Revista de la Escuela profesional de Ingeniería de Sistemas FIIS UNI
Revista N°01 AÑO 1 Otoño 2008
Editorial
Informe Especial
Red Latinoamericana
Gestión de
conocimiento
Gestión de TI

Noticias


Certamenes

Concurso

Anuncios


Comité Editorial


Directora:
Dra. Gloria Teresita Huamaní Huamaní

Miembro:
Dr. Glen Rodríguez

Colaboradores:
Wilmer Segura
Edward Calderón

 

 

 

Gestión de TI
en la Gestión de TI del sector estatal
Dr. Glen D. Rodríguez R., Dr.Eng.

La gestión de TI está en el cruce de la tecnología con la administración, y entran a tallar tanto los objetivos estratégicos, los procesos, el factor humano, las finanzas como el hardware y el software. Uno de los primeros usos metódicos de la gestión de TI fue la administración de portafolio de proyecto de TI, donde cada proyecto se evaluaba como una inversión con costos, retornos proyectados, marco de tiempo, etc. Actualmente el énfasis está en la conceptualización de la función de TI en una empresa como la función de proveer un conjunto de servicios con un nivel adecuado y a un costo bajo. El servicio puede ser prestado a clientes internos o externos a la organización.

En las últimas décadas ha habido un creciente interés por establecer parámetros de medición de la gestión de TI y por establecer formalmente las mejores prácticas de gestión de TI, desde el punto de vista técnico pero especialmente desde el punto de vista de la alta dirección (del negocio).

Entre los estándares de métricas y evaluación tenemos al ISO 15408 Common Criteria – Evaluation Criteria for Information Technology Security, el ISO18045 Security techniques - Methodology for IT security evaluation, y en cierto sentido CMMI (Capability Maturity Model Integration) y el IT BSC, que es una adaptación del Balanced Scorecard al área de TI y esta siendo usado por consultoras como Gartner y Forester [3].

Entre los frameworks de procesos orientados a las buenas prácticas tenemos a la Information Technology Infrastructure Library (ITIL) [11], el enhanced Telecom Operations Map (eTOM) [12], el Microsoft Operations Framework [10] y diversas normas ISO, como la ISO 20000 que es un estándar para gestión de servicios de TI y que esta influenciado por ITIL [8,9].

ITIL, por ejemplo, nació hace 30 años cuando gente del gobierno británico se preguntó donde encontrar las mejores prácticas para administrar bien TI sin gastar mucho dinero. Ahora se ha difundido por empresas como Procter & Gamble, Microsoft, HP y muchos gobiernos [2]. Microsoft propuso el MOF orientado a la gestión de TI en empresas usuarias de sus productos. La aceptación de estos frameworks ha sido bastante buena, y su desarrollo se sigue produciendo, como lo atestigua el hecho que el 2007 salió la 3ra. revisión del ITIL. Por supuesto, debe aclararse que ni ITIL ni eTOM ni MOF son panaceas o se ocupan de todos los aspectos de TI, pero si de los más representativos.

Un framework más amplio aún es COBIT [7], que abarca las métricas, los procesos y las mejores prácticas. COBIT es bastante usada por las empresas de sujetas al acta de “gobernancia corporativa” Sarbanes-Oxley de los EE.UU. debido a que proporciona métodos para lograr la “gobernancia de TI”. En nuestro país ya hay instituciones miembros de ISACA, la asociación profesional creadora de COBIT.

La razón que explica esta tendencia se puede deducir de la hipótesis que Carr menciona en su famoso articulo “IT doesn’t matter”: quienes más rentabilidad sacan de TI no son los innovadores sino los seguidores eficientes [1]. Por lo tanto, en TI conviene gestionar “a lo seguro” con las “formulas probadas por la experiencia”, lo que lleva a estandarizar servicios, niveles aceptables, etc. al nivel que otros demostraron que es posible llegar. Es decir, gran parte de la TI va hacia una fuerte estandarización empujada por las realidades empresariales.

Aparte de incontables leyes relativas a los sistemas de información y al manejo de los datos del Estado [4], el Estado peruano desde hace algunos años ha adoptado normas ISO orientadas a la gestión de TI y las ha convertido en Normas Técnicas peruanas (NTP), entre las que tenemos las siguientes directamente relacionadas a TI:

• NTP-ISO/IEC 12207:2006 Procesos del ciclo de vida del software
• NTP-ISO/IEC 17799:2007 Código de buenas prácticas para la gestión de la seguridad de la información

Y algunas relacionadas indirectamente a TI, debido a la relación de servicios de TI y calidad de servicios en general:

• NTP-ISO 9000:2001 Sistema de gestión de la calidad. Fundamentos y vocabularios
• NTP-ISO 9001:2001 Sistemas de Gestión de Calidad. Requisitos

La NTP 12207 es un estándar para los procesos de ciclo de vida del software. Incluye definiciones de conceptos, tareas y resultados relacionadas a la producción y mantenimiento de software. Tiene por objeto que una empresa pueda comprar y/o vender software, servicios de desarrollo y de mantenimiento sin dar lugar a confusiones con la otra parte. Además ayuda definiendo las responsabilidades de cada proceso cuando más de un vendedor está involucrado [5].

La NTP 17799 define un conjunto de buenas prácticas para mantener la seguridad de la información, no solo de la información almacenada en sistemas computacionales, también de la información en papel, en cintas, etc. Se ocupa desde el aspecto macro de las políticas de seguridad o la política en caso de incidentes de violación de seguridad hasta detalles más puntuales como seguridad de las comunicaciones o del ambiente físico [6].

Sin embargo, por testimonios recibidos privadamente, parece ser que la implementación de la NTP 12207 y la NTP 17799 están bastante retrasadas a pesar que son de obligatorio cumplimiento por las gerencias de TI del sector estatal peruano, sobre todo comparados a bancos del sector privado que no tienen obligación formal de usar estas normas.

Puestos a analizar esta situación, tenemos varias posibles causas, que no son mudamente excluyentes:

1. Falta de premios y/o castigos a las áreas de TI del sector estatal.
2. Desconocimiento o poco conocimiento de las normas.
3. Falta de personal (por capacidad o por dinero) que pueda encargarse de implementar las normas.
4. Relativa falta de buenos consultores disponibles en el mercado.
5. Las normas dicen “cuál debe ser la situación ideal”, pero muchas veces dejan de lado el “cómo llego a la situación ideal”.
6. Falta de herramientas de apoyo, especialmente software de apoyo a la implementación y la mejora de seguridad y gestión de contratos o “service level agreements”.

Respecto al punto 1, la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) es la encargada de supervisar el cumplimiento, pero hasta el 2007 no se habían reglamentado castigos penalidades por el no cumplimiento. Las áreas 4 y 5 por ejemplo son un campo abierto para investigación en Gestión de TI y se desarrollaran más en el futuro cercano. En la parte de seguridad, la 17799 no es siquiera certificable por que no define “niveles mínimos” de cumplimiento de la norma; en su lugar se usa el ISO 27001 que si es certificable e incorpora aspectos del “cómo implementar” inspirados en el cículo de Demming (planificar, hacer, verificar, actuar). Los otros puntos tiene más relación con la capacitación y difusión necesarias, que han sido difíciles por los recursos limitados asignados a ONGEI (por lo menos hasta el 2006) y la incorporación algo tardía de estos estándares en los contenidos de los postgrados en el país.

En el futuro cabe esperar que más normas ISO se incorporen con normas técnicas peruanas. Posiblemente el ISO 20000 o los varios ISO relacionados a la seguridad de la información. Además estos estándares cada vez tienen una mayor difusión en muchos programas de postgrado en nuestro país. Por ello se puede aventurar la predicción que el interés en las normas y frameworks de gestión de TI seguirá creciendo.

Referencias

[1] Carr, N.G., "IT Doesn't Matter", Harvard Business Review, Mayo 2003, pg. 5-12
[2] Greiner, L. "ITIL: the international repository of IT wisdom". netWorker Vol.11-4, pag.9-11, Dic. 2007
[3] Hu, Q., Huang, C., "Using the Balanced Scorecard to achieve sustained IT-Business alignment: A case study", Communications of the Association for Information Systems, Vol. 17, pag. 181-204, 2006, url: http://itom.fau.edu/qhu/document/hu-huang-cais-2006.pdf
[4] INEI, "Compendio de Normatividad sobre el uso de Tecnologías de Información en el Perú", url: http://www.ongei.gob.pe/publica/metodologias/5125.pdf
[5] Indecopi, "NTP ISO/IEC 12207", url: www.bvindecopi.gob.pe/normas/isoiec12207.pdf
[6] Indecopi, "NTP ISO/IEC 17799", url: www.bvindecopi.gob.pe/normas/isoiec17799.pdf
[7] ISACA, “COBIT”, url: www.isaca.org/cobit
[8] ISO, "ISO/IEC 20000-1:2005", url: http://www.iso.org/iso/catalogue_detail?csnumber=41332
[9] ISO, "ISO/IEC 20000-2:2005", url: http://www.iso.org/iso/catalogue_detail?csnumber=41333
[10] Microsoft, "Microsoft Operations Framework (MOF)", url: http://www.microsoft.com/technet/solutionaccelerators/cits/mo/mof/default.mspx
[11] Office of Government Commerce and IT Service Management Forum, "IT Infrastructure Library", url: http://www.itil.co.uk
[12] TeleManagement Forum, "Enhanced Telecom Operations Map", url: http://www.tmforum.org

(*) glen.Rodríguez@gmail.com. Egresado de la Universidad Nacional de Ingeniería. Docente e investigador.

   
Facultad de Ingeniería Industrial y de Sistemas

Universidad Nacional de Ingenieria