• Author / Uploaded
• Luis Eduardo Rodriguez Peña

• Categories
• Organización internacional para la estandarización
• Comisión Electrotécnica Internacional
• Auditoría
• Acuerdo de nivel de servicio
• Seguridad de información

Citation preview

DFSD

ESTÁNDAR INTERNACIONAL

ISO 20000-1:2011

Traducción no oficial – Uso académico Realizada por: Ing. Juan Carlos Angarita C., M.E.

Segunda edición: 2011-04-15

TECNOLOGÍAS DE LA INFORMACIÓN GESTIÓN DE SERVICIOS PARTE 1 – REQUISITOS DEL SISTEMA DE GESTIÓN DE REQUISITOS

TABLA DE CONTENIDO PREFACIO 0 INTRODUCCIÓN 1 ALCANCE 1.1. General 1.2. General 2 REFERENCIAS NORMATIVAS 3 TÉRMINOS Y DEFINICIONES 4 REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DE SERVICIOS 4.1 Responsabilidad de la dirección 4.2 Gobierno de procesos operados por terceras partes 4.3 Gestión de la documentación 4.4 Gestión de recursos 4.5 Establecer y mejorar el SMS 5 DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS 5.1 General 5.2 Planeación de servicios nuevos o modificados 5.3 Diseño y desarrollo de servicios nuevos o modificados 5.4 Transición de servicios nuevos o modificados 6 PROCESO DE ENTREGA DE SERVICIOS 6.1 Gestión del nivel de servicio 6.2 Reporte de servicios 6.3 Gestión de la continuidad y disponibilidad del servicio 6.4 Presupuesto y contabilidad de servicios 6.5 Gestión de la capacidad 6.6 Gestión de seguridad de la información 7 PROCESOS DE RELACIONES 7.1 Gestión de procesos de relaciones 7.2 Gestión de proveedores 8 PROCESOS DE SOLUCIÓN 8.1 Gestión de incidentes y solicitud de servicios 8.2 Gestión de problemas 9 PROCESOS DE CONTROL 9.1. Gestión de la configuración 9.2 Gestión del cambio 9.3 Gestión de publicaciones y despliegue

0

1 2 4 4 5 5 5 9 9 10 10 11 11 14 14 14 15 15 16 16 16 17 17 18 18 19 19 20 21 21 21 22 22 22 23

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

PREFACIO ISO (La organización internacional para la estandarización) y la IEC (La comisión electrotécnica internacional) conforman el sistema especializado para la estandarización a nivel mundial. Los organismos nacionales que son miembros de la ISO o del IEC participan en el desarrollo de estándares internacionales a través de comités técnicos establecidos por la organización respectiva para atender campos particulares de actividad técnica. Los comités técnicos de la ISO e IEC colaboran en campos de interés mutuo. También pueden participar en ese trabajo otros tipos de organizaciones internacionales, gubernamentales y no gubernamentales, bajo la coordinación de ISO e IEC. En el campo de las tecnologías de la información, ISO e IEC han establecida un comité técnico ISO/IEC JTC 1. Los estándares internacionales son preparados según las reglas dadas en las directivas ISO/IEC, parte 2. La tarea principal de los comités técnicos es preparar estándares internacionales. Los borradores de estándares internacionales adoptados por los comités técnicos son circulados a los miembros para votación. La publicación de un estándar internacional requiere la aprobación de al menos el 75% de los miembros con derecho a voto. Se deberá tener en cuenta la posibilidad que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. ISO e IEC no serán responsables de identificar cualquiera de tales derechos. La norma ISO 20000-1 fue preparada por el Comité Técnico ISO/TC JTC 1, Tecnología de la información, subcomité SC 7, ingeniería de software y sistemas. Esta segunda edición cancela y reemplaza la primera edición (ISO/IEC 20000-1:2005), la cual ha sido revisada técnicamente. Las principales diferencias son: -

Alineación cercana con ISO 9001; Alineación cercana con ISO/IEC 27001; Cambio de terminología para reflejar su uso internacional; Adición de muchas más definiciones, actualización de algunas definiciones y remoción de dos definiciones; Introducción del término “sistema de gestión de servicios - SMS”; Combinación de las cláusulas 3 y 4 de ISO/IEC 20000-1:2005 para ubicar todos los requisitos del sistema de gestión en una sola cláusula; Aclaración de los requisitos para el gobierno de procesos operados por terceras partes; Aclaración de los requisitos para definir el alcance del sistema de gestión de servicios; Aclaración de la aplicación de la metodología PHVA al sistema de gestión de servicios, incluyendo los procesos de gestión de servicios, y los servicios; Introducción de nuevos requisitos para el diseño y transición de servicios nuevos o con cambios.

La norma ISO/IEC 20000 consiste de las siguientes partes, bajo el título general de Tecnología de la información - Gestión de servicios: -

Parte 1: Requisitos del sistema de gestión de servicios; Parte 2: Guías en la aplicación de los sistemas de gestión de servicios; Parte 3: Guías para la definición y aplicabilidad del alcance de la norma ISO/IEC 20000-1 (Reporte técnico) Parte 4: Modelo de referencia de procesos (Reporte técnico) Parte 5: Ejemplo de plan de implementación para la norma ISO/IEC 20000-1 (Reporte técnico)

Un modelo de evaluación de procesos para la gestión de procesos será la tema de una futura parte 8.

1

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

0

INTRODUCCIÓN

Los requisitos de esta norma incluyen el diseño, transición, entrega y mejora de servicios que cumplen los requisitos del servicio y proveen valor a los clientes y los proveedores del servicio. Esta norma requiere un enfoque integral de procesos una vez el proveedor del servicio planea, establece, implementa, opera, monitorea, revisa, mantiene y mejora un sistema de gestión del servicio SMS. La integración e implementación coordinada de un SMS provee control continuo y oportunidades para la mejora continua y una mayor efectividad y eficiencia. La operación de los procesos - tal como se especifica en esta norma - requiere una buena organización y coordinación del personal. Se pueden usar las herramientas adecuadas para hacer que los procesos sean efectivos y eficientes. Los proveedores de servicios más efectivos consideran el impacto del SMS a través de todas las etapas del ciclo de vida del servicio, incluyendo la estrategia, el diseño, transición y operación, incluyendo la mejora continua. Esta norma requiere la aplicación de la metodología PHVA a todas las partes del SMS así como a los servicios. La metodología PHVA aplicada en esta norma, puede ser descrita brevemente así: Planear: Establecer, documentar y aprobar el SMS. El SMS incluye las políticas, objetivos, planes y procesos requeridos para cumplir los requisitos del servicio. Hacer: Implementar y operar el SMS para el diseño, transición, entrega y mejora de los servicios. Verificar: Monitorear, medir y revisar el SMS y los servicios frente a las políticas, objetivos, planes y requisitos del servicio, y el reporte de los resultados. Actuar: Tomar acciones para mejorar el desempeño del SMS y los servicios de forma continua. La aplicación del enfoque integral de procesos y la metodología PHVA a un SMS, resalta los siguientes elementos: a) b) c) d) e)

Entender y cumplir los requisitos del servicio para alcanzar la satisfacción del cliente; Establecer la política y objetivos para la gestión de servicios; Diseñar y entregar servicios - basados en el SMS - que añaden valor al cliente; Monitorear, medir y revisar el desempeño del SMS y de los servicios; Mejorar de forma continua el SMS y los servicios con base en mediciones objetivas.

La figura 1 ilustra como la metodología PHVA puede ser aplicada al SMS incluyendo los procesos de gestión de servicios especificados en las cláusulas 5 a la 9, y los servicios. Cada elemento de la metodología PHVA es una parte vital de una implementación exitosa de un SMS. El proceso de mejora usado en esta norma se basa en la metodología PHVA. PLANEAR Sistema de gestión de servicios

HACER

Procesos de gestión de servicios

ACTUAR

Servicios

VERIFICAR

2

Figura 1 – Metodología PHVA aplicada a la gestión de servicios ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Esta norma permite a un proveedor de servicios integrar su SMS con otros sistemas de gestión en la organización del proveedor de servicios. La adopción de un enfoque integrado de procesos y la metodología PHVA le permite al proveedor de servicios alinear o integrar completamente múltiples sistemas de gestión. Por ejemplo, un SMS puede ser integrado con un sistema de gestión de la calidad basado en la norma ISO 9001 o un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001. Esta norma es intencionalmente independiente de una guía específica. El proveedor de servicios puede usar una combinación de guías aceptadas así como su propia experiencia. Los usuarios de un estándar internacional son responsables por su aplicación correcta. Un estándar internacional no declara el incluir todos los requisitos estatutarios y regulatorios y las obligaciones contractuales del proveedor de servicios. La conformidad frente a un estándar internacional no confiere inmunidad frente a requisitos estatutarios y/o regulatorios.

3

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

SEGURIDAD SOCIETARIA - SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO – REQUISITOS 1

ALCANCE

1.1.

General

Esta norma es un estándar internacional del sistema de gestión del servicio – SMS. Especifica requisitos para que el proveedor del servicio planee, establezca, implemente, opere, monitoree, revise, mantenga y mejore un SMS. Los requisitos incluyen el diseño, transición, entrega y mejora de servicios para cumplir los requisitos del servicio. Esta norma puede ser usada por: a) Una organización que busque servicios de proveedores y requiera asegurar que los requisitos de dichos servicios sean cumplidos; b) Una organización que requiera un enfoque consistente para todos sus proveedores de servicios, incluyendo aquellos en una cadena de suministro; c) Un proveedor de servicios que busque demostrar su capacidad para el diseño, transición, entrega y mejora de servicios que cumplen los requisitos de los servicios; d) Un proveedor de servicios para monitorear, medir y revisar sus procesos de gestión de servicios y sus servicios; e) Un proveedor de servicios para mejorar el diseño, transición y entrega de servicios a través de una implementación y operación efectiva de un SMS; f) Un evaluador o auditor para obtener los criterios para la evaluación de conformidad de un SMS de un proveedor de servicios frente a los requisitos de esta norma. La figura 2 ilustra un SMS, incluyendo los procesos de gestión de servicios. El proceso de gestión de procesos y las relaciones entre los procesos pueden ser implementados en diferentes formas por diferentes proveedores de servicios. La naturaleza de las relaciones ente un proveedor de servicios y el cliente influenciarán como se implementan los procesos de gestión de servicio.

Sistema de Gestión de Servicios - SMS Responsabilidad de la dirección

Gobierno de procesos operados por terceras partes Gestión de documentos

Establecer el SMS

Requisitos de servicios

Gestión de recursos

Diseño y transición de Servicios (nuevos o con cambios)

Servicios

Procesos de entrega de Servicios Gestión de capacidad Gestión de disponibilidad y continuidad del servicio

Gestión nivel de servicio

Reportes de servicio Seguridad de información Presupuesto y contabilidad para servicios

Procesos de control

Procesos de solución Clientes (y otras partes interesadas)

Gestión de configuración Gestión de cambios Gestión de liberación y entrega

Gestión de incidentes y solicitudes de servicio Gestión de problemas

Procesos de relación

Gestión de relaciones de negocios Gestión de proveedores

Clientes (y otras partes interesadas)

Figura 2 – Sistema de gestión de servicios - SMS

4

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

1.2.

General

Todos los requisitos de esta norma son genéricos con la intención de ser aplicables a todos los proveedores de servicios, sin importar su tipo, tamaño y la naturaleza de los servicios entregados. No es aceptable la exclusión de cualquiera de los requisitos indicados en las cláusulas 4 a la 9 cuando un proveedor indique conformidad con esta norma, sin importar la naturaleza de la organización prestadora de servicios. La conformidad de los requisitos indicados en las cláusulas 4 a la 9 solo puede ser demostrada por un proveedor de servicios al mostrar evidencia de cumplimiento de los requisitos indicados en la cláusula 4. Un proveedor de servicios no puede sustentar el cumplimiento de la cláusula 4 con evidencia proporcionada por la dirección de procesos operados por terceras partes. La conformidad de los requisitos indicados en las cláusulas 5 a la 9 solo puede ser demostrada por un proveedor de servicios al mostrar evidencia de cumplimiento de todos los requisitos de esta norma. Alternativamente, un proveedor de servicios puede mostrar evidencia de cumplimiento de la mayoría de requisitos por sí mismos y evidencia proporcionada por la dirección de procesos operados por terceras partes para esos procesos, o parte de esos procesos, que el proveedor de servicios no opere de manera directa. El alcance de esta norma excluye la especificación para productos o herramientas. Sin embargo, las organizaciones pueden usar esta norma para ayudar a desarrollar productos o servicios que soporten la operación del SMS. Nota: Esta norma provee guía en la definición del alcance y aplicabilidad de la norma. Esto incluye explicación adicional sobre el gobierno de procesos operados por terceras partes. 2

REFERENCIAS NORMATIVAS

Los siguientes documentos referenciados son indispensables para la aplicación de este documento. Para referencias con fecha, solo la edición citada aplica. Para referencias sin fecha, aplica la última edición del documento referenciado (incluyendo cualquier enmienda). No hay referencias normativas. Esta cláusula es incluida para asegurar una estructura de numeración idéntica a la norma ISO/IEC 20000-2. 3

TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento, aplican los siguientes términos y definiciones: 3.1 Disponibilidad Habilidad de un servicio o componente del servicio de realizar su función requerida en el instante acordado o sobre un período acordado de tiempo. Nota: La disponibilidad es normalmente expresada como una relación o porcentaje del tiempo en el cual el servicio o el componente del servicio es actualmente disponible para su uso por el cliente por el tiempo acordado durante el cual el servicio debería estar disponible. 3.2 Línea base de configuración Información de configuración designada formalmente en un tiempo específico durante la vida de un servicio o de un componente del servicio. Nota 1: La línea base de configuración junto a los cambios aprobados frente a esa línea base, constituyen la información de configuración actual. Note 2: Adaptado de ISO/IEC/IEEE 24765:2010. 3.3 Elemento de la configuración - CI Elemento que necesita ser controlado para entregar uno o más servicios.

5

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

3.4 Base de datos de gestión de la configuración - CMDB Almacén de datos usado para registrar atributos de elementos de la configuración y las relaciones entre tales elementos a través de su ciclo de vida. 3.5 Mejora continua Actividad recurrente para incrementar la capacidad de cumplir los requisitos del servicio. Nota: Adaptado de ISO 9000:2005. 3.6. Acción correctiva Acción para eliminar la causa o reducir la probabilidad de recurrencia de una no conformidad detectada u otra situación no deseada. Nota: Adaptado de ISO 9000:2005. 3.7 Cliente Organización o parte de una organización que recibe un servicio o grupo de servicios. Nota 1: Un cliente puede ser interno o externo a la organización proveedora de servicios. Nota 2: Adaptado de ISO 9000:2005. 3.8 Documento Información y su medio de soporte [ISO 9000:2005] Ejemplos: Políticas, planes, descripciones de procesos y procedimientos, acuerdos de nivel de servicio, contratos o registros. Nota 1: La documentación puede estar en cualquier forma o tipo de medio. Nota 2: En ISO/IEC 20000, los documentos, a excepción de los registros, indican una intención de algo por lograr. 3.9 Efectividad Grado en el cual las actividades planeadas son realizadas y los resultados planeados son alcanzados. 3.10 Incidente Interrupción no planeada de un servicio, una reducción en la calidad de un servicio, o un evento que aún no ha impactado el servicio frente al cliente. 3.11 Seguridad de la información. Preservación de la confidencialidad, integridad y accesibilidad de la información. Nota 1: Además, pueden estar involucradas otras propiedades tales como autenticidad, responsabilidad, no repudio y confiabilidad. Nota 2: El término disponibilidad no ha sido usado en esta definición debido a que es un término definido en esta norma por lo cual no es apropiada. Nota 3: Adaptado de ISO/IEC 27000:2009. 3.12 Incidente de seguridad de la información Evento singular o serie de eventos no deseados o inesperados en seguridad de la información y que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. [ISO/IEC 27000:2009] 3.13 Parte interesada Persona o grupo que tiene un interés específico en el desempeño o éxito en la actividad o actividades del proveedor de servicios

6

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Ejemplos: Clientes, propietarios, administradores, personas en la organización proveedora del servicio, proveedores, bancos, sindicatos o aliados. Nota 1: Un grupo puede comprometer una organización, una parte de ella, o más de una organización. Nota 2: Adaptado de ISO 9000:2005. 3.14 Grupo interno Parte de la organización proveedora del servicio que posee un acuerdo documentado con el proveedor del servicio para contribuir al diseño, transición, entrega y mejora de un servicio o servicios. Nota: El grupo interno es externo al alcance del SMS del proveedor de servicios. 3.15 Error conocido Problema que tiene una causa raíz identificada o método para reducir o eliminar el impacto en un servicio al evitar el problema. 3.16 No conformidad No cumplimiento de un requisito [ISO 9000:2005] 3.17 Organización Grupo de personas e instalaciones con un acuerdo de responsabilidades, autoridades y relaciones. Ejemplos: Compañías, corporaciones, firmas, empresas, instituciones, organizaciones sin ánimo de lucro, independientes, asociaciones, así como parte o combinaciones de éstas. Nota 1: El acuerdo es generalmente ordenado. Nota 2: Una organización puede ser pública o privada. [ISO 9000:2005] 3.18 Acción preventiva Acción para evitar o eliminar las causas o reducir la probabilidad de ocurrencia de una no conformidad potencial u otras situaciones no potenciales no deseables. Nota: Adaptado de ISO 9000:2005. 3.19 Problema Causa raíz de uno o más incidentes Nota: la causa raíz no es usualmente conocida al momento que se registra el problema y el proceso de gestión de problemas es el responsable por su investigación. 3.20 Procedimiento Forma especificada para realizar una actividad o un proceso. [ISO 9000:2005] Nota: Los procedimientos pueden estar o no documentados. 3.21 Proceso Conjunto de actividades interrelacionadas o interactuantes las cuales transforman entradas en salidas. [ISO 9000:2005] 3.22 Registro Documento que contiene resultados alcanzados o que provee evidencia de actividades realizadas. [ISO 9000:2005] Ejemplos: Reportes de auditoria, reportes de incidentes, registros de entrenamiento o actas de reuniones.

7

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

3.23 Liberación Colección de uno o más elementos de configuración, nuevos o modificados, desplegados en un ambiente de producción como resultado de uno o más cambios. 3.24 Solicitud de cambio. Propuesta de cambio a ser realizado a un servicio, componente de un servicio o el SMS. Notas: Un cambio a un servicio incluye la provisión de un nuevo servicio o la remoción de un servicio que no se requiere más. 3.25 Riesgos Efecto de la incertidumbre en los objetivos. [ISO 31000:2009] Nota 1: Un efecto es una desviación de lo esperado – positiva o negativa. Nota 2: Los objetivos pueden tener diferentes aspectos (financieros, de salud y seguridad, ambientales) y pueden aplicar a niveles diferentes (a nivel estratégico, a lo largo de la organización, a un proyecto, o a un producto o servicio) Nota 3: El riesgo es a menudo caracterizado por referencia a los eventos y consecuencias potenciales, o combinación de ellos. Nota 4: El riesgo es a menudo expresado en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y la probabilidad asociada de ocurrencia. 3.26 Servicio Medios para la entrega de valor al cliente al facilitar los resultados que el cliente desea obtener. Nota 1: Los servicios son generalmente intangibles. Nota 2: Un servicio también puede ser entregado al proveedor de servicios por un proveedor, u grupo interno o un cliente actuando como proveedor. 3.27 Componente del servicio Unidad del servicio que al ser combinada con otras unidades permite entregar un servicio completo. Ejemplo: Hardware, software, herramientas, aplicaciones, documentación, información, procesos o servicios de apoyo. Nota: Un componente de servicio puede consistir de uno o más elementos de configuración. 3.28 Continuidad del servicio Capacidad para gestionar riesgos y eventos que podrían tener un impacto serio en uno o más servicios para poder entregar los servicios de manera continua en los niveles acordados. 3.29 Acuerdo de nivel de servicio - SLA Acuerdo documentado entre el proveedor del servicio y el cliente que identifica los servicios y objetivos del servicio. Nota 1: Un acuerdo de nivel de servicio puede también ser establecido entre el proveedor del servicio y un proveedor, un grupo interno o un cliente actuando como proveedor. Nota 2: Un acuerdo de nivel de servicio puede ser incluido en un contrato o cualquier otro tipo de acuerdo documentado. 3.30 Gestión del servicio Conjunto de capacidades y procesos para dirigir y controlar las actividades y recursos del proveedor de servicios para el diseño, transición, entrega y mejora de servicios para cumplir los requisitos del servicio. 3.31 Sistema de gestión del servicio - SMS Sistema de gestión para dirigir y controlar las actividades de gestión del servicio del proveedor del servicio.

8

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Nota 1: Un sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer política y objetivos y para alcanzar tales objetivos. Nota 2: El SMS incluye todas las políticas, objetivos, planes, procesos, documentación y recursos de gestión del servicio requeridos para el diseño, transición, entrega y mejora de servicios y para cumplir los requisitos de esta norma. Nota 3: Adaptado de la definición de sistema de gestión de la calidad en ISO 9000:2005. 3.32 Proveedor de servicios Organización o parte de una organización que gestiona y entrega un servicio o servicios al cliente. Nota: Un cliente puede ser interno o externo al proveedor de servicios de la organización. 3.33 Solicitud de servicios Solicitud para información, asesoría, acceso a un servicio o un cambio pre-aprobado. 3.34 Requisito de servicios Necesidad del cliente y los usuarios del servicio, incluyendo requisitos del nivel del servicio y las necesidades del proveedor de servicios. 3.35 Proveedor Organización o parte de una organización que es externa a la organización proveedora de servicios y que suscribe un contrato con el proveedor del servicio para contribuir al diseño, transición, entrega y mejora de uno o más servicios o procesos. Nota: Los proveedores incluyen los proveedores líderes designados pero no sus proveedores subcontratados. 3.36 Alta dirección Persona o grupo de personas quienes dirigen y controlan el proveedor de servicios al más alto nivel. Nota: Adaptado de ISO 9000:2005. 3.37 Transición Actividades involucradas en mover un servicio nuevo o modificado hacia o desde el ambiente de producción. 4

REQUISITOS GENERALES DEL SISTEMA DE GESTIÓN DE SERVICIOS

4.1

Responsabilidad de la dirección

4.1.1

Compromiso de la dirección

La alta dirección debe proveer evidencia de su compromiso para planear, establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SMS y los servicios al: a) Establecer y comunicar el alcance, política y objetivos para la gestión de servicios; b) Asegurar que el plan de gestión de servicios sea creado, implementado y mantenido para cumplir la política, lograr los objetivos para la gestión del servicios y cumplir los requisitos de servicio; c) Comunicar la importancia de cumplir los requisitos del servicio; d) Comunicar la importancia de cumplir requisitos estatutarios y regulatorios y obligaciones contractuales; e) Asegurar la provisión de recursos; f) Conducir revisiones por parte de la alta dirección a intervalos planeados; g) Asegurar que los riesgos en los servicios sean evaluados y gestionados. 4.1.2

Política de gestión del servicio

La alta dirección debe asegurar que la política de gestión del servicio:

9

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

a) Es apropiada a los propósitos del proveedor del servicio; b) Incluye un compromiso para cumplir los requisitos del servicio; c) Incluye un compromiso para mejorar de manera continua la efectividad del SMS y los servicios a través de la política en la mejora continua (Cláusula 4.5.5.1); d) Provee un marco de referencia para establecer y revisar los objetivos de gestión del servicio; e) Es comunicada y entendida por el personal del proveedor del servicio; f) Es revisado continuamente para su viabilidad. 4.1.3

Autoridad, responsabilidad y comunicación

La alta dirección debe asegurar que: a) Se definen y se mantienen las autoridades y responsabilidades de la gestión del servicio; b) Se establecen y se implementan los procedimientos documentados para la comunicación. 4.1.4

Representante de la dirección

La alta dirección debe designar un miembro de la administración del proveedor de servicio, quien, además de otras responsabilidades, tiene la autoridad y responsabilidades que incluyen: a) b) c) d)

Asegurar que se realizan actividades para identificar, documentar y cumplir los requisitos del servicio; Asignar autoridades y responsabilidades para asegurar el diseño de los procesos de gestión del servicio; Asegurar que los procesos de gestión del servicio estén integrados con los demás componentes del SMS; Asegurar que los activos, incluyendo licencias, usados para entregar servicios son gestionados de acuerdo con los requisitos estatutarios y regulatorios y las obligaciones contractuales; e) Reportar a la alta dirección sobre el desempeño y oportunidades de mejora del SMS y los servicios. 4.2

Gobierno de procesos operados por terceras partes

Para los procesos indicados en las cláusulas 5 a la 9, el proveedor de servicios deberá identificar todos los procesos, o parte de esos procesos, los cuales son operados por terceras partes. Otras terceras partes pueden ser grupos internos, clientes o proveedores. El proveedor de servicios debe demostrar el gobierno de los procesos operados por terceras partes: a) b) c) d)

Demostrar responsabilidad para los procesos y autoridad para requerir adherencia a los procesos; Controlar la definición de los procesos y las interfaces a otros procesos; Determinar el desempeño de los procesos y cumplimiento de los requisitos de los procesos; Controlar la planeación y priorización de la mejora de procesos.

Cuando un proveedor opera parte de procesos, el proveedor de servicios debe gestionar el proveedor a través del proceso de gestión de proveedores. Cuando un grupo interno o un cliente operan partes del proceso, el proveedor de servicios debe gestionar el grupo interno o el cliente a través del proceso de gestión de nivel de servicio. Nota: La norma ISO/IEC TR 20000-3 provee guías en la definición y aplicabilidad de esta norma. Esta incluye explicaciones adicionales sobre el gobierno de procesos operados por terceras partes. 4.3

Gestión de la documentación

4.3.1

Establecer y mantener documentos

El proveedor de servicio deberá establecer y mantener documentos, incluyendo los registros, para asegurar una efectiva planeación, operación y control del SMS. Estos documentos deben incluir: a) b) c) d) e)

10

Política y objetivos documentados para la gestión del servicio; Plan documentado de gestión de servicios; Políticas y planes documentados creados para procesos específicos según se requiere por esta norma; Catálogo de servicios documentado; SLA documentado;

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

f) Procesos documentados de gestión de servicios; g) Procedimientos documentados y registros requeridos por esta norma; h) Documentos adicionales, incluyendo aquellos de origen externo, determinados por el proveedor de servicios como necesarios para asegurar la operación efectiva del SMS y la entrega de los servicios. 4.3.2

Control de documentos

Los documentos requeridos por el SMS deben ser controlados. Los registros son un tipo especial de documentos y deben ser controlados de acuerdo con los requisitos dados en la cláusula 4.3.3. Debe ser establecido un procedimiento documentado, incluyendo autoridades y responsabilidades, para definir los controles necesarios para: a) b) c) d) e) f) g) h)

Crear y aprobador documentos antes de su emisión; Comunicar a las partes interesados los documentos nuevos o modificados; Revisar y mantener documentos, según sea necesario; Asegurar que se identifiquen los cambios y el control de versión de los documentos; Asegurar que las versiones relevantes de los documentos aplicables estén disponibles en los puntos de uso; Asegurar que los documentos sean fácilmente identificables y legibles; Asegurar que los documentos de origen externo sean identificados y su distribución sea controlada; Prevenir el uso no intencional de documentos obsoletos y aplicar la identificación apropiada su ellos son retenidos.

4.3.3

Control de registros

Se deben mantener registros para demostrar conformidad frente a los requisitos y la operación efectiva del SMS. Se debe establecer un procedimiento documentado para definir los controles necesarios para identificación, almacenamiento, protección, recuperación, retención y eliminación de registros. Los registros deben ser legibles, fácilmente identificables y recuperables. 4.4

Gestión de recursos

4.4.1

Provisión de recursos

El proveedor de servicios debe determinar y proveer los recursos humanos, técnicos, de información y financieros necesarios para: a) Establecer, implementar y mantener el SMS y los servicios, así como mejorar de manera continua su efectividad; b) Mejorar la satisfacción del cliente al entregar servicios que cumplen los requisitos de los servicios. 4.4.2

Recursos humanos

El personal del proveedor de servicios que realiza trabajos que pueda afectar la conformidad frente a los requisitos del servicio debe ser competente en términos de una apropiada educación, entrenamiento, destreza y experiencia. El proveedor del servicio deberá: a) b) c) d)

Determinar las competencias necesarias para el personal; Donde sea aplicable, proveer entrenamiento o tomar otras acciones para alcanzar las competencias necesarias; Evaluar la efectividad e las acciones tomadas; Asegurar que el personal sea consciente de como ellos contribuyen al logro de los objetivos de la gestión del servicio y el cumplimiento de los requisitos del servicio; e) Mantener registros apropiados de educación, entrenamiento, destrezas y experiencia. 4.5

Establecer y mejorar el SMS

4.5.1

Definición del alcance

El proveedor del servicio debe definir e incluir el alcance del SMS en el plan de gestión del servicio. El alcance debe ser definido por la unidad organizacional que provee los servicios, y los servicios a ser entregados. 11 ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

El proveedor del servicio también debe tener en cuenta otros factores que afecten los servicios a ser entregados, incluyendo: a) Localización geográfica desde las cuales el proveedor de servicios entrega los servicios; b) El cliente y su(s) sitio(s) de ubicación; c) La tecnología usada para entregar los servicios. Nota: la norma ISO/IEC TR 20000-3 provee una guía sobre la definición del alcance y la aplicabilidad de esta norma. 4.5.2

Planeación del SMS

El proveedor del servicio debe crear, implementar y mantener un plan de gestión del servicio. La planeación debe tener en cuenta la política de gestión del servicio, los requisitos del servicio y los requisitos de esta norma. El plan de gestión del servicio debe contener o incluir una referencia al menos a los siguientes elementos: a) b) c) d) e) f) g) h) i) j) k) l)

Los objetivos de gestión del servicio son alcanzados por el proveedor de servicios; Requisitos del servicio; Limitaciones conocidas las cuales puedan impactar al SMS; Políticas, estándares, requisitos estatutarios y regulatorios y las obligaciones contractuales: Marco de referencia de autoridades, responsabilidades y roles en los procesos; Autoridades y responsabilidades para los planes, procesos de gestión de servicios y servicios; Recursos humanos, técnicos, de información y financieros necesarios para alcanzar los objetivos de gestión de servicios; Enfoque a ser aplicado para trabajar con otras partes involucradas en el diseño y transición de procesos de servicios nuevos o modificados; Enfoque a ser aplicado para las interfaces ente los procesos de gestión de servicios y la integración con los otros componentes del SMS; Enfoque a ser aplicado para la gestión del riesgo y el criterio de aceptación de riesgos; Tecnología usada para soportar el SMS; Como la efectividad del SMS y de los servicios será medida, auditada, reportada y mejorada.

Los planes creados para procesos específicos deben alinearse con el plan de gestión de servicios. El plan de gestión de servicios y los planes creados para procesos específicos deben ser revisados a intervalos planeados y, de ser aplicable, actualizados. 4.5.3

Implementar y operar el SMS

El proveedor de servicios debe implementar y operar el SMS para el diseño, transición, entrega y mejora de los servicios de acuerdo con el plan de gestión de servicios, a través que actividades que incluyan como mínimo; a) b) c) d) e) f)

Asignación y gestión de recursos financieros y presupuestales; Asignación de autoridades, responsabilidades y roles en los procesos; Gestión de recursos humanos, técnicos y de información; Identificación, evaluación y gestión de riesgos en los servicios; Gestión de procesos de gestión de servicios; Monitoreo y reporte del desempeño de actividades de gestión de servicios.

4.5.4

Monitorear y revisar el SMS

4.5.4.1 General El proveedor de servicios deberá utilizar métodos adecuados para el monitoreo y medición del SMS y de los servicios. Estos métodos deben incluir auditorías internas y revisiones por parte de la dirección. Los objetivos de todas las auditorías internas y las revisiones por la dirección deben estar documentados. Las auditorías internas y las revisiones por la dirección deben demostrar la habilidad del SMS y de los servicios para alcanzar los objetivos de gestión del servicio y cumplir los requisitos de servicio. Se deben identificar las no conformidades frente a los requisitos de esta norma, los requisitos del SMS identificados por el proveedor del servicio o los requisitos del servicio. Los resultados de las auditorías internas y las revisiones por la dirección, incluyendo no conformidades, preocupaciones y acciones identificadas, deben ser registrados. Los resultados y acciones deben ser comunicada a las partes interesadas. 12 ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

4.5.4.2 Auditoria interna El proveedor de servicios debe realizar auditoría internas a intervalos planeados para determinar sobre el SMS y los servicios: a) Cumplimiento de los requisitos de esta norma; b) Cumplimiento de los requisitos del servicio y de los requisitos del SMS identificados por el proveedor del servicio; c) Están efectivamente implementados y mantenidos. Debe existir un procedimiento documentado que incluya las autoridades y responsabilidades para la planeación y realización de auditorías, el reporte de resultados y el mantenimiento de registros de auditorías. Debe planearse un programa de auditoría. Este debe tener en cuenta en el estado e importancia de los procesos y las áreas a ser auditadas así como los resultados de auditorías previas. El criterio de auditoría, alcance, frecuencia y métodos, deben estar documentados. La selección de auditores y la realización de auditorías deben asegurar la objetividad e imparcialidad de la auditoría. Los auditores no deben auditar su propio trabajo. Las no conformidades deben ser comunicadas, priorizadas y con responsabilidad asignada para las acciones. La administración responsable para el área siendo auditada debe asegurar que se toman correcciones y acciones correctivas - sin demora injustificada - para eliminar las no conformidades y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte de resultados. Nota: Ver ISO 19011 para obtener una guía en la auditoría de sistemas de gestión. 4.5.4.3 Revisión por la dirección La alta dirección debe revisar el SMS y los servicios a intervalos planeados para asegurar su pertinencia y efectividad. Esta revisión debe incluir la evaluación de oportunidades para la mejora y la necesidad de cambios en el SMS, incluyendo la política y objetivos para la gestión del servicio. La entrada para las revisiones por la dirección debe incluir al menos información sobre: a) b) c) d) e) f) g) h) i) j)

Retroalimentación del cliente; Desempeño y conformidad del servicio y procesos; Niveles de recursos - actuales y estimados - humanos, técnicos, de información y financieros; Niveles de capacidades - actuales y estimados - humanas y técnicas; Riesgos; Resultados y seguimientos de auditorías; Resultados y acciones de seguimiento de auditorías; Estado de acciones preventivas y correctivas; Cambios que puedan afectar el SMS y los servicios; Oportunidades para la mejora.

Se deben mantener registros de revisión por la dirección. Los registros de la revisión por parte de la dirección deben incluir al menos decisiones y acciones relacionadas con recursos, mejora de la efectividad del SMS y mejora de los servicios. 4.5.5

Mantener y mejorar el SMS

4.5.5.1 General Debe haber una política sobre mejora continua del SMS y los servicios. La política debe incluir criterios de evaluación para las oportunidades de mejora. Debe haber un procedimiento documentado que incluya las autoridades y responsabilidades para identificar, documentar, evaluar, aprobar, priorizar, gestionar, medir y reportar las mejoras.

13

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Deben estar documentadas las oportunidades de mejora, incluyendo las acciones correctivas y preventivas. Debe corregirse la causa de no conformidades identificadas. Se deben tomar acciones correctivas para eliminar la causa de no conformidades identificadas para prevenir su recurrencia. Las acciones preventivas deben ser tomadas para eliminar la causa de no conformidades potenciales para prevenir su ocurrencia. Para mayor información sobre acciones correctivas y preventivas, ver ISO 9001:2008, cláusula 8.5. 4.5.5.2 Gestión de la mejora Deben priorizarse las oportunidades para la mejora. El proveedor de servicios debe usar los criterios de evaluación establecidos en la política sobre mejora continua al tomar decisiones sobre oportunidades de mejora. Las mejoras aprobadas deben ser planeadas. El proveedor de servicios debe gestionar las actividades de mejora, las cuales deben incluir al menos: a) Establecer objetivos para mejoras en términos de calidad, valor, capacidad, costos, productividad, utilización de recursos y reducción de riesgos; b) Asegurar que las mejoras aprobadas sean implementadas; c) Revisión de las políticas, planes, procesos y procedimientos de la gestión del servicio, donde sea necesario; d) Medición de las mejoras implementadas frente a los objetivos establecidos, y en el evento de no alcanzar tales objetivos la realización de acciones necesarias; e) Reporte de mejoras implementadas. 5

DISEÑO Y TRANSICIÓN DE SERVICIOS NUEVOS O MODIFICADOS

5.1

General

El proveedor de servicios debe usar estos procesos para todos los nuevos servicios así como para las modificaciones a los servicios, que tengan un impacto importante al cliente. Las modificaciones que son realizadas en el alcance de la cláusula 5 deben ser determinadas por la política de gestión del cambio acordada como parte del proceso de gestión del cambio. La evaluación, aprobación, programación y revisión de servicios nuevos o modificados en el alcance de la cláusula 5 deben ser controladas por el proceso de gestión del cambio. Los CI afectados por servicios nuevos o modificados en el alcance de la cláusula 5 deben ser controlados por el proceso de gestión de la configuración. El proveedor del servicio debe revisar las salidas de las actividades de planeación y de diseño para servicios nuevos o modificados frene a los requisitos de servicios acordados y los requisitos relevantes dados en las cláusulas 5.2 y 5.3. Con base en la revisión, el proveedor de servicios debe aceptar o rechazar las salidas. El proveedor de servicios debe tomas las acciones necesarias para asegurar que el desarrollo y transición de servicios nuevos o modificados puedan ser realizados efectivamente, usando las salidas aceptadas. Nota: La necesidad de un nuevo servicio o la modificación de un servicio puede originarse en el cliente, el proveedor de servicios, un grupo interno o un proveedor, para satisfacer necesidades de negocios o para mejorar la efectividad de los servicios. 5.2

Planeación de servicios nuevos o modificados

El proveedor de servicios debe identificar los requisitos de servicios para los servicios nuevos o modificados. Los servicios nuevos o modificados deben ser planeados para cumplir los requisitos del servicio. La planeación de servicios nuevos o modificados debe ser acordada con el cliente y las partes interesadas.

14

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Como entrada a la planeación, el proveedor de servicios debe tener en cuenta el impacto potencial a nivel financiero, organizacional y técnico de la entrega de los servicios nuevos o modificados. El proveedor de servicios también debe tener en cuenta el impacto potencial de los servicios nuevos o modificados sobre el SMS. La planeación para servicios nuevos o modificados debe contener o incluir una referencia como mínimo a lo siguiente: a) Autoridades y responsabilidades para actividades de diseño, desarrollo y transición; b) Actividades a ser realizadas por el proveedor de servicios y otras partes incluyendo actividades a través de interfaces desde el proveedor de servicios a otras partes; c) Comunicación a partes interesadas; d) Recursos humanos, técnicos, de información y financieros; e) Escala de tiempo para actividades planeadas; f) Identificación, evaluación y gestión del riesgo; g) Dependencia en otros servicios; h) Pruebas requeridas para servicios nuevos o modificados; i) Criterios de aceptación del servicio; j) Salidas esperadas de la entrega de los servicios nuevos o modificados, expresadas en términos medibles. Para servicios que van a ser removidos, el proveedor de servicios debe planear la remoción de esos servicios. La planeación debe incluir la fecha de remoción, archivo, eliminación o transferencia de datos, documentación y componentes del servicio. Los componentes del servicio pueden incluir infraestructura y aplicaciones con sus licencias asociadas. El proveedor el servicio debe identificar otras terceras partes las cuales contribuyen a la provisión de componentes del servicio para servicios nuevos o modificados. El proveedor de servicio debe evaluar su capacidad para cumplir los requisitos de servicio. Los resultados de la evaluación y cualquier acción tomada deben ser registrados. 5.3

Diseño y desarrollo de servicios nuevos o modificados

Los servicios nuevos o modificados deben ser diseñados y documentados de forma que se incluya como mínimo: a) Autoridades y responsabilidades para la entrega de servicios nuevos o modificados; b) Actividades a ser realizadas por el proveedor de servicios, cliente y otras partes interesadas para la entrega de servicios nuevos o modificados; c) Nuevos o modificados requisitos de recursos humanos, incluyendo requisitos para educación, entrenamiento, destrezas y experiencia adecuados; d) Requisitos de recursos financieros para la entrega de servicios nuevos o modificados; e) Nueva o modificada base tecnológica para soportar la entrega de servicios nuevos o modificados; f) Planes y políticas nuevas o modificadas requeridas por esta norma; g) Contratos nuevos o modificados, así como otros acuerdos documentados, alineados con cambios en requisitos de servicio; h) Cambios al SMS; i) SLA nuevos o modificados; j) Actualización al catálogo de servicios; k) Procedimientos, mediciones e información a ser utilizada para la entrega de servicios nuevos o modificados; El proveedor de servicios debe asegurar que el diseño permite a los servicios nuevos o modificados el cumplir con los requisitos del servicio. Los servicios nuevos o modificados deben ser desarrollados de acuerdo con el diseño documentado. Nota: Para mayor información acerca de diseño, ver el proceso de diseño y desarrollo de la norma ISO 9001:2008, cláusula 7.3, o el proceso de diseño arquitectónico indicado en la norma ISO/IEC 15288:2008, cláusula 6.4.3. 5.4

Transición de servicios nuevos o modificados

Los servicios nuevos o modificados deben ser probados para verificar que ellos cumplen los requisitos del servicio y del diseño documentado. Los servicios nuevos o modificados deben ser verificados frente a los criterios acordados de aceptación del servicio tanto por el proveedor del servicio como por las partes interesadas. Si no se alcanzan los criterios de aceptación del servicio, el proveedor del servicio y las partes interesadas deben tomar decisiones sobre acciones necesarias y su despliegue. 15 ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

El proceso de gestión de liberación y despliegue debe ser usado para desplegar servicios nuevos o modificados en ambientes de producción. Una vez finalizadas las actividades de transición, el proveedor de servicios debe reportar a las partes interesada sobre los resultados alcanzados frente los resultados esperados. 6

PROCESO DE ENTREGA DE SERVICIOS

6.1

Gestión del nivel de servicio

El proveedor del servicio deberá acordar con el cliente los servicios a ser entregados. El proveedor del servicio deberá acordar con el cliente un catálogo de servicios. El catálogo de servicios debe incluir las dependencias entre servicios y componentes de los servicios. Para cada servicio entregado, debe acordar uno o más SLA con el cliente. Al crear un SLA, el proveedor del servicio debe tener en cuenta los requisitos del servicio. El SLA debe incluir los objetivos de servicio acordados, características de carga de trabajo y excepciones. El proveedor de servicios debe revisar los servicios y SLA con el cliente a intervalos planeados. Los cambios a los requisitos del servicio documentados, catálogos de servicios, SLA y otros acuerdos documentados deben ser controlados por el proceso de gestión de cambios. El catálogo de servicios debe ser mantenido después de realizar cambios a los servicios y SLA para asegurar que están alineados. El proveedor de servicios debe monitorear tendencias y desempeño frente a los objetivos de servicio a intervalos planeados. Los resultados deben ser registrados y revisados para identificar causas de no conformidades y oportunidades de mejora. Para los componentes de servicio suministrados por un grupo interno o el cliente, el proveedor del servicio debe desarrollar, acordar, revisar y mantener un acuerdo documentado para definir las actividades e interfaces entre las partes. EL proveedor del servicio debe monitorear el desempeño del grupo interno o el cliente frente a los objetivos de servicio acordados y otros compromisos acordados, a intervalos planeados. Los resultados deben ser registrados y revisados para identificar las causas de no conformidades y oportunidades para la mejora. 6.2

Reporte de servicios

La descripción de cada reporte de servicios, incluyendo su identificación, propósito, audiencia, frecuencia y detalles de la fuente de datos, debe estar documentada y acordada por el proveedor del servicio y las partes interesadas. El reporte de servicio debe ser producido para servicios usando información de la entrega de servicios y las actividades del SMS, incluyendo los procesos de gestión del servicio. Los reportes de servicios deben incluir al menos: a) Desempeño frente a los objetivos del servicio; b) Información relevante sobre eventos significativos incluyendo al menos incidentes principales, despliegue de servicios nuevos o modificados y el plan de continuidad del servicio invocado; c) Características de carga de trabajo incluyendo volúmenes y cambios periódicos en la carga de trabajo; d) No conformidades detectadas frente a los requisitos de esta norma, los requisitos del SMS o los requisitos del servicio, y sus causas identificadas; e) Información de tendencias; f) Medición de satisfacción del cliente, quejas del servicio y resultados del análisis de medición de satisfacción y quejas. El proveedor del servicio debe tomar decisiones y realizar acciones con base en los hallazgos de los reportes de servicio, Las acciones acordadas deben ser comunicadas a las partes interesadas.

16

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

6.3

Gestión de la continuidad y disponibilidad del servicio

6.3.1

Requisitos de la continuidad y disponibilidad del servicio

El proveedor de servicios debe evaluar y documentar los riesgos a la continuidad y disponibilidad de los servicios. El proveedor de servicios debe identificar y acordar con el cliente y otras partes interesadas los requisitos de continuidad y disponibilidad de los servicios. Los requisitos acordados deben tener en cuenta los planes de negocios aplicables, los requisitos de servicio, los SLA y los riesgos. Los requisitos acordados de continuidad y disponibilidad del servicio deben incluir como mínimo: a) Derechos de acceso a los servicios; b) Tiempo de respuesta de los servicios; c) Disponibilidad de los servicios de extremo a extremo. 6.3.2

Planes de la continuidad y disponibilidad del servicio

El proveedor del servicio debe crear, implementar y mantener un plan de continuidad del servicio y un plan de disponibilidad del servicio. Los cambios a estos planes deben ser controlados por el proceso de gestión del cambio. El plan de continuidad del servicio debe incluir como mínimo: a) b) c) d)

Procedimientos a ser implementados en el evento de una pérdida mayor del servicio, o referencia a ellas; Objetivos de disponibilidad al invocar el plan de disponibilidad del servicio; Requisitos de recuperación; Enfoque para el retorno a las condiciones normales de trabajo.

El plan de continuidad del servicio, la lista de contactos y el CMDB deben permanecer accesibles cuando no se permite el acceso a las instalaciones normales de prestación del servicio. El plan de disponibilidad del servicio deben incluir como mínimo los requisitos y objetivos de disponibilidad del servicio. El proveedor del servicio debe evaluar el impacto de solicitudes de cambio en los planes de continuidad del servicio y los planes de disponibilidad del servicio. Nota: Los planes de continuidad del servicio y los planes de disponibilidad del servicio pueden ser combinados en un mismo documento. 6.3.2

Monitoreo y pruebas de la continuidad y disponibilidad del servicio

La disponibilidad de servicios debe ser monitoreada y los resultados registrados y comparados frente a los objetivos acordados. La no disponibilidad no acordada debe ser investigada y tomar las acciones necesarias. Los planes de continuidad del servicio deben ser probados frente a los requisitos de continuidad del servicio. Los planes de disponibilidad del servicio deben ser probados frente a los requisitos de disponibilidad del servicio. Los planes de continuidad y de disponibilidad del servicio deben ser vueltos a probar luego de la realización de cambios mayores al ambiente de servicios en el cual opera el proveedor del servicio. Los resultados de las pruebas deben ser registrados. Las revisiones deben ser realizadas después de cada prueba y después de la invocación del plan de continuidad del servicio. Cuando se encuentran deficiencias, el proveedor del servicio debe tomar las acciones necesarias y reportar las acciones tomadas. 6.4

Presupuesto y contabilidad de servicios

Debe haber una interfaz definida entre el presupuesto y contabilidad para procesos de servicios y otros procesos de gestión financiera.

17

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Deben existir políticas y procedimientos documentados para: a) Presupuesto y contabilidad de los componentes de servicios, incluyendo como mínimo: 1) Activos – incluyendo licencias – utilizadas para proveer los servicios, 2) Recursos compartidos, 3) Gastos generales, 4) Costos de capital y operacionales, 5) Servicios suministrados de forma externa, 6) Personal, 7) Instalaciones; b) Prorrateo de costos indirectos y localización de costos directos a los servicios, para proveer un costo general por servicio; c) Control y aprobación financiera efectiva. Los costos deben presupuestarse para permitir el control financiero efectivo y la toma de decisiones para la entrega de servicios. El proveedor de servicios debe monitorear y reportar los costos frente al presupuesto, revisar las estimaciones financieras y gestionar los costos. Se debe proveer información al proceso de gestión del cambio para soportar los costos de solicitudes de cambio. Nota: Muchos proveedores de servicios cobran por sus servicios. El alcance del presupuesto y contabilidad de los servicios excluye tales cargos. 6.5

Gestión de la capacidad

Los proveedores de servicios deben identificar y acordar los requisitos de capacidad y desempeño con clientes y partes interesadas. Los proveedores de servicios deben crear, implementar y mantener un plan de capacidad teniendo en cuenta los recursos humanos, técnicos, de información y financieros. Los cambios al plan de capacidad deben ser controlados por el proceso de gestión de cambios. El plan de capacidad debe incluir al menos: a) b) c) d) e) f)

Demanda actual y pronosticada de servicios; Impacto esperado de requisitos acordados de disponibilidad, continuidad del servicio y niveles de servicio; Escalas de tiempo, tolerancias y costos de actualización a la capacidad del servicio; Impacto potencial de cambios estatutarios, regulatorios, contractuales u organizacionales; Impacto potencial de nuevas tecnologías y nuevas técnicas; Procedimientos para permitir análisis predictivos o referencias a ellos.

El proveedor del servicio debe monitorear el uso de la capacidad, analizar los datos de capacidad y afinar el desempeño. El proveedor del servicio debe proveer suficiente capacidad para cumplir los requisitos acordados de capacidad y desempeño. 6.6

Gestión de seguridad de la información

6.6.1

Política de seguridad de la información

La dirección, con la autoridad apropiada, debe aprobar una política de seguridad de la información teniendo en cuenta los requisitos del servicio, los requisitos estatutarios y regulatorios, y obligaciones contractuales. La administración debe: a) Comunicar la política de seguridad de la información y la importancia de cumplir dicha política, al personal apropiado dentro del proveedor de servicios, clientes y proveedores; b) Asegurar que se establecen los objetivos de gestión de seguridad de la información; c) Definir el enfoque para la gestión de los riesgos de seguridad de la información y los criterios de aceptación del riesgo; d) Asegurar que se realiza la evaluación del riesgo de seguridad de la información a intervalos planeados; e) Asegurar que se realizan auditorías internas de seguridad de la información; f) Asegurar que se revisa los resultados de las auditorías para identificar oportunidades de mejora. 18 ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

6.6.2

Controles de seguridad de la información

El proveedor de servicios debe implementar y operar controles físicos, administrativos y técnicos de seguridad de la información para: a) b) c) d)

Preservar la confidencialidad, integridad y accesibilidad de los activos de información; Cumplir los requisitos de la política de seguridad de la información; Lograr los objetivos de gestión de seguridad de la información; Gestionar los riesgos relacionados a la seguridad de la información.

Estos controles de seguridad de la información deben ser documentados y deben describir los riesgos a los cuales se relacionan los controles, su operación y mantenimiento. El proveedor de servicios debe revisar la efectividad de los controles de seguridad de la información. El proveedor de servicios debe tomar las acciones necesarias y reportar las acciones tomadas. El proveedor de servicios debe identificar las organizaciones externas que tienen necesidad de acceder a, usar o gestionar la información o servicios del proveedor de servicios. El proveedor de servicios debe documentar, acordar e implementar los controles de seguridad de información con esas organizaciones externas. 6.6.3

Cambios e incidentes en seguridad de la información

Las solicitudes para cambios deben ser evaluadas para identificar: a) Riesgos de seguridad de la información, nuevos o modificados; b) Impacto potencial en la política y controles existentes en seguridad de la información. Los incidentes de seguridad de la información deben ser gestionados usando procedimientos de gestión de incidentes, con una prioridad apropiada a los riesgos de seguridad de la información. El proveedor de servicios debe analizar los tipos, volúmenes e impactos de los incidentes de seguridad de la información. Los incidentes de seguridad de la información deben ser reportados y revisados para identificar oportunidades para la mejora. Nota: La familia de estándares ISO/IEC 27000 especifican requisitos y proveen guías para soportar la implementación y operación de un sistema de gestión de seguridad de la información. 7

PROCESOS DE RELACIONES

7.1

Gestión de procesos de relaciones

El proveedor de servicios debe identificar y documentar los clientes, usuarios y demás partes interesadas de los procesos. Para cada cliente, el proveedor de servicios debe haber designado un individuo quien es responsable por gestionar las relaciones con el cliente y la satisfacción del cliente. El proveedor de servicios debe establecer un mecanismo de comunicación con el cliente. El mecanismo de solución debe promover el entendimiento del ambiente de negocios en el cual opera el servicio y los requisitos para servicios nuevos o modificados. Esta información debe permitir al proveedor de servicios responder a esos requisitos. El proveedor de servicios debe revisar con el cliente el desempeño de los servicios a intervalos planeados. Los cambios a los requisitos documentados del servicio deben ser controlados por el proceso de gestión del cambio. Los cambios al SLA deben ser coordinados con el proceso de gestión de nivel de servicio. La definición de una queja de servicio debe ser acordada con el cliente. Debe haber un procedimiento documentado para gestionar las quejas del servicio del cliente. El proveedor de servicio debe registrar, investigar, actuar con base en lo anterior, reportar y cerrar las quejas de servicio. De no resolverse una queja de servicio usando los canales normales, debe proveerse al cliente un mecanismo para escalar dicha queja.

19

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

El proveedor de servicio debe medir la satisfacción del cliente a intervalos planeados con base en una muestra representativa de los clientes y usuarios de los servicios. Los resultados deben analizarse y revisarse para identificar oportunidades de mejora. 7.2

Gestión de proveedores

El proveedor de servicio puede usar proveedores para implementar y operar algunas partes del proceso de gestión de servicio. Un ejemplo de relaciones en la cadena de suministro se ilustra en la figura 3. Proveedor 1

Proveedor 2 Proveedor subcontratado

Proveedor de servicios

Cliente

Proveedor líder

Figura 3 – Relaciones en la cadena de suministro Para cada proveedor, el proveedor de servicios debe haber designado un individuo quien es responsable por gestionar dicha relación, el contrato y el desempeño del proveedor. El proveedor de servicios y el proveedor deben acordar un contrato documentado. Este debe contener o incluir referencia a: a) b) c) d) e) f) g) h) i) j) k) l)

Alcance de los servicios a ser entregados por el proveedor; Dependencias entre servicios, proveedores y las partes; Requisitos a ser cumplidos por el proveedor; Objetivos de servicio; Interfaces entre procesos de gestión del servicio operados por el proveedor y otras partes; Integración de las actividades del proveedor dentro del SMS; Características de la carga de trabajo; Excepciones del contrato y cómo estás serán manejadas; Autoridades y responsabilidades del proveedor de servicios y el proveedor; Reportes y comunicaciones a ser suministrado por el proveedor; Bases para el cobro; Actividades y responsabilidades para la terminación esperada o anticipada del contrato y la transferencia de servicios hacia una tercera parte.

El proveedor de servicios debe acordar con el proveedor del servicio niveles para soportar y alinearse con el SLA suscrito entre el proveedor del servicio y el cliente. El proveedor del servicio debe asegurar que los roles, y las relaciones entre, proveedores líderes y subcontratistas, estén documentadas. El proveedor de servicios debe verificar que los proveedores líderes manejen sus proveedores subcontratados para cumplir las obligaciones contractuales. El proveedor de servicios debe monitorear el desempeño del proveedor a intervalos planeados. El desempeño debe ser medido frente a los objetivos de servicio y otras obligaciones contractuales. Los resultados deben ser registrados y revisados para identificar las causad de no conformidades y oportunidades de mejora. La revisión debe también asegurar que los contratos reflejan los requisitos actuales. Los cambios a los contratos deben ser controlados por el proceso de gestión del cambio. Debe haber un procedimiento documentado para gestionar las disputas contractuales que surjan entre el proveedor de servicios y el proveedor. Nota 1: El alcance del proceso de gestión de proveedores excluye la selección de proveedores y la adquisición de servicios. Nota 2: La norma ISO/IEC TR 20000-3 muestra ejemplos adicionales de relaciones de la cadena de suministro. 20 ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

8

PROCESOS DE SOLUCIÓN

8.1

Gestión de incidentes y solicitud de servicios

Debe haber un procedimiento documentado para todos los incidentes para definir: a) b) c) d) e) f) g)

Registro; Asignación de prioridad; Clasificación; Actualización de registros; Escalado de incidentes; Solución de incidentes; Cierre.

Debe haber un procedimiento documentado para gestionar el desarrollo de las solicitudes de servicios desde el registro hasta su cierre. Los incidentes y solicitudes de servicios deben ser gestionados según los procedimientos. Al priorizar incidentes y solicitudes de servicios, el proveedor de servicios debe tener en cuenta el impacto y la urgencia del incidente o de la solicitud de servicio. El proveedor de servicios debe asegurar que el personal involucrado en el proceso de gestión de incidentes y solicitudes de servicio pueda acceder y utilizar la información relevante. La información relevante debe incluir los procedimientos de gestión de solicitud de servicios, errores conocidos, solución de problemas y el CMDB. La información acerca del éxito o falla de liberación de servicios y futuras fechas de liberación, de los procesos de gestión de liberación y despliegue de servicios, debe usarse por el proceso de gestión de incidentes y solicitud de servicios. El proveedor de servicios debe mantener informado al cliente sobre el progreso del incidente reportado o solicitud de servicio. Si los objetivos de servicio no pueden ser alcanzados, el proveedor de servicios debe informar al cliente y otras partes interesadas y escalar según el procedimiento. El proveedor de servicios debe documentar y acordar con el cliente la definición de incidente mayor. Los incidentes mayores deben ser clasificados y gestionados de acuerdo a un procedimiento documentado. La alta dirección debe ser informada de los incidentes mayores. La alta dirección debe asegurar que se designe un individuo responsable para gestionar los incidentes mayores. Después que el servicio acordado ha sido restaurado, los incidentes mayores deben ser revisados para identificar oportunidades de mejora. 8.2

Gestión de problemas

Debe haber un procedimiento documentado para identificar problemas y minimizar o evitar el impacto de incidentes o problemas. El procedimiento para gestión de problemas debe definir: a) b) c) d) e) f) g) h)

Identificación; Registro; Priorización; Clasificación; Actualización de registros; Escalado; Solución; Cierre.

Los problemas deben ser gestionados de acuerdo con el procedimiento. El proveedor del servicio debe analizar datos y tendencias en los incidentes y problemas para identificar las causas raíz y su acción preventiva potencial. Los problemas que requieran cambios a un CI deben ser resueltos al elevan una solicitud de cambio.

21

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Una vez la causa raíz ha sido identificado, pero el problema aún no ha sido permanente resuelto, el proveedor del servicio debe identificar acciones para reducir o eliminar el impacto del problema en los servicios. Los problemas conocidos deben registrarse. La efectividad de solución de problemas debe ser monitoreada, revisada y reportada. Debe proveerse información actualizada sobre errores conocidos y solución de problemas para su uso en el proceso de gestión de incidentes y solicitud de servicios. 9

PROCESOS DE CONTROL

9.1.

Gestión de la configuración

Debe existir una definición documentada de cada tipo de CI. La información registrada para cada CI debe asegurar un control efectivo e incluir como mínimo: a) b) c) d) e) f) g) h)

Descripción del CI; Relaciones entre el CI y otros CI; Relaciones entre el CI y los componentes del servicio; Estado; Versión; Localización; Solicitudes asociadas para cambio; Problemas y errores conocidos asociados.

Los CI deben ser identificados de forma individual y registrados en un CMDB. El CMDB debe ser gestionado para asegurar su confiabilidad y precisión, incluyendo el control de acceso actualizado. Debe haber un procedimiento documentado para registrar, controlar y rastreo de versiones de la CI. El grado de control debe mantener la integridad de los servicios y los componentes del servicio teniendo en consideración los requisitos del servicio y los riesgos asociados con el CI. El proveedor de servicio debe auditar los registros almacenados en el CMDB, a intervalos planeados. Cuando se encuentren deficiencias, el proveedor de servicios debe tomar las acciones necesarias y reportar las acciones tomadas. Se debe proveer información del CMDB al proceso de gestión de cambios para soportar la evaluación de solicitudes de cambio. Los cambios al CMDB deben ser rastreables y auditables para asegurar la integridad de los CI y los datos en el CMDB. Se debe tomar una línea base de configuración de los CI afectados antes de desplegar un servicio en un ambiente de producción. Las copias maestras de los CI registrados en el CMDB deben ser almacenados en librerías físicas o electrónicas referenciadas por los registros de configuración. Esto debe incluir al menos documentación, información de licencias, software, y donde esté disponible, imágenes de la configuración del hardware. Debe haber una interface definida entre el proceso de gestión de configuración y el proceso de gestión financiera de activos. Nota: El alcance del proceso de gestión de la configuración excluye la gestión financiera de activos. 9.2

Gestión del cambio

Se debe establecer una política de gestión del cambio que defina: a) Los CI que están bajo control de la gestión de cambios; b) Criterios para determinar cambios con potencial de gran impacto en los servicios o el cliente. La remoción de un servicio debe ser clasificado como un cambio a un servicio con el potencial de gran impacto.

22

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

La transferencia de un servicio desde el proveedor del servicio al cliente o una tercera parte debe ser clasificado como un cambio a un servicio con el potencial de gran impacto. Debe haber un procedimiento documentado para registrar, clasificar, evaluar y aprobar solicitudes para cambio. El proveedor de servicio debe documentar y acordar con el cliente la definición de un cambio de emergencia. Debe haber un procedimiento documentado para gestionar los cambios de emergencia. Todos los cambios a un servicio o a un componente de servicios deben ser realizados utilizando una solicitud de cambios. Las solicitudes para cambios deben tener un alcance definido. Todas las solicitudes de cambios deben ser registradas y clasificadas. Las solicitudes para cambios clasificadas con potencial para producir un impacto importante en los servicios o los clientes deben ser gestionados utilizando el proceso de diseño y transición de servicios nuevos o modificados. Las demás solicitudes de cambios a los CI definidas en la política de gestión de cambios deben ser gestionadas utilizando el proceso de gestión del cambio. Las solicitudes para cambio deben ser evaluadas utilizando información del proceso de gestión de cambio y otros procesos. El proveedor de servicios y las partes interesadas deben tomar decisiones sobre la aceptación de solicitudes de cambio. La toma de decisiones debe tener en cuenta los riesgos, los impactos potenciales a los servicios y al cliente, requisitos de servicios, beneficios de negocios, viabilidad técnica y el impacto financiero. Los cambios aprobados deben ser desarrollados y probados. Debe establecerse, y comunicarse a las partes interesadas, un programa de cambios el cual debe contener detalles de los cambios aprobados y sus fechas propuestas de despliegue. El programa de cambio deberá ser usado como base para planear el despliegue de servicios. Deben planearse, y donde sea posible probarse, las actividades requeridas para reversar o remediar un cambio no exitosa. El cambio debe ser reversado o remediado si no es exitoso. Los cambios no exitosos deben ser investigados y se deben tomar acciones acordadas. Los registros del CMDB deben ser actualizados con el despliegue exitoso de cambios. El proveedor de servicios debe revisar la efectividad de los cambios y tomar las acciones acordadas con las partes interesadas. Las solicitudes de cambio deben ser analizadas a intervalos planeados para detectar tendencias. Los resultados y conclusiones resultantes del análisis deben ser registrados y revisados para identificar oportunidades de mejora. 9.3

Gestión de publicaciones y despliegue

El proveedor de servicios debe establecer y acordar con el cliente una política de liberación que indique la frecuencia y tipo de publicaciones del servicio. El proveedor del servicio debe planear con el cliente y otras partes interesadas el despliegue de servicios nuevos o modificados y los componentes del servicios en el ambiente de producción, Debe coordinarse la planeación con el proceso de gestión de cambios e incluir referencias a las solicitudes de cambio relacionadas, errores conocidos y problemas que están siendo cerrados con dicha publicación. La planeación debe incluir las fechas para desplegar dicha publicación, los entregables y métodos para el despliegue. El proveedor de servicios debe documentar y acordar con los clientes la definición de una publicación de emergencia. Las publicaciones de emergencia deben ser gestionadas de acuerdo a un procedimiento documentado que realiza la interfaz al procedimiento de cambio por emergencias.

23

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general

DFSD

Las publicaciones deben ser construidas y probadas antes de su despliegue. Un ambiente controlado de aceptación de pruebas debe ser usado para construir y probar tales publicaciones. Los criterios de aceptación de la publicación deben ser acordados con los clientes y otras partes interesadas. La publicación debe ser verificada - frente a los criterios de aceptación acordados y aprobados - antes de su despliegue. Si no se logran los criterios de aceptación, el proveedor de servicios debe decidir sobre las acciones necesarias y el despliegue con las partes interesadas. La publicación debe ser desplegada en el ambiente de producción de tal forma que se mantenga la integridad del hardware, software y otros componentes del servicio durante el despliegue de la publicación. Deben planearse las actividades requeridas para reversar o remediar un despliegue no exitoso, y donde sea posible probarse. El despliegue de la publicación debe ser reversado o remediado de ser no exitoso. Las publicaciones no exitosas deben ser investigadas y tomar acciones acordadas. El éxito o falla de publicaciones debe ser monitoreado y analizado. Las mediciones deben incluir incidentes relacionados a una publicación en el período posterior al despliegue de dicha publicación. El análisis debe incluir la evaluación del impacto de la publicación sobre el cliente. Los resultados y conclusiones obtenidas del análisis deben ser registrados y revisados para identificar oportunidades de mejora. Debe proporcionarse información sobre el éxito o falla de publicaciones y publicaciones futuras, al proceso de gestión de cambios y al proceso de gestión de incidentes y solicitud de servicios. Debe proveerse información al proceso de gestión del cambio para soportar la evaluación del impacto de solicitudes de cambio en las publicaciones y los planes de despliegue. BIBLIOGRAFIA [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20]

24

ISO/IEC 20000-2:2005, Information technology — Service management — Part 2: Code of practice ISO/IEC TR 20000-3, Information technology — Service management — Part 3: Guidance on scope definition and applicability for ISO/IEC 20000-1 ISO/IEC TR 20000-4, Information technology — Service management — Part 4: Process reference model ISO/IEC TR 20000-5, Information technology — Service management — Part 5: Exemplar implementation plan for ISO/IEC 20000-1 ISO 9000:2005, Quality management systems — Fundamentals and vocabulary ISO 9001, Quality management systems — Requirements ISO 9004:2000, Quality management systems — Guidelines for performance improvements ISO 10002, Quality management — Customer satisfaction — Guidelines for complaints handling in organizations ISO 10007, Quality management systems — Guidelines for configuration management ISO/IEC 15288, Systems and software engineering — System life cycle processes ISO/IEC 15504-1, Information technology — Process assessment — Part 1: Concepts and vocabulary ISO/IEC 15504-2, Information technology — Process assessment — Part 2: Performing an assessment ISO/IEC 15504-3, Information technology — Process assessment — Part 3: Guidance on performing an assessment ISO 19011, Guidelines for quality and/or environmental management systems auditing ISO/IEC 19770-1, Information technology — Software asset management — Part 1: Processes ISO/IEC/IEEE 24765:2010, Systems and software engineering — Vocabulary ISO/IEC 27000:2009, Information technology — Security techniques — Information security management systems — Overview and vocabulary ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements ISO/IEC 27005, Information technology — Security techniques — Information security risk management ISO 31000, Risk management — Principles and guidelines

ISO 20000-1:2011 Traducción no oficial de uso académico Autor: Ing. Juan Carlos Angarita C., M.E. ([email protected]) Prohibida su copia o reproducción (total o parcial) no autorizada o su alteración en general