La gran familia de ISO/IEC 20000 y sus documentos de referencia

Desde sus comienzos, la parte 1 del estándar ISO/IEC 20000, que especifica los requisitos de un Sistema de Gestión para los servicios de TI, ha estado acompañada por otros documentos de referencia que la complementan. Estos explican cómo podrían implantarse los requisitos, como se podrían definir los alcances del Sistema de Gestión o como podría ser la integración con otras normas y estándares de ISO, principalmente del ámbito TIC.  Son en su conjunto, lo que conocemos, como la familia de normas/estándares y documentos técnicos de ISO 20000. Son referencias obligadas para su consulta, y en su caso, de aplicación para una mejor y más adecuada gestión de los servicios de TI en las organizaciones.

1. Introducción

Actualmente, y considerando los escenarios de crisis sanitaria actual, el Board of Directors de las organizaciones se están haciendo las siguientes preguntas:

• ¿Son capaces los departamentos de Sistemas de Información de dar una respuesta ágil y a tiempo a las demandas y necesidades del negocio y de los stakeholders en la actual era digital?
• ¿ Los Sistemas de Información o los proyectos de Transformación Digital se ponen en marcha usando las mejores prácticas para conseguir los objetivos de negocio, con una inversión y coste adecuado en Tecnologías de la Información?.

El presente documento identifica los principales estándares, en su mayoría documentos técnicos (TR-Technical Reports), que forma la familia de ISO 20000, los cuales son necesarios consultar para poder implantar adecuadamente un Sistema de Gestión de Servicios de TI y poder dar respuesta a las cuestiones que se acaban de plantear.

2. La ISO/IEC 20000-1 como Sistema de Gestión y sus documentos de referencia.

Como es sabido, la  ISO/IEC 20000-1 define los requisitos de un Sistema de Gestión de Servicios de TI (SGSTI), el cual puede ser certificado por un tercero independiente (entidad certificadora). Se puede decir que este estándar es un commodity para las áreas de producción/explotación de TI, ya que es una metodología pragmática e industrializable. Entre los principales beneficios de su implantación   se pueden destacar los siguientes:

• Proporcionar una adecuada gestión de la calidad y ciberseguridad del servicio de TI ofrecido.
• Contemplar las nuevas tendencias como son Cloud, Agile-Devops, servitización, etc.
• Maximizar la eficiencia del servicio de TI y reducir los riesgos asociados a los servicios de TI.
• Reducir costes y aumentar la satisfacción del cliente y a los proveedores
• Gestionar de forma adecuada múltiples proveedores, ya sean externos o internos; así como la entrega de valor para los stakeholders.
• Visión clara de la capacidad de los departamentos de TI.
• Minimizar el tiempo del ciclo de incidentes y cambios, y mejorar resultados en base a métricas.
• Toma de decisiones en base a indicadores de negocio (KPI) y TI.
• Aportar un valor añadido de confianza, mejorando su imagen para otras organizaciones y convirtiéndose en un factor de distinción frente a la competencia.

A continuación, se identifican los principales documentos de referencia que conforman la familia de ISO 20000 y que enriquecen, complementan o desarrollan los requisitos de la ISO/IEC 20000-1. Se puede ver un resumen en la tabla 1.

ISO/IEC 20000-2: Guidance on the application of service management systems.

• Define los requisitos para la implantación de un sistema de gestión de servicios de TI. Adaptado a la estructura de alto nivel SL, es certificable.

ISO/IEC 20000-3: Guidance on scope definition and applicability of ISO/IEC 20000-1

• Incluye orientación para la definición del alcance y la aplicabilidad a los requisitos especificados en la ISO/IEC 20000-1. Dispone de un útil Anexo A con ejemplos de posibles definiciones de alcance para un SGSTI. Los ejemplos dados utilizan una serie de escenarios para organizaciones que van desde cadenas de suministro para la provisión de servicios TI de forma sencilla hasta más compleja.

ISO/IEC TR 20000-5: Exemplar implementation plan for ISO/IEC 20000-1

• Documento técnico (TR). Desarrolla un ejemplo de cual podría ser el plan de implementación de un SGSTI

Es una guía útil de consulta para las propias organizaciones, o consultores que asesoren a organizaciones en la implementación de la ISO/IEC 20000-1. Dispone de 5 anexos, con ejemplos de plantillas para los procesos, documentación, políticas y el propio plan de proyecto. Esta parte de ISO 20000 no ha sido actualizada a los requisitos de la última versión de ISO 20000-1 (2018).

ISO/IEC TR 20000-7: Guidance on the Integration and Correlation of ISO/IEC 20000-1:2018 to ISO 9001:2015 and ISO/IEC 27001:2013

• Documento técnico (TR). Define la posible correlación e integración entre los sistemas de gestión de calidad (ISO 9001), seguridad (ISO 27001) y servicios de TI (ISO 20000-1), considerando que se tiene 1, 2 ó los 3 sistemas implantados. Parte de la base de la estructura de alto nivel (SL) de ISO, donde identifica similitudes y diferencias entre los 3 sistemas.

ISO/IEC TR 20000-9: Guidance on the application of ISO/IEC 20000-1 to cloud services

• Documento técnico (TR). Proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros. Asimismo, considera la prestación de los servicios en cualquier tipo de cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service).

ISO/IEC 20000-10: Concepts and vocabulary

• Documento que incluye la terminología utilizada en todas las partes de la familia ISO 20000 para que las organizaciones y partes interesadas puedan interpretar los conceptos de forma correcta y unificada.

Las partes ISO/IEC 20000-11, 12 y 13 tratan la relación de ISO/IEC 20000-1 con los framework de ITIL, CMMI-SVC y COBIT respectivamente.

Tabla 1. Resumen principales normas/estándares/documentos técnicos (documentos de referencia) de la familia de ISO/IEC 20000

3. En definitiva

Implantar (y si se desea, certificar) un Sistema de Gestión de Servicios de TI de acuerdo a ISO/IEC 20000-1 permite hablar un lenguaje de Servicios de TI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.

Pero poder conocer y consultar las otras partes de la familia de ISO 20000 nos va a facilitar mucho la comprensión de todos los requisitos del estándar y su correcta aplicación. Lo más importante, es que desde ISO/IEC constantemente se están actualizando e incorporando nuevas versiones y partes, lo que permite tener una fuente de conocimiento actual y de acuerdo con las tendencias actuales en materia de gestión de servicios de TI y las tecnologías emergentes.

Boris Delgado Riss.

Team Leader Grupo de Expertos itsm4iso20000

Comité de Estándares de itSMF España