miércoles, 28 de mayo de 2025

CERTIFICACIÓN ISO 20000-1 CÓMO CONSEGUIRLA EN TU ORGANIZACIÓN

ISO/IEC 20000-1:2018 es un estándar internacional que define requisitos para implantar, mantener y mejorar la gestión de servicios de tecnología de la información en tu organización.

Y cuando hablo de “gestión de servicios” me refiero al ciclo entero de un servicio:

  • Planificación del servicio.
  • Diseño del servicio y cambios.
  • Entrega del servicio.
  • Mejora del servicio.

Esta norma está preparada para que una organización que preste servicios de tecnología de la información mejore su gestión a través del cumplimiento de los diferentes requisitos que se mencionan en ella.

La ISO 20000-1:2018 se divide en diez cláusulas, siguiendo el Anexo SL de ISO:

  1. Alcance: define qué cubre el SMS.
  2. Referencias normativas: normas complementarias.
  3. Términos y definiciones: para un lenguaje común.
  4. Contexto de la organización: entender entorno y partes interesadas.
  5. Liderazgo: compromiso de la alta dirección.
  6. Planificación: riesgos, oportunidades y objetivos.
  7. Soporte: recursos, competencia, documentación y comunicación.
  8. Operación: gestión del portafolio, diseño, transición, entrega y aseguramiento del servicio.
  9. Evaluación del desempeño: KPIs, auditorías y revisión por la dirección.
  10. Mejora: no conformidades y acciones correctivas.

Cada bloque es importante para entender el proceso de certificación ISO 20000-1.

No obstante, es a partir del bloque 4 “Contexto de la organización”, donde se comienza a exigir requisitos de cumplimiento por parte de las organizaciones.

Si interesado en la certificación ISO 20000-1 es probable que sea directivo de su organización, responsable de TI o simplemente el responsable del sistema de gestión de servicio de su organización.

Tengas el rol que tengas, si quieres conseguir ISO 20000-1 en tu organización, estás en el blog adecuado. Te voy a contar con detalle:

  • ¿Qué es ISO 20000-1?
  • Cómo está estructurada ISO 20000-1: los bloques de la norma y requisitos.
  • Cómo planificar el proyecto para conseguir ISO 20000-1.
  • Qué debes hacer para obtener la certificación ISO 20000-1 en cada bloque de la norma.

Sin más introducción empiezo a contarte.

Cómo conseguir la certificación ISO 20000-1

Bien, entonces ¿cómo conseguir la certificación ISO 20000-1 ?

Lo consigues teniendo en cuenta esto 4 grandes hitos:

  1. Planificación: recursos humanos, recursos económicos, formación interna, posibles contrataciones externas como consultores, un plan de trabajo.
  2. Implantación: ejecutar el plan de trabajo definido para cumplir cada requisito de la norma.
  3. Auditoría interna: realizar una auditoría interna (obligatoria por la norma).
  4. Auditoría de certificación: superar la auditoría de certificación ISO 20000-1


La fase de planificación es una de las más importantes porque es donde podrás ver si el proyecto es viable o no.

Para realizar una buena planificación, necesitas:

  • Política y alcance: definir por parte de dirección el alcance de certificación que quieren obtener.
  • Análisis GAP: comparar el estado de tu gestión actual con los requisitos de la norma (debes conocer la norma para poder hacerlo).
  • Recursos: define un presupuesto con horas de trabajo de tu personal, posibles contrataciones de consultores externos, posibles herramientas tecnológicas que debes adquirir para cumplir con los requisitos de la norma, honorarios de auditoría de certificación.

Si la fase de Planificación la tienes validada y aprobada por parte de Gerencia o Dirección es cuando puedes pasar a la fase de Implantación.

Entramos ya en quid de la cuestión, el comenzar a cumplir los requisitos de la norma.

Pero, ¿qué requisitos y cómo cumplirnos?

Eso es lo que te voy a indicar ahora.

Te voy a definir los diferentes bloques de la norma por los cuales se comienzan a exigir requisitos para que sepas cuáles son y cómo cumplir dichos requisitos.

Análisis del contexto de la organización para cumplir con ISO 20000-1

La ISO 20000-1 te pide definir y estudiar el contexto interno y externo (4.1), identificar partes interesadas y sus necesidades (4.2) y definir claramente el alcance del sistema de gestión de servicios de tecnología de la información (4.3).

Qué debes hacer para cumplir con ISO 20000-1 :

  1. Listado y estudio de aeronaves internas y externas: reúne a Dirección, TI y los responsables de procesos clave. Lista una serie de asuntos internos y externos como pueden ser: estructura de la organización, situación económica interna, situación tecnológica, cultura, objetivos estratégicos, etc.
  2. Mapa de procesos: identifica los principales procesos estratégicos, operativos y de soporte. Y describe cómo interactúan entre ellos.
  3. Alcance del sistema de gestión de servicio: el alcance del sistema de gestión es una parte importantísima ya que sobre ella se basarán todo el cumplimiento de los requisitos para obtener la certificación ISO 20000-1.
  4. Listado de partes interesadas: Identifica los diferentes stakeholders de tu organización tanto internos como externos. Y para cada uno de ellos redacta cuáles son las necesidades o expectativas de ellos respecto a tu organización y cómo va tu organización a cumplir con esas necesidades o expectativas.

Liderazgo y compromiso

Aquí la alta dirección debe demostrar liderazgo (5.1) y compromiso con la política del sistema de gestión se servicio de tecnología de la información  (5.2).

Sin esto, nada sale adelante.

Qué hacer debes hacer para cumplir con ISO 20000-1:

  1. Política SMS: redacta y firma una política clara, alineada con objetivos de negocio desde el punto de vista de la gestión de servicios y el cumplimiento de las necesidades de las partes interesadas.
  2. Roles y responsabilidades: designa un responsable del sistema de gestión de servicio (se encargará de hacer seguimiento a la implantación y defender la auditoría con los organismos certificadores ). Y además también define otros roles que existen en tu organización y que están alineados con el organigrama de tu empresa.

Acciones para abordar riesgos y oportunidades para cumplir con ISO 20000-1

ISO 20000-1 exige planificar el cómo identificar y tratar riesgos y oportunidades que afectan al sistema de gestión de servicio de tecnología de la información.

Si ha realizado un buen análisis interno y externo podrá haber identificado algunas situaciones de riesgos y también de oportunidades.

Qué debes hacer para cumplir este bloque de requisitos:

  1. Registro de riesgos/oportunidades: crea un documento donde describe cada riesgo, su probabilidad y su impacto.
  2. Planes de acción: para cada ítem, define si vas a mitigar, transferir, aceptar o explotar. Asigna responsable y plazo.
  3. Revisión periódica: revisa el registro, como mínimo, cada tres o cuatro meses para que compruebes si estás alcanzando el resultado deseado.

Objetivos de gestión de servicios según ISO 20000-1

Los objetivos que define en tu organización deben ser SMART : específicos, medibles, alcanzables, relevantes y con tiempo.

Todos los objetivos deben tener coherencia con la política que se ha definido y estar alineados directamente con la gestión de servicios de tecnología de la información.

¿Qué es para ti realizar una buena gestión de servicio?

Pues eso debes aterrizarlo y asignarle algunas métricas concretas. Métricas internas y también relacionadas con la gestión a tus clientes.

Si lo haces así ya tendrás tus objetivos desplegados.

Qué debes hacer para superar la certificación ISO 20000-1:

  1. Definir objetivos claros y concretos .
  2. Asignar KPIs a cada objetivo.
  3. Seguimiento a cada objetivo y medir su consecución.

Competencia, Concienciación y Comunicación 

La norma destaca la importancia del personal y la comunicación eficaz.

Si quieres obtener ISO 20000-1 debes demostrar que tus trabajadores están concienciados con la buena gestión de servicio y preparados para ello.

En la auditoría de certificación ISO 20000-1, el auditor elegirá algún puesto de trabajo que hayas descrito y comprobará que existe en el organigrama y que la persona que lo desarrolla cumple los requisitos que ha establecido para ese puesto.

Qué debes hacer para cumplir este bloque:

  1. Plan de formación: identificación brechas de competencia y programa cursos (ITIL, seguridad de la información, gestión de cambios, etc).
  2. Descripción de puestos alineados con competencias: para cada rol descrito como puestos de trabajo asegúrese de que las competencias descritas (educación, formación mínima y habilidades) las cumplan cada persona que desarrolla ese puesto de trabajo.
  3. Plan de comunicación: establece un plan de comunicación para demostrar qué se comunica interna y externamente respecto al sistema de gestión de servicios de tecnología de la información.  

Información documentada para cumplir con ISO 20000-1

Gestionar adecuadamente la documentación física y digital de tu empresa es fundamental: procedimientos, políticas y registros, código fuente, etc.

Qué debes hacer para cumplir con este requisito:

  1. Elaborar Procedimientos: para gestión de cambios, incidentes, peticiones, continuidad del servicio, etc.
  2. Control de documentos: utilice un repositorio con versionado (SharePoint, Wiki) y un procedimiento para revisar caducidades.
  3. Control del código fuente: utiliza un sistema de control de versiones para el código fuente, por ejemplo Git.

Portafolio de servicios 

Debes definir el catálogo de servicios y el portafolio definir qué ofreces y bajo qué condiciones.

Hay empresas que lo justifican con un portafolio Canvan.

Otras empresas tienen un porfolio de servicio al cual le añaden una ficha de servicio y explican con todo detalle el objetivo del servicio, a quién se presta, cuáles son las partes interesadas de dicho servicio, etc.

Además de esto deberás definir los tipos de elementos de configuración que existen en tus servicios. Es decir, qué elementos de configuración deben existir en la gestión de tus servicios para prestarse en situaciones controladas:

  • Hardware
  • Software
  • Documentos
  • Personas

Hay empresas que lo evidencian con una hoja de cálculo en la que van listando por filas los elementos de configuración y por columnas:

  • La identificación del elemento de configuración.
  • El tipo de elemento de configuración que es.
  • Cómo se relaciona con otro elemento de configuración.
  • El estado de dicho elemento de configuración.

Qué debes hacer para cumplir con este requisito:

  1. Catálogo de servicios: haz una descripción de los mismos, objetivos, partes interesadas.
  2. Defina los elementos de configuración para la gestión del servicio.

Relación y acuerdo

Aquí estamos hablando de tener definidos acuerdos de nivel de servicio tanto con tus proveedores como con tus clientes.

Cada uno de ellos tendrá sus acuerdos de nivel de servicio. Los proveedores te ayudarán con su gestión a cumplir los SLA que firmas con tus clientes.

Deben existir estos acuerdos de niveles de servicio tanto con proveedores como con clientes para luego poder medirlos periódicamente y conocer si se están llegando a los acuerdos que se han pactado.

¿Qué debes hacer?

  1. SLA con clientes: tener firmados acuerdos de nivel de servicio, con objetivos de disponibilidad, tiempos de respuesta y resolución.
  2. OLAs (Operational Level Agreements): acuerdos internos con los departamentos de tu organización para medir los SLA de tus clientes. para soporte y escalada.
  3. SLAs con proveedores: tener firmados acuerdos de nivel de servicio con tus proveedores más críticos y los que influyen en mayor medida a la gestión del servicio que tu entregas a tus clientes.  

Oferta y demanda

La clave de este bloque de requisitos es conseguir tener un equilibrio y controlar la capacidad (de Recursos Humanos y de TI) de tu organización con la demanda de servicios que tienes.

Además, debes ser capaz de tener un control financiero entre los costos reales con respecto al presupuesto ofertado en cada uno de los servicios que entregas al mercado.

Qué debes hacer para cumplir los requisitos de oferta y demanda:

  1. Previsión de demanda: análisis histórico y proyecciones (proyectos, lanzamientos).
  2. Plan de capacidad: servidores, licencias, personal de soporte.
  3. Control de presupuesto: monitorizar las diferencias entre costes reales derivados de los servicios entregados con los presupuestos realizados.

Diseño, construcción y transición de servicios para la certificación ISO 20000-1.

Este bloque de requisitos trata sobre cómo vas a diseñar los servicios, cómo los vas a entregar de forma controlada y cómo vas a gestionar los cambios.

Qué debes hacer para evidenciar estos requisitos:

  1. Procedimiento de diseño: requisitos humanos, técnicos, dependencia de otros servicios, pruebas a realizar, criterios de aceptación, etc.
  2. Procedimiento de cambios: solicitud, evaluación de impacto, autorización y planificación para los cambios, etc.
  3. Procedimiento de entregas: definir los tipos de entregas (entrega continua, entrega de urgencia, entrega de cambios), planificación de la entrega, problemas durante la entrega, etc.

Resolución y ejecución del servicio 

En este bloque deberás de centrarte en cómo son tus procesos para la gestión de incidentes, peticiones de servicio y problemas.

Tanto las incidencias, las peticiones de servicios, como los problemas debes de registrarlas, clasificarlas, escalarlas (si es necesario) y cerrarlas.

Debes de diferenciar además entre una incidencia y un problema para poder gestionarlo correctamente.

Recuerda que un problema es la causa de una o más incidencias.

Y una incidencia es una interrupción inesperada de un servicio, una reducción en la calidad de un servicio o un evento que aún no ha tenido impacto en el servicio.

Qué debes hacer para cumplir con estos requisitos:

  1. Procedimiento para atención de incidentes.
  2. Procedimiento para atención de peticiones de servicio.
  3. Procedimiento para atención de problemas.
  4. KPIs para cada uno de ellos.

Aseguramiento de servicios

Este bloque de requisitos trata sobre la necesidad de verificar la calidad de lo que estás entregando y asegurandote de su continuidad.

Por eso un asunto importante aquí es garantizar la continuidad del negocio ante posibles riesgos externos e internos que puedan paralizar la continuidad del mismo (infecciones por virus, huelgas, ataques informáticos, caída de conectividad a la red eléctrica, datos, etc).

Qué debes hacer para obtener la certificación ISO 20000-1:

  1. Plan de continuidad: define un plan de continuidad en el que refleja diferentes escenarios de desastres y cómo vas a responder ante ellos.
  2. Controles de seguridad de la información: implemente una serie de controles de seguridad de la información según ISO 27001 o ISO 27002.

Evaluación del desempeño

Mide y analiza la eficacia del sistema de gestión del servicio de tecnología de la información.

Utiliza método para analizar la satisfacción del cliente y la entrega de informes de servicios.

Realiza además una auditoría interna del sistema de gestión y lleva a cabo la revisión por la dirección.

Qué debes hacer para cumplir este bloque de requisitos:

  1. Indicadores de gestión: porcentaje de SLAs cumplidos, nivel de satisfacción de tus clientes, hallazgos de auditoría.
  2. Realización de auditoría interna: realice la auditoría y documente bien los hallazgos encontrados.
  3. Acta de revisión por dirección: realice el acta de revisión por dirección que obliga la norma a llevar a cabo.
  4. Informes de servicio: redacta y entrega informes sobre el rendimiento de tus servicios a tus clientes. Utilice para ello toda la información que ha ido trabajando en el sistema de gestión.

Mejora continua

Cierra el ciclo de la gestión de servicios, con acciones de mejora continua en tu organización.

Para mejorar continuamente puedes utilizar, aparte de lo comentado anteriormente, la herramienta del estudio de no conformidades y acciones correctivas.

Qué hacer:

  1. Registro de no conformidades: documenta la causa raíz de lo ocurrido y propón y acciones correctivas que eliminan dicha causa raíz.
  2. Seguimiento a las no conformidades: haz un seguimiento a las no conformidades abiertas hasta asegurarte de que la acción correctiva ha sido eficaz ya que elimina la causa raíz de lo ocurrido.

 Bueno, pues con este trabajo, podrás obtener la certificación ISO 20000-1 sin problema.

La clave está en planificar bien, ejecutar y hacer un seguimiento a la implantación.

Tomado de: https://iveconsultores.com/

Publicadas por a la/s
Etiquetas: , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)