¿Servicios de TI en Cloud? Con ISO20000-9 es posible

Hablar de servicios en Cloud (nube) ya no es ninguna novedad. Hablar de Servicios de TI en modalidades SaaS, PaaS y IaaS en la nube ya no es ciencia ficción. Sin embargo, su control y gestión siguen siendo un quebradero para los departamentos de TI, para su CTO.

Para ello, ISO publicó la guía técnica ISO 20000-9, que tomando de base la norma ISO/IEC 20000-1 (Sistema de Gestión de Servicios de TI), explica y detalla un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los servicios de TI en Cloud. Tanto para un proveedor de servicios en Cloud, como para migrar los servicios de TI On-Premise a Cloud, en cualquier modalidad SaaS, PaaS e IaaS.

1. Revisión de principales características en ISO 20000-1 y su relación con ISO 20000-9

Ya todos conocemos la última versión publicada en 2018 de ISO 20000-1 (Sistema de Gestión de Servicios de TI – SGSTI), la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile–DevOps y la servitización; es decir, la adaptación de los servicios de TI a los nuevos entornos digitales y negocios.

En este estándar también se ha considerado la gestión de múltiples proveedores, ya sea por parte de un integrador de servicios interno o externo, así como, la necesidad de determinar el valor de los servicios para los stakeholders y clientes.

Por otra parte, la familia de estándares de ISO 20000, dispone en su catálogo el estándar específico para cubrir las necesidades del cloud:

• La norma ISO/IEC TR 20000-9. (Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud Service).

Este estándar/norma proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en Cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros.

Asimismo, considera la prestación de los servicios en cualquier tipo de Cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service).

Por lo tanto las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), en modo interno/local (on-premise) o externalizado/cloud (Outsourcing) permiten que la ISO 20000-1 junto con la ISO/IEC TR 20000-9 aporten la herramienta o solución más adecuada para la provisión de servicios de TI de forma local o en cloud (ver figura 1).

Figura 1. Relación ISO 20000-1 e ISO 20000-9

2. Características y Estructura de ISO/IEC TR 20000-9

Las 2 principales características de ISO/IEC 20000-9 son:

1. Aplicable a cualquier modalidad de cloud

• infraestructura como servicio (IaaS)
• plataforma como servicio (PaaS)
• software como servicio (SaaS)

2. Aplicable a los diferentes tipos de cloud: la nube pública, privada, e híbrida

La aplicabilidad de ISO 20000-1 es independiente del tipo de tecnologías o modelo de servicio TI utilizado para la prestación de servicios. Todos los requisitos de ISO 20000-1 pueden ser aplicables a los proveedores de servicio en la nube.

Hay que indicar que la estructura de ISO 20000-9 no es la estructura habitual de Sistema de Gestión (Estructura de alto nivel) de ISO, como las que tienen la ISO 20000-1 o ISO 27001.

Esta estructura se organiza en base al concepto de escenarios, si bien podemos entenderlos como procesos/actividades en el ciclo de vida del servicio en la nube. En la tabla 1 se muestran los 15 procesos/actividades (escenarios) de ISO 20000-9.

Cada escenario incluye:

• referencias a los procesos y requisitos más relevantes especificados en ISO 20000-1, pudiendo haber alguna consideración adicional
• recomendaciones y ejemplos de cómo los diferentes apartados/procesos de ISO 20000-1 pueden ser aplicables a los servicios en la nube.

Por último, cada proceso de ISO 20000-1 puede estar en 1 o varios escenarios.

Así los 15 escenarios (ver tabla 1) desarrollan un roadmap, en pasos:

• Se inicia identificando el contexto para la gestión de servicios en la nube y se elabora una estrategia y un plan de implementación.
• Esto conduce a la preparación de un catálogo de servicios en la nube, incluidos los requisitos de servicio correspondientes.
• A esto le siguen actividades como el desarrollo de nuevos servicios en la nube, el establecimiento de relaciones de servicio con los clientes de la nube y la elaboración de acuerdos de servicios en la nube.
• En última instancia, se modelan las actividades para la entrega y operación, la monitorización y la generación de informes, la gestión de recursos y la revisión/ optimización de los servicios en la nube.
• Se concluye, ISO 20000-9 con la finalización de los contratos de servicios en la nube y transferir y eliminar los servicios en la nube.

A modo de conclusión la utilización de la ISO 20000-9 como complemento a un SGSTI-ISO 20000-1 es útil para:

– organizaciones cuyo catálogo de servicios incluyen servicios en la nube. (en cualquiera de las modalidades indicadas anteriormente)

– organizaciones que se enfrentan a cambios en sus servicios existentes como parte de una migración a la computación en la nube. ISO 20000-1 puede ser utilizado por proveedores de servicios que ofrecen servicios dedicados o compartidos a clientes internos y externos

– organizaciones que deseen innovar y adaptarse a las nuevas tecnologías emergentes con sostenibilidad, tal y como afirma Carlos Manuel Fernández, en su libro de Modelo de Gobierno y Gestión de las TIC con ISO.

Entre todos estamos construyendo ese itSMF España que siempre habías imaginado: plural, transparente, activo e influyente. ¿A qué esperas? Únete a él.

Boris Delgado Riss
Team Leader del Grupo de Expertos en la serie de normas ISO20000: ITSM4ISO20000
Comité de Estándares de itSMF España