La dirección de INFORMÁTICA CATRIAN, dentro de la estrategia definida para el desarrollo del negocio, considera la correcta gestión de los servicios TI un aspecto fundamental para garantizar la consecución de los objetivos de negocio definidos.
Por ello, se compromete a velar por la adecuada gestión de los servicios TI prestados por la organización, con objeto de ofrecer a todos sus grupos de interés las mayores garantías en cuanto a la calidad de dichos servicios.
Los objetivos de la presente política de gestión de los servicios TI son:
- Asegurar que los servicios TI se hallan alienados con las necesidades de sus clientes y usuarios.
- Mejorar la comunicación entre el personal que participa en la prestación de los servicios TI y los clientes y usuarios de dichos servicios.
- Incrementar la eficacia y eficiencia de los procesos internos de prestación de los servicios TI.
- Ofrecer a los clientes y usuarios servicios de mayor calidad, a la vez que incrementar su satisfacción con dichos servicios.
Para desarrollar esta política, la Dirección de INFORMÁTICA CATRIAN se comprometió a planificar, establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de servicios de tecnologías de la información (SGSTI) basado en la norma UNE-ISO/IEC 20000-1:2018, que cubre de forma adecuada todos los requisitos necesarios para garantizar que los servicios TI, contemplados en el alcance, ofrecen los niveles de calidad requeridos por sus destinatarios y se gestionan de acuerdo a las exigencias contempladas en dicha norma. Este compromiso se traduce en los siguientes principios:
- Nombrar un responsable del SGSTI que se encargue de gestionar el sistema y vele por el desarrollo, mantenimiento y mejora del mismo.
- Efectuar un análisis de las necesidades existentes en torno a la prestación de servicios TI y desarrollar los servicios necesarios para ofrecer una respuesta adecuada a dichas necesidades.
- Cumplir todos los requisitos legales, normativos y reglamentarios aplicables.
- Desarrollar una completa estructura de gestión que regule las condiciones en que la organización, dentro del alcance fijado, debe desarrollar su actividad para respetar los requerimientos establecidos.
- Destinar los recursos y medios necesarios para desarrollar los servicios con los niveles de calidad exigidos por sus destinatarios, manteniendo un adecuado balance entre coste y beneficio.
- Establecer un plan de formación y concienciación en materia de gestión de servicios TI, que ayude a todo el personal implicado a conocer y cumplir las actividades de gestión definidas y a participar de manera activa en la gestión de los servicios TI.
- Desarrollar todas las medidas necesarias para garantizar que los niveles de calidad ofrecidos por los servicios se mantienen en el tiempo, gestionando adecuadamente las incidencias que puedan producirse en relación con los mismos.
- Establecer periódicamente un conjunto de objetivos e indicadores en materia de gestión de servicios TI, que permitan a la dirección llevar a cabo un adecuado seguimiento tanto de los niveles de servicio ofrecidos como de las actividades de gestión desarrolladas en torno a ellos.
- Establecer una metodología de revisión, auditoría y mejora continua del sistema siguiendo un ciclo PDCA que garantice el mantenimiento continuo de los niveles de calidad deseados.
- Establecer un proceso de medición periódica de la satisfacción del cliente, permitiendo identificar acciones de mejora que permitan incrementar el nivel de satisfacción.
Para que estos principios se articulen de forma adecuada, INFORMÁTICA CATRIAN establece una serie de directrices en torno a las actividades de gestión de los servicios TI desarrolladas por la organización. Estas directrices son:
- Todo el personal relacionado con la prestación de servicios TI debe medir, revisar y mejorar continuamente las características de los servicios TI prestados a los usuarios. Se establecerán niveles de servicio por defecto para cada para cada uno de los servicios provistos por la organización, y se habilitarán los mecanismos oportunos para que puedan acordarse con cada cliente unos niveles de servicio específicos si así lo desean. Dichos acuerdos de nivel de servicio deberán ser formalmente documentados, y en ellos se especificarán los niveles a cumplir para cada una de las características del servicio. Todo el personal velará porque los servicios prestados cumplan con dichos acuerdos de nivel de servicio.
- Todos los servicios TI proporcionados deberán estar adecuadamente monitorizados con objeto de que la organización sea capaz de proporcionar a los clientes de cada servicio toda la información necesaria para realizar el seguimiento de todas las características relevantes de los mismos.
- Todo el personal participará en la identificación de los requerimientos de disponibilidad y continuidad de los servicios TI proporcionados por la organización. Estos requisitos serán adecuadamente implementados, y de forma periódica se planificará, medirá y monitorizará la disponibilidad de los servicios TI y la infraestructura que los soporta, para así verificar que los requisitos se cumplen y mejoran progresivamente. Además, se llevarán a cabo pruebas de continuidad y se desarrollarán planes de acción para corregir las desviaciones que puedan producirse frente a los resultados deseados.
- Todos los servicios TI prestados por la organización estarán adecuadamente presupuestados, considerando tanto los costes directos como los indirectos, e incluyendo en dichos presupuestos los costes iniciales y los derivados del mantenimiento periódico de los activos asociados a cada servicio. Estos presupuestos se contrastarán con los resultados de la contabilidad asociada, a fin de llevar un adecuado seguimiento de los costes reales y disponer de la información necesaria para corregir y mejorar el control de los costes de los servicios TI.
- Todo el personal implicado en la prestación de servicios TI cuidará de que los servicios ofrecidos satisfagan las demandas de servicio de sus respectivos usuarios. Se llevarán a cabo análisis y mediciones para asegurar que tanto las necesidades de capacidad actuales como las futuras son adecuadamente satisfechas, garantizando que las demandas de capacidad de los clientes son atendidas del modo más eficiente posible.
- Se analizarán los riesgos de seguridad de la información de todos los servicios TI prestados por la organización, y se establecerán los controles asociados necesarios para mitigar los riesgos identificados. Estos controles de seguridad se desarrollarán de acuerdo a las directrices recogidas en la normativa de seguridad de la información.
- Se celebrarán reuniones periódicas con los clientes de los servicios TI prestados por la organización para identificar sus necesidades, efectuar un seguimiento del nivel de satisfacción en relación con los servicios prestados e identificar cualquier cambio o petición de mejora de los servicios ofrecidos. Asimismo, se adoptarán las medidas oportunas para gestionar las reclamaciones que puedan tener los clientes en lo concerniente a los servicios prestados.
- Se establecerán acuerdos de nivel de servicio con los subcontratistas y suministradores involucrados en la prestación de servicios TI, a fin de asegurar que los niveles de servicio que dan cumplen con los niveles de servicio que la organización ha suscrito con sus clientes. Se hará un seguimiento y monitorización de los niveles de servicio recibidos para identificar y corregir cualquier tipo de desviación que pueda afectar a los servicios ofrecidos a los clientes.
- Todas las personas de la organización implicadas en la prestación de servicios TI participarán en la gestión de los incidentes relacionados con los servicios provistos, con objeto de restablecer con la máxima celeridad posible los niveles normales de operación de los servicios y minimizar los impactos adversos de dichos incidentes en la organización, asegurando que se mantienen los niveles de calidad y disponibilidad pactados en los acuerdos de nivel de servicio.
- Todos los problemas identificados, tanto a raíz de las actividades de identificación preventiva como los escalados a partir de un incidente, serán adecuadamente analizados hasta identificar la causa subyacente del error, y se establecerán las acciones necesarias para subsanar o paliar sus efectos.
- Todo el personal involucrado en la gestión de servicios TI registrará, mantendrá y llevará a cabo un adecuado seguimiento de los elementos de configuración a su cargo y sus características. Para ello se establecen los siguientes principios:
- Proporcionar toda la información precisa para registrar las características significativas de los elementos de configuración.
- Suministrar toda la información imprescindible para el resto de los procesos de gestión de los servicios TI (gestión financiera, de incidentes, de problemas, de cambios, de versiones, etc.).
- Verificar periódicamente que los registros de configuración se mantienen actualizados, y corregir los desajustes que puedan generarse.
- Todos los cambios que se produzcan en relación a cualquier aspecto de los servicios TI, provistos por la organización, deberán haber sido iniciados por una propuesta de cambio formal y autorizados de acuerdo a un procedimiento regulado. Todos los cambios que se produzcan serán revisados y validados de manera formal de acuerdo al procedimiento mencionado.
- Los servicios nuevos y las modificaciones en los existentes con potencial de tener un gran impacto en los servicios o el cliente deberán gestionar de acuerdo a un proceso documentado que asegure la planificación, diseño, cambio y entrega con los costes y calidad acordados.
- Todo el personal que participe en la prestación de servicios TI deberá asegurar que las nuevas versiones de los elementos de configuración se pasan a producción siguiendo los procedimientos establecidos. Estos procedimientos deberán garantizar que solo después de superar un proceso de planificación, diseño, desarrollo, configuración y testeo formales se ponen en producción las nuevas versiones, garantizando así que son versiones estables.
La presente política es conocida y suscrita por todo el personal de INFORMÁTICA CATRIAN contemplado en el alcance, conforme a las exigencias de la dirección.
Esta política será revisada con una periodicidad máxima anual, y sus cambios deberán ser aprobados por la dirección de la organización.
En Tres Cantos, a 15 de Enero de 2021