Es fundamental definir un alcance adecuado y útil de los servicios TI que están bajo la gestión del sistema de gestión de servicios de TI (SGSTI) en ISO/IEC 20000-1. Dentro de la familia de documentos técnicos de ISO/IEC 20000, tenemos la ISO/IEC 20000-3, que es la guía de buenas prácticas que se debe considerar por los CTOs/CPOs para definir correctamente el alcance y ámbito del SGSTI, en relación con los servicios que provee de forma interna a su organización o de forma externa a sus clientes, ya sea en modalidad on-premise o en cloud (IaaS, PaaS, SaaS). El objetivo de este estándar es definir el mejor alcance, considerando los diferentes escenarios que propone, y así obtener una mejor y más adecuada gestión de los servicios de TI con ISO/IEC 20000-1; la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile – DevSecOps y la servitización, orientado a objetivos de negocio
- Solución a la definición de alcances en ISO 20000-1 con la ISO 20000-3
Como se explicaba en anteriores artículos, son 3 las normas/estándares básicos que se deben considerar para una implantación (y posible auditoría de certificación) de un Sistema de Gestión de Servicios de TI. Estos son lo que llamábamos la triada perfecta: ISO/IEC 20000-1, ISO/IEC 20000-2 y la ISO/IEC 200000-3.
La ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo. Para que las organizaciones tengan un mayor detalle y/o explicación/aclaración de los QUE de la ISO/IEC 20000-1, se desarrolló la Guía de Implantación denominada ISO/IEC 20000-2. Esta guía (no certificable) complementa y desarrolla con más profundidad y con ejemplos, los requisitos de la ISO/IEC 20000-1. Es decir, detalla el COMO se podría hacer, siempre considerando la estructura, tecnología y los servicios de TI que provee la organización. No olvidemos, que la norma/estándar se debe adaptar a las organizaciones.
La ISO/IEC 20000-3, es una guía/documento técnico que orienta sobre la definición del alcance y la aplicabilidad a los requisitos especificados en ISO/IEC 20000-1. Este documento técnico, para el alcance de un SGSTI, propone diferentes escenarios para la provisión de servicios y que procesos se pueden prestar en outsourcing por otros proveedores (por ejemplo, gestión de incidencias, problemas, etc.), salvo el ciclo de mejora continua (Sistema de Gestión de Servicios de TI) que debe estar implantado en la organización responsable de la provisión de los servicios de TI.
- ISO/IEC 20000-3: Directrices para la definición del alcance y aplicación de ISO/IEC 20000-1
Como es conocido, la ISO/IEC 20000-1 tiene un apartado que trata el alcance del SGSTI dentro del catálogo y portfolio de servicios de TI
Adicionalmente la ISO/IEC 20000-3 como guía técnica nos orienta a que el alcance tenga que:
- ser tan simple como sea posible;
- ser entendible sin el conocimiento detallado de la organización del proveedor de servicios de TI;
- incluir suficiente información para utilizarla en la evaluación de conformidad (posible certificación);
- estar redactada de manera que todas las exclusiones queden claras;
Y las características a considerar por el proveedor de servicios de TI son las siguientes:
- unidades organizativas que prestan servicios, por ejemplo, un único departamento, un grupo de departamentos o todos los departamentos;
- servicios ofrecidos, por ejemplo, un único servicio, un grupo de servicios o todos los servicios, servicios financieros, servicios de distribución, servicios de e-mail;
Un ejemplo de alcance podría ser:
- El SGSTI de <nombre de la unidad organizativa del proveedor del servicio> que presta el servicio de <servicio(s)>.
- El SGSTI del área de servicios gestionados de red para los servicios de Cloud Contact Center, Virtual SOC, y Hosting de acuerdo al catálogo de servicios TI vigente[1]
El proveedor del servicio no debería incluir los nombres de terceros u organizaciones externas, aunque contribuyan en el SGSTI y los servicios.
El proveedor del servicio puede definir el alcance de su SGSTI geográfica u organizacionalmente idéntico al alcance de otros sistemas de gestión. Por ejemplo, un Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001
En la siguiente tabla se enumeran los escenarios más habituales indicados en el Anexo B de ISO 20000-3, con una breve descripción
Tabla 1. Resumen de los posibles escenarios definidos en ISO/IEC 20000-3 para una correcta implantación de un Sistema de Gestión de Servicios de TI
3. Conclusiones
La ISO/IEC 20000-3 Ilustra cómo puede ser definido el alcance de un SGSTI conforme a ISO/IEC 20000-1 con ejemplos sencillos y otros más complejos basados en escenarios. (considerando en muchos casos las diferentes formas de proveer un servicio de TI en una cadena de suministro).
Estos escenarios y ejemplos se han mostrado en esta segunda parte del artículo, dando la visión global, más habitual y pragmática para una correcta definición de alcances, considerando la provisión de servicios de TI como una actividad que debe ser gestionada por la entidad principal, pudiendo delegar determinados procesos se la ISO 20000-1 en otros proveedores. Pero manteniendo siempre el control y coordinación sobre ellos.
Así, la utilización estandarizada en la definición y redacción de alcances en ISO/IEC 20000-1 nos va a permitir hablar un lenguaje de Servicios de TI común y orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones.
En definitiva, definir el mejor alcance utilizando la potencia de la ISO 20000-3, considerando los diferentes escenarios que propone, y así obtener una mejor y más adecuada gestión de los servicios de TI con ISO/IEC 20000-1 la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud (IaaS, PaaS, SaaS), Agile – DevSecOps y la servitización, orientado a objetivos de negocio
CISA, CISM – Team Leader itsm4iso20000 de itSMF España