generalmente, la mayoría de las organizaciones adoptan uno de dos enfoques para la
creación de políticas; optan por una sola política de seguridad de la información u optan
por un enfoque más modular con políticas individuales que se utilizan para abordar
problemas específicos. Ambos enfoques tienen pros y contras, a menudo según el
tamaño de su organización y cuánto trabajo implica la aprobación de los cambios de
políticas. Si su organización es relativamente pequeña, se recomienda que tenga un solo
documento de política que cubra todas las áreas. Si su organización es más grande, lo
mejor es tener una estructura jerárquica de políticas con los puntos principales
aprobados a nivel de la junta y los detalles definidos en un nivel gerencial más bajo.
Esto significa que, si los detalles cambian, no es necesario que espere un espacio en la
agenda de la junta para que se aprueben cada vez. Por esta razón, es posible que desee
considerar dividir el documento proporcionado en políticas individuales.
7.9. Evaluación del desempeño
Requiere que una organización evalúe el desempeño del Sistema de gestión de servicios
a través del monitoreo, medición, análisis y evaluación del sistema. Se sugiere una
buena práctica de gestión para realizar auditorías tanto externas como internas en el
Sistema de gestión de servicios de su organización. Pero hay requisitos específicos en
esta cláusula para establecer un programa de auditoría y realizar auditorías internas a
intervalos regulares. Además, la administración debe informar y revisar los datos
cuantitativos y cualitativos obtenidos de las auditorías para respaldar la toma de
decisiones informadas sobre el Sistema de gestión de servicios.

25
7.9.1.Seguimiento, medición, análisis y evaluación
El estándar ISO 20000 no dice que debe medir, simplemente requiere que sea preciso
sobre qué es lo que ha decidido la entidad medir y hacer algo al respecto si las
mediciones muestran algún tipo de problema. El auditor esperará que se haya pensado
en las medidas apropiadas a tomar, como se pueden tomar y como se pueden interpretar
razonablemente los resultados. El kit de herramientas (Toolkit) proporciona un
documento titulado Proceso de seguimiento, medición, análisis y evaluación que
incluye sugerencias para los tipos de mediciones que podrían ser adecuadas para una
organización típica, pero deberá examinarlas detenidamente antes de utilizarlas. Es una
buena idea crear un procedimiento documentado para la recopilación y el informe de
cada medición porque si se hace de manera diferente cada vez, los resultados no serán
útiles.
Ésta es un área que puede comenzar relativamente pequeña y expandirse con el tiempo;
nuestra recomendación es que seleccione algunas medidas básicas que sean fáciles de
recopilar e interpretar y utilizarlas durante un tiempo. Después de un tiempo,
probablemente resultará obvio que se necesitan otras medidas específicas para poder
evaluar si las cosas van bien y poder agregarlas gradualmente. Tener cuidado de no
comenzar con una amplia gama de mediciones posiblemente sin sentido y difíciles de
recopilar que simplemente ralentizarán todo y le darán una mala reputación al Sistema
de Gestión de Servicios antes de que comience.
Una vez que haya elegido las medidas, debe decidir qué aspecto tiene "de bueno"; ¿Qué
valores numéricos significarían que el desempeño está en línea con las expectativas?
Nuevamente, la definición de los objetivos puede necesitar ajustes con el tiempo a
medida que adquiere experiencia en la toma de medidas y la SGS pasa del modo de
implementación al modo de operación continua.
Si descubre que los objetivos no se están cumpliendo, es posible que se requiera una
mejora para volver a alinear la situación; dichas mejoras deben registrarse y seguirse
hasta su finalización.
7.9.2.Auditoría interna
El estándar requiere que exista un programa de auditoría interna que audite todos los
aspectos del Sistema de Gestión de Servicios dentro de un período de tiempo razonable.
Si acepta la idea de la auditoría interna como una advertencia temprana útil de cualquier

26
problema en la auditoría externa, no se equivocará mucho la entidad. Las auditorías
internas deben garantizar que no haya sorpresas durante la auditoría anual de
certificación / vigilancia, lo que debe permitir a todos un mayor grado de confianza en
el SGS.
En términos de dónde comenzar la auditoría, el estándar sugiere que se tenga en cuenta
la importancia de los procesos en cuestión, las áreas problemáticas identificadas en
auditorías anteriores y aquellas partes del Sistema de Gestión de Servicios (SGS) donde
se han identificado riesgos significativos. Más allá de eso, no existe un orden particular
en el que se deban realizar las auditorías internas. Los auditores deben estar
adecuadamente calificados, ya sea a través de la experiencia o la capacitación (o ambos)
y deben ser imparciales, es decir, no están involucrados en la configuración o ejecución
del SGS.
El conjunto de herramientas tiene varios documentos para ayudar con el proceso de
auditoría interna, incluido un cronograma, plan, procedimiento y plan de acción
posterior a la auditoría. En general, todos los aspectos de la auditoría interna deben estar
documentados y un auditor externo casi siempre querrá ver el informe de auditoría
interna más reciente y realizar un seguimiento de las acciones que surjan de él.
7.9.3. Revisión por la dirección
La revisión por la dirección es otra parte clave del SGS que, si se hace bien mantendrá
unido todo lo demás y hará que las auditorías (internas y externas) sean una experiencia
relativamente sencilla. El estándar ISO 20000 es bastante específico sobre lo que deben
cubrir estas revisiones, pero es menos comunicativo sobre la frecuencia con la que
deben realizarse. Ésta es una de esas áreas en las que tendrá que probarse y ver que
funciona para la organización; en varias ocasiones se convierte en una sobrecarga
administrativa inaceptable; muy poco frecuente y corre el riesgo de perder el control de
sus SGS. La frecuencia mínima generalmente aceptada es probablemente una vez al año
y, en este caso, debería ser una revisión completa que cubra todo lo requerido por la
norma. Un enfoque más común es dividir la revisión por la dirección en dos partes;
quizás una revisión trimestral de las áreas principales con una revisión más completa
sobre una base anual. Incluso puede decidir que en los primeros días del SGS es
apropiado realizar una revisión mensual. No hay una respuesta incorrecta, solo hay una
decisión sobre cuánto control cree que debe ejercer a nivel gerencial.

27
En todos los casos, se debe registrar cada revisión por la dirección y las acciones
resultantes se deben rastrear hasta su finalización. El kit de herramientas tiene un
procedimiento y una agenda de muestra para una revisión por la dirección.
7.9.4. Informes de servicio
Después de la creación de uno o más Acuerdos del nivel de servicio (Service Level
Agreement) deberá informar sobre las métricas que ha establecido para mostrar si se
están entregando los niveles de servicio. El estándar proporciona una lista de 6 áreas
sobre las que se debe informar y se incluye una plantilla de informe en el kit de
herramientas (Toolkit).
El estándar requiere que se documente una descripción de cada informe y, aunque
inicialmente esto parece un poco excesivo es muy útil, si un informe solo se genera cada
mes o trimestre, puede ser muy fácil olvidar cómo se hizo la última vez y si se hace de
manera ligeramente diferente cada vez, las comparaciones y tendencias no serán
válidas.
La frecuencia de los informes suele ser un compromiso entre las expectativas del cliente
y la cantidad de trabajo que implica la creación de un informe. Los informes de
servicios mensuales son buenos, pero es posible que los informes trimestrales sean
suficientes, especialmente para los servicios estables que han estado en funcionamiento
durante un tiempo. El auditor esperará ver al menos un informe de servicio y en el
mejor de los casos varios.
Además de los informes para el cliente, deberá producir más informes internos para
ayudar en la gestión diaria de los procesos. Un ejemplo sería la cantidad de incidentes
que se abren y cierran por semana y quizás un informe sobre el desempeño de los
miembros individuales del equipo de gestión de incidentes. Estos pueden ser necesarios
con más frecuencia que los informes de servicio para que pueda actuar tan pronto como
sea necesario.
7.10. Mejora
Documentos relevantes de la caja de herramientas (Toolkit)
•Procedimiento para la mejora continua del servicio
•Plan de mejora del servicio
•Procedimiento de Gestión de No Conformidades

28
•Registro de no conformidades y acciones correctivas
La definición de ISO de una no conformidad es el "incumplimiento de un requisito"
bastante general y, dado que un requisito puede ser prácticamente cualquier cosa, es
mejor reunir todas las acciones, solicitudes, ideas, etc., en un solo lugar y gestionar ellos
desde allí. El kit de herramientas proporciona el Registro de no conformidades y
acciones correctivas para este propósito. También se proporciona un procedimiento que
explica cómo se agregan elementos a la lista, se evalúan y luego se realiza un
seguimiento hasta su finalización.
La mejora continua es un tema clave de IS020000 y la norma requiere que las
oportunidades de mejora se identifiquen, aprueben, documenten, definan
completamente en términos de objetivos, prioridades y planes y luego se rastreen hasta
la implementación y revisión posterior. Las ideas de mejora pueden provenir de muchas
fuentes, incluidos usuarios, clientes, proveedores, personal de TI y otras partes
interesadas, y es importante poder reconocerlas como mejoras y registrarlas.
8. Caso
Implementación de ISO/IEC 20000-1 en los procesos de TI del Ministerio de
economía y finanzas
8.1. Planteamiento del problema
El MEF tiene una gran responsabilidad en la planeación, dirección y control de la
política fiscal, financiación, endeudamiento, presupuesto, tesorería y contabilidad, para
ello cuenta con el apoyo de un órgano importante para realizar dichas tareas con
eficacia, esta área es la Oficina General de Tecnologías de la Información (OGTI),
dicha oficina tiene a su cargo el Sistema Integrado de Administración Financiera del
Sector Publico (SIAF) utilizado por más de 2,500 entidades del estado, asimismo el
Sistema Integrado de Gestión Administrativa (SIGA), etc. Actualmente los procesos de
OGTI son eficaces, pero falta mejorar la eficiencia de los procesos de OGTI, la
implementación del ISO 20000-1 ayudaría mucho a la mejora de la eficiencia de los
procesos de OGTI. Resolver un requerimiento de las Unidades ejecutoras toma más
tiempo de lo debido, mejorando los procesos de TI podrían minimizarse los tiempos de
solución de los requerimientos.

29
Con la implementación de ISO 20000-1 agilizará los procesos del área de la Oficina
General de Tecnologías de la Información del Ministerio de Economía y Finanzas
La situación actual que causa una lentitud en los procesos de TI:
Figura: Diagrama de Ishikawa sobre la lentitud de los procesos (Fuente:
Implementación de la ISO 20000-1 en los procesos de TI en el MEF)
 Los procedimientos no están normalizados: La mayoría de procedimientos de las
áreas de OGTI no están normalizados, cada dirección tiene sus propias formas
de trabajo, los procedimientos no están documentados y se requiere de una
estandarización de los procedimientos para agilizarlos, en la actualidad está
proyectado la implementación de CMMI (Conjunto de modelos basados en las
mejores prácticas).
 No están optimizados los procesos: Se requiere la mejora de la utilización de los
recursos (tiempo, infraestructura, materiales, personas) para reducir los defectos
de los servicios brindados a los clientes internos y externos, se busca rediseñar
las actividades de los procesos para agregar valor a los servicios.
 Adaptación a nuevos procesos: EL personal actual de OGTI no tiene
conocimiento de la mejora de procesos de ISO 20,000, el cambio de
metodología de trabajo al personal que tiene años laborando en la empresa va
tener un costo de adaptación.

30
 Rotación de personal: En OGTI la rotación de personal es constante, migran a
otras empresas buscando mejoras profesionales.
 Alta dispersión de Herramientas y plataforma: En OGTI existen diferentes tipos
de herramientas de hardware y software, cada administración ha adquirido estos
elementos según la necesidad del periodo de trabajo, lo que ocasiona un costo
elevado para el mantenimiento, compatibilidad, capacitación de los recursos.
 Capacidad operativa limitada de OGTI: La capacidad operativa es eficaz, pero a
un costo elevado en recursos (infraestructura y recursos humanos), la demanda
de los servicios de OGTI va en crecimiento y no está a la par con la capacidad
operativa actual.
 Celeridad en los requerimientos: Todos los requerimientos de todas las áreas del
MEF (clientes internos) y Unidades Ejecutoras (clientes externos) son
solicitados con atención inmediata, no se da abasto para todo y se acumula los
requerimientos y son atendidos según su prioridad. No hay una gestión del
conocimiento, puesto que una atención podría darse por duplicado.
 Reclamos por Incidencias: Las incidencias de los sistemas misionales se
resuelven lo más pronto posible, cuando no hay una solución inmediata se deriva
al área correspondiente para darle solución, lo que podría demorar en dar
respuesta al cliente y una insatisfacción por la demora en la solución.
8.2. Estructura de la oficina general de TI
Para el cumplimiento de sus funciones, cuenta con las siguientes unidades orgánicas:
1. Oficina de Infraestructura Tecnológica.
2. Oficina de Sistemas de Información.
3. Oficina de Gobierno de Tecnologías de la Información.
8.3. Instrumentos de investigación
Los instrumentos que se usarán en la investigación:
- Estadística de atención de requerimientos de las Unidades Ejecutoras.
- Entrevistas con los directores de OGTI.
- Norma ISO 20000-1.
- Resoluciones Ministeriales.
8.4. Plan de implantación de ISO 20000-1
Se realizo el análisis a los grupos de procesos del ISO 20000:

31
Procesos de provisión de servicios
1. Gestión del Nivel de Servicios
2. Gestión de Informes de Servicios
3. Gestión de la seguridad de la información
Procesos de resolución
4. Gestión de incidencias y peticiones de servicios
5. Gestión de problemas
Procesos de control
6. Gestión de cambio
8.5. Planificación de implantación
Figura: Planificación de la implementación (Fuente: Implementación de la ISO
20000-1 en los procesos de TI en el MEF)
8.6. Estado actual:
La Oficina General de Tecnologías de la Información cuenta con 3 unidades orgánicas
Oficina de Infraestructura Tecnológica: Se encarga se los siguientes servicios:
1. Acceso a la red de datos y correo electrónico: Es un servicio que está disponible las
24 horas del día, se da acceso a la red de datos y al correo electrónico institucional,
se crean cuentas con niveles según el usuario.

32
2. Habilitación de Red de datos: Se crea accesos a la Red de comunicación interna de
los equipos de cómputo.
3. Soporte de Telefonía fija y Anexos: Se configuran aparatos telefónicos y se da acceso
a la red de telefonía fija según el perfil del usuario.
4. Acceso a Internet: Según el perfil de usuario de da acceso a Internet como consulta de
Información o procesamientos que se requiera de Internet.
5. Respaldo de Información: Se hacen copias de respaldo de los sistemas de
información que se encuentran en producción en los servidores de OGTI. Así mismo
se restaura la información cuando se encuentre un daño o un mal manejo.
6. Atención y soporte a los requerimientos e incidencias de TI: Atender a los
requerimientos de los usuarios de los órganos y unidades del MEF, en primera
instancia se evalúa el requerimiento y se trata de dar una solución sino se deriva al
área correspondiente para que lo atiendan.
Oficina de Sistemas de Información: Se encarga se los siguientes servicios:
1. Desarrollo y mantenimiento de sistemas de Información misionales: Desarrollar
nuevas funcionalidades o dar mantenimiento a los sistemas misionales según los
requerimientos de los usuarios internos y externos del MEF.
2. Desarrollo y mantenimiento de sistemas de Información de apoyo: Desarrollar nuevas
funcionalidades o dar mantenimiento a los sistemas de apoyo según los
requerimientos de los usuarios internos y externos del MEF.
3. Desarrollo y mantenimiento de sistemas de portales web: Desarrollar nuevas
funcionalidades o dar mantenimiento a portales web existentes según los
requerimientos de las unidades ejecutoras.
4. Instalación y Configuración de sistemas de información: Se instala y configura los
sistemas de información misional y de apoyo; Así mismo se instala software
licenciado y de uso libre de acuerdo al perfil y necesidad de los usuarios.
5. Asistencia Técnica de los Sistemas de Información: Se instalan y/o reinstalan los
sistemas de información misionales (SIAF/SIGA) a las unidades ejecutoras. Se
atiende las consultas en el uso de dichos sistemas y se capacita en el uso y
actualizaciones de versiones. Se resuelven problemas de operatividad, conectividad y

33
configuración de los sistemas de información misionales y de apoyo mediante el
sistema de transmisor de datos, vía telefónica o internet.
Oficina de Gobierno de Tecnologías de la Información: Se encarga se los siguientes
servicios:
1. Normatividad y estándares de TI: Se hace una investigación, análisis, evaluación y
elaboración de estándares y normas de TI solicitados por las unidades orgánicas del
MEF.
2. Participar en la elaboración del Plan Estratégico de Tecnologías de la Información
(PETI).
3. Lleva el control de los activos informáticos, supervisa los cambios y la configuración
en coordinación con la Oficina de Infraestructura Tecnológica.
4. Promueve, formula y evalúa planes de proyectos tecnológicos.
5. Brinda apoyo técnico en la gestión de la seguridad de la información.
8.7. Implementación de los procesos
8.7.1. Proceso gestión de nivel de servicio
Es un proceso clave en la creación y evolución de Servicios de TI, sobre este proceso se
soportan los demás procesos del ISO 20000. En la actualidad los servicios del MEF
están documentados en un Catálogo de Servicios de TI aprobado con Resolución
Directoral Nº006-2016-EF/43.01 (Anexo 02). No todos los procesos están relacionados,
y tampoco normalizados, falta documentación de los procesos y los formatos no están
estandarizados bajo normas ISO u otra norma.
Para implementar este proceso se requiere que la organización está orientada al servicio
y al cliente, para ello el catálogo de servicio y los acuerdos de nivel de servicio son de
mucha ayuda para el cambio de la cultura de la organización.
Mejoras del proceso de gestión del servicio:
 Definir claramente los Acuerdos de Niveles de Servicio.
 Elaborar los Acuerdos de Nivel de Operación (OLA).
 Definir los clientes externos e internos.
 Establecer un plan de trabajo de las actividades y los responsables.

34
 Realizar una estimación de costos en la implementación del servicio.
8.7.2. Proceso gestión de los informes de servicio
Proceso que genera informes de TI útiles y entendibles para los destinatarios, cubren las
necesidades de informar y comunicar. Los informes mantienen una continuidad en el
tiempo para ello se dispone de un repositorio de indicadores, que reflejan la evolución
histórica y los valores puntuales de un periodo. Actualmente OGTI-MEF no cuenta con
un proceso de gestión de informes actualizado.
Mejoras del proceso de gestión de los informes del servicio
 Definir los informes que se utilizaran en los procesos de TI.
 Definir los formatos y el contenido de acuerdo al proceso de TI.
 Los informes deben de estar ordenados en un repositorio de fácil acceso a los
usuarios.
 Los informes deben de ser accesibles de acuerdo al perfil del usuario.
 Los informes deben contener información confiable y ser enviados a sus
destinatarios respectivos.
8.7.3. Proceso gestión de la capacidad:
Las actividades del MEF no pueden parar por una falta de capacidad o un mal
rendimiento de los sistemas informáticos, OGTI debe garantizar la capacidad suficiente
para cubrir la demanda actual y futura sin exceder los costos presupuestados, para ello
debe contar con personal capacitado y actualizado en infraestructuras de TI y el negocio
del MEF. Este proceso controla que los sistemas trabajen óptimamente y prepara un
plan de capacidad de TI para el buen funcionamiento de los sistemas.
Mejoras del proceso de gestión de la capacidad
 Definir el plan de capacidad que soporte la demanda de los servicios acordados en
los SLA.
 Ejecutar el plan de capacidad.
 Monitorizar la capacidad de los servicios.
 Capacitar al personal en las nuevas herramientas de TI.
 De realizarse cambios interactuar con los procesos de cambios.
 Definir métricas para medir el avance de las actividades del proceso.
 Relacionar el proceso con los otros procesos.

35
8.7.4. Proceso gestión de la seguridad de la información
La información que tiene el MEF es muy importante para el Gobierno Peruano, al día se
hacen cientos de transacciones centralizadas en la base de datos del MEF, controlada y
supervisada por OGTI, la perdida de información seria crucial para el logro de objetivos
de OGTI y del Ministerio. En la actualidad se puede acceder a la información desde
cualquier parte del mundo gracias a Internet, ello conlleva a que la información sea
accesible solo para el usuario al cual fue destinado. El MEF cuenta con Políticas de
Seguridad que ayudan a la seguridad de la Información.
Mejoras del proceso de gestión de la seguridad
 Definir las políticas de seguridad de la información
 Establecer los controles de seguridad de la información
 Evaluar los riesgos de la seguridad
 Gestionar recursos de seguridad
 Realizar auditorías de seguridad
 Realizar informes de seguridad
8.7.5. Proceso gestión de incidencias y peticiones del servicio
Cuando un servicio no funciona con normalidad provoca incidencias. En todas las
actividades de un negocio siempre ocurren incidencias, debido a las mejoras o a las
actualizaciones de los servicios, también sucede cuando el personal no está bien
capacitado, o no hay un buen control de la calidad de los servicios, o la robustez de las
plataformas no es buena, mientras no se corrijan estos defectos las incidencias siempre
existirán. Este proceso comunica a la gestión del problema los incidentes para que los
resuelva.
Mejoras del proceso de gestión de incidencias y peticiones del servicio
Atender las Incidencias con rapidez.
Atender las peticiones según un cronograma establecido.
Definir los ciclos de vida de las incidencias y peticiones.
Resolver la Incidencia con prontitud.
Elaborar una base de datos de incidencias.

36
8.7.6. Proceso gestión de problemas
Este proceso depende del proceso Gestión de Incidente, cuando el incidente está
resuelto deja un problema por resolver. La gestión de problemas elimina los defectos
para que no aparezcan más incidentes, así mismo busca defectos en los componentes de
los servicios de TI previendo que no ocurran incidentes en el futuro y buscando que los
servicios sean estables. En el MEF la incidencia es tratada como un problema y se
resuelve transversalmente en las áreas de Mesa de Ayuda, Calidad, Requerimiento y
Desarrollo.
8.7.7. Proceso gestión de los cambios
Los cambios son constantes, la tecnología evoluciona todo el tiempo y las empresas
deben mantener el ritmo exigido por el mercado. Los cambios tienen diversas fuentes
como son incorporar un nuevo servicio, o mejorar los servicios que ya existen, cambios
en las leyes, o la solución de incidencias. Los cambios en el MEF son tratados como
requerimientos y se analizan en el área de requerimientos por un especialista en el tema.
Los cambios de Infraestructura son evaluados por la dirección de Infraestructura
Tecnológica, si son aprobados se procede al cambio.
8.8. Conclusiones y recomendaciones del estudio
En conclusión, con la implementación de los procesos de ISO 20000-I, permitiría
agilizar y mejorar los procesos de la Oficina General de Tecnologías del MEF. En
promedio en 87% se obtiene una mejora global.
1. Se espera minimizar el tiempo de respuesta de los requerimientos. Actualmente,
se tienen un 70% y se espera llegar más del 90%.
2. Permitiría mejorar el rendimiento y adaptación del personal de OGTI, con los
procesos implementados se llevará un control de todas las incidencias y las
lecciones aprendidas que permitirá saber cómo solucionarlos.
3. Esta implementación nos ayuda a reducir costos, ya que con la reducción de
tiempo y la mejora de la calidad de los procesos se reducirán los costos de
personal, procesos e infraestructura.
Implementando los procesos de ISO 20000-1 nos permite mejorar en puntos
importantes

37
1. Nos da la posibilidad de auditar y garantizar el cumplimiento de políticas de
gobierno de TI.
2. Con la ayuda de los indicadores nos permite tomar decisiones importantes.
3. Ayuda a maximizar la calidad de procesos de TI.
4. Nos ayuda a tener una mejor productividad, mejor empleo de habilidades y
experiencia del personal.
5. Con la documentación implementada ayuda a reducir los riesgos asociados a los
servicios de TI.
6. Ayuda a la satisfacción de los clientes externos e internos.
7. Permite una mejora continua en la calidad de los servicios.
Con la finalidad de continuar con la mejora en el área se recomienda lo siguiente:
 Mejorar la coordinación entre las áreas: los usuarios deben seguir los
procedimientos y mantener un orden.
 Capacitar al área para realizar permanentemente las mediciones y acciones
correctivas hará seguir los procedimientos y los métodos de trabajo.
 Tener un equipo que realice el seguimiento y que valide la implementación
de cada proceso.
 Llevar un registro de todas las actividades e incidencias al momento de
recibirlas.
 Tener un equipo de calidad y auditoria para que vean que se cumpla bien los
procesos.
Conclusión y Recomendación
Con los requerimientos de la ISO 20000 se puede lograr las mejores prácticas que
ayudarán a mejorar la prestación de servicios de TI en las organizaciones, tanto a nivel
interno como externo. Además, su implementación se puede realizar a cualquier tamaño
de empresa.
Las organizaciones deberían optar por implementar la ISO 20000 ya que el enfoque de
Servicios de TI les otorga beneficios tales como conseguir mejorar los ingresos, la
reputación organizacional y reducir costos de operación.

38
Bibliografía
- AMBIT (2018). Todo lo que debes saber sobre la NORMA ISO 20000.
Recuperado de: https://www.ambit-bst.com/blog/todo-lo-que-debes-saber-sobre-
la-norma-iso-20000
- CERTIKIT. (2018) Guide to Implementing the ISO20000 Standard.
Recuperado de: https://issuu.com/public-it/docs/certikit_-
_a_guide_to_implementing_the_iso20000_st
- Duncan, H. (2019) Webinar: "Gestión de Servicios, basada en la
ISO/IEC 20000". Recuperado de: https://www.youtube.com/watch?v=-
nN7H4LbOw4
- Fernández, J (2015) Regulación y Marcos de trabajo para la gestión de
Sistemas de tecnología de la información. Recuperado de:
http://oa.upm.es/40025/1/PFC_JOSE_FERNANDEZ_RUIZ_2.pdf
- NORMAS ISO (2015). ISO 20000 Calidad de los servicios TI.
Recuperado de: https://www.normas-iso.com/iso-20000/
- Segovia, A. (2019). ¿Qué es ISO 20000? Guía simplificada sobre
requerimientos de ISO 20000. https://advisera.com/20000academy/es/que-es-
iso-
20000/#:~:text=ISO%2020000%20es%20una%20norma,mantener%20y%20mej
orar%20un%20SGS.
- Zeña, W y Renteria, I (2018). Implementación de ISO/IEC 20000-1 en
los procesos de ti del ministerio de economía y finanzas. Recuperado de:
http://repositorio.usil.edu.pe/bitstream/USIL/3563/2/2018_Ze%C3%B1a-
Castillo.pdf

Grupo 4 iso 20000-final

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Grupo 4 iso 20000-final

Ähnlich wie Grupo 4 iso 20000-final (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Grupo 4 iso 20000-final