La triada perfecta para la gestión de servicios de TI con ISO/IEC 20000

Entradilla:

En artículos anteriores, se han presentado los diferentes estándares/normas y documentos técnicos que forman la familia de ISO20000, donde la ISO/IEC 20000-1 es la referencia para la implantación y posible certificación de un Sistema de Gestión de Servicios de TI.

Sin embargo, entre toda la familia de documentos de ISO 20000, son 3 los que en primera instancia se deben considerar por los CTOs/CPOs para realizar una implantación eficaz del sistema de gestión. Estos son la ISO/IEC 20000-1, ISO/IEC 20000-2 y la ISO/IEC 200000-3. A lo largo del artículo se expondrán los objetivos de cada una de ellas y como se deben considerar para su correcta aplicación, y obtener para una mejor y más adecuada gestión de los servicios de TI las organizaciones tanto on-premise y/o outsourcing, orientado a objetivos de negocio.

1. Una triada perfecta, sencilla y pragmática en la Gestión de Servicios de TI para cualquier organización.

Son 3 las normas/estándares básicos que se deben considerar para una implantación (y posible auditoría de certificación). Estos son la triada perfecta: ISO/IEC 20000-1, ISO/IEC 20000-2 y la ISO/IEC 200000-3. A lo largo del artículo se expondrán los objetivos de cada una de ellas y como se deben considerar para su correcta aplicación, y obtener para una mejor y más adecuada gestión de los servicios de TI en las organizaciones, orientado a objetivos de negocio

2. La ISO/IEC 20000-1 como Sistema de Gestión y sus documentos de referencia.

En artículos anteriores ya se ha explicado, las principales características que hacen de la  ISO/IEC 20000-1 la referencia un Gestión de Servicios de TI eficiente, eficaz y orientada a objetivos de negocio; esta define los requisitos de un Sistema de Gestión de Servicios de TI (SGSTI), el cual puede ser certificado por un tercero independiente (entidad certificadora).

Se puede decir que este estándar es un commodity para las áreas de producción/explotación de TI, ya que es una metodología pragmática e industrializable. Entre los principales beneficios de su implantación   se pueden destacar los siguientes:

• Proporcionar una adecuada gestión de la calidad y ciberseguridad del servicio de TI ofrecido.
• Contemplar las nuevas tendencias como son Cloud, Agile-Devops, servitización, etc.
• Maximizar la eficiencia del servicio de TI y reducir los riesgos asociados a los servicios de TI.
• Reducir costes y aumentar la satisfacción del cliente y a los proveedores
• Gestionar de forma adecuada múltiples proveedores, ya sean externos o internos; así como la entrega de valor para los stakeholders.
• Visión clara de la capacidad de los departamentos de TI.
• Minimizar el tiempo del ciclo de incidentes y cambios, y mejorar resultados en base a métricas.
• Toma de decisiones en base a indicadores de negocio (KPI) y TI.
• Aportar un valor añadido de confianza, mejorando su imagen para otras organizaciones y convirtiéndose en un factor de distinción frente a la competencia.

La estructura de la ISO/IEC 20000-1 siguiendo las directrices globales de ISO, se reestructuró según la estructura de Alto Nivel de ISO (un mismo índice de contenidos para las normas/estándares que definen un Sistema de Gestión).

La ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo. Para que las organizaciones tengan un mayor detalle y/o explicación/aclaración de los QUE de la parte 1 de ISO/IEC 20000-1, se desarrolló la Guía de Implantación denominada ISO/IEC 20000-2. Esta guía (no certificable) complementa y desarrolla con más profundidad y con ejemplos, los requisitos de la ISO/IEC 20000-1.  Es decir, detalla el COMO se podría hacer, siempre considerando la estructura, tecnología y los servicios de TI que provee la organización. No olvidemos, que la norma/estándar se debe adaptar a las organizaciones.

ISO/IEC 20000-2: Guidance on the application of service management systems.

Como indicábamos previamente, esta parte 2 de ISO/IEC 20000 proporciona una guía práctica y con ejemplos (por ejemplo, incluye una posible plantilla para los Acuerdos de Nivel de Servicio (SLA) para establecer, implementar, mantener y mejorar de forma continua un SGSTI.

La ISO/IEC 20000-2 describe con mayor detalle la importancia de implantar un SGSTI, indicando que es una decisión relevante para una organización y debe considerar los por los objetivos de la organización, el órgano de gobierno, otras partes involucradas en el ciclo de vida del servicio y la necesidad de servicios eficaces y resilientes.

La estructura de esta parte 2 (es decir, la numeración, apartados y secuencia de la cláusulas) se alinea con ISO/IEC 20000-1:2018 y los términos utilizados en este documento están en consonancia con los apartados de ISO / IEC 20000-1: 2018 y la parte 10 de ISO/IEC 20000 que establece los conceptos y el vocabulario para toda la familia de ISO/IEC 20000.

Esta parte no establece como debe definirse un alcance y la aplicabilidad de un SGSTI conforme a ISO/IEC 20000-1

ISO/IEC 20000-3: Guidance on scope definition and applicability of ISO/IEC 20000-1

Como último documento técnico, que complementa la triada perfecta para la Gestión de Servicios de TI, está la ISO/IEC 20000-3 como Guía de definición de alcances y su aplicabilidad:

• Esta parte 3 de ISO/IEC 20000-1 incluye orientación sobre la definición del alcance y la aplicabilidad a los requisitos especificados en ISO / IEC 20000-1. Este documento técnico puede ayudar a establecer si un Sistema de Gestión de Servicios de TI de acuerdo a ISO/IEC 20000-1 es aplicable a la organización, considerando diferentes escenarios para la provisión de servicios y que procesos se pueden prestar en outsourcing por otros proveedores (por ejemplo, gestión de incidencias, problemas, etc.), salvo el ciclo de mejora continua(Sistema de Gestión de Servicios de TI) que debe estar implantado en la organización responsable de la provisión de los servicios de TI.
• Indica como se puede definir el alcance de un SGSTI, con un Anexo A que contiene ejemplos de posibles declaraciones de alcance para un SGSTI. Los ejemplos dados utilizan una serie de escenarios para organizaciones que van desde subcontrataciones encadenadas (Outsourcing) de varias organizaciones de servicios muy simples hasta complejas.
• Este documento es de uso recomendado para las entidades de certificación que auditan y certifican la ISO/IEC 20000-1.

Tabla 1. Resumen de las tres normas/estándares/documentos técnicos (documentos de referencia) de la familia de ISO/IEC 20000, de referencia para una correcta implantación de un Sistema de Gestión de Servicios de TI

 La triada perfecta, sencilla y pragmática en la Gestión de Servicios de TI para cualquier organización

La implantación de un sistema de gestión de servicios de TI debe tener en cuenta las tecnologías emergentes del mercado en la gestión de servicios como Cloud, Agile, DevOps o Servitización. La implantación según la ISO/IEC 20000-1 facilita a las organizaciones una entrega de servicios de TI alineados con las necesidades y objetivos del negocio, con calidad, seguridad y valor añadido para los clientes y stakeholders. Pero debe apoyarse utilizando como referencia y consulta, a la ISO/IEC 20000-2 y la ISO/IEC 20000-3 para tener una visión completa de los 3 estándares y como utilizarlos para la mejor gestión de servicios de TI tanto on-premise y/o outsourcing.

De esta forma nos va a permitir hablar un lenguaje de Servicios de TI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.

Boris Delgado Riss.

Team Leader Grupo de Expertos itsm4iso20000

Comité de Estándares de itSMF España