Esta norma es, en resumidas cuentas, un modelo de adopción de la norma ISO 20000 por niveles, que establece dos niveles intermedios antes de llegar a cubrir todas las exigencias recogidas en la ISO 20000-1.
Mucho ha llovido desde que se empezó a hablar de la ISO 20000 por niveles. Yo mismo valoraba esta posibilidad allá por 2008, como una vía para "aligerar" la adopción de la ISO 20000 sobre todo para las PYMEs. Y sin embargo, el tiempo, que es en el fondo quien puede dar o quitar la razón, en este caso me la ha quitado. No sólo es que la mayor parte de empresas certificadas en España en ISO 20000 sean PYMEs, sino que he vivido de forma directa la experiencia de la adopción de la ISO 20000 en múltiples PYMEs y os puedo asegurar que en absoluto han necesitado un modelo de este tipo.
Y en ese caso, cuál es el motivo de que haya seguido adelante el desarrollo de esta norma? Pues desde mi punto de vista el argumento principal es precisamente el contrario, las grandes empresas. Los cambios organizativos y operativos que requiere la adopción de un sistema de gestión de servicios certificable bajo ISO 20000 son infinitamente más sencillos de realizar en una PYME que en un gran departamento de TI, tanto por flexibilidad interna como por posibles impactos en los servicios prestados, más críticos cuanto mayor sea su dimensión. Para estos casos, la existencia de niveles intermedios "oficiales" puede suponer una gran diferencia a la hora de subdividir los proyectos y tener metas intermedias que impulsen un proyecto de cambio que bajo otro planteamiento puede ser excesivamente complejo. No perdamos de vista que el hasta ahora gran éxito de los proyectos ITIL en grandes corporaciones se basaba precisamente en éso, en abordar proyectos más pequeños y específicos, y por tanto con resultados más rápidos y tangibles.
Por otro lado, creo que este modelo de referencia puede ser muy útil para organizaciones que, sin tener un departamento TIC demasiado potente, cuenten con un cierto grado de madurez en su gestión interna corporativa y quieran mejorar la calidad de sus TIC sin encorsetarse demasiado. Estoy pensando, sobre todo, en empresas del sector industrial y productivo en general, en los que las TIC "apoyan" al negocio pero no son el "core" del negocio. En este tipo de organizaciones, plantearse un nivel 1 de madurez puede ser una meta mucho más interesante que la de desarrollar un sistema de gestión de servicios completo y certificable...
Por qué digo esto? Echándole un vistazo a los niveles (visión simplificada y "redondeada") creo que quedará más claro:
- Nivel 1 = Núcleo del Sistema de gestión (básico) + Seguridad (básico) + Proveedores + Incidentes + Problemas + Configuración (básico) + Cambios (básico) + Entregas (básico).
- Nivel 2 = Núcleo del Sistema de gestión (completo) + Seguridad (completo) + Niveles de servicio + Informes + Continuidad y disponibilidad (básico) + Financiero + Capacidad + Proveedores + Clientes (básico) + Incidentes + Problemas + Configuración (completo) + Cambios (completo) + Entregas (completo).
- Nivel 3 = ISO 20000 completa (se completan todos los procesos y se añade el diseño y transición de servicios.
Así que ya sabéis, si queréis profundizar un poco más en este planteamiento de la ISO 20000 por niveles... ya tenéis un estándar a vuestra disposición.