miércoles, 29 de junio de 2011

¿Desayunar es una buena práctica o una norma? (el universo TIC)

A esta pregunta, la mayoría de los lectores, respondería correctamente pero, este resultado no sería el mismo si lo hacemos sobre el mundo de las TIC (Tecnología de la Información y Comunicaciones). Esto se debe a que no queda claro de qué hablamos, cuando hablamos de Buenas Practicas, Normas, Frame Works o Marcos de Referencia.  Ante esta realidad sería importante comenzar por clarificar los conceptos.

En la última década, los CIO´s (del inlgés Chief Information Officer) de las empresas debieron sumarle a su lista de prioridades el ocuparse de nuevas actividades y alinear la TIC con el negocio.  Con la aparición de las buenas prácticas” –una suerte de modelos teórico-prácticos para hacer un mejor uso de la tecnología, basados en experiencias- y las ya conocidas “normas ISO”-conjuntos de requerimientos específicos de los que se debe dar cuenta de su cumplimiento-; los procesos y la forma de cómo hacer las cosas pasó ha ocupar un lugar importante dentro de su gestión. Y a aquello se le sumaron los Frameworks  -desarrollados por la empresa- basados en las propias experiencias o buenas prácticas.
La diferencia
A esta altura, sería importante distinguir la diferencia que existe entre
  • Frameworks, marcos  de referencia ad hoc  y
  • Los estándares internacionales que se mantienen y actualizan en el tiempo por cuerpos o foros de gobernabilidad que reflejan la experiencia de cientos de organizaciones.
Los estándares pueden ser de facto o de Jure o Iure. Un estándar de facto es aquel patrón o buena práctica que se caracteriza por no haber sido consensuada ni legitimada por un organismo de estandarización. Por el contrario, se trata de una norma generalmente aceptada y ampliamente utilizada por iniciativa propia de un gran número de interesados. Estos estándares de facto son desarrollados por consenso y compromiso de mejores prácticas discutidas por grandes grupos de individuos de varias organizaciones (ejemplos OGC – Office of Goverment Commerce para ITIL, ISACA – Information Systems Audit and Control Association para COBIT, Universidad Carnegie Mellon para CMMi)

Por su parte, los estándares de jure/iure han sido consensuados y legitimados por un organismo de estandarización (ejemplos ISO - International Organization of Standarization, BS - British Standards). Normalmente hablar de estándar refiere a estándar de jure.


Con todo esto, los CIO´s salieron de su espacio encapsulado donde sólo hablaban de tecnología, con terminología que era de difícil interpretación, para sentarse en el directorio, entender y opinar sobre el negocio de su organización. Esta nueva faceta surge con la intención de optimizar la forma de hacer las cosas (a través de los procesos de negocio), más allá de “la solución tecnológica propiamente dicha”; se trata de tener en cuenta, además, que la “solución” puede llegar de una u otra forma a cada uno de los puestos de trabajo, donde la información y el manejo del conocimiento son algunos de los recursos estratégicos más importantes que maneja una organización.

Adicionalmente y por fuera del área de TI, cuando las empresas utilizan la tecnología como una fortaleza para brindar servicios, el desafío de TI es coordinar, controlar y manejar el diseño, desarrollo, soporte y entrega de servicios de alta calidad al área de negocios, cumpliendo con los objetivos acordados. En este contexto, intentaremos explicar, brevemente, los modelos más utilizados a la fecha y cuyas aplicaciones están creciendo día a día en todo el mundo.
Gestión de Servicios de TI (IT Service Management)
Si hablamos de mejorar la Gestión de Servicios de TI desde las buenas prácticas, nos referimos a ITIL, y desde las normas, a ISO 20000. Por Gestión de Servicios de TI (IT Service Management) entendemos una serie de objetivos:
  • Alinear los servicios de TI con las necesidades actuales y futuras del negocio y sus clientes
  • Mejorar la calidad de entrega de los servicios de TI
  • Reducir los costos de la provisión de servicios
  • Actuar con conformidad a leyes y normas

En cuanto a ITIL (IT Infraestructure Library), podemos decir que surgió en el Reino Unido como una iniciativa de la Oficina de Comercio del Gobierno Británico (OGC), con el objetivo de ordenar la gestión de servicios de TI, reducir costos y mejorar las relaciones con los proveedores. Vale aclarar que se ha convertido en un estándar “de facto”. Su versión 2, enfocada en los procesos, está dividida en 10 más una función. En el grupo de procesos para el Soporte de Servicios (Services Support) encontramos: Incidentes, Problemas, Cambios, Release y Configuración y la función Service Desk que es el punto de contacto con el usuario; y para Liberación de Servicios (Services Delivery) los procesos de Nivel de Servicios, Capacidad, Disponibilidad, Continuidad y Finanzas de TI.

Desde el 2007, con la liberación de la versión 3, ITIL pone el foco en la Alineación e Integración de TI con el Negocio, a través de operaciones automatizadas e integradas, gestionando los servicios para el Negocio y la tecnología en un proceso de mejora continua donde se introduce el concepto sobre el ciclo de vida.

ITIL V3 esta basado en 5 libros que son: Estrategia del Servicio (ES), Diseño del Servicio (DS), Transición del Servicio (TS), Operación del Servicio (OS) y Mejora continua del Servicio (MCS)
Norma ISO 20.000
Por su parte, la norma ISO 20000, a través de un conjunto definido de dominios, es el primer estándar formal para la gestión de servicios de TI. Fue desarrollado por el Instituto de Estándares Británico (BSI) en el año 2000 y adoptado por ISO a fines de 2005, adquiriendo su actual denominación. Está basada en las mejores prácticas de ITIL, describe y define qué cosas debe hacer una organización en orden de entregar y hacer soporte de servicios de TI a sus clientes internos y externos. Se conforma de dos partes: una formal, donde se describe qué debe hacer y cumplir una organización para lograr el estándar, y una segunda parte menos formal llamada “código de práctica”, que amplía a la primera en cuanto a los procesos involucrados.
Procesos de diseño de software (CMM)
Saliendo de la Gestión de Servicios, podemos pasar a los Procesos de Diseño de Software. Aquí se encuentra CMMi(Capability Madurity Model Integration), el cual es un  modelo de maduración de capacidad que describe principios y prácticas para el proceso de diseño de software (originalmente CMM, hoy CMMi-DEV). Su objetivo es ayudar a las empresas productoras de software a mejorar sus procesos siguiendo un camino evolutivo que va desde un nivel inicial ad hoc hasta alcanzar la madurez. Fue desarrollado en 1986 por el Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon. Actualmente, se ha extendido su alcance a personas, adquisición de software, sistemas de ingeniería, desarrollo de productos y servicios. En la actualidad, varios CMM´s fueron integrados por el SEI en lo que se llama CMMi-DEV o CMMi for Development (para el desarrollo de aplicaciones), CMMi ACQ o CMMi for Acquisition (para adquisiciones, gestión de suministro y proveedores externos) y CMMi SVC o CMMi for Services (enfocado en la gestión y entrega de servicios).

Sin dudas, CMMi es el estándar de facto más difundido en la Argentina. Se puso en boga después de la crisis del 2001, cuando nuestros costos de servicios resultaron competitivos en los mercados internacionales y las empresas desarrolladoras vieron en CMMi un elemento que le agregaba valor y marca de calidad a la hora de salir a buscar clientes internacionales.
Sistemas de Gestión de Seguridad de la información
Si quisiéramos hablar de Sistemas de Gestión de Seguridad de la Información, aquí sí directamente deberíamos referirnos a la ISO 27000, norma que especifica los requisitos para Sistemas de Seguridad de la Información, donde la ISO 27001 define los requisitos y la ISO 27002 el código de práctica (se está trabajando en nuevos soportes para la familia de la ISO 27000, con directrices, métricas, gestión de riesgo, etc.) La norma se focaliza, básicamente, en tres aspectos: la confidencialidad para proteger datos y evitar que caigan en manos no deseadas, la disponibilidad para asegurarse que esos datos estarán cuando se los necesite, y la integridad que garantice que la información se maneja en forma adecuada y correcta.
Esta norma -muy difundida a nivel mundial- permite demostrar la capacidad que tiene una empresa para manejar adecuadamente información, ya sea de clientes internos como externos.
Gobernabilidad de TI (IT Governance)
Llegando a la cima de la pirámide de la Dirección de TI, se encuentra la Gobernabilidad de TI (IT Governance), que es un sistema por el cual las áreas de TI son dirigidas y controladas dentro de las empresas. La estructura de IT Governance especifica la distribución de derechos y responsabilidades de los diferentes actores involucrados, tales como directores, gerentes de negocio, gerentes de TI, etc. Además, enumera una serie de reglas y procedimientos para la toma de decisiones en TI y provee la estructura a través de la cual se definen los objetivos, la importancia de alcanzarlos y el monitoreo de su performance.
Adopta el modelo de CobiT o estándares ISO 38500 o AS 8015, para lo cual CobiT (Control Objetives for Information and Related Technologies) es un conjunto de buenas prácticas encargadas del adecuado control y definición de los niveles de seguridad requeridos tendientes a proteger los activos de la compañía. Su especificidad es brindar guías que apuntan a controlar los objetivos de los procesos de gestión de TI y, para ello, define 4 dominios, 34 objetivos de alto nivel y 318 objetivos de control (puntos de control específicos). CobiT fue desarrollado por la Asociación de Auditoría y Control de TI en 1996, ISACA de los Estados Unidos. Cumple con las normas internacionales de buenas prácticas para la auditoría y control de TI, es un estándar que define los indicadores claves de performance (KPI´s) de los procesos de TI.

Por otro lado, si hablamos de normas, debemos referenciarnos a la  recientemente liberada ISO 38500. La misma identifica la norma de gobierno corporativo de las TIC. Sus orígenes se pueden encontrar en varias fuentes, entre las cuales figura el estándar australiano AS 8015. Define 6 principios: establecer responsabilidades, planificar el soporte organizacional, adquirir válidamente, garantizar el rendimiento, velar por la conformidad con las normas y garantizar el respeto de los recursos humanos.

Hay muchas más normas, buenas prácticas y frameworks que podríamos enumerar (PMBoK, 6 Sigma, SOX, COSO, SOA, ISO 9000) y que también contribuyen a la calidad de las empresas y del sector TIC, pero sería muy extenso desarrollarlas todas en este artículo. Lo imprescindible es aclarar que la aplicación de cada práctica o norma no tiene un límite estricto, sino que siempre se superponen en su alcance, por eso es necesario tener presente ciertas consideraciones:

Consideraciones con los estándares y frameworks
Al analizar la adopción de un estándar o framework, más allá de las consideraciones específicamente técnicas, tener en cuenta:
Origen/historia: dónde surgió, quién lo hizo, cuándo, primeras publicaciones, propiedad intelectual, estado actual de desarrollo, revisiones previstas, etc.
Quiénes lo usan: grupos de interés, mercado específico o general, cantidad de empresas que lo adoptaron, cantidad de empresas que certificaron, aceptación del estándar. Estándar de facto o de jure.
Método usado: guías de implementación, de gestión, resultados esperados, costos específicos, casos de negocio, fallas frecuentes.
Relevancia: por qué este instrumento es específicamente relevante para la gestión de TI, cuáles son los principales problemas de TI que resuelve.
Ventajas y desventajas: dónde brinda mayor valor, por qué usarlo, se perfilan flaquezas.
Relaciones: con otros frameworks o instrumentos de gestión.
Información: dónde se adquiere la información más importante, comunidad de usuarios, Foro.

Resumen

CobiT, ISO 17799/27001, ITIL, CMMi, PMbok, Prince2, ISO 2000 ISO 38500, etc., son todos muy buenos marcos de referencia (frameworks) y estándares de jure para mejorar la actividad de TI, vista desde los procesos. La clave es entender el foco de cada uno, revisar las necesidades de la organización y adoptar el/los estándares que mejor se apliquen. Pero hay que entender que la complementación y combinación de estos estándares dará mayores beneficios a toda la organización y en todos sus niveles.

Lic. Julio C Fuoco - Director -  Business IT http://www.businessit.biz/ 



No hay comentarios:

Publicar un comentario