jueves, 30 de septiembre de 2010

ISO/IEC 20000 ¿Qué? ¿Cómo? ¿Cuánto?

Buenas a todos, hoy he estado por la Cámara de Comercio de la Comunidad de Madrid asistiendo a un desayuno que se ha hecho para hablar de la ISO 20000, y de las implantaciones que han hecho de esta norma las empresas Telefónica e Informática del Corte Inglés, pioneras en España.

Se han contado cosas interesantes sobre la implantación como costes, tiempos, etc. Pero para empezar voy a contaros de que trata la norma.

La norma ISO/IEC 20000 está basada y reemplaza a la norma BS 15000, y además es totalmente compatible con las mejores prácticas de ITIL (que no es medible). Su objetivo es la gestión de una entrega efectiva de los servicios de TI para las empresas. Para ello las empresas deberán implantar un SGSTI, Sistema de Gestión de Servicios de TI, que se basará en requisitos de la norma.

Esta norma se orienta hacia un nuevo modelo de control basado en tres importantes aspectos, en la coordinación de múltiples agentes que poseerán el conocimiento de la organización, en la automatización de los sistemas de control de las infraestructuras TI y sobretodo y una de las más importantes en la integración de las TI con los procesos de negocio que ofrece la organización, ya que como en todas las normas ISO ocurre, siempre se deben adaptar las certificaciones a los procesos de negocio llevados a cabo por cada organización, para poder aumentar la eficiencia de los mismos.

Por tanto los beneficios de una correcta implantación de la norma ISO/IEC 20000 en una organización se pueden resumir en:

  • Optimización de los recursos
  • Consecución de una ventaja competitiva en el mercado
  • Evidenciar al cliente la calidad de nuestros servicios.

Para conseguir implantar la norma ISO/IEC 20000 en una organización será necesario un esfuerzo importante por parte de la misma tanto en tiempo como en dinero. El proceso puede llevarse a cabo entre en uno y dos años y el coste variará dependiendo de la organización, tamaño, estado actual de cumplimiento, otras normas que tuviesen implantadas (por ejemplo la ISO 27001), etc. En la actualidad se puede contar con las ayudas del Plan Avanza, que subvencionan en gran medida estos procesos de certificación. Os dejo a continuación las subvenciones para el presente año 2010:

image

Para lograr la implantación de la norma será necesario nombrar a un responsable en la organización. Habrá que definir el alcance, y se deberán cumplir los requerimientos y los procesos indicados en la norma, con su correspondiente documentación.

La certificación deberá llevarse a cabo por una empresa auditora acreditada por la ENAC (en el caso de España). Y deberá repetirse la certificación con una periodicidad de 3 años, además de la realización de controles anuales para mantener y evolucionar la eficiencia de los procesos de gestión.

Tras ésta explicación espero que se os hayan aclarado algunas dudas, al menos a modo introductorio, sobre qué es la norma, cómo funciona y cuánto puede costar la certificación.

Si consigo un poco de tiempo libre (últimamente difícil), intentaré desarrollar algún post más sobre la norma, hablando mas específicamente de los procesos contemplados en la norma, herramientas usadas para la implantación, etc.

Hasta el próximo post, saludos!

2 comentarios:

Seguridad de la Información dijo...

Hola buen día.
Yo tambien he asitido a este desayuno y la iniciativa y el contenido me parecio muy importante pero quedaron algunas dudas en el aire. Algunas las ha respondido con tu post; pero tambien seria importante para muchas empresas saber en detalle como pueden beneficiarse del Plan Avanza y promover nuevos proyectos Ejem: Incluir ISO 20.000 en INNOEMPRESA.
Otra duda que surge es su aplicación. (Es exclusiva para empresas TIC?) y su capacidad de integración con otras normas de gestión tipo ISO 90001 y 27001.
Debemos recordar siempre que quienes requieren mas ayuda para dar los primeros pasos son la PYMES. Angélica Sarmiento

Juan Antonio Calles dijo...

Hola Angélica, yo creo que sí quedó claro en la charla que no es exclusiva de empresas TIC. Se puede aplicar a cualquier tipo de organización, ya que no se certifica a una organización concreta sino al SGSTI de la organización. Por ejemplo, una mercería si tuviese un sistema TIC se podría certificar, en cambio una merceria que esté formada únicamente por un ordenador, donde el dueño lleve un poco las cuentas en una hoja de excel, no. En próximos post donde hable mas en profundidad del tema intentaré aclarar mas dudas a los usuarios.

Gracias por tus ideas, saludos