extrcto_iso_iec 20000 para pymes

ISO/IEC 20000 para pymes

Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

Título: ISO/IEC 20000 para pymes.

Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

Nextel S.A., CONETIC

© AENOR (Asociación Española de Normalización y Certificación), 2010

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,

sin la previa autorización escrita de AENOR.

© de las ilustraciones: Nextel S.A., Block Comunicaciones Integrales S.L.

© de la fotografía usada en las páginas 25 y 42: [Tatyana Drozdova]/[Fotolia.com]

ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and

other countries.

ISBN: 978-84-8143-675-4

Depósito Legal: M-11019-2010

Impreso en España - Printed in Spain

Edita: AENOR

Maqueta y diseño de cubierta: AENOR

Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695

[email protected] • www.aenor.es

Índice

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Estructura de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Motivos para implantar un Sistema de Gestión de Servicios TI (SGSTI) en un entorno pyme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1. Conceptos previos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1.1. Calidad del servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1.2. Servicio TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.3. Ciclo de vida de un servicio TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.4. ITIL® frente a ISO 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2. El Sistema de Gestión de Servicios TI (SGSTI) . . . . . . . . . . . . . . . . . . . . . 23

2.1. Planificación del sistema de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.1.1. Establecimiento del alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.1.2. Definición de la política de gestión de servicios TI . . . . . . . . . . . 30

2.1.3. Designación de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

2.1.4. Asignación del responsable de TI . . . . . . . . . . . . . . . . . . . . . . . 35

2.1.5. Identificación de los riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.1.6. Gestión de la documentación y los registros . . . . . . . . . . . . . . . 38

2.1.7. Gestión de la competencia, concienciación y formación . . . . . . 39

2.1.8. Diseño de los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

2.2. Implementación del sistema de gestión . . . . . . . . . . . . . . . . . . . . . . . . . 43

2.3. Monitorización y revisión del sistema de gestión . . . . . . . . . . . . . . . . . . 45

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información6

2.4. Mejora del sistema de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

2.5. El sistema de gestión de servicios TI. Ficha resumen . . . . . . . . . . . . . . . 51

3. Los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

3.1. Estructura de los procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

3.2. Procesos de provisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

3.2.1. Gestión del nivel de servicio (SLM) . . . . . . . . . . . . . . . . . . . . . . 55

3.2.2. Generación de informes del servicio . . . . . . . . . . . . . . . . . . . . . 60

3.2.3. Gestión de la continuidad y disponibilidad del servicio . . . . . . . 64

3.2.4. Presupuestar y contabilizar el servicio . . . . . . . . . . . . . . . . . . . . 70

3.2.5. Gestión de la capacidad del servicio . . . . . . . . . . . . . . . . . . . . 75

3.2.6. Gestión de la seguridad de la información del servicio . . . . . . . 79

3.3. Procesos de relación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

3.3.1. Gestión de relaciones con el negocio . . . . . . . . . . . . . . . . . . . . 84

3.3.2. Gestión de suministradores . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

3.4. Procesos de resolución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

3.4.1. Gestión de incidentes del servicio . . . . . . . . . . . . . . . . . . . . . . . 94

3.4.2. Gestión de problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

3.5. Procesos de control y entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

3.5.1. Gestión de la configuración del servicio . . . . . . . . . . . . . . . . . . 104

3.5.2. Gestión del cambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

3.5.3. Gestión de la entrega del servicio . . . . . . . . . . . . . . . . . . . . . . 119

4. Los servicios TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

4.1. La gestión de los servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

4.2. El catálogo de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

4.3. Servicios TI nuevos o modificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

5. Auditoría y certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Anexo A. Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Anexo B. Documentación normativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Anexo C. Integración con otros sistemas de gestión . . . . . . . . . . . . . . . . . . 141

A finales de 2005 un grupo de nuestras asociaciones empresariales se unieron paraaunar esfuerzos en beneficio de las empresas del sector TEIC. Con una actitudgenerosa y comprometida constituyeron la Confederación Española de Empresasde Tecnologías de la Información, Comunicaciones y Electrónica (CONETIC).

Actualmente somos 14 asociaciones que agrupan a más de 1.600 empresas reparti-das por casi la totalidad de la geografía española, impulsadas por la misma motiva-ción inicial: trabajar por la defensa de los intereses del sector, y promover el creci-miento y la madurez de la industria desde el desarrollo individual de las empresa,fomentando su especialización y crecimiento, sustentado éste, en la cooperacióninter-empresarial.

Fruto de esta apuesta por el avance competitivo de las empresas nos enorgullece pre-sentar ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los serviciosde tecnologías de la información, una adaptación de las Normas UNE-ISO/IEC 20000a las singularidades de las pequeñas y medianas empresas. Esta publicación es frutodel excelente trabajo realizado por un equipo de profesionales que han logrado unaadaptación pionera que ayudará a las empresas a obtener una certificación especí-fica, y que ya ha sido probada con éxito en más de una veintena de empresas.

En nombre de CONETIC quiero dar las gracias a todos los que han permitido esteéxito: al Ministerio de Industria, Turismo y Comercio, que ha sabido entender yatender con el Plan Avanza el reto competitivo al que se enfrenta el sector, represen-tado mayoritariamente por pymes. A nuestra asociación, GAIA, que con su visiónestratégica presentó a CONETIC un proyecto arriesgado e ilusionante que permiteconducir a las empresas a alcanzar un nivel de madurez imprescindible en la gestiónde los servicios TIC, ofreciéndoles una ventaja competitiva.

Agradecer a Tomás Iriondo, Oihana Arrieta, Ana Soroa y a Eider Caraciolo sudedicación, talento y esfuerzo entregado al servicio de las empresas.

También nuestro agradecimiento a nuestros colaboradores, el equipo de NEXTEL,S.A. por su gran profesionalidad y excelente trabajo en la elaboración de este libro,a Symbiosis consultores por su apoyo en la implantación de la norma en lasempresas, a AENOR, encargada de la certificación de las pymes y de la edición deeste libro y, por supuesto, a las empresas participantes en estas primeras edicionesdel proyecto, que han iniciado y allanado un camino que será recorrido por muchasmás, y que están permitiendo con sus aportaciones ajustar la norma a la particulari-dad de las pymes.

Por último, gracias a los patrocinadores de esta publicación: SPRI e INTECO,que permiten acercar los conocimientos y la experiencia a la hora de adaptar lanorma a las empresas.

En CONETIC estamos convencidos de que este libro animará a otras pymes aseguir el camino iniciado por 17 empresas en el año 2008, y contribuirá a contarcon un sector más maduro y competitivo capaz de afrontar con éxito los retos delfuturo.

Vicente Alciturri GandarillasPRESIDENTE DE CONETIC

8 ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información

Desde que CONETIC (Confederación Española de Empresas de Tecnologías dela Información, Comunicaciones y Electrónica) presentó el proyecto 20000PYMEen la edición 2008 del Plan Avanza, en Nextel S.A. hemos vivido el proyecto conla ilusión que nos caracteriza, la misma que hace más de 20 años nos impulsó aintroducirnos en el mercado de las telecomunicaciones con tesón y confianza.

Iniciar un proyecto tan ambicioso como el de 20000PYME, liderando la coordina-ción de las consultoras regionales, fue para Nextel S.A. una gran apuesta en su líneade consultoría IT. Para afrontar esta enorme responsabilidad, contamos en todomomento con la colaboración de GAIA (Asociación de Industrias de las Tecnolo-gías Electrónicas y de la Información del País Vasco), una organización con la quehemos trabajado incesantemente a lo largo de este proyecto. Nuestro objetivo eraacercar a las pequeñas y medianas empresas una norma hasta el momento dedicadaa grandes corporaciones.

Hoy, terminada la redacción de este libro, seguimos recibiendo el apoyo de impor-tantes organizaciones como AENOR, que se encargará de certificar a las pymesparticipantes en este proyecto en los sistemas de gestión de servicios de tecnolo-gías de la información, basándose en los requisitos de la Norma UNE-ISO/IEC20000-1:2007.

Tras nuestra estrecha colaboración con todas las organizaciones que han interve-nido, nos sentimos realmente agradecidos por haber completado un proyecto detanta relevancia a nivel nacional, así como orgullosos por habernos convertido enpioneros del sector de la consultoría IT gracias a la adaptación de esta norma.

Gracias, en nombre de Nextel S.A., a todas las personas que han trabajado en esteproyecto, con la energía y la constancia que ha distinguido a todos los profesiona-les que participaron en 20000PYME, gracias por conseguir que se plasme en este

ISO/IEC 20000 para pymes. Cómo implantar un sistema de gestión de los servicios de tecnologías de la información10

libro el minucioso trabajo realizado desde la primera fase del proyecto. Por último,nuestro agradecimiento al Ministerio de Industria, Turismo y Comercio delGobierno de España por su apoyo incondicional a la innovación y a la mejoracontinua de las empresas del sector.

Con esta publicación abrimos el camino que impulsará a que muchas más pymessigan esta norma, a fin de garantizar en sus empresas el cumplimiento de un SGSTIadaptado a sus necesidades y recursos.

Agradecemos especialmente a AENOR su esmero en la supervisión de esta guía ya GAIA su inestimable ayuda en este proyecto.

José Ramón Bazo LópezDIRECTOR GENERAL DE NEXTEL S.A.

El desarrollo de procesos de negocio en las organizaciones se halla en la actualidadíntimamente relacionado con los sistemas de información. Estos sistemas hanpasado de estar orientados a procesos automatizados y muy específicos a ser por símismos el corazón sobre el que se establecen todos los demás elementos producti-vos, de relación y gestión, dentro de cualquier organización. Hoy por hoy, lamejora en los procesos productivos sería impensable sin la aportación de los siste-mas de información. Si en un primer instante las áreas técnicas dedicadas a la plani-ficación y explotación de los sistemas concernían a una parte muy específica de laorganización, siendo en algunas ocasiones opaca ante la misma, en este momentose hace necesaria una relación estrecha entre ambos “mundos”, el de las tecnologíasde la información y el del negocio. Si bien, en un principio, el establecimiento deesta gestión TI (Tecnologías de la Información), orientada al negocio, se ha vistoimpulsada por las grandes organizaciones industriales, el sector financiero o los servi-cios públicos, en la actualidad (incluso en organizaciones de menor tamaño) es nece-sario no solo disponer de unos servicios TI adecuados, sino que estos demuestrentanto a accionistas como a clientes la calidad de los mismos en los procesos produc-tivos que desarrollan.

El paradigma del servicio de TI está generando un enorme cambio cultural dentrode las organizaciones, que deben adaptarse lo antes posible para beneficiarse de lasventajas derivadas de una buena gestión. Se establece una nueva relación entre losservicios de información y el negocio, convirtiéndose este primero en proveedorinterno que “vende” sus servicios TI y que, por tanto, debe garantizar la calidad delos mismos. Por otra parte, la venta de servicios TI deriva en un fortalecimiento delcontrol de costes que garantice la rentabilidad de las inversiones en infraestructu-ras. Asimismo, el departamento TI dependerá de otros departamentos internos yevidentemente de proveedores externos. Entre ellos se formaliza la relación cuyaconsolidación dará como producto final el servicio TI gestionado.

Introducción

Si establecemos este criterio de considerar de manera específica la calidad de la pres-tación de servicios TI a nuestro propio negocio, deberemos velar todavía más poraquellos servicios TI que ofrecemos a nuestros clientes externos. La calidad del servicio que prestamos tiene que quedar evidenciada tanto en la eficacia como en laeficiencia del mismo.

La necesidad de gestionar de manera específica los servicios TI originó, en losaños ochenta, la creación de la denominada Biblioteca de Infraestructura de Tec-nologías de la Información, conocida por su acrónimo en inglés ITIL® (Informa-tion Technology Infrastructure Library), que recogía las mejores prácticas destinadasa facilitar la prestación de servicios TI. Por otro lado, la institución británica BSI(British Standard Institution) comenzó con su propia definición de una normapara la gestión de servicios TI, denominada BS 15000. Posteriormente, se consi-deró la necesidad de alinear la norma con las publicaciones de ITIL®. Ya en 2005se elevó la norma de nacional a internacional, publicándose lo que hoy conocemoscomo ISO/IEC 20000-1:2005 e ISO/IEC 20000-2:2005. En España, impulsadopor itSMF (IT Service Management Forum), se realiza la traducción de la norma alespañol y posteriormente, AENOR (Asociación Española de Normalización yCertificación) procede a su publicación en junio de 2007 como UNE-ISO/IEC20000-1:2007 Tecnología de la información. Gestión del servicio. Parte 1: Especifi-caciones y UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión delservicio. Parte 2: Código de buenas prácticas.

La Norma UNE-ISO/IEC 20000-1:2007 Tecnología de la Información. Gestión delservicio. Parte 1: Especificaciones, objeto de análisis y desarrollo en la presente guía,proporciona una norma nacional para todas aquellas organizaciones que ofrecenservicios TI, tanto a sus clientes internos como externos, estableciendo una referenciaúnica para todos los implicados: proveedores, suministradores y el propio cliente.

En este contexto en el que se alinean y normalizan las distintas iniciativas para lagestión de servicios TI, las expectativas creadas no se han visto satisfechas en sutotalidad. Al analizar las causas, se ha puesto de manifiesto la exigencia en rela-ción al desarrollo de todos los procesos que especifica, la referencia inevitable a lasbuenas prácticas consideradas por ITIL®, así como la errónea consideración de lanecesidad “casi obligada” de herramientas. Todo esto ha hecho que el entornoobjetivo, que hasta ahora se ha beneficiado de la mejora que supone un sistema degestión de este tipo, se circunscriba exclusivamente al entorno de las grandes com-pañías.

Este es el objetivo primordial de la guía que les presentamos: acabar con la asocia-ción que se estaba consolidando de relacionar los sistemas de gestión normalizadoscon la gran organización, y permitir la implantación en un entorno mucho máslimitado en cuanto a recursos, como es la pequeña y mediana organización (pyme).


Estructura de contenidos

La presente guía se ha estructurado de forma que resulte sencillo comprender lasnecesidades que satisface un SGSTI (Sistema de Gestión de Servicios de Tecnolo-gías de la Información) y las exigencias que implica la implantación de un SGSTIconforme a la Norma UNE-ISO/IEC 20000-1:2007. Para ello, la publicación seha organizado de la siguiente manera:

• Introducción: recoge la motivación de la guía, así como una breve explica-ción de su contenido. También incluye una ayuda explicativa del formato dealgunas de las secciones, además de:

– Objeto: refleja los objetivos que trata de cubrir el presente documento.

– Motivos para implantar un Sistema de Gestión de Servicios TI (SGSTI)en un entorno pyme: presenta las principales motivaciones que puedeninducir a una pyme a implantar un sistema de gestión de servicios TI con-forme a la Norma UNE-ISO/IEC 20000-1:2007.

• Capítulo 1. Conceptos previos: recoge una serie de aclaraciones y desarrollosconceptuales básicos y necesarios para entender el resto del documento.

• Capítulo 2. El Sistema de Gestión de Servicios TI (SGSTI): presenta loselementos de alto nivel del sistema de gestión, describiendo sus generalida-des y características principales.

• Capítulo 3. Los procesos: refleja el desarrollo de todos y cada uno de losprocesos definidos por la Norma UNE-ISO/IEC 20000-1:2007, e identificasus particularidades más significativas.

• Capítulo 4. Los servicios TI: recoge los principios generales que rigen lagestión de los servicios TI de acuerdo al sistema de gestión definido y a travésde los procesos identificados en el capítulo anterior.

• Capítulo 5. Auditoría y certificación.

Además de estos capítulos, se recogen una serie de anexos que se han desarrolladocon el fin de aclarar algunos de los aspectos específicos tratados:

• Anexo A: glosario de términos utilizados a lo largo del libro.

• Anexo B: relación de la documentación obligatoria conforme a la NormaUNE-ISO/IEC 20000-1:2007.

• Anexo C: ventajas de la integración del SGSTI con otros sistemas de gestión ycorrespondencias más significativas con las normas de gestión más extendidas.

13Introducción

En los capítulos 2, 3 y 4 tras el texto explicativo, hay una serie de apartados finalesdonde se incluyen las fichas resumen de cada bloque, y cuyo propósito es facilitarla identificación de los principales aspectos de cada uno de ellos. Estas fichas resumenrecogen los siguientes aspectos:

• Objetivos: los objetivos esenciales del bloque.

• Puntos clave: los principales elementos dentro del bloque.

• Evidencias de implementación: las evidencias fundamentales que puedengenerarse para verificar la implementación de los aspectos indicados en elbloque.

• Pistas para la auditoría: aspectos más significativos que deben considerarsede cara a una auditoría en relación al bloque.

Objeto

La presente guía surge con el fin último de acercar la citada norma al entorno de lapequeña y mediana organización, y ayudar así a la modernización de las mismas,para que puedan competir en un mercado cada vez más globalizado. Pretende esta-blecer unas nuevas metodologías de trabajo para conseguir la automatización eindustrialización de los servicios y capacitar al personal en las actuales metodologíasde gestión. Uno de los objetivos básicos es satisfacer a los clientes más exigentes,y para ello la tecnología de la información se ha convertido en una necesidad pri-mordial para sobrevivir. En definitiva, se aspira a mejorar de manera continua lacalidad del servicio ofrecido.

Esta guía ha de servir de referencia, apoyo y consulta a aquellas pymes de cual-quier ámbito de actividad económica que estén interesadas en la planificación,implantación y certificación de un SGSTI basado en la Norma UNE-ISO/IEC20000-1:2007.

Se han establecido los contenidos específicos mínimos que debe cumplir la organi-zación para la certificación del sistema que se establezca. Se exponen a su vez, deforma práctica y sencilla, los aspectos esenciales para cada punto requerido por lanorma, con ejemplos, buenas prácticas y recomendaciones.

Esta guía, no pretende sustituir a la Norma UNE-ISO/IEC 20000-1:2007, sino quedebe utilizarse de manera complementaria para lograr con éxito la planificación eimplantación de un sistema de gestión de servicios TI en un entorno reducido, comoel que corresponde a una pyme.


Motivos para implantar un Sistema de Gestión deServicios TI (SGSTI) en un entorno pyme

Los servicios TI se enfrentan a una serie de desafíos desconocidos hasta ahora enlos entornos tecnológicos, y que requieren un tratamiento que va más allá del sistema de gestión tradicional para el aseguramiento de la calidad de los productosUNE-EN ISO 9001:2008 Sistemas de gestión de la calidad. Requisitos. Sobre los servi-cios TI actúan de forma más influyente que sobre cualquier otro entorno, las fuerzasque gobiernan la gestión de la diversidad: complejidad, globalización y extremadavelocidad de cambio. Nos encontramos ante un nuevo paradigma, en donde la gestión de los servicios TI debe orientarse hacia un nuevo modelo de control. Estemodelo se basará en: la coordinación de múltiples agentes (internos y externos)que poseen el conocimiento, la automatización de los mecanismos de control de lasinfraestructuras TI, y la integración de las TI con el resto de procesos de negocio alos que da soporte.

Identificados los “servicios de TI” como el nuevo activo que ayudará a proporcio-nar a las organizaciones las mejoras en productividad y competitividad demandadas,deben disponerse los mecanismos necesarios para garantizar su eficacia y su efi-ciencia. De todos ellos, el principal mecanismo definido, reconocido internacional-mente, es la implantación de un sistema de gestión de los servicios de TI basado enla serie de Normas ISO 20000.

Pero, sin duda, las razones fundamentales para que las organizaciones gestionen laprestación de sus servicios TI conforme a la Norma UNE-ISO/IEC 20000-1:2007,son:

• La optimización de recursos en dichas prestaciones.

• Evidenciar al cliente la calidad del servicio que se le ofrece.

• Aumentar la ventaja competitiva que supone la certificación, por ejemplo, enlas licitaciones a concursos de las Administraciones Públicas u otro tipo deorganizaciones que ya disponen de este tipo de gestión en otros ámbitos.

Sin embargo, por una serie de motivos que incluyen tanto la estabilidad del mer-cado necesaria como los recursos disponibles, las grandes organizaciones utilizan losmodelos y metodologías de gestión mundialmente reconocidos para la puesta enmarcha de un sistema de gestión estructurado y organizado, pero las pymes apenaslo hacen.

La presente iniciativa ha sido diseñada con una clara orientación hacia las necesida-des de las pymes, en consecuencia, su propia esencia se encuentra dirigida a este

15Introducción

segmento de la estructura económica. El 99,8% del tejido organizacional está com-puesto por pymes, empleando al 70% de los trabajadores en activo. Su relevanciaresulta indiscutible cuando consideramos los datos a nivel macroeconómico, sinembargo todavía existen grandes dificultades para estas en sus relaciones con el mercado. Las necesidades identificadas entre las pymes han provocado el diseñode la presente iniciativa, que aporta una serie de ventajas que se resumen a conti-nuación:

• Mejora del sistema de gestión desde una perspectiva global de la organización.

• Mejora de sus procesos operativos y consecuentemente de sus servicios.

• Aumento significativo en la calidad y el rendimiento de los servicios ofrecidos.

• Aprovechamiento de una certificación para la creación de una ventaja com-petitiva de carácter estratégico.

• Reconocimiento contrastado y comparativo de los esfuerzos que realizan laspyme y sus consecuentes niveles competitivos.

• Certificación que reconoce su grado de calidad operativa, permitiendo avalaren el mercado la calidad de sus servicios y, por consecuencia, mejorar sucompetitividad.

• Facilidad en la adopción de herramientas tecnológicas adaptadas a las carac-terísticas específicas de las pymes.

• Adopción de herramientas tecnológicas con repercusión directa en la mejorade la competitividad de la organización.

• Integración de las pymes en una red de colaboración donde podrán coope-rar, aunar esfuerzos y aprender de las experiencias de las grandes organiza-ciones adaptadas a la casuística de las pymes.

En resumen, la mejora estratégica y operativa que puede provocar la implantaciónde la presente iniciativa en el seno de las pymes permitirá incrementar su competi-tividad eliminando, en parte, sus limitaciones y aprovechando sus potencialidades.


1.1. Calidad del servicio

La calidad del servicio es el primer concepto que deberá tenerse en cuenta para cual-quier organización que trate de implementar un SGSTI. El objetivo último del sis-tema estará orientado a mejorar la calidad de sus servicios, entendiendo calidadcomo “propiedad o conjunto de propiedades inherentes a algo, que permiten juzgarsu valor”. Esta definición de la RAE (Real Academia Española) sintetiza claramenteuna de las finalidades del SGSTI: juzgar el valor de un servicio TI (más adelanteabordaremos el concepto de servicio TI). No obstante, esta definición no es la únicaque nos puede aportar luz sobre las connotaciones que hay en torno al concepto dela calidad. Si atendemos a la definición de la Norma UNE-EN ISO 8402:1995Gestión de la calidad y aseguramiento de la calidad. Vocabulario, comprobamos quecalidad se define como el “conjunto de características de una entidad que le confierenla aptitud para satisfacer las necesidades establecidas y las implícitas”.

En esta segunda definición de la calidad aparece otra idea que se trabaja en estanorma: la satisfacción de las necesidades explícitas e implícitas. En este sentido,este sistema considera tres elementos principales, que son los que determinan loscriterios consensuados para juzgar la calidad de un servicio TI: el proveedor delservicio, el cliente o “comprador” del servicio y el usuario o beneficiario directodel servicio. De acuerdo a esta última definición, un SGSTI establece dos tipos denecesidades con respecto a un servicio, las del proveedor y las del cliente. Se consi-deran procesos específicos que analizan a priori si el servicio que se plantea cubrelas expectativas establecidas por parte de la organización que lo va a prestar. Además,de modo previo a la prestación del propio servicio, se establecen los acuerdos denivel de servicio que convierten en tangibles las expectativas explícitas e implícitasdel cliente con respecto a este.

Conceptos previos1

1.2. Servicio TI

Cualquier organización que preste servicios TI puede establecer un SGSTI paraasegurarse de que dichos servicios reúnen una calidad aceptable para sus clientes.No obstante, lo que en muchas ocasiones no queda claro es cuáles son precisa-mente los servicios TI que pueden beneficiarse del sistema de gestión. ¿Qué servi-cios están bajo el paraguas de servicios TI?

Podemos definir un servicio de tecnologías de la información, o servicio TI, comotodo aquel servicio que está soportado por tecnologías de la información y lascomunicaciones, o bien como una serie de prestaciones ofrecidas por una organi-zación, destinadas a satisfacer las necesidades de unos clientes mediante el uso deinfraestructuras tecnológicas.

De acuerdo con esta definición, podemos entender que el concepto de servicio TIposee una serie de características, no tanto definitorias pero sí delimitadoras, quepueden servirnos para acotar el ámbito de actuación de estos sistemas de gestión.Estas características son:

• Una especial preocupación por el propio concepto de servicio y su intangibi-lidad, en contraposición al concepto de producto.

• Una clara orientación al cliente a través de las características de entrega devalor añadido y de satisfacción de sus necesidades.

• Un uso predominante de las tecnologías de la información y las comunica-ciones para poder efectuar la prestación del servicio.

Teniendo en cuenta estas características, podemos deducir que los servicios TI noson solamente los servicios proporcionados directamente por una infraestructuratecnológica, sino que dentro de este ámbito se engloban aquellos en los que el usode tecnologías de la información y comunicación juegan un papel fundamental a lahora de proporcionar ese valor añadido al cliente. Por lo tanto, dentro del conceptode servicios TI también podemos contemplar outsourcing, tales como la asistenciatécnica en relación a los sistemas de información o la operación y mantenimientode infraestructuras tecnológicas, siempre que estas actividades se desarrollen enforma de servicio continuado y no de proyecto puntual.

1.3. Ciclo de vida de un servicio TI

Desde el momento en que se decide sacar a la luz un nuevo servicio desde unaorganización, nos encontramos gestionando dicho servicio. Evidentemente no


estamos aplicando a dicho servicio un sistema de gestión, pero sí que estaremosaplicando una “gestión del servicio”, sobre todo si lo hacemos sistemáticamente yestablecemos los criterios de planificación partiendo de los datos recogidos de otrasplanificaciones previas.

Para todo servicio TI puede establecerse el siguiente ciclo: planificación del servi-cio, ejecución, revisión y mejora del mismo, como se indica en la figura 1.1.

En el ámbito de la gestión se denomina “ciclo de Deming” al ciclo continuo. Ennuestro caso, mientras se mantenga el servicio que se establece, y aplicando unametodología específica que nos permita dar un servicio de calidad y en continuamejora.

Planificación (Plan). El servicio se define de acuerdo a unas necesidades o expec-tativas previstas por la organización, tales como el rendimiento económico, losrecursos necesarios, el cliente objetivo, etc. Después de la planificación, le ofrecere-mos el servicio a un cliente concreto, conjugando las expectativas de nuestra orga-nización con respecto al servicio planificado con las propias del cliente. Si esto lo consensuamos y documentamos, disponemos de los parámetros centrales para laprestación de un servicio con calidad.

19Conceptos previos

Plan Do

Act Check

Figura 1.1. PDCA: Plan (Planificación), Do (Ejecución),Check (Revisión), Act (Mejora)

Ejecución (Do). Tras la planificación se comienza a prestar el servicio. Como entoda actividad de este tipo, tendremos que gestionar las incidencias o los cambiosde requerimientos por parte del prestador o del cliente. Para gestionarlas, comomínimo, habremos asignado a alguien para su recepción, para comprobar que efec-tivamente el cliente que llama es aquel con quien tenemos el servicio establecido ypara conocer, además, los detalles comprometidos, y con arreglo a los datos disponi-bles, actuaremos, resolviendo la incidencia con mayor o menor celeridad; en funciónde lo acordado en la fase de planificación.

Revisión (Check). Transcurrido un tiempo quizás no se hayan cumplido nuestrasexpectativas o las del cliente. No obstante, para verificar estos aspectos será nece-sario revisar el servicio prestado y las características bajo las que se presta, y compa-rarlas con la planificación y previsión inicial para detectar desviaciones y áreas demejora.

Mejora (Act). A partir de la revisión anterior podrán definirse las modificacionesdel servicio prestado, que a su vez pueden conllevar otro análisis interno en la orga-nización prestadora y una posterior negociación con el cliente final.

Además del ciclo de Deming, que puede ser aplicado a cualquier servicio en general,podemos establecer las especificidades que afectan a un servicio TI, y que se repre-sentan en la figura 1.2:

1. Inicio: se planifica el nuevo servicio en correspondencia a los requerimien-tos de la organización y del cliente.

2. Cambio: la planificación inicial no se desarrolla directamente sobre unentorno en producción, sino que se planifica el cambio que va a suponer lainclusión del servicio en el entorno de producción.

3. Operación: el servicio se encuentra en el entorno de operación o explota-ción y se opera. En esta fase es donde se desarrolla el servicio especificadopor el proveedor y el que contrata el cliente.

4. Soporte: de manera inherente a la prestación del servicio, surgirán incidentesque habrá que solventar.

5. Modificación: en consonancia con los datos recogidos de las fases de opera-ción, soporte y relación con el cliente, se establecerán modificaciones en elservicio que generarán otro ciclo completo.

En el apartado 3.1 se desarrolla la relación específica entre los procesos planteadospor la norma con cada una de las fases del ciclo de vida del servicio.


1.4. ITIL® frente a ISO 20000

En este apartado se intenta aclarar la relación existente entre ITIL® y UNE-ISO/ IEC 20000:2007. Para facilitar su comprensión y aclarar conceptos, se ha utilizadocomo ejemplo gráfico la fabricación de un coche.

La figura 1.3 representa la relación entre ambas en forma de pirámide. La partesuperior corresponde a la parte 1 de la norma (especificación), es decir, los objeti-vos que se han de alcanzar con el SGSTI para que sea certificable. En este caso, yutilizando el ejemplo de la fabricación de un vehículo, se puede considerar que eneste documento se recogen las características que deberá tener un sistema para serconsiderado vehículo por el Ministerio de Industria.

La segunda capa de la pirámide se corresponde con la parte 2 de la norma, códigode buenas prácticas, el cual trata de aclarar los requerimientos especificados de laparte 1. Siguiendo con el ejemplo, representaría el “manual” para construir nuestrovehículo, independientemente de los recursos que se tengan, pero en línea con lasdirectrices del Ministerio.

La tercera capa representa a ITIL®, que contiene las mejores prácticas recogidas enel sector para la implementación de un SGSTI. En nuestro ejemplo automovilístico

21Conceptos previos

InicioOptimización

Cambio

Soporte Operación

Figura 1.2. Ciclo de vida del servicio

Planificación del nuevo servicio o modificación del existente

Resolución de las incidenciasocurridas en la operacióndel servicio

Planificación de la introducción del nuevo

servicio o la modificación enun entorno de producción

Explotación del servicio en elentorno de producción

Ciclo de vidadel servicio TI

representaría la opinión y las metodologías empleadas por los grandes fabricantesdel mundo del automóvil, donde se reflejan los procedimientos que les han permi-tido fabricar los mejores coches.

La cuarta capa, objeto de esta publicación, es la aplicación práctica de todos los ele-mentos anteriormente señalados. Es decir, se mantienen como principal referencia las especificaciones de la parte 1 (norma certificable), se tienen en cuenta la parte 2de la norma (buenas prácticas) e ITIL® (las mejores prácticas propuestas), pero seacomodan a un entorno más limitado en cuanto a recursos humanos y materialescomo es la pyme. Continuando con la analogía para la fabricación de un vehículo,seguimos manteniendo las especificaciones a cumplir, y definidas por quien poste-riormente verificará que nuestro coche es apto para circular; a su vez, se conoce ytiene en cuenta la experiencia y las maneras de fabricar que han resultado exitosas alo largo del tiempo, pero fabricamos nuestro vehículo en un taller ubicado en cual-quier ciudad del país y no en un centro de producción de una multinacional.

El sistema de gestión de servicios TI que propone este libro desarrolla las especifi-caciones recogidas en la parte 1 de la norma y las traslada a un entorno concreto enforma de políticas, procesos, procedimientos, instrucciones técnicas, etc. Posterior-mente, serán auditadas y certificarán la gestión de los servicios TI definidos en elalcance conforme a la Norma UNE-ISO/IEC 20000-1:2007.


Figura 1.3. Relación entre ITIL® y UNE-ISO/IEC 20000:2007

Políticas, procedimientos, instrucciones técnicas de cada organización

ITIL®

UNE-ISO/IEC20000-2

UNE-ISO/IEC20000-1

Certificación

Especificación

Código de buenas prácticas

Las mejoresprácticas

SGSTI propio dela organización

extrcto_iso_iec 20000 para pymes

Documents