AENOR
8
TECNOLOGÍAS DE LA INFORMACIÓN
Adaptarse a los nuevos modelos de mercado La futura versión de la ISO/IEC 20000-1 sobre gestión de servicios de TI tendrá en cuenta los nuevos entornos de servicios y aplicaciones de negocio en tecnologías de la información, como los derivados de Big Data, Business Information Management, CRM, Business Apps o Mobile Business o BYOD.
Paloma García
Dirección de Normalización AENOR
C
onceptos como gestión, servicio y tecnologías de la información han ido adquiriendo una importancia creciente y un papel estratégico en la evolución de las organizaciones en los últimos años. La apuesta por la implantación de sistemas de gestión de la calidad o ambiental ha sido una herramienta fundamental en la mejora del funcionamiento y la productividad de las empresas, siendo actualmente una incuestionable ventaja competitiva y de garantía de permanencia en el mercado.
AENOR
La nueva Norma ISO/IEC 20000-1 se adecuará a la estructura y terminología común existente en ISO, que debe respetarse en todas las normas de sistemas de gestión
El cambio de enfoque de los procesos de negocio hacia la mejora del servicio al cliente es un reto que ha venido transformando la operativa tradicional: el cliente es pieza clave para cualquier organización y la excelencia en el servicio ofrecido es un indudable factor de diferenciación. Asimismo, la vertiginosa evolución tecnológica y la influencia de las tecnologías de la información en la mayoría de las actividades que realizamos cada día, ya sea en el entorno laboral o social, ha provocado toda una revolución en la manera de relacionarse con clientes, proveedores, familia o amigos, así como en la consideración de la importancia de la tecnología y de los roles de los
responsables de su gestión dentro de las estructuras de las organizaciones. Parece lógico entonces, aprovechar la oportunidad que ofrece aunar estos tres factores fundamentales en el éxito empresarial y adoptar una visión integral de los mismos. Para ello, y aprovechando el potencial que la normalización internacional ofrece como herramienta de ayuda a la mejora de la gestión y la competitividad empresarial, ISO publicó por primera vez en 2005 las Normas ISO/IEC 20000-1 e ISO/IEC 20000-2, dos primeras partes que fueron el comienzo del ya internacionalmente reconocido Modelo 20000 de Gestión del Servicio de TI.
Ambas normas forman también parte del catálogo de normas UNE. Tras más de cinco años de experiencias en el uso e implantación de estas normas por todo tipo de organizaciones, se puso en marcha un proceso de revisión de los textos que culminó con la publicación en 2013 de las nuevas versiones. La UNE-ISO/IEC 20000-1:2011, que está actualmente en vigor, ha mejorado sustancialmente aspectos clave de su contenido inicial. Esta versión amplía el número de requisitos de 170 a 256, así como el número de definiciones que pasa de 15 a 37. En general, mejora el contenido tanto en lo que se refiere al PDCA (Planificar, Hacer, Verificar y Actuar) como a los procesos. En relación al PDCA, aumenta la determinación del alcance al que se decide aplicar el sistema de gestión, la estructura y detalle del ciclo, el gobierno de los procesos o la revisión por parte de la Dirección. Con respecto a los procesos, se pueden destacar novedades en aspectos tan importantes como la necesidad de disponer de un catálogo de servicios, cómo contemplar el diseño y la transición a nuevos servicios o servicios modificados, los acuerdos con proveedores, la gestión de incidentes graves y de peticiones de servicio, la gestión de problemas, la gestión de cambios y, en general, su alineamiento con otros modelos de gestión como la UNE-EN ISO 9001 o UNE-ISO/IEC 27001. Desde la publicación de las dos primeras partes del Modelo ISO 20000, se ha trabajado mucho en la elaboración de normas e informes técnicos a modo de directrices para aplicaciones específicas, como por ejemplo el ISO/IEC TR 20000-9 de aplicación para servicios en la nube. Actualmente, el modelo se compone de ocho normas ya publicadas y un total de tres proyectos en elaboración, además de una norma nacional.
9
AENOR
10 LOS DATOS
Modelo ISO 20000 ISO/IEC 20000-1:2011 Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS)
ISO/IEC 20000-2:2012 Tecnología de la información. Gestión del servicio. Parte 2: Directrices para la implantación de los sistemas de gestión del servicio
ISO/IEC 20000-3:2012 Tecnología de la información. Gestión del servicio. Parte 3: Directrices para la definición del alcance y aplicabilidad de la Norma ISO/IEC 20000-1
ISO/IEC TR 20000-4:2010 Tecnología de la información. Gestión del servicio. Parte 4: Modelo de procesos de referencia
ISO/IEC TR 20000-5:2013 Tecnología de la información. Gestión del servicio. Parte 5: Ejemplo de plan de implementación de ISO/IEC 20000-1
ISO/IEC TR 20000-9:2014 Tecnología de la información. Gestión del servicio. Parte 9: Directrices para la implementación de ISO/IEC 20000-1 en servicios de computación en la nube
ISO/IEC TR 20000-10:2013 Tecnología de la información. Gestión del servicio. Parte 10: Conceptos y Terminología
UNE 71020:2013 Modelo de conformidad incremental basado en la Norma UNE-ISO/IEC 20000-1
En elaboración: ISO/IEC WD 20000-6 Tecnología de la información. Gestión del servicio. Parte 6: Requisitos para los organismos de certificación y auditoría de sistemas de gestión del servicio
ISO/IEC WD 20000-8 Tecnología de la información. Gestión del servicio. Parte 8: Directrices para la implantación de sistemas de gestión del servicio en pequeñas organizaciones
TECNOLOGÍAS DE LA INFORMACIÓN Todo este trabajo llevado a cabo por más de 30 organismos de normalización internacionales está teniendo sus frutos en el sector TI. Así se pone de manifiesto, por ejemplo, en algunos de los datos arrojados por una encuesta realizada en 2013 desde el grupo de Difusión ISO 20000 de itSMF España, en el que las organizaciones certificadas destacan como beneficios tangibles más relevantes la mejora en la toma de decisiones, mayor control de los riesgos, mejor ajuste de las expectativas de los clientes, mejora en la relación con proveedores, aportación a la compañía de ventajas competitivas en el mercado o la mejora continua que proporciona la implantación de la ISO 20000-1 en sus compañías.
ISO/IEC PDTR 20000-11
Respuesta a nuevos retos
Tecnología de la información. Gestión del servicio. Parte 11: Directrices sobre la relación entre ISO/IEC 2000-1:2011 y otros marcos de gestión del servicio
Hay que destacar que ISO no ha permanecido al margen de la evolución comentada anteriormente. Así, ha tratado de adaptar su estructura a los
intereses y nuevos modelos de mercado, ha reorganizado el engranaje de órganos técnicos para dotar de entidad propia al ámbito de Gestión y Gobernanza de las Tecnologías de la Información, creándose el pasado año un nuevo subcomité dentro de la estructura del comité internacional de Tecnologías de la Información ISO/IEC/JTC 1 Information Technologies. Se trata del SC 40 IT Service Management and IT Governance, que se hace responsable de los proyectos en desarrollo en este campo, anteriormente distribuidos en diferentes grupos de trabajo, así como del mantenimiento de las normas publicadas. España ha sido pionera en este aspecto, ya que el órgano de normalización constituido en 2006 en AENOR para trabajar en el desarrollo y evolución de la serie ISO/IEC 20000, Gestión y buen gobierno de TI, ya cubría el ámbito de actuación que tiene en nuevo SC 40. Bajo su dirección se ha venido
AENOR
11
OPINIÓN
Alejandro Pérez Sánchez
Presidente AEN/CTN 71/SC 7/ GT 25 Gestión y buen gobierno de los servicios de TI CURSOS DE AENOR RELACIONADOS • Fundamentos de la gestión de servicios de tecnologías de la información según ISO 20000 • Implantación de un sistema de gestión de servicios de tecnologías de la información según ISO 20000 • Auditoría de sistemas de gestión de servicios de tecnologías de la información según ISO 20000
trabajado conjuntamente tanto en las normas de gestión del servicio de TI (ISO/IEC 20000) como en las de gobierno de TI (ISO/IEC 38500). Precisamente, durante la semana del 14 al 20 de noviembre, la ciudad de Vigo acogió la primera reunión internacional de los expertos que forman parte del grupo de trabajo dentro del nuevo SC 40, a cargo de las normas de la serie ISO 20000. A lo largo de estas jornadas de trabajo se avanzó en los proyectos abiertos y se comenzó a perfilar como será la futura ISO/IEC 20000-1, que tendrá que adecuarse a la estructura y terminología común existente en ISO y que debe respetarse en todas las normas de sistemas de gestión. Bajo la visión de servicios integrados, se llevó a cabo un análisis DAFO (Debilidades, Amenazas, Fortalezas y Oportunidades) sobre cómo el Modelo ISO 20000 da cobertura a este enfoque. También se debatió acerca de cómo la futura versión tendrá en cuenta los nuevos entornos de servicios y aplicaciones de negocio como los derivados de Big Data, Business Information Management, CRM, Business Apps, Mobile Business, BYOD, etc.
El Modelo 20000 de Gestión del Servicio de Tecnologías de la Información se compone, actualmente, de ocho normas publicadas y tres proyectos en elaboración, además de una norma nacional Por todo ello, se abre un periodo muy interesante para la gestión del servicio de TI, en el que convivirán la madurez y experiencia alcanzadas en el pasado, el aumento de la confianza, la concienciación y la necesidad de imponer fuertes requisitos en relación con el valor de los servicios informáticos. El objetivo es que sean capaces de dar cobertura a procesos de negocio complejos y cambiantes, tiempos acelerados y mercados globales en los que impera la necesidad de integrar la gestión del servicio de TI en las estrategias de gestión empresarial de las organizaciones, para poder ser elegido como el cliente o proveedor adecuado en el mercado actual. ◗
Referencia para los servicios TI Gracias a la rápida evolución tecnológica y a la revolución digital, los servicios TI ya conforman la base del modelo productivo de muchas entidades, convirtiéndose en el producto final que venden a sus clientes, por lo que en estos casos la TI pasa a ser una unidad estratégica core del negocio. Y es en este escenario donde la Norma ISO/IEC 20000-1 cobra mayor importancia aportando el marco y requisitos necesarios para dar cobertura a una gestión eficiente de estos servicios, alineada con los objetivos del negocio y orientada al cliente, permitiendo su certificación por un tercero independiente. En sus nueve años de andadura la ISO/IEC 20000-1 se ha consolidado como la norma de calidad de referencia en este ámbito, tanto para el proveedor que vende los servicios como para el cliente que los contrata y, actualmente, son los propios clientes quienes demandan servicios TI certificados bajo la ISO/IEC 20000-1. En cuanto al futuro y la rápida evolución de las TI es importante conocer que ISO tiene el compromiso de que esta norma siga siendo el referente internacional, tanto para los servicios TI actuales como para los que están por llegar, adoptando un esquema de evolución permanente suscrito por los órganos de normalización de más de 30 países que trabajamos con el objetivo de cumplir este reto. De hecho ya se está analizando la evolución de la nueva edición de la norma, y los profesionales españoles que estamos en el equipo de trabajo del ISO/IEC/JTC1 SC40 estamos elaborando un documento que aporte la estrategia de evolución de la norma en función de la visión y necesidades del sector TI español, y que aportaremos a la primera reunión de trabajo internacional del 2015.