UNE-ISO/IEC 20000-1

Más allá de los servicios TI

Acaba de publicarse como norma española la última versión del estándar internacional ISO/IEC 20000-1. Además de incorporar la estructura de alto nivel de las normas ISO de sistemas de gestión, la UNE-ISO/IEC 20000-1:2018 es un documento que facilita la gestión de la prestación de cualquier tipo de servicio, sin limitarse al ámbito de las tecnologías de la información. Igualmente, ha ganado flexibilidad permitiendo a las organizaciones decidir cómo organizar sus procesos. El experto español que ha participado en la edición de la norma internacional analiza aquí sus novedades.

  • Facebook
  • Twitter
  • Pinterest
  • LinkedIn

Video

Nueva UNE-ISO/IEC 20000-1, más allá de los servicios TI

Opinión

Opinión

Hacia la Era Digital

Luis Morán
CEO
Asociación itSMF España

La digitalización de la sociedad y la eclosión de negocios disruptivos ponen contra las cuerdas a los directivos de las organizaciones, que se ven abocados hacia una evolución del negocio rápida y continua.

Diego Berea
Miembro del equipo editorial de ISO/IEC 20000-1
ISO/IEC JTC 1/SC 40

El 15 de septiembre de 2018 se publicó la tercera edición de la Norma ISO/IEC 20000-1 Tecnologías de la información. Gestión de Servicios. Parte 1: Requisitos del Sistema de Gestión de Servicios (SGS). Sólo tres meses después, el pasado 19 de diciembre, se publicó en español como norma española UNE. La UNE-ISO/IEC 20000-1 es un estándar internacional de gestión de servicios. Permite a las organizaciones que prestan servicios, tanto internos como externos, demostrar conformidad con una serie de requisitos organizados por procesos. Todos los requisitos son genéricos y aplicables a cualquier organización prestadora de servicios, independientemente del tipo, tamaño y naturaleza de los servicios prestados.

 

Si bien, en sus inicios, la norma ponía el foco en la gestión de servicios de TI (ITSM), actualmente va mucho más allá. La tendencia es gestionar todo como un servicio, sin limitarse al ámbito de la tecnología. La adquisición de cualquier producto se acompaña ya de servicios que deben ser gestionados para asegurar que se aporta valor y que se logra la satisfacción del cliente. Por tanto, el ámbito de aplicabilidad de esta nueva UNE-ISO/IEC 20000-1 pasa a ser cualquier tipo UNE servicio, TI o no, aunque los servicios de TI seguirán siendo los más habituales.

Proceso de revisión

Toda norma ISO inicia su proceso de revisión en un plazo máximo de cinco años. Como resultado, la norma puede actualizarse, mantenerse o eliminarse. El ciclo estándar de revisión de una norma es de tres años, desde la presentación de un primer borrador hasta la publicación final, con una serie de etapas intermedias que requieren votaciones de los países miembro de varios meses de duración cada una.

 

El equipo editorial de la ISO/IEC 20000-1, el ISO/IEC JTC 1/SC 40, está formado por representantes de más de 50 países, entre ellos España. Algunos de los principios que ha seguido el comité editorial al desarrollar esta nueva edición son: generalizar su aplicabilidad a todo tipo de organizaciones; no suponer un problema para la recertificación de organizaciones ya certificadas; ser compatible pero independiente de frameworks como ITIL o VeriSM; centrarse en el qué y no en el cómo; mantener el control de terceras partes participantes; incorporar cambios que sean beneficiosos para el proveedor de servicios y para sus clientes.

Principales novedades

Última reunión del ISO/IEC JTC 1/SC 40 celebrada en Lisboa en junio de 2018

La primera edición de la ISO/IEC 20000-1 se publicó en 2005 como fast-track de la norma británica BS 15000. En 2011, se publicó la segunda edición, la primera verdaderamente ISO, incorporando aportaciones de los diferentes países miembro. Siete años después, esta tercera edición recoge el feedback de la industria y trata de afrontar los desafíos de la gestión de servicios con un horizonte de aplicabilidad de unos diez años.

 

El primer cambio de calado es que reorganiza todo su contenido para adecuarlo a la estructura de alto nivel que, desde 2012, siguen todos los estándares de sistemas de gestión ISO. Esto supone un índice común con el de normas como la ISO 9001 de gestión de la calidad, la ISO/IEC 27001 de seguridad de la información o la ISO 22301 de continuidad de negocio, así como un conjunto de requisitos comunes a todas ellas. Por lo tanto, será más sencilla de implantar en organizaciones con experiencia en otros sistemas de gestión e incluso implantar sistemas integrados.

Pero, por otro lado, esta reorganización exigirá una adecuación a las organizaciones ya certificadas en ISO/IEC 20000-1. En primer lugar, hay que dar cumplimiento a esos nuevos requisitos comunes con las otras normas (análisis del contexto, riesgos y oportunidades, determinación de valor, etc.). Después, el contenido de las antiguas cláusulas 5 a 9 -los procesos de gestión de servicios- pasan a incluirse en la cláusula 8 de operación. Hay procesos nuevos, procesos que se dividen en dos y un proceso que desaparece. Sin embargo, se da mucha más flexibilidad: cada empresa decide cómo organizar sus procesos, siempre que cumpla con todos los requisitos. Es decir, una organización ya certificada podría mantener sus procesos actuales siempre que se asegure que, con ellos, atiende los nuevos requisitos.

 

En la nueva UNE-ISO/IEC 20000-1 se han revisado muchos requisitos que podían ser un problema para organizaciones muy grandes -evidencias de revisión o acuerdo con cada cliente, por ejemplo- o para empresas muy pequeñas -requisitos más asequibles en cuanto a planificación de disponibilidad y capacidad, requisitos en los contratos con proveedores, etc.- y se han explicado mejor y simplificado algunos requisitos poco claros.

 

También se han eliminado requisitos muy técnicos, para facilitar su aplicación a servicios “no TI”. Por ejemplo, ya no es requisito contar con una CMDB (base de datos de gestión de la configuración) sino simplemente gestionar la configuración. De la misma forma, ya no es necesario contar con planes de disponibilidad o de capacidad, sino evidenciar que se planifica la disponibilidad o la capacidad, sea utilizando un documento llamado plan o de cualquier otra forma.

 

También se ha puesto el foco en los escenarios donde existe externalización de procesos o servicios, incluso proponiendo ejemplos de aplicabilidad más complejos en la ISO/IEC 20000-3, aún en desarrollo.

Las organizaciones certificadas disponen hasta el 29 de septiembre de 2021 para adaptar sus sistemas de gestión a los nuevos requisitos

La contribución de España

El comité de normalización de gestión de servicios y gobierno TI de España, CTN 71/GT 25, ha sido uno de los que más ha contribuido con comentarios técnicos al desarrollo de la ISO/IEC 20000-1:2018, situándose a la par de los países habitualmente más activos como Reino Unido, Australia o Estados Unidos. España ha hecho contribuciones significativas en cuanto a la clarificación de requisitos complejos y ha propuesto nuevos requisitos, que han sido aceptados e incorporados al texto de la norma.

 

Las primeras certificaciones ISO/IEC 20000-1 de nuestro país datan de 2007 y 2008 y llegaron de la mano de T-Systems, Telefónica, El Corte Inglés, Xunta de Galicia, Caixa Galicia, Ozona o Telvent. En 2009, gracias a las ayudas del Plan Avanza para pymes, se superaron las 50 certificaciones en un solo año. Desde entonces, a un ritmo aproximado de unas 30 o 40 certificaciones al año, España se ha convertido en uno de los países donde la ISO/IEC 20000-1 tiene mayor implantación y, actualmente, supera las 200 organizaciones certificadas. Según el último ISO Survey, el informe que anualmente elabora ISO y muestra la evolución de la certificación de sistemas de gestión en el mundo, España con 197 certificados a finales de 2017, es el sexto país del mundo y el segundo de Europa con mayor número de certificados.

 

Los puestos de cabeza de este ranking son para empresas asiáticas de China, India y Japón, que venden servicios en todo el mundo, así como en el Reino Unido. España cuenta con un volumen de certificados muy similar al del Estados Unidos y supera ampliamente a otros países europeos como Alemania o Francia. Algo similar ocurre en otros referenciales. España es el décimo país con más certificados ISO/IEC 27001 de seguridad de la información y el noveno en certificados ISO 22301 de continuidad de negocio.

Migración a la nueva versión

Para adaptar los sistemas de gestión a los requisitos de la UNE-ISO/IEC 20000-1:2018 el Foro Internacional de Acreditación (IAF) ha definido un período de transición de tres años desde la publicación de la norma internacional. Así, todos los certificados en vigor tienen que haber migrado antes del 29 de septiembre de 2021, o perderán su validez. Además, IAF también indica que a partir del 31 de marzo de 2020, todas las auditorías de renovación de la certificación y todas las nuevas auditorías deberán realizarse bajo la edición 2018.

 

Toda organización certificada, para mantener su certificación, tiene que hacer una auditoría de revisión anual y una auditoría de renovación cada tres años. Por tanto, ya sea aprovechando el ciclo habitual de auditorías de revisión o mediante una auditoría extraordinaria, será necesario que todas las organizaciones certificadas migren a la nueva versión en ese plazo.

 

Quizás puede ser buena referencia la ISO/IEC 20000-10, publicada en septiembre de 2018 en paralelo a la ISO/IEC 20000-1, sobre términos y definiciones que describe los conceptos principales de la serie completa ISO/IEC 20000-1 así como su relación con otras normas internacionales. 

Video. Nueva UNE-ISO/IEC 20000-1, más allá de los servicios TI

Diego Berea, miembro del equipo editorial de ISO/IEC 20000-1, explica las novedades de la última versión del estándar internacional.

Opinión

Opinión

Hacia la Era Digital

Luis Morán
CEO
Asociación itSMF España

La digitalización de la sociedad y la eclosión de negocios disruptivos ponen contra las cuerdas a los directivos de las organizaciones, que se ven abocados hacia una evolución del negocio rápida y continua. Los ejecutivos se enfrentan al problema de cómo ser ágiles mientras que se mantiene el control y la estabilidad de los servicios y sistemas que generan los principales ingresos del negocio. ¿Cómo evolucionar sin estropearlo todo?

 

Para mí el camino hacia la tranquilidad y confianza de los directores ejecutivos de la organizaciones pasa necesariamente por 216 peldaños. Este es el caso de la nueva versión 2018 de la Norma ISO/IEC 20000-1. 216 requisitos o consejos de sentido común consensuados internacionalmente para que tus servicios de negocio sean más estables y más fáciles de evolucionar sin descontrol.

 

La ISO/IEC 20000-1 siempre ha sido una palanca esencial para que las empresas mejorasen y certificasen sus servicios de tecnologías de la información. La nueva versión sale del cascarón de los departamentos de sistemas de información para ser también de utilidad a servicios de negocio. Se hace más ligera con la eliminación de requisitos que obligaban a documentación y gestión administrativa, que en algunas organizaciones no aportaba nada de valor.

 

Pero también pone el foco en nuevos ámbitos necesarios para la evolución controlada de los servicios en la vorágine digital, como la gestión del porfolio de servicios, y la planificación y control operativo.

 

El modelo de gestión de los servicios ahora se estructura de forma similar a otras normas ISO, lo que hace más fácil en las empresas integrar las normas de gestión y calidad que necesiten (Calidad, Servicios, Seguridad, Medioambiental, Continuidad de Negocio, Ingeniería del software, etc.).

 

La Norma ISO/IEC 20000-1 también aportó en su día independencia y complementariedad con relación al todo poderoso marco de gestión del servicio ITIL. Además, con la aparición de nuevos cuerpos de conocimiento para la gestión de servicios como VeriSM, se hace más necesario tener una norma consensuada internacionalmente que actúe como punto de referencia para las empresas. 

Números anteriores

Consulta números anteriores en esta sección, los números a partir de marzo de 2018 están disponibles en versión Online y todos están disponibles para descarga en PDF. Utiliza los cursores o desplace las revistas para acceder a los contenidos.