Al grueso número de normas existentes se ha venido a sumar hace un par de años ISO 20000. Se trata de una propuesta que se basa, hasta cierto punto, en la ya conocida ITIL, pero que trata de ir más allá dotando a la propuesta ITIL de una visión más global y con una proyección de perpetuación en el tiempo, de mejora contínua.
Además del marco coincidente con ITIL, ISO 20000 también entronca con el estándar BS 15000 anglosajón, tal y como explica Alejandro Pérez Sánchez, coordinador del Grupo de Trabajo AENOR/ISO, de itSMF España, en su artículo “ISO/IEC 20000 el estándar para la Gestión de Servicios TI”: “sus antecedentes se remontan a 1989 cuando la institución británica BSI definió un estándar para la gestión de servicio TI que finalmente se publica como el estándar BS 15000 en 1995”.
Como cualquier otra norma, ISO 20000 depende de la unidad de certificación existente en cada país que tiene reconocimiento a nivel internacional –ENAC, en el caso de España– y, a su vez, debe ser certificada en cada caso por entidades autorizadas como la unidad AENOR Certificadora o itSMF, que actúan como si fueran un notario para validar oficialmente que los requisitos demandados por la norma se cumplen adecuadamente en las empresas que solicitan ser certificadas.
En nuestro país, los primeros pasos por parte de las compañías se dieron en 2007, cuando Telefónica y El Corte Inglés, dos multinacionales españolas de primera línea, se ofrecieron para implantar la norma y certificarse posteriormente con AENOR. En los años siguientes y, a pesar de la mala situación económica, se han apuntado casi medio centenar de corporaciones más, de manera que a finales de mayo del año en curso 49 entidades españolas han realizado los procesos pertinentes dentro de sus negocios para obtener el certificado. La última ha sido la Universidad Pablo Olavide de Sevilla, el mes pasado. Este medio centenar de empresas certificadas sitúa a nuestro país como el tercero a nivel mundial en número de compañías que cumplen con la norma, justo por detrás de China y Japón, que son los países abanderados con 84 y 72 certificaciones respectivamente, y por delante de Reino Unido con 47 certificaciones, India con 44 y Alemania con 29.
Como nota negativa cabe apuntar que “tres años después de haber sentado las bases de la norma en España y de contar con un nutrido número de entidades que la apoyan, ésta no ha sido reconocida internacionalmente todavía. “Aquí las compañías tienen el reconocimiento de AENOR o bien recurren al de itSMF Internacional”, aclara Alejandro Pérez, al tiempo que lanza un mensaje tranquilizador: “es cuestión de tiempo, ENAC acabará dando el visto bueno y todas las empresas certificadas por AENOR tendrán reconocimiento a nivel mundial de forma automática”.
Proyección internacional
La trascendencia de un consenso y reconocimiento internacional no es baladí. El hecho de que una empresa de tamaño medio o grande con interés en extender su negocio y saltar a otros países se certifique supone un salvoconducto que le abra las puertas a nuevos clientes y proveedores. No es lo mismo competir a nivel mundial con una propuesta netamente local, que con otra que se basa en estándares certificados y reconocidos por organismos internacionales e independientes. De momento, se espera que el proceso de reconocimiento por parte de ENAC esté ultimado a lo largo del año próximo.
Como se apuntaba más arriba, la segunda opción es certificarse a través de itSMF Internacional que ha dado el visto bueno a 490 compañías de múltiples países (de los cuales cinco son españolas), pero siempre habrá que tener en cuenta que itSMF Internacional no está reconocido por ENAC, sino por un organismo homólogo a ENAC de otro país.
Configurar un modelo
La norma trata de definir un marco para realizar una gestión de TI eficiente, en base a unos requisitos comunes y básicos para todo el mundo. Lo que hace es configurar el modelo, cómo debe estar estructurado y qué parámetros seguir, además de los requisitos de cada uno de los procesos implicados. “ISO 9000 sólo mide la calidad del proceso definido, pero ISO 20000 define los procesos y los requisitos de cada proceso. La ventaja es que crea un marco común para todas las tecnologías y así deja perfectamente cloro cuáles son los requisitos para cada ámbito de trabajo. Es la gestión de las TI orientadas a los clientes, lo cual cambia el paradigma de algunas normas”, advierte Alejandro Pérez.
En total, la norma cuenta con más de 13 procesos que hay que cumplir de modo completo: definidos, ejecutados, medidos y mejorados. Es una norma bastante eficiente y exigente, esto tiene una doble lectura: su implantación reporta ventajas, pero también conlleva un análisis preliminar de los “gaps” de una compañía, lo que puede llevar a la empresa a acometer proyectos de más de un año, aunque la media de implantación de la ISO 20000 está entre los 9 y los 12 meses.
Cualquier tipo de empresa
La norma se puede aplicar a cualquier tipo de compañía, lo único que varía son el tipo de herramientas que emplea cada empresa, depende de si la compañía da muchos servicios TI o no, pero el tamaño de la compañía no tiene mucho peso en este ámbito. De hecho, en las firmas es más fácil implantar la norma que en las grandes cuentas, porque el cambio cultural es un aspecto fundamental a la hora de migrar a una nueva filosofía, y ahí se mueven mejor las empresas más pequeñas.
¿Qué criterios debe valorar una entidad para decidir si se embarca en una certificación de ISO 20000 o no? Básicamente se debe preguntar si su negocio necesita una acreditación de su labor tecnológica o no para ganar en valor. Está claro que una empresa como Indra que vive de la tecnología debería decantarse por el sí, pero un horno de pan con cuatro empleados probablemente pueda seguir funcionando una la infraestructura básica.
ISO 20000 está especialmente indicada para aquellas compañías que cotizan en Bolsa y ven cómo sus clientes le piden que gestione los riesgos de su TI, la norma es una buena manera de controlar los riesgos asociados a la gestión de su TI, de ahí que la mayoría de los centros de datos, las telcos y las empresas puramente TIC son potenciales aspirantes a certificarse en ISO 20000. Otra de las bazas de esta norma es que no es sólo una certificación o un papel solo, sirve también como una guía para mejorar la gestión del servicios, cualquier empresa ávida de acometer cambios de cara a mejorar su gestión puede tomar la norma cómo hoja de ruta o modelo a seguir, aunque después no llame a una empresa certificadora para que le haga una inspección y le extienda el certificado. De hecho, cada vez surgen más empresas que no piensan certificarse y que utilizan la norma como un espejo en el que mirarse para mejorar internamente.
En cuanto a los proveedores y consultores que se están volcando en ofrecer propuestas facilitadoras de la norma, la variedad también es amplia, aunque en su mayoría los proveedores se podrían clasificar en aquellos que proceden del mundo ITIL y ahora ofrecen también servicio de consultoría e integración para ISO 20000 y, un segundo grupo, de empresas que han paquetizado herramientas ajustadas para las pymes. Alejandro Pérez explica que el modelo más habitual es acudir a un consultor que analice la situación de la empresa y defina los pasos a seguir, para después elegir un integrador que ayude a desarrollar los procesos y, finalmente, volver al consultor para solicitar que compruebe que se han realizado los pasos oportunos. El último eslabón de la cadena pasaría por elegir una empresa certificadora que diera el visto bueno y validase las operaciones anteriores oficialmente.
