Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
T e s i s Administración de áreas informáticas bajo estándares internacionales de calidad en el sector público Que para obtener el grado de: Maestro en: Administración (Organizaciones) Presenta: Juan Carlos Rodríguez Tostado T u t o r : R. Arturo Cárdenas y Espinosa México, D.F. Octubre del 2008 Universidad Nacional Autónoma de México Programa de Posgrado en Ciencias de la Administración Neevia docConverter 5.1 UNAM – Dirección General de Bibliotecas Tesis Digitales Restricciones de uso DERECHOS RESERVADOS © PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Todo el material contenido en esta tesis esta protegido por la Ley Federal del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). El uso de imágenes, fragmentos de videos, y demás material que sea objeto de protección de los derechos de autor, será exclusivamente para fines educativos e informativos y deberá citar la fuente donde la obtuvo mencionando el autor o autores. Cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por el respectivo titular de los Derechos de Autor. T e s i s Administración de áreas informáticas bajo estándares internacionales de calidad en el sector público Que para obtener el grado de: Maestro en: Administración (Organizaciones) Presenta: Juan Carlos Rodríguez Tostado T u t o r : R. Arturo Cárdenas y Espinosa México, D.F. Octubre del 2008 Universidad Nacional Autónoma de México Programa de Posgrado en Ciencias de la Administración F a c u l t a d d e C o n t a d u r í a y A d m i n i s t r a c i ó n F a c u l t a d d e Q u í m i c a I n s t i t u t o d e I n v e s t i g a c i o n e s S o c i a l e s I n s t i t u t o d e I n v e s t i g a c i o n e s J u r í d i c a s Neevia docConverter 5.1 Primero fue un sueño, después fue una ilusión, ahora es una realidad. Claudia, Samantha y Geovanna, Gracias por se parte de este sueño. Las amo. Neevia docConverter 5.1 1 ÍNDICE INTRODUCCIÓN..........................¡ERROR! MARCADOR NO DEFINIDO. CAPITULO 1. MARCO TEÓRICO, CONCEPTUAL Y REFERENCIAL ...................................................¡ERROR! MARCADOR NO DEFINIDO. 1.1. FUNDAMENTOS Y CONCEPTOS DE LA ADMINISTRACIÓN Y DE LA CALIDAD. ................................¡ERROR! MARCADOR NO DEFINIDO. 1.1.1. Administración Científica. ¡Error! Marcador no definido. 1.1.2. Definición de Calidad Total..............¡Error! Marcador no definido. 1.2. EVOLUCIÓN DE LA ADMINISTRACIÓN Y DE LA CALIDAD. .........¡ERROR! MARCADOR NO DEFINIDO. 1.2.1. Escuela Clásica de Administración...¡Error! Marcador no definido. 1.2.2. Escuela del Comportamiento. ..........¡Error! Marcador no definido. 1.2.3. El Neohumanorrelacionismo............¡Error! Marcador no definido. 1.2.4. Escuela Estructuralista..... ¡Error! Marcador no definido. 1.2.5. Enfoques Modernos de la Teoría Administrativa. .¡Error! Marcador no definido. 1.2.6. Evolución de la Calidad. ... ¡Error! Marcador no definido. 1.2.7. El Control de Calidad Moderno.........¡Error! Marcador no definido. 1.2.8. El Japón. .......................... ¡Error! Marcador no definido. 1.2.9. Cero Control de Calidad.... ¡Error! Marcador no definido. 1.2.10. Despliegue de la Función de Calidad.. ¡Error! Marcador no definido. 1.2.11. El Método Taguchi. ......... ¡Error! Marcador no definido. 1.2.12. Cero Defectos. ............... ¡Error! Marcador no definido. 1.2.13. De Japón a Occidente. .... ¡Error! Marcador no definido. 1.3. EVOLUCIÓN DE LAS NORMAS INTERNACIONALES DE CALIDAD..¡ERROR! MARCADOR NO DEFINIDO. 1.3.1. ISO 9000. Origen de las Normas ISO-9000. ........¡Error! Marcador no definido. Neevia docConverter 5.1 2 1.3.2. ¿De Qué Tratan? .............. ¡Error! Marcador no definido. 1.3.3. ¿Quién las Utiliza? ........... ¡Error! Marcador no definido. 1.3.4. Las Normas ISO Más Conocidas.......¡Error! Marcador no definido. 1.4. FUNDAMENTOS DE LA ADMINISTRACIÓN DE ÁREAS INFORMÁTICAS BAJO NORMAS INTERNACIONALES DE CALIDAD....... ¡ERROR! MARCADOR NO DEFINIDO. 1.4.1. ISO 17799: La nueva norma técnica global de seguridad. ........................ ¡Error! Marcador no definido. 1.4.2. El Origen de ISO 17799.... ¡Error! Marcador no definido. 1.4.3. Las Diez Áreas de Control de ISO 17799. ............¡Error! Marcador no definido. 1.4.4. La Norma ISO 17799 al Alcance de su Empresa...¡Error! Marcador no definido. 1.4.5. El Código de la Norma ISO 17799....¡Error! Marcador no definido. 1.4.6. Beneficios de la Norma ISO 17799. .¡Error! Marcador no definido. 1.4.7. ISO 27000. ...................... ¡Error! Marcador no definido. 1.4.8. La Serie 27000................. ¡Error! Marcador no definido. 1.5. EVOLUCIÓN DE LA ADMINISTRACIÓN PÚBLICA FEDERAL EN MÉXICO. ¡ERROR! MARCADOR NO DEFINIDO. CAPITULO 2. PRESENTACIÓN Y DESCRIPCIÓN DEL PROBLEMA. ...................................................¡ERROR! MARCADOR NO DEFINIDO. 2.1. PLANTEAMIENTO DEL PROBLEMA. ..¡ERROR! MARCADOR NO DEFINIDO. 2.1.1. Hipótesis.......................... ¡Error! Marcador no definido. 2.1.2. Especificación de las Variables ........¡Error! Marcador no definido. 2.1.3. Objetivos de la Investigación. .........¡Error! Marcador no definido. 2.2. SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LAS ÁREAS DE INFORMÁTICA EN LA ADMINISTRACIÓN PÚBLICA FEDERAL. ....¡ERROR! MARCADOR NO DEFINIDO. 2.3. SITUACIÓN DESEADA..................¡ERROR! MARCADOR NO DEFINIDO. 2.4. METODOLOGÍA PARA SOLUCIONAR EL PROBLEMA. ¡ERROR! MARCADOR NO DEFINIDO. Neevia docConverter 5.1 3 2.5. JUSTIFICACIÓN DE LA METODOLOGÍA PROPUESTA.¡ERROR! MARCADOR NO DEFINIDO. CAPITULO 3. IMPLEMENTACIÓN DE LA METODOLOGÍA. ... ¡ERROR! MARCADOR NO DEFINIDO. 3.1. EL DIAGNÓSTICO DE LA CALIDAD DE LAS DIRECCIONES DE TECNOLOGÍA DE LA INFORMACIÓN. ¡ERROR! MARCADOR NO DEFINIDO. 3.1.1. El Diagnóstico de la Calidad en las Áreas de Desarrollo y Mantenimiento de Sistemas de Información. .....¡Error! Marcador no definido. 3.1.2. El Diagnóstico de la Calidad en las Áreas de Mantenimiento Preventivo y Correctivo a Bienes Informáticos y de Telecomunicaciones. ¡Error! Marcador no definido. 3.1.3. El Diagnóstico de la Calidad en el Centro de Cómputo. ......................................... ¡Error! Marcador no definido. 3.1.4. Exclusiones Permisibles ... ¡Error! Marcador no definido. 3.2. LAS ESTRATEGIAS PREVIAS A LA PUESTA EN MARCHA.............¡ERROR! MARCADOR NO DEFINIDO. 3.2.1. Establecer los Objetivos y Documentar Cada Uno de los Procesos que Serán Parte de la Certificación........¡Error! Marcador no definido. 3.2.2. Identificar las Necesidades de Capacitación y Elaborar Programa de Capacitación. ¡Error! Marcador no definido. 3.2.3. Entrenar al Personal en los Conceptos de la Norma Seleccionada..................... ¡Error! Marcador no definido. 3.2.4. Establecer los Métodos de Medición. ... ¡Error! Marcador no definido. 3.2.5. Establecer el Método de Auditoría Interna. .........¡Error! Marcador no definido. 3.2.6. Identificación y Manejo de Productos No Conformes. ......................................... ¡Error! Marcador no definido. 3.2.7. Procedimiento de Acciones Correctivas, Preventivas y Mejora Continua. .............. ¡Error! Marcador no definido. 3.3. LA PUESTA EN MARCHA. ..............¡ERROR! MARCADOR NO DEFINIDO. 3.3.1. Auditoria Documental. ..... ¡Error! Marcador no definido. Neevia docConverter 5.1 4 3.3.2. Evaluación del Personal Responsable de los Procedimientos Operativos. .............¡Error! Marcador no definido. 3.3.3. Primeros Cambios a los Procedimientos Operativos. .........................................¡Error! Marcador no definido. 3.3.4. Primera Auditoria Interna.¡Error! Marcador no definido. 3.3.5. Documentación y Seguimiento a los Hallazgos de la Auditoria Interna. ............. ¡Error! Marcador no definido. 3.3.6. Preparando la Auditoria Externa de Certificación.¡Error! Marcador no definido. 3.3.7. Revisiones de la Dirección...............¡Error! Marcador no definido. 3.4. ACCIONES A REALIZAR DESPUÉS DE LA PUESTA EN MARCHA. ..¡ERROR! MARCADOR NO DEFINIDO. 3.4.1. Resultado de la Auditoria de Certificación. ..........¡Error! Marcador no definido. 3.4.2. Evaluación de Resultados. ¡Error! Marcador no definido. 3.4.3. Mantenimiento de la Certificación. ..¡Error! Marcador no definido. CAPITULO 4. ANÁLISIS DE RESULTADOS.... ¡ERROR! MARCADOR NO DEFINIDO. 4.1. COMPORTAMIENTO TÍPICO DE LOS PROCESOS DE LAS DIRECCIONES DE TECNOLOGÍAS DE LA INFORMACIÓN SIN UNA CERTIFICACIÓN..¡ERROR! MARCADOR NO DEFINIDO. 4.1.1. Desarrollo y Mantenimiento de Sistemas de Información...................... ¡Error! Marcador no definido. 4.1.2. Mantenimiento Preventivo y Correctivo a Bienes Informáticos y de Telecomunicaciones. ¡Error! Marcador no definido. 4.1.3. Centro de Cómputo .......... ¡Error! Marcador no definido. 4.2. COMPORTAMIENTO DE LOS PROCESOS DE LAS DIRECCIONES DE TECNOLOGÍAS DE LA INFORMACIÓN UNA VEZ CERTIFICADOS. .¡ERROR! MARCADOR NO DEFINIDO. 4.2.1. Desarrollo y Mantenimiento de Sistemas de Información...................... ¡Error! Marcador no definido. Neevia docConverter 5.1 5 4.2.2. Mantenimiento Preventivo y Correctivo a Bienes Informáticos y de Telecomunicaciones. ¡Error! Marcador no definido. 4.2.3. Centro de Cómputo. ......... ¡Error! Marcador no definido. 4.3. INDICADORES DE DESEMPEÑO DE LAS DIRECCIONES DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE SU DEPENDENCIA. .. ¡ERROR! MARCADOR NO DEFINIDO. 4.4. SATISFACCIÓN DE LOS CLIENTES DE LAS DIRECCIONES DE TECNOLOGÍAS DE LA INFORMACIÓN.............. ¡ERROR! MARCADOR NO DEFINIDO. 4.4.1. ¿Para Qué?. ..................... ¡Error! Marcador no definido. 4.4.2. ¿Cómo?. ........................... ¡Error! Marcador no definido. 4.4.3. Sesgos en la Generación de Resultados...............¡Error! Marcador no definido. 4.4.4. ¿Cuándo?. ........................ ¡Error! Marcador no definido. 4.4.5. ¿Quién?. .......................... ¡Error! Marcador no definido. 4.4.6. Satisfacción de los Proveedores. .....¡Error! Marcador no definido. 4.5. DESARROLLO ORGANIZACIONAL DE LAS DIRECCIONES DE TECNOLOGÍAS DE LA INFORMACIÓN.............. ¡ERROR! MARCADOR NO DEFINIDO. 4.5.1. Mejoras del Desarrollo Organizacional en Áreas de Tecnología de la Información al Trabajar Bajo Normas Internacionales de Calidad. .............¡Error! Marcador no definido. 4.6. DESEMPEÑO DE LOS EQUIPOS DE MEJORA CONTINUA............¡ERROR! MARCADOR NO DEFINIDO. 4.7. CONCLUSIONES. ........................¡ERROR! MARCADOR NO DEFINIDO. ANEXO 1 .....................................¡ERROR! MARCADOR NO DEFINIDO. BIBLIOGRAFÍA ...........................¡ERROR! MARCADOR NO DEFINIDO. Neevia docConverter 5.1 1 INTRODUCCIÓN El presente trabajo es una investigación inédita que pretende dejarle en claro al lector cómo es posible obtener mejores resultados en las áreas de tecnologías de la información de la Administración Pública Federal. Uno de los propósitos es que la presente investigación ayude a que la Administración Pública Federal mejore la prestación de servicios a la ciudadanía mexicana al hacer un uso eficiente de las tecnologías de la información que tiene a su alcance. Durante la investigación se utilizó la metodología de los estudios explicativos con el propósito de: “Demostrar que la implementación de una metodología basada en normas internacionales de calidad garantiza una administración exitosa en las áreas de tecnologías de la información de la Administración Pública Federal". A lo largo de la investigación se dan a conocer las diferencias al administrar áreas de tecnologías de la información en la Administración Pública Federal en apego a lo establecido a normas internacionales de calidad y a la manera que tradicionalmente se ha utilizado en las últimas décadas. Así mismo, se podrá saber por qué los resultados de áreas de tecnología de la información bajo normas internacionales de calidad mejoran y qué resultados se pueden esperar una vez que se instaura un sistema de gestión de la calidad en un área de tecnologías de la información de una dependencia de la Administración Pública Federal. Durante el Primer Capítulo, se le presentan al lector las referencias teorías y conceptos propios del tema, como es el caso de las teorías administrativas y sus principales representantes como son: Frederick Winslow Taylor, Henry Fayol, Elton Mayo, Kurt Lewin, Abraham Maslow, Max Weber y Peter Drucker entre otros. Así mismo, se mencionan conceptos ligados a la calidad y certificación de normas internacionales, así como la evolución de la Administración Pública en México. En el Segundo Capítulo, se hará una mención detallada de la problemática que se quiere resolver en las Direcciones de Informática en la Administración Pública Federal, así como, se menciona la metodología utilizada y la justificación de por qué la investigación realizada se llevó acabo con la metodología de los estudios explicativos. Neevia docConverter 5.1 2 A lo largo del Tercer Capítulo, de manera detallada el lector puede conocer cuales son las estrategias que se deben seguir antes, durante y después de implementar un sistema internacional de gestión de la calidad en las áreas de tecnología de la información de la Administración Pública Federal. Más adelante, en el Cuarto Capítulo el lector podrá ver una serie de análisis del resultado de la investigación que permiten evidenciar las ventajas que se tienen al implementar los sistemas internacionales de calidad en las diversas áreas dependientes de tecnologías de la información. Se hacen importantes menciones sobre los índices de desempeño, los niveles de satisfacción de sus usuarios, el proceso de mejora continua, etc. En este mismo capítulo, se incluyen las conclusiones alcanzadas sobre la realización de la investigación. Por último y con el propósito de que el lector cuente con más y mejores elementos, se hace la inclusión de un anexo referente a la encuesta aplicada en la investigación a las áreas de tecnología de la información de casi un centenar de Dependencias de la Administración Pública Federal, así como la relación de la bibliografía utilizada durante el desarrollo de esta investigación. Neevia docConverter 5.1 1 CAPITULO 1. MARCO TEÓRICO, CONCEPTUAL Y REFERENCIAL 1.1. Fundamentos y Conceptos de la Administración y de la Calidad. La práctica de la administración ha existido desde los tiempos más remotos. Los relatos judeo-cristianos de Noé, Abraham y sus descendientes indican el “manejo” de grandes números de personas y recursos para alcanzar una variedad de objetivos.1 Con el propósito de que el lector tenga una idea clara de los fundamentos que se requieren para entender mejor la presente investigación se mencionan algunos de los principales conceptos de la teoría general de la administración. 1.1.1. Administración Científica. Frederick Winslow Taylor (1856-1915) es considerado como el padre de la Administración Científica. Taylor se propone poner al descubierto que existe un enorme desperdicio de tiempo de trabajo social debido al desconocimiento por parte de los administradores de la ciencia del trabajo y a las relaciones que prevalecen en las empresas que hacen que los obreros simulen trabajar. Presenta los principios cuya aplicación estaría en condiciones de proporcionar a sus agentes el máximo de prosperidad. División y especialización del trabajo. Con lo cual el trabajador debe responder por cuotas o volúmenes de producción, previamenteasignados. Selección de los empleados mejor calificados para desempeñar el trabajo y entrenarlos para hacerlo. A cada trabajador se le debe asignar la tarea más elevada que él pueda desempeñar. 1 Terry y Franklin, Principios de Administración, México 1993, p 42 Neevia docConverter 5.1 2 Los supervisores se emplean para controlar los empleados y asegurar que ellos sigan los métodos prescritos. Incentivos salariales al trabajador. Asignación de tarifas de remuneración por unidad producida más allá de la cuota establecida. Planeación centralizada. Se debe procurar por una responsabilidad equilibrada entre los trabajadores y la dirección, dejando a los primeros la función operativa y a los últimos la de planeación. Integración del obrero al proceso. Aunque la planeación es centralizada, se debe contar con los obreros para que la producción lograda cumpla con los estándares de calidad deseados. Supervisión líneo-funcional de la producción. Especialización de la función de supervisión con base en labores específicas Principio de control. Se debe controlar el trabajo para asegurarse que éste se realice de acuerdo con las normas y planes establecidos. Principio de excepción. Implica que el supervisor debe atender los problemas de los operarios sólo cuando se desvían de lo planeado. Su meta es lograr mediante la aplicación de estos principios el máximo de productividad. Su punto de partida es el estudio científico del trabajo. Cuyo objetivo es la construcción de una fórmula identificada como “The one way of the job”, es decir; el mejor método para hacer el trabajo. 1.1.2. Definición de Calidad Total.2 A continuación se hará una aproximación a una definición de Calidad Total, según algunos de los autores más connotados en el tema: o Armand Feigenbaum. “Calidad Total es un sistema efectivo de los esfuerzos de varios grupos en una organización para la integración del desarrollo, del mantenimiento y la mejora de la calidad con el objetivo de hacer posibles marketing, ingeniería, producción, y servicio a satisfacción total del consumidor y al nivel más económico”. 2 IVANCEVICH y otros. Gestión, Calidad y Competitividad. Editorial McGraw-Hill. España. 1994 Neevia docConverter 5.1 3 o Philip Crosby. “Calidad Total es el cumplimiento de los requerimientos, donde el sistema es la prevención, el estándar es cero defectos y la medida es el precio del incumplimiento”. o Joseph Juran. “Calidad Total es estar en forma para el uso (fitness for use), desde los puntos de vista estructurales, sensoriales, orientados en el tiempo, comerciales y éticos sobre la base de parámetros de calidad de diseño, calidad de cumplimiento, de habilidad, seguridad del producto y servicio en el campo”. o Genichi Taguchi. “Calidad Total es la pérdida mínima impartida a la sociedad por el producto desde el momento en que se despacha (considerando reprocesos, mantenimiento, desechos, tiempo sin ser usado a causa de fallas, reclamos por garantías, y bajo rendimiento del producto)”. o Kaoro Ishikawa. “Calidad Total es cuando se rodea después el servicio de ventas, la administración, la compañía en sí misma y el ser humano”. Según Feigenbaum, el control de calidad hasta el fin del s. XIX se caracterizó por ser realizado totalmente por los operarios, lo que denominó Control de Calidad del Operario. Posteriormente en el período de la Primera Guerra Mundial se dio el Control de Calidad del Capataz y entre las dos guerras aparece el Control de Calidad por Inspección o lo que se conoce como el Control de Calidad Moderno. 1.2. Evolución de la Administración y de la Calidad.3 1.2.1. Escuela Clásica de Administración. La teoría clásica ve a la organización como un sistema cerrado, no considera influencias ambientales, hace suposiciones irreales sobre la conducta humana, sus principios y fundamentos son contradictorios y a veces vagos, contribuye a fundamentar, en parte, la teoría administrativa moderna, varios de sus conceptos todavía se utilizan con una aproximación inicial. Está teoría se interesa por la planeación, la estandarización, mejoramiento de la eficiencia laboral, y las reglas prácticas. 3 Ibid Neevia docConverter 5.1 4 o HENRY FAYOL (Francia 1841-1925). Ingeniero industrial y de minas, laboró en la compañía francesa de hierro y carbón de Commentry-Fourchambault, en donde realizó carrera administrativa hasta llegar a ser su director. Su obra “Administration industrielle et générale”, (Administración industrial y general), escrita en 1916, publicada cinco años después de la de Fayol, sólo fue traducida al Inglés en la década de los 30’s, y con circulación completa en 1949 en los Estados Unidos de Norteamérica, por tal motivo su obra fue poco conocida hasta entonces. Es considerado como el “padre” de la administración moderna, por sus estudios y aplicaciones organizacionales. o WILFREDO PARETO (París 1848 -Turín 1923) Wilfredo Pareto, hijo del Marqués Raffaele Pareto, ingeniero civil, y de Marie Metenier, de origen modesto francés. La familia se establece en Italia desde 1852. Wilfredo sigue los cursos de físicas matemáticas y también estudia el griego, el latín y el italiano. Él entra a la escuela de ingenieros de Turín graduándose en enero de 1870. Mostró interés por las ciencias sociales, específicamente por la sociología y la economía que le hicieron abandonar la carrera. El aporte más importante de Pareto es el principio que lleva su nombre, el cual dice: “el 20% de las variables causa el 80% de los efectos” o regla 20-80. El “Principio de Pareto” es empleado como una de las herramientas para el control de calidad. 1.2.2. Escuela del Comportamiento. Escuela del comportamiento o de las relaciones humanas, como también se le denomina, en la que destacan Elton Mayo y Kurt Lewin, centrados más en el comportamiento del individuo, la psicología y dinámica grupal, así como en las relaciones y condiciones de trabajo. Evolucionó hasta dar origen al Desarrollo Organizacional, para el manejo del Cambio Planeado en la Organización, replanteando las tesis sobre los conflictos en el trabajo, los valores a cerca del personal, el papel de la gerencia, y llamó la atención sobre la necesidad de efectuar diagnósticos como punto de partida para la planeación y la toma de decisiones. Neevia docConverter 5.1 5 1.2.3. El Neohumanorrelacionismo. Los neohumanorrelacionistas basan su trabajo en los estudios de la Escuela de las Relaciones Humanas. Abraham Maslow. Psicólogo nacido en Brooklyn, Nueva York en 1908, falleció en 1970 de un ataque cardíaco. Al inicio de su carrera, Maslow estudió la personalidad y la motivación humana. Su trabajo en esta área perturbó a los teóricos del comportamiento, cuyas interpretaciones de la motivación y personalidad no consideraban la que Maslow llamó la persona integral. Maslow es considerado una importante figura en la sicología contemporánea. Su carrera en la Universidad de Brooklyn durante 14 años fue brillante, pasando luego a la Universidad de Brandeis como jefe del departamento de Sicología. En 1968 fue elegido presidente de la Asociación Americana de Sicología Sus obras más importantes son: Hacia una Sicología del Ser (1968) y Motivación y Personalidad (1970) Jerarquía de las Necesidades. Maslow considera que las necesidades humanas dan forma a una pirámide jerarquía, que comienzan en orden ascendente desde las necesidades inferiores hasta las superiores y concluyó que cuando un conjunto de necesidades han sido satisfechas cesa de ser una motivación. 1.2.4. Escuela Estructuralista. En especial la TEORÍA DE LA BUROCRACIA, elaborada por Max Weber, y donde aparecen figuras como la de Charles Perrow y Emile Durkheim. Enfatiza en las normas,lo formal, la estructura (tipo y forma de organización), la impersonalidad de las relaciones, la jerarquía, el poder y los méritos. o MAX WEBER 1864-1920. Fue un científico social alemán, uno de los fundadores de la sociología moderna. Después de estudiar en varias universidades alemanas donde trabajó brevemente como un asistente legal, logró completar su disertación doctoral, y fue nombrado entonces profesor en la Neevia docConverter 5.1 6 Universidad de Freiburg (1894) y después en la Universidad de Heidelberg (1896). Lo fundamental en el pensamiento de Weber fueron sus conceptos de burocracia y su teoría de dominación racional. Él sostuvo que la burocratización de las esferas políticas y económicas de la sociedad moderna es el desarrollo más importante en la civilización occidental. Escuela Neoclásica, conocida también como Operacional y donde irrumpe la Administración por Objetivos; podemos citar aquí a Peter Drucker, Agustín Reyes Ponce y Richard Tannebaun, quienes sostienen el carácter social de la administración, enfatizan el alcance de los resultados y plantean la forma de diseñar e implementar objetivos y metas, donde el rol y la acción de los directivos se muestra como fundamental. o TEORÍA Z. (William Ouchi) Después del año de 1970 y la crisis energética del petróleo, en la industria estadounidense entraron en decadencia los niveles de productividad, mientras en las empresas japonesas sus indicadores iban en alza. Para ese entonces, William Ouchi se preocupó por conocer la causa del fenómeno japonés, de lo cual indujo que en el estilo gerencial estaba la diferencia entre ambas culturas. Publicando su estudio bajo el título de: Theory how American Business can meet the Japanese Challenge, conocida como Teoría Z, debido al rasgo característico de las empresas norteamericanas que se asemejaban en el estilo gerencial al japonés. La Teoría Z, proporciona medios para dirigir a las personas de forma tal que el trabajo realizado en equipo sea más eficiente. 1.2.5. Enfoques Modernos de la Teoría Administrativa. Administración por objetivos. La Administración Por Objetivos (APO), fue divulgada por Peter Drucker en la década de los 50’s, en su libro la Administración de Empresas, donde plantea la necesidad de un establecimiento formal de metas y la evaluación del desempeño. Neevia docConverter 5.1 7 El aspecto principal de la APO, es la participación de los directivos y empleados en la formulación de los objetivos, lo que ayuda a romper algunas barreras de la planeación. La APO define los resultados esperados y medibles de cada área de gestión. Por medio de los cuales los encargados de cada departamento realizan la respectiva planeación, y entre ellos y los superiores realizan el control del logro de los objetivos en forma periódica; llevando al logro de los objetivos generales de la organización. 1.2.6. Evolución de la Calidad.4 El trabajar bajo normas internacionales de calidad tiene como antecedente la preocupación europea de estandarizar servicios, productos, procesos y muchas cosas más; por esto a principios del siglo pasado se estableció el sistema métrico decimal, lo que ha evolucionado hasta ahora llamarse “sistema internacional”. El tema de certificación internacional es de actualidad y de importancia en casi todo el mundo, motivo por el cual la International Organization for Standardization inició sus operaciones en 1947. En México hay una larga lista de operaciones certificadas ( o registradas como la Organización Internacional de Estándares prefiere llamarlas) y solicitudes de registro. Antes de continuar hablando sobre las normas internacionales de calidad más conocidas, es importante tratar un poco sobre los conceptos de calidad y excelencia, ya que es a lo que se debe aspirar al buscar un registro internacional. En la actualidad, el concepto de calidad lo entendemos como sinónimo de excelencia, esto se confirma con frases como: “Este producto es pura calidad” o “Nos esforzaremos por lograr la calidad”. Por otro lado, la calidad en el sentido de lo mejor, la excelencia, no lleva a ningún lado, pues en realidad no nos ayuda a conducir mejor nuestra organización. En realidad el concepto de calidad que debemos tener presente, es el que se refiere a que una organización cubra los requisitos de sus clientes. 4 Ibid Neevia docConverter 5.1 8 1.2.7. El Control de Calidad Moderno. En 1931, Walter Shewhart publicó “Economic Control of Quality of Manufactured Products” (Control Económico de la Calidad de Productos Manufacturados), en el que se plantean los principios básicos del control de la calidad, sobre la base de métodos estadísticos, centrándose en el uso de “cuadros de control”. Convirtiéndose así en el padre del control de calidad moderno (aunque algunos autores dan esta paternidad a Deming, debemos considerar que los estudios de Deming se basaron inicialmente en los de Shewhart). Después del aporte de Shewhart, en 1941 y 1942 se aprobaron y publicaron los “Estándares Z” conocidos como los estándares de la guerra, que enfocaban el uso de los cuadros de control para el análisis de datos y su aplicación durante la producción. También en 1941 Leslie E. Simons publicó “Un Manual de Métodos Estadísticos para Ingenieros”. Estos tres aportes, eran lo único con que se contaba en el campo del control de calidad durante los años cuarenta del S. XIX en el mundo occidental, donde hasta ese momento la calidad y el mejoramiento no tenían ninguna importancia para las empresas, sino hasta 1947, en que un grupo de empleados de Johns- Manville terminaron de rodar y editar un video llamado “Control de Calidad Moderno” con el objetivo de promover los aspectos básicos del control de calidad en su empresa entre los empleados e indirectamente a la gerencia: cuadros de control, histogramas, límites para gráficos de barras y cuadros R, así como muestreo. Fue tan exitoso, que trascendió fuera de la empresa y fue utilizado en muchas otras durante décadas. Sin embargo, la concientización real sobre la importancia de la calidad no se asentó en occidente sino hasta los años 80. 1.2.8. El Japón. Después de la II Guerra Mundial, el Japón se encontraba frente a la nada fácil tarea de reconstruir su país. En aquel momento, las fuerzas de ocupación de los EEUU, decidieron apoyar en la reconstrucción de la economía y la infraestructura de manera directa, con el objetivo de evitar que el Japón recuperara su capacidad bélica. Llevaron al Japón un importante número de expertos estadounidenses para ayudar en la labor, pero antes de esto, debían ganar la confianza de los japoneses, quienes aún los veían como los enemigos. Para ello crearon la CCS (Civil Communication Section), que debería difundir Neevia docConverter 5.1 9 mensajes pro-EEUU en la población, entre otros a través de programas de radio. Lamentablemente, la población no contaba con radios. Se construyeron establecimientos industriales orientados a la fabricación de radios, pero luego de la guerra, los administradores experimentados del Japón fueron alejados de puestos de esta naturaleza por su labor durante la guerra y el personal con el que se contaba carecía de formación y experiencia, por lo que el resultado fueron productos de bajísima calidad. Los Japoneses fusionaron las enseñanzas de Deming y Juran con la Administración por Objetivos y dieron los primeros pasos hacia la Planeación Estratégica de la Calidad y hacia la Administración de la Calidad Total (TQM – Total Quality Management). Control de Calidad en Toda la Compañía (CWQC) En 1957, Kaoro Ishikawa publica un libro en el que se resalta la importancia de la administración y las políticas operacionales, base de lo que se conoce como el “Control de Calidad en Toda la Compañía” (Company-Wide Quality Control- CWCQ), que en términos generaleses muy parecido al Control de Calidad Total. Juran hizo otra visita en 1960, en la que hizo hincapié en la responsabilidad de la gerencia en la definición de objetivos y en la planificación para mejorar, que abrió las puertas al Hoshin Kanri o Policy Deployment. 1.2.9. Cero Control de Calidad. Durante los 60´s, Shigueo Shingo desarrolló “Poka Yoke” y los sistemas de inspección en la fuente. Para 1977 planteó formalmente Cero Control de Calidad como una estrategia para conseguir cero defectos, lo cual (a su criterio), nunca se conseguiría con la forma en que el Control Estadístico de la Calidad enfocaba el problema. Se basa en la premisa de que los defectos se dan porque ocurren errores en el proceso. Por lo tanto, no habrá defectos si existe la adecuada retroalimentación (inspección) y si se toman las acciones necesarias en el lugar donde se pueden dar errores. Para ello debemos utilizar inspecciones en la fuente, auto-chequeos y chequeos sucesivos como técnicas de inspección. Neevia docConverter 5.1 10 La idea principal de este concepto es de interrumpir el proceso cuando ocurre un defecto, definir la causa y corregirla, que es el principio de Justo a Tiempo (JAT) en lo que se refiere a la calidad. Por ello, no es necesario realizar muestreos y aplicar Control Estadístico de la Calidad, para conseguir Cero Defectos. La aplicación práctica de este enfoque se basa, por tanto, en investigar minuciosamente la ingeniería de los productos y los procesos, en vez de realizar campañas de motivación con eslóganes y exhortaciones a la calidad, mostrando abiertamente las estadísticas de los defectos. El nombre de este enfoque suele generar algunas controversias, ya que sugiere que no se controla la calidad, cuando en realidad existe una inspección total del 100% de los productos y de todos los procesos, a través de los dispositivos Poka Yoke. El punto es que bajo este enfoque se busca generar procesos "perfectos" o incapaces de generar productos defectuosos por lo que el control de calidad, desde un punto de vista tradicional no existe. 1.2.10. Despliegue de la Función de Calidad. En 1972, el astillero de la Mitsubishi en Kobe hace un gran avance en los conceptos modernos de calidad, profundizando y centrando los conceptos del Hoshin Kanri. Esto resultó en un enfoque ampliado de la Calidad desde el diseño de un producto hasta su consumo o uso, lo que llamó Despliegue de la Función de Calidad o QFD (Quality Function Deployment), que derivaría posteriormente en el concepto de Concurrent Engineering. 1.2.11. El Método Taguchi5. El Dr. Taguchi desarrolló nuevos métodos para optimizar el proceso de experimentación en ingeniería, los cuales hoy llevan su nombre. Elaboró determinados conceptos que dieron lugar a una profunda y poderosa disciplina de mejora en la calidad, la cual difiere sustancialmente de las prácticas tradicionales. Estos conceptos son: 5 http://www.monografias.com/trabajos13/genecal/genecal.shtml, Generaciones de Calidad. Consulta en línea de Agosto 2008. Neevia docConverter 5.1 11 o Que La calidad debe diseñarse en el producto más que inspeccionarse en él; o Que Se logra mejor calidad al minimizar el desvío de un determinado Standard, es decir, al reducir la variación natural del proceso de ejecución; o Que El costo de calidad debe medirse como una función del desvío del Standard y las pérdidas deben determinarse en todo el sistema relacionado. Taguchi se basó en las observaciones de Deming, que sostienen que el 85% de la no calidad es atribuible a los procesos de la organización y sólo el 15% a los empleados o trabajadores involucrados en dichos procesos. Por lo tanto y sobre la base de los tres conceptos expuestos, Taguchi desarrolló "robustos" sistemas de producción, que no fueran alterados por las circunstancias cambiantes del entorno y demás factores que pudieran afectarlos 1.2.12. Cero Defectos. En 1985 Motorola acuña el término Sigma 6 (6 eses de la calidad) como objetivo de calidad: 1. SEIRI que significa SELECCIÓN o Separar, lo que sirve de lo que no sirve y acomodarlo por frecuencia de uso. 2. SEITON que significa ORGANIZACIÓN; Un lugar para cada cosa y cada cosa en su lugar, organizar de acuerdo a su función. 3. SEISO que significa LIMPIEZA; El GEMBA (lugar de trabajo asignado) más limpio no es el que más se barre, es el que menos se ensucia. 4. SEIKETSU que significa SALUD; Propiciar nuestro autocuidado (revisiones medicas periódicas, eliminación malos hábitos). 5. SHITSUKE que significa DISCIPLINA; Cumplir las normas de trabajo, uso adecuado de los recursos, etc. 6. SHUKAN que significa HABITO; Cumplir con las 6 S con constancia y perseverancia. Neevia docConverter 5.1 12 1.2.13. De Japón a Occidente. En 1986 Deming publica " Out of the Crisis " (Fuera de la Crisis), donde explica detalladamente su filosofía de calidad, productividad y posición competitiva, incluyendo sus famosos 14 Puntos para la Administración (actualmente conocidos como los 14 Puntos de Deming). Los 14 Puntos Deming: 1. Saber en toda la empresa sobre el "mejoramiento continuo y conjunto". 2. Ser capas de poner en práctica el mejoramiento continuo en toda la empresa. 3. Practicar el método previsto en toda la empresa. 4. Responsabilizar a todo el personal de los requisitos de los clientes internos y externos. 5. Estandarizar el trabajo. 6. Estimular y asegurar la creatividad de las personas. 7. Trabajar en equipo. 8. Buscar continuamente la perfección. 9. Tener alto grado de pertenencia, en lugar del individualismo. 10. Estabilidad y mejoramiento continuo de los procesos de trabajo. 11. Obtener productividad económica. 12. Tener asegurada la sobrevivencia y proyectando el desarrollo institucional. 13. Estabilidad laboral. 14. Practicar el liderazgo como estilo administrativo y de mercado. 1.3. Evolución de las Normas Internacionales de Calidad. Con el propósito de entender en mejores términos el presente trabajo, no solo es necesario conocer los antecedentes de la administración y los precursores de la administración con calidad, por eso a continuación se mencionan los antecedentes que de manera general han presentado las normas internaciones de calidad en general y en particular aquellas relacionadas con las tecnologías de la información. Neevia docConverter 5.1 13 Primero, se realizará una presentación general de como surgieron y han evolucionado internacionalmente las normas referentes a los principios de calidad. 1.3.1. ISO 9000. Origen de las Normas ISO-9000. Su origen está en las normas británicas BS 5750, de aplicación al campo nuclear; aunque ya existían normas similares de aplicación militar anteriores a esta, como la MOD 05/25 y la AQAP 149. En 1985 se edita el primer borrador de las normas ISO 9001, 9002, 9003 (tres modelos para el Aseguramiento de la Calidad), publicándose por primera vez en 1987. El organismo encargado de la realización de estas normas es ISO (International Standard Organization), a través de su Comité técnico TC/176. ISO es una Federación Mundial de Organismos Nacionales de Normalización, creada en 1947, con sede en Ginebra (Suiza). La serie ISO 9000 surge para armonizar la gran cantidad de normas sobre gestión de calidad que estaban apareciendo en distintos países del mundo. Actualmente son utilizadas en todo el mundo. 1.3.2. ¿De Qué Tratan? Tratan sobre los requisitos de los Sistemas de la Calidad, para el Aseguramiento de ésta. Se utilizan como: Herramienta de gestión interna (evita problemas, fomenta la mejora, etc.); por lo que tenemos el Aseguramiento Interno de la Calidad, que se define como: "Conjunto de actividades orientadas a proporcionar a la alta dirección de la empresa la confianza de que se está consiguiendo la calidad prevista a un costo adecuado".Herramienta de gestión externa, en situaciones contractuales con clientes (sirve para proporcionar confianza); por lo que tenemos el Aseguramiento Externo de la Calidad, definido como: “Conjunto de actividades orientadas a dar confianza al cliente de que el sistema de aseguramiento de la calidad del suministrador le permite dar un producto o servicio con los requisitos de calidad que él ha pedido". Neevia docConverter 5.1 14 1.3.3. ¿Quién las Utiliza? Los “clientes” de estas normas son empresas de todo tipo (tanto de productos como de servicios) y tamaño. En función de su actitud al decidirse por ellas se pueden clasificar en tres grupos: o Los que creen en la filosofía de la calidad y la utilizan como base para ser más competitivos. o Los que no tienen claro lo que es, pero se deciden a utilizarlas. o Los que quieren la certificación por exigencias de sus clientes. 1.3.4. Las Normas ISO Más Conocidas De manera sintetizada se enumeran los estándares ISO más conocidos, los cuales forman el corazón de las normas6: o ISO 9000 Administración de la Calidad. Guía de selección y uso. o ISO 9001 Sistemas de Calidad. Modelo para aseguramiento de la calidad en planeación, desarrollo, producción, instalación y servicio. o ISO 9002 Sistema de Calidad. Modelo para el aseguramiento de la calidad para producción e instalación. o ISO 9003 Sistema de Calidad. Modelo para aseguramiento de la calidad en la inspección final y prueba. o ISO 9004 Administración de la Calidad y Elementos del Sistema de Calidad. Guía. Existen los estándares ISO 9004-2 e ISO 9004-3 que versan sobre la guía y mejoría de la administración. Estos se dirigen hacia la satisfacción del comprador, tomando en cuenta la calidad de la oferta del bien o servicio. También se encuentran los estándares ISO 9000-2 e ISO 9000-3 que tratan acerca de los requisitos o guía para la auditoria de calidad, son un suplemento. Existen unos estándares de apoyo a la auditoria que son ISO 10011-1, ISO 10011-2 e ISO 10011-3. Estos cinco estándares se 6 Peter Jackson, ISO 9000 BS5750 Implemente calidad de clase mundial, México 1996, 9 Neevia docConverter 5.1 15 orientan a aumentar la confianza del comprador en los sistemas de calidad del proveedor. El proceso de auditoria, evaluación y eventual registro (que es como la ISO prefiere referirse a ello), se inicia con una auditoria de las condiciones de operación actual de la empresa y una recomendación detallada de todo lo que tiene que corregir. Cuando lo ha corregido vuelve ha ser evaluada y de garantizar que ya está en conformidad con las normas o estándares, la empresa queda registrada y con su certificado que tiene validez durante tres años pero que puede perderse si en alguna inspección la operación se ha apartado de los estándares. La labor de mejoría se ejecuta en el margen existente entre la realidad y los estándares. Dentro de los principales pasos que se mencionan7 para que una empresa obtenga su registro en la serie de estándares de calidad ISO 9000, se menciona que: 1. La gerencia debe estar comprometida en todo el trayecto. 2. Debe haber un coordinador interno de todo el proceso de registro acreditación. 3. Pueden hacerse auditorías internas, ante todo en busca de la mejoría. 4. Debe elaborarse el manual de calidad (cada empresa debe hacer el prototipo). 5. Diseñar procedimientos y documentarlos. 6. Coordinar la visita inicial del auditor certificador. 7. Pueden hacer evaluaciones previas. 8. Al tener el certificado, seguir la evaluación a nivel interno de la empresa. Por otro lado, es interesante responder la siguiente pregunta: ¿Por qué tenemos que buscar la Calidad?. Ya debemos tener muy en claro que esta es una pregunta retórica en su totalidad, pues cualquiera que sea nuestro negocio, no tenemos más opción que buscar la calidad. Si fallamos y no satisfacemos sus necesidades, tarde o temprano los clientes desviaran sus ojos a nuestros competidores. Por lo tanto, la calidad es una estrategia vital para competir, para mantenernos dentro 7 Peter Jackson, ISO 9000 BS5750 Implemente calidad de clase mundial, México 1996, 10 Neevia docConverter 5.1 16 de un mercado; debemos satisfacer las necesidades de nuestros clientes por lo menos tan bien como nuestros competidores. Cuando lo hacemos, no sólo conservamos los negocios de ese cliente, sino que, también es posible que deje de considerar a otros proveedores. 1.4. Fundamentos de la administración de áreas informáticas bajo Normas Internacionales de Calidad. En términos generales las normas internacionales de calidad aplican para cualquier área de una organización, ya sea el área encargada de la administración del personal (Recursos Humanos) como las áreas encargadas de las Administración de la tecnología de la información. Sin embargo, debemos tener presente que los servicios informáticos sean vuelto la piedra angular de todas las empresas de servicios ya sean públicas o privadas, de ahí la importancia de investigar y conocer las referencias existentes que de manera especifica aplican a las áreas encargadas de las Administración de la tecnología de la información. 1.4.1. ISO 17799: La nueva norma técnica global de seguridad.8 Los gerentes de seguridad de la información han esperado mucho tiempo a que alguien tomara el liderazgo para producir un conjunto de normas de seguridad de la información que estuviera sujeto a auditoria y fuera reconocido globalmente. Se cree que un código de normas de la seguridad apoyaría los esfuerzos de los gerentes de tecnología de la información en el sentido que facilitaría la toma de decisión de compra, incrementaría la cooperación entre los múltiples departamentos por ser la seguridad el interés común y ayudaría a consolidar la seguridad como prioridad empresarial. Desde su publicación por parte de la Organización Internacional de Normas en diciembre de 2000, ISO 17799 surge como la norma técnica de seguridad de la información reconocida en el ámbito mundial. ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información". 8 http://www.bsecure.com.mx/articulo-48-4740-286.html, Todo sobre el estándar de seguridad. ¿Qué es el ISO 17799? ¿Para qué sirve? ¿Qué debe hacer para obtenerlo?. Consulta en línea de Mayo 2008, Claudia Martínez Neevia docConverter 5.1 17 1.4.2. El Origen de ISO 17799. Durante más de un siglo, el Instituto Británico de Normas Técnicas (BSI) y la Organización Internacional de Normas Técnicas (ISO) han brindado parámetros globales a las normas técnicas de operación, fabricación y desempeño. Solo faltaba que BSI e ISO propusieran una norma técnica para la seguridad de la información. Finalmente en 1995, el BSI publicó la primera norma técnica de seguridad, BS 7799, la cual fue redactada con el fin de abarcar los asuntos de seguridad relacionados con el e-commerce. En 1995, problemas como el Y2K (Error de las computadoras a nivel mundial que suponía que fallarían al cambiar del año 1999 al año 2000) y el de la Unidad Monetaria Europea (EMU por su sigla en inglés) prevalecieron sobre otros. Para empeorar las cosas, la norma BS 7799 se consideraba inflexible y no tuvo gran acogida. No se presentó la norma técnica en un momento oportuno y los problemas de seguridad no despertaron mucho interés en ese entonces. Cuatro años después, en mayo de 1999, BSI intentó de nuevo publicar su segunda versión de la norma BS 7799, la que fue una revisión más amplia de la primera publicación. Esta edición sufrió muchas mejoras y perfeccionamientos desde su versión de 1995. En este momento ISO se percató de estos cambios y comenzó a trabajar en la revisión de la norma técnica BS 7799. En diciembrede 2000, la Organización Internacional de Normas Técnicas (ISO) adoptó y publicó la primera parte de su norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma época, se adoptó un medio formal de acreditación y certificación para cumplir con la norma técnica. Los problemas Y2K y EMU y otros similares se habían solucionado o reducido en el año 2000 y la calidad total de la norma técnica había mejorado considerablemente. La adopción por parte de ISO de la primer Parte (los criterios de la norma técnica) de BS 7799 recibió una gran aceptación por parte del sector internacional y fue en este momento que el grupo de normas técnicas de seguridad tuvo un amplio reconocimiento. Neevia docConverter 5.1 18 1.4.3. Las Diez Áreas de Control de ISO 17799.9 A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer los objetivos de estos controles y entender los alcances de la norma. 1. Políticas de seguridad. La norma define como obligatorias las políticas de seguridad documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad. 2. Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organización, tales como un foro de administración de la seguridad de la información, un contacto oficial de seguridad (Information System Security Officer – ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos. 3. Clasificación y control de activos. El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad. 4. Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información. El objetivo de esta área de la norma es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la información. 5. Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida. 6. Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de 9 http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm, Entérate en Línea, Año 4, Número 36, Febrero de 2005, Estándares de seguridad en la información, Consulta en línea de Mayo 2008, Alejandro Núñez Sandoval Neevia docConverter 5.1 19 controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso. 7. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones. 8. Desarrollo de sistemas y mantenimiento. La organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización. 9. Continuidad de las operaciones de la organización. El sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos. 10. Requerimientos legales. La organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios. Cada una de las áreas establecen una serie de controles que serán seleccionados dependiendo de los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios para toda organización, como es el de las políticas de seguridad cuyo número dependerá más de la organización que del estándar, el cual no establece este nivel de detalle. 1.4.4. La Norma ISO 17799 al Alcance de su Empresa.10 ¿Cuál es la mejor manera de mantener alejados a los intrusos y virus de su red y minimizar las transgresiones a la seguridad? El Instituto Británico de Normas Técnicas (BSI) espera dar respuesta a la pregunta a todas las empresas, británicas o no, con la Norma Británica ISO 10 http://www.geocities.com/afermin2001/ucab/tb1/local/i7/7.htm, Prevención de intrusos, Symantec Corporation, Consulta en línea de Mayo 2008, Neevia docConverter 5.1 20 17799, que es un amplio plan para la implementación de la seguridad efectiva en Internet. El código de normas de la seguridad en Internet les brinda a los profesionales de tecnología de la información un anteproyecto para que desarrollen políticas y procesos de seguridad empresarial. Publicada por primera vez en 1995, bajo la norma BS7799, ésta prepara a las empresas para que reciban la acreditación de seguridad en Internet del BSI a través de una auditoria realizada por un auditor externo a BSI pero acreditado por este instituto. La acreditación les asegurará a sus clientes y asociados que la información guardada en las redes empresariales está segura y que la seguridad general de la empresa es confiable. Muchas organizaciones que se enfrentan a retos cada vez mayores en materia de seguridad están adoptando las normas ISO 17799 sin el proceso de acreditación y lo utilizan simplemente como guía de los mejores procedimientos. Esta norma ha tendido gran aceptación en muchos países como Australia, Sudáfrica, Nueva Zelanda, Holanda y Noruega. El gobierno del Reino Unido recomendó como parte de su Ley de Protección a la Información de 1998, que entró en vigencia en marzo, 1 del 2000, que las compañías Británicas utilicen BS7799 (ISO 17799) como método de cumplimiento de la Ley. La versión internacional de la primera parte de BS7799 fue liberada el 15 de junio del 2005 por parte de la Organización International de Normas Técnicas bajo la denominación ISO 17799. La tendencia es que ISO 17799 sea adoptada por las compañías y los asociados de las grandes compañías que realizan negocios en línea o que son contratistas del gobierno. 1.4.5. El Código de la Norma ISO 17799.11 La norma ISO 17799 tiene tres grandes secciones: el código estándar de ética o de los mejores procedimientos de seguridad; especificaciones de las normas para el sistema para el manejo de la seguridad de la información y por último el proceso de acreditación. El tiempo estimado para el proceso de implementación de ISO 17799 y de preparación para la acreditación es de seis a nueve meses 11 Ibid Neevia docConverter 5.1 21 dependiendo de la complejidad de la infraestructura del Departamento de Sistemas. o Sección 1: Los mejores procedimientos. En la sección de los mejores procedimientos, existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles que brindan ayuda a las empresas en la protección de información. Un enfoque general de esta sección es el manejo de riesgos cuyo objetivo es ayudar a la empresa en un plan previo para sus políticas de seguridad. No todos los controles podrán aplicarse a cada empresa, sin embargo lanorma ayuda a los lectores a identificar controles relevantes para sus empresas. Para la acreditación, la empresa debe especificar los controles que no están incluidos en sus políticas de seguridad y justificar su exclusión. o Sección 2: Implementación de un sistema para el manejo de la seguridad de la información. La segunda sección de la norma, ayuda al personal de sistemas a evaluar y dar prioridad a las redes de acuerdo a los objetivos de la compañía para luego organizarlos en un plan de seguridad o sistema para el manejo de la seguridad de la Información. El plan de seguridad consta de cuatro fases: evaluación de riesgos; manejo de riesgos; implementación de los dispositivos de seguridad e instructivo de aplicabilidad. a. Evaluación de riesgos. Es el análisis de lo que puede sucederle a las redes y el impacto que el incidente puede tener en los objetivos de la compañía. Los códigos maliciosos y acceso a la red no autorizados son ejemplos de riesgos. b. Manejo de riesgos. Es el plan que su empresa puede utilizar para reducir los riesgos. Los métodos utilizados en el manejo de riesgos no solo comprenden dispositivos de seguridad de la red, como los firewalls (corta fuegos), sino también la seguridad física, procedimientos administrativos, planes de contingencia e iniciativas de los recursos humanos. c. Dispositivos de seguridad. Son las herramientas actuales y recursos identificados y adoptados por la empresa para minimizar los riesgos. Neevia docConverter 5.1 22 d. El instructivo de aplicabilidad. Es un plan de seguridad que se requiere para la acreditación. Este instructivo comprendía los controles de seguridad que la empresa ha adoptado y las razones por las cuales se tomaron esas medidas. Además la empresa debe listar los controles específicos de ISO 17799 que no se hayan implementado y explicar porqué. o Sección 3: El proceso de acreditación. Una vez que se tiene la certeza que se atienden los requerimientos de la norma, por medio de un representante de la empresa certificadora se tramita las visitas de evaluación. En estas visitas se verificará que el nivel de apego a la norma sea el mínimo necesario para determinar que la organización realiza su proceso conforme a los lineamientos establecidos. 1.4.6. Beneficios de la Norma ISO 17799.12 Existen muchas ventajas operativas y estratégicas importantes por la acreditación de la norma ISO 17799. Entre sus beneficios específicos se encuentran los siguientes: o Mejoramiento de la seguridad empresarial. A través del proceso de acreditación de la norma ISO 17799, las empresas reducirán la vulnerabilidad de las redes y tendrá un mejor manejo de los riesgos. La reducción de las vulnerabilidades significará menores transgresiones a la seguridad, lo cual generará una disminución de los fraudes, de los riesgos financieros y jurídicos, así como ahorro de tiempo y la confianza de los clientes. o Planeación más efectiva de la seguridad. La norma reúne 127 parámetros de seguridad en diez áreas con controles detallados y guía de los recursos humanos y de la planeación jurídica y de contingencia. Estas recomendaciones detalladas de toda la empresa para la seguridad en Internet harán que las iniciativas en materia de seguridad sean más completas, manejables y prácticas por sus costos. 12 Ibid Neevia docConverter 5.1 23 o Manejo más efectivo de la seguridad. Inevitablemente toda empresa debe iniciar el proceso de desarrollo o nuevo desarrollo de las políticas y procesos de seguridad en Internet. A diferencia de los proyectos empresariales orgánicos de seguridad empresarial, la norma es un método comprobado para los mejores procedimientos de seguridad en Internet. Compañías como BT, HSBC, Marks and Spenser, Shell International y Unilever contribuyen al desarrollo de ISO 17799 y han probado su efectividad en condiciones reales de negocios. o Continua protección. Después de la acreditación, la empresa se mantendrá actualizada en las últimas vulnerabilidades y mejores procedimientos de la seguridad mediante auditorías y revisiones externas continuas de la norma ISO 17799. o Alianzas más seguras. La compañía puede utilizar la acreditación ISO 17799 como un requisito de seguridad para sus asociados y vendedores. o e-commerce seguro. La norma le da a las instituciones un sello de seguridad y confiabilidad. o Mayor confianza del cliente. Los clientes y vendedores con una alta sensibilidad a las transgresiones de seguridad en Internet buscan una evidencia concreta de la seguridad. Esta tranquilidad se la proporcionará la acreditación de la norma. o Mejores auditorias. La norma contempla un proceso de acreditación con auditores acreditados. Aunque ISO 17799 es la norma del sector, las empresas tendrá acceso a varios auditores externos acreditados, quienes deberán seguir los mejores procedimientos de auditoria para comprobar y evaluar las políticas de seguridad. El resultado serán auditorías en seguridad más fuertes y confiables. o Menor responsabilidad civil. La responsabilidad civil de las empresas en incidentes de seguridad podrá reducirse si están acreditadas por la norma. Los tribunales reconocen que el cumplimiento de la norma es una señal de que existe una seguridad adecuada en las empresas. El funcionamiento de la seguridad de la red para proteger la información es un aspecto importante para las actuales empresas. Aunque el proceso de implementación de políticas completas de la seguridad puede Neevia docConverter 5.1 24 resultar intimidante, un proceso de normas para la seguridad en Internet como la norma ISO 17799 puede ayudarle al departamento de tecnologías de la información a administrar la seguridad de la red con eficiencia y efectividad. Ante la magnitud de los riesgos que amenazan la seguridad empresarial, la pregunta que debe surgir no es porqué implementar la norma ISO 17799, sino porqué no. 1.4.7. ISO 27000. La información es un activo vital para la continuidad y desarrollo de cualquier organización13 pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio común establecido, en torno a la compra de productos técnicos y sin considerar toda la información esencial que se debe proteger. Problemas adicionales por una gestión y actualización ineficientes y una ausencia de controles básicos elevan la cifra de fraudes y abusos hasta en un 50%. Gastos extraordinarios, juicios legales por incumplimiento de obligaciones contractuales o responsabilidades individuales, incluido el cese de las actividades, son algunas de las consecuencias más extremas. La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece una implementación efectiva de la seguridad de la información empresarial. Desde 190114, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización inglesa equivalente a la AENOR española) es responsable de la publicación de importantes normas como: o Publicación BS 5750 - ahora ISO 9000 o Publicación BS 7750 - ahora ISO 14001 o Publicación BS 8800 - ahora OHSAS 18001 13 http://www.iso27000.es/iso27000.html, El portal de ISO 27000 en España, Consulta en línea de Mayo 2008,. 14 Ibid Neevia docConverter 5.1 25 En Marzo de 2006, posteriormente a la publicación de la ISO 27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. Servirá probablemente de base a la ISO 27005, que tardará aún algún tiempo en editarse. 1.4.8. La Serie 27000.15 En lo referente a las normas internacionales de calidad en tecnologías de la información, por último, se procederá a detallar como se compone actualmente la serie 27000. o ISO 27000. En fase de desarrollo.Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. o ISO 27001. Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799- 2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, lista en forma de resumen los objetivos de control y controles que desarrolla la ISO 17799:2005 (futura ISO 27002), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en esta última, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. o ISO 27002 (anteriormente denominada ISO 17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles. o ISO 27003. En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI y de los requerimientos de sus diferentes fases. Tiene su origen en el 15 Ibid Neevia docConverter 5.1 26 anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. o ISO 27004. En fase de desarrollo, probable publicación en 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar). o ISO 27005. Probable publicación en 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335. o ISO 27006. Publicada a principios de 2007. Sirve para aclarar en cierta medida los términos en los que debe interpretarse la ISO 27001 desde el punto de vista de la auditoría. 1.5. Evolución de la Administración Pública Federal en México.16 Por último y dado que el desarrollo del presente trabajo se limita al ámbito de la Administración Pública Federal, se presenta un bosquejo general de cómo ha sido su evolución desde la colonia hasta el México actual. Los primeros antecedentes de la administración pública en México los tenemos que referir a la administración colonial, la cual era centralista. Ya sea mediante los órganos de la corona española (Consejo de Indias) como de los órganos propiamente coloniales (virrey, capitanía general, gobernador, corregidor y alcalde mayor) pasando por la administración local como fueron los ayuntamientos y cabildos. En el s. XIX, México alcanza su independencia de España, naciendo con cuatro ministerios, Relaciones Exteriores e Interiores, Justicia y Negocios Eclesiásticos, Hacienda y Guerra y Marina. Esta organización federal tiene vigencia por más de medio siglo. De manera general, existen cuatro periodos en este siglo. 16 Sánchez González, Reforma modernización e innovación en la historia de la administración pública en México, México 2004 Neevia docConverter 5.1 27 La administración congresional (1824-1829), en la cual existe un enorme cúmulo de atribuciones y facultades delegadas en el Congreso, en menoscabo del Poder Ejecutivo. Una segunda etapa, en la que existe una ampliación de la acción de la administración pública (1830-1836) y la instauración de la República central. La administración pública inicia un proceso de modificaciones, adecuaciones y cambios que se convierten en una constante durante este siglo, así como una lucha entre federalistas y centralistas (1841- 1855). Una tercera etapa la constituye la administración durante la reforma (1854-1874) donde se aprueba la segunda Constitución, el estado asume funciones que tenía en sus manos la Iglesia Católica. La reforma administrativa juarista, no logra alcanzar las expectativas planteadas por Juárez como una “revolución administrativa”. La cuarta etapa, corresponde a la administración pública dictatorial Porfirio Díaz (1877-1910), en la que el aparato gubernamental tiene un impresionante crecimiento, diversificación y especialización, producto de la estabilidad económica, política y social. En el s. XX la administración pública comienza un largo proceso de mejoramiento y renovación, para su explicación la dividiremos en dos periodos, la administración caudalista y la administración presidencial. La caudalista se inicia con Venustiano Carranza quien crea 8 secretarías de estado (1913). Con Álvaro Obregón y Plutarco Elías Calles se produce una oleada de creación de organismos gubernamentales. La administración presidencial (1928-1958) se caracteriza por un gran crecimiento, especialización y complejidad como lo muestran las modificaciones a la Ley de Secretarías y Departamentos de Estado (1935, 1939 y 1946). Posterior a esta etapa se identifican otras tres etapas: 1. El desarrollo estabilizador, donde la administración pública se desenvuelve en un crecimiento económico sin precedente en la historia del país. 2. El desarrollo compartido, se caracteriza por llevar a cabo una modificación a la Ley de Secretarías y Departamentos de Estado Neevia docConverter 5.1 28 (1970). Se crea por primera vez le Ley Orgánica de la Administración Pública Federal (1976). 3. Por último, la administración pública neoliberal realiza diversas modificaciones, supresiones y creaciones de diversas Secretarías de Estado y departamentos administrativos (1982, 1988, 1994 y 2000). En esta etapa se destaca el impulso a los programas de modernización y descentralización. Paralelamente se realiza un amplio proceso de privatización de las empresas públicas que reducen drásticamente el aparato paraestatal. Con la llegada de Vicente Fox a la Presidencia de la República (2000 - 2006) la administración pública tomó una orientación mezclada, ya que por una parte, se impulsa un programa de combate a la corrupción y el fomento a la transparencia, y por la otra, se propone un modelo de innovación gubernamental que pretende un ambicioso programa de acciones para modernizar la administración pública dentro del cual destaca la promulgación de la Ley Federal del Servicio Profesional de Carrera con lo cual se pretende eliminar el sistema de “botín” que históricamente a imperado. Durante los primeros meses del gobierno de Felipe Calderón (2006) se observa una tendencia a continuar la línea de trabajo impulsada por Vicente Fox respecto al servicio profesional de carrera. Neevia docConverter 5.1 1 CAPITULO 2. PRESENTACIÓN Y DESCRIPCIÓN DEL PROBLEMA. 2.1. Planteamiento del Problema. En la Administración Pública Federal, así como en otras organizaciones, en México la administración de las áreas de tecnologías de la información generalmente está sustentada principalmente en la experiencia de los gerentes de estas áreas en materia de informática, telecomunicaciones o estadística, según sea el alcance de sus funciones. En la mayoría de los casos las personas que dirigen este tipo de áreas, son personas con instrucción académica del tipo profesional en las áreas que acabamos de describir, como son licenciaturas en informática, matemáticos o ingenierías en sistemas, computacióno telecomunicaciones. También sabemos que estas personas al llegar a este tipo de cargos, pueden alcanzar una gran experiencia y capacidad en todos o en algunos de los aspectos técnicos mencionados, pero muy poca instrucción académica y/o experiencia laboral en la parte administrativa. En algunos casos durante su instrucción académica reciben formación en aspectos administrativos, una vez que profesionalmente se comienza a ejercer la carrera en las áreas de tecnologías de la información pocas veces se tiene la oportunidad de aplicar los conocimientos adquiridos en la parte administrativa, motivo por el cual los conocimientos al no aplicarlos se olvidan o en el mejor de los casos se vuelven obsoletos. Así mismo, cuando llega la oportunidad de ocupar cargos gerenciales, lo cual puede suceder de 5 a 15 años después de haber concluido los estudios, el individuo sólo tiene como herramienta la experiencia profesional, que mayormente son aspectos técnicos y los conceptos que aún recuerde de su formación académica. Por otro lado, debemos tener presente que en las áreas de tecnología de la información la velocidad como se genera nuevo conocimiento y nuevas herramientas está muy por encimas de otras áreas, así mismo, el sector gobierno tarda más tiempo en adquirir esas nuevas tecnologías e invierte generalmente menos dinero en capacitar a su personal, lo que Neevia docConverter 5.1 2 provoca que los conocimientos en específico de los responsables de la tecnología de la información se vuelvan obsoletos con mayor frecuencia. El problema que se menciona ha provocado que sea una necesidad imperante establecer metodologías que permitan la correcta administración de las áreas informáticas, a fin de garantizar y facilitar las funciones gerenciales de estas áreas y, sobre todo, si se considera que en la actualidad la globalización exige que cualquier tipo de organización sea administrada bajo normas internacionales de calidad con el objeto de ser competitivos en este nuevo entorno comercial. La finalidad de este trabajo es exponer que se pueden esperar mejores resultados de la administración de áreas de tecnologías de la información en la Administración Pública Federal si se realiza en apego a lo establecido en las normas internacionales de calidad. 2.1.1. Hipótesis. “Se obtienen mejores resultados laborales si se administran las áreas de tecnologías de la información en la Administración Pública Federal en apego a lo establecido por las normas internacionales de calidad” 2.1.2. Especificación de las Variables Variables Independientes.- Normas Internacionales de Calidad. Variables Dependientes.- Administración de Áreas de Tecnologías de la Información. 2.1.3. Objetivos de la Investigación. o Objetivo General. Demostrar que la implementación de una metodología basada en normas internacionales de calidad garantiza una administración exitosa en las áreas de tecnologías de la información de la Administración Pública Federal. Neevia docConverter 5.1 3 o Objetivos Específicos. 1. Explicar las características de los procesos que comprende las funciones de las áreas de tecnología de la información en la Administración Pública Federal. 2. Identificar la forma en que las áreas de tecnología de la información en la Administración Pública Federal pueden participar en la obtención del certificado internacional de calidad. 3. Demostrar los beneficios que se pueden tener en las áreas de tecnología de la información en la Administración Pública Federal al trabajar certificados bajo normas internacionales de calidad. 2.2. Situación Actual de la Administración de las Áreas de Informática en la Administración Pública Federal. A través de una consulta que se realizó a cerca de 100 Dependencias de la Administración Pública Federal por medio del Instituto Federal de Acceso a la Información (IFAI), se observa que actualmente la administración de las áreas de tecnología de la información conserva tres vertientes. 1. Administración Federal Tradicional. Son aquellas Instituciones que continúan utilizando herramientas administrativas con un bajo o nulo enfoque a resultados y visión al cliente. A partir de la investigación realizada, la cual más adelante se detallará, se observan que un importante número de Instituciones aún se administran bajo este tipo de esquemas. Este tipo de administraciones permiten y fomentan los desperdicios y abusos de recursos materiales, financieros y humanos ya que como todos sabemos lo que no se mide no se puede controlar y una de las principales características de este tipo de organización es la nula medición de desempeño por medio de algún tipo de indicador. Neevia docConverter 5.1 4 Aun cuando el gobierno del presidente Vicente Fox Quezada ha implementado medidas a fin de que este tipo de administraciones ya no existan (como es el “Premio Intragob1”), se siguieron observando este tipo de prácticas. 2. Administración Federal en transición. Son las Instituciones que se encuentran en proceso de implementar o que recientemente han concluido algún proceso de mejora (los cuales deberán estar en una etapa de ajustes por lo que se sigue considerando como “etapa de evolución”), a partir del cual han adoptado medidas que les permita conocer el desempeño de toda la organización o de sus principales procesos, así como la satisfacción de sus clientes, ya sean internos o externos. Este tipo de instituciones aún no llegan de manera consolidada a la etapa de mejora continua. 3. Administración Federal en evolución. Este tipo de Instituciones son aquellas que han implementado modelos administrativos por medio de los cuales conocen a detalle el desempeño de cada una de sus partes y la satisfacción de sus clientes respecto a los servicios que otorgan y por medio de sus resultados han tomado medidas para realizar lo que se conoce como la “mejora continua”, con el fin principal de mejorar su desempeño y elevar la satisfacción de sus clientes. Una de las herramientas más utilizadas y que ha demostrado efectividad en el seguimiento del desarrollo de los proyectos, son los tableros de control. Este tipo de organizaciones son las que tienden a obtener los resultados que se detallan a continuación. 2.3. Situación Deseada. La situación deseada es que todas y cada una de las instancias que componen al Gobierno Federal cuenten con técnicas de administración que les permita entrar a la mencionada “Administración Federal en Evolución”, es decir certificar que sus áreas de tecnología de la información (TI) trabajen en apego a lo que establecen una o algunas certificaciones internacionales de calidad, de esta manera se 1 Es el reconocimiento a las mejores prácticas de calidad total en el Gobierno Federal, que es entregado anualmente por el Presidente de la República, a aquellas unidades que se distinguen por la madurez en la implantación de la cultura de calidad y que por ello representan un ejemplo a seguir. Neevia docConverter 5.1 5 garantizaría que las inversiones destinadas a las tecnologías de la información en la Administración Pública Federal se concreten como una inversión y no simplemente como un gasto De esta manera, esté tipo de inversiones se conviertan en una base sólida para que México cuente constantemente con un Gobierno Federal eficiente y eficaz que cumplan cabalmente con sus obligaciones y nulifique los desperdicios y malas inversiones que históricamente han caracterizado a la Administración Pública Federal en México, como ampliamente se explicó en el primer capítulo de esta investigación. Una de las recomendaciones que se proponen es la utilización de esquemas de certificación en normas internacionales de calidad, ya que las mismas, obligarán a las organizaciones a trabajar bajo esquemas que los obliguen a conocer la
Compartir