“La ISO 20000 permite demostrar que se pueden dar servicios de calidad a un coste razonable”

Para Diego Berea, co-autor de la ISO 20000, esta norma de gestión de servicios TI define un lenguaje común y las herramientas para que los proveedores permitan a las empresas cumplir con las expectativas de sus clientes.

No hace mucho que se ha celebrado en Madrid el Fórum Internacional ISO 20000, cuyo objetivo ha sido el de acercar a las empresas la certificación ISO 20000 y en el que han participado alguna de las principales autoridades internacionales de gestión de servicios de TI.

Por tal motivo hemos hablado con Diego Berea, co-editor de la ISO 20000 que se publicará este verano, para que nos cuente las novedades de esta nueva norma, cómo afectará a la cloud computing, cómo se aplica en nuestro campo o qué relación tiene con las prácticas ITIl, cada vez más extendidas.

– ¿En qué consiste la Norma ISO 20000?

– La ISO 20000 es una norma internacional de gestión de servicios de TI. Aquellas empresas donde la tecnología es clave para el negocio pueden aplicarla para garantizar que sus servicios están alineados con los requisitos del negocio y que se pueden proveer con un coste razonable.

Es un estándar que aplica tanto a empresas de TI que dan servicio a clientes externos como a departamentos de informática centrados en usuarios internos. Define las características que debe tener un sistema de gestión de servicios de TI y los 13 procesos que éste debe contener.

– ¿Qué novedades incorpora la nueva edición de la ISO 20000?

La edición de 2011 de la ISO 20000 hará más foco en el control de las tareas realizadas por terceros, fundamentalmente proveedores que intervienen en la provisión de los servicios con alguna tarea clave que se externaliza: DataCenters donde se tiene alojada la infraestructura, empresas de helpdesk que gestionan el primer nivel de soporte, etc.

También hay novedades en los requisitos de la norma: son más aunque más claros, menos ambiguos. Se ha hecho un esfuerzo por alinear conceptos y fases con ITIL v3, para que su aplicación sea más sencilla en organizaciones que llevan años trabajando con ITIL. También se ha hecho un esfuerzo por referenciar otras normas ISO de interés y con las que la ISO 20000 se debe integrar: ISO 9001, ISO 15504, ISO 27001, ISO 19011, etc.

– ¿Quién redacta la norma y qué se tiene en cuenta?

– La elaboración de la norma corre a cargo del grupo de trabajo JTC1/SC7/WG25 de ISO/IEC en el que están representados más de 30 países, entre ellos España. En AENOR Normalización existe un grupo de trabajo espejo, el CTN71/SC7/GT25 dedicado a “gestión de servicios y buen gobierno de TI”, que es quien representa a nuestro país en las reuniones internacionales de ISO/IEC para la ISO 20000. Además de ser miembro con derecho a voto, España ha logrado incluir a dos de sus representantes en los equipos de edición de la ISO 20000-2 y la ISO 20000-5. Los editores redactan el texto de los estándares y los informes técnicos, recopilan las aportaciones de los distintos países participantes en el grupo de trabajo y moderan las discusiones para lograr las resoluciones en los congresos plenarios e interim.

– España, ¿es un país que haga caso de normas?

– En el caso de la ISO 20000, España es un claro líder a nivel internacional en cuanto a la implantación de la norma. Japón, Reino Unido y España se encuentran a la cabeza claramente destacados de otros países. Los países asiáticos –China, Corea del Sur, India, Japón, etc.-  han sido los primeros en implantar la ISO 20000 en sus empresas, donde los sectores de tecnología, telecomunicaciones y banca suponen más del 80% de las certificadas. En Europa, Reino Unido y España están muy destacados, seguidos ya de lejos por países como Alemania o Francia.

Estados Unidos, por ejemplo, incrementará notablemente su número de certificaciones ISO 20000 en 2011, ya que la administración Obama exige ahora la ISO 20000 para ser proveedor del cierto tipo de servicios al gobierno. Se prevé que esta exigencia se vaya generalizando en otros países, con lo que el número de empresas certificadas ISO 20000 se incrementará exponencialmente en los próximos años.

Ya sea por interés interno –vocación por la calidad, necesidad de control sobre los servicios prestados, etc.- o por interés externo –requisito para optar a concursos públicos, credibilidad ante clientes, diferenciación de la competencia, etc.- la ISO 20000 se está convirtiendo en la certificación clave para las empresas donde las TI son clave para el negocio.

– ¿Qué relación tiene la ISO 20000 con las prácticas ITIL?

– La ISO 20000 e ITIL “hablan de lo mismo”, de gestión de servicios de TI. La norma es un documento breve, de unas 25 páginas, que define los requisitos mínimos que una empresa ha de cumplir para tener conformidad y para –si lo desea- obtener la certificación mediante una auditoría de certificación. ITIL es una recopilación de buenas prácticas, es decir, de sugerencias o consejos para implantar con éxito la gestión de servicios. Para cumplir con los requisitos de la ISO 20000 se pueden seguir las indicaciones de ITIL aunque no es imprescindible. A veces, con un poco de sentido común es suficiente.

– ¿Cuál es el estado de la ISO 20000 en España?

– España cuenta en la actualidad con cerca de 100 empresas certificadas desde el año 2006 a marzo de 2011. Esto nos sitúa en una posición muy destacada y que llama la atención a nivel internacional, ya que nuestra posición en cuanto a la aplicación de otros estándares –seguridad de la información, continuidad de negocio, etc.- no es comparable.

– ¿Por qué cree que es tan importante aplicar normas comunes, estándares, dentro de una empresa?

– La aplicación de la ISO 20000 permite alinear los requisitos y las necesidades de las empresas con sus clientes y con sus proveedores. Permite definir un lenguaje común y las herramientas para garantizar que lo que nuestros proveedores nos dan nos permite cumplir con las expectativas de nuestros clientes. La definición de acuerdos de nivel de servicio, indicadores comunes, etc. hace mucho más objetiva la medición de la calidad del servicio y su comparación con las necesidades del negocio.

– ¿Por qué se afirma que la ISO 20000 tendrá un especial interés en entornos de externalización y cloud computing?

– Los datos lo demuestran. Las primeras empresas en certificarse han sido compañías asiáticas y europeas que dan servicio a otras empresas y a la administración: La ISO 20000 les ha permitido evidenciar que gestionan sus sistemas con calidad, que son confiables, que se diferencian de su competencia y que pueden alinear sus servicios con los requisitos que les marca el negocio, aunque estos vayan variando en el tiempo.

La apuesta generalizada por los servicios “en la nube” obliga a los proveedores a dar una dosis extra de credibilidad a su capacidad de servicio. La ISO 20000 es la herramienta más adecuada para demostrar que se pueden dar servicios de calidad a un coste razonable.

– ¿Qué pasos debe dar una empresa para conseguir una certificación ISO 20000?

– Desde el grupo de trabajo de ISO/IEC se recomienda comenzar con la realización de un ‘assessment‘. Es una auditoría inicial que sirve como foto de partida para saber cómo de cerca o de lejos estamos de cumplir los requisitos de la norma. En base a los resultados del assessment se debe definir un plan de trabajo, que debe ser revisado periódicamente con auditorías internas que permitan hacer un seguimiento de la evolución del trabajo.

La ISO 20000:4 define el modelo de referencia para realizar assessments de la ISO 20000 siguiendo el estándar de assessment definido en la ISO 15504. La ISO 20000:5 muestra un ejemplo de implantación. Por supuesto, contar con el apoyo de una consultora especializada permite acelerar los plazos y optimizar los esfuerzos.