ISO 20000 Gestin de Servicios de TI

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
LAYME VELASQUEZ, Rubn Daro
2007004205

ISO 20000 Gestin de Servicios de TI

INTRODUCCIN____________________________________________________4
ISO/IEC 20000______________________________________________________5
1. Qu es ISO/IEC 20000?____________________________________________5
A. A quin va dirigida?________________________________________________________6
B. Historia ISO/IEC 20000.______________________________________________________7

2. Contenido de ISO/IEC 20000.______________________________________8

A. El Sistema de Gestin de Servicios TI (SGSTI)._______________________________9
B. Planificacin e Implementacin de la Gestin del Servicio.___________________9
La planificacin de la gestin del servicio (Planificar),_______________________10
Implementacin de la gestin del servicio y la provisin del servicio (Hacer),
____________________________________________________________________________10
Monitorizacin, medicin y revisin (Verificar),______________________________11
Mejora continua (Actuar),___________________________________________________11
C. Planificacin e Implementacin de Servicios, Nuevos o Modificados.________11
D. Procesos de Provisin de Servicio.__________________________________________12
Gestin de Nivel de Servicio.________________________________________________12
Generacin de informes del servicio________________________________________13
Gestin de la continuidad y disponibilidad del servicio______________________13
Elaboracin de presupuesto y contabilidad de los servicios de TI____________13
Gestin de la Capacidad____________________________________________________13
Gestin de Seguridad de la Informacin_____________________________________14
E. Procesos de Relaciones_____________________________________________________14
Gestin de las relaciones con el negocio____________________________________15
Gestin de suministradores_________________________________________________15
F. Procesos de Resolucin_____________________________________________________16
Gestin del incidente_______________________________________________________16
Gestin del problema_______________________________________________________16
G. Procesos de Control________________________________________________________17
Gestin de la configuracin_________________________________________________17
Gestin del cambio_________________________________________________________17
H. Procesos de Entrega_______________________________________________________18
Gestin de la entrega_______________________________________________________18

3. Implantar ISO/IEC 20000_________________________________________21

2

ISO 20000 Gestin de Servicios de TI

1. Conocer la documentacin_________________________________________________22
2. Analizar la situacin actual_________________________________________________22
3. Programa para la mejora del servicio_______________________________________22
4. Seguimiento y mejora contina.____________________________________________22
La automatizacin, un factor relevante a considerar en la adopcin de ISO/IEC
20000________________________________________________________________________23

4. La certificacin ISO/IEC 20000___________________________________24

1. Determinar el alcance de la certificacin_________________________________26
2. Solicitud de certificacin._________________________________________________26
3. Anlisis de documentacin.______________________________________________26
4. Visita previa._____________________________________________________________26
5. Auditoria Inicial.__________________________________________________________26
6. Evaluacin y decisin.____________________________________________________26
7. Concesin del certificado.________________________________________________26
8. Auditoria de seguimiento.________________________________________________27
9. Auditoria de renovacin__________________________________________________27
Las ventajas de la norma ISO 20000__________________________________________28

5. ISO/IEC 20000 una norma viva que aporta valor al sector TI

29

ITIL & ISO 20000__________________________________________________32

Breve referencia______________________________________________________________33
Cules son las ventajas de estos estndares?________________________________34
Cules son las principales diferencias entre ITIL e ISO 20000?________________34

Conclusiones______________________________________________________35

ISO 20000 Gestin de Servicios de TI

INTRODUCCIN
En el pasado los procesos de misin crtica del negocio no estaban
soportados por sistemas informticos, sin embargo en la actualidad estos
procesos del negocio estn soportados cada vez ms por diferentes
servicios de TI.
La rpida evolucin de la tecnologa est propiciando un significativo
crecimiento en la aportacin de las TI a los negocios, y cada da ms
negocios estn diseando y poniendo servicios cada vez ms sofisticados a
disposicin de sus clientes finales.
Actualmente los servicios TI trascienden las fronteras de la
organizacin convirtindose en productos de la compaa, situando a la
gestin de los servicios TI como uno de los elementos clave que debe tener
en cuenta en su estrategia del negocio, tanto en las previsiones de ingresos
y crecimiento, como en las de contingencia y supervivencia de la compaa
ante situaciones crticas.
Esto es particularmente importante para las compaas de sectores
industriales y del sector financiero, el sanitario y el de servicios pblicos,
suministro de agua, electricidad, etc. En estos casos ya no basta con tener
unos excelentes servicios TI, si no que es necesario demostrar a sus
accionistas y clientes que disponen de una infraestructura tecnolgica y
unos servicios fiables y bien gestionados.
Adicionalmente las empresas tambin tienen que tener en cuenta las
implicaciones relacionadas con el cumplimiento de las normativas locales de
los pases. Cada vez existen ms normas y leyes cuyo cumplimiento es
preciso demostrar. Normas como la ley Sarbanes-Oxley o la ley de
portabilidad y responsabilidad de seguros mdicos de 1996 (Health
Insurance Portability and Accountability Act) de EE.UU. contemplan
especficamente puntos relacionados con los servicios tecnolgicos y su
gestin.
En la actualidad, los inspectores no exigen la presentacin de
certificaciones como prueba de su cumplimiento, pero podran hacerlo en un
futuro.
En este contexto nace en Diciembre de 2005 la norma ISO /IEC 20000
que aborda especficamente la calidad de gestin de los servicios TI que,
debido a la necesidad del sector y organismos reguladores, podra
convertirse en la norma internacional utilizada por los inspectores para
comprobar el cumplimiento de determinadas normativas legales y locales.
Ante esta situacin se plantea una pregunta a las compaas de todo el
mundo: Qu debe hacer una organizacin de TI respecto a la norma
ISO/IEC 20000.
El objetivo de este documento es ayudar a responder esta cuestin,
utilizando un recorrido por una serie de apartados que de forma natural
4

ISO 20000 Gestin de Servicios de TI

permita tener una visin clara de la norma y cmo se puede utilizar para
mejorar la gestin de los servicios TI de las compaas.

ISO 20000 Gestin de Servicios de TI

ISO/IEC 20000
1. Qu es ISO/IEC 20000?
La norma ISO 20000 se denomin anteriormente BS 15000 y est
alineada con el planteamiento del proceso definido por la IT Infrastructure
Library (ITIL Biblioteca de infraestructuras de tecnologa de la informacin)
de The Office of Government Commerce (OGC). Es el primer estndar
especfico para la Gestin de Servicios de TI, y su objetivo es aportar los
requisitos necesarios, dentro del marco de un sistema completo e integrado,
que permita que una organizacin provea servicios TI gestionados, de
calidad y que satisfagan los requisitos de negocio de sus clientes.
La norma proporciona la base para probar que una organizacin de TI ha
implantado buenas prcticas para la gestin del servicio y que las est
usando de forma regular y consistente.
La norma ISO/IEC 20000 est estructurada en dos documentos:
ISO/IEC 20000-1. Este documento de la norma incluye el conjunto de
los requisitos obligatorios que debe cumplir el proveedor de
servicios TI, para realizar una gestin eficaz de los servicios que
responda a las necesidades de las empresas y sus clientes. Su
alcance incluye:

Requisitos para un sistema de gestin

Planificacin e implantacin de la gestin del servicio
Planificacin e implantacin de servicios nuevos o cambiados
Proceso de prestacin de servicios
Procesos de relaciones
Procesos de resolucin
Procesos de control y liberacin

ISO/IEC 20000-2. Esta parte contiene un cdigo de prcticas para la

gestin de servicios (Code of Practice for Service Management) que
trata cada uno de los elementos contemplados en la parte 1
analizando y aclarando su contenido. En sntesis este documento
pretende ayudar a las organizaciones a establecer los procesos de
forma que cumplan con los objetivos de la parte 1.

ISO 20000 Gestin de Servicios de TI

Sistema de Gestin de Servicios TI

SGSIT
Implementacin y mejora

ISO/IEC 20000 proporciona al sector una norma internacional para todas

las empresas que ofrezcan servicios de TI tanto a clientes internos como
externos", creando un marco de referencia y una terminologa comn para
todos los actores implicados: los proveedores de servicio, sus
suministradores y sus clientes.
En este punto es interesante aclarar que la certificacin ISO/IEC 20000
slo se otorga a organizaciones que realizan operaciones de gestin de
servicios TI, y que la norma slo certifica el buen funcionamiento de esas
operaciones, por lo tanto no entran en su mbito de competencia la
certificacin de productos, ni servicios de consultora relativos a la
aplicacin de buenas prcticas.

A. A quin va dirigida?
Esta norma va dirigida a:
Organizaciones que busquen mejorar sus servicios TI, mediante la
aplicacin efectiva de los procesos para monitorizar y mejorar la
calidad de los servicios
Negocios que solicitan ofertas para sus servicios
Negocios que requieren de un enfoque consistente por parte de todos
sus proveedores de servicio en la cadena de suministro
Organizaciones TI que necesiten demostrar su capacidad para
proveer servicios que cumplan con los requisitos de los clientes
Proveedores de servicio TI para medir y comparar la gestin de sus
servicios mediante una evaluacin independiente
7

ISO 20000 Gestin de Servicios de TI

ISO 20000 Gestin de Servicios de TI

B. Historia ISO/IEC 20000.
Los antecedentes de la norma se remontan a 1989 cuando la institucin
britnica BSI comenz la definicin de un estndar para la gestin de
servicio TI, que finaliz con su publicacin como estndar BS 15000 en
1995.
A partir de este ao BSI continu con el desarrollo del estndar
trabajando en una segunda parte con el objetivo de profundizar en los
conceptos de la parte 1 ya publicada. En la realizacin de este trabajo se
identific que sera muy beneficioso para el sector TI que las publicaciones
BS estuvieran alineadas con las publicaciones ITIL de buenas prcticas,
impulsadas por el Gobierno Britnico. Como consecuencia de este inters se
formaliz un acuerdo de alineamiento del que BS 15000 se benefici de los
contenidos de ITIL, y posteriormente cuando el estndar pas a ser ISO/IEC
20000 fue ste quien ejerci su influencia en los contenidos de la nueva
versin 3 de ITIL que se public en Mayo de 2.007.
La segunda parte del estndar se public en 1998, y posteriormente se
sigui evolucionando la norma que vio la luz en su versin final en el ao
2000 como BS 15000 parte 1 y 2.
Como complemento a los documentos core de la norma se
desarrollaron unos contenidos adicionales para facilitar su adopcin,
publicndose un esquema de autoevaluacin y una gua para los gestores
del servicio.
Gracias a la temprana adopcin de esta norma por las compaas del
sector, se pudo realizar una retroalimentacin con la que se realiz una
revisin y evolucin de la primera versin de la norma BS 15000, publicando
una segunda versin en el ao 2002, que incluy principalmente nuevas
clusulas en los apartados de responsabilidades de la gestin y la mejora
continua con el ciclo de Deming Plan-Do-Check-Act. Desde su publicacin en
el ao 2000 este estndar despert un rpido inters, y un elevado nivel de
adopciones en otros pases, por lo que en el mes de Octubre del ao 2004
se solicit a ISO/IEC la elevacin de este estndar britnico a estndar
internacional.
Como consecuencia de la madurez del estndar se utiliz una va de
fast track en la que se procedi a realizar todas las actividades marcadas
para la evaluacin del estndar: anlisis, debate, comentarios, votaciones
de los diferentes organismos de normalizacin nacionales, cambios finales y
creacin de las estructuras necesarias para la adopcin y evolucin de la
norma dentro de los organismos ISO/IEC.
Tras 14 meses de trabajos el 15 de Diciembre de 2005 se publico el
estndar ISO/IEC 20000 1 y 2, retirndose en ese momento el estndar BS
15000.
A partir de este momento se inicia el plan para la gestin y futura
evolucin del estndar ISO/IEC 20000, acordndose en Marzo de 2006 por el
JTC-1, la creacin de un nuevo grupo de trabajo, el WG 25, que se encuadra

ISO 20000 Gestin de Servicios de TI

dentro del subcomit 7 de este organismo (JTC-1 SC7) iniciando sus
actividades en Abril 2006.
En Espaa, impulsado por itSMF se realiza en el ao 2006 la traduccin
de la norma al espaol, y posteriormente AENOR procede a su localizacin y
publicacin, que se realiza en el mes de Junio del 2007; y un mes ms tarde
se certifican en la norma UNE-ISO/IEC 20000-1 las dos primeras compaas
espaolas, Telefnica Soluciones y el Corte Ingles.

2. Contenido de ISO/IEC 20000.

Como ya se ha mencionado anteriormente, la norma se estructura en
torno a la utilizacin de procesos integrados para la gestin de los servicios
TI, posicionndolos en un modelo de referencia y, estableciendo todo
aquello que es obligatorio para la buena gestin de los servicios TI.
Estos procesos dan cobertura a las necesidades del ciclo de vida de los
servicios, contemplando muchos de los procesos incluidos en la versin 2 de
ITIL y otros adicionales, algunos de los cuales fueron posteriormente
adoptados por ITIL en su nueva versin 3 publicada dos aos ms tarde.
La especificacin y los requisitos de ISO/IEC 20000 representan un
consenso para la industria en estandarizacin de calidad para la gestin de
los servicios TI.
En este apartado se va a tratar cada una de las secciones que forman la
norma y sus componentes, reflejando cules son sus objetivos y el nmero
de requisitos de control que segn la norma deben cumplir.
Es interesante destacar que la norma no enumera sus requisitos de
control, por lo que las cifras de reflejadas en este documento pueden variar
respecto a otros autores.
10

ISO 20000 Gestin de Servicios de TI

Esto es debido a que la norma establece sus requisitos en prrafos, que
en algunos casos son multirequisito, y puede haber autores que
consideren solamente estos prrafos. En el caso de este artculo el nmero
de requisitos se ha establecido, descomponiendo los prrafos con requisitos
mltiples en requisitos unitarios.

Procesos de control

La norma ISO/IEC 20000 cubre las siguientes secciones:

A. El Sistema de Gestin de Servicios TI (SGSTI).

Esta seccin contempla la poltica y las actividades de trabajo necesarias
para que una organizacin pueda realizar una eficiente implantacin y
gestin posterior de los servicios TI.
El Sistema de Gestin de los Servicios TI cubre los aspectos de
Responsabilidad de la direccin, Requisitos de la documentacin,
Competencia, Concienciacin y Formacin.
Para cubrir este objetivo la norma contempla 17 requisitos de control a
cumplir.

B. Planificacin e Implementacin de la Gestin del

Servicio.
En la actualidad es absolutamente necesario lograr una gestin efectiva
de los servicios TI, pero no es suficiente ya que tambin es necesario lograr
que la calidad de los servicios mejore de forma continua.
11

ISO 20000 Gestin de Servicios de TI

Por este motivo uno de los objetivos fundamentales de la norma ISO/IEC
20000 es validar la mejora continua de la calidad de la gestin de los
servicios, y para ello ha utilizado el modelo de mejora de la calidad definido
por W. Edwards Deming aplicado inicialmente en la industria de la
fabricacin y empleado con xito en otras normas ISO/IEC (9000, 27001,
etc.)
Adicionalmente a ISO/IEC 20000, las organizaciones pueden utilizar
COBIT para materializar las medidas de los avances en el logro de nuevos
niveles de mejora a medida que la gestin de los servicios gana en
madurez.

Esta seccin de la norma cubre los siguientes apartados:

La planificacin de la gestin del servicio (Planificar), tiene como
objetivo planificar la implantacin y la provisin de la gestin del servicio,
contemplando aspectos como, el alcance de la gestin del servicio, los
enfoques de planificacin, los eventos a considerar, el alcance y contenidos
del plan, etc.

12

ISO 20000 Gestin de Servicios de TI

Entre los principales aspectos que se contemplan en este apartado
podemos mencionar:

La definicin del alcance del SGSTI

Definicin de las polticas de gestin de servicios
Establecer los objetivos
Definir los procesos
Definir los recursos

Para cubrir este apartado la norma contempla 13 requisitos de control a

cumplir.
Implementacin de la gestin del servicio y la provisin del
servicio (Hacer), su misin es la de implantar los objetivos de la gestin
del servicio y el plan definidos.
Entre los aspectos ms relevantes que trata podemos mencionar:
Definir e implantar plan de gestin del servicio
Implantar los Procesos (documentacin, responsables, registros,
indicadores)
Implantar el Sistema de Gestin
Para cubrir este apartado la norma contempla 9 requisitos de control a
cumplir
Monitorizacin, medicin y revisin (Verificar), su objetivo es
monitorizar, medir y revisar que los objetivos y el plan de gestin del
servicio definidos se estn cumpliendo, poniendo de manifiesto la capacidad
de los procesos para alcanzar los resultados planificados.
Como aspectos ms relevantes podemos mencionar:

Desarrollo procedimientos de monitorizacin

Revisiones peridicas del SGSTI
Revisar objetivos y plan de gestin del servicio
Auditar internamente el SGSTI

Para cubrir este apartado la norma contempla 9 requisitos de control a

cumplir.
Mejora continua (Actuar), su objetivo es mejorar la eficacia y la
eficiencia de la entrega y de la gestin del servicio, contemplando aspectos
como la poltica de mejora y la planificacin de las mejoras del servicio.
Los aspectos ms destacables son:

Identificar e implantar las mejoras

Adoptar acciones preventivas y correctivas
Comunicar acciones y resultados
Verificar que las mejoras cumplen su objetivo

13

ISO 20000 Gestin de Servicios de TI

Para cubrir este apartado la norma contempla 16 objetivos de control a
cumplir.

C. Planificacin e Implementacin de Servicios, Nuevos o

Modificados.
Esta seccin contiene un solo proceso que tiene como objetivo asegurar
que la creacin de nuevos servicios, las modificaciones a los existentes e
incluso la eliminacin de un servicio, se puedan gestionar y proveer con los
costes, calidad y plazos acordados.
Para ello, hay que gestionar el ciclo completo de la provisin y entrega
de los servicios, realizando una planificacin unificada e integrada,
considerando los costes y el impacto a nivel organizativo, tcnico y
comercial que pudiera derivar de su entrega y gestin, asegurando que
todas las partes implicadas conocen y cumplen con el plan y los
compromisos acordados.
Este proceso esbozado en la norma ISO/IEC 20000, e inexistente en ITIL
tanto en la v2 como en la v3, comienza en el cliente y finaliza con el servicio
entregado y operativo, o eliminado. Para lograr que todo funcione
adecuadamente y sin duplicar actividades, debe sincronizar el
funcionamiento del resto de procesos de gestin del servicio involucrados:
Relaciones con el negocio, la Gestin del nivel de servicio, Generacin de
informes del servicio, etc., realmente debe actuar como un proceso
director que permita coordinar y encadenar la participacin de todos los
procesos de la gestin del servicio implicados.
Este proceso contempla 16 requisitos de control a cumplir.

14

ISO 20000 Gestin de Servicios de TI

D. Procesos de Provisin de Servicio.
En esta seccin se tratan los requisitos necesarios para cubrir la
provisin de los servicios que el cliente necesita, y todo aquello que es
necesario en TI para poder prestar estos servicios.
Para conseguir su objetivo ISO/IEC 20000 estructura esta seccin en un
conjunto de procesos con objetivos especficos y unitarios para evitar
posibles conflictos.
Seguidamente vamos a dar un repaso por los procesos que componen
esta seccin para conocer sus objetivos.

Procesos de control

Gestin de Nivel de Servicio.

Este proceso aparentemente igual al de ITIL, se aligera de contenido
en la norma, ya que parte de las funciones contempladas en ITIL se reparten
en otros procesos, alguno de los cuales no tiene equivalencia en ITIL v2 ni
v3.
En ISO/IEC 20000 se establecen procesos especficos para actividades
que en ITIL se realizan dentro de este proceso: Relaciones con el Negocio
que se encarga de gestionar la relacin con los clientes; Planificacin e
Implementacin de servicios, nuevos o modificados;
Generacin de Informes de Servicio y Gestin de Suministradores, estos dos
ltimos procesos ya se han contemplado en la v3 de ITIL. En la norma, el
objetivo del proceso de Gestin de nivel de servicio es definir y acordar con
las partes los acuerdos de nivel de servicio, para posteriormente registrarlos
adecuadamente y gestionar su cumplimiento y evolucin.

15

ISO 20000 Gestin de Servicios de TI

Controla si se estn consiguiendo los niveles de servicio acordados, y
en caso necesario determina los motivos y promueve las acciones de mejora
adecuadas.
Este apartado contempla 9 requisitos de control a cumplir

16

ISO 20000 Gestin de Servicios de TI

Generacin de informes del servicio
El objetivo de este proceso es generar los informes de servicio
acordados, fiables, precisos y en plazo, de forma que permitan verificar si se
estn cumpliendo los requisitos y necesidades de los usuarios, e informar de
la toma de decisiones con el fin de lograr una comunicacin eficaz.
Este proceso contempla 10 requisitos de control a cumplir.
Gestin de la continuidad y disponibilidad del servicio
El objetivo de este proceso es conseguir que los compromisos de
disponibilidad y continuidad puedan cumplirse en la forma en que se han
acordado con los clientes.
Este proceso debe controlar los riesgos y mantener la continuidad del
servicio, tanto en situaciones de fallos o mal funcionamiento (disponibilidad)
como en casos de catstrofes o desastres (continuidad).
Para cubrir este objetivo la norma contempla 13 requisitos de control
a cumplir.
Elaboracin de presupuesto y contabilidad de los servicios de TI
El objetivo de este proceso es presupuestar y contabilizar los costes
de la provisin del servicio.
Como podemos observar en el objetivo de la norma no se contempla
la facturacin de los servicios, esto es debido a que en la prctica muchos
proveedores de servicios no realizan una facturacin formal de los servicios
a sus clientes, principalmente las unidades internas de TI de las compaas.
Por este motivo la norma considera esta actividad como opcional.
Sin embargo, hay que recomendar a los proveedores que si hacen uso
de la facturacin el mecanismo utilizado debe estar plenamente definido y
entendido por todas las partes. Tambin hay que tener en cuenta que la
facturacin debe estar alineada con las prcticas contables tanto del pas
como las ms especficas de la organizacin del proveedor del servicio.
Para cubrir este objetivo la norma contempla 7 requisitos de control a
cumplir.
Gestin de la Capacidad
El objetivo de este proceso es asegurar que el proveedor del servicio
tiene en todo momento la capacidad suficiente para cubrir la demanda
acordada, actual y futura, de las necesidades del negocio del cliente.
Para poder realizar una gestin eficiente de la capacidad es necesario
elaborar un plan de capacidad que este dirigido a las necesidades reales del
negocio. El plan de capacidad contempla aspectos como los requisitos de
capacidad de rendimiento, de evolucin prevista tanto por cambios internos
como por cambios externos, como por ejemplo legislativos, etc.
17

ISO 20000 Gestin de Servicios de TI

Para cubrir este objetivo la norma contempla 8 requisitos de control a
cumplir.
Gestin de Seguridad de la Informacin
El objetivo de este proceso es gestionar la seguridad de la
informacin de manera eficaz para todas las actividades del servicio.
Para establecer una gestin de la seguridad es necesario establecer,
y comunicar a todo el personal, una poltica de seguridad que contemple los
controles adecuados para gestionar los riesgos asociados al acceso a los
servicios o a los sistemas.
Para cubrir este objetivo la norma contempla 13 objetivos de control a
cumplir.
Adicionalmente, y para aquellas organizaciones que requieran un alto
nivel en la gestin de la seguridad de la informacin existe una norma
especfica, ISO/IEC 27001, que proporciona un cdigo de prcticas para la
gestin de la seguridad de la informacin.

E. Procesos de Relaciones
Los proveedores de servicio TI tienen dos puntos externos de relacin,
por una parte se encuentra la relacin con el negocio y los clientes a los que
da servicio, y por la otra est la relacin con sus suministradores,
fundamental para el soporte y evolucin del servicio.
Una adecuada gestin de estas relaciones posibilita el control
adecuado de los dos factores externos a la organizacin que son claves para
la realizacin de una correcta gestin del servicio TI. En esta seccin ISO/IEC
20000 trata los requisitos necesarios para cubrir estas relaciones mediante
dos procesos especficos: Gestin de Relaciones con el Negocio y Gestin de
Suministradores.
Finalmente es interesante mencionar que esta seccin de ISO/IEC
20000 tambin ha influenciado a ITIL, que en su versin 3 ha incluido un
proceso especfico para la gestin de suministradores. Sin embargo, no han
incluido ningn proceso especfico para gestionar de forma adecuada la
relacin con los clientes.

18

ISO 20000 Gestin de Servicios de TI

Procesos de control

19

ISO 20000 Gestin de Servicios de TI

Gestin de las relaciones con el negocio
El objetivo de este proceso es establecer y mantener una buena
relacin entre el proveedor del servicio y el cliente, basndose en el
entendimiento del cliente y de los fundamentos de su negocio.
La gestin de la relacin con el negocio asegura que todas las partes
implicadas en la provisin de un servicio, incluyendo tambin al propio
cliente, estn identificadas y gestionadas, responsabilizndose de dar una
respuesta adecuada a las demandas del cliente gracias a su funcin de
interfaz entre el negocio y las reas de TI.
Esto se logra negociando y acordando los niveles de servicio a
proveer, monitorizando e informando acerca del rendimiento del servicio, y
creando una relacin de negocio eficaz entre la organizacin TI y sus
clientes.
En este proceso se vela por la satisfaccin del cliente atendiendo sus
reclamaciones y revisando peridicamente los acuerdos y contratos
establecidos.
Adicionalmente tambin debe permanecer al tanto de las
necesidades del negocio y de los principales cambios en el mismo para
preparar una respuesta a dichas necesidades.
Para cubrir este objetivo la norma establece 15 requisitos de control a
cumplir.
Gestin de suministradores
El objetivo de este proceso es gestionar los suministradores para
garantizar la provisin, sin interrupciones, de servicios de calidad.
Actualmente la creacin de valor, ya sea en tecnologa, marketing o
fabricacin, se est volviendo tan complejo que un solo departamento o
compaa no est en disposicin de poder dominarlo en solitario.
Esta situacin est llevando a las organizaciones, que buscan mejorar
su rendimiento, a considerar que competencias son esenciales para su
negocio, potencindolas internamente y ampliando sus capacidades
mediante socios tanto en actividades internas como externas.
Este proceso da cobertura a la gestin de suministradores mediante
los controles necesarios para normalizar y acordar con todas las partes los
acuerdos de servicio alineados son los SLAs establecidos con los clientes.
Tambin contempla el comportamiento de estos acuerdos de servicio
mediante la monitorizacin y revisin de las prestaciones obtenidas frente a
los objetivos establecidos, identificando y proponiendo acciones de mejora.
Para finalizar es importante destacar que este proceso no contempla
la seleccin de suministradores al considerar que es una actividad previa,
fuera del mbito de las actividades de gestin.
20

ISO 20000 Gestin de Servicios de TI

Para cubrir este objetivo la norma establece 15 requisitos de control a
cumplir.

21

ISO 20000 Gestin de Servicios de TI

F. Procesos de Resolucin
Los procesos de resolucin son gestin del incidente y gestin del
problema, estos procesos tienen un alto grado de relacin aunque tienen
objetivos diferenciados.
Gestin del incidente se encarga de la recuperacin de los servicios a
los usuarios tan pronto como sea posible, y gestin del problema tiene la
misin de identificar y eliminar las causas de los incidentes para que no
vuelvan a producirse.

Procesos de control

Gestin del incidente

El objetivo de este proceso es restaurar el servicio acordado con el
negocio tan pronto como sea posible o responder a peticiones de servicio.
Para conseguir el objetivo es necesario tratar de forma adecuada los
sucesos que provocan la degradacin o prdida del funcionamiento normal
de un servicio, priorizando la atencin de las incidencias de acuerdo a los
compromisos de servicio establecidos, y reduciendo el impacto provocado
gracias a una resolucin oportuna.
Para cubrir este objetivo la norma establece 9 requisitos de control a
cumplir.
Gestin del problema
El objetivo de este proceso es minimizar los efectos negativos sobre
el negocio de las interrupciones del servicio, mediante la identificacin y el
anlisis reactivo y proactivo de la causa de los incidentes y la gestin de los
problemas para su cierre Uno de los aspectos ms relevantes de este
proceso es identificar la causa raz de los fallos que ocurren o que
potencialmente pueden ocurrir, al objeto de asegurar la estabilidad de los
servicios, y que los problemas no ocurran o se vuelvan a repetir.

22

ISO 20000 Gestin de Servicios de TI

Gracias a su correcta implantacin es posible mejorar la calidad
global de los servicios TI, estabilizar el entorno de produccin manteniendo
el funcionamiento normal del negocio y acometer proyectos de mejora que
permitan erradicar fallos en el servicio.
Para cubrir este objetivo la norma establece 9 requisitos de control a
cumplir.

G. Procesos de Control
La gestin de la configuracin y del cambio son dos procesos sobre
los que pivotan el resto de procesos de la gestin del servicio TI, gracias a
ellos el proveedor de servicios puede controlar adecuadamente los cambios
que se producen en los componentes del servicio y la infraestructura que los
soporta, y disponer de una base de informacin precisa y actualizada de la
configuracin, elemento indispensable para la toma de decisiones de todos
los procesos incluido gestin del cambio.

Procesos de control

Gestin
de
Configuracin
Gestin del Cambio

la

Gestin de la configuracin
El objetivo de este proceso es definir y controlar los componentes del
servicio y de la infraestructura, manteniendo informacin precisa y
actualizada sobre la configuracin. Este proceso se ocupa de la
identificacin, control y verificacin de los Elementos de Configuracin (CIConfiguration Item) que componen un servicio, registrando su estado y
dando informacin para el apoyo al resto de los procesos de Gestin de TI.
Por lo tanto, gestin de la configuracin es el proceso que garantiza
que la informacin necesaria para la adecuada gestin de los servicios TI
esta correctamente registrada y administrada.
Para cubrir este objetivo la norma establece 15 requisitos de control a
cumplir.
Gestin del cambio
23

ISO 20000 Gestin de Servicios de TI

El objetivo de este proceso es asegurar que todos los cambios son
evaluados, aprobados, implementados y revisados de una manera
controlada. Este proceso controla los cambios de forma eficiente de acuerdo
con los compromisos de servicio y con el mnimo impacto en el entorno de
produccin. Para ello implanta una gestin integral de los cambios
proporcionando una visin conjunta que facilita al anlisis de los riesgos y la
toma de medidas a adecuadas para garantizar el xito del los cambios y
minimizar su impacto negativo en el negocio de los clientes.
Para cubrir este objetivo la norma establece 13 requisitos de control a
cumplir.

H. Procesos de Entrega

Procesos de control

Gestin de la entrega
El objetivo de este proceso es entregar, distribuir y realizar el
seguimiento de uno o ms cambios en la entrega en el entorno de
produccin real.
Gestin de la entrega realiza la planificacin y gestin de los recursos
que permite distribuir correctamente un lanzamiento al cliente. Para realizar
con xito esta tarea, este proceso tiene una visin global de los servicios,
con lo que se garantiza que todos los aspectos que afecten a las entregas,
tanto tcnicos como no tcnicos, se analizan y tratan globalmente.
Para cubrir este objetivo la norma establece 16 objetivos de control a
cumplir.
En la imagen siguiente se incluye un resumen de lo tratado en este
apartado, y para finalizar es importante resaltar que los requisitos de control
de ISO/IEC 20000 son totalmente prcticos y orientados a hacer aquellas
actividades que son claves en una gestin de servicios TI de alta calidad.

24

Secciones

Seguidamente se aportan algunos ejemplos extrados de la norma:

La implementacin de nuevos servicios o modificaciones en los

existentes, incluyendo la eliminacin de un servicio, debe ser
planificada y aprobada a travs de un proceso formal de gestin del
cambio. (Planificacin e Implementacin de Servicios, nuevos o
modificados)

Los SLAs se deben revisar peridicamente por las partes, para

asegurar que se encuentran actualizados y continan siendo eficaces
con el transcurso del tiempo. (Gestin de Nivel de Servicio)

El proveedor del servicio y los clientes se deben reunir, al menos una

vez al ao, para la revisin del servicio y para discutir cualquier
cambio en el alcance del mismo, en el SLA, en el contrato (si existe) o
en las necesidades del negocio. (Gestin de las relaciones con el
negocio)

3. Implantar ISO/IEC 20000

Lo primero y ms importante es dejar claro que ISO/IEC 20000 no es
un proyecto que se instala y se consigue el objetivo deseado, realmente la
norma se centra en una gestin de los servicios orientada al negocio y
basada en una estrategia de mejora continua, por lo que su adopcin es
ms un cambio cultural y de las formas de trabajar que un proyecto con un
inicio y un fin.
Por lo tanto las organizaciones que necesiten establecer una gestin
de los servicios TI eficiente y una cultura de mejora continua deberan
utilizar esta norma como la referencia ms adecuada, independientemente
de que finalmente soliciten, o no, la certificacin ISO/IEC 20000.
Realmente la documentacin de la norma proporciona una valiosa y
econmica fuente de referencia para aquellas organizaciones que hayan
adoptado, o estn adoptando, procesos de gestin de servicios TI, ya que
proporciona una forma normalizada e independiente de medir el nivel de
adopcin de los procesos de gestin de servicios y de su mejora continua.
De la misma forma, si la organizacin decide adoptar como referencia
ISO/IEC 20000, podr beneficiarse de la norma para conseguir de forma
clara y guiada una gestin del servicio de alta calidad, independientemente
de que finalmente decidan no solicitar formalmente la certificacin. Las
organizaciones que busquen adoptar una estrategia de mejora continua en
la gestin de servicios de TI se beneficiarn de la adopcin de la norma
ISO/IEC 20000.

rla
e
c
n
o
.C
1
m
u
d
tiu
.A
l2
a
tin
rs3
z
c

.P
ic .tin
v
s
jd
le
p
m
a
g
ro
a

e
m
y
o
rc
jg
S
u
4n
a
rL
tu
m
ile
c
p
o
d
,z
s

fv
/2
O
IS
E
0
C

Seguidamente vamos a analizar los principales pasos para realizar

una exitosa adopcin de ISO/IEC 20000.

1. Conocer la documentacin
Es el primer paso a cubrir por los miembros de la organizacin TI, sus
miembros deben conocer y comprender ISO/IEC 20000, adicionalmente
tambin deberan familiarizarse con COBIT como mecanismo de medicin y
control, y con ITIL como plataforma para conseguir implantar de forma
predecible las practicas necesarias para lograr los objetivos establecidos en
la norma.

2. Analizar la situacin actual

El siguiente paso es evaluar la situacin actual y determinar en qu
situacin se encuentra su gestin del servicio de TI con respecto a los
requisitos de ISO/IEC 20000.
La evaluacin de la situacin actual no solo cubre al grado de
cumplimiento de los procesos de la organizacin respecto a la norma,
tambin debera cubrir un estudio de la cultura de trabajo de TI y del
negocio, con el fin de establecer la recomendaciones adecuadas en funcin
de las caractersticas especificas de la organizacin de TI y los negocios a
los que da servicio.
Esta actividad aportar una idea clara del grado de adopcin y
cumplimiento con el que est trabajando la organizacin. En este anlisis es
posible identificar las fortalezas de la compaa as como las reas de
mejora necesarias para lograr cumplir los objetivos establecidos en la
norma.

3. Programa para la mejora del servicio

Una vez cubierta la evaluacin inicial de la situacin y con los datos
del gap analysis es posible determinar qu pasos se deben seguir para
evolucionar en aquellas reas con mayor potencial de mejora. En este punto
hay que disear y desarrollar el programa de mejora para implantar de
forma eficaz la estrategia establecida
Aquellas organizaciones que se encuentren en proceso de adopcin
de ITIL o COBIT pueden aprovechar su inversin en este proyecto para
acelerar las mejoras detectadas.

4. Seguimiento y mejora contina.

Como ya se ha mencionado anteriormente es importante tener
presente que la adopcin de ISO/IEC 20000 es un proceso iterativo de
mejora continua.
La organizacin debe implantar las reas de mejora identificadas en
al anlisis de la situacin inicial de forma incremental, midiendo sus
progresos respecto a la norma, y utilizando para lograrlo, los elementos de
referencia del mercado ms adecuados: ITIL, COBIT, las buenas prcticas ya
utilizadas en la organizacin, etc.

La automatizacin, un factor relevante a considerar en la

adopcin de ISO/IEC 20000
Como ya hemos podido observar, la adopcin de la norma requiere el
establecimiento de procesos en las diferentes disciplinas de la gestin de los
servicios TI, procesos que adicionalmente requieren de una integracin y
coordinacin entre ellos muy fuerte.
La adopcin efectiva de estos procesos es una tarea difcil de abordar,
a la que se suma la dificultad aadida de tener que conseguir una mejora
continua.
En este contexto tan complejo, los procesos solamente manuales no
son viables, por lo que las organizaciones necesitan apoyarse en soluciones
y herramientas de automatizacin para facilitar la administracin de estos
entornos complejos.
La automatizacin aporta una serie de importantes ventajas entre las
que podemos mencionar:
Facilita la integracin de los procesos y ayuda a realizar el cambio
cultural, ayudando a eliminar los silos de poder en la organizacin
La automatizacin facilita el establecimiento de los procesos y una
utilizacin homognea y sistemtica, al obligar a utilizarlos tal como
se han definido. La utilizacin manual de los procesos facilita la
tendencia que tienen las personas a adecuar los procesos a sus
formas personales de trabajo, provocando con el paso del tiempo una
falta de coherencia de las formas de trabajo respecto a los procesos
establecidos.
El uso de herramientas agiliza la implementacin de los procesos
facilitando la adopcin de la mejora continua, lo que potencialmente
ayuda a acelerar el cumplimiento de los requisitos de la norma
ISO/IEC 20000.
Permite reducir costes, la automatizacin puede ayudar a reducir
gastos de personal al minimizar los costes del servicio y asumir la
ejecucin de funciones rutinarias y repetitivas que normalmente
exigira gran parte del tiempo de los especialistas de la organizacin.
Facilita seguimiento del cumplimiento de la normativa aportando
informacin del uso de los procesos, y registros de auditora, lo que
permite demostrar el cumplimento de la normativa.

4. La certificacin ISO/IEC 20000

En primer lugar, es importante resaltar que la certificacin no debera
ser un fin en s misma, sino ms bien un medio.
Un medio que aporta un reconocimiento por una entidad ajena con la
credibilidad necesaria, imparcial e independiente a la organizacin de TI.
La certificacin declara pblicamente, a las partes interesadas
(organizacin, clientes, proveedores, competencia) y a toda la sociedad en
general, tanto en el mbito nacional, como en el internacional, que dicho
proveedor de servicios TI gestiona sus servicios mediante procesos de
acuerdo a este estndar internacional. Esta certificacin permite al
proveedor de servicios TI acreditar la calidad en la prestacin de sus
servicios, alineada con el negocio y aplicando criterios de eficiencia, as
como de control de sus riesgos de operacin del servicio basado en los
requisitos contractuales adquiridos con sus clientes y los de contratacin
acordados con sus suministradores.
Pero, en qu consiste la certificacin ISO/IEC 20000? Seguidamente
se expone muy sucintamente los pasos necesarios para realizar este
proceso.
Una vez que el proveedor de servicios TI ha implementado la gestin
del servicio TI (SGSTI) segn la norma y ha decidido certificar la
conformidad de este sistema de gestin con la norma ISO/IEC 200001:2005, y por lo tanto su forma de diaria trabajo, es necesario cubrir una
serie de actividades.
Para iniciar este proceso se necesitan dos actores: el solicitante
(empresa u organizacin que aspira a conseguir la certificacin conforme a
la norma) y la entidad de certificacin (empresa u organizacin que tras el
proceso de auditora y evaluacin respecto a la norma, concede o deniega la
certificacin).
Estos dos actores deben cubrir una serie de actividades, que como se
puede se puede apreciar en la figura siguiente no constituyen un proceso
lineal que empieza y termina. Ms bien es un camino, en el que la primera
etapa es la certificacin inicial y, a partir de este punto, no finaliza nunca.
Como ya se ha comentado anteriormente el objetivo ltimo de la
norma es mantener y mejorar la calidad de la gestin de servicios de la
organizacin TI, y este aspecto se convierte en uno de los ejes
fundamentales tanto para la realizacin de las auditorias de seguimiento
anual, como en las de renovacin del certificado, que se realiza cada 3 aos.

CertificacinMantenimiento

Proceso Certificacin ISO/IEC 20000

En la siguiente figura se muestran las etapas del ciclo de certificacin:

1. Determinar el alcance de la certificacin. En esta etapa se

definen los servicios y centros sobre los que se aplicar el proceso de
certificacin. En este punto es importante que la organizacin TI solicitante
realice un anlisis de su situacin actual respecto a ISO 20000-1 para
determinar el momento ms adecuado para realizar la solicitud.
2. Solicitud de certificacin. El siguiente paso es realizar la
solicitud de certificacin a una entidad de certificacin acreditada, y esta
entidad confeccionar una propuesta que se enva al proveedor TI
solicitante para su estudio, aprobacin y contratacin.
3. Anlisis de documentacin. En esta etapa la entidad de
certificacin estudia la documentacin del sistema de gestin de servicios
de la empresa solicitante.
4. Visita previa. En este punto la entidad de certificacin realiza su
trabajo in-situ en los centros del proveedor solicitante. Su objetivo es
conocer la empresa y evaluar la idoneidad del alcance solicitado de la
certificacin; y adicionalmente analiza cmo est implantado el sistema de
gestin SGSTI ya analizado en la etapa anterior.
Esta etapa es el punto idneo para resolver cualquier duda que surja
por parte del proveedor TI solicitante o de la entidad de certificacin. En las
experiencias de certificacin he podido comprobar que la etapa de la visita
previa es una actividad clave para el xito del proceso de certificacin
Como actividad final de esta etapa, la entidad de certificacin prepara
el plan de auditora, que debe incluir: planificacin de fechas, miembros del
equipo de auditora, contenidos a auditar, etc., que se entrega al proveedor
TI solicitante para su revisin y aprobacin.
5. Auditoria Inicial. Esta es la etapa ms compleja y crtica del
proceso ya que en ella se lleva a cabo la auditoria inicial de certificacin,
sobre los servicios e instalaciones acordadas, del proveedor solicitante.
En el caso que exista no conformidades se emitir un informe,
sealando las no conformidades o desviaciones detectadas. Y si es
necesario, la organizacin solicitante debe realizar un plan de acciones
correctivas, que se deben poner en prctica para corregir las desviaciones
detectadas. En este caso la compaa solicitante debe evidenciar la
correccin de dichas desviaciones ante la entidad de certificacin, en el
plazo establecido.
6. Evaluacin y decisin. En este punto, la actividad a realizar est
solamente en el mbito de la empresa certificadora, que mediante un
comit de decisin, analiza y valora dichas acciones y en caso de valoracin
positiva proceder a la concesin del certificado correspondiente.
7. Concesin del certificado. En caso que la decisin del Comit
sea positiva se emite el certificado, con el alcance establecido, a favor del
proveedor TI solicitante.
Por el contrario, si del anlisis se detecta que no se cumplen
requisitos graves de certificacin, sera necesaria una visita adicional. Esta

nueva visita se denomina auditoria extraordinaria, y normalmente se

planifica seis meses despus de la auditoria inicial. Su objetivo es
comprobar la correccin de los incumplimientos que motivaron esta
auditoria extraordinaria.
8. Auditoria de seguimiento. Durante los dos aos siguientes, la
entidad de certificacin debe realizar auditoras de seguimiento del sistema
de gestin certificado (AS1 y AS2), normalmente seleccionando partes de
dicho sistema y no la totalidad del mismo. Su objetivo es comprobar su
funcionamiento, y en caso de encontrar incumplimientos levanta las no
conformidades necesarias, que la organizacin ya acreditada debe resolver
mediante un nuevo plan de acciones correctivas.
9. Auditoria de renovacin. Pasados tres aos desde la
consecucin del certificado, la entidad de certificacin debe realizar una
nueva auditora, y en este caso su mbito ser muy parecido a la auditoria
inicial. Con el resultado de esta nueva auditora de proceder a prorrogar o
cancelar la certificacin concedida. Al igual que en la auditoria inicial,
tambin podra darse el caso que fuera necesaria de una visita
extraordinaria para estos mantenimientos o renovaciones.
A pesar de la juventud de la norma ya existe un buen nmero de
compaas certificadas, algunas provienen de la antigua norma BS 15000,
pero existen un importante nmero de compaas que ya se han certificado
directamente bajo la norma ISO/IEC 20000.
Aunque en esta fuente de informacin solamente aparecen
registradas dos compaas Espaolas, segn informacin de AENOR, e itSMF,
existen un mnimo de 6 compaas certificadas, y actualmente estn en
proceso certificacin otras 4 ms.

www.ISOIEC20000certificacion.com
Fuente ISOIEC20000, * AENOR e itSMF Espaa

Las ventajas de la norma ISO 20000

La reputacin de la ISO y el reconocimiento internacional del IT
Service Management System (Sistema de gestin de servicios de tecnologa
de la informacin) que conlleva la norma ISO 20000 es un verdadero
refuerzo para la reputacin de cualquier empresa. Reduce el riesgo
ofreciendo apoyo fiable de profesionales de la tecnologa de la informacin
(internos o subcontratados), cuando y donde ms se necesita. Esto ayuda a
poner cualquier situacin de tecnologa de la informacin bajo control
inmediato y disminuye sus daos potenciales, mejorando la productividad
de los empleados y la fiabilidad del sistema de tecnologa de la informacin.
Y lo que es ms, la certificacin aporta motivacin a la organizacin y
demuestra la fiabilidad y calidad de los servicios de tecnologa de la
informacin para empleados, partes interesadas y clientes.
La certificacin de su Sistema de gestin de servicios de tecnologa
de informacin a travs de SGS ayudar a su organizacin a desarrollar y
mejorar su rendimiento.
Su certificado IT Service Management System segn la norma ISO
20000 de SGS le permitir demostrar altos niveles de calidad y
fiabilidad de los servicios de tecnologa de informacin, cuando
presente ofertas para contratos internacionales o cuando realice
ampliaciones locales para aumentar su volumen de negocio.
La evaluacin peridica realizada por SGS le ayudar a utilizar,
supervisar y mejorar continuamente su sistema de gestin de los
servicios de tecnologa de la informacin y sus procesos. Esto
mejorar la fiabilidad de sus operaciones internas para satisfacer las
necesidades de los clientes y tambin para aumentar su rendimiento
global. Lo ms probable es que tambin consiga una mejora
importante en motivacin, compromiso y comprensin de su
responsabilidad por parte del personal.
La norma ISO 20000 se puede vincular tambin con la norma ISO
27000 (norma internacional para seguridad de la informacin).
Integrando las auditoras de estos sistemas de gestin podr ahorrar
tiempo y dinero.

5. ISO/IEC 20000 una norma viva que aporta

valor al sector TI
Los organismos ISO (Intenational Organization for standarization) e
IEC (Intenational Electrotechnical Comisin) tienen una estructura y
mtodos especficos para la creacin y evolucin de los estndares
publicados.
En el mbito de ISO/IEC 20000 la estructura est organizada dentro
del subcomit SC 7 "Ingeniera de Software y Sistemas de Informacin que
se encuadra en el Comit AEN/CTN 71 Tecnologas de la Informacin.
En este subcomit trabaja el WG-25 Gestin y buen gobierno de TI
que es el encargado de desarrollar y evolucionar las normas relacionadas
con la gestin y gobierno de TI. Actualmente el mbito de actuacin de este
grupo de trabajo est relacionado con dos normas:
ISO/IEC 20000 - Gestin del servicio TI, publicada en Diciembre de
2.005
ISO/IEC 38500 - Gobierno de TI. Esta norma se encuentra en su fase
final de desarrollo y se publicar en un corto periodo de tiempo.
El WG 25 est formado actualmente por 18 Organizaciones nacionales
de estandarizacin: Australia, Canad, Finlandia, Francia, Alemania, India,
Italia, Japn, Luxemburgo, Holanda, Nueva Zelanda, Portugal, Eslovaquia,
South frica, Espaa, Suiza, Inglaterra y USA
En Espaa, el WG25, impulsado por AENOR, est formado por 33
Compaas con 43 miembros.
Los principales cometidos de este grupo de trabajo son: el desarrollo
y evolucin de las normas de su mbito, y la creacin de material
complementario para ayuda del sector en la aplicacin de las normas.
Y en este punto, conociendo esta estructura y responsabilidades
surgen inmediatamente las preguntas: Qu se est haciendo en este grupo
de trabajo?, y qu nos aportar ISO/IEC 20000 en un futuro prximo?

Para responder a estas preguntas la mejor forma es estructurar las

actividades del WG 25 en dos tipos de actividad:

ISO/IEC/JTC1/SC7/WG25
Gestin y buen gobierno de los
servicios de TI

1. Evolucin del core de la norma.

En este apartado se est trabajando en tres lneas de actividad:
a. Revisin ISO/IEC 20000-1. En este punto se esa trabajando
principalmente en una unificacin de trminos que permitan
una mejor comprensin de la norma, principalmente a
aquellos sectores en los que el ingles no es su lengua
nativa.
b. Revisin ISO/IEC 20000-2. En esta parte de la norma se
trabajar en funcin de lo acordado en la parte 1, realmente
la parte 2 de la norma es un complemento y ayuda de la
parte 1.
c. Desarrollo ISO/IEC 20000-3. Esta nueva parte de la norma
tiene como objetivo ayudar a las organizaciones a
determinar el alcance y mbito de aplicabilidad de la norma
en las organizaciones TI. Esta parte se encuentra en un
punto de desarrollo muy avanzado, por lo que podra
liberarse al sector a lo largo este ao o a comienzos del
2009.

2. Desarrollo de ayudas complementarias a la norma.

En este apartado se est trabajando principalmente en 3 lneas de
actividad:
a. Modelo de Conformidad Incremental. El objetivo de la
conformidad incremental es ayudar a las organizaciones a
lograr la certificacin ISO/IEC 20000 de forma escalonada,
facilitando un road map que les permita implantar los
requisitos de la norma de forma estructurada en cada una
de las fases del modelo.
b. Modelo de Assessment ISO/IEC 20000. Este modelo tiene
como finalidad ayudar a las organizaciones a evaluar su
grado de adecuacin a la norma, y la identificacin de las
reas de mejora que es necesario evolucionar para
conseguir la certificacin ISO/IEC 20000.
Este modelo se estructura en dos lneas de trabajo, la
primera es la de definir el Modelo de Referencia de Procesos
(PRM 20000-4) que establece las bases del modelo de
madurez y el marco de evaluacin. De forma
complementaria se trabaja en el Modelo de Evaluacin (PAM
15504-8) que cubre la evaluacin de los procesos y sus
requerimientos.
c. Alineamiento de los Sistemas de Gestin de ISO/IEC 20000,
ISO/IEC 9000 e ISO/IEC 27001. El objetivo de esta lnea de
trabajo es armonizar los contenidos del Sistema de Gestin
de estos tres estndares identificando y mapeando los
puntos comunes; lo que reportar interesantes sinergias a la
hora de definir los diferentes Sistemas de Gestin de estas
normas.
El objetivo final de estas iniciativas es que las organizaciones del
sector TI dispongan de una serie de herramientas que puedan utilizar para
realizar una gestin de los servicios TI de calidad, y alineada con las
necesidades del negocio, independientemente de que su objetivo final no
sea la certificacin.

--------------------------------- AYUDAS --------------------------------

ITIL & ISO 20000

SON CONSIDERADOS PARTE DE LAS MEJORES PRCTICAS
RELACIONADAS CON TECNOLOGAS DE INFORMACIN, EN TANTO QUE
AMBOS PROVEEN REFERENCIAS GENERALES PARA ADMINISTRAR SERVICIOS
DE TI
ITIL e ISO 20000 se han convertido en estndares de facto para la
administracin
de
servicios
de
TI
en
cualquier
organizacin,
independientemente de su tamao o ramo de industria. Su utilizacin en las
reas de Tecnologa de Informacin y Sistemas (TI) est orientada
principalmente a la definicin y operacin de servicios, formalizacin de
niveles acordados de servicios (ANS) con clientes, y recientemente ha
tomado mucho auge su uso para la definicin de modelos de costes para ser
repercutidos en productos y clientes.
Hoy son considerados parte de las mejores prcticas relacionadas
con tecnologas de informacin, en tanto que ambos proveen referencias
generales para administrar servicios de TI que deben ser ajustados por cada
organizacin. Los proyectos relacionados con la implementacin de ITIL o
ISO 20000 son considerados como parte de los esfuerzos de mejora
continua de las organizaciones, pues permiten obtener ndices y ratios de
la efectividad de los servicios que brindan las unidades de TI.

Breve referencia
ITIL es el acrnimo de IT Infrastructure Library, y corresponde a una
coleccin de guas relacionadas con la gestin de servicios de TI. Fue
publicada inicialmente en 1995 por
CCTA, una unidad del gobierno britnico actualmente integrada en la Office
of Government Commerce.
ITIL enfatiza en la importancia de que la gestin de la infraestructura
de TI cumpla con los requerimientos econmicos de las compaas: provee
entonces la base para mejorar en el uso y efectividad de una infraestructura
de TI determinada, describiendo los mecanismos para establecer la
administracin de servicios asociados a esa arquitectura.
Actualmente, la versin ms reciente de ITIL es 3.0, y de acuerdo con
su enfoque, los servicios de TI se pueden separar en 12 tipos, clasificados
en dos grupos:
Servicios orientados al Soporte a la infraestructura de TI para la
administracin de:

Asistencia (Service Desk)

Configuracin
Incidentes
Problemas
Versiones
Cambios
Servicios orientados a las entregas al cliente para la administracin

de:

Niveles de servicios (ANS)

Finanzas
Capacidad
Disponibilidad
Continuidad de TI
Seguridad

Tomando como referencia fundamental ITIL, el Instituto Britnico de

Estndares (BSI), defini BS 15000, un estndar sobre servicios de TI.
Posteriormente, al igual que ha ocurrido con otros estndares BS que
fueron base para estndares ISO, a partir de BS 15000 se defini ISO/IEC
20000:2005 en diciembre de 2005.
ISO 20000 es considerado el primer estndar internacional para la
administracin de servicios de TI, y al igual que los otros estndares ISO
tiene dos partes: la primera que es obligatoria y es sobre la cual se puede
certificar el cumplimiento con el estndar, y la segunda que es un conjunto
de sugerencias sobre la parte 1.
ISO 20000-1 (la parte 1) indica textualmente que promueve la
adopcin de un enfoque integrado para administrar de manera efectiva la

entrega de servicios para satisfacer los requerimientos del cliente y el

negocio. Complementariamente, ISO 20000-2 (la parte 2) corresponde con
las mejores prcticas sugeridas para satisfacer la parte 1.

Cules son las ventajas de estos estndares?

Las compaas que han optado por implementar ITIL o ISO 20000 se
han beneficiado de los aspectos siguientes:
Orientacin hacia el cumplimiento con los requerimientos del negocio
de parte de los servicios de TI.
Establecimiento de un proceso de mejora continua de la calidad en la
gestin de TI.
Aprovechamiento de referencias de aplicacin internacional.
Reduccin de las curvas de aprendizaje.
Identificacin de los niveles de servicio (ANS) que requiere el negocio
de parte de TI.
Posibilidad de comparar su gestin y costes de TI versus estndares
de la industria (benchmarking).
Posibilidad de certificar a la compaa (caso de ISO 20000) y al
personal tcnico.

Cules son las principales diferencias entre ITIL e ISO

20000?
En principio ISO 20000 (al igual que lo hizo BS 15000) toma como
base fundamental ITIL, pero adems ha considerado otras referencias
relevantes del sector tecnolgico (por ejemplo, Microsoft Operations
Framework MOF).
En cuanto a certificaciones, ITIL no ofrece la posibilidad de certificar
organizaciones que lo hayan implementado, aunque s ofrece certificaciones
a personas en tres niveles: fundamentos, practicantes y administradores.
Por su parte la bondad y efectividad de la implementacin de ISO 20000
puede ser certificada por terceros independientes.
Por otro lado, las compaas que han implementado un estndar ISO
(cualquiera que ste sea), se beneficiarn de implementar ISO 20000 en
lugar de ITIL, puesto que todo el marco de administracin del estndar que
cubre los aspectos del negocio se puede aprovechar sin ningn esfuerzo
adicional.
Es ste un
implementacin?

buen

momento

para

iniciar

un

proyecto

de

En general los procesos de implementacin de un estndar de TI son

bastante similares, y todos ellos deben considerar etapas de capacitacin,
diagnstico, implementacin y opcionalmente certificacin. Aunque las
pocas de turbulencia econmica generalmente involucran procesos de
recortes presupuestarios para este tipo de proyectos, nuestra experiencia
nos indica que por el contrario son momentos ideales para implementar
estndares como ITIL e ISO 20000, principalmente si se considera que
adems de las ventajas mencionadas anteriormente, un proyecto de ese
tipo puede convertirse en la base para definir un esquema de medicin de
costes de los servicios y productos que genera TI hacia los clientes internos
o externos de la compaa.

Conclusiones
-

A pesar de que la publicacin de la norma ISO/IEC 20000 es muy

reciente, la aceptacin por parte del sector ha sido muy importante,
tanto por parte de las compaas privadas como pblicas, y
actualmente se est comenzando a utilizar como requisito en los
pliegos de outsourcing/externalizacin de servicios TI en las reas de
Produccin.

Adicionalmente los gobiernos son conscientes de la necesidad de

potenciar el incremento de la calidad, y la reduccin de los riesgos de
los servicios TI de las compaas, y est considerada esta norma
como un factor relevante para la consecucin de estos objetivos.

En el caso de Espaa, la Secretaria de Estado de Telecomunicaciones

y para la Sociedad de Informacin, a travs del Plan Avanza publicado
en el BOE en Marzo de 2008, facilita ayudas a las compaas
pequeas y medianas que realicen de proyectos y acciones
estratgicas de mejora en el periodo 2008-2011 ha contemplando en
esta convocatoria la norma ISO/IEC 20000.

Realmente la norma constituye una completa gua de referencia para

conseguir que una organizacin provea servicios TI gestionados, de
calidad y que satisfagan los requisitos de negocio de los clientes. Otro
aspecto importante a destacar es que los requisitos obligatorios a
cubrir, son totalmente independientes de los marcos de referencia
existentes en el mercado, por lo que se puede adoptar ISO/IEC 20000
apoyndose en uno o varios marcos (ITIL, eTOM, COBIT, etc.) e
incluso en las buenas prcticas ya implantadas por la compaa.

Y lo ms importante es que se puede utilizar ISO/IEC 20000 como

gua para conseguir estos objetivos de calidad en la gestin de los
servicios TI, independientemente de que la compaa no contemple
en su estrategia la certificacin en esta norma. Beneficindose
incluso de las inversiones y el esfuerzo realizados para cumplir la
norma en el caso que posteriormente la compaa decida solicitar la
certificacin, para demostrar que ha implementado una gestin de
servicios de alta calidad.