14 abril 2008

Certificarse en ISO 20000

La verdad es que, desde que se publicó oficialmente la convocatoria para el plan Avanza, el sector no para de moverse. Quien más quien menos ya se ha buscado sus compañeros de viaje, y todo el mundo vislumbra en un futuro más o menos próximo una importante oleada de nuevas certificaciones en CMMI, ISO 27001... e incluso en ISO 20000.

La verdad es que la certificación en ISO 20000 parece la más complicada. Sencillamente, por lo exigente que es su cumplimiento: un completo sistema de gestión, 13 procesos a cumplir, incertidumbre en relación a las herramientas de soporte, muchas trazas que generar... y un máximo de 20000 euros de subvención. No parece un panorama muy halagüeño para que las pequeñas empresas se animen. Y no quedan demasiadas variables con las que jugar.

El principal parámetro para reducir el esfuerzo de implantación de cualquier sistema de gestión certificable es el alcance. En el caso que nos ocupa, su amplitud vendrá marcada por la cantidad de servicios IT (aunque el estándar no defina qué es un servicio IT) que queramos incorporar a nuestro ITSMS. El problema es que la variable principal que condiciona el esfuerzo no suele ser la cantidad de ámbitos sobre los que aplicas la gestión, sino el desarrollo de los procesos de gestión propiamente dichos. En definitiva, que lo costoso es desarrollar correctamente el proceso de gestión de incidencias, y que ese proceso lo apliques sólo a las incidencias del correo electrónico o a las de todos tus servicios IT no supone tanta diferencia.

El segundo problema es que la certificación no nos permite implementar sólo alguno de los procesos. El estándar no ha contemplado que se pueda prescindir de alguno de ellos (lo cual es bastante lógico, ya que difícilmente encontraremos una justificación para no gestionar los cambios o los niveles de servicio, por poner un par de ejemplos), y por lo tanto si queremos certificar que cumplimos una norma tendremos que cumplirla enterita (que yo sepa no hay medias certificaciones para medio estándar, y la norma no define niveles). En este caso los procesos son parte del cuerpo de la norma, y no podemos entenderlos como un catálogo de procesos para seleccionar los que más nos interesen (al estilo controles de seguridad de la ISO 27001). Y son requisitos mínimos, así que no nos vale el recurso de ITIL de implementar sólo las partes que más nos interesan. O cumples la norma, o no la cumples.

¿Cuál es el resultado final? Mucho esfuerzo necesario para cumplir con todos los requisitos. ¿El problema? Que una pyme difícilmente va a ver justificado todo el esfuerzo necesario como para cumplir con una norma tan completa. Y la cuantía de la subvención tampoco es que anime demasiado, ya que aparentemente no responde (al menos, comparativamente) a las exigencias que supone su implementación.

¿Existe alguna solución para "facilitar" y generalizar la adopción de esta norma? Podría ser, aunque en este caso no es inmediata, ya que quedaría en manos de las autoridades de normalización, certificación y/o acreditación y podría no ser del gusto de todos. Como opciones, se me ocurren las de "aligerar" la norma, ser más "permisivos" en su certificación, desarrollar nuevos esquemas de certificación (por ejemplo, por niveles), crear normas derivadas más adaptadas a las características de una pyme... Quizás cualquiera de ellas pueda parecer viable a priori, pero en cualquier caso siempre hay muchos intereses en juego y demasiados protocolos a respetar como para que cualquiera de esas opciones sea factible a corto plazo. Y es una pena, porque creo que si se facilitase de algún modo la certificación de los ITSMS todo el sector saldría beneficiado. ¿Será ese el argumento capaz de acelerar la adopción de alguna solución válida? Espero que sí.

10 comentarios:

Anónimo dijo...

Buenos dias, estoy a cargo de un help desk, me gustaria empezar a trabajar en iso20000 ya que tengo entendido que la compañia tiene ese objetivo a mediano plazo. Donde puedo encontrar material al respecto? como puedo empezar desde mi humilde lugar?. Muchas Gracias.
jonathan_bcity@hotmail.com

Joseba Enjuto dijo...

Hola, Jonathan,

De momento lo más conveniente sería que empezaras por buscar información sobre ITIL, como base sobre la que montar ISO 20000, y en concreto sobre la parte de "service desk". Además, en tu caso particular posiblemente la web http://www.foro-helpdesk.com/ te pueda servir de bastante ayuda.

Saludos,

Joseba

Comunidad Itolus dijo...

Implementar un proceso no es nada complicado, con lo que aumentarlo a varios o a todos los procesos necesarios para la certificación supone un esfuerzo al principio pero un gran beneficio después que creo que merece la pena.
Lo más costoso pienso que es la CMDB y la definición de los servicios que queremos certificar.
Una vez esto, definir un servicio puede ser tan fácil como incluir labores de gestión en los procedimientos internos habituales. La mayoría de los departamentos TI hace una "Gestión de la Incidencia" aunque sea muy primitiva. Solo se trataría de desarrollar el tema del control, métricas y planes de mejora continua.
En pequeñas empresas es donde puede llegar a ser más problemático debido a que, en un primer momento, llegas a sobrecargar demasiado a poca gente. Pero las razones para que una empresa pequeña necesita una certificación en ISO20000 es por requerimientos de sus clientes y el precio de la certificación debería de ser repercutido en el precio de la provisión de los servicios de TI a sus clientes. Eso si, garantizando siempre una mayor calidad de los servicios provistos.

Anónimo dijo...

Me interesaria saber que empresa te certifica en Argentina dado que no lo pude encontrar.
Alguien sabe aproximadamente la duracion del proceso de certificación y el costo. Algo como para tener de referencia.
Muchas gracias.

Joseba Enjuto dijo...

Pues me temo que no te puedo ayudar mucho. Desconozco qué organizaciones certifican en 20000 en Argentina, aunque quizás la forma más fácil de verificarlo es ir a http://www.isoiec20000certification.com/index.asp y ver cuáles de las certificadoras que figuran ahí trabajan en Argentina. El tiempo de referencia es, entre unas cosas y otras, de un par de meses, aunque la duración de las certificaciones anda entre los 2-5 días la fase I y entre los 3 - 15 días la fase II, dependiendo enormemente del alcance a certificar (más días cuanto más grande sea el alcance). Y precios.... buf, aquí sí que no te puedo ayudar, cada certificadora en cada país es un mundo. Contacta directamente con ellas.

itil-iso20000.com dijo...

Hola,
en http://www.itil-iso20000.com tenéis la lista completa de empresas de España y Portugal certificadas en ISO 20000.

Joseba Enjuto dijo...

En realidad, falta alguna... Al menos, las de T-Systems y BT, que yo sepa, son certificados acreditados, así que deberían aparecer.

Anónimo dijo...

Joseba, esas que dices aparecen pulsando en "certificaciones internacionales"

Anónimo dijo...

Hola, quisiera saber si existe algún directorio de empresas que certifiquen ISO 20000 en Argentina. Estamos haciendo una investigación del tema en la Universidad y no podemos encontrar esta información. Gracias!

Joseba Enjuto dijo...

Te remito al comentario que figura un poco más arriba. Mi conocimiento sobre la situación en cuanto a certificadoras argentinas no ha cambiado...