Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Desarrollo de Software Semestre 7 Programa de la asignatura: Gestión de tecnologías de información Unidad 2. Metodologías de gestión de TI Clave: 15144740 Ciudad de México, mayo del 2023 Universidad Abierta y a Distancia de México Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 2 Índice Unidad 2. Metodologías de gestión de TI ....................................................................... 3 Presentación de la unidad .............................................................................................. 3 Logros ............................................................................................................................ 6 Competencia específica ................................................................................................. 6 2.1. Introducción a las metodologías de gestión de TI .................................................... 6 2.1.1. Ciclo de vida del servicio de TI ............................................................................. 8 2.1.2. Estándares en la gestión de TI ........................................................................... 13 2.1.3. Buenas prácticas y modelos en la gestión de TI ................................................. 23 2.2. Frameworks para la gestión de TI.......................................................................... 25 2.2.1. CMMI .................................................................................................................. 27 2.2.2. COBIT ................................................................................................................ 32 2.2.3. PMBOK .............................................................................................................. 35 2.2.4. Six Sigma ........................................................................................................... 41 2.2.5. ITIL ..................................................................................................................... 48 Cierre de la unidad ....................................................................................................... 56 Para saber más ............................................................................................................ 57 Fuentes de consulta ..................................................................................................... 59 Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 3 Unidad 2. Metodologías de gestión de TI Presentación de la unidad Existen en el mundo miles de empresas y organizaciones que, aun cuando no hay relación que las vincule, comparten los mismos problemas en cuanto a la gestión de sus proyectos informáticos y, en general, con la gestión de las tecnologías de información. Una pregunta que puede surgir es: ¿existen soluciones ya probadas y que estén lo suficiente extendidas para que no se tenga que crear una solución desde cero? La respuesta es que sí existen buenas prácticas y estándares para la gestión de proyectos, así como para la gestión de los servicios y, en general, para la gestión de los departamentos de TI; sin embargo, no hay sólo un estándar, sino muchos, y de diferentes tipos. En el esquema siguiente se muestran algunos de los estándares relacionados con la gestión de las tecnologías de la información. Estándares relacionados con la gestión de TI. Fuente: Almunia, 2011. Existen muchos estándares. La imagen sólo muestra de forma resumida algunos de los más difundidos y que están relacionados con la gestión de TI. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 4 A manera de resumen, se pueden mencionar estándares de calidad, como la gestión de calidad total TQM (Total Quality Management, por sus siglas en inglés) o 6 SIGMA, que son aplicados en empresas y departamentos de informática como un medio de mejora. También existen sistemas con control empresarial como SOX (ley Sarbanes-Oxley) en Estados Unidos, o bien BASILEA en Europa, que cada vez incorporan más controles operativos que afectan la gestión de TI. Existen además otros estándares, como valor de las tecnologías de información VALIT (Value Information Techonology) o ISO 38500, los cuales se utilizan para medir, monitorear y optimizar las buenas prácticas en cuanto al valor de las inversiones en TI. También existen estándares de auditoría informática, tales como objetivos de control para la información y tecnologías relacionadas COBIT (Control Objectives for Information and Related Technology), guías de gestión de servicios como la biblioteca de infraestructura de tecnologías de información ITIL (Information Technology Infrastructure Librar) o bien, de madurez en el desarrollo como el modelo integrado de capacidad y madurez CMMI (Capability Maturity Model Integration), también existen marcos de referencia para la gestión de proyectos (sin que necesariamente estén relacionados con la informática), como la guía de los fundamentos de la dirección de proyectos PMBOK (Project Management Body of Knowledge), así como proyectos en entornos controlados PRINCE2 (Projects in Controlled Environment). Finalmente, también existen metodologías orientadas al desarrollo de software como el proceso unificado racional RUP (Rational Unified Process) o Scrum, que es un marco de trabajo por el cual las personas pueden acometer problemas complejos adaptativos, a la vez que entregar productos del máximo valor posible, tanto productiva como creativamente; algunas de sus características consisten en que puede ser ligero y fácil de entender; sin embargo, es extremadamente difícil de llegar a dominar. Según Schwaber y Sutherland (2012), Scrum es un: Marco de trabajo de procesos que ha sido usado para gestionar el desarrollo de productos complejos desde principios de los años 90. Scrum no es un proceso o una técnica para construir productos; en lugar de eso, es un marco de trabajo dentro del cual se pueden emplear varias técnicas y procesos. Scrum muestra la eficacia relativa de las prácticas de gestión de producto y las prácticas de desarrollo, de modo que podamos mejorar (p.3). Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 5 Las buenas prácticas indicarán el estándar más adecuado para las necesidades de la organización. El estándar dará la guía para establecer la metodología mediante la cual se lograrán los objetivos marcados. Puede ser cualquiera de los frameworks que se mencionan en los subtemas que conforman esta unidad. La importancia de la incorporación de metodologías para la gestión de TI en las empresas, sin importar el tamaño ni el giro, es vital para dar soporte y mejorar los procesos del negocio. Las organizaciones deben adaptarse a entornos cada vez más dinámicos y proporcionar los servicios de forma adecuada, con un alto índice de confiabilidad. No contar con buenas prácticas ni con la metodología adecuada puede ocasionar que: • Las actividades no se encuentren estandarizadas; por ende, no existirá una relación en cada uno de los procesos. • La actualización de los datos no se dé en tiempo y forma para la mejor toma de decisiones. • No se cuente con un registro adecuado de la atención a los clientes de los diferentes procesos. • Los cambios que se realicen hacia el interior del gobierno de TI, no tengan coordinación, control ni organización. • La alta dirección no sea consciente de la importancia de una buena gestión de TI, ni de su consecuencia para el negocio. Hasta hace algunos años, todavía el uso de las computadoras en muchas organizaciones era prohibitivo, esto debido al alto costo de mantenimiento de los centros de cómputo. La computación en este sentido era centralizada, por lo que la aplicación de políticas y procedimientos para el uso de latecnología era más fácil de gestionar. Pero el crecimiento en el uso de las computadoras personales, el acercamiento de las TI al usuario final, y la capacidad para poder descentralizar el centro de datos a ubicaciones más convenientes, han llevado a escenarios más complejos en la gestión y administración de las TI (Cruz, 2013). De forma paralela al crecimiento de la industria de las TI, los frameworks y las metodologías han ido creciendo para estar a tono con los requerimientos de esta industria tan dinámica y cambiante. Los cambios en los frameworks asumen con relativa rapidez los generados en la industria, de tal forma que cada vez abarcan más temas y a la vez resuelven problemas más Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 6 recientes; para ejemplificar lo anterior, se puede mencionar entre los nuevos estándares al ISO/IEC 27003:2010, que provee una guía para la implementación de sistemas de administración de la seguridad de la información; así como el ISO/IEC 27005:2011, que se refiere a la administración de riesgos de la seguridad de la información. Otro cambio reciente fue la liberación de COBIT, de su versión 4 a la 5. Como puede observarse, las TI evolucionan y la empresa que busca la mejora continua debe adoptar las nuevas metodologías, o la mejora de las ya existentes para mantener la competitividad de la organización. Para hacer esto, la gestión de TI debe evolucionar a la par de las tecnologías, asimilar los cambios en los marcos de referencia, en las normas y en las metodologías. No se puede hacer un gobierno de TI eficiente basado en los lineamientos de hace 20 años; se debe evolucionar. ITIL es marca comercial y comunitaria registrada de la Oficina de Comercio del Gobierno, así como en la Oficina de Patentes y Marcas Registradas de los Estados Unidos. Por su parte, COBIT es una marca registrada de la Asociación de Auditoría y Control de Sistemas de Información (ISACA)/Instituto de Gobierno de TI (ITGI). Logros Al término de esta unidad lograrás: • Identificar los estándares internacionales y modelos para la gestión de TI. • Analizar la aplicación de los frameworks de gestión de TI. • Determinar las necesidades de gestión TI de acuerdo con el ciclo de vida del servicio. Competencia específica • Analizar las metodologías de gestión de TI para determinar la aplicación de un framework en un caso de estudio, mediante la identificación del ciclo de vida del servicio. 2.1. Introducción a las metodologías de gestión de TI Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 7 Indudablemente, cada vez se observa una mayor necesidad en las organizaciones del uso de servicios que permitan innovar su gestión de TI, así como de las capacidades asociadas que hagan posible su entrega con la calidad y funcionalidad esperadas. Con el fin de asegurar el valor provisto que la gestión de TI le dará al negocio, es necesario pasar de un paradigma recolector y meramente cumplidor de requerimientos de los usuarios (por ejemplo, la tecnología de información que se utiliza en las áreas funcionales de una organización), a un paradigma de TI como socio-colaborador y facilitador clave de soluciones de negocio. De tal forma, es fundamental el establecimiento de un buen gobierno y gestión de TI en la organización. Mediante el establecimiento de una buena metodología de gestión de TI, es posible integrar los intereses de todos los participantes en la organización a través de principios, estructuras, prácticas y procesos que aseguren la generación de valor. Se define a la metodología como el conjunto de procedimientos que determinan la planeación con orden y sistematicidad de cualquier actividad, mientras que la gestión de TI es la aplicación de estrategias que dan seguimiento a los procesos de mejora y eficiencia de forma continua y permanente a la aplicación e implementación de las TI. Parte de estas estrategias consiste en la implantación de estándares (metodologías) que permitan llevar a cabo la mejora en todos los procesos que se dan en la gestión de las TI. Un marco de referencia utilizado para la implementación de soluciones para la gestión de TI puede comprender, al menos, tres capas que permitan integrar los componentes necesarios (personas, roles, procesos y tecnología) dentro de un marco particular de operación, de acuerdo con cada empresa u organización. En el siguiente diagrama se muestran las diferentes capas que son la base para una solución de gestión de TI en tres niveles. La primera permite administrar dominios de tecnología específicos; la segunda (el núcleo), integrar y consolidar todos los elementos de la infraestructura y relacionarlos entre sí, para permitir una vista y administración a nivel de red y servicios de TI que Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 8 soportan al negocio; la última, habilitar los procesos necesarios en la provisión de valor visible para el negocio y los servicios de TI. Diagrama de gestión de servicios de negocio y TI. Basado en Dux Diligens, 2010. La información constituye uno de los activos estratégicos más importantes para las empresas, el funcionamiento de toda la organización depende de un adecuado abastecimiento y tratamiento, así como de la gestión eficiente de ese recurso. La información y el conocimiento son los instrumentos mediante los cuales las organizaciones pueden conocer las necesidades de la sociedad, la dinámica de la competencia, las oportunidades a explotar, los posibles aliados en el mercado, etcétera. Con un adecuado flujo de información, las organizaciones pueden funcionar eficientemente (De Pablos, López-Hermoso, Martín-Romo, Medina, Montero y Nájera, 2006). Adicionalmente, las organizaciones deben apoyarse en estándares para garantizar que el área de TI soporte los objetivos de negocio de la organización. En la actualidad, no se puede dudar que la implantación de metodologías como ITIL, COBIT o Six Sigma, ya que han contribuido a la mejora en la gestión, así como a la generación de valor de las TI. 2.1.1. Ciclo de vida del servicio de TI La gestión de servicios de TI en una organización suministra los servicios necesarios para cumplir sus objetivos de negocio; además, da soporte a la visión y a los objetivos al optimizar los M e jo re s p rá c ti c a s Estrategia de servicios Diseño de servicio s Mejora continua Operación de servicios Transición de servicios Sistemas para la gestión del conocimiento y configuraciones Gestión de aplicaciones de negocio Gestión de redes, servidores y dispositivos Gestión de almacenamiento Gestión de la seguridad Gestión de procesos Gestión de servicios Gestión de tecnología P e rs o n a s /r o le s CAPA 2 CAPA 3 CAPA 1 Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 9 procesos, y logra mejores resultados mediante la provisión y mejora de los servicios que presta. Los servicios de TI fomentan y facilitan la evolución de una organización transformándola en proveedora de servicios y no sólo de tecnología. Las organizaciones deben prestar más atención a la gestión de TI, y dejar atrás el típico modelo reactivo de respuesta a fallas del sistema; así como desempeñar una función más proactiva en la planificación, supervisión y gestión de los servicios de TI para apoyar el éxito global de la empresa. De acuerdo con Figuerola (2010), la gestión de servicios es un conjunto de capacidades organizativas y especializadas dirigidas a ofrecer valor a los clientes en forma de servicios. En los últimos años, y para responder a las necesidades propias del ciclo de vida de los servicios, se han desarrollado en el mercado varias metodologías de apoyo;la más conocida y aceptada es la Information Technology Infrastructure Library (ITIL), que se centra en el ciclo de vida completo de la gestión de servicios. Por otro lado, ISO/IEC 20000 es una norma para la gestión de servicios de TI basada en un enfoque de procesos integrados para la prestación de servicios, que responden a los requisitos de empresas y de clientes. ISO/IEC 20000:2005 e ITIL se complementan. El ciclo de vida del servicio de TI es un acercamiento a la gestión de las áreas de tecnología que pone énfasis en la estrategia, diseño, transición, operación y mejora continua de los servicios proporcionados al negocio, a través de diferentes funciones, procesos y sistemas necesarios para gestionar estos servicios a lo largo de su ciclo de vida (ITIL, 2014). El ciclo de vida del servicio de TI es un modelo de organización que ofrece información sobre los aspectos y fases que se explican a continuación (Van Bon, De Jong, Verheijen, Pieper, Tjassing, Van Der Veen y Kolthof, 2008, p. 18): • Estructuración de la gestión del servicio. • Relación entre los distintos componentes del ciclo de vida. • Forma en que influyen los cambios en un componente sobre otros y, sobre todo, el sistema del ciclo de vida del servicio. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 10 El ciclo de vida del servicio de TI consta de cinco fases: Estrategia del servicio. La fase de diseño, desarrollo e implementación de la gestión del servicio como un recurso estratégico. Diseño del servicio. Fase de diseño para el desarrollo de servicios de TI apropiados, incluyendo arquitectura, procesos, política y documentos; el objetivo es cumplir los requisitos presentes y futuros de la empresa. Transición del servicio. Constituye la fase de desarrollo y mejora de capacidades para el paso a producción de servicios nuevos y modificados. Operación del servicio. Conforma la fase en la que se garantiza la efectividad y eficacia en la provisión y el soporte de servicios, con el fin de generar valor para el cliente y el proveedor del servicio. Mejora continua del servicio. Se refiere a la fase en la que se genera y mantiene el valor para el cliente, mediante la mejora del diseño, la introducción y operación del servicio. El ciclo de vida del servicio se integra con diversos enfoques sobre la realidad de las organizaciones, lo que ofrece un mayor nivel de flexibilidad y control del sistema de gestión de TI. En el tema 2.2. Frameworks para la gestión de TI, se revisará a detalle lo que corresponde al ciclo de vida del servicio de TI. Según Van Bon, De Jong, Verheijen, Pieper, Tjassing, Van Der Veen y Kolthof (2008), la gestión de servicios de tecnologías de la información ITSM (IT Service Management) es una disciplina basada en procesos, enfocada en alinear los servicios de TI proporcionados con las necesidades de las empresas. Pone énfasis en los beneficios que puede percibir el cliente final. La gestión de servicios de tecnologías de información propone cambiar el paradigma de gestión de TI por una colección de componentes enfocados en servicios de punta, utilizando distintos frameworks con Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 11 las mejores prácticas; por ejemplo, la Information Technology Infrastructure Library (ITIL) o eSCMSP (enabled Sourcing Capability Model for Service Providers), para elevar la calidad de los servicios que se proveen, y enfocarse más en las relaciones con sus clientes tanto internos como externos. La gestión de TI abarca cuatro funciones principales, según ACCID (2010): Gestión de la arquitectura TI. Se refiere a los procesos de definición de las arquitecturas de sistemas; es decir, a los modelos de estructuras físicas y lógicas que deben regir como modelo de referencia para los sistemas de la organización. Se necesita detallar el modelo de aplicaciones y de infraestructuras, así como el de servicio que se plantea, por ejemplo, compra y contratación de servicios. Planificación y gobierno de TI. Contempla todas las actividades de establecimiento de las políticas y criterios generales de gestión de las TI: presupuestos, funciones, modelo organizativo, modelo de relación con agentes internos y externos, establecimiento de indicadores […] de gestión, así como el análisis de los costos beneficios de la actuación sobre TI. Gestión del ciclo de vida de TI. Contempla los procedimientos y actividades de actuación para el diseño, la construcción, la integración, las pruebas, la puesta en producción y la operación de los sistemas de información. El ciclo de vida se divide en dos grandes subfunciones: a) despliegue de proyectos y b) operación de servicios. Gobierno de aprovisionamiento. Contempla todo el conjunto de decisiones sobre el modelo de aprovisionamiento de TI que la organización quiere desarrollar: ¿qué se realiza internamente?, ¿qué se subcontrata?, ¿qué se externaliza?, ¿con cuántos proveedores quiere trabajar la organización?, ¿cuál es el tipo de servicios que requiere la organización? Incluye los procesos de selección y control de proveedores (p. 108). Adicionalmente, los objetivos que debe cubrir una buena gestión de servicios de TI deben: • Proporcionar una adecuada gestión de la calidad. • Aumentar la eficiencia. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 12 • Alinear los procesos de negocios y la infraestructura de TI. • Reducir los riesgos asociados a los servicios de TI. • Generar negocio. Para lograr los objetivos, es necesario basarse en estándares y buenas prácticas. Se explicarán algunos estándares de gestión de TI en el siguiente subtema. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 13 2.1.2. Estándares en la gestión de TI Por estándar se entiende un conjunto de reglas que deben cumplir los productos, procedimientos o investigaciones para que afirmen ser compatibles con el mismo producto. “Un estándar es un documento técnico abierto y accesible, bajo cuyo cumplimiento todas las partes interesadas acuerdan desarrollar” (Harke, 2010, p. 8). Los estándares en la gestión de TI ofrecen muchos beneficios, tales como reducir las diferencias entre los productos, así como generar un ambiente de estabilidad, madurez y calidad en beneficio de consumidores e inversores. La diferencia con una norma es que ésta es una regla que debe ser respetada y que permite ajustar ciertas conductas o actividades. “La norma se basa en los resultados de la ciencia y la tecnología y tiene como objetivo el bien común” (Harke, 2010, p. 8). Las normas se enfocan más en los procesos por los que tienen que pasar los productos, mientras que los estándares especifican la calidad con la que deben contar. En la lengua inglesa no hay distinción entre ambos conceptos. Según Harke (2010): Las organizaciones encargadas de la normativa hablan de estándar y el proceso de generación de la normativa es llamado estandarización. […]. Una norma es un documento con una amplia participación, en el cual todas las partes interesadas establecen un consenso. Las reglas aplicadas se refieren a un producto o aplicación que ya ha adquirido una cierta madurez de mercado. La norma tiene como objetivo promover los intercambios tanto nacionales como internacionales de bienes y servicios, reduciendo obstáculos técnicos al comercio por los requisitos estandarizados para los bienes tangibles e intangibles. Un estándar por contraste se da entre un grupo cerrado de empresas, o incluso dentro de una misma empresa que lo desarrolla en exclusiva y lo publica. En el ciclo de vida de un producto, la mayor parte de las veces los estándares se desarrollan antes que las normas. Un estándar de la industria es un estándar técnico que, con el paso de los años a través de la práctica, ha sidoconsiderado por fabricantes y distribuidores como técnicamente útil y correcto, con un enfoque pragmático como solución. […] Un estándar de la industria puede acabar siendo adoptado, en especial, por motivos técnicos, por ejemplo Ethernet: la especificación Ethernet fue desarrollada por tres firmas DEC, Intel y Xerox, adoptada como estándar internacional bajo IEEE e ISO (p. 8). Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 14 Los estándares de gestión de TI son importantes en la infraestructura tecnológica, apoyan en la innovación y actúan como barrera para los resultados inesperados. Las empresas que deciden hacer uso de estándares obtienen grandes beneficios, ya que aumenta su competencia en el mercado; sin embargo, la implementación de un estándar es en ocasiones muy lento, o al menos no lo suficientemente rápido, de acuerdo con lo esperado por la empresa. Las iniciativas de estandarización donde las partes no se encuentran equitativamente representadas, pueden llevar a la creación de estándares sólo útiles en el corto plazo. Ahora bien, los estándares dirigidos por fabricantes difícilmente cubrirán los requerimientos reales del cliente; en este sentido, apegarse en demasía a uno de ellos implica ignorar los requerimientos. Lo ideal es usar estándares desarrollados por consorcios, ya sean nacionales o de la industria con participación del gobierno, ya que se evita que los intereses de unos se impongan a los de otros; por otro lado, también se asegura la calidad. ¿Quién define los estándares en TI? Para apoyar a la gestión de TI se han definido muchos estándares y marcos de referencia. El enfoque internacional en lo que se denomina gobierno de TI ha creado una proliferación de prácticas locales e internacionales para la gestión en general. Son desarrollados por consenso y con el compromiso de mejores prácticas; además, son discutidas por grandes grupos de individuos de varias organizaciones, internacionales y nacionales, tales como ISO (International Organization of Standardization/Organización Internacional de Normalización), IEC (International Electrotechnical Commission/Comisión Electrotécnica Internacional), IEEE (Institute of Electrical and Electronics Engineers/Instituto de Ingenieros Eléctricos y Electrónicos), IT Governance Institute (Instituto de Gobierno en Tecnologías de Información), ISACA (Information Systems Audit and Control Association/ Asociación de Auditoría y Control de Sistemas de Información). ¿Quién usa los estándares? Todas las organizaciones de los sectores económico, jurídico y social que implementen un sistema de gestión de calidad. Algunos estándares son usados como normatividad de manera mundial, y otros más de manera preferida en algunos países como se puede observar en el siguiente esquema: Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 15 Diferentes estándares usados en varios países respecto a la gestión de TI (Basado en Cruz, Jaimes y Aráuz, 2008 Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 16 A continuación, se muestran de forma comparativa algunos estándares de gestión de TI: Estándar internacion al Estándar nacional Estándar internacional o guías Gestión de TI -ISO / IEC 20000 -BS 15000 (Reino Unido) • ITIL • COBIT • Particulares de los fabricantes (ITSM, MOF, ITPM) Gestión de proyectos • PMBOK • PRINCE2 Gestión de seguridad -ISO 13335 -ISO 13589 (banco y servicios financieros) -ISO / IEC 17799 -BS 7799-2 (Reino Unido) Estándares NIST (EUA) • Baseline Protection Manual (Alemania) • ACSI-33 (Australia) • COBIT Security Baseline • ENV12924 (Informática médica) • ISF Standard of Good Practice Desarrollo de software TickIT • CMMI Gestión de calidad Gobierno de TI -ISO 9001 -EFQM -Baldrige National Quality Plan -COSO -AS 8015-2005 (Australia) • COBIT • IT Governance Implementation Guide Gestión de riesgo -AS/NZS 4360 (Australia) Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 17 -COSO ERM BCP (Business Continuity Plan) -PAS-56 (Reino Unido) -AS/NZS 4360 (Australia) -HB 221-2004 (Australia) Auditoría ISO 19011 ▪ COBIT Herramientas para la implementación de gobierno de las TI (basado en Fernández y Llorens, 2011) Los estándares ISO se enfocan en la definición, descripción y diseño de procesos. Para organizaciones de gestión de servicios de TI se creó un estándar específico, ISO/IEC 20000, que tiene la siguiente estructura: Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 18 Esquema del sistema de gestión de servicioS ISO/IEC 20000 (Van Bon, De Jong, Verheijen, Pieper, Tjassing, Van Der Veen y Kolthof, 2008, p. 12) A continuación, se exponen los marcos de gobierno de TI más utilizados: ▪ ISO 9000. ▪ ITIL. ▪ COBIT / COBIT Quickstart. ▪ BS 7799 / ISO 17799 / ISO TR13335 / ISF. ▪ ISO 15000. ▪ BSC (Balanced ScoreCard). ▪ CMM y CMMI. ▪ COSO / ERM. ▪ PMI, PMBOK, PRINCE2. ▪ Six Sigma. Sistema de gestión Responsabilidad de gestión, requisitos de documentación, competencia, concienciación y formación Planificar Hacer Verificar Planificación e implementación de la gestión del servicio Actuar Planificación e implementación de servicios nuevos o modificados Proceso de provisión de servicio • Gestión de la capacidad • Gestión de la continuidad y disponibilidad del servicio • Gestión de nivel de servicio • Informes del servicio • Gestión de la seguridad de la información • Presupuestos y contabilidad de los servicios de TI Proceso de entrega • Gestión de versiones Procesos de resolución • Gestión de incidencias • Gestión de problemas Procesos de relación • Gestión de las relaciones con el negocio • Gestión de suministradores Procesos de control • Gestión de la configuración • Gestión de cambios Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 19 Como se mencionó, los estándares son una parte importante en la gestión de TI. A continuación se muestran algunos de los estándares mundiales más conocidos y utilizados a nivel empresa, y se hace un breve resumen de sus funciones. Algunos de ellos se verán con más detalle en el tema 2.2. Frameworks para la gestión de TI. ITIL es una herramienta de gestión de servicios que “proporciona una descripción detallada de una serie de buenas prácticas de TI, a través de una amplia lista de roles, tareas, procedimientos y responsabilidades que pueden adaptarse a cualquier organización de TI” (ITSMF Internacional, 2008, p. 1). En el siguiente esquema se muestran los elementos que conforman el modelo de procesos de ISO 20000. Se mencionan las acciones de gestión que integra esta norma. Modelo de procesos ITIL V3. Fuente: Tecnofor, 2014. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 20 Modelo de procesos ISO 20000. Basado en Overti, 2011 En el siguiente esquema se observan los principios COBIT, que es un marco de referencia para la información y la tecnología relacionada con la información (Control Objetives for Information and Related Technology). Se le considera como una “herramienta de TI para uso de las entidades […], proporciona buenas prácticas para los procesos de negocios y la información resultante de la aplicación combinada de recursos que requieren ser administrados, apoyados por la tecnología de información” (Fonseca, 2011, p. 26). Se presentan los principios de COBIT versión 5. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 21 Los principiosde COBIT v5. Basado en QAP, 2010. La norma ISO/IEC 17799 se conforma de diez dominios de control que cubren por completo la gestión de la seguridad de la información, de acuerdo con la norma ISO/IEC 17799. Niveles de dominio de control de ISO/IEC 17799. Fuente: Network Management, 2009. Aspectos organizativos para la seguridad Seguridad física y de entorno Gestión de comunicaciones y operaciones Clasificación y control de activos Seguridad relacionada con el personal Desarrollo y mantenimiento de sistemas Gestión de continuidad del negocio Cumplimiento de leyes y regulaciones Política de seguridad Control de accesos Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 22 COSO ERM (Enterprise Risk Management. Committee of Sponsoring Organizations of the Treadway Commission). Enfoque basado en procesos donde los diversos componentes interactúan como parte de un continuo proceso iterativo. COSO representa estas relaciones en un cubo de tres dimensiones. Dado que las empresas se enfrentan día a día con una competencia cada vez más fuerte, es necesario que se preocupen en la mejora de sus productos y servicios. Pero la calidad del producto no sólo se mide al finalizarlo. La complejidad de los problemas para los que hoy en día se busca una solución en la gestión de TI ha aumentado de manera considerable; a su vez, este crecimiento ha sobrepasado de manera sustancial al aumento en la habilidad para implementar nuevas estrategias de control y supervisión en los procesos que se llevan a cabo para mantenerlo, debido a que las empresas deben buscar un estándar, una norma, o un modelo que pueda ayudarlas a alcanzar su meta de calidad para hacerlas más competitivas. A continuación se muestran las ventajas y desventajas de los estándares de gestión de TI. Framework para la administración integral de riesgos COSO ERM. Fuente: Compliansy, 2012. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 23 Ventajas Desventajas Utilización de mejores prácticas basadas en experiencias de otras organizaciones. Los estándares no cubren todos los temas en detalle. En el caso de outsourcing, los niveles de servicio entre la organización y un tercero tendrán un mejor entendimiento y serán menos costosos. No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, etcétera). Los auditores no tienen que crear sus propios estándares para auditar. Se requiere de un gran esfuerzo de parte de la organización para adoptar los estándares. Ventajas y desventajas de los estándares de gestión. Basado en: Zayas, (s. f.). Como se ha visto a lo largo de este subtema, los estándares son muchos y muy variados. Cada uno de ellos cubre una necesidad particular en la gestión de TI, e incluso algunos pueden complementarse para hacerla aún más eficiente. La implantación de cualquiera de ellos en una organización requiere de un arduo estudio y alto grado de compromiso de parte de todos los involucrados en su aplicación; a su vez, también requiere de una gran inversión de tiempo, costo y esfuerzo. Pero las ventajas que se adquirirán con su implantación y seguimiento harán que la organización permanezca con un alto grado de competitividad en el mercado donde se desenvuelva. En el siguiente subtema se abordarán las buenas prácticas y los modelos de gestión en las TI. 2.1.3. Buenas prácticas y modelos en la gestión de TI A medida que la organización crece, seguramente tendrá que cambiar para adaptarse a las nuevas circunstancias existentes en el mundo empresarial, a los mercados y a las nuevas tecnologías. Una forma eficiente de afrontar estos cambios es ver cómo otras empresas exitosas operaron en situaciones similares, y cómo implementaron nuevas formas de trabajar en su propio negocio. La evaluación de la situación actual, la comparación con empresas más eficaces y rentables, así como la implementación de buenas prácticas empresariales en la organización, la llevará a hacer la gran diferencia. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 24 Buena práctica significa encontrar (y utilizar) las mejores formas de trabajar para alcanzar los objetivos deseados. Se trata de mantenerse al día con las formas en que operan las empresas de éxito (en su sector y otros), además de la medición de sus formas de trabajar, comparando con las utilizadas por los líderes del mercado. Se puede realizar las buenas prácticas desde dos enfoques: 1. Las mejores prácticas mediante la evaluación comparativa. Esto es básicamente aprender de la experiencia de los demás, siempre con un asesoramiento profesional y claro. Una forma de hacerlo es a través de la evaluación comparativa (benchmarking), que permite confrontar la empresa con otras de éxito, para destacar las áreas donde la organización puede mejorar y desarrollar la famosa ventaja competitiva. 2. Las mejores prácticas a través de los estándares/modelos. Los estándares/modelos son las especificaciones o puntos de referencia fijos, establecidos por organismos o instituciones, como los ya mencionados en el tema anterior. Los estándares/modelos son especificaciones precisas por medio de las cuales una empresa puede medir la calidad de su producto, servicio o proceso. Son guías para lograr las mejores prácticas empresariales y organizativas. La implementación de los estándares/modelos adecuados permitirá aplicar las buenas prácticas a toda la organización, y lograr la calidad esperada para sus productos o servicios; por ende, se mantendrá un nivel aceptable de competitividad. Las buenas prácticas para la gestión de TI implican: • La comunicación de una misión y una estrategia claras. • Se debe liderar con el ejemplo, no son suficientes los discursos motivacionales. • Se deben establecer metas exigentes pero realistas. • Debe haber una gestión abierta y comunicativa. • La planificación estratégica debe ser clara y cuidadosa. Hay varias herramientas que se pueden emplear en estas buenas prácticas, tales como: Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 25 • Evaluación comparativa. • Previsión. • Planificación financiera. • Planificación estratégica. • Supervisión del rendimiento. El uso de indicadores clave de rendimiento (key performance indicators/KPI) es una forma efectiva del control. Los indicadores del rendimiento son usados para medir el progreso en el logro de los objetivos a través de una serie de actividades. Permiten identificar aquellas áreas que necesitan una mayor atención. También se pueden utilizar para medir las actividades, la calidad y la rotación de personal. Los indicadores clave de rendimiento (KPI) que se elijan dependerán del tipo de organización, ya que no se pueden aplicar los mismos a todas las empresa; sin embargo, sí deben estar relacionados con los objetivos generales, ser claramente medibles y proporcionar una indicación de las mejoras que deben hacerse. Contar con información precisa y actualizada sobre el rendimiento ayudará a la planificación a largo plazo, así como a la gestión del cambio. Más allá de los objetivos con los que desee implementar las buenas prácticas, comunicar los objetivos y estrategias es una parte esencial de este proceso. Una buena política de comunicación asegurará que quienes forman parte de una en la empresa, conozcan hacia dónde se dirige y entiendan su papel en el mercado. 2.2. Frameworks para la gestión de TI La necesidad de un marco de trabajo o de referencia en las organizaciones es cada vez más evidente, debido a la adopción de las buenas prácticas y de las metodologías que permitan alinear tres factores importantes en la gestión de TI: el control de objetivos estratégicos, los servicios,y la seguridad de la información. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 26 Un framework (marco de referencia o de trabajo) se define como un conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo de problemática particular, que sirve como referencia para enfrentar y resolver nuevos problemas de índole similar. El objetivo de los marcos de trabajo o framework es armonizar la integración del negocio, desde la alta gerencia hasta todas las áreas de la organización. Se toma como punto estratégico las TI. Actualmente, existe un alto impacto en los factores de riesgo, en la continuidad del negocio orientado a la prestación de servicios y al cumplimiento de los objetivos estratégicos; es por ello que se necesita: • Adoptar marcos de referencia de control y supervisión de objetivos para incrementar el valor del negocio. • Garantizar y asegurar mejores retornos de inversión. • Conocer los riesgos que están relacionados con la seguridad de TI. • Disminuir los gastos generados por TI. • Medir el desempeño de sus procesos y servicios respecto a los estándares adoptados. Para ello, las organizaciones deben enfrentar ciertos desafíos. En este sentido, la guía de estándares o buenas prácticas debe apoyar en: • La creación de una cultura organizacional sobre los objetivos, necesidades y beneficios del negocio con el uso de buenas prácticas. • Orientar las buenas prácticas a la mejor toma de decisiones, de manera que puedan integrase con las políticas y procesos internos de la organización. Es muy importante que todos en la organización estén interesados en la adopción de marcos de referencia (frameworks) que permitan crecer como equipo; de esta manera, se puede establecer que los implicados en el proceso de buenas prácticas son aquellos que: • Toman las decisiones estratégicas de la organización. • Utilizan, administran y operan los servicios de TI. • Están a cargo de los procesos y actividades de TI. • Son responsables de la seguridad, el riesgo y la continuidad. • Brindan funciones de cumplimiento. • Dirigen la organización. La gestión de TI ya es crítica para el éxito empresarial, pues proporciona oportunidades para obtener una ventaja competitiva y ofrece los medios para incrementar la productividad. Esto Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 27 también va acompañado de riesgos. Es evidente que en estos días de negocios globalizados, la caída de los sistemas y las redes puede resultar muy costosa para cualquier empresa, de ahí la necesidad de implementar mecanismos que permitan solventar cualquier inconveniente, de tal forma que la gestión efectiva de marcos de referencia en TI coadyuve a gestionar eficazmente los recursos, las inversiones y asegurar los resultados de manera exitosa, apuntando a la consecución de la estrategia organizacional. 2.2.1. CMMI CMMI es el acrónimo de Capability Maturity Model Integration (modelo integrado de capacidad y madurez), se refiere a los modelos que contienen las prácticas que ayudan a las organizaciones a mejorar sus procesos, los cuales han sido desarrollados por equipos de trabajo formados por especialistas de la industria, el gobierno y el Software Engineering Institute, SEI (Instituto de Ingeniería de Software), que transfirió los derechos al CMMI Institute, de la Universidad Carnegie Mellon, para su operación y comercialización. CMMI refleja una abstracción de la realidad. Permite a las organizaciones adoptar prácticas útiles para alcanzar sus objetivos de negocio. Constituye una referencia y no es un proceso en sí. El modelo está estructurado en diferentes elementos que deben ser adecuadamente entendidos y aplicados. Es descriptivo, no prescriptivo, en el sentido de que no establece cómo se debe cumplir un proceso sino los requisitos. Es importante considerar y diferenciar los elementos obligatorios, sugeridos y el material informativo que permite utilizar y aplicar correctamente el modelo. La adecuada interpretación de cada una de las áreas de proceso y sus relaciones permite diseñar un conjunto efectivo de procesos, que cumple con los requisitos del modelo y puede adecuarse a las necesidades de la organización, así como a la operación del negocio. CMMI representa un camino para la mejora, permite determinar la madurez, y evaluar las capacidades de las organizaciones. Existe una versión del modelo traducido al español, lo que facilita la interpretación y la aplicación de los conceptos que pudieran parecer confusos cuando se leen en un idioma diferente. CMMI es una colección estructurada de elementos que describe Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 28 características de procesos que han demostrado, por experiencia, ser exitosos. Es recomendado para organizaciones que quieren incrementar la capacidad de su proceso de desarrollo y elaborar software con calidad. El modelo de CMMI plantea cinco niveles de madurez, cada uno es un escalón bien definido de mejora, y estabiliza una parte importante de los procesos organizacionales. Los cinco niveles de madurez de CMMI. Basado en Cynertia Consulting, 2013. A continuación se describirá brevemente cada uno de los niveles que conforman el modelo CMMI. Inicial. Nivel 1. Aquí se encuentra la organización al momento de iniciar su camino antes de la implantación del modelo. Muy probablemente, sus procesos estén poco o nada controlados. Normalmente, su acción será reactiva al momento de presentarse una crisis. Gestionado. Nivel 2. Asegura que sus procesos son planeados, documentados, realizados, monitoreados y controlados a nivel de proyectos. Los requerimientos, estándares y objetivos para los procesos, productos de trabajo y servicios son definidos y documentados. El estado de los productos es visible para la administración en puntos de control preestablecidos. Los objetivos se cumplen con éxito. También los objetivos de tiempo, calidad y costo son satisfechos. Definido. Nivel 3. Asegura que sus procesos son definidos. Un proceso definido es administrado y ajustado desde el conjunto de estándares del proceso de la organización, de acuerdo con las Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 29 guías de ajuste; tiene una descripción del proceso bajo control, aporta productos de trabajo, medidas y otra información de mejoramiento para los activos del proceso de la organización. Mientras que el nivel 2 se enfoca en los proyectos, el 3 se centra en la definición de estándares a nivel organizacional. Gestionado cuantitativamente. Nivel 4. Asegura que sus procesos son controlados con estadísticas y otras técnicas cuantitativas. Se establecen objetivos cuantitativos de calidad y rendimiento. Son usados como criterios para administrar los procesos. Las causas especiales de variación son identificadas y corregidas para evitar futuras ocurrencias. La diferencia esencial con el 3 es que, en este nivel, el rendimiento es estadísticamente predecible. Optimizado. Nivel 5. Asegura que sus procesos son mejorados continuamente con base en un entendimiento de las causas comunes de variación. Se enfoca en la mejora continua a través de la incorporación de innovaciones en la tecnología y los procesos. La principal diferencia con el nivel 4 es el tipo de variación al que se apunta (variaciones comunes). Como todo modelo de mejora de procesos, CMMI proporciona beneficios a las organizaciones que los utilizan, entre los que se pueden mencionar: • Mayor fiabilidad de las planificaciones (estimaciones basadas en hechos). • Disminución del trabajo. • Acuerdos claros sobre el servicio y la funcionalidad del producto a entregar. • Cumplimiento con las fechas establecidas. • Visibilidad del proceso y del producto. • Utilización de estándaresdocumentados. • Personal formado. • Reducción de errores. • Mayor calidad de los productos entregados. • Gestión ordenada de los acuerdos y contratos con proveedores. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 30 Para entender qué es CMMI, se debe tener claro lo que no es CMMI. Para ello, se debe considerar lo expuesto por Pérez (2013): No constituye un proceso o conjunto de procesos. Si se considera a un proceso como la secuencia de pasos realizados para generar un resultado, el modelo contiene áreas que agrupan las prácticas según el propósito y la intención de las mismas. La intención del modelo no es considerar el seguimiento uno a uno de los procesos de la organización y las áreas del modelo. No es un modelo prescriptivo. No establece ni infiere procesos que son correctos para una organización. Describe los criterios mínimos necesarios para planificar e implementar los seleccionados por la organización para mejorar, considerando los objetivos del negocio. No constituye un objetivo en sí. Es un medio para alcanzar las mejoras. La adopción de las prácticas en las áreas de proceso y la evaluación del nivel de madurez o capacidad se debe dar como consecuencia de la implementación y la mejora de los resultados. No está enfocado a grandes organizaciones. Cubre elementos generales aplicables a todo tipo de organización. Puede ser aplicado por diferentes empresas sin importar su tamaño o número de personas involucradas en el alcance. De hecho, más del 60% de las evaluaciones realizadas corresponden a organizaciones con menos de 100 personas. No establece cómo deben ser implementados los procesos. No integra especificaciones sobre las prácticas, los roles, responsabilidades, métricas, técnicas, estándares, metodologías y demás consideraciones que se toman en cuenta para definir y ejecutar los procesos; éstos son establecidos por cada organización en función de sus propias necesidades y de las prácticas. No certifica a la organización. El modelo utiliza los niveles de madurez y capacidad para evaluar el cumplimiento de las prácticas a través del SCAMPI (Standard CMMI Appraisal Method for Process Improvement. Método estándar de evaluaciones basadas en cmmi para la mejora de procesos), que permite identificar oportunidades de mejora en los procesos, así como determinar el nivel de la organización de las áreas; es decir, una evaluación SCAMPI es la forma de valorar Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 31 cómo una organización que trabaja con procesos y metodologías cumple con un modelo de la familia de CMMI. Una evaluación SCAMPI ayuda a: • Identificar qué hacer. • Entender cómo hacerlo. • Verificar que se realiza lo que se planea, la forma en que se planea, y la manera de hacerlo. • Verificar que esta forma de ejecutar los procesos se apega a lo que indica algún modelo de CMMI (CMMI-SVC, CMMI-DEV, CMMI-ACQ, People CMM). La interpretación adecuada del modelo, así como la adopción efectiva de las prácticas en relación con las necesidades de mejora de la organización, marcan la diferencia entre lo que es una implementación exitosa y un fracaso en el uso de CMMI. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 32 2.2.2. COBIT COBIT es un modelo utilizado principalmente para auditar la gestión y control de los sistemas de información y tecnologías. Se orienta al análisis de las funciones de todos los sectores de una organización; es decir, a los administradores IT, a los usuarios, a las redes y, por supuesto, a los auditores involucrados en el proceso. COBIT es el acrónimo de objetivos de control para tecnología de información y tecnologías (Control Objectives for Information Systems and related Technology). Es el resultado de una investigación de expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association) que, a su vez, es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información. COBIT es un modelo de evaluación y monitoreo que enfatiza el control de negocios y la seguridad TI, que abarca controles específicos desde una perspectiva de negocios. La estructura del modelo COBIT propone un marco de acción donde se evalúan los siguientes criterios de información: • Seguridad y calidad. • Recursos que comprenden la tecnología de información tales como recursos humanos, instalaciones y sistemas, entre otros. • La evaluación sobre los procesos involucrados en la organización. COBIT provee un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos, tanto para el gobierno como para la gestión de las TI corporativas. Dicho de forma más sencilla, ayuda a las empresas a crear el valor óptimo, manteniendo el equilibrio entre la generación de beneficios, la optimización de los niveles de riesgo y el uso de recursos. La versión actual de COBIT (5) está basada en cinco principios claves, tal como se mencionó en el subtema 2.1.2. Estándares en la gestión de TI, y a continuación se explican. Principio 1. Satisfacer las necesidades de las partes interesadas. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 33 COBIT provee todos los procesos necesarios, así como otros catalizadores para la creación de valor del negocio mediante el uso de TI. Se entiende que cada empresa tiene objetivos diferentes, una ventaja que este framework ofrece consiste en que puede ser personalizado para adaptarlo al propio contexto de la empresa, mediante una cascada de metas, traduciendo metas corporativas de alto nivel en otras más manejables, específicas, relacionadas con TI, mapeándolas con procesos y prácticas específicas. Principio 2. Cubrir la empresa extremo a extremo COBIT permite integrar el gobierno y la gestión de TI dentro del gobierno corporativo; es decir, permite cubrir todas las funciones y procesos dentro de la empresa ya que no se enfoca sólo en la función de TI, sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo, y por todos los integrantes de la empresa. Esto representa una gran ventaja, ya que considera que los elementos relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de principio a fin; es decir, incluye a todo y a todos (tanto internos como externos) los que sean relevantes para el gobierno y la gestión de la información y TI relacionadas. Principio 3. Aplicar un marco de referencia único integrado Como ya se ha mencionado, existen muchos estándares y buenas prácticas relativas a la gestión de TI, que ofrecen apoyo particular para un subgrupo de actividades dentro de las TI; en este sentido, COBIT se alinea en alto grado con otros estándares y marcos de trabajo relevantes. De este modo, puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI. Por mencionar un ejemplo, se puede establecer un marco comparativo entre COBIT e ITIL (este último se verá en el subtema 2.2.5.), en donde se puede decir que: • COBIT es más completo y sistemático. • COBIT define qué se debe controlar. e ITIL cómo se debe hacer. • COBIT sirve para planear, organizar, dirigir y controlar toda la función informática dentro de una empresa. Actúa sobre la dirigencia y ayuda a estandarizar la organización. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 34 • ITIL actúa sobre los procesos y, a través del conjunto de buenas prácticas que lo conforman, mejora el servicio que ofrece la empresa, además, permite medirlos (para una mejora continua). Principio 4. Hacer posible un enfoque holístico Un gobierno y gestiónde las TI de la empresa efectivos y eficientes requiere de un enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT define un conjunto de catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Estos catalizadores se definen, en líneas generales, como todo aquello que puede ayudar a conseguir las metas de la organización. El marco de trabajo COBIT define siete categorías de catalizadores: 1. Principios, políticas y marcos de trabajo. 2. Procesos. 3. Estructuras organizativas. 4. Cultura, ética y comportamiento. 5. Información. 6. Servicios, infraestructuras y aplicaciones. 7. Personas, habilidades y competencias. Principio 5. Separar el gobierno de la gestión Dentro del marco de trabajo COBIT se establece una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades y requieren diferentes estructuras organizativas que sirven a diferentes propósitos. La visión de COBIT en esta distinción clave entre gobierno y gestión es: Gobierno. Asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 35 Se establece la dirección a través de la priorización y la toma de decisiones; se mide el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. En muchas corporaciones, el gobierno global es responsabilidad del comité de dirección bajo el liderazgo del presidente. Algunas responsabilidades específicas del gobierno se pueden delegar a estructuras organizativas especiales, a un nivel apropiado, especialmente en las corporaciones más grandes y complejas. Gestión. Planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales. Juntos estos cinco principios (satisfacer las necesidades de las partes interesadas, cubrir la empresa extremo a extremo, aplicar un marco de referencia único integrado, hacer posible un enfoque holístico y separar el gobierno de la gestión) habilitan a la empresa a construir un marco de gestión efectivo de gobierno, que optimice la inversión tanto como el uso de información y tecnologías para el beneficio de las todas las partes interesadas. 2.2.3. PMBOK PMBOK Guide. Guía de los fundamentos para la dirección de proyectos (Project Management Body of Knowledge Guide) es un estándar en la administración de proyectos desarrollado por el Project Management Institute (PMI). Comprende dos secciones importantes sobre: 1. Los procesos y contextos de un proyecto. 2. Las áreas de conocimiento específico para la gestión de un proyecto. En 1987 el PMI publicó la primera edición del PMBOK Guide en un intento por documentar y estandarizar la información y las prácticas generalmente aceptadas en la gestión de proyectos. La edición actual, la quinta, provee referencias básicas a cualquier profesional que esté interesado en la gestión de proyectos. PMBOK Guide es una colección de procesos y áreas de conocimiento generalmente aceptadas como las mejores prácticas dentro de la gestión de proyectos, es un estándar reconocido internacionalmente (IEEE Std 1490-2003) que provee los fundamentos de la gestión de proyectos Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 36 aplicables a un amplio rango de campos del conocimiento, incluye construcción, software, ingeniería, etcétera. Hasta ahora se ha hablado que PMBOK es una guía para la administración de proyectos, pero, ¿qué es un proyecto? Se debe recordar que las organizaciones desarrollan trabajos que, generalmente, envuelven operaciones y proyectos, los cuales comparten algunas características tales como: • Son desarrollados por personas. • Están restringidos por recursos limitados. • Son planificados, ejecutados y controlados. Se debe marcar la diferencia entre lo que son las operaciones y los proyectos. En este sentido, se establece que en las primeras los trabajos son repetitivos y continuos, mientras que en los segundos, es temporal y único. Ahora bien, respondiendo a la pregunta inicial, se entiende por proyecto como un esfuerzo temporal iniciado para crear un único producto o servicio. Cuando se dice que es temporal, implica un comienzo y un fin. El fin será alcanzado cuando los objetivos del proyecto sean cumplidos, o cuando quede claro no podrán ser cumplidos. Los proyectos pueden ser emprendidos a cualquier nivel de la organización, pueden involucrar a una o a cientos de personas, puede requerir un ciento o varios miles de horas para ser completados. Pueden involucrar una o varias unidades de la organización y, a su vez, pasar los límites de la misma a través de sociedades. ¿A qué se hace referencia cuando se habla de gestión de proyectos? Es la aplicación del conocimiento, habilidades, herramientas y técnicas para realizar las actividades de un proyecto, con el objeto de satisfacer o superar las necesidades y expectativas bajo las cuales fue creado. El término gestión de proyectos es utilizado para describir un acercamiento organizacional para la administración de las operaciones; este acercamiento es llamado administración por proyectos. PMBOK describe lo en términos de los procesos que lo componen y de sus interacciones, con la finalidad de hacer énfasis en la importancia de su integración. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 37 Se entiende como proceso a una serie de acciones que dan un resultado. Los procesos de un proyecto son desarrollados por personas y, generalmente, caen en una de las siguientes categorías: • Procesos de gestión de proyectos, enfocados a describir y organizar el trabajo de un proyecto. • Procesos orientados a productos, enfocados en especificar y crear el producto del proyecto. Los procesos de gestión de proyectos, definidos por el PMBOK, y que son los más usados comúnmente, están clasificados en cinco grupos: 1. Iniciación. Se reconoce que un proyecto o fase debe comenzar, debe estar definido y autorizado. 2. Planificación. Define y refina los objetivos que planifican el curso de acción requerido para lograr los objetivos y el alcance. 3. Ejecución. Está compuesta por aquellos procesos realizados para completar el trabajo definido en el plan con el fin de cumplir con las especificaciones. Implica coordinar personas y recursos, así como integrar y realizar actividades del proyecto en conformidad con el plan para la dirección del proyecto. 4. Seguimiento y control. Mide, supervisa y regula el progreso y desempeño del proyecto con el fin de identificar áreas en las que el plan requiera ajustes y cambios. 5. Cierre. Formaliza la aceptación del producto, servicio o resultado, y termina ordenadamente el proyecto o una fase. Los grupos de procesos descritos anteriormente pueden traslaparse e interactuar a través del proyecto o de una fase (figura relación de procesos). Son descritos en términos de: 1. Entradas por medio de documentos, planes, diseños, etc. 2. Herramientas y técnicas, por medio de mecanismos aplicados a las entradas. 3. Salidas por medio de documentos, productos, etc. Iniciación Planificación Ejecución Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 38 Relación entre procesos PMBOK, aparte de los grupos de procesos, también reconoce algunas áreas de conocimiento comunes a casi todos los proyectos. A continuación puede verse una representación del mapa de los 47 procesos de la quinta versión de PMBOK, así como de las áreas de conocimiento que la integran, la cual fue publicada en diciembredel año 2012 en su versión en inglés. Su traducción al español fue liberada oficialmente en enero del 2014. Control Cierre Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 39 Áreas de conocimiento de PMBOK v5. Basado en Huamaní, 2013. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 40 Como puede verse en el gráfico, las áreas del conocimiento mencionadas en la última versión de PMBOK Guide son: 4. Gestión de la integración del proyecto. Incluye los procesos y actividades necesarios para identificar, definir, combinar, unificar y coordinar los diversos procesos y actividades de la dirección de proyectos. 5. Gestión del alcance del proyecto. Incluye los procesos necesarios para garantizar que el proyecto abarque todo el trabajo requerido para completarlo con éxito. 6. Gestión del tiempo del proyecto. Incluye los procesos requeridos para administrar la finalización del proyecto justo en el tiempo planeado. 7. Gestión de los costos del proyecto. Incluye los procesos involucrados en estimar, presupuestar y controlar los costos de modo que se complete el proyecto dentro del presupuesto aprobado. 8. Gestión de la calidad del proyecto. Incluye los procesos y actividades que la organización debe ejecutar y que determinan responsabilidades, objetivos y políticas de calidad, con el fin de que satisfaga las necesidades para las cuales fue generado. 9. Gestión de los recursos humanos del proyecto. Incluye los procesos que organizan, gestionan y conducen el equipo. 10. Gestión de las comunicaciones del proyecto. Incluye los procesos requeridos para garantizar que la generación, la recopilación, la distribución, el almacenamiento, la recuperación y la disposición final de la información del proyecto sean adecuados, oportunos y entregados a quien corresponda (interesados del proyecto o stakeholders). 11. Gestión de los riesgos del proyecto. Incluye los procesos relacionados con llevar a cabo la planificación de la gestión, identificación, el análisis, la planificación de respuesta a los riesgos, así como su monitoreo y control. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 41 12. Gestión de las adquisiciones del proyecto. Incluye los procesos de compra o adquisición de los productos, servicios o resultados que es necesario obtener fuera del equipo. 13. Gestión de interesados del proyecto. Incluye los procesos relacionados con la identificación, análisis y manejo proactivo de los interesados. Para obtener la guía completa de PMBOK v5 se requiere ser miembro del Project Management Institute (PMI). 2.2.4. Six Sigma El proceso de globalización, la constante necesidad de acceso a la información de forma oportuna, así como la innovación de productos y servicios, cambian constantemente la conducta de los clientes. De la misma manera, mantenerse competitivo ante la avalancha de competidores no permite lugar para el error en la calidad de los productos y servicios que han de ser ofertados; la satisfacción al cliente, y atender sobradamente sus expectativas, es la línea que enmarca la metodología Six Sigma (seis sigma), que consiste en la mejora de procesos y está centrada en la reducción de la variabilidad de los mismos. Busca reducir o eliminar los defectos en la entrega de un producto o servicio. Six Sigma hace uso de herramientas estadísticas para el estudio y análisis de los procesos, de ahí el nombre de la metodología, ya que sigma (𝜎) representa tradicionalmente la variabilidad. Su objetivo es que el proceso se encuentre siempre dentro de los límites establecidos por el cliente. El término Six Sigma se fundamenta en una medida estadística (la desviación estándar), de tal forma que se aplique seis veces para obtener una reducción de 3.4 o menos defectos o errores por cada millón de oportunidades (dpmo acrónimo de defectos por cada millón de oportunidades). El objetivo principal de las organizaciones que adoptan una filosofía Six Sigma es el tener los procesos de alto impacto, sin importar el área funcional en un nivel de capacidad (intervalo de confianza) Six Sigma. Para implementar esta metodología se deben seguir las Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 42 siguientes fases de forma ordenada en la ejecución de los procesos, con el fin de reducir la variabilidad. 1. Definir el problema/proceso/defecto. 2. Medir y recopilar datos. 3. Analizar los datos. 4. Mejorar. 5. Controlar. Las iniciales de estas cinco fases en la metodología Six Sigma hacen que su nombre abreviado se conozca como DMAMC. El siguiente gráfico muestra las fases que conforman Six Sigma: Fases de la metodología Six Sigma. Basado en Ríos, 2013 Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 43 Cada una de estas fases lleva asociada una serie de actividades, tareas y herramientas para su implementación práctica. 1. Fase de definición. Se identifican los posibles proyectos Six Sigma que deben ser evaluados por la dirección para evitar la inadecuada utilización de recursos. Una vez seleccionado el proyecto, se prepara y se selecciona el equipo más adecuado para ejecutarlo, asignándole la prioridad necesaria. Las herramientas típicas que se usan en esta fase son los siguientes: • Diagramas de flujo de procesos. • Diagrama causa-efecto o de Ishikawa. • Diagrama de Pareto. • Histogramas. • Gráficos de tendencia. 2. Fase de medición. Consiste en identificar los requisitos clave de los clientes, las características clave del producto (o variables de resultado), los parámetros (las variables de entrada) que afectan el funcionamiento del proceso y las características o variables clave. A partir de esta caracterización, se define el sistema de medida y se mide la capacidad del proceso. Las herramientas típicas que se usan en esta fase son: • Modelación de las características de calidad. • Evaluación de la normalidad de los datos. • Evaluación de la exactitud y linealidad. • Evaluación de la repetibilidad y la reproducibilidad con base en el medidor de repetibilidad y reproducibilidad GR & R (Gage Repeatability and Reproducibility). • Modos alternativos de evaluación de los sistemas de medición. • Análisis de fiabilidad. 3. Fase de análisis. El equipo de trabajo evalúa los datos de los resultados actuales e históricos. Se desarrollan y comprueban las hipótesis sobre las posibles relaciones causa- efecto con base en las herramientas estadísticas adecuadas; de esta forma, el equipo Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 44 determina las variables clave de entrada y los focos de alerta que afectan a las variables de respuesta del proceso. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 45 Las herramientas típicas que se utilizan en esta fase son: • Análisis exploratorio de datos. • Ajuste de distribuciones. • Contrastes de hipótesis. • Intervalos de confianza. • Capacidad de los procesos. 4. Fase mejorar. El equipo de trabajo busca determinar la relación causa-efecto para predecir, mejorar y optimizar el funcionamiento del proceso. Finalmente, se determina el rango operacional de los parámetros o variables de entrada. Las herramientas típicas que se usan en esta fase son: • Análisis de correlaciones. • Regresión simple. • Regresión múltiple. • Análisis de la varianza unifactorial. • Análisis de la varianza multifactorial. • Modelos de series temporales. 5. Fase de control. Consiste en diseñar y documentar los controles necesarios para asegurar que se mantengan, en forma permanente, los logros realizados mediante el proceso Six Sigma, una vez que se hayan implementado los cambios. Cuando se han logrado los objetivos y se ha cumplido la misión, el equipoha de informar los resultados a la dirección y se disuelve. Las herramientas típicas que se usan en esta fase son: • Control estadístico de procesos (control de fabricación). • Gráficos de Shewhart. • Curva característica de operación. • Gráficos de control de variables. • Gráficos de control de atributos. • Análisis de la capacidad mediante gráficos de control. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 46 • Control estadístico de procesos (control de aceptación). • Muestreo por atributos. • Muestreo por variables. Six Sigma proporciona un esquema claro para la implantación de un sistema de calidad total, ya que en múltiples aspectos es la realización de muchos conceptos fundamentales de la administración de calidad total (TQM), entre los que destaca la integración de los elementos humanos y de procesos para la mejora continua. El aspecto humano incluye: • Liderazgo administrativo. • Sentido de urgencia. • Enfoque hacia los resultados y clientes. • Los procesos en trabajo equipo. • Un cambio de cultura. El aspecto de los procesos comprende: • Uso de técnicas para la administración de procesos. • El análisis de variación y métodos estadísticos. • Un enfoque disciplinado para la solución de problemas. • La administración por hechos. Diferencias entre la administración total de calidad ACT y Six Sigma A pesar de las enormes ventajas que ofrecen ambos marcos de referencia, no se puede dejar a un lado las diferencias que puede haber entre el concepto que se maneja en la ACT y la metodología Six Sigma, entre dichas características a destacar, se encuentran: • La administración de calidad total (ACT) se basa en gran medida en el fortalecimiento de las capacidades (empoderamiento) de las personas y equipos. Six Sigma es propiedad de sus defensores en el negocio. • La capacitación en la ACT, por lo general, se limita a mejorar las herramientas y los conceptos. Six Sigma se enfoca en una serie de métodos estadísticos más rigurosos y avanzados, así como en la metodología estructurada para la solución de problemas llamada DMAMC (definir, medir, analizar, mejorar, controlar), que ya fue mencionada y descrita anteriormente. Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 47 • Las actividades dentro de la ACT ocurren dentro de una función, proceso o lugar de trabajo individual. Los proyectos elaborados bajo el esquema Six Sigma son realmente multifuncionales. • La ACT se enfoca en una mejora con poca responsabilidad financiera; en este sentido, Six Sigma requiere de una recuperación de la inversión y un enfoque hacia la utilidad neta. Adicionalmente, Six Sigma aumentó la importancia de la estadística y el pensamiento estadístico como apoyo para la mejora en la calidad. La filosofía central de Six Sigma se basa en algunos conceptos clave a considerar: • Pensar en términos de los procesos del negocio que sean clave, y en los requisitos de los clientes con un claro enfoque hacia los objetivos estratégicos generales. • Apoyar las actividades en equipo, ayudar a superar la resistencia al cambio y obtener recursos. • Hacer uso de indicadores como una actividad primordial, como dpmo (defectos por cada millón de oportunidades), que se puede aplicar en todas las áreas de una organización, manufactura, ingeniería, administración, software, etc. • Asegurar que los indicadores o parámetros apropiados sean identificados en las primeras etapas del proceso y enfocados hacia los resultados del negocio. • Proporcionar capacitación intensiva seguida por el manejo de equipos de proyectos, con el fin de aumentar la productividad, reducir las actividades sin valor agregado, y lograr la reducción del tiempo del ciclo del proceso. • Crear expertos calificados en la mejora de procesos (cintas verdes, cintas negras y maestros cintas negras), que apliquen las herramientas de mejora y guíen a los equipos. • Establecer objetivos altos para lograr la mejora. Equipos de proyectos Six Sigma • Campeones. Son directivos que promueven y dirigen el uso de Six Sigma en un área importante del negocio. Entienden la filosofía y las herramientas para el uso de la metodología, seleccionan los proyectos, establecen los objetivos, asignan los recursos y dirigen a los equipos. Son los responsables de la terminación del proyecto y los resultados. Los campeones trabajan para eliminar las barreras (tanto Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 48 organizacionales, como financieras y personales) que podrían evitar la implementación exitosa de un proyecto Six Sigma. • Maestros cinta negra. Son los expertos de tiempo completo. Son responsables de la estrategia, capacitación, guía, manejo y resultados del proyecto. Están bien capacitados para utilizar las herramientas y los métodos Six Sigma, amén de proporcionar experiencia técnica avanzada. Trabajan en toda la organización para desarrollar y guiar a los equipos, dirigen la capacitación y guían el cambio, pero no necesariamente forman parte de algún equipo. • Cinta negra. Son expertos en Six Sigma, hasta con 160 horas de capacitación y entrenamiento. Llevan a cabo gran parte del análisis técnico que se requiere en los proyectos, son casi siempre de tiempo completo. Tienen un conocimiento avanzado de las herramientas y métodos DMAMC, y pueden aplicarlos de forma individual o como líderes de equipo. Requieren de capacidades adecuadas de liderazgo y comunicación, además de habilidades técnicas y conocimiento del proceso. A menudo, son identificados por la organización como los futuros líderes de negocio. • Cinta verde. Son los empleados funcionales que están capacitados en las herramientas y metodologías básicas de Six Sigma. Trabajan en los proyectos de tiempo parcial, ayudan a los cinta negra mientras desarrollan conocimientos y experiencia propios; por lo general, para ser considerado un cinta verde es requisito terminar con éxito un proyecto bajo el esquema Six Sigma. Los cinta verde exitosos casi siempre ascienden a cinta negra. • Miembros del equipo. Son todos aquellos involucrados de diversas áreas funcionales que apoyan en proyectos específicos durante la implementación. Resumiendo, el enfoque de Six Sigma está orientado hacia los resultados de la utilidad neta y al enfoque estadístico disciplinado que contempla la solución de problemas, la rápida terminación de los proyectos y la infraestructura organizacional. Esto y más lo convierte en una metodología muy poderosa que propicia la mejora en cualquier tipo de organización. 2.2.5. ITIL Unidad 2. Metodologías de gestión de TI UNADM | DCEIT | DS | DGTI 49 Las tecnologías de información TI se han conceptualizado como el punto donde converge la computación, las telecomunicaciones y las técnicas para el procesamiento de datos; donde sus principales componentes son la información, el equipamiento, el factor humano, la infraestructura, el software, así como los mecanismos de intercambio de información, las políticas y las regulaciones, además de los recursos financieros. Actualmente, las empresas tienden a una mayor dependencia de las TI. Sin embargo, los departamentos de sistemas de información y las actividades que en ellos se desarrollan han sido tradicionalmente vistos sólo como un área de soporte para el negocio, en donde se ha descuidado el uso de criterios racionales para medir la rentabilidad, la eficacia y la calidad del servicio ofrecidos a toda la organización; asimismo, la complejidad de los procesos en donde se ve involucrada la gestión de las tecnologías de información hizo crecer la demanda y necesidad de las entidades (tanto públicas como privadas) de disponer de un modelo que les permitiera gestionar su infraestructura de tecnologías de información (TI) más fácilmente, y que pudieran dar soporte
Compartir