Sólo hay que mirar un poco hacia atrás para ver como el marketing alrededor del sector propugnó lo novedoso de los servicios Web (WS) hace unos años. Al poco tiempo casi quedaron eclipsados por las arquitecturas orientadas a servicios (SOA), más recientemente por el software como servicio (SaaS), la computación en la nube (cloud computing), etc. Ninguno de estos conceptos es exactamente lo mismo que los otros, ni se substituyen en entre sí tecnológicamente hablando, se trata más bien de evoluciones naturales, … Sin embargo la maquinaria del mercado acaba generando momentum, o hype como gusta a la prensa americana, alrededor de cada nueva sigla (tenga un nuevo concepto asociado detrás o no).

Por otra parte, esta dinámica inflacionista, provoca cierta apetencia por adoptar términos provenientes de otros sectores. Dichos términos tienen un contenido real y original en su sector de origen, pero no siempre lo acaban teniendo al traerlos al contexto TIC, por lo menos no como para crear productos, servicios, cursos, etc. O al menos así lo vemos.

Uno de los términos que ha aparecido en el espectro recientemente es el término Lean, aplicado en diversas formas como Lean IT, Lean IT Service Management, etc. El término proviene del Lean Manufacturing o Lean Production, como filosofía genérica de gestión de procesos, términos acuñados anos después de que Toyota idease una forma de producción eficaz y eficiente, eliminado lo superfluo de sus procesos.

Por supuesto, todo ello puede aplicarse a la implementación de servicios TI, a su gestión, al desarrollo de software, a la gestión de proyectos, etc. sobre todo debido a dos factores:

1. De un tiempo a esta parte es cada vez más frecuente pensar en TI en base a procesos, sobre todo desde la irrupción en masa de frameworks de buenas prácticas, normas y estándares de gestión, e.g. CMMI, ITIL, COBIT, ISO 20000, ISO 27000, etc.
2. Estamos en plena crisis económica.

Dicho simplemente: hay mucho escepticismo sobre la aplicabilidad práctica y el éxito de todos esos frameworks que resultan muy complejos a los no iniciados (los clientes), y debido a la crisis económica todo lo que suene a reducir, simplificar, … ahorrar, es más que bienvenido (por los clientes).

Así pues, lo Lean se ha convertido en un poderoso argumento de marketing (otra vez) para que algunos vendan “nuevos” productos de gestión y “nuevos” servicios de consultoría, re-etiquetados pero que, muy probablemente, no son sustancialmente diferentes a lo que ya se venía ofreciendo.

¿O es que alguien prestaba servicios de adaptación de procesos a ITIL, por ejemplo, y lo hacía siguiendo al pie de la letra lo que ponía el manual correspondiente, sin entrar a comprender el negocio del cliente, su cultura organizativa, etc., y consecuentemente eliminado del modelo todo aquello que no aplicaba, no encajaba, etc.?

¿No será simplemente que el pragmatismo y el sentido común ahora tienen una etiqueta? ¿Una etiqueta más vendible?

Son suficientes preguntas para la reflexión, pero para ayudar en ella, ahí van un par de citas:

“Todo lo que hemos aprendido en la era industrial se ha orientado a crear más y más complicaciones. Pienso que ahora cada vez más gente está entendiendo que lo mejor es simplificar, no complicar. La simplicidad es la máxima sofisticación.“
John Sculley, Ex CEO de Apple y ex Vicepresidente de Pepsi.

Y del libro “The power of simplicity“:
“… la vida profesional es mucho más sencilla de lo que muchos creen. Lo que pasa es que hay demasiada gente dedicada a complicarla…“
Y más adelante da una receta simple y compleja a la vez para sobreponerse a la situación. A saber:
“… simplificar lo complejo y, sobretodo, no complicar lo simple“.
Jack Trout, Presidente de Trout & Partners.

Lo dicho, no hace falta tanto marketing, tanta fachada, para proporcionar valores que deberían ser consustanciales a la propia consultoría: el pragmatismo y el sentido común, para aplicar lo esencial, lo que aplica, lo que tiene valor y nada más.

Sin embargo, aún hoy existe cierta confusión al respecto de lo que significa “Gestión de la Continuidad de Negocio”. Y es que hemos podido constatar cómo a menudo ésta se relaciona directa, incluso exclusivamente, con los planes de continuidad TI. Es evidente que las TI son fundamentales para la continuidad del negocio de muchas organizaciones, sin embargo no lo son en todos los casos, ni la garantía de su continuidad, por sí misma, garantiza siempre la del negocio. La continuidad de éste tiene mucho más que ver con la gestión de la información, el conocimiento, las relaciones, etc.

Pero volvamos a lo esencial, y es que la interrupción de las TI en una organización puede representar un gran riesgo para ésta, pudiendo afectar gravemente a las operaciones, socavar su reputación pública, etc. Así pues, y dadas sus peculiaridades, es preciso disponer de procesos de Gestión de la Continuidad TI (GCTI) que den soporte específico a la GCN, asegurándose de que las infraestructuras y los servicios TI son robustos ante las amenazas y, cuando menos, en caso de interrupción pueden recuperarse en un marco temporal de acuerdo a las necesidades del negocio. Justamente éste es el propósito de la, recién publicada, norma BS 25777:2008. Esto es, proporcionar recomendaciones al respecto de la gestión de la continuidad TI, allí donde la norma BS 25999-1 no proporcionaba el detalle suficiente, dado su enfoque primordial en el negocio.

El origen de esta nueva norma se sitúa en 2006 cuando el British Standards Institution (BSI) publicó, en colaboración con diversas empresas del sector TI, un documento denominado PAS 77, como código de buenas prácticas para crear un plan de continuidad de servicios de TI. Originalmente se pensó en desarrollar el estándar BS 25777 a partir de PAS 77 en dos partes entre 2008 y 2009. Por una parte, BS 25777-1, como código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. Por otra parte, BS 25777-2, que especificaría los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI, además de permitir auditar y certificar los sistemas de gestión de las organizaciones. La norma publicada el 31 de diciembre de 2008 corresponde a la primera parte, pero, a la vista de la numeración con la que se ha publicado y lo que se comenta en el sector, es posible que la segunda parte no llegue nunca, dando por bueno lo que al respecto ya especifica la norma BS 25999-2.

Así pues, habrá que ver cómo evoluciona esta nueva norma, qué grado de acogida tiene por sí misma, o si sólo la veremos en el contexto de la implementación de su hermana mayor la BS 25999. Por otra parte, será interesante ver hasta qué punto encaja con las buenas práctica recogidas en el proceso de Gestión de la Continuidad del Servicio TI de ITIL o con los objetivos de control de la ISO 27001 al respecto de la Gestión de la Continuidad de Negocio, por ejemplo.

En este post vamos a revisar la segunda perspectiva. Así pues, una posible manera que el CIO tiene para abordar el citado alineamiento es reflexionar al respecto de cómo la organización percibe al área de SI/TI. Algunas visiones típicas incluyen las siguientes:

• SI/TI es un agujero negro en el que se va una buena parte del gasto de la empresa.
• SI/TI es un área muy estructurada, incluso burocratizada, con la que es complicado entenderse y obtener lo que se les requiere.
• SI/TI es el área encargada de los ordenadores, las aplicaciones y que ejecuta proyectos. 
• SI/TI proporciona asistencia a los usuarios. 
• SI/TI es el área encargada de proporcionar servicios de tecnología e información para el soporte de los procesos de negocio del resto de las áreas de la organización.

Sin duda, esta última perspectiva es la más atractiva y beneficiosa para la organización, pero también lo es para el CIO y el área de SI/TI en general. Es más, el alineamiento con esta perspectiva dotará al área de SI/TI de más peso en la organización, de mayor presupuesto, etc. Por el contrario, las otras perspectivas son parciales y revelan una falta de enfoque común, lo que dificultará que el CIO pueda establecer un diálogo en el nivel apropiado con la dirección de la organización y, por ende, con los usuarios (sus clientes).

Así pues, si SI/TI adquiere la consideración de “conjunto de servicios al negocio”, el gasto en SI/TI tendrá una correspondencia con las funciones de negocio en las que la organización prefiera invertir, tornándose a su vez en una inversión. Cuando el área de SI/TI se alinea en torno a estos servicios, las aplicaciones redundantes, la superposición de proyectos, etc. se hacen más evidentes y las desviaciones pueden corregirse antes. Con ello se supera el clásico enfrentamiento SI/TI-negocio transformándose en una discusión de mayor nivel de madurez alrededor de los niveles de servicio, la optimización de costes, etc. 

Un elemento que puede facilitar este alineamiento es la construcción de un catálogo de servicios como fuente de información única y precisa para los usuarios sobre los servicios proporcionados, incluyendo los niveles de servicio que pueden esperarse. Cada servicio al negocio irá acompañado por la infraestructura y los servicios de SI/TI necesarios para su funcionamiento, así como los costes asociados, las capacidades requeridas, etc. Adicionalmente, esto debería complementarse (entre otras) con la figura del gestor del servicio, sobre el que recaerá la responsabilidad de garantizar que los SI/TI permitan satisfacer las expectativas de los usuarios para cada servicio de negocio concreto. 

Obviamente, este tipo de planteamientos suena bien, pero de todos es sabido lo complicado que puede ser llevarlos a la práctica, especialmente porque en muchas organizaciones, el área de SI/TI está demasiado centrada en la tecnología y no lo suficientemente en el negocio que debe sustentar. La aparición de ITIL puede ayudar en este sentido, pero a menudo su adopción se centra en la estabilización de los procesos de soporte al servicio, algo que siempre da quebraderos de cabeza al CIO por la presión que supone sobre el personal. En cambio, se suele reparar menos atención en la construcción del catálogo para dichos servicios, o en si los servicios son realmente los que el negocio precisa, o si están demasiado dirigidos por el aspecto tecnológico de los mismos, etc.

A este respecto en ITIL v2 el concepto de catálogo de servicios ya está presente como parte de las responsabilidades del proceso de gestión de niveles de servicio. Pero es en ITIL v3 donde se proporciona una perspectiva más amplia en este ámbito, incorporando además el concepto de cartera de servicios como núcleo central de la fase de estrategia del servicio, acompañado de los procesos de gestión de demanda de servicios y la gestión financiera. En este nuevo paradigma, el ciclo de vida de los servicios se inicia bajo el amparo de la perspectiva del negocio, es decir, de las demandas de servicios de SI/TI que éste tiene. Y el servicio se concibe teniendo en cuenta los recursos necesarios para ponerlo en práctica, los costes, el ROI, etc.

A la vista de lo anterior, queda claro que los servicios son para el negocio y que cualquier intento de presentarlos desde un punto de vista técnico no será bien recibido por la organización. Por el contrario, si el trabajo en la fase de estrategia (y posterior diseño) del servicio se hace correctamente, implicando a los diversos actores interesados de la organización y no sólo al área de SI/TI, los servicios que acaben formando parte del catálogo estarán mucho más alineados con el negocio en todos los sentidos.

Así pues, el CIO, como responsable del área de SI/TI, tiene en la elaboración de la cartera y el catálogo de servicios un arma muy valiosa para acercar el área de SI/TI tanto como sea posible al negocio, mejorar así su posicionamiento en la organización y, en última instancia, perseguir el tan manido alineamiento estratégico.

Hace varios años que la SOX traspasó fronteras y hoy existen ya versiones de la misma normativa fuera de EEUU: existe la J-SOX (desde mediados del 2006) con el mismo propósito para Japón y la EuroSOX para la comunidad europea. Esta última cubre las directivas europeas de Auditoría Estatuaria y Representación de Informes de la Compañía.

La dirección de TI ocupa un importante papel a la hora de ayudar en el cumplimento de la SOX. Mediante el uso de mecanismos de control y gestión tales como los que proporcionan Committee of Sponsoring Organizations of the Treadway Commission (COSO),  Control Objectives for Information and related Technology (CoBIT) e Information Technology Infrastructure Library (ITIL) es posible implementar controles, identificar flujos, responsabilidades, …, que ayuden a monitorizar y mejorar dichos procesos de trabajo.

Dada la coyuntura actual, con una crisis financiera mundial y los numerosos casos de fraude como el de Bernard Madoff, que están apareciendo recientemente, es hora de reflexionar sobre qué está fallando. Lo que sí parece claro, es que disponer de estándares de control no és lo único necesario para garantizar el buen hacer de las empresas y el cumplimiento de las Leyes.

Esta popularidad, a veces impulsada desde la Administración, a veces desde las consultoras, a veces desde la prensa especializada, … está llevando a muchas organizaciones a plantearse la reorganización de su función de TI y a emprender un proceso de mejora de la gestión de los servicios TI que ofrecen internamente y/o a sus clientes. Si bien esto es muy loable, no hay que caer en la trampa de los “cantos de sirena” de las siglas, las certificaciones, las herramientas y muchos otros elementos que envuelven este ámbito de la consultoría.

ITIL, como conjunto de buenas prácticas, no es una metodología guiada que permita a una organización seguir un plan paso a paso que le lleve a la excelencia en la operación de sus procesos internos de TI. Tampoco se trata de un conjunto de herramientas que por sí mismas solventen los problemas de una gestión de TI deficiente. Por el contrario, ITIL recoge las “mejores prácticas” que han funcionado en diversos contextos a nivel internacional, pone orden en ellas, las sintetiza extrayendo los principios fundamentales y las facilita en forma de marco de referencia. A partir de aquí, en qué medida y de qué manera cada organización abrace ITIL, es una cuestión que depende de muchas variables.

Los beneficios de ITILizarse, si se admite el término, son numerosos y ampliamente aceptados. Sin embargo, también hay “peligros” que pueden desembocar en efectos contraproducentes para la organización si no se entiende bien que en el proceso debe prestarse especial importancia a aspectos como el compromiso de la Dirección, la concienciación global de la organización, el cambio cultural, etc.

Estos aspectos están bien recogidos en la literatura ITIL y vale la pena tenerlos en cuenta para no llevarse una sorpresa posteriormente. Sirva como muestra lo que se dice en el libro “Fundamentos de la Gestión de Servicios de TI. Basada en ITIL V3″ de itSMF: 

• La introducción de ITIL en la organización puede llevar más tiempo y exigir un esfuerzo considerable, así como un cambio de cultura en la organización; un exceso de ambición puede dar lugar a frustración al ver que nunca se alcanzan los objetivos.
• La calidad del servicio se puede resentir si las estructuras de procesos se convierten en un objetivo en sí mismas; en este caso, los procedimientos innecesarios o excesivamente complejos se consideran obstáculos burocráticos que hay que evitar en la medida de lo posible.
• Los servicios de TI no mejorarán si no se tiene una idea clara de qué tienen que hacer los procesos, cuáles son los mejores indicadores de rendimiento y cómo se pueden controlar los procesos.
• Las mejoras en la provisión de servicios y las reducciones de costes no serán apreciables si no existen datos de referencia y/o no se establecen los objetivos correctos.
• El éxito de la implementación requiere la participación y el compromiso del personal a todos los niveles de la organización; encargar el desarrollo de las estructuras de procesos a un departamento especializado puede hacer que dicho departamento se sienta aislado y avance en una dirección distinta de la que desean otros departamentos.
• Si la inversión realizada en formación y herramientas de soporte es insuficiente, no se sacará partido a los procesos y el servicio no mejorará; es posible que a corto plazo se necesiten más recursos y personal si la organización tiene un exceso de actividades rutinarias de Gestión de Servicios TI en las que no siga “Mejores Prácticas”.

Se nos ocurren algunos otros argumentos, pero los ya expresados son más que suficientes como para dejar clara la necesidad de ser muy prudente a la hora de abordar proyectos de este calado y, sobre todo, marcarse objetivos realistas. Ni que decir tiene que si el objetivo es además conseguir la certificación ISO/IEC 20000, los argumentos del primer punto de la lista anterior toman una especial relevancia si cabe.

ITIL (Information Technology Infrastructure Library)  es un marco de trabajo de las mejores prácticas destinadas a facilitar la prestación de servicios de tecnologías de la información (TI) con calidad y eficiencia. Estos procedimientos son independientes del proveedor y han sido desarrollados como guía que abarque toda infraestructura, desarrollo y operaciones de TI. 

ITIL fue desarrollado en los años 1980 por la Central Computer and Telecommunications Agency (CCTA) del gobierno británico, hoy integrada en la Office of Government Commerce (OGC), como respuesta a la creciente dependencia de las tecnologías de la información y al reconocimiento de que sin prácticas estándar, los contratos de las agencias estatales y del sector privado creaban independientemente sus propias prácticas de gestión de TI y duplicaban esfuerzos, lo que resultaba en errores comunes y mayores costes.

Los estándares de calificación ITIL son gestionados por la ITIL Certification Management Board (ICMB) que agrupa a la OGC, a itSMF International y a los dos Institutos Examinadores existentes: EXIN e ISEB.

Si bien la definición de los procesos de gestión de SI/TI se ha afrontado desde diferentes ángulos (COBIT, ISO 20000, ITIL, ISO 27001, …) se tiene la sensación generalizada de que es necesario algo más, en concreto, la función de Gobierno de TI. En este sentido, el IT Governance Global Status Report—2008 deja muy claro que el área de SI/TI todavía está lejos de poder constituirse en un departamento sólido respecto a otras funciones estructurales de toda organización. El estudio es una continuación a las encuestas del 2003 y el 2005 y da continuidad a las tendencias en TI en los cuatro últimos años.

A continuación resumimos algunos de los resultados extraídos:

• El 93% de los encuestados dijeron que las TI son de algo a muy importantes dentro de la estrategia corporativa, lo que representa un incremento del 6% respecto al 2005.
• Las TI están siempre presentes en la agenda del consejo directivo, de acuerdo a la opinión del 32% de los encuestados, en comparación con el 25% en el 2005.
• El 18% de los encuestados dijeron que el departamento de TI siempre informa a la empresa acerca de oportunidades potenciales de negocio, siendo sólo el 14% en el 2005.
• El conocimiento de la existencia del marco de trabajo de COBIT (Control de Objetivos de Información y Tecnología Relacionada) para el gobierno de las TI ya sobrepasa el 50%, lo que casi duplica el resultado de 2005.
• El uso de COBIT se ha pasado del 8% en 2005 al 16% actualmente.
• Como área de mejora preferente aparece el alineamiento estratégico. El 36% de los encuestados indicó que el alineamiento entre la estrategia de TI y la corporativa es mala o muy mala.

Estos resultados corresponden a encuestas realizadas a distintos perfiles (695 en 2005 y 749 en 2007) en empresas de diversos tamaños en todo el mundo (aproximadamente el 55% entre EEUU y Europa, a partes iguales), por lo que tiene una relevancia global. Si bien se aprecia una tendencia hacia el incremento en el nivel de madurez de àrea de TI en las organizaciones, también queda claro que aún hay mucho que mejorar.

ITIL (Information Technology Infrastructure Library)  es un marco de trabajo de las mejores prácticas destinadas a facilitar la prestación de servicios de tecnologías de la información (TI) con calidad y eficiencia. Estos procedimientos son independientes del proveedor y han sido desarrollados como guía que abarque toda infraestructura, desarrollo y operaciones de TI. 

ITIL fue desarrollado en los años 1980 por la Central Computer and Telecommunications Agency (CCTA) del gobierno británico, hoy integrada en la Office of Government Commerce (OGC), como respuesta a la creciente dependencia de las tecnologías de la información y al reconocimiento de que sin prácticas estándar, los contratos de las agencias estatales y del sector privado creaban independientemente sus propias prácticas de gestión de TI y duplicaban esfuerzos, lo que resultaba en errores comunes y mayores costes.

Los estándares de calificación ITIL son gestionados por la ITIL Certification Management Board (ICMB) que agrupa a la OGC, a itSMF International y a los dos Institutos Examinadores existentes: EXIN e ISEB.

Nadie discute el papel estratégico de la tecnología dentro de las organizaciones tanto en la mejora de la productividad interna como en la propia generación de valor para el cliente. Sin embargo, la gestión de la misma dentro de las organizaciones ha estado siempre impregnada de la problemática del día a día, lo que la dotaba de un aura de artesanía y de gestión de lo excepcional (incidencias, incidentes de seguridad, …) que la hacía poco estructurada y predecible.

Como ya hemos comentado otras veces, existen hoy día herramientas de gestión suficientes y contrastadas a nivel internacional capaces de gestionar adecuadamente las TIC dentro de las organizaciones, de establecer canales formales de comunicación con la Dirección, de predecir los resultados y estructurar las actividades de los departamentos de Sistemas y Tecnologías de la Información. En este sentido, estándares como ITIL o COBIT son de gran utilidad a la hora de organizar los procesos internos y tener en cuenta múltiples aspectos de la gestión que a menudo se descuidan.

La sesión empezó con un intento de clase magistral (“IT-Governance: estrategia, gestión y medida”) a cargo de Antoni Bosch, Director del Institute of Audit & IT-Governance (IAITG) y anterior presidente de ISACA-Barcelona. Digo “intento” porque al tratar de vincular entre sí diversos modelos formales de estrategia, gestión y control, el tema se hizo muy denso (ya lo es por sí solo) para el tipo de audiencia y el poco tiempo disponible.

Afortunadamente para la mayoría presente, le siguió Antonio Valle, Editor de GobiernoTIC.es, que en su ponencia “De la estrategia a la práctica: modelos de gestión” llevó las cosas a un mundo más terrenal y práctico, intentado clarificar conceptos esenciales, como la diferencia entre “gobierno” y “gestión”, o la confusión en la que se mueve el sector a la hora de definir qué es IT-Governance y cómo algunos proveedores aprovechan este hecho para vender.

Seguidamente, Miguel González Simancas, de Telefónica Soluciones, explicó la experiencia de esta división de Telefónica en la implantación de la norma UNE-ISO/IEC 20.000, que como sabemos es lo más cercano a ITIL desde el punto de vista de las certificaciones ISO. Sólo 5 compañías en España disponen actualmente de esta certificación, y Telefónica, como pionera, la está implantando progresivamente en todas las áreas de su organización.

Finalmente, y de manera muy breve, Lluis Vera, Socio Director de TB-Security, presentó un caso práctico de aplicación de los postulados de IT-Governance en la gestión de servicios de seguridad.

El acto, al que asistieron unas 50 personas,  transcurrió en un ambiente muy ameno y cercano, gracias a la valía de los ponentes. En primer lugar, Didac López realizó la introducción, presentando la revista y el trabajo realizado por todo el equipo de edición y colaboradores. Seguidamente, Antonio Valle (Gobierno TIC) realizó una presentación brillante y motivadora sobre estado del arte en el Gobierno de las TIC. Aleix Palau continuó con un estudio sobre el estado del Gobierno de las TIC en España. Y finalizó el acto una presentación de Tomás Roy (CTTI), que aportó el punto de vista de un usuario en una gran entidad, la Generalitat de Catalunya.

La monografía trata sobre la necesidad de una correcta alineación de las políticas y decisiones tomadas en la empresa en materia de Tecnologías de la Información con su estrategia de negocio. A esta disciplina se le llama “Gobierno de las TI(C)”, del inglés IT Governance. A ella se le suelen asociar métodos, herramientas y marcos de trabajo que se han puesto de moda en tiempos recientes (ITIL, Cobit, etc.) y que, como argumentan algunos de los artículos de la monografía, corresponden más bien al ámbito del control de la gestión informática y de la auditoría antes que a las propias políticas de desarrollo e implantación de las TI. La polémica sobre qué es cada “cosa” y a quien corresponde está servida y hay un par de artículos que tratan en profundidad sobre ello.