Uno de los requerimientos de un ITSM sobre ISO 20000 consiste en la necesidad de realizar un análisis de riesgos sobre la política de gestión de servicios. Es común en muchas implantaciones confundir este requerimiento con uno de los procesos realizados en ISO 27001, Gestión de seguridad de la información, donde se realiza un exhaustivo análisis y amenazas sobre los activos que queremos proteger. Más allá de realizar un análisis del proceso de seguridad de la información, uno de los 13 procesos que conforman el arco iris de una ISO 20000, el análisis de riesgos, en adelante AARR, de  un ITSM debería reflejar todas aquellas situaciones (también amenazas y vulnerabilidades) que pudieran interrumpir la gestión de servicios. 

Sobre el AARR en ISO 20000 se deben tener las siguientes consideraciones:

En la Norma ISO 20000:2011 se hace referencia explícita al término como "Riesgo - el efecto de la incertidumbre sobre los objetivos" en la sección 4 de la norma, capítulo que marca el Ciclo P-D-C-A. Los requisitos específicos relacionados con los riesgos son: 

• Asegurar que los riesgos de los servicios son evaluados y gestionados.
• Establecer el enfoque que se adopte para la gestión de los riesgos y los criterios para la aceptación de riesgos
• Identificación, evaluación y gestión de los riesgos de los servicios
• Establecer objetivos de mejora (entre otros) para la reducción de riesgos

En cambio en la Norma ISO 27001:2007, en su cláusula 0.2 b) Enfoque por proceso, se hace referencia a que  se deben administrar los riesgos (específicos) de seguridad de la información, 

en el marco de los riesgos empresariales generales, y en su punto 4, que marca el ciclo P-D-C-A, especifica claramente que se deben de:

• Definir el enfoque de  de la evaluación de riesgos de la organización
• Identificar los riesgos, identificando activos, amenazas, vulnerabilidad e impactos que sobre los activos puede tener una perdida de confidencialidad, integridad y disponibilidad.

Podemos concluir, por tanto, que en la norma ISO 20000 los requisitos se enfocan hacia la gestión de los riesgos de los servicios y en la Norma ISO 27001, lo hacen hacia la evaluación de los riesgos enfocados hacia los activos que conforman y contienen la información, con el fin de asegurarlo.

Por tanto, definir un análisis de riesgos que se enfoca únicamente en la seguridad de los activos de información en un ITSM, puede considerarse incompleto, ya que los servicios tienen mas componentes que los que puede tener el activo "información" y otras variables, además de la "seguridad".

Debemos de pensar en relación al análisis del riesgo de un servicio en romper los moldes de las metodología que se centran en analizar riesgos de seguridad en activos de información ,para ello, propongo desgranar un servicio y siguiendo la metodología ITIL(R), podemos hacerlo, usando las 4 P"s (Procesos, Personas, Productos y proveedores).

• Los PROCESOS (13) que componen la entrega de un servicio, están claramente definidos en la Norma ISO 20000
• Las PERSONAS, representan la organización por la cual se presta el servicio y lo componen aquellas por los cuales, los procesos son ejecutados y los servicios entregados
• Los PRODUCTOS, son aquellos componentes sobre los que residen los servicios, Software, Hardware, Redes, Localizaciones, etc...
• Los PROVEEDORES (o en lenguaje ISO 20000 los suppliers-suministradores), son aquellas terceras partes que forman parte de la cadena de suministro del servicio

Identificar vulnerabilidades y amenazas de Personas, Productos y Proveedores, es habitual y ya se hace en los AARR de un SGSI, pero..... ¿cuales podrían ser las vulnerabilidades  y amenazas de los procesos?