Aquí está el artículo de: Mayo, 2025

Construyendo mi SGI para mis TICs: ¿y después de la ISO 22301, qué sigue?
(Por Mondragón Tapia David)

El tercer paso en la construcción de tu SGI para las TICs: ISO 22301 (continuación)

En el anterior artículo, concluía también en la parte final de este, que la tercera lección aprendida que me dejaron estos seis años de trabajo con las normas ISO, para diversas organizaciones o departamentos de TI, es que después de implementar el Sistema de Gestión de Continuidad del Negocio, con base en la norma ISO 22301 y como complemento al proceso de Gestión de continuidad del servicio del Sistema de Gestión de Servicios, basado este último en la norma ISO 20000-1, se logra así la conformación de un Sistema de Gestión Integral o SGI para las TICs, abarcando la ISO 20000-1 como pilar del SGI y las ISO 27001 y 22301, como complementos estratégicos. Recordemos que la norma ISO 22301 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Continuidad del Negocio o SGCN. De estos requisitos, algunos están orientados hacia la construcción del Sistema de Gestión Integral (ej. liderazgo de la alta dirección o No conformidades vs Acciones correctivas) y otros hacia las actividades especializadas para llevar a cabo una gestión de continuidad del negocio (ej. BIA, RA, estrategias y soluciones de continuidad, programa de pruebas, entre otros). También se mencionó que un Sistema de Gestión de Continuidad del Negocio, permite cubrir los requisitos establecidos para el proceso de Gestión de continuidad del servicio de la ISO 20000-1, adicionando algunos otros elementos que resultarán de utilidad o valor para la organización.

Así pues, una vez integrado el SGI con base en estas tres normas referidas (ISO 20000-1 + ISO 27001 + ISO 22301), se está en el momento adecuado para asociar los procesos desarrollados para el Sistema de Gestión de Servicios, con los procesos equivalentes y requeridos por el Sistema de Gestión de Calidad (SGC) basado en la norma ISO 9001.

Procesos ISO 20000-1 vs Procesos ISO 9001

De acuerdo con el modelo de procesos de referencia de la norma ISO 20000-1, los procesos que se deben desarrollar y operar para obtener la certificación del SGS, son los siguientes:

  1. Procesos del portafolio del servicio: 1) planear el servicio, 2) control de las partes involucradas en el ciclo de vida del servicio, 3) gestión del catálogo del servicio, 4) gestión de activos y 5) gestión de configuración.
  2. Procesos de relación y acuerdo: 1) gestión de relaciones con el negocio, 2) gestión de niveles del servicio y 3) gestión de proveedores.
  3. Procesos de oferta y demanda: 1) presupuesto y contabilidad de los servicios, 2) gestión de la demanda y 3) gestión de capacidad.
  4. Procesos de diseño, desarrollo y transición del servicio: 1) gestión del cambio, 2) diseño y transición del servicio y 3) gestión de liberación y despliegue.
  5. Procesos de resolución y cumplimiento: 1) gestión de incidentes, 2) gestión de solicitudes de servicio y 3) gestión de problemas.
  6. Procesos de aseguramiento del servicio: 1) gestión de disponibilidad, 2) gestión de continuidad y 3) gestión de seguridad de la información.

En el caso de la norma ISO 9001 y de acuerdo con los requisitos especificados en la sección 8. Operación, los procesos que se deben desarrollar y operar para obtener la certificación del SGC, son los siguientes:

8.2. Procesos para los requisitos de los productos y servicios.

8.3. Procesos para el diseño y desarrollo de los productos y servicios.

8.4. Procesos para el control de los procesos, productos y servicios suministrados externamente.

8.5. Procesos para producción y provisión del servicio.

8.6. Procesos para la liberación de los productos y servicios.

8.7. Procesos para el control de las salidas no conformes.

Después de leer las relaciones anteriores, seguramente se habrá notado la similitud que existe entre algunos de los nombres de los procesos requeridos por el SGC (ISO 9001) y los correspondientes al modelo de procesos de referencia de la ISO 20000-1. En efecto, de hecho se pueden cumplir los procesos requeridos por el Sistema de Gestión de Calidad, a partir de los procesos implementados para el Sistema de Gestión de Servicios. A continuación se muestran algunas de estas posibilidades:

Ejemplo 1:

  • Para el SGC: 8.2 Procesos para los requisitos de los productos y servicios.
  • Con el SGS se pueden cubrir con: los procesos de planear el servicio, gestión de relaciones con el negocio y gestión del catálogo del servicio.

Ejemplo 2:

  • Para el SGC: 8.4. Procesos para el control de los procesos, productos y servicios suministrados externamente.
  • Con el SGS se pueden cubrir con: los procesos de control de las partes involucradas en el ciclo de vida del servicio y gestión de proveedores.

ISO 9001: el Sistema de Gestión de Calidad

La norma ISO 9001 establece una serie de requisitos para implementar y certificar un Sistema de Gestión de Calidad o SGC, que es uno de los sistemas de gestión con mayor demanda y aceptación entre las organizaciones, a nivel nacional (México) e internacional. De estos requisitos, nuevamente algunos están dirigidos hacia las partes correspondientes al sistema de gestión ISO y otros hacia las actividades especializadas para llevar a cabo una gestión de calidad de los productos y servicios entregados a los clientes.

Un Sistema de Gestión de Calidad basado en la ISO 9001, establece para su cumplimiento y eventual certificación, la implementación de los siguientes aspectos claves:

  • la satisfacción de las obligaciones legales, regulatorias y/o contractuales aplicables a la entrega de los productos y servicios de la organización,
  • la definición de los productos y/o servicios que estarán dentro del alcance del sistema de gestión de calidad,
  • el compromiso de la alta dirección con el cliente o el “enfoque al cliente”,
  • una política de calidad para los productos y servicios a entregar por la organización,
  • la determinación de los recursos humanos, de infraestructura, ambiente de trabajo, seguimiento y medición,
  • la definición de los procesos necesarios para definir, diseñar, desarrollar, producir y entrega de manera adecuada los productos y servicios,
  • la medición, auditoría y revisión periódica de los resultados del SGC, y por último,
  • la corrección y mejora continua de la operación del SGC.

Si observamos nuevamente con atención los puntos anteriores, encontraremos que el Sistema de Gestión Integral (ISO 20000-1 + ISO 27001 + ISO 22301), permite cubrir sin mayor problema, los requisitos generales del sistema de gestión ISO más los procesos requeridos por el Sistema de Gestión de Calidad ISO 9001.

SGI: facilitador para la certificación ISO 9001 o del SGC

Entre el primero y segundo artículo de esta serie de publicaciones mensuales hechas, mencionaba la implicación que tendría en cuanto a tiempo y esfuerzo organizacional, comenzar los esfuerzos de implementación de un sistema de gestión iniciando con la norma ISO 20000-1 y luego con la integración de un SGI, que finalmente facilitaría la adopción de la tan popular, demandada y aceptada norma ISO 9001. Y no solo facilitaría la adopción de dicho SGC, sino que además simplificaría la necesidad de tener que crear, adecuar, relacionar y/o modificar los procesos definidos para el SGC, si se tomaban primero como base los procesos del SGS aplicables a las organizaciones y departamentos de TI. ¿Lo recuerdas? Bueno, pues en este artículo se ha intentado exponer y concluir dicha lección aprendida, esperando que puedan sacar provecho de esta, toda persona u organización que esté interesada en el tema o se encuentre ya en el proceso de construir un SGI para su organización. Así pues, después de la integración del SGCN (ISO 22301), del SGSI (ISO 27001), al SGS (ISO 20000-1) para dar paso a la conformación del SGI o Sistema de Gestión Integral, el siguiente paso a seguir para contar con todas las certificaciones mínimas, que hoy en día se requieren, para competir, concursar o licitar en diversos sectores de la economía tanto nacional como internacional, es la formalización del SGC (ISO 9001) y su eventual certificación, a partir de los elementos y capacidades organizacionales habilitadas o desarrolladas por la propia implementación del SGI. Sin embargo, la lección no termina aquí, ya que en el camino recorrido se encontraron otras normas que permiten robustecer aún más, el SGI.

En el siguiente artículo, continuaré explicándote otras lecciones aprendidas de estos años de observación y cuestionamiento consultivo para descubrir juntos, ¿qué otras cosas se pueden lograr con un SGI para las TICs, después de integrar un Sistema de Gestión de Calidad? ¡Espéralo!, seguramente seguirá despertando tu interés por las normas ISO aplicables a las organizaciones o departamentos de TI.

Referencias consultadas

1. International Standard ISO/IEC 20000-1:2018. Information technology – Service management - Part 1: Service Management System Requirements. Published in Geneva, Switzerland. Third edition.

2. International Standard ISO 22301:2019. Security and resilience – Business continuity management systems - Requirements.

3. International Standard ISO 9001:2015. Quality management systems – Requirements.

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.