¿Qué es ISO 20000?

ISO/IEC 20000 es el estándar para la Calidad de los Servicios TI. Esta norma se usa para gestionar y medir uno o más servicios de tecnología dentro de una organización.

marco referencia iso20000ISO 20000 se basa en un conjunto de Buenas Prácticas llamado ITIL, que se ha hecho muy popular por ayudar a los departamentos de TI a organizarse con procesos para integrar la tecnología en sus empresas. A inicios de 2001 dichas empresas buscaron la forma de medir el esfuerzo y validar el resultado de los procesos y fue así como BSI creó un método con esta finalidad, dando origen a la Norma Británica BS-15000.

 

A partir de ahí ISO 20000 se ha desarrollado y renovado, y a su vez se ha ido alineando a ITIL, y viceversa. El siguiente es un resumen de lo que ha ocurrido en los distintos años:

  • 2000: se publica ITIL versión 2
  • 2003: se publica BS-15000
  • 2004: se envía BS-15000 a ISO para el proceso de fast track
  • 2005: se publica ISO 20000. itSMF UK crea un esquema de certificación para empresas y personas
  • 2007: se publica ITIL versión 3
  • 2009: se inicia una actualización de ISO 20000
  • 2011: se publica la actualización de la Norma ISO/IEC 20000

Es importante entender que ISO 20000 no certifica una empresa sino un servicio de los que el departamento de TI entrega a la empresa.

ISO 20000 tiene varias partes y son las siguientes:

  • ISO/IEC 20000-1: es la parte certificable de la norma, contiene los requisitos del Sistema de Gestión
  • ISO/IEC 20000-2: es el Código de Prácticas, algo así como la explicación de la parte 1.
  • ISO/IEC 20000-3: es una guía para definir el alcance
  • ISO/IEC 20000-4: contiene un modelo de referencia para los procesos
  • ISO/IEC 20000-5: es un ejemplo de un plan de implantación
  • ISO/IEC 20000-7: dedicado a entender cómo trabajar con servicios Cloud
  • ISO/IEC 20000-10: contiene conceptos, términos y definiciones
  • ISO/IEC 20000-11: guías para relacionar la norma con ITIL y otros marcos de referencia

¿Qué tipos de empresas necesitan ISO 20000?

La respuesta es todas las que puedan identificar que las tecnologías son un riesgo para su organización. Me explico mejor. Las empresas hacen auditorías financieras porque las finanzas son un riesgo, si no se controlan pueden llevar la empresa incluso al cierre o a un riesgo mayor. Para muchas organizaciones las tecnologías tienen la misma situación, si fallan o si abren una brecha de seguridad la empresa puede verse comprometida, piensa por ejemplo en un banco y el portal web, o un periódico en esta época.

Empresas de tecnología: el primer grupo de interés son las empresas que venden servicios de tecnología, certificar sus servicios con la ISO 20000 debería ser un requisito indispensable para demostrar su capacidad.

Empresas de misión crítica: esta es mi forma de referirme a organizaciones donde un error es clave o muy caro. Por ejemplo hospitales, bancos, aseguradoras, generadoras eléctricas, operadoras de telefonía y datos, etc. Estas organizaciones pagan muy caro los errores y lo mejor sería minimizar el riesgo certificando los servicios críticos de TI o los Servicios de TI en los que se soportan los procesos críticos de la empresa.

Gobierno: las agencias de gobierno, ministerios y otros deberían asegurarse de cuidar los datos y los servicios al ciudadano. En su mayoría son organizaciones de misión crítica puesto que los datos que gestionan son de gran sensibilidad y los errores pueden hundir la misma economía de un país.

Multinacionales: uno de los retos más importantes de las empresas que tienen oficinas en muchos países es mantener la estandarización de lo que hacen. ISO 20000 e ITIL son una excelente respuesta para ayudar a TI en esta tarea.

Empresas en general que han hecho una inversión importante en Tecnología y que están buscando certificar su inversión y asegurarse (además de enseñarlo en el resto de la organización) de que las inversiones hechas en TI han sido las correctas.

===== incluido el 22 de noviembre, 2012 =====

Santi Cots ha tenido la amabilidad de enviarme un mensaje privado en referencia a la frase que escribí “ISO 20000 no certifica una empresa sino un servicio”. Tiene razón en que necesita mejor aclaración:

  1. Cuando una empresa decide que quiere auditarse con el objetivo de certificarse, acuerda con el auditor el alcance de la certificación. En este caso el alcance es uno o más servicios
  2. Para conocer si el servicio cumple con los requisitos, el auditor audita basado en el Sistema de Gestión, en realidad no lo hace contratando o probando el servicio, es probable queinformación de un certificado ISO 20000 ni necesite ver el servicio como tal.
  3. El certificado se entrega a nombre de una empresa, pero haciendo referencia al alcance y al sistema de Gestión. En otros casos también se dice “con vista en el Catálogo de Servicios”. Lo que sí es importante es recordar que cuando una empresa consigue el certificado no significa que todo lo que hace esté cubierto. Una empresa puede tener servicios gestionados y otros servicios no gestionados o incluso con otro sistema de gestión.
  4. En la imagen se puede apreciar cómo se describe en la web que muestra los registros de organizaciones certificadas ISO 20000 que mantiene en conjunto APMG e itSMF Internacional. Si le das clic a la imagen se amplía, si quieres ir a la web oficial dale clic aquí.

Comentarios

  1. Según las noticias frescas del pasado congreso #Vision12, la parte de la norma dedicada al cloud que iba a ser 20000-7 cambiará de numeración y probablemente pase a ser ISO 20000-9

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Notificaciones Dehú ¿real o falsa? -Error de Ciberseguridad

El clavo que sobresale siempre recibe un martillazo

La diferencia entre Suministrador, Proveedor y Partner