You are on page 1of 20

NORMA INTERNACIONAL

ISO/IEC 20000-1
Primera edicin 2005-12-15

Tecnologa de la Informacin Gestin del Servicio Parte 1: Especificacin


Technologies de l'information Gestion de services Partie 1: Spcifications

Nmero de referencia ISO/IEC 20000-1:2005(E)

Contenido

Pgina

Introduccin ------------------------------------------------------------------------------------------------------------------- 3 1 Objeto y campo de aplicacin ------------------------------------------------------------------------------------ 3 2 Trminos y definiciones -------------------------------------------------------------------------------------------- 4 3 Requisitos para un sistema de gestin ------------------------------------------------------------------------ 5 3.1 Responsabilidad de la direccin --------------------------------------------------------------------------------- 5 3.2 Requisitos de la documentacin -------------------------------------------------------------------------------- 6 3.3 Competencia, toma de conciencia y formacin -------------------------------------------------------------- 6 4 Planificacin e implementacin de la gestin del servicio ------------------------------------------------ 6 4.1 Planificacin de la gestin del servicio (Planificar) --------------------------------------------------------- 7 4.2 Implementacin de la gestin del servicio y prestacin del servicio (Hacer) ------------------------ 8 4.3 Seguimiento, medicin y revisin (Verificar)------------------------------------------------------------------ 9 4.4 Mejora Continua (Actuar) ------------------------------------------------------------------------------------------ 9 4.4.1 Poltica ------------------------------------------------------------------------------------------------------------------ 9 4.4.2 Gestin de las mejoras --------------------------------------------------------------------------------------------- 9 4.4.3 Actividades ------------------------------------------------------------------------------------------------------------ 9 5 Planificacin e implementacin de nuevos servicios o servicios modificados ----------------------- 5 6 Proceso de prestacin del servicio ------------------------------------------------------------------------------ 11 6.1 Gestin del nivel de servicio -------------------------------------------------------------------------------------- 11 6.2 Presentacin de informes del servicio ------------------------------------------------------------------------- 12 6.3 Gestin de la continuidad y disponibilidad del servicio ---------------------------------------------------- 12 6.4 Presupuesto y contabilidad de los servicios de tecnologa de la informacin ----------------------- 13 6.5 Gestin de la capacidad ------------------------------------------------------------------------------------------- 13 6.6 Gestin de la seguridad de la informacin -------------------------------------------------------------------- 14 7 Procesos de relacin------------------------------------------------------------------------------------------------ 15 7.1 Informacin general ------------------------------------------------------------------------------------------------- 15 7.2 Gestin de las relaciones proveedor-cliente------------------------------------------------------------------ 15 7.3 Gestin de proveedores externos ------------------------------------------------------------------------------- 15 8 Procesos de Solucin----------------------------------------------------------------------------------------------- 17 8.1 Informacin general ------------------------------------------------------------------------------------------------- 17 8.2 Gestin de incidentes ----------------------------------------------------------------------------------------------- 17 8.3 Gestin de problemas ---------------------------------------------------------------------------------------------- 17 9 Procesos de control ------------------------------------------------------------------------------------------------- 18 9.1 Gestin de la configuracin --------------------------------------------------------------------------------------- 18 9.2 Gestin de los cambios -------------------------------------------------------------------------------------------- 19 10 Proceso de puesta en produccin ------------------------------------------------------------------------------- 19 10.1 Proceso de gestin de versiones -------------------------------------------------------------------------------- 19

INTRODUCCIN Esta parte de ISO/IEC 20000 promueve la adopcin de un enfoque de procesos integrados para proveer servicios de manera eficaz, con el fin de cumplir los requisitos del negocio y del cliente. Para que una organizacin funcione eficazmente, tiene que identificar y gestionar numerosas actividades relacionadas entre s. Se puede considerar como un proceso una actividad que utiliza recursos y que se gestiona a fin de permitir la transformacin de entradas en salidas. A menudo, la salida de un proceso es la entrada de otro. Coordinar la integracin y aplicacin de los procesos de gestin del servicio proporciona control continuo, una mayor eficiencia y oportunidades para la mejora continua. La realizacin de las actividades y los procesos requiere de una adecuada organizacin y coordinacin del personal de las reas de mesa de servicio, soporte, operacin y prestacin de servicios. Tambin se requieren herramientas adecuadas para garantizar que los procesos sean eficaces y eficientes. Se supone que la ejecucin de las disposiciones de esta parte de la norma ISO / IEC 20000 est a cargo de personal calificado y competente. Una norma internacional no pretende incluir todas las disposiciones necesarias de un contrato. Los usuarios de normas internacionales son responsables de su correcta aplicacin. El cumplimiento de una norma internacional no confiere inmunidad ante las obligaciones legales. 1. OBJETO Y CAMPO DE APLICACIN Esta parte de la norma define los requisitos para que un proveedor del servicio entregue servicios gestionados con calidad aceptable para sus clientes. Esta norma puede ser utilizada: a) por negocios que ofrecen sus servicios; b) por negocios que requieren un enfoque consistente por parte de todos los proveedores de servicios en una cadena de suministro; c) por proveedores de servicios para el estudio comparativo de la gestin de su servicio de tecnologa de la informacin; d) como una base para una evaluacin independiente; e) por una organizacin que necesita demostrar su capacidad para proveer servicios que satisfagan los requisitos del cliente; y f) por una organizacin que tenga como meta mejorar la calidad del servicio.

Figura 1. Procesos de gestin del servicio


3

Esta parte de la norma especifica varios procesos de gestin de servicios estrechamente relacionados, tal como se indica en la Figura 1. Las relaciones entre los procesos dependen de su aplicacin dentro de una organizacin y por lo general son demasiado complejos de modelar. Por lo tanto, las relaciones entre los procesos no se ilustran en este diagrama. La lista de objetivos y controles que contiene esta parte de la norma ISO/IEC 20000 no es exhaustiva, y una organizacin puede considerar que son necesarios objetivos y controles adicionales para cumplir las necesidades particulares de su negocio. La naturaleza de la relacin de negocio, entre el proveedor del servicio y el negocio, determinar cmo los requisitos de esta parte de la norma ISO/IEC 20000 sern implementados con el fin de cumplir el objetivo global. Como norma basada en procesos, esta parte de la norma ISO/IEC 20000 no est destinada a la evaluacin del producto. Sin embargo, las organizaciones que desarrollan herramientas, productos y sistemas de gestin de los servicios pueden utilizar tanto esta parte en la norma como el cdigo de prctica para facilitar el desarrollo de herramientas, productos y sistemas que dan soporte a las mejores prcticas de la gestin del servicio. 2- TRMINOS Y DEFINICIONES Para los propsitos de este documento, se aplican los siguientes trminos y definiciones. 2.1 Disponibilidad (Availability). Capacidad de un componente o servicio para llevar a cabo su funcin requerida en un instante determinado o durante un perodo determinado de tiempo. NOTA. Por lo general, la disponibilidad se expresa como una relacin entre el tiempo en el que el servicio est realmente disponible para su uso por parte del negocio y las horas de servicio acordadas. 2.2. Lnea base (baseline). Registro que evidencia el estado de un servicio o de un elemento de configuracin individual en un instante de tiempo (vase el numeral 2.4). 2.3 Registro de cambio (Change record). Registro que contiene detalles de cmo y cules elementos de configuracin (vase el numeral 2.4) son afectados por un cambio autorizado. 2.4 Elemento de configuracin (Configuration Item [CI]). Componente de una infraestructura o un elemento que est o estar bajo el control de la gestin de la configuracin.
NOTA. Los elementos de configuracin pueden variar ampliamente en complejidad, tamao y tipo, cubriendo desde un sistema total que incluya todo el hardware, el software y la documentacin, hasta un mdulo individual o un componente menor del hardware.

2.5. Base de datos de la gestin de la configuracin (Configuration Management DataBase [CMDB]) . Base de datos que contiene todos los detalles pertinentes de cada elemento de configuracin y detalles de las relaciones importantes entre ellos. 2.6 Documento (Document) Informacin y su medio de soporte.
NOTA 1. En esta norma, los registros (vase el numeral 2.9) se diferencian de los documentos por el hecho de que funcionan como evidencias de las actividades y no como evidencias de las intenciones. NOTA 2. Ejemplos de documentos son las declaraciones de polticas, planes, procedimientos, acuerdos de nivel de servicio y contratos.

2.7 Incidente (Incident). Cualquier evento que no forma parte de una operacin normal de un servicio y que causa o puede causar una interrupcin o reduccin de la calidad del servicio.
NOTA. Esto puede incluir solicitudes tipo pregunta, por ejemplo, las llamadas Cmo hago?

2.8 Problema (Problem). Causa subyacente desconocida de uno o ms incidentes. 2.9 Registro (Record). Documento que establece los resultados alcanzados o que brinda evidencias de las actividades desarrolladas.
NOTA 1. En esta norma, los registros se diferencian de los documentos por el hecho de que ellos funcionan como evidencia de las actividades, y no como evidencia de las intenciones. NOTA 2. Ejemplos de registros incluyen informes de auditora, solicitudes de cambio, informes sobre incidentes, registros de entrenamiento individual y facturas emitidas a los clientes.

2.10 Versin (Release). Conjunto de elementos de configuracin nuevos o modificados que estn probados y se producen en forma conjunta en el ambiente de produccin. 2.11 Solicitud de cambio (Request for Change). Formulario impreso o en pantalla que se utiliza para registrar detalles de una solicitud de cambio a cualquier elemento de configuracin de un servicio de infraestructura. 2.12 Mesa de servicio (Service Desk). Grupo de soporte de cara al usuario, que realiza la mayor porcin del trabajo de soporte. 2.13 Acuerdo de nivel del servicio (Service Level Agreement [SLA]). Acuerdo escrito entre un proveedor del servicio y un cliente, el cual documenta los servicios y los niveles de servicio acordados. 2.14 Gestin del Servicio (Service Management). requisitos del negocio. Gestin de servicios para cumplir con los

2.15 Proveedor de Servicio (Service Provider). Organizacin que tiene como meta lograr cumplir la norma ISO/IEC 20000. 3 REQUISITOS PARA UN SISTEMA DE GESTIN Objetivo: Proporcionar un sistema de gestin que incluya polticas y un entorno de trabajo para permitir la gestin y la implementacin efectiva de todos los servicios de tecnologa de la informacin. 3.1 RESPONSABILIDAD DE LA DIRECCIN A travs de sus acciones y liderazgo, la alta direccin debe evidenciar su compromiso para desarrollar, implementar y mejorar la capacidad de gestin de sus servicios dentro del contexto del negocio de la organizacin y de los requisitos del cliente. La alta direccin debe: a) establecer la poltica, los objetivos y los planes de gestin del servicio; b) comunicar la importancia de cumplir con los objetivos de la gestin de servicio y la necesidad de la mejora continua; c) garantizar que se determinan y cumplen los requisitos satisfaccin del cliente;
5

del cliente con el fin de mejorar la

d) designar a un miembro de la alta direccin como responsable de la coordinacin y la gestin de todos los servicios; e) determinar y suministrar los recursos para planificar, implementar, monitorear, revisar y mejorar la prestacin y la gestin del servicio., por ejemplo, contratar al personal adecuado, gestionar la rotacin del personal; f) gestionar los riesgos para la organizacin de la gestin del servicio y para los servicios: y g) llevar a cabo revisiones de la gestin del servicio, a intervalos planificados, para garantizar la continua conveniencia, suficiencia y eficacia. 3.2 REQUISITOS DE DOCUMENTACIN Los proveedores de servicios deben suministrar documentos y registros que garanticen la planificacin, operacin y control eficaces de la gestin del servicio. Esta documentacin debe incluir: a) polticas y planes documentados de la gestin del servicio; b) acuerdos documentados de nivel de servicio; c) procesos y procedimientos documentados que se requieren segn esta norma; d) registros requeridos por esta norma. Se deben establecer los procedimientos y las responsabilidades para la creacin, revisin, aprobacin, mantenimiento, disposicin y control de los diversos tipos de documentos y registros.
NOTA: La documentacin puede estar en cualquier forma o tipo de medio.

3.3 COMPETENCIA, TOMA DE CONCIENCIA Y FORMACIN Se deben definir y mantener todas las funciones y responsabilidades de la gestin del servicio junto con las competencias que se requieren para ejecutarlas de manera eficaz. Las necesidades de entrenamiento y las competencias del personal se deben revisar y gestionar para permitir que el personal ejecute su funcin de manera eficaz. La alta direccin debe garantizar que sus empleados estn conscientes de la pertinencia y la importancia de sus actividades y de la forma en que ellos contribuyen al logro de los objetivos de la gestin del servicio. 4 PLANIFICACIN E IMPLEMENTACIN DE LA GESTIN DEL SERVICIO
NOTA. La metodologa conocida como Planificar-Hacer-Verificar-Actuar (PHVA) se puede aplicar a todos los procesos. La metodologa PHVA se puede describir de la siguiente manera: a) Planificar: establecer los objetivos y los procesos necesarios para entregar resultados acordes con los requisitos del cliente y las polticas de la organizacin;

b) Hacer: implementar los procesos; c) Verificar: monitorear y medir los procesos y servicios en comparacin con las polticas, los objetivos y los requisitos, y reportar los resultados; d) Actuar: tomar acciones para mejora continua del desempeo de los procesos.

Requisitos del negocio

Gestin de servicios
Responsabilidad de la direccin
Resultados de negocio

Requisitos del cliente

Solicitud de servicios nuevos o modificados

Planificar Planificar la gestin del servicio

Satisfaccin del cliente

Otros procesos, por ejemplo negocios, proveedores, clientes

Hacer Implementar la gestin del servicio

Actuar Mejora continua

Servicios nuevos o modificados

Mesa de servicio

Otros procesos, por ejemplo negocios, proveedores, clientes

Otros equipos, por ejemplo seguridad, operaciones de tecnologa de la informacin

Verificar Monitorear, medir y revisar

Satisfaccin del equipo y de las personas

Figura 2. Metodologa de Planificar-Hacer-Verificar-Actuar para los procesos de la gestin del servicio. El modelo que se ilustra en la Figura 2 muestra el proceso y las relaciones de los procesos que se presentan en los numerales 4 a 10. 4.1 PLANIFICAR LA GESTIN DEL SERVICIO (PLANIFICAR) Objetivo: Para planificar la implementacin y la prestacin de la gestin del servicio. La gestin de servicios se debe planificar. Los planes deben definir, como mnimo: a) el alcance de la gestin del servicio del proveedor de servicios; b) los objetivos y los requisitos que se deben alcanzar por parte de la gestin del servicio; c) los procesos que se deben ejecutar; d) La estructura de roles y responsabilidades de la direccin, incluido el directivo de alto nivel responsable, el dueo del proceso y la direccin de los proveedores externos;

e) las interfaces entre los procesos de gestin del servicio y la forma en que las actividades deben coordinarse; f) el enfoque que se debe tomar para identificar, evaluar y gestionar problemas y riesgos para el logro de los objetivos definidos; g) el enfoque para realizar la interfaz con los proyectos que estn servicios; creando o modificando los

h) los recursos, instalaciones y presupuestos necesarios para lograr los objetivos definidos; i) las herramientas que sean adecuadas para sustentar los procesos; y j) la forma en que la calidad del servicio se va a gestionar, auditar y mejorar. Debe existir una direccin clara de la gestin y responsabilidades documentadas de la revisin, autorizacin, comunicacin, implementacin y mantenimiento de los planes. Todos los planes especficos de procesos que se elaboren deben ser compatibles con este plan de gestin del servicio.

4.2 IMPLEMENTAR LA GESTIN DEL SERVICIO Y PRESTAR EL SERVICIO (Hacer) Objetivo: Implementar los objetivos y el plan de la gestin del servicio. El proveedor del servicio debe implementar el plan de la gestin del servicio para realizar la gestin y la prestacin de los servicios, incluyendo: a) la asignacin de fondos y presupuestos; b) la asignacin de funciones y responsabilidades; c) documentacin y mantenimiento de polticas, planes, procedimientos y las definiciones de cada proceso o grupo de procesos; d) la identificacin y gestin de los riesgos para el servicio; e) equipos para la gestin, por ejemplo, contratacin y desarrollo del personal adecuado y gestin de la continuidad del personal; f) la gestin de los recursos y el presupuesto; g) la gestin de los grupos de trabajo incluidos la mesa de servicio y operaciones; h) informar sobre el progreso en comparacin con los planes; y i) coordinar los procesos de la gestin del servicio.

4.3 MONITOREAR, MEDIR, Y REVISAR (Verificar) Objetivo: Monitorear, medir y revisar el cumplimiento de los objetivos y del plan de la gestin del servicio. El proveedor del servicio debe aplicar los mtodos adecuados para monitorear y, cuando sea conveniente, medir los procesos de la gestin del servicio. Estos mtodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados. La direccin debe llevar a cabo revisiones a intervalos planificados para determinar si los requisitos de la gestin del servicio: a) satisfacen el plan de la gestin del servicio y los requisitos de esta norma; y b) estn implementados y se mantienen de manera eficaz. Se debe planificar un programa de auditoras que tome en consideracin del estado y la importancia de los procesos y las reas que se van a auditar as como los resultados de las auditorias anteriores. Los criterios, el alcance, la frecuencia y los mtodos de auditora se deben definir en un procedimiento. La seleccin de los auditores y la realizacin de las auditorias deben garantizar la objetividad e imparcialidad del proceso de auditora. Los auditores no deben auditar su propio trabajo. El objetivo de las revisiones, evaluaciones y auditorias de la gestin del servicio se deben registrar junto con los hallazgos de tales auditorias, revisiones y toda accin correctiva identificada. Cualquier no conformidad o preocupacin que presente un rea significativa, se debe comunicar a las partes pertinentes. 4.4 MEJORA CONTINUA (Actuar) Objetivo: Mejorar la eficacia y la eficiencia de la gestin y la prestacin del servicio. 4.4.1 POLTICA Debe existir una poltica publicada sobre la mejora del servicio. Toda no conformidad con las normas o con los planes de la gestin del servicio se debe corregir. Las funciones y responsabilidades de las actividades de mejora del servicio se deben definir claramente. 4.4.2 GESTIN DE LAS MEJORAS Todas las sugerencias para la mejora del servicio se deben evaluar, registrar, priorizar y autorizar. Se debe utilizar un plan para el control de esta actividad. El proveedor del servicio debe tener un proceso implementado para identificar, medir, informar y gestionar las actividades de mejora de manera continua. Este debe incluir: a) mejoras a un proceso especifico que el dueo del proceso pueda implementar con los recursos de personal habituales, por ejemplo, realizacin de acciones correctivas y preventivas especificas; y b) mejoras en toda la organizacin o en ms de un proceso. 4.4.3 ACTIVIDADES El proveedor del servicio debe llevar a cabo actividades para:
9

a) recolectar y analizar datos para establecer la lnea base y comparar la capacidad del proveedor de servicios para la gestin y prestacin de servicios y los procesos de gestin de estos; b) identificar, planificar e implementar las mejoras; c) consultar con todas las partes involucradas; d) establecer metas para las mejoras en la calidad, los costos y la utilizacin de los recursos; e) considerar todas las entradas pertinentes acerca de las mejoras que provienen de todos los procesos de la gestin del servicio; f) medir, informar y comunicar las mejoras del servicio; g) revisar polticas, procesos, necesario; y procedimientos y planes de la gestin del servicio cuando sea

h) garantizar que todas las acciones aprobadas se llevan a cabo y que stas logran sus objetivos previstos. 5. PLANIFICACIN MODIFICADOS E IMPLEMENTACIN DE NUEVOS SERVICIOS O SERVICIOS

Objetivo: Garantizar que los nuevos servicios y los cambios a los servicios se podrn prestar y gestionar con el costo y la calidad del servicio acordados. Las propuestas para los servicios nuevos o modificados deben tener en cuenta el costo, el impacto organizacional, tcnico y comercial que se podra producir como resultado de la prestacin y la gestin del servicio. La implementacin de servicios nuevos o modificados, incluyendo la eliminacin de un servicio, se debe planificar y aprobar a travs de la gestin formal de cambios. La planificacin e implementacin deben incluir los fondos y recursos adecuados para hacer los cambios necesarios para la prestacin y la gestin del servicio. El plan debe incluir: a) los roles y responsabilidades de la implementacin, operacin y mantenimiento del nuevo servicio o de un servicio modificado, incluidas las actividades que se deben desarrollar por parte de los clientes y los proveedores externos; b) los cambios en los servicios y en la estructura para la gestin del servicio existente; c) la comunicacin con las partes correspondientes; d) contratos y acuerdos nuevos o modificados para estar acordes con los cambios en la necesidad del negocio; e) requisitos de contratacin y recursos humanos;
10

f) requisitos de entrenamiento y habilidades, por ejemplo: soporte tcnico, usuarios; g) procesos, mediciones, mtodos y herramientas que se han de utilizar en relacin con el servicio nuevo o modificado, por ejemplo: gestin de la capacidad, gestin financiera; h) presupuestos y cronogramas; i) criterios de aceptacin del servicio; y j) los resultados esperados mensurables. por la operacin del nuevo servicio, expresados en trminos

Los servicios nuevos o modificados deben ser aceptados por el proveedor del servicio antes de su implementacin en el entorno real. El proveedor del servicio debe informar sobre los resultados alcanzados por el servicio nuevo o modificado despus de su implementacin en comparacin con los resultados planificados. Se debe llevar a cabo una revisin posterior a la implementacin que compare los resultados reales frente a los planificados. 6. PROCESOS DE PRESTACIN DEL SERVICIO 6.1 GESTIN DEL NIVEL DEL SERVICIO

Objetivo: Definir, acordar, registrar y gestionar los niveles de servicio. Las partes deben pactar el rango completo de servicios que se van a prestar junto con las metas del nivel correspondiente del servicio y las caractersticas de la carga de trabajo y esta informacin debe estar registrada. Cada servicio prestado debe estar definido, acordado y documentado en uno o ms acuerdos de nivel del servicio (SLA). Los SLA junto con los acuerdos que soportan el servicio, los contratos con proveedores externos y los procedimientos correspondientes deben ser pactados por todas las partes correspondientes y se deben registrar. Los acuerdos deben estar bajo control del proceso de gestin de cambios. Los SLA se deben mantener mediante revisiones regulares por todas las partes con el fin de garantizar que estn actualizados y continan siendo eficaces con el paso del tiempo. Los niveles del servicio se deben monitorear y reportar en comparacin con las metas, presentando tanto la informacin actual como la de tendencia. Se deben reportar y revisar las razones de las no conformidades. Las acciones para la mejora que se identifiquen durante este proceso se deben registrar y debe suministrar entrada para un plan de mejora del servicio.

11

6.2 PRESENTACIN DE INFORMES DE SERVICIO Objetivo: Producir informes exactos, acordados, oportunos y confiables que permitan una toma de decisiones fundamentada y una comunicacin eficaz. Debe existir una descripcin clara del informe de cada servicio incluyendo su identificacin, propsito, audiencia y detalles de la fuente de datos. Los informes del servicio se deben elaborar con el fin de satisfacer las necesidades identificadas y los requisitos del cliente. La presentacin de informes del servicio debe incluir: a) desempeo en comparacin con las metas del nivel del servicio; b) problemas y no conformidades, por ejemplo: frente a los SLA, brechas de seguridad; c) caractersticas de la carga de trabajo, por ejemplo: volumen, utilizacin de recursos; d) presentacin de informes de desempeo inmediatamente despus de eventos principales, por ejemplo: incidentes y cambios importantes; e) informacin de tendencias; f) anlisis de satisfaccin. Las decisiones de la direccin y las acciones correctivas deben considerar los hallazgos de los informes del servicio y se deben comunicar a las partes correspondientes. 6.3 GESTIN DE LA CONTINUIDAD Y DISPONIBILIDAD DEL SERVICIO Objetivo: Garantizar que la continuidad acordada del servicio y los compromisos de disponibilidad para los clientes se pueda cumplir en todas las circunstancias. Los requisitos de disponibilidad y continuidad de los servicios se deben identificar con base en los planes del negocio, los SLA y las evaluaciones de riesgo. Los requisitos deben incluir los derechos de acceso y los tiempos de respuesta, as como la disponibilidad total de los componentes del sistema. Los planes de disponibilidad y continuidad del servicio se deben desarrollar y revisar por lo menos anualmente con el fin de garantizar que se cumplen los requisitos que han sido acordados en todas las circunstancias, desde el servicio normal hasta las prdidas importantes del servicio. Estos planes se deben mantener para garantizar que reflejan los cambios acordados requeridos por el negocio. Los planes de disponibilidad y continuidad del servicio se deben someter nuevamente a prueba con cada cambio principal en el entorno del negocio. El proceso de gestin de cambios debe evaluar el impacto de cualquier cambio en el plan de disponibilidad y continuidad del servicio. Se debe medir y registrar la disponibilidad. La falta de disponibilidad no planificada se debe investigar y se deben tomar las acciones apropiadas.
12

NOTA.

Cuando sea posible, se deberan predecir los problemas potenciales y tomar las acciones preventivas .

Los planes de continuidad del servicio, las listas de contactos y la base de datos de gestin de la configuracin deben estar disponibles incluso en el caso en que no sea posible el acceso normal a las oficinas. El plan de continuidad del servicio debe incluir el retorno al funcionamiento normal. El plan de continuidad del servicio se debe evaluar de acuerdo con las necesidades del negocio. Todas las pruebas de continuidad se deben registrar y las fallas se deben formular en planes de accin. 6.4 PRESUPUESTOS Y CONTABILIDAD DE LOS SERVICIOS DE TECNOLOGA DE LA INFORMACIN Objetivo: Realizar el presupuesto y la contabilidad para el costo de la prestacin del servicio.
NOTA Esta seccin comprende la elaboracin del presupuesto y la contabilidad para los servicios de tecnologa de la informacin. En la prctica, muchos proveedores de servicio estarn involucrados en el cobro de estos servicios. Sin embargo, dado que la actividad de cobro es una actividad opcional, no se trata en esta norma. Se recomienda a los proveedores de servicio que, cuando se est utilizando la actividad de cobro, el mecanismo para hacerlo est totalmente definido y todas las partes lo entiendan claramente. Todas las prcticas de contabilidad que se utilizan deberan estar acordes con las prcticas de contabilidad ms utilizadas de la organizacin del proveedor del servicio.

Deben existir polticas y procesos claros para: a) presupuestar y contabilizar todos los componentes incluyendo los bienes de tecnologa de la informacin, los recursos, gastos generales, servicios que se suministran externamente, personas, seguros y licencias; b) distribucin de costos indirectos y asignacin de costos directos a los servicios; c) autorizacin y control financiero eficaz. Los costos se deben presupuestar con suficiente detalle para permitir el control financiero y la toma de decisiones de manera eficaz. El proveedor del servicio debe monitorear e informar los costos frente al presupuesto, la revisin de las previsiones financieras y la gestin de los costos correspondientes. Los cambios en los servicios deben ser costeados y aprobados a travs del proceso de gestin de cambios. 6.5 GESTIN DE LA CAPACIDAD Objetivo: Garantizar que el proveedor del servicio tiene, en todo momento, la capacidad suficiente para satisfacer las demandas acordadas actuales y futuras de las necesidades del negocio del cliente. La gestin de la capacidad debe producir y mantener un plan de capacidad. La gestin de la capacidad debe tratar las necesidades del negocio e incluir:
13

a) la capacidad y los requisitos de desempeos actuales y previstos; b) la identificacin de los cronogramas, los umbrales y los costos para las mejoras del servicio; c) la evaluacin de los efectos de las mejoras previstas en el servicio, las solicitudes de cambio, las nuevas tcnicas y tecnologas, sobre la capacidad; d) el impacto previsto de los cambios externos, por ejemplo legislativos; e) los datos y procesos para permitir el anlisis de prediccin. Se deben identificar los mtodos, procesos y tcnicas para monitorear la capacidad del servicio, ajustar el desempeo del servicio y proporcionar una capacidad adecuada. 6.6 GESTIN DE LA SEGURIDAD DE LA INFORMACIN Objetivo: Gestionar la seguridad de la informacin de manera eficaz dentro de todas las actividades del servicio.
NOTA. La norma ISO/IEC 27002, Tecnologa de la informacin. Tcnicas de Seguridad. Cdigo de Prctica para la Gestin de la Seguridad de la Informacin proporciona directrices sobre la gestin de la seguridad de la informacin.

La direccin con la autoridad adecuada debe aprobar una poltica de seguridad de la informacin que se debe comunicar a todo el personal pertinente y a los clientes, cuando corresponda. Los controles adecuados de seguridad deben operar para: a) implementar los requisitos de la poltica de seguridad de la informacin; b) gestionar los riesgos asociados con el acceso al servicio o los sistemas. Los controles de seguridad deben estar documentados. La documentacin debe describir los riesgos con los cuales se relacionan los controles, y la forma de operacin y mantenimiento de los controles. El impacto de los cambios en los controles se debe evaluar antes de implementar el cambio. Los acuerdos que implican a organizaciones externas que tienen acceso a los sistemas y los servicios de informacin se deben basar en un acuerdo formal que defina todos los requisitos de seguridad necesarios. Se deben implementar mecanismos para permitir que los tipos, volmenes e impactos de los incidentes de seguridad y el mal funcionamiento se puedan cuantificar y monitorear. Las acciones de mejora identificadas durante este proceso se deben registrar y brindar entradas para el plan de mejora del servicio.

14

7. PROCESOS DE RELACIN 7.1 INFORMACIN GENERAL Los procesos de relacin describen los dos aspectos asociados a la gestin del proveedor y con la gestin de relaciones proveedor-cliente. 7.2 GESTIN DE LAS RELACIONES PROVEEDOR-CLIENTE. Objetivo: Establecer y mantener una buena relacin entre el proveedor de servicio y el cliente basada en el entendimiento del cliente y su negocio. El proveedor del servicio debe identificar y documentar las partes involucradas y los clientes del servicio. El proveedor del servicio y el cliente deben asistir a una revisin del servicio para discutir todos los cambios en el alcance del servicio, los SLA, el contrato (si existe) o las necesidades del negocio por lo menos una vez al ao y deben realizar reuniones intermedias a intervalos acordados para discutir el desempeo, los logros y los problemas en los planes de accin. Estas reuniones se deben documentar. Otras partes involucradas en el servicio tambin pueden participar en las reuniones. Los cambios en los contratos, si existen, y los SLA deben ser consecuencia de estas reuniones. Estos cambios deben estar sujetos al proceso de gestin de cambios. El proveedor del servicio debe conocer las necesidades del negocio y los cambios principales con el fin de prepararse para responder a estas necesidades. Debe existir un proceso de reclamaciones. La definicin de una reclamacin formal del servicio debe estar acordada con el cliente. El proveedor del servicio debe registrar todas las reclamaciones formales del servicio y adems investigar, tomar accin, informar y cerrar de manera formal las reclamaciones. Cuando una reclamacin no se resuelva a travs de los canales normales el cliente debe contar con otras instancias. El proveedor del servicio debe asignar a un individuo o varios individuos que sean responsables de la gestin de la satisfaccin del cliente y de todos los procesos de relaciones del negocio. Debe existir un proceso para obtener retroalimentacin de las mediciones regulares de satisfaccin del cliente y para actuar sobre ellas. Las acciones para la mejora identificadas durante este proceso se deben registrar e ingresar en un plan para la mejora del servicio. 7.3 GESTIN DE PROVEEDORES EXTERNOS Objetivo: Gestionar los proveedores externos para garantizar la prestacin continua del servicio con calidad.
NOTA 1. El alcance de esta norma excluye la bsqueda y seleccin de proveedores externos. NOTA 2. El proveedor del servicio puede utilizar proveedores externos para entregar alguna parte del servicio. Es el proveedor del servicio quien necesita demostrar el cumplimiento de los procesos de gestin de estos proveedores externos. Se pueden presentar relaciones complejas como se demuestra en el diagrama a continuacin, el cual se usa como ejemplo:

15

Proveedor Externo 1

Proveedor Externo 2

Proveedor del servicio (puede ser interno o externo)

Negocio

Proveedor Externo subcontratado 4

Proveedor Externo lder 3

Figura 3. Ejemplo de la relacin entre proveedores de servicios y proveedores externos El proveedor del servicio debe tener procesos documentados para la gestin de los proveedores externos y debe nombrar a un director de contratos responsable de cada proveedor externo. Los requisitos, el alcance, el nivel de servicio y los procesos de comunicacin que debe suministrar el proveedor externo deben estar documentados en los SLA o en otros documentos y deben ser pactados por todas las partes. Los SLA con los proveedores externos deben estar en lnea con los SLA con el negocio. Las interfaces entre los procesos utilizados por cada una de las partes deben estar documentadas y pactadas. Todas las funciones y las relaciones entre el proveedor externo lder y los subcontratados deben estar claramente documentadas. Los proveedores externos lderes deben tener la capacidad de demostrar procesos que garanticen que los proveedores externos subcontratados cumplen los requisitos contractuales. Se debe implementar un proceso para una revisin importante del contrato o el acuerdo formal por lo menos una vez al ao para garantizar que las necesidades del negocio y las obligaciones contractuales an se satisfacen. Los cambios en los contratos, si existen, y los SLA se deben deducir de estas revisiones segn sea adecuado o en otros momentos, segn se requiera. Todos los cambios deben estar sujetos al proceso de gestin de cambios. Debe existir un proceso para tratar las disputas contractuales. Se debe implementar un proceso para tratar la finalizacin esperada del servicio, la finalizacin temprana del servicio o la transferencia del servicio a otra de las partes. Se debe monitorear y revisar el desempeo en comparacin con las metas del nivel de servicio. Las acciones de mejora identificadas durante este proceso se deben registrar en e ingresar en un plan para la mejora del servicio.

16

8 PROCESO DE SOLUCIN 8.1 INFORMACIN GENERAL La gestin de incidentes y problemas son procesos separados, aunque estn ligados estrechamente. 8.2 GESTIN DE INCIDENTES Objetivo: Restaurar el servicio estipulado para el negocio tan pronto sea posible o responder a las solicitudes del servicio. Todos los incidentes se deben registrar. Se deben adoptar procedimientos para gestionar el impacto de los incidentes. Los procedimientos, deben definir el registro, la prioridad, el impacto en el negocio, la clasificacin, la actualizacin, escalamiento, la resolucin y el cierre formal de todos los incidentes. El cliente debe permanecer informado sobre el progreso de los incidentes que report o de las solicitudes de servicio y se debe alertar con anticipacin si sus niveles de servicio no se pueden satisfacer, as como sobre la accin acordada. Todo el personal implicado en la gestin de incidentes debe tener acceso a la informacin pertinente, como por ejemplo: los errores conocidos, las soluciones de problemas y la base de datos de gestin de la configuracin. Los incidentes importantes se deben clasificar y gestionar de acuerdo con un proceso. 8.3 GESTIN DE PROBLEMAS Objetivo: Minimizar la interrupcin del negocio mediante la identificacin proactiva y el anlisis de la causa de los incidentes y mediante la gestin de los problemas hasta su cierre. Todos los problemas identificados se deben registrar. Se deben adoptar procedimientos para identificar, minimizar o evitar el impacto de los incidentes y los problemas. Tales procedimientos deben definir el registro, la clasificacin, la actualizacin, el escalamiento, la resolucin y el cierre de todos los problemas. Se deben realizar acciones preventivas para reducir los problemas potenciales, por ejemplo seguir el anlisis de tendencia de volmenes y tipos de incidentes. Los cambios que se requieren con el fin de corregir la causa subyacente de los problemas deben pasar por el proceso de gestin de cambios. La solucin de problemas se debe monitorear, revisar e informar para que sean eficaces. La gestin de problemas debe ser responsable de garantizar que la informacin actualizada sobre los errores conocidos y los problemas corregidos est disponible para la gestin de incidentes.
17

Las acciones para la mejora identificadas durante este proceso se deben registrar e ingresar en un plan de mejora del servicio. 9. PROCESO DE CONTROL 9.1 GESTIN DE LA CONFIGURACIN Objetivo: Definir y controlar los componentes del servicio y la infraestructura, as como mantener informacin exacta sobre la configuracin. Debe existir un enfoque integrado para la planificacin de la gestin de la configuracin y del cambio. El proveedor del servicio debe definir las interfaces con los procesos de contabilidad de los bienes financieros.
NOTA. La contabilidad de los bienes financieros est fuera del alcance de esta seccin.

Debe existir una poltica sobre lo que se define como elemento de configuracin y sus componentes constitutivos. La informacin que se debe registrar para cada elemento debe estar definida y debe incluir las relaciones y la documentacin necesarias para la gestin eficaz del servicio. La gestin de la configuracin debe brindar los mecanismos parta identificar, controlar y rastrear versiones de componentes identificables del servicio y la infraestructura. Se debe garantizar que el grado de control es suficiente para satisfacer las necesidades del negocio, el riesgo de falla y la criticidad del servicio. La gestin de la configuracin debe brindar informacin al proceso de gestin de cambios sobre el impacto de un cambio solicitado en las configuraciones del servicio y la infraestructura. Los cambios en los elementos de configuracin se deben poder rastrear y auditar cuando corresponda, por ejemplo para los cambios y movimientos del software y el hardware. Los procedimientos de control de configuracin deben garantizar que se mantiene la integridad de los sistemas, los servicios y los componentes del servicio. Se debe establecer una lnea base de los elementos de configuracin correspondientes, antes de llevarlo a un entorno de produccin. Las copias maestras de los elementos de configuracin digital deben ser controladas en bibliotecas electrnicas o fsicas seguras y deben tener referencia a los registros de configuracin, por ejemplo software, productos de prueba, documentos de soporte. Todos los elementos de configuracin deben tener una identificacin nica y se deben registrar en la base de datos de gestin de configuracin, a la cual el acceso de actualizacin debe estar estrictamente controlado. La base de datos de la gestin de la configuracin se debe gestionar de forma activa y se debe verificar con el fin de garantizar su confiabilidad y exactitud. El estado de los elementos de configuracin, sus versiones, ubicacin, cambios relacionados, problemas y documentacin asociada deben estar visibles para aquellos que lo requieran.
18

Los procedimientos de auditora de la configuracin deben incluir el registro de deficiencias, iniciacin de acciones correctivas y presentacin de informes sobre los resultados.

9.2 GESTIN DE CAMBIOS Objetivo: Garantizar que todos los cambios se evalan, se aprueban, implementan y revisan de manera controlada. Los cambios en el servicio y la infraestructura deben tener un alcance claramente definido y documentado. Todas las solicitudes de cambio se deben registrar y clasificar, por ejemplo en urgentes, de emergencia, mayor o menor. Las solicitudes de cambio se deben evaluar para determinar sus riesgos, impactos y beneficios para el negocio. El proceso de gestin de cambios debe incluir la forma en la que se va a revertir o remediar el cambio si ste no tiene xito. Los cambios se deben aprobar y despus verificar, y se deben implementar de manera controlada. Todos los cambios se deben revisar para determinar el xito y todas las acciones realizadas despus de la implementacin. Deben existir polticas y procedimientos para controlar la autorizacin e implementacin de los cambios de emergencia. Las fechas programadas de implementacin de los cambios se deben utilizar como base para los programas de cambios y puesta en produccin. Un programa que contenga detalles de todos los cambios aprobados y las fechas propuestas para su implementacin se debe conservar y comunicar a todas las partes pertinentes. Los registros de cambios se deben analizar con regularidad con el fin de detectar niveles crecientes de cambios, los tipos que reaparecen con frecuencia, las tendencias emergentes y otra informacin pertinente. Se deben registrar los resultados y las conclusiones obtenidas en el anlisis de cambios. Las acciones para la mejora identificadas en la gestin de cambios se deben registrar e ingresar en un plan de mejora del servicio. 10. PROCESO DE PUESTA EN PRODUCCIN 10.1 PROCESO DE GESTIN DE VERSIONES Objetivo: Entregar, distribuir y mantener trazabilidad de uno o ms cambios en una versin en el entorno de produccin.
NOTA. El proceso de gestin de versiones debera integrarse con los procesos de gestin de cambios y gestin de la configuracin.

19

Se debe documentar y acordar la poltica de versiones que establezca la frecuencia y el tipo de versiones. El proveedor del servicio debe planificar con el negocio la puesta en produccin de servicios, sistemas, software, hardware. Todas las partes pertinentes, por ejemplo, clientes, usuarios, personal de operaciones y de soporte, deben autorizar y pactar los planes sobre la manera de implementar una versin. El proceso debe incluir la forma en que la versin se debe revertir o remediar si no tiene xito. Los planes deben registrar las fechas y los entregables de la puesta en produccin y hacer referencia a las solicitudes de cambio, los errores conocidos y los problemas relacionados. El proceso de gestin de versiones debe suministrar informacin adecuada al proceso de gestin de incidentes. Se deben evaluar las solicitudes de cambio para determinar su impacto en los planes de puesta en produccin. Los procedimientos de gestin de versiones deben incluir la actualizacin y el cambio de la informacin de configuracin y los registros de cambio. Las versiones de emergencia se deben manejar de acuerdo con un proceso definido que est estrechamente relacionado con el proceso de gestin de cambios de emergencia. Se debe establecer un entorno de prueba de aceptacin controlado para construir y probar todas las versiones antes de su distribucin. La puesta en produccin y distribucin deben tener un diseo y una implementacin que permitan mantener la integridad del hardware y el software durante la instalacin, la manipulacin, el empaque y la entrega. Se debe medir el xito y el fracaso de las versiones. Las mediciones deben incluir los incidentes relacionados con una versin en el perodo posterior a su puesta en produccin. El anlisis debe incluir la evaluacin del impacto en el negocio, las operaciones de tecnologa de la informacin y los recursos del personal de soporte, y tambin debe suministrar una entrada para un plan de mejora del servicio.

20