Thursday, September 29, 2022
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España


ISO 20000-2 e ISO 20000-3: Como segundas y terceras partes siempre fueron buenas

By Equipo itSMF España , in Artículo , at 27/01/2022 Etiquetas: , ,

imagen iso20000En artículos anteriores, se han presentado los diferentes estándares/normas y documentos técnicos que forman la familia de ISO20000, donde la ISO/IEC 20000-1 es la referencia para la implantación y posible certificación de un Sistema de Gestión de Servicios de TI.

Destacar la relevancia, entre toda la familia de documento de ISO 20000, de la ISO 20000-2, que es la guía de implantación de los requisitos de la ISO 20000-1. Esta orienta y permite profundizar e implantar con mayor detalle los requisitos exigidos en la ISO 20000-1, de forma sencilla y pragmática. Además tenemos la ISO/IEC 20000-3, que es la guía de buenas prácticas que se debe considerar por los CTOs/CPOs para definir correctamente el alcance y ámbito del SGSTI, en relación con los servicios que provee de forma interna a su organización o de forma externa a sus clientes, ya sea en modalidad on-premise o en cloud. A lo largo del artículo se describirán ambas partes, sus objetivos y como se deben considerar para su correcta aplicación, para obtener una mejor y más adecuada gestión de los servicios de TI en las organizaciones, orientado a objetivos de negocio y considerando las nuevas tecnologías emergentes y disruptivas ya presentes en las organizaciones. Así confirmaremos que segundas y terceras partes siempre son buenas.

1. Segundas y terceras partes de ISO 20000, son referencias obligadas en la Gestión de Servicios de TI

Las actuales tecnologías emergentes y tendencias del mercado en la gestión de servicios como son Cloud, Agile, DevSecOps o Servitización, obligan a que los marcos de referencia en la gestión de servicios de TI se adapten a estas nuevas realidades.

El estándar/norma ISO 20000-1:2018 ó ITIL4 son referencias obligadas en la gestión de servicios de TI. Como es sabido, la ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo. Para que las organizaciones tengan un mayor detalle y/o explicación/aclaración de los QUE de la ISO/IEC 20000-1, se desarrolló la Guía de Implantación denominada ISO/IEC 20000-2. La ISO/IEC 20000-2 complementa y desarrolla con más profundidad y con ejemplos, los requisitos de la ISO/IEC 20000-1.  Es decir, detalla el COMO se podría hacer, siempre considerando la estructura, tecnología y los servicios de TI que provee la organización. No olvidemos, que la norma/estándar se debe adaptar a las organizaciones. La ISO/IEC 20000-3, es una guía/documento técnico que orienta sobre la definición del alcance y la aplicabilidad a los requisitos especificados en ISO/IEC 20000-1. Este documento técnico, para el alcance de un SGSTI, propone diferentes escenarios para la provisión de servicios y que procesos se pueden prestar en outsourcing por otros proveedores (por ejemplo, gestión de incidencias, problemas, etc.), salvo el ciclo de mejora continua (Sistema de Gestión de Servicios de TI) que debe estar implantado en la organización responsable de la provisión de los servicios de TI.

2. ISO/IEC 20000-2: Guidance on the application of service management systems.

Esta parte 2 de ISO/IEC 20000 proporciona una guía práctica y con ejemplos (por ejemplo, incluye una posible plantilla para los Acuerdos de Nivel de Servicio (SLA)). La estructura de esta parte 2 (es decir, la numeración, apartados y secuencia de las cláusulas) se alinea con ISO/IEC 20000-1:2018 y los términos utilizados en este documento están en consonancia con los apartados de ISO / IEC 20000-1: 2018.

Para aportar valor, la estructura de la ISO/IEC 20000-2, a partir de la cláusula 4, ofrece tres secciones por cláusula o subcláusula:

a) Actividades requeridas: un resumen de las actividades requeridas por esta cláusula en la norma ISO 20000-1. Tenga en cuenta que este resumen no reproduce las declaraciones de requisitos de la norma ISO 20000-1 ni añade nuevos requisitos, sino que simplemente describe las actividades;

b) Explicación: una explicación del propósito de la cláusula y una orientación práctica sobre el contenido de la misma, incluyendo ejemplos y recomendaciones sobre cómo implementar los requisitos de la norma ISO 20000-1. Cuando es oportuno, se remite a otras partes de la norma ISO 20000 y a otras normas pertinentes;

c) Otra información: orientación sobre las funciones y responsabilidades y sobre la información documentada que apoya la aplicación de un SGSTI. También puede incluirse más información relevante.

Si recordamos la estructura de la serie o familia de normas/estándares de ISO 20000 podremos ver en la Figura 1, en qué punto se ubica a la ISO/IEC 20000-2:

imagen iso v2

Figura 1. Conjunto de normas, guías y documentos de ISO 20000 que componen la serie de normas ISO 20000-1 (Fuente: ISO/IEC 20000-10)

3. ISO/IEC 20000-3: Directrices para la definición del alcance y aplicación de ISO/IEC 20000-1

La ISO/IEC 20000-1 tiene un apartado que trata el alcance del SGSTI dentro del catálogo y portfolio de servicios de TI

Adicionalmente la ISO/IEC 20000-3 como guía técnica nos orienta a que el alcance tenga que:

  • ser tan simple como sea posible;
  • ser entendible sin el conocimiento detallado de la organización del proveedor de servicios de TI;
  • incluir suficiente información para utilizarla en la evaluación de conformidad (posible certificación);
  • estar redactada de manera que todas las exclusiones queden claras;

Y las características a considerar por el proveedor de servicios de TI son las siguientes:

  • unidades organizativas que prestan servicios, por ejemplo, un único departamento, un grupo de departamentos o todos los departamentos;
  • servicios ofrecidos, por ejemplo, un único servicio, un grupo de servicios o todos los servicios, servicios financieros, servicios de distribución, servicios de e-mail;

Un ejemplo de alcance podría ser:

  • El SGSTI de <nombre de la unidad organizativa del proveedor del servicio> que presta el servicio de <servicio(s)>.
  • El SGSTI del área de servicios gestionados de red para los servicios de Cloud Call Center, Virtual SOC, y Hosting de acuerdo al catálogo de servicios TI vigente[1]

El proveedor del servicio no debería incluir los nombres de terceros u organizaciones externas, aunque contribuyan en el SGSTI y los servicios.

El proveedor del servicio puede definir el alcance de su SGSTI geográfica u organizacionalmente idéntico al alcance de otros sistemas de gestión. Por ejemplo, un Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001

Si recordamos la estructura de la serie o familia de normas/estándares de ISO 20000 podremos ver en la Figura 1, en qué punto se ubica a la ISO/IEC 20000-3:

   4. Conclusiones.

Un adecuada implantación de la ISO 20000-1 debe apoyarse utilizando como referencia y consulta,  la ISO/IEC 20000-2 para disponer de las mejores prácticas a través de orientaciones y ejemplos. Y considerando, que se ha estructurado en 3 secciones anteriormente indicadas, por cada clausula o subclaúsula de la ISO/IEC 20000-1.

Por su lado, la ISO 20000-3  describe los elementos básicos para una correcta definición de alcance para un Sistema de Gestión de Servicios de TI.

Destacar, que la ISO/IEC 20000-3 Ilustra cómo puede ser definido el alcance de un SGSTI con ejemplos sencillos y otros más complejos basados en escenarios (ver artículo específico en números anteriores de itSMF España).

Por lo tanto, podemos constatar, que las segundas y terceras partes de ISO 20000-1, no solo son buenas, sino necesarias para a permitir implantar un SGSTI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.

[1] Fuente: AENOR establece en sus alcances la traza del SGSTI y los servicios, de acuerdo con el catálogo de servicios que son vigentes cuando se realizan las auditorías de certificación.

Boris Delgado

Team Leader Grupo Expertos itsm4ISO20000

Comité de Estándares de itSMF España

 

 

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad