La ISO/IEC 20000-1 è la norma che certifica come un'organizzazione gestisce i servizi IT. Si rivolge a chi eroga servizi informatici, dal reparto IT interno di un'azienda al fornitore che gestisce sistemi per conto dei clienti, e dimostra che dietro a quei servizi non c'è improvvisazione ma un sistema di gestione (ITSM): livelli di servizio concordati, processi definiti e un modo ordinato di affrontare gli imprevisti. In una parola, dimostra che quando qualcosa si rompe esiste un metodo, non solo qualcuno che corre a spegnere l'incendio.

L'edizione in vigore è la ISO/IEC 20000-1:2018. Chi lavora nell'IT la associa subito a ITIL, ed è un accostamento corretto ma da chiarire: ITIL è una raccolta di buone pratiche, una cassetta degli attrezzi, mentre la ISO/IEC 20000-1 è una norma certificabile, cioè un insieme di requisiti che un organismo terzo può verificare. Si possono usare le pratiche ITIL per costruire un sistema conforme alla norma, ma è la norma a rilasciare un certificato.

Cosa chiede davvero la norma

Il centro della ISO/IEC 20000-1 è il servizio visto dalla parte di chi lo riceve. La norma chiede di concordare livelli di servizio (gli SLA) e di organizzarsi per rispettarli, con un insieme di processi che coprono il ciclo di vita del servizio: la gestione degli incidenti (rimettere in piedi il servizio in fretta), dei problemi (capire e rimuovere le cause che si ripetono), dei cambiamenti e dei rilasci (modificare i sistemi senza romperli), oltre alla gestione di capacità, disponibilità e continuità.

Tutto questo è tenuto insieme dalla solita logica di sistema: contesto, leadership, valutazione del rischio, misurazione delle prestazioni e miglioramento continuo. L'effetto è trasformare l'IT da centro di costo che reagisce alle emergenze a funzione che eroga servizi prevedibili e misurabili.

Come ci si certifica, passo dopo passo

  1. Gap analysis: si fotografa la distanza tra come gestisci oggi i servizi IT e i requisiti della norma. Spesso i processi esistono ma in modo informale, diversi da persona a persona.
  2. Definizione di servizi e SLA: si mette nero su bianco il catalogo dei servizi e i livelli concordati, base di tutto il resto.
  3. Costruzione dei processi: si definiscono e si avviano i processi di gestione (incidenti, problemi, cambiamenti, capacità, continuità) e si formano le persone che li applicano.
  4. Audit interno e riesame della direzione: un controllo in casa che anticipa quello esterno, seguito dal riesame del vertice.
  5. Verifica in due fasi: un organismo di certificazione accreditato conduce lo Stage 1 documentale e lo Stage 2 sul campo, dove verifica che i processi funzionino davvero e producano le evidenze attese.

Superata la verifica, il certificato dura tre anni, con sorveglianze annuali e un rinnovo al termine del triennio. Come sempre, solo un organismo accreditato rilascia un certificato realmente riconosciuto.

Quanto tempo serve

Dipende da quanto sono già strutturati i processi. Un'organizzazione che usa già uno strumento di ticketing e ha pratiche ITIL consolidate lavora soprattutto sulla formalizzazione e sulla misurazione, e arriva all'audit relativamente in fretta. Chi gestisce l'IT in modo informale, senza SLA scritti e con processi che cambiano a seconda di chi è di turno, ha davanti un percorso più lungo, perché la parte impegnativa è rendere i processi ripetibili e raccogliere i dati che dimostrano che funzionano.

I vantaggi concreti, oltre al bollino

Per i fornitori di servizi IT la certificazione è spesso un requisito commerciale: in molte gare e nei contratti con grandi clienti dimostra che il servizio è gestito secondo uno standard riconosciuto. Per l'IT interno, il vantaggio è il controllo: meno fermi che si ripetono, tempi di ripristino prevedibili, cambiamenti che non fanno saltare i sistemi di venerdì pomeriggio. È la differenza tra un IT di cui ci si accorge solo quando qualcosa non va e uno che eroga servizi misurabili e affidabili.

Un solo sistema, più certificazioni

La ISO/IEC 20000-1:2018 condivide la struttura di alto livello (Annex SL) con le altre norme di sistema e l'abbinamento più frequente è con la ISO/IEC 27001 (sicurezza delle informazioni): gestire bene i servizi e proteggerli sono due facce dello stesso lavoro, e molte aziende le certificano insieme. Si lega bene anche alla ISO/IEC 27701 (privacy) e alla ISO 9001 (qualità). Tenere più norme su un'unica impalcatura permette un audit integrato: meno giornate di verifica e una sola logica di gestione.

Domande frequenti

È la stessa cosa di ITIL? No. ITIL è una raccolta di buone pratiche non certificabile; la ISO/IEC 20000-1 è una norma certificabile da un organismo accreditato. Le pratiche ITIL aiutano a costruire un sistema conforme, ma il certificato lo dà la norma.

Vale solo per i fornitori esterni? No. Si certifica anche un reparto IT interno che eroga servizi all'organizzazione: cambia il cliente, non la logica.

Quanto dura il certificato? Tre anni, con sorveglianze annuali e rinnovo al termine del ciclo.

Accreditato o non accreditato? Solo un certificato emesso da un organismo accreditato è realmente riconosciuto da clienti e committenti.

Prima di muoverti conviene capire a che punto sei davvero. La checklist di autovalutazione ISO/IEC 20000-1 qui sotto ripercorre i requisiti punto per punto, dagli SLA alla gestione di incidenti e cambiamenti: spunti ciò che hai già e vedi nero su bianco cosa manca prima di chiamare un organismo.