Pasado, presente y futuro de ITIL ® La Biblioteca de la Infraestructura de Tecnología de Información ITIL ® ofrece un marco de trabajo común para todas las actividades del departamento de TI con el fin de aumentar la madurez de la provisión, el soporte y el control de los servicios de TI. Fue desarrollada en la década de 1980 por la Agencia Central de Informática y Telecomunicaciones CCTA, actualmente Oficina de Comercio del Gobierno, OGC del Gobierno Británico. Ante la escalada en los costes de TI, el objetivo fundamental fue utilizar los recursos de TI de forma más eficiente y con un mayor control de costes. La Biblioteca de la Infraestructura de Tecnología de Información nació como una colección de libros, cada uno de los cuales cubría una práctica concreta de la Gestión de Servicios de TI. Tras la publicación inicial, el número de libros aumentó rápidamente hasta los 48 volúmenes con la versión 1 de ITIL ® , que posteriormente sería adoptada y utilizada por muchas organizaciones, incluyendo también el sector privado. Los contenidos de la biblioteca fueron revisados a partir de 1999 para incorporar las prácticas más recientes, la informática distribuida e Internet. El resultado de esta actualización fue la versión 2 de ITIL ® 2000, cuyo objetivo fue hacer ITIL ® más accesible y asequible para quienes desearan adoptarlo. La versión 2 de ITIL ® estructuró las publicaciones en “conjuntos” lógicos que agrupaban directrices de procesos relacionados en los distintos aspectos de la gestión, las aplicaciones y los servicios de TI. Los libros y disciplinas de la versión 2 de ITIL ® fueron los siguientes: •฀ Soporte de Servicio •฀ Provisión de Servicio •฀ Gestión de Infraestructuras TIC •฀ Planificación de la implantación de la Gestión de Servicios •฀ Gestión de Aplicaciones •฀ Perspectiva del negocio •฀ Gestión de la Seguridad •฀ Gestión de Activos Software En diciembre de 2005, la OGC promulgó una “Actualización de ITIL”, comúnmente conocida como ITIL ® versión 3 v3. El proyecto de actualización finalizó con la publicación de cinco nuevos textos principales y un glosario Web, el 30 de mayo de 2007. La “nueva ITIL” presenta la Gestión de Servicios de TI como un ciclo continuo de servicios de diseño, transferencia y operación de servicios. No obstante, antes de diseñar un servicio es necesario definir la estrategia de servicios de TI. Los procesos se deben mejorar de forma continua durante todo el ciclo de vida del servicio. Todo ello da como resultado las cinco fases siguientes, que se muestran también en la Figura 3.3: 1. Estrategia del Servicio - Explica cómo diseñar, desarrollar e implantar la Gestión del Servicio como una capacidad organizativa y como un activo estratégico.

2. Diseño del Servicio - Se ocupa del diseño y desarrollo de servicios y de procesos de Gestión

del Servicio. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net

3. Transición del Servicio - Se ocupa de gestionar cambios, los riesgos y el aseguramiento de

la calidad, y de implantar diseños de servicios de modo que en las operaciones del servicio se puedan controlar los servicios y la infraestructura. 4. Operación del Servicio - Explica cómo aumentar la eficacia y la eficiencia mientras se ejecutan servicios en el entorno operativo.

5. Mejora Continua del Servicio - Comprueba la calidad de los servicios y la aumenta mediante

mejoras en el diseño, la introducción y la operación de servicios. Para simplificar, es posible trazar una correspondencia entre las fases del ciclo de vida del servicio de la versión 3 de ITIL ® y las fases del ciclo PDCA. Las fases Estrategia del Servicio y Diseño del Servicio podrían corresponder a la fase Planificar del ciclo de Deming, mientras que las fases Transición del Servicio y Operación del Servicio equivaldrían a la fase Hacer. La Mejora Continua del Servicio CSI representa las fases Verificar y Actuar del ciclo PDCA, junto con la monitorización y los informes sobre el rendimiento de los procesos. Por supuesto, cada una de las fases del ciclo de vida se debe mejorar de forma continua. Aunque no hay ninguna relación formal entre ISO 20000 e ITIL ® no existe ningún control definido o implícito entre ambas, la norma está basada en los libros de la versión 2 de ITIL ® . Esto significa que los cambios en el contenido, el alcance y la terminología de la versión 3 de ITIL ® no aparecen todavía reflejados en ISO 20000. No obstante, una de las muchas consignas que recibieron los autores de la versión 3 de ITIL ® fue la de adaptar la nueva versión a ISO 20000. Aunque sigue habiendo algunas diferencias entre la norma e ITIL ® , la alineación entre ambas no había sido nunca tan evidente. Por ejemplo, ISO 20000 trata las peticiones de servicio como incidencias del mismo modo que la versión 2 de ITIL ® , mientras que la versión 3 establece una separación formal en gestión de incidencias, gestión de peticiones y gestión de eventos. Es de suponer que la próxima actualización Me jora Continua del Serv icio T ra n sic ió n d el Se rv icio O pe rac ión d el Servicio D is eñ o de l Se rvicio Estrategia d el Se rv ic io ITIL V3 Figura 3.3 Modelo de ciclo de vida de la versión 3 de ITIL ® Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net de ISO 20000 reflejará las mejores prácticas incluidas en la versión 3 de ITIL ® . Para ello puede ser necesario algún tiempo, puesto que las normas ISO deben superar un riguroso proceso de control de cambios para garantizar la calidad del producto final. En cualquier caso, no se recomienda esperar hasta que aparezca la siguiente versión de la norma, ya que se pueden obtener importantes ventajas de la versión actual sin necesidad de que pase tanto tiempo. Por otra parte, lo más probable es que un auditor acepte la adopción de la versión 3 como prueba de que se cumplen los requisitos de ISO 20000, ya que la norma admite que el proveedor de servicios puede utilizar cualquiera de los distintos marcos de trabajo existentes para la Gestión del Servicio. ISO 9000 La Organización Internacional de Normalización ISO ha existido desde 1947. Las primeras normas ISO se referían a artículos de ingeniería y tecnología, como pernos, tuercas, tornillos y clavijas. La primera versión de ISO 9000, la norma ISO para sistemas de gestión de la calidad, se publicó en 1987. ISO 9000 es una norma para un sistema de gestión genérico. Especifica requisitos para todas las organizaciones, independientemente del tipo de actividades realizadas, el tamaño del negocio o la complejidad de los procesos de negocio. La organización que implanta un sistema de gestión genérico puede ser un parque de atracciones, un proveedor de servicios de TI, un departamento del gobierno o una pequeña empresa de fontanería, por ejemplo. La última versión de la norma ISO 9000 data del año 2000. La versión anterior era de 1994 y tenía reputación de ser un “tigre de papel”. Los requisitos de ISO 9001:1994 formaban una larga lista de documentos, lo que obligaba a muchas organizaciones a generar muchos papeles para demostrar el cumplimiento. La situación es diferente con ISO 9001:2000, una norma que se centra en el rendimiento, en la mejora continua y en la satisfacción de los clientes. La cantidad de documentación se puede reducir mucho en función de la organización, la complejidad de sus procesos y los niveles de competencia de los empleados. Tal como establecen las directrices de documentación en el sitio Web de ISO www.ISO.org, ISO 9001 requiere un sistema documentado de gestión de la calidad en lugar de un sistema de documentos ISO, 2001. La familia de normas ISO 9000 incluye ISO 9000, ISO 9001:2000 e ISO 9004. ISO 9000 contiene los fundamentos y la terminología para sistemas de gestión de la calidad. ISO 9001 especifica los requisitos que debe cumplir un sistema de gestión de la calidad, mientras que ISO 9004 contiene directrices para la mejora del rendimiento. 3.3.2 Propósito y ventajas de ISO 20000 El objetivo de ISO 20000, heredado de BS 15000, consiste en “proporcionar una norma de referencia común para todas las empresas que ofrezcan servicios de TI a clientes internos o externos”. Dada la importancia de la comunicación en la Gestión del Servicio, uno de los objetivos más importantes de la norma es crear una terminología común para los proveedores de servicios, sus suministradores y sus clientes. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net La norma fomenta la adopción de un planteamiento de procesos integrados para la Gestión de Servicios de TI véase Sección 3.3.4. Tiene en cuenta todos los elementos que son obligatorios para una buena Gestión del Servicio es decir, aquellos que son comunes y exigidos por todos los proveedores de servicios para la Gestión del Servicio, pero no se ocupa directamente de requisitos particulares. En las especificaciones ISO 20000-1 se declara: ISO 20000-1:2005 define los requisitos que debe cumplir un proveedor de servicios para ofrecer servicios gestionados con una calidad aceptable para sus clientes. Puede ser utilizada: •฀ ฀Por฀negocios฀que฀vayan฀a฀ofertar฀sus฀servicios. •฀ ฀Por฀empresas฀que฀exijan฀un฀enfoque฀coherente a todos los proveedores de servicios en una cadena de suministro. •฀ ฀Por฀proveedores฀de฀servicios฀que฀deseen฀evaluar฀comparativamente฀su฀Gestión฀de฀Servicios฀ de TI. •฀ ฀Como฀base฀para฀una฀valoración฀independiente. •฀ ฀Por฀una฀organización฀que฀tenga฀que฀demostrar฀que฀tiene฀capacidad฀para฀ofrecer฀servicios฀ que satisfagan los requisitos de los clientes. •฀ ฀Por฀una฀organización฀que฀desee฀mejorar฀su฀servicio฀mediante฀la฀aplicación฀eicaz฀de฀ procesos para monitorizar y mejorar la calidad del servicio. 3.3.3 Diferencia entre ISO 20000-1 e ISO 20000-2 La norma ISO 20000 consta de dos partes reunidas bajo el título general de Gestión del Servicio de Tecnologías de la Información: •฀ Parte 1: Especificaciones - Publicada como ISO 20000-1: 2005, es la especificación formal de la norma. •฀ Parte 2: Código de buenas prácticas - Publicada como ISO 20000-2: 2005, describe con detalle las mejores prácticas y ofrece instrucciones y recomendaciones para los procesos de Gestión del Servicio dentro del alcance de la norma formal. En general, la Parte 1 de la norma contiene una lista de controles obligatorios “obligaciones” que deben cumplir los proveedores de servicios si desean recibir la certificación, mientras que la Parte 2 incluye una lista de directrices y sugerencias “recomendaciones” para proveedores de servicios. 3.3.4 Grupos de procesos ISO 20000 fomenta la adopción de un planteamiento de procesos integrados. Una organización que quiera desarrollar un sistema de gestión de la calidad tiene que identificar su propósito, definir las políticas y objetivos y determinar los procesos y su secuencia. Para planificar un proceso, una organización tiene que definir las actividades que componen ese proceso. ISO 20000-1 requiere diversas actividades. Concretamente define 170 “obligaciones”, mientras que ISO 9001 contiene 135. También hace referencia a procesos e interfaces de procesos, aunque es poco clara sobre las relaciones entre procesos. Uno de los motivos para ello es que dichas Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net relaciones dependen de la aplicación en una organización. Otra razón es que son demasiado complejas para incorporarlas a un modelo. La subsección 1 de ISO 20000-1 contiene una imagen que muestra “varios procesos de Gestión del Servicio estrechamente relacionados” Figura 3.2. La Figura 3.4 ilustra los otros tres tipos de procesos contemplados en ISO 9000 para gestión organizativa, para gestión de recursos y para medida, análisis y mejora en relación con los procesos de ISO 20000. Estos procesos están incluidos en la Subsección 3.1 de ISO 20000, “Responsabilidad de la dirección”, en la Subsección 4, “Planificación e implantación de la Gestión del Servicio”, y en la Subsección 5, “Planificación e implantación de servicios nuevos o modificados”. Los procesos de mejora se encuentran también en la Subsección 4 de ISO 20000-1. Las especificaciones ISO 20000-1 dicen: Las relaciones entre los procesos dependen de su aplicación dentro de una organización y, generalmente son demasiado complejas para incorporarlas a un modelo. Como consecuencia, este diagrama Figura 3.2 no muestra relaciones entre procesos. La lista de objetivos y controles contenida en ISO 20000-1 no es exhaustiva, y una organización puede considerar que son necesarios objetivos y controles adicionales para Plan Check Act Planificación e Implantación de Servicios Nuevos o Modificados Responsabilidad de la Dirección Requisitos de Documentación Competencia, Concienciación y Formación Sistema de Gestión Procesos de Provisión de Servicio • Gestión del Nivel de Servicio • Informes del Servicio • Gestión de la Seguridad de la Información • Presupuestos y Contabilidad de los Servicios de TI • Gestión de la Capacidad • Gestión de la Disponibilidad y la Continuidad del Servicio Proceso de Entrega • Gestión de Entregas Procesos de Resolución • Gestión de Incidencias • Gestión฀de฀Problemas Procesos de Control •฀Gestión฀de฀la฀Configuración •฀Gestión฀de฀Cambios Procesos de Relación •฀Gestión฀de฀Relaciones฀con el Negocio •฀Gestión฀de฀Proveedores฀ Planificación e Implantación de la Gestión del Servicio Planificar Verificar Hacer Actuar Figura 3.4 Sistema de gestión de la calidad de Servicios de TI según ISO 20000 Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net cumplir con sus necesidades particulares de negocio. La naturaleza de la relación de negocio, entre el proveedor de servicios y el negocio, determinará cómo se implantarán los requisitos de ISO 20000-1, para cumplir el objetivo global. ISO 20000-1 es una norma basada en procesos y, como tal, no está orientada a la evaluación de productos. No obstante, las organizaciones que se dediquen al desarrollo de herramientas, productos y sistemas de Gestión del Servicio pueden utilizar ambas partes, ISO 20000-1 y el Código de buenas prácticas, para hacer que dicho desarrollo siga las mejores prácticas de la Gestión del Servicio. El Código de buenas prácticas ISO 20000-2 dice: ISO 20000-2 es el resultado del consenso del sector sobre normas de calidad para procesos de Gestión de Servicios de TI. El objetivo de estos procesos es garantizar el mejor servicio posible que satisfaga las necesidades de negocio del cliente con los recursos acordados; es decir, un servicio profesional, con eficiencia en costes y con riesgos conocidos y bien gestionados. La gran variedad de términos que se emplean para un mismo proceso, así como entre procesos y grupos funcionales y puestos de trabajo, puede hacer que la Gestión del Servicio resulte un tema confuso para el nuevo gestor, hasta el punto de que la terminología se convierta en una barrera que impida la definición de procesos eficaces. La fácil comprensión de la terminología es una de las ventajas más importantes y tangibles de ISO 20000. ISO 20000-2 recomienda a los proveedores de servicios que adopten una terminología común y un enfoque más coherente de la Gestión del Servicio. De esta forma dispondrán de una base común para la mejora de servicios, así como de un marco de trabajo para los suministradores de herramientas de Gestión del Servicio. ISO 20000-2 sirve de guía a los auditores y puede ser muy útil a los proveedores de servicios que deseen planificar mejoras en el servicio o que se vayan a someter a una auditoría de ISO 20000-1. Los procesos para gestión de recursos están incluidos en la Subsección 3.3 de ISO 20000 y en los procesos de presupuestos y contabilidad de los servicios de TI, en la Subsección 6.4: “Debe haber políticas y procedimientos claros para: a elaboración y control de presupuesto y contabilidad de todos los componentes, incluyendo activos de TI, recursos compartidos, gastos generales, servicios suministrados externamente, personal, seguros y licencias.” Así, mientras ISO 9000 considera los procesos de gestión de recursos como uno de tres tipos posibles de procesos de soporte, ISO 20000 sólo los menciona como una subsección de los procesos de provisión de servicio. 3.3.5 Documentación, procesos, procedimientos y registros necesarios Por lo que respecta a documentación, procesos, procedimientos y registros, la Sección 3.2 de ISO 20000-1 establece: Los proveedores de servicios deben facilitar los documentos y registros necesarios para garantizar la eficacia en la planificación, operación y control de la Gestión del Servicio, incluyendo: a Políticas y planes documentados de Gestión del Servicio b Acuerdos de nivel de servicio documentados Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net c Procesos y procedimientos documentados requeridos por esta norma d Registros requeridos por esta norma Se deberán definir procedimientos y responsabilidades para la creación, revisión, aprobación, mantenimiento, eliminación y control de los distintos tipos de documentos y registros. NOTA: La documentación puede estar en cualquier formato o soporte. 4 Como ocurre en cualquier norma ISOIEC, todos los procesos descritos en la Parte 1 son de obligado cumplimiento para la organización que se somete a la auditoría. Todos ellos deben ir acompañados de documentos y registros, incluyendo una descripción del proceso. Sin los documentos y registros de apoyo, no es posible verificar que todos los procesos obligatorios cumplen su descripción y presentan los niveles necesarios de eficacia y eficiencia. Las organizaciones tienen libertad para diseñar procesos y procedimientos adicionales para cumplir los requisitos de ISO 20000-1. Aunque ISO no define el término “procedimiento”, requiere “procedimientos documentados y bien mantenidos para cada proceso o conjunto de procesos” Sección 4.2, “Implantación de la Gestión del Servicio y provisión de los servicios”. El glosario de la versión 3 de ITIL ® define un procedimiento de la siguiente manera: Un procedimiento es un documento que contiene los pasos que especifican cómo llevar a cabo una actividad. Los procedimientos están definidos como parte de procesos. Por lo tanto, la descripción de los procesos debe incluir también la descripción de los procedimientos. Hay también algunos procedimientos adicionales que están relacionados con el alcance de esta norma pero quedan fuera de los procesos mencionados, como por ejemplo un proceso o procedimiento de auditoría. La tabla 3.4 contiene procesos y procedimientos que se mencionan explícitamente, aunque hay que recordar que en ningún caso se trata de una lista exhaustiva. 4 Por ejemplo: discos ópticos o electrónicos, fotografías, copia maestra de software o sitio Web de intranet. SubSección de la Parte 1 Proceso o procedimiento exigido

3.2 Requisitos de la documentación Procedimientos de documentación