16 abril 2013

Publicada la norma UNE 71020:2013 - Modelo incremental para la ISO 20000

La semana pasada se publicó la norma española UNE 71020:2013 - Modelo de conformidad incremental basado en la norma UNE-ISO/IEC 20000-1.

Esta norma es, en resumidas cuentas, un modelo de adopción de la norma ISO 20000 por niveles, que establece dos niveles intermedios antes de llegar a cubrir todas las exigencias recogidas en la ISO 20000-1.

Mucho ha llovido desde que se empezó a hablar de la ISO 20000 por niveles. Yo mismo valoraba esta posibilidad allá por 2008, como una vía para "aligerar" la adopción de la ISO 20000 sobre todo para las PYMEs. Y sin embargo, el tiempo, que es en el fondo quien puede dar o quitar la razón, en este caso me la ha quitado. No sólo es que la mayor parte de empresas certificadas en España en ISO 20000 sean PYMEs, sino que he vivido de forma directa la experiencia de la adopción de la ISO 20000 en múltiples PYMEs y os puedo asegurar que en absoluto han necesitado un modelo de este tipo.

Y en ese caso, cuál es el motivo de que haya seguido adelante el desarrollo de esta norma? Pues desde mi punto de vista el argumento principal es precisamente el contrario, las grandes empresas. Los cambios organizativos y operativos que requiere la adopción de un sistema de gestión de servicios certificable bajo ISO 20000 son infinitamente más sencillos de realizar en una PYME que en un gran departamento de TI, tanto por flexibilidad interna como por posibles impactos en los servicios prestados, más críticos cuanto mayor sea su dimensión. Para estos casos, la existencia de niveles intermedios "oficiales" puede suponer una gran diferencia a la hora de subdividir los proyectos y tener metas intermedias que impulsen un proyecto de cambio que bajo otro planteamiento puede ser excesivamente complejo. No perdamos de vista que el hasta ahora gran éxito de los proyectos ITIL en grandes corporaciones se basaba precisamente en éso, en abordar proyectos más pequeños y específicos, y por tanto con resultados más rápidos y tangibles.

Por otro lado, creo que este modelo de referencia puede ser muy útil para organizaciones que, sin tener un departamento TIC demasiado potente, cuenten con un cierto grado de madurez en su gestión interna corporativa y quieran mejorar la calidad de sus TIC sin encorsetarse demasiado. Estoy pensando, sobre todo, en empresas del sector industrial y productivo en general, en los que las TIC "apoyan" al negocio pero no son el "core" del negocio. En este tipo de organizaciones, plantearse un nivel 1 de madurez puede ser una meta mucho más interesante que la de desarrollar un sistema de gestión de servicios completo y certificable...

Por qué digo esto? Echándole un vistazo a los niveles (visión simplificada y "redondeada") creo que quedará más claro:

  • Nivel 1 = Núcleo del Sistema de gestión (básico) + Seguridad (básico) + Proveedores + Incidentes + Problemas + Configuración (básico) + Cambios (básico) + Entregas (básico).
  • Nivel 2 = Núcleo del Sistema de gestión (completo) + Seguridad (completo) + Niveles de servicio + Informes + Continuidad y disponibilidad (básico) + Financiero + Capacidad + Proveedores + Clientes (básico) + Incidentes + Problemas + Configuración (completo) + Cambios (completo) + Entregas (completo).
  • Nivel 3 = ISO 20000 completa (se completan todos los procesos y se añade el diseño y transición de servicios.
Así que ya sabéis, si queréis profundizar un poco más en este planteamiento de la ISO 20000 por niveles... ya tenéis un estándar a vuestra disposición. 

4 comentarios:

Anónimo dijo...

¿y cada nivel alcanzado es certificable? y si es asi, que norma es la que se referencia la ISO 20.000-1 O la UNE 71020?

Joseba Enjuto dijo...

El estándar no especifica si los niveles son o no certificables. Sería posible que una entidad de certificación generase un sello de conformidad con esos niveles, pero para que eso se produjera debería ser el propio mercado quien requiriese ese tipo de "sello".

Si surgiera ese sello, los niveles 1 y 2 deberían referencia a la UNE 71020, que es quien los establece, y el nivel 3, que supone el cumplimiento íntegro de la ISO 20000-1, lo lógico es que referenciase a la ISO 20000.

La clave en todo ésto es determinar si puede existir interés en "certificarse" en un nivel intermedio. Yo soy de la opinión en que dentro del sector TIC probablemente no lo haya, pero podría ser que en empresas de otros sectores sí que pueda surgir. Y todo dependerá, en definitiva, de su reconocimiento en cada sector y/o de que administraciones públicas puedan exigir ciertos niveles de calidad que consideren refrendados por un sello de nivel 1 ó nivel 2.

Antonio Valle dijo...

Joseba,
vaya por delante que no me he leido la norma (aun)... solo el trocito que te dejan descargar free los chicos de AENOR.

En ese documendo, habla de los diferentes niveles y especifica en el nivel 1

"En este punto se puede tener un reconocimiento contrastado por un tercero independiente de la situación y cumplimiento del Nivel 1."


lo mismo para los niveles 2 y 3, asi que de ahi yo deduzco que la norma si que es certificable...

no?

Antonio

Joseba Enjuto dijo...

La clave está en el matiz que diferencia el concepto clásico de norma "certificable" y el concepto de sello de conformidad, o como dice la norma, "reconocimiento".

Al no ser una norma de "requisitos" estrictamente (como la ISO 20000, que lo define en el título), no encaja bien dentro del concepto de "certificación" que manejan las entidades de certificación. No obstante, eso no quita para que cualquier organización pueda juzgar el nivel de cumplimiento de la UNE 71020, al igual que ocurre, por ejemplo, con la ISO 27002 (no es certificable, pero se hacen auditorías contra ella). Con esta norma, estaríamos en ese punto.

A partir de ahí es donde entra el negocio de las entidades de certificación. ¿Están dispuestas a generar un "sello oficial" de certificación similar al que hay para ISO 20000? ¿Competiría con el de ISO 20000? ¿Una entidad de acreditación les admitiría como válido ese sello, considerando que no se emite contra una norma que sea estrictamente de requisitos?

Probablemente, para no meterse en estos terrenos pantanosos, los redactores de la norma afirman que se pueden tener un reconocimiento, pero sin utilizar el término certificación.