Las mejores prácticas para definir el alcance de ISO/IEC 20000-1 (Parte 1)

Tan importante es implantar un Sistema de Gestión de Servicios de TI – SGSTI con todos sus procesos, que dan soporte a los servicios que se proveen, como definir el alcance adecuado y útil de los servicios que están bajo la gestión del sistema de gestión de servicios de TI. En artículos anteriores, se han presentado los diferentes estándares/normas y documentos técnicos que forman la familia de ISO20000, donde la ISO/IEC 20000-1 es la referencia para la implantación y posible certificación de un SGSTI.

Y como se pudo ver, dentro de la familia de documentos técnicos de ISO/IEC 20000, tenemos la ISO/IEC 20000-3, que es la guía de buenas prácticas que se debe considerar por los CTOs/CPOs para definir correctamente el alcance y ámbito del SGSTI, en relación con los servicios que provee de forma interna a su organización o de forma externa a sus clientes, ya sea en modalidad on-premise o en cloud. A lo largo de las dos partes que constará este artículo se expondrán el objetivo de este estándar/norma, como se debe aplicar considerando los diferentes escenarios que propone, y así obtener una mejor y más adecuada gestión de los servicios de TI con ISO/IEC 20000-1, orientado a objetivos de negocio.

1. ¿Por qué utilizar la ISO/IEC 20000-3 si lo que queremos es implantar un Sistema de Gestión de Servicios de TI conforme a ISO/IEC 20000-1?.

Como se explicaba en anteriores artículos, son 3 las normas/estándares básicos que se deben considerar para una implantación (y posible auditoría de certificación) de un Sistema de Gestión de Servicios de TI. Estos son lo que llamábamos la triada perfecta: ISO/IEC 20000-1, ISO/IEC 20000-2 y la ISO/IEC 200000-3.

La ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo. Para que las organizaciones tengan un mayor detalle y/o explicación/aclaración de los QUE de la ISO/IEC 20000-1, se desarrolló la Guía de Implantación denominada ISO/IEC 20000-2. Esta guía (no certificable) complementa y desarrolla con más profundidad y con ejemplos, los requisitos de la ISO/IEC 20000-1.  Es decir, detalla el COMO se podría hacer, siempre considerando la estructura, tecnología y los servicios de TI que provee la organización. No olvidemos, que la norma/estándar se debe adaptar a las organizaciones.

La ISO/IEC 20000-3, es una guía/documento técnico que orienta sobre la definición del alcance y la aplicabilidad a los requisitos especificados en ISO/IEC 20000-1. Este documento técnico, para el alcance de un SGSTI, propone diferentes escenarios para la provisión de servicios y que procesos se pueden prestar en outsourcing por otros proveedores (por ejemplo, gestión de incidencias, problemas, etc.), salvo el ciclo de mejora continua (Sistema de Gestión de Servicios de TI) que debe estar implantado en la organización responsable de la provisión de los servicios de TI.

2. ISO/IEC 20000-3: Directrices para la definición del alcance y aplicación de ISO/IEC 20000-1

La ISO/IEC 20000-1 tiene un apartado que trata el alcance del SGSTI dentro del catálogo y portfolio de servicios de TI

Adicionalmente la ISO/IEC 20000-3 como guía técnica nos orienta a que el alcance tenga que:

• ser tan simple como sea posible;
• ser entendible sin el conocimiento detallado de la organización del proveedor de servicios de TI;
• incluir suficiente información para utilizarla en la evaluación de conformidad (posible certificación);
• estar redactada de manera que todas las exclusiones queden claras;

Y las características a considerar por el proveedor de servicios de TI son las siguientes:

• unidades organizativas que prestan servicios, por ejemplo, un único departamento, un grupo de departamentos o todos los departamentos;
• servicios ofrecidos, por ejemplo, un único servicio, un grupo de servicios o todos los servicios, servicios financieros, servicios de distribución, servicios de e-mail;

Un ejemplo de alcance podría ser:

• El SGSTI de <nombre de la unidad organizativa del proveedor del servicio> que presta el servicio de <servicio(s)>.
• El SGSTI del área de servicios gestionados de red para los servicios de Cloud Contact Center, Virtual SOC, y Hosting de acuerdo al catálogo de servicios TI vigente[1]

El proveedor del servicio no debería incluir los nombres de terceros u organizaciones externas, aunque contribuyan en el SGSTI y los servicios.

El proveedor del servicio puede definir el alcance de su SGSTI geográfica u organizacionalmente idéntico al alcance de otros sistemas de gestión. Por ejemplo, un Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001

3. Primeras conclusiones

En esta primera parte, se ha explicado los elementos básicos para una correcta definición de alcance para un Sistema de Gestión de Servicios de TI.

Esta parte de la Norma ISO/IEC 20000 ayudará a establecer si la Norma ISO/IEC 20000-1 es aplicable a las circunstancias

Hay que destacar, que la ISO/IEC 20000-3 Ilustra cómo puede ser definido el alcance de un SGSTI con ejemplos sencillos y otros más complejos basados en escenarios.

Estos escenarios y ejemplos se tratarán como segunda parte en la siguiente entrega de este artículo.

La utilización estandarizada en la definición y redacción de alcances en ISO/IEC 20000-1 nos va a permitir hablar un lenguaje de Servicios de TI común y orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones.

[1] Fuente: AENOR establece en sus alcances la traza del SGSTI y los servicios, de acuerdo con el catálogo de servicios que son vigentes cuando se realizan las auditorías de certificación.

Boris Delgado

Responsable del Grupo de Expertos itsm4ISO20000

Comité de Estándares de itSMF España.