ITIL e ISO/IEC 20000
De las mejores prácticas
de Gestión de IT a la certificación
Sergio Hrabinski
Expocomm
Octubre 2006
“ITIL”
y “IT Infrastructure Library”
Agenda
•
ITIL –
¿
qué
es?
•
Q
ué
implica aplicar ITIL a una organización
•
F
ormas de encarar ITIL –
casos de éxito
•
E
l Futuro de ITIL
•
La ISO/IEC 20000
ITIL –
¿
Qué
es?
•
ITIL: Information Technology Infrastructure Library (Biblioteca de Infraestructura de IT)
•
C
ompendio de mejores prácticas para la gestión en
áreas de IT.
•
N
ació
hace más de 15 años
-iniciativa del gobierno
Inglés
-aporte de empresas de diversas industrias
•
S
e enfoca en la calidad de la provisión de servicios
Servicios de IT
•
P
Objetivos de ITIL
•
P
romover la visión de IT
como proveedor de servicios
•
F
omentar el foco en el cliente
•
A
linear la organización de IT con el negocio de la
empresa
•
P
osicionar a IT como parte importante de la cadena de
valor
•
E
standarizar los procesos de gestión de servicios de IT
•
P
romover el uso de concepto
s comunes para mejorar la
comunicación
•
S
ervir de base para la certificación de las personas y las
Cadena de Valor de los Servicios de IT A rea Info rmát ica CLIENTE CLIENTE CLIENTE Mrktg Ventas Adm in.
Proveedor Externo Proveedor Externo Proveedor Externo
Proveedores Internos Produ ctos y Servicios S u e m p r e s a Servicio de IT
Principales razones para invert
¿Qué
tiene ITIL de especial?
•
P
romueve una gestión por procesos
•
E
specifica cuáles son las cosas que debería realizar una
organización de IT para administrar sus servicios
•
D
efine procesos y sus interrelaciones
•
Indica roles y responsabilidades específicos
•
P
romueve una gestión orientada a servicios
•
P
¿Qué
implica aplicar ITIL?
•Asignar roles y responsabilidades •Manejar el Cambio Cultural (Management of Change) •Formalización de Procesos •Automatizar con herramientas “ITIL Compliant”
Casos de Éxito (1)
•
C
aso Datacenter (Service Provider)
–Situación: •N
eces
idad de estandarizar la manera en que se implementan los
servicios en sus clientes. Nece
si
dad de contar con información
sobre los componentes de los servicios
–
A
ctividades realizadas: •D
efinición y automatización de la
Gestión de Configuraciones y del
Release Management de ITIL, posteriormente la gestión de Cambios
–
R
esultados obtenidos: •procesos estándar para toda la organización del Datacenter, mayor rapidez y asertividad en la
activación de clientes y
atención
Casos de Éxito (2)
•
C
aso empresa telefonía celular:
–Situación: •alto volumen de cambios a una infraestructura de 500 servidores y aplicaciones
desarrolladas in-house
–
A
ctividades realizadas: •desarrollo e implementación del
proceso de cambios en toda la
organización de IT
–
R
esultados obtenidos: •disminución de la cantidad de cambios total, •aumento en la calidad de los cambios, •cambios que generaron menos
incidentes,
•
capac
idad de agrupar los cambios semanalmente,
•
m
ejor organización de los recursos,
•
m
Pasos para implantar ITIL
•
Establecer la
Administración
de Servicios
•
“Si no sabes a dónde ir, cualquier camino te llevará
hasta allí”
•
“Si apuntas a ningún lado, allí
es a donde llegarás” ¿Dónde queremos estar? ¿Dónde estamos? ¿Cómo hacemos para
estar donde queremos? ¿Cómo
sabemos que
llegamos?
¿Cómo
nos
Cómo comenzar un proyecto ITIL
•
C
onocer la situación actual (Personas, Procesos,
Tecnología)
•
E
stablecer las motivaciones
•
C
larificar expectativas
•
Diseñar los procesos prioritarios (enfoque modular). - Formalizarlos
•
Implementarlos
-A
utomatizar los procesos
•
E
Mejoras identificadas
•
Disminución del tiempo de
duración de los incidentes
•
Lenguaje común para el planeamiento de procesos
•
R
esultados de encuestas de satisfacción
•
A
lineación entre IT y el negocio
•
R
acionalización del hardware y del software
•
M
El futuro de ITIL • P roceso de revisión – ITIL Refresh – ITIL Versión 3 • S
e realizaron consultas públicas sobre el contenido para
incorporar nuevos requerimientos del mercado
• S e formó un panel de expertos • S
e contrataron autores y equipos de mentores
•
R
evisión de consistencia, alcance y nivel de detalle
•
D
efinición de Cinco volúmenes centrales orientados al
ciclo de vida de los servicios –
S ervic e Management Strategies – S er vice D esig n – S ervic e Introduction – S ervic e Operation – C
En resumen ITIL…
•
nos ayuda a poner en marcha una gestión de IT que esté
enfocada en servicios
•
nos permite estandarizar los procesos, roles y sus relaciones
•
nos ayuda a entender de qué
manera podemos
automatizar mejor la gestión
•
E
s un vehículo para facilitar el cambio y capacitar a
todos los que participan de esta iniciativa
•
E
Temas • ¿ Qué es la ISO 20000? • S
u relación con otros estándares
• ITIL y la ISO 20000 • ¿ Por qué la ISO 20000? • B eneficios de la certificación • La ISO 20000 • E jemplos • P reparando la certificación • C
onsideraciones técnicas a tener en cuenta
•
C
laves para lograr la certificación
•
¿Qué
es la ISO 20000?
•
E
stándar que promueve la adopción de un conjunto
integrado de procesos en busca de obtener una efectiva entrega de los Servicios de IT.
•
E
s un conjunto de controles contra los cuales una
ISO 20000 y los estándares Operacion es Admin. Proyectos Admin. Servicios Admin. Calidad Seguridad IT Desarrollo Aplicaciones Co ntrol Ger encial SAR O X HIP A A Ba silea II COSO COBIT ITIL BS 15000 ISO 20000 CMMI
ISO 9000 Six Sigma PMI Prince2
•
E
l estándar está
alineado con ITIL
•
ITIL provee una guía con las mejores prácticas para contar con: –
P
rocesos alineados con
los requerimientos del negocio
–
P
ersonal
del área de IT que entiende
qué
es lo que se requiere
de ellos
–
P
rocesos definidos, medidos, comunicados, usados y mejorados continuamente
–
U
na estrategia de administración de servicios definida claramente
•
ISO 20000 provee una guía para definir el
nivel de calidad de los procesos el cual
puede ser auditadas.
•
La Certificación ISO 20000 es el medi
o de probar que están implementadas esas
mejores practicas dentro de IT.
ITIL y la ISO 20000 Procedimientos propios ITIL ISO 20000-2 Código de Practica ISO 20000-1 Especificaciones Objeti vos Objeti vos Recomen Recomen -da ci ones da ci ones Definici Definici ó ón de n de procesos procesos Implementac i Implementac ió ón n De la soluci De la soluci ó ón n
¿Por qué
la ISO 20000?
Para el negocio: •
P
orque se convertirá
en un requisito básico del negocio, de la
misma manera que lo es la ISO 9000
•
P
orque da un método estándar externo e imparcial de
evaluación y auditoría
•
P
orque
+40% de las principales compañías estarán
certificadas o en proceso de certificación para el 2008. (Gartner
2005)
•
P
orque
facilita los procesos de certificación de ISO 9000, ISO
27000, cumplimiento de COBIT,
Sarbanes-Oxley, Basilea II,
HIPAA, etc.
•
P
orque
mejora su posicionamiento frente a otras compañías
ya que es es una evaluación
internacionalmente reconocida
¿Por qué
la ISO 20000?
Para el área de IT: •
D
a evidencias del nivel con el que se brindan los servicios
de IT
•
E
s
un hito relevante para el departamento de IT
•
A
segura
al negocio una operación más eficiente del área
de IT
•
G
arantiza
que se aplica un
método de revisión y mejora
continua a la Administración de Servicios de IT • P ermite compararse
con otros proveedores
de servicios
Beneficios de la Certificación ISO 20000 •
M
ayor alineamiento entre los
servicios de IT y la estrategia
del negocio.
•
M
ejora la relaciones entre los departamentos de la
organización clarificando quién hace qué, y cuáles son las metas esperadas.
•
M
ejora la calidad del servicio de IT e incrementa la
confianza de otras áreas de la organización y de los Clientes
•
M
ejora la reputación y la percepción de IT.
•
A
yuda a la organización ante
cambios mayores (fusiones,
cambios de estructuras organizacionales, etc.)
•
R
educción de gastos dentro del área de IT.
•
M
La ISO 20000
•
E
stá
dividida en 2 partes:
–
Parte 1 : Especificaciones
Describe los requerimientos mínimos “obligatorios”que
se deben cumplir para lograr la certificación.
–
Parte 2 : Código de Práctica
Da las recomendaciones que “debería”cumplir el
Proveedor del Servicio para mejorar la calidad del Servicio de IT (
La ISO
20000
La ISO 20000 especifica un número cerrado de procesos interrelacionados, que el Proveedor de Servicio
(organizac
ión que desea lograr la certificac
ión) debe demostrar que “ controla ”, esto es: – C onoc e y controla las Entradas – C onoc
e, usa e interpreta las
Salidas – D efine y dimens iona las Métricas – D
emuestra con evidenc
ia objetiva su
Responsabilidad
de la
funcionalidad de los procesos
–
D
efine, dimensiona y revisa el Proceso de
Adm inist raci ón d e Capacidad Adm inist raci ón d e Conti nui dad y Disponibilidad Proceso de Releas e Adm inist raci ón d e Release Procesos d e Relaciones Adm inist raci ón d e las Re laciones con e l Ne g oci o Adm inist raci ón d e Proveedores Adm inist raci ón d e Seguridad de la información Presupuestos y contabi lida d de los Servicios de IT Adm inist raci ón d e Niv el es De Servicios Servicios de Reportes
Procesos de Resolución Adm
inist raci ón d e Inci d entes Adm inist raci ón d e P rob le mas Planeamiento e implementación de la Ad mi nist ración de Servicios Procesos de Control Adm inist raci ón d e Confi g uraci ó n Adm inist raci ón d e Cambios Planeamiento e implemen tación de Nuev os Se rvi cios o Cambi os e n los Se rvici os existe ntes
Entrega de los Servicios
Adm inist raci ón d e Siste m as
ISO 20000:1
-E
jemplo
8.2 Administración de Incidentes Objet
ivo :
Restaurar el servicio acordado
con el negocio lo mas rápido posible o
responder a los requerimientos de servicio
•
Todos los incidentes / requerimient
os de servicios deben ser registrados
•
Debe existir un procedimiento que para el análisis del impacto de los incidentes
•
Debe existir un proceso donde se contemplen el
registro, priorización, clasificación,
esca
lad
o, resolu
ción y ci
erre de los incid
entes.
•
El primer
nivel de resolución de
incidentes debe tener acceso a:
– Errores conoci dos – Probl em as resuel tos – CMDB. •
Debe existir un procedimiento definido par
a la Administración de los Incidentes
Mayores (Crítico
s)
•
El cliente debe mantenerse infor
m
ado de
l estado de su Incidente/requer
imiento y
alertado si por
alguna razón se va a viol
ar
ISO 20000:2
-E
jemplo
8.2.1 Administración de Incidentes El proceso de Administración de Incidentes debe incluir: a)
Recepción del llamado, registrado, as
ignación de prioridad y clasificación.
b)
Primera línea de resolución o escalado.
c)
Consideraciones de temas de seguridad
d)
Seguimientos de los incidentes y admini
stración del ciclo de vida de los mismos.
e)
Verificación y cierre de los incidentes
f)
Primer punto de contacto con el c
liente
g)
Escalamientos jerárquicos.
Los incidentes pueden ser
repor
tados por
teléfono,
e-mails, faxes, car
tas, visitas, mensajes
telefónicos, o pueden ser
registr
ados directamente por
los usuarios con acceso a
sistema de registro de incidentes o por
sistemas de monitoreo automáticos.
Todos los incidentes deben ser
r
egistrados de
for
m
a tal que toda
su infor m ación relevante pueda ser recuperada y analizada. ...
Preparando la Certificación
Concient
iz
ación
ISO 2000
Definir Visión y Objetivos
Definir Alcance Evaluación inicial Gap
A n álisis Definir Ca so de Negocio Definir Sp onsor
Definir necesidad De educación ITI
L / IS O 20000 Definir Au ditor Validar alcance
Dar evidencias de Políticas, Procesos Pr
oced imien tos Im pl em en ta r Mejora Continua
Re-evaluación Manejar las Ob
serv aci ones Auditoria De Certificación ISO 20000
Consideraciones técnicas a tener en cuenta
•
S
e requieren cumplir con TODOS los procesos
especificados en la ISO 20000-1:2005
•
D
ebe haber registros de al menos 3 meses desde la
implementación del último de los procesos
•
La certificación tiene una vigencia de 3 años
• S e requieren auditorías de control anuales • La auditoría
de Certificación la debe hacer algunos de los
RCB (Registered
C
ertification
Bodies) certificados por el
ITSMF.
•
Los RCBs
no pueden hacer consultoría
•
Los Auditores NO pueden auditar su propio trabajo
•
S
e pueden definir diferentes Alcances para
la certificación
•
N
o hace falta auditar sobre lo que ya tiene
C
ertificación
Claves para lograr la certificación
•
D
efinir un Plan, Objetivos y
Políticas para Administración
de Sistemas
•
Implementar el plan de Administración de Sistemas siguiendo la aproximación PDCA (Plan-Do-Check-Act)
•
M
anejar la comunicación y el cambio cultural
•
D
efinir un alcance realista para la Certificación de
acuerdo a aspectos: – G eográficos – O rganizacionales – D el Servicio •
La ISO
20000 hoy
•
E
mpresas certificadas BS 15000 ( >70 compañías) –H
ewlett-Packard GlobalSoft Ltd (India) – H ewlett-Packard HK SAR Ltd (Hong Kong) – IBM UK Ltd
(MOD LITS Service
D elivery) (UK) – H itachi Electronics S ervic es C o Ltd (Japon) – S ams ung Networks
(Corea del Sur)
–
ING Service
C
entre Budapest (Hungria)
– Lloyds T SB Group Group IT Service D eliv ery (UK) – P ublic Procurement Servic e
(Corea del sur)
–
S
tate
Revenue
O
ffice Victoria (Autralia)
– E nglish H eritage (UK)
La ISO
20000 hoy
•
E
mpresas certificadas ISO 20000 –BT España –
empresa de telecomunic aciones (España) – N EC Corporation S ystem Management S upport D ivision (Japon) (Fortune 500) –
Northrop Grumman (USA) (Fortune 500)
–
ACS, Affiliated Computer Serv
ice, Inc (USA) (Fortune 500)
–
Marval
–
H
elp desk & IT (UK)
– Satyam Computer Services Ltd -Servicios de IT (India) – C ompetition Commission IT Dept – O
Muchas Gracias !!!
Lic. Sergio Hrabinski
ITIL – B S 15000 -ISO 20000 • 1989
-la OGC (Oficina Gubernamental
del gobierno británico) publica
ITIL
•
2002
-BSI (Institución de Estándares Británicos) publica la BS 15000:1
•
2003
-BSI (Institución de Estándares Británicos) publica la BS 15000:2
•
2005
-ISO (Organización internacional para la estandarización) y la IEC (Comisión Electrotécnica Internacional) publican la -ISO/IEC 20000
•
2006
-fecha máxima de la certificación BS 15000
•
2007
