Un servicio TI es un medio de entregar valor a los clientes facilitándoles resultados que desean obtener sin que tengan que asumir la propiedad de ciertos costes y riesgos específicos.
Elementos de un servicio TI:
- Valor percibido = Utilidad (el servicio hace lo que el cliente necesita) + Garantía (el servicio está disponible cuando se necesita, con la capacidad, continuidad y seguridad requeridas).
| Problema sin marcos | Consecuencia |
|---|---|
| Procesos TI no documentados | Dependencia de personas clave; inconsistencia |
| Sin gestión de niveles de servicio | Sin compromisos formales con los usuarios |
| Sin gestión de cambios | Incidentes causados por cambios no controlados |
| Sin gestión de activos de software | Riesgo de auditoría de licencias, costes ocultos |
| Sin métricas de servicio | Imposibilidad de demostrar el valor de la TI |
Los marcos de gestión de servicios TI (ITSM) aportan:
- Vocabulario común entre TI y el negocio.
- Procesos documentados y repetibles.
- Base para la mejora continua.
- Referencia para certificaciones y auditorías.
ITIL (Information Technology Infrastructure Library) es el marco de buenas prácticas más extendido mundialmente para la gestión de servicios TI. Fue desarrollado por la OGC (Office of Government Commerce) del gobierno británico en los años 80 y actualmente es gestionado por Axelos.
ITIL es una biblioteca de buenas prácticas, no una norma prescriptiva. Dice qué hacer, no cómo hacerlo.
| Versión | Año | Características principales |
|---|---|---|
| ITIL v1 | 1989 | 31 libros; enfoque en operaciones |
| ITIL v2 | 2000-2004 | Consolidado en 9 libros; soporte y entrega |
| ITIL v3 | 2007 (rev. 2011) | Ciclo de vida del servicio; 5 libros |
| ITIL 4 | 2019 | Sistema de Valor del Servicio (SVS); prácticas en vez de procesos |
En muchas oposiciones y entornos públicos se sigue exigiendo ITIL v3, que es el que se desarrolla en este tema.
ITIL v3 organiza la gestión de servicios en torno al ciclo de vida del servicio, compuesto por cinco fases:
┌─────────────────────────────┐
│ ESTRATEGIA DEL SERVICIO │ (Define el rumbo)
└──────────────┬──────────────┘
│
┌──────────────▼──────────────┐
│ DISEÑO DEL SERVICIO │ (Planifica y diseña)
└──────────────┬──────────────┘
│
┌──────────────▼──────────────┐
│ TRANSICIÓN DEL SERVICIO │ (Construye y despliega)
└──────────────┬──────────────┘
│
┌──────────────▼──────────────┐
│ OPERACIÓN DEL SERVICIO │ (Opera y soporta)
└──────────────┬──────────────┘
│
┌──────────────▼──────────────┐
│ MEJORA CONTINUA DEL SERV. │ (Evalúa y mejora — ciclo)
└─────────────────────────────┘
Objetivo: Definir qué servicios ofrecer y a quién, y cómo hacerlo de forma que se genere valor.
| Proceso | Descripción |
|---|---|
| Gestión de la estrategia | Define la perspectiva, posición, planes y patrones de la estrategia TI |
| Gestión del portafolio de servicios | Catálogo de servicios activos, en desarrollo y retirados |
| Gestión de la demanda | Comprende y anticipa la demanda de servicios por los clientes |
| Gestión financiera de servicios TI | Presupuestación, contabilidad y cobro de servicios TI |
| Gestión de las relaciones con el negocio | Relación estratégica entre TI y las unidades de negocio |
Conceptos clave de esta fase:
| Concepto | Descripción |
|---|---|
| Catálogo de servicios | Lista de todos los servicios disponibles para los clientes. Subconjunto activo del portafolio. |
| Portafolio de servicios | Todos los servicios gestionados por el proveedor: activos, en desarrollo y retirados |
| Valor neto del servicio | Valor generado menos los costes y riesgos asumidos por el cliente |
Objetivo: Diseñar servicios nuevos o modificados con la calidad, fiabilidad y seguridad requeridas, listos para su transición a producción.
| Proceso | Descripción |
|---|---|
| Gestión del catálogo de servicios | Mantiene actualizada la información de todos los servicios activos |
| Gestión de niveles de servicio (SLM) | Define, negocia, documenta y gestiona los SLA |
| Gestión de la disponibilidad | Garantiza que los servicios estén disponibles según los SLA |
| Gestión de la capacidad | Asegura que la capacidad de la infraestructura satisface la demanda presente y futura |
| Gestión de la continuidad | Planes de recuperación ante desastres (ITSCM) |
| Gestión de la seguridad | Política de seguridad, control de accesos, gestión de riesgos |
| Gestión de proveedores | Gestión de contratos y relaciones con proveedores externos |
| Gestión de arquitectura | Estándares y diseños tecnológicos |
Conceptos clave:
| Concepto | Descripción |
|---|---|
| SLA (Service Level Agreement) | Acuerdo de nivel de servicio entre el proveedor TI y el cliente |
| OLA (Operational Level Agreement) | Acuerdo interno entre áreas del CSI para cumplir el SLA |
| UC (Underpinning Contract) | Contrato con proveedor externo que soporta los niveles de servicio |
| SPOF (Single Point of Failure) | Componente cuyo fallo provoca interrupción total del servicio |
| RTO (Recovery Time Objective) | Tiempo máximo tolerable de interrupción de un servicio |
| RPO (Recovery Point Objective) | Punto máximo de pérdida de datos tolerable |
Objetivo: Construir, probar y desplegar servicios nuevos o modificados en el entorno de producción de forma controlada.
| Proceso | Descripción |
|---|---|
| Gestión de cambios | Controla todos los cambios en la infraestructura y servicios para minimizar riesgos |
| Gestión de la configuración y activos (SACM) | Mantiene el CMDB (base de datos de gestión de configuración) |
| Gestión de releases y despliegues | Planifica y ejecuta el despliegue de nuevas versiones de servicios |
| Planificación y soporte a la transición | Coordinación del proceso de transición |
| Validación y pruebas del servicio | Verifica que el servicio cumple los requisitos antes de producción |
| Evaluación del cambio | Valoración formal del impacto de cambios significativos |
| Gestión del conocimiento | SKMS (Service Knowledge Management System); base de conocimiento TI |
El proceso de Gestión de Cambios clasifica los cambios en:
| Tipo de cambio | Descripción | Aprobación |
|---|---|---|
| Cambio estándar | Preautorizado, bajo riesgo, procedimiento documentado | Sin CAB; preautorizado |
| Cambio normal | Requiere evaluación y aprobación formal | CAB (Change Advisory Board) |
| Cambio de emergencia | Urgente; requiere aprobación rápida | ECAB (Emergency CAB) |
El CMDB (Configuration Management Database) es el repositorio central que almacena información sobre los CIs (Configuration Items): todos los componentes de infraestructura y software gestionados.
Objetivo: Entregar y gestionar los servicios TI de forma eficiente y eficaz en el día a día, manteniendo los niveles de servicio acordados.
| Proceso | Descripción |
|---|---|
| Gestión de eventos | Monitorización de la infraestructura; detección y clasificación de eventos |
| Gestión de incidencias | Restaurar el servicio normal lo antes posible minimizando el impacto |
| Gestión de peticiones | Gestión del ciclo de vida de peticiones de servicio de los usuarios |
| Gestión de problemas | Identificar y eliminar causas raíz de incidencias recurrentes |
| Gestión de accesos | Gestión de derechos y credenciales de acceso a servicios |
Conceptos clave de operación:
| Concepto | Descripción |
|---|---|
| Incidencia | Cualquier interrupción no planificada o reducción de la calidad de un servicio |
| Problema | Causa desconocida de una o varias incidencias |
| Error conocido | Problema con causa raíz identificada; puede tener workaround documentado |
| Workaround | Solución temporal que reduce el impacto de una incidencia/problema |
| Service Desk | Función (no proceso) que actúa como SPOC (Single Point of Contact) para los usuarios |
Tipos de Service Desk:
| Tipo | Descripción |
|---|---|
| Local | Físicamente en el mismo lugar que los usuarios |
| Centralizado | Un único punto de contacto para toda la organización |
| Virtual | Distribuido geográficamente pero operando como uno |
| Horario 24×7 | Sigue el sol: rotación entre sedes en distintos husos horarios |
Escalado de incidencias:
USUARIO
↓
NIVEL 1 (Service Desk): Resolución inmediata, FAQs, reset de contraseñas
↓ (si no resuelve en SLA)
NIVEL 2 (Soporte especializado): Técnicos de área, análisis técnico
↓ (si no resuelve)
NIVEL 3 (Fabricante / Experto externo): Soporte del proveedor
Objetivo: Identificar oportunidades de mejora en la eficiencia, eficacia y rentabilidad de los servicios y procesos TI, aplicando el ciclo de Deming (PDCA).
El modelo de mejora de ITIL v3 se basa en 7 pasos:
1. Definir qué se debería medir
2. Definir qué se puede medir
3. Recopilar los datos
4. Procesar los datos
5. Analizar la información
6. Presentar y usar la información
7. Implementar las acciones de mejora
Herramientas de mejora continua:
| Herramienta | Descripción |
|---|---|
| Ciclo PDCA (Deming) | Plan → Do → Check → Act |
| Análisis GAP | Diferencia entre la situación actual y la deseada |
| Benchmarking | Comparación con otras organizaciones similares |
| Revisión del servicio | Reuniones periódicas de revisión de SLAs con el cliente |
ISO/IEC 20000 es el estándar internacional de la gestión de servicios TI. Es la versión normativa de ITIL: si ITIL son buenas prácticas, ISO 20000 es el estándar certificable basado en ellas.
La norma sigue la estructura de alto nivel (HLS) común a todas las normas ISO de sistemas de gestión:
| Cláusula | Título | Contenido |
|---|---|---|
| 4 | Contexto de la organización | Partes interesadas, alcance del SMS |
| 5 | Liderazgo | Compromiso de la dirección, política, roles y responsabilidades |
| 6 | Planificación | Gestión de riesgos y oportunidades, objetivos del SMS |
| 7 | Soporte | Recursos, competencias, comunicación, documentación |
| 8 | Operación | Requisitos operacionales del SMS (núcleo técnico) |
| 9 | Evaluación del desempeño | Auditorías internas, revisión por la dirección, métricas |
| 10 | Mejora | No conformidades, acciones correctivas, mejora continua |
| Subcláusula | Área | Procesos incluidos |
|---|---|---|
| 8.2 | Nuevo servicio o modificado | Planificación y preparación de servicios nuevos o modificados |
| 8.3 | Diseño, construcción y transición del servicio | Análisis de impacto, pruebas, despliegue |
| 8.4 | Resolución y cumplimiento | Gestión de incidencias, peticiones de servicio, problemas |
| 8.5 | Gestión del servicio | Gestión de niveles de servicio, disponibilidad, continuidad, capacidad, seguridad |
| 8.6 | Gestión de relaciones | Gestión de relaciones con negocio y con proveedores |
| 8.7 | Presupuestación y contabilidad de los servicios | Gestión financiera de servicios TI |
| 8.8 | Diseño y transición de servicios nuevos o modificados | Revisión final antes del despliegue |
| Parte | Título | Descripción |
|---|---|---|
| ISO 20000-1 | Requisitos del SMS | La norma certificable; define qué se debe hacer |
| ISO 20000-2 | Guía de aplicación | Orientación sobre cómo implementar los requisitos |
| ISO 20000-3 | Guía de alcance y aplicabilidad | Cómo definir el alcance de la certificación |
| ISO 20000-6 | Requisitos para organismos de auditoría | Para los auditores de certificación |
| ISO 20000-10 | Conceptos y vocabulario | Términos y definiciones del SMS |
El SMS (Service Management System) es el núcleo de ISO 20000. Comprende:
POLÍTICA Y OBJETIVOS DEL SERVICIO
↓
PLANIFICACIÓN DEL SERVICIO (alcance, riesgos, recursos)
↓
IMPLEMENTACIÓN Y OPERACIÓN (procesos de servicio)
↓
MONITORIZACIÓN Y REVISIÓN (métricas, auditorías internas)
↓
MEJORA CONTINUA (acciones correctivas, mejora del SMS)
↑___________________________________|
| Fase | Actividad |
|---|---|
| Análisis GAP | Evaluar la situación actual frente a los requisitos de la norma |
| Plan de implementación | Definir acciones para cubrir los gaps identificados |
| Implementación | Documentar y operacionalizar los procesos del SMS |
| Auditoría interna | Verificación interna del cumplimiento |
| Revisión por la dirección | Revisión formal del SMS por la alta dirección |
| Auditoría de certificación (Fase 1) | Auditor externo revisa documentación |
| Auditoría de certificación (Fase 2) | Auditor externo verifica implementación real |
| Certificación | Emisión del certificado (válido 3 años con auditorías anuales de seguimiento) |
| Aspecto | ITIL v3 | ISO 20000-1 |
|---|---|---|
| Naturaleza | Buenas prácticas (guidance) | Norma certificable (requirements) |
| Obligatoriedad | Voluntaria; referencia de mejores prácticas | Certificación voluntaria, pero auditable |
| Enfoque | Procesos del ciclo de vida del servicio | Sistema de Gestión del Servicio (SMS) |
| Certificación | Individual (ITIL Foundation, Practitioner...) | Organizacional (la empresa se certifica) |
| Alcance | Muy amplio: decenas de procesos | Más focalizado; cláusulas concretas |
| Flexibilidad | Alta; adaptar a cada organización | Menor; cumplimiento de requisitos específicos |
| Mejora continua | Fase CSI explícita | Integrada en cláusulas 9 y 10 |
La gestión de activos de software (SAM, Software Asset Management) es el conjunto de procesos y prácticas para gestionar y optimizar la adquisición, despliegue, mantenimiento, utilización y retirada de licencias de software en una organización.
ISO/IEC 19770 es la familia de normas internacionales para la gestión de activos TI (ITAM, IT Asset Management):
| Parte | Título | Contenido |
|---|---|---|
| ISO 19770-1 | Procesos y evaluación por niveles | Sistema de gestión SAM; norma certificable |
| ISO 19770-2 | Etiquetas de identificación de software (SWID) | Identificación única de software instalado |
| ISO 19770-3 | Derechos de software (entitlements) | Representación de derechos de licencia |
| ISO 19770-4 | Medición del uso de recursos | Datos de uso para gestión de licencias |
| ISO 19770-5 | Visión general y vocabulario | Términos y definiciones ITAM/SAM |
| Riesgo sin SAM | Consecuencia |
|---|---|
| Infralicenciamiento | Riesgo legal y económico por auditoría de fabricantes (Microsoft, Oracle, SAP) |
| Supralicenciamiento | Gasto innecesario en licencias no utilizadas |
| Software no autorizado | Riesgo de seguridad (malware), incumplimiento de políticas |
| Desconocimiento del inventario | Imposibilidad de planificar renovaciones y actualizaciones |
| Incumplimiento normativo | Vulneración de derechos de autor y términos de licencia |
Las auditorías de fabricantes de software (especialmente Microsoft, Oracle, IBM, SAP) pueden generar reclamaciones millonarias a organizaciones sin control de sus licencias.
La norma define un sistema de gestión SAM con procesos organizados en cuatro niveles de madurez progresivos (Tiered Approach):
| Nivel | Denominación | Foco | Descripción |
|---|---|---|---|
| Nivel 1 | Inventario de activos de software | Confianza | Se sabe qué software está instalado y se tienen los derechos. Resolución de situaciones urgentes (auditorías). |
| Nivel 2 | Gestión de activos de software | Seguimiento | Los procesos SAM están implementados; la organización gestiona el software de forma proactiva |
| Nivel 3 | Gestión optimizada | Optimización | Integración con otros procesos TI; optimización del gasto; valor demostrado a la dirección |
| Nivel 4 | Gestión estratégica de activos TI (ITAM) | Planificación estratégica | SAM integrado en la estrategia corporativa; soporte a decisiones de inversión TI |
La norma organiza los procesos en cinco grupos:
| Proceso | Descripción |
|---|---|
| Política organizacional SAM | Definir la política de uso aceptable de software |
| Gestión de roles y responsabilidades | Designar al SAM Manager y definir responsabilidades |
| Competencia y formación | Asegurar que el personal tiene las competencias SAM necesarias |
| Integración con gestión de riesgos | Incorporar el riesgo de licencias en la gestión de riesgos corporativa |
| Proceso | Descripción |
|---|---|
| Solicitud y aprobación | Proceso formal para solicitar y aprobar nuevo software |
| Adquisición y recepción | Gestión de la compra y recepción de licencias |
| Despliegue | Control del proceso de instalación |
| Gestión del uso | Seguimiento del uso real vs. licencias disponibles |
| Retirada | Proceso controlado de desinstalación y devolución de licencias |
| Proceso | Descripción |
|---|---|
| Inventario de software | Listado completo del software instalado en todos los dispositivos |
| Verificación de derechos | Comparación del software instalado con las licencias disponibles |
| Reconciliación | Resolución de discrepancias entre inventario y derechos |
| Auditoría interna SAM | Verificación periódica del cumplimiento del sistema SAM |
| Proceso | Descripción |
|---|---|
| Gestión de contratos | Gestión del ciclo de vida de contratos de licencia y mantenimiento |
| Gestión de proveedores | Relación con fabricantes y distribuidores de software |
| Gestión de renovaciones | Planificación y ejecución de renovaciones de mantenimiento y soporte |
| Integración | Beneficio |
|---|---|
| Con CMDB (ITIL/ISO 20000) | Sincronización entre activos de software y elementos de configuración |
| Con gestión de cambios | Control del software instalado durante los cambios |
| Con seguridad de la información | Detección de software no autorizado o vulnerable |
| Con gestión financiera | Optimización del gasto en licencias |
| Con gestión de proyectos | Planificación de licencias en nuevos proyectos |
| Tipo | Herramienta | Descripción |
|---|---|---|
| Discovery | Lansweeper, Nmap, SCCM | Descubrimiento automático de software instalado |
| SAM completo | Snow Software, Flexera, ServiceNow SAM | Suite completa de gestión SAM |
| Microsoft SAM | Microsoft 365 Admin, VLSC | Gestión de licencias Microsoft |
| Open Source | OCS Inventory, GLPI | Alternativas libres para inventario y SAM básico |
Las etiquetas SWID (Software Identification Tags) son archivos XML instalados junto con el software que permiten su identificación automática:
<SoftwareIdentity
name="Ejemplo Aplicación"
uniqueId="com.empresa.app"
version="2.5.0"
versionScheme="semver">
<Entity name="Empresa SA" regid="regid.empresa.com" role="softwareCreator publisher"/>
</SoftwareIdentity>
Permiten:
- Automatizar el inventario de software instalado.
- Comparar el software instalado con los derechos de licencia de forma automática.
- Soporte para herramientas SAM automatizadas.
| Marco | Gobierno | Gestión de servicios | Activos de software |
|---|---|---|---|
| COBIT 2019 | ✔ Principal | Complementario | Complementario |
| ITIL v3 | Complementario | ✔ Principal | Complementario |
| ISO 20000 | Complementario | ✔ Principal (certificable) | Complementario |
| ISO 19770-1 | Complementario | Complementario | ✔ Principal (certificable) |
| ISO 27001 | Complementario | Complementario | Complementario (seguridad) |
| Punto de integración | ITIL v3 / ISO 20000 | ISO 19770-1 |
|---|---|---|
| Gestión de la configuración (CMDB) | SACM gestiona todos los CIs | SAM alimenta la CMDB con activos de software |
| Gestión de cambios | Controla cambios en infraestructura | SAM valida que los cambios no incumplen licencias |
| Gestión de incidencias | Restaura servicios interrumpidos | Software no licenciado puede ser causa raíz de incidencias |
| Gestión de capacidad | Planifica recursos para el servicio | SAM identifica software subutilizado o infrautilizado |
| Seguridad | ISO 20000 cl. 8.5 / ITIL seguridad | SAM detecta software no autorizado o pirata |
| Gestión financiera | Presupuestación del servicio | SAM optimiza el gasto en licencias |
| Característica | ITIL v3 | ISO/IEC 20000-1 | ISO 19770-1 |
|---|---|---|---|
| Organismo | Axelos (antes OGC) | ISO/IEC | ISO/IEC |
| Naturaleza | Buenas prácticas | Norma certificable | Norma certificable |
| Certificación | Individual | Organizacional | Organizacional |
| Ámbito | Gestión de servicios TI | Gestión de servicios TI | Gestión de activos de software |
| Estructura | Ciclo de vida del servicio (5 fases) | Sistema de Gestión (HLS ISO) | Procesos + niveles de madurez |
| Versión actual | ITIL 4 (2019) / v3 2011 | ISO 20000-1:2018 | ISO 19770-1:2017 |
| Revisión | Cada ~10 años | Cada 5 años | Cada 5 años |
| Alineación | ISO 20000, COBIT, ISO 27001 | ITIL, ISO 9001, ISO 27001 | ITIL/CMDB, ISO 27001 |
Los marcos de gobierno y gestión de TI estudiados en este tema constituyen el fundamento para una gestión profesional y eficiente de los servicios e infraestructuras tecnológicas:
La implantación combinada de estos marcos —junto con COBIT para el gobierno e ISO 27001 para la seguridad— constituye la base de una organización TI madura, eficiente y alineada con los estándares internacionales.
Fin del Tema 2