ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

De manera paulatina, a nivel internacional, vemos que se empiezan a realizar normas especficas por sectores. La ISO 9001:2000 (Certificacin de Sistemas de Calidad), se va desmembrando en diversas normativas de Calidad sectoriales, ya sea TS 16949 (Sistemas de Calidad en el Sector de la Automocin), ISO 27001 (Sistemas de Seguridad de la Informacin), Q- ITCE (Sistemas de Calidad en el sector turstico), Y dentro de esta especializacin aparece una nueva normativa denominada ISO 20000 (Sistemas de Gestin de Tecnologa de la Informacin). Dicha norma, se centra en cubrir esas actividades relacionadas con los servicios TI que la norma ISO 9001/2000 no poda cubrir con el celo necesario. La normativa ISO 20000 se centra en los Sistemas de Gestin de servicios de Tecnologa de la Informacin (TI), que dan apoyo a una o ms reas de nuestros negocios. Podramos definir la norma ISO 20000, cmo la primera normativa a nivel mundial enfocada especficamente a la gestin del servicio TI. Dicha norma se compone, a su vez, de la siguiente normativa: ISO/IEC 20000-1:2005: Gestin de la Tecnologa de la Informacin. Parte 1- Especificacin. Esta parte 1 es certificable, es decir, podra ser el equivalente a la ISO 9001/2000. ISO/IEC 20000-2:2005: Gestin de la Tecnologa de la Informacin. Parte 2- Cdigo de buenas prcticas. Es una gua para implantar la parte 1. Una empresa se podr certificar contra ISO/IEC 20000-1:2005, pero nunca contra ISO/IEC 20000-2:2005, ya se utiliza la parte 2 para realizar la correcta implantacin de la parte 1. Es decir, es el equivalente en Calidad a la ISO 9004; uno utiliza la ISO 9004 para realizar una correcta implantacin de la norma ISO 9001/2000, y la certificacin se realiza contra ISO 9001/2000. A su vez, nos podemos ayudar de ms documentos con el fin que la implantacin de nuestro Sistema TI sea perfecta. Estos documentos son los BIPs. Nos gustara destacar cmo tiles. BIP 0005: Una gua para la correcta gestin del servicio TI. BIP 0015: Libro de trabajo y lista de chequeo para la realizacin de auditorias internas. Y los BIP que van del 0030 al 0039, se podran considerar cmo bastante aprovechables. Pero cul es la historia de dicha normativa? Cmo apareci? Nos tenemos que trasladar al ao 1989, cuando el Gobierno Britnico edit una gua en la que se definan los procesos y buenas prcticas dentro de los Sistemas TI. Dichas guas fueron conocidas mundialmente cmo ITIL. Ante la importancia que empez a coger esta gua, se decide crear un Comit que la gestione, por lo que, en 1991 se crea el ITSMF (Information Technology Management Forum), con el fin de controlar y mejorar dicha gua y buenas prcticas. La demanda de este sector aumentaba, por lo que el ITSMF se aproxima a BSI (British Standards Institution) y le encarga la confeccin de una norma especfica de este sector. En el ao 2000, BSI (cmo Entidad de Normalizacin) publica la BS 15000, normativa britnica enfocada al sector. En el ao 2002, se realiza una revisin a dicha norma con el fin de adaptarla a las exigencias del mercado.

ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

As, en Marzo del 2006, y ante el xito de la norma BS 15000 a nivel mundial, se presenta dicha norma a comit ISO y se aprueba, pasando la norma BS 15000 a denominarse ISO 20000, es decir, pasa a considerarse una normativa mundialmente aceptada. De este modo la ISO 2000 (antigua BS 15000) se centra de manera enftica en dar un apoyo y una mejora a la calidad de los servicios TI. Los objetivos de la ISO 20000 se podran definir cmo: Promover la adopcin de procesos integrados con el fin de suministrar la gestin de los servicios para obtener los requisitos tanto de nuestros clientes cmo del mercado en si. Medir la comprensin de nuestras buenas prcticas, objetivos, beneficios y posibles problemas dentro de nuestro Sistema de Gestin. Ayudar a las organizaciones a generar facturacin, o bien, generar costes efectivos o beneficios dentro de la va profesional del servicio TI que se suministra a los clientes. Por qu la ISO 20000 ser una norma exitosa en los prximos aos? Por las siguientes razones: Las empresas dependen ms de sus Sistemas TI y necesitan una correcta gestin y mantenimiento de stos. Los fallos e incidencias son cada vez visibles, por lo que necesitamos un sistema que nos permita subsanarlos. Aumenta exponencialmente el nmero de demandantes de servicios TI a nivel mundial. Las infraestructuras son cada vez ms complejas y el mercado necesita especialistas en el sector. Continuo cambio de los Sistemas TI (continuo avance de la tecnologa). Poseer la ISO 20000 ser una ventaja competitiva dentro del sector y una referencia positiva muy valorada por los clientes. De igual modo, nos gustara destacar la relacin que existe entre ITIL e ISO 20000: ISO 20000 es certificable; ITIL no, son slo unas buenas prcticas. Para certificar ISO 20000 no es necesario implantar ITIL, pero su utilizacin puede hacer al Sistema ms robusto y ms sencilla la obtencin y el cumplimiento de la normativa ISO 20000. La estructuracin de la organizacin no es un requisito de ISO 20000 mientras que PDCA (Plan, Do, Check, Act) es fundamental. ISO 20000 incluye relaciones y control de proveedores y subcontratistas. Dentro del ISO 20000, el servicio confeccin de informes e informacin al Comit se considera un proceso independiente. El Plan de Continuidad de Negocio no es obligatorio en ITIL. ITIL cubre la gestin financiera mientras que ISO 20000 cubre presupuestos y contabilidad. ISO 20000 incluye requisitos de Seguridad de la Informacin (ISO 27001). ITIL incluye requisitos de software, mientras que ISO 20000 cubre la configuracin del Sistema.

ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

En ISO 20000, el servicio se divide en 5 subprocesos:

a) Proceso de entrega. Este proceso se centra en: Gestin del nivel de servicio. Informacin del servicio suministrado. Continuidad del negocio y gestin de la disponibilidad. Financiacin y contabilidad para servicios TI. Gestin de capacidad. Gestin de seguridad de la informacin. b) Gestin de los servicios. Bsicamente sera una homologacin de los proveedores crticos del proceso suministrado. c) Procesos de control: Basado en gestin del cambio y gestin de la configuracin. Concretamente en gestin del cambio habra que definir: Integrado de Sistemas utilizados a nivel TI. Definicin de interfaces Identificacin, control y seguimiento de los procesos TI. Proporcionar la informacin necesaria para porder cambiar el proceso de gestin Gestionar el impacto en las configuraciones del servicio y de la infrastructura. Aseguramiento de la integridad de los sistemas a travs de los procedimientos. Definicin de la Baseline de la CI (configuracin del Item) antes del lanzamiento al entorno. De igual modo habra que definir la configuracin de la base datos. No hay que olvidar la gestin del cambio, basada en el aseguramiento sobre que los cambios estn: o Auditados o Aprobados o Implementados o Revisados En material de configuracin habra que definir la configuracin de la base de datos y la gestin del item.

ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

ISO 20000 - Sistemas de Gestin de Tecnologa de la Informacin (TI)

El alcance ha de estar claramente definido y documentado. d) Gestin del lanzamiento Identificando actividades de control y reporting. Nos deberamos hacer las siguientes preguntas cundo nos encontramos en esta etapa. Existe algn mecanismo de gestin y de control del lanzamiento de un baseline? Existe algn proceso de back-out ? Registran los proyectos con todo detalle? Se prueban todos los lanzamientos? Se informa sobre los incidentes producidos? Son analizados los lanzamientos fallidos o exitosos? e) Procesos de resolucin. La gestin de incidencias y de problemas son procesos separados, aunque estn estrechamente unidos. La gestin de incidencias ha de informar sobre la resolucin del servicio solicitado lo antes posible. Respecto a la gestin de problemas, se ha de: Responder al servicio requerido. Grabar todos los problemas identificados Documentar procedimientos de resolucin de problemas. Generar acciones preventivas. Tener un proceso definido de gestin de cambios con la finalidad de tener un histrico del problema. Revisar de la efectividad en la resolucin de un problema Registrar la acciones de mejora Bsicamente, estos sera los requisitos a considerar, por lo que se da a entender de la complejidad de este tipo de sistemas. En materia de auditoria de certificacin, por el momento, la entidades de acreditacin (ENAC, UKAS, RVA,) no poseen esquema de acreditacin por lo que, los certificados de ISO 20000 han de llevar el registro del ITSMF, lo cul, garantizar la fiabilidad del proceso de auditoria. El inters y la demanda de la normativa ISO 20000 crece de manera exponencial, por lo que nos encontramos, sin duda, ante una norma que dar mucho que hablar en el futuro.

Alejandro Garca Director Comercial BSI Espaa