Dar respuesta a la revolución digital con la ISO/IEC 20000-1

La nueva versión de la ISO/IEC 20000-1 de sistemas de gestión de servicios de tecnologías de la información tiene en cuenta tendencias emergentes del mercado en la gestión de servicios como Cloud, Agile, DevOps o Servitización. La certificación según este estándar facilita a las organizaciones una entrega de servicios de TI alineados con las necesidades y objetivos del negocio, con calidad, seguridad y valor añadido para los clientes y stakeholders.

  • Facebook
  • Twitter
  • Pinterest
  • LinkedIn

Video

Claves de la nueva ISO/IEC 20000-1

Experiencia

Factor diferenciador y competitivo

Rocío Pérez
Gerente de Certificación y Servicio Regulado
Telefónica España
Jesús Francisco Muñoz
Oficial de Seguridad de la Información
Telefónica Chile

El potencial de la tecnología para el desarrollo de las sociedades está en el ADN de Telefónica. Y como una de las compañías de telecomunicaciones líderes en el mundo, mantenemos un desafío permanente para que nuestros procesos sean cada vez más eficientes y digitales.

Experiencia

Mejora continua en prestación de servicios TI

Teódulo Hernández Gómez-Escalonilla
Director de Calidad de Secure e-Solutions
GMV
Vocal del CTN 71/SC 7/GT 25
Gestión y buen gobierno de los servicios de TI

Cuando allá por 2005, en GMV conocimos de la existencia de una norma específica para la gestión de los Servicios TI no nos quedó ninguna duda de las posibilidades que su aplicación nos permitiría.

Opinión

La digitalización de las empresas y los servicios relacionados con las tecnologías de la  ...

Servicios TI de calidad

Mario Cortés
Decano
Colegio Oficial de Ingenieros Técnicos de Telecomunicaciones
(COITT)

La digitalización de las empresas y los servicios relacionados con las tecnologías de la información son imposibles de concebir sin la existencia de un mercado de las telecomunicaciones seguro.

Soluciones de AENOR para adaptarse a ISO 20000-1:2018

En detalle

Marta Allue
Coordinadora de TIC
Boris Delgado
Gerente de TIC
Carlos Manuel Fernández
Asesor Estratégico de TI
AENOR

En 2020 el 90 % de las organizaciones utilizarán plataformas y servicios TI en cloud; y solo el 30 % de estas organizaciones establecerán procesos/mecanismos para operar multicloud (cloud publica, híbrida o privada), según datos aportados por IDC. Además, itSMF incluye en su último informe de tendencias TIC 2019 otros aspectos que hay que tener en cuenta. Así, indica que el mercado de Gestión de Servicios de TI crecerá un 9 % en facturación anual en los próximos tres años, motivado por:

 

  • La difusión de la AIOps (Artificial Intelligence and Operations) es decir, el uso de Inteligencia Artificial en tareas de diseño del servicio y en el ámbito de las Operaciones de TIC (explotación/producción).
  • El crecimiento de Internet de las Cosas (IoT), ampliándose así el potencial de soluciones técnicas y servicios disponibles para el negocio pero donde habrá que focalizarse más también en la seguridad y gestión de los servicios que prestan.
  • El despliegue de estrategias multicloud.

 

Ante este marco digital, la dirección de las organizaciones debería considerar estas dos cuestiones:

 

  • ¿Son capaces los departamentos de Sistemas de Información de dar una respuesta ágil y a tiempo a las demandas y necesidades del negocio y de los stakeholders en la actual R-evolución digital?
  • ¿Los Sistemas de Información o los proyectos de Transformación Digital se ponen en marcha usando las mejores prácticas para conseguir los objetivos de negocio, con una inversión y coste adecuado en Tecnologías de la Información? .

 

El avance de las tecnologías en esta nueva era digital, los nuevos escenarios tecnológicos como SMAC (Social, Mobile, Analytics, Cloud), la Industria 4.0 (OT-Tecnologías de la Operación + IoT-Internet de las Cosas), la mejora de los sistemas de comunicación como 5G y el avance de los modelos de Inteligencia Artificial y Machine Learning, dirigidos por los datos -Data-Driven- y servicios disruptivos, como blockchain hace que surjan nuevas soluciones, productos y servicios en las organizaciones. Pero también nuevos riesgos, retos y cuestiones que necesitan de la adecuada atención, lo que obliga a estas organizaciones a adaptarse e innovar para dar respuesta a la demanda de clientes y usuarios cada vez más exigentes.

 

En la actual era de la Transformación Digital se requiere de un papel esencial de sus sistemas de información y de las Tecnologías de la Información y las Comunicaciones (TIC), donde las organizaciones hacen uso de estas tecnologías para mejorar sus procesos, ser más eficientes, innovar de forma sostenible en sus productos y servicios, y cumplir con los objetivos del negocio y sus clientes.

 

Para que todo esto sea posible de una forma realista, con éxito y aportando la confianza que esperan las organizaciones y la sociedad en la Transformación Digital, es obligatorio que dichos sistemas de información y las TIC dispongan de calidad, ciberseguridad y productividad esperada. El Modelo de Gobierno y Gestión de las TIC de AENOR (ver figura 1), del que forma parte la nueva versión del estándar/norma ISO 20000-1 de servicios TI, permite conseguir este reto y, además, que la organización oriente sus servicios de TI a los objetivos de negocio. De esta forma puede dar un servicio con la máxima calidad y seguridad, tanto a la propia organización, como a sus clientes y stakeholders, minimizando los riesgos de TI y considerando la mejora continua de sus procesos y servicios en esta era digital.

Figura 1. Modelo Dinámico de Gobierno y Gestión de las TIC de AENOR

Figura 1. Modelo Dinámico de Gobierno y Gestión de las TIC de AENOR

El modelo de AENOR

Han pasado 13 años desde que AENOR publicó por primera vez el Modelo de Gobierno y Gestión de las TIC basado en estándares ISO como una solución pragmática para los CIO (Chief Information Officer - Directores de Sistemas de Información) a los riesgos de TIC para las áreas de Desarrollo u Operaciones de un CPD-Centro de Proceso de Datos, ya sea en modo on-premise (interno/local) o en outsourcing (externalizado/cloud). Se diseñó como un modelo bottom-up, utilizando los estándares con sistema de gestión orientados a TIC considerando el análisis, gestión y mitigación de los riesgos de TIC en las organizaciones y el ciclo de mejora continua (PDCA-Plan, Do, Check, Act).

En este modelo se considera la Gestión de TIC compuesta de dos entornos DEVOPS (DEVelopment-OPerationS): servicios de desarrollo de software y servicios de TI. El área de Desarrollo de Software (DEV- software DEVelopment) está constituido principalmente por Ingeniería/servicios de Software - SPICE-ISO 33000/ISO 12207 que tiene como objetivo la calidad en los procesos de ingeniería del software, a través de niveles de madurez en sus procesos. Y el área de Operaciones/explotación (OPS - OPerationS) está constituido principalmente por la ISO 20000-1 – Sistema de Gestión de Servicios de TI), cuyo objetivo es que un proveedor de servicios de TI [CPD – on-premise (interno/local) u outsourcing (externalizado/cloud) proporcione servicios de TI con una calidad adecuada, cumpliendo con los acuerdos de nivel de servicio (SLA) con sus clientes y stakeholders a un coste apropiado y contemplando la ciberseguridad.

Figura 2. Servicio de TIC. On Premise (local) o Cloud (Outsourcing)

Figura 2. Servicio de TIC. On Premise (local) o Cloud (Outsourcing)

Bundle para servicios de TI en cloud

Bundle para servicios de TI en cloud

Adicionalmente a la ISO/IEC 20000-1 se puede incorporar la ISO/IEC TR 20000-9, que es una extensión por escenarios de los requisitos de la ISO 20000-1 para proveedores de servicios en cloud. La ISO/IEC TR 20000-9 proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros. Asimismo, considera la prestación de los servicios en cualquier tipo de cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service). Por tanto las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), en modo interno/local (on-premise) o externalizado/cloud (Outsourcing) permiten que la ISO 20000-1 junto con la ISO/IEC TR 20000-9 Information technology -- Service management -- Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud services aporten la herramienta o solución más adecuada para la provisión de servicios de TI de forma local o en cloud (ver figura 2).

Certificar un Sistema de Gestión de Servicios de TI de acuerdo con la ISO/IEC 20000-1 permite optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio

Novedades de la nueva ISO 20000-1

La principal novedad de la nueva versión de la Norma ISO 20000-1 es la incorporación al estándar de la estructura de alto nivel (HLS de ISO). Esto hace que su integración con otros sistemas de gestión, como la ISO/IEC 27001, ISO/IEC 22301 o ISO 9001 es más sencilla (ver tabla 1).

 

Además, se han tenido en cuenta las tendencias emergentes en la gestión de servicios, como son el Cloud, Agile – DevOps y la servitización; esto es, la adaptación de los servicios a los nuevos negocios. También se ha considerado la gestión de múltiples proveedores, ya sea por parte de un integrador de servicios interno o externo, así como la necesidad de determinar el valor de los servicios para los stakeholders y clientes. Por otra parte, hay cambios en la denominación de algunos conceptos, como “proveedor de servicio” por “organización” o Base de Datos de Configuración (CMDB) como “información de configuración”. Asimismo, se han separado los apartados que se combinaron previamente para los procesos de gestión de incidencias, de peticiones de servicio, de la continuidad de servicio, de la disponibilidad de servicio, de niveles de servicio, de catálogo de servicios, de la capacidad y de la demanda. Por último, se han simplificado determinados requisitos y la información documentada requerida, dejando sólo documentos clave del Sistema de Gestión.

Tabla 1. Estructura de alto nivel ISO (HLS) – Comparación versión 2011 vs 2018

Tabla 1. Estructura de alto nivel ISO (HLS) – Comparación versión 2011 vs 2018
Por otra parte, la International Acreditation Forum (IAF) ha establecido unos plazos de adaptación  ...

Por otra parte, la International Acreditation Forum (IAF) ha establecido unos plazos de adaptación a la nueva versión de 2018 de el estándar para las organizaciones ya certificadas en ISO/IEC 20000-1:2011. Así, dispondrán de tres años para llevar a cabo esta adaptación, esto es, hasta septiembre de 2021.

 

Los requisitos especificados en esta nueva versión de la ISO 20000-1 incluyen la planificación, diseño, transición, entrega y mejora de los servicios. Todo ello con el fin de cumplir los requisitos de servicio y ofrecer valor a los clientes internos o externos, sin perder de vista el catálogo de servicio, los SLA, la gestión de incidencias, cambios, entregas o los componentes de configuración (anteriormente denominados CMDB o base de datos de configuración).

Como ya se indicó anteriormente, el estándar sigue la estructura de alto nivel SL de ISO y su contenido se ha simplificado. La comparativa entre los apartados de la versión de 2011 y la de 2018 se puede ver en la tabla 1. De igual, en la figura 3 se contempla la estructura de apartados y procesos de la nueva ISO/IEC 20000-1.

Beneficios de implantar un SGSTI

La ISO/IEC 20000-1 es un commodity para las áreas de producción/explotación de TI, ya que es una metodología pragmática e industrializable. Entre los principales beneficios de su implantación y certificación con AENOR se pueden destacar los siguientes:

 

  • Proporcionar una adecuada gestión de la calidad y ciberseguridad del servicio de TI ofrecido.
  • Contemplar las nuevas tendencias como son Cloud, Agile-Devops, servitización, etc.
  • Maximizar la eficiencia del servicio de TI y reducir los riesgos asociados a los servicios de TI.
  • Reducir costes y aumentar la satisfacción del cliente y a los proveedores
  • Gestionar de forma adecuada múltiples proveedores, ya sean externos o internos; así como la entrega de valor para los stakeholders.
  • Visión clara de la capacidad de los departamentos de TI.
  • Minimizar el tiempo del ciclo de incidentes y cambios, y mejorar resultados en base a métricas.
  • Toma de decisiones en base a indicadores de negocio (KPI) y TI.
  • Aportar un valor añadido de confianza, mejorando su imagen para otras organizaciones y convirtiéndose en un factor de distinción frente a la competencia.

 

En definitiva, implantar y certificar un Sistema de Gestión de Servicios de TI de acuerdo con la Norma ISO/IEC 20000-1 permite hablar un lenguaje de Servicios de TI orientado a los objetivos del negocio, involucrando a los stakeholders, a la Alta Dirección y personal de las organizaciones; y optimizar recursos y costes, orientando los presupuestos de TI donde la organización tiene mayores riesgos según sus procesos de negocio, lo que permite un ahorro de costes en TIC superfluos.

La International Acreditation Forum (IAF) ha establecido un plazo de tres años para que las organizaciones certificadas con la ISO/IEC 20000-1 se adapten a la nueva versión, esto es, hasta septiembre de 2021

Figura 3. Sistema de Gestión de Servicios TI

Figura 3. Sistema de Gestión de Servicios TI

(Fuente: ISO/IEC 20000-1:2018)

Certificación de ISO 20000-1

El proceso de auditoría de certificación de la ISO 20000-1 es conforme con la Norma ISO 17021 e ISO 20000-6. Es decir, contempla las mismas directrices que cualquier otra auditoría de certificación, como las realizadas según las Normas ISO 27001, ISO 22301 e ISO 9001. AENOR, como entidad certificadora internacional y líder en las certificaciones TIC en España e Iberoamérica, realiza la evaluación de conformidad con respecto a estas normas ISO. Es decir, controla la correcta implantación de estos estándares considerando el tipo y tamaño de organización, su actividad y sus objetivos. La auditoría de certificación de AENOR es una herramienta que aporta a la Dirección seguridad y transparencia de la organización con respecto a la prestación de servicios de TIC, dado que AENOR les confirma años tras año a través de las auditorías de seguimiento, que están en el buen camino hacia el control y gestión de las TIC, internamente o para sus clientes, siempre considerando la mejora continua. De igual forma es una herramienta de seguimiento y comprobación de la eficacia y eficiencia de los Sistemas de Información y de su proyecto de transformación digital.

 

Por último, la previsión de futuro indica que la gestión de servicios de TI (explotación/producción) estará totalmente automatizada mediante la IA-Inteligencia Artificial. Lo óptimo antes de aplicar la IA en el área de producción, es tener implantados los procesos de ISO/IEC 20000-1 en las áreas de producción/explotación para que el motor de la IA pueda actuar de forma coherente en la toma de decisiones en el área TIC.

 

Actualmente, AENOR ha certificado según la Norma ISO 20000-1 a más de 150 organizaciones públicas y privadas en todo el mundo. Además, AENOR fue pionera en España en esta certificación concediendo también el certificado IQNet de reconocimiento internacional. De hecho, en el último informe ISO Survey, que muestra la evolución de la certificación de sistemas de gestión en el mundo, España se encuentra en el top ten por número de certificaciones en ISO 20000-1, a lo que AENOR contribuye con más del 50 % de estos certificados.

Video. Claves de la nueva ISO/IEC 20000-1

Boris Delgado explica las principales novedades del estándar

Experiencia

Factor diferenciador y competitivo

Rocío Pérez
Gerente de Certificación y Servicio Regulado
Telefónica España
Jesús Francisco Muñoz
Oficial de Seguridad de la Información
Telefónica Chile

El potencial de la tecnología para el desarrollo de las sociedades está en el ADN de Telefónica. Y como una de las compañías de telecomunicaciones líderes en el mundo, mantenemos un desafío permanente para que nuestros procesos sean cada vez más eficientes y digitales.

 

Para el Grupo Telefónica, la transformación digital que vivimos representa una oportunidad clave para utilizar la tecnología al servicio de las personas, de las empresas y del beneficio de la sociedad. Eso nos lleva a hacer un esfuerzo considerable en todo el proceso de certificación en el ámbito de Grupo, con especial foco en el ecosistema digital. Y es aquí donde la certificación ISO 20000-1, que nos acredita con los más altos estándares internacionales en la gestión de estos servicios TI, se vuelve relevante, al permitirnos adaptar nuestros procesos, sistemas e infraestructuras para una provisión eficaz de servicios TI, satisfaciendo los requisitos de negocio y de los clientes a través de la mejora continua.

 

Nuestro objetivo es proporcionar servicios de TI de máxima calidad tanto en el ámbito interno como a nuestros clientes, generando servicios más eficientes, reduciendo los costes y los riesgos asociados a los servicios, minimizando tiempos de gestión, y mejorando la satisfacción y confianza de los clientes. Certificarse en la ISO 20000-1 supone un factor diferenciador en un mercado tan competitivo como el actual. Establece un marco de mejores prácticas que fomenta la innovación y aporta a las organizaciones herramientas para responder mejor y de forma más ágil a los cambios, consiguiendo reducir los riesgos y un mayor cumplimiento de los objetivos de las organizaciones.

 

En España, Telefónica se comprometió desde el principio con la Norma ISO 20000-1, siendo pionera en su implementación y la primera certificada en España en junio de 2007 por AENOR. A partir de esa experiencia, se han ido sumando otras operaciones a nivel de Grupo, tanto en el ámbito nacional como internacional, entre ellas Movistar Chile, desde 2012.

Experiencia

Mejora continua en prestación de servicios TI

Teódulo Hernández Gómez-Escalonilla
Director de Calidad de Secure e-Solutions
GMV
Vocal del CTN 71/SC 7/GT 25
Gestión y buen gobierno de los servicios de TI

Cuando allá por 2005, en GMV conocimos de la existencia de una norma específica para la gestión de los Servicios TI no nos quedó ninguna duda de las posibilidades que su aplicación nos permitiría. Con un Sistema de Gestión de la Calidad (SGC) certificado desde 2002, que contemplaba entre otras las actividades de soporte y mantenimiento de las soluciones software y hardware desarrolladas, la ISO 20000-1 nos proporcionaba un marco ideal para el desarrollo de un conjunto específico de procesos plenamente orientados a la prestación de nuestros servicios TI y a cubrir las necesidades de los clientes.

 

La implementación del Sistema de Gestión de Servicios TI (SGSTI) y su inclusión en un Sistema de Gestión Integrado de Procesos nos permitió aprovechar las sinergias entre los diferentes Sistemas de Gestión existentes, aprovechar las partes comunes a todos ellos, favorecer la ejecución de proyectos mixtos SGC/SGSTI y disponer de unos procesos de seguridad de la información y de continuidad de negocio cubiertos, respectivamente, por los Sistemas de Gestión de la Seguridad de la Información (ISO 27001) y de la Continuidad de Negocio (ISO 22301).

 

Y para recorrer este camino, contar con AENOR como aliado era la opción natural. Su colaboración con nosotros desde el primer sistema de gestión que certificamos, su conocimiento de nuestra organización y del resto de sistemas implantados, la cualificación de sus auditores, el enfoque constructivo de las auditorías, etc. lo convertía en una apuesta segura.

 

Tras más de 10 años de aplicación de ISO 20000-1, constatamos que el estándar nos ha permitido disponer de un entorno común y optimizado para la ejecución de nuestros proyectos de servicios independientemente del tamaño y actividades ofertadas. Los equipos de proyecto se han aprovechado de la disponibilidad de una operativa sencilla y replicable, implicándose en su completitud, aplicación y mejora continua.

 

¿Y a futuro? La nueva ISO 20000-1:2018 abre nuevas perspectivas. Haber participado en su mejora, su alineación con el resto de normas certificables, la experiencia compartida con AENOR, etc. nos invita a corto plazo a migrar el SGSTI a la nueva versión, así como a ampliar el alcance de la certificación a varios de nuestros servicios actuales.

Opinión

Opinión

Servicios TI de calidad

Mario Cortés
Decano
Colegio Oficial de Ingenieros Técnicos de Telecomunicaciones
(COITT)

La digitalización de las empresas y los servicios relacionados con las tecnologías de la información son imposibles de concebir sin la existencia de un mercado de las telecomunicaciones seguro. Mientras que el mercado de las telecomunicaciones es un mercado regulado, en el que los procedimientos y las instalaciones deben cumplir con reglamentos que protejan a los usuarios y consumidores, ya sean personas o empresas, de posibles faltas de calidad e incluso de la seguridad en las comunicaciones, es necesario que el mercado de las tecnologías de la información se rija por normas que permitan salvaguardar la información que mueven día a día para el resto de los mercados como el financiero, eléctrico, comercial, etc. Por ello, la implantación de normas ISO, IEC y UNE es esencial para que los servicios de tecnologías de la información sean prestados de forma segura y con la calidad que la información en estos mercados y sus usuarios requieren.

 

Además, la certificación de la Norma ISO 20000 es esencial en aquellas organizaciones cuyo entorno requiera gestionar de forma controlada todos los servicios relacionados con los sistemas de gestión y soporte TI, siendo necesario operar mediante unos procesos que ofrezcan la consecución de un servicio efectivo y seguro.

 

Los Ingenieros Técnicos en Telecomunicaciones somos el colectivo, que por su formación y conocimiento del mercado de las telecomunicaciones y de las tecnologías de la información, se encuentra en primera línea a la hora de aportar su profesionalidad y experiencia, tanto en el ámbito normativo como de gestión, en la aplicación de estas normas para el desarrollo en la digitalización de las empresas en este país.

Números anteriores

Consulta números anteriores en esta sección, los números a partir de marzo de 2018 están disponibles en versión Online y todos están disponibles para descarga en PDF. Utiliza los cursores o desplace las revistas para acceder a los contenidos.
Utilizamos cookies propias y de terceros con finalidades analíticas y para mostrarte publicidad relacionada con tus preferencias a partir de tus hábitos de navegación y tu perfil. Puedes configurar o rechazar las cookies haciendo click en “Configuración de cookies”. También puedes aceptar todas las cookies pulsando el botón “Aceptar todas las cookies”. Para más información puedes visitar nuestra Política de Cookies.