Todos quieren ITIL®
SERVICE TALK LA REVISTA DEL FORO DE LA GESTIÓN DEL SERVICIO TI
itSMF España
Service Talk - año 2011. Publicación editada por itSMF España. AÑO VI EDICION I
itSMF España
Publicación Service Talk - año 2011
Equipo Editorial Director: Marlon Molina - Tecnofor
Contenidos: Daniel Rodríguez - Generalitat de Catalunya
Traducciones: Marcos Fernández - Altran
2
Medios: Juan Manuel Espinoza - Everis
4 Actualidad - Noticias 6 La Actualización de ITIL: conozca al equipo 8 Hacia prISM 9 Free ITIL 11 Cloud computing, el análisis de riesgos y los “servicios dinámicos” de seguridad. Motivación, la clave para el éxito del Gestor de Seguridad Empresarial 13 Un soporte de primer nivel 16 Este artículo está basado en ITIL® 18 ITIL e ISO/IEC 27001: reunir la gestión del servicio y la seguridad 24 La búsqueda del tesoro 27 La importancia de la I de información en la TI y la Gestión del Conocimiento 29 Preguntas Frecuentes de la Certificación ITIL® y la Actualización de ITIL v3 30 Agenda de Eventos
Junta Directiva Tom Fossett Presidente A1E Luis Morán Vice-presidente Telefónica Antonio Folgueras Director Adjunto Universidad Carlos III Ricard Pons Director Adjunto IBM
Junta de Gobierno Coordinador
Comité
Empresa
Email
Estándares Marketing y Eventos Observario Gestión y Operación Relaciones Institucionales Publicaciones
Luis Morán Abad Laura Arranz Antonio Folgueras Isabel Díaz Luis Sánchez Fernández Marlon Molina
Telefónica Osiatis Universidad Carlos III Tecnofor Universidad Pol. de Madrid Tecnofor
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Coordinadores Regionales Catalunya
Juan Trujillo
Telefónica
[email protected]
Andalucía
Moisés Robles
Agaex
[email protected]
Valencia
Carlos López Cañas
Network-Sec
[email protected]
Oscar García
NAE
[email protected]
Extremadura
Presidenta Honorífica Pilar del Castillo
España entre los primeros países en el lanzamiento de prISM itSMF España se ha apuntado entre los primeros países
y las actividades profesionales. Se utiliza un esquema
en lanzar el programa de acreditación de profesionales
global para que dichas credenciales se puedan reconocer
bajo prISM.
en un ámbito internacional.
La misión del prISM Institute es la de promover el
Queremos felicitar y agradecer a la representación
reconocimiento profesional en la Gestión del Servicio
española:
basado en la experiencia, en los alcances académicos,
4
www.itsmf.es
Profesional
Empresa
Puesto
Ricard Pons
IBM
EMEA Regional Board
Marlon Molina
Tecnofor
Global Advisory Board
Javier García Arcal
Universidad de Nebrija
Director Académico, España
AÑO VI EDICION I SERVICE TALK
Nueva Junta Directiva en itSMF Internacional
David Cannon Chairman Director Mundial de Integración y Tecnología en HP
Marianna Billington Vice Chair & Publications Service Manager en Fairfax Media, Nueva Zelanda
Sallie Kennedy Governance, Brand definition & management CFO del EEUU National Accreditation Organization
Hans van Herwaarden Tesorero Executive Member of the Board at Quint Wellington Redwood
Alejandro Debenedet - Chapter Relations and Marketing Independiente
Ulf Myrberg Qualifications, Certifications, Standards & Communication CEO de BiTA Service Management
Hon P Suen priSM Director de System Assurance en el Hong Kong Jockey Club
itSMF Participa en Forum ISO20000 con las ponencias inaugurales. El pasado 3 y 4 de marzo se realizó un encuentro para hablar de la ISO 20000. El encuentro con el nombre Forum ISO 20000 reunión a más de doscientas personas en Madrid y Barcelona. itSMF participó con las conferencias inaugurales, en su representación Marlon Molina, Director de Publicaciones abrió el evento de Madrid; y en Barcelona el responsable fue Juan Trujillo Director del Comité de Catalunya.
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
5
La Actualización de ITIL: conozca al equipo Traducido y reproducido del Service Talk en inglés, con autorización de itSMF UK e itSMF Internacional Jevin Mercer-Tod En la actualidad, un selecto equipo de autores y mentores está
Hunnebeck (Diseño del Servicio), Stuart Rance (Transición del Servicio),
poniendo al día la guía ITIL en respuesta al feedback de los usuarios y
Vernon Lloyd (Mejora Continua del Servicio) y Anthony Orr (Introducción
las sugerencias de la comunidad formadora.
al Ciclo de Vida del Servicio ITIL) han estado trabajando, bajo la guía de
El proceso de formación del equipo comenzó en diciembre de 2009,
sus mentores, para remediar errores e incoherencias en sus respectivos
cuando se nombró un equipo de mentores, presidido por Shirley
títulos, para abordar los asuntos a través del Control de la Historia
Lacy. Como mentora del proyecto completo, Shirley está a cargo de
Documentada del Cambio y para considerar las sugerencias planteadas
la coherencia entre los cinco libros. Otros miembros del equipo son:
a través de la comunidad formadora.
Ashley Hanna, editor de continuidad técnica; David Wheeldon, mentor
Los autores y mentores, junto con los representantes de la TSO y la
de los títulos de estrategia y mejora (Estrategia del Servicio y Mejora
OGC, participan en una videoconferencia semanal en la que informan
Continua del Servicio); y Colin Rudd, quien monitoriza el trabajo de los
al Comité del Proyecto, quien a su vez se reúne semanalmente.
autores en los títulos del ciclo de vida (Diseño del Servicio, Transición
Una comunicación periódica y una relación de trabajo estrecha son
del Servicio y Operación del Servicio).
esenciales para asegurar la coherencia de todos los títulos.
Los mentores aconsejan y apoyan a los autores, revisando su trabajo y
La gente que trabaja en el proyecto de Actualización de ITIL son
dándoles perspectiva. Todos los mentores contribuyeron a la creación
individuos dedicados con experiencia probada y experimentada en
de ITIL V3 y su presencia en los grupos de proyecto supone una retoma
ITSM e ITIL. Su compromiso con el proyecto, junto con los expertos
a los comienzos de V3, ayudando a asegurar la continuidad.
publicistas, resultará en una guía actualizada coherente, más sencilla al
Una vez nombrado, el equipo de mentores, trabajó con la TSO y la OGC
entendimiento y más fácil de enseñar.
con el fin de seleccionar los autores para los cinco libros principales y la Introducción al Ciclo de vida del Servicio ITIL. Los miembros
JEVIN MERCER-TOD DE LA TSO PRESENTA A LOS AUTORES Y MENTORES RESPONSABLES
fueron nombrados tras un riguroso proceso de selección que incluyó
DE LA PRÓXIMA ACTUALIZACIÓN ITIL
una evaluación escrita. David Cannon (Estrategia del Servicio), Lou
6
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
SHIRLEY LACY: MENTORA DEL PROYECTO
VERNON LLOYD: AUTOR. ACTUALIZACIÓN DE LA MERJORA
Shirley es una experta líder y especialista en gestión del servicio.
CONTINUA DEL SERVICIO.
Coautora de la publicación ITIL “La Transición del Servicio”, ha sido una
Vernon ha desarrollado un amplia gama de actividades directivas y
contribuidora activa, crítica y colaboradora en la creación de estándares
operacionales en la industria de ITSM. Es el director de los clientes
internacionales, de ITIL y de publicaciones de soporte.
internacionales de Fox TI y vicepresidente honorífico de itSMF Reino
ASHLEY HANNA: EDITOR DE CONTINUIDAD TÉCNICA
Unido. Fue uno de los principales autores de la publicación Diseño del
Director de desarrollo empresarial de HP y presidente de las
Servicio V3.
Publicaciones de itSMF Reino Unido ESC, Ashley ha colaborado con
LOU HUNNEBECK: AUTORA. ACTUALIZACIÓN DEL DISEÑO DEL
numerosas publicaciones de ITIL V2 de itSMF y es el coautor del
SERVICIO
glosario de ITIL V3. Obtuvo el premio Paul Rapport Award 2010 por
Con más de 25 años de experiencia en la industria del servicio, Lou es
su sobresaliente contribución a la gestión del servicio de TI. Échele un
la actual vicepresidente de Visión y Estrategia de Gestión del Servicio
vistazo a la entrevista de Ashley en esta número de ServiceTalk.
de Third Sky Inc. Trabajó para el equipo público de Aseguramiento de
DAVID WHEELDON: MENTOR DE ESTRATEGIA DEL SERVICIO Y
la Calidad de ITIL V3 y es miembro Senior del Panel Examinador V3.
MEJORA CONTINUA DEL SERVICIO
RANDY STEINBERG: AUTOR. ACTUALIZACIÓN DE LA OPERACIÓN
Antiguo director de gestión del servicio de HP, director de CEC
DEL SERVICIO
Europe y presidente de ITSM con Ultracomp, David fue un de los
Randy cuenta con más de 25 años de experiencia en gestión
miembros originales del equipo de autores de la Agencia Central de
internacional del servicio de TI y ha participado en la autoría de un
Telecomunicaciones y coautor de las publicaciones “Entrega del
marco de trabajo operacional y metodológico de ITSM. Randy tiene las
Servicio V2” y “Operación del Servicio V3”.
certificaciones de Experto de ITIL V3 y de Gestión del Servicio de V2 y
COLIN RUDD: MENTOR DE DISEÑO DEL SERVICIO, TRANSICIÓN
fue crítico de la publicación ITIL “Transición del Servicio V3”.
DEL SERVICIO Y OPERACIÓN DEL SERVICIO.
ANTHONY ORR: AUTOR. ACTUALIZACIÓN DE LA INTRODUCCIÓN
Colin fue uno de los autores principales de ITIL V1, V2 y V3. Autor
AL CICLO DE VIDA DEL SERVICIO ITIL.
prolífico de temas ITSM, ha impartido formación sobre gestión del
Actualmente, Anthony es el director de mejores prácticas globales
servicio y consultoría por todo el mundo. En 2002, Colin recibió el Paul
para los servicios de BMC Software Inc. Está cualificado en gestión de
Rappaport Award de itSMF Reino Unido.
proyectos e ISO/IEC 20000 (SQMF) y cuenta con las certificaciones ITIL
DAVID CANNON: AUTOR. ACTUALIZACIÓN DE LA ESTRATEGIA
Profesional y Gestor de Servicio V2 y Experto V3.
DEL SERVICIO David es el actual director general de Estrategia de ITSM de HP. Ha impartido formación y servicios de consultoría a prácticamente todos los sectores del comercio y comparte autoría de la publicación Operación del Servicio de ITIL V3. STUART RANCE: AUTOR. ACTUALIZACIÓN DE LA TRANSICIÓN DEL SERVICIO Además
de
entregar
el
servicio
de
asociación de misión crítica de HP para algunos de sus mayores clientes, Stuart ayuda a desarrollar e impartir otros cursos formativos de ITIL. Stuart es un examinador ITIL senior para APMG y ha participado en la autoría del glosario de ITIL V3.
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
7
HACIA prISM
Traducido y reproducido del Service Talk en inglés, con autorización de itSMF UK e itSMF Internacional Matthew Burrows
8
Tras un esquema piloto satisfactorio de prISM
disponible para los miembros, y el esquema
el Congreso de Reino Unido para debatir la
en Estados Unidos, representantes de ISM, por
de prISM es muy similar. ItSMF Internacional
implicación de éste último. Se planea retomar
parte de itSMF UK, han estado trabajando con
tiene mucho interés en sacarle el máximo
conversaciones en mayor profundidad.
compañeros de itSMF Internacional e itSMF
provecho a esta experiencia para el beneficio
LOS MIEMBROS DE ISM EXISTENTES
USA para difundirlo por todo el mundo.
del movimiento global. Se tenía la sensación
Si Reino Unido decide participar activamente
¿QUÉ ES PRISM?
de que la contribución más deseada era la de
en el proyecto prISM, la intención es que
PrISM (Reconocimiento Profesional por la
tener un proyecto individual, estandarizado
a los miembros existentes de ISM se les
Gestión del Servicio de TI) es un programa
y de reconocimiento internacional, en lugar
pueda ofrecer un claro camino de transición
acreditativo dirigido a profesionales de ITSM.
de varias ofertas competidoras que podrían
desde el actual esquema CPD de ISM. Por
El esquema proporciona un marco de trabajo
confundir el mercado. Como consecuencia, el
tanto, es una ventaja ser miembro de ISM
y una guía para el desarrollo profesional
ISM e itSMF UK ha estado colaborando para
puesto que las conversaciones continúan
continuo a la vez que facilita a los miembros
saber si esto es factible.
y se están desarrollando los planes de
una formación, certificación, educación y
Como parte de este esfuerzo, un equipo más
transición. Los miembros de ISM también
experiencia existentes. La consecución de
amplio de colaboradores, en representación
continúan beneficiándose de otros servicios de
las
dotar
global de todas las delegaciones itSMF,
membresía, como asesoramiento y eventos.
a los individuos de un amplio abanico de
participaron en una conferencia inicial el 12 de
En el momento de escribir este artículo
beneficios entre los que se encuentran el
noviembre de 2010.
(noviembre de 2010) se espera que se tome
reconocimiento industrial y potencial por parte
Entre los temas que allí se trataron se encontraba
una decisión firme entre diciembre de 2010 y
de los contratantes y uso nominal posterior
el lanzamiento del proyecto piloto y el éxito
febrero de 2011, y será anunciada una vez que
(dependiendo del nivel alcanzado).
obtenido en USA, así como las aproximaciones
esto ocurra.
AVANCES HASTA EL MOMENTO
para su difusión por otros puntos geográficos
Matthew Burrows ha estado trabajando con
y los papeles y responsabilidades locales/
un pequeño equipo de itSMF Internacional
regionales. Matthew Burrow y Stephen Griffiths
e itSMF USA desde marzo de 2010 para
de ISM, junto con Ben Clacy de itSMF UK,
“internacionalizar” prISM. El ISM ya cuenta con
también se reunieron con los representantes
un esquema CPD bien organizado y exhaustivo
de itSMF Internacional e itSMF USA durante
acreditaciones
prISM
www.itsmf.es
pretende
AÑO VI EDICION I SERVICE TALK
FREE ITIL Rob England Further to my recent post on Free ITIL, several people are still asking “Why?”, so let me elaborate a little on why it should happen and why you should support the idea. Nota: en e l último m es se ha h la propue ablado mu sta “Free cho de IT IL” de Ro conocido b England como IT S , más keptic por pedido a su blog. H Rob que emos n os escriba un artículo su opinión de esta pu para b lic ación, y he dejarlo en mos decid inglés para ido m a n tener el esp de su pun to de vista íritu origina . l
Web 2.0 is all about online community, pull not push, the creation of content through collaboration not declaration. If you don’t develop that community around you, it will form somewhere else. Any body of work that does not accept these two axioms will be weakened in its growth and diminished in its reputation. ITIL is in danger of being left behind or rejected by a backlash against its rapacious commercialisation and its aggressive assertion of copyright and trademark. Right now in the OGC world of ITIL, Prince2 et al: •
Accredited trainers are being constrained from producing supplementary products for training courses such as study notes or summaries of the core content
•
PhD students are being beat up for publishing theses about ITIL
•
Universities are prevented from including training about ITIL in their courses
•
Consultants cannot offer “ITIL consulting” without a licence
•
Consultants are nervous about using ITIL material when producing deliverables for clients
•
•
to get accredited official training or no-name-brand training. This choice will be made based on the buying organisation’s taste for standards and certifications. So most major companies will continue to feed the coffers of OGC. But smaller companies and those in cash-strapped nations will fill with materials which still refer to ITIL as the mother-lode, expanding awareness of ITIL (if that’s possible) and retaining its prestige as the ultimate definition of ITSM. Consultants who currently hesitate to refer to or use ITIL when producing advice and deliverables for clients will make greater use of it, further expanding its range. And tertiary eduction can include ITIL, producing armies of new converts. That’s the benefit to the producer.
In theory, practitioners cannot freely copy and distribute their own
The benefit to the consumer is increased competition. Several years
processes based on ITIL within their organisation without a licence.
ago, Van Haren introduced an online version of ITIL that cost about fifty
Practitioners are facing a cost of tens of thousands of dollars to gain access to an exclusive club.
If ITIL were released under the UK’s Open Government Licence, all practitioners would be able to freely use the material but would have to attribute its source i.e. they need to make it clear that their own material is based on ITIL. They would NOT be free to publish it as “Super ITIL” or even “ITIL Beginner Course” because the trademark is still controlled by OGC. But they could publish “Fred’s ITSM Framework” or “Beginner’s ITSM training”. The buyer gets to choose whether to buy the original ITIL books or the alternative framework, and they get to choose whether
www.itsmf.es
quid a year. It disappeared. Guess why. With Free ITIL costs will fall. And service will improve. Right now the ITIL consumer is treated like dirt. New releases of the books come out approximately every whenever the publisher feels like it, with no notification of a new release and little or no explanation of what has changed. Books appear on Amazon.com long after release. Online web content is rubbish. Community building efforts are token. Customer help is tragic. The third benefit is to ITIL. If ITIL materials are re-used and recombined in new and creative ways, this can only advance ITSM knowledge and ideas. If OGC’s purpose is to find better ways for all departments of AÑO VI EDICION I SERVICE TALK
9
the UK government to improve IT quality and reduce costs then they
multiple world governments; sponsorship deals; advertising in the books
should view this as a good thing. If OGC are about administering a
and websites. Besides, free libre ITIL does not mean free gratis ITIL.
closed proprietary monopoly in order to maximise revenue to their own
An OGL-licensed ITIL will still continue to bring in a healthy cash-flow
department, then they’ll be less in favour.
from those organisations who do want to licence the use of the ITIL
As well as the benefits, the other reason for releasing ITIL is an appeal
trademarked brand; from accredited training; from certified products;
to natural justice. ITIL is asserting copyright over materials that came
from official books. The five core books would continue to be copyright
from many external contributors and supposedly encapsulates generally
OGC: you can publish books the same as them but plenty of people
accepted principles. When most of those people contributed it was
will still go to the source to buy the “real official” books so long as they
on the understanding that they were contributing to a public domain
are priced competitively. And OGC have done very nicely already from
resource. The only reason ITIL is so widely known today is due to the
ITIL V3: royalties from hundreds of thousands (millions?) of books; and
efforts of an army of volunteers from itSMF, from consulting firms like
licence fees from many companies using the trademark and vendors
Pink Elephant, and from a number of vendors like HP, none of whom
certifying their products.
stand to profit directly from sales of ITIL. Sure none of us are working
Please don’t hand me some drivel about it being unfair to TSO. TSO
for charity. We all stand to profit from growth of ITIL the Movement. But
hold copyright on much (all?) of the “Complementary Official” ITIL
many act for idealistic reasons of wanting to improve the professionalism
content, NOT the British Crown (ITIL LIte, ITIL V3 Planning to Implement
and quality of IT along with forging a career or business. OGC, TSO and
Service Management...). They get to slap an “OGC Official Product”
APMG have ridden a wave of free contribution, review, marketing and
logo on the cover, publish without the same QA review as anyone else,
promotion that most publishers only dream of. Perhaps it is time to show
or even the same approval to use the branding, but if OGC terminated
some gratitude to the community who did that.
TSO’s contract tomorrow, these books are property of TSO not OGC. So
One justification touted by OGC to continue to rake in the cash is to fund
don’t give me any crap about TSO being hard done by if ITIL is set free.
future development of ITIL. There are many other ways future versions
Likewise APMG. They’d be harder hit by a proliferation of “ITSM training”
could be funded: contributions from the business-development arms of
but no more than normal entrepreneural commercial risk dictates. No company has a guaranteed hold forever on a monopolistic position. If APMG’s product is of adequate quality and repute, a sufficient proportion of customers will continue to opt for officially accredited ITIL training and certification. So let’s have ITIL given back to the community who supports it, in order to ensure the future growth of the ITIL Movement. Free ITIL! If you support this idea, send your views to the UK Government here by joining our petition. P.S. Being acutely aware of when my rants put me in a hypocritical position, such as when I shed anonymity, as of today all content on most of my websites is released under the Creative Commons licence (see the bottom of this and every page).
10
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
Cloud computing, el análisis de riesgos y los “servicios dinámicos” de seguridad.
José Rosell S2 Group
A estas alturas todos estaremos de acuerdo
a esta realidad que, como todo, tiene aspectos
términos de eficiencia energética cada vez
en que nos enfrentamos a cambios singulares
positivos y aspectos negativos.
mejores. Por lo que hemos leído el factor PUE (Power use efficency) alcanzado por Google
en la forma de entender la gestión de las infraestructuras TIC. La irrupción de los servicios de cloud computing, y con ellos la IIAS “Infraestructure as a service”, va a provocar en los próximos años una reestructuración de gran calibre en este tipo de servicios, en buena parte consecuencia del desarrollo masivo de los servicios de virtualización que nos permite cambiar nuestras máquinas virtuales de CPD o datacenter en un abrir y cerrar de ojos, al
esto
materia colosales.
de
tiene
unas
seguridad Los
modelos
puntos débiles en la gestión de la seguridad ha sido siempre la disponibilidad y la continuidad de negocio. En este caso, en la nube, con
es impresionante: 1,21 de media. Esto supone que cada watio útil que llega a una máquina que da servicio a sus clientes necesita 1,2 watios de consumo real
escenarios de siniestro complicados como la caída de un datacenter por un desastre natural,
Evidentemente esto se puede conseguir
la solución parece al alcance de cualquiera y
haciendo uso de datacenters que requieren
los RTO (Recovery Time Objective) parecen
poco uso energético para refrigerar las
asumibles por cualquier tipo de negocio.
maquinas y por tanto llevándose, por ejemplo, los
menos teóricamente. Todo
Ganamos en algunas cosas. Uno de nuestros
Es evidente que hay muchas cosas que implicaciones de
en
proporciones de
seguridad
actuales, fundamentalmente “estáticos”, tienen que evolucionar a modelos de seguridad “dinámicos” adaptados a las necesidades de los servicios en la nube, porque esta tendencia no tiene vuelta atrás. No se trata de que opinemos si es mejor o peor la seguridad de los servicios “cloud”, se trata de que diseñemos servicios de seguridad adecuados
rediseñar en los servicios de seguridad en la nube.
sistemas
a
localizaciones
frías
que
utilicen aire del ambiente para refrigerar las salas técnicas. Todo esto se puede además complicar utilizando estrategias tipo “follow
Tomemos el caso de Google que tenía, en 2008, 36 localizaciones para sus centros de procesos de datos con entornos virtualizados que les permite cambiar estas ubicaciones de forma, digamos, “ágil”. Uno de sus objetivos es lógicamente minimizar el coste de hospedaje de su infraestructura y dado que podemos asumir que en un datacenter el 50% del coste es el coste energético de la refrigeración, entenderemos que los gestores
the moon” mediante las que buscamos tarifas nocturnas de consumo energético y por tanto tarifas económicas que, en definitiva, permiten reducir el coste de suministro eléctrico de la máquina y directamente el coste del servicio. Si en este entorno empezamos a pensar en seguridad la primera reacción es la de estupefacción. Si ya es complicado conseguir un nivel de seguridad adecuado en entornos estáticos desde el punto de vista físico, si el
de la infraestructura de Google busquen
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
11
entorno lógico, con la virtualización, es un
desde el punto de vista lógico, con continuas
entorno altamente cambiante y además el
variaciones
físico también, el resultado es directamente
estrategia de seguridad clarísimos y por si
un manicomio especializado en la práctica de
fuera poco, en virtud de lo comentado en la
torturas, como medida terapéutica, para los
introducción de esta entrada, nos enfrentamos
profesionales de la seguridad.
también
a
que
tienen
entornos
impactos
físicos
en
la
cambiantes.
En estas circunstancias las amenazas son Evidentemente este escenario que se nos viene encima no es compatible con las prácticas de seguridad actuales de la mayor parte de las empresas especializadas en este tipo de servicio. Este escenario nos está pidiendo a gritos que adaptemos las políticas,
variables, sus probabilidades también y por tanto los riesgos también. En definitiva, dentro
un buen punto de partida teórico, pero que en mi opinión no pueden ser utilizadas de forma práctica sin los matices pertinentes.
¿Por
qué? Básicamente porque nos enfrentamos a entornos en continuo cambio. Cuando se diseñaron este tipo de metodologías se hicieron pensando en infraestructuras manejables, con
convierta en un proceso en tiempo real.
caída de las fronteras digitales” donde, en
sea porque esta es importante para nuestro
metodologías muy valiosas y que conforman
de gestión en los que la gestión del cambio se
securityartwork.es una entrada titulada “La
protección de la información confidencial, ya
todos conocemos ;-). Vaya por delante que son
oportunidad para evolucionar hacia sistemas
el blog de seguridad de S2 Grupo, www.
endiablada.
puede ser el caso de algunas metodologías que
tiempo real” que diseñemos? Sin duda es una
riesgos en tiempo real.
que no tiene una solución trivial es el de la
de metodologías pesadas y complejas como
los “Sistemas de Gestión dinámicos o en
diseñar metodologías ágiles de análisis de
estos entornos que cambian a una velocidad
por si poco útiles, sobre todo si hacen uso
real que comentábamos anteriormente, en
Por último, ya en junio de 2007 escribía, en
Otro caso claro al que nos enfrentamos y
análisis de riesgos tradicionales son ya de
modelos de análisis de riesgos en tiempo
al que nos hemos referido, tendremos que
de monitorización y gestión de la seguridad a
riesgos tradicional. En nuestra opinión, los
la respuesta va a estar, en paralelo a los
del marco de servicios dinámicos de seguridad
los procedimientos, los controles, los sistemas
Pensemos, por ejemplo, en un análisis de
en el mundo real. ¿No creen ustedes que
negocio, ya sea porque hay una ley, basada en un derecho fundamental, como es el caso de la Ley Orgánica de Protección de Datos, que la protege. Tenemos que diseñar políticas dinámicas de seguridad que acepten, por ejemplo, la movilidad de los datos en un marco conocido (nube privada) e incluso desconocido pero acotado (nube pública con limitaciones) y en el que el proveedor de servicios en la nube pacta, no solo unas condiciones de calidad de servicio que garanticen por ejemplo la disponibilidad, que también, sino una serie de condiciones relacionadas con la confianza que ubicaciones diferentes y equipos técnicos diferentes confieren a su cliente.
aquel momento, alejado aún de las “nubes” que cubren el panorama actual, reflexionaba sobre la evolución de las TIC en el entorno empresarial que nos rodea y sobre el impacto de esa desaparición de las fronteras sobre la seguridad. Observando aquel post en la distancia de, tan solo, tres años y medio, no puedo evitar pensar en que si entonces ya creía que quedaban pocos contornos definidos, ahora tengo claro que ya no existen las fronteras y, a no ser que sea por cuestiones de defensa nacional o de protección de negocio, dudo que vuelvan a definirse. Los servicios en la nube están volando por los aires los, ya de por si maltrechos, restos de la frontera digital en nuestras compañías y en la sociedad en su conjunto. Nuestros antepasados sabían no solo cómo construir sus defensas sino también, dónde ponerlas. No hay más que
evoluciones tranquilas, y en las que revisar el
hacer una visita a La Gran Muralla China. ¿Dónde tenemos que poner las nuestras? Evidentemente donde se encuentren nuestros activos tangibles e intangibles y una buena parte de ellos se van a “mudar” a la nube. Mucho vamos a tener que trabajar para poder definir un marco global de productos y servicios de seguridad dinámica en este nuevo entorno y mucho tienen que opinar lectores, clientes, abogados prestadores de servicios y demás actores en esta materia, análisis de riesgos periódicamente una vez
Aunque
los
modelos
de
negocio
sean
al año podía ser suficiente. Estas no son las
dinámicos dudo mucho que dispongamos, en
hipótesis de partida a las que nos enfrentamos
algún momento, de modelos legales dinámicos
hoy y por tanto estas metodologías no sirven
adaptables al devenir de nuestros servicios.
cuando las aplicamos tal cual fueron diseñadas.
Una vez más tendremos que idear una forma de compatibilizar servicios dinámicos en la
Nos enfrentamos a entornos cambiantes
12
www.itsmf.es
nube con multitud de legislaciones estáticas
no en vano, según las previsiones de Gartner para los próximos años es el mercado de la virtualización uno de los que mayores cifras de crecimiento va a presentar seguido de cerca, como no podía ser de otra manera a juzgar por lo que estamos hablando, de los servicios y soluciones de seguridad. AÑO VI EDICION I SERVICE TALK
UN SOPORTE DE PRIMER NIVEL
Traducido y reproducido del Service Talk en inglés, con autorización de itSMF UK e itSMF Internacional Noel Bruton En la publicación de julio de ServiceTalk escribí sobre un cliente que
con las más difíciles; la tercera exige un conocimiento
había experimentado un crecimiento en la plantilla del Centro de
técnico profundo, lo que quizás requiera de un implementador o
Servicio al Usuario y hablé de cómo solucionar su problema. En aquel
especialistas de la red de trabajo local. El vendedor podría designarse
momento hice alusión a “dos soluciones rápidas” pero no tuve espacio
como la cuarta línea y así sucesivamente a través de los ya
para los detalles. Los ajustes fueron:
consagrados niveles de conocimiento numerados hasta que, supongo,
la segunda línea de apoyo anunciaría al usuario que la primera había
la decimoséptima línea o por ahí fuera el Omnisciente Todopoderoso
tomado propiedad de la llamada, y
en el Paraíso.
el cliente estaría al día directamente sobre el progreso de la llamada sin
Como modelo es disfuncional. Procura imponer procesos en una
una mayor implicación del Centro de Servicio al Usuario.
estructura existente caracterizada por el rango técnico, que de hecho
Obviamente, estos ajustes se encuentran fuera de contexto, y conozco
no describe dónde debe recaer la responsabilidad o a quién pertenece
a muchos técnicos de segunda línea que se negarían en rotundo a
la propiedad. Confunde la política con el flujo de trabajo. Descordina lo
hablar directamente con el usuario. Por tanto, este artículo proporciona
que debe ocurrir (devuelve al usuario a la productividad) y el foco del
ese contexto necesario, echándole un vistazo a las llamadas “líneas”
flujo de trabajo (¿cómo de técnica es esta pregunta?) no se presta a la
de soporte y considerando el flujo de trabajo entre ellas. La primera
estandarización. Los modelos como éste a menudo producen agujeros
pregunta sería cuántas de estas líneas hay o debería haber.
negros, atrasos en las preguntas, confusión de propiedad, boomerang
EL MODELO TRADICIONAL
de llamadas (“no es mi problema, colega, mándalo a Networks.),
Todos hemos oído hablar de una “primera”, “segunda” y “tercera” línea o
ausencia de inteligencia en el progreso de llamadas a tiempo real y
nivel de soporte (hasta ITIL se ha decidido a mencionarlas). La antigua
prácticamente la inutilización de la gestión de la información.
manera de referirse a estas líneas se basa en la tecnocracia tradicional
SALTOS MENTALES
inherente a la mayor parte de TI. Generalmente, cuanto mayor sea el
Existe otro camino mucho más lógico y científico, pero para acceder a
rango de la línea, más técnico es usted, más alejado se encuentra del
él tenemos que dar dos saltos mentales. El primero sería separar las
usuario y más dinero gana.
genuinas “rotura/reparación” de preguntas de soporte de todo el resto
Tradicionalmente, la primera línea asume y resuelve preguntas simples;
posteriormente asumido por (o depositado en) lo que se ha dado en
la segunda línea de soporte (a menudo conocida como “desktop”) lidia
llamar el “centro de atención al usuario”. Es necesaria una definición. Si
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
13
14
la pregunta entrante es necesaria por un fallo de TI o su uso, como que
requieren inevitablemente un segundo encuentro programado debido
la productividad del usuario se ha visto impedida, entonces se trata de
a la distancia, el diagnóstico o la complejidad de la comunicación. Lo
una pregunta “rotura/reparación”.Todo lo demás a la cola del centro de
que éstas dos tienen en común y lo que las convierte en una función de
atención al usuario es una petición de servicio, una petición de cambio,
soporte esencial es que las resoluciones que producen provienen de los
un consejo, una consulta general, etc.
parámetros existentes del sistema, en el que ese sistema incluye tanto
Este “todo lo demás” no constituye un impedimento al usuario sino un
el TI implicado como la habilidad del usuario para hacer uso de éste.
“gestión continua y habitual” (Business as Usual-BAU). En su mayoría
La definición de estos “parámetros existentes” es principalmente lo que
pueden y deben ser automatizadas, diseñadas e incluidas en sitios web
hace superfluas el resto de líneas de soporte más haya de éstas dos.
o inevitablemente tratadas en e-mails por administradores. Por cierto
El sistema se puede bien reparar, bien restablecer o la pregunta se puede
que aunque las roturas/reparaciones pueden constituir BAU para los
solamente resolver mediante la creación de nuevos parámetros que no
técnicos de soporte, son radicalmente lo contrario para los usuarios, y
se encuentren presentes en el sistema actual. Esto conlleva incluso la
dado que son los clientes a los que proporcionamos el servicio, debe ser
espera de una nueva versión, la creación de la alteración del sistema, o
su punto de vista el que debemos tener en cuenta. Nuestra intención es
bien la reorganización de la tecnología. En otras palabras, lo que separa
la devolverle al usuario la BAU.
una pregunta a este nivel de una rotura/reparación convencional es que,
El segundo salto mental es el de eliminar de la ecuación la especialización
para resolverla, debemos introducir algo nuevo, lo que significa que
técnica y fijarnos en las funciones operacionales puras que tenemos que
se debe apelar al cambio de proceso. Podríamos denominar a eso la
entregar como centro de atención al usuario. A pesar del conocimiento
tercera línea de soporte, pero en realidad es una función de desarrollo.
técnico necesario, para devolver al usuario la BAU sólo necesitamos
La tercera línea quiere decir “cambio” no “reparación”.
dos líneas de soporte. La primera resuelve aquellas preguntas que
PERSONAL
pueden solucionarse en un primer encuentro. La segunda, aquellas que
Entonces ¿quién trabaja en la primera y la segunda línea de soporte
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
considerablemente nuestro modus operandi. Ahora ya podemos hablar de qué departamento hace primera línea y segunda; y para qué tecnología. Tomemos como ejemplo una aplicación vertical, aún en desarrollo, de reciente implantación. Está muy especializada y sometida a cambio en este nivel para ser formalmente entregada al soporte de TI y, de esta manera, las llamadas rutinarias solamente añadirían retraso. Los usuarios contactan con el grupo de desarrollo directo; todas las funciones de la primera, la segunda y probablemente la tercera línea residen aquí. Pero mientras la aplicación madura, la primera línea podría estar internacionalizada al centro de atención al usuario TI, la segunda línea a las aplicaciones comerciales de soporte y así sucesivamente. CLASIFICACIÓN Existe otra dimensión a la primera línea; se trata de clasificar las preguntas en “arreglo de recepción” o “arreglo de clasificación”. Esto justifica la práctica real de que el trabajo llega al centro de atención al usuario o al centro del servicio al usuario en grandes cantidades. Los “receptores” de llamadas a menudo no pueden dedicar el tiempo a resolver absolutamente todo por teléfono, ya que eso mantendría ocupada la línea y dejaría a otras personas fuera. Una de las soluciones más frecuentes es no intentar resolver la pregunta inmediatamente, aunque ello fuera posible, sino registrar la llamada y pasarla a la segunda línea para que sea posible atender otra llamada. Por supuesto, esto retrasaría la solución, lo cual no es bueno. Otra sería que el receptor de y que habilidades posee? De hecho, este tema es irrelevante. Las habilidades, el rango técnico o grupo de trabajo de origen de un miembro del personal de TI no denota en qué “línea” trabaja. Existe, de hecho, una basta relación entre la recepción de preguntas y la primera línea; y entre las reparaciones “de oficina” y la segunda línea, pero solo se trata de una superposición de subconjuntos. En lugar de ver la primera y la segunda línea como departamentos, deberían ser vistos como funciones operacionales. Usted puede ser el creador de Unix más espabilado de la empresa, tener un Civic Type R en el aparcamiento, un sueldo astronómico y haber dejado el centro de asistencia al usuario hace una década, pero si un usuario le pide que aclare el uso de una parte del código que usted escribió, está realizando una función de primera línea. De igual manera, puede ser el más inexperto, con un sueldo para sobrevivir, y novato en TI, pero si levanta el teléfono y resuelve la pregunta técnica que le acaban de plantear, usted está llevando a cabo una función de segunda línea. Las líneas de soporte se evidencian mediante los componentes del
llamadas “no estuviera disponible” (que saliera del sistema telefónico) para diagnosticar y solventar la consulta, pero entonces el servicio se vería reducido a las llamadas entrantes. Una solución efectiva sería “la clasificación”, un complemento a la primera línea. El receptor evalúa si la consulta se puede arreglar de alguna manera y, en ese caso, si se puede solventar rápidamente. Si es posible, pero no rápidamente, se transfiere a la persona que llama al equipo clasificador que, al no tener que recibir llamadas, tiene tiempo de hacer reparaciones de primera línea. Crear este tipo de función requiere un análisis, pero un equipo clasificador puede resultar infinitamente efectivo. En una ocasión diseñé uno para un grupo de soporte que pudo liberar a seis técnicos por cada persona en el equipo clasificador. PROPIEDAD Entonces ¿Quién posee la pregunta? En mi opinión, es sencillo: la propiedad recae sobre la persona más indicada para dirigir la pregunta hacia la solución, independientemente de la línea. Y con esa propiedad llega la responsabilidad de mantener al usuario proactivamente
flujo de trabajo de nuestra línea de producción, no mediante los
informado del progreso de la consulta. Si aún no lo hace, pruébelo. Le
departamentos que más a menudo las llevan a cabo. Definir la visión
puedo garantizar que prácticamente verá las llamadas de primera línea
por el proceso en lugar de por el grupo de trabajo puede liberar
www.itsmf.es
caer en picado y la satisfacción del cliente en aumento.
AÑO VI EDICION I SERVICE TALK
15
Este artículo está basado en ITIL® Mucho se ha estado comentando y twitteando en referencia a la
The Stationery Office (TSO): tiene dos responsabilidades, la primera
propiedad intelectual de ITIL, y queremos aclarar algunos puntos
es crear, mantener y publicar el contenido de la propiedad intelectual,
básicos de la marca ITIL. Este artículo no pretende tomar partido,
por ejemplo, es el responsable de llamar a una revisión, coordinar
simplemente aclarar el uso de la marca para que los comentarios se
autores, publicar los libros y autorizar nuevas publicaciones dentro del
hagan con conocimiento.
porfolio de ITIL. La segunda responsabilidad es la de cuidar la propiedad
En efecto ITIL es una marca registrada por la Corona Inglesa, y como
intelectual, en este caso por ejemplo monitoriza Internet para encontrar
tal está sujeta a los derechos de propiedad intelectual. La Corona
posibles violaciones a la propiedad intelectual, así como gestionar las
ha encargado a OGC (Office of Government Commerce) para que
denuncias; también lleva las relaciones con el departamento legal de la
gestione la propiedad intelectual de ITIL y los marcos adicionales,
Agencia de Patentes y Marcas del Reino Unido, en este caso si alguien
enmarcados dentro del Porfolio de Buenas Prácticas. En este porfolio
recibe notificación de mal uso, será por parte de TSO.
está PRINCE2®, MSP®, M_o_R®, P3O®, MoP™ y otros.
APM Group (APMG): su responsabilidad es otorgar derechos de uso
En el caso particular de ITIL, OGC ha encargado a dos organizaciones
de la propiedad intelectual, hay tres campos principales, autoriza las
británicas para que gestionen en su nombre la marca y los derechos de
organizaciones que gestionan los exámenes (Examination Institutes),
la propiedad intelectual.
concede licencias para publicaciones en libros, revistas y eventos; y finalmente concede la licencia para el esquema de certificación de software.
OGC
Uso del logo de ITIL® El logo de ITIL® no se cede en ningún caso. Solo TSO está autorizado a usarlo y no es posible cederlo. No se permite su uso ni siquiera como referencia o ilustración.
TSO 16
www.itsmf.es
AMPG
APMG puede conceder licencia de uso del logo enmarcado en los siguientes campos:
AÑO VI EDICION I SERVICE TALK
Basado en ITIL Es perfectamente correcto escribir, desarrollar y enseñar basados en ITIL, sin necesidad de pedir permiso. Ejemplos: • Para las organizaciones que venden los exámenes y autorizan centros de formación. Actualmente son: Exin, Iseb, Dansk-IT, LCS, DF, SME, TUV, Loyalist, PeopleCert y APMG Internacional. Estas organizaciones a su vez autorizan el siguiente nivel.
Este sería el caso de los Centros de Formación, llamados ATO (Authorized Training organizations). Estas empresas se certifican para poder preparar materiales e impartir formación. Esta licencia se gestiona con los Examination Institutes (la acreditación anterior).
Escribir un artículo de “Cloud Computing y la perspectiva ITIL®”. Aun cuando se usa ITIL en el título la temática principal no es ITIL, y se usará como referencia. En este caso lo esperado es que los cuadros y gráficos no superen un 20% del contenido del artículo.
•
Escribir una propuesta comercial de servicios de gestión basados en ITIL®. Siempre que ofrezca servicios, que desarrolle propuestas, y que haga sus propios procedimientos, métodos. Diga que están basados en ITIL, no diga que son parte de ITIL porque no lo son.
•
Dar una formación interna en una empresa. Siempre que la persona sea empleada de la empresa (si es externo cae en el caso de formación no acreditada) y para empleados de la misma empresa,
Este logo pueden usarlo las organizaciones autorizadas para hacer evaluaciones de Software bajo el esquema de certificación de software.
Este logo se usa para reconocer los programas de software de gestión que han sido evaluados y aprobados bajo el esquema de certificación de software. Este logo lo conceden las organizaciones del caso anterior. La evaluación se hace por proceso y puede ser en niveles Bronze, Silver y Gold.
se puede hacer una formación basada en ITIL, para enseñar una herramienta, unos procedimientos o una forma de trabajo. •
de Gestión del Servicio, puede decir que está basada en ITIL. No puede decir que está enseñando ITIL, en ese caso nuevamente caemos en el caso de oferta no acreditada. •
Uso de la palabra ITIL Es posible usar la palabra ITIL en un artículo, libro, publicación u otro para hacer referencia al conjunto de Buenas Prácticas. En ese caso la primera vez que use la palabra debe escribirla con el símbolo de marca registrada (ITIL®), las siguientes citas no requieren el símbolo. Adicionalmente es necesario escribir, una única vez, en alguna parte lógica el siguiente texto “ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries”. Formación de ITIL La formación de ITIL está regulada, y sólo puede impartirla un Centro Acreditado con un profesional certificado como instructor. No es
Un profesor en la universidad que imparte una materia, por ejemplo
Una herramienta de gestión puede decir que se ha basado en ITIL, no puede hacer uso de ningún logo, ni decir que está acreditada, pero puede decir que está basada en ITIL (recordar las reglas para el uso de la palabra).
Resumen ITIL es una marca registrada y como tal tiene reglas de uso, tal como todas las marcas registradas. Hay reglas específicas para obtener permiso y licencia de uso de la marca, básicamente cuando hay lucro de por medio. El nombre ITIL puede usarse sin pedir autorización, como mención o referencia, y en los casos en que desarrolle un contenido o herramienta basada en ITIL.
posible vender formación no acreditada. Por ejemplo una empresa no acreditada ofrece formación, en ese caso está violando las condiciones de propiedad intelectual definidas por el dueño de la marca.
DESTACA ENTRE LA MULTITUD
Otro ejemplo, un profesor en una universidad incluye conceptos de ITIL en sus clases, en este caso aplica lo descrito en el uso de la palabra ITIL, todo lo que se pide es que incluya el hecho de que ITIL es una marca registrada como parte del discurso. Pero suponiendo que el profesor anuncia el curso como “curso de ITIL” o peor aún “Curso de Fundamentos de ITIL” y para empeorar las cosas hace uso de la propiedad intelectual con gráficos de los libros, en este caso está
CON LAS CREDENCIALES DE prISM Lanzamiento próximo 6 de abril en el Congreso de itSMF en Calalunya
haciendo una clara violación de la propiedad intelectual.
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
17
ITIL E ISO/IEC 27001: REUNIR LA GESTIÓN DEL SERVICIO Y LA SEGURIDAD Traducido y reproducido del Service Talk en inglés, con autorización de itSMF UK e itSMF Internacional Mark Sykes y Nigel Landman
18
La seguridad de la información, o para ser
operacional sólida, anterior a 2007/2008? Las
experimentados
menos formales, la protección de los activos
pruebas anecdóticas que se han recogido
intentan poner en marcha medidas preventivas
de información de una empresa ha supuesto
durante estos años sugieren una respuesta
para proteger los activos de información? Los
un serio aumento de la actividad desde
sencilla: ninguno.
funcionarios senior deberían recordar siempre
2007/2008. El
furor continúa con la mayoría
La protección de los activos de información es
que la implementación de una solución de TI no
de las organizaciones públicas del sector
una responsabilidad corporativa y ese mensaje
es siempre el primer puerto de escala.
(reflejadas hasta cierto punto dentro del sector
no se ha logrado transmitir por completo.
Este
comercial) dirigiendo seriamente auditorías y
¿Cómo una empresa pasa de una política de
procedimentales que se usan en el dominio
evaluaciones de proveedores externos.
implantación de mediadas reactivas ad hoc
de la gestión del servicio que se pueden
Lo que quizá se entienda peor es que el trabajo
para proteger los activos de información a
hacer extensibles a la información positiva
para proteger el activo de información debería
otra que esté estructurada, equilibrada y en
y funcional del gobierno, la seguridad y la
haberse incluido en el canal de distribución
consonancia con los requisitos operacionales?
protección. La noción de cambio, por ejemplo,
mucho antes de 2007/2008. Los escalones
Las
estado
y los procedimientos adoptados dentro de la
más altos de la empresas, bien han ignorado la
disponibles a través de los códigos y prácticas,
gestión de cambio pueden y deben usarse
importancia de la situación, bien han legado el
guías y requisitos (estándares) británicos e
para un efecto positivo en la empresa. Quizás
problema a aquellos dentro del dominio TI. La
internacionales. Otras herramientas adicionales
se esté empezando a formar un cuerpo teórico
eterna presencia de la memoria USB, anterior
en Reino Unido en forma de modelos maduros
uniforme, la fuente de la que únicamente puede
a 2007/2008 constituye un perfecto ejemplo
de seguridad de la información para el sector
haber un paso adelante positivo.
de reacción ante un problema que era y que
público (y perfectamente válidos para el sector
De hecho, este artículo permite mostrar que
lamentablemente sigue siendo la causa de la
comercial) han entrado en funcionamiento a
muchos de los procesos y prácticas de gestión
información traspapelada. ¿Qué planes se
través de Communications Electronic Security
del servicio existentes que podrían encontrarse
llevaron a cabo para permitir que la memoria
Group (CESG); lo que sugiere la pregunta:
ya en una empresa se pueden utilizar para
USB se usara como una perfecta herramienta
¿por qué tanta angustia cuando los individuos
conseguir un buen efecto y satisfacer las partes
www.itsmf.es
herramientas
siempre
han
artículo
y
altamente
subraya
las
cualificados
técnicas
AÑO VI EDICION I SERVICE TALK
del estándar internacional ISO/IEC 27001.
de seguridad y recomienda varios controles
donde ITIL puede jugar un papel importante en
¿QUÉ ES ISO/IEC 27001?
específicos. Las empresas que implementan
el soporte y entrega de muchos aspectos de los
El nombre completo del estándar ISO/IEC
un ISMS de acuerdo con el consejo de ISO/
controles listados.
27001 es “ISO/IEC 27001: 2005- Information
IEC 27002 tienen más probabilidades de que
Cabe destacar que ITIL no lo “hará todo” si
tecnology-Security
reúnan los requisitos ISO/IEC 27001 para una
pretende obtener la certificación ISO/IEC
security management system-Requirements”
certificación.
27001, pero allanará el camino para lograr
(ISO/IEC
de
El estándar ISO/IEC 27001, publicado en
ese objetivo. De hecho, las empresas que ya
Seguridad-
octubre de 2005, es un miembro de la familia de
operan con un marco de trabajo ITIL maduro
Sistema de de Gestión de la Seguridad de la
series cada vez mayor ISO/IEC 27000. Estos
comprobarán que muchos de los procesos y
Información-Requisitos). Se trata del único
estándares derivan de BS 7799 y proporcionan
actividades que ya están en marcha facilitarán
estándar internacional audicionable que define
un
aceptada
mucho la implementación de los controles de
los requisitos para un Sistema de Gestión de
sobre el ISMS, diseñados para proteger la
seguridad de la información y posiblemente por
la Seguridad de la Información (ISMS por sus
confidencialidad, integridad y disponibilidad del
menos dinero y mucho más rápido que en otros
siglas en inglés).
contenido de información y de los sistemas de
casos.
El estándar está diseñado para asegurar
información.
¿CÓMO PUEDE AYUDAR ITIL?
la
LOS CONTROLES Y EL CONTROL DE LOS
Recientemente, Fox IT y QT&C Group llevaron
adecuados y proporcionados. Estos controles
OBJETIVOS
a cabo un ejercicio de mapas que contemplaba
ayudan a proteger los activos de información
Uno de los aspectos clave de ISO/IEC 27001
cada uno de las 11 áreas de control de
y da confianza a los grupos de interés como
es Annex A -El control de los objetivos y los
seguridad de la información. Se repasaron los
los clientes. Los controles individuales ni
controles. Esta tabla muestra las 11 áreas de
controles individuales y el control de objetivos,
se especifican ni se ordenan; dependen del
control del estándar, sus objetivos del control
se evaluaron las recomendaciones asociadas
tamaño y del tipo de la empresa, y de lo que se
asociados (39 en total), y los 133 autocontroles.
a la implementación para cada control y se
puede aplicar a su negocio.
Se requiere que los controles se pongan en
establecieron conexiones a los procesos
El estándar en sí mismo adopta un enfoque de
marcha para que la empresa pueda gestionar
relevantes de ITIL v3 que soportarían la entrega
proceso para establecer, implementar, operar,
los riesgos sobre la seguridad de la información,
de cada control individual, completamente o en
monitorizar, revisar, mantener y mejorar el
y también se requiere que se implementen en
parte.
ISMS. ISO/IEC 27001 pretende ser usado
relación a los mayores riesgos del negocio de
El ejercicio identificó el siguiente número de
junto con ISO/IEC 27002, el “Código de
una empresa en su conjunto.
relaciones entre ISO/IEC 27002 e ITIL:
práctica para la Gestión de la Seguridad de
Los objetivos del control y su control forman el
la Información”, que lista objetivos de control
Código de Práctica (ISO/IEC 27002) y es aquí
la
27001:
tecniques-Information
2005-
Información-Técnicas
selección
de
www.itsmf.es
controles
Tecnología de
de
seguridad
guía
práctica
generalmente
ÁREA
NÚMERO DE RELACIÓN
A.5 Política de Seguridad
2
A.6 Organización de la Seguridad de la Información
22
A.7 Gestión de Activos
2
A.8 Seguridad de Recursos Humanos
10
A.9 Seguridad Física y Medioambiental
13
A.10 Gestión de Comunicaciones y Operaciones
32
A.11 Control de Acceso
12
A.12 Adquisición de Sistemas de Información, Desarrollo y Mantenimiento
12
A.13 Gestión de Incidencias de la Seguridad de la Información
7
A.14 Gestión de la Continuidad del Negocio
5
A.15 Conformidad
NINGUNO
AÑO VI EDICION I SERVICE TALK
19
Como
se
puede
observar,
muchos
de
cambio y que el proceso de Gestión de Cambio
los controles y sus recomendaciones de
la siga.
implementación
Podemos encontrar otra relación en A.9
asociadas
pueden
verse
soportadas por procesos y actividades que
Seguridad
física
y
medioambiental,
forman parte del marco de trabajo ITIL.
específicamente en A.9. Seguridad del equipo.
El extracto de abajo, tomado de la matriz de
El control para A9.2.6- Eliminación segura
relación muestra un número de procesos de
o reutilización del equipo dice que “todos
Transición del Servicio dentro de ITIL y su
los artículos de un equipo que incorporen
conexión directa con los controles de ISO/IEC
almacenamiento
27002.
revisados para asegurar que cualquier dato
Echemos un vistazo más detallado a algunas
confidencial o licencia de software se haya
de estas relaciones para entender exactamente
eliminado o sobrescrito antes de deshacerse
dónde y cómo puede usarse ITIL para soportar
de ellos”. La recomendación para este control
la entrega de los controles individuales ISO
es que los aparatos que contengan información
27002.
deben ser destruidos físicamente y/o eliminados
de
medios
deben
más
ser
con las herramientas adecuadas para prevenir
GESTIÓN DE CAMBIO
cualquier otro uso de los datos; de igual
Como puede observarse en el extracto de la
forma, los equipos reutilizados requieren una
matriz de relaciones de arriba, seis de las once
cuidadosa supresión de datos para asegurar
áreas de control muestran una conexión directa
que no puedan leerse.
con la Gestión de Cambio. A.6.1 Organización
Para apoyar esta actividad y para asegurar
Interna, dentro de A.6 Organización de la
que los requisitos se reúnen correctamente, es
Seguridad de la Información tiene el siguiente
recomendable que se formule una petición de
control: A6.1.4 -Proceso de autorización para
cambio y entonces que el proceso de Gestión
las facilidades del proceso de información.
de cambio se inicie, lo que asegurará que el
El
control
aquí
es
de
Propietario de los Activos de Información
autorización de gestión para las facilidades
(IAO) reciba una notificación formal. El IAO
del procesamiento de nueva información, de
recomendará las acciones que deben llevarse
manera que se defina e implemente”. Nosotros
a cabo, incluida una evaluación de riesgos
recomendamos
adicional.
que,
para
cuando
“Proceso
se
requiera
autorización, deba formularse una petición de
20
www.itsmf.es
De
igual
forma,
A9.2.7-
Supresión
de
AÑO VI EDICION I SERVICE TALK
proceso con A.11 Control del acceso. Unos de los siete objetivos de control de este estándar es A.11.2 Gestión del Acceso del Usuario, que a su vez se divide en los siguientes cuatro segmentos: A11.2.1 Registro del usuario A11.2.2 Gestión de Privilegio A11.2.3 Gestión de password del usuario A11.2.4 Repaso de los derechos de acceso del usuario Al fijarse en las afirmaciones de cada control específico para cada uno de éstos, así como a sus recomendaciones de implementación asociadas, es sencillo percatarse de que los procesos de Gestión de Acceso en ITIL soportan la entrega de los de arriba, y suministrando la adecuada Política de Acceso en marcha, satisfaremos los controles que se requieren. Para soportar aún más la relación entre ITIL y el estándar internacional, una de las recomendaciones de implementación es que los cambios se registren para cualquier enmienda en los derechos de acceso del usuario. Esto proporciona una clara y distinguida relación con los procesos de la Gestión de cambio en ITIL (de hecho, este hecho ya habrá tenido lugar en un muchas empresas). 1.1. RELACIONES MÚLTIPLES Otro buen ejemplo de cómo la implementación la propiedad dice que “Los equipos, la
con la Transición del Servicio, A.11 Acceso al
información o los software no deben retirarse
control se divide en siete objetivos de control,
sin autorización previa”. Este es otro claro
la mayoría de los cuales están relacionados
ejemplo de cuándo se requiere un proceso
con aspectos de ITIL. Como con todos los
de autorización adecuado, junto con el nivel
controles, ITIL no proporciona necesariamente
apropiado de autorización (es decir, a través del
una respuesta (o respuestas) acompasadas,
proceso de Gestión de cambio). A9.2.7 también
pero los procesos ITIL pueden soportar y
posee una interface para Activos del Servicio y
entregar muchos de los controles individuales
Gestión de la Configuración ya que el equipo
o parte de ellos, que requiere el Código de
debe registrase como retirado, mediante la
Práctica ISO/IEC 27002.
Base de Datos de Gestión de Configuraciones.
La publicación de la Operación del Servicio
CONTROL DE ACCESO
incluye un proceso llamado Gestión del Acceso,
Echando un vistazo a algo que no tiene que ver
y es relativamente sencillo relacionar este
de los controles de seguridad de la información pueden verse asistidos por la existencia de un marco de trabajo ITIL maduro es el objetivo de control A.6.2 Partes Externas dentro de A.6 Organización de la Seguridad de la Información. El tercer control de este objetivo es A6.2.3 Abordar la seguridad en los acuerdos con terceros. El aparato de implementación para este control cubre muchas áreas pero puede relacionarse directamente con los siguientes procesos ITIL: “Un proceso claro para la gestión de cambio”Gestión de Cambio.
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
21
“Proceso de continuidad del servicio”- Gestión
OTROS ESTÁNDARES
certificación ISO/IEC 20000.
de la Continuidad de los Servicios de TI
El ejercicio de mapas que llevamos a cabo
En ese caso, sopese en qué medida el proceso
“Proceso de resolución de problemas”- Gestión
arrojó luz sobre las relaciones a través de las
existente
de Problemas
cinco publicaciones ITIL, y más concretamente
pueden soportar los controles de la seguridad
entre la mayoría de los procesos dentro de
de la información relevante como se listó en
Gestión del Catálogo del Servicio.
esos textos.
ISO/IEC 27002, y repase todos sus procesos
“Proceso de Informes del servicio claros”-
La Gestión de Suministro es una de los
(no solamente la Gestión de Suministro) para
Presentación de Informes del Servicio.
numerosos procesos que no se encontraba en
comprobar dónde hay sinergias que se puedan
“Objetivos del servicio y otras responsabilidades
las principales publicaciones originales de ITIL
maximizar. De igual forma, se puede decir
contractuales como las que se encuentran
v2 del Soporte del Servicio y de la Entrega del
lo mismo para otros estándares como ISO
en los contratos” y “Condiciones de fin/
Servicio; sin embargo, constituye un elemento
9001-Sistemas de gestión de la calidad, BS-
renegociación temprana de acuerdos”-Gestión
distintivo de ISO/IEC 200000, el estándar
25999-Gestión de Continuidad del Negocio, y
de Suministradores.
internacional para la Gestión del Servicio de TI.
sin duda muchos otros.
De hecho, al considerar todo el A.6.2 Partes
Aunque este proceso ya se encuentra incluido
CONCLUSIÓN
Externas, también existen relaciones con la
en el libro de Diseño del Servicio, muchas
Como hemos visto, existen muchas relaciones
Gestión de Acceso, Gestión de Riesgos y la
empresas habrán implementado este proceso
entre ITIL e ISO/IEC 27001 (incluso ISO/IEC
Gestión del Nivel del Servicio.
como parte de sus actividades para lograr la
27002). Poseer un marco de trabajo de gestión
“Descripciones
22
del
producto
www.itsmf.es
o
servicio”-
y
las
actividades
subyacentes
AÑO VI EDICION I SERVICE TALK
del servicio maduro ayudará enormemente
entonces úselo. Vale, es posible que necesite
Nigel Landman es el presidente y fundador
en la consecución de controles efectivos que
una pequeña adaptación, pero supondrá
de QT&C Group Ltd. Nigel creó la empresa
soporten un ISMS.
un acercamiento mucho más eficiente (y de
en 2003 tras retirarse de una intensa carrera
Cabe recordar que existen muchos aspectos
seguro, mucho más efectivo) que empezar
profesional en las Fuerzas Armadas británicas,
de ISO/IEC 27001 en los que ITIL no dará
desde cero.
donde trabajo principalmente en el campo
“respuestas”. Pero lo que ITIL si hará será
Mark Sykes, consultor principal de Fox IT Ltd,
de la búsqueda y desarrollo de la seguridad.
asistir en muchos de los aspectos de control
es un profesional de la gestión del servicio
Nigel es el autor de un libro sobre gestión de la
requeridos por el estándar internacional. Así
altamente experimentado, con más de 20
seguridad de la información (aún por publicar)
que comience examinando su marco de trabajo
años de experiencia llevando a cabo tareas
y se encuentra actualmente trabajando en el
actual y busque las oportunidades de utilizar
de gestión técnica, de proyecto y de línea. Su
segundo.
los procesos existentes y las prácticas como
experiencia incluye numerosas intervenciones
parte de los controles de seguridad y del ISMS
en Gestión de la Capacidad, de Cambio, de
que debe implementarse.
Problemas y de Incidencias para una de las
Como dice el proverbio, no hace falta reinventar
empresas al por menor más grandes de Reino
la rueda. Por ejemplo, si su proceso de
Unido. También ha implementado la Gestión de
Gestión de Cambio existente puede soportar
Versiones y Cambio en grandes compañías de
los controles de seguridad de la información,
Reino Unido y Estados Unidos.
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
23
Oscar Corbelli Tecnofor
La búsqueda del tesoro
Ir en busca de la Integración de TI con el
No dejamos afuera (¿o sí?) los conocimientos
negocio es como ir hacia la isla del tesoro,
técnicos; un grado de ingeniero o un MBA son
navegando en el Archipiélago de la Estrategia
importantes, pero no es imprescindible para
a través de flotas enemigas y mercenarias.
esta aventura de las TI.
Algunos lo considerarán una ficción y para otros será una realidad. La nave TIC, que se utilizará para la travesía, está compuesta por una tripulación donde TODOS conocen el destino, la razón de por
En la oficina de reclutamiento de tripulantes se puede leer el siguiente letrero: “Hay dos tipos de profesionales: los que se desarrollan con la esperanza de encontrar un desafío para elevar su nivel y los que progresan deseando, reservadamente, no toparse con un desafío”
qué están a bordo, los medios que cuentan para la navegación y cuáles son los planes
Quedan fuera de la tripulación personas
para conseguir llegar a buen puerto.
pasivas,
El compromiso de la tripulación con su capitán
ignorantes y aburridos, no importa si tienen
es clave para integrar el equipo, pero para
buenos conocimientos técnicos. Asimismo
formar parte de él deben reunirse las siguientes
son rechazados los que no entienden que la
características: • Buen humor, no significa contar buenos chistes • Brillo en la mirada, esa chispa de combustible encendida • Conocimiento de uno mismo • Habilidad para hacer amigos y jugar en equipo • Amables, corteses, considerados • Honestos y cultos • Activos (buenos empujadores), enérgicos • Experiencias personales inusuales (cualquiera) • Innovadores • Inconformistas • Resilientes1
búsqueda es para profesionales y que no se
egocéntricas,
de
mal
humor,
ofrece un empleo ni sueldo fijo. Esta no es la oferta de Ernest Shackleton, publicada en 1913 en el Times, para reclutar cincuenta y cinco marineros para su expedición al Polo Sur, atravesando el continente antártico. No se buscan aventureros indisciplinados ni personas físicamente fuertes. Tampoco se ofrece honor y bajos sueldos. La organización, a cargo de la travesía, tendrá
•
Acuerdos y responsabilidad asumida con las flotas aliadas • Un conocimiento cabal de los territorios -y sus habitantes- donde desembarcarán • Redundancia, en lo posible, de todo el equipamiento • Recursos financieros para todo el viaje • Estrategias y planes tácticos, es decir todas las cartas de navegación para la travesía Asimismo, al seleccionar a la gente, tendrá en consideración lo siguiente: • Diversidad de género • Empeñados en la aplicación de buenas prácticas de navegación, pero con prioridad en la iniciativa de la gente de primera línea • Formación (consideran que es una inversión más importante que el equipamiento) • Responsabilidad absoluta en los tripulantes, al serle asignada una misión • Comunicará con claridad sus valores y objetivos • Cultura de respeto, ejecución y profesionalidad Será una travesía que tendrá que ingresar a la zona de operaciones, que llamaremos zona BusSIT2 y habrá de atravesar tres islas. Es un viaje que podría ser azotado por tormentas y cambios climáticos que generen alarmas y posibles daños que habrá que resolver. Los planes de continuidad serán imprescindibles, como también la responsabilidad que deben asumir todos los tripulantes en la aplicación
realizados:
24 24
1 - Resiliencia (RAE): Capacidad humana de asumir con flexibilidad situaciones límite y sobreponerse a ellas. 2 - Nombre clave utilizado en esta travesía para indicar a los tripulantes de la nave TIC de haber entrado en el punto de no retorno en la Integración de servicios con el cliente. (Hemos descubierto que la sigla Bus-S-IT proviene de Business-Strategy-IT)
de los mismos, tal como se les comunica al
Carta náutica – La búsqueda del tesoro,
travesía y las técnicas para sortear a enemigos
momento de su selección.
hacia la integración de TI.
y otras hordas.
La organización a cargo de la travesía, al
Referencias del mapa:
seleccionar a la gente, tendrá en consideración
1- Flota Enemiga: Competencia, Mercado.
lo siguiente:
2- Flota Aliada: Buenas Prácticas, Metodologías
•
Diversidad de género
•
de Gestión y Gobierno y Proveedores.
Empeñados en la aplicación de buenas prácticas
•
de
navegación,
pero
con
primera línea
Incompetencia, Subsidios, etc.
Para llegar a la segunda isla, la Ejecución,
Será una travesía que tendrá que atravesar tres
será necesario atravesar un estrecho canal
islas. Primero será el atolón de la Formación.
infestado de mercenarios, donde podrían
Algunos malos navegantes la ven como una isla
encontrarse barcos de ciertos consultores o
pequeña y consideran, en ocasiones, un gasto
proveedores sin escrúpulos. Otros peligros,
innecesario pasar por ella. Nada más erróneo;
en algunos casos de origen desconocido,
es el punto de partida de todo. Allí la tripulación
podrían torpedear el barco TIC, como serían
hará su primer desembarco. Tendrá que pasar
los submarinos Cultura e Incompetencia, que
por diversos campus: Tecnológico, de Gestión,
tratarán de entorpecer o impedir el viaje hacia
(consideran más
que
importante
es
una
que
absoluta
en
los
tripulantes, al serle asignada una misión •
Cultura
de
respeto,
ejecución
y
profesionalidad •
Cultura,
Comunicará con claridad sus valores y objetivos
•
escrúpulos,
el
equipamiento) Responsabilidad
sin
Ralph Sockman
y
Formación
Proveedores
Cuanto más grande es la isla del conocimiento, mayor es la playa del asombro.
prioridad en la iniciativa de la gente de
inversión •
3- Flota de Mercenarios: ciertos Consultores
En el puerto de entrada de esta isla se puede leer este anuncio:
Redundancia, en lo posible, de todo el equipamiento
•
Recursos financieros para todo el viaje
de Dirección y el gran puerto Negocios. En
el tesoro.
•
Estrategias y planes tácticos, es decir
esta isla se podrá utilizar la ayuda de la flota
En esta isla, también llamada La Santa Cruz
todas las cartas de navegación para la
Aliada, donde encontrará provisión y soporte
del Talento por los cuatro puntos clave –ver
travesía
de barcos de Buenas Prácticas y otras naves
carta náutica-, existe un cráter, generalmente
Para el viaje de la nave TIC, la organización
Metodológicas3 que ya han sido utilizadas
inactivo, de nombre Actitud. Este volcán tiene
ha desarrollado una carta de navegación que
con éxito en otros proyectos similares. La
la particularidad que, cuando entra en erupción,
hemos graficado en el siguiente mapa.
adquisición de nuevos conocimientos será
modifica la conducta de toda la tripulación,
imprescindible para entender las cartas de
haciendo que algunos manifiesten sus valores
navegación, la aplicación y gestión de los
y emociones y otros también lo hagan con su
recursos con que contarán para el resto de la
lado oscuro. Es un punto de inflexión en la travesía. El líder de la misma deberá tomar decisiones sobre quiénes continuarán el viaje. En esta isla se realizarán muchas Acciones, aplicando los conocimientos adquiridos. La tripulación deberá tomar ciertos Compromisos con la misión y también tener Comportamientos adecuados para poder seguir siendo integrante de la odisea. Los cambios de actitud serán necesarios en algunos de los tripulantes. En ocasiones, varios componentes del equipo podrían tener que volver hacia atrás y pasar un tiempo en la isla Formación. No debe considerarse un fracaso, sino que es aprender más de los errores. Además, es lo mejor que podría sucederle al grupo.
3 - ITSMF es un grupo de naves de soporte de enorme capacidad y se puede acceder satelitalmente, en cualquier zona donde se necesite navegar. En España, a través de su página web: www.itsmf.es. Internacionalmente, a través de www.itsmf.com. En esta flota no se acepta la intervención de submarinos. Otras Naves Aliadas: ITIL, CobIT, ISO 2000 (Carrier portaviones), BSC, Val-IT, PMBOK, Prince2 (fragata misilística).
25
los mismos. Asimismo, algunos marineros podrían pasarse al bando de los mercenarios; acción muy grave para el periplo insular. En este caso no se puede poner en peligro el éxito de la misión. Si no se puede recuperar a esos navegantes, deben ser eliminados ante el sesgo que estaría dando la misma. El capitán y su comando, deberán procurar estar en contacto directo con todos y establecer muy buenos canales de comunicación con su tripulación, para evitar ese riesgo. Una de las competencias más destacadas en esta zona es el soporte a los habitantes que viven en esta isla, llamado el pueblo de los Users. La entrega de productos y servicios, creados por los tripulantes, trabajando como una brigada, es la clave para que dichos naturales reconozcan el valor recibido. La tripulación pondrá de manifiesto la aplicación de sus valores y habilidades que destacaron en la selección antes de embarcarse. Esto es un punto clave para recibir el salvoconducto que les permita sortear a mercenarios y submarinos y seguir en la travesía hacia el tesoro. Cruzar hacia la tercer isla, la Profesión, será para todos aquellos que, trabajando en equipo, hayan adquirido la experiencia y capacidades necesarias en cada puerto de la isla Ejecución. La aplicación de los conocimientos aprendidos en la isla Formación será definitoria en la medición y análisis de los resultados de las iniciativas tomadas. La isla Profesión es un territorio de elevadísimo nivel donde, para sobrevivir en él, se requiere asumir las características de Liderazgo y ascender el puerto de 1ª, llamado Gestión del Talento. En esta región es donde arribarán los mejores, los verdaderos profesionales, los líderes que quieren integrarse de verdad, los que han visto los beneficios que representa estar cumpliendo con los nuevos horizontes de la profesión y ven concretados los sueños que tuvieron cuando se subieron al barco TIC. Es llegar a Las Palmas de la Profesión, como si fuera un oasis. Serán los que han disfrutado cada paso de la travesía, que han celebrado los errores cometidos y aprendido de ellos; que llegar al tesoro es el logro profesional que les permitirá seguir navegando otros mares. No es el Alineamiento y la Integración la fortuna de la isla, sino que será Aquí es donde se crearán las verdaderas capacidades de todos los miembros del barco. Es una región donde algunas personas pueden tener ciertos temores, por diversos motivos. Estos pueden surgir al tomar decisiones en la ejecución de tareas o ante pérdidas de poder, por lo que será necesaria una fuerte dosis de entereza para tratar los miedos, con compañeros y líderes. Es un viaje que podría ser azotado por tormentas y cambios climáticos que generen alarmas y posibles daños que habrá que resolver. Los planes de continuidad serán imprescindibles, como también la responsabilidad que deben asumir todos los tripulantes en
26
www.itsmf.es
el nivel de Profesionalidad conseguido, a través de la travesía. Sólo será descubierto por quienes la hayan transitado en forma completa. No interesa lo que tarden; los errores y fracasos serán parte de la misma. Lo importante es que éstos sean integrados como una enseñanza más para toda la tripulación. El que asuma el rol de capitán de la nave TIC, será un líder del negocio, a veces llamado CEO, que deberá liderar y guiar a su tripulación, junto con su Oficial de cubierta -CIO- a autenticar la profesionalidad de los navegantes en cada paso de la travesía. AÑO VI EDICION I SERVICE TALK
La importancia de la I de información en la TI y la Gestión del Conocimiento Luis Ignacio Martín Computer Space En el último Congreso anual del itSMF España
la imagen y la calidad de la organización, la formalización interna es todo
celebrado en Noviembre, en la mesa debate
un reto de hoy y será también el de mañana”.
con CIOs - Dibujando el futuro de la TIC hubo bajo mi punto de vista una intervención clave de enorme calado realizada por Ramón Álvarez Veirás, CIO del Ayuntamiento de A Coruña, sobre la parte conceptual de la TI y de su futuro. “Deberíamos cambiar el paradigma, encaminarnos y hacer más hincapié en la I de información, realizando una arquitectura troncal de información común que tenga disponible, satisfaga y nutra a toda la organización y más que minimizar a la Tecnología, que ésta sea su sistema de soporte que nos proporcione y haga viable dicho conocimiento”. Ramón sigue en su disertación comentando lo siguiente: “La mayoría de las organizaciones siguen teniendo los mismos problemas a la hora de gestionar su información. Tienen una visión de la información determinada por las operaciones y las aplicaciones que utilizan para generarlas, con una duplicidad de las mismas y sin explotarlas. Hay carencias de la existencia del conocimiento de la información de forma transversal. Yo tengo la sensación que cuando se hablan temas de TI parece que intentamos construir la casa por el tejado. Para mí, es menos importante, qué tecnología tenemos; siendo su valor y su beneficio, qué uso estamos dando a la misma para que nos proporcione una información, válida y veraz par aportarle al negocio el valor que requiere y necesita”. Terminando su locución indicó una falta de alineación en las empresas, sobre el aspecto formativo, su repercusión en el idioma organizativo y cultura que debería reinar afirmando que “Se requiere una formalización para establecer un lenguaje común para hablar con las unidades de negocio. De no ser factible esta comunicación y entendimiento, ¿cómo va a ser posible indicar al negocio, que inviertan en tecnología si no son capaces de entender el idioma que hablamos? Independientemente de
www.itsmf.es
Por tanto, sí lo anterior es cierto - no sólo una apreciación o percepción particular de un CIO - nos deberíamos plantear sí definimos correctamente; sí gestionamos de forma efectivamente y eficiente; sí en definitiva proporcionamos la información tal y cómo nos requiere el negocio para hacer factible su estrategia hacia la consecución de los resultados, metas u objetivos esperados y planificados. CobIT lo describe de forma cristalina - Objetivos de Control para la Información y la Tecnología relacionada – así como establece que para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, como son la efectividad, eficiencia, confidencialidad,
integridad,
disponibilidad,
cumplimiento
y
confiabilidad. Me pregunto; nosotros como TI disponemos y gestionamos la información de forma que la misma sea relevante y pertinente para nuestros procesos de negocio, de forma oportuna, correcta, consistente y utilizable; optimizando los recursos a la hora de generarla; protegiendo su revelación a personal no autorizado; siendo precisa y completa; estando disponible en el momento que sea requerida; cumpliendo las leyes, reglamentos y acciones contractuales así como que la misma sea utilizada para ejercer las responsabilidades fiduciarias y de gobierno. ¿Qué piensan? Es necesario que la información que proporcionamos a nuestro negocio deba cumplir entre otros, estos criterio; creo que sí. Y qué dice ITIL al respecto. Actualmente y como pequeño inciso estamos abocados a un serie de cambios que nos pueden hacer desviar la atención de nuestra visión y no saber que estrategia llevar, sí seguir con la misma, acometer otra. La retirada por parte de OGC de ITIL V2 para Junio; la plena disponibilidad actual de los libros de la V3 en castellano; la propuesta de revisión de los libros de la V3; el cambio de esquema de la certificación ISO 20.000 con el traspaso de los derechos a APMG, con AÑO VI EDICION I SERVICE TALK
27
el beneplácito del itSMF Internacional aunando con la responsabilidad
El flujo de datos es proporcionado por automatización de herramientas de
ya consabida de la marca de ITIL®; movimientos hacia una un Free ITIL
detección e inventario, información de proyectos así como otras fuentes
y otros que se estén cociendo.
y un punto crítico para que todo funcione, la P de personas. Desde el personal de operaciones, de incidencias, de la primera y segunda
Esta serie de acontecimientos, hace que sin terminar de desaparecer ITIL V2, sin estar madura la V3 - su alcance y su total creencia por parte de la empresa a invertir y/o continuar invirtiendo con las buenas prácticas para gestionar sus servicios - con los cambios en la norma ISO
línea de soporte, son la fuente central de alimentación y recopilación de datos e información sobre la rutina diaria de los servicios gestionados. A simple visto, parece todo abstracto, pero viéndolo de forma sistemática, holística e integradora con un mínimo ejemplo es entendible.
20.000 puede que estemos en cierto periodo de desestabilización que provoquen a su vez posibles cambios en las estrategias de diferentes
Si yo fuera un CIO, quisiera saber toda la información relevante de todos
empresas para acometer en sus mercados, que interactúan dentro del
los servicios que gestiono (tanto los que están en producción como los
sector, cuyo foco se centre en la consultoría, la formación y desarrollo de
que están en pipeline). Quisiera saber por cada servicio, que me cuesta
herramientas dentro de la Gestión de Servicio de TI.
prestar el mismo (HW, SW, licencias, personal que los mantiene, otros
Pero no debemos perder el foco. ITIL en la V3 en lo referente a la gestión de la información, lo integra, lo define y lo estructura en toda la fase del Ciclo de Vida del Servicio a través de la Gestión del Conocimiento teniendo como meta mejorar la calidad de toda las decisiones que deba tomar haciendo que la información que se proporcione sea segura y fiable.
Con ello cumpliremos con los objetivos de dar soporte al proveedor de servicios para mejorar la eficiencia y la calidad de los servicios así como garantizar que su personal, disponga de la información adecuada para dicha prestación y se proporcione la calidad al negocio superando las expectativas creadas, satisfaciéndole. Para ello debemos mantener siempre presente la estructura y la forma de proporcionar el flujo conocido como DIKW - Datos, Información, Conocimiento, Saber – y su Sistema de Gestión del Conocimiento del
recursos); cuantos clientes dispongo; cuántos usuarios los utilizan; cuanto facturo; qué incidencias tiene; problemas; su capacidad actual y futuro; disponibilidades; qué cambios o intervenciones se realizan; sí los niveles de servicios están alineados con los SLA establecidos y pactados por el negocio y así; otro tipo de información, que de forma transversal sirviera para establecer y dar un servicio de calidad esperado
por el negocio, dónde la gestión del conocimiento y la información fuere disponible para todo recurso para realizar correctamente su trabajo y responsabilidad. Por tanto, considero que las aseveraciones realizadas por Ramón Álvarez, no se sí los que tuvieron la fortuna de verlos en el propio congreso en directo, o aquellos que las haya podido ver en vídeo, hayan llegado a las mismas conclusiones que he efectuado o sí lo han considerado trascendentes, pero lo que no cabe duda, de su importancia.
Servicio (SKMS). Este está formado por el universo de datos que son centralizados por el Sistema de Gestión de la Configuración (CMS) y la CMDB.
28
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
Preguntas Fre Certificación I cuentes de la TIL® y la Actu de ITIL v3 alización
Hay muchas pr eguntas como co nsecuencia de la revisión de IT reproducimos aq IL v3. OGC ha uí. publicado algun as y sus respue stas las que ¿Cómo afecta los exámenes y las esquema actual certificaciones y bajo el esquem la actualizació a de cambios en esta n de cré fase, y en todos ditos de la Califi ITIL? cación de ITIL. los módulos del pla n de capacidades que ¿Necesitaré re se vean afectado ITIL está en un cic -certificarme cu s. lo de mejora conti ando nua, se publique la actu OGC ha anuncia alización? do que actualizar ¿Hay cambios á los en los cursos libros actuales y para tomar en Los profesiona ex ám cuenta en es puente a ITIL v3 les que actua lmente ? los comentarios y recomendacion posean una certifi es cación en ITIL® de la comunidad no No hay cambios de usuarios de necesitarán re-ce como consecue las rtificarse. ncia Buenas Prácticas de la actualizac de ITIL. ión. Los curso s y No hay plane exámenes puen s para pres te se ma en nte Los exámenes tar ndrán y la certificació formación o ex hasta la fecha n de ámenes puente anunciada con a la profesionales ba el sada en la ve actualización, es esquema actual. rsión to debido a qu e los actual (la Versi ón 3) incluirán procesos principa las les y los principi os no actualizaciones, Importante: sin embargo co ca mbian. mo los principios bá sicos y los proc esos Os recordamos qu principales no ¿Me presento e ITIL v2 ha expir cambian pode a la formació ado. mos n de Ya no es posible ha esperar que tam Fu nd cer el examen de amentos de ITIL poco cambien ahora o espero las actualización de versiones de los a que se actuali Fundamentos de exámenes. ce? ITIL. Todavía es posib le hacer el exam en de ¿Cuándo se lib Cualquiera qu Actualización de era la actualiza e esté actua l Service Manage ción lmente r, la de ITIL? preparándose fecha límite es el para la certifi 30 de junio. cación debería continu ar, y no nece Se espera dispo sita ner de la actualiz es perar a la nueva ación actualización. a mediados de 20 11
¿Cómo de gran des van a ser los cambios de ITIL ? Los cambios a IT
IL y a las publica
ciones no serán de gran tamaño. Cualquie ra que esté prepar ándose para ap render ITIL o en el cami no de aprender ITIL puede continuar y le incentivam os para que lo ha ga. La certifica ción que obtendrá se rá reconocida ba jo el
www.itsmf.es
¿Cómo va a af ectar la actuali zación a los Niveles In termedios? Debido a que no se prevé ca mbios relevantes en los procesos ni en los principios, tam poco se espe raría cambios importa ntes en los prog ramas formativos ni en los exámenes. No obstante debido a que el alcance del proyecto actua liza significativam ente La Estrategia de l Servicio, sí se es peran
AÑO VI EDICION I SERVICE TALK
29
No te lo puedes perder... Prime Jornadra Comit a 2011 Extremé de adura 31 de Marzo
eso r g n a V Co ataluny de C abril e d 6
VI Congres Académico o Internacion – ITGSM 2 al 011 1 y 2 de jun io
Curso de Verano 4 al 8 de Ju lio
Congr Anual eso 27 y 28 Octubr de e
30
www.itsmf.es
AÑO VI EDICION I SERVICE TALK
De la prác*ca a la profesión
The PriSM Ins7tute
professional recogni7on for it Service Management
Plaza Carlos Trías Bertán 7 28020 Madrid Teléfono: 902 10 53 98 E-‐mail:
[email protected] www.itsmf.es
Hoy IT Service Management es una prác7ca profesional, priSM® la transformará en una profesión reconociendo la trayectoria de profesionales del sector, en un marco de conocimiento y desarrollo. La experiencia y conocimientos se validan por profesionales calificados, cada par7cipante se adhiere a un código de é7ca de itSMF para asegurar un estándar de comportamiento y un alto nivel de compromiso. priSM Programa para acreditar y desarrollar profesionales en el sector ITSM. El programa reconoce las cer7ficaciones y los estudios basados en un framework que además proporciona un camino estructurado para el desarrollo y crecimiento con7nuo. Beneficios Para miembros de itSMF • Valida el éxito profesional • Mo7va nuevas oportunidades de carrera •
Dis7nción y Reconocimiento en la organización y a nivel Internacional
Para el sector ITSM • Mejorar el nivel de integridad de los profesionales • Estructura más formal y más predecible para el crecimiento del sector • Mejorar la confianza y las habilidades de los profesionales del sector Para el Mercado • Clientes y empleadores pueden tomar decisiones informadas respecto de los profesionales que contratan • Guías mejor descritas respecto de las habilidades requeridas para un profesional, mejorando las probabilidades de éxito de los proyectos ITSM
Empresas Patrocinadores de itSMF España
Plaza Carlos Trías Bertran, 7 ������������
�������02�10 53 98 email:
[email protected] /
[email protected]
��