Los servicios de TI con ISO 20000 en constante transformación
En artículos anteriores, se han presentado los diferentes estándares/normas y documentos técnicos que forman la familia de ISO20000, donde la ISO/IEC 20000-1 es la referencia para la implantación y posible certificación de un Sistema de Gestión de Servicios de TI, que se adapta constantemente a la realidad en la que las organizaciones provean sus servicios de TI (internos/externos – on-premise / cloud).
Destacar la relevancia, entre toda la familia de documento de ISO/IEC 20000, de la ISO/IEC 20000-2, que es la guía de implantación de los requisitos de la ISO/IEC 20000-1, junto con la ISO/IEC TR 20000-9
A lo largo del artículo se describirá brevemente sus objetivos y como se deben considerar para su correcta aplicación, para obtener una mejor y más adecuada gestión de los servicios de TI en las organizaciones (on-premise / cloud), orientado a objetivos de negocio y considerando las nuevas tecnologías emergentes y disruptivas ya presentes en las organizaciones que impulsan la transformación digital.
- Revisión de principales características en ISO 20000-1 – SGSTI
Ya todos conocemos la última versión publicada en 2018 de ISO 20000-1 (Sistema de Gestión de Servicios de TI – SGSTI), la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile – DevSecOps y la servitización; es decir, la adaptación de los servicios de TI a los nuevos entornos digitales y negocios; es decir, su contante transformación.
En definitiva, el objetivo de la nueva versión ha sido facilitar a las organizaciones una entrega de servicios de TI alineados con las necesidades y objetivos de los negocios actuales, con calidad, seguridad y valor añadido para los clientes y stakeholders, adaptándose a su realidad.
Se puede decir que este estándar es un commodity para las áreas de producción/explotación de TI, ya que es una metodología pragmática e industrializable.
En el momento actual, los directivos, y concretamente el CIO con su CTO/CPO deben continuar con la transformación digital en sus organizaciones, sin olvidar que la crisis sanitaria mundial por el COVID-19 les ha obligado a centrarse en tres cuestiones básicas:
- Optimizar los costes de TI,
- apoyar y asegurar la provisión de servicios colaborativos para el teletrabajo, y
- garantizar la continuidad de los servicios de TI ofrecidos.
Son precisamente, aquellas organizaciones que han implantado un Sistema de Gestión de Servicios de TI conforme a ISO/IEC 20000-1 o incluso han seguido las mejores prácticas de ITIL4 quienes estarán en disposición de poder superar las cuestiones anteriores y focalizarse en la transformación digital apoyando al negocio; donde no se debe olvidar la ISO 20000-2, como guía de implantación.
- ISO/IEC 20000-2: Guidance on the application of service management systems: tu compañero de viaje para implantar ISO 20000-1
Como ya hemos indicado, la ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo.
Para que las organizaciones tengan un mayor detalle y/o explicación/aclaración de los QUE de la parte 1 de ISO/IEC 20000-1, se desarrolló la Guía de Implantación denominada ISO/IEC 20000-2. Esta guía (no certificable) complementa y desarrolla con más profundidad y con ejemplos, los requisitos de la ISO/IEC 20000-1.
Es decir, detalla el COMO se podría hacer, siempre considerando la estructura, tecnología y los servicios de TI que provee la organización. No olvidemos, que la norma/estándar se debe adaptar a las organizaciones.
La ISO/IEC 20000-2 describe con mayor detalle la importancia de implantar un SGSTI, indicando que es una decisión relevante para una organización y debe considerar los por los objetivos de la organización, otras partes involucradas en el ciclo de vida del servicio y la necesidad de
Para aportar valor, la estructura de la ISO/IEC 20000-2, a partir de la cláusula 4, ofrece tres secciones por cláusula o subcláusula:
- a) Actividades requeridas: un resumen de las actividades requeridas por esta cláusula en la norma ISO/ IE C 20000-1;
- b) Explicación: una explicación del propósito de la cláusula y una orientación práctica sobre el contenido de la misma, incluyendo ejemplos y recomendaciones sobre cómo implementar los requisitos de la norma ISO/ IEC 20000-1.
- c) Otra información: orientación sobre las funciones y responsabilidades y sobre la información documentada que apoya la aplicación de un SGSTI. También puede incluirse más información relevante.
- ISO/IEC TR 20000-9. La solución de ISO 20000-1 para Cloud.
Como sabemos, la familia de estándares de ISO 20000 dispone de un estandar para cubrir las necesidades del cloud: la ISO/IEC TR 20000-9. (Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud Service)
Este estándar/norma proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en Cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros.
Asimismo, considera la prestación de los servicios en cualquier tipo de Cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service). Por lo tanto las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), en modo interno/local (on-premise) o externalizado/cloud (Outsourcing) permiten que la ISO 20000-1 junto con la ISO/IEC TR 20000-9 aporten la herramienta o solución más adecuada para la provisión de servicios de TI de forma local o en cloud (ver figura 1).
Figura 1. Relación ISO 20000-1 e ISO 20000-9
- Conclusiones
La implantación de un sistema de gestión de servicios de TI conforme a ISO 20000-1 tiene en cuenta las tecnologías emergentes del mercado en la gestión de servicios como Cloud, Agile, DevSecOps o Servitización.
Si bien, una forma más eficaz y exitosa en el cumplimiento de los objetivos, es utilizar como referencia y consulta, la ISO/IEC 20000-2 para disponer de las mejores prácticas a través de orientaciones y ejemplos.
De esta forma, como guía de implantación, también nos va a permitir implantar un SGSTI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.
Pero también, la utilización de la ISO/IEC TR 20000-9 como complemento a un SGSTI-ISO 20000-1 (y la citada guía ISO/IEC 20000-2) es muy útil para adaptarse a la contante transformación de los servicios de TI:
- organizaciones cuyo catálogo de servicios incluyen servicios en la nube. (en cualquiera de las modalidades indicadas anteriormente)
- organizaciones que se enfrentan a cambios en sus servicios existentes como parte de una migración a la computación en la nube. ISO 20000-1 puede ser utilizado por proveedores de servicios que ofrecen servicios dedicados o compartidos a clientes internos y externos
• organizaciones que deseen innovar y adaptarse a las nuevas tecnologías emergentes con sostenibilidad, tal y como afirma Carlos Manuel Fernández, en su libro de Modelo de Gobierno y Gestión de las TIC con ISO.
En definitiva, y en palabras de Carlos Manuel Fdez., vicepresidente de itSMF España: “la familia de estándares ISO 20000 están preparados para su robotización con IA. El futuro ya está aquí y será cada día más automatizada la gestión de los servicios de TI con inteligencia empresarial (IA, ML, DL) es decir, la servitización inteligente con calidad, ciberseguridad, resiliencia, sostenibilidad y economía”
CISA, CISM – Team Leader itsm4iso20000 de itSMF España