CASO DE ESTUDIO ISO 20000

Martha Corona Benavides

Administracion informatica
Maestría en Informática
Introducción
ISO/IEC 20000 – 1 es una norma internacional que establece los requisitos para
certificar la prestación de servicios de TI.
¿Cuáles son las diferencias entre implantar procesos ITIL® y buscar una
certificación en ISO 20000?
1. ITIL es una colección de buenas prácticas no certificable.
2. Las recomendaciones de ITIL pueden abordarse con la profundidad y
exigencia que la organización considere oportuno.
3. ISO 20000 es una norma certificable que considera 13 procesos.
4. No se puede optar a la certificación en ISO 20000 sin haber
implementado, aunque sea mínimamente, los 13 procesos.
Objetivo
El objetivo que persigue la organización al buscar la certificación es implantar
ISO 20000 y abordar el proceso de certificación es un proceso exigente para la
organización y que exige recursos técnicos y gerenciales. No debe abordarse el
proyecto de certificación sin haber definido previamente los objetivos.
Algunos consejos prácticos para decidir una implantación de ISO 20000 son:

Implantación y certificación en ISO 20000 en Espiral Microsistemas

Identificar objetivos y beneficios esperados
Espiral Microsistemas es el fabricante de ProactivaNET®. La dirección de
Espiral Microsistemas decidió que era estratégico:
 Reforzar el conocimiento y la experiencia sobre ISO 20000 para apoyar
la línea de negocio de ProactivaNET®.
 Utilizar ProactivaNET® para gestionar los procesos operativos y así
evidenciar la validez de la herramienta frente a ISO 20000 e ITIL®.
 Mejorar la operativa interna de la organización reforzando la sistemática
de operación.
Evaluar el nivel de madurez de la organización
1. Espiral Microsistemas se encontraba en disposición de la certificación en
ISO 9001 e ISO 27001, así como otros sistemas de gestión específicos
para desarrollo como CMMi, por lo que se consideró que el nivel de
madurez era adecuado.
2. Espiral Microsistemas tenía mucha experiencia en el mundo ITIL® e ISO
20000 al diseñar, desarrollar y comercializar ProactivaNET® y servicios
de consultoría, por lo que se consideró que se contaba con personal muy
capacitado.
Definir el alcance considerando objetivos, beneficios e impacto (política)
 Identificar correctamente el alcance es complejo:
 El alcance debe tener un contenido mínimo de prestación de servicios
o no será aceptado por la entidad certificadora.
 El alcance no debe ser excesivamente ambicioso o quizás no sea
abordable.
Nota: El alcance puede modificarse en posteriores revisiones del
sistema, según se considere oportuno.
  Se identificaron las necesidades de gestión y el impacto en el sistema de
gestión integrado existente. Para ello se consideraron las políticas, el
manual, los procedimientos, etc.
Nota: Las normas ISO requieren ciertos documentos. ISO 20000 requiere 18
procedimientos, seis comunes a otros sistemas.
Ejemplo de redacción de alcance
El Sistema de Gestión de los Servicios de Tecnologías de la Información de
<empresa> comprender los servicios de <lista de servicios> prestados
desde las sedes de <dirección de las sedes>. La descripción de dichos
servicios puede consultarse en el Catálogo de Servicios de la organización.
Asignar recursos y responsabilidades al Sistema de Gestión y los procesos.
 Se constituyó un comité de gestión. Como Espiral Microsistemas ya tenía
un comité de gestión para ISO 9001 e ISO 27001 tan sólo se asignaron
las nuevas responsabilidades.
 Se nombró un responsable del sistema y de los procesos. Como
consecuencia del alcance definido y del hecho de ser una PYME se optó
por unificar en la misma persona todas las responsabilidades.
 Se creó un grupo de trabajo que abordaría la definición y puesta en
marcha de los diferentes procesos.
Nota: En el funcionamiento de ISO 20000 no sólo participan departamentos
tecnológicos. Todos los departamentos involucrados (administración,
comercial, etc.) deben participar en el grupo de trabajo.
Diseñar procesos
1. Se comenzó por el proceso de Gestión de la Configuración y la definición
de la CMDB. La CMDB es fundamental porque sustenta el Sistema de
Gestión.
2. Se continuó con el proceso de Gestión de Incidencias por la experiencia
existente en la organización. Al diseñar este proceso se define qué es
una incidencia y qué es una petición y, por tanto, qué es un cambio.
3. Se continuó con los procesos de Gestión de Problemas y Gestión de
Cambios como continuación lógica tras la definición de incidencia y
petición, que condicionan la definición de cambio.
4. Se continuó con los procesos de Gestión de la Seguridad de la
Información, Gestión de la Capacidad y Gestión de la Continuidad y
Disponibilidad como sustento fundamental de los procesos ya definidos y
para aprovechar el sistema ISO 27001 ya implantado.
5. Se continuó con los procesos de Gestión de Relaciones con el Negocio y
Gestión de Suministradores para ir acercándose desde lo más interno a
los procesos más cercanos a terceras partes.
6. Se continuó con los procesos de Gestión de Nivel de Servicio y
Generación de Informes de Servicio para pactar las relaciones con el
cliente.
 7. Se terminó con el proceso de Gestión Financiera ya que se identificó
como el que tenía menor impacto para la definición de los otros
procesos.
Nota: La definición de los procesos se ayudó de BPMN, estándar de notación
para el modelado de procesos de negocio (http://www.bpmn.org), y de la
definición de responsabilidades mediante matrices RACI.

Las decisiones tomadas primaron siempre la sencillez garantizando el

cumplimiento de los requisitos de la norma.
 No se implementaron sistemas complejos de monitorización por no
ser necesarios por las características de la organización.
 Se trató de aprovechar al máximo ProactivaNET® como herramienta
que incluyese toda la documentación sin requerir ficheros
adicionales.
Pilotar Sistema de Gestión
1. Las auditorías de certificación revisan el Sistema de Gestión y buscan
evidencias del cumplimiento de los requisitos exigidos por la norma.
2. No se puede pasar la auditoría de certificación sin rodar el sistema de
manera que se generen evidencias razonables (más o menos tres
meses).
Nota: Mientras se ensaya el sistema para generar evidencias se aprovecha
para hacer correcciones y ajustes. Por ejemplo, revisar qué entra y qué no
entra en la CMDB, ajustar la definición de cambio, reforzar la disciplina de la
organización para seguir el nuevo sistema, etc.
Auditoría de certificación
Pasos por seguir para conseguir la certificación en ISO 20000:
1. La empresa selecciona una entidad de certificación.
2. La entidad certificadora realiza un estudio previo de la documentación
del SGSTI.
3. Si la entidad certificadora considera correcta la documentación previa
envía el plan de auditoría.
4. Si la empresa está de acuerdo se realiza la auditoría según la
planificación.
5. La entidad certificadora redacta el informe de auditoría incluyendo las
desviaciones encontradas.
6. La empresa presentará la propuesta de solución de las desviaciones
encontradas.
7. La entidad certificadora concede el certificado.
NOTA: En todo se deben de gestionar los riesgos, formar y concienciar a los
involucrados.
 Se elaboró un plan de comunicación a toda la organización y,
especialmente, a todos los involucrados para facilitar el desarrollo del
proyecto.
 Se elaboró un plan de formación para garantizar que todos los
involucrados conocen los aspectos necesarios de la norma para realizar
con éxito las tareas que se les asignen en la definición y puesta en
marcha de los procesos.
La implantación de las mejores prácticas de ITIL® o la certificación en ISO
20000 es exigente en cuanto a recursos humanos, pero también en cuanto a
recursos económicos. No es viable una implantación que no considere
presupuesto para formación o para la adquisición de herramientas software de
apoyo.
Resultados
Resulto fácil:
- Definir los procesos operativos.
- Integrar los requisitos de ISO 20000 en el sistema de gestión ya
existente-
- Apreciar los beneficios aportados tras la implantación.
- Implantar los procesos operativos con ayuda de ProactivaNET®.
Resulto difícil:
- Definir los procesos no operativos.
- Disciplinar a los afectados por los procesos operativos para seguir los
nuevos procedimientos.
- Identificar quién actuaba de cliente en un alcance interno.
- Considerar los aspectos no tecnológicos de la norma.

1. La implantación tomó 12 meses tras los cuales se completó

exitosamente la certificación.
2. Involucró a la dirección, el departamento de administración, el
departamento de sistemas, el comité del sistema de gestión integrado y
el equipo de producto de ProactivaNET®.
3. Requirió la modificación del sistema de gestión integrado para incorporar
una nueva norma.
4. El alcance se eligió con cuidado de satisfacer los objetivos identificados
para aportar el mayor valor al negocio.
Referencias:
(ISO_IEC_20000_Guia_completa_de_aplicacio, s. f.)
(Object Management Group Business Process Model and Notation, s. f.)
(2023-12-01-ISO-20000.pdf, Alejandro Castro Valdés, Director Técnico de
ProactivaNET)
Nextel & Conetic. ISO/IEC 20000 para PYMEs, Como Implementar un Sistema
de Gestión de los Servicios de Tecnologías de la Información. Madrid: AENOR
Ediciones, 2010