SlideShare una empresa de Scribd logo
ISO 20000 – Gestión de Servicios de TI UNFV




        UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
              ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS

                              LAYME VELASQUEZ, Rubén Darío
                                               2007004205




                                                     1
ISO 20000 – Gestión de Servicios de TI UNFV




INTRODUCCIÓN _______________________________________________________ 4

ISO/IEC 20000 _________________________________________________________ 5

 1.     ¿Qué es ISO/IEC 20000? _________________________________________________ 5
      A. ¿A quién va dirigida? ___________________________________________________________ 6
      B. Historia ISO/IEC 20000.__________________________________________________________ 7

 2.     Contenido de ISO/IEC 20000. _____________________________________________ 8
      A. El Sistema de Gestión de Servicios TI (SGSTI). ________________________________________ 9
      B. Planificación e Implementación de la Gestión del Servicio. ______________________________ 9
        La planificación de la gestión del servicio (Planificar), _________________________________ 10
        Implementación de la gestión del servicio y la provisión del servicio (Hacer), ______________ 10
        Monitorización, medición y revisión (Verificar), _____________________________________ 11
        Mejora continua (Actuar), ______________________________________________________ 11
      C. Planificación e Implementación de Servicios, Nuevos o Modificados. _____________________ 11
      D. Procesos de Provisión de Servicio. ________________________________________________ 12
        Gestión de Nivel de Servicio. ____________________________________________________ 12
        Generación de informes del servicio ______________________________________________ 13
        Gestión de la continuidad y disponibilidad del servicio ________________________________ 13
        Elaboración de presupuesto y contabilidad de los servicios de TI ________________________ 13
        Gestión de la Capacidad ________________________________________________________ 13
        Gestión de Seguridad de la Información ___________________________________________ 14
      E. Procesos de Relaciones _________________________________________________________ 14
        Gestión de las relaciones con el negocio ___________________________________________ 15
        Gestión de suministradores _____________________________________________________ 15
      F. Procesos de Resolución_________________________________________________________ 16
        Gestión del incidente __________________________________________________________ 16
        Gestión del problema __________________________________________________________ 16
      G. Procesos de Control ___________________________________________________________ 17
        Gestión de la configuración _____________________________________________________ 17
        Gestión del cambio____________________________________________________________ 17
      H. Procesos de Entrega ___________________________________________________________ 18
        Gestión de la entrega __________________________________________________________ 18



                                                                                                2
ISO 20000 – Gestión de Servicios de TI UNFV
 3.     Implantar ISO/IEC 20000 ________________________________________________ 21
      1. Conocer la documentación ______________________________________________________ 22
      2. Analizar la situación actual ______________________________________________________ 22
      3. Programa para la mejora del servicio ______________________________________________ 22
      4. Seguimiento y mejora continúa. __________________________________________________ 22
      La automatización, un factor relevante a considerar en la adopción de ISO/IEC 20000 _________ 23

 4.     La certificación ISO/IEC 20000 ____________________________________________ 24
        1. Determinar el alcance de la certificación _________________________________________ 26
        2. Solicitud de certificación. _____________________________________________________ 26
        3. Análisis de documentación. ___________________________________________________ 26
        4. Visita previa. _______________________________________________________________ 26
        5. Auditoria Inicial. ____________________________________________________________ 26
        6. Evaluación y decisión.________________________________________________________ 26
        7. Concesión del certificado. ____________________________________________________ 26
        8. Auditoria de seguimiento. ____________________________________________________ 27
        9. Auditoria de renovación ______________________________________________________ 27
      Las ventajas de la norma ISO 20000 _________________________________________________ 28

 5.     ISO/IEC 20000 “una norma viva” que aporta valor al sector TI __________________ 29

ITIL & ISO 20000 ______________________________________________________ 32
      Breve referencia ________________________________________________________________ 33
      ¿Cuáles son las ventajas de estos estándares?_________________________________________ 34
      ¿Cuáles son las principales diferencias entre ITIL e ISO 20000? ____________________________ 34

Conclusiones _________________________________________________________ 35




                                                                                              3
ISO 20000 – Gestión de Servicios de TI UNFV

INTRODUCCIÓN
       En el pasado los procesos de misión crítica del negocio no estaban soportados por
sistemas informáticos, sin embargo en la actualidad estos procesos del negocio están
soportados cada vez más por diferentes servicios de TI.

        La rápida evolución de la tecnología está propiciando un significativo crecimiento en la
aportación de las TI a los negocios, y cada día más negocios están diseñando y poniendo
servicios cada vez más sofisticados a disposición de sus clientes finales.

        Actualmente los servicios TI trascienden las fronteras de la organización convirtiéndose
en productos de la compañía, situando a la gestión de los servicios TI como uno de los
elementos clave que debe tener en cuenta en su estrategia del negocio, tanto en las
previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia de la
compañía ante situaciones críticas.

         Esto es particularmente importante para las compañías de sectores industriales y del
sector financiero, el sanitario y el de servicios públicos, suministro de agua, electricidad, etc. En
estos casos ya no basta con tener unos excelentes servicios TI, si no que es necesario
demostrar a sus accionistas y clientes que disponen de una infraestructura tecnológica y unos
servicios fiables y bien gestionados.

        Adicionalmente las empresas también tienen que tener en cuenta las implicaciones
relacionadas con el cumplimiento de las normativas locales de los países. Cada vez existen más
normas y leyes cuyo cumplimiento es preciso demostrar. Normas como la ley Sarbanes-Oxley o
la ley de portabilidad y responsabilidad de seguros médicos de 1996 (Health Insurance
Portability and Accountability Act) de EE.UU. contemplan específicamente puntos relacionados
con los servicios tecnológicos y su gestión.

       En la actualidad, los inspectores no exigen la presentación de certificaciones como
prueba de su cumplimiento, pero podrían hacerlo en un futuro.

        En este contexto nace en Diciembre de 2005 la norma ISO /IEC 20000 que aborda
específicamente la calidad de gestión de los servicios TI que, debido a la necesidad del sector y
organismos reguladores, podría convertirse en la norma internacional utilizada por los
inspectores para comprobar el cumplimiento de determinadas normativas legales y locales.
Ante esta situación se plantea una pregunta a las compañías de todo el mundo: ¿Qué debe
hacer una organización de TI respecto a la norma ISO/IEC 20000.

        El objetivo de este documento es ayudar a responder esta cuestión, utilizando un
recorrido por una serie de apartados que de forma natural permita tener una visión clara de la
norma y cómo se puede utilizar para mejorar la gestión de los servicios TI de las compañías.




                                                                                             4
ISO 20000 – Gestión de Servicios de TI UNFV

ISO/IEC 20000
1. ¿Qué es ISO/IEC 20000?
    La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el
planteamiento del proceso definido por la IT Infrastructure Library (ITIL – Biblioteca de
infraestructuras de tecnología de la información) de The Office of Government Commerce
(OGC). Es el primer estándar específico para la Gestión de Servicios de TI, y su objetivo es
aportar los requisitos necesarios, dentro del marco de un sistema completo e integrado, que
permita que una organización provea servicios TI gestionados, de calidad y que satisfagan los
requisitos de negocio de sus clientes.

   La norma proporciona la base para probar que una organización de TI ha implantado
buenas prácticas para la gestión del servicio y que las está usando de forma regular y
consistente.

   La norma ISO/IEC 20000 está estructurada en dos documentos:

    ISO/IEC 20000-1. Este documento de la norma incluye el conjunto de los “requisitos
     obligatorios” que debe cumplir el proveedor de servicios TI, para realizar una gestión
     eficaz de los servicios que responda a las necesidades de las empresas y sus clientes.
     Su alcance incluye:

          Requisitos para un sistema de gestión
          Planificación e implantación de la gestión del servicio
          Planificación e implantación de servicios nuevos o cambiados
          Proceso de prestación de servicios
          Procesos de relaciones
          Procesos de resolución
          Procesos de control y liberación

    ISO/IEC 20000-2. Esta parte contiene un código de prácticas para la gestión de
     servicios (“Code of Practice for Service Management”) que trata cada uno de los
     elementos contemplados en la parte 1 analizando y aclarando su contenido. En síntesis
     este documento pretende ayudar a las organizaciones a establecer los procesos de
     forma que cumplan con los objetivos de la parte 1.




                                                                                      5
ISO 20000 – Gestión de Servicios de TI UNFV




    ISO/IEC 20000 proporciona al sector una norma internacional para todas las empresas que
ofrezcan servicios de TI tanto a clientes internos como externos", creando un marco de
referencia y una terminología común para todos los actores implicados: los proveedores de
servicio, sus suministradores y sus clientes.

    En este punto es interesante aclarar que la certificación ISO/IEC 20000 sólo se otorga a
organizaciones que realizan operaciones de gestión de servicios TI, y que la norma sólo
certifica el buen funcionamiento de esas operaciones, por lo tanto no entran en su ámbito de
competencia la certificación de productos, ni servicios de consultoría relativos a la aplicación
de buenas prácticas.

A. ¿A quién va dirigida?

    Esta norma va dirigida a:

     Organizaciones que busquen mejorar sus servicios TI, mediante la aplicación efectiva
      de los procesos para monitorizar y mejorar la calidad de los servicios
     Negocios que solicitan ofertas para sus servicios
     Negocios que requieren de un enfoque consistente por parte de todos sus
      proveedores de servicio en la cadena de suministro
     Organizaciones TI que necesiten demostrar su capacidad para proveer servicios que
      cumplan con los requisitos de los clientes
     Proveedores de servicio TI para medir y comparar la gestión de sus servicios mediante
      una evaluación independiente




                                                                                         6
ISO 20000 – Gestión de Servicios de TI UNFV
B. Historia ISO/IEC 20000.

   Los antecedentes de la norma se remontan a 1989 cuando la institución británica BSI
comenzó la definición de un estándar para la gestión de servicio TI, que finalizó con su
publicación como estándar BS 15000 en 1995.

     A partir de este año BSI continuó con el desarrollo del estándar trabajando en una segunda
parte con el objetivo de profundizar en los conceptos de la parte 1 ya publicada. En la
realización de este trabajo se identificó que sería muy beneficioso para el sector TI que las
publicaciones BS estuvieran alineadas con las publicaciones ITIL de buenas prácticas,
impulsadas por el Gobierno Británico. Como consecuencia de este interés se formalizó un
acuerdo de alineamiento del que BS 15000 se benefició de los contenidos de ITIL, y
posteriormente cuando el estándar pasó a ser ISO/IEC 20000 fue éste quien ejerció su
influencia en los contenidos de la nueva versión 3 de ITIL que se publicó en Mayo de 2.007.

    La segunda parte del estándar se publicó en 1998, y posteriormente se siguió
evolucionando la norma que vio la luz en su versión final en el año 2000 como BS 15000 parte
1 y 2.

    Como complemento a los documentos “core” de la norma se desarrollaron unos
contenidos adicionales para facilitar su adopción, publicándose un esquema de autoevaluación
y una guía para los gestores del servicio.

    Gracias a la temprana adopción de esta norma por las compañías del sector, se pudo
realizar una retroalimentación con la que se realizó una revisión y evolución de la primera
versión de la norma BS 15000, publicando una segunda versión en el año 2002, que incluyó
principalmente nuevas cláusulas en los apartados de responsabilidades de la gestión y la
mejora continua con el ciclo de Deming Plan-Do-Check-Act. Desde su publicación en el año
2000 este estándar despertó un rápido interés, y un elevado nivel de adopciones en otros
países, por lo que en el mes de Octubre del año 2004 se solicitó a ISO/IEC la elevación de este
estándar británico a estándar internacional.

    Como consecuencia de la madurez del estándar se utilizó una vía de “fast track” en la que
se procedió a realizar todas las actividades marcadas para la evaluación del estándar: análisis,
debate, comentarios, votaciones de los diferentes organismos de normalización nacionales,
cambios finales y creación de las estructuras necesarias para la adopción y evolución de la
norma dentro de los organismos ISO/IEC.

    Tras 14 meses de trabajos el 15 de Diciembre de 2005 se publico el estándar ISO/IEC 20000
1 y 2, retirándose en ese momento el estándar BS 15000.

     A partir de este momento se inicia el plan para la gestión y futura evolución del estándar
ISO/IEC 20000, acordándose en Marzo de 2006 por el JTC-1, la creación de un nuevo grupo de
trabajo, el WG 25, que se encuadra dentro del subcomité 7 de este organismo (JTC-1 SC7)
iniciando sus actividades en Abril 2006.

    En España, impulsado por itSMF se realiza en el año 2006 la traducción de la norma al
español, y posteriormente AENOR procede a su localización y publicación, que se realiza en el
mes de Junio del 2007; y un mes más tarde se certifican en la norma UNE-ISO/IEC 20000-1 las
dos primeras compañías españolas, Telefónica Soluciones y el Corte Ingles.


                                                                                         7
ISO 20000 – Gestión de Servicios de TI UNFV




                                                                                                       2007

                                                                             2006                      Constitución WG25
                                                                                                       Español
                                                                             Constitución SC7-WG25     Publicación
                                                                             Primeras Propuestas de    UNE/ISO/IEC 20000-1
                                                         2005                                          UNE/ISO/IEC 20000-2
                                                                             Evolución
                                                                             Localización/Traducción   2 primeras compañías
                                                         Aprobación Comité   de la norma en los        certificadas
                                                         ISO/IEC             países
                                                         Publicación
                                2004                     ISO/IEC 20000-1
                                                         ISO/IEC 20000-2
                                Solicitud de Evolución
                                a norma ISO/IEC
                                Procedimiento Fast
                                Track
               2000

               Publicación
               BS 15000 Part1
               BS 15000 Part2




2. Contenido de ISO/IEC 20000.
    Como ya se ha mencionado anteriormente, la norma se estructura en torno a la utilización
de procesos integrados para la gestión de los servicios TI, posicionándolos en un modelo de
referencia y, estableciendo todo aquello que es obligatorio para la buena gestión de los
servicios TI.

    Estos procesos dan cobertura a las necesidades del ciclo de vida de los servicios,
contemplando muchos de los procesos incluidos en la versión 2 de ITIL y otros adicionales,
algunos de los cuales fueron posteriormente adoptados por ITIL en su nueva versión 3
publicada dos años más tarde.

    La especificación y los requisitos de ISO/IEC 20000 representan un consenso para la
industria en estandarización de calidad para la gestión de los servicios TI.

    En este apartado se va a tratar cada una de las secciones que forman la norma y sus
componentes, reflejando cuáles son sus objetivos y el número de requisitos de control que
según la norma deben cumplir.

     Es interesante destacar que la norma no enumera sus requisitos de control, por lo que las
cifras de reflejadas en este documento pueden variar respecto a otros autores.

    Esto es debido a que la norma establece sus requisitos en párrafos, que en algunos casos
son “multirequisito”, y puede haber autores que consideren solamente estos párrafos. En el
caso de este artículo el número de requisitos se ha establecido, descomponiendo los párrafos
con requisitos múltiples en requisitos unitarios.




                                                                                                                              8
ISO 20000 – Gestión de Servicios de TI UNFV




    La norma ISO/IEC 20000 cubre las siguientes secciones:

A. El Sistema de Gestión de Servicios TI (SGSTI).

    Esta sección contempla la política y las actividades de trabajo necesarias para que una
organización pueda realizar una eficiente implantación y gestión posterior de los servicios TI.

    El Sistema de Gestión de los Servicios TI cubre los aspectos de Responsabilidad de la
dirección, Requisitos de la documentación, Competencia, Concienciación y Formación.

    Para cubrir este objetivo la norma contempla 17 requisitos de control a cumplir.

B. Planificación e Implementación de la Gestión del Servicio.

    En la actualidad es absolutamente necesario lograr una gestión efectiva de los servicios TI,
pero no es suficiente ya que también es necesario lograr que la calidad de los servicios mejore
de forma continua.

    Por este motivo uno de los objetivos fundamentales de la norma ISO/IEC 20000 es validar
la mejora continua de la calidad de la gestión de los servicios, y para ello ha utilizado el modelo
de mejora de la calidad definido por W. Edwards Deming aplicado inicialmente en la industria
de la fabricación y empleado con éxito en otras normas ISO/IEC (9000, 27001, etc.)

    Adicionalmente a ISO/IEC 20000, las organizaciones pueden utilizar COBIT para
materializar las medidas de los avances en el logro de nuevos niveles de mejora a medida que
la gestión de los servicios gana en madurez.




                                                                                           9
ISO 20000 – Gestión de Servicios de TI UNFV




    Esta sección de la norma cubre los siguientes apartados:

    La planificación de la gestión del servicio (Planificar), tiene como objetivo planificar
la implantación y la provisión de la gestión del servicio, contemplando aspectos como, el
alcance de la gestión del servicio, los enfoques de planificación, los eventos a considerar, el
alcance y contenidos del plan, etc.

    Entre los principales aspectos que se contemplan en este apartado podemos mencionar:

       La definición del alcance del SGSTI
       Definición de las políticas de gestión de servicios
       Establecer los objetivos
       Definir los procesos
       Definir los recursos

    Para cubrir este apartado la norma contempla 13 requisitos de control a cumplir.

    Implementación de la gestión del servicio y la provisión del servicio (Hacer), su
misión es la de implantar los objetivos de la gestión del servicio y el plan definidos.

    Entre los aspectos más relevantes que trata podemos mencionar:

     Definir e implantar plan de gestión del servicio
     Implantar los Procesos (documentación, responsables, registros, indicadores)
     Implantar el Sistema de Gestión

    Para cubrir este apartado la norma contempla 9 requisitos de control a cumplir




                                                                                        10
ISO 20000 – Gestión de Servicios de TI UNFV
    Monitorización, medición y revisión (Verificar), su objetivo es monitorizar, medir y
revisar que los objetivos y el plan de gestión del servicio definidos se están cumpliendo,
poniendo de manifiesto la capacidad de los procesos para alcanzar los resultados planificados.

    Como aspectos más relevantes podemos mencionar:

           Desarrollo procedimientos de monitorización
           Revisiones periódicas del SGSTI
           Revisar objetivos y plan de gestión del servicio
           Auditar internamente el SGSTI

    Para cubrir este apartado la norma contempla 9 requisitos de control a cumplir.

    Mejora continua (Actuar), su objetivo es mejorar la eficacia y la eficiencia de la entrega
y de la gestión del servicio, contemplando aspectos como la política de mejora y la
planificación de las mejoras del servicio.

    Los aspectos más destacables son:

       Identificar e implantar las mejoras
       Adoptar acciones preventivas y correctivas
       Comunicar acciones y resultados
       Verificar que las mejoras cumplen su objetivo

    Para cubrir este apartado la norma contempla 16 objetivos de control a cumplir.

C. Planificación e Implementación de Servicios, Nuevos o Modificados.

   Esta sección contiene un solo proceso que tiene como objetivo asegurar que la creación de
nuevos servicios, las modificaciones a los existentes e incluso la eliminación de un servicio, se
puedan gestionar y proveer con los costes, calidad y plazos acordados.

    Para ello, hay que gestionar el ciclo completo de la provisión y entrega de los servicios,
realizando una planificación unificada e integrada, considerando los costes y el impacto a nivel
organizativo, técnico y comercial que pudiera derivar de su entrega y gestión, asegurando que
todas las partes implicadas conocen y cumplen con el plan y los compromisos acordados.

     Este proceso esbozado en la norma ISO/IEC 20000, e inexistente en ITIL tanto en la v2
como en la v3, comienza en el cliente y finaliza con el servicio entregado y operativo, o
eliminado. Para lograr que todo funcione adecuadamente y sin duplicar actividades, debe
sincronizar el funcionamiento del resto de procesos de gestión del servicio involucrados:
Relaciones con el negocio, la Gestión del nivel de servicio, Generación de informes del servicio,
etc., realmente debe actuar como un “proceso director” que permita coordinar y encadenar la
participación de todos los procesos de la gestión del servicio implicados.

    Este proceso contempla 16 requisitos de control a cumplir.




                                                                                          11
ISO 20000 – Gestión de Servicios de TI UNFV
D. Procesos de Provisión de Servicio.

    En esta sección se tratan los requisitos necesarios para cubrir la provisión de los servicios
que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos
servicios.

    Para conseguir su objetivo ISO/IEC 20000 estructura esta sección en un conjunto de
procesos con objetivos específicos y unitarios para evitar posibles conflictos.

   Seguidamente vamos a dar un repaso por los procesos que componen esta sección para
conocer sus objetivos.




Gestión de Nivel de Servicio.

        Este proceso aparentemente igual al de ITIL, se aligera de contenido en la norma, ya
que parte de las funciones contempladas en ITIL se reparten en otros procesos, alguno de los
cuales no tiene equivalencia en ITIL v2 ni v3.
        En ISO/IEC 20000 se establecen procesos específicos para actividades que en ITIL se
realizan dentro de este proceso: Relaciones con el Negocio que se encarga de gestionar la
relación con los clientes; Planificación e Implementación de servicios, nuevos o modificados;
Generación de Informes de Servicio y Gestión de Suministradores, estos dos últimos procesos
ya se han contemplado en la v3 de ITIL. En la norma, el objetivo del proceso de Gestión de
nivel de servicio es definir y acordar con las partes los acuerdos de nivel de servicio, para
posteriormente registrarlos adecuadamente y gestionar su cumplimiento y evolución.

       Controla si se están consiguiendo los niveles de servicio acordados, y en caso necesario
determina los motivos y promueve las acciones de mejora adecuadas.

        Este apartado contempla 9 requisitos de control a cumplir



                                                                                          12
ISO 20000 – Gestión de Servicios de TI UNFV
Generación de informes del servicio

        El objetivo de este proceso es generar los informes de servicio acordados, fiables,
precisos y en plazo, de forma que permitan verificar si se están cumpliendo los requisitos y
necesidades de los usuarios, e informar de la toma de decisiones con el fin de lograr una
comunicación eficaz.

        Este proceso contempla 10 requisitos de control a cumplir.

Gestión de la continuidad y disponibilidad del servicio

        El objetivo de este proceso es conseguir que los compromisos de disponibilidad y
continuidad puedan cumplirse en la forma en que se han acordado con los clientes.

        Este proceso debe controlar los riesgos y mantener la continuidad del servicio, tanto
en situaciones de fallos o mal funcionamiento (disponibilidad) como en casos de catástrofes o
desastres (continuidad).

        Para cubrir este objetivo la norma contempla 13 requisitos de control a cumplir.

Elaboración de presupuesto y contabilidad de los servicios de TI

        El objetivo de este proceso es presupuestar y contabilizar los costes de la provisión del
servicio.

         Como podemos observar en el objetivo de la norma no se contempla la facturación de
los servicios, esto es debido a que en la práctica muchos proveedores de servicios no realizan
una facturación formal de los servicios a sus clientes, principalmente las unidades internas de
TI de las compañías. Por este motivo la norma considera esta actividad como opcional.

       Sin embargo, hay que recomendar a los proveedores que si hacen uso de la facturación
el mecanismo utilizado debe estar plenamente definido y entendido por todas las partes.
También hay que tener en cuenta que la facturación debe estar alineada con las prácticas
contables tanto del país como las más específicas de la organización del proveedor del servicio.

        Para cubrir este objetivo la norma contempla 7 requisitos de control a cumplir.

Gestión de la Capacidad

       El objetivo de este proceso es asegurar que el proveedor del servicio tiene en todo
momento la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las
necesidades del negocio del cliente.

        Para poder realizar una gestión eficiente de la capacidad es necesario elaborar un plan
de capacidad que este dirigido a las necesidades reales del negocio. El plan de capacidad
contempla aspectos como los requisitos de capacidad de rendimiento, de evolución prevista
tanto por cambios internos como por cambios externos, como por ejemplo legislativos, etc.

        Para cubrir este objetivo la norma contempla 8 requisitos de control a cumplir.




                                                                                           13
ISO 20000 – Gestión de Servicios de TI UNFV
Gestión de Seguridad de la Información

        El objetivo de este proceso es gestionar la seguridad de la información de manera
eficaz para todas las actividades del servicio.

       Para establecer una gestión de la seguridad es necesario establecer, y comunicar a
todo el personal, una política de seguridad que contemple los controles adecuados para
gestionar los riesgos asociados al acceso a los servicios o a los sistemas.

        Para cubrir este objetivo la norma contempla 13 objetivos de control a cumplir.

        Adicionalmente, y para aquellas organizaciones que requieran un alto nivel en la
gestión de la seguridad de la información existe una norma específica, ISO/IEC 27001, que
proporciona un código de prácticas para la gestión de la seguridad de la información.

E. Procesos de Relaciones

        Los proveedores de servicio TI tienen dos puntos externos de relación, por una parte
se encuentra la relación con el negocio y los clientes a los que da servicio, y por la otra está la
relación con sus suministradores, fundamental para el soporte y evolución del servicio.

        Una adecuada gestión de estas relaciones posibilita el control adecuado de los dos
factores externos a la organización que son claves para la realización de una correcta gestión
del servicio TI. En esta sección ISO/IEC 20000 trata los requisitos necesarios para cubrir estas
relaciones mediante dos procesos específicos: Gestión de Relaciones con el Negocio y Gestión
de Suministradores.

        Finalmente es interesante mencionar que esta sección de ISO/IEC 20000 también ha
influenciado a ITIL, que en su versión 3 ha incluido un proceso específico para la gestión de
suministradores. Sin embargo, no han incluido ningún proceso específico para gestionar de
forma adecuada la relación con los clientes.




                                                                                            14
ISO 20000 – Gestión de Servicios de TI UNFV
Gestión de las relaciones con el negocio

       El objetivo de este proceso es establecer y mantener una buena relación entre el
proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los
fundamentos de su negocio.

        La gestión de la relación con el negocio asegura que todas las partes implicadas en la
provisión de un servicio, incluyendo también al propio cliente, están identificadas y
gestionadas, responsabilizándose de dar una respuesta adecuada a las demandas del cliente
gracias a su función de interfaz entre el negocio y las áreas de TI.

        Esto se logra negociando y acordando los niveles de servicio a proveer, monitorizando
e informando acerca del rendimiento del servicio, y creando una relación de negocio eficaz
entre la organización TI y sus clientes.

        En este proceso se vela por la satisfacción del cliente atendiendo sus reclamaciones y
revisando periódicamente los acuerdos y contratos establecidos.

        Adicionalmente también debe permanecer al tanto de las necesidades del negocio y de
los principales cambios en el mismo para preparar una respuesta a dichas necesidades.

       Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir.

Gestión de suministradores

        El objetivo de este proceso es gestionar los suministradores para garantizar la
provisión, sin interrupciones, de servicios de calidad.

        Actualmente la creación de valor, ya sea en tecnología, marketing o fabricación, se
está volviendo tan complejo que un solo departamento o compañía no está en disposición de
poder dominarlo en solitario.

        Esta situación está llevando a las organizaciones, que buscan mejorar su rendimiento,
a considerar que competencias son esenciales para su negocio, potenciándolas internamente y
ampliando sus capacidades mediante socios tanto en actividades internas como externas.

        Este proceso da cobertura a la gestión de suministradores mediante los controles
necesarios para normalizar y acordar con todas las partes los acuerdos de servicio alineados
son los SLAs establecidos con los clientes.

         También contempla el comportamiento de estos acuerdos de servicio mediante la
monitorización y revisión de las prestaciones obtenidas frente a los objetivos establecidos,
identificando y proponiendo acciones de mejora.

        Para finalizar es importante destacar que este proceso no contempla la selección de
suministradores al considerar que es una actividad previa, fuera del ámbito de las actividades
de gestión.

       Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir.




                                                                                          15
ISO 20000 – Gestión de Servicios de TI UNFV
F. Procesos de Resolución

       Los procesos de resolución son gestión del incidente y gestión del problema, estos
procesos tienen un alto grado de relación aunque tienen objetivos diferenciados.

        Gestión del incidente se encarga de la recuperación de los servicios a los usuarios tan
pronto como sea posible, y gestión del problema tiene la misión de identificar y eliminar las
causas de los incidentes para que no vuelvan a producirse.




Gestión del incidente

        El objetivo de este proceso es restaurar el servicio acordado con el negocio tan pronto
como sea posible o responder a peticiones de servicio. Para conseguir el objetivo es necesario
tratar de forma adecuada los sucesos que provocan la degradación o pérdida del
funcionamiento normal de un servicio, priorizando la atención de las incidencias de acuerdo a
los compromisos de servicio establecidos, y reduciendo el impacto provocado gracias a una
resolución oportuna.

       Para cubrir este objetivo la norma establece 9 requisitos de control a cumplir.

Gestión del problema

        El objetivo de este proceso es minimizar los efectos negativos sobre el negocio de las
interrupciones del servicio, mediante la identificación y el análisis reactivo y proactivo de la
causa de los incidentes y la gestión de los problemas para su cierre Uno de los aspectos más
relevantes de este proceso es identificar la causa raíz de los fallos que ocurren o que
potencialmente pueden ocurrir, al objeto de asegurar la estabilidad de los servicios, y que los
problemas no ocurran o se vuelvan a repetir.

        Gracias a su correcta implantación es posible mejorar la calidad global de los servicios
TI, estabilizar el entorno de producción manteniendo el funcionamiento normal del negocio y
acometer proyectos de mejora que permitan erradicar fallos en el servicio.

       Para cubrir este objetivo la norma establece 9 requisitos de control a cumplir.

                                                                                         16
ISO 20000 – Gestión de Servicios de TI UNFV
G. Procesos de Control

        La gestión de la configuración y del cambio son dos procesos sobre los que pivotan el
resto de procesos de la gestión del servicio TI, gracias a ellos el proveedor de servicios puede
controlar adecuadamente los cambios que se producen en los componentes del servicio y la
infraestructura que los soporta, y disponer de una base de información precisa y actualizada
de la configuración, elemento indispensable para la toma de decisiones de todos los procesos
incluido gestión del cambio.




Gestión de la configuración

        El objetivo de este proceso es definir y controlar los componentes del servicio y de la
infraestructura, manteniendo información precisa y actualizada sobre la configuración. Este
proceso se ocupa de la identificación, control y verificación de los Elementos de Configuración
(CI-Configuration Item) que componen un servicio, registrando su estado y dando información
para el apoyo al resto de los procesos de Gestión de TI.

       Por lo tanto, gestión de la configuración es el proceso que garantiza que la información
necesaria para la adecuada gestión de los servicios TI esta correctamente registrada y
administrada.

       Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir.

Gestión del cambio

       El objetivo de este proceso es asegurar que todos los cambios son evaluados,
aprobados, implementados y revisados de una manera controlada. Este proceso controla los
cambios de forma eficiente de acuerdo con los compromisos de servicio y con el mínimo
impacto en el entorno de producción. Para ello implanta una gestión integral de los cambios
proporcionando una visión conjunta que facilita al análisis de los riesgos y la toma de medidas
a adecuadas para garantizar el éxito del los cambios y minimizar su impacto negativo en el
negocio de los clientes.

       Para cubrir este objetivo la norma establece 13 requisitos de control a cumplir.

                                                                                          17
ISO 20000 – Gestión de Servicios de TI UNFV
H. Procesos de Entrega




Gestión de la entrega

       El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o
más cambios en la entrega en el entorno de producción real.

        Gestión de la entrega realiza la planificación y gestión de los recursos que permite
distribuir correctamente un lanzamiento al cliente. Para realizar con éxito esta tarea, este
proceso tiene una visión global de los servicios, con lo que se garantiza que todos los aspectos
que afecten a las entregas, tanto técnicos como no técnicos, se analizan y tratan globalmente.

       Para cubrir este objetivo la norma establece 16 objetivos de control a cumplir.

         En la imagen siguiente se incluye un resumen de lo tratado en este apartado, y para
finalizar es importante resaltar que los requisitos de control de ISO/IEC 20000 son totalmente
prácticos y orientados a “hacer” aquellas actividades que son claves en una gestión de
servicios TI de alta calidad.




                                                                                         18
ISO 20000 – Gestión de Servicios de TI UNFV




                                       19
ISO 20000 – Gestión de Servicios de TI UNFV
Seguidamente se aportan algunos ejemplos extraídos de la norma:

La implementación de nuevos servicios o modificaciones en los existentes, incluyendo la
eliminación de un servicio, debe ser planificada y aprobada a través de un proceso
formal de gestión del cambio. (Planificación e Implementación de Servicios, nuevos o
modificados)

Los SLAs se deben revisar periódicamente por las partes, para asegurar que se
encuentran actualizados y continúan siendo eficaces con el transcurso del tiempo.
(Gestión de Nivel de Servicio)

El proveedor del servicio y los clientes se deben reunir, al menos una vez al año, para la
revisión del servicio y para discutir cualquier cambio en el alcance del mismo, en el SLA,
en el contrato (si existe) o en las necesidades del negocio. (Gestión de las relaciones
con el negocio)




                                                                                   20
ISO 20000 – Gestión de Servicios de TI UNFV

3. Implantar ISO/IEC 20000
         Lo primero y más importante es dejar claro que ISO/IEC 20000 no es un proyecto que
se instala y se consigue el objetivo deseado, realmente la norma se centra en una gestión de
los servicios orientada al negocio y basada en una estrategia de “mejora continua”, por lo que
su adopción es más un cambio cultural y de las formas de trabajar que un proyecto con un
inicio y un fin.

        Por lo tanto las organizaciones que necesiten establecer una gestión de los servicios TI
eficiente y una cultura de mejora continua deberían utilizar esta norma como la referencia más
adecuada, independientemente de que finalmente soliciten, o no, la certificación ISO/IEC
20000.

        Realmente la documentación de la norma proporciona una valiosa y económica fuente
de referencia para aquellas organizaciones que hayan adoptado, o estén adoptando, procesos
de gestión de servicios TI, ya que proporciona una forma normalizada e independiente de
medir el nivel de adopción de los procesos de gestión de servicios y de su mejora continua.

         De la misma forma, si la organización decide adoptar como referencia ISO/IEC 20000,
podrá beneficiarse de la norma para conseguir de forma clara y guiada una gestión del servicio
de alta calidad, independientemente de que finalmente decidan no solicitar formalmente la
certificación. Las organizaciones que busquen adoptar una estrategia de mejora continua en la
gestión de servicios de TI se beneficiarán de la adopción de la norma ISO/IEC 20000.




                                                                                La
                                                                                automatización,
                                         3.     Programa     4. Seguimiento     un        factor
  1. Conocer la       2. Analizar la
                                         para la mejora      y       mejora     relevante      a
  documentación       situación actual
                                         del servicio        continúa.          considerar en la
                                                                                adopción      de
                                                                                ISO/IEC 20000




                                                                                         21
ISO 20000 – Gestión de Servicios de TI UNFV
       Seguidamente vamos a analizar los principales pasos para realizar una exitosa
adopción de ISO/IEC 20000.

1. Conocer la documentación

       Es el primer paso a cubrir por los miembros de la organización TI, sus miembros deben
conocer y comprender ISO/IEC 20000, adicionalmente también deberían familiarizarse con
COBIT como mecanismo de medición y control, y con ITIL como plataforma para conseguir
implantar de forma predecible las practicas necesarias para lograr los objetivos establecidos en
la norma.

2. Analizar la situación actual

       El siguiente paso es evaluar la situación actual y determinar en qué situación se
encuentra su gestión del servicio de TI con respecto a los requisitos de ISO/IEC 20000.

        La evaluación de la situación actual no solo cubre al grado de cumplimiento de los
procesos de la organización respecto a la norma, también debería cubrir un estudio de la
cultura de trabajo de TI y del negocio, con el fin de establecer la recomendaciones adecuadas
en función de las características especificas de la organización de TI y los negocios a los que da
servicio.

        Esta actividad aportará una idea clara del grado de adopción y cumplimiento con el
que está trabajando la organización. En este análisis es posible identificar las fortalezas de la
compañía así como las áreas de mejora necesarias para lograr cumplir los objetivos
establecidos en la norma.
3. Programa para la mejora del servicio

        Una vez cubierta la evaluación inicial de la situación y con los datos del gap analysis es
posible determinar qué pasos se deben seguir para evolucionar en aquellas áreas con mayor
potencial de mejora. En este punto hay que diseñar y desarrollar el programa de mejora para
implantar de forma eficaz la estrategia establecida

       Aquellas organizaciones que se encuentren en proceso de adopción de ITIL o COBIT
pueden aprovechar su inversión en este proyecto para acelerar las mejoras detectadas.

4. Seguimiento y mejora continúa.

       Como ya se ha mencionado anteriormente es importante tener presente que la
adopción de ISO/IEC 20000 es un proceso iterativo de mejora continua.

        La organización debe implantar las áreas de mejora identificadas en al análisis de la
situación inicial de forma incremental, midiendo sus progresos respecto a la norma, y
utilizando para lograrlo, los elementos de referencia del mercado más adecuados: ITIL, COBIT,
las buenas prácticas ya utilizadas en la organización, etc.




                                                                                           22
ISO 20000 – Gestión de Servicios de TI UNFV
La automatización, un factor relevante a considerar en la adopción de
ISO/IEC 20000

        Como ya hemos podido observar, la adopción de la norma requiere el establecimiento
de procesos en las diferentes disciplinas de la gestión de los servicios TI, procesos que
adicionalmente requieren de una integración y coordinación entre ellos muy fuerte.

         La adopción efectiva de estos procesos es una tarea difícil de abordar, a la que se suma
la dificultad añadida de tener que conseguir una mejora continua.

        En este contexto tan complejo, los procesos solamente manuales no son viables, por lo
que las organizaciones necesitan apoyarse en soluciones y herramientas de automatización
para facilitar la administración de estos entornos complejos.

      La automatización aporta una serie de importantes ventajas entre las que podemos
mencionar:

     Facilita la integración de los procesos y ayuda a realizar el cambio cultural, ayudando a
      eliminar los “silos de poder” en la organización
     La automatización facilita el establecimiento de los procesos y una utilización
      homogénea y sistemática, al obligar a utilizarlos tal como se han definido. La utilización
      manual de los procesos facilita la tendencia que tienen las personas a “adecuar” los
      procesos a sus formas personales de trabajo, provocando con el paso del tiempo una
      falta de coherencia de las formas de trabajo respecto a los procesos establecidos.
     El uso de herramientas agiliza la implementación de los procesos facilitando la
      adopción de la mejora continua, lo que potencialmente ayuda a acelerar el
      cumplimiento de los requisitos de la norma ISO/IEC 20000.
     Permite reducir costes, la automatización puede ayudar a reducir gastos de personal al
      minimizar los costes del servicio y asumir la ejecución de funciones rutinarias y
      repetitivas que normalmente exigiría gran parte del tiempo de los especialistas de la
      organización.
     Facilita seguimiento del cumplimiento de la normativa aportando información del uso
      de los procesos, y registros de auditoría, lo que permite demostrar el cumplimento de
      la normativa.




                                                                                          23
ISO 20000 – Gestión de Servicios de TI UNFV

4. La certificación ISO/IEC 20000
       En primer lugar, es importante resaltar que la certificación no debería ser un fin en sí
misma, sino más bien un medio.

       Un medio que aporta un reconocimiento por una entidad ajena con la credibilidad
necesaria, imparcial e independiente a la organización de TI.

        La certificación declara públicamente, a las partes interesadas (organización, clientes,
proveedores, competencia) y a toda la sociedad en general, tanto en el ámbito nacional, como
en el internacional, que dicho proveedor de servicios TI gestiona sus servicios mediante
procesos de acuerdo a este estándar internacional. Esta certificación permite al proveedor de
servicios TI acreditar la calidad en la prestación de sus servicios, alineada con el negocio y
aplicando criterios de eficiencia, así como de control de sus riesgos de operación del servicio
basado en los requisitos contractuales adquiridos con sus clientes y los de contratación
acordados con sus suministradores.

       Pero, ¿en qué consiste la certificación ISO/IEC 20000? Seguidamente se expone muy
sucintamente los pasos necesarios para realizar este proceso.

        Una vez que el proveedor de servicios TI ha implementado la gestión del servicio TI
(SGSTI) según la norma y ha decidido certificar la conformidad de este sistema de gestión con
la norma ISO/IEC 20000-1:2005, y por lo tanto su forma de diaria trabajo, es necesario cubrir
una serie de actividades.

         Para iniciar este proceso se necesitan dos actores: el solicitante (empresa u
organización que aspira a conseguir la certificación conforme a la norma) y la entidad de
certificación (empresa u organización que tras el proceso de auditoría y evaluación respecto a
la norma, concede o deniega la certificación).

         Estos dos actores deben cubrir una serie de actividades, que como se puede se puede
apreciar en la figura siguiente no constituyen un proceso lineal que empieza y termina. Más
bien es un camino, en el que la primera etapa es la certificación inicial y, a partir de este punto,
no finaliza nunca.

        Como ya se ha comentado anteriormente el objetivo último de la norma es mantener y
mejorar la calidad de la gestión de servicios de la organización TI, y este aspecto se convierte
en uno de los ejes fundamentales tanto para la realización de las auditorias de seguimiento
anual, como en las de renovación del certificado, que se realiza cada 3 años.




                                                                                            24
ISO 20000 – Gestión de Servicios de TI UNFV
En la siguiente figura se muestran las etapas del ciclo de certificación:




                                                                            Proceso Certificación ISO/IEC 20000
                                                                            Mantenimiento
                                                                             Certificación




                                                                                                                  25
ISO 20000 – Gestión de Servicios de TI UNFV
        1. Determinar el alcance de la certificación. En esta etapa se definen los servicios
y centros sobre los que se aplicará el proceso de certificación. En este punto es importante que
la organización TI solicitante realice un análisis de su situación actual respecto a ISO 20000-1
para determinar el momento más adecuado para realizar la solicitud.

        2. Solicitud de certificación. El siguiente paso es realizar la solicitud de certificación
a una entidad de certificación acreditada, y esta entidad confeccionará una propuesta que se
envía al proveedor TI solicitante para su estudio, aprobación y contratación.

      3. Análisis de documentación. En esta etapa la entidad de certificación estudia la
documentación del sistema de gestión de servicios de la empresa solicitante.

        4. Visita previa. En este punto la entidad de certificación realiza su trabajo in-situ en
los centros del proveedor solicitante. Su objetivo es conocer la empresa y evaluar la idoneidad
del alcance solicitado de la certificación; y adicionalmente analiza cómo está implantado el
sistema de gestión SGSTI ya analizado en la etapa anterior.

       Esta etapa es el punto idóneo para resolver cualquier duda que surja por parte del
proveedor TI solicitante o de la entidad de certificación. En las experiencias de certificación he
podido comprobar que la etapa de la visita previa es una “actividad clave para el éxito del
proceso de certificación”

        Como actividad final de esta etapa, la entidad de certificación prepara el plan de
auditoría, que debe incluir: planificación de fechas, miembros del equipo de auditoría,
contenidos a auditar, etc., que se entrega al proveedor TI solicitante para su revisión y
aprobación.

         5. Auditoria Inicial. Esta es la etapa más compleja y crítica del proceso ya que en ella
se lleva a cabo la auditoria inicial de certificación, sobre los servicios e instalaciones acordadas,
del proveedor solicitante.

         En el caso que exista no conformidades se emitirá un informe, señalando las no
conformidades o desviaciones detectadas. Y si es necesario, la organización solicitante debe
realizar un “plan de acciones correctivas”, que se deben poner en práctica para corregir las
desviaciones detectadas. En este caso la compañía solicitante debe evidenciar la corrección de
dichas desviaciones ante la entidad de certificación, en el plazo establecido.

       6. Evaluación y decisión. En este punto, la actividad a realizar está solamente en el
ámbito de la empresa certificadora, que mediante un comité de decisión, analiza y valora
dichas acciones y en caso de valoración positiva procederá a la concesión del certificado
correspondiente.

        7. Concesión del certificado. En caso que la decisión del Comité sea positiva se
emite el certificado, con el alcance establecido, a favor del proveedor TI solicitante.

         Por el contrario, si del análisis se detecta que no se cumplen requisitos graves de
certificación, sería necesaria una visita adicional. Esta nueva visita se denomina “auditoria
extraordinaria”, y normalmente se planifica seis meses después de la auditoria inicial. Su
objetivo es comprobar la corrección de los incumplimientos que motivaron esta auditoria
extraordinaria.


                                                                                             26
ISO 20000 – Gestión de Servicios de TI UNFV
         8. Auditoria de seguimiento. Durante los dos años siguientes, la entidad de
certificación debe realizar auditorías de seguimiento del sistema de gestión certificado (AS1 y
AS2), normalmente seleccionando partes de dicho sistema y no la totalidad del mismo. Su
objetivo es comprobar su funcionamiento, y en caso de encontrar incumplimientos levanta las
no conformidades necesarias, que la organización ya acreditada debe resolver mediante un
nuevo plan de acciones correctivas.

        9. Auditoria de renovación. Pasados tres años desde la consecución del certificado,
la entidad de certificación debe realizar una nueva auditoría, y en este caso su ámbito será
muy parecido a la auditoria inicial. Con el resultado de esta nueva auditoría de procederá a
prorrogar o cancelar la certificación concedida. Al igual que en la auditoria inicial, también
podría darse el caso que fuera necesaria de una visita extraordinaria para estos
mantenimientos o renovaciones.

         A pesar de la juventud de la norma ya existe un buen número de compañías
certificadas, algunas provienen de la antigua norma BS 15000, pero existen un importante
número de compañías que ya se han certificado directamente bajo la norma ISO/IEC 20000.

         Aunque en esta fuente de información solamente aparecen registradas dos compañas
Españolas, según información de AENOR, e itSMF, existen un mínimo de 6 compañías
certificadas, y actualmente están en proceso certificación otras 4 más.

                                 Compañias                              Compañias
                                 Certificadas                           Certificadas

                   Australia          3                     Malaysia             2
                     Austria          5                 Netherlands              3
                  Bostwana            1                   Philippines            1
                       Brazil         1                        Poland            2
                       China         17                         Qatar            1
                  Colombia            1                        Russia            1
             Czech Republic           1                 Saudi Arabia             2
                   Denmark            1                    Singapore             1
                      France          2                      Slovakia            1
                   Germany           15                 South Korea             19
                 Hong Kong            6                         Spain           6*
                        India        34                  Switzerland             7
                     Ireland          1                       Taiwan             7
                         Italy        1                      Thailand            2
                       Japan         31                        Turkey            1
                       Korea          5                            UK           38
                     Kuwait           1                          USA             4
              Liechteinstein          1

                                    TOTAL COMPAÑIAS CERTIFICADAS               225


                                                                                  www.ISOIEC20000certificacion.com
                                                                        Fuente ISOIEC20000, * AENOR e itSMF España




                                                                                                      27
ISO 20000 – Gestión de Servicios de TI UNFV
Las ventajas de la norma ISO 20000

          La reputación de la ISO y el reconocimiento internacional del IT Service Management
System (Sistema de gestión de servicios de tecnología de la información) que conlleva la norma
ISO 20000 es un verdadero refuerzo para la reputación de cualquier empresa. Reduce el riesgo
ofreciendo apoyo fiable de profesionales de la tecnología de la información (internos o
subcontratados), cuando y donde más se necesita. Esto ayuda a poner cualquier situación de
tecnología de la información bajo control inmediato y disminuye sus daños potenciales,
mejorando la productividad de los empleados y la fiabilidad del sistema de tecnología de la
información. Y lo que es más, la certificación aporta motivación a la organización y demuestra
la fiabilidad y calidad de los servicios de tecnología de la información para empleados, partes
interesadas y clientes.

        La certificación de su Sistema de gestión de servicios de tecnología de información a
través de SGS ayudará a su organización a desarrollar y mejorar su rendimiento.

     Su certificado IT Service Management System según la norma ISO 20000 de SGS le
      permitirá demostrar altos niveles de calidad y fiabilidad de los servicios de tecnología
      de información, cuando presente ofertas para contratos internacionales o cuando
      realice ampliaciones locales para aumentar su volumen de negocio.

     La evaluación periódica realizada por SGS le ayudará a utilizar, supervisar y mejorar
      continuamente su sistema de gestión de los servicios de tecnología de la información y
      sus procesos. Esto mejorará la fiabilidad de sus operaciones internas para satisfacer las
      necesidades de los clientes y también para aumentar su rendimiento global. Lo más
      probable es que también consiga una mejora importante en motivación, compromiso
      y comprensión de su responsabilidad por parte del personal.

     La norma ISO 20000 se puede vincular también con la norma ISO 27000 (norma
      internacional para seguridad de la información). Integrando las auditorías de estos
      sistemas de gestión podrá ahorrar tiempo y dinero.




                                                                                        28
ISO 20000 – Gestión de Servicios de TI UNFV

5. ISO/IEC 20000 “una norma viva” que aporta valor al sector TI
        Los organismos ISO (Intenational Organization for standarization) e IEC (Intenational
Electrotechnical Comisión) tienen una estructura y métodos específicos para la creación y
evolución de los estándares publicados.

        En el ámbito de ISO/IEC 20000 la estructura está organizada dentro del subcomité “SC
7 "Ingeniería de Software y Sistemas de Información” que se encuadra en el Comité “AEN/CTN
71 Tecnologías de la Información”.

        En este subcomité trabaja el “WG-25 – Gestión y buen gobierno de TI” que es el
encargado de desarrollar y evolucionar las normas relacionadas con la gestión y gobierno de
TI. Actualmente el ámbito de actuación de este grupo de trabajo está relacionado con dos
normas:

     ISO/IEC 20000 - Gestión del servicio TI, publicada en Diciembre de 2.005

     ISO/IEC 38500 - Gobierno de TI. Esta norma se encuentra en su fase final de desarrollo
      y se publicará en un corto periodo de tiempo.

        El WG 25 está formado actualmente por 18 Organizaciones nacionales de
estandarización: Australia, Canadá, Finlandia, Francia, Alemania, India, Italia, Japón,
Luxemburgo, Holanda, Nueva Zelanda, Portugal, Eslovaquia, South África, España, Suiza,
Inglaterra y USA

      En España, el WG25, impulsado por AENOR, está formado por 33 Compañías con 43
miembros.

        Los principales cometidos de este grupo de trabajo son: el desarrollo y evolución de las
normas de su ámbito, y la creación de material complementario para ayuda del sector en la
aplicación de las normas.

       Y en este punto, conociendo esta estructura y responsabilidades surgen
inmediatamente las preguntas: ¿Qué se está haciendo en este grupo de trabajo?, y ¿qué nos
aportará ISO/IEC 20000 en un futuro próximo?




                                                                                         29
ISO 20000 – Gestión de Servicios de TI UNFV
       Para responder a estas preguntas la mejor forma es estructurar las actividades del WG
25 en dos tipos de actividad:




       1. Evolución del “core” de la norma.

       En este apartado se está trabajando en tres líneas de actividad:

               a. Revisión ISO/IEC 20000-1. En este punto se esa trabajando principalmente
                  en una unificación de términos que permitan una mejor comprensión de la
                  norma, principalmente a aquellos sectores en los que el ingles no es su
                  lengua nativa.

               b. Revisión ISO/IEC 20000-2. En esta parte de la norma se trabajará en
                  función de lo acordado en la parte 1, realmente la parte 2 de la norma es
                  un complemento y ayuda de la parte 1.

               c. Desarrollo ISO/IEC 20000-3. Esta nueva parte de la norma tiene como
                  objetivo ayudar a las organizaciones a determinar el alcance y ámbito de
                  aplicabilidad de la norma en las organizaciones TI. Esta parte se encuentra
                  en un punto de desarrollo muy avanzado, por lo que podría liberarse al
                  sector a lo largo este año o a comienzos del 2009.




                                                                                      30
ISO 20000 – Gestión de Servicios de TI UNFV
        2. Desarrollo de ayudas complementarias a la norma.

        En este apartado se está trabajando principalmente en 3 líneas de actividad:

                a. Modelo de Conformidad Incremental. El objetivo de la conformidad
                   incremental es ayudar a las organizaciones a lograr la certificación ISO/IEC
                   20000 de forma escalonada, facilitando un “road map” que les permita
                   implantar los requisitos de la norma de forma estructurada en cada una de
                   las fases del modelo.

                b. Modelo de Assessment ISO/IEC 20000. Este modelo tiene como finalidad
                   ayudar a las organizaciones a evaluar su grado de adecuación a la norma, y
                   la identificación de las áreas de mejora que es necesario evolucionar para
                   conseguir la certificación ISO/IEC 20000.

                            Este modelo se estructura en dos líneas de trabajo, la primera es la
                    de definir el Modelo de Referencia de Procesos (PRM 20000-4) que
                    establece las bases del modelo de madurez y el marco de evaluación. De
                    forma complementaria se trabaja en el Modelo de Evaluación (PAM 15504-
                    8) que cubre la evaluación de los procesos y sus requerimientos.

                c. Alineamiento de los Sistemas de Gestión de ISO/IEC 20000, ISO/IEC 9000 e
                   ISO/IEC 27001. El objetivo de esta línea de trabajo es armonizar los
                   contenidos del Sistema de Gestión de estos tres estándares identificando y
                   mapeando los puntos comunes; lo que reportará interesantes sinergias a la
                   hora de definir los diferentes Sistemas de Gestión de estas normas.

         El objetivo final de estas iniciativas es que las organizaciones del sector TI dispongan de
una serie de herramientas que puedan utilizar para realizar una gestión de los servicios TI de
calidad, y alineada con las necesidades del negocio, independientemente de que su objetivo
final no sea la certificación.




                                                                                            31
ISO 20000 – Gestión de Servicios de TI UNFV

ITIL & ISO 20000
      “SON CONSIDERADOS PARTE DE LAS “MEJORES PRÁCTICAS” RELACIONADAS CON
TECNOLOGÍAS DE INFORMACIÓN, EN TANTO QUE AMBOS PROVEEN REFERENCIAS GENERALES
PARA ADMINISTRAR SERVICIOS DE TI”


        ITIL e ISO 20000 se han convertido en estándares “de facto” para la administración de
servicios de TI en cualquier organización, independientemente de su tamaño o ramo de
industria. Su utilización en las áreas de Tecnología de Información y Sistemas (TI) está
orientada principalmente a la definición y operación de servicios, formalización de niveles
acordados de servicios (ANS) con clientes, y recientemente ha tomado mucho auge su uso
para la definición de modelos de costes para ser repercutidos en productos y clientes.

        Hoy son considerados parte de las “mejores prácticas” relacionadas con tecnologías de
información, en tanto que ambos proveen referencias generales para administrar servicios de
TI que deben ser ajustados por cada organización. Los proyectos relacionados con la
implementación de ITIL o ISO 20000 son considerados como parte de los esfuerzos de “mejora
continua” de las organizaciones, pues permiten obtener índices y ratios de la efectividad de los
servicios que brindan las unidades de TI.




                                                                                         32
ISO 20000 – Gestión de Servicios de TI UNFV
Breve referencia

        ITIL es el acrónimo de “IT Infrastructure Library”, y corresponde a una colección de
guías relacionadas con la gestión de servicios de TI. Fue publicada inicialmente en 1995 por
CCTA, una unidad del gobierno británico actualmente integrada en la Office of Government
Commerce.

        ITIL enfatiza en la importancia de que la gestión de la infraestructura de TI cumpla con
los requerimientos económicos de las compañías: provee entonces la base para mejorar en el
uso y efectividad de una infraestructura de TI determinada, describiendo los mecanismos para
establecer la administración de servicios asociados a esa arquitectura.

        Actualmente, la versión más reciente de ITIL es 3.0, y de acuerdo con su enfoque, los
servicios de TI se pueden separar en 12 tipos, clasificados en dos grupos:

        Servicios orientados al Soporte a la infraestructura de TI para la administración de:

       Asistencia (Service Desk)
       Configuración
       Incidentes
       Problemas
       Versiones
       Cambios

        Servicios orientados a las entregas al cliente para la administración de:

       Niveles de servicios (ANS)
       Finanzas
       Capacidad
       Disponibilidad
       Continuidad de TI
       Seguridad

        Tomando como referencia fundamental ITIL, el Instituto Británico de Estándares (BSI),
definió BS 15000, un estándar sobre servicios de TI.

       Posteriormente, al igual que ha ocurrido con otros estándares BS que fueron base para
estándares ISO, a partir de BS 15000 se definió ISO/IEC 20000:2005 en diciembre de 2005.

        ISO 20000 es considerado el primer estándar internacional para la administración de
servicios de TI, y al igual que los otros estándares ISO tiene dos partes: la primera que es
obligatoria y es sobre la cual se puede certificar el cumplimiento con el estándar, y la segunda
que es un conjunto de sugerencias sobre la parte 1.

        ISO 20000-1 (la parte 1) indica textualmente que “promueve la adopción de un
enfoque integrado para administrar de manera efectiva la entrega de servicios para satisfacer
los requerimientos del cliente y el negocio”. Complementariamente, ISO 20000-2 (la parte 2)
corresponde con las “mejores prácticas” sugeridas para satisfacer la parte 1.




                                                                                           33
ISO 20000 – Gestión de Servicios de TI UNFV
¿Cuáles son las ventajas de estos estándares?

        Las compañías que han optado por implementar ITIL o ISO 20000 se han beneficiado
de los aspectos siguientes:

    Orientación hacia el cumplimiento con los requerimientos del negocio de parte de los
     servicios de TI.
    Establecimiento de un proceso de mejora continua de la calidad en la gestión de TI.
    Aprovechamiento de referencias de aplicación internacional.
    Reducción de las curvas de aprendizaje.
    Identificación de los niveles de servicio (ANS) que requiere el negocio de parte de TI.
    Posibilidad de comparar su gestión y costes de TI versus estándares de la industria
     (benchmarking).
    Posibilidad de certificar a la compañía (caso de ISO 20000) y al personal técnico.

¿Cuáles son las principales diferencias entre ITIL e ISO 20000?

        En principio ISO 20000 (al igual que lo hizo BS 15000) toma como base fundamental
ITIL, pero además ha considerado otras referencias relevantes del sector tecnológico (por
ejemplo, Microsoft Operations Framework – MOF).

       En cuanto a certificaciones, ITIL no ofrece la posibilidad de certificar organizaciones
que lo hayan implementado, aunque sí ofrece certificaciones a personas en tres niveles:
fundamentos, practicantes y administradores. Por su parte la bondad y efectividad de la
implementación de ISO 20000 puede ser certificada por terceros independientes.

        Por otro lado, las compañías que han implementado un estándar ISO (cualquiera que
éste sea), se beneficiarán de implementar ISO 20000 en lugar de ITIL, puesto que todo el
marco de administración del estándar que cubre los aspectos del negocio se puede aprovechar
sin ningún esfuerzo adicional.

       ¿Es éste un buen momento para iniciar un proyecto de implementación?

        En general los procesos de implementación de un estándar de TI son bastante
similares, y todos ellos deben considerar etapas de capacitación, diagnóstico, implementación
y opcionalmente certificación. Aunque las épocas de turbulencia económica generalmente
involucran procesos de recortes presupuestarios para este tipo de proyectos, nuestra
experiencia nos indica que por el contrario son momentos ideales para implementar
estándares como ITIL e ISO 20000, principalmente si se considera que además de las ventajas
mencionadas anteriormente, un proyecto de ese tipo puede convertirse en la base para definir
un esquema de medición de costes de los servicios y productos que genera TI hacia los clientes
internos o externos de la compañía.




                                                                                       34
ISO 20000 – Gestión de Servicios de TI UNFV

Conclusiones
 -   A pesar de que la publicación de la norma ISO/IEC 20000 es muy reciente, la
     aceptación por parte del sector ha sido muy importante, tanto por parte de las
     compañías privadas como públicas, y actualmente se está comenzando a utilizar como
     requisito en los pliegos de outsourcing/externalización de servicios TI en las áreas de
     Producción.

 -   Adicionalmente los gobiernos son conscientes de la necesidad de potenciar el
     incremento de la calidad, y la reducción de los riesgos de los servicios TI de las
     compañías, y está considerada esta norma como un factor relevante para la
     consecución de estos objetivos.

 -   En el caso de España, la Secretaria de Estado de Telecomunicaciones y para la Sociedad
     de Información, a través del Plan Avanza publicado en el BOE en Marzo de 2008,
     facilita ayudas a las compañías pequeñas y medianas que realicen de proyectos y
     acciones estratégicas de mejora en el periodo 2008-2011 ha contemplando en esta
     convocatoria la norma ISO/IEC 20000.

 -   Realmente la norma constituye una completa guía de referencia para conseguir que
     una organización provea servicios TI gestionados, de calidad y que satisfagan los
     requisitos de negocio de los clientes. Otro aspecto importante a destacar es que los
     requisitos obligatorios a cubrir, son totalmente independientes de los marcos de
     referencia existentes en el mercado, por lo que se puede adoptar ISO/IEC 20000
     apoyándose en uno o varios marcos (ITIL, eTOM, COBIT, etc.) e incluso en las buenas
     prácticas ya implantadas por la compañía.

 -   Y lo más importante es que se puede utilizar ISO/IEC 20000 como guía para conseguir
     estos objetivos de calidad en la gestión de los servicios TI, independientemente de que
     la compañía no contemple en su estrategia la certificación en esta norma.
     Beneficiándose incluso de las inversiones y el esfuerzo realizados para cumplir la
     norma en el caso que posteriormente la compañía decida solicitar la certificación, para
     demostrar que ha implementado una gestión de servicios de alta calidad.




                                                                                     35

Más contenido relacionado

PDF
Controles de ISO 20000
PPTX
Iso 20000
PPTX
Auditoria Interna y Riesgo de Fraude Organizacional
PDF
Gestión de servicios IT, fundamentos de ITIL
PPTX
Presentacion normas iso
DOCX
Normas generales para la auditoría de sistemas de información
Controles de ISO 20000
Iso 20000
Auditoria Interna y Riesgo de Fraude Organizacional
Gestión de servicios IT, fundamentos de ITIL
Presentacion normas iso
Normas generales para la auditoría de sistemas de información

La actualidad más candente (20)

PDF
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
PDF
Check list cuestionario_auditoria_iso_9001_2008
PDF
Marcos de gobierno de ti
PPTX
Nia 315 y 320
PPTX
Normas iso presentacion copia
PPTX
PPTX
Plan Estratégico de Tecnologías de Información - PETI (2017-2021)
PPTX
NUEVA NORMA ISO 9001:2015
DOCX
Alcance de la auditoría informática
DOCX
Ejemplo de implementación itil
PDF
NIA 320 Importancia relativa o materialidad
PPTX
Normas ISO (2015)
PPT
Rol del Analista de Sistemas
PDF
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
PPTX
Iso 20000
PPTX
Introduccion norma iso iec 12207.v1.1
PPT
Taacs, Técnicas de Auditoria Asistidas por Computador
DOCX
Iso 19011
PPT
Auditoria de sistemas
PPT
Iso 20000 1 2018 SGS
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Check list cuestionario_auditoria_iso_9001_2008
Marcos de gobierno de ti
Nia 315 y 320
Normas iso presentacion copia
Plan Estratégico de Tecnologías de Información - PETI (2017-2021)
NUEVA NORMA ISO 9001:2015
Alcance de la auditoría informática
Ejemplo de implementación itil
NIA 320 Importancia relativa o materialidad
Normas ISO (2015)
Rol del Analista de Sistemas
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Iso 20000
Introduccion norma iso iec 12207.v1.1
Taacs, Técnicas de Auditoria Asistidas por Computador
Iso 19011
Auditoria de sistemas
Iso 20000 1 2018 SGS
Publicidad

Similar a Iso 20000 (20)

PDF
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
PDF
Requisitos y procesos de la norma ISOIEC 20000.pdf
PDF
Webinar ISO 20000 Gestion de Servicios de TI
PPT
ISO 20000
PDF
19º Webinar EXIN en Castellano: Beneficios de ISO 20000 para la persona y par...
PPTX
Presentación Proyecto Fin de Grado. Creación e implantación de un Sistema de ...
DOCX
Grupo 4 iso 20000-final
PPT
Procesos normativos en calidad tic
PPT
IT360.es. Gestión de servicios IT/ ISO 20000. turisTEC Palma de Mallorca, Abr...
PPTX
ISO 20000 Procesos de Resolución
PPTX
Iso 20000
PDF
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
PDF
Libro ISO 20000 Telefonica 65 pag muestra
PDF
iso2000065
PDF
ISO200~1.PDF
PDF
Iso 2
PPTX
Iso's
PPTX
Iso 20000
PPTX
ISO 20000 + ITIL
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Requisitos y procesos de la norma ISOIEC 20000.pdf
Webinar ISO 20000 Gestion de Servicios de TI
ISO 20000
19º Webinar EXIN en Castellano: Beneficios de ISO 20000 para la persona y par...
Presentación Proyecto Fin de Grado. Creación e implantación de un Sistema de ...
Grupo 4 iso 20000-final
Procesos normativos en calidad tic
IT360.es. Gestión de servicios IT/ ISO 20000. turisTEC Palma de Mallorca, Abr...
ISO 20000 Procesos de Resolución
Iso 20000
ISO20000_GuiaCompletadeAplicacion_LuisMoran.pdf
Libro ISO 20000 Telefonica 65 pag muestra
iso2000065
ISO200~1.PDF
Iso 2
Iso's
Iso 20000
ISO 20000 + ITIL
Publicidad

Iso 20000

  • 1. ISO 20000 – Gestión de Servicios de TI UNFV UNIVERSIDAD NACIONAL FEDERICO VILLARREAL ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS LAYME VELASQUEZ, Rubén Darío 2007004205 1
  • 2. ISO 20000 – Gestión de Servicios de TI UNFV INTRODUCCIÓN _______________________________________________________ 4 ISO/IEC 20000 _________________________________________________________ 5 1. ¿Qué es ISO/IEC 20000? _________________________________________________ 5 A. ¿A quién va dirigida? ___________________________________________________________ 6 B. Historia ISO/IEC 20000.__________________________________________________________ 7 2. Contenido de ISO/IEC 20000. _____________________________________________ 8 A. El Sistema de Gestión de Servicios TI (SGSTI). ________________________________________ 9 B. Planificación e Implementación de la Gestión del Servicio. ______________________________ 9 La planificación de la gestión del servicio (Planificar), _________________________________ 10 Implementación de la gestión del servicio y la provisión del servicio (Hacer), ______________ 10 Monitorización, medición y revisión (Verificar), _____________________________________ 11 Mejora continua (Actuar), ______________________________________________________ 11 C. Planificación e Implementación de Servicios, Nuevos o Modificados. _____________________ 11 D. Procesos de Provisión de Servicio. ________________________________________________ 12 Gestión de Nivel de Servicio. ____________________________________________________ 12 Generación de informes del servicio ______________________________________________ 13 Gestión de la continuidad y disponibilidad del servicio ________________________________ 13 Elaboración de presupuesto y contabilidad de los servicios de TI ________________________ 13 Gestión de la Capacidad ________________________________________________________ 13 Gestión de Seguridad de la Información ___________________________________________ 14 E. Procesos de Relaciones _________________________________________________________ 14 Gestión de las relaciones con el negocio ___________________________________________ 15 Gestión de suministradores _____________________________________________________ 15 F. Procesos de Resolución_________________________________________________________ 16 Gestión del incidente __________________________________________________________ 16 Gestión del problema __________________________________________________________ 16 G. Procesos de Control ___________________________________________________________ 17 Gestión de la configuración _____________________________________________________ 17 Gestión del cambio____________________________________________________________ 17 H. Procesos de Entrega ___________________________________________________________ 18 Gestión de la entrega __________________________________________________________ 18 2
  • 3. ISO 20000 – Gestión de Servicios de TI UNFV 3. Implantar ISO/IEC 20000 ________________________________________________ 21 1. Conocer la documentación ______________________________________________________ 22 2. Analizar la situación actual ______________________________________________________ 22 3. Programa para la mejora del servicio ______________________________________________ 22 4. Seguimiento y mejora continúa. __________________________________________________ 22 La automatización, un factor relevante a considerar en la adopción de ISO/IEC 20000 _________ 23 4. La certificación ISO/IEC 20000 ____________________________________________ 24 1. Determinar el alcance de la certificación _________________________________________ 26 2. Solicitud de certificación. _____________________________________________________ 26 3. Análisis de documentación. ___________________________________________________ 26 4. Visita previa. _______________________________________________________________ 26 5. Auditoria Inicial. ____________________________________________________________ 26 6. Evaluación y decisión.________________________________________________________ 26 7. Concesión del certificado. ____________________________________________________ 26 8. Auditoria de seguimiento. ____________________________________________________ 27 9. Auditoria de renovación ______________________________________________________ 27 Las ventajas de la norma ISO 20000 _________________________________________________ 28 5. ISO/IEC 20000 “una norma viva” que aporta valor al sector TI __________________ 29 ITIL & ISO 20000 ______________________________________________________ 32 Breve referencia ________________________________________________________________ 33 ¿Cuáles son las ventajas de estos estándares?_________________________________________ 34 ¿Cuáles son las principales diferencias entre ITIL e ISO 20000? ____________________________ 34 Conclusiones _________________________________________________________ 35 3
  • 4. ISO 20000 – Gestión de Servicios de TI UNFV INTRODUCCIÓN En el pasado los procesos de misión crítica del negocio no estaban soportados por sistemas informáticos, sin embargo en la actualidad estos procesos del negocio están soportados cada vez más por diferentes servicios de TI. La rápida evolución de la tecnología está propiciando un significativo crecimiento en la aportación de las TI a los negocios, y cada día más negocios están diseñando y poniendo servicios cada vez más sofisticados a disposición de sus clientes finales. Actualmente los servicios TI trascienden las fronteras de la organización convirtiéndose en productos de la compañía, situando a la gestión de los servicios TI como uno de los elementos clave que debe tener en cuenta en su estrategia del negocio, tanto en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia de la compañía ante situaciones críticas. Esto es particularmente importante para las compañías de sectores industriales y del sector financiero, el sanitario y el de servicios públicos, suministro de agua, electricidad, etc. En estos casos ya no basta con tener unos excelentes servicios TI, si no que es necesario demostrar a sus accionistas y clientes que disponen de una infraestructura tecnológica y unos servicios fiables y bien gestionados. Adicionalmente las empresas también tienen que tener en cuenta las implicaciones relacionadas con el cumplimiento de las normativas locales de los países. Cada vez existen más normas y leyes cuyo cumplimiento es preciso demostrar. Normas como la ley Sarbanes-Oxley o la ley de portabilidad y responsabilidad de seguros médicos de 1996 (Health Insurance Portability and Accountability Act) de EE.UU. contemplan específicamente puntos relacionados con los servicios tecnológicos y su gestión. En la actualidad, los inspectores no exigen la presentación de certificaciones como prueba de su cumplimiento, pero podrían hacerlo en un futuro. En este contexto nace en Diciembre de 2005 la norma ISO /IEC 20000 que aborda específicamente la calidad de gestión de los servicios TI que, debido a la necesidad del sector y organismos reguladores, podría convertirse en la norma internacional utilizada por los inspectores para comprobar el cumplimiento de determinadas normativas legales y locales. Ante esta situación se plantea una pregunta a las compañías de todo el mundo: ¿Qué debe hacer una organización de TI respecto a la norma ISO/IEC 20000. El objetivo de este documento es ayudar a responder esta cuestión, utilizando un recorrido por una serie de apartados que de forma natural permita tener una visión clara de la norma y cómo se puede utilizar para mejorar la gestión de los servicios TI de las compañías. 4
  • 5. ISO 20000 – Gestión de Servicios de TI UNFV ISO/IEC 20000 1. ¿Qué es ISO/IEC 20000? La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL – Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC). Es el primer estándar específico para la Gestión de Servicios de TI, y su objetivo es aportar los requisitos necesarios, dentro del marco de un sistema completo e integrado, que permita que una organización provea servicios TI gestionados, de calidad y que satisfagan los requisitos de negocio de sus clientes. La norma proporciona la base para probar que una organización de TI ha implantado buenas prácticas para la gestión del servicio y que las está usando de forma regular y consistente. La norma ISO/IEC 20000 está estructurada en dos documentos:  ISO/IEC 20000-1. Este documento de la norma incluye el conjunto de los “requisitos obligatorios” que debe cumplir el proveedor de servicios TI, para realizar una gestión eficaz de los servicios que responda a las necesidades de las empresas y sus clientes. Su alcance incluye:  Requisitos para un sistema de gestión  Planificación e implantación de la gestión del servicio  Planificación e implantación de servicios nuevos o cambiados  Proceso de prestación de servicios  Procesos de relaciones  Procesos de resolución  Procesos de control y liberación  ISO/IEC 20000-2. Esta parte contiene un código de prácticas para la gestión de servicios (“Code of Practice for Service Management”) que trata cada uno de los elementos contemplados en la parte 1 analizando y aclarando su contenido. En síntesis este documento pretende ayudar a las organizaciones a establecer los procesos de forma que cumplan con los objetivos de la parte 1. 5
  • 6. ISO 20000 – Gestión de Servicios de TI UNFV ISO/IEC 20000 proporciona al sector una norma internacional para todas las empresas que ofrezcan servicios de TI tanto a clientes internos como externos", creando un marco de referencia y una terminología común para todos los actores implicados: los proveedores de servicio, sus suministradores y sus clientes. En este punto es interesante aclarar que la certificación ISO/IEC 20000 sólo se otorga a organizaciones que realizan operaciones de gestión de servicios TI, y que la norma sólo certifica el buen funcionamiento de esas operaciones, por lo tanto no entran en su ámbito de competencia la certificación de productos, ni servicios de consultoría relativos a la aplicación de buenas prácticas. A. ¿A quién va dirigida? Esta norma va dirigida a:  Organizaciones que busquen mejorar sus servicios TI, mediante la aplicación efectiva de los procesos para monitorizar y mejorar la calidad de los servicios  Negocios que solicitan ofertas para sus servicios  Negocios que requieren de un enfoque consistente por parte de todos sus proveedores de servicio en la cadena de suministro  Organizaciones TI que necesiten demostrar su capacidad para proveer servicios que cumplan con los requisitos de los clientes  Proveedores de servicio TI para medir y comparar la gestión de sus servicios mediante una evaluación independiente 6
  • 7. ISO 20000 – Gestión de Servicios de TI UNFV B. Historia ISO/IEC 20000. Los antecedentes de la norma se remontan a 1989 cuando la institución británica BSI comenzó la definición de un estándar para la gestión de servicio TI, que finalizó con su publicación como estándar BS 15000 en 1995. A partir de este año BSI continuó con el desarrollo del estándar trabajando en una segunda parte con el objetivo de profundizar en los conceptos de la parte 1 ya publicada. En la realización de este trabajo se identificó que sería muy beneficioso para el sector TI que las publicaciones BS estuvieran alineadas con las publicaciones ITIL de buenas prácticas, impulsadas por el Gobierno Británico. Como consecuencia de este interés se formalizó un acuerdo de alineamiento del que BS 15000 se benefició de los contenidos de ITIL, y posteriormente cuando el estándar pasó a ser ISO/IEC 20000 fue éste quien ejerció su influencia en los contenidos de la nueva versión 3 de ITIL que se publicó en Mayo de 2.007. La segunda parte del estándar se publicó en 1998, y posteriormente se siguió evolucionando la norma que vio la luz en su versión final en el año 2000 como BS 15000 parte 1 y 2. Como complemento a los documentos “core” de la norma se desarrollaron unos contenidos adicionales para facilitar su adopción, publicándose un esquema de autoevaluación y una guía para los gestores del servicio. Gracias a la temprana adopción de esta norma por las compañías del sector, se pudo realizar una retroalimentación con la que se realizó una revisión y evolución de la primera versión de la norma BS 15000, publicando una segunda versión en el año 2002, que incluyó principalmente nuevas cláusulas en los apartados de responsabilidades de la gestión y la mejora continua con el ciclo de Deming Plan-Do-Check-Act. Desde su publicación en el año 2000 este estándar despertó un rápido interés, y un elevado nivel de adopciones en otros países, por lo que en el mes de Octubre del año 2004 se solicitó a ISO/IEC la elevación de este estándar británico a estándar internacional. Como consecuencia de la madurez del estándar se utilizó una vía de “fast track” en la que se procedió a realizar todas las actividades marcadas para la evaluación del estándar: análisis, debate, comentarios, votaciones de los diferentes organismos de normalización nacionales, cambios finales y creación de las estructuras necesarias para la adopción y evolución de la norma dentro de los organismos ISO/IEC. Tras 14 meses de trabajos el 15 de Diciembre de 2005 se publico el estándar ISO/IEC 20000 1 y 2, retirándose en ese momento el estándar BS 15000. A partir de este momento se inicia el plan para la gestión y futura evolución del estándar ISO/IEC 20000, acordándose en Marzo de 2006 por el JTC-1, la creación de un nuevo grupo de trabajo, el WG 25, que se encuadra dentro del subcomité 7 de este organismo (JTC-1 SC7) iniciando sus actividades en Abril 2006. En España, impulsado por itSMF se realiza en el año 2006 la traducción de la norma al español, y posteriormente AENOR procede a su localización y publicación, que se realiza en el mes de Junio del 2007; y un mes más tarde se certifican en la norma UNE-ISO/IEC 20000-1 las dos primeras compañías españolas, Telefónica Soluciones y el Corte Ingles. 7
  • 8. ISO 20000 – Gestión de Servicios de TI UNFV 2007 2006 Constitución WG25 Español Constitución SC7-WG25 Publicación Primeras Propuestas de UNE/ISO/IEC 20000-1 2005 UNE/ISO/IEC 20000-2 Evolución Localización/Traducción 2 primeras compañías Aprobación Comité de la norma en los certificadas ISO/IEC países Publicación 2004 ISO/IEC 20000-1 ISO/IEC 20000-2 Solicitud de Evolución a norma ISO/IEC Procedimiento Fast Track 2000 Publicación BS 15000 Part1 BS 15000 Part2 2. Contenido de ISO/IEC 20000. Como ya se ha mencionado anteriormente, la norma se estructura en torno a la utilización de procesos integrados para la gestión de los servicios TI, posicionándolos en un modelo de referencia y, estableciendo todo aquello que es obligatorio para la buena gestión de los servicios TI. Estos procesos dan cobertura a las necesidades del ciclo de vida de los servicios, contemplando muchos de los procesos incluidos en la versión 2 de ITIL y otros adicionales, algunos de los cuales fueron posteriormente adoptados por ITIL en su nueva versión 3 publicada dos años más tarde. La especificación y los requisitos de ISO/IEC 20000 representan un consenso para la industria en estandarización de calidad para la gestión de los servicios TI. En este apartado se va a tratar cada una de las secciones que forman la norma y sus componentes, reflejando cuáles son sus objetivos y el número de requisitos de control que según la norma deben cumplir. Es interesante destacar que la norma no enumera sus requisitos de control, por lo que las cifras de reflejadas en este documento pueden variar respecto a otros autores. Esto es debido a que la norma establece sus requisitos en párrafos, que en algunos casos son “multirequisito”, y puede haber autores que consideren solamente estos párrafos. En el caso de este artículo el número de requisitos se ha establecido, descomponiendo los párrafos con requisitos múltiples en requisitos unitarios. 8
  • 9. ISO 20000 – Gestión de Servicios de TI UNFV La norma ISO/IEC 20000 cubre las siguientes secciones: A. El Sistema de Gestión de Servicios TI (SGSTI). Esta sección contempla la política y las actividades de trabajo necesarias para que una organización pueda realizar una eficiente implantación y gestión posterior de los servicios TI. El Sistema de Gestión de los Servicios TI cubre los aspectos de Responsabilidad de la dirección, Requisitos de la documentación, Competencia, Concienciación y Formación. Para cubrir este objetivo la norma contempla 17 requisitos de control a cumplir. B. Planificación e Implementación de la Gestión del Servicio. En la actualidad es absolutamente necesario lograr una gestión efectiva de los servicios TI, pero no es suficiente ya que también es necesario lograr que la calidad de los servicios mejore de forma continua. Por este motivo uno de los objetivos fundamentales de la norma ISO/IEC 20000 es validar la mejora continua de la calidad de la gestión de los servicios, y para ello ha utilizado el modelo de mejora de la calidad definido por W. Edwards Deming aplicado inicialmente en la industria de la fabricación y empleado con éxito en otras normas ISO/IEC (9000, 27001, etc.) Adicionalmente a ISO/IEC 20000, las organizaciones pueden utilizar COBIT para materializar las medidas de los avances en el logro de nuevos niveles de mejora a medida que la gestión de los servicios gana en madurez. 9
  • 10. ISO 20000 – Gestión de Servicios de TI UNFV Esta sección de la norma cubre los siguientes apartados: La planificación de la gestión del servicio (Planificar), tiene como objetivo planificar la implantación y la provisión de la gestión del servicio, contemplando aspectos como, el alcance de la gestión del servicio, los enfoques de planificación, los eventos a considerar, el alcance y contenidos del plan, etc. Entre los principales aspectos que se contemplan en este apartado podemos mencionar:  La definición del alcance del SGSTI  Definición de las políticas de gestión de servicios  Establecer los objetivos  Definir los procesos  Definir los recursos Para cubrir este apartado la norma contempla 13 requisitos de control a cumplir. Implementación de la gestión del servicio y la provisión del servicio (Hacer), su misión es la de implantar los objetivos de la gestión del servicio y el plan definidos. Entre los aspectos más relevantes que trata podemos mencionar:  Definir e implantar plan de gestión del servicio  Implantar los Procesos (documentación, responsables, registros, indicadores)  Implantar el Sistema de Gestión Para cubrir este apartado la norma contempla 9 requisitos de control a cumplir 10
  • 11. ISO 20000 – Gestión de Servicios de TI UNFV Monitorización, medición y revisión (Verificar), su objetivo es monitorizar, medir y revisar que los objetivos y el plan de gestión del servicio definidos se están cumpliendo, poniendo de manifiesto la capacidad de los procesos para alcanzar los resultados planificados. Como aspectos más relevantes podemos mencionar:  Desarrollo procedimientos de monitorización  Revisiones periódicas del SGSTI  Revisar objetivos y plan de gestión del servicio  Auditar internamente el SGSTI Para cubrir este apartado la norma contempla 9 requisitos de control a cumplir. Mejora continua (Actuar), su objetivo es mejorar la eficacia y la eficiencia de la entrega y de la gestión del servicio, contemplando aspectos como la política de mejora y la planificación de las mejoras del servicio. Los aspectos más destacables son:  Identificar e implantar las mejoras  Adoptar acciones preventivas y correctivas  Comunicar acciones y resultados  Verificar que las mejoras cumplen su objetivo Para cubrir este apartado la norma contempla 16 objetivos de control a cumplir. C. Planificación e Implementación de Servicios, Nuevos o Modificados. Esta sección contiene un solo proceso que tiene como objetivo asegurar que la creación de nuevos servicios, las modificaciones a los existentes e incluso la eliminación de un servicio, se puedan gestionar y proveer con los costes, calidad y plazos acordados. Para ello, hay que gestionar el ciclo completo de la provisión y entrega de los servicios, realizando una planificación unificada e integrada, considerando los costes y el impacto a nivel organizativo, técnico y comercial que pudiera derivar de su entrega y gestión, asegurando que todas las partes implicadas conocen y cumplen con el plan y los compromisos acordados. Este proceso esbozado en la norma ISO/IEC 20000, e inexistente en ITIL tanto en la v2 como en la v3, comienza en el cliente y finaliza con el servicio entregado y operativo, o eliminado. Para lograr que todo funcione adecuadamente y sin duplicar actividades, debe sincronizar el funcionamiento del resto de procesos de gestión del servicio involucrados: Relaciones con el negocio, la Gestión del nivel de servicio, Generación de informes del servicio, etc., realmente debe actuar como un “proceso director” que permita coordinar y encadenar la participación de todos los procesos de la gestión del servicio implicados. Este proceso contempla 16 requisitos de control a cumplir. 11
  • 12. ISO 20000 – Gestión de Servicios de TI UNFV D. Procesos de Provisión de Servicio. En esta sección se tratan los requisitos necesarios para cubrir la provisión de los servicios que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos servicios. Para conseguir su objetivo ISO/IEC 20000 estructura esta sección en un conjunto de procesos con objetivos específicos y unitarios para evitar posibles conflictos. Seguidamente vamos a dar un repaso por los procesos que componen esta sección para conocer sus objetivos. Gestión de Nivel de Servicio. Este proceso aparentemente igual al de ITIL, se aligera de contenido en la norma, ya que parte de las funciones contempladas en ITIL se reparten en otros procesos, alguno de los cuales no tiene equivalencia en ITIL v2 ni v3. En ISO/IEC 20000 se establecen procesos específicos para actividades que en ITIL se realizan dentro de este proceso: Relaciones con el Negocio que se encarga de gestionar la relación con los clientes; Planificación e Implementación de servicios, nuevos o modificados; Generación de Informes de Servicio y Gestión de Suministradores, estos dos últimos procesos ya se han contemplado en la v3 de ITIL. En la norma, el objetivo del proceso de Gestión de nivel de servicio es definir y acordar con las partes los acuerdos de nivel de servicio, para posteriormente registrarlos adecuadamente y gestionar su cumplimiento y evolución. Controla si se están consiguiendo los niveles de servicio acordados, y en caso necesario determina los motivos y promueve las acciones de mejora adecuadas. Este apartado contempla 9 requisitos de control a cumplir 12
  • 13. ISO 20000 – Gestión de Servicios de TI UNFV Generación de informes del servicio El objetivo de este proceso es generar los informes de servicio acordados, fiables, precisos y en plazo, de forma que permitan verificar si se están cumpliendo los requisitos y necesidades de los usuarios, e informar de la toma de decisiones con el fin de lograr una comunicación eficaz. Este proceso contempla 10 requisitos de control a cumplir. Gestión de la continuidad y disponibilidad del servicio El objetivo de este proceso es conseguir que los compromisos de disponibilidad y continuidad puedan cumplirse en la forma en que se han acordado con los clientes. Este proceso debe controlar los riesgos y mantener la continuidad del servicio, tanto en situaciones de fallos o mal funcionamiento (disponibilidad) como en casos de catástrofes o desastres (continuidad). Para cubrir este objetivo la norma contempla 13 requisitos de control a cumplir. Elaboración de presupuesto y contabilidad de los servicios de TI El objetivo de este proceso es presupuestar y contabilizar los costes de la provisión del servicio. Como podemos observar en el objetivo de la norma no se contempla la facturación de los servicios, esto es debido a que en la práctica muchos proveedores de servicios no realizan una facturación formal de los servicios a sus clientes, principalmente las unidades internas de TI de las compañías. Por este motivo la norma considera esta actividad como opcional. Sin embargo, hay que recomendar a los proveedores que si hacen uso de la facturación el mecanismo utilizado debe estar plenamente definido y entendido por todas las partes. También hay que tener en cuenta que la facturación debe estar alineada con las prácticas contables tanto del país como las más específicas de la organización del proveedor del servicio. Para cubrir este objetivo la norma contempla 7 requisitos de control a cumplir. Gestión de la Capacidad El objetivo de este proceso es asegurar que el proveedor del servicio tiene en todo momento la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente. Para poder realizar una gestión eficiente de la capacidad es necesario elaborar un plan de capacidad que este dirigido a las necesidades reales del negocio. El plan de capacidad contempla aspectos como los requisitos de capacidad de rendimiento, de evolución prevista tanto por cambios internos como por cambios externos, como por ejemplo legislativos, etc. Para cubrir este objetivo la norma contempla 8 requisitos de control a cumplir. 13
  • 14. ISO 20000 – Gestión de Servicios de TI UNFV Gestión de Seguridad de la Información El objetivo de este proceso es gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio. Para establecer una gestión de la seguridad es necesario establecer, y comunicar a todo el personal, una política de seguridad que contemple los controles adecuados para gestionar los riesgos asociados al acceso a los servicios o a los sistemas. Para cubrir este objetivo la norma contempla 13 objetivos de control a cumplir. Adicionalmente, y para aquellas organizaciones que requieran un alto nivel en la gestión de la seguridad de la información existe una norma específica, ISO/IEC 27001, que proporciona un código de prácticas para la gestión de la seguridad de la información. E. Procesos de Relaciones Los proveedores de servicio TI tienen dos puntos externos de relación, por una parte se encuentra la relación con el negocio y los clientes a los que da servicio, y por la otra está la relación con sus suministradores, fundamental para el soporte y evolución del servicio. Una adecuada gestión de estas relaciones posibilita el control adecuado de los dos factores externos a la organización que son claves para la realización de una correcta gestión del servicio TI. En esta sección ISO/IEC 20000 trata los requisitos necesarios para cubrir estas relaciones mediante dos procesos específicos: Gestión de Relaciones con el Negocio y Gestión de Suministradores. Finalmente es interesante mencionar que esta sección de ISO/IEC 20000 también ha influenciado a ITIL, que en su versión 3 ha incluido un proceso específico para la gestión de suministradores. Sin embargo, no han incluido ningún proceso específico para gestionar de forma adecuada la relación con los clientes. 14
  • 15. ISO 20000 – Gestión de Servicios de TI UNFV Gestión de las relaciones con el negocio El objetivo de este proceso es establecer y mantener una buena relación entre el proveedor del servicio y el cliente, basándose en el entendimiento del cliente y de los fundamentos de su negocio. La gestión de la relación con el negocio asegura que todas las partes implicadas en la provisión de un servicio, incluyendo también al propio cliente, están identificadas y gestionadas, responsabilizándose de dar una respuesta adecuada a las demandas del cliente gracias a su función de interfaz entre el negocio y las áreas de TI. Esto se logra negociando y acordando los niveles de servicio a proveer, monitorizando e informando acerca del rendimiento del servicio, y creando una relación de negocio eficaz entre la organización TI y sus clientes. En este proceso se vela por la satisfacción del cliente atendiendo sus reclamaciones y revisando periódicamente los acuerdos y contratos establecidos. Adicionalmente también debe permanecer al tanto de las necesidades del negocio y de los principales cambios en el mismo para preparar una respuesta a dichas necesidades. Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir. Gestión de suministradores El objetivo de este proceso es gestionar los suministradores para garantizar la provisión, sin interrupciones, de servicios de calidad. Actualmente la creación de valor, ya sea en tecnología, marketing o fabricación, se está volviendo tan complejo que un solo departamento o compañía no está en disposición de poder dominarlo en solitario. Esta situación está llevando a las organizaciones, que buscan mejorar su rendimiento, a considerar que competencias son esenciales para su negocio, potenciándolas internamente y ampliando sus capacidades mediante socios tanto en actividades internas como externas. Este proceso da cobertura a la gestión de suministradores mediante los controles necesarios para normalizar y acordar con todas las partes los acuerdos de servicio alineados son los SLAs establecidos con los clientes. También contempla el comportamiento de estos acuerdos de servicio mediante la monitorización y revisión de las prestaciones obtenidas frente a los objetivos establecidos, identificando y proponiendo acciones de mejora. Para finalizar es importante destacar que este proceso no contempla la selección de suministradores al considerar que es una actividad previa, fuera del ámbito de las actividades de gestión. Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir. 15
  • 16. ISO 20000 – Gestión de Servicios de TI UNFV F. Procesos de Resolución Los procesos de resolución son gestión del incidente y gestión del problema, estos procesos tienen un alto grado de relación aunque tienen objetivos diferenciados. Gestión del incidente se encarga de la recuperación de los servicios a los usuarios tan pronto como sea posible, y gestión del problema tiene la misión de identificar y eliminar las causas de los incidentes para que no vuelvan a producirse. Gestión del incidente El objetivo de este proceso es restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio. Para conseguir el objetivo es necesario tratar de forma adecuada los sucesos que provocan la degradación o pérdida del funcionamiento normal de un servicio, priorizando la atención de las incidencias de acuerdo a los compromisos de servicio establecidos, y reduciendo el impacto provocado gracias a una resolución oportuna. Para cubrir este objetivo la norma establece 9 requisitos de control a cumplir. Gestión del problema El objetivo de este proceso es minimizar los efectos negativos sobre el negocio de las interrupciones del servicio, mediante la identificación y el análisis reactivo y proactivo de la causa de los incidentes y la gestión de los problemas para su cierre Uno de los aspectos más relevantes de este proceso es identificar la causa raíz de los fallos que ocurren o que potencialmente pueden ocurrir, al objeto de asegurar la estabilidad de los servicios, y que los problemas no ocurran o se vuelvan a repetir. Gracias a su correcta implantación es posible mejorar la calidad global de los servicios TI, estabilizar el entorno de producción manteniendo el funcionamiento normal del negocio y acometer proyectos de mejora que permitan erradicar fallos en el servicio. Para cubrir este objetivo la norma establece 9 requisitos de control a cumplir. 16
  • 17. ISO 20000 – Gestión de Servicios de TI UNFV G. Procesos de Control La gestión de la configuración y del cambio son dos procesos sobre los que pivotan el resto de procesos de la gestión del servicio TI, gracias a ellos el proveedor de servicios puede controlar adecuadamente los cambios que se producen en los componentes del servicio y la infraestructura que los soporta, y disponer de una base de información precisa y actualizada de la configuración, elemento indispensable para la toma de decisiones de todos los procesos incluido gestión del cambio. Gestión de la configuración El objetivo de este proceso es definir y controlar los componentes del servicio y de la infraestructura, manteniendo información precisa y actualizada sobre la configuración. Este proceso se ocupa de la identificación, control y verificación de los Elementos de Configuración (CI-Configuration Item) que componen un servicio, registrando su estado y dando información para el apoyo al resto de los procesos de Gestión de TI. Por lo tanto, gestión de la configuración es el proceso que garantiza que la información necesaria para la adecuada gestión de los servicios TI esta correctamente registrada y administrada. Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir. Gestión del cambio El objetivo de este proceso es asegurar que todos los cambios son evaluados, aprobados, implementados y revisados de una manera controlada. Este proceso controla los cambios de forma eficiente de acuerdo con los compromisos de servicio y con el mínimo impacto en el entorno de producción. Para ello implanta una gestión integral de los cambios proporcionando una visión conjunta que facilita al análisis de los riesgos y la toma de medidas a adecuadas para garantizar el éxito del los cambios y minimizar su impacto negativo en el negocio de los clientes. Para cubrir este objetivo la norma establece 13 requisitos de control a cumplir. 17
  • 18. ISO 20000 – Gestión de Servicios de TI UNFV H. Procesos de Entrega Gestión de la entrega El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o más cambios en la entrega en el entorno de producción real. Gestión de la entrega realiza la planificación y gestión de los recursos que permite distribuir correctamente un lanzamiento al cliente. Para realizar con éxito esta tarea, este proceso tiene una visión global de los servicios, con lo que se garantiza que todos los aspectos que afecten a las entregas, tanto técnicos como no técnicos, se analizan y tratan globalmente. Para cubrir este objetivo la norma establece 16 objetivos de control a cumplir. En la imagen siguiente se incluye un resumen de lo tratado en este apartado, y para finalizar es importante resaltar que los requisitos de control de ISO/IEC 20000 son totalmente prácticos y orientados a “hacer” aquellas actividades que son claves en una gestión de servicios TI de alta calidad. 18
  • 19. ISO 20000 – Gestión de Servicios de TI UNFV 19
  • 20. ISO 20000 – Gestión de Servicios de TI UNFV Seguidamente se aportan algunos ejemplos extraídos de la norma: La implementación de nuevos servicios o modificaciones en los existentes, incluyendo la eliminación de un servicio, debe ser planificada y aprobada a través de un proceso formal de gestión del cambio. (Planificación e Implementación de Servicios, nuevos o modificados) Los SLAs se deben revisar periódicamente por las partes, para asegurar que se encuentran actualizados y continúan siendo eficaces con el transcurso del tiempo. (Gestión de Nivel de Servicio) El proveedor del servicio y los clientes se deben reunir, al menos una vez al año, para la revisión del servicio y para discutir cualquier cambio en el alcance del mismo, en el SLA, en el contrato (si existe) o en las necesidades del negocio. (Gestión de las relaciones con el negocio) 20
  • 21. ISO 20000 – Gestión de Servicios de TI UNFV 3. Implantar ISO/IEC 20000 Lo primero y más importante es dejar claro que ISO/IEC 20000 no es un proyecto que se instala y se consigue el objetivo deseado, realmente la norma se centra en una gestión de los servicios orientada al negocio y basada en una estrategia de “mejora continua”, por lo que su adopción es más un cambio cultural y de las formas de trabajar que un proyecto con un inicio y un fin. Por lo tanto las organizaciones que necesiten establecer una gestión de los servicios TI eficiente y una cultura de mejora continua deberían utilizar esta norma como la referencia más adecuada, independientemente de que finalmente soliciten, o no, la certificación ISO/IEC 20000. Realmente la documentación de la norma proporciona una valiosa y económica fuente de referencia para aquellas organizaciones que hayan adoptado, o estén adoptando, procesos de gestión de servicios TI, ya que proporciona una forma normalizada e independiente de medir el nivel de adopción de los procesos de gestión de servicios y de su mejora continua. De la misma forma, si la organización decide adoptar como referencia ISO/IEC 20000, podrá beneficiarse de la norma para conseguir de forma clara y guiada una gestión del servicio de alta calidad, independientemente de que finalmente decidan no solicitar formalmente la certificación. Las organizaciones que busquen adoptar una estrategia de mejora continua en la gestión de servicios de TI se beneficiarán de la adopción de la norma ISO/IEC 20000. La automatización, 3. Programa 4. Seguimiento un factor 1. Conocer la 2. Analizar la para la mejora y mejora relevante a documentación situación actual del servicio continúa. considerar en la adopción de ISO/IEC 20000 21
  • 22. ISO 20000 – Gestión de Servicios de TI UNFV Seguidamente vamos a analizar los principales pasos para realizar una exitosa adopción de ISO/IEC 20000. 1. Conocer la documentación Es el primer paso a cubrir por los miembros de la organización TI, sus miembros deben conocer y comprender ISO/IEC 20000, adicionalmente también deberían familiarizarse con COBIT como mecanismo de medición y control, y con ITIL como plataforma para conseguir implantar de forma predecible las practicas necesarias para lograr los objetivos establecidos en la norma. 2. Analizar la situación actual El siguiente paso es evaluar la situación actual y determinar en qué situación se encuentra su gestión del servicio de TI con respecto a los requisitos de ISO/IEC 20000. La evaluación de la situación actual no solo cubre al grado de cumplimiento de los procesos de la organización respecto a la norma, también debería cubrir un estudio de la cultura de trabajo de TI y del negocio, con el fin de establecer la recomendaciones adecuadas en función de las características especificas de la organización de TI y los negocios a los que da servicio. Esta actividad aportará una idea clara del grado de adopción y cumplimiento con el que está trabajando la organización. En este análisis es posible identificar las fortalezas de la compañía así como las áreas de mejora necesarias para lograr cumplir los objetivos establecidos en la norma. 3. Programa para la mejora del servicio Una vez cubierta la evaluación inicial de la situación y con los datos del gap analysis es posible determinar qué pasos se deben seguir para evolucionar en aquellas áreas con mayor potencial de mejora. En este punto hay que diseñar y desarrollar el programa de mejora para implantar de forma eficaz la estrategia establecida Aquellas organizaciones que se encuentren en proceso de adopción de ITIL o COBIT pueden aprovechar su inversión en este proyecto para acelerar las mejoras detectadas. 4. Seguimiento y mejora continúa. Como ya se ha mencionado anteriormente es importante tener presente que la adopción de ISO/IEC 20000 es un proceso iterativo de mejora continua. La organización debe implantar las áreas de mejora identificadas en al análisis de la situación inicial de forma incremental, midiendo sus progresos respecto a la norma, y utilizando para lograrlo, los elementos de referencia del mercado más adecuados: ITIL, COBIT, las buenas prácticas ya utilizadas en la organización, etc. 22
  • 23. ISO 20000 – Gestión de Servicios de TI UNFV La automatización, un factor relevante a considerar en la adopción de ISO/IEC 20000 Como ya hemos podido observar, la adopción de la norma requiere el establecimiento de procesos en las diferentes disciplinas de la gestión de los servicios TI, procesos que adicionalmente requieren de una integración y coordinación entre ellos muy fuerte. La adopción efectiva de estos procesos es una tarea difícil de abordar, a la que se suma la dificultad añadida de tener que conseguir una mejora continua. En este contexto tan complejo, los procesos solamente manuales no son viables, por lo que las organizaciones necesitan apoyarse en soluciones y herramientas de automatización para facilitar la administración de estos entornos complejos. La automatización aporta una serie de importantes ventajas entre las que podemos mencionar:  Facilita la integración de los procesos y ayuda a realizar el cambio cultural, ayudando a eliminar los “silos de poder” en la organización  La automatización facilita el establecimiento de los procesos y una utilización homogénea y sistemática, al obligar a utilizarlos tal como se han definido. La utilización manual de los procesos facilita la tendencia que tienen las personas a “adecuar” los procesos a sus formas personales de trabajo, provocando con el paso del tiempo una falta de coherencia de las formas de trabajo respecto a los procesos establecidos.  El uso de herramientas agiliza la implementación de los procesos facilitando la adopción de la mejora continua, lo que potencialmente ayuda a acelerar el cumplimiento de los requisitos de la norma ISO/IEC 20000.  Permite reducir costes, la automatización puede ayudar a reducir gastos de personal al minimizar los costes del servicio y asumir la ejecución de funciones rutinarias y repetitivas que normalmente exigiría gran parte del tiempo de los especialistas de la organización.  Facilita seguimiento del cumplimiento de la normativa aportando información del uso de los procesos, y registros de auditoría, lo que permite demostrar el cumplimento de la normativa. 23
  • 24. ISO 20000 – Gestión de Servicios de TI UNFV 4. La certificación ISO/IEC 20000 En primer lugar, es importante resaltar que la certificación no debería ser un fin en sí misma, sino más bien un medio. Un medio que aporta un reconocimiento por una entidad ajena con la credibilidad necesaria, imparcial e independiente a la organización de TI. La certificación declara públicamente, a las partes interesadas (organización, clientes, proveedores, competencia) y a toda la sociedad en general, tanto en el ámbito nacional, como en el internacional, que dicho proveedor de servicios TI gestiona sus servicios mediante procesos de acuerdo a este estándar internacional. Esta certificación permite al proveedor de servicios TI acreditar la calidad en la prestación de sus servicios, alineada con el negocio y aplicando criterios de eficiencia, así como de control de sus riesgos de operación del servicio basado en los requisitos contractuales adquiridos con sus clientes y los de contratación acordados con sus suministradores. Pero, ¿en qué consiste la certificación ISO/IEC 20000? Seguidamente se expone muy sucintamente los pasos necesarios para realizar este proceso. Una vez que el proveedor de servicios TI ha implementado la gestión del servicio TI (SGSTI) según la norma y ha decidido certificar la conformidad de este sistema de gestión con la norma ISO/IEC 20000-1:2005, y por lo tanto su forma de diaria trabajo, es necesario cubrir una serie de actividades. Para iniciar este proceso se necesitan dos actores: el solicitante (empresa u organización que aspira a conseguir la certificación conforme a la norma) y la entidad de certificación (empresa u organización que tras el proceso de auditoría y evaluación respecto a la norma, concede o deniega la certificación). Estos dos actores deben cubrir una serie de actividades, que como se puede se puede apreciar en la figura siguiente no constituyen un proceso lineal que empieza y termina. Más bien es un camino, en el que la primera etapa es la certificación inicial y, a partir de este punto, no finaliza nunca. Como ya se ha comentado anteriormente el objetivo último de la norma es mantener y mejorar la calidad de la gestión de servicios de la organización TI, y este aspecto se convierte en uno de los ejes fundamentales tanto para la realización de las auditorias de seguimiento anual, como en las de renovación del certificado, que se realiza cada 3 años. 24
  • 25. ISO 20000 – Gestión de Servicios de TI UNFV En la siguiente figura se muestran las etapas del ciclo de certificación: Proceso Certificación ISO/IEC 20000 Mantenimiento Certificación 25
  • 26. ISO 20000 – Gestión de Servicios de TI UNFV 1. Determinar el alcance de la certificación. En esta etapa se definen los servicios y centros sobre los que se aplicará el proceso de certificación. En este punto es importante que la organización TI solicitante realice un análisis de su situación actual respecto a ISO 20000-1 para determinar el momento más adecuado para realizar la solicitud. 2. Solicitud de certificación. El siguiente paso es realizar la solicitud de certificación a una entidad de certificación acreditada, y esta entidad confeccionará una propuesta que se envía al proveedor TI solicitante para su estudio, aprobación y contratación. 3. Análisis de documentación. En esta etapa la entidad de certificación estudia la documentación del sistema de gestión de servicios de la empresa solicitante. 4. Visita previa. En este punto la entidad de certificación realiza su trabajo in-situ en los centros del proveedor solicitante. Su objetivo es conocer la empresa y evaluar la idoneidad del alcance solicitado de la certificación; y adicionalmente analiza cómo está implantado el sistema de gestión SGSTI ya analizado en la etapa anterior. Esta etapa es el punto idóneo para resolver cualquier duda que surja por parte del proveedor TI solicitante o de la entidad de certificación. En las experiencias de certificación he podido comprobar que la etapa de la visita previa es una “actividad clave para el éxito del proceso de certificación” Como actividad final de esta etapa, la entidad de certificación prepara el plan de auditoría, que debe incluir: planificación de fechas, miembros del equipo de auditoría, contenidos a auditar, etc., que se entrega al proveedor TI solicitante para su revisión y aprobación. 5. Auditoria Inicial. Esta es la etapa más compleja y crítica del proceso ya que en ella se lleva a cabo la auditoria inicial de certificación, sobre los servicios e instalaciones acordadas, del proveedor solicitante. En el caso que exista no conformidades se emitirá un informe, señalando las no conformidades o desviaciones detectadas. Y si es necesario, la organización solicitante debe realizar un “plan de acciones correctivas”, que se deben poner en práctica para corregir las desviaciones detectadas. En este caso la compañía solicitante debe evidenciar la corrección de dichas desviaciones ante la entidad de certificación, en el plazo establecido. 6. Evaluación y decisión. En este punto, la actividad a realizar está solamente en el ámbito de la empresa certificadora, que mediante un comité de decisión, analiza y valora dichas acciones y en caso de valoración positiva procederá a la concesión del certificado correspondiente. 7. Concesión del certificado. En caso que la decisión del Comité sea positiva se emite el certificado, con el alcance establecido, a favor del proveedor TI solicitante. Por el contrario, si del análisis se detecta que no se cumplen requisitos graves de certificación, sería necesaria una visita adicional. Esta nueva visita se denomina “auditoria extraordinaria”, y normalmente se planifica seis meses después de la auditoria inicial. Su objetivo es comprobar la corrección de los incumplimientos que motivaron esta auditoria extraordinaria. 26
  • 27. ISO 20000 – Gestión de Servicios de TI UNFV 8. Auditoria de seguimiento. Durante los dos años siguientes, la entidad de certificación debe realizar auditorías de seguimiento del sistema de gestión certificado (AS1 y AS2), normalmente seleccionando partes de dicho sistema y no la totalidad del mismo. Su objetivo es comprobar su funcionamiento, y en caso de encontrar incumplimientos levanta las no conformidades necesarias, que la organización ya acreditada debe resolver mediante un nuevo plan de acciones correctivas. 9. Auditoria de renovación. Pasados tres años desde la consecución del certificado, la entidad de certificación debe realizar una nueva auditoría, y en este caso su ámbito será muy parecido a la auditoria inicial. Con el resultado de esta nueva auditoría de procederá a prorrogar o cancelar la certificación concedida. Al igual que en la auditoria inicial, también podría darse el caso que fuera necesaria de una visita extraordinaria para estos mantenimientos o renovaciones. A pesar de la juventud de la norma ya existe un buen número de compañías certificadas, algunas provienen de la antigua norma BS 15000, pero existen un importante número de compañías que ya se han certificado directamente bajo la norma ISO/IEC 20000. Aunque en esta fuente de información solamente aparecen registradas dos compañas Españolas, según información de AENOR, e itSMF, existen un mínimo de 6 compañías certificadas, y actualmente están en proceso certificación otras 4 más. Compañias Compañias Certificadas Certificadas Australia 3 Malaysia 2 Austria 5 Netherlands 3 Bostwana 1 Philippines 1 Brazil 1 Poland 2 China 17 Qatar 1 Colombia 1 Russia 1 Czech Republic 1 Saudi Arabia 2 Denmark 1 Singapore 1 France 2 Slovakia 1 Germany 15 South Korea 19 Hong Kong 6 Spain 6* India 34 Switzerland 7 Ireland 1 Taiwan 7 Italy 1 Thailand 2 Japan 31 Turkey 1 Korea 5 UK 38 Kuwait 1 USA 4 Liechteinstein 1 TOTAL COMPAÑIAS CERTIFICADAS 225 www.ISOIEC20000certificacion.com Fuente ISOIEC20000, * AENOR e itSMF España 27
  • 28. ISO 20000 – Gestión de Servicios de TI UNFV Las ventajas de la norma ISO 20000 La reputación de la ISO y el reconocimiento internacional del IT Service Management System (Sistema de gestión de servicios de tecnología de la información) que conlleva la norma ISO 20000 es un verdadero refuerzo para la reputación de cualquier empresa. Reduce el riesgo ofreciendo apoyo fiable de profesionales de la tecnología de la información (internos o subcontratados), cuando y donde más se necesita. Esto ayuda a poner cualquier situación de tecnología de la información bajo control inmediato y disminuye sus daños potenciales, mejorando la productividad de los empleados y la fiabilidad del sistema de tecnología de la información. Y lo que es más, la certificación aporta motivación a la organización y demuestra la fiabilidad y calidad de los servicios de tecnología de la información para empleados, partes interesadas y clientes. La certificación de su Sistema de gestión de servicios de tecnología de información a través de SGS ayudará a su organización a desarrollar y mejorar su rendimiento.  Su certificado IT Service Management System según la norma ISO 20000 de SGS le permitirá demostrar altos niveles de calidad y fiabilidad de los servicios de tecnología de información, cuando presente ofertas para contratos internacionales o cuando realice ampliaciones locales para aumentar su volumen de negocio.  La evaluación periódica realizada por SGS le ayudará a utilizar, supervisar y mejorar continuamente su sistema de gestión de los servicios de tecnología de la información y sus procesos. Esto mejorará la fiabilidad de sus operaciones internas para satisfacer las necesidades de los clientes y también para aumentar su rendimiento global. Lo más probable es que también consiga una mejora importante en motivación, compromiso y comprensión de su responsabilidad por parte del personal.  La norma ISO 20000 se puede vincular también con la norma ISO 27000 (norma internacional para seguridad de la información). Integrando las auditorías de estos sistemas de gestión podrá ahorrar tiempo y dinero. 28
  • 29. ISO 20000 – Gestión de Servicios de TI UNFV 5. ISO/IEC 20000 “una norma viva” que aporta valor al sector TI Los organismos ISO (Intenational Organization for standarization) e IEC (Intenational Electrotechnical Comisión) tienen una estructura y métodos específicos para la creación y evolución de los estándares publicados. En el ámbito de ISO/IEC 20000 la estructura está organizada dentro del subcomité “SC 7 "Ingeniería de Software y Sistemas de Información” que se encuadra en el Comité “AEN/CTN 71 Tecnologías de la Información”. En este subcomité trabaja el “WG-25 – Gestión y buen gobierno de TI” que es el encargado de desarrollar y evolucionar las normas relacionadas con la gestión y gobierno de TI. Actualmente el ámbito de actuación de este grupo de trabajo está relacionado con dos normas:  ISO/IEC 20000 - Gestión del servicio TI, publicada en Diciembre de 2.005  ISO/IEC 38500 - Gobierno de TI. Esta norma se encuentra en su fase final de desarrollo y se publicará en un corto periodo de tiempo. El WG 25 está formado actualmente por 18 Organizaciones nacionales de estandarización: Australia, Canadá, Finlandia, Francia, Alemania, India, Italia, Japón, Luxemburgo, Holanda, Nueva Zelanda, Portugal, Eslovaquia, South África, España, Suiza, Inglaterra y USA En España, el WG25, impulsado por AENOR, está formado por 33 Compañías con 43 miembros. Los principales cometidos de este grupo de trabajo son: el desarrollo y evolución de las normas de su ámbito, y la creación de material complementario para ayuda del sector en la aplicación de las normas. Y en este punto, conociendo esta estructura y responsabilidades surgen inmediatamente las preguntas: ¿Qué se está haciendo en este grupo de trabajo?, y ¿qué nos aportará ISO/IEC 20000 en un futuro próximo? 29
  • 30. ISO 20000 – Gestión de Servicios de TI UNFV Para responder a estas preguntas la mejor forma es estructurar las actividades del WG 25 en dos tipos de actividad: 1. Evolución del “core” de la norma. En este apartado se está trabajando en tres líneas de actividad: a. Revisión ISO/IEC 20000-1. En este punto se esa trabajando principalmente en una unificación de términos que permitan una mejor comprensión de la norma, principalmente a aquellos sectores en los que el ingles no es su lengua nativa. b. Revisión ISO/IEC 20000-2. En esta parte de la norma se trabajará en función de lo acordado en la parte 1, realmente la parte 2 de la norma es un complemento y ayuda de la parte 1. c. Desarrollo ISO/IEC 20000-3. Esta nueva parte de la norma tiene como objetivo ayudar a las organizaciones a determinar el alcance y ámbito de aplicabilidad de la norma en las organizaciones TI. Esta parte se encuentra en un punto de desarrollo muy avanzado, por lo que podría liberarse al sector a lo largo este año o a comienzos del 2009. 30
  • 31. ISO 20000 – Gestión de Servicios de TI UNFV 2. Desarrollo de ayudas complementarias a la norma. En este apartado se está trabajando principalmente en 3 líneas de actividad: a. Modelo de Conformidad Incremental. El objetivo de la conformidad incremental es ayudar a las organizaciones a lograr la certificación ISO/IEC 20000 de forma escalonada, facilitando un “road map” que les permita implantar los requisitos de la norma de forma estructurada en cada una de las fases del modelo. b. Modelo de Assessment ISO/IEC 20000. Este modelo tiene como finalidad ayudar a las organizaciones a evaluar su grado de adecuación a la norma, y la identificación de las áreas de mejora que es necesario evolucionar para conseguir la certificación ISO/IEC 20000. Este modelo se estructura en dos líneas de trabajo, la primera es la de definir el Modelo de Referencia de Procesos (PRM 20000-4) que establece las bases del modelo de madurez y el marco de evaluación. De forma complementaria se trabaja en el Modelo de Evaluación (PAM 15504- 8) que cubre la evaluación de los procesos y sus requerimientos. c. Alineamiento de los Sistemas de Gestión de ISO/IEC 20000, ISO/IEC 9000 e ISO/IEC 27001. El objetivo de esta línea de trabajo es armonizar los contenidos del Sistema de Gestión de estos tres estándares identificando y mapeando los puntos comunes; lo que reportará interesantes sinergias a la hora de definir los diferentes Sistemas de Gestión de estas normas. El objetivo final de estas iniciativas es que las organizaciones del sector TI dispongan de una serie de herramientas que puedan utilizar para realizar una gestión de los servicios TI de calidad, y alineada con las necesidades del negocio, independientemente de que su objetivo final no sea la certificación. 31
  • 32. ISO 20000 – Gestión de Servicios de TI UNFV ITIL & ISO 20000 “SON CONSIDERADOS PARTE DE LAS “MEJORES PRÁCTICAS” RELACIONADAS CON TECNOLOGÍAS DE INFORMACIÓN, EN TANTO QUE AMBOS PROVEEN REFERENCIAS GENERALES PARA ADMINISTRAR SERVICIOS DE TI” ITIL e ISO 20000 se han convertido en estándares “de facto” para la administración de servicios de TI en cualquier organización, independientemente de su tamaño o ramo de industria. Su utilización en las áreas de Tecnología de Información y Sistemas (TI) está orientada principalmente a la definición y operación de servicios, formalización de niveles acordados de servicios (ANS) con clientes, y recientemente ha tomado mucho auge su uso para la definición de modelos de costes para ser repercutidos en productos y clientes. Hoy son considerados parte de las “mejores prácticas” relacionadas con tecnologías de información, en tanto que ambos proveen referencias generales para administrar servicios de TI que deben ser ajustados por cada organización. Los proyectos relacionados con la implementación de ITIL o ISO 20000 son considerados como parte de los esfuerzos de “mejora continua” de las organizaciones, pues permiten obtener índices y ratios de la efectividad de los servicios que brindan las unidades de TI. 32
  • 33. ISO 20000 – Gestión de Servicios de TI UNFV Breve referencia ITIL es el acrónimo de “IT Infrastructure Library”, y corresponde a una colección de guías relacionadas con la gestión de servicios de TI. Fue publicada inicialmente en 1995 por CCTA, una unidad del gobierno británico actualmente integrada en la Office of Government Commerce. ITIL enfatiza en la importancia de que la gestión de la infraestructura de TI cumpla con los requerimientos económicos de las compañías: provee entonces la base para mejorar en el uso y efectividad de una infraestructura de TI determinada, describiendo los mecanismos para establecer la administración de servicios asociados a esa arquitectura. Actualmente, la versión más reciente de ITIL es 3.0, y de acuerdo con su enfoque, los servicios de TI se pueden separar en 12 tipos, clasificados en dos grupos: Servicios orientados al Soporte a la infraestructura de TI para la administración de:  Asistencia (Service Desk)  Configuración  Incidentes  Problemas  Versiones  Cambios Servicios orientados a las entregas al cliente para la administración de:  Niveles de servicios (ANS)  Finanzas  Capacidad  Disponibilidad  Continuidad de TI  Seguridad Tomando como referencia fundamental ITIL, el Instituto Británico de Estándares (BSI), definió BS 15000, un estándar sobre servicios de TI. Posteriormente, al igual que ha ocurrido con otros estándares BS que fueron base para estándares ISO, a partir de BS 15000 se definió ISO/IEC 20000:2005 en diciembre de 2005. ISO 20000 es considerado el primer estándar internacional para la administración de servicios de TI, y al igual que los otros estándares ISO tiene dos partes: la primera que es obligatoria y es sobre la cual se puede certificar el cumplimiento con el estándar, y la segunda que es un conjunto de sugerencias sobre la parte 1. ISO 20000-1 (la parte 1) indica textualmente que “promueve la adopción de un enfoque integrado para administrar de manera efectiva la entrega de servicios para satisfacer los requerimientos del cliente y el negocio”. Complementariamente, ISO 20000-2 (la parte 2) corresponde con las “mejores prácticas” sugeridas para satisfacer la parte 1. 33
  • 34. ISO 20000 – Gestión de Servicios de TI UNFV ¿Cuáles son las ventajas de estos estándares? Las compañías que han optado por implementar ITIL o ISO 20000 se han beneficiado de los aspectos siguientes:  Orientación hacia el cumplimiento con los requerimientos del negocio de parte de los servicios de TI.  Establecimiento de un proceso de mejora continua de la calidad en la gestión de TI.  Aprovechamiento de referencias de aplicación internacional.  Reducción de las curvas de aprendizaje.  Identificación de los niveles de servicio (ANS) que requiere el negocio de parte de TI.  Posibilidad de comparar su gestión y costes de TI versus estándares de la industria (benchmarking).  Posibilidad de certificar a la compañía (caso de ISO 20000) y al personal técnico. ¿Cuáles son las principales diferencias entre ITIL e ISO 20000? En principio ISO 20000 (al igual que lo hizo BS 15000) toma como base fundamental ITIL, pero además ha considerado otras referencias relevantes del sector tecnológico (por ejemplo, Microsoft Operations Framework – MOF). En cuanto a certificaciones, ITIL no ofrece la posibilidad de certificar organizaciones que lo hayan implementado, aunque sí ofrece certificaciones a personas en tres niveles: fundamentos, practicantes y administradores. Por su parte la bondad y efectividad de la implementación de ISO 20000 puede ser certificada por terceros independientes. Por otro lado, las compañías que han implementado un estándar ISO (cualquiera que éste sea), se beneficiarán de implementar ISO 20000 en lugar de ITIL, puesto que todo el marco de administración del estándar que cubre los aspectos del negocio se puede aprovechar sin ningún esfuerzo adicional. ¿Es éste un buen momento para iniciar un proyecto de implementación? En general los procesos de implementación de un estándar de TI son bastante similares, y todos ellos deben considerar etapas de capacitación, diagnóstico, implementación y opcionalmente certificación. Aunque las épocas de turbulencia económica generalmente involucran procesos de recortes presupuestarios para este tipo de proyectos, nuestra experiencia nos indica que por el contrario son momentos ideales para implementar estándares como ITIL e ISO 20000, principalmente si se considera que además de las ventajas mencionadas anteriormente, un proyecto de ese tipo puede convertirse en la base para definir un esquema de medición de costes de los servicios y productos que genera TI hacia los clientes internos o externos de la compañía. 34
  • 35. ISO 20000 – Gestión de Servicios de TI UNFV Conclusiones - A pesar de que la publicación de la norma ISO/IEC 20000 es muy reciente, la aceptación por parte del sector ha sido muy importante, tanto por parte de las compañías privadas como públicas, y actualmente se está comenzando a utilizar como requisito en los pliegos de outsourcing/externalización de servicios TI en las áreas de Producción. - Adicionalmente los gobiernos son conscientes de la necesidad de potenciar el incremento de la calidad, y la reducción de los riesgos de los servicios TI de las compañías, y está considerada esta norma como un factor relevante para la consecución de estos objetivos. - En el caso de España, la Secretaria de Estado de Telecomunicaciones y para la Sociedad de Información, a través del Plan Avanza publicado en el BOE en Marzo de 2008, facilita ayudas a las compañías pequeñas y medianas que realicen de proyectos y acciones estratégicas de mejora en el periodo 2008-2011 ha contemplando en esta convocatoria la norma ISO/IEC 20000. - Realmente la norma constituye una completa guía de referencia para conseguir que una organización provea servicios TI gestionados, de calidad y que satisfagan los requisitos de negocio de los clientes. Otro aspecto importante a destacar es que los requisitos obligatorios a cubrir, son totalmente independientes de los marcos de referencia existentes en el mercado, por lo que se puede adoptar ISO/IEC 20000 apoyándose en uno o varios marcos (ITIL, eTOM, COBIT, etc.) e incluso en las buenas prácticas ya implantadas por la compañía. - Y lo más importante es que se puede utilizar ISO/IEC 20000 como guía para conseguir estos objetivos de calidad en la gestión de los servicios TI, independientemente de que la compañía no contemple en su estrategia la certificación en esta norma. Beneficiándose incluso de las inversiones y el esfuerzo realizados para cumplir la norma en el caso que posteriormente la compañía decida solicitar la certificación, para demostrar que ha implementado una gestión de servicios de alta calidad. 35