reading

Prólogo

Actualmente asistimos a una R-evolución que está cambiando profundamente la forma en que trabajamos, convivimos e incluso nos relacionamos. La incesante aparición de nuevas tecnologías, nuevos paradigmas, nuevas aplicaciones y nuevas posibilidades nos ha obligado a aumentar nuestro ritmo de cambio para adaptarnos a esta nueva realidad.

La tecnología ha envuelto completamente a la sociedad y es difícil encontrar una actividad cotidiana en la que no tenga un peso importante, y más aún en las organizaciones de todo tipo, desde empresas a Administraciones, donde está presente en cada una de sus áreas o departamentos cuya operación depende casi totalmente de ella, acelerando o frenando la actividad organizativa. Es por ello, que la tecnología, a estas alturas del siglo xxi, no pasa inadvertida.

De manera consciente o no, estamos inmersos en un nuevo escenario global donde el uso de la tecnología nos rodea en nuestra día a día y ha llegado a modificar profundamente nuestros hábitos y costumbres; un escenario nuevo no solo ágil, sino dinámico e incluso elástico en el que organizaciones o modelos de negocio que antes duraban 40 años ahora apenas duran 40 meses. Un entorno nuevo caracterizado principalmente por ser Volátil, Incierto, Cambiante y Ambiguo: bienvenidos a un mundo VICA.

Y en este mundo complejo, cada vez más “As-a-Service”, la venta de productos está siendo despiadadamente relegada por la prestación de servicios, en la cual la gestión de la tecnología y la gestión de los servicios de tecnología tienen un papel fundamental. Sin esta tecnología y sin una adecuada gestión de la misma, en mayor o menor medida y con mayor o menor acierto, nos veríamos en serias dificultades para llevar a cabo actividades tan cotidianas como comunicarnos, mantenernos informados, pedir un taxi o reservar un alojamiento. Sin darnos apenas cuenta, nos hemos convertido en individuos absolutamente dependientes de ella.

Pero esta gestión no es tarea fácil, tanto las empresas como los profesionales que las componemos, debemos asumir nuevos retos que nos permitan gobernar y gestionar con éxito la digitalización, la transformación digital e incluso la disrupción digital en escenarios tan complejos como novedosos, donde cualquier avance debe ser capitalizado para, sobre la base de los logros conseguidos, seguir edificando ese futuro que nos permitirá progresar como sociedad. Porque debemos recordar que no toda innovación es progreso, que no se puede mejorar lo que no se puede medir, y que es nuestra obligación aprender continuamente tanto de nuestra experiencia como de la de los demás.

En este sentido, organizaciones como ISO a nivel internacional, a través de su Subcomité ISO/IEC JTC 1/SC 40, responsable de la elaboración de la norma ISO/IEC TS 38501 Information technology. Governance of IT. Implementation guide y de la serie de normas ISO/IEC 20000 Tecnología de la información. Gestión del servicio, y como la Asociación Española de Normalización, UNE, a nivel nacional, a través del Subcomité CTN 71/SC 40, responsable en España de la traducción y adopción de la serie de normas ISO/IEC 20000, son los legítimos garantes y verdaderos encargados de capitalizar el conocimiento de múltiples colectivos entre los que se encuentran los principales actores del conjunto de la industria, y asumen la inmensa responsabilidad de crear normas y marcos de referencia que permitirán, con el respaldo de la industria, establecer las líneas de base a partir de las cuales se edificarán productos y servicios más eficientes, seguros y confiables.

Asimismo, desde asociaciones como itSMF Internacional, y más concretamente desde itSMF España, trabajamos constantemente no solo para servir como interlocutor acreditado ante la sociedad del conjunto más relevante y numeroso de profesionales de tecnologías de la información en materia de gobierno y gestión del servicio, sino también para servir de correa de transmisión de estas normas, modelos, métodos y marcos de negocio, estableciendo vínculos firmes entre la teoría y la práctica, divulgando, reflexionando, generando opinión y aplicando en entornos reales su vigencia, idoneidad y eficacia en el día a día de las organizaciones, y traduciéndolos del plano meramente teórico al práctico a través de la generación de pruebas, casos de uso y casos de éxito.

En un entorno tan competitivo como el que vivimos, sometidos a competidores de escala y altura globales, y donde los procesos juegan un importante papel en la optimización de la operación de negocio, las organizaciones que puedan competir serán sin duda aquellas que no dejen nada al azar, organizaciones que entiendan la diferencia entre agilidad y precipitación, organizaciones que apliquen método y no improvisación, organizaciones que sean capaces de aprovechar el conocimiento y la potencia de estas normas para edificar nuevos servicios de base tecnológica más seguros, capaces y confiables, teniendo claro no solo el valor que aportan, sino la necesidad de poner el foco en el cliente a través de experiencias de usuario y empleado.

Capacidades todas las descritas que, sin ningún lugar a dudas y como no podía ser de otra manera, podrán ser certificadas por entidades de reconocida solvencia como es el caso de AENOR, que atesora una extensa trayectoria de éxitos en la evaluación de la conformidad (certificación) de muchas de estas normas, tanto a nivel nacional como internacional, y cuyo prestigio se convertirá en la llave que permitirá a muchas organizaciones abrir las puertas de nuevos mercados, nuevos países o nuevos servicios.

Este libro que hoy tiene en sus manos es una poderosa herramienta que le puede ayudar tanto a usted como a su organización. Pero permítame darle un consejo: no vea este libro ni ninguna norma como algo obligatorio, punitivo, estricto, o como burocracia innecesaria. El conocimiento que atesoran tanto este libro como la Norma ISO/IEC 20000-1:2018, de la cual hace un intenso, profundo y experto análisis, deben verse más bien como un itinerario, una hoja de ruta hacia la excelencia que puede usted recorrer cómodamente. Piense que todo lo aquí descrito es fruto del trabajo intenso de muchos equipos de grandes profesionales que, a nivel internacional, han invertido su tiempo, esfuerzos y conocimientos en dejar un legado del que usted puede beneficiarse y que puede ayudar al conjunto de la industria a crear un futuro mejor.

Para finalizar, permítame reconocer, felicitar y, por supuesto, dar mi más sincera enhorabuena al equipo de autores compuesto por Ana Andrés Álvarez, Carlos Manuel Fernández Sánchez y Boris Delgado Riss por su excelente trabajo que ha dado como fruto este libro que hoy podemos disfrutar; enormes profesionales de gran prestigio tanto nacional como internacional, que han querido ayudar aún más al resto de profesionales del sector y a la industria en su conjunto, facilitándoles los conocimientos necesarios para entender con rigor esta norma con el énfasis puesto en los aspectos relativos a su última actualización.

Javier Peris
Presidente del CTN 71/SC 40
Gestión y gobierno de los servicios de TI.
Vicepresidente Ejecutivo de itSMF España

Introducción

En nuestra sociedad tecnificada, el sector industrial ha ido cediendo espacio al sector servicios de manera muy significativa. La problemática que presenta la gestión de la producción de servicios, y en particular de los servicios de TI, ha ocasionado que en esta nueva industria se hayan reutilizado rápidamente muchos métodos de gestión existentes. Pero la experiencia se ha encontrado con muchas dificultades, ya que hay muchos aspectos que no quedan cubiertos, mientras que otros no es posible aplicarlos; así, poco a poco, han ido surgiendo nuevas maneras de gestión.

Mientras que algunos marcos de trabajo se han hecho con un nombre en los últimos 35 años y han sido ampliamente utilizados por grandes organizaciones, había una gran parte de la industria a la que le hacía falta un enfoque más preciso y limitado a la hora de requerir recursos; esta necesidad fue cubierta por la Norma UNE-ISO/IEC 20000-1, publicada en su primera versión en el año 2005.

Desde entonces, aun pasando por tiempos difíciles, se ha visto cómo la industria abrazaba esta norma debido a que proporcionaba una metodología para afrontar las complejidades de la gestión de servicios de una manera ordenada y asequible, tanto técnica como económicamente.

La serie de normas UNE-ISO/IEC 20000 proporciona las herramientas para diseñar, crear y operar los servicios de manera eficaz y eficiente. La Norma UNE-EN ISO/IEC 20000-1, cuya nueva versión se publicó en 2018, está acompañada por otras dos normas que le dan soporte, aunque no son objeto de este libro:

• UNE-ISO/IEC 20000-2 Tecnología de la información. Gestión del servicio. Parte 2: Directrices para la aplicación del Sistema de Gestión del Servicio (SGS).

• UNE-ISO/IEC 20000-3 Tecnología de la información. Gestión del servicio. Parte 3: Directrices para la definición del alcance y la aplicabilidad de la Norma ISO/IEC 20000-1.

En la presente guía se detallan los requisitos que plantea la Norma UNE-ISO/IEC 20000-1 para la definición e implementación del sistema de gestión, así como los que presenta el establecimiento de los procesos asociados con la gestión de servicios.

Objetivo de esta guía

Al abordar la realización de la guía, nuestro objetivo no ha sido otro que colaborar en aportar valor a la organización que decida afrontar la aventura de una mejor gestión de sus servicios.

En cualquier empresa, y en las pymes especialmente, los recursos son limitados y, por tanto, es esencial obtener el mayor rendimiento de cualquier herramienta disponible que sirva para utilizarlos de manera óptima.

El objetivo de este libro es facilitar la implementación de la norma dando pautas sobre cómo hacerlo de la manera más satisfactoria posible. Para ello, se resuelven dudas y se sugieren soluciones.

Con este fin, se quiere facilitar la tarea a todos aquellos que:

• No están familiarizados con las normas ISO, explicando los principales conceptos relacionados con los sistemas de gestión.

• No están familiarizados con los conceptos de la gestión de servicios, detallando los principios y directrices de este aspecto de la gestión.

• Quieren implementar la gestión de servicios y no cuentan con el conocimiento necesario para hacerlo.

• Necesitan soporte para adaptar la norma a su organización.

Con todo ello se pretende que los conceptos relacionados con la gestión de los servicios de TI (on-premise y/o outsourcing) sean más fáciles de asimilar en cualquier organización y apoyar la idea de que es posible gestionarlos de manera más eficaz y eficiente, haciendo que esta gestión rinda beneficios tangibles y cuantificables al negocio. Además, esta guía sirve de apoyo y orientación en los actuales escenarios de teletrabajo, así como para la resiliencia de los servicios TI en tiempos de crisis.

Con respecto al futuro de los servicios de las tecnologías de la información y su relación con el desarrollo de aplicaciones (software), esta guía posibilita una solución ágil al concepto “DevOps” (Development-Operations), teniendo en cuenta metodologías ágiles en el desarrollo de nuevas aplicaciones, tal y como se describe en el artículo de Garzas, Morales y Fernández Sánchez “DevOps: rompiendo las barreras entre desarrollo y operaciones bajo el marco de la agilidad, la ISO 20000 y la ISO 15504/1220”, en la revista BYTE de junio de 2015.

1. Conceptos de gestión de servicios

1.1. Qué es un servicio TI

Todos estamos familiarizados con los servicios en nuestra vida cotidiana. Utilizamos servicios bancarios, de telefonía, de educación, sanitarios, etc. En muy poco tiempo nuestra sociedad ha pasado de ser una sociedad industrial, que producía bienes tangibles, a una de servicios, donde los productos ya no son materiales ni visibles.

Algunas de las definiciones que proporciona el Diccionario de la lengua española para “servicio” dejan claro de qué hablamos:

• 16. m. Organización y personal destinados a cuidar intereses o satisfacer necesidades del público o de alguna entidad oficial o privada. Servicio de correos, de incendios, de reparaciones.

• 17. m. Función o prestación desempeñadas por organizaciones de servicio y su personal.

Para las normas ISO la definición es:

• Medio de entrega de valor al cliente facilitándole los resultados que quiere lograr.

Los servicios que utilizan tecnologías de la información y las comunicaciones son servicios TI. Esta utilización es la que marca la diferencia con el resto de servicios. Las implicaciones de este uso los hacen especiales en muchos sentidos, ya que se puede:

• Ser mucho más productivo: atendiendo a más clientes con los mismos recursos.

• Ser más innovador: creando servicios nuevos para las nuevas necesidades de usuarios cada vez más exigentes y sofisticados.

• Proporcionar más calidad y más prestaciones: sin aumentar excesivamente los gastos.

Por supuesto las ventajas tienen su contrapartida:

• Hay que tener conocimientos técnicos significativos si queremos resultados.

• Los costes de creación y mantenimiento pueden ser importantes y escalar sin control.

• Una mala atención al cliente puede hundir el servicio mejor diseñado.

1.2. La calidad de los servicios

Como ya no vemos ni tocamos los productos, puede parecer que es más difícil saber en qué consiste la calidad de los servicios. Nada más lejos de la realidad. En nuestra vida cotidiana tenemos infinidad de casos en los que sabemos si un servicio es de calidad o no. Si vamos a tomar un café en un establecimiento y tardan en servirnos, nos dan por error un café frío, o incluso una manzanilla, si nos cobran mal… ¿diríamos que el servicio ha sido bueno? Lo mismo sienten nuestros clientes si no atendemos sus demandas, si no les suministramos lo que querían o si no hacemos lo que se espera de nosotros.

Los criterios de calidad de un producto solo se pueden extrapolar en parte a los servicios. Hay que pensar de otra manera, pero todos somos usuarios de servicios, por lo que debemos pensar en lo que nosotros mismos valoramos como clientes o como usuarios, por ejemplo:

• La disponibilidad del servicio: que esté ahí cuando lo necesitamos.

• La rapidez con la que se presta el servicio: que no haya demoras en su entrega.

• La capacidad: que podamos almacenar toda nuestra información, que pueda atender al mismo tiempo a todos nuestros usuarios, que acoja nuestro volumen de transacciones, etc.

• La mejora continua: que se solucionen con rapidez los errores o fallos que inevitablemente se producirán.

Hay que identificar qué características de nuestros servicios son las que los clientes valorarán y, por tanto, estarán dispuestos a pagar. Estas características serán nuestro sello de calidad.

1.3. Qué es la gestión de servicios

Podemos definir la gestión de servicios como el conjunto de capacidades y procesos para dirigir y controlar las actividades del proveedor de servicios, y los recursos para el diseño, transición, provisión y mejora de los servicios para cumplir con los requisitos de los contratos.

Dicho en una frase parece sencillo, pero cualquiera que se haya enfrentado al reto sabe que no es así. Hay multitud de factores, condicionantes, requisitos e implicados, que hacen de la gestión de servicios una tarea compleja en todas sus vertientes: de gestión del negocio, financiera, técnica y humana.

Manejar de manera precisa y eficiente todos estos elementos es un proceso que necesita herramientas y conocimientos que no siempre están disponibles en las organizaciones. También ocurre con frecuencia que se tiene el convencimiento de que nuestro negocio solo lo conocemos nosotros, y quiénes mejor, por tanto, para diseñar un nuevo método para gestionarlo que se ajuste a nuestras necesidades y capacidades. Si bien esto es cierto, los beneficios de no empezar de cero, sino partiendo de la experiencia y conocimientos de muchos expertos de distintos ámbitos, condensados en las buenas prácticas relacionadas con la gestión de servicios, no puede sino beneficiarnos.

1.4. Contexto de aplicación

Para los propósitos de esta guía, se ha considerado que el contexto de aplicación de la Norma UNE-ISO/IEC 20000-1 puede ser cualquier organización que preste servicios de TI independientemente de su tamaño, pero se ha tenido una orientación especial hacia las pymes que se dedican a ello.

Está claro que el concepto de pyme abarca desde microempresas con menos de diez trabajadores hasta medianas empresas con un par de cientos de trabajadores. Sin embargo, y salvo excepciones, debería ser posible aplicar los requisitos de la norma en todas ellas de manera similar.

Las diferencias en la implementación suelen venir dadas por la estructura organizacional o por la cultura de la organización, que marcan pautas que la distinguen de sus colegas y competidores. Pero la filosofía, por así decirlo, de la gestión es la misma. Haciendo el ejercicio de pensar en grandes empresas, la metodología habitual para la gestión de los servicios en este tipo de organizaciones es la versión original y ampliada de lo que propone la norma.

Por lo tanto todos aquellos con dudas acerca de si la norma se puede aplicar en su organización, pueden dejar de preocuparse por este aspecto. La norma aplica a todo tipo de organizaciones, del sector que sean, del tamaño que sean, tengan la estructura que tengan. Las directrices serán las mismas para todas, y lo que variará será la manera de aplicarlas en la organización.

1.5. Principios básicos

En nuestra experiencia hay tres principios básicos que rigen la gestión de servicios:

• Hay tres factores que deben equilibrarse: coste, tiempo y calidad. A pesar de las peculiares características de los servicios de TI, los clientes siguen esperando las mismas cosas que de otro tipo de productos o servicios: que les den lo que han comprado (calidad), que sea barato (coste) y que se lo den cuando lo piden (tiempo). Los proveedores tienen que encontrar la manera de suministrar los mejores servicios al mejor precio y a tiempo. No es nada nuevo en cualquier gestión de proyectos, pero aquí se añaden las dificultades de la complejidad de la provisión de servicios, con sus numerosos elementos y relaciones entre ellos.

• Siempre es más barato solucionar errores en planificación que en operación. Tomar precauciones para que alguien no autorizado entre en nuestras instalaciones es más barato que solucionar una intrusión y los daños derivados de ella. En nuestra vida cotidiana tenemos numerosos ejemplos de que esto es así; sin embargo, cuando se plantea lanzar un servicio al mercado, en numerosas ocasiones es sorprendente la falta de previsión y planificación con la que se hace. La planificación marca la diferencia entre un servicio prestado de manera profesional y seria, y un servicio prestado con buena voluntad.

• La mejora continua no es opcional. Los tiempos cambian, nuestros clientes cambian, las tecnologías cambian. Todo ello supone retos y oportunidades para mejorar y mantenernos como proveedores de confianza para nuestros clientes. Si no es así, nosotros mismos nos echaremos fuera del mercado. O mejoramos o nos quedaremos atrás.

Es muy fácil ver que la norma recoge estos tres principios en la manera en que está estructurada y pensada

La gestión de servicios se plantea como un requisito de negocio para prestar servicios adecuados a los clientes a un coste aceptable para la organización. Esto implica saber y documentar lo que esperan nuestros clientes y lo que vamos a darles, vigilar lo que cuestan los distintos elementos de los servicios prestados y trabajar en todo momento para hacer las cosas bien de manera que sea más rápido, y por tanto más barato, prestar los servicios al nivel que se pretende.

1.6. Buenas prácticas: las normas ISO

Las normas ISO hacen nuestra vida más fácil. La normalización ha supuesto una racionalización de prácticas y usos en numerosos ámbitos.

La manera de funcionar de ISO, en la que colaboran muchísimos países con comités de expertos en cada materia, hace que las normas ISO sean de un valor incalculable a la hora de diseñar, fabricar y comercializar productos y servicios, puesto que cualquier cliente en cualquier punto del planeta puede estar razonablemente seguro de que lo que compra es lo que viene definido por las normas que se le apliquen.

En el caso de los sistemas de gestión, con la Norma ISO 9001 publicada en 1987 se han sentado las bases de lo que hoy se conoce como calidad y mejora continua. Una empresa certificada en Japón y otra en España cumplen con los mismos requisitos en ambos casos. Esto da tranquilidad y confianza a los clientes de que los productos y servicios ofrecidos por estas organizaciones son lo que pueden esperar según lo establecido en las normas aplicables.

Con el tiempo, otras normas como la ISO 14001 para la gestión medioambiental, la ISO/IEC 27001 para la gestión de la seguridad de la información, etc., han ido cubriendo aspectos de la gestión que la industria iba requiriendo.

Las buenas prácticas que recogen estas normas ISO permiten a cualquier organización afrontar la gestión, a veces compleja, de una manera más fácil y rápida que si tuvieran que investigar por su cuenta cómo hacerlo, y luego ir probando métodos y herramientas hasta dar con la que funcionara. Además, simplemente proponen los requisitos más básicos de la gestión, por lo que a partir de ahí las organizaciones pueden ir mejorando y ampliando según sus necesidades y recursos. Es decir, las normas no limitan la actuación de las organizaciones; simplemente sientan las bases para que puedan funcionar de manera eficaz con un método probado y consensuado por una parte importante de la industria.

La evolución positiva del número de empresas que adoptan las normas ISO de manera voluntaria no hace más que confirmar la utilidad de estas normas y reconocer el valor que aportan a las organizaciones.