Ing. Cynthia López Valerio; Msc. Mag
Universidad Latina, Heredia
Costa Rica cynthia.lopez@ulatina.cr
Se propone un modelo de 8 pilares para la gestión de las TIC´s, los cuales son 1. Planeación
Estratégica, 2. Alineación Estratégica, 3. Definición y Gestión de Proyectos, 4. Identificación y
Mapeo de Procesos, 5. Definición de Servicios, 6. Asignación de Recursos, 7. Seguridad de la Información (Riesgos y controles), 8. Continuidad del Negocio, basados en las mejores prácticas y establece los elementos de como las empresas pueden lograr ser competitivas en el mercado.
We propose the 8 pillars model for the management of TIC´S, which are 1. Strategic Planning, 2. Strategic Alignment, 3. Definition and Management of Projects, 4. Process Mapping and Identification, 5. Definition of Services, 6. Resources Assigment, 7. Information Security (Risks and Controls), 8. Business Continuity, all of them based on the reference frameworks and propuse the elements for the companies and establishes the elements of how companies can achieve to be competitive in the market.
La gestión de las Tecnologías surge como la necesidad de lograr una integración y una alineación de la parte estratégica de la organización con la parte técnica, donde impera el uso eficiente de los recursos, su medición y control. Además de identificar de una forma adecuada los servicios que emergen de estos, garantizando mediante un proceso de continuidad del negocio la disponibilidad y accesibilidad 24/7, todo con un enfoque de mejora continua. Las mejores prácticas sobre Tecnologías en el mundo han establecido por muchos años formas de cómo gestionar las TIC´s, sin embargo no han definido la forma operativa de cómo implementarlas, es por esta razón que muchas de las empresas no tienen documentación estandarizada o herramientas que les facilite su realización e implementación para lograr ventajas competitivas y mantener un enfoque de calidad y mejora continua.
El uso eficiente de las TIC´s puede traer grandes beneficios entre los que se destacan la creación de valor para la organización, la mejora de los servicios, la reducción de costos y su complemento en el incremento de las ganancias; entre otros, pero es preciso encontrar los elementos que combinados adecuadamente ofrezcan una guía metodológica y técnica de gestión eficiente de forma tal que se mantengan las ventajas como una constante, así como la organización de los recursos de Tecnología de una forma eficiente. Aunque los marcos de referencia comúnmente utilizados en la actualidad como COBIT 5, ITIL v3, ISO 27000, ISO 20000, ISO 9001 e ISO 22301; indican algunos de los elementos para considerar en los procesos de TI en las organizaciones; no especifican puntualmente como realizar una gestión adecuada de las Tecnologías, como darles seguimiento y como obtener los elementos adecuados y entremezclarlos entre sí para producir un marco de trabajo general que ofrezca las acciones concretas para su implementación.
La estrategia es el encuentro de un equilibrio entre lo que una organización “está haciendo” frente a lo que “podría hacer”. Pero las estrategias en Tecnologías de Información abarcan una gama más amplia, estas consideran los cambios por los cuales atraviesa una organización, tanto internos como externos; junto con las oportunidades potenciales disponibles, estas pueden incluir formas de usar la tecnología para ganar una ventaja competitiva, reducir costos, aumentar ingresos, entre otras.
Por otro lado, la planeación es un proceso mediante el cual se determina de dónde se viene, en qué situación se está, a dónde se quiere ir y cómo y cuándo se llegará allí. Para llevar a término cualquier actividad es importante, oportuno y necesario pensar bien antes lo que se va a hacer, esto es, planificar. Planificar será, por lo tanto, la manera de saber por qué y para qué se hace una actividad, predefiniendo de forma estructurada, y adaptable al mismo tiempo, las líneas básicas del qué.
Con la combinación de estrategia y planeación, se forma la Planeación estratégica, es crear un sistema flexible e integrado de objetivos y sus correspondientes estrategias que sirva como punto de referencia tanto para visualizar en qué grado se alcanzan los objetivos de corto plazo y cómo es el camino a los de medio y largo plazo, con coherencia entre el esfuerzo de las personas y el valor relativo de cada meta.
La planeación estratégica no está encaminada a eliminar riesgos (asumir riesgos es esencial para el progreso) sino en asegurar que éstos se detecten y una vez detectados, aceptar los que sean oportunos en el momento adecuado.
Así mismo orientan el desarrollo de la planeación con una serie de factores que obligan a planificar, entre ellos se tiene:
• Las expectativas de los consumidores cambian al ritmo del cambio exponencial en el conocimiento.
• La información, y especialmente la explosión del conocimiento y su correcta utilización, están creando organizaciones completamente distintas a las convencionales.
El planificar será una forma de reducir la inseguridad, de ejercer la autonomía, de responsabilizarse del propio futuro, y de aprovechar el riesgo del cambio como un factor de oportunidad para el desarrollo de las TIC´s en la organización.
¿Qué es un proceso?
Según Acuña, se define como proceso “el conjunto de actividades con una meta prefijada que toma insumos, les agrega valor usando recursos humanos, tecnológicos, materiales, de tiempo y financieros, para proveer un servicio o producto a un cliente interno o externo”. El enfoque a procesos en las organizaciones es el primer reto que debe asumir las TIC´s y así poder guiar a los servicios a ser más dinámicos y versátiles.
¿Qué es un Servicio?
Según Bon, “un servicio es un medio para entregar valor a los clientes, facilitando los resultados que los clientes quieren conseguir sin asumir costes o riesgos específicos”. Los servicios de TI se tienen que enmarcar en un contexto más amplio, para lo cual es necesario reconocer el Ciclo de Vida del Servicio y gestionar los servicios de TIC como segundo pilar fundamental en este creciente desarrollo.
¿Qué es la Mejora Continua?
Según Acuña, uno de los aspectos medulares para la mejora de procesos y servicios, es la medición, análisis y mejora: aquí se sitúan los requisitos para los procesos que recopilan información, la analizan, y que actúan en consecuencia.
El objetivo es mejorar continuamente la capacidad de la organización para suministrar productos que cumplan los requisitos.
En la parte de mejora se incorpora el Ciclo de Deming, acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Está estructurada en cuatro grandes bloques, completamente lógicos.
La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados y la medición de los indicadores a los interesados. La administración de calidad es esencial para garantizar que TI está dando valor al negocio, mejora continua y transparencia para los interesados.
Según la ISO 9001-2015, la mejora continua emplea el enfoque a procesos, que incorpora el ciclo Planificar-Hacer-Verificar-Actuar (PHVA).
El enfoque a procesos permite a una organización planificar sus procesos y sus interacciones. El ciclo PHVA permite a una organización asegurarse de que sus procesos cuenten con recursos y se gestionen adecuadamente, y que las oportunidades de mejora se determinen y se actúe en consecuencia.
El cumplimiento permanente de los requisitos y la consideración constante de las necesidades y expectativas futuras, representa un desafío para las organizaciones en un entorno cada vez más dinámico y complejo. Para lograr estos objetivos, la organización podría considerar necesario adoptar diversas formas de mejora además de la corrección y la mejora continua, tales como el cambio abrupto, la innovación y la reorganización.
Según la Asociación de Auditoría y Control de Sistemas de Información (ISACA), la seguridad de la información es una función de negocio. Como tal, es fundamental que los profesionales de la seguridad de la información en busca de progresar dentro de una empresa desarrollen habilidades de negocio sanas, además de las habilidades, conocimientos y destrezas funcionales que le faciliten a las TIC´s utilizar todo su potencial.
Según Asociación de Auditoría y Control de Sistemas de Información (ISACA), la gestión de riesgos de seguridad de la información es la segunda área de responsabilidad crítica de la gestión de seguridad de la información contenida en las áreas de práctica laboral. Esta área representa la totalidad del ciclo de gestión del riesgo en una empresa, desde la evaluación hasta la mitigación.
Según la Norma ISO 27002, la selección de los controles depende de las decisiones organizacionales basadas en los criterios para la aceptación del riesgo, las opciones para el tratamiento de riesgos y el acercamiento a la gestión general del riesgo aplicado a la organización, y debería también estar conforme a toda la legislación y regulaciones nacionales e internacionales relevantes. La selección de controles depende también de la manera en que interactúan los controles para proporcionar defensa en profundidad.
De acuerdo con la Norma ISO 22301, la administración de la continuidad de los procesos en la organización debe contener elementos clave los cuales tales como: a) Una política b) Personas con responsabilidades definidas; c) Gestión de los procesos relativos a:
1) Planeamiento
2) Implementación y operación,
3) Evaluación de desempeño
4) Análisis de la gestión
5) Mejoramiento
6) Documentación para evidencia auditable
7) Cualquier proceso del negocio pertinente
Antes de iniciar con el modelo se realiza un diagnóstico de la empresa para determinar los elementos que posee con respecto a los ocho pilares y su nivel de madurez inicial. Posterior a ello se inicia con las acciones concretas que ayudarán a cerrar la brecha definida.
La estructura del modelo contempla cuatro componentes importantes, para lograr ser más tener una ventaja competitiva en el mercado entre ellos tenemos:
Las guías técnicas-metodológicas las cuales son documentos que abordan cada pilar desde la perspectiva metodológica donde se establecen una seria de procesos, procedimientos, guías o instructivos que faciliten su implementación y que alineados con un nivel de madurez establecen acciones concretas de cómo lograr escalar y madurar en cada área. Hay una guía por cada pilar.
La estructura documental se establece para lograr la estandarización y el enfoque a procesos que se pretende. Es necesario definir cada pilar y las generalidades que este utiliza; herramientas, recursos, roles, entre otros. Las políticas son lineamientos de alto nivel que facilitan la toma de decisiones para una organización, y para que estos se logren incorporar a la operativa de la compañía es necesario la definición de Procesos los cuales facilitan la consecución de las actividades y la forma en que estas deben de operar para lograr transformar los insumos en servicios o productos finales para el cliente.
Los procedimientos establecen los métodos o formas de hacerlo realidad, y por su parte las guías o instructivos muestran la parte más técnica u operativa de realizar acciones puntuales. Por último los formularios es la herramienta por excelencia que le facilita al proceso la evidencia de sus actividades y ofrece una forma de dar trazabilidad a estos.
El Flujo del proceso automatizado muestra de una manera más visual y practica lo que realiza cada pilar, contemplando la documentación que se genera de este en cada etapa diagramado en una herramienta establecida.
El Acompañamiento es la forma en que los estudiantes logran demostrar lo aprendido y ayudan a las empresas en la implementación. Y para finalizar esta la Herramienta tecnológica la cual se define con un APP o aplicación para móviles donde las empresas luego de aplicar el diagnóstico pueden obtener el nivel de madurez donde se encuentran para luego iniciar con acciones concretas sobre su avance en el modelo.
Cuando se termina el proceso completo las empresas estarán en la posición de generar valor a través de sus servicios y lograr con ello una ventaja competitiva en el mercado referente a sus competidores.
El enfoque de mejora se logra partiendo de tres elementos fundamentales que cimientan la calidad. Entre ellos se tiene: 1. Control de calidad, el cual se logra con la verificación y validación de todos los elementos mediante el seguimiento y monitoreo constante. 2. Aseguramiento de la Calidad, con el establecimiento de puntos de control a partes intermedias de los procesos, garantizando que si se requiere corregir o mejorar alguna situación se realizará en el momento de la detección durante la ejecución de un proceso en particular. 3. Mejora Continua, se aplica el ciclo PDCA durante todo el desarrollo del modelo de modo que se planifique los aspectos a mejorar, se ejecuten, se verifiquen y por último se tomen acciones de mejora sobre esos resultados, esto se ve reflejado en las herramientas de mejora propuestas para cada uno de los ocho pilares.
Los ocho pilares se han definido sobre tres Perspectivas principales, la primera es la Gobernabilidad de TIC dentro del cual se sitúa los 3 primeros componentes a saber: Planeación Estratégica, Alineación de las TIC con el negocio y la Definición y Gestión de Proyectos. Como segunda perspectiva de importancia esta la Operativa de TIC donde se sitúa: la Identificación y Mapeo de Procesos, la Definición de Servicios por procesos y la asignación de Roles, Responsabilidades y Recursos. Y como tercera perspectiva Aseguramiento de TIC el cual contiene Seguridad de la Información (Riesgos y Controles) y Continuidad del Negocio.
A continuación se detallan los componentes y su respectiva estructura:
A. Planeación Estratégica
B. Alineación de las Tecnologías de Información y Comunicación (TIC), con el Negocio
C. Definición y Gestión de Proyectos
D. Identificación y Mapeo de Procesos
E. Definición de Servicios por procesos
F. Asignación de Roles, Responsabilidades y Recursos
G. Seguridad de la Información (Riesgos y Controles)
H. Continuidad del Negocio
Cada uno de estos componentes en conjunto con el modelo de madurez establecido para cada uno, es lo que indica las acciones puntuales para que las organizaciones logren determinar cómo se encuentran en la Gestión de las Tecnologías y cómo podrían escalar hacia la mejora de sus procesos y sus recursos. Logrando con ello obtener la eficacia y eficiencia de sus operaciones a través de sus servicios y productos finales.
ID |
Nivel 0 ( No existente ) |
Elemento |
Herramientas |
PYME PEQUENA |
PYME MEDIANA |
PYME GRANDE |
1 |
La organización no tiene
conocimiento de la
realización de algún proceso. |
Identificación y Mapeo de procesos |
Lluvia de ideas, Diagramas de
flujo |
|
X |
X |
2 |
La organización no tiene
interés en gestionar los procesos. |
|
|
X |
||
3 |
La organización realiza actividades diarias de manera independiente entre los departamentos y el personal. |
X |
X |
X |
Tabla 1. Nivel de Madurez 0, según tamaño de PYME
ID |
Nivel 1 (Inicial) |
Elemento |
Herramientas |
PYME PEQUENA |
PYME MEDIANA |
PYME GRANDE |
||
4 |
Existen procesos de TIC's en la organización |
Documentación de procesos |
Formulario de fichas de proceso, Sharepoint |
X |
X |
X |
|
|
5 |
Los procesos se encuentran clasificados en claves, estratégicos y
soporte |
|
X |
X |
|
|||
6 |
Tiene identificados los componentes de los procesos (entradas, actividades,
salidas, clientes, proveedores) |
X |
X |
X |
|
|||
7 |
Existe documentación de los procesos |
X |
X |
X |
|
|||
8 |
Se documentan las fichas de procesos |
|
X |
X |
|
|||
9 |
Existe un repositorio centralizado
de documentación de procesos |
|
|
X |
|
|||
Tabla 2. Nivel de Madurez 1, según tamaño de PYME
ID |
Nivel 2 (Gestionable) |
Elemento |
Herramientas |
PYME PEQUENA |
PYME MEDIANA |
PYME GRANDE |
|||
10 |
Los procesos se encuentran institucionalizados: Desarrollo de soluciones,
Seguridad, Infraestructura, Soporte |
Definición de Recursos, Roles y Responsabilidades |
Matriz de actividades y responsables, Plantilla de Indicadores,
Herramientas de flujos de trabajo |
X |
X |
X |
|
||
11 |
Las actividades de cada miembro de la organización están claras y delimitadas |
X |
X |
X |
|
||||
12 |
Los colaboradores de la organización conocen los procesos de la
compañía |
X |
X |
X |
|
||||
13 |
Existe trazabilidad de los procesos |
X |
X |
X |
|
||||
14 |
Existen indicadores de control de los procesos |
|
X |
X |
|
||||
15 |
Evaluar los resultados de los
indicadores para mejorar y afinar los procesos |
|
|
X |
|
||||
16 |
Existe alguna herramienta de manejo automatizado de control de flujos
de trabajo |
|
|
X |
|
||||
17 |
Se validan y comunican los resultados positivos / negativos de los
indicadores de control de procesos con los colaboradores de la organización |
|
|
X |
|
||||
Tabla 3. Nivel de Madurez 2, según
tamaño de PYME
ID |
Nivel 3 (Definido) |
Elemento |
Herramientas |
PYME PEQUENA |
PYME MEDIANA |
PYME GRANDE |
||
18 |
Los procesos están bien
caracterizados y entendidos, se describen en las normas, procedimientos,
herramientas y métodos. |
Seguimiento y Control de procesos |
Formulario de guías de
excepción de procesos, Formulario de ficha de proceso |
X |
X |
X |
|
|
19 |
Se estandarizan los procesos a nivel de la
organización. |
|
X |
X |
|
|||
20 |
Existen las
guías de adaptación para los casos de excepción a los procesos
estándar. |
|
|
X |
|
|||
21 |
Se realiza un análisis cualitativo del rendimiento
de los procesos |
|
|
X |
|
|||
22 |
Existe una descripción más detallada y rigurosa de
los procesos. |
|
|
X |
|
|||
Tabla 4. Nivel de Madurez 3, según
tamaño de PYME
ID |
Nivel 4 (Gestionado cuantitarivamente) |
Elemento |
Herramientas |
PYME PEQUENA |
PYME MEDIANA |
PYME GRANDE |
|
23 |
Se establecen objetivos cuantitativos de calidad y rendimiento de procesos. |
Trazabilidad |
Plantilla de reporte de indicadores, formulario de encuesta de satisfacción
del cliente |
X |
X |
X |
|
24 |
Los objetivos
cuantitativos se basan en la necesidad de los clientes. |
X |
X |
X |
|||
25 |
Se realizan evaluaciones de los rendimientos de los procesos. |
|
X |
X |
|||
26 |
Se realizan predicciones del rendimiento de los procesos para el
logro de los objetivos de la organización. |
|
|
X |
|||
Tabla 5. Nivel de Madurez 4, según tamaño de PYME
ID |
Nivel 4 (Gestionado cuantitarivamente) |
Elemento |
Herramientas |
PYME PEQUENA |
PYME MEDIANA |
PYME GRANDE |
||
27 |
Se realizan ajustes a los procesos para mejorar el rendimiento
organizativo. |
Análisis y Mejora de procesos |
Círculos de calidad, Análisis Modal de Fallos y Efectos |
X |
X |
X |
|
|
28 |
Los objetivos de calidad y rendimiento de los procesos se actualizan
para reflejar los cambios en el negocio |
|
X |
X |
|
|||
29 |
Implementación de herramientas tecnológicas para la automatización y mejora de los
procesos a nivel de la organización |
|
|
X |
|
|||
Tabla 6. Nivel de Madurez 5, según tamaño de PYME
El éxito en la Gestión de las TIC´s va a depender de cuáles son los objetivos de negocio, que varían en cada empresa e institución. El modelo de los 8 pilares ofrece una guía contundente a las empresas que desarrollan servicios en el campo de las Tecnologías, con elementos básicos a considerar cuando se gestiona, esto significa que si la empresa carece de estos elementos se pueda decir que se debe alinear con ellos en primera instancia para luego enfocarse en un proceso de madurez en el manejo de sus Tecnologías.
La mejora continua es una de las herramientas para garantizar que una organización planifica, revisa y toma acciones concretas para ser más competitiva de cara al avance tecnológico dentro de un mundo cambiante que evoluciona todos los días.
REFERENCIAS
Acuña, Jorge, Mejoramiento de la Calidad, un enfoque a los servicios . Cartago: Editorial Tecnológica de Costa Rica
Bon, J. voon., Guía de Gestión, Estrategia del Servicio basado en ITIL V3 . Holanda : Van Haren Publishing (VHP).
Instituto de Normas Técnicas Costa Rica, Norma ISO 27001.Tecnología de la información —Técnicas de seguridad —Sistema de Gestión de Seguridad de la Información . San José. 2014.
Norma ISO 22301. Instituto de Normas Técnicas Costa Rica, 2015.
ISO 9001-2015. Traducción oficial español. Ginebra, Suiza. 2015.
Leonard D. Goodstein, Timothy M. Nolan, J.William Pfeiffer. Planeación Estratégica Aplicada . Santa Fe, Bogota: Mc Graw Hill Interamericana . 1998.
Cynthia López Valerio y Joel Mora Monge. Guía de mejores prácticas para crear un plan estratégico en tecnologías de información y comunicaciones en el sector público de Costa Rica. 2006. Instituto Tecnológico de Costa Rica.
[15] López Cynthia. (2016), Definition of the main pillars for managemente of Information and Communication Technologies with a focus on continuous improvement. CLEI 2016, 35th International conference of the Chilean Computer Science Society (SCCC2016).
Primer Autor Ing. Cynthia López Valerio; Msc. Mag
Maestría en Administración de Tecnologías de Información (MATI), con énfasis en Proyectos, 2010.
Maestría Científica en Telecomunicaciones y Redes. Mención honorífica Magna Cum Laude. Instituto Tecnológico de CR, 2003.
Administración de servidores y redes, 2001-2005.
Coordinadora Área Control de la Gestión 2006-2014.
Profesional de la Gestión Informática 2006 a la fecha.
Profesora en Maestría de Administración de TIC´s, 2013 a la actualidad
Profesora Investigadora Universidad Latina CR, 2017
López, Cynthia. Premisas para introducir un Sistema de Gestión de la Calidad en las TIC´s, Revista Intercambio Universidad Latina, Edición 39. 2013. 8 2.
López Cynthia, El uso de Normas Técnicas que apoyan las tecnologías de Información. Revista Intercambio Universidad Latina, 2014.
López Cynthia, La utilización de mejores prácticas en las Tecnologías de la Información a favor de la industria. 2015.
López Cynthia, Definition of the main pillars for the management of Information and
Communication Technologies with a focus on continuous improvement. 35th International Conference of the Chilean Computer Science Society (SCCC 2016) held in conjuntion with the 42th Latin American Computing Conference (CLEI 2016). 10-14 October, Valparaíso- Chile.