SGTI frente a SGC: argumentos a favor de la integración del SGSI

¿Por qué debería integrarse un SGTI en un SGSI en lugar de en un SGC y cuáles son las ventajas? 

Adaptación a las normas ISO

Como ocurre con la mayoría de las normas que auditamos en NQA, la ISO 20000 comparte una estructura de gestión de alto nivel con varias normas ISO, incluidas la ISO 9001, 14001, 45001, 22301, 27001, 50001 y 55001, como se muestra en la herramienta de comparación del Anexo SL de NQA.  

La estructura de la norma ISO 20000, en particular su cláusula 8, se solapa significativamente con la norma ISO 27001 y sus controles del anexo A.

He aquí los principales ámbitos de coincidencia:

• Política de seguridad de la información: Debe considerar las obligaciones dentro de otras políticas implementadas, las normas y la legislación apropiadas, los requisitos contractuales y la relevancia de la seguridad de la información dentro de los servicios prestados o gestionados.

• Gestión de riesgos: Deben determinarse los controles apropiados para mitigar los riesgos de seguridad de la información.

• Gestión de incidentes: Incluye las solicitudes de servicio y la gestión de problemas, extendiéndose a los incidentes de seguridad de la información.

• Gestión de activos: Activos utilizados para prestar el servicio gestionado, en particular cuando se trata de un elemento configurado. (Aunque no se mencionan explícitamente los activos de información, las mejores prácticas sugieren su inclusión).

• Gestión de las relaciones comerciales y los niveles de servicio: Implicando a proveedores internos y externos, y a clientes que actúan como proveedores.

• Gestión de la capacidad: Garantizar el mantenimiento de los niveles de servicio en función de la demanda actual y prevista.

• Gestión del cambio: Planificación y gestión de cambios en la prestación de servicios.

• Referencias SDLC (o A.8 del Anexo A de ISO 27001): Incluye la planificación de servicios nuevos o modificados, el diseño, la construcción, la transición, la liberación y la gestión del despliegue.

• Continuidad del servicio: Gestión de la disponibilidad y continuidad del servicio en caso de interrupciones significativas.

Aunque ISO 20000 e ISO 27001 comparten muchos elementos obligatorios (contenidos en las cláusulas 4 a 10), ISO 20000 también incluye requisitos exclusivos, como:

• Gestión del conocimiento (7.6): Conservar los conocimientos de la organización y mantener la experiencia para apoyar las operaciones en curso y la prestación de servicios.

• Revisión de la gestión (9.3): Incluye requisitos adicionales centrados en la prestación de servicios, el rendimiento y la previsión de recursos.

• Informes de servicio (9.4): Determina los requisitos para informar sobre el rendimiento y la eficacia del sistema de gestión y la prestación de servicios. El informe debe incluir las decisiones tomadas sobre la base de las conclusiones derivadas de la identificación de tendencias y cualquier acción de salida debe ser comunicada a las partes pertinentes. También especifica que las métricas cotejadas en este informe se componen de todos los mecanismos de información a los que se hace referencia en el resto de la norma. 

• Cartera de servicios: Abarca la prestación y planificación de servicios, así como el control de las partes implicadas en el ciclo de vida del servicio.

• Gestión de la oferta y la demanda: Incluye la elaboración de presupuestos y la contabilidad de los servicios gestionados, la gestión de la demanda y la capacidad.

• Aseguramiento del servicio: Gestiona las demandas de los clientes, los requisitos de disponibilidad y garantiza la continuidad del servicio, de forma similar a la continuidad del negocio.

• Gestión de la disponibilidad: Integrada en el aseguramiento del servicio, tiene en cuenta los riesgos relacionados con la disponibilidad del servicio, la continuidad y la seguridad de la información, en función de los requisitos y objetivos acordados.

• Catalogación de servicios: Requiere un catálogo actualizado de servicios, incluidos los que están en desarrollo y los que está previsto eliminar o modificar. También puede incluir una recopilación de servicios agrupados en un servicio escalonado. 

• Gestión de la configuración: Cada servicio debe clasificar la información configurada (IC) por criticidad, tipo, estado y relación con otros servicios. La IC debe ser identificable de forma única y auditable individualmente para garantizar la integridad (la trazabilidad en este caso es pertinente).

Ventajas de la certificación ISO 20000: ¿a quién beneficia?

Certificarse conforme a esta norma beneficiaría enormemente a empresas de todos los tamaños que prestan servicios de TI gestionados, servicios de asistencia técnica de TI, centros de llamadas y operaciones similares. Muchas de estas organizaciones aplican diversos marcos de gestión de servicios de TI, como ITIL, COBIT o Microsoft Operations. Estos marcos alinean los servicios de TI de una empresa con sus necesidades de negocio y proporcionan un conjunto de mejores prácticas y metodologías para lograr esta alineación.

Al adoptar un enfoque holístico del ciclo de vida de los servicios de TI, estos marcos ayudan a las organizaciones a prestar servicios de TI flexibles e integrados. Emplean los métodos más eficaces para mejorar la eficiencia operativa, lograr una prestación de servicios coherente y de alta calidad, mejorar los servicios de TI y reducir los costes generales. 

En la actualidad, las empresas disponen de pocas opciones para obtener la certificación del marco elegido. ISO 20000 ofrece un medio para que las organizaciones verifiquen y certifiquen su marco de gestión de servicios de TI, aumentando así su atractivo como proveedores de servicios e impulsando su valor de mercado y su potencial para conseguir más trabajo y contratos.

ISO 20000 incluye la cláusula 8 más completa de todas las normas y es notablemente más específica en sus requisitos, especialmente si se compara con ISO 9001. 

La norma ISO 9001 suele parecer imprecisa en sus directrices operativas, ya que debe adaptarse a los diversos contextos de las organizaciones de distintos sectores. Las operaciones detalladas en la norma ISO 20000 proporcionan esencialmente una auditoría de calidad adaptada específicamente a los proveedores de servicios de TI. Por lo tanto, puede ser más ventajoso para las empresas de TI buscar la certificación ISO 20000 en lugar de la ISO 9001, ya que esta última omite algunos elementos y procesos críticos necesarios para auditar las organizaciones de TI.

Reflexiones finales: Dar prioridad a ISO 20000

Para aprovechar al máximo las ventajas de la norma ISO 20000, la percepción que el sector tiene de ella debe evolucionar. Las empresas deberían empezar a estipular la certificación ISO 20000 como requisito, en lugar de la ISO 9001, a la hora de subcontratar actividades de TI, garantizando la máxima calidad de servicio a lo largo de toda la cadena de suministro.

En resumen, conseguir la certificación ISO 20000 en lugar de la ISO 9001 sería ventajoso para las organizaciones dedicadas a actividades de servicios de TI, así como para el sector en su conjunto. Este enfoque garantiza que las organizaciones de TI reciban un enfoque de la gestión de la calidad adaptado y específico para las TI, en lugar de uno genérico.

¿Listo para dar el primer paso? Póngase en contacto con NQA.



¿Quiere saber más sobre la certificación ISO? Consulte nuestro catálogo.