NORMA ISO 20000

Las empresas buscan certificaciones ISO por dos motivos principales: garantizar sus procesos y servicios, y que
sus clientes reciben la mejor atención y servicios.
Este es el caso de la Norma ISO 20000, un estándar de calidad que garantiza que los sistemas de gestión y soporte
TI (Tecnologías de la Información) de una empresa siguen las mejores prácticas. Además, ISO 20000 destaca
entre otras certificaciones ISO, por la importancia que da a la satisfacción del cliente, siendo así, una certificación
que se adapta a las exigencias del mercado actual. 

¿Qué es la Norma ISO 20000?

Esta norma ha sido publicada por la Organización Internacional de

Normalización (ISO) y la Comisión Electrotécnica Internacional (ICE),
por lo que es aceptada en la mayoría de países del mundo. 
La norma ISO 20000 recoge un conjunto de procesos eficientes de gestión
sobre servicios TI, de aplicación, tanto en el ámbito interno de una
empresa, como en el externo. Se trata de una mejora y reorganización de
contenidos de la norma BS15000, dándole carácter internacional y
convirtiéndola en un estándar de calidad en servicios de gestión y soporte
TI. 
objetivo de la Norma ISO 20000 
El objetivo de la norma ISO es ofrecer a las empresas una certificación que garantiza que la metodología y buenas
prácticas están correctamente establecidas en sus procesos de gestión de la información. Al implantar ISO
20000 las empresas conseguirán una integración de sus procesos que incluye un sistema de mejora continuo en la
calidad de sus servicios, tanto a sus clientes como de forma interna.
Cómo se divide la norma ISO 20000 
La norma ISO 2000 está dividida en 8 bloques diferenciados, aunque los dos más utilizados son las denominadas parte
1 y parte 2.
 
Parte 1 - ISO 20000-1:2011 
Recoge un conjunto de especificaciones para la gestión eficiente del suministro de servicios de tecnologías de la
información. En esta parte se definen los requerimientos para ofrecer los servicios Ti con una calidad aceptable, el
diseño y transición de los servicios y los siguientes procesos: 
•Procesos de servicios. Todos aquellos procesos que tienen que ver con la entrega del servicio como disponibilidad,
capacidad, seguridad de la información y otros procesos de gestión de servicios. 
•Procesos de relaciones. Aquellos procesos relativos a las relaciones y comunicaciones tanto con el negocio como con
los suministradores. 
•Procesos de resolución. Aquellos procesos de resolución de problemas, incidencias y petición de servicio. 
•Procesos de control. Todos los procesos relacionados con la configuración, cambios y entrega y despliegue de los
servicios. 
Parte 2 - ISO 20000-2:2012 

Recoge una serie de buenas prácticas que son aceptadas por la industria en cuanto a la gestión
de servicio TI. Esta parte sirve de guía para la aplicación de gestión del servicio y es utilizado
para preparar a una empresa para obtener la certificación. 
 Qué empresas deben aplicar ISO 20000 

Esta certificación puede ser adoptada por todo tipo de empresas y

organizaciones, independientemente de su tamaño o localización.
Las empresas que ofrecen servicios IT tienen en la Norma ISO
20000 el estándar ideal para garantizar a sus clientes que sus servicios
cuentan con las mejores prácticas certificadas a nivel internacional.
Por eso, cada vez es más habitual que las Pymes se certifiquen en ISO
20000 para poder competir en el mercado actual. 

SERVICIOS TI
Cuando nos referimos a servicios TI nos estamos refiriendo a servicios cuya
provisión depende de las tecnologías de la información y que pueden ser
tanto Servicios a Clientes externos o servicios brindados a partes internas de
la organización y necesarios para el desarrollo de la actividad de su negocio
En el objetivo de mejorar la gestión de servicios TI ISO 20000 nos
proporciona
•Un conjunto de procesos de administración de servicios TI
•Un conjunto de buenas prácticas internacionales
Importancia ISO 20000 
Cada vez es mayor el número de empresas que ofrece servicios TI, por lo que la competencia también aumenta.
Cuando un cliente contrata a una empresa de servicios TI, el hecho de ver que dispone de la certificación ISO
20000 le garantiza que va a recibir unos servicios de calidad que siguen las mejores prácticas reconocidas a nivel
internacional.
Disponer de la certificación ISO 20000 otorga a la empresa una serie de beneficios entre los que podemos destacar: 

•Mejora la reputación. La certificación ISO 20000 es

un diferenciador dentro del sector TI porque
garantiza calidad en el servicio y en la atención al
cliente. 

•Aumenta la productividad. Al implantar ISO 20000 la

empresa optimiza sus procesos y servicios mejorando en
rapidez, reduciendo costes y mejorando la calidad, lo
que la hará mucho más productiva. 
•Garantiza cumplir con el nivel exigido.
Obtener ISO 20000 exige cumplir con una serie
de requisitos exigentes, por lo que las empresas
que se certifiquen garantizan calidad en sus
servicios. 

•Disminuye el coste. El servicio se optimiza

porque se utilizan procesos más simples y,
como resultado se gana en rapidez y
reducción de los recursos y tiempo
necesarios. 

•Dinamismo y rapidez. Los nuevos procesos

permiten adaptarse fácilmente a los cambios y
responder con mayor rapidez a las demandas.
Los servicios se agilizan, aumentando la habilidad y
la velocidad con los procesos que se realizan. 
•Ventajas ante la competencia. Todas las ventajas
comentadas consiguen que la empresa sea más competitiva y
que disponga de unas características diferenciadoras. 
Cómo obtener la certificación ISO 20000 
Esta certificación puede ser obtenida por empresas o personas. Las empresas deben ser evaluadas en la gestión de sus servicios TI por una empresa
acreditada, mientras que una persona debe superar un examen entre las distintas modalidades que se ofrecen (fundamentos ISO 20000, auditor
principal en ISO 20000 o implementador principal en ISO 20000). 

Las empresas que quieran obtener esta certificación deberán adecuar su sistema de gestión TI a las normas y buenas prácticas que se recogen en la
Parte 2 de la Norma ISO 20000. Para ello deberán trazar un plan, identificando cuáles son las necesidades en cuanto a mejoras de procesos y
servicios, lo que implica tomar decisiones estratégicas. 

Para cumplir con los requisitos necesarios y poder pasar el proceso de certificación ISO 20000 es fundamental que todos los miembros de la
empresa se impliquen con los objetivos y el proceso de cambio y mejora. Es probable que se necesite formación específica para el personal para
poder afrontar esta acreditación. 

La gestión y los distintos procesos, políticas y servicios deben recogerse en documentos escritos, detallando cada uno de ellos. 

Una vez se hayan implementado los cambios en la empresa, deberá realizarse una monitorización de los procesos y servicios para evaluar posibles
fallos o carencias. Esto permitirá corregirlos e implantar un sistema de control adecuado, antes de someterse a la evaluación para obtener la
acreditación ISO 20000, por parte de una empresa acreditada para ello. 

La NORMA ISO 20000 garantiza que los servicios y procesos que realiza una empresa de gestión de servicios TI son realizados bajo unas
condiciones de buenas prácticas, garantizando un nivel alto de calidad en los mismos. 

Las ventajas que otorga esta certificación a las empresas del sector TI, la convierten en un elemento diferenciador, proyectando una imagen de
profesionalidad, innovación y calidad. Utilizando la certificación ISO 20000 las empresas conseguirán ser más productivas y eficientes. 
ISO 20000 vs. ITIL

Existen muchos aspectos por los que la norma ISO 20000 e ITIL son muy similares, y con razón: la norma ISO ha
tomado muchos elementos de ITIL. 

Pero mientras que ITIL es un framework de buenas prácticas, ISO 20000 es una norma de ITSM. La primera sirve
principalmente para que las organizaciones presten servicios de alta calidad a sus clientes y alcancen sus objetivos
empresariales, mientras que la ISO 20000 es más bien una garantía para los clientes sobre el proceso empresarial de
la organización. 

Así pues, ITIL es un framework que las organizaciones pueden adoptar para organizar su gestión de servicios de IT
mientras obtienen una certificación ISO en beneficio de los clientes (y también del proveedor de servicios).  

Otra diferencia es que ITIL consiste en un conjunto de directrices para que las organizaciones ofrezcan valor a sus
clientes. Sin embargo, no obliga a la organización a seguir todos los aspectos del framework; los profesionales
pueden elegir las partes relevantes e ignorar el resto. En tanto con la ISO 20000, las organizaciones deben cumplir
todos los requisitos para seguir estando certificadas. 
Y, por supuesto, las organizaciones pueden certificarse con ISO
20000 pero no con ITIL. Mientras que los que sí tienen
posibilidad de certificarse como profesionales de ITIL son los
individuos. De cualquier manera, dado que las organizaciones
no cuentan con una certificación propia, no hay forma de
verificar si una compañía cumple con los lineamientos ITIL. 

Más allá de estas diferencias, no hay que perder de vista que

existen varias coincidencias entre los procesos de la ISO 20000
e ITIL. Por ejemplo, se pueden asignar muchas de las secciones
de la ISO a los procesos de ITIL. Y si sigues ITIL, te resultará
más fácil obtener la certificación ISO, ya que ITIL es
compatible con dicha acreditación. 
Conclusión

La ISO 20000 es la norma internacionalmente aceptada para ITSM. En la práctica, consiste en un

conjunto de requisitos para planificar, diseñar, gestionar y prestar servicios de IT.
Y aunque hay muchas cosas en común entre ITIL y este framework, su principal diferencia es que ISO
20000 no es un conjunto de directrices sino una norma, lo que significa que tendrás que cumplir todos
los requisitos para obtener la certificación.
Pero la ventaja es que la certificación le otorgará credibilidad a tu organización. Al mismo tiempo, te
abrirá las puertas a un grupo de clientes potenciales que exigen una certificación ISO 20000 a sus
proveedores.

Para obtener una certificación ISO 20000, no olvides lo siguiente:

•En primer lugar, tu organización debe estar de acuerdo, así que asegúrate de que entienden su
importancia.
•A continuación, tendrás que realizar un análisis de deficiencias y trabajar para cerrar esta brecha de no
conformidad entre los requisitos de la ISO y tus procesos actuales. 
•Y, por último, si el auditor te concede la certificación, tendrás que realizar auditorías anuales y obtener
la recertificación cada tres años.
 ISO 27005
La ISO/IEC 27005 proporciona directrices para el establecimiento de un enfoque sistemático de Gestión de
Riesgos de Seguridad de la Información el cual es necesario para identificar las necesidades organizacionales
con respecto a los requisitos de Seguridad de la Información para crear un sistema eficaz de gestión de la
seguridad de la información. Además, esta norma internacional es compatible con los conceptos de la ISO/IEC
27001 y está diseñada para ayudar a una implementación eficaz de la seguridad de la información basados en un
enfoque de gestión del riesgo.
 • Gestión de Riesgos en Tecnologías de la Información con ISO 27005

La gestión del riesgo es una actividad recurrente que se refiere al análisis, a la planificación, la ejecución,
el control y el seguimiento de todas las medidas implantadas y la política de seguridad que ha sido
impuesta.
La actualización del establecimiento, mantenimiento y mejora continua de un SGSI ofrecen una clara
indicación de que una organización está utilizando un enfoque sistemático para la identificación,
evaluación y gestión de riesgos de seguridad de la información.

• Identificación de riegos

Un evento solo es un riesgo si existe un grado de incertidumbre. El valor de un activo puede cambiar su

valor durante la ejecución de un proyecto, por experiencia esto es cierto pero ¿Cuánto puede cambiar?
No lo sabemos. Por lo tanto es un riesgo que debemos evitar en un proyecto pequeño. Debemos estar
seguros de identificar el riesgo en realidad y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar

una determinada aplicación de software en varias
sucursales de una organización, pero no todas las
oficinas poseen la misma capacidad de
almacenamiento o de las últimas actualizaciones
de sistemas operativos.
Ejemplos de riesgos en TI
•Aplicaciones en condiciones vulnerables
•Sistemas operativos, vulnerables y sin actualizaciones
•Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes
•Tecnologías obsoletas
•Mal rendimiento de la infraestructura TI
Evaluación de los riesgos
Es necesario establecer un vínculo entre los escenarios de riesgos IT y
el impacto empresarial que estaos generarían, para así comprender el
efecto de los eventos adversos que se pueden desencadenar.
La evaluación de riesgos se ejecuta en los puntos discretos de tiempo y
hasta que el rendimiento de la próxima evaluación proporciona una
visión temporal de los riesgos evaluados.
La evaluación de riesgos se realiza a menudo en más de una interación, la
primera es una evaluación de alto nivel para identificar los riesgos altos,
mientras que las interacciones posteriores detallan el análisis de los riesgos
principales y tolerables. Varios factores ayudan a seleccionar eventos con
cierto grado de riesgo:
•Probabilidad
•Consecuencias
•Ocurrencia
•Urgencia
•Maleabilidad
•Dependencia
•Proximidad