Las mejores prácticas para definir el alcance de ISO/IEC 20000-1 (Parte 2)
Tan importante es implantar un Sistema de Gestión de Servicios de TI – SGSTI con todos sus procesos, que dan soporte a los servicios que se proveen, como definir el alcance adecuado y útil de los servicios que están bajo la gestión del sistema de gestión de servicios de TI. En artículos anteriores, se han presentado los diferentes estándares/normas y documentos técnicos que forman la familia de ISO20000, donde la ISO/IEC 20000-1 es la referencia para la implantación y posible certificación de un SGSTI.
Y como se pudo ver en la primera parte de este artículo, dentro de la familia de documentos técnicos de ISO/IEC 20000, tenemos la ISO/IEC 20000-3, que es la guía de buenas prácticas que se debe considerar por los CTOs/CPOs para definir correctamente el alcance y ámbito del SGSTI, en relación con los servicios que provee de forma interna a su organización o de forma externa a sus clientes, ya sea en modalidad on-premise o en cloud. Esta segunda parte una vez se conoce el objetivo de este estándar/norma, se muestran los diferentes escenarios que propone la ISO/IEC 20000-3, y así obtener una mejor y más adecuada gestión de los servicios de TI con ISO/IEC 20000-1, orientado a objetivos de negocio.
- ¿Por qué utilizar la ISO/IEC 20000-3 si lo que queremos es implantar un Sistema de Gestión de Servicios de TI conforme a ISO/IEC 20000-1?.
Recordemos que la ISO 20000-1 detalla los requisitos que se deben cumplir tanto para la mejora continua (PDCA) como para los procesos que dan soporte al servicio (Gestión de Incidentes, Problemas, Cambios, Acuerdos de Nivel de Servicio, etc.). Los requisitos expresan el QUE hacer, pero no COMO hacerlo.
La ISO/IEC 20000-3, es una guía/documento técnico que orienta sobre la definición del alcance y la aplicabilidad a los requisitos especificados en ISO/IEC 20000-1. Este documento técnico, para el alcance de un SGSTI, propone en su Anexo B diferentes escenarios para la provisión de servicios y que procesos se pueden prestar en outsourcing por otros proveedores (por ejemplo, gestión de incidencias, problemas, etc.), salvo el ciclo de mejora continua (Sistema de Gestión de Servicios de TI) que no se puede externalizar y debe estar gestionado y controlado por la organización responsable de la provisión de los servicios de TI.
- ISO/IEC 20000-3: Escenarios para la definición de alcances
La ISO/IEC 20000-1 tiene un apartado que trata el alcance del SGSTI dentro del catálogo y portfolio de servicios de TI.
Adicionalmente la ISO/IEC 20000-3 como guía técnica nos orienta en las características a considerar por el proveedor de servicios de TI son las siguientes:
- unidades organizativas que prestan servicios, por ejemplo, un único departamento, un grupo de departamentos o todos los departamentos;
- servicios ofrecidos, por ejemplo, un único servicio, un grupo de servicios o todos los servicios, servicios financieros, servicios de distribución, servicios de e-mail;
Un ejemplo de alcance podría ser:
- El SGSTI de <nombre de la unidad organizativa del proveedor del servicio> que presta el servicio de <servicio(s)>.
- El SGSTI del área de servicios gestionados de red para los servicios de Cloud Contact Center, Virtual SOC, y Hosting de acuerdo al catálogo de servicios TI vigente[1]
El proveedor del servicio no debería incluir los nombres de terceros u organizaciones externas, aunque contribuyan en el SGSTI y los servicios.
El proveedor del servicio puede definir el alcance de su SGSTI geográfica u organizacionalmente idéntico al alcance de otros sistemas de gestión. Por ejemplo, un Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001
A continuación, se describen los 3 principales escenarios para la definición y aplicación del mejor alcance para la organización, y en la tabla 1, todas los escenarios con diferentes combinaciones en la cadena de provisión y externalización de servicios de TI.
- Escenario 1: Cadena de provisión simple con un proveedor externo del servicio de TI.
- Escenario 2: El rol de un «Suministrador directo de servicios TI» gestionado por el Cliente B.
Fuente: ISO 20000-3 – Escenarios 1 y 2.
[1] Fuente: AENOR establece en sus alcances la traza del SGSTI y los servicios, de acuerdo con el catálogo de servicios que son vigentes cuando se realizan las auditorías de certificación.
Escenario 3: Cadena de provisión: suministradores principales y subcontratados.
Fuente: ISO 20000-3 – Escenario 3.
En la siguiente tabla se enumeran los escenarios más habituales indicados en el Anexo B de ISO 20000-3, con una breve descripción.
Tabla 1. Resumen de los posibles escenarios definidos en ISO/IEC 20000-3 para una correcta implantación de un Sistema de Gestión de Servicios de TI
Conclusiones
En ambas parte del artículo, se ha explicado los elementos básicos para una correcta definición de alcance para un Sistema de Gestión de Servicios de TI.
Esta parte de la Norma ISO/IEC 20000 ayudará a establecer si la Norma ISO/IEC 20000-1 es aplicable a las circunstancias
Hay que destacar, que la ISO/IEC 20000-3 Ilustra cómo puede ser definido el alcance de un SGSTI con ejemplos sencillos y otros más complejos basados en escenarios.
Estos escenarios y ejemplos se han mostrado en esta segunda parte del artículo, dando la visión global, más habitual y pragmática para una correcta definición de alcances, considerando la provisión de servicios de TI como una actividad que debe ser gestionada por la entidad principal, pudiendo delegar determinados procesos se la ISO 20000-1 en otros proveedores. Pero manteniendo siempre el control y coordinación sobre ellos.
En definitiva, la utilización estandarizada en la definición y redacción de alcances en ISO/IEC 20000-1 nos va a permitir hablar un lenguaje de Servicios de TI común y orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones.
Team Leader Grupo de Expertos ITSM4ISO20000
Comité de Estándares de itSMF España