“Mejores prácticas” para la gestión de procesos y servicios TI

Gestionar una infraestructura compleja de hardware y software implica tomar las

riendas de más de una tecnología. Según muchos gestores TI, metodologías como
Information Technology Infrastructure Library (ITIL), COBIT, CMMi, ISO 17799 o
Six Sigma, resultan potentes herramientas para la optimización de las operaciones y el
mantenimiento incluso de los entornos más complejos.

Cambiar la forma en que las cosas se realizan puede resultar un reto más ambicioso y
arriesgado que el mero despliegue de software, pero los defensores de estos métodos
aseguran que merece la pena. Y cada vez son más los proveedores de servicios y
suministradores de software que, como Opticom o InteQ, utilizan sus certificaciones
ITIL para probar a potenciales clientes que al comprar sus soluciones, no sólo estarán
adquiriendo tecnología, sino también una metodología de procesos del más alto nivel
para optimizar el rendimiento de sus recursos TIC.

Según Corey Ferengul, analista de Meta Group, muchos departamentos TI intentan

hacer frente al crecimiento de la carga de gestión introduciendo más empleados y
tecnología, cuando lo más indicado sería acometer una profunda transformación de sus
procesos, que generalmente conservan una naturaleza estrictamente reactiva. En
cualquier organización que crece, los procesos aumentan y, por tanto, acaban
constituyendo una carga demasiado pesada de llevar con la única ayuda de los métodos
tradicionales. “Su reacondicionamiento es una tarea compleja, pero lo más lógico y
efectivo es optimizar los procesos, en lugar de ampliar recursos a fin de evitar los
cambios necesarios para mejorar los procedimientos”, asegura Corey Ferengul, analista
de Meta Group.

Pero, afortunadamente, son cada vez más las empresas conscientes de esta problemática
que se deciden a adoptar procedimientos basados en compendios de las “mejores
prácticas” normalizados de forma oficial por diversas organizaciones en marcos de
actuación para la gestión TI por diversas organizaciones. Las alternativas incluyen ITIL
(IT Infrastructure Library), Six Sigma, COBIT (Control Objectives for Information and
Related Technology), CMMi (Capability Maturity Model Integration) e ISO 17799.

Optimizando costes

ITIL, originaria de Gran Bretaña, recoge un compendio que pretende estandarizar las
“mejores prácticas” para la gestión de servicios TI desarrollado a finales de la década de
los ochenta por la Central Computer and Telecommunications Agency (ahora Office of
Government Commerce). Este modelo de gestión se recoge en una obra de dos
volúmenes en la que se aportan valiosas guías para acometer procesos frecuentes en las
TI empresariales, como son la gestión de cambios, la respuesta ante incidentes y la
configuración de la red.

Existen muchos componentes en el modelo ITIL. El elemento de soporte de servicio

(Service Support) incluye gestión de incidentes, gestión de problemas, gestión de
cambios, y gestión de configuración, entre otros.
La entrega de servicios (Service Delivery) abarca la gestión de la disponibilidad, la
gestión de capacidad, la gestión de continuidad de servicio, gestión financiera y la
gestión de nivel de servicio. A su vez, cada componente lleva asociado un conjunto de
prácticas y procedimientos recomendados que pueden ser adoptados individualmente o
de manera global.

Sus partidarios aseguran que la adopción de prácticas ITIL para la implementación y

gestión de tecnología, no sólo les ahorra quebraderos de cabeza, sino también mucho
tiempo y dinero. Uno de ellos es la compañía estadounidense Procter & Gamble, que
empezó a utilizar ITIL hace tres años, y, desde entonces, ha visto como sus costes
operativos se reducían en entre un 6 y un 8%, mientras que las necesidades de personal
TI disminuían entre el 15 y el 20 %. Otro dato especialmente significativo para ilustrar
la eficiencia de la metodología es el hecho de que el número de llamadas al servicio
helpdesk de la empresa descendió en un 10%.

También The Ontario Justice Enterprise decidió aplicar ITIL a la gestión de sus TI. Lo
hizo hace dos años y medio, y gracias a ello, ha podido crear n servicio de helpdesk
virtual gracias al cual sus costes de soporte son ahora un 40% menores. Por su parte, el
fabricante de motores y equipamiento de construcción Caterpillar emprendió un
proyecto ITIL hace 18 meses. Tras aplicar los principios de este modelo, el porcentaje
de casos en que se conseguía alcanzar el objetivo corporativo para la gestión de
incidentes en servicios relacionados con la Web aumentó de un 60% a más de un 90%;
el aumento de la eficiencia del departamento TI quedaba de esta forma demostrado de
manera contundente.

En cualquier caso, la conveniencia de adoptar este tipo de metodologías no sólo se

deriva de su capacidad para simplificar la gestión de los procesos y reducir los costes a
ellos asociados. También constituyen una guía normalizada para la calidad de los s
ervicios. Casi cualquier responsable de TI considera hoy que la entrega de servicios de
calidad desde el punto de vista de sus usuarios finales es una de sus prioridades. Y,
aunque entre los tecnólogos se escribe mucho sobre la gestión, pero bastante poco sobre
los enfoques prácticos para alcanzar la calidad de servicio.

Six Sigma, un modelo más global

Aunque en un principio se consideraron como métodos alternativos para lograr, a través

de una gestión adecuada, servicios de calidad, muchas organizaciones están encontrando
en ITIL y Six Sigma los mayores beneficios en la adopción de ambos modelos al mismo
tiempo. En cualquier caso, cada uno tiene sus propios méritos y puede ser utilizado
individualmente. ITIL proporciona esencialmente una estructura claramente definida
para la distribución y soporte de servicios basados en TI, mientras que Six Sigma es un
proceso de gestión de calidad basado en mediciones estadísticas utilizadas para mejorar
la calidad reduciendo los costes operacionales. Muchos suministradores de software de
gestión de nivel de servicio (SLM) soportan ya alguna o ambas de estas metodologías.

Six Sigma fue estandarizado por Motorola en la década de los noventa, pero el término
fue acuñado antes por un ingeniero de esta compañía y sus antecedentes se remontan
incluso al siglo XIX. Está muy orientada a los ahorros económicos, y ha sido aplicada
en gran medida fuera del ámbito de la gestión TI para mejorar los procesos
operacionales en diferentes ámbitos de los negocios. Se trata de un intento de formalizar
la evaluación de cuáles son los procesos realmente importantes para el negocio,
midiendo la calidad de los servicios para estos procesos de manera estadística.
Cualquier organización que tome todos sus procesos para optimizarlos y medir
resultados cuantificables estará hundiéndose en un profundo abismo que la distraerá de
sus objetivos de negocio principales. Por eso, los conceptos Six Sigma implican, en
primer lugar, la identificación de aquellos procesos más importantes para el éxito del
negocio. Ese pequeño grupo de procesos de negocio claves que serán entonces medidos
y monitorizados, constituyéndose en el objeto de aplicación de la metodología. El
resultado será la mejora de los procesos y, en consecuencia, también de los resultados y
del negocio.

Six Sigma encaja especialmente bien en entornos donde resulta especialmente necesaria
la gestión del nivel de servicio (SLM- Service Level Management), que es, por
definición el proceso de definir y, en consecuencia, gestionar la entrega de servicios TI
con un estándar de calidad. Crea una forma de medir tangiblemente el servicio que
puede o bien ser integrado formalmente en acuerdos de nivel de servicio (SLA) o de
manera no formalizada dentro de la estructura organizacional. Priorización y
satisfacción del cliente son también aspectos críticos de Six Sigma.

COBIT
En estos momentos, ITIL y Sig Sigma son las metodologías de gestión TI más
frecuentemente utilizadas, pero existen otras. Una de ellas es COBIT. Desarrollada en
1996 por las organizaciones estadounidenses Information Systems Audit and Control
Association e IT Governance Institute como un estándar para la seguridad y el control
en los procedimientos TI, COBIT ofrece un marco para usuarios, gestores de auditorías
y responsables de seguridad TI. Quizá debido a la creciente regulación de cuestiones
como la protección de datos personales o la privacidad de la información, ahora, en su
tercera versión, este método está ganando aceptación como guía de prácticas para
controlar datos, sistemas y riesgos relacionados.

Las directrices de gestión (Management Guidelines) de COBIT aportan herramientas

que miden las capacidades de una empresa en 34 procesos TI diferentes. Incluyen
elementos para la medida del rendimiento, un listado de factores críticos para el éxito
que proporciona las mejores prácticas para cada proceso TI y modelos de madurez que
ayudan en tareas de benchmarking.

El principal valor de COBIT es su capacidad para guiar a las empresas en los procesos
necesarios para implementar el control que sobre su información exija la regulación
vigente y para demostrar el cumplimiento de la misma. Por ejemplo, si una compañía
afirma haber securizado la entrada a su centro de datos utilizando un proceso de
registros y contraseñas, utilizando COBIT podrá extraer un informe completo de las
entradas que se hayan producido durante un determinado período de tiempo. Además,
aporta un valor al centro de datos por sí mismo, dado que incrementa el nivel de control
sobre los procesos, resultando especialmente valioso en cualquier entorno donde la
confidencialidad y la privacidad son factores críticos.

CMMi e ISO 17799

CMMi nació como un marco de aplicación más específica que los modelos anteriores,
aunque también ha evolucionado hasta hacerse aplicable a los diferentes procesos de los
negocios. Publicado en 1991 por el Software Engineering Institute de la Universidad
Carnegie Mellon, CMMi se constituyó rápidamente en una guía para la mejora de los
procesos de desarrollo de software, ingeniería e I+D. Su objetivo original era
incrementar la calidad de productos y servicios, aumentar la eficiencia del desarrollo y
reducir los riesgos asociados a los procesos característicos de esta actividad.

Contempla cinco niveles para medir la madurez los procesos que se deseen valorar, cada
uno de los cuales ofrece un compendio de mejores prácticas para que las empresas
puedan mejorar el proceso en cuestión y subir progresivamente su lugar en la
clasificación. Esta referencia es aplicable a la medición de la madurez de los procesos
TI y constituye una herramienta especialmente útil para identificar con precisión qué
debe ser mejorado, orientando los esfuerzos exactamente a los lugares adecuados y en la
medida apropiada.

Finalmente ISO 17799, desarrollado por la International Organization for

Standardization en el año 2000, es un estándar de seguridad que, de hecho, es la base de
las recomendaciones ITIL en cuanto a gestión de seguridad. ISO 17799 está organizado
en torno a grandes áreas: planificación de continuidad de negocio, control de acceso al
sistema, mantenimiento y desarrollo del sistema, seguridad física y del entorno,
conformidad, seguridad personal, organización de la seguridad, gestión de operaciones
y de la base informática, control y clasificación de activos, y políticas de seguridad.

Este estándar puede ayudar a establecer las prácticas más recomendables para garantizar
que las operaciones de negocio continuarán funcionando en caso de caída de sistemas o
cualquier otra incidencia que pueda provocar alguna interrupción de los servicios.
Asimismo, normaliza el control de acceso a los datos, sistemas y redes, y aporta
métodos para proteger la confidencialidad e integridad de información, prevenir accesos
no autorizados a las instalaciones de la empresa y cumplir con las regulaciones vigentes.

Todas las metodologías mencionadas son generalmente aceptadas como compendios de

las prácticas más recomendables en la gestión TI. A la hora de elegir alguna o una
combinación de ellas, conviene que cada organización determine previamente cuál es el
objetivo que persigue mediante la adopción de una guía de este tipo. Aunque la
adquisición de la metodología no resulte costosa, su implementación en la organización
puede llegar a serlo, dado que quizá exija realizar inversiones en formación, productos
de software y consultoría.