Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Libro Informática
Libro Informática
LA INFORMACIN
Y GESTIN DE PROYECTOS
Tecnologas de la Informacin
y Gestin de Proyectos
Reservados todos los derechos. Prohibida la reproduccin no autorizada por cualquier medio,
mecnico o electrnico del contenido total o parcial de esta publicacin.
A quienes trabajan mientras suean.
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
Prefacio
Nos complace presentar este primer volumen de publicaciones de las investigaciones realizadas
por profesores y estudiantes de ULACIT de la carrera de Ingeniera Informtica, en las que se
abordan aspectos interesantes de la tecnologa de informacin y la gestin informtica. Estos
artculos representan el resultado de un esfuerzo sostenido de la Facultad de Tecnologas de
Informacin por construir una estructura permanente de investigacin, que haga escuela para la
formacin de investigadores dentro de nuestra Facultad docente y la comunidad de estudiantes
de bachillerato, licenciatura y maestra en Ingeniera Informtica.
Se responde as al desafo formidable que enfrentan las universidades privadas para realizar in-
vestigacin cientfica en ingeniera, ciencias naturales o ciencias sociales, por la escasez de recur-
sos humanos y materiales, dado su alto costo en esfuerzo, tiempo y calidad. Para los especialistas,
es reconocida la gran dificultad que existe en estas instituciones para articular investigadores
experimentados y docentes en un programa de investigacin que arranca desde cero, con el
propsito de ser permanente y riguroso en su contenido.
Las publicaciones que se presentan en este primer volumen buscan hallar el camino para esta-
blecer un pequeo universo de lneas de investigacin que puedan consolidarse y profundizarse
en el tiempo, y que nos permitan concentrar recursos y esfuerzos para ganar en profundidad y
rigor cientfico. Los factores claves para crear en tan poco tiempo la estructura de investigacin
de acadmicos, estudiantes y recursos tecnolgicos y financieros, han sido: el compromiso de
los profesores investigadores que conforman el equipo de investigacin, la seriedad con que los
estudiantes han abordado sus labores de investigacin y el compromiso de las autoridades de la
Universidad para apoyar este esfuerzo.
El objetivo es formar a los profesores y estudiantes de la carrera de Ingeniera Informtica con las
competencias requeridas para efectuar investigacin cientfica en este campo, que propicie la
produccin de publicaciones que incrementen su desarrollo acadmico y proyecten a la Univer-
sidad en respuesta a las necesidades de talento de la economa costarricense. En este momento,
el sector industrial tecnolgico del pas (en diseo, manufactura y servicios tecnolgicos), com-
puesto por empresas trasnacionales y nacionales de base tecnolgica, emplea a ms de 50.000
ingenieros, de los cuales ms de 4.000 laboran a tiempo completo en equipos de investigacin
que buscan mejorar las cadenas de valor, optimizar los procesos que la componen as como en
innovar productos y servicios.
Hasta ahora, las empresas han encontrado el talento que requieren para hacer que sus procesos
7
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
se expandan en el pas, pero estn enfrentando escasez de ingenieros con formacin en inves-
tigacin en ingeniera. De igual forma, las empresas le estn haciendo frente a la falta de lderes
de equipos de investigacin y administradores de investigacin, por lo que han manifestado que
necesitan apoyo acadmico e institucional para el desarrollo de estas capacidades y habilidades
en el personal que requieren contratar. Hemos observado que la demanda de ingenieros com-
petentes para participar en equipos de investigacin de ingeniera est en aumento desde hace
cinco aos, aproximadamente. Es un requerimiento emergente, que no est siendo atendido por
la academia en la medida necesaria para apoyar el desarrollo de un sector industrial tecnolgico,
ms all de la manufactura, que ha encontrado en el talento costarricense el capital humano para
establecerse y expandirse.
8
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
Comit Evaluador
El comit evaluador de los trabajos presentados estuvo constituido por los siguientes profesores:
9
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
ndice general
10
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
ynunezs664@ulacit.ed.cr
agonzalez@ulacit.ac.cr*
http://www.ulacit.ac.cr
Resumen La tercerizacin permite que las empresas reduzcan costos, optimicen el uso de sus
recursos, brinden mayor valor agregado en la entrega de servicios y se concentren en alcanzar
los objetivos estratgicos del negocio. Sin embargo, el desconocimiento de cules elementos
es necesario considerar en la planificacin de los procesos de tercerizacin ha contribuido al
fracaso de un gran nmero de proyectos de desarrollo de software. Entre los elementos que
por lo general se omiten se encuentran aspectos de aseguramiento de la calidad tanto del pro-
ducto como del proceso, la falta de participacin activa de los clientes y usuarios finales durante
todas las etapas del proceso y la falta de seguimiento y comunicacin con el proveedor. Como
consecuencia, el objetivo de este trabajo de investigacin es proponer una metodologa para
la gestin de la relacin entre clientes y proveedores durante los procesos de tercerizacin del
desarrollo de sistemas. Por lo que se realiza una sntesis de los procesos y mejores prcticas que
deben contemplarse en la gestin de terceros con el fin de facilitar los procesos de tercerizacin,
mejorar los resultados que se obtienen y contribuir con la generacin de valor agregado tanto
para el cliente como para el proveedor. Como resultado, este trabajo presenta una metodologa
que contempla 7 fases, las cuales a su vez comprenden entradas, tareas y salidas que son utiliza-
das por las fases subsiguientes.
1. Introduccin
La evolucin en los negocios ha propiciado mayor competencia en todos los mbitos de los
mercados de bienes y servicios, por lo que las organizaciones buscan utilizar mejor sus recursos
econmicos y humanos para brindar valor agregado a sus clientes, a la vez que se concentran en
alcanzar los objetivos estratgicos del negocio. Con ese fin utilizan como alternativa la terceriza-
cin1 de servicios, la cual consiste en la contratacin de un proveedor para que ejecute algunas
funciones especficas que, por lo general, no son parte de las actividades centrales de la empresa.
Aunque se considera que los beneficios de la tercerizacin son numerosos, se han logrado iden-
tificar inconvenientes que se presentan durante su implementacin, debido a una deficiente
1 La tercerizacin es conocida en ingls como outsourcing.
De acuerdo con algunos estudios, alrededor de un 30% de las empresas cancelan sus contratos
de tercerizacin de forma prematura; entre el 20 y 25% fracasan durante los primeros dos aos
del contrato y el 50% fracasa en los primeros cinco aos de vigencia (Grossi y Calvo-Manzano,
2012). Cabe resaltar que los casos de mayor incertidumbre e inconvenientes se presentan en
los procesos de tercerizacin de software, debido a la complejidad y naturaleza de los tipos de
proyectos.
Los problemas que se asocian con la tercerizacin del desarrollo de software se presentan por el
desconocimiento de los factores que se deben contemplar durante la etapa de planificacin para
adquirir productos de software. Esto tiene como consecuencia que el producto final no respon-
da a las necesidades o no se ajuste a los requerimientos definidos por el cliente (Erazo-Paruma,
Guerrero-Mera y Correa-Pino, 2014).
Este tipo de inconvenientes suelen presentarse cuando la empresa contratante no realiza de for-
ma adecuada las siguientes tareas:
Como consecuencia, se han preparado diversos documentos e investigaciones que detallan las
mejores prcticas para mitigar estos problemas y apoyar el proceso de tercerizacin. Sin embar-
go, la informacin se encuentra dispersa en diversas fuentes, y no existe una presentacin visual e
integral del proceso para facilitar la planificacin de la calidad y gestin de la comunicacin para
guiar de forma apropiada a los gerentes y directores de proyectos.
El proceso de tercerizacin requiere el cumplimiento de ciertas pautas y pasos para disminuir los
riesgos durante el desarrollo de los productos, a la vez que se aumenta la posibilidad de xito y
maximizan los beneficios econmicos. Por tanto, los objetivos de este trabajo de investigacin
consisten en identificar el flujo del proceso de administracin de la relacin con terceros y propo-
ner una metodologa para sintetizar algunas de las mejores prcticas e investigaciones realizadas
sobre el tema.
Con ese fin, este trabajo de investigacin lleva a cabo una revisin de bibliografa (seccin 2) para de-
sarrollar una metodologa con las mejores prcticas para la gestin de proyectos de software en pro-
cesos de tercerizacin (seccin 3) y, finalmente, presenta las conclusiones y trabajos futuros (seccin 4).
Las actividades de alto nivel de un proceso de tercerizacin contempla la identificacin del tipo
de proyecto que se quiere llevar a cabo, pero de forma concreta y detallada tambin toma en
cuenta qu es lo que se va a desarrollar, cmo se va a llevar a cabo y quines estarn involucrados
durante su desarrollo. Con base en esto, es relevante considerar los siguientes puntos (Selleo,
2016) cuando se desea iniciar un proceso de tercerizacin:
Cules tareas o proyectos se van a tercerizar? Debe existir claridad sobre las tareas o proyec-
tos que se desea tercerizar y la naturaleza de estos.
Qu se requiere hacer? La respuesta a esta pregunta tiene por fin definir de forma precisa qu
es lo que se requiere hacer y cules son sus requerimientos.
Cmo cmo se llevarn a cabo las tareas o el proyecto? Por su parte la respuesta a esta
pregunta involucra no solo la metodologa por utilizar sino tambin la estructura del equipo de
trabajo que va a participar en su desarrollo.
Quin estarn involucrados? Es importante conocer quines sern los usuarios del sistema, los
gerentes o ejecutivos que apoyarn el desarrollo y quines estarn participando en el proyecto,
tanto en la etapa de definicin de requerimientos como de seguimiento y aceptacin.
En lnea con lo anterior, un modelo para la administracin del proceso de tercerizacin pue-
de contemplar (Erazo-Paruma et al., 2014) los siguientes pasos:
Seleccin del proveedor: en esta etapa se lleva a cabo la seleccin del proveedor que
mejor se ajusta al desarrollo del sistema y el cumplimiento de los requerimientos.
Contratar: es la etapa durante la cual se establecen de manera formal los acuerdos nego-
ciados con el proveedor, y se formaliza la relacin entre el cliente y el proveedor que incluye
la celebracin del contrato.
Monitoreo: tiene como fin dar seguimiento al progreso de los proveedores en el cumpli-
miento de las metas, y efecta una revisin del avance del proveedor de acuerdo con los
costos y plazos acordados. Esto se lleva a cabo de acuerdo con los niveles del acuerdo de
servicios. Uno de los fines de esta etapa es medir el desempeo del proveedor mediante
curvas de eficiencia. stas curvas consisten en establecer por cada acuerdo de servicio dos
lneas. La primera lnea se relaciona con los objetivos que se busca lograr y la segunda lnea
refleja los resultados del rendimiento del proveedor y sirve para determinar las brechas en
el proceso de implementacin mediante dos ejes de evaluacin (tiempo y nivel de acuerdo
de servicio), los cuales son evaluados en funcin de la cantidad de fases que se desean eva-
luar. para tomar acciones correctivas en caso de incumplimiento (Franceschini et al., 2003).
Aceptacin: durante esta etapa se lleva a cabo la evaluacin del producto, aplicando las
pruebas y criterios de aceptacin establecidos.
Cierre: es la etapa encargada de verificar que todos los entregables del producto han sido
aceptados de forma satisfactoria.
Seguimiento: en esta ultima etapa se realiza el monitoreo del desempeo del sistema y de
los tiempos de respuesta del proveedor.
En general, las tareas y pasos que contempla el proceso de tercerizacin se pueden agrupar en 5
grandes fases: preparacin, seleccin del proveedor, transicin, administracin de las relaciones
y reconsideracin (Perunovic y Pedersen, 2007). En estas fases se describen actividades que res-
ponden a una o varias preguntas claves para el desarrollo de cada una de las fases.
La planificacin para la tercerizacin debe ser integral y debe definir el tipo de relacin que se
desea tener con la empresa proveedora. Esta relacin es influenciada por la importancia de la ac-
tividad y los riesgos de realizar la tercerizacin, lo cual se puede representar mediante una matriz
segn el tipo de relacin: colaboracin competitiva, colaboracin cercana, muchos suplidores o
suministros seguros (McIvor, 2005).
Debido a la aceptacin de la tercerizacin como un mtodo eficaz para apoyar a los negocios,
varias organizaciones internacionales han desarrollado pautas y recomendaciones, entre las cua-
les se encuentran estrategias para identificar los procesos que se pueden tercerizar, establecer
aspectos de coordinacin entre los procesos del cliente y el proveedor, determinar roles y res-
ponsabilidades, el tipo de informacin que se debe comunicar y factores para la gobernanza del
proceso (CabinetOffice, 2011). En la misma direccin, tambin se busca asegurar quelos con-
tratos estn alineados con las necesidades del negocio, administrar el rendimiento, negociar y
formalizar los contratos y mantener polticas para la gestin del ciclo de vida del proyecto (Cabi-
netOffice, 2011).
Entonces, tomando como base las mejores prcticas de PMI y los problemas que se presentan
durante la gestin de terceros en los procesos de desarrollo de software, es importante resaltar
los siguientes puntos:
Gestin del alcance: se deben incluir las caractersticas y funciones que requieren los usua-
rios mediante la adecuada definicin de requerimientos.
Gestin de las comunicaciones: este tipo de gestin es necesaria para propiciar una co-
municacin eficaz entre quienes participan en el proyecto, tanto del lado cliente como
proveedor, por los diferentes niveles de experiencia, perspectivas e intereses que pueden
influir y tener impacto en los resultados de los proyectos.
Gestin de los interesados: incluye procesos para identificar a las personas, grupos u or-
ganizaciones que pueden afectar o ser afectados por el proyecto.
Es preciso analizar aspectos relacionados como las expectativas de los interesados y lograr
su participacin en las decisiones y ejecucin de proyectos.
Sin embargo, la calidad es un proceso que se construye desde que inicia un proyecto de sof-
tware, y no es un elemento que pueda ser agregado de forma posterior, durante el proceso o
mediante una evaluacin final. La calidad del proceso de desarrollo garantiza la calidad del pro-
ducto y como consecuencia no se pueden desvincular (Mendoza et al., 2005). Por consiguiente,
el aseguramiento de la calidad se debe realizar durante todo el proceso, con la finalidad de que
se puedan corregir de inmediato las disconformidades (CENDITEL, Fundacin, 2013).
Con base en los conceptos discutidos hasta este punto, y la recopilacin de normas e investiga-
ciones con respecto a las evaluaciones de calidad Mendoza et al. (Mendoza et al., 2005) propo-
nen un marco de evaluacin dividido en los siguientes niveles:
Nivel 0: este nivel contempla el valor ms alto en la jerarqua y se corresponde con los as-
pectos externos e internos tanto del proceso como del producto.
Nivel 2: este nivel relaciona las caractersticas de cada unas de las categoras que definen
las reas claves para satisfacer, lograr, asegurar y controlar la calidad tanto del producto
como del proceso.
Nivel 3: en este otro nivel se asocian las mtricas utilizadas para medir cuantitativamente
cada una de las caractersticas que fueron definidas con el fin de determinar si la calidad
planificada es satisfactoria o no.
La estimacin adecuada de la calidad realiza clculos tanto para estimar la calidad del software
como producto como del proceso, y contribuye a identificar las caractersticas que no han sido
satisfechas por el sistema desarrollado (Mendoza, Prez, Grimn y Rojas, 2002). Este proceso se
divide en tres fases, en donde la primera fase se corresponde con la evaluacin del proceso de
desarrollo, la segunda fase con la valoracin del sistema y la tercera fase con la integracin de los
resultados que combinan ambas etapas.
De acuerdo con el anlisis realizado, varios trabajos de investigacin sugieren diferentes fases
para el proceso de tercerizacin. Sin embargo, los trabajos estudiados no contemplan aspectos
relacionados con la gestin de las comunicaciones, la gestin de los interesados y el asegura-
miento de calidad, los cuales son aspectos que deben estar presentes en la definicin de una
metodologa para gestionar la relacin con terceros durante los procesos de tercerizacin.
Como consecuencia, la metodologa que se propone en la siguiente seccin sintetiza las fases
fundamentales que se deben tomar en cuenta en los procesos de tercerizacin y tiene presentes
aspectos para mejorar la comunicacin, la participacin activa de las partes y la calidad del pro-
ducto final.
1. Inicio.
2. Planificacin.
3. Seleccin y contratacin del proveedor.
4. Ejecucin.
5. Administracin de la relacin con el proveedor.
6. Aceptacin y cierre.
7. Reconsideracin.
La relacin entre las fases mencionadas con los procesos aseguramiento de la calidad, adminis-
tracin de la relacin y gestin de la comunicacin se puede observar en la figura 1, adems de
los vnculos que existen entre estos.
La gestin de la comunicacin se debe desarrollar durante casi todas las fases de la tercerizacin
(con excepcin de las fases Inicio y Planificacin), e incluye la administracin de la relacin y el
aseguramiento de la calidad. El objetivo de este proceso es garantizar una mejor comunicacin
entre el cliente y el proveedor por medio de herramientas, mtodos y tcnicas que faciliten el
intercambio de informacin desde las etapas iniciales del desarrollo del sistema.
Por su parte, la administracin de la relacin busca mejorar la relacin entre el proveedor, usuarios
e interesados para garantizar la comprensin de necesidades, efectuar el seguimiento del avance
del proyecto mediante evaluaciones durante el desarrollo y durante la entrega del producto. En
cuanto al aseguramiento de la calidad, esta debe estar presente desde el inicio de la ejecucin o
desarrollo del sistema, y juega un papel preponderante en la fase de aceptacin y cierre.
Figura 1. Relacin entre las fases y procesos para la gestin de terceros durante el desarrollo de software
En las siguientes secciones se explican con detalle las fases contempladas en la figura 1.
3.1. Inicio
Esta fase verifica la necesidad de desarrollar un sistema por medio de la tercerizacin, y si dicha
verificacin es positiva, justificar su desarrollo, obtener el apoyo interno, y formalizar el inicio del
proceso de contratacin con el apoyo de los ejecutivos y directores. Algunas de las tareas que es
necesario contemplar en esta fase son las siguientes:
Anlisis, desarrollo interno o externo?: se debe realizar la evaluacin objetiva del pro-
blema que se requiere resolver, para verificar si es posible efectuar el desarrollo de forma
interna o si se requiere apoyo externo. Existen factores que pueden influir (Project Manage-
ment Institute, 2013) en esta decisin:
Valor proporcionado por los proveedores: consiste en analizar la capacidad del provee-
dor en el cumplimiento de las expectativas del proyecto, las posibilidades de que ayude a
generar valor y contribuya a satisfacer las necesidades del cliente.
Riesgos asociados al desarrollo del proyecto: realiza una evaluacin para identificar los
riesgos que conlleva efectuar el desarrollo del sistema a lo interno de la empresa. Si los
riesgos identificados son significativos, tienen alta probabilidad de concretarse y pueden
ocasionar perjuicios graves, es conveniente considerar la tercerizacin del desarrollo para
delegar la responsabilidad en una organizacin experimentada que pueda asegurar el xito
y lograr una rentabilidad efectiva con el desarrollo del proyecto.
Individualizacin de los proyectos a tercerizar: esta tarea tiene por fin comparar la efi-
ciencia de las actividades o procesos que realiza la organizacin, usando como base posi-
bles prdidas de dinero, gastos excesivos o ausencia de habilidades para el desarrollo del
sistema, con el objetivo de identificar los proyectos que se pueden tercerizar.
3.2. Planificacin
Esta fase corresponde a la definicin de los aspectos que se deben tomar en cuenta para con-
trolar la ejecucin del proyecto y obtener el producto deseado, por lo que se debe efectuar la
definicin adecuada del alcance, los requerimientos, los elementos de calidad que se deben eva-
luar, el recurso humano necesario, las formas de comunicacin con el proveedor, la definicin de
criterios de seleccin de proveedor, el tipo de contrato a utilizar y el contenido presupuestario.
Definicin del alcance: brinda el panorama de alto nivel de los requerimientos del sistema,
por lo que es necesario detallar (Selleo, 2016):
El propsito del nuevo sistema, as como el problema (objetivo o necesidad) que busca
resolver y su definicin para alcanzar el xito.
Existen circunstancias en las cuales segn el tipo de sistema, no se tiene claridad para de-
finir el alcance al inicio de la planificacin. En estos escenarios, es conveniente abordarlo
y completarlo en las etapas claves, por ejemplo, en las iteraciones o aceptaciones de los
entregables. De forma adicional, se debe tomar en cuenta la seleccin del tipo de contrato
para estos escenarios, a fin de no afectar los costos o el producto final.
Realizacin del presupuesto: para identificar la inversin que se debe efectuar para el
desarrollo del software.
Planificacin: esta tarea consiste en determinar cul o cules estndares se desean incluir
en el proceso de desarrollo, definir los objetivos de calidad, estimar los costos y definir el
cronograma para realizar las actividades de revisin de la calidad del software.
Con base en lo anterior, se recomienda seleccionar las categoras de calidad (Mendoza et al.,
2002) que se desea evaluar:
Funcionalidad: la capacidad de cumplir con los requerimientos o necesidades para las cua-
les el sistema fue desarrollado.
Eficiencia:
consiste en el rendimiento apropiado en escenarios con demandas de trabajo y
respuesta diferentes.
Mantenibilidad: es la capacidad que posee el sistema para ser modificado, de acuerdo con
las necesidades de la empresa.
Tipo de informacin que debe ser comunicada, incluidos el idioma, formato, contenido y
nivel de detalle.
Plazos
y frecuencia para la distribucin de la informacin y recepcin de las confirmaciones
o respuestas.
Diagramasdel flujo que sigue la informacin del proyecto, flujos de trabajo con la posible
secuencia de autorizaciones, lista de informes y planes de reuniones.
Restricciones
en materia de comunicacin que se derivan de la legislacin o normativa, la
tecnologa o las polticas de la organizacin.
Definicin del tipo de contrato por utilizar: La definicin del tipo de contrato a utilizar
se debe basar en el tipo de producto y proyecto (Project Management Institute, 2013), y
podra ser alguno de los siguientes:
Contratos de precio fijo: este tipo de contrato establece un precio final que es fijo y es
adecuado cuando la especificacin de requerimientos es precisa, aunque por lo general
establecen que si se realiza un cambio posterior se dar un aumento en los costos.
Contratos de costos reembolsables: se realizan los pagos por los costos incurridos duran-
te el desarrollo del sistema, ms los honorarios del proveedor. Este tipo de contratos ofrece
flexibilidad para reorientar al proveedor si el alcance del trabajo no se puede definir con
precisin al inicio y requiere modificaciones.
Establecimiento de los criterios de seleccin del proveedor: esta tarea realiza la identi-
ficacin de los criterios bsicos con lo cuales sern evaluados y seleccionados los provee-
dores. Algunos criterios (Grossi y Calvo-Manzano, 2012) que pueden ser considerados son:
el precio, la calidad, tiempo de entrega, flexibilidad, capacidad tcnica, riesgo, reputacin,
posicin en la industria, comprensin de las necesidades, garanta presentada, referencias,
desempeos anteriores, posicin financiera, capacidad de respuesta, experiencia, recursos
Realizacin del enunciado del trabajo: este documento contempla la informacin del al-
cance y requerimientos del sistema con suficiente detalle para permitir que los proveedores
realicen el anlisis y determinen si estn en condiciones de proporcionar el sistema reque-
rido. Este tipo de documento es necesario para solicitar propuestas a los posibles provee-
dores y realizar el anuncio formal de la solicitud de tercerizacin.
Recepcin de las ofertas: una vez transcurrido el plazo definido, se reciben las propuestas
de los proveedores interesados.
Seleccin del proveedor: se recomienda utilizar una matriz de calificacin cuantitativa con
los resultados de las evaluaciones de los criterios, para obtener la calificacin de los provee-
dores y garantizar la mejor seleccin.
Preparacin y negociacin del contrato: esta tarea debe contemplar al menos la defini-
cin del alcance, requisitos de rendimiento, cronograma, acuerdos y responsabilidades,
informacin de puntos de contacto, periodo y lugar de ejecucin, canales y frecuencia
de las comunicaciones, estructura del precio, trminos de pago, criterios de inspeccin y
aceptacin de entregables, garantas presentadas por el proveedor, acuerdos de servicio
y soporte, proceso para hacer cambios al proyecto, confidencialidad, derechos de autor y
propiedad intelectual, derechos de terminacin, criterios de rendimiento de los provee-
3.4. Ejecucin
La fase de ejecucin contempla la etapa de desarrollo del sistema y requiere la participacin ac-
tiva del cliente y es necesario ejecutar el plan de control de la calidad. Este plan recibe como en-
trada los elementos del plan de aseguramiento de la calidad y se encarga de realizar la evaluacin
de criterios mediante revisiones, auditorias e inspecciones (vase la figura 2). Estas evaluaciones
se realizan en todo el ciclo del desarrollo del sistema para asegurar un producto de calidad (IEEE
Computer Society, 2014) y comprenden:
Revisionestcnicas: se encargan de realizar una evaluacin del producto con base en las
categoras de evaluacin definidas y verificacin de acuerdo con las mtricas establecidas.
Efectuar por lo menos dos reuniones formales a la semana, siempre y cuando las ubicacio-
nes fsicas del cliente y el proveedor lo permitan, contemplando una reunin presencial y
otra virtual entre los interesados y el equipo de desarrollo para solucionar inconvenientes,
verificar los avances, el cumplimiento de objetivos, as como de los acuerdos alcanzados
con base en las sesiones anteriores y responder inquietudes.
Cuando no sea posible realizar reuniones fsicas semanales entre los interesados y el equipo
de desarrollo debido a limitaciones geogrficas por la ubicacin de los equipos en diferen-
tes localidades, es necesario ajustar el nmero de reuniones fsicas para que sea requerido
realizar al menos una reunin al mes y efectuar por lo menos una reunin virtual a la semana.
Obtener informacin de las direcciones de contacto del proveedor como grupos de co-
rreos electrnicos, nmeros de telfono de los encargados, direcciones de contacto para
realizar videoconferencias e informacin de las reuniones presenciales.
Esimportante que los mensajes que se intercambien sean concretos, coherentes, comple-
tos, claros, concisos y correctos, sin importar el medio de comunicacin que se utilice.
Representar de forma visual el flujo de trabajo es una de las mejores opciones y formas de
mantener la comunicacin. Por lo que se recomienda usar un tablero de Kanban para que
ambas empresas de manera visual puedan observar cules son las labores que estn pen-
dientes, cules se estn ejecutando para preparar y efectuar las evaluaciones de calidad, as
como cules estn en proceso de pruebas o completamente listas.
Utilizar
herramientas de trabajo colaborativo para la comunicacin entre las organizaciones
(chats y correos electrnicos), gestin del conocimiento (wikis, gestin de notas, gestin de
fotos, almacenamiento en lnea, ediciones colaborativas, publicacin de documentos y presentacio-
nes) y la gestin del proyecto (control del calendario, seguimiento de reuniones, eventos, controlar
los hitos, las tareas pendientes, herramientas de responsabilidades y distribucin del trabajo).
Adems, es importante elaborar mapas mentales y tableros colaborativos, por ejemplo,
mediante el uso de conceptboard para la inclusin de comentarios y notas o corkboard
para incluir notas a los participantes del proyecto.
Si existen brechas entre lo alcanzado y lo esperado, es necesario analizar las razones por las
cuales se presentan y comunicarse con el proveedor para que suministre los planes de ac-
ciones correctivas que le permitan cumplir con todas las metas y entregables del proyecto.
Evaluar aspectos ajenos al proceso: esta tarea se encarga de evaluar los eventos clave que
requieren atencin especial por parte del proveedor.
Gestionar la resolucin de conflictos: tiene por fin solucionar las discrepancias de puntos
de vista, renegociar aspectos necesarios con base en hallazgos presentados y administrar
variaciones por cambios no contemplados que alteren el alcance de los objetivos del pro-
yecto.
1. Recibir la entrega parcial o final del sistema, realizar las pruebas al sistema, valorar los resul-
tados y tomar en cuenta los criterios de aceptacin para el cumplimiento satisfactorio del
producto.
4. Confirmar al final del proyecto que todos los entregables sean aceptados.
5. Al cerrar las adquisiciones, proceder con la conclusin del contrato, evaluacin general del
proveedor y el registro de experiencias aprendidas para utilizarlas en futuros proyectos.
3.7. Reconsideracin
La fase de reconsideracin corresponde a una evaluacin con base en la experiencia e informa-
cin suministrada durante el desarrollo del proyecto, y considera efectuar las siguientes activida-
des:
1. Realizar revisiones del servicio, alcance y contratos de forma anual, para compararlos con
las necesidades actuales del negocio y asegurar que se brinde un verdadero valor de re-
torno a la inversin o realizar los cambios y ajustes necesarios para alinearlos a los objetivos
estratgicos.
2. Cuando el proveedor lleva a cabo su trabajo de acuerdo con los niveles del servicio y el
cumplimiento de criterios y evolucin del proyecto, pero existe una percepcin de insa-
tisfaccin final, verificar el ajuste de las mtricas de evaluacin debido a que puede ser la
consecuencia de una inapropiada definicin de los criterios en la planificacin.
4. En los escenarios donde el proveedor cumpla con sus funciones correctamente y tanto los
acuerdos de nivel de servicio y los tiempos de verificacin sean cumplidos de forma satis-
factoria, pero se comprueba que el desarrollo de este tipo de sistemas no agrega valor al
negocio o retorno de la inversin, se puede considerar realizar el backsourcing, que consis-
te en reintegrar el proceso tercerizado a lo interno de la empresa, si se cuenta con las ca-
pacidades suficientes. Sin embargo, es importante evaluar el impacto en costos y recursos
que esta operacin pueda significar para la organizacin.
La figura 4 presenta de manera visual las fases definidas para la gestin de terceros durante los
procesos de desarrollo de software. En esta figura se pueden notar en primera instancia los roles
mnimos que se consideran necesarios para el desarrollo de cada una de las fases. Esta metodo-
loga individualiza las entradas y subprocesos y define las salidas que se espera obtener.
La metodologa es una sntesis de los procesos y mejores prcticas que deben contemplarse
en la gestin de terceros y resume aspectos fundamentales sobre las fases, tareas y salidas que
se esperan en cada una de las etapas de un proyecto de esta naturaleza. Por lo tanto se espera
que sea una herramienta til para orientar y brindar una visin general a los especialistas, de los
aspectos que deben contemplar durante la planificacin y desarrollo de proyectos de software
contratados a terceros.
Cabe resaltar que una de las virtudes de la metodologa desarrollada es la sntesis visual que
ofrece del proceso, lo cual brinda un panorama claro de la ruta y actividades que se pueden con-
siderar. Esto tiene por fin facilitar la comprensin del proceso, y la comunicacin con la gerencia,
y mejorar la aplicacin del proceso.
Referencias
CabinetOffice. (2011). ITIL service strategy (2.a ed.).
CENDITEL, Fundacin. (2013). Aseguramiento de calidad en el desarrollo de software libre. Ve-
nezuela.
Erazo-Paruma, L. R., Guerrero-Mera, G. L. y Correa-Pino, F. J. (2014). Mtodo para la adquisicin
de software en pequeas organizaciones. Revista UIS Ingenieras, 13 (1).
Franceschini, F., Galetto, M., Pignatelli, A. y Varetto, M. (2003). Outsourcing: guidelines for a struc-
tured approach. Benchmarking: An International Journal, 10 (3), 246260.
Grossi, L., y Calvo-Manzano, J. A. (2012). Mejora de procesos en el mbito de adquisicin: un
modelo de decisin para la seleccin de proveedores de ti. CISTI (Iberian Conference on
Information Systems & Technologies / Conferncia Ibrica de Sistemas e Tecnologias de
Informao) Proceedings, 483-488.
IEEE Computer Society. (2014). SWEBOK, guide to the software engineering body of knowledge.
Recuperado de https://www.computer.org/web/swebok
McIvor, R. (2005). The influence of transaction cost economics and the resource based view on the
Resumen La tercerizacin del desarrollo de software es una prctica comn entre muchas em-
presas. Sin embargo, con frecuencia el resultado final no satisface las necesidades del cliente
debido a la mala comunicacin, creacin de falsas expectativas, deficiente transferencia del co-
nocimiento, la inadecuada definicin del alcance del proyecto y el escaso involucramiento del
cliente. A lo anterior se debe agregar que los modelos y estndares ms utilizados no contemplan
detalles sobre la forma en que se puede gestionar la relacin que establecen los clientes y pro-
veedores. Como consecuencia, el objetivo de este trabajo de investigacin es proponer un mo-
delo que sirva como gua para apoyar la gestin de las relaciones con terceros, utilizando como
base los principios de las metodologas giles ms importantes, las cuales contemplan el uso de
microciclos y la constante comunicacin con los usuarios y clientes.
1. Introduccin
El creciente y rpido cambio de la tecnologa trae diversos y complejos retos a las empresas para
llevar a cabo de manera eficiente y eficaz sus procesos de negocios, lo cual requiere la constante
evolucin de los servicios y productos que ofrecen las compaas. Esto implica que deben contar
con personal capacitado para enfrentarse a esos retos y mantenerse en el mercado. Pero, en
ocasiones, ante la ausencia de ese personal, se enfrentan a problemas presupuestarios al imple-
mentar nuevas tecnologas, por los problemas que se originan en la mala gestin y deficiencias
tcnicas. Por esa razn, la tercerizacin ha sido vista como una posible solucin para mejorar la
capacidad de respuesta de los negocios y su estructura de costos.
entre las partes es deficiente y no se cumple con la mayora de los requerimientos establecidos.
En algunos casos las causas son las barreras culturales y de idioma, un inadecuado control de los
procesos dentro del ciclo de desarrollo del software, la mala comunicacin, la falta de participa-
cin activa de los clientes y la creacin de falsas expectativas.
El objetivo de este trabajo de investigacin es preparar una gua de mejores prcticas, toman-
do como base los principios de las metodologas giles. El fin de esta gua es contribuir con la
disminucin de los efectos negativos de la tercerizacin de desarrollo de software y facilitar la
adecuada comunicacin, transferencia de conocimiento, establecimiento de expectativas y el
entendimiento y control entre los clientes y los proveedores.
Subcontratacin: consiste en que parte del trabajo se transfiere a otra empresa la cual
contrata a otra que tiene habilidades o recursos que le permiten realizar tareas claramente
especificadas en especiales y mejores condiciones (Dolgui y Proth, 2013).
Por otra parte la tercerizacin trae consigo algunas desventajas como las siguientes:
Prdida de la iniciativa por el cliente: el cliente genera una elevada dependencia del ven-
dedor, limitando su libertad de accin, los costos generados por el vendedor pueden llegar
a ser altos, pero debido a la dependencia no se puede prescindir de estos.
La tercerizacin de software trae consigo diferentes problemas, esto causa que algunos
proyectos no sean exitosos. Diversas investigaciones han determinado que los problemas
ms comunes son la mala comunicacin, la ausencia del cliente durante el proyecto y la ge-
neracin de falsas expectativas. Al respecto, existe un gran nmero de casos en los cuales
los procesos no han sido exitosos. Sobre este particular, KPMG, Dreischmeier y Deloitte han
observado diferentes aspectos por los cuales la tercerizacin no ha funcionado como se
desea, entre los que se encuentran los objetivos, la relacin entre el cliente y el proveedor,
la calidad del servicio, los problemas de comunicacin y la mala gestin (Senz, Cmara,
Calvo-Manzano y Arcilla, 2014).
El anlisis de los procesos de tercerizacin muestra que en mltiples ocasiones (Bersin, 2005)
falta:
Seguimiento y participacin activa del cliente: el cliente se rene con el proveedor, de-
Debido a que el enfoque de esta investigacin se basa en los principios de diversas metodolo-
gas giles, es importante mencionar cul es su relacin con la tercerizacin. Las metodologas
giles nacieron enfocadas al desarrollo de software, pero con el paso del tiempo se comenzaron
a utilizar en otro tipo de proyectos. Sin excepcin, toda metodologa gil se basa en los principios
del Manifiesto gil (Beck et al., 2001). Las metodologas giles buscan que los procesos sean
ms eficientes y eliminar aquellos que son innecesarios, es por esto que se considera que estas
metodologas podran dar un gran aporte a las relaciones con terceros.
Otro aspecto importante que se debe tomar en cuenta es la continua visibilidad y comunicacin
que existe entre clientes, usuarios y desarrolladores para asegurar el xito y rumbo del proyecto.
En la actualidad existe una gran diversidad de metodologas giles, para diferentes tipos de
proyectos y necesidades. Las metodologas que se estudian a continuacin fueron elegidas de-
bido a las buenas prcticas, guas y consejos que brindan y que se ajustan al objetivo de esta
investigacin. A continuacin se muestra un resumen con la informacin ms relevante de cada
una de ellas.
Scrum: Scrum es una metodologa que se basa en iteraciones dividiendo el proyecto en partes,
donde se realizan entregas incrementales al cliente, basandose siempre en buenas practicas.
Crystal: Crystal es una familia de metodologas, ocho en total, las cuales se basan y tienen en
comn los siguientes aspectos:
Frecuentemente entregados.
Mejoramiento reflexivo.
Comunicacin cercana.
Seguridad cercana.
Concentracin.
Estas familias funcionan con base en el tamao y el nivel de criticidad de los proyectos, segn sea
el nivel de estos, as una familia u otra podr ser implementada.
Lead development: Esta metodologa tiene como caracterstica el ser ms una filosofa que un
proceso de desarrollo. Se basa en algunas buenas prcticas y buenos principios debido a su na-
turaleza. Ejemplo de ellas son: satisfacer al cliente es la mxima prioridad, todo se puede cambiar,
una solucin al 80% hoy, en vez de una al 100% maana.
Los puntos claves que se analizaron sobre estas metodologas se muestran de forma resumida
en el cuadro 1.
Iteraciones: en esta fase se inicia un ciclo que incluye diferentes procesos hasta que el
producto est terminado y sea aprobado por el cliente. Las etapas que comprende
Ciclos de desarrollo: estos ciclos estn a cargo de los desarrolladores de software, y com-
prenden la parte de carpintera del proyecto en la cual se escribe el cdigo.
Revisin del dueo del producto: el dueo del producto es quien est a cargo de los re-
sultados de los desarrolladores y es quien se encarga de gestionar a los interesados, por lo
que en esta fase se toma la tarea de revisar el producto de la fase anterior.
Esta etapa busca impulsar la interaccin continua entre los clientes y los involucrados en el
proyecto.
Aprobacin del cliente: en esta fase el cliente define si el proyecto est listo para su lanza-
miento o se debe continuar con otra iteracin.
4.1. Comunicacin
La comunicacin es un factor clave entre el cliente y el proveedor (Bersin, 2005). Sin embargo,
esta no suele ser gestionada de manera correcta, por lo que se propone realizar:
La documentacin de las reuniones se puede realizar de diferentes maneras, como las si-
guientes:
El
cliente puede enviar un correo electrnico con la minuta de los puntos revisados
en la reunin.
Reuniones personales: Las reuniones virtuales son un punto clave para la comunicacin,
pero se recomienda realizar reuniones personales. Estas reuniones son de gran valor para
la discusin de ideas del cliente y el proveedor, y son de utilidad para presentar diseos en
papel, interpretar reacciones de las personas y probar prototipos.
Se recomienda realizar las reuniones personales en un lugar en que los participantes pue-
dan tener acceso a las herramientas necesarias para desarrollar la sesin (computadoras,
Internet, papel, lpices, pizarras, marcadores). Esto proporcionar un ambiente donde se
puedan clarificar o remarcar aspectos que no estn completamente definidos, incluso el
proveedor puede sacar ventaja de estas reuniones para mostrar ideas o diseos que pue-
dan surgir durante el proyecto.
Estas reuniones se pueden realizar para discutir el avance actual y los puntos importantes
pendientes, as como cada vez que se produzca un avance importante en el desarrollo
(iteracin).
Herramientas de documentacin.
Minutas.
Reportes: Las reuniones tanto virtuales como personales, son sumamente enriquecedoras,
pero cuando no se cuenta con material suficiente, o es necesario informar sobre algn suce-
so antes de la fecha establecida, til usar reportes con informacin breve
Errores del sistema y su solucin: durante las pruebas del sistema, podran generarse
errores que son producto de la propia naturaleza del software, por lo cual son resueltos de
manera especifica, y tanto el error como la solucin deben ser documentados.
Versiones del software: cada versin del sistema evoluciona de acuerdo con el avance
1 Conocida en ingls como Knowledge Base (KB).
del proyecto; si existen aspectos que cambian radicalmente o que son fundamentales en la
herramienta y son cambiados de una versin a otra, estos deben ser registrados.
Otros: pueden existir muchos aspectos que el cliente o proveedor consideren que deben
ser documentados, y que deben establecerse de manera conjunta para que sea realizado
de manera correcta. Entre las opciones disponibles se encuentran las siguientes:
Soluciones en el mercado:
Novo Solutions
KBPublisher
XWiki
CMDB2: es una herramienta que tiene como objetivo el manejo eficiente de los servicios y
activos, que estn conformadas por elementos de configuracin2.
Soluciones en el mercado:
Cherwell
Servicenow
CMDBuild
Las expectativas que se generan entre las partes involucradas tiene su origen en la definicin
correcta del alcance, el cual cuando es definido de forma incorrecta se convierte en un grave
problema para la tercerizacin de software (Smuts, van der Merwe, Kotz y Loock, 2010).
Reuniones de diseo
Es importante establecer desde un inicio, de forma clara y eficiente, lo que se espera del pro-
veedor, por lo que se deben realizar reuniones de diseo, en las cuales se puede usar como
referencia el marco de trabajo denominado Design Sprint. Este marco de trabajo permite disear
soluciones a problemas en un lapso de dos a cinco das, y adems permite la contribucin de
diversos participantes en el proceso, a la vez que facilita la comunicacin y claridad a la hora de
definir las ideas.
El concepto de este marco de trabajo fue tomado de las metodologas giles y adaptado por
Google. En la actualidad el marco de trabajo utiliza un proceso que se divide en seis etapas:
Definir: se determinan las caractersticas que el sistema debe tener y se les pide a los usua-
rios que definan con tres frases cmo les gustara que fuese el sistema; adems, en esta
etapa se crean historias sobre la interaccin de un usuario con el sistema.
Divergir: se les pide a los usuarios que dibujen ocho ideas en cinco minutos sobre el siste-
ma, adems de realizar una historieta sobre una de sus ideas.
Decidir: se discute y decide sobre cules ideas podran resultar tiles para el sistema y a
partir de estas se genera la discusin sobre las caractersticas de un prototipo.
Validar: el prototipo es probado por los usuarios, a quienes se les hace una serie de pre-
guntas sobre lo que piensan acerca de los prototipos.
Al finalizar estas fases se cuenta con los requerimientos iniciales y la definicin de los sprints para
las reuniones de diseo. Cabe destacar que al final de cada etapa se debe realizar un resumen
con los resultados, los cuales deben ser documentados. Adems, se recomienda que el equipo
de trabajo est formado por diseadores, ingenieros, gerentes de proyecto, expertos y el maes-
tro de sprint 3 .
En las diferentes reuniones se pueden realizar pruebas que le permitan al cliente observar el esta-
do del producto. Pero se recomienda que estas pruebas no sean realizadas solo por el proveedor,
sino que los usuarios expertos del cliente las realicen.
Algunos de estos usuarios expertos tambin deben participar en las reuniones virtuales y presen-
ciales, porque son quienes utilizarn el sistema una vez que est finalizado.
Con el fin de que los usuarios expertos formen parte de las sesiones de prueba de manera efec-
3 El maestro de sprint es la persona encargada de disear los retos para cada etapa del sprint.
Lista de control6: este documento consiste en una lista de puntos que el usuario debe
evaluar, marcando o dejando vaco el punto correspondiente.
El usuario podr dar su opinin detallada o ms directa dependiendo del documento, acer-
ca del avance, lo cual servir como retroalimentacin para el proveedor.
En estas pruebas el proveedor es un gua y no debe influir en el usuario sobre cmo utilizar el
sistema. El proveedor no debe indicar acciones que conduzcan al usuario por una ruta determi-
nada, y el usuario debe ser quien decida qu caractersticas utilizar. Esto es la clave para generar
retroalimentacin de valor para el proveedor.
5. Discusin y conclusiones
Los problemas que han sido mencionados en este trabajo de investigacin son conocidos por
la mayora de gerentes y administradores relacionados con los procesos de contratacin del de-
sarrollo de sistemas de software. Sin embargo, estos problemas no han sido abordados con la
amplitud y profundidad requerida.
Lo anterior se puede deducir del anlisis bibliogrfico que se llev a cabo y la constante preocu-
pacin mostrada por los autores de los trabajos estudiados.
El anlisis de la bibliografa ayud a determinar que algunas de las metodologas giles que se
utilizan de forma ms frecuente, permiten gestionar la relacin con terceros de mejor manera que
como se lleva a cabo tradicionalmente.
Sin embargo, es posible mencionar que en diferentes aspectos estas metodologas no son efi-
cientes. Por lo tanto, la gua propuesta tiene como fin combinar las principales fortalezas en cuan-
to a la gestin de la relacin con terceros de las metodologas que fueron analizadas.
La gua tom en cuenta las caractersticas particulares de cada una de las metodologas, y fue ela-
borada con base en la evidencia del xito que han tenido en la prctica. La estructura de la gua
es flexible ante las necesidades que pueda tener el cliente, debido a que la implementacin de
cada uno de los puntos no es obligatoria, porque el escenario de cada empresa no es el mismo.
As, cuando una empresa tiene problemas de comunicacin con el proveedor, puede tomar en
cuenta las recomendaciones que se brindan para esa rea. Si por otra parte, el problema al que
se enfrenta la empresa tiene relacin con la definicin del alcance del proyecto, puede revisar
este apartado e implementar los puntos que corresponden a esa seccin, y de forma similar para
Como consecuencia, la principal contribucin de este trabajo consiste en la propuesta de la gua para
apoyar la gestin de las relaciones entre clientes y proveedores, aunque conviene mencionar que la
validacin prctica de dicho instrumento queda pendiente como un trabajo futuro de investigacin.
Referencias
Beck, K., Beedle, M., van Bennekum, A., Cockburn, A., Cunningham, W., Fowler, M., . . . Thomas,
D. (2001). Manifiesto por el desarrollo gil de software. Recuperado de http://www.agile-
manifesto.org/iso/es/
Bersin, J. (2005). Business process outsourcing: Pros and cons. Chief Learning Officer, 4 (4),
34 - 40. Recuperado de http://search.ebscohost.com/login.aspx?direct=true&db=bu-
h&AN=16479531&lang=es&site=ehost-live
Dolgui, A. & Proth, J.-M. (2013). Outsourcing: definitions and analysis. International Journal of
Production Research, 51 (23/24), 6769 - 6777.
Girotra, K. & Netessine, S. (2012, oct). Why Apple has to manufacture in China. Recuperado de
https://hbr.org/2012/10/why-apple-has-to-manufacture-i
Kakumanu, P. & Portanova, A. (2006). Outsourcing: Its benefits, drawbacks and other related is-
sues. Journal of American Academy of Business, Cambridge, 9 (2), 1 - 7.
Senz, J., Cmara, M. D. L., Calvo-Manzano, J. A. y Arcilla, M. (2014). Necesitan los proveedores
de outsourcing una metodologa para la provisin de servicios?: Is it needed a methodo-
logy for outsourcing service providers? RISTI-Revista Ibrica de Sistemas e Tecnologias de
Informao(SPE1), 6175.
Smuts, H., van der Merwe, A., Kotz, P. & Loock, M. (2010). Critical success factors for information
systems outsourcing management: A software development lifecycle view. En Proceedings
of the 2010 annual research conference of the south african institute of computer scientists
and information technologists (304313). New York, NY, USA: ACM. Recuperado de http://
doi.acm.org/10.1145/1899503.1899537 doi: 10.1145/1899503.1899537
David Rodolfo Camacho Quirs, Reagan Ching Fung, Julio Crdoba Retana y Antonio Gon-
zlez Torres
1. Introduccin
Las organizaciones realizan grandes inversiones en aplicaciones, infraestructura y personal, con
el fin de obtener ventajas competitivas en el mercado, optimizar procesos, obtener mayores utili-
dades econmicas o disminuir los gastos en el corto o mediano plazo. De forma que para alinear
y disminuir las brechas que existen entre las reas de negocio y las tecnologas de la informacin
(TI), las organizaciones necesitan implementar y mejorar los procesos de gestin. Entre estos
procesos se destaca la gestin de la demanda de servicios de TI.
La gestin de la demanda de servicios de TI comprende desde las peticiones de soporte que en-
tran en una mesa de asistencia, hasta la solicitud de nuevas aplicaciones o su modificacin. Este
proceso es el encargado de administrar y garantizar la disponibilidad de los recursos o servicios
que el rea de TI brinda a la organizacin, por lo que su implementacin inadecuada o ausencia,
provoca que los proyectos de TI se vean impactados de forma negativa. Esto ocurre cuando se
carece de los recursos necesarios, debido a que los proyectos sufren aumentos en los costos y la
organizacin debe incurrir en el uso indiscriminado de recursos e incrementar el presupuesto de
los proyectos para compensar los retrasos.
Para comprender el papel que desempea la gestin de la demanda en las organizaciones, este
trabajo ofrecer una gua sobre cmo se puede llevar a cabo su implementacin o mejora me-
diante la definicin de un modelo de gestin de la demanda. De acuerdo con lo anterior, se rea-
liza una evaluacin de los marcos de referencia COBIT 5 e ITIL v3, con el fin de definir la gestin
de la demanda, identificar los procesos y actividades pertinentes a la gestin de la demanda, y
modelar el proceso mencionado. La tabla 1 muestra los procesos de los marcos de referencia
mencionados, que son tomados en cuenta para el desarrollo de este trabajo.
COBIT 5 ITIL v3
EDM04 - Asegurar la optimizacin de recursos Gestin de la demanda
BAI04 -Gestionar la disponibilidad y capacidad Gestin de la capacidad
En sntesis, este trabajo de investigacin busca identificar un proceso bsico, que sirva como pun-
to de partida para cualquier organizacin y como una herramienta a nivel gerencial y operacional
para la gestin del proceso de la gestin de la demanda.
2. Marco terico
2.1. Gestin de la demanda
La gestin de la demanda es un proceso presente en todas las organizaciones, aunque no se en-
cuentre identificado como tal o est implementado de forma errnea. En general, este proceso
permite habilitar o poner en ejecucin un requerimiento del negocio, en donde se pueden tener
varias fuentes que estn haciendo la peticin de dicho requerimiento, el cual puede ser sencillo
o complejo.
Segn la frecuencia y el impacto que se tenga sobre el negocio, cada peticin requiere que se le
asigne un nivel de prioridad.
En este contexto, las solicitudes de cuentas de correo electrnico para los usuarios nuevos de la
organizacin son un ejemplo de la demanda de un servicio, que requiere tener en consideracin
la capacidad de los servidores y el ancho de banda de la organizacin.
De acuerdo con lo anterior, los departamentos de TI que definen y administran de forma correcta
el proceso de gestin de demanda pueden mejorar los servicios que ofrecen. Esto conlleva la
necesidad de determinar el grado de madurez de dicho proceso y se recomienda el uso de ITIL
v3 y COBIT 5.
Con respecto a la seleccin de un marco de referencia para la definicin del proceso de gestin
de la demanda, es fundamental conocer los tres tipos de demanda existentes (Alonso et al.,
2008):
COBIT versin 5 se compone de cinco dominios y treinta y siete procesos que buscan brindar
una serie de normas para el uso eficiente de los recursos. En este punto es importante anotar
que la aplicacin de este marco de referencia conlleva tiempo y esfuerzo, por lo que debido a las
limitaciones de tiempo en la realizacin de este trabajo, solo se estudian y analizan los siguientes
procesos:
Este proceso se encarga de equilibrar las necesidades actuales y futuras de disponibilidad, ren-
dimiento y capacidad, con una provisin de servicio efectivo en costos. Adems, incluye la eva-
luacin de las capacidades actuales, la previsin de las necesidades futuras conforme con los
requerimientos del negocio, el anlisis del impacto en el negocio y la evaluacin del riesgo para
planificar e implementar acciones para alcanzar los requerimientos identificados. De forma adi-
cional, tiene como propsito mantener la disponibilidad del servicio, la gestin eficiente de los
recursos y la optimizacin del rendimiento de los sistemas mediante la prediccin del rendimien-
to futuro y los requerimientos de capacidad (ISACA, 2012).
ITIL es un marco de trabajo que busca apoyar a la gerencia y a los encargados de las reas de
soporte de TI por medio de guas para agilizar las entregas de servicios. Este marco proporciona
mecanismos para aumentar la interaccin entre usuarios y clientes, con el fin mejorar la presta-
cin y calidad de los servicios (Ministerio de Tecnologas de la Informacin y las Comunicaciones,
s.f.). La versin 3 de ITIL divide el ciclo de vida de los servicios en cinco fases:
1. Estrategia
2. Diseo
3. Transicin
4. Operacin
5. Mejora
La adecuada gestin de este proceso permite mejorar el rendimiento de los recursos, planificar
de forma adecuada el crecimiento en funcin al negocio, reducir los gastos innecesarios por man-
tenimiento o adquisicin de nuevos dispositivos y reducir posibles incompatibilidades y fallas en
la infraestructura (ITIL vs COBIT, s.f.).
3. Metodologa
El mtodo que se utiliz para desarrollar, definir y modelar la propuesta del proceso de Gestin
de la demanda, se bas en el estudio de cada una de las actividades que tienen los procesos
seleccionados de COBIT 51 e ITIL v32. De acuerdo con ese estudio se realiz la correlacin de los
componentes especficos y los marcos de referencia, con el fin de identificar similitudes y diferen-
cias para realizar el modelado.
4. Resultados y aportes
El principal aporte de este trabajo es un proceso hbrido que tiene en cuentalas actividades de
los marcos de referencias de ITIL v3 y COBIT 5 con respecto a la Gestin de la demanda y est
constituido por nueve actividades (vase la Figura 1).
Suministro de planes de negocio y requerimientos: Esta actividad tiene por objetivo com-
prender e identificar las actividades del negocio y la forma como estas inciden en la demanda de
los servicios. Las fuentes de informacin de esta actividad son los planes de negocio, planes de
mercadeo, proyecciones de ventas y solicitudes de nuevos requerimientos.
Anlisis de documentos: Esta actividad debe ser desarrollada por el departamento de TI4 y tiene
como finalidad la identificacin de los patrones de las actividades del negocio, tambin conoci-
das como PBAs5. Adems de identificar los PBA, esta actividad define los perfiles de los usuarios
o UP 6, basndose en sus roles y responsabilidades en la organizacin.
Esta actividad fue definida tomando como referencia COBIT 5 y los siguientes procesos:
BAI04.02: Evaluar el impacto en el negocio de COBIT 5. Este proceso busca identificar los
servicios importantes para la empresa, relacionar los servicios y recursos con los procesos
de negocio e identificar las dependencias del negocio.
la capacidad para realizar cambios conforme con las necesidades del negocio y los reque-
rimientos de servicio.
EDM04.02: Orientar la gestin de los recursos. Este proceso est relacionado con la adop-
cin de principios de gestin de recursos para permitir el uso ptimo de los recursos de TI
a lo largo de su ciclo de vida.
Para esta actividad tambin se us como referencia la actividad Gestin basada en la demanda
de ITIL v3 que busca asegurar que los planes de negocio de los consumidores se encuentren
sincronizados con el manejo de los planes del servicio que los atiende. Con base en los patrones
de demanda se desarrolla la oferta, y se puede dividir en dos grandes grupos de servicios:
Aprobacin de mejoras y puesta en marca: Si la capacidad del servicio, con base en la dispo-
nibilidad de recursos, puede satisfacer la demanda, el flujo continua con la actividad del proceso
Aprobar mejoras y puesta en marcha.
Solicitud de recursos: En caso de que la capacidad y los recursos no puedan satisfacer la de-
manda, se procede a gestionar y solicitar los recursos. Dicha solicitud se realiza al negocio, debi-
do a que involucra al rea financiera de la organizacin y el desempeo del negocio.
EDM04.03: Supervisar la gestin de recursos. Este proceso indica que se deben supervisar
los objetivos y mtricas claves de los procesos de gestin de recursos, as como establecer
la forma en que sern identificados y se les dar seguimiento a las desviaciones o proble-
mas.
Otro objetivo de esta actividad es suministrar informacin, con la cual se pueda determinar si
el nivel de demanda del servicio est sobre pasando la capacidad si el servicio se encuentra
subutilizado. Si el funcionamiento del servicio es normal, se termina el flujo; en caso contrario, se
procede a realizar el anlisis de la documentacin del negocio para determinar si la capacidad de
los recursos est mal definida, si es necesario gestionar ms recursos o se debe incentivar a los
usuarios para que utilicen el servicio.
5. Conclusiones
Los marcos de referencia ITIL v3 y COBIT 5 se complementan entre s, debido a que ambos apo-
yan el crecimiento de la organizacin y el mantenimiento de los servicios. Lo anterior se confirm
con el desarrollo de este trabajo, el cual llev a cabo la correlacin de informacin de ambos
marcos de referencia y permiti la definicin de un proceso de gestin de la demanda.
Lo anterior permite afirmar que la utilizacin mixta de los marcos de referencia en cuestin es
factible y facilita el desarrollo de marcos de trabajo ajustados a cada organizacin. Por ejemplo,
COBIT es un marco de referencia flexible y adaptable a cualquier organizacin, lo cual es uno de
sus aspectos esenciales, como qued expuesto con el planteamiento del modelo con la gestin
de la demanda.
Cabe sealar que los insumos o documentacin del negocio, a partir de la cual se realiza la iden-
tificacin de la demanda de los servicios, es de suma importancia, porque sin estos no es posible
conocer los servicios que se requieren, ni las salidas y demandas esperadas.
En lnea con lo anterior, es importante tener en cuenta que la evaluacin continua de los servicios
es vital porque los requerimientos del negocio y el entorno donde se desenvuelve la organizacin
est en constante cambio, lo cual requiere que la capacidad para satisfacer la demanda se ajuste
a las necesidades actuales.
Como trabajo futuro se recomienda evaluar el marco de referencia CMMi para servicio, debido
a que este se enfoca en la administracin y entrega de los servicios ofertados, lo cual es un pro-
ducto del proceso de gestin de la demanda.
Para optimizar el proceso planteado en este trabajo, se requiere incorporar un estudio de conti-
nuidad, y CMMi para servicios puede ofrecer el apoyo necesario para optimizar el proceso.
Referencias
Alonso, I. A., Caro, E. T. y Verdn, J. C. (2008, dic). The importance of it strategic demand ma-
nagement in achieving the objectives of the strategic business planning. En International
Conference on Computer Science and Software Engineering, vol. 2, 235-238.
ISACA. (2012). COBIT 5: Procesos Catalizadores. Recuperado de www.isaca.org
ITIL vs COBIT. (s. f.). Recuperado de http://www.cntec.mx/noticias/41/122-itilvscobit.html
Ministerio de Tecnologas de la Informacin y las Comunicaciones. (s. f.). Marco de referencia:
arquitectura TI de Colombia.
Muoz-Serna, R., y Martnez-Arias, M. A. (2012). Caracterizacin de procesos de gestin de TI
basados en COBIT 5 y mapeo con ISO27002, ITIL.
CMMI DEV. (s. f.). PMBOK, para la implementacin en la industria editorial colombiana, apoyando
el proceso de transformacin digital.
OSIATIS. (2015). ITIL Foundation. Recuperado de http://itilv3.osiatis.es/
Quevedo, A. M. (2009). Implementacin de una metodologa de procesos para la mejora de TI
en una empresa. Universitat Politcnica de Catalunya. Recuperado de http://upcommons.
upc.edu/handle/2099.1/7599
Verny Mora Jimnez, Paulo Viales Wahrmann, Julio Crdoba Retana y Antonio Gonzlez
Torres
[vmor80@hotmail.com,pviales@gmail.com,jcordobar022]@ulacit.ed.cr
agonzalez@ulacit.ac.cr
http://www.ulacit.ac.cr
1. Introduccin
En el contexto actual, las tecnologas de la informacin (TI) son un factor crtico para el desem-
peo de las organizaciones, por lo que requieren el correcto funcionamiento de los sistemas de
hardware y software que utilizan. Esto conlleva a que las incidencias1 que se presenten deban ser
resueltas de forma oportuna, tanto a usuarios internos como externos, por lo que es necesario
que las incidencias se gestionen de forma adecuada, para evitar que se transformen en riesgos
para la continuidad de la organizacin.
En este punto resulta indispensable tener en cuenta que los servicios de TI deben ofrecer ser-
vicios de calidad con alta disponibilidad; utilizar los recursos de forma ms eficiente; ayudar a
incrementar la productividad de los usuarios; reducir costos, tiempos de ejecucin de procesos
y riesgos; y alinearse a los procesos del negocio. Sin embargo, los altos niveles de calidad de los
servicios no se pueden alcanzar nicamente con fuertes inversiones en tecnologa y personal
cualificado, sino que es necesario contar con una buena gestin y planificacin a nivel empresa-
rial. Para esto, es recomendable implementar un sistema de gestin de servicios de TI (SGSTI),
potenciar la labor de los gestores y utilizar mtricas para el seguimiento y control de la resolucin
1 Se denomina como incidencia a un problema que sobreviene en la prestacin de un servicio que es soportado por
hardware o software.
Tambin es conveniente tener en cuenta que la gestin de incidencias, adems del impacto que
tiene en la organizacin, determina la relacin de los departamentos de TI con los usuarios, y
en cierta forma se convierte en un reflejo de la calidad de los servicios que estos ofrecen. Cabe
resaltar que la calidad de los servicios implica tanto el nivel de efectividad de la resolucin de los
problemas como la forma en que el servicio es percibido por los usuarios y el resto de la organi-
zacin (Persse, 2013).
De acuerdo con la experiencia de los autores, un gran nmero de organizaciones no aplican las
mejores prcticas de la industria para la gestin de incidencias, en algunos casos por desconoci-
miento y en otros por que no le brindan la importancia necesaria. Tomando en cuenta lo anterior,
en este trabajo se estudian y analizan los lineamientos y mejores prcticas que son recomenda-
das por COBIT, ITIL y CMMI, con el fin de proponer un proceso y una lista de recomendaciones
que sirvan como gua para realizar la gestin de incidencias en servicios de TI. Dicho proceso
pretende contribuir con la deteccin oportuna de desviaciones en los procedimientos, la correcta
clasificacin de las incidencias, la utilizacin de procedimientos de escalado y el cierre adecuado
de las incidencias.
2. Marco terico
Una incidencia es un evento que implica la interrupcin no planificada o la reduccin de la calidad
de un servicio de TI, el cual es soportado por elementos de hardware o software (ITIL Foundation,
2011). Las incidencias pueden ser detectadas por el personal tcnico, reportadas por herramien-
tas de seguimiento de eventos, comunicadas por los usuarios de forma telefnica o mediante
un sistema de incidencias o informadas por terceros (e.g., proveedores y socios de negocio2 ). En
tanto, la gestin de las incidencias es el proceso responsable de administrar el ciclo de vida de
cada incidencia (Persse, 2013).
La gestin de incidencias requiere brindar respuesta oportuna y efectiva a las peticiones de los
usuarios relacionadas con la resolucin de problemas asociados a los servicios de TI, con el fin de
no afectar los procesos de la organizacin y cumplir con los compromisos con terceros (Forrester,
Buteau y Shrum, 2011). En trminos generales, este proceso contempla registrar las peticiones de
servicio, diagnosticar el problema de forma precisa (i.e., identificar y describir los sntomas de las
incidencias, as como asignar los recursos necesarios para su resolucin), determinar la prioridad
de la incidencia, resolver las incidencias (i.e., determinar las posibles causas, efectuar escalaciones
y recuperar el servicio, en caso necesario), documentar y registrar de forma exhaustiva la resolu-
cin de la incidencia, cerrar las incidencias y mantener un registro histrico (vase los procesos
DSS02 y DSS03 de COBIT 5) (ISACA, 2012; OToole, 2015).
El registro de las peticiones de servicio requiere verificar que estas cumplan con los criterios
mnimos establecidos y que los usuarios que las realizan estn debidamente autorizados. Cada
incidencia debe contar con un nmero nico de referencia, hora y fecha de registro, identificacin
de la persona que realiz el registro de la incidencia, mtodo de notificaciones del estado de la
incidencia y descripcin de los sntomas.
En cuanto al diagnstico, es necesario contar con toda la informacin disponible para efectuar
una mejor evaluacin del problema para efectuar su categorizacin, determinar el impacto en
el negocio (i.e., nivel de prdida financiera, el posible efecto en la reputacin del negocio y las
regulaciones del pas) y la urgencia de su resolucin, efectuar una correcta asignacin de la priori-
dad, obtener la aprobacin financiera y si se requiere, el cambio de procedimientos o estndares.
Como parte de este proceso, se requiere utilizar la base de datos de conocimiento, si existe, para
determinar si el problema est asociado a un error conocido, o si este ha sido resuelto anterior-
mente. Este paso se debe efectuar antes de asignar a un especialista para realizar un anlisis de
mayor profundidad o que se lleven a cabo acciones para restaurar los servicios afectados, con
ayuda de otros especialistas.
En los casos en los que la incidencia es reportada por telfono, se recomienda efectuar un diag-
nstico inicial e intentar ofrecer una solucin de forma inmediata, trabajando junto con el usua-
rio, si es factible. Si no es posible ofrecer una solucin inmediata, entonces se debe informar al
interesado sobre el procedimiento que se seguir, y darle un nmero de incidencia para que le
pueda dar seguimiento.
Este tipo de procedimiento usualmente contempla el escalado funcional (se solicita el apoyo de
un especialista de ms alto nivel para resolver el problema) o jerrquico (se acude a un responsa-
ble de mayor autoridad para tomar decisiones por encima del nivel del personal tcnico involu-
crado, como la asignacin de recursos adicionales para la resolucin de la incidencia).
En todo caso, es recomendable resolver cada incidencia en el menor tiempo posible, para restau-
rar o normalizar el servicio y salvaguardar los intereses de la organizacin. Adems, es necesario
que en el transcurso de la resolucin se le brinde seguimiento al estado de las incidencias hasta
que se realice el cierre de esta. El proceso de seguimiento involucra documentar y revisar las ac-
ciones realizadas, escalar las incidencias segn se requiera y comunicar el estado de la incidencia
a las partes interesadas.
Una vez que la incidencia ha sido resuelta, se deben hacer las comprobaciones necesa-
rias con el usuario para cerrar el caso, medir la satisfaccin, tener en cuenta los requerimien-
tos de informes de las partes interesadas en la gestin de incidencias y utilizar criterios de
Esta informacin permite efectuar el anlisis, evaluacin y clasificacin de incidencias para esta-
blecer tendencias, encontrar patrones de asuntos recurrentes e infracciones a los procedimien-
tos, reducir la ocurrencia de incidencias similares en el futuro, mejorar su resolucin y apoyar la
bsqueda de mejores prcticas.
Definicin de una incidencia: Es necesario diferenciar de forma clara entre una incidencia y una
solicitud de servicio. Una incidencia es la interrupcin no planificada o la reduccin de la calidad
de un servicio de TI. Si bien las solicitudes de servicio deben ser reportadas de forma similar que
las incidencias a la mesa de servicio, la diferencia es que estas no representan la interrupcin de
un servicio (ITIL Foundation, 2011).
Como buena prctica, el catlogo de categoras debe ser analizado de forma peridica, cada 3
o 5 meses, para realizar actualizaciones y mantenerlo adecuado a las necesidades del negocio.
Asignacin de prioridad: La resolucin de las incidencias requiere contar con diferentes niveles
de prioridad, en funcin de la relevancia e impacto en el negocio. De acuerdo con el anlisis de
COBIT 5, ITIL y CMMI se recomienda el uso de 5 niveles de prioridad usando valores numricos
(e.g., 1 a 5) o categricos (baja, media, alta, grave, crtica).
Reporte de incidencias: Es importante definir de forma clara los mecanismos para el reporte y se-
guimiento de las incidencias, sin importar si se realiza de forma manual o automatizada. En todo
caso, las personas que reportan las incidencias deben encontrarse autorizadas, exceptuando los
casos en que se demuestre que peligra la vida de las personas o que la continuidad del negocio
est siendo afectada.
En general, se recomienda contar con un sistema que facilite el reporte de incidencias a los usua-
rios (Forrester et al., 2011), la actualizacin de los estados (e.g., abierta, en progreso, resuelta y
cerrada) (ITIL Foundation, 2011) y seguimiento de las acciones realizadas durante el ciclo de vida
de las incidencias.
Reapertura de incidencias: En algunos casos es posible que una incidencia no haya sido resuelta
por completo y sea necesario reabrirla, por lo que se requiere definir las reglas para reabrir inci-
dencias, asignarles una nueva categora y prioridad, y determinar quin ser el responsable que
trabajar en la solucin.
En general, los modelos relacionados con la gestin de las tecnologas de la informacin coinci-
den en cuanto a las principales tareas que requiere el proceso de gestin de incidencias, siendo
esas tareas las siguientes:
1. Registro de incidencias.
2. Resolucin de incidencias.
3. Cierre de incidencias.
4. Seguimiento y anlisis de incidencias.
En consecuencia, este trabajo ha tomado en cuenta la lista de tareas enunciadas y las mejores
prcticas de COBIT (IT Governance Institute, 2013), ITIL (ITIL Foundation, 2011) y CMMI (Forrester
et al., 2011), para proponer el proceso que se muestra en la figura 1. Las tareas ordinarias de dicho
proceso son representadas por cajas rectangulares y las decisiones por rombos, en tanto que las
lneas de color rojo indican el flujo ordinario de las tareas y las lneas punteadas de color negro
muestran la secuencia alternativa, en donde el flujo puede seguir uno u otro camino con base en
las decisiones que se han tomado.
El proceso propuesto comienza con la identificacin de las incidencias por parte de los usuarios
de la organizacin o los miembros del departamento de TI (i.e., por observacin en el campo o
por medio del uso de sistemas para ese propsito). Una vez que la incidencia ha sido identificada,
se procede a registrarla, para luego efectuar el diagnstico (i.e., de forma opcional se puede usar
la base de conocimientos), categorizacin y asignacin de prioridad. Con base en el diagnstico,
se determina si la resolucin de la incidencia requiere recursos extraordinarios, y en caso necesa-
rio se solicita la aprobacin de esos recursos al comit ejecutivo. A partir de ese punto, se inicia
Una vez que la resolucin de la incidencia ha sido resuelta de forma definitiva, tras efectuar la
verificacin y aceptacin con el usuario, se procede a cerrarla y documentarla.
La descripcin de cada una de las tareas que conforman el proceso propuesto se detalla a con-
tinuacin.
Registro de incidencias: El proceso para registrar las incidencias debe poner a disposicin de los
usuarios autorizados tantos medios como sea posible, incluyendo llamadas telefnicas, registro
web y mensajera instantnea.
Cabe recalcar que tanto el reporte como el registro de incidencias debe ser efectuado por usua-
rios que se encuentren autorizados, conforme a lo establecido por las polticas y reglamentos de
la organizacin.
Algunos de los principales elementos de informacin para registrar una incidencia son los si-
guientes:
De forma similar, este tipo de sistemas permite que los tcnicos realicen los diagnsticos y re-
solucin de incidencias de forma ms efectiva, por medio de informacin relacionada con casos
similares que han sido resueltos. En el caso del proceso propuesto, esta actividad se encuentra
ligada al diagnstico, categorizacin y asignacin de prioridad a las incidencias, as como a la
recuperacin y resolucin de la incidencia, tomando en cuenta lo anterior.
Aprobacin del comit ejecutivo: Cuando se considera que es necesario utilizar recursos o pro-
cedimientos extraordinarios para la resolucin de una incidencia, se debe contar con la aproba-
cin del comit ejecutivo. Toda aprobacin debe ser documentada en formato papel o digital, y
se debe evidenciar la firma del responsable del comit (i.e., se recomienda el uso de firma digital).
Recuperacin y resolucin de incidencias: Para realizar esta tarea, la mesa de servicio debe
contar con el personal capacitado y herramientas para determinar el mejor curso de accin para
la resolucin de la incidencia. Entre las tareas que pueden ser necesarias durante la resolucin de
las incidencias se encuentran las siguientes:
Las reglas de escalado y gestin de incidencias deben encontrarse especificadas en las polticas,
procedimientos o acuerdos formulados por la organizacin (e.g., acuerdo de nivel de servicio,
acuerdo de nivel operacional y contrato de apoyo) con los grupos de apoyo internos y externos.
En el caso concreto de este trabajo, se toman en cuenta el escalado funcional y jerrquico (ITIL
Foundation, 2011), como se muestran en la Figura 1 y es descrito a continuacin.
Escalado funcional: Este tipo de escalado es utilizado para resolver una incidencia de forma
apropiada, en el tiempo requerido, y tiene como fin apoyar al grupo que tiene a cargo una inci-
dencia cuya complejidad y prioridad demanda la participacin de otros grupos con un nivel ms
alto de especializacin, experiencia y capacitacin. Los grupos de apoyo pueden ser internos o
externos, como proveedores de software, fabricantes de hardware o personal de mantenimiento.
Por lo general, la mesa de servicio es la encargada de escalar las incidencias al nivel funcional
apropiado, pero se recomienda que sea la responsable de darles seguimiento, mantener infor-
mados a los usuarios y efectuar el cierre de estas, sin importar el grupo al que hayan sido referi-
das para su resolucin.
Escalado jerrquico: Este tipo de escalado se realiza cuando es necesario que los mandos su-
periores estn al tanto de la situacin por el impacto en el negocio, cuando se requiere su apoyo
para coordinar con otros departamentos o es necesario contar con recursos adicionales, internos
o externos.
El seguimiento de las incidencias es una tarea que se encuentra presente en todo el proceso de
gestin de incidencias. Es preciso registrar todos los detalles de las acciones que se realizan en
torno a las incidencias (Forrester et al., 2011; ITIL Foundation, 2011) y contar con las herramien-
tas apropiadas para alertar al personal tcnico cuando sea necesario, y tambin para brindarles
informacin constante sobre el estado de las incidencias, as como sobre las interrelaciones e
interacciones que tienen entre s.
De forma posterior al cierre de las incidencias, se deben estudiar y analizar los problemas recu-
rrentes, su naturaleza y causa. Adems, se recomienda determinar, con los grupos de soporte
involucrados, si las causas de este tipo de incidencias han sido resueltas, y la posibilidad de que
se vuelvan a presentar otras incidencias relacionadas con esas mismas causas. Esto tiene como
fin, tomar medidas para eliminar o reducir el nmero de incidencias por una misma causa.
Un elemento de gran importancia en este proceso es asegurar la satisfaccin de los usuarios, por
lo que se recomienda efectuar encuestas (por medio de correo o telfono) para determinar su ni-
vel de satisfaccin con los servicios de gestin de incidecias y tomar las medidas necesarias para
corregir los problemas que se detecten. En lnea con esto, es necesario contar con una poltica y
procedimientos claros en torno a la reapertura de incidencias, en caso necesario, por lo que es
importante que se brinde capacitacin constante a todo el personal de la mesa de servicio, tanto
sobre aspectos tcnicos como de procedimientos y servicio al cliente.
4. Conclusiones
Las organizaciones se enfrentan a retos diversos que requieren el uso de las mejores prcticas
existentes, sobre todo cuando se trata de la gestin de incidencias de TI, por la alta dependencia
que tienen sus actividades de los sistemas de hardware y software. Por eso, la definicin de un
proceso de gestin de incidencias con base en los marcos de referencia COBIT, ITIL y CCMI es
de gran importancia. Sin embargo, es importante considerar que la definicin de un proceso de
esa naturaleza debe tomar en cuenta las particularidades de cada organizacin con respecto a
metas, objetivos y recursos. Conforme con lo anterior, el fin de este trabajo ha sido orientar a los
administradores de TI en la definicin del proceso de gestin de incidencias, mediante la pro-
puesta de un proceso basado en las mejores prcticas de los marcos de referencia mencionados.
En general, para implementar de forma exitosa y eficiente un proceso de esta naturaleza, es ne-
cesario comprender los procesos de negocio y la forma en que son soportados por los servicios
de TI, para definir de forma adecuada las tareas y actividades que se requieren. En todo caso,
cuando el nmero de servicios es reducido, o cuando estos no son complejos, no es necesario
definir un proceso complejo o costoso.
Finalmente, cabe mencionar que los marcos de referencia, aunque tienen objetivos similares,
sugieren estrategias diferentes para alcanzarlos. Por ejemplo, las organizaciones con un nivel de
madurez bajo, pueden utilizar ITIL como referencia, debido al grado de detalle que ofrece y el
enfoque orientado a tomar en cuenta los factores internos de cada entidad. Por su parte, CMMI
puede ser usado por empresas con un nivel de madurez ms alto, con mayor experiencia en la
gestin de incidencias y el uso de buenas prcticas. Lo anterior, debido a que ofrece recomenda-
ciones (e.g., implementar sistemas de software para la gestin de incidencias) que no se adaptan
a organizaciones con niveles de madurez bajo.
Referencias
Bauset-Carbonell, M. C., y Rodenes-Adam, M. (2013, jan). Gestin de los servicios de tecnologas
de la informacin: modelo de aporte de valor basado en itil e iso/iec 20000. El profesional
de la informacin, 22 (1).
Forrester, E., Buteau, B. & Shrum, S. (2011). CMMI for services: Guidelines for superior service.
Pearson Education.
Herold, R. (2007). The shortcut guide to improving it service support through ITIL. Realtimepubli-
shers.com.
ISACA. (2012). COBIT 5: Procesos Catalizadores. Recuperado de www.isaca.org
IT Governance Institute. (2013). Cobit 5. Rolling Meadows.
ITIL Foundation. (2011). ITIL v3. Recuperado de http://itilv3.osiatis.es/
Kenett, R. y Baker, E. (2010). Process improvement and cmmi for systems and software. CRC
Press.
Mutafelija, B. & Stromberg, H. (2008). Process improvement with cmmi v1.2 and iso standards.
CRC Press.
OToole, D. (2015). Incident management for IT departments. Demand Publishing, LLC-Create
Space.
Persse, J. (2013). The IT service management process manual. van Haren Publishing.
Quesnel, J. (2012). Entender ITIL 2011: Normas y mejores prcticas para avanzar hacia ISO 20000.
d. ENI.
Marco Crdoba Padilla, Frank Trejos Moya, Fernando Chinchilla Jimnez y Antonio Gonz-
lez Torres
[mcordobap487,ftrejosm824,fchinchillaj980]@ulacit.ed.cr
agonzalez@ulacit.ac.cr
http://www.ulacit.ac.cr
1. Introduccin
En aos recientes ha surgido un gran nmero de dispositivos que se caracterizan por sus exce-
lentes capacidades de comunicacin, bajo costo y consumo energtico, y sus capacidades redu-
cidas tanto de procesamiento como de almacenamiento. Estos dispositivos han sido agrupados
bajo el concepto de internet de las cosas1 y se usan en reas tan diversas como el transporte, la
seguridad, la salud, el seguimiento de los signos vitales de las personas, la inteligencia ambien-
tal, la iluminacin, el control de la temperatura de edificios y el acceso a reas restringidas. En
general, su uso est ligado con la bsqueda de mejoras a los procesos de las organizaciones y la
calidad de vida de las personas.
1 El trmino internet de las Cosas se deriva de Internet of Things en ingls y se asocia con las siglas IoT.
Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas | 65
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
Conforme el concepto de internet de las cosas (Ashton, 2009) ha tomado fuerza en aos recien-
tes, han surgido de forma masiva tanto fabricantes como nuevos dispositivos. A finales del 2015,
el nmero de desarrolladores de aplicaciones y soluciones de IoT super los 6; 2 millones (Rana,
2016), y mostr un crecimiento del 34% con respecto al ao anterior. Este crecimiento ha sido
empujado por la cada en los costos de los dispositivos y el acceso a internet.
Como parte de los esfuerzos que realizan los fabricantes para lograr mayor capacidad de interco-
nexin, se han establecido varias alianzas para impulsar el desarrollo y crecimiento de IoT a travs
de la investigacin y creacin de nuevos productos. Tal es el caso de Z-Wave Alliance (The Z-Wave
Alliance, 2016), la cual impulsa el desarrollo del protocolo con el mismo nombre, y que desde su
establecimiento en el 2005 ha incorporado a 375 compaas. Otro caso similar es la alianza (Zig-
Bee Alliance, 2016) de fabricantes de dispositivos que utilizan el protocolo inalmbrico ZigBee, y
que es conformada por ms de 400 compaas que utilizan dicho protocolo.
Sin embargo, la necesidad de realizar diseos en los cuales conviven e interactan diferentes pro-
tocolos en un mismo sistema IoT sigue siendo una prioridad, porque la interoperabilidad entre
estos (Manyika et al., 2016) puede contribuir a generar ingresos adicionales a la industria por un
40 %.
Este trabajo propone un diseo para que los protocolos ms utilizados en IoT puedan comunicar-
se usando una arquitectura basada en una puerta de enlace3, por lo que el principal aporte del
trabajo realizado es la propuesta de una arquitectura de bajo costo para comunicar dispositivos
y protocolos heterogneos en el contexto de IoT.
Como consecuencia, la seccin 2 analiza los principales elementos de una arquitectura de IoT,
discute los conceptos relacionados con la interconexin entre dispositivos y estudia los funda-
mentos de las puertas de enlace. Con base en la informacin presentada en la seccin 2, la sec-
cin 3 presenta el diseo de una arquitectura de IoT basada en una puerta de enlace y analiza
un escenario de uso para dicha propuesta. Finalmente, la seccin 4 discute las principales con-
clusiones del trabajo.
2. Antecedentes
La arquitectura de alto nivel de un sistema de IoT es similar a la arquitectura genrica de cual-
quier otro sistema; se compone de elementos de entrada, procesamiento y salida. La dife-
rencia bsica es que la entrada de datos se puede realizar por medio de sensores y la salida
2 Los dispositivos de internet de las cosas, en su mayora, utilizan protocolos simples que requieren contar con menos
capacidad de procesamiento y consumo de energa que los dispositivos que utilizan TCP/IP.
3 Las puertas de enlace permiten la comunicacin entre dispositivos en diferentes segmentos de una red, en los cua-
les utilizan protocolos diversos.
66 | Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
As, los datos que se adquieren del entorno por medio de sensores se transmiten a los dispo-
sitivos de control (procesamiento) usando tecnologas y protocolos de comunicacin, y una vez
que son procesados, el resultado es enviado a los actuadores para modificar, si es el caso, las
condiciones del entorno.
Los sistemas de esta naturaleza tambin pueden recibir entradas de los usuarios, por lo general
en forma de parmetros de configuracin o de actuacin con base en los resultados. De forma
similar, estos sistemas tambin pueden producir salidas tradicionales a un monitor o impresora.
De forma que la interfaz del usuario suele estar vinculada al dispositivo controlador, y es utilizada
para configurar y gestionar el sistema (vase la figura 1).
Interfaz para la interaccin con los usuarios (entrada y salida): La interfaz permite que
el usuario configure el sistema, ingrese los parmetros de operacin, revise resultados y
ejecute operaciones. La funcin de la interfaz es facilitar el control y la administracin de los
dispositivos que conforman un sistema IoT. Cuando se adquiere un sistema de IoT, la inter-
faz de usuario puede venir incluida; pero cuando se desarrolla una solucin personalizada,
es necesario desarrollarla de acuerdo con los requerimientos del sistema.
Adquisicin de datos del entorno (entrada): Captura de datos del entorno por medio de
sensores y los enva a la dispositivo de control para su procesamiento.
Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas | 67
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
Ejecucin de tareas (salida): Cuando la salida del sistema conlleva una actuacin sobre el
entorno, se ejecutan acciones por medio de actuadores para modificar determinadas con-
diciones. Sin embargo, cuando se busca modificar las condiciones del entorno, las tareas
que se llevan a cabo pueden consistir en el anlisis o ejecucin de tareas adicionales de
procesamiento.
Una arquitectura ms compleja es la propuesta por Intel (Intel, 2015), la cual contempla el
uso de un gran nmero de protocolos de comunicacin, conexin a sistemas de almacena-
miento y anlisis, y servidores locales y en la nube.
Los requerimientos de los sistemas de IoT con frecuencia requieren el uso de dispositivos con
funciones especializadas y caractersticas especficas y es comn que se requiera utilizar dispositi-
vos de varios fabricantes diferentes, los cuales pueden utilizar protocolos, medios de transmisin
68 | Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
860-960MHz
2,45-5GHz
Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas | 69
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
Las puertas de enlace puede ser implementadas por medio de software o hardware. En el caso
de la implementacin por software, por lo general se lleva a cabo usando bibliotecas internas.
Estas bibliotecas se componen de interfaces programadas por los mismos desarrolladores de los
protocolos, o por terceros, cuando el cdigo fuente y admite la posibilidad de agregarle funcio-
nalidad a los protocolos. Estas interfaces son funciones que se pueden invocar desde diferentes
lenguajes de programacin. Por su parte, las puertas de enlace por hardware sirven como punto
de interconexin de dispositivos por medio de interfaces fsicas o procesadores de comunicacio-
nes inalmbricas de distintos tipos.
El proceso de interconexin que realizan las puertas de enlace por software y hardware requiere
la desencapsulacin y encapsulacin de datos, para decodificar y codificar la informacin en los
formatos que utilizan tanto el origen como el destino de la comunicacin. Lo que implica que la
puerta de enlace debe procesar las unidades de datos del protocolo (UDP) para cada capa del
modelo o estndar de comunicaciones que utilizan los dispositivos en un segmento.
En el mercado se encuentran disponibles varias puertas de enlace, tanto de software como hard-
ware. Dell Edge Gateway permite varias conexiones cableadas e inalmbricas (Dell, 2016b, 2016a)
para interconectar protocolos como ZigBee, BACnet y ModBus, entre otros. Mientras que Intel
IoT Gateway es una familia de productos (Intel, 2016) que permiten comunicar dispositivos por
medio de ZigBee, Bluetooth, USB, VPN y Wi-Fi. Por su parte, Texas Instruments (Texas Instru-
ments Incorporated, 2016) y EuroTech (Eurotech, 2016a, 2016b) tambin cuentan con puertas de
enlace que tienen caractersticas similares a las mencionadas.
3. Propuesta de diseo
Las arquitecturas comerciales de IoT pueden resultar costosas, lo cual pone en evidencia la nece-
sidad de contar con un diseo cuya implementacin sea sencilla y econmica. Con base en esto,
este trabajo propone el diseo de una arquitectura basada en una puerta de enlace que se com-
pone de un dispositivo de control, mdulos de comunicacin y bibliotecas para el intercambio de
informacin entre el dispositivo de control y los mdulos (vase la figura 2).
70 | Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
como RaspBian, y el precio de los mdulos de comunicacin que se le pueden agregar es rela-
tivamente bajo.
Esto hace que el costo de implementacin de esta propuesta sea significativamente bajo, en
comparacin con las opciones de puertas de enlace propietarias que existen en el mercado.
El diseo propuesto contempla el uso de cualquiera de los protocolos de los mdulos que sopor-
ta Raspberry Pi, pero cabe sealar que de acuerdo con la investigacin realizada, los protocolos
ms utilizados por los sistemas IoT son Z-Wave y RFID.
Cada da por la maana, se deben abrir las puertas, encender las luces de cada sitio de manera
individual y revisar los vdeos de las cmaras. Este proceso, lo realiza solo una persona autorizada
por razones de seguridad, pero presenta los siguientes inconvenientes:
La
apertura de puertas y encendido de luces toma 10 minutos en la maana y 10 minutos
por la tarde.
El personal que trabaja en las instalaciones no puede ingresar antes de su hora de entrada
oficial, ni puede quedarse trabajando despus de la hora de salida oficial. Esto afecta el
desarrollo de algunos proyectos de alta prioridad debido al proceso burocrtico para jus-
tificar las razones de una jornada especial y, como consecuencia, se activa un protocolo de
seguridad especial.
La revisin de los vdeos puede tomar varias horas y es frecuente que se realice su revisin
Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas | 71
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
En general, la administracin no puede conocer detalles sobre los eventos que se generan en
torno a la apertura de puertas, iluminacin, alarmas de incendio y cmaras, porque no cuenta
con un sistema de alertas y estadsticas eficiente. Esto impide que los administradores puedan
reaccionar a tiempo ante emergencias o variaciones en los patrones de comportamiento de los
funcionarios y visitantes, por lo que la organizacin y el escenario descrito requieren considerar
el diseo e implementacin de los siguientes sistemas:
Control: El fin de este sistema es controlar las luces, sensores de incendios, cmaras y la apertura
de puertas utilizando los protocolos RFID y Z-Wave.
Elpersonal autorizado cuenta con una tarjeta RFID como medio de identificacin, cuya
lectura es realizada por un mdulo RFID.
Una vez que la persona ha sido identificada, el sistema realiza la apertura de las puertas y el
encendido de las luces mediante el envo de seales a los dispositivos Z-Wave.
Este subsistema requiere codificar cada tarjeta RFID con los datos personales del empleado co-
rrespondiente, realizar la configuracin de la red de dispositivos
Z-Wave de acuerdo con las instrucciones de los fabricantes y programar los scripts en un lenguaje
de programacin, como Python. Las rutinas que deben comprender los scripts cuando el lector
RFID detecta una tarjeta son las siguientes:
Encender los circuitos de luces y abrir la cerradura de las puertas, si la ltima condicin de
las luces es apagado y la condicin de las cerraduras es cerrado.
Apagar los circuitos de luces y cerrar las puertas si la ltima condicin de las luces es encendido
y la condicin de las cerraduras es abierto.
Dispositivo de control: Este dispositivo recibe datos de los diferentes dispositivos y enva
notificaciones a las personas designadas por medio de un APP, de acuerdo con las reglas
72 | Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
Procesamiento en la nube: El dispositivo de control adems enva los datos de todos los
eventos e imgenes que registran las cmaras a un sistema de anlisis en la nube.
Estadsticas y patrones: Los resultados del anlisis son representados de forma visual para
hacerlos ms comprensibles y tiles para los usuarios.
Dispositivo de control - Raspberry Pi (PCB): Este dispositivo se describe como una mi-
nicomputadora con todas las caractersticas necesarias para realizar las tareas de control
y procesamiento de datos, pero adems se conecta a la nube para enviar datos para su
almacenamiento y procesamiento. El modelo utilizado debe contar con puerto Ethernet o
conexin usando 802.11n.
Mdulos Z-Wave: Se recomienda utilizar Razberry (RaZberry, 2016), para permitir la co-
municacin de sensores y actuadores que usan Z-Wave. En concreto, los dispositivos que
utilizaran Z-Wave son los apagadores de luces,
los elementos de cierre y apertura de puertas, los sensores de incendios y las cmaras.
Razberry cuenta con una interfaz de usuario que permite su rpida implementacin, pero
tambin facilita el desarrollo de interfaces personalizadas por encontrarse disponible la
documentacin del fabricante para ese fin.
Mdulo RFID: Este mdulo permite la lectura de las tarjetas RFID y se mantiene activado
en modo de lectura al dispositivo de control (Raspberry Pi), para que capte las seales trans-
mitidas por las etiquetas RFID.
4. Conclusiones
En este trabajo de investigacin se llev a cabo una revisin bibliogrfica sobre los principales
protocolos y arquitecturas que se utilizan en IoT. Dicha revisin permiti analizar y discutir el es-
tado actual de internet de las cosas y las implicaciones que tiene el uso de protocolos diferentes
en los procesos de interconexin y comunicacin.
Como resultado, fue posible conocer con mayor detalle y poner de manifiesto la relacin que
existe entre los protocolos, dispositivos, fabricantes y arquitecturas en el proceso de comunica-
Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas | 73
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
cin. Esto permiti proponer una arquitectura de bajo costo para la interconexin de protocolos
y dispositivos heterogneos en sistemas IoT.
Las ventajas del diseo presentado son su sencillez, posibilidades que ofrece para la interco-
nexin, facilidad de implementacin, bajo costo, gestin de alertas y anlisis de patrones. Esto lo
hace ideal para resolver problemas de poca y media complejidad, con personal poco especiali-
zado y sin necesidad de incurrir en altos costos.
Referencias
Ashton, K. (2009, June). That Internet of Things thing. Recuperado de http://www.rfidjournal.
com/articles/view?4986
Buxeres-Soler, A. (2014). Estudio y desarrollo de un sistema basado en una librera abierta para el
uso del protocolo inalmbrico de domtica Z-Wave.
Crdenes-Tacoronte, D. (2016). Diseo e implementacin de una herramienta para la verificacin
de cobertura de la red SIGFOX. Estudio de conectividad en una zona geogrfica de oro-
grafa compleja.
Chavarra, D. A. (s.f.). Tecnologa de comunicacionn de campo cercano (nfc) y sus aplicaciones.
Cuevas, J. C., Martnez, J. y Merino, P. (2002). El protocolo x10: una solucin antigua a problemas
actuales. En Simposio de informtica y telecomunicaciones (sit).
Dell. (2016a). Dell edge gateways for IoT. Recuperado de http://www.dell.com/us/business/p/ed-
ge-gateway?s=bsd
Dell. (2016b). Edge Gateway 5000. Recuperado de http://www.dell.com/us/business/p/dell-ed-
ge-gateway-5000/pd?ref=PD_OC
Eurotech. (2016a). IoT Gateways: multi service IoT gateways. Recuperado de https://www.euro-
tech.com/en/products/devices/iot+gateways
Eurotech. (2016b). ReliaGATE 10-11: compact Multi-Service IoT gateway, industrial-grade, TI
AM3352. Recuperado de https://www.eurotech.com/en/products/ReliaGATE%2010-11
Intel. (2015). Intel IoT Platform Reference Architecture. Recuperado de http://www.intel.com.au/
content/dam/www/public/us/en/documents/white-papers/iot-platform-reference-architec-
ture-paper.pdf
Intel. (2016). Intel IoT gateway technology. Recuperado de https://www-ssl.intel.com/content/
www/us/en/embedded/solutions/iot-gateway/overview.html
Jara-Maldonado, P. A. (2015). Estudio y diseo de un sistema inmtico para seguridad, comuni-
cacin y confort, utilizando el protocolo KNX para el edificio Torre Piamonte ubicado en el
sector de Totoracocha de la ciudad de Cuenca.
Manyika, J., Chui, M., Bisson, P., Woetzel, J., Dobbs, R., Bughin, J. y Aharon, D. (2016). Unloc-
king the potential of the Internet of Things. Recuperado de http://www.mckinsey.com/bu-
74 | Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
siness-functions/business-technology/our-insights/the-internet-of-things-the-value-of-digi-
tizing-the-physical-world
Pacelle, M. (2014, April). 3 topologies driving IoT networking standards. Recuperado de http://
radar.oreilly.com/2014/04/3-topologies-driving-iot-networking-standards.html
Rana, M. (2016, June). Thirty-four percent rise in IoT development. Recuperado de http://www.
evansdata.com/press/viewRelease.php?pressID=237
Raspberry Pi Foundation. (2016). Raspberry Pi Foundation. Recuperado de https://www.raspbe-
rrypi.org/
RaZberry. (2016). RaZberry Project. Recuperado de https://razberry.z-wave.me/
Texas Instruments Incorporated. (2016). HVAC Gateway. Recuperado de http://www.ti.com/solu-
tion/iot_gateway
The Z-Wave Alliance. (2016). The Internet of Things is powered by Z-Wave. Recuperado de ht-
tp://z-wavealliance.org/
ZigBee Alliance. (2016, July). The ZigBee Alliance creates IoT standards that help control your
world. Recuperado de http://www.zigbee.org/zigbeealliance/
Diseo de una arquitectura para la comunicacin entre protocolos en internet de las cosas | 75
TECNOLOGAS DE LA INFORMACIN Y GESTIN DE PROYECTOS
[jquintanab798,erobletor703]@ulacit.ed.cr
agonzalez@ulacit.ac.cr
http://www.ulacit.ac.cr
Palabras clave: Analtica visual, GeoTIFF, GeoKey, imgenes rster, metadatos, SIG
1. Introduccin
El reconocimiento de especmenes biolgicos representa un reto para los cientficos (bilogos),
debido al nmero de caractersticas que las diferencia entre s a las especies de flora y fauna. En
este contexto, el uso de elementos taxonmicos y claves de identificacin reviste especial im-
portancia, porque permite clasificar las muestras por medio de sus caractersticas fsicas visibles.
Los principales elementos que intervienen en el proceso de identificacin, son los caracteres y los
estados de carcter, en donde el trmino carcterhace referencia a las caractersticas generales
de las especies, mientras que estados de carcterse refiere a las caractersticas especficas.
Las herramientas especializadas para la identificacin de especies que existen, tanto comerciales
como no comerciales, se basan en rboles de decisin que permiten elegir caracteres y estados
de carcter de acuerdo con las caractersticas de la muestra. Sin embargo, el uso de informacin
de geolocalizacin, relacionada con los lugares donde han sido recolectadas las muestras de
una especie, no ha sido explorada de forma amplia, por lo que la utilizacin de informacin de
georeferencias, en conjunto con el uso de rboles de decisin, puede contribuir con el proceso
de identificacin de especmenes biolgicos.
Conforme con lo anterior, este trabajo de investigacin busca apoyar el desarrollo de Iriria, una
herramienta de analtica visual1, mediante el uso de la informacin georefenciada que se encuen-
tra almacenada en mapas codificados como imgenes rster2. Cabe mencionar que los cientficos
pueden crear reas trianguladas, las cuales podran estar superpuestas, a partir de las localiza-
ciones donde han encontrado muestras de determinadas especies y que es posible almacenarlas
en mapas rster.
Como consecuencia, la seccin 2 lleva a cabo una revisin detallada sobre el uso de imgenes
rster para la codificacin y decodificacin de informacin georefenciada, mientras que la sec-
cin 3 presenta los resultados del trabajo y la seccin 4 discute las principales conclusiones y
trabajo futuro de esta investigacin.
En una imagen rster, por ejemplo, una matriz puede ser bidimensional o tridimensional, en
funcin del tipo de imagen. En el caso de las imagenes en 2D, las coordenadas geogrficas (i.e.
latitud y longitud) se almacenan en un cuadrante x, y de la matriz, mientras que en el caso de las
imgenes en 3D los datos se almacenan en un cuadrante x, y, z para representar la profundidad
de la imagen. De forma adicional, los valores contenidos dentro de los cuadrantes, se despliegan
usando colores, los cuales pueden ser monocromticos o primarios (azul, verde y rojo)3.
Entre los tipos de archivos ms comunes para el almacenamiento de imgenes rster se encuen-
tran los siguientes:
BMP (bitmap).
Para manipular las imgenes rster existe un gran nmero de herramientas comerciales4 y no
comerciales, pero tambin es posible encontrar bibliotecas para crear aplicaciones propias. En
este trabajo de investigacin se est considerando el uso de bibliotecas de cdigo abierto para
la manipulacin de los mapas, codificados como imgenes rster, para evitar las restricciones que
imponen las licencias de uso comercial.
El tamao de las imgenes puede ser superior a los 4 gigabytes, en funcin de los metadatos
que contengan, lo cual requiere que sean almacenadas en un formato conocido como BigTiff. Por
esa razn, las imagenes se comprimen para facilitar su manipulacin, pero el tipo de compresin
influye en la lectura de imgenes rster y es necesario efectuar el procesamiento de forma co-
rrecta para no perder informacin. En el caso de la biblioteca de GeoTIFF, esta utiliza el formato
de compresin BitPack.
El almacenamiento de informacin se realiza utilizando bytes en lugar de bits, lo cual permite te-
ner ms datos comprimidos dentro de un archivo TIFF, y que a la hora de apuntar a una posicin
donde se encuentran agrupados unos y ceros, se pueda hacer referencia a una posicin dentro
del arreglo y no a un valor particular 5.
En los archivos TIFF la informacin se almacena usando cuadrculas de cientos o miles de puntos
en notacin hexadecimal, y los agrupa en un arreglo bidimensional usando grupos de 8, 16 y 32
bits. Para poder ubicar un valor en un arreglo dentro del espacio rster, conocido tambin como
R, es importante saber que los pixeles se ubican dentro de una cuadrcula. El rea de pixeles se
define por medio de las coordenadas i (fila) y j (columna) para recorrer el arreglo.
Los metadatos que almacena el formato GeoTIFF estn organizados en un catlogo de GeoKeys
(GeoKeyDirectoryTag) (Ritter y Ruth, 2000), que se almacena en el encabezado de los archivos.
Las GeoKeys contienen etiquetas TIFF reservadas que tienen informacin pblica o privada so-
bre una regin o lugar especfico y usan un identificador numrico que se encuentra en un rango
de 0 a 65535. No todas las GeoKeys se pueden utilizar de forma libre, debido a que pueden estar
reservadas para usos especficos.
Los parmetros del encabezado de los archivos GeoTIFF se basan en una estructura geogrfica,
que fue desarrollada por el European Petroleum Survey Group (EPSG/POSC). Estos parmetros
se utilizan para identificar posiciones geogrficas en un sistema de coordenadas e implica la uti-
lizacin de un sistema de estructuras elipsoides u ovaladas para identificar puntos dentro de la
tierra, basados en referencias verticales u horizontales (Geodetic datums). Estos puntos, tambin
conocidos como ejes, permiten definir tanto la latitud como la longitud, tomando en cuenta el
paralelo 0 (conocido como Ecuador) para el caso de la latitud y el meridiano de Greenwich para
la longitud (Ritter y Ruth, 2000).
Como consecuencia, los archivos GeoTIFF requieren de un par GeoKey/nombre que est de-
finido en la lista estndar de parmetros, para hacer una proyeccin del mapa de forma plana,
usando la representacin de la tierra por medio de longitudes y latitudes.
4 Entre las herramientas comerciales mejor conocidas para la manipulacin de imgenes rster se encuentran Auto-
Cad, Adobe Ilustrator y Photoshop.
5 A esta forma de guardar datos dentro de un TIFF se le conoce como Big and Little Endian.
3. Resultados
La implementacin de la herramienta se llev a cabo utilizando GeoTIFF (Schindler, 2015), una bi-
blioteca en JavaScript para leer los metadatos contenidos en las imgenes rster (lhomme, 2014).
La lectura de una imagen rster conlleva la identificacin de las GeoKeys que se encuentran en
la imagen en formato TIFF, lo cual requiere recorrer los pixeles de la imagen para obtener los
metadatos. Una vez que se localizan los metadatos, estos son extrados y cargados por la herra-
mienta, lo cual produce un efecto de cambio de color de la imagen, debido a que la informacin
almacenada en los metadatos es mostrada.
Las pruebas realizadas durante este trabajo utilizaron como referencia el mapa que se muestra en
la figura 1, sobre la cual se proyectan las imgenes que son procesadas.
El procesamiento de las imgenes se lleva a cabo usando una funcin denominada loadmaps, la
cual carga la imagen de un mapa rster, para una regin geogrfica seleccionada. Esta funcin
utiliza OpenLayers (Kirkman y Davis, 2014), una biblioteca de cdigo abierto, para ubicar sobre
el mapa (figura 1) la imagen de la zona geogrfica escogida, con base en los metadatos de geo-
localizacin.
Una vez que la imagen ha sido cargada y procesada, es posible observar la informacin que tiene
codificada (vanse las figuras 2 y 3).
Los pasos del algoritmo que se siguen una vez que la imagen es cargada, son los siguientes:
1. Se realiza la bsqueda de una GeoKey dentro de los metadatos de la imagen, usando una
variable denominada como fieldTagName.
2. Se obtienen los valores almacenados en la etiqueta asociada a la GeoKey.
3. Se ejecuta una funcin para obtener un TagName. Esta funcin compara el valor de la eti-
queta y los valores de etiqueta que estn definidas en el cdigo del programa.
4. Se procede a buscar, mediante la variable fieldTypeNames, una GeoKey que indica el tipo
de llave que contiene esa etiqueta.
5. El proceso utiliza una variable para guardar los valores obtenidos, para luego mostrarlos en
el mapa.
Figura 3. Imagen procesada por las libreras, los colores se encuentran definidos por las etiquetas y, podran ser utili-
zados para identificar datos en un mapa
La secuencia se repite el nmero de veces que sea necesario, en funcin de las GeoKeys en los
metadatos de la imagen.
4. Conclusiones
El almacenamiento de metadatos en mapas codificados como imgenes rster es un recurso
valioso para asociar datos de diferente ndole a localizaciones geogrficas especficas, por lo
que en el contexto de la identificacin de especmenes biolgicos resulta de gran utilidad para
obtener detalles acerca de las especies que se han identificado en una zona o regin particular.
Entre los detalles de las especies que se pueden almacenar en los mapas se encuentran la fecha
en que las muestras fueron recolectadas, quin las recolect y la institucin a la cual se encuentra
vinculado el recolector.
En lnea con lo anterior, como trabajo futuro se estar ampliando la prueba de concepto para
realizar la escritura de informacin, sobre las muestras de especies, en las imgenes rster, as
como la integracin de la implementacin como parte de Iriria.
Referencias
Aigner, W., Bertone, A. & Miksch, S. (2008). Introduction to visual analytics. Danube University
Krems, Austria.
Foundation, O. (2006). Openstreetmap. Recuperado de https://www.openstreetmap.org/
Kirkman, R. & Davis, T. (2014). Openlayers 3. Recuperado de https://github.com/openlayers/ol3
lhomme, X. (2014, dec). A javascript-based parser for the geotiff image format. Recuperado de
https://github.com/xlhomme/GeotiffParser.js
Ritter, N. & Ruth, M. (2000). Geotiff format specification: Geotiff revision 1.0. Recuperado de
http://www.remotesensing.org/geotiff/spec/geotiffhome.html
Schindler, F. (2015). Read raw data from geotiff files. Recuperado de https://github.com/constan-
tinius/geotiff.js
Randall Barnett Villalobos, Susan Rodrguez Segura, Julio Chinchilla Moya y Wilson Acua
Araya
[rbarnettv200,srodriguezs044,jchinchillam135,lacunaa475]@ulacit.ed.cr
http://www.ulacit.ac.cr
Resumen Para el ao 2015, los laboratorios de Panda Security procesaron en promedio 230 mil
muestras de malware por da, es decir, 84 millones al ao. Eso implic un incremento de 9 millo-
nes ms que en el 2014. Es en este escenario que el intercambio de inteligencia en el rea de la
seguridad informtica busca convertirse en un estndar que permita compartir las caractersticas
de las ciberamenazas de una manera estndar. Con la utilizacin de metalenguajes de comuni-
cacin y metalenguajes de observabilidad, se logra realizar el intercambio de informacin sobre
amenazas entre distintas fuentes, efectuando la caracterizacin de los archivos para compartir la
informacin obtenida de forma estndar.
1. Introduccin
Para la identificacin de nuevas amenazas es necesario profundizar en el tema de lenguajes de
intercambio de inteligencia. La organizacin MITRE propone varios metalenguajes que permiten
aprovisionar al investigador, de un sistema de caracterizacin y bsqueda entre distintas fuentes
de informacin para la deteccin de vulnerabilidades.
Estos metalenguajes son verstiles, ya que permiten crear herramientas de software por medio
de los API de MITRE, para poder consultar la informacin en tiempo real. Adems, permiten ob-
tener datos de diversas fuentes, ya sean propias o proporcionadas por terceros, que sirven como
una base de conocimiento gratuita para la rpida resolucin de incidentes de ciberseguridad.
La idea central de esta investigacin es la creacin de una herramienta de uso libre donde las
organizaciones y empresas a nivel global tengan la facilidad de aprovisionar, consultar y colabo-
rar con informacin de los archivos sospechosos que detecten en sus sistemas al haber recibido
algn ataque. Esta herramienta posee la capacidad de extraer datos relevantes de archivos sos-
pechosos y comparar la informacin obtenida para la caracterizacin de estas amenazas.
En una segunda etapa, se espera que tenga la capacidad de compartir los datos importantes de
caracterizacin del malware informtico en una base de datos de conocimiento global.
Para lograr la creacin de esta herramienta, se utilizaron dos grupos de metalenguajes un fra-
mework de intercambio de informacin entre servidores que las API de MITRE ofrecen:
El intercambio de inteligencia trata del anlisis de la informacin con el fin de compartir los
hallazgos encontrados en artefactos de software, para poder realizar una caracterizacin de las
amenazas. Esto permite: describir el tipo de ataque ulterior, tener informacin importante de su
origen, crear especificaciones de cmo reconocerlo y posteriormente analizar la manera de cmo
evitarlo (EclecticIQ, 2016).
Los ataques por medio de la web buscan obtener informacin o acceso a los sistemas crticos de
una organizacin. Para las empresas u organizaciones es vital tener conocimiento de las amena-
zas a las que se estn enfrentando, por lo tanto, a la hora de ocurrir un evento es obligatorio tener
una base de datos de conocimiento con reportes detallados sobre determinados hallazgos de
ataques anteriores, propios o de terceros, lo que permite generar ciberinteligencia para perfilar
y evitar futuras amenazas.
Para realizar este proceso se utilizaron los API provistos en Python 2.X para extraer informacin
relevante de los archivos, estandarizarlos y ordenarlos de una manera comprensible al ser huma-
no, sin importar la fuente de procedencia.
1.1. STIX
Este metalenguaje estandarizado presenta los datos de las amenazas de una manera estructura-
da. Est compuesto por distintos objetos, a saber: los observables, indicadores, incidentes, TTP,
objetivos de exploits, cursos de accin y los reportes.
Este metalenguaje muestra la informacin en formato XML fuertemente tipado, el cual es utiliza-
do para representar los datos adquiridos de una forma ms legible.
Para hacer uso de STIX se deben importar las siguientes libreras de Python:
Adems se debe crear un CybOX File Object, el cual va a contener un hash del archivo a carac-
terizar, como parte de un identificador nico (Security Intelligence, IBM, 2015). A partir de esto se
construye el paquete STIX y se adjunta el hash:
Un paso importante para crear un indicador que identifique el artefacto de software de forma
unvoca, hacindolo observable, se hace de la siguiente manera:
indicator = Indicator()
indicator.title =
observable indicator +
file.file_name
indicator.description =
An indicator containing the observable
indicator.set_producer_identity(
ULACIT Costa Rica)
indicator.set_produced_time(
utils.dates.now())
indicator.add_object(file)
Los pasos subsecuentes servirn para poder compartir el objeto observable, por lo que se debe
aadir la fuente de informacin, para lo cual se usarn los parmetros de inicializacin a fin de es-
tablecer los nombres de las herramientas y de los proveedores del hallazgo. Es necesario, como
todo XML fuertemente tipado, darle las cabeceras adecuadas para que sea inspeccionado por el
API y aadirlo a la coleccin de paquetes de STIX :
stix_header.information_source =
InformationSource()
tool = ToolInformation(
tool_name=Intel-Sharing,
tool_vendor=The MITRE Corporation
)
stix_package.stix_header = stix_header
stix_package.add(indicator)
return stix_package.to_xml()
1.2. TAXII
TAXII no se refiere a un programa de intercambio, sino a un conjunto de especificaciones para el
intercambio de informacin de amenazas cibernticas y as ayudar a las organizaciones a compar-
tir informacin relevante sobre estas amenazas. Este framework trabaja como un mecanismo de
transporte para STIX que estandariza automticamente la informacin sobre amenazas (MITRE,
2014).
1. Hub and spoke: donde una organizacin funciona como un centro o repositorio de inter-
cambio de informacin para distintas organizaciones que pueden ver e incluir informacin.
2. Source/subscriber: donde una organizacin funciona como una nica fuente de informacin
para otras organizaciones donde solamente pueden ver la informacin.
Peer to Peer: donde dos o ms organizaciones comparten informacin entre s directamente.
TAXII define el comportamiento de cuatro servicios, con respecto a cmo esa informacin ser
compartida:
4. Descubrimiento: Un servicio para aprender cules servicios son compatibles y cmo inte-
ractuar con ellos.
respuestas HTTP.
import libtaxii as t
import libtaxii.clients as tc
import libtaxii.messages as tm11
from libtaxii.constants import *
def add_taxii(stix_file):
content_block_bindings =
tm.ContentBinding(BIND_ID, None)
content_block =
tm.ContentBlock(content_block_bindings,
stix_file,
None, None)
content_block_list = [content_block]
message = tm.InboxMessage(
El siguiente cdigo es la respuesta del estado del mensaje proporcionado por TAXII.
HTTP/1.1 200 OK
Date: Fri, 19 Ene 2016 13:22:04 GMT
Server: Apache/2.2 (Linux Kali)
X-TAXII-Protocol:
urn:taxii.mitre.org:protocol:http:1.0
X-TAXII-Content-Type:
urn:taxii.mitre.org:message:xml:1.1
X-TAXII-Services:
urn:taxii.mitre.org:services:1.1
Content-Type: application/xml
Transfer-Encoding: chunked
Connection: keep-alive
Proxy-Connection: keep-alive
<taxii_11:Status_Message
xmlns:taxii_11=http://taxii.mitre.org
/messages/taxii_xml_binding-1.1
message_id=59222
in_response_to=36508
status_type=SUCCESS/>
Estas cabeceras viajarn entre servidores que consuman el servicio web que aprovisione el men-
saje.
2. Analizador de direcciones IP
El analizador es una aplicacin funcional para el anlisis de cualquier direccin IP en distintas ba-
ses de datos, con el fin de obtener informacin de su estado y ubicacin geogrfica.
3. Virus total
A la aplicacin de intercambio de inteligencia se le incluy el API oficial de Virus Total, con el cual
se le aplica un valor agregado a los reportes, donde se indica la cantidad de detecciones por
antivirus que fueron encontrados en el archivo analizado.
La herramienta Virus Total tiene la funcin de indicar si el archivo que se est analizando para ser
caracterizado cuenta con algn tipo de cdigo malicioso, el cual es detectado por alguno de los
motores de antivirus con los que cuenta el API.
Primero se procede a verificar el hash en la base de datos local, luego se verifica este mismo
dato en Virus Total, el cual proporciona el resultado. Luego de verificar el archivo malicioso, se
procede a realizar el empaquetado de la informacin con STIX, se prepara el paquete STIX con
las cabeceras TAXII para el intercambio, se guarda el resultado en la base de datos dejando el
archivo resultante en formato XML en el servidor y, por ltimo, muestra la informacin respectiva
en pantalla (Barnum, 2014).
4. Resultados
El tema de lenguajes de intercambio de informacin an est poco desarrollado, con su utiliza-
cin se pueden explorar muchas funcionalidades tiles para cualquier empresa, sea cual sea la
orientacin del negocio. Existe gran cantidad de informacin que se puede obtener realizando la
caracterizacin de un archivo malicioso. Se logr caracterizar ms de 100 artefactos de software,
almacenando la informacin resultante en una base de datos MySQL, que incluye:
Listas
negras de donde se encuentra el elemento caracterizado y resultados de escaneos
en ms de 60 antivirus por cada artefacto analizado.
5. Conclusiones
El tema de los metalenguajes para el intercambio de informacin an est poco desarrollado.
Con su utilizacin se pueden explorar muchas funcionalidades tiles para cualquier empresa, sea
cual sea la orientacin del negocio. Existe gran cantidad de informacin que se puede obtener
al realizar la caracterizacin de un archivo malicioso, el cual conlleva investigar ms a fondo para
sacarle mayor provecho a estos metalenguajes. Actualmente se desconoce o no se maneja muy
bien el concepto de este tipo de herramientas (las cuales se pueden utilizar de manera gratuita),
y no existe documentacin extensa sobre el tema, lo que dificulta la implementacin de este tipo
de aplicaciones.
6. Recomendaciones
Los lenguajes de intercambio de inteligencia, deben ser investigados ms a fondo, debido a que
abarcan un sinnmero de funcionalidades, las cuales no fueron desarrolladas en su totalidad en
este proyecto. Es importante seguir desarrollando funcionalidades de CyBOX y MAEC, as como
STIX y TAXII.
An se debe modificar la manera de trabajar de STIX para que reciba la informacin requerida
por medio de parmetros. Un punto importante para aplicar en la siguiente investigacin es la
implementacin de un analizador de malware como Anubis, el cual brindar un informe en dis-
tintos formatos que puede ser relacionado con MAEC y as lograr la caracterizacin completa.
Se debe agregar seguridad a la aplicacin e implementar sockets para mejorar el rendimiento
de la aplicacin, para que logre leer ms de un archivo (por ejemplo una carpeta completa con n
cantidad de archivos). Se debe continuar con el desarrollo de un servidor TAXII donde se pueda
recibir el paquete que est listo, para ser enviado por la aplicacin y de esta manera realizar el
proceso completo de intercambio de inteligencia.
Referencias
Barnum, S. (2014). Standardizing cyber threat intelligence information with the structured threat
information expression (stix). Recuperado de http://stixproject.github.io/getting-started/
whitepaper/
EclecticIQ. (2016). Stix and taxii threat intelligence analysis. Recuperado de https://www.eclecti-
ciq.com/stix-taxii.html
MITRE. (2014). Taxii-specifications. Recuperado de https://github.com/TAXIIProject/TAXII-Speci-
fications
Security Intelligence, IBM. (2015). Stix, taxii and cybox can help with standardizing threat in-
formation. Recuperado de https://securityintelligence.com/how-stix-taxii-and-cybox
-can-help-with-standardizing-threat-information/