martes, 5 de octubre de 2010

ISO/IEC 20000 ¿Qué? ¿Cómo? ¿Cuánto? (Parte II)

Buenas a todos, el viernes pasado me comentaba Angélica Sarmiento en el post: ISO/IEC 20000 ¿Qué? ¿Cómo? ¿Cuánto?, que ella también había asistido a las ponencias sobre ISO 20000 que impartieron Informática de El Corte Inglés y Telefónica en la Cámara de Comercio de la Comunidad de Madrid, y que había echado en falta por su parte algunas explicaciones más, y con más detalles sobre la norma, como es la certificación, quien puede realizarla, etc. Así que aprovecharé entre éste post y los siguientes de esta cadena para aclarar algunas de las dudas de todos los usuarios que se encuentren en esta situación.

Antes de ello, me gustaría hablar primero de la relación que tiene ISO 20000 con ITIL, que considero un pilar básico para poder entender las preguntas que nos formulamos.

En los años 80 las necesidades de gestionar de manera específica los servicios TI originó la creación de la “Biblioteca de Infraestructura de Tecnologías de la Información” conocida como ITIL. Por otro lado la institución británica BSI comenzó a definir un estándar para la gestión de los servicios TI a la que denominó BS 15000. Cuando se propusieron realizar la parte 2 del estándar consideraron alinearlo con las publicaciones de ITIL. En el año 2005, el estándar británico pasó a ser internacional, publicándose como ISO/IEC 20000-1 y 2. Y aquí en España, en 2007, e impulsado por itSMF, AENOR publicó la norma traducida a castellano con el título UNE ISO/IEC 20000-1 y 2.

En resumen la norma ISO 20000 está basada y alineada con las mejores prácticas de ITIL, en la actualidad en su versión v3.

En el siguiente gráfico podréis ver la relación que hay entre las diferentes partes de ISO 20000 e ITIL:

picture

Ahora bien, ¿qué se puede certificar y qué no se puede certificar?

ITIL NO certifica organizaciones, por lo que si estamos pensando en certificar una organización deberíamos decantarnos por la norma ISO 20000, para ser mas concretos, ISO 20000 no certifica organizaciones sino el SGSTI de una organización en una determinada localización física. Me explico, pongamos que mi empresa tiene 10 sedes en España, de las cuales solamente 3 de ellas se encargan de mantener los servicios TI de todas las sedes, ¿si certifico el SGSTI de una de ellas habré certificado mis 3 sedes?. La respuesta es NO, cada sede deberá ser auditada independientemente y recibirá su certificado individual, con su correspondiente número de identificación. Lo que sí ocurrirá, es que si tenemos las sedes gestionadas de manera similar, tendremos mayor facilidad a la hora de obtener la certificación.

Por otro lado lo que ITIL SÍ que certifica son personas. La fundación holandesa "Exameninstituut voor Informatica" (EXIN) y la inglesa "Information Systems Examination Board" (ISEB) han desarrollado juntas un sistema de certificación profesional basado en puntos para ITIL, que podéis visualizar en la siguiente imagen:

picture

Finalmente, ¿qué tipo de organizaciones se pueden certificar, deben ser exclusivamente organizaciones TIC? La respuesta es, no tiene porqué. Se puede certificar cualquier tipo de organización, ya que no se certifica a una organización concreta sino al SGSTI de la organización. Por ejemplo, por poner un caso remoto, una mercería que tuviese un sistema TIC se podría certificar perfectamente, otra cosa es que le pueda ayudar la certificación a obtener una ventaja competitiva.

En el próximo post os hablaré del Plan Avanza y de las organizaciones que hay hasta el momento certificadas en España, organismos certificadores, etc.

saludos!

No hay comentarios: