Administrar una infraestructura compleja de hardware, software y herramientas de gestión con la inserción de metodologías como ITIL, Cobit, CMMI, ISO 17799 y Six Sigma, son exigencias complejas de presentar y explicar a equipos gerenciales y directorios, grupos ejecutivos que buscan disminuir el riesgo operacional como mantra corporativo. Afortunadamente, son cada vez más las empresas conscientes de esta problemática que se deciden a adoptar procedimientos basados en enfoques con las mejores prácticas, normalizados de forma oficial por diversas organizaciones en marcos de actuación de impecabilidad para la gestión TI. Las alternativas incluyen ITIL (IT Infrastructure Library), Six Sigma, Cobit (Control Objectives for Information and Related Technology), CMMI (Capability Maturity Model Integration) e ISO 17799.
ITIL/BS15000
Diseñado en Gran Bretaña, pretende estandarizar las mejores prácticas para la dirección y gestión de servicios TI, con una metodología desarrollada a finales de los 80’ por la actual Office of Government & Commerce. Este modelo de gestión está basado en un mamotreto de dos volúmenes, en el que se aportan indicaciones para enfrentar procesos recurrentes en las TI corporativas, como son la gestión de cambios, respuesta ante incidentes y configuración de la red. Existen muchos componentes en el modelo ITIL. El soporte al servicio (Service Support) incluye gestión de incidentes, de problemas, de cambios y de configuración, entre otros. La entrega de servicios (Service Delivery) abarca la gestión de la disponibilidad, capacidad, continuidad de servicio, financiera y de nivel de servicio. Cada componente lleva asociado prácticas y procedimientos recomendados que pueden ser adoptados individual o globalmente. El factor riesgo encuentra en la práctica ITIL apoyo en la mitigación y manejo de crisis.
Sus seguidores apuestan a que la introducción de ITIL para la imple-mentación y gestión de tecnología, ahorra tiempo y dinero; los costos operacionales disminuyen un 6%; mientras que las necesidades de personal especializado en TI también lo hacen. Asimismo, bajan las llamadas al servicio help desk en un 10%, pero su gran fortaleza es alinear la estrategia de negocios con las TI habilitantes, en forma nítida y eficaz.
Cobit
Fue desarrollada en 1996 por las entidades americanas, Information Systems Audit and Control Associa-tion y la IT Governance Institute, como un estándar que vincula la tecnología informática y prácticas de resguardo para la seguridad y el control en los procedimientos TI. Cobit articula sus prácticas en torno a tres ejes: procesos TI, recursos TI y criterios de información, conformando un cubo de gestión global y ofreciendo un marco para usuarios, auditores y responsables de seguridad. Debido a la creciente regulación de cuestiones como la protección de datos personales o la pri-vacidad de la información, en su tercera versión este método está ganando aceptación como guía de prácticas para controlar datos, sistemas y riesgos relacionados. Los in-dicadores de gestión (Management Guidelines) de Cobit miden las capacidades de una empresa en 34 pro-cesos TI diferentes; incluyen elementos para la evaluación del rendimiento; un listado de factores críticos para el éxito (FCE en el enfoque de Porter), que proporcionan las mejores prácticas para cada proceso TI; y modelos de madurez que ayudan en tareas de medición con benchmarking.
Su principal valor es su capacidad para guiar a las empresas en los procesos necesarios para implemen-tar el control que sobre su información exigen Sarbanes Oxley (SOX), la supervisión basada en riesgos, Basilea II, entre otras regulaciones vigentes. Si una compañía afirma haber asegurado la entrada a su data center utilizando un proceso de registros y contraseñas, usando Cobit podrá extraer un informe completo de los accesos que se hayan producido durante un determinado período de tiempo. Además, aporta un valor al data center por sí mismo, dado que incrementa el nivel de control sobre los procesos, resultando especialmente valioso en cualquier ambiente donde la confidencialidad y privacidad son críticas.
Enfoque Six Sigma
Aunque en un principio se consideraron como métodos excluyentes, muchas empresas están encontrando en ITIL y Six Sigma los mayores beneficios en la adopción de ambos modelos conjuntamente, de manera heterodoxa. ITIL proporciona una estructura claramente definida para la distribución y soporte de servicios basados en TI, mientras que Six Sigma es un proceso de gestión de calidad que se basa en mediciones estadísticas usadas para mejorar la calidad, reduciendo los costos ope-racionales dentro de SLAs nítidos.
Six Sigma fue diseñado por Motoro-la en la década de los 90’. Sin embargo, el concepto fue utilizado antes por un ingeniero de esa compañía y su práctica data del siglo XIX. Está muy orientada a la optimización económica y ha sido aplicada en gran medida fuera del ámbito de la gestión TI para mejorar los procesos operacionales en diferentes áreas de los negocios. Es un esfuerzo de evaluación de los procesos críticos del negocio, midiendo la calidad de los servicios para éstos de manera estadística. La compañía que se enfoque en todos sus procesos para optimizarlos y medir resultados, estará distrayéndose de sus objetivos de negocio. Los conceptos Six Sigma implican, en primer lugar, la identificación de aquellos procesos más importantes para el éxito del negocio, los que serán entonces medidos y monitoreados, constituyéndose en el objeto de aplicación de la metodología; el resultado será la mejora de los procesos. Six Sigma calza muy bien en ambientes donde se requiere administrar los SLAs, que es el proceso de definir y gestionar la entrega de servicios TI con un estándar de calidad predefinido contractualmen-te, generando un conjunto de indi-cadores que miden tangiblemente el servicio y satisfacción del cliente, aspectos críticos de Six Sigma.
CMMI
Nació como un marco de aplicación más específica que los modelos anteriores, aunque también ha evolucionado hasta hacerse aplicable a los diferentes procesos de negocios. Publicado en 1991 por el Software Engineering Institute de la Universidad Carnegie Mellon, CMMI se constituyó rápidamente en una guía para la mejora de los procesos de desarrollo de software, ingeniería e I+D. Su objetivo original era incrementar la calidad de productos y ser-vicios, aumentar la eficiencia del desarrollo y reducir los riesgos asociados a los procesos característicos de esta actividad. Contempla cinco niveles para medir la madurez de los procesos que se deseen valorar, cada uno de los cuales ofrece un compendio de mejores prácticas para que la empresa mejore el proceso en cuestión y suba progresivamente su lugar en la clasificación. Es aplicable a la medición de la madurez de los procesos TI y constituye una herramienta especialmente útil para identificar qué debe ser mejorado.
ISO 17999
Desarrollado por la International Organization for Standardization en el año 2000, es un estándar de seguridad que es la base de las recomendaciones ITIL en cuanto a gestión de ésta. ISO 17799 está organizado en torno a grandes áreas: planificación de continuidad de negocio, control de acceso al sistema, mantenimiento y desarrollo de los sistemas, seguridad física, conformidad, seguridad personal, organización de la seguridad, gestión de operaciones y de la base informática, control y clasificación de activos, y políticas de seguridad. Este estándar puede ayudar a establecer las prácticas más recomendables para garantizar que las operaciones de negocio continuarán funcionando en caso de caída de sistemas o cualquier otra incidencia que pueda provocar alguna interrupción de los servicios. Asimismo, normaliza el control de acceso a los datos, sistemas y redes, y aporta métodos para proteger la confiden-cialidad e integridad de información, prevenir accesos no autorizados a las instalaciones de la empresa y cumplir con las regulaciones vigentes.
Todas las metodologías mencionadas son generalmente aceptadas como las prácticas más recomendables en la gestión TI. A la hora de elegir alguna o una combinación de ellas, es central que cada compañía determine previamente cuál es el objetivo que persigue mediante la adopción de una guía de este tipo.
Septiembre de 2006
