La ISO/IEC 20000, también conocida como ISO 20000, es la norma internacional de gestión de servicios de TI (ITSM) desarrollada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
ITSM es la práctica de prestar servicios de TI que permiten a una organización satisfacer las necesidades de sus usuarios (tanto empleados como clientes) y alcanzar sus objetivos empresariales. La norma ISO 20000 describe requisitos, buenas prácticas, referencias y orientación para planificar, diseñar, implementar, mantener y mejorar continuamente un sistema de gestión de servicios (SMS).
Publicada por primera vez en 2004, la ISO 20000 se revisó en 2011 y nuevamente en 2018; la última revisión es la más actual y se denomina ISO 20000:2018.
La ISO 20000 ha ganado popularidad en los últimos años entre los proveedores de servicios de TI y las organizaciones de todos los sectores que se esfuerzan por mejorar continuamente el rendimiento general de la ITSM, reducir los riesgos y mejorar la calidad del servicio mediante la incorporación de una mayor eficiencia y productividad en sus procesos de gestión de servicios.
Las ofertas de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS) de IBM cuentan con un proceso de gestión de servicios que cumple con la norma ISO 20000-1:2018.
Los certificados ISO 20000 de IBM están publicados y disponibles de forma general. Los siguientes servicios cuentan con la certificación ISO 20000. Los servicios que se indican a continuación emiten certificados ISO al menos una vez al año.
La ISO 20000-1 (ISO/IEC 20000-1:2018) es la norma principal, que proporciona la metodología para desarrollar, implementar, mantener y mejorar continuamente su sistema de gestión de servicios. (ISO 20000 e ISO 20000-1 a veces se usan indistintamente). La ISO 20000-1 incluye requisitos y especificaciones aplicables a todo el ciclo de vida del servicio de TI. Entre otras cosas, proporciona orientación sobre:
- Medir las necesidades de SMS dentro del contexto de la organización
- Establecer una estructura de liderazgo para el desarrollo, mantenimiento y evolución de un SMS
- Planificarse y prepararse para el desarrollo y la mejora del SMS, incluida la determinación de los objetivos organizativos y los riesgos y oportunidades
- Apoyar el SMS una vez construido
- Operar, controlar y dar servicio al SMS
- Evaluar el rendimiento de un SMS, incluida la supervisión y las auditorías internas
- Mejorar un SMS, incluidas las medidas correctivas y las mejoras
Documentos complementarios adicionales de ISO 20000
Se han añadido partes adicionales de la norma ISO 20000, o documentos complementarios, para ayudar a explicar y abordar distintos aspectos sobre cómo cumplir o aplicar la norma principal en determinadas circunstancias.
Los comités ISO/IEC añaden, revisan y retiran estas partes según sea necesario. El año de la versión más reciente se añade al nombre completo (como en la ISO/IEC 20000-5:2022). Las partes notables incluyen:
La ISO 20000-2 (ISO/IEC 20000-2:2019) ofrece orientación a las organizaciones sobre la aplicación de sistemas de gestión de servicios basados en ISO 20000-1. La guía incluye ejemplos y sugerencias para interpretar y aplicar la norma principal bajo ISO 20000-1.
La ISO 20000-3 (ISO/IEC 20000-3:2019), que ofrece orientación sobre el alcance de la ISO 20000-1 para ayudar a las organizaciones a evaluar si la norma principal se aplica a sus circunstancias. La ISO 20000-3 explica cómo definir el alcance de un SMS y puede ayudar a las organizaciones a planificar una evaluación de la conformidad por parte de un organismo de certificación según la ISO 20000-1.
El documento incluye ejemplos de declaraciones de alcance de un SMS, con varios ejemplos, desde escenarios de cadena de suministro relativamente sencillos hasta complejos.
La ISO 20000-5 (ISO/IEC 20000-5:2022), que proporciona orientación sobre la implementación de sistemas de gestión de servicios que se ajusten a la norma ISO 20000-1.
ISO 20000-6 (ISO/IEC 20000-6:2017), que aborda los requisitos para los organismos de certificación que verifican si el SMS de una organización se ajusta a la norma ISO 20000-1. La norma ISO 20000-6 también puede ser utilizada por los organismos de acreditación que evalúan a los organismos de certificación.
La ISO 20000-10 (ISO/IEC 20000-10:2018), que define la taxonomía, los conceptos y el vocabulario de los términos utilizados en ISO 20000-1.
La ISO 20000-11 (ISO/IEC 20000-11:2021), que proporciona orientación sobre las correlaciones entre la ISO 20000-1 y el marco establecido en la biblioteca de infraestructura de TI (ITIL), un marco establecido de buenas prácticas para gestionar y mejorar el soporte de TI y la prestación de servicios. La ISO 20000-11 está destinada a:
- Ayudar a las organizaciones que ya cumplen la norma ISO 20000-1 pero que desean utilizar ITIL para mejorar su SMS;
- Ayudar a las organizaciones que utilizan ITIL a demostrar cómo su SMS se ajusta a las normas de la ISO 20000-1; y
- Proporcionar a los auditores de SMS una mejor comprensión del uso de ITIL como ayuda para lograr el cumplimiento de la ISO 20000-1.
La ISO 20000-14 (ISO/IEC 20000-14:2023), que se centra principalmente en la integración y gestión de servicios (SIAM) dentro de un SMS, proporcionando orientación a las organizaciones que gestionan múltiples proveedores de servicios dentro de un SMS.
ISO 20000-15 (ISO/IEC 20000-15:2024), que aborda cómo los marcos de gestión de proyectos, como Agile, y los principios de desarrollo de software, como DevOps, pueden aplicarse en un sistema de gestión de servicios conforme a la norma ISO 20000-1.
ISO 20000-16 (ISO/IEC 20000-16:2025), en fase de desarrollo en el momento de redactar esta publicación, que proporcionará orientaciones sobre la sostenibilidad dentro de un SMS basado en la norma ISO 20000-1.
Las organizaciones que implementan la norma ISO 20000 para su SMS pueden optar por someterse a un proceso de certificación para verificar que los requisitos de su sistema de gestión de servicios cumplen la norma internacional.
Diversos organismos de certificación pueden auditar a las organizaciones que deseen ajustarse a la norma ISO 20000. El proceso de certificación suele requerir que las organizaciones mantengan una documentación detallada de los requisitos y procesos de su sistema de gestión de servicios y de cómo se adhieren a la norma.
La certificación ISO 20000 puede ser necesaria para otras certificaciones o credenciales importantes. Por ejemplo, los proveedores de servicios en la nube que deseen obtener la acreditación del Ministerio de Electrónica y Tecnología de la Información (MietY) de la India deben demostrar y mantener el cumplimiento de la norma ISO 20000 y otras normas de seguridad.
Una encuesta de ISO de 2022 mostró que la certificación ISO 20000 es la octava certificación de normas ISO más popular en el mundo según el número de organizaciones certificadas. Muchas organizaciones buscan la certificación ISO 20000 para tranquilizar a los clientes sobre sus buenas prácticas de ITSM.
Sin embargo, ISO ha dejado claro que la certificación por parte de terceros no es la única razón para ajustarse a la norma, y que las organizaciones pueden obtener los beneficios del marco y la orientación de ISO 20000 para la implementación, evaluación y mejora continua del SMS con o sin certificación.
De nuevo, ITSM es la práctica de prestar servicios de TI que permitan a una organización satisfacer las necesidades de sus usuarios (tanto empleados como clientes) y alcanzar sus objetivos empresariales. Las organizaciones han utilizado la ISO 20000 para abordar diversas cuestiones relacionadas con la ITSM, entre las que se incluyen:
- Gestión de relaciones comerciales
- Gestión del cambio
- Gestión del nivel de servicio
- Gestión de la capacidad
- Gestión de la disponibilidad
- Gestión de problemas
- Gestión de incidentes
- Gestión de la demanda
- Gestión de la cadena de suministro
ISO 20000 e ITIL son similares en el sentido de que son las principales fuentes de buenas prácticas para los sistemas de gestión de servicios de TI. Tanto la norma internacional como ITIL abarcan el ciclo de vida de un SMS. A menudo se utilizan de forma conjunta en la planificación, la implementación, el mantenimiento y la mejora continua de dichos sistemas.
Mientras que la ISO 20000 proporciona una metodología genérica para las buenas prácticas de ITSM, ITIL detalla las prácticas específicas que deben utilizarse para lograr los objetivos descritos en la metodología de la ISO 20000. Y aunque la ISO 20000 se desarrolló teniendo en cuenta el marco ITIL, también se puede utilizar con otros marcos de gestión de servicios de TI, como el marco COBIT o el marco de operaciones de Microsoft.
La ISO 20000 es una norma internacional escrita para aplicarse a organizaciones de todos los tamaños en todas las geografías, independientemente de la naturaleza de los servicios que se prestan. Por eso, organizaciones y empresas de todos los sectores han utilizado la norma ISO 20000 como referencia para el desarrollo de SMS. Los usuarios y casos de uso incluyen:
- Organizaciones que quieran demostrar su capacidad para diseñar, mantener y mejorar su prestación de servicios
- Organizaciones que buscan auditar y revisar el rendimiento de su SMS
- Clientes que buscan una garantía de calidad en el SMS de una organización
- Clientes que buscan un enfoque coherente para la gestión de servicios de TI por parte de todos sus proveedores, incluso como parte de una cadena de suministro
- Consultores y asesores de SMS
- Organizaciones que realizan evaluaciones de cumplimiento de la norma ISO 20000
La ISO 20000 se diseñó teniendo en cuenta otras normas internacionales debido a la necesidad de integración con los sistemas de gestión de calidad y seguridad. Las normas relacionadas con la ISO 20000 incluyen:
La ISO 9001 (ISO/IEC 9001), la norma internacional para sistemas de gestión de calidad. Establece los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la calidad (SGC).
La ISO 22301 (ISO/IEC 22301), la norma internacional para los sistemas de gestión de la continuidad del negocio. Su objetivo es ayudar a las organizaciones a protegerse, reducir las posibilidades y recuperarse de los incidentes que interrumpen sus servicios.
La ISO 27001 (ISO/IEC 27001), la norma internacional para sistemas de gestión de seguridad de la información (SGSI). Define los requisitos que debe cumplir un SGSI, ayuda a las organizaciones a gestionar los riesgos de seguridad de datos y las asiste en la implementación de buenas prácticas para la seguridad de la información, la protección de datos y la ciberseguridad.