La gestione dei servizi IT e la ISO/IEC 20000
Pubblicata nel dicembre 2005, la ISO/IEC 20000 è la prima norma mondiale dedicata in modo specifico alla gestione dei servizi IT. La norma è stata sviluppata in risposta all'esigenza di attuare processi e procedure volte a minimizzare il rischio per le imprese derivante da un guasto tecnico del sistema IT di un'organizzazione. Robert Maddison analizza le implicazioni che la norma avrà sull'erogazione dei servizi IT in futuro.
Gestione dei servizi IT
La Gestione dei Servizi IT (GSIT) è un approccio integrato basato sui processi che allinea l'erogazione dei servizi IT alle esigenze aziendali. L'approccio è teso ad enfatizzare i benefici per l'utente finale. La GSIT rappresenta un grandissimo balzo in avanti, che supera i precedenti tentativi di gestione dei servizi IT come attività individuali separate e distinte. Il nuovo approccio si concentra invece sulla fornitura di servizi end-to-end mediante l'applicazione dei modelli delle migliori prassi di processo.
La serie delle norme ISO/IEC 20000:2005 descrive questo insieme integrato di processi di gestione per l'erogazione efficace di servizi IT alle aziende e ai loro clienti. La tanto attesa pubblicazione della norma, avvenuta il 15 dicembre 2005, costituisce un importante passo avanti nel processo di riconoscimento e di sviluppo della certificazione della Gestione dei Servizi IT su scala mondiale.
Si prevede che la ISO/IEC 20000:2005 porterà ad aumentare in modo significativo l'interesse delle organizzazioni che desiderano implementare un GSIT e farlo certificare a fronte dei requisiti della nuova norma. Ci si aspetta che questo interesse cresca sempre più a livello internazionale, proseguendo lungo il percorso tracciato dalla certificazione pre-esistente e molto stimata fornita da 19 organismi di certificazione registrati, i quali operano sotto gli auspici dello schema di certificazione ISO/IEC 20000 dell'Information Technology Service Management Forum (itSMF).
La serie ISO/IEC 20000
La serie ISO/IEC 20000 rappresenta una base ampiamente riconosciuta per la valutazione dei processi di gestione dei servizi IT. La serie è allineata ed è complementare all'approccio per processi definito nell'ambito del ITIL (IT Infrastructure Library), un approccio che ha conquistato una grande credibilità grazie al fatto che è stato sviluppato insieme all'Information Technology Service Management Forum (itSMF), un forum indipendente e riconosciuto a livello internazionale per i professionisti della Gestione dei Servizi IT di tutto il mondo.
Questa relazione può essere raffigurata come segue:
La serie ISO/IEC 20000 definisce un insieme completo e strettamente correlato di processi per la gestione dei servizi ed è composta da due parti:
- la ISO/IEC 20000-1: è la "specifica per la gestione dei servizi" che dettaglia una gamma di processi specifici e costituisce la base per la certificazione;
- la ISO/IEC 20000-2: è il "codice di prassi per la gestione dei servizi" che descrive le best practice ed i requisiti della parte 1; il codice di prassi sarà particolarmente utile alle organizzazioni che si stanno preparando ad essere valutate a fronte della ISO/IEC 20000 o che stanno pianificando miglioramenti del servizio.
Le organizzazioni possono utilizzare entrambe le parti quali ausilio nello sviluppo di strumenti, prodotti e sistemi di gestione dei servizi che supportino le migliori prassi per la gestione dei servizi. E' importante tener presente che è virtualmente impossibile effettuare un audit efficace a fronte della ISO/IEC 20000:2005 parte 1 senza una profonda conoscenza e comprensione della corrispondente ISO/IEC 20000:2005 parte 2. Questa norma stabilisce le linee guida, i principi generali ed un codice di prassi per la GSIT.
La ISO/IEC 20000 è stata sviluppata partendo da alcune norme del BSI: la BS 15000 parte 1 e parte 2, pubblicate rispettivamente nel 2002 e nel 2003. La BS 15000-1 deriva dall'armonizzazione di una versione precedente con altre norme internazionali che avevano già adottato l'approccio standard PDCA (dall'inglese Plan-Do-Check-Act). Anche la ISO/IEC 20000-1:2005 utilizza il ciclo PDCA ed un approccio per processi per sottolineare l'importanza di:
- comprendere e soddisfare i requisiti;
- necessità di considerare i processi in termini di valore aggiunto;
- ottenere risultati in termini di prestazioni ed efficacia dei processi;
- miglioramento continuo basato su misurazioni oggettive.
La struttura della norma ISO/IEC 20000-1 che è utilizzata a fini certificativi è la seguente:
- scopo e campo di applicazione;
- termini e definizioni;
- requisiti di un sistema di gestione;
- pianificare ed implementare la gestione dei servizi;
- pianificare ed implementare dei nuovi servizi o delle modifiche ;
- processo di delivery del servizio (sei sotto-processi);
- processi di relazioni (due sotto-processi) ;
- processi di risoluzione (due sotto-processi);
- processi di controllo (due sotto-processi);
- processo di rilascio (un sotto-processo).
Il portale per la gestione dei servizi IT - la Centrale ISO 20000 - ha ravvisato che l'implementazione della ISO/IEC 20000 può portare con sè numerosi benefici e vantaggi, inclusi:
- allineamento dei servizi IT alle strategie aziendali;
- creazione di una struttura formale per i progetti di miglioramento dei servizi attualmente in corso;
- messa a disposizione di un termine di paragone per il benchmarking con le migliori prassi;
- creazione di un vantaggio competitivo mediante la promozione di servizi costanti ed efficaci in termini di costi;
- creazione di una cultura che guarda al futuro, grazie al requisito di proprietà e responsabilità a tutti i livelli;
- supporto per l' "interscambio" dei fornitori di servizi e di personale attraverso la creazione di processi operativi trasversali tra più imprese;
- riduzione del rischio e quindi riduzione dei costi in termini di ricezione di servizi esterni;
- il favorire importanti cambiamenti organizzativi mediante la creazione di un approccio standard e stabile;
- miglioramento della reputazione e percezione;
- spostamento fondamentale verso i processi pro-attivi in contrapposizione a quelli re-attivi;
- miglioramento delle relazioni interreparto grazie ad una più accurata definizione di responsabilità e traguardi;
- creazione di una struttura solida per la formazione delle risorse e per l'automatizzazione della gestione dei servizi.
Funzionerà?
Il grande quesito è: la certificazione accreditata secondo questa nuova norma sarà accettata dal mercato? Sappiamo che la norma sulla sicurezza alimentare - la ISO 22000 - non è stata adottata dagli attori che hanno ruoli da protagonista nell'industria alimentare, in parte perchè hanno le proprie norme (se diverse) ed in parte perché nutrono dubbi sulla capacità del settore della valutazione della conformità di erogare un servizio credibile e costante a livello mondiale. Sappiamo che, per motivi simili, anche l'industria automobilistica è "sfuggita" al settore della valutazione della conformità ed ha creato un proprio sistema di controllo. Cosa succederà con la ISO/IEC 20000?
Quale effetto ritieni che avrà la ISO/IEC 20000? Esprimi la tua opinione contribuendo alla discussione sulla gestione dei servizi IT nel forum on line dell'IRCA.
In passato, la certificazione in accordo alla BS 15000 - la norma che ha preceduto la versione internazionale - era controllata dall'itSMF. In quanto rappresentanza del gruppo principale degli stakeholder di fornitori ed utenti della gestione dei servizi IT, l'itSMF si trovava nella posizione giusta per assicurare che il processo di certificazione fornisse ciò che gli utilizzatori richiedevano. Tuttavia, riguardo la norma internazionale l'itSMF potrebbe non disporre di un meccanismo di controllo mondiale della certificazione e si trova ora ad affrontare schemi pilota di accreditamento attuati da vari enti di accreditamento nel mondo: sia lo UKAS che il JIPDEC (Japan Information Processing Development Corporation) hanno iniziato ad operare con schemi di questo tipo. Tutto questo per l'itSMF significa meno controllo e potenzialmente meno input nella valutazione della conformità da parte di questo gruppo di stakeholder. Certamente lo IAF ha un ruolo importante da ricoprire nel garantire che la certificazione accreditata in accordo a questa nuova norma sia controllata e costante a livello internazionale fin dall'inizio. Vedremo cosa succede...
L'ITIL - IT Infrastructure Library - è l'approccio alla gestione dei servizi IT più diffuso al mondo. L'ITIL fornisce un insieme coeso di migliori prassi, tratte dai settori del pubblico e del privato a livello internazionale. E' sostenuto da uno schema di qualifica completo, da organizzazioni di formazione accreditate e da strumenti di implementazione e di valutazione. I processi di migliore prassi promossi nell'ITIL sostengono e sono sostenuti dalla norma del British Standards Institution.
L'itSMF - il Forum per la Gestione dei Servizi IT - è un'organizzazione non-profit indipendente, internazionale e riconosciuta a livello mondiale, dedicata alla Gestione dei Servizi IT. L'itSMF è totalmente di proprietà dei propri soci, i quali ne gestiscono direttamente le attività. E' costituita da un numero crescente di associazioni nazionali, ciascuna dotata di un alto livello di autonomia ma che aderisce ad un codice di condotta comune.
- La gestione dei servizi IT e la ISO/IEC 20000
- L'audit dei sistemi di gestione basati sull'elettronica
- La ISO/IEC 27001: cos'è successo finora
- Come valutare un processo di patch management
- L'audit interno
- A domanda rispondono...
- Sondaggio sui sistemi di gestione
Quale effetto ritieni che avrà la ISO/IEC 20000? Esprimi la tua opinione contribuendo alla discussione sulla gestione dei servizi IT nel forum on line dell'IRCA.