Guia Rapida ISO 20000

8/2/2019 Guia Rapida ISO 20000

1/52

Las respuestas quesiempre quisiste

conocer sobre

ISO 20000


2/52

2


3/52

3

Gua ISO 20000

Realizado por el Grupo de Trabajo Difusin ISO 20000

del itSMF Espaa.

Septiembre 2008 - Versin 1

Autor : Juan Jos Carpintero

Co-Autores :

Julio Ballesteros

Javier Benito

Manuel Daz de la Fuente

Juan Jos Figueiras

Francisco Gil

Orlando Pereda

Alejandro Prez

Sergio Ribes

Marlon Molina

Dibujos : Juan Jos Carpintero


4/52

4

Indice

Prlogo ................................................................................................ 6 Qu es ISO 20000? .............................................................................. 7 Cules son los procesos definidos de ISO 20000? .............................. 8 Para qu sirve ISO 20000? ................................................................ 10 Dnde se consigue la ISO 20000? ..................................................... 12 Qu beneficios me puede aportar ISO 20000? ................................ 14 Quin puede ayudarnos con el proceso de certificacin? ............... 15 La empresa que audite nuestro sistema de gestin, debe estar

acreditada? ......................................................................................... 18 Para qu sirve un esquema de certificacin? ................................... 20 Hay que pasar controles, una vez obtenida la certificacin ISO

20000? ................................................................................................ 22

Me puede ayudar en algo tener un certificado ISO 9000? ............... 24 Si ya tengo ISO 9000, para qu necesito ISO 20000? ....................... 25 Cmo puedo demostrar que cumplo con la norma ISO 20000? ...... 26 Qu evidencias y registros necesitamos tener en nuestro sistema de

gestin? .............................................................................................. 27

Ya estoy con ITIL, es necesario dar el salto a ISO 20000? ................ 30 Es importante seguir el modelo ITIL para obtener ISO 20000? ........ 31 Es necesario certificar a nuestros equipos en ITIL para poder obtener

ISO 20000? .......................................................................................... 34

Si ya soy consultor de ITIL, qu debo hacer para poder darconsultora en ISO 20000? .................................................................. 36

Como organizacin TI que busca certificarse en ISO 20000, quayuda externa puedo buscar? ............................................................ 37

Es necesario certificarse en los 13 procesos de ISO 20000, y susrequerimientos? ................................................................................. 38

Qu diferencia a ISO 20000 de los dems estndares? ................... 40 Tengo que hacer un cambio radical en mi compaa? ..................... 41 Es necesario certificar toda la organizacin de TI en ISO 20000? .... 42


5/52


6/52

6

Prlogo

Esta gua tiene como objetivo responder a unaserie de preguntas que todos nos hacemos

sobre ISO 20000.

El lenguaje que se ha utilizado est pensadopara que cualquiera pueda entender las

respuestas, evitando en lo posible los

tecnicismos.

El grupo que ha trabajado en la construccin deesta gua ha querido darle un punto de humor,para que su lectura sea del agrado de todos.


7/52

7

Sistema de Gestin Servicios TI (SGSTI)

Planificacin e implementacin de la gestin del servicio (PDCA)

Planificacin e implementacin de servicios, nuevos o modificados

Procesos de Provisin de Servicio

Procesos de control

Proceso deEntrega

Procesos deResolucin

Procesos deRelaciones

Sistema de Gestin Servicios TI (SGSTI)

Planificacin e implementacin de la gestin del servicio (PDCA)

Planificacin e implementacin de servicios, nuevos o modificados

Procesos de Provisin de Servicio

Procesos de control

Proceso deEntrega

Procesos deResolucin

Procesos deRelaciones

Qu es ISO 20000? ISO 20000 es un estndar internacional para

proporcionar servicios TI de calidad, para los

clientes de una determinada organizacin,

estando enfocado a empresas proveedoras

de servicios TI.

ISO 20000 surge de la norma britnicaBS15000, que a su vez, est relacionado con

ITIL.

ISO 20000 consta de 13 procesos definidos. Un proceso de planificacin e

implementacin de servicios

Requisitos de un sistema de gestin. Ciclo de mejora continua (PDCA).


8/52

8

Cules son los procesos definidos de

ISO 20000? (I) Procesos de provisin del servicio.

Gestin de la capacidad. Gestin de la continuidad y

disponibilidad del servicio.

Gestin del nivel de servicio. Informacin del servicio.

Gestin de la seguridad de lainformacin.

Elaboracin de presupuestos ycontabilidad de los servicios de TI.

Procesos de Control. Gestin de la Configuracin.

Gestin del Cambio.


9/52

9

Cules son los procesos definidos de

ISO 20000? (II) Proceso de entrega.

Gestin de la entrega. Procesos de resolucin.

Gestin de incidencias. Gestin de problemas.

Procesos de relaciones.

Gestin de relaciones con el negocio. Gestin de proveedores.

Todo ello sin olvidar el resto de requisitoscomentados anteriormente.


10/52

10

Para qu sirve ISO 20000? (I) Entre otros propsitos, sirve para:

Conseguir una orientacin efectiva alcliente.

Integrar los diferentes procesos de laorganizacin evitando que funcionen

de manera aislada o descoordinada.

Conseguir la calidad de los servicios yla adecuacin a las necesidades reales

de los clientes.

Gestionar el servicio teniendo encuenta toda la cadena de valor (de

extremo a extremo).

Conseguir tener un sistema de mejoracontinua.


11/52

11

Para qu sirve ISO 20000? (II) Las organizaciones mejorarn su

competitividad, reduciendo riesgos, costes y

el time-to market de nuevos productos, a

la vez que mejoran su calidad en el servicio

de TI.

Las organizaciones certificadas podrndemostrar la calidad de su gestin en la

provisin de servicios de TI:

Las organizaciones internas de cara ala propia organizacin.

Las organizaciones externas, anteotras empresas que busquen

externalizar servicios.


12/52

12

Dnde se consigue la ISO 20000? La pregunta no debe ser Dnde?, sino

Cmo?

El proceso de obtencin de ISO 20000necesita seguir unos pasos establecidos.

Definir el alcance. Nombrar un Responsable. Documentar y cumplir con todos los

procesos y requerimientos

Tener evidencias de la gestin de losmismos.

Conseguir una ISO 20000 lleva entre 12 y 24meses, dependiendo del tamao de la

empresa, y el alcance definido.

Conseguir ISO 20000 cuesta tiempo,esfuerzo y dinero, pero merece la pena

estar entre aquellas empresas que

consiguen este sello de calidad de la Gestin

de Servicios de TI.


13/52

13


14/52

14

Qu beneficios me puede aportar ISO

20000 (I)? ISO 20000 proporciona a las empresas quela implantan una sistemtica para gestionar

correctamente los servicios TI.

A nivel operativo, se consigue mayoreficacia y eficiencia.

A nivel de los clientes, ISO 20000 es unreferente para recibir una prestacin deservicios TI de calidad y acorde a sus

necesidades y expectativas.

A nivel estratgico, una empresa certificadaen ISO 20000 significa que trabaja acorde a

unos estndares conocidos y aceptados

globalmente.


15/52

15

Qu beneficios me puede aportar ISO

20000 (II)? Desde el punto de vista empresarial lacertificacin en ISO 20000 significa una

fuente potencial de nuevos clientes que

estn buscando empresas con niveles de

calidad fiables.

Puede significar la entrada en mercadosglobales, ya que ISO 20000 es ampliamentereconocida a nivel internacional.


16/52

16

Quin puede ayudarnos con el proceso

de certificacin? Hoy en da hay muchos consultores conexperiencia en ITIL que pueden ayudarnos. Hay que huir de aquellos que digan que

tienen mucha experiencia en ISO 20000,

puesto que es una norma demasiado nueva

como para que nadie tenga mucha

experiencia. Es aconsejable que los consultores que nos

atiendan estn certificados en ITIL, y que

tengan experiencia en otras certificaciones

ISO, (ISO 27001, ISO 9000 en entornos TI).

En cualquier caso, que nadie nos abrumecon demasiadas siglas.


17/52

17


18/52

18

La empresa que audite nuestro sistema

de gestin, debe estar acreditada? Por supuesto. Las empresas auditoras, son a

su vez auditadas y acreditadas por un

organismo externo.

En nuestro pas ese organismo es la ENAC. Slo en las primeras certificaciones puede

haber excepciones, hasta que se define elesquema de certificacin.

Conseguir una ISO 20000 sin el sello deENAC, tiene poco valor (aunque la realidad

dice que al menos hacen falta dos aos para

conseguir las primeras certificaciones

acreditadas por ENAC). Una vez realizadas las primeras auditoras,

ser la ENAC quien audite y certifique el

modelo.


19/52

19


20/52

20

Para qu sirve un esquema de

certificacin? Un esquema de certificacin nos permitetener una visin nica de algo. Si hablamos de ISO 20000 nos imaginamos

una buena gestin de servicios con un

sistema de gestin, 13 procesos, un sistema

de gestin, PDCA, planificacin e

implementacin de servicios, evidenciasclaras de los procedimientos, un alcance

establecido, etc.

Sin esquema de certificacin, cada empresacertificadora podra utilizar sus mtodos

propios para realizar la auditora, y el

esfuerzo, y la calidad intrnseca que tieneISO 20000 podran verse en entredicho.

Imaginen como sera un mvil de ltimageneracin, sin un esquema de certificacin

claro.


21/52

21


22/52

22

Hay que pasar controles, una vez

obtenida la certificacin ISO 20000? Por supuesto. La obtencin de lacertificacin ISO 20000, es el principio de

una nueva fase, no el final.

ISO 20000 contempla en sus requisitos lamejora continua para que los procesos de

gestin evolucionen en eficiencia y se

ajusten a las necesidades reales de laorganizacin. Por lo tanto es necesario

registrar las evidencias necesarias para

poder demostrar su cumplimiento.

ISO 20000 no es un sello en la pared, es laforma de trabajo diaria de TI, por lo que hay

que mantenerla viva y mejorarla en funcinde las necesidades de la organizacin.

Hay que realizar controles anuales y hay quere-certificarse cada 3 aos.


23/52

23


24/52

24

Me puede ayudar en algo tener un

certificado ISO 9000? S, hay procesos de ISO 20000 que son muysimilares a ISO 9000, como son los de

Responsabilidades de la Direccin, Control

de la Documentacin, Competencia y

Formacin, Auditoras Internas, Medicin y

Mejora.

Desde el punto de vista documental puedenaprovecharse los mismos procedimientos

para ambos sistemas de gestin; es casi una

obligacin, a fin de cuentas ambos estn

basados en un modelo de procesos

orientado a la calidad.

Hay que tener cuidado con el alcance, yaque si no es el mismo para un sistema y otro

habr que hacer ciertas adaptaciones.


25/52

25

Si ya tengo ISO 9000, para qu necesito

ISO 20000? ISO 9000 es usado por distintasorganizaciones en diferentes sectores, y

aporta un valor aadido e las relaciones

comerciales, mientras que ISO 20000 es una

certificacin especfica de TI.

Aunque hay reas que pueden solaparseentre ambas normas, ISO 20000 se enfocarslo en los procesos de gestin de los

servicios TI, mientras que ISO 9000 abarcar

todos los procesos de la organizacin.

Si el principal propsito de una organizacinson los servicios de TI, tendra todo el

sentido plantearse conseguir la certificacinISO 20000.


26/52

26

Cmo puedo demostrar que cumplo

con la norma ISO 20000? El mejor modo de demostrarlo es realizaruna auditora externa a travs de un

organismo de certificacin acreditado.

Su evaluacin independiente e imparcial, esrealizada por auditores certificados en la

gestin del Servicio de TI, que garantizarn

el cumplimiento. Si la auditora tiene xito se conseguir la

certificacin, y obtendr el logo

correspondiente.

La certificacin garantiza que laorganizacin TI tiene implantados y utiliza

los controles y procedimientos adecuadospara dar un servicio de calidad.


27/52

27

Qu evidencias y registros necesitamos

tener en nuestro sistema de gestin? (I) Una vez que obtengamos la ISO 20000,debemos realizar controles peridicos y

guardar evidencias y registros de los

mismos.

Es importante que seamos autocrticos a lahora de realizar los controles.

Cuando el auditor tenga que volver paranuestro proceso de re-certificacin,

esperar encontrar evidencias claras de los

controles realizados.

Las evidencias y registros deben sernos deutilidad para nuestro trabajo diario y para la

mejora continua, y no un trabajo extraque tenemos que hacer, cara al auditor.


28/52

28

Qu evidencias y registros necesitamos

tener en nuestro sistema de gestin?(II) Debemos crear una figura interna eindependiente, que sea el responsable de

realizar esos controles con la misma

exigencia que si fuera un auditor externo.

Las evidencias se generan comoconsecuencia del funcionamiento de los

procesos y requerimientos de la norma, enel da a da.

Como ejemplos de evidencias con los quedemostrar que cumplimos con los requisitos

de la norma podemos mencionar:

Un incidente registrado.

Un plan de capacidad. Un acuerdo de nivel de servicio.


29/52

29


30/52

30

Ya estoy con ITIL, es necesario dar el

salto a ISO 20000? No necesariamente. Si la empresa obtienelos resultados esperados una vez

implementados los procesos de ITIL, no es

necesario el paso a ISO 20000, a menos que

existan motivos para ello.

La diferencia con respecto a ITIL es que ISO20000 ha sido desarrollada para que losproveedores de TI, puedan tener una

certificacin, por una tercera parte

independiente, que avale que est

realizando la gestin de sus servicios de TI

de acuerdo a esta norma internacional.

ISO 20000 certifica organizaciones, mientrasque ITIL certifica slo a las personas.


31/52

31

Es importante seguir el modelo ITIL

para obtener ISO 20000? (I) Tanto ISO 20000 como ITIL estn alineados,cada uno en su mbito de actuacin, por lo

que ITIL puede ser muy til a la hora de

implantar los requisitos de la norma.

ITIL nos dice que tenemos que ADOPTAR elmodelo como fuente de buenas prcticas,

pero tambin que debemos ADAPTAR susbuenas prcticas a la realidad de nuestra

empresa.

No hay por qu seguir al pie de la letra susindicaciones, sino extraer todo aquello que

nos ayude a mejorar.


32/52

32

Es importante seguir el modelo ITIL para

obtener ISO 20000? (II) ISO 20000, al igual que ocurre con ITIL, debeadecuarse a nosotros, aunque para obtener

la certificacin en ISO 20000 tendremos que

demostrar que nuestro sistema cumple con

los requisitos de la norma.

Hay que tener documentados losprocedimientos de todos y cada uno de losprocesos, para poder obtener ISO 20000.

Tener ITIL en nuestro horizonte, es sin lugara dudas una ayuda importante para alcanzar

ISO 20000.


33/52

33


34/52


35/52

35


36/52

36

Si ya soy consultor de ITIL, qu debo

hacer para poder dar consultora en ISO20000?

Debera certificarse como consultor de ISO20000.

Si adems de estar certificado en ITIL,tambin est certificado como consultor de

otra norma ISO, el proceso ser mssencillo.

La certificacin ISO 20000 garantiza losconocimientos para poder asesorar a otras

empresas en su implantacin.


37/52

37

Como organizacin TI que busca

certificarse en ISO 20000, qu ayuda

externa puedo buscar? Hay un nmero importante de empresas

que han certificado a sus consultores para

que nos puedan aconsejar en como

conseguir este objetivo, aunque an no

haya una gran experiencia en el mercado,

dado que la norma es de reciente creacin. Existen tambin algunos documentos de

evaluacin, que nos permitirn conocer

como estamos de alineados con respecto a

la norma.

En un futuro prximo la propia norma ISO20000 va a facilitar diferentes herramientasque ayudarn a conocer como estamos

alineados con los requerimientos de la

norma, y como evolucionar hacia la

certificacin.


38/52

38

Es necesario certificarse en los 13

procesos de ISO 20000, y sus

requerimientos? S, es necesario. Nosotros podemos definir el alcance, en el

que se basar nuestra certificacin, pero

tendremos que cumplir con los 13 procesos

y requerimientos de la norma.

El alcance que definamos, tiene que tenersuficiente entidad, como para embarcarnos

en un proceso de certificacin de ISO 20000,

que nos acreditar en la Gestin de

Servicios de TI.

Algunos procesos pueden estarexternalizados, pero debern cumplirigualmente la norma.

Un consultor nos ayudar en este paso dedefinicin del alcance.


39/52

39


40/52

40

Qu diferencia a ISO 20000 de los

dems estndares? ISO 20000 es el primer modelo de calidadcertificable para la gestin de servicios de

TI.

ISO 20000 es el nico estndar basado enITIL, por lo que ser ms fcil de adaptar

para las organizaciones que ya conozcan

este modelo. Otros estndares o marcos de referencia

conocidos son MOF, COBIT, CMMI, ISO

9000, ISO 27000, 6 Sigma, EFQM

Cuando se implanta ms de un estndar,puede haber reas comunes que se solapen.

Suelen ser las de gestin de la calidad yauditora.

Existe documentacin donde se detalla lasreas de solapamiento entre los diferentes

estndares, para aquellas organizaciones

que quieran convivir con ms de un

estndar.


41/52

41

Tengo que hacer un cambio radical en

mi compaa? No necesariamente, aunque podra darse elcaso para empresas muy desalineadas con

lo que requiere la norma.

En general, se puede abordar partiendo delenfoque de una transformacin o

adaptacin paulatina, con una doble

dimensin: En aquellos procesos y

requerimientos que requiere la

norma y que ya existen en la

empresa, adaptndolos y

mejorndolos para que cumplan con

ella. En aquellos procesos que requiere la

norma y que an no estn presentes

en la empresa, planificando su

implementacin.


42/52

42

Es necesario certificar toda la

organizacin de TI en ISO 20000? No. No es necesario certificar todos losservicios prestados por TI. Debemos definir

un alcance que sea de suficiente entidad,

pero no tiene por qu incluir a toda la

organizacin de TI.

Implantar el modelo ISO 20000 es largo(entre 12 y 24 meses), pero si queremosincluir toda la organizacin, podramos estar

hablando de un proyecto de 3 aos o ms.

Es conveniente definir el alcance idneo,que nos permita acreditar nuestra calidad

en los servicios de TI, sin incluir otras reas

que quizs no tengan una fuerte relacincon dichos servicios.

Un consultor nos ayudar en este paso dedefinicin del alcance.


43/52

43


44/52

44

Es importante seguir la metodologa

PDCA en un proceso de obtencin de ISO20000?

La metodologa PDCA es la base de todoproceso de certificacin ISO.

Forma parte de la mejora continua que nosasegura que los procedimientos estn vivos

y se siguen habitualmente. Nos permite encontrar puntos de mejora

que garantizan nuestra calidad en los

procesos.


45/52

45


46/52

46

Necesitar contratar a ms gente en

plantilla para certificarme? (I) ISO 2000 puede ser aplicada tanto a

pequeos como grandes proveedores de

servicios TI.

El proceso de certificacin puede ser ms omenos complejo dependiendo del estado

del arte en la empresa y del tamao y/ocomplejidad de la misma.

En cualquiera de los casos, se requiere almenos una persona que dirija y coordine

todo el proceso de certificacin, tratndolo

como un proyecto interno. Esta persona

debera formar parte de la plantilla, sidispone de la preparacin suficiente.

Necesitar un equipo de apoyo, que

tambin puede formar parte de la plantilla.


47/52

47

Necesitar contratar a ms gente en

plantilla para certificarme? (II) Ser necesaria la participacin y elinvolucramiento tanto del lder, como del

equipo de apoyo, como del resto de los

empleados, al menos en una parte de su

tiempo.

La ayuda de un consultor en ISO 20000facilitar el proceso de certificacin.


48/52

48

Es necesario crear un proyecto para la

obtencin de ISO 20000? S. Una ISO 20000 no se consigue con losratos libres. Tiene que definirse un proyecto, un

responsable, un equipo, un plazo y un

presupuesto.

El responsable de este proceso decertificacin, tiene que ser una persona denivel, que pueda llevar a la organizacin a la

obtencin de la certificacin ISO 20000.

Tiene que haber un compromiso directo dela Direccin y del Departamento de TI.

Una vez obtenida la certificacin, empezarrealmente la actividad de la gestin delservicio.


49/52

49


50/52

50

Cunto tiempo necesito para obtener la

certificacin ISO 20000? y cul es elcoste?

El tiempo necesario y el coste dependen devarios factores :

El grado de cumplimiento actual en laempresa.

El nivel y calidad de la documentacinexistente.

El tamao, complejidad y distribucinde la empresa o rea a auditar.

La auditora necesaria para la certificacin,es una parte de tiempo y coste muy

pequeo, en comparacin con el proyectode mejora del servicio necesario para la

certificacin.

Para una organizacin de tamao medio, elplazo estimado es entre 12 y 24 meses.


51/52

51

Donde informarse? www.iso.org www.itsmf.es www.aenor.es www.bsi-global.com www.ogc.gov.uk www.itil.co.uk www.enac.es

Bibliografa UNE ISO/IEC 20000-1 UNE ISO/IEC 20000-2 ISO/IEC 27001:2005 ISO 9001:2000


52/52

Documents

Guia Rapida ISO 20000