Tercera edición de ISO 20000-1 en pista de rodadura

Si en su organización se emplean Tecnologías de la Información como soporte de los procesos de negocio, con toda seguridad habrá oído hablar del principal Sistema de Gestión que regula su “vida y hacienda”: la norma ISO/IEC 20000 para la gestión de servicios de Tecnologías de la Información. Y si difícil es imaginar una corporación en la que no se utilicen dichas tecnologías, absolutamente asombroso resultaría ignorar la naturaleza vital y dinámica de cualquier marco de gestión: 2018 es el año previsto para la publicación de la tercera edición de la norma.

Bajo el paraguas de la norma ISO 9001, de Sistemas de Gestión de la Calidad, e integrado con otros sistemas de gestión, como el de Seguridad de la Información (ISO/IEC 27001) o el de Continuidad de Negocio (ISO 22301), ISO 20000-1 define un amplio catálogo de requisitos para un desempeño eficaz y eficiente de las Tecnologías de la Información que, además, debe ser capaz de seguir el vertiginoso ritmo de unos procesos de negocio cada vez más ágiles y digitalizados. La vigente versión fue publicada en 2011 y desde hace meses tanto los editores de la norma como los miembros de los diferentes organismos nacionales de normalización (AENOR/UNE en el caso de España) vienen trabajando en su actualización.

Cabe recordar que, precisamente un año más tarde, en 2012, ISO establecía que toda nueva edición de un estándar para un sistema de gestión debería adecuarse a una estructura de alto nivel común definida en el Anexo SL de ISO; es decir, el índice y, consecuentemente, parte del contenido, debían unificarse. De este modo, se favorece la comprensión de los estándares y su aplicación conjunta e integrada. Por lo tanto, éste era un ejercicio de alineamiento y convergencia pendiente para el Sistema de Gestión de Servicios ISO/IEC 20000-1.

Ya en 2015 el Grupo de Trabajo internacional ISO/IEC JTC1 SC40 WG2 inició sus trabajos bajo la dirección de la editora del estándar, Lynda Cooper, quien, a finales del pasado mes de enero, ha sometido al procedimiento de votación internacional el primer borrador “committee draft” dejando atrás tres borradores preliminares; en él se trazan las líneas maestras de lo que será la nueva edición de esta norma.

La participación de España, a través de su comité espejo, el CTN 71/SC 7/GT 25 de la Asociación Española de Normalización (UNE, desde el 1 de enero de 2017), está siendo especialmente activa. De hecho, más del 30% de los comentarios técnicos aportados hasta la fecha proceden de España, superando a países cuya contribución es habitualmente sobresaliente, como Reino Unido, Australia, Estados Unidos o Japón.

Entre las principales novedades que anticipa este borrador se encuentran las siguientes:

El proceso de gestión de niveles de servicio se dividirá en dos: gestión del catálogo de servicios y gestión de niveles de servicio. También se separan en dos, gestión de la disponibilidad y gestión de la continuidad de servicios o gestión de incidencias y peticiones de servicio. Se añaden procesos nuevos como gestión de activos, la gestión de la demanda o la gestión del conocimiento. Sin embargo, el nuevo estándar hace énfasis en que la organización por procesos es a nivel de requisitos que se han de cumplir. El número de procesos que efectivamente se implementen en cada organización pueden variar, siempre y cuando se pueda evidenciar cumplimiento de todos los requisitos.

Se elimina la necesidad de tener planes de disponibilidad o capacidad, aunque se mantiene el plan de continuidad y plan de gestión de servicios. Eso no quiere decir que no haya que planificar la disponibilidad o la capacidad, pero deja de ser obligatorio tener un documento específico para cada plan.

Los requisitos de muchos procesos se actualizan y clarifican para asegurar su aplicación en paradigmas actuales de computación como cloud computing o sourcing. También se mejora la redacción de algunos requisitos que resultaban confusos.

Existen otro tipo de cambios, derivados de la adaptación al anexo SL de ISO que, aunque puedan parecer menores, están teniendo cierto impacto. Es el caso de tener que sustituir “proveedor de servicio” por “organización”, añadir nuevos requisitos sobre el contexto del sistema de gestión o hacer mayor énfasis en la gestión de objetivos.

El proceso formal de votación será objeto de revisión en la próxima reunión internacional prevista en Okayama (Japón) para el próximo mes de junio.

Sin duda, la nueva edición de la norma aportará una mejora en el alineamiento de este sistema de gestión de servicios con otros marcos de referencia ampliamente reconocidos y, por ende, implicará un aumento de la integración y del protagonismo de las Tecnologías de la Información en unos procesos de negocio que necesitan de ellas como elemento dinamizador y diferencial.

Jesús Gómez Ruedas Oficial del Ejército focalizado en la Seguridad de la Información y las Tecnologías de la Información, en el ámbito del Ministerio de Defensa. Miembro de AENOR CTN71/SC7/GT25 "Gestión y buen gobierno de TI". Madrid, España.

Diego Berea Cabaleiro Es el único miembro español del equipo editorial de la ISO 20000 en ISO/IEC JTC1 SC40. Es socio y director de Ozona Consulting desde el año 2002, donde realiza actividades de consultoría y auditoría en ITIL, ISO 20000, ISO 27001 e ISO 22301. Santiago, España.