La ISO/IEC 20000-1 se apoya en un buen equipo
Desde sus comienzos, la parte 1 del estándar ISO/IEC 20000, que especifica los requisitos de un Sistema de Gestión para los servicios de TI, ha estado acompañada por otros documentos de referencia que la complementan. Estos explican cómo podrían implantarse los requisitos, como se podrían definir los alcances del Sistema de Gestión o como podría ser la integración con otras normas y estándares de ISO, principalmente del ámbito TIC. Son en su conjunto, un conjunto de normas/estándares y documentos técnicos de ISO 20000 que hacen un buen equipo. Son referencias muy recomendables para su consulta, y en su caso, de aplicación para una mejor y más adecuada gestión de los servicios de TI en las organizaciones.
- Introducción
Actualmente, y considerando los diferentes escenarios de crisis (pandemia, invasión-guerra en Ucrania, etc.), el Board of Directors de las organizaciones se están haciendo las siguientes preguntas:
- ¿Los Sistemas de Información o los proyectos de Transformación Digital se ponen en marcha usando las mejores prácticas para conseguir los objetivos de negocio, con una inversión y coste adecuado en Tecnologías de la Información?.
- ¿Son capaces los departamentos de Sistemas de Información de dar una respuesta ágil y a tiempo a las demandas y necesidades del negocio y de los stakeholders en la actual era digital?
A continuación se presentan los principales estándares, en su mayoría documentos técnicos (TR-Technical Reports), que forma la familia de ISO 20000, los cuales son necesarios consultar para poder implantar adecuadamente un Sistema de Gestión de Servicios de TI y poder dar respuesta a las cuestiones que se acaban de plantear.
- La ISO/IEC 20000-1 como Sistema de Gestión y sus documentos de referencia.
Como es sabido, la ISO/IEC 20000-1 define los requisitos de un Sistema de Gestión de Servicios de TI (SGSTI), el cual puede ser certificado por un tercero independiente (entidad certificadora). Se puede decir que este estándar es un commodity para las áreas de producción/explotación de TI, ya que es una metodología pragmática e industrializable. Entre los principales beneficios de su implantación se pueden destacar los siguientes:
- Proporcionar una adecuada gestión de la calidad y ciberseguridad del servicio de TI ofrecido.
- Contemplar las nuevas tendencias como son Cloud, Agile-Devops, servitización, etc.
- Maximizar la eficiencia del servicio de TI y reducir los riesgos asociados a los servicios de TI.
- Reducir costes y aumentar la satisfacción del cliente y a los proveedores
- Gestionar de forma adecuada múltiples proveedores, ya sean externos o internos; así como la entrega de valor para los stakeholders.
- Visión clara de la capacidad de los departamentos de TI.
- Minimizar el tiempo del ciclo de incidentes y cambios, y mejorar resultados en base a métricas.
- Toma de decisiones en base a indicadores de negocio (KPI) y TI.
- Aportar un valor añadido de confianza, mejorando su imagen para otras organizaciones y convirtiéndose en un factor de distinción frente a la competencia.
A continuación, se identifican los principales documentos de referencia que conforman la familia de ISO 20000 y que enriquecen, complementan o desarrollan los requisitos de la ISO/IEC 20000-1. Se puede ver un resumen en la tabla 1.
ISO/IEC 20000-2: Guidance on the application of service management systems.
- Define los requisitos para la implantación de un sistema de gestión de servicios de TI. Adaptado a la estructura de alto nivel SL, es certificable.
ISO/IEC 20000-3: Guidance on scope definition and applicability of ISO/IEC 20000-1
- Incluye orientación para la definición del alcance y la aplicabilidad a los requisitos especificados en la ISO/IEC 20000-1. Dispone de un útil Anexo A con ejemplos de posibles definiciones de alcance para un SGSTI. Los ejemplos dados utilizan una serie de escenarios para organizaciones que van desde cadenas de suministro para la provisión de servicios TI de forma sencilla hasta más compleja.
ISO/IEC TR 20000-5: Exemplar implementation plan for ISO/IEC 20000-1
- Documento técnico (TR). Desarrolla un ejemplo de cual podría ser el plan de implementación de un SGSTI
Es una guía útil de consulta para las propias organizaciones, o consultores que asesoren a organizaciones en la implementación de la ISO/IEC 20000-1. Dispone de 5 anexos, con ejemplos de plantillas para los procesos, documentación, políticas y el propio plan de proyecto. Esta parte de ISO 20000 no ha sido actualizada a los requisitos de la última versión de ISO 20000-1 (2018).
ISO/IEC TR 20000-7: Guidance on the Integration and Correlation of ISO/IEC 20000-1:2018 to ISO 9001:2015 and ISO/IEC 27001:2013
- Documento técnico (TR). Define la posible correlación e integración entre los sistemas de gestión de calidad (ISO 9001), seguridad (ISO 27001) y servicios de TI (ISO 20000-1), considerando que se tiene 1, 2 ó los 3 sistemas implantados. Parte de la base de la estructura de alto nivel (SL) de ISO, donde identifica similitudes y diferencias entre los 3 sistemas.
ISO/IEC TR 20000-9: Guidance on the application of ISO/IEC 20000-1 to cloud services
- Documento técnico (TR). Proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros. Asimismo, considera la prestación de los servicios en cualquier tipo de cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service).
ISO/IEC 20000-10: Concepts and vocabulary
- Documento que incluye la terminología utilizada en todas las partes de la familia ISO 20000 para que las organizaciones y partes interesadas puedan interpretar los conceptos de forma correcta y unificada.
ISO/IEC TS 20000-11: Guidance on the relationship between ISO/IEC 20000-1 and service management frameworks: ITIL
- Proporciona orientación sobre la relación entre ISO/IEC 20000-1 y un marco de gestión de servicios comúnmente utilizado, ITIL4. Su objetivo es que sea utilizado por cualquier organización o persona que desee comprender cómo puede utilizarse ITIL con ISO/IEC 20000-1.
- En definitiva
Implantar (y si se desea, certificar) un Sistema de Gestión de Servicios de TI de acuerdo a ISO/IEC 20000-1 permite hablar un lenguaje de Servicios de TI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.
Pero poder conocer y consultar las otras partes del “equipo” de ISO 20000 nos va a facilitar mucho la comprensión de todos los requisitos del estándar y su correcta aplicación. Lo más importante, es que desde ISO/IEC constantemente se están actualizando e incorporando nuevas versiones y partes, lo que permite tener una fuente de conocimiento actual y de acuerdo con las tendencias actuales en materia de gestión de servicios de TI y las tecnologías emergentes. Como ejemplo reciente ha sido la revisión del ISO/IEC TS 20000-11 en 2021, como hemos visto anteriormente.
Boris Delgado Riss. CISA CISM
Team Leader itsm4iso20000 de itSMF España