ISO 20000-2: el consultor perfecto para la ISO/IEC 20000-1
En artículos anteriores, se han presentado los diferentes estándares/normas y documentos técnicos que forman la familia de ISO20000, donde la ISO/IEC 20000-1 es la referencia para la implantación y posible certificación de un Sistema de Gestión de Servicios de TI.
Destacar la relevancia, entre toda la familia de documento de ISO 20000, de la ISO 20000-2, que es la guía de implantación de los requisitos de la ISO 20000-1. Se podría decir que es el “consultor” o compañero de viaje perfecto para profundizar e implantar con mayor detalle los requisitos exigidos en la ISO 20000-1, de forma sencilla y pragmática. A lo largo del artículo se describirá brevemente la ISO 20000-2, sus objetivos y como se deben considerar para su correcta aplicación, para obtener una mejor y más adecuada gestión de los servicios de TI en las organizaciones, orientado a objetivos de negocio y considerando las nuevas tecnologías emergentes y disruptivas ya presentes en las organizaciones.
- Revisión de principales características en ISO 20000-1 – SGSTI
Ya todos conocemos la última versión publicada en 2018 de ISO 20000-1 (Sistema de Gestión de Servicios de TI – SGSTI), la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile – DevSecOps y la servitización; es decir, la adaptación de los servicios de TI a los nuevos entornos digitales y negocios.
En este estándar también se ha considerado la gestión de múltiples proveedores, ya sea por parte de un integrador de servicios interno o externo, así como la necesidad de determinar el valor de los servicios para los stakeholders y clientes.
En definitiva, el objetivo de la nueva versión ha sido facilitar a las organizaciones una entrega de servicios de TI alineados con las necesidades y objetivos de los negocios actuales, con calidad, seguridad y valor añadido para los clientes y stakeholders.
Se puede decir que este estándar es un commodity para las áreas de producción/explotación de TI, ya que es una metodología pragmática e industrializable.
En el momento actual, los directivos, y concretamente el CIO con su CTO/CPO deben continuar con la transformación digital en sus organizaciones, sin olvidar que la crisis sanitaria mundial por el COVID-19 les ha obligado a centrarse en tres cuestiones básicas:
- optimizar los costes de TI,
- apoyar y asegurar la provisión de servicios colaborativos para el teletrabajo, y
- garantizar la continuidad de los servicios de TI ofrecidos.
Son precisamente, aquellas organizaciones que han implantado un Sistema de Gestión de Servicios de TI conforme a ISO/IEC 20000-1 o incluso han seguido las mejores prácticas de ITIL4 quienes estarán en disposición de poder superar las cuestiones anteriores y focalizarse en la transformación digital apoyando al negocio; donde no se debe olvidar la ISO 20000-2, como guía de implantación.
- ISO/IEC 20000-2: Guidance on the application of service management systems: tu compañero de viaje para implantar ISO 20000-1
Como ya hemos indicado, la ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo.
Para que las organizaciones tengan un mayor detalle y/o explicación/aclaración de los QUE de la parte 1 de ISO/IEC 20000-1, se desarrolló la Guía de Implantación denominada ISO/IEC 20000-2. Esta guía (no certificable) complementa y desarrolla con más profundidad y con ejemplos, los requisitos de la ISO/IEC 20000-1.
Es decir, detalla el COMO se podría hacer, siempre considerando la estructura, tecnología y los servicios de TI que provee la organización. No olvidemos, que la norma/estándar se debe adaptar a las organizaciones.
La ISO/IEC 20000-2 describe con mayor detalle la importancia de implantar un SGSTI, indicando que es una decisión relevante para una organización y debe considerar los por los objetivos de la organización, otras partes involucradas en el ciclo de vida del servicio y la necesidad de servicios eficaces y resilientes.
La estructura de la parte 2 (es decir, la numeración, apartados y secuencia de las cláusulas) se alinea con ISO/IEC 20000-1:2018 y los términos utilizados en este documento están en consonancia con los apartados de ISO / IEC 20000-1: 2018 y la parte 10 de ISO/IEC 20000 que establece los conceptos y el vocabulario para toda la familia de ISO/IEC 20000.
Esta parte no establece como debe definirse un alcance y la aplicabilidad de un SGSTI conforme a ISO/IEC 20000-1 (ya vimos en artículos anteriores que eso es tarea de la ISO/IEC 20000-3).
Si recordamos la familia de ISO 200000 podremos ver en la Figura 1, en qué punto se ubica a la ISO/IEC 20000-2
Figura 1. Conjunto de normas, guías y documentos de ISO 20000 que utilizan los conceptos y vocabulario de ISO 20000-10 (Fuente: ISO/IEC 20000-10)
Para aportar valor, la estructura de la ISO/IEC 20000-2, a partir de la cláusula 4, ofrece tres secciones por cláusula o subcláusula:
a) Actividades requeridas: un resumen de las actividades requeridas por esta cláusula en la norma ISO/ IE C 20000-1. Tenga en cuenta que este resumen no reproduce las declaraciones de requisitos de la norma ISO/ IE C 20000-1 ni añade nuevos requisitos, sino que simplemente describe las actividades;
b) Explicación: una explicación del propósito de la cláusula y una orientación práctica sobre el contenido de la misma, incluyendo ejemplos y recomendaciones sobre cómo implementar los requisitos de la norma ISO/ IEC 20000-1. Cuando es oportuno, se remite a otras partes de la norma ISO/IEC 20000 y a otras normas pertinentes;
c) Otra información: orientación sobre las funciones y responsabilidades y sobre la información documentada que apoya la aplicación de un SGSTI. También puede incluirse más información relevante.
3. Conclusiones
La implantación de un sistema de gestión de servicios de TI debe tener en cuenta las tecnologías emergentes del mercado en la gestión de servicios como Cloud, Agile, DevSecOps o Servitización. La implantación según la ISO/IEC 20000-1 facilita a las organizaciones una entrega de servicios de TI alineados con las necesidades y objetivos del negocio, con calidad, seguridad y valor añadido para los clientes y stakeholders.
Pero debe apoyarse utilizando como referencia y consulta, la ISO/IEC 20000-2 para disponer de las mejores prácticas a través de orientaciones y ejemplos. Y considerando, que se ha estructurado en 3 secciones anteriormente indicadas, por cada clausula o subclaúsula de la ISO/IEC 20000-1.
De esta forma, tendremos a nuestro “consultor” en formato guía de implantación, que también nos va a permitir implantar un SGSTI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.
Team Leader Grupo Expertos itsm4ISO20000
Comité de Estándares de itSMF España