Hablar de servicios en Cloud (nube) ya no es ninguna novedad. Hablar de Servicios de TI en modalidades SaaS, PaaS y IaaS en la nube ya no es ciencia ficción. Sin embargo, su control y gestión siguen siendo un quebradero para los departamentos de TI, para su CTO.
Para ello, ISO publicó la guía técnica ISO 20000-9, que tomando de base la norma ISO/IEC 20000-1 (Sistema de Gestión de Servicios de TI), explica y detalla un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los servicios de TI en Cloud. Tanto para un proveedor de servicios en Cloud, como para migrar los servicios de TI On-Premise a Cloud, en cualquier modalidad SaaS, PaaS e IaaS.
1. Revisión de principales características en ISO 20000-1 y su relación con ISO 20000-9
Ya todos conocemos la última versión publicada en 2018 de ISO 20000-1 (Sistema de Gestión de Servicios de TI – SGSTI), la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile–DevOps y la servitización; es decir, la adaptación de los servicios de TI a los nuevos entornos digitales y negocios.
En este estándar también se ha considerado la gestión de múltiples proveedores, ya sea por parte de un integrador de servicios interno o externo, así como, la necesidad de determinar el valor de los servicios para los stakeholders y clientes.
Por otra parte, la familia de estándares de ISO 20000, dispone en su catálogo el estándar específico para cubrir las necesidades del cloud:
- La norma ISO/IEC TR 20000-9. (Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud Service).
Este estándar/norma proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en Cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros.
Asimismo, considera la prestación de los servicios en cualquier tipo de Cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service).
Por lo tanto las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), en modo interno/local (on-premise) o externalizado/cloud (Outsourcing) permiten que la ISO 20000-1 junto con la ISO/IEC TR 20000-9 aporten la herramienta o solución más adecuada para la provisión de servicios de TI de forma local o en cloud (ver figura 1).
Figura 1. Relación ISO 20000-1 e ISO 20000-9
2. Características y Estructura de ISO/IEC TR 20000-9
Las 2 principales características de ISO/IEC 20000-9 son:
1. Aplicable a cualquier modalidad de cloud
- infraestructura como servicio (IaaS)
- plataforma como servicio (PaaS)
- software como servicio (SaaS)
2. Aplicable a los diferentes tipos de cloud: la nube pública, privada, e híbrida
La aplicabilidad de ISO 20000-1 es independiente del tipo de tecnologías o modelo de servicio TI utilizado para la prestación de servicios. Todos los requisitos de ISO 20000-1 pueden ser aplicables a los proveedores de servicio en la nube.
Hay que indicar que la estructura de ISO 20000-9 no es la estructura habitual de Sistema de Gestión (Estructura de alto nivel) de ISO, como las que tienen la ISO 20000-1 o ISO 27001.
Esta estructura se organiza en base al concepto de escenarios, si bien podemos entenderlos como procesos/actividades en el ciclo de vida del servicio en la nube. En la tabla 1 se muestran los 15 procesos/actividades (escenarios) de ISO 20000-9.
Cada escenario incluye:
- referencias a los procesos y requisitos más relevantes especificados en ISO 20000-1, pudiendo haber alguna consideración adicional
- recomendaciones y ejemplos de cómo los diferentes apartados/procesos de ISO 20000-1 pueden ser aplicables a los servicios en la nube.
Por último, cada proceso de ISO 20000-1 puede estar en 1 o varios escenarios.
Así los 15 escenarios (ver tabla 1) desarrollan un roadmap, en pasos:
- Se inicia identificando el contexto para la gestión de servicios en la nube y se elabora una estrategia y un plan de implementación.
- Esto conduce a la preparación de un catálogo de servicios en la nube, incluidos los requisitos de servicio correspondientes.
- A esto le siguen actividades como el desarrollo de nuevos servicios en la nube, el establecimiento de relaciones de servicio con los clientes de la nube y la elaboración de acuerdos de servicios en la nube.
- En última instancia, se modelan las actividades para la entrega y operación, la monitorización y la generación de informes, la gestión de recursos y la revisión/ optimización de los servicios en la nube.
- Se concluye, ISO 20000-9 con la finalización de los contratos de servicios en la nube y transferir y eliminar los servicios en la nube.
A modo de conclusión la utilización de la ISO 20000-9 como complemento a un SGSTI-ISO 20000-1 es útil para:
– organizaciones cuyo catálogo de servicios incluyen servicios en la nube. (en cualquiera de las modalidades indicadas anteriormente)
– organizaciones que se enfrentan a cambios en sus servicios existentes como parte de una migración a la computación en la nube. ISO 20000-1 puede ser utilizado por proveedores de servicios que ofrecen servicios dedicados o compartidos a clientes internos y externos
– organizaciones que deseen innovar y adaptarse a las nuevas tecnologías emergentes con sostenibilidad, tal y como afirma Carlos Manuel Fernández, en su libro de Modelo de Gobierno y Gestión de las TIC con ISO.
Entre todos estamos construyendo ese itSMF España que siempre habías imaginado: plural, transparente, activo e influyente. ¿A qué esperas? Únete a él.
Boris Delgado Riss
Team Leader del Grupo de Expertos en la serie de normas ISO20000: ITSM4ISO20000
Comité de Estándares de itSMF España