El documento de la UNE-ISO/IEC 20000-1:2007 es cortito pero muy condensado. Tiene 22 páginas, y si le quitamos el índice, portada y cosas por el estilo nos quedan apenas 13 páginas de contenido para acotar los requisitos obligatorios (los debe de la norma) que debe cumplir un Sistema de Gestión de Servicios TI.
Siendo tan comprimidita, no se anda con florituras y dice las cosas directas al corazón; por esa razón he querido hacer un pequeño compendio con las mejores joyas que nos podemos encontrar escondidas entre los requisitos.
1.-Responsabilidad de la Dirección: El principio de liderazgo se materializa en el primer capítulo “efectivo” de la norma (3. Requisitos de un sistema de gestión). Tradicionalmente en los proyectos “itileros” se dice siempre que uno de los factores críticos de éxito es contar con el apoyo o “esponsorización” de la dirección. La norma convierte esto en requisito obligatorio indicando
La alta dirección debe proveer, a través de liderazgo y de acciones, evidencias de su compromiso para desarrollar, implementar y mejorar sus capacidades de gestión del servicio […]
Ojo al detalle, que dice “la alta dirección”… no una dirección cualquiera sino la alta. El fantástico porque a continuación dice
La dirección debe:
[…]
Designar un miembro de la dirección como responsable de la coordinación y gestión de todos los servicios
Y eso, llevado al extremo, requiere que, o bien la alta dirección “baje a galeras” para coordinar y gestionar servicios o bien (y aquí esta el arma secreta) que este responsable forme parte de la dirección… y plof! ya tenemos al CIO en el Comité de Dirección.
2.-Competencias y Formación: El capítulo 3.3 de la norma, referido a Competencia, Concienciación y Formación obliga a las organizaciones a mantener un alto grado de coherencia entre los roles, las competencias requeridas para asumirlos y las capacidades del personal. De esta forma se intenta garantizar que todo el personal que participa en la gestión del servicio está capacitado para realizar su trabajo.
3.- Planificación de la Implementación del SGSTI. El capítulo 4.1 habla de la planificación de la gestión. Este punto me gusta especialmente porque fuerza a que la definición de los procesos no sea sólo un diagrama de flujo con cuatro explicaciones, sino que sea una definición “hecha y derecha”, siguiendo el modelo ITOCO:
Se debe planificar la gestión del servicio. Como mínimo, el plan debe definir lo siguiente:
[…]
c)los procesos que se van a ejecutar;
d)el marco de los roles y responsabilidades de la dirección, incluyendo al directivo de alto nivel responsable directo, al propietario del proceso y a la dirección de la gestión la dirección de los suministradores;
e)las interfaces entre los procesos de gestión del servicio y el modo en que tienen que coordinarse las actividades;
[…[
h)los recursos, el equipamiento y los presupuestos necesarios para alcanzar los objetivos definidos;
4.- Forzando la Transición “como Dios manda”. El apartado 5 de la norma declara los requisitos necesarios para implantar “servicios nuevos o modificados” en el entorno de producción. Este es un punto esencial para conseguir mantener la estabilidad del entorno productivo y por eso los requerimientos son (o podemos hacer que sean) especialmente estrictos. De este capítulo hay dos frases que me gustan especialmente:
Objetivo: Asegurar que tanto los servicios nuevos como las modificaciones a los existentes se pueden gestionar con los costes y la calidad acordados.
Básicamente eso significa que los servicios que entren a producción se pueden gestionar; osea, que hemos tenido todo el cuidado necesario para asegurar que se extiende el SGSTI para contemplar y gestionar el nuevo servicio (roles, procesos, procedimientos, herramientas, informes, etc etc etc).
Los nuevos servicios o las modificaciones en los existentes deben ser aceptados por el proveedor del servicio antes de ser implementados en el entorno de producción real
¡¡Toma Ya!! Al fin, el dueño del entorno de producción tiene la posibilidad de aceptar o no la entrada en producción de un nuevo servicio (o modificado)… ¿Ha pasado los tests?, ¿se ha hecho la formación a los operadores y administradores? ¿se han redactado los manuales de explotación? ¿sabemos cómo se monitoriza? etc, etc, etc
En fin, ya hemos visto algunas de las joyitas que trae la norma y como pueden ver, es importantísimo hacer una lectura muy detallada de los contenidos para tener bien claro con qué nos vamos a encontrar.