Una organización que preste servicios de TI en Cloud, tiene al mejor aliado: el binomio formado por ISO 200000-1 y la ISO/IEC TR 20000-9, que proporcionan un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los servicios de TI en Cloud, tanto para un proveedor de servicios en Cloud como para migrar los servicios de TI On-Premise a Cloud.
- Revisión de principales características en ISO 20000-1 – SGSTI
Ya todos conocemos la última versión publicada en 2018 de ISO 20000-1 (Sistema de Gestión de Servicios de TI – SGSTI), la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile – DevOps y la servitización; es decir, la adaptación de los servicios de TI a los nuevos entornos digitales y negocios.
En este estándar también se ha considerado la gestión de múltiples proveedores, ya sea por parte de un integrador de servicios interno o externo, así como la necesidad de determinar el valor de los servicios para los stakeholders y clientes.
Además, contempla otros aspectos, como los cambios en la denominación de algunos conceptos. Por ejemplo, “proveedor de servicio” por “organización” o Base de Datos de Configuración (CMDB) como “información de configuración”. Asimismo, se han separado los apartados que se combinaron previamente para los procesos de gestión de incidencias, de peticiones de servicio, de la continuidad de servicio, de la disponibilidad de servicio, de niveles de servicio, de catálogo de servicios, de la capacidad y de la demanda. También se han simplificado determinados requisitos y la información documentada requerida, dejando sólo documentos clave del Sistema de Gestión.
En definitiva, el objetivo de la nueva versión ha sido facilitar a las organizaciones una entrega de servicios de TI alineados con las necesidades y objetivos de los negocios actuales, con calidad, seguridad y valor añadido para los clientes y stakeholders.
En el momento actual, los directivos, y concretamente el CIO con su CTO/CPO deben continuar con la transformación digital en sus organizaciones, sin olvidar que la crisis sanitaria mundial por el COVID-19 les ha obligado a centrarse en tres cuestiones básicas:
- Optimizar los costes de TI,
- apoyar y asegurar la provisión de servicios colaborativos para el teletrabajo, y
- garantizar la continuidad de los servicios de TI ofrecidos.
Son precisamente, aquellas organizaciones que han invertido en Cloud las que han podido abordar con garantía estas cuestiones.
Algunos datos
Según IDC Research Spain en 2021 las organizaciones en España se enfrentarán a la modernización de las aplicaciones y a la integración de datos en Cloud. Esto implicará que el 20% de las organizaciones adoptarán arquitecturas de Cloud para superar dichas dificultades.
Por su parte Gartner afirma que el Cloud se va consolidando poco a poco mayores partidas de inversión tecnológica. Se prevé que la inversión en Cloud pública en 2021 a escala mundial será del 18%.
- ISO/IEC TR 20000-9. La solución de ISO 20000-1 para Cloud.
De acuerdo a lo anteriormente indicado, la familia de estándares de ISO 20000 dispone de uno para cubrir las necesidades del cloud; la ISO/IEC TR 20000-9. (Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud Service)
Este estándar/norma proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en Cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros.
Asimismo, considera la prestación de los servicios en cualquier tipo de Cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructura as a Service, PaaS-Platform as a Service, SaaS-Software as a Service).
Por lo tanto las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), en modo interno/local (on-premise) o externalizado/cloud (Outsourcing) permiten que la ISO 20000-1 junto con la ISO/IEC TR 20000-9 aporten la herramienta o solución más adecuada para la provisión de servicios de TI de forma local o en cloud (ver figura 1).
Figura 1. Relación ISO 20000-1 e ISO 20000-9
- Características y Estructura de ISO/IEC TR 20000-9:
Las 2 principales características indicadas anteriormente son:
- Aplicable a cualquier modalidad de cloud:
a) infraestructura como servicio (IaaS);
b) plataforma como servicio (PaaS);
c) software como servicio (SaaS).
- aplicable a los diferentes tipos de cloud: la nube pública, privada, e híbrida.
La aplicabilidad de ISO 20000-1 es independiente del tipo de tecnologías o modelo de servicio TI utilizado para la prestación de servicios. Todos los requisitos de ISO 20000-1 pueden ser aplicables a los proveedores de servicio en la nube.
Hay que indicar que la estructura de ISO 20000-9 no es la estructura habitual de Sistema de Gestión (Estructura de alto nivel) de ISO, como las que tienen la ISO 200000-1 o ISO 27001.
Esta estructura se organiza en base al concepto de escenarios, si bien podemos entenderlos como procesos/actividades en el ciclo de vida del servicio en la nube. En la tabla 1 se muestran los 15 procesos/actividades (escenarios) de ISO 20000-9.
Cada escenario incluye:
- referencias a los procesos y requisitos más relevantes especificados en ISO 20000-1, pudiendo haber alguna consideración adicional.
- recomendaciones y ejemplos de cómo los diferentes apartados/procesos de ISO 20000-1 pueden ser aplicables a los servicios en la nube.
Por último, cada proceso de ISO 20000-1 puede estar en 1 o varios escenarios.
Así los 15 escenarios (ver tabla 1) desarrollan un roadmap, en pasos:
- Se inicia identificando el contexto para la gestión de servicios en la nube y se elabora una estrategia y un plan de implementación.
- Esto conduce a la preparación de un catálogo de servicios en la nube, incluidos los requisitos de servicio correspondientes.
- A esto le siguen actividades como el desarrollo de nuevos servicios en la nube, el establecimiento de relaciones de servicio con los clientes de la nube y la elaboración de acuerdos de servicios en la nube.
- En última instancia, se modelan las actividades para la entrega y operación, la monitorización y la generación de informes, la gestión de recursos y la revisión/ optimización de los servicios en la nube.
- Se concluye, ISO 20000-9 con la finalización de los contratos de servicios en la nube y transferir y eliminar los servicios en la nube.
| Escenario | Proceso/Actividad |
| 1 | Identificar el contexto para la gestión del servicio de servicios en la nube |
| 2 | Establecer la estrategia y plan para la gestión del servicio en la nube |
| 3 | Proveer un catálogo de servicios en la nube |
| 4 | Identificar y gestionar requisitos de servicio para servicios en la nube |
| 5 | Diseñar y desarrollar nuevos servicios en la nube |
| 6 | Establecer una relación de servicio con el cliente en la nube |
| 7 | Establecer acuerdos de nivel de servicio (SLA) en la nube |
| 8 | Relacionar al cliente |
| 9 | Entrega y funcionamiento de los servicios en la nube |
| 10 | Monitorización e informes de acuerdos de nivel de servicios en la nube |
| 11 | Gestión de recursos para servicios en la nube |
| 12 | Revisión y mejora del SGSTI para servicios en la nube |
| 13 | Terminación de un contrato de servicio TI en la nube |
| 14 | Transferencia de servicio TI en la nube |
| 15 | Retirada del servicio TI en la nube |
Tabla 1. Procesos/Actividades (escenarios) de ISO/IEC TR 20000-9
A modo de conclusión la utilización de la ISO 20000-9 como complemento a un SGSTI-ISO 20000-1 es útil para:
- organizaciones cuyo catálogo de servicios incluyen servicios en la nube. (en cualquiera de las modalidades indicadas anteriormente)
- organizaciones que se enfrentan a cambios en sus servicios existentes como parte de una migración a la computación en la nube. ISO 20000-1 puede ser utilizado por proveedores de servicios que ofrecen servicios dedicados o compartidos a clientes internos y externos
- organizaciones que deseen innovar y adaptarse a las nuevas tecnologías emergentes con sostenibilidad, tal y como afirma Carlos Manuel Fernández, en su libro de Modelo de Gobierno y Gestión de las TIC con ISO.
Por último, las ventajas que nos aporta un Sistema de Gestión de Servicios de TI conforme a ISO 20000-1 junto con
- Proporcionar una adecuada gestión de la calidad y ciberseguridad del servicio de TI ofrecido desde el Cloud.
- Contemplar las nuevas tecnologías como Agile-DevOps, servitización, etc. en Cloud, con las características de flexibilidad que ofrece.
- Maximizar la eficiencia del servicio de TI y reducir los riesgos asociados a los servicios de TI.
- Reducir costes y aumentar la satisfacción del cliente y a los proveedores
- Gestionar de forma adecuada múltiples proveedores, ya sean externos o internos; así como la entrega de valor para los stakeholders.
- Visión clara de la capacidad de los departamentos de TI, al utilizar el Cloud.
- Toma de decisiones en base a indicadores de negocio (KPI) y TI.
- Aportar un valor añadido de confianza, mejorando su imagen para otras organizaciones y convirtiéndose en un factor de distinción frente a la competencia.
Team Leader del Grupo de Expertos ITSM4iso20000 de itSMF España
Comité de Estándares de itSMF España