ITSM.express
Version 1.1, 2024
Spanish version – versión en español
El equipo
Líder de Proyecto
Štefan Ondek
Autores
Johann Botha
Etienne Shardlow
Dolf van der Haven
Revisores
Suzanne van Hove
Wim Hoving
Traductores:
Santiago Lo Bianco
Daniel Sorokins
Luis Caldera
Descargo de responsabilidad
Reconocemos las diversas visiones de la gestión de servicios: ¿es “gestión de servicios de TI” o simplemente “gestión de servicios”? ¿O algo más? Para responder a esa pregunta, en términos de este documento, tenemos que preguntar: "¿Qué servicio no se basa en algún tipo de tecnología?" La respuesta a esa pregunta es simple: hoy en día realmente no existe un servicio que no utilice algún tipo de tecnología, información digital, etc. Por lo tanto, como sugiere nuestro nombre, estamos hablando de gestión de servicios de TI, pero todos reconocemos que la información contenida en este documento es aplicable fuera de la vertical tecnológica/digital.
Por lo tanto, nuestra definición de gestión de servicios es el conjunto de capacidades, procesos y estructura de una organización que respalda las actividades de su personal para entregar servicios a lo largo de su ciclo de vida y proporcionar valor a sus clientes y a la propia organización.
Para facilitar la lectura (y la escritura), utilizaremos el término "gestión de servicios" y nuestros ejemplos/discusiones se centrarán en la empresa técnica.
Prefacio
Este es un manual minimalista y gratuito que cubre los aspectos esenciales de la gestión de servicios. Ha sido escrito específicamente para que pueda aprenderse, aplicarse y enseñarse fácilmente. La audiencia son principalmente personas y organizaciones que están comenzando su viaje en la gestión de servicios, construyendo un nuevo sistema de gestión de servicios o mejorando uno existente. No hay ninguna referencia a los marcos comerciales existentes; las únicas referencias externas que se hacen son de los estándares. Esto se hace para que esta guía de ITSM.express siga siendo gratuita y accesible para todos los interesados en la gestión de servicios.
El contenido, aunque minimalista, sigue siendo coherente con ISO/IEC 20000-1:2018. Si bien ISO/IEC 20000-1 y la mayoría de los demás sistemas de gestión de servicios (TI) tratan las acciones de gestión de servicios de forma independiente, este manual muestra cómo crear un sistema de gestión eficaz a través de cuatro acciones principales de gestión de servicios: Definir, Producir, Proveer y Responder.
Este manual ha sido escrito por veteranos y nombres destacados de esta industria: Johann Botha, Dolf van der Haven, Etienne Shardlow y revisado por Suzanne Van Hove y Win Hoving. El editor y el “cerebro” detrás de esto es Stefan Ondek, un veterano formador, consultor y experto en las áreas de gestión de proyectos y servicios. Estas personas realizaron todo el trabajo de este manual como voluntarios sin ninguna compensación. Muchas gracias a ellos.
El propietario de los derechos de propiedad intelectual es la organización sin fines de lucro ITSM.express, registrada en Eslovaquia. Este manual se publica bajo la licencia “Creative Commons Attribution”. Eres libre de:
• Compartir: copiar y redistribuir el material en cualquier medio o formato para cualquier fin, incluso comercial.
• Adaptar: mezclar, transformar y desarrollar el material para cualquier propósito, incluso comercial.
• El licenciante no puede revocar estas libertades siempre y cuando usted cumpla con los términos de la licencia.
Bajo los siguientes términos:
Atribución: debe dar el crédito apropiado, proporcionar un enlace a la licencia e indicar si se realizaron cambios. Puede hacerlo de cualquier manera razonable, pero de ninguna manera que sugiera que el licenciante respalda a usted o su uso.
Sin restricciones adicionales: no puede aplicar términos legales ni medidas tecnológicas que restrinjan legalmente a otros hacer cualquier cosa que la licencia permita.
No se ofrecen garantías para ningún tipo de uso o aplicación de este manual. Utilice su propio criterio.
Tabla de Contenidos
Interacción con los Consumidores
Servicios que involucran Múltiples Proveedores
Gestión de la Liberación e Implementación
Proteger - Seguridad de la Información
Midiendo los resultados exitosos
Gestionar Consultas de Usuarios
Definir
La etapa de Definición abarca el diseño de un servicio, incluyendo procesos organizativos básicos como la gobernanza y la gestión de riesgos. Aquí se establecen las bases para un sistema de gestión que respalda el ciclo de vida del servicio.
Gobernanza
Objetivos
La gobernanza es una función que proporciona orientación a la organización en forma de dirección, políticas y supervisión general del funcionamiento general de la organización. Tiene en cuenta los objetivos de la organización en términos de resultados comerciales, como la rentabilidad, la experiencia de los clientes y empleados y el cumplimiento de las leyes y regulaciones aplicables.
Según normas como ISO 37000 (Gobernanza de organizaciones) e ISO/IEC 38500 (Gobernanza de TI), el grupo principal de una organización que realiza estas funciones es un cuerpo de gobierno, por ejemplo, una junta directiva u otra persona o grupo relativamente independiente en la cima de la organización. En la práctica, sin embargo, la gobernanza puede y debe ser realizada en cada nivel de la organización por un liderazgo apropiado a su ámbito de responsabilidad.
Beneficios
La buena gobernanza es crucial para el funcionamiento de cualquier organización, incluidos los proveedores de servicios.
Los beneficios son los siguientes:
- Mejor supervisión del desempeño de la organización en su conjunto;
- Responsabilidad en todos los niveles de la organización por su desempeño operativo y estratégico;
- Claridad sobre la dirección comercial de la organización;
- Mayor conciencia entre los empleados sobre la relevancia de sus actividades en el contexto más amplio del propósito de la organización;
- Mejora de la toma de decisiones basada en la observación de información relevante.
Conceptos Principales
La buena gobernanza se basa en una serie de principios que cada organización puede establecer, pero que probablemente sean similares a uno o más de los siguiente:
- Propósito de la organización;
- Generación de valor para la organización y para sus consumidores;
- Establecimiento de una estrategia para la organización.
- Proporcionar supervisión de las operaciones de la organización;
- Involucrar a las partes interesadas, como consumidores, empleados y autoridades;
- Gobernanza del riesgo;
- Foco en la sostenibilidad.
Proceso
Los principios mencionados arriba y posiblemente otros proporcionan el punto de partida para construir la función de gobernanza. Las actividades prácticas basadas en estos principios son las siguientes:
- Determinar la misión y visión de la organización: ¿qué es lo que la organización quiere conseguir? ¿Cómo quieres realizar esto?
- ¿Cuáles son los factores que influyen en las actividades de la organización, tanto interna como externamente? Piense en los requisitos del consumidor, la legislación y la regulación, los objetivos de sostenibilidad, la disponibilidad de recursos y las fortalezas y debilidades generales de la organización de este momento.
- ¿Quiénes son los interesados en las actividades de la organización? Están los empleados y directivos de la propia organización, pero también los consumidores, las autoridades y quizás incluso los medios de comunicación y los accionistas que están interesados en cómo se desempeña la organización y cuál es su nivel de éxito.
Hay un modelo simple en ISO/IEC 38500:2024 que muestra cuáles actividades se deben realizar como parte de una función de gobernanza. Estos son los siguientes, abreviados como EDMS:
- Evaluar: evaluar cómo se está desempeñando la organización, con base en los principios mencionados en el apartado 1.2.
- Dirigir: proporcionar instrucciones a la organización para cambiar sus actividades si esto se considera necesario en base en la evaluación realizada en el paso anterior.
- Monitorear: monitorear cómo se desempeña la organización en base a indicadores como indicadores clave de desempeño (KPI), indicadores clave de riesgo (KRI) u otros.
- Compromiso de las partes interesadas (stakeholders): proporcionar una amplia comunicación sobre lo que quiere la función de gobierno a varias partes interesadas internas y externas, de modo que la organización debajo de ella sepa lo que se supone que debe hacer operativamente.
Nota: EDMS refiere a “Evaluate”, “Direct”, “Monitor” y “Stakeholder Engagement”
Estas cuatro actividades son muy fáciles de implementar como responsabilidades de todos los niveles de gestión de la organización. Una función de gobernanza central, como una junta directiva, debe realizar las cuatro actividades para la organización en su conjunto, de modo que los gerentes debajo de ella tengan la orientación necesaria para implementar la dirección recibida en las operaciones de la organización. Pero un líder de un equipo de empleados debe hacer lo mismo a su propio nivel: evaluar el desempeño del equipo, brindarle dirección sobre lo que se debe hacer para mejorar sus objetivos, monitorear cómo le está yendo al equipo en función de los KPIs establecidos y comunicarse con frecuencia sobre la dirección dada y el desempeño del equipo.
Por lo tanto, los gerentes de la organización desempeñan dos funciones: por un lado, deben poner en práctica la dirección (de gobernanza) que reciben de los niveles superiores de la organización. Por otro lado, deben proporcionar ellos mismos la dirección de gobernanza al equipo o parte de la organización que les reporta. Esta división entre gobernanza (las actividades del EDMS) y gestión (traducir la dirección de la gobernanza en práctica operativa) es a veces exagerada, pero en realidad, la gobernanza y la gestión es un todo integrado para cada nivel de gestión de la organización.
Errores comunes
Los problemas comunes con la gobernanza incluyen los siguientes:
- Gobernanza no es gobierno: el gobierno es una entidad política en varios niveles de la sociedad para guiar a las personas dentro de su ámbito de competencia y establecer una dirección política. La gobernanza, aunque tenga actividades similares asociadas, es una función a varios niveles en una empresa u otra organización, pero no tiene intereses políticos.
- La gobernanza se limita únicamente a una Junta de Gobernanza en la cima de la organización. Realmente debería realizarse en todos los niveles de la organización.
- Las actividades de Gobernanza y Gestión no están claramente separadas. Debe haber una distinción clara entre las actividades estratégicas de Gobernanza (Evaluar, Dirigir, Monitorear, Compromiso) y las actividades de Gestión que se requieren para poner en práctica la dirección recibida en la organización.
- La gobernanza se malinterpreta como un cronograma de reuniones entre diversos actores. La gobernanza tiene objetivos claros y actividades asociadas a ella, como se describió anteriormente. Obviamente requiere ciertas reuniones, pero el propósito de ellas debe quedar claro para los participantes que tienen responsabilidades de Gobernanza.
Otras lecturas
Consulte el sitio web ITSM.express para obtener información adicional sobre los aportes a la gobernanza y los entregables de gobernanza.
Gestión de Riesgos
Objetivos
Un riesgo se puede definir como cualquier incertidumbre que pueda afectar los objetivos de la organización. Estas incertidumbres pueden ser positivas o negativas. Un riesgo positivo es algo que puede estimular el logro de los objetivos y, por lo tanto, también se le llama una “oportunidad” que la organización puede querer perseguir. Un riesgo negativo es cómo las personas suelen considerar los riesgos: un impedimento para alcanzar los objetivos de la organización que se debe evitar o al menos minimizar. Ambos tipos de riesgos son relevantes para la gestión de riesgos. Los riesgos son una parte importante de los aportes a la función de gobierno en todos los niveles de la organización. Por lo tanto, la gestión de riesgos también debe realizarse en todos los niveles de la organización. La gestión de riesgos forma parte de muchas otras áreas de la gestión de servicios, incluida la gestión de la seguridad de la información, la gestión de la capacidad y otros procesos.
El estándar predeterminado para la gestión de riesgos es ISO 31000 (Gestión de Riesgos), por lo cual esta sección está alineada con la misma en formas generales.
Beneficios
Al igual que la gobernanza, la gestión de riesgos es una práctica fundamental en la gestión de una organización. Los beneficios de realizar la gestión de riesgos son los siguientes:
- Alerta temprana de posibles amenazas y vulnerabilidades;
- La posibilidad de intervenir si los riesgos se materializan mediante la implementación de controles eficaces;
- Una supervisión clara del horizonte de amenazas;
- Conciencia en toda la organización de lo que puede estar interfiriendo en la generación de sus resultados comerciales.
Conceptos Principales
Los riesgos son eventos que pueden afectar a la organización de varias maneras: puede haber riesgos relacionados con mantener segura la información sobre la organización o sus clientes (riesgos de seguridad de la información), riesgos del desempeño operativo de la organización (la capacidad de cumplir con sus KPIs), riesgos de no cumplir con regulaciones externas, como leyes de privacidad u otras regulaciones (riesgos de cumplimiento), o riesgos relacionados con proveedores externos (riesgo de terceros). En realidad, en la gestión de riesgos todo vale, pero es necesario determinar cuán serio es un riesgo en realidad.
Los riesgos generalmente se clasifican en función de dos de sus aspectos: la probabilidad de que el riesgo realmente ocurra en la práctica (por ejemplo, en una escala de 1 a 5) y, si ocurre, el impacto que tendría en la organización (por ejemplo, en una escala de 1-5). Una vez que determine la probabilidad y el impacto, puede calcular un nivel de riesgo tomando el producto de los dos:
Nivel de Riesgo = Probabilidad x Impacto
Este nivel de riesgo sirve como un indicador general de la severidad del riesgo.
Proceso
La Gestión de Riesgos, tal como se define en la norma ISO 31000:2018, consta de varias fases:
1. Evaluación de Riesgos: es la etapa general en la que se realizan los siguientes tres pasos del proceso:
a. Identificación de Riesgos: basada en el alcance del proceso de gestión de riesgos, el contexto de la organización y los criterios para lo que se considera aceptable, los riesgos son identificados. En esta etapa, la identificación consiste en determinar las amenazas que puedan afectar vulnerabilidades en la organización.
b. Análisis de Riesgos: las amenazas y vulnerabilidades en el paso anterior son analizadas por personas en la organización que tienen la capacidad de determinar el impacto potencial del riesgo si se materializa y la probabilidad de que el riesgo realmente se materialice. Esto conduce al nivel de riesgo indicado anteriormente.
c. Evaluación de Riesgos: Basándose en el nivel de riesgo determinado durante la evaluación de riesgos, se debe determinar qué acción debe tomarse.
Las acciones de mitigación de riesgos dependen en gran medida de la naturaleza del riesgo, pero se dividen en tres categorías principales:
- Tratar el riesgo: en este caso, usted decide tomar medidas para reducir la probabilidad del riesgo, su impacto o ambos. La acción tomada se conoce como la implementación de un control. El control es una medida administrativa (escribir e implementar un proceso o política), técnica (implementar un firewall) o física (agregar cerraduras a las puertas) que reduce la probabilidad o el impacto del riesgo.
- Aceptar el riesgo: se puede decidir que el nivel de riesgo no es lo suficientemente alto como para justificar invertir tiempo o dinero en tratar el riesgo. En otras palabras, el riesgo está en un nivel aceptable. Esta es una decisión que no debe tomarse a la ligera: sólo el nivel adecuado de gestión debería poder aceptar riesgos para su propio ámbito de responsabilidad y sólo hasta un determinado nivel de riesgo. Por ejemplo, puede ser una política que sólo pueda aceptar riesgos hasta el nivel Medio y luego sólo por el nivel de gestión que es responsable de la parte de la organización que se ve afectada por el riesgo. Este nivel de riesgo aceptable se conoce como Apetito del Riesgo.
- Transferir el riesgo: Si el riesgo es de tal naturaleza que otro equipo, otra parte de la organización o incluso una parte externa es la responsable de tomar medidas para manejar el riesgo, el riesgo puede ser transferido a ellos. La transferencia implica ponerse en contacto con la otra parte, explicarle el riesgo y la evaluación de este y lograr que reconozca que es responsable de manejar el riesgo. La otra parte puede entonces decidir por sí misma si cree que es necesario tratar el riesgo o no. En cualquier caso, si el riesgo realmente se produce, es la otra parte la responsable del impacto del evento en la organización. Por ejemplo, si identifica un riesgo de que personal no autorizado pueda ingresar a un área restringida de un edificio, como un centro de datos, es posible que desee transferir este riesgo a un grupo de la organización que sea responsable de la seguridad física de las instalaciones. Que los grupos de seguridad física luego reconozcan la propiedad del riesgo y determinen si necesitan tomar medidas para asegurar el área restringida.
- Perseguir el riesgo: En el caso de riesgos positivos (oportunidades), la organización puede querer perseguirlo, lo que significa que se debe estimular la ocurrencia del riesgo para obtener el impacto positivo del mismo. Esto se puede hacer, por ejemplo, cuando se espera que las condiciones financieras, como las regulaciones fiscales o los precios de la energía, mejoren, lo que hará que la prestación de servicios sea más económica y, por lo tanto, mejore la posición en el mercado del proveedor de servicios.
Si se trata un riesgo, es decir, se establece alguna forma de control, la probabilidad y/o el impacto del riesgo deben ser menores que la probabilidad y/o el impacto original. Esto da como resultado un nuevo nivel de riesgo, nuevamente calculado como Probabilidad x Impacto, que se conoce como Riesgo Residual. El riesgo residual es cualquier riesgo que quede después de implementar un control. Un control a menudo sólo reduce el nivel de riesgo hasta cierto punto, pero no lo erradica por completo. El riesgo residual es un indicador del riesgo que queda después de tratarlo y debe estar por debajo del nivel de riesgo aceptable (es decir, el apetito del riesgo). Si aún es superior al apetito del riesgo, es posible que sea necesario implementar controles adicionales para reducir el nivel de riesgo de forma suficiente.
Errores Comunes
- Se descuida la Gestión de Riesgos. Al implementar un marco de gestión de riesgos práctico y sencillo, la gestión de riesgos no tiene por qué ser engorrosa, sino que puede integrarse en las operaciones diarias de la organización.
- Se aceptan demasiados riesgos en lugar de tratarlos. Esta es una señal de propietarios de riesgos perezosos: en lugar de analizar los riesgos e implementar controles, asumen el riesgo e ignoran el posible impacto sobre los resultados comerciales de la organización.
- No se comprueba periódicamente la eficacia de los controles. Cuando se implementa un control para tratar un riesgo, es necesario verificar periódicamente su efectividad, porque las amenazas pueden cambiar y eventualmente romper los controles. Es posible que los controles deban endurecerse o reemplazarse por otros controles para seguir siendo efectivos.
- La persona que señala el riesgo automáticamente lo posee. La propiedad del riesgo debería estar en manos de la persona mejor posicionada para manejarlo, lo cual no necesariamente es la persona que lo señaló primero. Una actitud de “tocarlo, es tuyo” en la organización desalentará a las personas a señalar riesgos en el futuro.
Otras lecturas
Consulte el sitio web ITSM.express para obtener más detalles sobre los conceptos y la práctica de la gestión de riesgos.
Interacción con los Consumidores
Objetivos
Un servicio se desarrolla para ser utilizado por sus usuarios finales o consumidores. Es posible desarrollar un servicio sin interactuar con los consumidores, pero esto creará un servicio que puede no ser interesante para ellos y, por lo tanto, no llegaría a ser utilizado. La interacción con los consumidores debe tener lugar desde el momento más temprano en que se desarrolla un servicio hasta el momento en que se retira del servicio.
Beneficios
Los beneficios de la interacción con el consumidor son los siguientes:
- Mejor comprensión de lo que necesitan los consumidores del servicio para alcanzar sus propios resultados comerciales;
- Verificación periódica de la experiencia del consumidor y la satisfacción con el servicio, para que el servicio pueda mejorarse si es necesario;
- Informes periódicos a los consumidores sobre el desempeño del servicio para que puedan verificar si el servicio funciona según lo esperado y acordado;
- Orientación para el desarrollo del servicio para garantizar que el servicio satisfaga las necesidades de los consumidores.
Conceptos Principales
Los consumidores rara vez están interesados en su servicio debido al servicio en sí mismo: generalmente quieren utilizar el servicio para lograr sus propios objetivos. De alguna manera, los consumidores obtienen valor del uso de su servicio para lograr sus propios resultados. Este valor para el consumidor puede ser algo completamente diferente del valor que usted, como proveedor de servicios, obtiene del servicio: su valor puede ser obtener ingresos, conseguir clientes satisfechos, ganar participación de mercado o respaldar los resultados comerciales de su empresa en general. El consumidor del servicio generalmente ve el servicio como un facilitador de sus propios resultados, como poder enviar y recibir correos electrónicos, procesar datos y manejar transacciones financieras.
El primer paso para interactuar con los consumidores (potenciales o existentes) de su servicio es determinar cuál creen ellos que es el valor del servicio. Esta es una pregunta muy básica, pero también es la más importante si quieres conseguir que los consumidores utilicen tu servicio. De la declaración de valor se desprenden los requisitos para el servicio, así como la base para establecer relaciones con los consumidores.
Proceso
A partir de esta definición de valor para el consumidor, puedes seguir derivando los requisitos que tiene para el servicio que brindas. ¿Qué aspectos de un servicio de correo electrónico necesitan para hacer su trabajo de manera más eficiente (por ejemplo, buzones de correo compartidos, envío programado, etc.)? ¿Qué aspectos de un servicio financiero necesitan para lograr sus resultados comerciales (por ejemplo, nómina, contabilidad, etc.)?
Diferentes consumidores tendrán diferentes requisitos. Tendría sentido recopilar una lista de requisitos reales y potenciales para su servicio y priorizarlos en función de lo que necesita la mayoría de los consumidores y lo que se puede lograr en un plazo determinado. Habrá un conjunto de requisitos de servicios comunes entre la mayoría de los consumidores que deberían considerarse parte de un servicio básico. Luego están los requisitos que amplían el servicio básico y agregan funcionalidades que benefician a un gran grupo de consumidores: estas pueden considerarse funcionalidades “premium” al principio o incluirse en una hoja de ruta para su desarrollo en el futuro cercano. Una tercera categoría de requisitos son los requisitos completamente personalizados que sólo se aplican a uno o varios consumidores. Para estos, es necesario considerar si vale la pena desarrollar un servicio totalmente personalizado para unos pocos consumidores o no. Depende de su propio modelo de negocio si desea centrarse principalmente en servicios estándar o tener la flexibilidad de personalizarlos.
Los requisitos del consumidor, así como los suyos propios, recopilados internamente, se incorporan al proceso de desarrollo del servicio. Este proceso se analiza más adelante en la sección Producir de este libro.
Las relaciones con los consumidores de su servicio no terminan una vez que haya reunido los requisitos y les haya vendido o proporcionado el servicio. Los consumidores deben participar en cada paso del camino para que puedan expresar sus comentarios sobre el servicio que les brinda. Esto se conoce como gestión de la Experiencia del Consumidor (CX) y, a nivel de usuario final, gestión de la Experiencia del Usuario (UX). CX/UX cubre la totalidad de cómo se sienten los usuarios de su servicio al respecto. Esto incluye usabilidad, funcionalidad, su experiencia al adquirir el servicio, facturación (si corresponde), atención postventa, solicitudes de cambio, resolución de incidencias y cualquier mejora que realices por ellos. Cada vez que un consumidor interactúa con su organización o su servicio, hay un punto de contacto y cada punto de contacto hace que el consumidor tenga una experiencia determinada. El núcleo de la gestión de relaciones con el consumidor es que pueda determinar la experiencia del cliente en esos puntos de contacto, incorporarla y, si es necesario, implementar mejoras si la experiencia del cliente así lo indica.
Mientras vigila las necesidades de los clientes, no se olvide de las necesidades de sus empleados: la experiencia de los empleados es la base para brindar servicios exitosos. Son los empleados quienes hacen todo el trabajo para los clientes y, por lo tanto, es importante asegurarse de que se sientan felices haciendo su trabajo. La experiencia de los empleados se puede medir de manera similar a la experiencia del cliente, pero mediante encuestas periódicas u obteniendo comentarios en debates individuales o a nivel de equipo. Esta retroalimentación luego debe llevarse al proceso de Mejora continua para realizar cambios en los servicios cuando sea necesario.
Un último aspecto de la interacción con los consumidores es brindarles reportes sobre el servicio que reciben de usted. Esto puede adoptar varias formas, pero a menudo depende de ciertos objetivos de servicio que usted acuerda con los consumidores. Los objetivos del servicio pueden ser similares a los siguientes:
- Puntualidad de respuesta a solicitudes de servicio, incidentes, solicitudes de cambio;
- Disponibilidad del servicio;
- Rendimiento del servicio;
- Fiabilidad del servicio;
- Experiencia del consumidor (incluida la facilidad de uso, la asistencia eficaz al usuario final, las características de servicio adecuadas para su propósito);
- Precisión del servicio; etc.
Los objetivos de servicio pueden simplemente ser parte de un contrato predeterminado o personalizarse para consumidores específicos. En cualquier caso, se remitirían a un Acuerdo de Nivel de Servicio (SLA) que, si se centra más en CX/UX, puede incluir un Acuerdo de Nivel de Experiencia (XLA).
Errores Comunes
- Actitud de “talla única”. Esto significa que se espera que todos los consumidores estén igualmente satisfechos con el servicio, sin importar cuáles sean sus propias necesidades. En la práctica, cada consumidor tiene una opinión diferente sobre lo que el servicio debería hacer por él, por lo que puede ser necesario personalizarlo para que el servicio se ajuste a sus necesidades individuales.
- La interacción con el consumidor no ocurre con suficiente frecuencia. Depende del tipo de consumidor si se necesita una interacción más o menos regular con ellos. Algunos consumidores prefieren informes mensuales, otros están de acuerdo con un informe de rendimiento anual. Puede ser necesario personalizar la interacción del consumidor para ajustar su frecuencia a las necesidades de los consumidores individuales.
- La interacción ocurre de la misma manera para todos los consumidores. De manera similar a la frecuencia, el tipo de interacción del consumidor puede necesitar personalización para satisfacer sus necesidades y expectativas específicas.
- Los objetivos internos no están alineados con los SLA del consumidor. Desafortunadamente, esto es bastante común: los indicadores clave de rendimiento para los equipos que respaldan el servicio pueden no estar alineados con lo acordado en los SLA de los consumidores. Por ejemplo, los objetivos internos de tiempo de respuesta pueden hacer imposible cumplir el tiempo de respuesta de un SLA con un consumidor. Los objetivos internos y externos deben estar alineados y el personal que respalda los servicios debe conocer tanto sus propios KPI como los SLA de los consumidores.
Otras Lecturas
Consulte el sitio web ITSM.express para obtener más detalles sobre la interacción con el cliente, incluida la medición de la experiencia del cliente y la generación de reportes al respecto
Producir
Construir
Antes de que los servicios puedan ser entregados, deben ser creados, lo que significa que todos los componentes del servicio se unen, la organización se prepara para respaldar el servicio y el servicio se construye según el diseño del servicio. Idealmente, esto se hace en colaboración con el consumidor, para que tanto el proveedor de servicios como el consumidor obtengan el máximo valor de la creación del servicio. El valor derivado del servicio puede ser muy diferente para el proveedor de servicios y el consumidor, pero ambos lados deben considerarse al construir el servicio. El valor para el consumidor, por ejemplo, puede ser facilitar un proceso empresarial que conduzca al cumplimiento de uno de sus resultados comerciales; el valor para el proveedor de servicios puede ser ganar o retener cuota de mercado, aumentar la satisfacción del cliente o generar ingresos.
Las características del servicio deben basarse en la necesidad del cliente que se pretende satisfacer, pero eso no es suficiente; también se deben considerar otros aspectos:
- El modelo de Gobernanza y la estrategia de la organización (¿es este el servicio que debemos ofrecer?);
- Las capacidades de la organización o las capacidades de los socios (¿podemos ofrecer este servicio?);
- La arquitectura organizacional aprobada, incluida la arquitectura técnica utilizada por la organización (¿podemos construir y mantener este servicio de manera efectiva?).
Al pensar en las necesidades del cliente, la organización debe considerar no sólo la funcionalidad, sino también los aspectos de garantía del servicio que están a punto de diseñar o construir y cómo abordarán la adición del servicio y, una vez agregado a su portafolio, la oferta y el mantenimiento del servicio.
Diseño del Servicio
Condiciones de uso
Los proveedores de servicios deben comprender cómo y dónde los clientes utilizarán los servicios, ya que estos determinan el diseño de garantía de un servicio.
Los elementos de garantía a considerar son como mínimo:
- Demanda de servicio, que determina la carga que se coloca sobre los recursos utilizados para brindar el servicio (por ejemplo, cuántos sitios, cuántos usuarios, cuántas transacciones) y debe usarse en la arquitectura y el diseño del servicio para que no sólo se incluyan las características que los clientes necesiten presentes, pero también la capacidad de entregar valor siempre a los clientes.
- Disponibilidad del Servicio, lo cual considera cómo el cliente utilizará el servicio, bajo cuáles condiciones y qué nivel de disponibilidad el cliente considera aceptable. Cuándo debería estar disponible el servicio, dónde debería estar disponible, qué se considera disponible (por ejemplo, una respuesta lenta puede considerarse como indisponibilidad, por lo que para un sistema computarizado, esto incluirá elementos como el tiempo de respuesta de la transacción y el volumen de la transacción que el servicio debe ser capaz de manejar.)
- Capacidad del Servicio, lo cual es una traducción de los dos elementos anteriores en las capacidades técnicas de los componentes básicos del servicio. Una vez más, en un sistema computarizado en el nivel más bajo, esto se traduce en elementos como el ancho de banda de la red, el volumen de la base de datos y la velocidad de lectura/escritura, la capacidad de almacenamiento, la potencia de procesamiento (generalmente CPU y capacidad de memoria).
Análisis de Necesidades
Se debe realizar un análisis en profundidad de las necesidades del cliente. Esto debe verse en el contexto del entorno competitivo para determinar si el nuevo servicio (planificado) puede entregarse de manera factible a los clientes.
El análisis de necesidades no sólo debe considerar las características que los clientes desean (la utilidad que el servicio debe proporcionarles), sino también las condiciones de uso para determinar los elementos de garantía del servicio.
Lo mejor es que el análisis de necesidades se base en un método de análisis claramente definido que no sólo dependa de entrevistas con clientes o usuarios sino también de la observación del trabajo realizado, entendiendo las necesidades de organizaciones similares y lo que se ofrece en el mercado (en el horizonte competitivo).
Diseñar y construir un servicio sin una propuesta de valor única o distinta parece arbitrario y las organizaciones deberían apuntar a ofrecer más valor a los clientes o mejor valor a los clientes.
Comprender cómo y dónde se utilizará el servicio es una parte clave del análisis y, a menudo, un especialista debe traducir esto en requerimientos más técnicos.
Construir o Comprar
Una vez que se completa el Diseño el Servicio, las organizaciones necesitan analizar de manera crítica su capacidad para entregar todos los aspectos del servicio una vez construido. A menudo esto significa que las organizaciones optan por asociaciones estratégicas para la prestación de algunos de los aspectos del servicio.
Desde una perspectiva de arquitectura, las organizaciones también pueden decidir utilizar una de tres siguientes opciones al pensar en los componentes del servicio:
- Desarrollar los propios componentes y construirlos desde cero;
- Desarrollar algunos componentes y utilizar los componentes básicos existentes para completar la oferta;
- Comprar o adquirir componentes estándar que puedan ser ensamblados en una estructura única y que sólo necesiten configuración (en lugar de desarrollo).
El costo de estas opciones puede variar ampliamente y la organización no sólo debe considerar sus capacidades, sino también construir un modelo financiero para determinar la viabilidad del diseño a corto y largo plazo.
Servicios que involucran Múltiples Proveedores
Si una organización presta un servicio que depende de otros proveedores de servicios, parte del criterio de diseño debe ser garantizar que otras partes puedan cumplir sus compromisos, ya que el desempeño general del servicio dependerá de todos sus componentes.
Se deben implementar acuerdos de nivel de servicio y diseñar medios para gestionarlos, medirlos y qué acciones se deben tomar cuando la calidad del servicio se vea amenazada. La mayoría de la gente piensa inmediatamente en las ramificaciones legales, pero puede que ya sea demasiado tarde. Por lo tanto, se deben tomar acciones entre todas las partes involucradas para responder ante una degradación de servicio y así minimizar los efectos negativos de los clientes.
Enfoques como la Gestión e Integración de Servicios (SIAM) proporcionan información detallada sobre el resultado de este servicio.
Monitoreo de Servicios
Si es posible, se deben diseñar sistemas de monitoreo como parte del diseño del servicio que permitan al proveedor del servicio actuar de manera proactiva contra la degradación del servicio.
Este aspecto lo trataremos con mayor detalle en el apartado del monitoreo de servicios.
Agregación de Servicios
Los proveedores de servicios también suelen gestionan los servicios ofrecidos al cliente por otros proveedores. Esta no es la misma situación descrita anteriormente, sino que se trata de proveedores de servicios contratados directamente por el cliente para prestar servicios, lo que a menudo puede afectar la prestación del servicio en su conjunto.
Con frecuencia, en escenarios como este, los proveedores de servicios señalan con el dedo cuando se produce una interrupción o una degradación del servicio, en lugar de trabajar juntos por el bien del cliente. Puede ser prudente que el cliente designe un coordinador de proveedores que gestione a todos los proveedores de servicios de un extremo a otro.
Enfoques como la Gestión e Integración de Servicios (SIAM) proporcionan información detallada sobre el resultado de este servicio.
Gestión de Cambios
Objetivos
El propósito de la gestión de cambios es controlar los cambios implementados en un ambiente productivo. La palabra “control” puede parecer restrictiva, pero en la práctica no tiene por qué serlo. A menudo hay que encontrar un equilibrio entre la capacidad de implementar mejoras en los servicios rápida y flexiblemente y la necesidad de mantenerlos estables. Este es el equilibrio que debe proporcionar la gestión de cambios.
Beneficios
Existen varios beneficios de tener un buen proceso de gestión de cambios:
- Garantizar la estabilidad de los servicios cuando se implementen cambios;
- Garantizar un retraso mínimo en la implementación de los cambios;
- Informar a todas las partes interesadas relevantes sobre los cambios planificados;
- Facilitar la priorización de tipos de cambios que afecten menos al servicio.
Conceptos Principales
La Gestión de Cambios comienza con una Solicitud de Cambio (RFC): es una solicitud proveniente de un usuario final, un equipo de desarrollo u otra parte para cambiar algo en el servicio que usted brinda. Los RFCs pueden implicar cambios muy pequeños, como modificar la velocidad de una interfaz de red, o cambios mucho mayores, como actualizar el hardware de un servidor.
Se debe implementar una política de gestión de cambios para guiar cómo se deben manejar los distintos tipos de cambios:
- Es posible que los cambios grandes que afecten al servicio deban pasar por un proyecto en el que trabajen múltiples partes interesadas para implementar el cambio sin interrupciones. Este proyecto todavía incluiría los pasos requeridos por el proceso de gestión de cambios;
- Los cambios menores pueden aprobarse previamente e implementarse sin más demora. Estos a menudo se enviarían al proceso de Gestión de Solicitudes, el cual es de hecho una versión acotada del proceso de gestión de cambios (consulte la sección Responder por más detalles);
- Todos los demás cambios pasarían por el proceso habitual de gestión de cambios.
Existe una categoría de cambio que forma parte de la resolución de un incidente y se denomina Cambio de Emergencia. Los cambios de emergencia deben implementarse sin demora en caso de que exista una necesidad urgente de solucionar un incidente, como un ataque de denegación de servicio distribuido (DDoS) o un error de software grave que necesite parches de inmediato. Un procedimiento separado podría estar disponible sobre cómo manejar estos cambios de emergencia. Este procedimiento generalmente omitiría al proceso habitual de gestión de cambios como se describe a continuación e implementa el cambio de inmediato. Después, aún es necesario seguir los pasos habituales para documentar lo que se ha hecho.
Como se describe, un proceso común de gestión de cambios puede regir todos los tipos de cambios.
Proceso
Cuando el proveedor de servicios recibe un RFC, el primer paso después de registrarlo es dejarlo pasar por un diagnóstico inicial o triaje, lo que significa que se debe evaluar la naturaleza del cambio para poder determinar su impacto potencial. El resultado de la clasificación es enviar el RFC al proceso regular de gestión de cambios, a la gestión de solicitudes o la gestión de proyectos para que lo procese.
Si un RFC entra en el proceso regular de gestión de cambios, el equipo que se supone que debe implementarlo debe evaluar su validez. Es posible que el equipo deba consultar al solicitante para verificar los detalles y acordar un período de tiempo en el que se puede implementar el cambio (la Ventana de Cambio). Es posible que sea necesario crear un plan de reversión o roll-back para resolver la situación en la que la implementación falle y sea necesario revertir el cambio.
En entornos grandes y complejos, puede ser necesario tener un grupo separado que supervise todos los RFC que se reciben y verifique si algunos de ellos pueden entrar en conflicto entre sí y, por lo tanto, deben implementarse por separado. Este grupo se conoce como el Comité Asesor de Cambios (CAB) y, como sugiere el nombre, asesora cómo se deben manejar los RFC. Sin embargo, la participación de un CAB no debería provocar retrasos en la implementación, pero puede ser necesaria para garantizar la estabilidad de los servicios y evitar incidentes relacionados con cambios.
La aprobación de un cambio debe ser realizada por el equipo que tenga mayor conocimiento sobre la naturaleza del cambio y su impacto en los servicios en producción. Por lo tanto, se realiza en el nivel más bajo posible en la organización que tenga la autoridad para aprobar solicitudes de cambio.
Una vez aprobado y programado, el RFC pasa a los procesos de Liberación y Despliegue (consulte la siguiente sección).
En entornos totalmente automatizados, como DevOps, todos los pasos anteriores también pueden automatizarse, siempre que se establezcan los criterios correctos para la clasificación, evaluación y aprobación de los cambios. Esto garantiza un retraso mínimo en la implementación de los cambios.
Errores Comunes
Ha habido muchas críticas a los procesos de gestión de cambios implementados por varias organizaciones, generalmente citando retrasos inaceptables en la implementación de los RFC. Los siguientes obstáculos se encuentran en el centro de lo anterior:
- Todos los cambios deben ejecutarse a través de un CAB. Esto es totalmente innecesario ya que siempre introduce retrasos en cambios de bajo impacto. Utilice un CAB únicamente en entornos complejos donde exista riesgo de conflictos entre diferentes RFC y asegúrese de que este CAB se reúna con frecuencia.
- Es necesario obtener muchas aprobaciones antes de poder implementar un cambio. Siempre que las partes interesadas relevantes estén informadas, sólo se necesita una aprobación real para un cambio, que es la del equipo que realmente lo implementa. Para reducir la necesidad de aprobaciones, vea también si se pueden realizar cambios simples sin tener que pasar por un proceso de aprobación: este concepto se conoce como “cambios estándar” que se pueden implementar sin aprobaciones adicionales.
- En entornos Agile y DevOps tienden a “olvidarse” de la gestión de cambios debido a la velocidad de implementación que espera el consumidor. De hecho, la forma en que Agile maneja las historias de usuarios es simplemente gestión de cambios siempre que incluya la evaluación de la funcionalidad solicitada, el impacto en los servicios existentes y la reducción de conflictos con otras historias de usuarios. En DevOps, donde se automatiza tanto como sea posible, estos mismos pasos se pueden realizar, posiblemente también de forma automatizada, dependiendo de la naturaleza de los servicios. Sin embargo, la mayor parte de la automatización de DevOps se encuentra en el área de gestión de liberación e implementación, que se tratará a continuación.
Gestión de la Liberación y Despliegue
La gestión de la liberación y despliegue en la gestión de servicios son procesos estrechamente relacionados pero distintos.
En pocas palabras, la gestión de la liberación se trata del qué y cuándo lanzar un servicio o elemento de servicio, enfocándose en una visión más amplia y garantizando alineación con objetivos comerciales, mientras que el despliegue se trata del cómo, tratando las especificaciones técnicas de pasar a producción y poner operativo un servicio nuevo o actualizado.
Objetivos
Los principales objetivos de la gestión de la liberación y despliegue son planificar, programar y controlar el movimiento de los lanzamientos a entornos de prueba y en producción. Su objetivo principal es garantizar que se proteja la integridad del entorno productivo y que los componentes correctos sean liberados.
La implementación de procesos de gestión de liberación y despliegue bien estructurada ayuda a minimizar las interrupciones, mejorar la calidad del servicio y garantizar que los cambios se entreguen de manera controlada.
Beneficios
Los beneficios principales de una buena gestión de liberación y despliegue son los siguientes:
- Calidad de servicio mejorada: al gestionar las liberaciones de manera efectiva, se puede reducir el impacto negativo de los cambios en la calidad del servicio;
- Gestión de riesgos mejorada: identificar y gestionar los riesgos asociados con las liberaciones ayuda a minimizar las interrupciones en el entorno productivo;
- Mayor eficiencia: la optimización de los procesos de la liberación e implementación conduce a un uso más eficiente de los recursos.
Conceptos Principales
La gestión de la liberación incluye las actividades centradas en la planificación, programación y control del movimiento de lanzamientos a entornos de prueba y producción. Su objetivo principal es garantizar que se proteja la integridad del entorno productivo y que se liberen los componentes correctos. Abarca la supervisión de múltiples cambios y funciones que se agrupan en un único lanzamiento, garantizando que se integren y prueben en un entorno de preproducción antes de implementarse. Este proceso, a menudo documentado en un plan de lanzamiento, implica coordinación entre diferentes equipos, planificación de ventanas de lanzamiento, documentación de lanzamientos (por ejemplo, notas de lanzamiento) y comunicación y capacitación a las partes interesadas.
El despliegue, por otro lado, es el proceso de trasladar el lanzamiento a un entorno diferente (ensayo, prueba o en vivo/producción), o hacia las manos de los usuarios. Es más técnico e involucra las actividades necesarias para implementar el servicio nuevo o actualizado en producción. Esto incluye preparar el entorno de destino, instalar componentes, configurarlos para que coincidan con la configuración real y realizar las pruebas necesarias para garantizar que la implementación cumpla con los estándares requeridos.
Algunos otros conceptos de estos procesos son:
- Política de lanzamientos: un conjunto de reglas que guían cómo se gestionarán los lanzamientos dentro de la organización, incluido el momento de los lanzamientos, los requisitos de capacitación, las necesidades de documentación, la comunicación sobre los lanzamientos, etc.
- Paquete de lanzamiento: un conjunto de elementos de configuración (CI), hardware, software, documentación, etc., que se lanzarán juntos.
- Plan de despliegue: un plan detallado que describe cómo se trasladará el lanzamiento al entorno real.
- Entorno: se refiere a los ambientes de producción, prueba y desarrollo donde se construyen, prueban, implementan y administran los servicios.
Proceso
- Planificar el lanzamiento: definir el alcance, el cronograma y los recursos necesarios para el lanzamiento.
- Construir y probar: desarrollar un paquete de lanzamiento y realizar pruebas exhaustivas para garantizar que cumpla con los requerimientos funcionales y no funcionales. Considere probar los requisitos de usuario, seguridad, calidad y otros.
- Verificación de la preparación del lanzamiento: asegúrese de que todos los aspectos del lanzamiento estén completos y listos para su implementación; esto también puede incluir garantizar que la documentación del usuario esté actualizada y que los equipos de soporte hayan sido capacitados o estén listos para dar soporte del lanzamiento en el entorno de destino.
- Desplegar: mover el paquete de lanzamiento al entorno productivo de acuerdo con el plan de despliegue.
- Revisar y cerrar: después de la implementación, revise el proceso de lanzamiento para identificar las lecciones aprendidas y cierre formalmente el lanzamiento. Esto puede incluir el cierre de cualquier ticket de problema relacionado o incidentes que la implementación esperaba que resuelva. Todos los cambios incluidos en el lanzamiento ahora también deberían actualizarse.
Errores Comunes
- Falta de comunicación: la mala comunicación entre equipos puede provocar malentendidos y errores durante el proceso de la liberación;
- Pruebas inadecuadas: las pruebas insuficientes pueden dar lugar a lanzamientos que causen más problemas de los que resuelven;
- Planificación deficiente: sin una planificación exhaustiva, los lanzamientos pueden sufrir retrasos, escasez de recursos y variación del alcance;
- No gestionar los riesgos: no identificar ni gestionar los riesgos puede provocar problemas inesperados durante la implementación;
- Documentación inadecuada: no documentar adecuadamente el lanzamiento y sus componentes puede generar confusión y dificultades en la solución de problemas.
Proveer
La tercera etapa del enfoque ITSM.express incluye un enfoque integral para proteger, medir y mejorar los servicios de TI. Es aquí donde los servicios que fueron diseñados, construidos y entregados deben protegerse de las amenazas en el entorno operativo. Muchas de estas amenazas se identificarían y registrarían en un registro de riesgos en la Etapa de Definición, aunque las nuevas amenazas pueden y deben identificarse y gestionarse en todas las etapas. En esta etapa de provisión, también se debe garantizar que el proveedor de servicios esté cumpliendo las promesas hechas en etapas anteriores, midiendo el servicio y el desempeño del proveedor de servicios. En esta etapa también estamos llamados a comprometernos a mejorar continuamente los servicios ofrecidos a nuestros consumidores; se pueden identificar oportunidades de mejora a través de la medición de los servicios, y también a través de la innovación.
Proteger - Seguridad de la Información
Objetivos
Cuando se trata de seguridad de la información, se debe adoptar un enfoque basado en riesgos utilizando la guía de gestión de riesgos en la etapa de Definición. Una vez más, aquí se utiliza la norma ISO 31000 como guía de alto nivel. Una nota importante con respecto a la seguridad de la información es que todos en la organización proveedora de servicios, proveedores, socios y consumidores deben contribuir positivamente a la seguridad de la información. El horizonte de las amenazas a la información evoluciona constantemente, por lo que es importante mantenerse a la vanguardia actualizando periódicamente las evaluaciones de riesgos y las estrategias de mitigación. Este enfoque proactivo ayuda a mantener una postura eficaz de seguridad de la información y también garantiza el cumplimiento de las normas pertinentes de seguridad y privacidad de la información.
Tenga en cuenta que ISO/IEC 27001 es el estándar internacional para la seguridad de la información. Tiene muchos más requisitos y detalles sobre cómo ejecutar un sistema de gestión de seguridad de la información de los que se presentan aquí.
Proceso
Para identificar los riesgos de seguridad de la información, primero se debe entender qué es lo que se debe proteger. Es importante identificar y registrar los activos de seguridad de la información, entendiendo cuán críticos o valiosos son estos activos para el proveedor de servicios y para los consumidores. Los activos de seguridad de la información pueden incluir información física (por ejemplo, registros en papel), así como información digital y personal. Esto permite al proveedor de servicios aplicar niveles adecuados de protección a los activos de seguridad de la información.
Una vez que se conocen qué activos de seguridad de la información necesitan protección, se debe realizar una evaluación de riesgos exhaustiva, identificando las amenazas que estos activos podrían enfrentar. Es importante señalar que las amenazas no siempre son maliciosas: los activos de información también son vulnerables a fenómenos naturales (incendios, inundaciones, humedad) y amenazas accidentales. De acuerdo con el enfoque de gestión de riesgos descrito, evalúe las posibles amenazas y vulnerabilidades que podrían afectar estos activos. Al comprender la probabilidad y el impacto potencial de las diferentes amenazas, se puede priorizar en consecuencia cualquier tratamiento necesario de los riesgos de seguridad de la información.
El tratamiento implica desarrollar una estrategia para mitigar estos riesgos mediante la implementación de controles de seguridad sólidos. Esto incluiría establecer políticas y procedimientos claros para gestionar la información de forma segura, implementar controles de acceso físico y lógico y otros controles como protección contra malware y copias de seguridad. Los controles de seguridad de la información también incluirían la capacitación de los empleados sobre procedimientos operativos estándar (para desarrollar competencias y prevenir errores), así como capacitación sobre las mejores prácticas de seguridad.
Un subproceso importante en la seguridad de la información es el control de acceso, que forma parte tanto de la seguridad física (acceso al edificio, áreas seguras) como de la seguridad de las aplicaciones (acceso a aplicaciones y servidores).
Control de Acceso
El control de acceso se refiere a los procesos y tecnologías utilizados para administrar y monitorear el acceso a los recursos de red, aplicaciones y datos. Se utiliza para garantizar que sólo los usuarios y sistemas autorizados puedan acceder a determinada información y funcionalidades, mejorando la seguridad y el cumplimiento. El control de acceso es fundamental para mantener la confidencialidad, integridad y disponibilidad de la información. Al controlar quién tiene acceso a qué, las organizaciones pueden proteger los datos confidenciales del acceso no autorizado, evitar violaciones de datos y cumplir con los requisitos normativos.
La implementación del control de acceso implica definir políticas, roles y permisos que dictan a qué recursos pueden acceder los usuarios y qué acciones pueden realizar. Esto normalmente incluye procesos de autenticación, autorización y auditoría de usuarios, a menudo respaldados por sistemas de gestión de identidad y acceso (IAM) o tecnologías relacionadas.
Medición
Objetivos
Medir los servicios de TI de manera efectiva es crucial para comprender el desempeño, mejorar la prestación de servicios y alinearse con las necesidades de los consumidores y los objetivos comerciales.
En la sección Definir se describieron los informes del consumidor y el proveedor de servicios también debe medir los servicios y su desempeño para confirmar e informar que están brindando (o no) los niveles de servicio requeridos.
Beneficios
El conocimiento que se obtiene del análisis de datos debería ayudar al proveedor de servicios a tomar decisiones informadas. Esto podría implicar abordar áreas donde el rendimiento está en baja, reasignar recursos o realizar cambios en los servicios o procesos. Esto indica la contribución que la medición hace al siguiente proceso descrito en Proveer, mejora continua.
Conceptos Principales
Los servicios se miden por muchas razones, incluida la mejora de la satisfacción del consumidor, la reducción del tiempo de inactividad o la optimización del uso de recursos. Cuando se definen los informes de consumo de servicios es necesario establecer objetivos claros, métricas específicas medibles y sus metas. La medición es crítica para la gestión de reportes. Hay muchos servicios técnicos, no vistos por el consumidor, que contribuyen a los servicios de cara al cliente y que también deben medirse. Estas mediciones pueden contribuir a obtener información sobre el desempeño y a identificar eventos importantes que requerirían intervención para restaurar el desempeño y los niveles de servicio normales.
Proceso
Como parte de este proceso, se debe determinar qué datos recopilar y cómo se interpretarán y utilizarán para las métricas de desempeño, incluida la elección de las herramientas y procesos adecuados. Por ejemplo, el proveedor de servicios puede utilizar herramientas de seguimiento automatizadas para realizar un seguimiento del rendimiento del sistema o utilizar encuestas para medir la satisfacción del consumidor. Las actividades de medición, especialmente cuando están automatizadas, pueden generar grandes volúmenes de datos, por lo que es importante comprender qué datos se recopilan y por qué: ¿cuál es el valor de los datos para los objetivos de la organización?
Una vez que se implementan las herramientas, tecnologías y encuestas necesarias para recopilar datos, el proveedor de servicios debe garantizar que estas herramientas se integren adecuadamente con los sistemas dependientes y que capturen datos de manera precisa y consistente.
Los datos recopilados deben analizarse periódicamente para obtener información. Debe buscar tendencias, patrones y áreas de preocupación. Este paso a menudo implica el uso de herramientas de análisis de datos que pueden manejar grandes volúmenes de datos y proporcionar visualizaciones significativas, y pueden contribuir o incluso formar la base de las actividades y herramientas de gestión de eventos.
Los resultados resumidos que resalten preocupaciones, excepciones y tendencias deben incluirse en informes claros y concisos. Estos informes deben adaptarse a su audiencia; por ejemplo, los equipos técnicos pueden necesitar datos de desempeño detallados, mientras que la dirección ejecutiva, los propietarios y gerentes de servicios y los consumidores pueden preferir resúmenes de alto nivel.
Errores Comunes
Revisar y Ajustar: Los entornos de TI y las necesidades empresariales están en constante cambio, por lo que es importante revisar regularmente y, cuando sea apropiado, ajustar nuestras métricas, métodos de recopilación o técnicas de análisis. Esto garantiza que nuestras mediciones sigan siendo relevantes y estén alineadas con nuestros objetivos comerciales
Mejorar
Objetivos
Al igual que la gestión de riesgos y la seguridad de la información, todos en la organización del proveedor de servicios, los proveedores, los socios y los consumidores pueden contribuir positivamente a la mejora continua. La organización debe aprender de los comentarios de los clientes y de los datos recopilados, analizados e informados en Medición, para ayudar a realizar cambios iterativos que mejoren la prestación del servicio, satisfagan mejor los objetivos del servicio y las necesidades comerciales, o mejoren los propios objetivos del servicio.
Proceso
Un enfoque común y directo para la mejora continua implica los siguientes pasos:
- Identificar la oportunidad de mejora: Reconocer las áreas donde nuestro servicio no cumple con las expectativas, donde los procesos o procedimientos operativos son ineficientes o donde existen otras oportunidades de mejora. Estas oportunidades pueden identificarse a través de los comentarios de los clientes, métricas de rendimiento, gestión de riesgos, gestión de seguridad de la información o revisiones regulares del servicio.
- Comprender el estado actual: Examinar el servicio, proceso u otro objetivo existente para la mejora, para establecer una línea de base adecuada antes de la mejora y comprender qué mejoras se pueden realizar. Esto podría implicar examinar informes de incidentes, flujos de trabajo o asignación de recursos.
- Establecer objetivos claros y realistas: Una vez que se sabe qué necesita mejorar, la organización debe establecer objetivos claros y medibles que sean alcanzables. Las mejoras iterativas frecuentes y pequeñas a menudo muestran excelentes resultados con una interrupción o resistencia mínima. Sea claro acerca de lo que se desea lograr con la mejora. Esto podría ser tiempos de respuesta más rápidos, menos errores o mayor satisfacción del consumidor. En este paso, se debe determinar cómo se medirá el éxito de nuestra mejora y se deben establecer los objetivos esperados. Tiene sentido utilizar las mismas métricas o métodos de retroalimentación que identificaron la necesidad de mejora en primer lugar.
- Planificar la mejora: Basándose en el análisis, desarrollar un plan para implementar las mejoras. Esto debe incluir acciones específicas, recursos necesarios y un cronograma. Es importante ser realista y considerar posibles desafíos.
- Implementar la mejora: Poner en acción el plan. Esto puede implicar capacitar al personal en nuevos procedimientos, actualizar hardware o software, ajustar o eliminar pasos del proceso, agregar controles o cambiar los métodos de comunicación con los clientes.
- Monitorear y revisar la mejora: Después de implementar los cambios, monitorear de cerca el servicio para ver si las mejoras están funcionando, medir la mejora utilizando las métricas y objetivos planificados cuando establecimos los objetivos para la mejora. Basado en el monitoreo, puede ser necesario realizar ajustes adicionales a las mejoras realizadas.
La mejora del servicio no es algo de una sola vez, es continua, es un ciclo continuo de mejora, por lo que el siguiente paso es retomar el primer paso nuevamente, identificando el próximo objetivo de mejora.
Responder
Los Proveedores de Servicios deben comunicarse con los consumidores como parte de la provisión de servicios, específicamente con los usuarios finales de los servicios, independientemente de si el proveedor de servicios o el usuario inicia esta comunicación.
Es importante que existan medios de comunicación claramente definidos, que también proporcionen un registro de auditoría. La mejor manera de hacerlo es proporcionar un punto único de contacto, como una Mesa de Servicio; sin embargo, esto no debe confundirse con un único medio de contacto.
Los procesos de Responder están dirigidos por la comunicación facilitada por el punto único de contacto, y los sistemas implementados para facilitar esta comunicación proporcionan un medio de escalación, el seguimiento de actividades y estados, y la medición y gestión diaria.
Los procesos tradicionales que se encuentran en la etapa de RESPONDER son:
- Gestión de Solicitudes
- Gestión de Incidentes
- Gestión de Problemas
- Informe de Servicios
- Gestión de Actualización/Alertas hacia usuarios
El proceso de Respuesta descrito a continuación se presenta como un enfoque unificado para tratar las consultas de los usuarios, que incluye la Gestión de Incidentes, la Gestión de Solicitudes y la Gestión de Problemas. A este proceso unificado lo llamamos proceso de Respuesta. El punto único de contacto para la comunicación en torno al proceso de respuesta se llama Mesa de Servicio.
Mesa de Servicio
Objetivos
Los objetivos de una Mesa de Servicio son:
- Proporcionar un punto único de contacto para los consumidores de servicios (principalmente usuarios).
- Facilitar la restauración del servicio.
- Dirigir las solicitudes de los usuarios y facilitar los resultados.
- Proporcionar resolución de primer nivel de incidentes y solicitudes cuando sea posible.
- Registrar y rastrear la comunicación e intervenir si las actividades del proceso no cumplen con los estándares de calidad (generalmente especificados en un SLA); y
- Ser un canal para manejar eficazmente los inconvenientes cuando el proveedor depende del soporte de terceros (por ejemplo, gestión de escalación).
Beneficios
- Los usuarios saben exactamente a quién contactar y cómo contactar al proveedor de servicios.
- Los inconvenientes (principalmente incidentes) y las solicitudes de servicio se pueden registrar y gestionar para garantizar que se cumplan los estándares de servicio.
- Los datos registrados se pueden utilizar para:
- mejorar los servicios y componentes del servicio.
- informar sobre el rendimiento del proveedor de servicios; y
- comprender mejor el estado del servicio para mejorar el valor del servicio en el futuro.
Proceso
Una Mesa de Servicio típicamente:
- Registra las consultas de los usuarios (Incidentes y Solicitudes de Servicio).
- Responde a las consultas de los usuarios proporcionando soporte de primer nivel.
- Comunica con terceros de los que dependa el servicio.
- Proporciona retroalimentación a los usuarios.
- Mantiene informados a los interesados (por ejemplo, durante interrupciones del servicio).
- Informa sobre datos recopilados a los principales interesados.
El segundo punto es de particular importancia, ya que un agente de la mesa de servicio debe tener las habilidades técnicas y las herramientas para resolver y cerrar la mayoría de las consultas (incidentes y solicitudes) registradas en la mesa.
La Mesa de Servicio, especialmente en organizaciones pequeñas, también puede estar encargada de realizar otras actividades operativas como el monitoreo del servicio, realizar copias de seguridad y gestionar actividades de soporte operativo.
Errores Comunes
- Falta de comprensión del negocio (contexto del usuario)
El personal de la Mesa de Servicio debe entender cómo opera el negocio del consumidor e identificar de inmediato si una consulta de usuario se relaciona con un elemento crítico para el éxito del negocio.
Los Agentes de la Mesa de Servicio deben recibir formación básica para comprender los contextos de las consultas con las que pueden tener que lidiar durante sus tareas.
- Falta de comprensión técnica
Los Agentes de la Mesa de Servicio deben entender el diseño de los servicios y la dependencia entre los componentes del servicio, así como las habilidades técnicas asociadas para proporcionar resolución de primer nivel a la mayoría de los inconvenientes registrados en la mesa de servicio.
Es importante que los Agentes tengan una visión general de la arquitectura de los servicios. Esto les ayuda a identificar rápidamente los siguientes puntos de escalada si no pueden resolver un inconveniente por sí mismos.
Asegurarse de que los agentes de la mesa de servicio tengan suficiente conocimiento para tratar la mayoría de las consultas de los usuarios en el primer punto de contacto. Capacitarlos en el entorno técnico del cual necesiten prestar soporte y proporcionarles las herramientas adecuadas para resolver las consultas de los usuarios.
- Falta de información/datos correctos y de herramientas integradas
Una mesa de servicio no puede funcionar sin herramientas de soporte adecuadas. Dado que las herramientas de la mesa de servicio se utilizan a menudo para funciones de soporte y gestión técnica, se requiere una cuidadosa consideración, selección e inversión. Se necesita un sistema integrado de gestión de servicios para realizar este trabajo.
El soporte siempre será subóptimo a menos que los datos registrados sobre las consultas de los usuarios se puedan gestionar eficazmente en todo el horizonte del proveedor. Tres elementos son de particular importancia:
- Registrar los datos correctos para facilitar resultados de calidad del servicio.
- Configurar flujos de trabajo de manera sencilla y adaptable al tipo de consulta que se está tratando.
- Acceso libre y fácil a los datos sobre todas las consultas registradas y a otros datos que ayudarán en la resolución de una consulta.
- Falta de habilidades de comunicación y empatía:
Los proveedores de servicios deben invertir en capacitación que ayude a los agentes a comunicarse mejor y empatizar con los usuarios. Facilitar eficazmente resultados en este escenario no se trata sólo de habilidades técnicas; la satisfacción del usuario a menudo depende exclusivamente de sus interacciones con la mesa de servicio.
Midiendo los resultados exitosos
La medición del rendimiento de la Mesa de Servicio se puede realizar de varias formas y está estrechamente relacionada con el proceso de medición y la mejora continua en la fase de Proveer.
Medidas posibles para la mesa de servicio desde la perspectiva del usuario son:
- Facilidad para contactar a la Mesa de Servicio.
- Calidad de la resolución de consultas.
- Velocidad de resolución de consultas.
- Experiencia en la interacción con la Mesa de Servicio.
Medidas posibles para la mesa de servicio desde la perspectiva del proveedor de servicios son:
- Tiempo de respuesta a una consulta.
- Tiempo de resolución de la consulta.
- % de resolución en la Primera llamada.
- Número de llamadas por (período de tiempo) por agente atendidas.
- Número de llamadas por (período de tiempo) por agente resueltas.
- % de llamadas reabiertas - aunque algunos pueden estar en desacuerdo con la práctica de reabrir llamadas, es importante asegurarse de que una vez que las llamadas se cierren, la consulta se haya resuelto con éxito y se minimice la recurrencia - esto es lo que se mide aquí.
Gestionar Consultas de Usuarios
Aquí se presenta un proceso único y sencillo para manejar todas las consultas de usuarios- que pueden ser, en términos tradicionales de gestión de servicios, incidentes, solicitudes de servicio e incluso problemas.
Lo que se representa aquí es una base simple que siempre se puede ampliar a medida que evolucionan las necesidades organizativas; sin embargo, la complejidad conlleva muchos desafíos adicionales.
A menudo, las consultas de los usuarios no se resuelven por completo, ya que se implementan soluciones alternativas o temporales para restaurar rápidamente el servicio, sabiendo que la causa raíz de la interrupción no ha sido abordada. La orientación en esta sección se basa en la experiencia de que la mayoría de las organizaciones solo hacen un reconocimiento superficial de las causas raíz después del hecho, y como tal, aquí se describe un enfoque de “proceso único”.
El Proceso de Respuesta
Objetivos
El objetivo de este proceso es la disponibilidad continua de los servicios. El proceso garantiza facilitar la comunicación y las solicitudes de los usuarios, restaurar las interrupciones del servicio y asegurar que las interrupciones del servicio no vuelvan a ocurrir.
Beneficios
- Mejora de la productividad de los usuarios finales del servicio;
- Mejora de la productividad del personal del proveedor de servicios;
- Mayor satisfacción de los usuarios finales del servicio;
- Datos precisos sobre la degradación o interrupciones del servicio y facilita el diseño y la planificación del servicio;
- Facilita una mejor comprensión del costo de la indisponibilidad del servicio y del costo real del servicio.
Conceptos Principales
Este proceso trata tres conceptos y líneas de trabajo clave, y los proveedores que piensen que quieren separarlo en tres procesos distintos deberían sentirse libres de hacerlo. Sin embargo, creemos que hay tan pocas diferencias entre cómo se tratan los incidentes y las solicitudes que, en muchas organizaciones, la distinción es académica.
Durante décadas, hemos observado que cuando el manejo de incidentes (por ejemplo, indisponibilidad o degradación del servicio) se convierte en el enfoque principal, se descuida el tratamiento de la causa raíz después de la restauración del servicio (generalmente denominado gestión de problemas). Por lo tanto, creemos que un enfoque integrado está justificado y es prudente cuando se haya implementado.
Pero ¿cuáles son las incidencias, problemas y solicitudes que aborda este proceso?
Los incidentes son interrupciones del servicio o la degradación de un servicio que impide que un usuario obtenga el beneficio completo que se supone que el servicio debe ofrecer. Estos casos de interrupciones o reducción del desempeño del servicio son a menudo el resultado de algunos inconvenientes estructurales fundamentales dentro del diseño u operación del servicio, que a menudo no son obviamente visibles. Aun así, a menos que estos inconvenientes se aborden adecuadamente, volverán a ocurrir porque persisten las causas raíz de los incidentes. Abordar la causa raíz de los incidentes suele denominarse gestión de problemas.
Cualquier otra consulta que tenga un usuario sobre el uso del servicio es una solicitud. Esto incluye preguntas sobre su uso, acceso al servicio o funciones del servicio o acciones del proveedor del servicio para ayudar a los usuarios a maximizar los beneficios del uso del servicio. Estos a menudo incluyen solicitudes de resultados de servicios personalizados, consumibles utilizados en el suministro de servicios o resultados especiales, como reportes de servicio.
Tenga en cuenta que las solicitudes para proporcionar características de servicio nuevas o modificadas no se manejan como solicitudes de servicio sino más bien como solicitudes de cambio y son facilitadas por el proceso de gestión de cambios. Este proceso se puede utilizar para registrar dichas solicitudes y luego pasarlas al proceso que se ocupa del cambio y la personalización del servicio.
Sin embargo, muchos de los cambios que solicitan los usuarios suelen comprenderse bien y se conocen los riesgos. Se pueden gestionar cumpliendo la solicitud dentro de ciertos límites, y se puede enseñar al personal de soporte de primera línea cómo facilitar ese cambio estandarizado.
Las organizaciones asignan niveles de priorización a las solicitudes en función del impacto y la urgencia de la solicitud y los plazos asociados que influyen en la realización del efecto negativo.
Los servicios a menudo se restablecen mediante una solución temporal o una solución alternativa y, conceptualmente, un incidente se cierra una vez que el usuario puede reanudar sus funciones diarias normales.
Cabe señalar que incluso si parece que el incidente está cerrado, la causa raíz no se ha abordado y esto a menudo resulta en una mayor degradación del servicio, servicio inestable y más interrupciones del servicio, lo que pronto puede convertirse en un círculo vicioso.
En un enfoque tradicional de gestión de servicios, se utiliza un proceso separado (gestión de problemas) para encontrar las causas raíz e implementar soluciones permanentes; el único problema es que muy pocas organizaciones realmente lo hacen bien o no lo hacen en absoluto.
Proponemos un enfoque integrado de gestión de incidentes/problemas, y la evidencia sugiere que la probabilidad de que se aborden las causas de los incidentes es mucho mayor utilizando un enfoque integrado.
Todos los enfoques comunes para encontrar y erradicar la causa raíz de uno o más incidentes tienen lo siguiente en común.
- Definir cuál es el inconveniente;
- Encontrar la causa raíz: tenga en cuenta que un análisis causal no es necesario; el análisis de la causa raíz, como causa, puede tener una causa en sí misma: para solucionar un inconveniente de forma permanente, es necesario rastrear la causa de las causas hasta llegar a la raíz del problema;
- Implementar medidas para solucionar la causa raíz.
Una nota de precaución es apropiada aquí: no asuma que existe una única causa raíz; a menudo hay causas raíz.
No todas las solicitudes de los usuarios deberían incluir una evaluación de la causa raíz, pero aquellas con una alta prioridad definitivamente sí deberían incluirla.
Proceso
El proceso general para garantizar una respuesta integral a las consultas de servicio involucra los siguientes componentes.
- Registrar, clasificar y establecer la prioridad de la solicitud
Cuando se registran las solicitudes de los usuarios, los agentes de la mesa de servicio deben comprender los servicios lo suficientemente bien no sólo para registrar la consulta, sino también para clasificar correctamente el tipo de solicitud y asignarle una prioridad que esté alineada con el impacto o efecto comercial.
El registro generalmente incluye información como detalles del usuario, ubicación, servicio afectado y síntomas o los efectos típicos experimentados.
La clasificación implica decidir qué tipo de solicitud es (por ejemplo, una solicitud de información, una solicitud de derecho a un servicio o una degradación o falla del servicio, utilizada para desencadenar un flujo de trabajo específico) y, por último, el efecto en el negocio que se utiliza para definir una prioridad de la solicitud.
Según el tipo de solicitud, se puede utilizar un flujo de trabajo o procedimiento específico para permitir un cierre rápido de la solicitud.
- La Mesa de Servicio
Sólo por el hecho de que la mesa de servicio sea un único punto de contacto no significa que el teléfono sea la única fuente de acceso a la mesa de servicio. La mesa de servicio debe poder facilitar eficazmente las solicitudes de los usuarios independientemente del medio de contacto que haya realizado el usuario.
- Proveer Información
Las organizaciones suelen preparar una respuesta estándar a las preguntas más frecuentes (FAQ), una fuente útil para responder a las solicitudes de los usuarios. Esto puede realizarse en línea y también debería estar disponible para todos los agentes de la mesa de servicio.
Si la solicitud de información de un usuario no puede satisfacerse proporcionando una respuesta estándar, la mesa de servicio debe derivar la consulta al recurso de la organización que estaría mejor capacitado para hacerlo; nuevamente, se necesita conocimiento del negocio para hacer esto de forma eficaz.
- Derechos de Servicio
Los derechos de servicio son permisos para que los usuarios finales accedan a recursos, como el acceso a una aplicación o a un documento. Este tipo de consulta se puede manejar fácilmente en la mesa de servicio una vez que el agente valida el derecho.
Sin embargo, a veces también es necesario escalar los derechos de servicio a una persona con las habilidades, el acceso y la jerarquía para tratar este tipo de consulta específicamente.
- Restauración de Servicio
Restaurar servicios defectuosos o degradados a menudo requiere competencia técnica; sin embargo, no siempre se requiere un conocimiento técnico profundo si los esfuerzos anteriores se registran adecuadamente y se utilizan como base de datos de referencia.
Definir la posible solución a problemas de servicio que ocurren comúnmente en la mesa de servicio en un intento de mejorar las tasas de resolución en la primera llamada.
Si el agente de la mesa de servicio no puede resolver el incidente, debe tener suficiente conocimiento técnico para reenviar (escalar) la consulta al recurso técnico que probablemente pueda resolver el incidente.
Si los incidentes se escalan, la mesa de servicio debe controlar el progreso y validar con los usuarios que el incidente se resolvió satisfactoriamente cuando el recurso técnico y el usuario final indiquen que el incidente se resolvió.
Aquí se inserta un subproceso, generalmente definido como un proceso separado llamado gestión de problemas.
Antes de que se puedan cerrar los incidentes, la mesa de servicio debe determinar si el incidente es de naturaleza crítica con un impacto de negocio significativo o no. Si la respuesta es afirmativa, el incidente no se puede cerrar, sino que se debe asignar a un recurso técnico de mayor nivel para el análisis de la causa raíz. En este caso, el incidente sólo se puede cerrar una vez que se identifica y aborda la causa raíz de la degradación o falla del servicio.
- Abordar las Causas Raíz
Todas las degradaciones y fallas del servicio que tuvieron un efecto material en el negocio del consumidor deben investigarse más a fondo (después de la restauración del servicio) para determinar la causa raíz de estas interrupciones. Dado que estas interrupciones tuvieron un efecto material en el negocio, el proveedor de servicios no puede dejar de garantizar que la interrupción o degradación del servicio no vuelva a ocurrir en el futuro.
El método elegido para hacerlo depende del proveedor del servicio.
La única recomendación específica que queda aquí es que es poco probable que esta tarea se asigne a un individuo, ya que ninguna persona tendría las habilidades necesarias para mirar el problema desde diferentes ángulos. La mejor manera de resolver problemas es utilizando un equipo multidisciplinario de expertos técnicos y del negocio para llegar realmente al fondo de la causa o causas de la degradación o interrupción del servicio.
Una vez que se encuentran las causas raíz, se deben tomar medidas para abordar el problema de forma permanente. Esto a menudo implica acciones que requieren una evaluación formal de la realización de estos cambios y deben ser manejadas por el proceso de Cambio.
- Cierre y Reporte
Todas las solicitudes deben revisarse y cerrarse formalmente; a menudo esto puede ser tan simple como preguntar al usuario que registró la solicitud si está satisfecho con la respuesta y la resolución ofrecida.
Sin embargo, una revisión formal y la implementación de acciones correctivas (abordando la(s) causa(s), generalmente sujetas a una gestión de cambios) son los criterios de cierre final para la degradación del servicio y fallas que tuvieron un efecto material en el negocio.
En estos casos, también es prudente evaluar las tendencias de las consultas para validar que el área abordada haya mostrado una marcada mejora en términos de la calidad del servicio brindado. Utilizar análisis de tendencias para evaluar la disponibilidad del servicio y la mejora de la capacidad.
El acceso a la mesa de servicio y a los datos del proceso de resolución debe ser accesible y anonimizado cuando se trata de información privada antes de ser compartida por otras disciplinas de servicio.
Se proporcionará orientación más detallada en el proceso de reportes de servicios.
Errores Comunes
- Las actividades de respuesta sólo son efectivas si en la organización se mantiene un enfoque disciplinado para registrar, rastrear, responder y resolver inconvenientes. Esto a menudo significa una educación significativa del cliente y del personal del proveedor de servicios. Todos deberían entender qué se hace, cómo se hace y qué esperar.
- Los agentes de la mesa de servicio que no pueden resolver la mayoría de las consultas en el primer punto de contacto no son útiles y no brindan el nivel correcto de servicio. Se debe evitar el enfoque típico de captura y despacho adoptado por muchas organizaciones: este no es una Mesa de Servicios, ya que no tiene la capacidad de brindar valor de servicio a los usuarios y otros consumidores. Los agentes de la mesa de servicio deben estar bien capacitados en este proceso y tener las habilidades, la información y la tecnología adecuadas para facilitar la resolución fluida de las consultas de los usuarios.
- Los métodos de comunicación deben adaptarse al contexto en el que se implementan. Tenga cuidado al implementar el registro de autoayuda de incidentes donde las habilidades del usuario y la comprensión del contexto del servicio no son significativas. Enviar un correo electrónico donde alguien de la mesa de servicios necesita devolver la llamada y volver a registrar la consulta no es productivo y prolonga las interrupciones positivas del servicio.
- Garantizar que se investiguen más a fondo las causas raíz de todas las degradaciones y fallas del servicio que tuvieron un efecto material en el negocio y que se implemente una solución permanente para abordar la(s) causa(s).