ISO/IEC 20000 el estndar para la Gestin de Servicios TI

Alejandro M. Prez Snchez Gerente Direccin de Tecnologa y Sistemas de Telefnica Gestin de Servicios Compartidos Secretario WG25-AENOR-ISO/EC Gestin y Buen Gobierno de TI Socio fundador itSMF Espaa Socio senior de ATI Email: alejandro.perezsanchez@telefonica.es 1. Introduccin.
relacionados con los servicios tecnolgicos y su gestin. En la actualidad, los inspectores no exigen la presentacin de certificaciones como prueba de su cumplimiento, pero podran hacerlo en un futuro. En este contexto nace en Diciembre de 2005 la norma ISO /IEC 20000 que aborda especficamente la calidad de gestin de los servicios TI que, debido a la necesidad del sector y organismos reguladores, podra convertirse en la norma internacional utilizada por los inspectores para comprobar el cumplimiento de determinadas normativas legales y locales. Ante esta situacin se plantea una pregunta a las compaas de todo el mundo: Qu debe hacer una organizacin de TI respecto a la norma ISO/IEC 20000. El objetivo de este documento es ayudar a responder esta cuestin, utilizando un recorrido por una serie de apartados que de forma natural permita tener una visin clara de la norma y cmo se puede utilizar para mejorar la gestin de los servicios TI de las compaas.

En el pasado los procesos de misin crtica del negocio no estaban soportados por sistemas informticos, sin embargo en la actualidad estos procesos del negocio estn soportados cada vez ms por diferentes servicios de TI. La rpida evolucin de la tecnologa esta propiciando un significativo crecimiento en la aportacin de las TI a los negocios, y cada da ms negocios estn diseando y poniendo servicios cada vez ms sofisticados a disposicin de sus clientes finales. Actualmente los servicios TI trascienden las fronteras de la organizacin convirtindose en productos de la compaa, situando a la gestin de los servicios TI como uno de los elementos clave que debe tener en cuenta en su estrategia del negocio, tanto en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia de la compaa ante situaciones crticas. Esto es particularmente importante para las compaas de sectores industriales y del sector financiero, el sanitario y el de servicios pblicos, suministro de agua, electricidad, 1. Qu es ISO/IEC 20000? etc. En estos casos ya no basta con tener unos excelentes servicios TI, si no que es necesario demostrar a sus Es el primer estndar especfico para la Gestin de accionistas y clientes que disponen de una infraestructura Servicios de TI, y su objetivo es aportar los requisitos tecnolgica y unos servicios fiables y bien gestionados. necesarios, dentro del marco de un sistema completo e Adicionalmente las empresas ISO/IEC 20000 : 2.005 tambin tienen que tener en cuenta las implicaciones ISO/IEC Especificacin 20000-1 relacionadas con el 20000Objetivos a conseguir cumplimiento de las Cdigo de prcticas normativas locales de los ISO/IEC Certificacin Gua aclaratoria de 20000-1 20000-2 20000pases. Cada vez existen ms ISO/IEC 2000-1 : 2.005 normas y leyes cuyo cumplimiento es preciso Gua de mejores prcticas I T I L, eTOM, COBIT, etc. Gestin de Servicios TI demostrar. Normas como la ley Sarbanes-Oxley o la ley de portabilidad y responsabilidad Sistema de Gestin de Servicios TI Polticas, procesos, procedimientos e Pol de seguros mdicos de 1996 SGSIT instrucciones de trabajo, propios de la (Health Insurance Portability organizacin TI organizaci Implementacin y mejora and Accountability Act) de EE.UU. contemplan Figura 1 - Ambito de actuacin de la norma ISO/IEC 20000 especficamente puntos

integrado, que permita que una organizacin provea servicios TI gestionados, de calidad y que satisfagan los requisitos de negocio de sus clientes. La norma proporciona la base para probar que una organizacin de TI ha implantado buenas prcticas para la gestin del servicio y que las est usando de forma regular y consistente. La norma ISO/IEC 20000 est estructurada en dos documentos: ISO/IEC 20000-1. Este documento de la norma incluye el conjunto de los requisitos obligatorios que debe cumplir el proveedor de servicios TI, para realizar una gestin eficaz de los servicios que responda a las necesidades de las empresas y sus clientes. ISO/IEC 20000-2. Esta parte contiene un cdigo de prcticas para la gestin de servicios (Code of Practice for Service Management) que trata cada uno de los elementos contemplados en la parte 1 analizando y aclarando su contenido. En sntesis este documento pretende ayudar a las organizaciones a establecer los procesos de forma que cumplan con los objetivos de la parte 1. ISO/IEC 20000 proporciona al sector una norma internacional para todas las empresas que ofrezcan servicios de TI tanto a clientes internos como externos", creando un marco de referencia y una terminologa comn para todos los actores implicados: los proveedores de servicio, sus suministradores y sus clientes. En este punto es interesante aclarar que la certificacin ISO/IEC 20000 slo se otorga a organizaciones que realizan operaciones de gestin de servicios TI, y que la norma slo certifica el buen funcionamiento de esas operaciones, por lo tanto no entran en su mbito de 2000 competencia la certificacin de productos, ni servicios de consultora relativos a la aplicacin de buenas Publicacin BS 15000 Part1 prcticas. BS 15000 Part2 A. A quien va dirigida? Esta norma va dirigida a: Organizaciones que busquen mejorar sus servicios TI, mediante la aplicacin efectiva de los procesos para monitorizar y mejorar la calidad de los servicios
2004

Negocios que requieren de un enfoque consistente por parte de todos sus proveedores de servicio en la cadena de suministro Organizaciones TI que necesiten demostrar su capacidad para proveer servicios que cumplan con los requisitos de los clientes Proveedores de servicio TI para medir y comparar la gestin de sus servicios mediante una evaluacin independiente

B. Historia ISO/IEC 20000. Los antecedentes de la norma se remontan a 1989 cuando la institucin britnica BSI comenz la definicin de un estndar para la gestin de servicio TI, que finaliz con su publicacin como estndar BS 15000 en 1995. A partir de este ao BSI continu con el desarrollo del estndar trabajando en una segunda parte con el objetivo de profundizar en los conceptos de la parte 1 ya publicada. En la realizacin de este trabajo se identific que sera muy beneficioso para el sector TI que las publicaciones BS estuvieran alineadas con las publicaciones ITIL de buenas prcticas, impulsadas por el Gobierno Britnico. Como consecuencia de este inters se formaliz un acuerdo de alineamiento del que BS 15000 se benefici de los contenidos de ITIL, y posteriormente cuando el estndar pas a ser ISO/IEC 20000 fue ste quien ejerci su influencia en los contenidos de la nueva versin 3 de ITIL que se public en Mayo de 2.007.

Mayo: Constitucin SC7-WG25 Primeras propuestas de evolucin Localizacin/Traduccin de la norma en los pases

2007

2006

2005

Enero: Constitucin WG25 Espaol Abril:Publicacin UNE/ISO/IEC 20000-1 UNE/ISO/IEC 20000-2 Julio: 2 primeras compaas certificadas UNE/ISO/IEC 20000

Mayo: Aprobacin Comit ISO/IEC Diciembre: Publicacin ISO/IEC 20000-1 ISO/IEC 20000-2

Octubre: Solicitud de evolucin a norma ISO/IEC Procedimiento Fast Track

Figura 2 Historia ISO/IEC 20000

Negocios que solicitan ofertas para sus servicios

La segunda parte del estndar se public en 1998, y posteriormente se sigui evolucionando la norma que vio la luz en su versin final en el ao 2000 como BS 15000

parte 1 y 2. Como complemento a los documentos core de la norma se desarrollaron unos contenidos adicionales para facilitar su adopcin, publicndose un esquema de autoevaluacin y una gua para los gestores del servicio. Gracias a la temprana adopcin de esta norma por las compaas del sector, se pudo realizar una retroalimentacin con la que se realiz una revisin y evolucin de la primera versin de la norma BS 15000, publicando una segunda versin en el ao 2002, que incluy principalmente nuevas clusulas en los apartados de responsabilidades de la gestin y la mejora continua con el ciclo de Deming Plan-Do-Check-Act. Desde su publicacin en el ao 2000 este estndar despert un rpido inters, y un elevado nivel de adopciones en otros pases, por lo que en el mes de Octubre del ao 2004 se solicit a ISO/IEC la elevacin de este estndar britnico a estndar internacional. Como consecuencia de la madurez del estndar se utiliz una va de fast track en la que se procedi a realizar todas las actividades marcadas para la evaluacin del estndar: anlisis, debate, comentarios, votaciones de los diferentes organismos de normalizacin nacionales, cambios finales y creacin de las estructuras necesarias para la adopcin y evolucin de la norma dentro de los organismos ISO/IEC. Tras 14 meses de trabajos el 15 de Diciembre de 2005 se publico el estndar ISO/IEC 20000 1 y 2, retirndose en ese momento el estndar BS 15000. A partir de este momento se inicia el plan para la gestin y futura evolucin del estndar ISO/IEC 20000, acordndose en Marzo de 2006 por el JTC-1, la creacin de un nuevo grupo de trabajo, el WG 25, que se encuadra dentro del subcomit 7 de este organismo (JTC-1 SC7) iniciando sus actividades en Abril 2006. En Espaa, impulsado por itSMF se realiza en el ao 2006 la traduccin de la norma al espaol, y posteriormente AENOR procede a su localizacin y publicacin, que se realiza en el mes de Junio del 2007; y un mes ms tarde se certifican en la norma UNE-ISO/IEC 20000-1 las dos primeras compaas espaolas, Telefnica Soluciones y el Corte Ingles.

procesos incluidos en la versin 2 de ITIL y otros adicionales, algunos de los cuales fueron posteriormente adoptados por ITIL en su nueva versin 3 publicada dos aos ms tarde. La especificacin y los requisitos de ISO/IEC 20000 representan un consenso para la industria en estandarizacin de calidad para la gestin de los servicios TI. En este apartado se va a tratar cada una de las secciones que forman la norma y sus componentes, reflejando cuales son sus objetivos y el numero de requisitos de control que segn la norma deben cumplir.
Sistema de Gestin Servicios TI (SGSTI) Planificacin e implementacin de la gestin del servicio (PDCA) Planificacin e implementacin de servicios, nuevos o modificados

Procesos de Provisin de Servicio

Procesos de control

Proceso de Entrega

Procesos de Resolucin

Procesos de Relaciones

Figura 3 Marco de referencia ISO/IEC 20000

Es interesante destacar que la norma no enumera sus requisitos de control, por lo que las cifras de reflejadas en este documento pueden variar respecto a otros autores. Esto es debido a que la norma establece sus requisitos en prrafos, que en algunos casos son multirequisito, y puede haber autores que consideren solamente estos prrafos. En el caso de este artculo el nmero de requisitos se ha establecido, descomponiendo los prrafos con requisitos mltiples en requisitos unitarios. La norma ISO/IEC 20000 cubre las siguientes secciones: A. El Sistema de Gestin de Servicios TI (SGSTI). Esta seccin contempla la poltica y las actividades de trabajo necesarias para que una organizacin pueda realizar una eficiente implantacin y gestin posterior de los servicios TI. El Sistema de Gestin de los Servicios TI cubre los aspectos de Responsabilidad de la direccin, Requisitos de la documentacin, Competencia, Concienciacin y Formacin.

2. Contenido de ISO/IEC 20000.

Como ya se ha mencionado anteriormente, la norma se estructura en torno a la utilizacin de procesos integrados para la gestin de los servicios TI, posicionndolos en un modelo de referencia y, estableciendo todo aquello que es obligatorio para la buena gestin de los servicios TI. Estos procesos dan cobertura a las necesidades del ciclo de vida de los servicios, contemplando muchos de los

Para cubrir este objetivo la norma contempla 17 requisitos de control a cumplir. B. Planificacin e Implementacin de la Gestin del Servicio. En la actualidad es absolutamente necesario lograr una gestin efectiva de los servicios TI, pero no es suficiente ya que tambin es necesario lograr que la calidad de los servicios mejore de forma continua. Por este motivo uno de los objetivos fundamentales de la norma ISO/IEC 20000 es validar la mejora continua de la calidad de la gestin de los servicios, y para ello ha utilizado el modelo de mejora de la calidad definido por W. Edwards Deming aplicado inicialmente en la industria de la fabricacin y empleado con xito en otras normas ISO/IEC (9000, 27001, etc.) Adicionalmente a ISO/IEC 20000, las organizaciones pueden utilizar COBIT para materializar las medidas de los avances en el logro de nuevos niveles de mejora a medida que la gestin de los servicios gana en madurez. Esta seccin de la norma cubre los siguientes apartados:
Definir el alcance del SGSTI Definir las polticas de gestin de servicios Establecer los objetivos Definir los procesos Definir los recursos

Entre los principales aspectos que se contemplan en este apartado podemos mencionar: La definicin del alcance del SGSTI Definicin de las polticas de gestin de servicios Establecer los objetivos Definir los procesos Definir los recursos Para cubrir este apartado la norma contempla 13 requisitos de control a cumplir Implementacin de la gestin del servicio y la provisin del servicio (Hacer), su misin es la de implantar los objetivos de la gestin del servicio y el plan definidos. Entre los aspectos ms relevantes que trata podemos mencionar: Definir e implantar plan de gestin del servicio Implantar los Procesos (documentacin, responsables, registros, indicadores) Implantar el Sistema de Gestin Para cubrir este apartado la norma contempla 9 requisitos de control a cumplir

Planificar
Planificacin de la gestin del servicio

Identificar e implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo

Hacer

Actuar
Mantener y mejora continua

Implementar la gestin y provisin del servicio

Monitorizacin, medicin y revisin (Verificar), su objetivo es monitorizar, medir y revisar que los objetivos y el plan de gestin del servicio definidos se estn cumpliendo, poniendo de manifiesto la capacidad de los procesos para alcanzar los resultados planificados. Como aspectos ms relevantes podemos mencionar: Desarrollo procedimientos de monitorizacin Revisiones peridicas del SGSTI Revisar objetivos y plan de gestin del servicio Auditar internamente el SGSTI Para cubrir este apartado la norma contempla 9 requisitos de control a cumplir.

Definir e implantar plan de gestin del servicio Implantar los Procesos Documentacin Responsables Registros Indicadores Implantar el Sistema de Gestin

Monitorizar, medir y verificar

Verificar

Desarrollar procedimientos de monitorizacin Revisar regularmente el SGSTI Revisar objetivos y plan de gestin del servicio Auditar internamente el SGSTI

Figura 4 Mejora continua de la calidad

La planificacin de la gestin del servicio (Planificar), tiene como objetivo planificar la implantacin y la provisin de la gestin del servicio, contemplando aspectos como, el alcance de la gestin del servicio, los enfoques de planificacin, los eventos a considerar, el alcance y contenidos del plan, etc.

Mejora continua (Actuar), su objetivo es mejorar la eficacia y la eficiencia de la entrega y de la gestin del servicio, contemplando aspectos como la poltica de mejora y la planificacin de las mejoras del servicio. Los aspectos ms destacables son:

Identificar e implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo Para cubrir este apartado la norma contempla 16 objetivos de control a cumplir. C. Planificacin e Implementacin de Servicios, Nuevos o Modificados. Esta seccin contiene un solo proceso que tiene como objetivo asegurar que la creacin de nuevos servicios, las modificaciones a los existentes e incluso la eliminacin de un servicio, se puedan gestionar y proveer con los costes, calidad y plazos acordados. Para ello, hay que gestionar el ciclo completo de la provisin y entrega de los servicios, realizando una planificacin unificada e integrada, considerando los costes y el impacto a nivel organizativo, tcnico y comercial que pudiera derivar de su entrega y gestin, asegurando que todas las partes implicadas conocen y cumplen con el plan y los compromisos acordados. Este proceso esbozado en la norma ISO/IEC 20000, e inexistente en ITIL tanto en la v2 como en la v3, comienza en el cliente y finaliza con el servicio entregado y operativo, o eliminado. Para lograr que todo funcione adecuadamente y sin duplicar actividades, debe sincronizar el funcionamiento del resto de procesos de gestin del servicio involucrados: Relaciones con el negocio, la Gestin del nivel de servicio, Generacin de informes del servicio, etc., realmente debe actuar como un proceso director que permita coordinar y encadenar la participacin de todos los procesos de la gestin del servicio implicados. Este proceso contempla 16 requisitos de control a cumplir. D. Procesos de Provisin de Servicio. En esta seccin se tratan los requisitos necesarios para cubrir la provisin de los servicios que el cliente necesita, y todo aquello que es necesario en TI para poder prestar estos servicios. Para conseguir su objetivo ISO/IEC 20000 estructura esta seccin en un conjunto de procesos con objetivos especficos y unitarios para evitar posibles conflictos. Seguidamente vamos a dar un repaso por los procesos que componen esta seccin para conocer sus objetivos. Gestin de Nivel de Servicio.

Procesos de Provisin de Servicio

Gestin de la Capacidad Gestin de Continuidad y Disponibilidad del Servicio Gestin del Nivel de Servicio Informes del Servicio Gestin de Seguridad de la Informacin Presupuestos y Contabilidad de Servicios de TI

Procesos de control

Proceso de Entrega

Procesos de Resolucin

Procesos de Relaciones

Figura 5 Procesos de la provisin del servicio

Este proceso aparentemente igual al de ITIL, se aligera de contenido en la norma, ya que parte de las funciones contempladas en ITIL se reparten en otros procesos, alguno de los cuales no tiene equivalencia en ITIL v2 ni v3. En ISO/IEC 20000 se establecen procesos especficos para actividades que en ITIL se realizan dentro de este proceso: Relaciones con el Negocio que se encarga de gestionar la relacin con los clientes; Planificacin e Implementacin de servicios, nuevos o modificados; Generacin de Informes de Servicio y Gestin de Suministradores, estos dos ltimos procesos ya se ha n contemplado en la v3 de ITIL. En la norma, el objetivo del proceso de Gestin de nivel de servicio es definir y acordar con las partes los acuerdos de nivel de servicio, para posteriormente registrarlos adecuadamente y gestionar su cumplimiento y evolucin. Controla si se estn consiguiendo los niveles de servicio acordados, y en caso necesario determina los motivos y promueve las acciones de mejora adecuadas. Este apartado contempla 9 requisitos de control a cumplir Generacin de informes del servicio El objetivo de este proceso es generar los informes de servicio acordados, fiables, precisos y en plazo, de forma que permitan verificar si se estn cumpliendo los requisitos y necesidades de los usuarios, e informar de la toma de decisiones con el fin de lograr una comunicacin eficaz. Este proceso contempla 10 requisitos de control a cumplir

Gestin de la continuidad y disponibilidad del servicio El objetivo de este proceso es conseguir que los compromisos de disponibilidad y continuidad puedan cumplirse en la forma en que se han acordado con los clientes. Este proceso debe controlar los riesgos y mantener la continuidad del servicio, tanto en situaciones de fallos o mal funcionamiento (disponibilidad) como en casos de catstrofes o desastres (continuidad). Para cubrir este objetivo la norma contempla 13 requisitos de control a cumplir. Elaboracin de presupuesto y contabilidad de los servicios de TI El objetivo de este proceso es presupuestar y contabilizar los costes de la provisin del servicio. Como podemos observar en el objetivo de la norma no se contempla la facturacin de los servicios, esto es debido a que en la prctica muchos proveedores de servicios no realizan una facturacin formal de los servicios a sus clientes, principalmente las unidades internas de TI de las compaas. Por este motivo la norma considera esta actividad como opcional. Sin embargo, hay que recomendar a los proveedores que si hacen uso de la facturacin el mecanismo utilizado debe estar plenamente definido y entendido por todas las partes. Tambin hay que tener en cuenta que la facturacin debe estar alineada con las prcticas contables tanto del pas como las ms especficas de la organizacin del proveedor del servicio. Para cubrir este objetivo la norma contempla 7 requisitos de control a cumplir. Gestin de la Capacidad. El objetivo de este proceso es asegurar que el proveedor del servicio tiene en todo momento la capacidad suficiente para cubrir la demanda acordada, actual y futura, de las necesidades del negocio del cliente. Para poder realizar una gestin eficiente de la capacidad es necesario elaborar un plan de capacidad que este dirigido a las necesidades reales del negocio. El plan de capacidad contempla aspectos como los requisitos de capacidad de rendimiento, de evolucin prevista tanto por cambios internos como por cambios externos, como por ejemplo legislativos, etc. Para cubrir este objetivo la norma contempla 8 requisitos de control a cumplir.

Gestin de Seguridad de la Informacin El objetivo de este proceso es gestionar la seguridad de la informacin de manera eficaz para todas las actividades del servicio. Para establecer una gestin de la seguridad es necesario establecer, y comunicar a todo el personal, una poltica de seguridad que contemple los controles adecuados para gestionar los riesgos asociados al acceso a los servicios o a los sistemas. Para cubrir este objetivo la norma contempla 13 objetivos de control a cumplir. Adicionalmente, y para aquellas organizaciones que requieran un alto nivel en la gestin de la seguridad de la informacin existe una norma especfica, ISO/IEC 27001, que proporciona un cdigo de prcticas para la gestin de la seguridad de la informacin. E. Procesos de Relaciones Los proveedores de servicio TI tienen dos puntos externos de relacin, por una parte se encuentra la relacin con el negocio y los clientes a los que da servicio, y por la otra est la relacin con sus suministradores, fundamental para el soporte y evolucin del servicio. Una adecuada gestin de estas relaciones posibilita el control adecuado de los dos factores externos a la organizacin que son claves para la realizacin de una correcta gestin del servicio TI. En esta seccin ISO/IEC 20000 trata los requisitos necesarios para cubrir estas relaciones mediante dos procesos especficos: Gestin de Relaciones con el Negocio y Gestin de Suministradores. Finalmente es interesante mencionar que esta seccin de

Procesos de Provisin de Servicio

Procesos de control Procesos de Relaciones Proceso de Entrega Procesos de Resolucin

Gestin de Relaciones con el Negocio Gestin de Suministradores

Figura 6 Procesos de relaciones

ISO/IEC 20000 tambin ha influenciado a ITIL, que en su versin 3 ha incluido un proceso especfico para la gestin de suministradores. Sin embargo, no han incluido ningn proceso especfico para gestionar de forma adecuada la relacin con los clientes.

Gestin de las relaciones con el negocio El objetivo de este proceso es establecer y mantener una buena relacin entre el proveedor del servicio y el cliente, basndose en el entendimiento del cliente y de los fundamentos de su negocio. La gestin de la relacin con el negocio asegura que todas las partes implicadas en la provisin de un servicio, incluyendo tambin al propio cliente, estn identificadas y gestionadas, responsabilizndose de dar una respuesta adecuada a las demandas del cliente gracias a su funcin de interfaz entre el negocio y las reas de TI. Esto se logra negociando y acordando los niveles de servicio a proveer, monitorizando e informando acerca del rendimiento del servicio, y creando una relacin de negocio eficaz entre la organizacin TI y sus clientes. En este proceso se vela por la satisfaccin del cliente atendiendo sus reclamaciones y revisando peridicamente los acuerdos y contratos establecidos. Adicionalmente tambin debe permanecer al tanto de las necesidades del negocio y de los principales cambios en el mismo para preparar una respuesta a dichas necesidades. Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir. Gestin de suministradores El objetivo de este proceso es gestionar los suministradores para garantizar la provisin, sin interrupciones, de servicios de calidad. Actualmente la creacin de valor, ya sea en tecnologa, marketing o fabricacin, se est volviendo tan complejo que un solo departamento o compaa no esta en disposicin de poder dominarlo en solitario.

que es una actividad previa, actividades de gestin.

fuera del mbito de las

Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir. F. Procesos de Resolucin Los procesos de resolucin son gestin del incidente y gestin del problema, estos procesos tienen un alto grado de relacin aunque tienen objetivos diferenciados. Gestin del incidente se encarga de la recuperacin de los servicios a los usuarios tan pronto como sea posible, y gestin del problema tiene la misin de identificar y eliminar las causas de los incidentes para que no vuelvan a producirse. Gestin del incidente

Procesos de Provisin de Servicio

Procesos de control
Gestin de la Configuracin Gestin del Cambio

Proceso de Entrega
Gestin de la Entrega

Procesos de Resolucin
Gestin del Incidente Gestin del Problema

Procesos de Relaciones

Figura 7 Procesos de control, resolucin y entrega

Esta situacin est llevando a las organizaciones, que buscan mejorar su rendimiento, a considerar que competencias son esenciales para su negocio, potencindolas internamente y ampliando sus capacidades mediante socios tanto en actividades internas como externas. Este proceso da cobertura a la gestin de suministradores mediante los controles necesarios para normalizar y acordar con todas las partes los acuerdos de servicio alineados son los SLAs establecidos con los clientes. Tambin contempla el comportamiento de estos acuerdos de servicio mediante la monitorizacin y revisin de las prestaciones obtenidas frente a los objetivos establecidos, identificando y proponiendo acciones de mejora. Para finalizar es importante destacar que este proceso no contempla la seleccin de suministradores al considerar

El objetivo de este proceso es restaurar el servicio acordado con el negocio tan pronto como sea posible o responder a peticiones de servicio. Para conseguir el objetivo es necesario tratar de forma adecuada los sucesos que provocan la degradacin o prdida del funcionamiento normal de un servicio, priorizando la atencin de las incidencias de acuerdo a los compromisos de servicio establecidos, y reduciendo el impacto provocado gracias a una resolucin oportuna. Para cubrir este objetivo la norma establece 9 requisitos de control a cumplir. Gestin del problema El objetivo de este proceso es minimizar los efectos negativos sobre el negocio de las interrupciones del servicio, mediante la identificacin y el anlisis reactivo y proactivo de la causa de los incidentes y la gestin de los problemas para su cierre

Uno de los aspectos ms relevantes de este proceso es identificar la causa raz de los fallos que ocurren o que potencialmente pueden ocurrir, al objeto de asegurar la estabilidad de los servicios, y que los problemas no ocurran o se vuelvan a repetir. Gracias a su correcta implantacin es posible mejorar la calidad global de los servicios TI, estabilizar el entorno de produccin manteniendo el funcionamiento normal del negocio y acometer proyectos de mejora que permitan erradicar fallos en el servicio. Para cubrir este objetivo la norma establece 9 requisitos de control a cumplir. G. Procesos de Control La gestin de la configuracin y del cambio son dos procesos sobre los que pivotan el resto de procesos de la gestin del servicio TI, gracias a ellos el proveedor de servicios puede controlar adecuadamente los cambios que se producen en los componentes del servicio y la infraestructura que los soporta, y disponer de una base de informacin precisa y actualizada de la configuracin, elemento indispensable para la toma de decisiones de todos los procesos incluido gestin del cambio. Gestin de la configuracin El objetivo de este proceso es definir y controlar los componentes del servicio y de la infraestructura, manteniendo informacin precisa y actualizada sobre la configuracin. Este proceso se ocupa de la identificacin, control y verificacin de los Elementos de Configuracin (CI-Configuration Item) que componen un servicio, registrando su estado y SGSTI dando informacin para el apoyo al resto de los procesos de Gestin de TI. 3 Por lo tanto, gestin de la configuracin es el proceso que garantiza que la informacin necesaria para la adecuada gestin de los 19 servicios TI esta correctamente registrada y administrada. Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir.

toma de medidas a adecuadas para garantizar el xito del los cambios y minimizar su impacto negativo en el negocio de los clientes. Para cubrir este objetivo la norma establece 13 requisitos de control a cumplir. H. Procesos de Entrega Gestin de la entrega El objetivo de este proceso es entregar, distribuir y realizar el seguimiento de uno o ms cambios en la entrega en el entorno de produccin real. Gestin de la entrega realiza la planificacin y gestin de los recursos que permite distribuir correctamente un lanzamiento al cliente. Para realizar con xito esta tarea, este proceso tiene una visin global de los servicios, con lo que se garantiza que todos los aspectos que afecten a las entregas, tanto tcnicos como no tcnicos, se analizan y tratan globalmente. Para cubrir este objetivo la norma establece 16 objetivos de control a cumplir. En la imagen siguiente se incluye un resumen de lo tratado en este apartado, y para finalizar es importante resaltar que los requisitos de control de ISO/IEC 20000 son totalmente prcticos y orientados a hacer aquellas actividades que son claves en una gestin de servicios TI de alta calidad.
Sistema de Gestin Servicios TI (SGSTI) Planificacin e implementacin de la gestin del servicio (PDCA) Planificacin e implementacin de servicios, nuevos o modificados Procesos de Provisin de Servicio
Gestin de la Capacidad Gestin de la Continuidad y Disponibilidad del Servicio Gestin del Nivel de Servicio Informes del Servicio Gestin de Seguridad de la Informacin Presupuestos y Contabilidad de Servicios de TI

Procesos de control
Gestin de la Configuracin Gestin del Cambio

Proceso de Entrega
Gestin de la Entrega

Procesos de Resolucin
Gestin del Incidente Gestin del Problema

Procesos de Relaciones

Gestin de Relaciones con el Negocio Gestin de Suministradores

Mejora
(PDCA)

Plan. & Imp. Servicios

Provisin Servicios

Control

Resolucin

Entrega

Relacin

48

16

58

26

15

13

25

220 Requisitos (Shall)

21 Aparados- Procesos

Gestin del cambio 8 Secciones El objetivo de este proceso es asegurar que Figura 8 Requisitos de control ISO/IEC 20000-1 todos los cambios son evaluados, aprobados, implementados y revisados de una manera controlada. Seguidamente se aportan algunos ejemplos extrados de la norma: Este proceso controla los cambios de forma eficiente de acuerdo con los compromisos de servicio y con el mnimo La implementacin de nuevos servicios o impacto en el entorno de produccin. Para ello implanta modificaciones en los existentes, incluyendo la una gestin integral de los cambios proporcionando una eliminacin de un servicio, debe ser planificada y visin conjunta que facilita al anlisis de los riesgos y la

El enfoque de estos requisitos de control es El enfoque de estos requisitos de control es HACER HACER no documentar no documentar

aprobada a travs de un proceso formal de gestin del cambio. (Planificacin e Implementacin de Servicios,
nuevos o modificados)

Los SLAs se deben revisar peridicamente por las partes, para asegurar que se encuentran actualizados y continan siendo eficaces con el transcurso del tiempo. (Gestin de Nivel de Servicio) El proveedor del servicio y los clientes se deben reunir, al menos una vez al ao, para la revisin del servicio y para discutir cualquier cambio en el alcance del mismo, en el SLA, en el contrato (si existe) o en las necesidades del negocio. (Gestin de las
relaciones con el negocio)

Es el primer paso a cubrir por los miembros de la organizacin TI, sus miembros deben conocer y comprender ISO/IEC 20000, adicionalmente tambin deberan familiarizarse con COBIT como mecanismo de medicin y control, y con ITIL como plataforma para conseguir implantar de forma predecible las practicas necesarias para lograr los objetivos establecidos en la norma. 2. Analizar la situacin actual El siguiente paso es evaluar la situacin actual y determinar en qu situacin se encuentra su gestin del servicio de TI con respecto a los requisitos de ISO/IEC 20000. La evaluacin de la situacin actual no solo cubre al grado de cumplimiento de los procesos de la organizacin respecto a la norma, tambin debera cubrir un estudio de la cultura de trabajo de TI y del negocio, con el fin de establecer la recomendaciones adecuadas en funcin de las caractersticas especificas de la organizacin de TI y los negocios a los que da servicio. Esta actividad aportar una idea clara del grado de adopcin y cumplimiento con el que est trabajando la organizacin. En este anlisis es posible identificar las fortalezas de la compaa as como las reas de mejora necesarias para lograr cumplir los objetivos establecidos en la norma. 3. Programa para la mejora del servicio Una vez cubierta la evaluacin inicial de la situacin y con los datos del gap analysis es posible determinar qu pasos se deben seguir para evolucionar en aquellas reas con mayor potencial de mejora. En este punto hay que disear y desarrollar el programa de mejora para implantar de forma eficaz la estrategia establecida Aquellas organizaciones que se encuentren en proceso de adopcin de ITIL o COBIT pueden aprovechar su inversin en este proyecto para acelerar las mejoras detectadas. 4. Seguimiento y mejora continua. Como ya se ha mencionado anteriormente es importante tener presente que la adopcin de ISO/IEC 20000 es un proceso iterativo de mejora continua. La organizacin debe implantar las reas de mejora identificadas en al anlisis de la situacin inicial de forma incremental, midiendo sus progresos respecto a la norma, y utilizando para lograrlo, los elementos de referencia del mercado ms adecuados: ITIL, COBIT, las buenas practicas ya utilizadas en la organizacin, etc. La automatizacin, un factor relevante a considerar en la adopcin de ISO/IEC 20000

3. Implantar ISO/IEC 20000

Lo primero y mas importante es dejar claro que ISO/IEC 20000 no es un proyecto que se instala y se consigue el objetivo deseado, realmente la norma se centra en una gestin de los servicios orientada al negocio y basada en una estrategia de mejora continua, por lo que su adopcin es mas un cambio cultural y de las formas de trabajar que un proyecto con un inicio y un fin. Por lo tanto las organizaciones que necesiten establecer una gestin de los servicios TI eficiente y una cultura de mejora continua deberan utilizar esta norma como la referencia ms adecuada, independientemente de que finalmente soliciten, o no, la certificacin ISO/IEC 20000. Realmente la documentacin de la norma proporciona una valiosa y econmica fuente de referencia para aquellas organizaciones que hayan adoptado, o estn adoptando, procesos de gestin de servicios TI, ya que proporciona una forma normalizada e independiente de medir el nivel de adopcin de los procesos de gestin de servicios y de su mejora continua. De la misma forma, si la organizacin decide adoptar como referencia ISO/IEC 20000, podr beneficiarse de la norma para conseguir de forma clara y guiada una gestin del servicio de alta calidad, independientemente de que finalmente decidan no solicitar formalmente la certificacin. Las organizaciones que busquen adoptar una estrategia de mejora continua en la gestin de servicios de TI se beneficiarn de la adopcin de la norma ISO/IEC 20000. Seguidamente vamos a analizar los principales pasos para realizar una exitosa adopcin de ISO/IEC 20000. 1. Conocer la documentacin

Como ya hemos podido observar, la adopcin de la norma requiere el establecimiento de procesos en las diferentes disciplinas de la gestin de los servicios TI, procesos que adicionalmente requieren de una integracin y coordinacin entre ellos muy fuerte. La adopcin efectiva de estos procesos es una tarea difcil de abordar, a la que se suma la dificultad aadida de tener que conseguir una mejora continua. En este contexto tan complejo, los procesos solamente manuales no son viables, por lo que las organizaciones necesitan apoyarse en soluciones y herramientas de automatizacin para facilitar la administracin de estos entornos complejos. La automatizacin aporta una serie de importantes ventajas entre las que podemos mencionar: Facilita la integracin de los procesos y ayuda a realizar el cambio cultural, ayudando a eliminar los silos de poder en la organizacin La automatizacin facilita el establecimiento de los procesos y una utilizacin homognea y sistemtica, al obligar a utilizarlos tal como se han definido. La utilizacin manual de lo procesos facilita la tendencia que tienen las personas a adecuar los procesos a sus formas personales de trabajo, provocando con el paso del tiempo una falta de coherencia de las formas de trabajo respecto a los procesos establecidos. El uso de herramientas agiliza la implementacin de los procesos facilitando la adopcin de la mejora continua, lo que potencialmente ayuda a acelerar el cumplimiento de los requisitos de la norma ISO/IEC 20000. Permite reducir costes, la automatizacin puede ayudar a reducir gastos de personal al minimizar los costes del servicio y asumir la ejecucin de funciones rutinarias y repetitivas que normalmente exigiran gran parte del tiempo de los especialistas de la organizacin. Facilita seguimiento del cumplimiento de la normativa aportando informacin del uso de los procesos, y registros de auditoria, lo que permite demostrar el cumplimento de la normativa.

Un medio que aporta un reconocimiento por una entidad ajena con la credibilidad necesaria, imparcial e independiente a la organizacin de TI. La certificacin declara pblicamente, a las partes interesadas (organizacin, clientes, proveedores, competencia) y a toda la sociedad en general, tanto en el mbito nacional, como en el internacional, que dicho proveedor de servicios TI gestiona sus servicios mediante procesos de acuerdo a este estndar internacional. Esta certificacin permite al proveedor de servicios TI acreditar la calidad en la prestacin de sus servicios, alineada con el negocio y aplicando criterios de eficiencia, as como de control de sus riesgos de operacin del servicio basado en los requisitos contractuales adquiridos con sus clientes y los de contratacin acordados con sus suministradores. Pero, en que consiste la certificacin ISO/IEC 20000? Seguidamente se expone muy sucintamente los pasos necesarios para realizar este proceso. Una vez que el proveedor de servicios TI ha implementado la gestin del servicio TI (SGSTI) segn la norma y ha decidido certificar la conformidad de este sistema de gestin con la norma ISO/IEC 20000-1:2005, y por lo tanto su forma de diaria trabajo, es necesario cubrir una serie de actividades. Para iniciar este proceso se necesitan dos actores: el solicitante (empresa u organizacin que aspira a conseguir la certificacin conforme a la norma) y la entidad de certificacin (empresa u organizacin que tras el proceso de auditoria y evaluacin respecto a la norma, concede o deniega la certificacin). Estos dos actores deben cubrir una serie de actividades, que como se puede se puede apreciar en la figura siguiente no constituyen un proceso lineal que empieza y termina. Ms bien es un camino, en el que la primera etapa es la certificacin inicial y, a partir de este punto, no finaliza nunca. Como ya se ha comentado anteriormente el objetivo ltimo de la norma es mantener y mejorar la calidad de la gestin de servicios de la organizacin TI, y este aspecto se convierte en uno de los ejes fundamentales tanto para la realizacin de las auditorias de seguimiento anual, como en las de renovacin del certificado, que se realiza cada 3 aos.

4. La certificacin ISO/IEC 20000

En primer lugar, es importante resaltar que la certificacin no debera ser un fin en s misma, sino ms bien un medio.

En la siguiente figura se muestran las etapas del ciclo de certificacin:

1. Determinar el alcance 2. Solicitud de certificacin 3. Anlisis documentacin 4. Visita previa 5. Auditoria Inicial Proceso Certificacin ISO/IEC 20000

Existen no conformidades?

SI

Plan Acciones Correctivas

NO

6. Evaluacin y decisin

Cumple los Requisitos?

NO

Auditoria extraordinaria

7. Emisin del certificado Mantenimiento Certificacin

8. Auditorias seguimiento 9. Auditoria de renovacin

Figura 9 Etapas ciclo de certificacin ISO/IEC 20000

1. Determinar el alcance de la certificacin. En esta etapa

se definen los servicios y centros sobre los que se aplicar el proceso de certificacin. En este punto es importante que la organizacin TI solicitante realice un anlisis de su situacin actual respecto a ISO 20000-1 para determinar el momento ms adecuado para realizar la solicitud. 2. Solicitud de certificacin. El siguiente paso es realizar la solicitud de certificacin a una entidad de certificacin acreditada, y esta entidad confeccionar una propuesta que se enva al proveedor TI solicitante para su estudio, aprobacin y contratacin. 3. Anlisis de documentacin. En esta etapa la entidad de certificacin estudia la documentacin del sistema de gestin de servicios de la empresa solicitante. 4. Visita previa. En este punto la entidad de certificacin realiza su trabajo in-situ en los centros del proveedor solicitante. Su objetivo es conocer la empresa y evaluar la idoneidad del alcance solicitado de la certificacin; y adicionalmente analiza cmo est implantado el sistema de gestin SGSTI ya analizado en la etapa anterior. Esta etapa es el punto idneo para resolver cualquier duda que surja por parte del proveedor TI solicitante o de la entidad de certificacin. En las experiencias de certificacin he podido comprobar que la etapa de la visita

previa es una actividad clave para el xito del proceso de certificacin Como actividad final de esta etapa, la entidad de certificacin prepara el plan de auditoria, que debe incluir: planificacin de fechas, miembros del equipo de auditoria, contenidos a auditar, etc., que se entrega al proveedor TI solicitante para su revisin y aprobacin. 5. Auditoria Inicial. Esta es la etapa ms compleja y crtica del proceso ya que en ella se lleva a cabo la auditoria inicial de certificacin, sobre los servicios e instalaciones acordadas, del proveedor solicitante. En el caso que existan no conformidades se emitir un informe, sealando las no conformidades o desviaciones detectadas. Y si es necesario, la organizacin solicitante debe realizar un plan de acciones correctivas, que se deben poner en prctica para corregir las desviaciones detectadas. En este caso la compaa solicitante debe evidenciar la correccin de dichas desviaciones ante la entidad de certificacin, en el plazo establecido. 6. Evaluacin y decisin. En este punto, la actividad a realizar est solamente en el mbito de la empresa certificadora, que mediante un comit de decisin, analiza y valora dichas acciones y en caso de valoracin positiva proceder a la concesin del certificado correspondiente. 7. Concesin del certificado. En caso que la decisin del Comit sea positiva se emite el certificado, con el alcance establecido, a favor del proveedor TI solicitante. Por el contrario, si del anlisis se detecta que no se cumplen requisitos graves de certificacin, sera necesaria una visita adicional. Esta nueva visita se denomina auditoria extraordinaria, y normalmente se planifica seis meses despus de la auditoria inicial. Su objetivo es comprobar la correccin de los incumplimientos que motivaron esta auditoria extraordinaria. 8. Auditoria de seguimiento. Durante los dos aos siguientes, la entidad de certificacin debe realizar auditorias de seguimiento del sistema de gestin certificado (AS1 y AS2), normalmente seleccionando partes de dicho sistema y no la totalidad del mismo. Su objetivo es comprobar su funcionamiento, y en caso de encontrar incumplimientos levanta las no conformidades necesarias, que la organizacin ya acreditada debe resolver mediante un nuevo plan de acciones correctivas. 9. Auditoria de renovacin. Pasados tres aos desde la consecucin del certificado, la entidad de certificacin debe realizar una nueva auditoria, y en este caso su mbito ser muy parecido a la auditoria inicial. Con el resultado de esta nueva auditoria de proceder a prorrogar o cancelar la certificacin concedida. Al igual que en la auditoria inicial, tambin podra darse el caso que fuera necesaria de una visita extraordinaria para estos mantenimientos o renovaciones.

A pesar de la juventud de la norma ya existen un buen nmero de compaas certificadas, algunas provienen de la antigua norma BS 15000, pero existen un importante nmero de compaas que ya se han certificado directamente bajo la norma ISO/IEC 20000.

ISO/IEC 20000 - Gestin del servicio TI, publicada en Diciembre de 2.005 ISO/IEC 38500 - Gobierno de TI. Esta norma se encuentra en su fase final de desarrollo y se publicar en un corto periodo de tiempo. El WG 25 esta formado actualmente por 18 Organizaciones nacionales de estandarizacin: Australia, Canad, Finlandia, Francia, Alemania, India, Italia, Japn, Luxemburgo, Holanda, Nueva Zelanda, Portugal, Eslovaquia, South frica, Espaa, Suiza, Inglaterra y USA En Espaa, el WG25, impulsado por AENOR, est formado por 33 Compaas con 43 miembros.

Compaias Certificadas Australia Austria Botswana Brazil China Colombia Czech Republic Denmark France Germany Hong Kong India Ireland Italy Japan Korea Kuwait Liechtenstein 3 5 1 1 17 1 1 1 2 15 6 34 1 1 31 5 1 1 Malaysia Netherlands Philippines Poland Qatar Russia Saudi Arabia Singapore Slovakia South Korea Spain Switzerland Taiwan Thailand Turkey UK USA

Compaias Certificadas 2 3 1 2 1 1 2 1 1 19 6 7 7 2 1 38 4 225

Los principales cometidos de este grupo de trabajo son: el desarrollo y evolucin de las normas de su mbito, y la creacin de material complementario para ayuda del sector en la aplicacin de las normas. Y en este punto, conociendo esta estructura y responsabilidades surgen inmediatamente las preguntas: Qu se est haciendo en este grupo de trabajo?, y qu nos aportar ISO/IEC 20000 en un futuro prximo? Para responder a estas preguntas la mejor forma es estructurar las actividades del WG 25 en dos tipos de actividad:

TOTAL COMPAIAS CERTIFICADAS

www.ISOIEC20000certificacion.com Fuente ISOIEC20000, AENOR e itSMF Espaa

Figura 10 Compaas certificadas en ISO/IEC 20000

Aunque en esta fuente de informacin solamente aparecen registradas dos compaas Espaolas, segn informacin de AENOR, e itSMF, existen un mnimo de 6 compaas certificadas, y actualmente estn en proceso certificacin otras 4 ms.

SC 1

SC 2

SC

SC 7

SC 8

SC ...

SC n

5. ISO/IEC 20000 una norma viva que aporta valor al sector TI

WG ...

WG ...

WG 25

WG ...

WG n

Los organismos ISO (Intenational Organization for ISO/IEC/JTC1/SC7/WG25 standarization) e IEC (Intenational Electrotechnical Gestin y buen gobierno de los servicios de TI Comisin) tienen una estructura y mtodos especficos para la creacin y evolucin de los Figura 11 - Estructura ISO/IEC y WG-25 Gestin y buen gobierno de TI estndares publicados. En el mbito de ISO/IEC 20000 la estructura esta 1. Evolucin del core de la norma. organizada dentro del subcomit SC 7 "Ingeniera de En este apartado se esta trabajando en tres lneas de Software y Sistemas de Informacin que se encuadra en actividad: el Comit AEN/CTN 71 Tecnologas de la Informacin. a. Revisin ISO/IEC 20000-1. En este punto se esa En este subcomit trabaja el WG-25 Gestin y buen trabajando principalmente en una unificacin de trminos gobierno de TI que es el encargado de desarrollar y que permitan una mejor comprensin de la norma, evolucionar las normas relacionadas con la gestin y principalmente a aquellos sectores en los que el ingles no gobierno de TI. Actualmente el mbito de actuacin de es su lengua nativa. este grupo de trabajo esta relacionado con dos normas:

b. Revisin ISO/IEC 20000-2. En esta parte de la norma se trabajar en funcin de lo acordado en la parte 1, realmente la parte 2 de la norma es un complemento y ayuda de la parte 1. c. Desarrollo ISO/IEC 20000-3. Esta nueva parte de la norma tiene como objetivo ayudar a las organizaciones a determinar el alcance y mbito de aplicabilidad de la norma en las organizaciones TI. Esta parte se encuentra en un punto de desarrollo muy avanzado, por lo que podra liberarse al sector a lo largo este ao o a comienzos del 2009. 2. Desarrollo de ayudas complementarias a la norma.
ISO/IEC 20000-3
Apoyo a la Definicin de Alcance y Aplicabilidad

necesidades del negocio, independientemente de que su objetivo final no sea la certificacin.

6. Conclusiones
A pesar de que la publicacin de la norma ISO/IEC 20000 es muy reciente, la aceptacin por parte del sector ha sido muy importante, tanto por parte de las compaas privadas como publicas, y actualmente se est comenzando a utilizar como requisito en los pliegos de outsourcing/externalizacin de servicios TI en las reas de

En este apartado se est trabajando principalmente en 3 lneas de actividad: a. Modelo de Conformidad Incremental. El objetivo de la conformidad incremental es ayudar a las organizaciones a lograr la certificacin ISO/IEC 20000 de forma escalonada, facilitando un road map que les permita implantar los requisitos de la norma de forma estructurada en cada una de las fases del modelo. b. Modelo de Assessment ISO/IEC 20000. Este modelo tiene como finalidad ayudar a las organizaciones a evaluar su grado de adecuacin a la norma, y la identificacin de las reas de mejora que es necesario evolucionar para conseguir la certificacin ISO/IEC 20000.

OBJETIVO OBJETIVO

Facilitar, evitar riesgos, las compaias proveedoras de Facilitar, yyevitar riesgos, aalas compaias proveedoras de servicios TI en la adopcin de ISO/IEC 20000 servicios TI en la adopcin de ISO/IEC 20000

ISO/IEC 20000-2
Cdigo de Practicas

PAM 15504-8 (SPICE) Certificacin directa NO SI

Evaluacin de conformidad

ISO/IEC 20000-1
Gestin del Servicio TI

PRM - ISO/IEC 20000-4

Sistema de Madurez

Conformidad Incremental Nivel 1 Nivel 2 Nivel 3

OTRAS AYUDAS Alineamiento de Sistemas de Gestin: ISO/IEC 20000+9001+27001 Creacin de un Observatorio Global de ISO/IEC 20000 ......

AYUDAS

CERTIFICACION

Figura 12 Mapa de componentes actuales y futuros de ISO/IEC 20000

Produccin. Adicionalmente los gobiernos son conscientes de la necesidad de potenciar el incremento de la calidad, y la reduccin de los riesgos de los servicios TI de las compaas, y est considerado esta norma como un factor relevante para la consecucin de estos objetivos. En el caso de Espaa, la Secretaria de Estado de Telecomunicaciones y para la Sociedad de Informacin, a travs del Plan Avanza publicado en el BOE en Marzo de 2008, facilita ayudas a las compaas pequeas y medianas que realicen de proyectos y acciones estratgicas de mejora en el periodo 2008-2011 ha contemplando en esta convocatoria la norma ISO/IEC 20000. Realmente la norma constituye una completa gua de referencia para conseguir que una organizacin provea servicios TI gestionados, de calidad y que satisfagan los requisitos de negocio de los clientes. Otro aspecto importante a destacar es que los requisitos obligatorios a

Este modelo se estructura en dos lneas de trabajo, la primera es la de definir el Modelo de Referencia de Procesos (PRM 20000-4) que establece las bases del modelo de madurez y el marco de evaluacin. De forma complementaria se trabaja en el Modelo de Evaluacin (PAM 15504-8) que cubre la evaluacin de los procesos y sus requerimientos. c. Alineamiento de los Sistemas de Gestin de ISO/IEC 20000, ISO/IEC 9000 e ISO/IEC 27001. El objetivo de esta lnea de trabajo es armonizar los contenidos del Sistema de Gestin de estos tres estndares identificando y mapeando los puntos comunes; lo que reportar interesantes sinergias a la hora de definir los diferentes Sistemas de Gestin de estas normas. El objetivo final de estas iniciativas es que las organizaciones del sector TI dispongan de una serie de herramientas que puedan utilizar para realizar una gestin de los servicios TI de calidad, y alineada con las

cubrir, son totalmente independientes de los marcos de referencia existentes en el mercado, por lo que se puede adoptar ISO/IEC 20000 apoyndose en uno o varios marcos (ITIL, eTOM, COBIT, etc.) e incluso en las buenas practicas ya implantadas por la compaa. Y lo ms importante es que se puede utilizar ISO/IEC 20000 como gua para conseguir estos objetivos de calidad en la gestin de los servicios TI, independientemente de que la compaa no contemple en su estrategia la certificacin en esta norma. Beneficindose incluso de las inversiones y el esfuerzo realizados para cumplir la norma en el caso que posteriormente la compaa decida solicitar la certificacin, para demostrar que ha implementado una gestin de servicios de alta calidad.

Referencias e Informacin de inters

ISO/IEC 20000: www.isoiec20000.com UNE-ISO-IEC 20000-1:2007 UNE-ISO-IEC 20000-2:2007 ITIL: www.itil.co.uk/ www.itsmf.es COBIT: http://www.isaca.org/Template.cfm?Section=COBIT6&T emplate=/TaggedPage/TaggedPageDisplay.cfm&TPLID= 55&ContentID=31519 OTROS: Secretaria de Estado de Telecomunicaciones y para la Sociedad de Informacin - Plan Avanza, BOE Marzo 2008