Ejemplo real de

implantacin de ISO 20000

Consideraciones previas

Antes de empezar qu es ISO 20000?

ISO/IEC 20000-1 es una norma internacional que establece losrequisitos para certificar la prestacin de servicios de TI.

Entonces qu objetivo persigue la organizacin al buscar la certificacin?

Implantar ISO 20000 y abordar el proceso de certificacin esun proceso exigente para la organizacin y que exige recursostcnicos y gerenciales. No debe abordarse el proyecto decertificacin sin haber definido previamente los objetivos.

Cules son las diferencias entre implantar procesos ITIL y buscar una

certificacin en ISO 20000?

1. ITIL es una coleccin de buenas prcticas no certificable.

2. Las recomendaciones de ITIL pueden abordarse con la profundidad y exigencia que la organizacin considere oportuno.

3. ISO 20000 es una norma certificable que considera 13 procesos.

4. No se puede optar a la certificacin en ISO 20000 sin haber implantado, aunque sea mnimamente, los 13 procesos.

Consideraciones previas

Consejos prcticos para decidir una implantacin de ISO 20000

Consideraciones previas

Evaluar el nivel de madurez de la organizacin: Hay otros sistemas de gestin implantados? (por ejemplo ISO 9001) Hay otras prcticas de gobierno implantadas? (por ejemplo COBIT)

Elegir el alcance: Un alcance muy ambicioso puede ser inabordable. El alcance de la certificacin no tiene por qu ser el real. El alcance puede modificarse a posteriori.

Determinar los objetivos y el ROI: Por qu se aborda la implantacin y certificacin? Cules son los objetivos? Cules son los beneficios esperados?

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin

y los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

Espiral Microsistemas es el fabricante de ProactivaNET.

La direccin de Espiral Microsistemas decidi que era estratgico:

Reforzar el conocimiento y la experiencia sobre ISO 20000 para apoyar la lneade negocio de ProactivaNET. Utilizar ProactivaNET para gestionar los procesos operativos y as evidenciarla validez de la herramienta frente a ISO 20000 e ITIL. Mejorar la operativa interna de la organizacin reforzando la sistemtica deoperacin.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin

y los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

1. Espiral Microsistemas se encontraba en disposicin de la certificacin en ISO 9001 e ISO 27001, as como otros sistemas de gestin especficos para desarrollo como CMMi, por lo que se consider que el nivel de madurez era adecuado.

2. Espiral Microsistemas tena mucha experiencia en el mundo ITIL e ISO 20000 al disear, desarrollar y comercializar ProactivaNET y servicios de consultora, por lo que se consider que se contaba con personal muy capacitado.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin y

los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

Identificar correctamente el alcance es complejo: El alcance debe tener un contenido mnimo de prestacin de servicios o noser aceptado por la entidad certificadora.

El alcance no debe ser excesivamente ambicioso o quizs no seaabordable.

Se identificaron las necesidades de gestin y el impacto en el sistema degestin integrado existente. Para ello se consideraron las polticas, el

manual, los procedimientos, etc.

El alcance puede modificarse en posteriores revisiones del sistema para modificarse segn se considere oportuno.

Las normas ISO requieren ciertos documentos. ISO 20000 requiere 18 procedimientos, seis comunes a otros sistemas.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

Ejemplo de redaccin de alcance

El Sistema de Gestin de los Servicios de Tecnologas de la Informacin de

comprende los servicios de prestados desde las

sedes de . La descripcin de dichos servicios puede

consultarse en el Catlogo de Servicios de la organizacin.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin y

los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

Se constituy un comit de gestin. Como Espiral Microsistemas ya tena un comit de gestin para ISO 9001 e ISO 27001 tan slo se asignaron las nuevas

responsabilidades.

Se nombr un responsable del sistema y de los procesos. Como consecuencia del alcance definido y del hecho de ser una PYME se opt por unificar en la

misma persona todas las responsabilidades.

Se cre un grupo de trabajo que abordara la definicin y puesta en marcha de los diferentes procesos.

En el funcionamiento de ISO 20000 no slo participan departamentos tecnolgicos. Todos los departamentos involucrados (administracin,

comercial, etc.) deben participar en el grupo de trabajo.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin

y los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

Se comenz por el proceso de Gestin de la Configuracin y la definicin de laCMDB. La CMDB es fundamental porque sustenta el Sistema de Gestin.

Se continu con el proceso de Gestin de Incidencias por la experiencia existente enla organizacin. Al disear este proceso se define qu es una incidencia y qu es unapeticin y, por tanto, qu es un cambio.

Se continu con los procesos de Gestin de Problemas y Gestin de Cambios comocontinuacin lgica tras la definicin de incidencia y peticin, que condicionan ladefinicin de cambio.

Se continu con el proceso de Gestin de Entregas ya que Gestin de Cambios nopuede operar sin su ayuda.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

Se continu con los procesos de Gestin de la Seguridad de la Informacin, Gestinde la Capacidad y Gestin de la Continuidad y Disponibilidad como sustentofundamental de los procesos ya definidos y para aprovechar el sistema ISO 27001 yaimplantado.

Se continu con los procesos de Gestin de Relaciones con el Negocio y Gestin deSuministradores para ir acercndose desde lo ms interno a los procesos mscercanos a terceras partes.

Se continu con los procesos de Gestin de Nivel de Servicio y Generacin deInformes de Servicio para pactar las relaciones con el cliente.

Se termin con el proceso de Gestin Financiera ya que se identific como el quetena menor impacto para la definicin de los otros procesos.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

La definicin de los procesos se ayud de BPMN, estndar de notacin para el modelado de

procesos de negocio (http://www.bpmn.org), y de la definicin de responsabilidades mediante

matrices RACI.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas

Las decisiones tomadas primaron siempre la sencillez garantizando el cumplimiento de los

requisitos de la norma.

Se trat de aprovechar al mximo ProactivaNET como herramienta

que incluyese toda la documentacin sin requerir

ficheros adicionales.

No se implementaron sistemas complejos de monitorizacin por

no ser necesarios por las caractersticas de la organizacin.

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin

y los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

Las auditoras de certificacin revisan el Sistema de Gestin y buscan evidencias del cumplimiento de los

requisitos exigidos por la norma.

No se puede pasar la auditora de certificacin sin rodar el sistema de manera que se generen evidencias razonables

(ms o menos tres meses).

Mientras se ensaya el sistema para generar evidencias se aprovecha para hacer correcciones y ajustes. Por ejemplo revisar qu entra y qu

no entra en la CMDB, ajustar la definicin de cambio, reforzar la disciplina de la organizacin para seguir el nuevo sistema, etc.

Ejemplo real de implantacin de ISO 20000

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin

y los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

Pasos a seguir para conseguir la certificacin en ISO 20000

1. La empresa selecciona una entidad de certificacin.2. La entidad certificadora realiza un estudio previo de la

documentacin del SGSTI.3. Si la entidad certificadora considera correcta la documentacin

previa enva el plan de auditora.4. Si la empresa est de acuerdo se realiza la auditora segn la

planificacin.5. La entidad certificadora redacta el informe de auditora incluyendo

las desviaciones encontradas.6. La empresa presentar la propuesta de solucin de las desviaciones

encontradas.7. La entidad certificadora concede el certificado.

Certificacin del sistema

Ejemplo real de implantacin de ISO 20000

Hablemos sobre la implantacin y certificacin en ISO 20000 en Espiral

Microsistemas Cules fueron los pasos seguidos?

Identificar objetivos y beneficios esperados

Evaluar el nivel de madurez de la organizacin

Definir el alcance considerando

objetivos, beneficios e impacto (poltica)

Asignar recursos y responsabilidades al Sistema de Gestin

y los procesos

Disear procesos

Pilotar Sistema de Gestin

Auditora de certificacin

En todo momento Gestionar los riesgos. Formar y concienciar a losinvolucrados.

Se elabor un plan de comunicacin a toda la organizacin y, especialmente, a todos los involucrados para facilitar el desarrollo del proyecto.

Se elabor un plan de formacin para garantizar que todos los involucrados conocen los aspectos necesarios de la norma para realizar con xito las tareas

que se les asignen en la definicin y puesta en marcha de los procesos.

La implantacin de las mejores prcticas de ITIL o la certificacin en ISO 20000 es exigente en cuanto a recursos humanos pero tambin en cuanto a recursos econmicos. No es viable una implantacin que no

considere presupuesto para formacin o para la adquisicin de herramientas software de apoyo.

Ejemplo real de implantacin de ISO 20000

Conclusiones

Definir los procesos operativos

Integrar los requisitos de ISO 20000 en el sistema de gestin ya

existente

Apreciar los beneficios aportados tras la implantacin

Implantar los procesos operativos con ayuda de ProactivaNET

Definir los procesos no operativos

Disciplinar a los afectados por los procesos operativos para seguir

los nuevos procedimientos

Identificar quin actuaba de cliente en un alcance interno

Considerar los aspectos no tecnolgicos de la norma

Result fcil Result difcil

1. La implantacin tom 12 meses tras los cuales se complet exitosamente la certificacin.

2. Involucr a la direccin, el departamento de administracin, el departamento de sistemas, el comit del sistema de gestin integrado y el equipo de producto de ProactivaNET.

3. Requiri la modificacin del sistema de gestin integrado para incorporar una nueva norma.

4. El alcance se eligi con cuidado de satisfacer los objetivos identificados para aportar el mayor valor al negocio.

Conclusiones

Bibliografa de apoyo para implantaciones

ISO/IEC 20000. Gua completa de aplicacin para la gestin de

los servicios de tecnologas de la informacin

Editado por AENOR - ISBN 978-84-8143-662-4

ISO/IEC 20000 para pymes. Cmo implantar un sistema de

gestin de los servicios de tecnologas de la informacin

Editado por AENOR - ISBN 978-84-8143-675-4

Alejandro Castro ValdsDirector Tcnico de ProactivaNET

alejandro.castro@proactivanet.com

@proactivajandro

linkedin.com/in/proactivajandro