ISO/IEC 20000, también conocida como ISO 20000, es la norma internacional para la gestión de servicios de TI (ITSM), desarrollada conjuntamente por la Organización Internacional de Normalización (ISO) y la International Electrotechnical Commission (IEC).
La ITSM es la práctica de prestar servicios de TI que permiten a una organización satisfacer las necesidades de sus usuarios (tanto empleados como clientes) y alcanzar sus objetivos comerciales. La ISO 20000 describe requisitos, mejores prácticas, puntos de referencia y orientación para planear, diseñar, implementar, mantener y mejorar continuamente un sistema de gestión de servicios (SMS).
Publicada por primera vez en 2004, la ISO 20000 se revisó en 2011 y nuevamente en 2018; la última revisión es la más actual y se conoce como ISO 20000:2018.
La ISO 20000 ganó popularidad en los últimos años entre los proveedores de servicios de TI y las organizaciones de todas las industrias que se esfuerzan por mejorar continuamente el rendimiento general de la ITSM, reducir los riesgos y evolucionar la calidad del servicio incorporando mayor eficiencia y productividad en sus procesos de gestión de servicios.
Las ofertas de IBM® Infrastructure as a Service (IaaS) e IBM Platform as a Service (PaaS) cuentan con un proceso de gestión de servicios que cumple con la ISO 20000-1:2018.
Los certificados ISO 20000 de IBM están publicados y disponibles en general. Los siguientes servicios cuentan con la certificación ISO 20000. Los siguientes servicios emiten certificados ISO al menos una vez al año.
La ISO 20000-1 (ISO/IEC 20000-1:2018) es la norma principal, que proporciona la metodología para desarrollar, implementar, mantener y mejorar continuamente su sistema de gestión de servicios. (la ISO 20000 y la ISO 20000-1 a veces se usan indistintamente). La ISO 20000-1 incluye requisitos y especificaciones aplicables a todo el ciclo de vida del servicio de TI. Entre otras cosas, proporciona orientación sobre:
- Medir las necesidades de SMS dentro del contexto de la organización
- Establecer una estructura de liderazgo para el desarrollo, mantenimiento y evolución de un SMS
- Planeación y preparación para el desarrollo y la mejora del SMS, incluida la determinación de los objetivos organizacionales y los riesgos y oportunidades
- Dar soporte al SMS una vez construido
- Operar, controlar y mantener el SMS
- Evaluar el rendimiento de un SMS, incluido el monitoreo y las auditorías internas
- Mejorar un SMS, incluidas medidas correctivas y mejoras
Documentos complementarios adicionales de la ISO 20000
Se agregaron partes adicionales de la ISO 20000, o documentos complementarios, para ayudar a explicar y tratar diferentes elementos de cómo cumplir o aplicar la norma primaria en determinadas circunstancias.
Los comités de ISO/IEC agregan, revisan y retiran estas partes según sea necesario. El año de la versión más reciente se adjunta al nombre completo (como en la ISO/IEC 20000-5:2022). Las partes notables incluyen:
La ISO 20000-2 (ISO/IEC 20000-2:2019) ofrece orientación a las organizaciones sobre la aplicación de sistemas de gestión de servicios basados en la ISO 20000-1. Las orientaciones incluyen ejemplos y sugerencias para interpretar y aplicar la norma principal con arreglo a la ISO 20000-1.
La ISO 20000-3 (ISO/IEC 20000-3:2019), que ofrece orientación sobre el alcance de la ISO 20000-1 para ayudar a las organizaciones a evaluar si la norma principal se aplica a sus circunstancias. La ISO 20000-3 explica cómo definir el alcance de un SMS y puede ayudar a las organizaciones a planificar una evaluación de la conformidad por parte de un organismo de certificación con respecto a la ISO 20000-1.
El documento incluye ejemplos de declaraciones de alcance para un SMS, utilizando varios ejemplos, desde escenarios relativamente sencillos hasta complejos de la cadena de suministro.
La ISO 20000-5 (ISO/IEC 20000-5:2022), que proporciona orientación sobre la implementación de sistemas de gestión de servicios que se ajustan a la norma ISO 20000-1.
La ISO 20000-6 (ISO/IEC 20000-6:2017), que trata los requisitos para los organismos de certificación que verifican si el SMS de una organización cumple con la norma ISO 20000-1. La ISO 20000-6 también puede ser empleada por los organismos de acreditación que evalúan a los organismos de certificación.
La ISO 20000-10 (ISO/IEC 20000-10:2018), que define la taxonomía, los conceptos y el vocabulario de los términos utilizados en la ISO 20000-1.
La ISO 20000-11 (ISO/IEC 20000-11:2021), que proporciona orientación sobre las correlaciones entre la norma ISO 20000-1 y el marco establecido en la biblioteca de marcos de TI (ITIL), un marco establecido de mejores prácticas para gestionar y mejorar el soporte de TI y la capacidad de entrega de servicios. La ISO 20000-11 tiene como objetivo:
- Ayudar a las organizaciones que ya cumplen con la ISO 20000-1, pero que desean emplear ITIL para mejorar sus SMS;
- Ayudar a las organizaciones que emplean ITIL a demostrar cómo su SMS se ajusta a las normas ISO 20000-1; y
- Proporcionar a los auditores de SMS una mejor comprensión del uso de ITIL como apoyo para alcanzar la conformidad con la ISO 20000-1.
La ISO 20000-14 (ISO/IEC 20000-14:2023), que se centra principalmente en la integración y gestión de servicios (SIAM) dentro de un SMS, proporcionando orientación a las organizaciones que gestionan múltiples proveedores de servicios dentro de un SMS.
La ISO 20000-15 (ISO/IEC 20000-15:2024), que trata cómo los marcos de gestión de proyectos, tal como Agile, y los principios de desarrollo de software, tal como DevOps, se pueden aplicar en un sistema de gestión de servicios que cumple con la ISO 20000-1.
La ISO 20000-16 (ISO/IEC 20000-16:2025), en desarrollo al momento en que se redactó esto, proporcionará orientación para la sustentabilidad dentro de un SMS basado en ISO 20000-1.
Las organizaciones que implementan la ISO 20000 para sus SMS pueden decidir someterse a un proceso de certificación para verificar que los requerimientos de su sistema de gestión de servicios cumplan con la norma internacional.
Varios organismos de certificación pueden auditar a las organizaciones que buscan cumplir con la ISO 20000. El proceso de certificación generalmente requiere que las organizaciones mantengan documentación detallada de los requisitos y procesos de su sistema de gestión de servicios y cómo se adhieren al estándar.
Es posible que se requiera la certificación ISO 20000 para otras certificaciones o credenciales importantes. Por ejemplo, los proveedores de servicios en la nube que buscan un panel con el Ministerio de Electrónica y Tecnología de la Información (MietY) de India deben demostrar y mantener el cumplimiento de la ISO 20000 y otras normas de seguridad.
Una encuesta sobre la ISO de 2022 mostró que la certificación ISO 20000 es la octava certificación estándar ISO más popular en todo el mundo según el número de organizaciones certificadas. Muchas organizaciones buscan la certificación ISO 20000 para tranquilizar a los clientes sobre sus mejores prácticas de ITSM.
Sin embargo, la ISO ha dejado claro que la certificación de terceros no es la única razón para ajustarse a la norma, y que las organizaciones pueden aprovechar los beneficios del marco de ISO 20000 para la implementación, evaluación y mejora continua de SMS con o sin certificación.
Nuevamente, la ITSM es la práctica de brindar servicios de TI que permiten a una organización satisfacer las necesidades de sus usuarios (tanto empleados como clientes) y alcanzar sus objetivos comerciales. Las organizaciones emplearon la ISO 20000 para abordar diversos problemas de ITSM, incluyendo, entre otros:
- Gestión de relaciones comerciales
- Gestión de cambios
- Gestión del nivel de servicio
- Gestión de la capacidad
- Gestión de la disponibilidad
- Gestión de problemas
- Gestión de incidentes
- Gestión de la demanda
- Gestión de la cadena de suministro
La ISO 20000 e ITIL son similares en el sentido de que son las principales fuentes de mejores prácticas para los sistemas de gestión de servicios de TI. Tanto el estándar internacional como ITIL cubren el ciclo de vida de un SMS. A menudo se utilizan juntos en la planificación, implementación, mantenimiento y mejora continua de dichos sistemas.
Si bien la ISO 20000 proporciona una metodología genérica para las mejores prácticas de ITSM, ITIL detalla las prácticas específicas que deben utilizarse para lograr los objetivos descritos en la metodología ISO 20000. Y aunque la ISO 20000 se desarrolló teniendo en cuenta el marco ITIL, también se puede utilizar con otros marcos de gestión de servicios de TI, tal como el marco COBIT o Microsoft Operations Framework.
La ISO 20000 es una norma internacional escrita para aplicar a organizaciones de todos los tamaños en todas las geografías, independientemente de la naturaleza de los servicios que se prestan. Por eso, organizaciones y empresas de todas las industrias han empleado la ISO 20000 como punto de referencia para el desarrollo de SMS. Los usuarios y casos de uso incluyen:
- Organizaciones que desean demostrar su capacidad para diseñar, mantener y mejorar su prestación de servicios
- Organizaciones que buscan auditar y revisar el rendimiento de sus SMS
- Clientes que buscan garantía de calidad del SMS de una organización
- Clientes que buscan un enfoque coherente para la gestión de servicios de TI por parte de todos sus proveedores, incluso como parte de una cadena de suministro
- Consultores y asesores de SMS
- Organizaciones que realizan evaluaciones de conformidad con la ISO 20000
La ISO 20000 se diseñó teniendo en cuenta otras normas internacionales debido a la necesidad de integración con los sistemas de gestión de calidad y seguridad. Las normas relacionadas con la ISO 20000 incluyen:
La ISO 9001 (ISO/IEC 9001), la norma internacional para sistemas de gestión de calidad. Establece los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de calidad (QMS).
La ISO 22301 (ISO/IEC 22301) es la norma internacional para los sistemas de gestión de la continuidad de negocio. Su objetivo es ayudar a las organizaciones a proteger, reducir las posibilidades y recuperarse de incidentes que interrumpan sus servicios.
La ISO 27001 (ISO/IEC 27001) es la norma internacional para sistemas de gestión de seguridad de la información (ISMS). Define los requisitos que debe cumplir un ISMS, ayuda a las organizaciones a gestionar los riesgos de seguridad de los datos y las ayuda a implementar las mejores prácticas para la seguridad de la información, la protección de datos y la ciberseguridad.