Sistemas de la Información Organizacionales

Sistemas de Información
La definición técnica de un sistema de información es un conjunto de componentes interrelacionados que procesan y
almacenan datos convirtiéndolos en información útil para los usuarios para apoyar los procesos de toma de
decisiones y de control en una organización. Además de apoyar la toma de decisiones, la coordinación y el control,
los sistemas de información también pueden ayudar a los gerentes y trabajadores del conocimiento a analizar
problemas, visualizar temas complejos y crear nuevos productos.
Los sistemas de información contienen información sobre personas, lugares y cosas importantes dentro de la
organización, o en el entorno que la rodea. Por información se conoce a los datos que se han modelado en una
forma significativa y útil para los seres humanos. Por el contrario, los datos son flujos de elementos en bruto que
representan los eventos que ocurren en las organizaciones o en el entorno físico antes de ordenarlos e interpretarlos
en una forma que las personas puedan comprender y usar. En la figura 1.1 se puede apreciar una representación
del sistema de información que toma como entrada los datos de clientes, productos y transacciones, y produce
información a través de las salidas ventas por cliente y producto.

Clientes
Productos 1001 Juan López
989223
001 Jabón en barra
25 1002 Laura Padilla
32856
002 Café Molido 60
003 Leche en polvo
120

Transacciones
1001 20/02/22 001
10 250
1002 27/02/22 003
1 120

Sistemas de
Información

Información
Ventas por cliente 1001 250
Ventas por producto 003 120

Imagen 1 – Datos e información

Adaptada de Los sistemas de información en el negocio global de hoy. (Laudon & Laudon, 2020)

Existe tres actividades en un sistema de información que producen los datos necesarios para que las organizaciones
tomen decisiones, controlen las operaciones, analicen problemas y creen nuevos productos o servicios. Estas
actividades son: entrada, procesamiento y salida (vea la figura 1.2). La entrada captura o recolecta los datos a
través de transacciones provenientes de los usuarios, sistemas o fuentes de datos. El procesamiento convierte esta
entrada en bruto en un formato significativo. La salida transfiere la información procesada a las personas que harán
uso de ella, o a las actividades para las que se utilizará. Los sistemas de información también requieren
retroalimentación: la salida que se devuelve a los miembros apropiados de la organización para ayudarles a evaluar
o corregir la etapa de entrada.

Clientes
Proveedores

Sistema de Información

Entrada Procesamiento Salida

Entes Accionistas Competidores

reguladores
Imagen 1.2 – Funciones de un sistema
Adaptada de Los sistemas de información en el negocio global de hoy. (Laudon & Laudon, 2020)

Proceso de negocios
Los procesos de negocios se refieren a la forma en que se organiza, coordina y enfoca el trabajo para producir un
producto o servicio valioso. Los procesos de negocios son el conjunto de actividades requeridas para crear un
producto o servicio. Estas actividades se apoyan mediante flujos de información y conocimiento entre los
participantes en los procesos de negocios. Los procesos de negocios también se refieren a las formas únicas en que
las organizaciones coordinan el trabajo, la información y el conocimiento, y cómo la gerencia elije gestionar el
trabajo. En mayor grado, el desempeño de una empresa depende de qué tan bien están diseñados y coordinados
sus procesos de negocios, los cuales pueden ser una fuente de solidez competitiva si le permiten innovar o
desempeñarse mejor que sus rivales.
Podemos ver a toda empresa como un conjunto de procesos de negocios, algunos de los cuales forman parte de
procesos más grandes que abarcan más actividades. Por ejemplo, diseñar un nuevo modelo de automóvil, fabricar
componentes internos, ensamblar de partes y revisar tanto el diseño como la construcción son procesos que forman
parte del procedimiento de producción general. Muchos procesos de negocios están enlazados con un área
funcional específica. Por ejemplo, la función de ventas y mercadeo es responsable de identificar a los clientes y la
función de recursos humanos de contratar empleados. La tabla 1-1 describe algunos procedimientos comunes de
negocios para cada una de las áreas funcionales de una empresa.

Área funcional Procesos de negocios

Manufactura y producción Ensamblar producto
Verificar la calidad
Producir listas de materiales
Ventas y mercadeo Identificar a los clientes
Hacer que los clientes estén conscientes del producto
Vender producto
Finanzas y contabilidad Pagar proveedores
Crear estados financieros
Administrar cuentas de efectivo
Recursos humanos Contratar empleados
Evaluar el desempeño laborar de los empleados
Inscribir a los empleados en planes de beneficios
Tabla 1.1 – Procesos de negocio

Tipos y usos
Soluciones Empresariales
Esos sistemas abarcan las áreas funcionales, se enfocan en procesos de negocios e incluyen los niveles
gerenciales. Las aplicaciones empresariales ayudan a la organización a ser más flexible y productiva al coordinar
sus procesos de negocio de manera eficiente y en el servicio al cliente. Existen tres soluciones empresariales
importantes (Laudon & Laudon, 2020):
• Sistemas Empresariales (ERP): también son conocidos como sistemas de planificación de los recursos empresariales
(ERP). Permiten integrar los procesos de negocios en manufactura y producción, finanzas y contabilidad, ventas y
marketing, y recursos humanos en un solo sistema de software. La información que antes se fragmentaba en muchos
sistemas distintos ahora se guarda en una sola base de datos, en donde se puede utilizar por muchas partes distintas
de la empresa. Algunos ejemplos de software en esta categoría son: SAP, Oracle, Microsoft Dynamics, Odoo.
• Sistema para la Administración de la Cadena de Suministros (SCM): permiten a la organización administrar las
relaciones con los proveedores. Estos sistemas ayudan a proveedores, empresas de compras, distribuidores y
compañías de logística a compartir información sobre pedidos, producción, niveles de inventario, y entrega de productos
y servicios, de modo que puedan surtir, producir y entregar bienes y servicios con eficiencia. El objetivo primordial es
llevar la cantidad correcta de sus productos desde el origen hasta su punto de consumo en el menor tiempo posible y
con el costo más bajo. Estos sistemas aumentan la rentabilidad de las empresas al reducir los costos de transportación
y fabricación de los productos, y al permitir a los gerentes tomar mejores decisiones en cuanto a la forma de organizar
y programar el suministro, la producción y la distribución. Algunos ejemplos de software en esta categoría son: SAP,
Oracle, Microsoft Dynamics
• Sistemas de Administración de Relaciones con los Clientes (CRM): ayudan a administrar las relaciones con sus
clientes. Los sistemas CRM proveen información para coordinar todos los procesos de negocios que tratan con los
clientes en ventas, marketing y servicio para optimizar los ingresos, la satisfacción de los clientes y la retención de éstos.
Esta información ayuda a las empresas a identificar, atraer y retener los clientes más rentables; a proveer un mejor
 servicio a los consumidores existentes; y a incrementar las ventas. Algunos ejemplos de software en esta categoría son:
SAP, Salesforce, Oracle, Microsoft Dynamic, ZOHO, Hub Spot.

Sistemas Gerenciales
Una organización hace uso de varios sistemas gerenciales para dar soporte a la toma de decisiones a los grupos de
niveles administrativos. Algunos ejemplos son los siguientes
• Los sistemas de información transaccionales se refieren a la creación de una base de datos mediante la clasificación y
el almacenamiento de datos que pueden ser potencialmente útiles para el responsable de la toma de decisiones. La
información que proporciona la base de datos es meramente sugerente. Está diseñado para toma de decisiones no
estructuradas ya que tiene que determinar las relaciones de causa y efecto de las acciones a tomar.
• Los sistemas de información predictiva proporcionan predicciones e inferencias basadas en los modelos estadísticos.
El responsable de la toma de decisiones también puede preguntarse: ¿qué pasaría si se tomara una determinada
acción? y si las suposiciones posteriores son ciertas. Este tipo de sistemas son útiles para las decisiones
semiestructuradas. Este tipo de análisis es posible en tiempo real debido algunos motores de base de datos incluyen la
capacidad de procesamiento en memoria por lo cual generar estos análisis no sobrecarga el sistema. En la imagen 1-3
se muestra un tablero de indicadores que permiten darse cuenta del estado de una situación en tiempo real.
• Los sistemas de información para la toma de decisiones proporcionan asesoramiento experto al responsable de la toma
de decisiones, ya sea en forma de un único curso de acción recomendado o como criterios de elección, dado el sistema
de valores que prevalece en la organización. El responsable de la toma de decisiones sólo tiene que aprobar, desaprobar
o modificar la recomendación. Los sistemas de información para la toma de decisiones son adecuados para las
decisiones estructuradas. La investigación de operaciones y los estudios de rentabilidad son ejemplos de sistemas de
información para la toma de decisiones.

Imagen 1.3 – Ejemplo de indicadores

Tomada de Indicadores Covid-19. (Johns Hopkins, 2022)
En la figura 1.4 se presenta un ejemplo de la arquitectura de un sistema de Inteligencia de negocios, la complejidad
de esta varía en función de la solución que se espera proporcionar y la tecnología que se use. A continuación, se
describen las capas que lo integran:
• Fuentes de datos: son todos los sistemas que capturan y mantienen los datos transaccionales y operativos identificados
como esenciales para el modelo de datos, por ejemplo, ERP, CRM, finanzas, fabricación y sistemas de gestión de la
cadena de suministro. También pueden incluir fuentes secundarias, como datos de mercado y bases de datos de
clientes de proveedores de información externos. Como resultado, las fuentes de datos internas y externas.
Herramientas de software utilizadas: SQL Server Integration Server, Pentaho, AWS Glue, Google Dataflow.
• Data Warehouse: es un gran repositorio de datos acumulados provenientes de una amplia fuente de datos. En este
paso se hacen uso de herramientas para integrar y consolidar diferentes conjuntos de datos para crear vistas unificadas
de ellos. La tecnología de integración de datos más utilizada para soluciones de Inteligencia de Negocios es el software
de extracción, transformación y carga (ETL), que extrae datos de los sistemas de origen en procesos por lotes. Otros
métodos incluyen la integración de datos en tiempo real, como la captura de datos modificados y la integración de
transmisión para admitir aplicaciones de análisis en tiempo real. Algunas herramientas en esta capa son los motores de
datos conocidos (data engine): SQL Server, Oracle, MariaDB, Posgress.
• OLAP Server: permite al usuario extraer y consultar datos de manera fácil y selectiva para analizarlos desde diferentes
puntos de vista. Las consultas OLAP sirven para analizar tendencias, informes financieros, previsión de ventas,
presupuestos y otros propósitos de planificación. En esta etapa los datos se limpian y organizan en cubos los cuales
contienen datos categorizados por dimensiones (como clientes, región geográfica, periodo de tiempo, entre otros).
Algunas herramientas que se utilizan son: SQL Analysis Server, IBM Cognos, MicroStrategy, Pentaho.
• Clientes: una de las formas más comunes de presentar la inteligencia de negocios es por medio de visualización de
datos a través de tableros de control (dashboard) en donde se puedan identificar fácilmente los patrones a través de
cambios de colores o cambios visuales. Algunas herramientas que se usan son: Power Bi, Tableu, Sap Business Object,
SAS, Qlik.

Imagen 1.4 – Arquitectura Inteligencia de Negocios

Adaptada de Depositphotos. (DepositPhotos, 2022)
Uso de los Sistemas de Información para lograr una ventaja competitiva
En todas las industrias se puede observar algunas empresas que dominan su segmento de mercado ya que hacen
las cosas mejor que otras. Se dice que a las empresas que “les va mejor” que otras tienen una ventaja competitiva
sobre las demás: o tienen acceso a recursos especiales y las demás no, o pueden utilizar los medios disponibles en
forma común con más eficiencia: por lo general debido a que tienen un conocimiento superior y mejores activos de
información. En cualquier caso, les va mejor en términos de crecimiento de sus ingresos, rentabilidad o crecimiento
de su productividad (eficiencia), todo lo cual se traduce en última instancia y a la larga en una valuación superior en
el mercado de valores que sus competidores.

Modelo de las fuerzas competitivas de Porter

El modelo más utilizado para comprender la ventaja competitiva es el modelo de fuerzas competitivas de Michael
Porter (ver la figura 1.5). Este modelo proporciona una visión general de la empresa, sus competidores y el ambiente
de ésta. El modelo de Porter trata sobre el entorno de negocios general de la empresa. En este modelo hay cinco
fuerzas competitivas que dan forma al destino de la empresa, que son descritas a continuación:

Figura 1.5 – Modelo de fuerzas competitivas de Porter

Adaptado del modelo de las cinco fuerzas competitivas de Michael Porter. (Laudon & Laudon, 2020)

• Competidores tradicionales: todas las empresas comparten espacio de mercado con otros competidores que están
ideando en forma continua nuevas maneras más eficientes de producir mediante la introducción de nuevos productos y
servicios, además de que intentan atraer a los clientes mediante el desarrollo de sus marcas y al imponer a sus clientes
costos por cambiar.
• Nuevos participantes en el mercado: siempre hay nuevas compañías que entran al mercado. En algunas industrias,
las barreras para entrar son muy bajas, mientras que en otras el acceso es muy difícil.
• Productos y servicios sustitutos: En casi cualquier industria existen productos y servicios sustitutos que sus clientes
podrían usar si sus precios aumentan demasiado.
• Clientes: Una compañía rentable depende en gran medida de su habilidad para atraer y retener a sus clientes (al tiempo
que se los niega a los competidores), y generar rentabilidad. El poder de los clientes aumenta si pueden cambiar con
 facilidad a los productos y servicios de un competidor, o si pueden forzar a que una empresa y sus contrincantes
compitan sobre el precio solamente en un mercado transparente en el que exista poca diferenciación de productos.
• Proveedores: El poder de mercado de los proveedores puede tener un impacto considerable sobre las ganancias de
una empresa, en especial cuando ésta no está en condiciones de aumentar sus precios a la par que sus suministradores.
Cuanto más abastecedores diferentes tenga una empresa, mayor será el control que pueda ejercer sobre ellos en
términos de precio, calidad e itinerarios de entrega.

Estrategias de los Sistemas de Información para lidiar con las fuerzas competitivas
Liderazgo de bajo costo
Use los sistemas de información para obtener los costos operacionales más bajos y los menores precios. Mantener
surtido las tiendas mediante el uso de sistemas de reabastecimiento de inventario permite mantener óptimas la
inversión en inventario.
Diferenciación de productos
Las empresas ofrecen servicios nuevos y únicos a sus clientes. Los fabricantes y vendedores al detalle utilizan
sistemas de información para crear productos y servicios adaptados a la medida y personalizados para ajustarse a
las especificaciones precisas de cada cliente.
Enfoque en nicho de mercado
Los sistemas de información permiten habilitar el enfoque en un mercado específico, y ofrezca un mejor servicio a
este mercado más pequeño que sus competidores. Los sistemas de información soportan esta estrategia al producir
y analizar datos para ventas y técnicas de marketing ajustadas con precisión. Los sistemas de información permiten
a las compañías analizar los patrones de compra de los clientes, sus gustos y preferencias de una manera tan
estrecha que pueden dirigir campañas de publicidad y marketing con eficiencia hacia mercados cada vez más
pequeños.
Fortalecimiento de la relación con los clientes y proveedores
Los sistemas de información usados para estrechar los lazos con los proveedores y desarrollar relaciones
personales con los clientes.

La ética en una sociedad de la información

La ética se refiere a los principios del bien y del mal que los individuos, al actuar como agentes con libre moral,
utilizan para guiar sus comportamientos. Los sistemas de información generan nuevas cuestiones éticas tanto para
los individuos como para las sociedades, ya que crean oportunidades para un intenso cambio social y, por ende,
amenazan las distribuciones existentes de poder, dinero, derechos y obligaciones. Al igual que otras tecnologías,
como los motores de vapor, la electricidad, el teléfono y la radio, la tecnología de la información se puede usar para
alcanzar el progreso social, pero también para cometer crímenes y amenazar los preciados valores sociales. El
desarrollo de la tecnología de la información producirá beneficios para muchos y costos para otros.
A los aspectos éticos en los sistemas de información se les ha dado una nueva urgencia debido al surgimiento de
Internet y el comercio electrónico. Internet y las tecnologías de las empresas digitales facilitan ahora más que nunca
los procesos de ensamblar, integrar y distribuir la información, lo cual desencadena nuevas cuestiones sobre el uso
apropiado de la información de los clientes, la protección de la privacidad personal y la protección de la propiedad
intelectual. Otros aspectos éticos urgentes generados por los sistemas de información son: establecer la rendición
de cuentas por las consecuencias de los sistemas de información, fijar estándares para salvaguardar la calidad del
sistema que protege la seguridad del individuo y la sociedad, así como preservar los valores y las instituciones que
se consideran esenciales para la calidad de vida en una sociedad de información.
La privacidad es el derecho de los individuos a no ser molestados, que no estén bajo vigilancia ni interferencia por
parte de otros individuos u organizaciones, incluyendo el estado. La tecnología y los sistemas de información
amenazan los derechos individuales de privacidad al hacer que la invasión de esta sea algo económico, redituable y
efectivo. El derecho a la privacidad está protegido en las constituciones de muchos países como Estados Unidos.
Canadá y Alemania en una variedad de formas distintas, y en otros países por medio de varios estatutos. El 25 de
mayo de 2018 entró en vigor el RGPD o Reglamento General de Protección de Datos, que se convirtió en el nuevo
marco europeo para el tratamiento y la circulación de datos personales, que es la base en la que se apoyan las
empresas para ofrecer servicios y productos. En Honduras no contamos con este tipo de regulaciones y podemos
ver que muchas organizaciones privadas y públicas comparten los datos de sus clientes que son colectados por los
diferentes sistemas.

Elecciones éticas
Las elecciones éticas son decisiones que toman los individuos responsables de las consecuencias de sus acciones.
• La responsabilidad es un elemento clave de la acción ética. Responsabilidad significa que usted acepta los costos,
deberes y obligaciones potenciales por las decisiones que toma.
• La rendición de cuentas es una característica de los sistemas e instituciones sociales: significa que hay mecanismos en
vigor para determinar quién tomó una acción responsable, y quién está a cargo. Los sistemas y las instituciones en las
que es imposible averiguar quién tomó qué acción son por naturaleza incapaces de un análisis ético o de una acción
ética.
• La responsabilidad legal extiende el concepto de responsabilidad hasta el área de la ley. La responsabilidad legal es
una característica de los sistemas políticos en donde entran en vigor un grupo de leyes que permite a los individuos
recuperar los daños que reciben de parte de otros actores, sistemas u organizaciones.
• El debido proceso es una característica relacionada de las sociedades gobernadas por leyes y es un proceso en el que
las normas se conocen y comprenden, además de que existe la habilidad de apelar a las autoridades superiores para
asegurar que se apliquen las leyes en forma correcta.

Derechos de propiedad: propiedad intelectual

La propiedad intelectual se considera como la propiedad intangible creada por individuos o corporaciones. La
tecnología de la información ha dificultado el proceso de proteger la propiedad intelectual, ya que es muy fácil copiar
o distribuir la información computarizada en las redes. La propiedad intelectual está sujeta a una variedad de
protecciones bajo tres tradiciones legales distintas: secretos comerciales, derechos de autor y ley de patentes.
Secretos comerciales
Cualquier producto del trabajo intelectual, como ser una fórmula, dispositivo, patrón o compilación de datos, que se
utilice para un fin comercial se puede clasificar como secreto comercial, siempre y cuando no se base en
información en el dominio público.
Derechos de autor
El Instituto de la Propiedad de Honduras como el conjunto de facultades morales y patrimoniales que corresponden
en forma exclusiva al autor de una obra. El Derecho de Autor abarca entre otras: obras literarias, bases de datos,
películas, composiciones musicales o coreografías, obras artísticas, obras arquitectónicas, publicidad, mapas y
dibujos técnicos (Instituto de la Propiedad, 2022).
Derechos Conexos
Son los derechos que se les conceden a los artistas, intérpretes o ejecutantes, productores de fonogramas y
organismos de radiodifusión en relación con las obras. Los Derechos Conexos son intermediarios en la producción,
grabación o difusión de una obra. Por ejemplo, el músico que interpreta una obra musical escrita por un compositor,
los actores interpretan las obras teatrales, los productores de fonograma graban y producen canciones y música
escrita por autores y compositores.
Piratería
Es cualquier copia hecha sin el consentimiento expreso del titular del derecho, en su defecto, sin la autorización
legal, lo que constituye una acción infractora de los Derechos de Propiedad Intelectual.
El Gobierno de Honduras garantiza la protección de los derechos de autor a través de la ley “LEY DEL DERECHO
DE AUTOR Y DE LOS DERECHOS CONEXOS” (Tribunal Superior de Cuentas, 2022)

Bibliografía
DepositPhotos. (4 de Agosto de 2022). Business Intelligence Architecture. Obtenido de
https://sp.depositphotos.com/185165148/stock-illustration-business-intelligence-architecture-with-
infographic.html
Instituto de la Propiedad. (Abril de 2022). Derechos de autor. Obtenido de https://www.ip.gob.hn/derechos_autor
Johns Hopkins. (4 de Agosto de 2022). Coronavirus Resource Center. Obtenido de
https://coronavirus.jhu.edu/map.html
Laudon, K., & Laudon, J. (2020). Sistemas de Información Gerencial (16ta. ed.). New Jersey: Pearson. Recuperado
el 2022
Tribunal Superior de Cuentas. (Abril de 2022). Ley del derecho de autor y los derechos conexos. Obtenido de
https://www.tsc.gob.hn/biblioteca/index.php/leyes/34-ley-del-derecho-de-autor-y-de-los-derechos-conexos
Licenciamiento
Licencia de software
Se define como la autorización que otorga un autor o autores que permite el derecho a terceras personas de utilizar
su creación o recurso. El autor ostenta el derecho intelectual exclusivo y lo concede a otros como un permiso, en
este caso una licencia de software. Existen diferentes tipos de licencia, los cuales, entre otros, autorizan el uso,
modificación o distribución del programa.
Desde el punto de vista legal se define como:
"Una licencia de software es un contrato entre el licenciante que posea los derechos de explotación y distribución
sobre el software, y la organización o usuario final que vaya a utilizarlo como licenciatario, con la finalidad de regular
y restringir la manera en la que puede emplearse. El licenciatario, por consiguiente, no es poseedor del software,
sino que adquiere el derecho para utilizarlo bajo unas determinadas condiciones. En la práctica todos los productos
de software incorporan una licencia en virtud de la cual los fabricantes estipulan los términos y condiciones para su
uso". (Evergreen, 2022)

Principales tipos de licencia software que existen

Existen diferentes tipos de licencia software, que normalmente están incluidos en las siguientes categorías:
• Tipos de licencia software propietarias o comerciales: su característica principal es que el fabricante permite el uso de
una o varias copias del software reguladas por un acuerdo de licenciamiento. Resulta habitual que el usuario final no
pueda modificar el software ni redistribuirlo a terceros.
• Tipos de licencia software Open Source: el uso del software es abierto para todo el mundo, así como su modificación y
distribución, no implicando usualmente un coste económico. Hay dos grupos principales:
o Tipos de licencia software permisivas: pueden ser redistribuidas indistintamente como libres o privativas.
o Tipos de licencia software Copyleft: diseñadas con el objetivo de propiciar el libre uso y distribución de una
obra, al exigir que los licenciatarios preserven las mismas libertades originales al redistribuir sus copias.

Los tipos de licencia de software propietario más comunes se basan en el número de usuarios o dispositivos, así
como en características propias de servidores como la capacidad de procesamiento. De este modo, la métrica
contratada reflejará si ha de dedicarse una licencia para cada máquina, si ha de limitarse el software a determinadas
partes de éstas - como un socket o un core - o si depende de los usuarios que lo utilicen en la forma de usuarios
nominales, usuarios concurrentes, etc.
Por otra parte, las licencias propietarias pueden determinar que el software sea utilizado únicamente en
determinados entornos (Producción, Pruebas, Desarrollo), que esté restringido a una aplicación única o que preste
servicio en una ubicación geográfica concreta

Principales tipos de licencia software propietarias

Los documentos de titularidad asociados a cada fabricante reflejan las métricas de las licencias de software, que se
utilizan para cotejar la utilización real de un programa concreto con los derechos de uso adquiridos. En este contexto
pueden citarse, a modo de ejemplo, los siguientes tipos de licencia más habituales vinculados al suministro de
productos de los principales fabricantes:
Usuario
Permite acceder a las funcionalidades del software a un número concreto de usuarios diferentes. A efectos de
computar este número de usuarios han de tenerse en cuenta todas las instalaciones existentes para este software,
de manera que tanto el acceso a diferentes instalaciones como el realizado desde distintos dispositivos contará
como una licencia única.
Usuario nominal
Posibilita el uso del software a un conjunto determinado de usuarios identificados. Es frecuente que estas licencias
puedan transferirse entre usuarios bajo ciertas circunstancias.
Usuario concurrente
Facilita el acceso potencial al software por parte de cualquier usuario, pero limita el número de usuarios que puede
utilizarlo de manera simultánea. Hay que resaltar que, al igual que sucede en el caso anterior, si se alcanzara el
límite máximo contratado, el software no tiene por qué estar diseñado para impedir el acceso de posteriores
usuarios. Este hecho constituye un inconveniente en sí desde el punto de vista del licenciamiento, ya que podrá
presentar problemas en el caso de una revisión por parte del fabricante. Por el contrario, sería deseable que una vez
alcanzada la máxima concurrencia cualquier intento de acceso posterior fuera denegado con el correspondiente
mensaje de aviso que identifique la causa.
Procesador
La capacidad para utilizar un programa se regula a través del número de CPUs o sockets sobre los cuales se
ejecute el software, y no en el número de cores físicos o procesadores lógicos que estén asignados a la máquina o
máquinas que alojen el propio software.
Ponderación en función del número de cores o procesadores
El software puede desplegarse en un entorno cuya capacidad máxima de procesamiento se calcula en base a algún
factor multiplicador sobre los cores o procesadores del servidor, ya sean físicos o virtuales. Algunos fabricantes
consideran los sockets disponibles y otros los cores o procesadores virtuales asignados. Este tipo de métricas se
han hecho bastante habituales en instalaciones orientadas a data centers.
Dispositivo
Se permite la realización de un número de instalaciones máximo, autorizándose que el software de desinstale en un
equipo y se instale en cualquier otro dispositivo, siempre y cuando el número total de instalaciones no exceda el
número de licencias adquiridas.
Evaluación
Hace posible instalar y utilizar un programa a efectos de prueba. Este uso puede ser ilimitado en el tiempo, ofrecer
funcionalidades reducidas o incorporar cualquier tipo de restricción para impedir su puesta en marcha en un entorno
productivo. Una vez que haya concluido la fase de evaluación podrá adquirirse una licencia definitiva, desinstalar
completamente el software para que no sea considerado en posibles revisiones o, en el caso de que tuviera
configurada una limitación temporal, dejaría de funcionar automáticamente.
OEM
Su objetivo es dar cobertura a aquel software que se distribuye junto con el hardware en el que se ejecuta, y que
está orientado a funcionar única y exclusivamente sobre él. Por consiguiente, estas licencias están plenamente
vinculadas a la vida útil del hardware y no son susceptibles de transferirse a otros dispositivos diferentes.
Corporativa
Brinda la posibilidad de instalar el software un número ilimitado de veces en una entidad. Un acuerdo de uso
corporativo viene a articularse como una barra libre de licencias, aunque en la realidad suelen existir limitaciones
que restringen de alguna manera dicho uso ilimitado.
Cliente-servidor
Consiste en la posibilidad de permitir el uso de un determinado software en un servidor teniendo en cuenta
simultáneamente los dispositivos manejados. En muchos casos este tipo de licencia puede requerir a su vez una
licencia de acceso de cliente (Client Access License o CAL). De hecho, en un modelo de licenciamiento basado en
servidor y CAL, deberán adquirirse licencias diferenciadas para el servidor, ya sea físico o virtual, y para conceder
acceso a todos los usuarios o dispositivos que requieran hacer uso del software.
Suscripción
En este supuesto se incluyen las licencias sobre las cuales existe un derecho de uso solo durante el tiempo que esté
activa una suscripción. De este modo, no existe la capacidad de uso durante periodos anteriores o posteriores, a no
ser, por supuesto, que se renueve la propia suscripción.
Créditos de nube
Se trata de unidades de medida requeridas para llevar a cabo determinadas tareas o adquirir derechos para ejecutar
ciertas aplicaciones que comercialice un fabricante en la nube, y que conllevan normalmente la existencia un modelo
de suscripción.

¿Por qué es importante conocer los tipos de licencia software?

Los anteriores son los tipos de licencia más representativos y cuya adopción resulta más frecuente por parte de las
organizaciones. Hay que tener en cuenta que las métricas más habituales en los centros de datos suelen basarse en
cores o procesadores (físicos / virtuales) y usuarios, mientras que en los puestos de usuario predominan los
dispositivos o las suscripciones por usuario.
Para los fabricantes resulta crítico diseñar cada tipo de licencia de software con precisión para proteger sus
derechos de propiedad intelectual y ser capaces de generar el máximo beneficio de su comercialización. De hecho,
durante los últimos años los fabricantes han evolucionado sus métricas de licenciamiento haciéndolas más
complejas, promoviendo además una apuesta por modelos de suscripción para asegurarse una mayor restricción y
que los clientes utilicen las últimas versiones de sus productos.
Al mismo tiempo, los usuarios finales han de conocer con profundidad el modelo de licenciamiento contratado,
debiendo ser extremadamente precavidos en no incumplir sus términos y condiciones, en cuyo caso podrían
acaecer importantes sanciones.
Es previsible que los fabricantes de software continúen introduciendo nuevas métricas de licenciamiento cada vez
más complejas con el objetivo de incrementar sus beneficios, si bien es cierto que en muchas ocasiones sin dar la
difusión adecuada a sus clientes para que éstos estén en disposición de conocer con exactitud sus derechos y a qué
riesgos se exponen.
Los acuerdos de licenciamiento pueden llegar a hacerse ciertamente complejos, requiriéndose cada vez más un
apoyo legal para gestionarlos y cotejarlos con el software instalado y/o en uso.
Programas de cumplimiento
El cumplimiento de los acuerdos de licenciamiento no es algo voluntario. Una organización llamada BSA – The
Software Alliance envía a las organizaciones una carta firmada donde notifica que deben cumplirse los acuerdos de
licenciamiento a través de una auditoría. A continuación, se describe esta organización.
BSA – The Software Alliance es la asociación de empresas a nivel mundial dedicada a invertir en la creación y
desarrollo de Software. Su principal intención es defender los intereses de sus afiliadas buscando empresas que a
las cuales investigan para determinar si usan programas obtenidos legalmente o pirateados. Por lo tanto, podemos
considerar a la BSA como una especie de policía anti pirateria. Además, extiende su operación de manera global
con la meta de garantizar una evolución económica próspera a su sector. Trabajan junto a las autoridades y
gobiernos de los distintos países del mundo, garantizando así un impacto importante en sus acciones con respecto
al uso ilegal o pirata de la propiedad intelectual de terceros. (Naftic Networks, 2022)
Las empresas afiliadas a esta asociación son las más grandes del mundo, como ser: Microsoft, Apple, Adobe, AVG,
IBM, SAP entre otras muchas. La BSA vela por sus derechos con respecto a los programas y servicios que crean y
ofrecen. Tales como Office, MacOS, Windows, Photosop, Illustrator. Programas que todos usamos, no solo a nivel
profesional sino también como usuarios domésticos. Es muy común tener estos programas en nuestra computadora
personal sin haber pagado por ellos. Esta organización trata de concientizar a los usuarios acerca del uso de
software pirateado. Sin embargo, a nivel corporativo no se queda en una advertencia, ya que todas aquellas que
utilizan licencias de software comercial deben acreditar este derecho y en caso contrario se les solicita que
regularicen su base instalada adquiriendo el licenciamiento. En caso contrario, se puede proceder de forma legal ya
que se infringe el derecho de propiedad intelectual lo que deviene en sanciones para el representante legal.

Ejemplos de licenciamiento de software

Sistemas Operativos
A continuación, se detalla un ejemplo de los diferentes esquemas de licenciamiento de software para servidores
Linux Red Hat.
Red Hat Linux
Este sistema operativo es muy utilizado en organizaciones debido a que es confiable y robusto. Su versión actual es
Red Hat Linux 8 y posee tres tipos principales de licencia, como ser:
• Red Hat Enterprise Linux Server: es la versión base para servidores desde la cual se pueden instalar
aplicaciones y bases de datos. Existen ediciones personalizadas para fabricantes de software como ser
SAP. El precio de la versión base, hasta dos procesadores físicos (sokets), sin soporte es USD 349 el cual
es una suscripción anual que le permite únicamente descargar actualizaciones y nuevas versiones mientras
esta subscripción permanezca activa. La versión que incluye soporte básico, actualizaciones y nuevas
versiones el precio va desde USD 799.
• Red Hat JBoss Enterprise Application Platform: contiene todos los paquetes certificados JAVA EE
(Enterprise Edition) que se utiliza para publicar servicios web de forma comercial utilizando el servidor
(backend) de java y todos los paquetes adicionales. La subscripción por un año tiene un valor que va desde
USD 8,000.
• Red Hat Enterprise Linux Workstation: Utilizado para aplicaciones de usuarios finales que demandan poder
de procesamiento para diseño gráfico y computación científica. El precio inicial es de USD 179 sin derecho
a soporte.
Linux Red Hat también ofrece licenciamiento para plataformas que incluye los ajustes y herramientas para un óptimo
desempeño de: ambientes virtualizados, soporte a desarrolladores, SAP, IBM.

Bibliografía
Conzultek. (26 de Abril de 2022). Qué es la licencia de software. Obtenido de Conzultek:
https://blog.conzultek.com/noticias/que-es-la-licencia-de-software
Evergreen. (26 de Abril de 2022). Asesoramiento en licencias de software. Obtenido de IT & Legal Compliance:
https://evergreencompliance.com/tipos-de-licencia-software/
Naftic Networks. (26 de Abril de 2022). The Software Alliance - BSA. Obtenido de https://naftic.com/que-es-la-bsa/
Red Hat. (Mayo de 2022). Red Hat Store. Obtenido de https://www.redhat.com/en/store
Seguridad en los Recursos Humanos
Es importante destacar que la información es uno de los activos más importantes de una organización. Esta se
relaciona desde los datos financieros, como estados de resultados y balances generales, hasta datos clave del
personal, clientes y proveedores que forma parte de esta como por ejemplo direcciones, datos de contacto, horarios,
números de cuesta o incluso enfermedades.
En esta parte usa de base el Sistema de Seguridad de la Información (SGSI) descrito en la norma ISO 27000 el cual
define las pautas para establecer un SGSI, políticas, puntos de control interno, entre otros. Para este tema se
abordará la sección referente a la Gestión de los Recursos Humanos utilizada para describir los lineamientos de la
gestión de la información relacionada con los trabajadores y sus diferentes etapas del empleo, como ser: antes,
durante y después. El capital humano es un activo clave a la hora de implantar un Sistema de Gestión de Seguridad
de la Información según ISO 27000.

Antes del empleo

Dos aspectos deberán de tenerse en cuenta antes de que el trabajador se incorpore al puesto de trabajo:
• La investigación de antecedentes: esta se debe de llevar a cabo de acuerdo con las leyes y normas y códigos éticos
que se han de aplicación en un determinado país y debe ser proporcional a las necesidades del negocio, la clasificación
de la información a la que se accede y los riesgos que se hayan percibido.
• Términos y condiciones de empleo: tanto empleados como contratistas deben establecer los términos y condiciones en
su contrato de trabajo en lo que respecta a la seguridad de la información, tanto hacia el empleado como hacia la
organización.

Investigación de antecedentes
Es necesario implementar controles para la verificación de los antecedentes del personal permanente, contratistas y
terceros en el momento de las solicitudes de empleo, para tal labor se debe nombrar una persona encargada. Por
ejemplo, un miembro del personal de TI sin la experiencia adecuada o acreditaciones falsas podría administrar mal
un servidor o aplicación vital en tal forma que la disponibilidad y la integridad de la información se ven
comprometidos.
El proceso de verificación incluye lo siguiente:
• Verificación de referencias, una personal y otra laboral. Estos deben, preferentemente, ser escritos, pero un sustituto
podría ser una nota detallada firmada y fechada de una referencia telefónica dada por un tercero nominado a un
competente (es decir, con experiencia en la realización de controles de referencia de teléfono) miembro del personal de
la organización.
• Revisión íntegra y exacta del curriculum vitae (CV) del empleado; esto se lleva a cabo normalmente mediante
referencias escritas aportadas por los empleadores anteriores u organizaciones de terceros, y la mayoría de los
empleadores ya tendrá los documentos estándar que se envían para este tipo de referencias.
• La confirmación de las calificaciones académicas y profesionales, ya sea por medio de la obtención de las copias de los
certificados u otras constancias de cualificación o a través de un servicio comprobación independiente de CV.
• Debe haber un control para la revisión de la identidad contra un pasaporte o un documento similar que muestra una
fotografía del empleado.

Se debe considerar que el empleado empieza sus labores hasta que la verificación se ha finalizado. El personal
tercerizado debe cumplir los mismos lineamientos que el personal de planta. Es probable que cada organización
descubra que uno o más miembros de su personal tienen CV incorrectos o falsos.
El personal nuevo y/o sin experiencia podrá, en determinados momentos, obtener autorización de acceso a los
sistemas de información sensibles. La empresa debe identificar cuál es el nivel de supervisión se requiere en tales
circunstancias, y asegurarse de que tiene en marcha un procedimiento para proporcionar el nivel adecuado de
supervisión
En las revisiones anuales, y basadas en el día a día, los gerentes de línea dentro de la organización deben ser
conscientes de la conducta inusual del personal que puede manifestarse con signos de estrés, problemas
personales o problemas financieros. Aparte de los beneficios humanos de ayudar a los empleados frente a estos
desafíos, estas situaciones pueden afectar negativamente el rendimiento de los empleados (que puede, por
supuesto, tener implicaciones para la seguridad de la información) y también pueden llevar a algunos empleados a
cometer delitos o fraudes.
Términos y condiciones
Se debe indicar la descripción de las competencias requeridas. En el contrato de trabajo debe existir el compromiso
de que cada empleado respete la política de seguridad de la información de la empresa (una copia de la política
debe estar adjunta a la descripción del puesto). Los empleados deben estar atentos a su responsabilidad de
proteger los activos de la empresa de accesos no autorizados, divulgación, modificación, destrucción o interferencia.
La declaración de responsabilidad de la seguridad de información podría tener ya sea un párrafo aparte titulado o
uno completo en la descripción del trabajo, en cuyo caso el miembro del personal afectado debe firmar y fechar una
copia de la descripción del trabajo.
A continuación, se presentan algunos términos y condiciones que deben establecerse:
• Firman un contrato de trabajo que contenga los términos y condiciones de cobertura, entre otras cosas, su
responsabilidad y de la organización para la seguridad de la información.

Acuerdos de confidencialidad, que cubre todas las etapas del empleo, y se extiende más allá de la finalización de la
relación contractual.
• El acuerdo debe ser firmado y fechado, y el original se debe devolver a la organización antes de conceder al individuo
cualquier acceso a la información confidencial. Los términos de los acuerdos específicos deben ser revisados cuando
las circunstancias cambian de un empleado, sobre todo cuando él o ella debe dejar la organización.
• El cumplimiento a la legislación debe indicarse claramente, qué es importante para la protección de datos, las leyes de
derechos de autor y la legislación sobre el mal uso del equipo.
• El contrato debe contener una cláusula (redactada por los abogados de la organización, y que forma parte del contrato
de trabajo) que indica que el individuo será personalmente responsable de asegurarse de que sus actividades en materia
de información, en cualquier momento o en cualquier manera, no violan el marco legal establecido.

Durante el empleado está activo

En este apartado gira en torno a las disposiciones que los empleados, contratistas y personal subcontratado deben
considerar para mitigar las amenazas de seguridad de la información, sus obligaciones y responsabilidades. Las dos
actividades más importantes son:
• Brindar la educación y entrenamiento adecuado
• Los jefes inmediatos se deben asegurar que sus subordinados cumplen los procedimientos y políticas de la organización
Capacitación
Los dos métodos en los que se puede brindar la capacitación a los empleados es de forma tradicional o e-learning.
A continuación, se caracteriza cada uno de estos dos métodos:
Método tradicional de capacitación
• Hay una persona comparte sus conocimientos al frente de un grupo de clases
• No es un método particularmente eficaz de garantizar que todos miembros de un grupo grande de empleados puedan
adquirir la información, habilidades o competencias que se necesitan
• No es un método que demuestra fehacientemente que este requisito de la norma se ha cumplido

Método e-learning de capacitación

• Puede ser atendido directamente en la computadora del empleado.
• Puede ser entregado de una manera en que se mejore la captación y retención en comparación con la formación
tradicional en el aula
• Puede ser entregado con un estándar consistente en toda la organización, y la geografía no es una barrera real.

Finalización del empleo o cambio de puesto de trabajo

La terminación o cambio de empleo es descuidada en las organizaciones lo que ocasiona nuevas vulnerabilidades
que deben ser evaluadas. Para gestionarla adecuadamente se recomienda lo siguiente:
• Hay que asegurar que la terminación del empleo se lleva a cabo de manera ordenada, controlada y sistemática, con el
regreso de todos los equipos y la eliminación de todos los derechos de acceso.
• El departamento de Recursos Humanos será responsable de asegurar que todos los aspectos de terminación de un
contrato de trabajo se han tratado (por lo general junto con el jefe inmediato del ex-empleado).
• Los aspectos pueden tratarse en una entrevista de terminación (despido o renuncia), que se lleva a cabo de una manera
estándar, utilizando una lista de comprobación de los puntos a considerar.
• Los aspectos pueden tratarse en una entrevista de terminación (despido o renuncia), que se lleva a cabo de una manera
estándar, utilizando una lista de comprobación (checklist)

Devolver los activos

Los empleados, contratistas y terceros podrían tener en su poder activos propiedad de la empresa los cuales deben
devolver al cesar su relación de trabajo, como por ejemplo:
• Activos financieros (tarjetas de crédito, sellos, firmas autorizadas)
• Activos de recursos humanos / activos fijos (vehículos, credenciales, equipo tecnológico).

Estos activos se clasifican en cuatro categorías:

• Software
• Hardware
• Información
• Conocimiento.

Retención de pagos
El contrato de trabajo debe tener una cláusula que permite al empleador retener algún pago pendiente de cualquier
tipo hasta que se pruebe que todos los activos de la organización, asignados al empleado, han sido devueltos.
Después de un intervalo adecuado de espera, si el empleado no ha devuelto los activos, o los entrega dañados,
debe deducirse su valor en función del costo de sustitución. Es necesario asignar a un activo una persona
responsable su uso y debe existir un documento que lo haga constar.
La información
Todos documentos clasificados, ya sea en papel o electrónico - debería también ser devuelta en su totalidad. No
debe existir información de la organización en sitios privados propiedad del empleado como medios de
almacenamiento físico o en la nube y correo electrónico. Es difícil identificar qué documentación ha sido eliminada o
sustraída por cualquier individuo durante estuvo activo en el empleo y este control es, en términos prácticos, mejor
aplicado durante la entrevista de terminación del empleo.
El conocimiento - las habilidades y competencias que un empleado despedido puede tener deben ser gestionadas
adecuadamente, considerando que:
Se deben mantener en la organización. Esto no es, en términos reales, fácil de lograr.
En el caso de las personas que tienen el conocimiento crítico, debe haber una evaluación de riesgos antes de iniciar
cualquier acción de terminación, para identificar cualquier conocimiento que debe ser retenido y planificar métodos
de retenerlo.
Fuga del conocimiento
Si está en manos de alguien que está saliendo de la organización de mala gana, significa – se irá de la empresa
con el empleado. No es desconocido para las organizaciones retrasar la iniciación de los procedimientos de
terminación con los empleados hasta que han transferido sus conocimientos a otros dentro de la organización de
forma exitosa.
Accesos
Garantizar que con la salida del empleado (contratista o terceros) se terminan los derechos de acceso del mismo
sobre los sistemas, instalaciones, y demás activos de la información. Los accesos incluyen:
contraseñas, tokens y otros derechos de autenticación, correo electrónico y cuentas de usuarios de Internet y
nombres de usuario, archivos electrónicos, entre otros.
Tarjetas de identificación, incluyendo clave para llamadas, papelerìa como papel con membrete o formatos
preimpresos.
Se debe notificar a los socios de negocio que el empleado ha abandonado la organización para evitar que pueda
cometer fraude.
Mantener una cuenta activa
Puede que sea necesario mantener activas las cuentas de correo electrónico de un ex-empleado para seguir por un
período después de la terminación. Debe ser especificado en la política de seguridad la manera de configurar el
correo electrónico de auto respuesta, establecer quién debe tener la propiedad de la cuenta y a quién se reenviarà el
correo entrante.

Bibliografía
ISO / IEC. (2013). ISO 27000. Londres.
Fundamentos de ITIL v4
Las siglas ITIL significan Information Technology Infrastructure Library se traducen literalmente como
Biblioteca de Infraestructura de Tecnologías de Información. ITIL es un marco de referencia de las
mejores prácticas para la gestión de servicios de tecnologías de la información (TI) siendo una guía para
abarcar toda la infraestructura, desarrollo, operaciones de TI y gestionarla hacia la mejora de la calidad
del servicio. El siguiente contenido fue adaptado del curso “ITIL Foundation 4 First look” disponible en la
plataforma Linkedin Learning.

Antecedentes

• ITIL 4 (2019): ITIL V4 fue publicado en 2019 y consta de un libro de 200 páginas.
• ITIL v3 (2011): ITIL V3 publicado en 2011 y consta de cinco libros (1,788 páginas)

Las organizaciones han cambiado

ITIL ha sufrido varios cambios desde sus versiones iniciales donde TI tenía un rol secundario, hasta hoy
en día donde las organizaciones tienen una mayor dependencia de las Tecnologías de la información las
cuales son habilitadoras para el negocio brindándole nuevas capacidades y formas de llegar a los clientes
y usuarios.
Las Tecnologías de la Información han cambiado incorporando nuevos avances como la computación en
la nube, inteligencia artificial, blockchain y los entornos móviles hacen que las capacidades de cómputo
se puedan contratar a demanda y puedan estar al alcance de desde cualquier dispositivo, hora y lugar.
Esta evolución ha traído
nuevas prácticas, incluidas las prácticas DevOps, lean y ágiles que se adaptan mejor a este entorno
empresarial y entorno de TI cambiantes. Ahora que los servicios habilitados para TI son parte integral del
negocio, la administración de servicios de TI se ha convertido en una capacidad estratégica clave que
ayuda a las empresas a visualizar y administrar los resultados y las prácticas clave necesarios para
equilibrar la estabilidad, la previsibilidad y la calidad con la agilidad operativa y un tiempo de valor más
rápido con continuo. mejora. ITIL 4 se creó para brindar la orientación que las organizaciones necesitan
para enfrentar los desafíos actuales de administración de servicios. en el entorno empresarial y de TI
actual con las mejores prácticas actuales.
Han surgido nuevas prácticas para mejorar la eficiencia en los proyectos, como ser DevOps, lean y
modelos ágiles que se adaptan mejor a este entorno empresarial y entorno de TI cambiantes. Ahora que
los servicios habilitados para TI son parte integral del negocio, la administración de servicios de TI se ha
convertido en una capacidad estratégica clave que ayuda a las empresas a visualizar y administrar los
resultados y las prácticas clave necesarios para equilibrar la estabilidad, la previsibilidad y la calidad con
la agilidad operativa y un tiempo de valor más rápido con mejora continua.

ITIL 4 se creó para brindar la orientación que las organizaciones necesitan para enfrentar los desafíos
actuales de administración de servicios. en el entorno empresarial y de TI actual con las mejores
prácticas actuales.
Fundamentos ITIL V4
La guía de mejores prácticas ITIL versión 4 se fundamenta en: siete principios rectores, cuatro
dimensiones, el sistema de valor de servicio, y dieciocho prácticas, según se detalla en la tabla 1.

1. Centrarse en el valor
2. Comienza donde estas
3. Progreso iterativo con retroalimentación
Principios Rectores 4. Colaborar y promover la visibilidad
5. Pensar y trabajar de manera holística
6. Manténgalo simple y práctico
7. Optimizar y automatizar
1. Organizaciones y personas
2. Información y tecnología
Dimensiones
3. Socios de negocio y proveedores
4. Flujos de valor y procesos
1. Principios rectores
2. Gobierno
Sistema de Valor del
3. Cadena de valor del servicio
Servicio
4. Practicas
5. Mejora continua
1. Planear
2. Mejorar
Actividades de la
3. Vincular
cadena de valor del
4. Diseño y transición
servicio
5. Obtener / Construir
6. Entrega y soporte
1. Administración de la seguridad de la información
2. Gestión de las relaciones
3. Gestión del suministro
4. Gestión de la disponibilidad
5. Gestión de la capacidad y el rendimiento
6. Administración de los activos de TI
7. Gestión de la continuidad del servicio
8. Gestión de eventos y monitoreo
9. Gestión de versiones
Prácticas
10. Gestión de la configuración del servicio
11. Gestión de la implementación
12. Mejora continua
13. Control de cambios
14. Gestión de incidentes
15. Gestión de problemas
16. Gestión de solicitudes de servicio
17. Mesa de ayuda
18. Gestión de nivel de servicio
Tabla 1 – Fundamentos ITIL 4.
A continuación, se detalla cada uno de los elementos que integran ITIL 4.
Principios Rectores
Centrarse en el valor
El primer principio es bastante simple. Se refiere a la necesidad alinear los recursos organizaciones para
entregar el valor a través de cada individuo y equipo. El objetivo compartido es eliminar o reducir las
cosas que no agregan valor para las partes interesadas, y agregar y ampliar las cosas que sí lo hacen.
Comienza donde estas
El enfoque del segundo principio de esta guía es similar a la planificación de la ciudad. No puedes andar
demoliendo todo y empezar de nuevo. Tienes que empezar en el punto donde te encuentras. Es probable
que haya una gran cantidad de servicios, procesos, programas, proyectos y personas actuales que se
puedan utilizar para crear el resultado deseado.
Progreso iterativo con retroalimentación
El tercer principio hace eco de los valores centrales de DevOps, Agile y Lean en torno a tener muchos
bucles de retroalimentación los cuales y que esos bucles conduzcan a lo que se crea y mejora. Y también
de trabajar en partes más pequeñas para entregarlo en ciclos de sprint más pequeños informados por
retroalimentación. Entonces, lo que entrega logra los resultados que las partes interesadas desean,
incluso si esos resultados han cambiado, en lugar de solo un resultado o una casilla de verificación de
entregables a pesar de que los mismos ya no están en el objetivo debido a retroalimentación y cambio de
tiempo y circunstancias.
Colaborar y promover la visibilidad
El cuarto Principio, que nuevamente se hace eco de las prácticas DevOps, Agile y Lean en torno a
herramientas de administración visibles, comunicación y colaboración, rompiendo las limitaciones del
proceso y removiendo las divisiones entre personas y grupos dentro de la organización, e impulsando
hacia objetivos compartidos frente a objetivos competitivos.
Pensar y trabajar de manera holística
Es el quinto principio rector de ITIL, que proviene del pensamiento sistémico, un concepto muy citado en
la comunidad DevOps. La idea general es que puede desoptimizar el todo enfocándose en una parte de
un sistema. Para gestionar el conocimiento desde un enfoque holístico se debe tratar de manera integral
y cíclica. De manera integral porque considera al individuo, su experiencia, las tecnologías y los procesos
como un todo, y de manera cíclica porque implica una serie de actividades continuas para que el
conocimiento se capture, se aprenda, se difunda y sobre todo se aplique y así generar más conocimiento
que trae consigo cambios, innovación y mejoras.
Manténgalo simple y práctico
El sexto principio rector de ITIL 4 refiere a deshacerse de la complejidad innecesaria, formas exageradas
de hacer las cosas que pueden ayudarlo a lograr resultados, pero de manera ineficiente. También se trata
de tomar en cuenta el por qué y el para quién son los resultados, para que no se pierda en la confusión
de un enfoque excesivo en las actividades o los medios.
Optimizar y automatizar
Es el séptimo y último principio rector de ITIL 4, que se alinea con la A para Automatizar en los modelos
CAMS de DevOps, C-A-M-S, así como con el principio central de eliminar el desperdicio en Lean. Utilizar
los recursos de todo tipo, en particular los recursos humanos, de la mejor manera posible. Se trata de un
enfoque basado en la automatización para eliminar variaciones, dependencias y desperdicios
innecesarios, y solo usar la intervención humana donde realmente aporta valor.
Dimensiones
Las cuatro dimensiones representan perspectivas que son críticas para entregar valor de manera efectiva
y eficiente a los clientes y otras partes interesadas en forma de productos y servicios. Profundicemos en
cada uno de estos.

Organizaciones Información y
y personas tecnología

Socios de
Flujos de valor
negocio y
y procesos
proveedores

Imagen 1 – Dimensiones de la administración del servicio

Adaptada de Four Dimensions of Service Management (Linkedin Learning, 2019)
Organizaciones y personas
La primera dimensión de la gestión de servicios se refiere a las organizaciones y personas. Trabaje para
asegurarse de que la organización esté estructurada y administrada, que las funciones,
responsabilidades, sistemas de autoridad y comunicación de los altos mandos estén bien definidos; que
su capacidad y competencia este alineada para respaldar la estrategia general y el modelo operativo, y
que tenga la cultura adecuada para apoyar sus objetivos.
Información y tecnología
La segunda dimensión de la gestión se aplica a la información y la tecnología que forman parte de los
servicios, y también a la información y la tecnología utilizadas para gestionar esos servicios. Para los
servicios, incluye la información creada, administrada y utilizada durante la provisión y el consumo del
servicio, y las tecnologías que respaldan y habilitan ese servicio. Para la gestión de servicios, las
tecnologías incluyen cosas como sistemas de gestión de flujo de trabajo, bases de conocimiento,
sistemas de inventario, sistemas de comunicación y herramientas analíticas.
Socios de negocio y proveedores
La tercera dimensión de la gestión de servicios son los socios y proveedores que están involucrados en el
diseño, desarrollo, implementación, entrega, soporte y/o mejora continua de los servicios, e incorpora
contratos y otros acuerdos entre la organización y sus socios o proveedores.
Flujos de valor y procesos
La cuarta dimensión de la gestión de servicios son los flujos de valor y los procesos, que definen las
actividades, los flujos de trabajo, los controles y los procedimientos necesarios para lograr los objetivos
acordados. El enfoque aquí está en qué actividades lleva a cabo la organización y cómo están
organizadas, así como en cómo la organización garantiza que está permitiendo la creación de valor de
manera eficiente y eficaz para todas las partes interesadas.

Sistema de Valor del Servicio

Para que la gestión de servicios funcione correctamente, es necesario que funcione como un sistema.
ITIL 4 introduce el Sistema de Valor del Servicio, o SVS. Las entradas clave de este sistema son la
oportunidad y la demanda, y el resultado clave es el valor para los clientes y otras partes interesadas. El
ITIL SVS describe cómo todos los componentes y actividades de la organización funcionan juntos como
un sistema para permitir la creación de valor. A continuación, se describen los cinco componentes del
Sistema de Valor del Servicio ITIL 4.

Imagen 2 – Sistema de valor del servicio

Adaptado de The five components of ITIL 4 – Service Value System (Linkedin Learning, 2019).
Principios rectores
El primer componente del Sistema de Valor del Servicio son los principios rectores. Los siete principios
rectores de ITIL son recomendaciones que pueden guiar a una organización en todas las circunstancias,
independientemente de los cambios en sus objetivos, estrategias, tipo de trabajo o estructura de gestión.
Gobierno
El gobierno es el medio por el cual se dirige y controla una organización. Las actividades de gobierno
permiten a las organizaciones alinear continuamente sus operaciones con la dirección estratégica
establecida por el órgano de gobierno.
Cadena de valor del servicio
La cadena de valor del servicio es un conjunto de actividades interconectadas que realiza una
organización para entregar un producto o servicio valioso a sus consumidores y facilitar la realización del
valor. Eso significa la creación de valor.
Prácticas
Las prácticas son conjuntos de recursos de la organización diseñados para realizar un trabajo o lograr un
objetivo. Podría pensar en ellos como lo que hace para lograr y mantener los resultados asociados con la
práctica a lo largo del tiempo y a través de circunstancias cambiantes.
Mejora continua
La mejora continua es la actividad organizacional recurrente realizada en todos los niveles para garantizar
que el desempeño de una organización cumpla continuamente con las expectativas de las partes
interesadas.
Actividades de la cadena de valor del servicio
La cadena de valor del servicio ITIL 4 tiene actividades organizadas en seis partes. A continuación, se
describen cada una de estas actividades (Basado en ITIL® Foundation (edición ITIL® 4), 2019 de
AXELOS. Reproducido bajo licencia de AXELOS Limited. Todos los derechos reservados).
Planear
“El propósito de esta actividad en la cadena de valor es asegurar una comprensión compartida de la
visión, estado actual y dirección de mejora para las cuatro dimensiones y todos los productos y servicios
en toda la organización” (AXELOS, 2019).
Para comprender mejor el propósito o lo que se hace en la actividad, es importante conocer las salidas
que se producen como resultado de esta actividad. La siguiente tabla muestra los resultados de la
actividad mejorar, así como a quién proporciona los resultados esta actividad.
Salida Para
Planes estratégicos, tácticos y operacionales Toda la Cadena de Valor
o Decisión del portafolio Deseño y transición
o Arquitecturas y políticas
Oportunidades de mejora Mejorar
o Portafolio de productos y servicios Vincular
o Requerimientos de contratos y acuerdos
Tabla 2 – Resultados de la actividad Planear
Mejorar
El propósito de esta actividad de la cadena de valor es garantizar la mejora continua de los productos,
servicios y prácticas en todas las actividades de la cadena de valor y las cuatro dimensiones de la gestión
de servicios. Los resultados de esta actividad se describen a continuación:
Salida Para
Iniciativas y planes de mejora Toda la Cadena de Valor
Reportes de avance y mejoras Toda la Cadena de Valor
Información del desempeño de la Cadena de Planificar y Gobierno
Valor
Requerimiento de contratos y acuerdos Vincular
Información de desempeño del servicio Diseño y transición
Tabla 3 – Resultados de la actividad Mejorar

Vincular
El propósito de esta actividad de la cadena de valor es proporcionar una buena comprensión de las
necesidades de los interesados, transparencia y compromiso continuo, así como buenas
relaciones con todos los interesados. Los resultados de esta actividad se describen a continuación:

Salida Para
Reporte del desempeño del servicio Clientes
Oportunidades y demandas consolidadas Planear
o Requerimientos de productos y servicios Diseño y transición
o Tarea de soporte a usuarios
Solicitudes de cambio o iniciación de proyecto Obtener / Construir
Contratos y acuerdos con proveedores internos, Obtener / Construir,
externos y socios Diseño y transición
Oportunidades de mejora y retroalimentación de Mejorar
partes interesadas
 Conocimiento e información acerca de los Toda la Cadena de Valor
componentes de terceros del servicio
Tabla 4 – Resultados de la actividad Vincular
Diseño y transición
El propósito de esta actividad de la cadena de valor es garantizar que los productos y servicios cumplan
con las expectativas de los interesados en cuanto a calidad, costos y tiempo de comercialización. A
continuación, los resultados de esta actividad:

Salida Para
Contratos y acuerdos Vincular
Requerimientos y especificaciones Obtener / Construir
Productos y servicios nuevos y modificados Entrega y soporte
Información de desempeño y oportunidades de Mejorar
mejora
Conocimiento e información acerca de los Toda la Cadena de Valor
productos y servicios nuevos y modificados
Tabla 5 – Resultados de la actividad Diseño y transición

Obtener / Construir
El propósito de esta actividad de la cadena de valor es garantizar que los componentes del servicio estén
disponibles cuando y donde se necesiten, y que cumplan con las especificaciones acordadas. A
continuación, los resultados de esta actividad:

Salida Para
Componentes del servicio o Entrega y soporte
o Diseño y transición
Requerimiento de contratos y acuerdos Vincular
Información de desempeño y oportunidades de Mejorar
mejora
Información acerca de componentes de servicio Toda la Cadena de Valor
nuevos o modificados
Tabla 6 – Resultados de la actividad Diseño y transición
Entrega y soporte
El propósito de esta actividad de la cadena de valor es garantizar que los servicios sean entregados y
soportados de acuerdo con las especificaciones acordadas y las expectativas de las partes interesadas.
Para comprender mejor el propósito o lo que se hace en la actividad, es importante conocer las salidas
que se producen como resultado de esta actividad. La siguiente tabla muestra los resultados de la
actividad mejorar, así como a quién proporciona los resultados esta actividad.
Salida Para
Servicios entregados Clientes y usuarios
o Información sobre la realización de tareas de Vincular
soporte al usuario
o Requerimiento de contratos y acuerdos
Información de desempeño de productos y Vincular, mejorar
servicios
Oportunidades de mejora Mejorar
Solicitudes de cambio Obtener / Construir
Información de desempeño del servicio Diseño y transición
Tabla 7 – Resultados de la actividad Entrega y soporte
Prácticas
Administración de la seguridad de la información
Es importante proteger una organización mediante la comprensión y la gestión del riesgo para la
confidencialidad, integridad y disponibilidad de la información.
Gestión de las relaciones
Se refiere a establecer y fomentar vínculos entre una organización y sus partes interesadas a nivel
estratégico y táctico.
Gestión del suministro
Esta práctica se fundamenta en garantizar que los proveedores de una organización y su desempeño se
gestionen de manera adecuada para respaldar la provisión de productos y servicios de calidad y sin
inconvenientes.
Gestión de la disponibilidad
Es garantizar que los servicios brinden niveles acordados de disponibilidad para satisfacer las
necesidades de los clientes y usuarios.
Gestión de la capacidad y el rendimiento
Esta práctica garantiza que los servicios alcancen el rendimiento acordado y esperado satisfaciendo la
demanda actual y futura de manera rentable.
Administración de los activos de TI
A través de esta práctica se planea y administra el ciclo de vida completo de todos los activos de TI.
Gestión de la continuidad del servicio
Mantener en funcionamiento los servicios y la recuperación rápida después de un desastre es vital para la
organización, así como monitorear su rendimiento para mantener un alto nivel de servicio.
Gestión de eventos y monitoreo
Es la observación sistemática del servicio y sus componentes a través del reporte de las alertas. El
seguimiento adecuado de estas alertas ayuda a evitar incidentes.
Gestión de versiones
Se debe tener cuidado al hacer cambios en el servicio y sus características. Al gestionar las versiones
podemos reconocer los cambios contenidos en cada entregable.
Gestión de la configuración del servicio
Hay que asegurar que la información precisa y confiable sobre los elementos de configuración que los
respaldan esté disponible cuando y donde sea necesario.
Gestión de la implementación
El despliegue de los servicios debe estar acompañado provisionar los recursos de hardware, software,
documentación, procesos o cualquier otro componente de servicio nuevo o modificado al entorno en vivo.
Mejora continua
Al alinear el servicio de una organización con las necesidades comerciales cambiantes a través de la
identificación y mejora continuas de todos los elementos de la gestión eficaz de productos y servicios.
Control de cambios
Para garantizar que los riesgos se evalúen correctamente, autorizar cambios para proceder y administrar
un cronograma de cambios para maximizar la cantidad de cambios de TI exitosos.
Gestión de incidentes
Minimizar el impacto negativo de los incidentes restableciendo la operación normal del servicio lo más
rápido posible.
Gestión de problemas
Reducir la probabilidad y el impacto de los incidentes mediante la identificación de las causas reales y
potenciales de los incidentes y la gestión de soluciones temporales y errores conocidos.
Gestión de solicitudes de servicio
Apoyar la calidad acordada de un servicio al manejar todas las solicitudes de servicio predefinidas
iniciadas por el usuario de una manera efectiva y fácil de usar.
Mesa de ayuda
Se refiere a la captación de demanda para resolución de incidencias y solicitud de servicio
Gestión de nivel de servicio
Establecer objetivos claros basados en el negocio para el rendimiento del servicio, de modo que la
prestación de un servicio pueda evaluarse, monitorearse y administrarse adecuadamente en relación con
estos objetivos.

Bibliografía
AXELOS. (2019). ITIL Foundation (Edición ITIL 4 ed.).
Linkedin Learning. (28 de Febrero de 2019). ITIL Foundation 4 First Look. Sunnyvale, CA. Obtenido de
https://www.linkedin.com/learning-
login/share?forceAccount=false&redirect=https%3A%2F%2Fwww.linkedin.com%2Flearning%2Fit
il-foundation-4-first-
look%3Ftrk%3Dshare_ent_url%26shareId%3D8KVj0pqmTFK9KuYaBYJo8w%253D%253D
 Capítulo XII

Continuidad de los
Servicios de TI
Capítulo XII

Continuidad de los servicios de TI

Tabla de contenido

1.- ¿Qué es administración de la continuidad? ..............................167

1.1.- Ventajas ...........................................................................169
1.2.- Barreras............................................................................169
2.- El plan de continuidad del negocio - (BCP) .............................170
3.- Terminología ............................................................................172
4.- Preparación ...............................................................................173
4.1.- Evaluación de riesgos ......................................................173
4.2.- Identificar procesos críticos .............................................173
4.3.- Selección de estrategias de recuperación .........................174
5.- Alcance de la continuidad de servicios.....................................175
6.- Organización y planificación....................................................177
6.1.- Plan de mitigación de riesgos ..........................................177
6.2.- Plan de manejo de emergencias .......................................177
6.3.- Plan de recuperación ........................................................178
7.- Continuidad de servicios en el día a día ...................................178
7.1.- Adiestramiento.................................................................179
7.2.- Actualización ...................................................................179
8.- Evaluación de la disciplina .......................................................180

166
 Continuidad de los servicios de TI

Continuidad de los servicios de TI

1.- ¿Qué es administración de la continuidad?

La administración de la continuidad de los servicios de TI -IT Service
Continuity Management- se encarga de prevenir y proteger a la empresa
de los efectos que pudiera tener una interrupción de los servicios de TI,
bien sea que haya sido ocasionada por alguna falla técnica o por causas
naturales, o que haya sido provocada, voluntaria o involuntariamente, por
alguna persona.
La administración de la continuidad de los servicios de TI debe
combinar equilibradamente procedimientos:
• Preventivos:
Medidas y procedimientos que buscan eliminar o mitigar los
riesgos de interrupción y sus posibles efectos.
• Reactivos:
Procedimientos cuyo propósito es reanudar el servicio tan
pronto como sea posible después de cualquier interrupción.
No cabe duda que las políticas y procedimientos destinados a prevenir
y limitar los efectos de un desastre son preferibles a las políticas para
reaccionar frente a tales eventos, sin embargo la experiencia demuestra
que debe disponerse de una juiciosa combinación de medidas.
Los objetivos principales de la administración de la continuidad de los
servicios pueden resumirse como:
• Asegurar la pronta recuperación de los servicios críticos de TI
después de cualquier desastre.
• Establecer políticas, tomar medidas y desarrollar procedimientos
para evitar, dentro de lo posible, las consecuencias de cualquier
desastre natural -como terremoto-, evento accidental -como
incendio- o actos de terrorismo –como explosivos-.
La administración de la continuidad de los servicios de TI requiere de
una labor de “evangelización” a todo lo largo de la organización, pues es

167
Capítulo XII

difícil de justificar, es costosa y sus beneficios sólo se perciben a largo

plazo. Implementar la administración de la continuidad de los servicios
de TI equivale a la contratar un seguro, ya que cuesta dinero y parece
inútil mientras no ocurre ninguna eventualidad; sin embargo, resulta
sumamente valioso frente a cualquier contingencia.
La administración de la continuidad de TI no puede concebirse como
una disciplina exclusiva de TI, sino que debe formar parte de la disciplina
de continuidad del negocio y debe estar en perfecta coordinación con esa
disciplina. Obsérvese, que no tendría ningún sentido que se hagan
esfuerzos para que un sistema de entrada de órdenes esté funcionando y
disponible bajo cualquier condición, si no se toman las medidas para que
el personal de atención al cliente esté listo para operarlo, aunque sea
prestando un nivel mínimo de atención.

Existe una diferencia entre desastres tales como terremotos, incendios,

inundaciones, etc. y desastres informáticos, tales como los que generan
las fallas de equipos, de software, los virus o los ataques de hackers. Para
ambos tipos de eventualidades, la disciplina de administración de la
continuidad de los servicios debe incluir los procedimientos para
mantener el negocio en funcionamiento. Sin embargo, en el último caso –
falla informática- además de buscar la restauración del servicio TI con

168
 Continuidad de los servicios de TI

prontitud, se deben prever las consecuencias en el funcionamiento del

negocio ya que:
• Sólo se afectan los servicios TI, pero pueden paralizar toda la
organización.
• Son más previsibles y más comunes.
• La percepción del cliente es diferente, pues los desastres naturales
se aceptan con resignación y no se asocian a una actitud
negligente de los técnicos de TI.
1.1.- Ventajas
La implementación adecuada de la disciplina de administración de la
continuidad de los servicios de TI tiene una gran cantidad de ventajas,
entre las cuales cabe destacar las siguientes:
• Se manejan y se mitigan los riesgos.
• Se reducen los periodos de interrupción no planificados del
servicio de TI.
• Se fortalece la confianza en la calidad del servicio, por parte de
usuarios y clientes.
• Se constituye en el apoyo indispensable que requiere el proceso
continuidad de las operaciones del negocio.
1.2.- Barreras
La implementación de la disciplina de administración de la
continuidad de los servicios de TI es una tarea compleja y laboriosa y,
además, normalmente tropieza con diferentes obstáculos como los
siguientes:
• Hay resistencia a realizar inversiones que no van a tener una
rentabilidad inmediata, por lo que no se presupuestan ni asignan
suficientes recursos.
• No existe un compromiso dentro de la organización a cumplir con
las tareas y actividades que requiere la disciplina, por lo que
continuamente se demoran los planes, para atender otras tareas de
mayor prioridad.
• No se actualizan los procedimientos y guías cada vez que se
realiza un cambio en la plataforma de servicios de TI.
• No se cumple con un análisis completo de riesgos y se dejan de
lado amenazas y vulnerabilidades importantes.

169
Capítulo XII

• No se prepara convenientemente el personal, ni se realizan

simulacros que permitan que toda la organización esté
familiarizada con los procedimientos a seguir en caso de
presentarse cualquier contingencia que interrumpa los servicios.
• Falta de coordinación con los planes de continuidad del negocio -
Business Continuity Plan (BCP)-.
2.- El plan de continuidad del negocio - (BCP)
Es importante conocer un poco la terminología y los temas más
relevantes de los planes de continuidad del negocio, con el fin de
entender el contexto en el que se debe desarrollar la disciplina de
administración de la continuidad de los servicios de TI:
• Plan de recuperación de desastres - Disaster Recovery Plan (DRP)
El plan de recuperación de desastres centra su atención en la
recuperación de los servicios de TI y sus recursos, para aquellos
casos en los que algún evento ocasione una interrupción
significativa en su funcionamiento; por ejemplo, explosión, falla
prolongada de electricidad, incendio, inundación, terremoto, etc.
• Plan de continuidad de operaciones - Continuity of Operations
Plan (COOP)
El plan de continuidad de operaciones incluye las guías y
procedimientos para la recuperación de los procesos críticos y
estratégicos de una empresa. Si bien el plan de continuidad del
negocio es la integración todos los planes de recuperación, es
frecuente que al plan de continuidad de operaciones se le de esa
denominación –BCP-.

170
 Continuidad de los servicios de TI

• Plan de contingencia - Contingency Plan (CP)

El plan de contingencia centra su atención en la recuperación de
los servicios y recursos de TI después de una falla,
independientemente de su magnitud, mayor o menor. Establece
procedimientos y lineamientos para la recuperación de equipos y
servicios, así como también para las áreas de la empresa que
puedan resultar afectadas.
• Plan de reanudación del negocio - Business Resumption Plan
(BRP)
El plan de reanudación del negocio centra su atención en la
reanudación de los procesos del negocio que resulten afectados
por una falla en los servicios de TI. Focaliza su atención en
establecer los procedimientos y guías de trabajo para el
funcionamiento de las áreas del negocio en situación de
contingencia.
• Plan de respuesta a emergencias - Emergency Response Plan
El objetivo del plan de respuesta a emergencias es brindar
protección a los empleados, al público, el ambiente y los activos
de la empresa. En última instancia, busca poner bajo control
cualquier situación de crisis de manera inmediata.

171
Capítulo XII

Cada una de estas disciplinas se centran en la protección de aspectos

específicos de la organización, integrándose entre si, para poder proteger
el personal y todas las áreas críticas de la organización. El plan de
continuidad del negocio es el concepto que integra el alcance y los
objetivos de todas estas disciplinas.
3.- Terminología
Dentro de las diferentes disciplinas arriba descritas, se manejan varios
términos de importancia, como son:
• Objetivo de tiempo de recuperación -Recovery Time Objetive
(RTO)
El objetivo de tiempo de recuperación es un resultado
fundamental del análisis de impacto –Business Impact Análisis
(BIA)-, que establece el intervalo de tiempo en el cual un
servicio, proceso o actividad crítica de la empresa debe ser
recuperado. En términos del Instituto de Continuidad del Negocio
-Business Continuity Institute (BCI)- es “el período de tiempo en
el que un proceso puede estar inoperativo”.
• Centro de operaciones alternas del negocio –COAN-
El centro de operaciones alternas del negocio es el local escogido
por la empresa para cumplir con sus operaciones en caso de que,
por cualquier motivo, no pueda tenerse acceso a las oficinas de la
empresa. Normalmente el centro alterno debe ubicarse en una
localidad que no esté cercana a las oficinas regulares, previendo
los estragos que un terremoto o motín político pudiera generar.
En él se deberá disponer de los recursos necesarios para hacer
funcionar el negocio, aunque sea en una mínima versión:
mobiliario, suministros, equipos, teléfonos, etc.
• Centro Alterno de Operaciones de Tecnología -CAOT-
El centro alterno de operaciones de tecnología es el local
escogido por la empresa para operar los servicios de TI en caso
de que, por cualquier motivo, no pueda tenerse acceso a las
instalaciones normales. Es muy frecuente que el CAOT se ubique
en un centro de procesamiento contratado, ya que en el mercado
existen varios excelentes proveedores de servicios de
recuperación y soporte.

172
 Continuidad de los servicios de TI

4.- Preparación
La preparación de la disciplina de administración de la continuidad de
operaciones requiere el cumplimiento de varias actividades bastante
complejas y laboriosas, como son:
• Revisar los procesos del negocio y evaluar los riesgos
• Identificar procesos críticos y analizar el impacto que sufrirán
esos procesos si faltan los servicios de TI
• Seleccionar las estrategias de recuperación
4.1.- Evaluación de riesgos
Las actividades de evaluación de riesgos en los diferentes procesos del
negocio determinan las amenazas de un desastre, pormenorizan las
vulnerabilidades existentes, permiten visualizar los posibles impactos de
los diferentes eventos de desastre e identifican los controles necesarios
para prevenir o mitigar los riesgos de cada evento.
Al realizar una evaluación de riesgos se desarrolla un informe de
riesgos y controles que establece recomendaciones y plan de acciones
para controlar y mitigar los riesgos que pudiesen alterar el normal
desempeño del negocio
Para la elaboración de este informe es necesario:
• Revisar los procesos del negocio y sus dependencias de los
servicios de TI
• Identificar los puntos más vulnerables
• Analizar las posibles amenazas sobre estos procesos y estimar su
probabilidad
Gracias a los resultados de este análisis detallado, se dispondrá de
información suficiente para proponer diferentes medidas de prevención y
recuperación que se adapten a las necesidades reales del negocio.
La prevención frente a riesgos genéricos y poco probables puede ser
muy costosa y difícil de justificar, sin embargo, las medidas preventivas o
de recuperación frente a riesgos específicos pueden resultar sencillas, de
rápida implementación y relativamente económicas.
4.2.- Identificar procesos críticos
Al identificar los procesos críticos, que contribuyen más a la misión
de la empresa –mission critical-, se analiza en detalle el impacto que
podría tener cualquier evento que impidiera su correcto funcionamiento y
las pérdidas potenciales que podría acarrear esa interrupción.

173
Capítulo XII

Como resultado, se desarrolla el informe de análisis de impacto –

Business Impact Análisis (BIA)- en el cual se identifican las áreas del
negocio que son críticas, así como la magnitud de los impactos
potenciales, tanto operativos como financieros, de una interrupción en su
funcionamiento:
ƒ Pérdida de rentabilidad
ƒ Pérdida de participación de mercado
ƒ Mala imagen
ƒ Otros efectos
4.3.- Selección de estrategias de recuperación
Para establecer los planes de recuperación es necesario establecer el
tipo de recuperación que puede adoptarse para cada área del negocio, en
relación con la criticidad y las necesidades de recuperación que tenga el
área.
En general, los tipos de recuperación que pueden adoptarse son:
• Manual
Procedimientos manuales o semi manuales para llevar a cabo las
tareas del área, como por ejemplo, para autorizar compras de los
clientes, disponer de un listado de saldos y registrar los pedidos
en una hoja de EXCEL. Una vez que se recupere la operación
normal, se transferirán al sistema los pedidos registrados en
EXCEL.
• Recuperación gradual –cold standby-
El método de recuperación gradual consiste en poner a
disposición del negocio las facilidades de oficina y de servicios
de TI, en el COAN y CAOT, en forma gradual, con varios días
de espera –hasta 4 días o más-.
• Recuperación intermedia –warm standby
El método de recuperación intermedia consiste en recuperar las
operaciones en la localidad de contingencia –COAN y COAT-
dentro de un plazo de 2 ó 3 días. Muchas veces los locales para
llevar a cabo la recuperación de las operaciones son facilidades
que se comparte con otras empresas.
• Recuperación rápida – hot standby-
El método de recuperación rápida busca recuperar las
operaciones de los servicios más importantes, dentro de un plazo
de 24 horas. Normalmente para este método, el CAOT asume la
174
 Continuidad de los servicios de TI

modalidad de local “sombra”, en el que se dispone de los equipos

necesarios y se pueden poner a funcionar con cierta rapidez, con
una pequeña pérdida de información.
• Recuperación inmediata –también hot standby-
Es un método que se utiliza para los procesos más críticos y
requiere un local de contingencia –CAOT- en el que se
encuentren instalados equipos “espejo”, que permiten reanudar
operaciones en cuestión de minutos, sin pérdida de información.
Excepto para el método de recuperación manual, todos los restantes
métodos requieren la elaboración de copias de bases de datos y librerías
de software, que servirán como punto de arranque de los servicios y las
operaciones.
En el caso de la recuperación inmediata, estas copias de respaldo se
actualizan con cada operación que se registra, utilizando las nuevas
tecnologías de arreglos de discos que permiten replicar instantáneamente
cualquier operación en discos “espejo” ubicados en localidades distantes.
Para los otros métodos de recuperación, normalmente se elaboran
copias de respaldo con la periodicidad requerida -diaria o semanal- que se
almacenan en una localidad segura. Es bueno observar que, para estos
métodos, la información de las operaciones que se ejecuten entre la
última toma de respaldo y el momento en que ocurra un desastre, será
información que no está respaldada y que, en algún momento u otro,
habrá que incluir en los sistemas, a riesgo de tener unas bases de datos
inexactas.
Por lo arriba señalado, algunos especialistas establecen que el objetivo
de tiempo de recuperación –RTO- para un área del negocio debe estar
dado por la cantidad de información que el área puede perder.
5.- Alcance de la continuidad de servicios
Uno de los pasos iniciales para desarrollar la disciplina de
administración de la continuidad del servicio debe ser establecer
claramente sus objetivos generales, su alcance y el compromiso de la
organización TI.
También la dirección de la empresa debe demostrar su compromiso
con el proceso, pues la implantación de la administración de la
continuidad de servicios de TI puede resultar compleja y costosa sin una
visible contraprestación o un retorno de inversión.

175
Capítulo XII

El énfasis de los alcances de la administración de la continuidad del

servicio debe ser puesto en las prioridades del negocio; esto es, una vez
establecidas cuáles son las áreas críticas y los servicios de TI que apoyan
su funcionamiento, desarrollar los planes de continuidad y, una vez que
las áreas más críticas se hayan asegurado, se pueden ir incluyendo
paulatinamente otras áreas de menor prioridad.

Así pues, deben evitarse enfoques demasiado ambiciosos y establecer

alcances realistas para la administración de la continuidad de servicios de
TI en función de:
• Los servicios estratégicos de TI –requeridos por las áreas
prioritarias del negocio-.
• Los planes generales de continuidad del negocio.
• La historia de interrupciones graves de los servicios TI.
• Las expectativas de negocio.
• La disponibilidad de recursos.
La administración de la continuidad del servicio estará destinada a
fracasar si no se destinan suficientes recursos, tanto técnicos, como
equipos –hardware y software-.
Será importante recordar que una buena cantidad del esfuerzo de
desarrollo de la disciplina debe destinarse al adiestramiento del personal,
con el fin de que, en momentos de crisis, conozca las responsabilidades
que deberá asumir y las tareas que deberán ser cumplidas.

176
 Continuidad de los servicios de TI

6.- Organización y planificación

Una vez determinado el alcance que habrá de dársele a la
administración de la continuidad de servicios de TI, analizados los
riesgos y vulnerabilidades y definidas unas estrategias de prevención y
recuperación es necesario asignar y organizar los recursos necesarios.
Con ese objetivo la administración de la continuidad del servicio debe
elaborar una serie de documentos entre los que se incluyen:
• Plan de mitigación de riesgos
• Plan de manejo de emergencias
• Plan de recuperación
6.1.- Plan de mitigación de riesgos
Un plan de mitigación de riesgos tiene como objetivo principal evitar
o minimizar el impacto de un desastre en la infraestructura TI. Entre las
medidas se incluyen en este tipo de planes, pueden encontrarse las
siguientes:
• Utilización de sistemas alternos de suministro eléctrico –plantas
eléctricas alternas-
• Uso de unidades de electricidad ininterrumpibles –
Uninterruptible Power Supply (UPS´s)–
• Políticas de respaldo y custodia para los archivos y las bases de
datos.
• Duplicación de elementos críticos, como switches, canales de
comunicación, etc.
• Utilización de sistemas de seguridad pasivos, como cajas de
seguridad
6.2.- Plan de manejo de emergencias
Las crisis suelen provocar reacciones de pánico, que pueden ser
contraproducentes que, en algunos casos, pueden causar mayores daños
que el incidente que las haya podido causar. Por ello es imprescindible
que estén claramente definidas las responsabilidades y funciones del
personal en caso de alguna situación de emergencia, así como también
deben estar definidas las guías de actuación correspondientes.
En principio los planes de manejo de emergencias deben tomar en
cuenta aspectos tales como:
• Evaluación del impacto de la contingencia en la infraestructura TI

177
Capítulo XII

• Asignación de funciones de emergencia al personal de servicio TI

• Comunicación a los usuarios y clientes en caso de una grave
interrupción o degradación del servicio
• Procedimientos de contacto y colaboración con los proveedores
involucrados
• Guías y protocolos para la puesta en marcha del plan de
recuperación correspondiente
6.3.- Plan de recuperación
Cuando una interrupción del servicio es un hecho inevitable, es el
momento de poner en marcha los procedimientos de recuperación. Para
ello, el plan de recuperación debe incluir todo lo necesario para:
• Reorganizar al personal involucrado
• Reestablecer los sistemas de hardware y software necesarios
• Recuperar los datos y reiniciar el servicio TI
Los procedimientos de recuperación pueden depender de la
importancia de la contingencia y de la opción de recuperación asociada –
cold, warm o hot stand-by-, pero en general deben detallar:
• Asignación de personal y recursos
• Instalaciones y hardware alternativos
• Planes de seguridad que garanticen la integridad de los datos
• Procedimientos de recuperación de datos
• Acuerdos de colaboración con otras organizaciones
• Protocolos de comunicación con los clientes
Cuando se tiene que poner en marcha un plan de recuperación, no
oportunidad para la improvisación, cualquier decisión puede tener graves
consecuencias tanto en la percepción que los usuarios tengan del personal
de TI, como en los costos asociados al proceso.
7.- Continuidad de servicios en el día a día
Una vez establecidas las políticas, estrategias y planes de prevención y
recuperación es indispensable que estos no queden en carpetas “llevando
polvo”, es necesario que la organización TI esté perfectamente preparada
para su correcta implementación. Ello dependerá de dos factores clave, la
adecuada preparación del personal y la continua adecuación a las
necesidades reales del negocio, a medida que evolucione la
infraestructura de TI y los procesos del negocio.
178
 Continuidad de los servicios de TI

Uno de los factores clave para el éxito de la administración de la

continuidad del servicio es mantener un interés permanente en la
disciplina, ya que si el interés decayera, después de tener varios periodos
en los que la prevención y la buena suerte hayan impedido que se
presenten interrupciones graves, en el momento menos pensado podría
presentarse alguna dificultad grave y no estar en condiciones de
reaccionar adecuadamente frente a ella.
Es imprescindible llevar controles rigurosos que impidan que la
inversión y compromiso inicial se diluyan o que la administración de la
continuidad de servicios de TI no se mantenga al nivel adecuado para
enfrentar cualquier situación. En todo momento, la administración de la
continuidad de servicios de TI debe garantizar:
• La puesta en marcha de los planes preestablecidos.
• La supervisión de los mismos.
• La coordinación con la administración de la continuidad del
negocio.
• La asignación de recursos necesarios.
7.1.- Adiestramiento
Es inútil disponer de unos planes de prevención y recuperación
concienzudamente preparados, si las personas que deberán ponerlos en
práctica no están familiarizadas con los mismos. Es indispensable que la
administración de la continuidad de servicios de TI prepare al personal:
• Dando a conocer los planes de prevención y recuperación
• Ofreciendo adiestramiento en el uso de los diferentes
procedimientos de prevención y recuperación.
• Realizando periódicamente simulacros de diferentes tipos de
desastres, con el fin de asegurar la capacitación del personal
involucrado.
7.2.- Actualización
Tanto las políticas, estrategias y planes han de ser actualizados
periódicamente para asegurar que responden a los requisitos de la
organización en su conjunto.
Cualquier cambio en la infraestructura TI o en los planes de negocio
puede requerir de una profunda revisión de los planes en vigor y una
consecuente auditoría que evalúe su adecuación a la nueva situación.

179
Capítulo XII

En ocasiones en que el dinamismo del negocio y los servicios TI lo

haga recomendable, estos procesos de actualización y auditoria pueden
establecerse de forma periódica.
La Gestión de Cambios juega un papel esencial en asegurar que los
planes de recuperación y prevención estén actualizados manteniendo
informada a la administración de la continuidad de servicios de TI de los
cambios realizados o previstos.
8.- Evaluación de la disciplina
La administración de la continuidad del servicio debe elaborar
periódicamente informes sobre su gestión que muestren información
relevante para el resto de la organización TI.
Estos informes deben incluir:
• Análisis sobre nuevos riesgos y evaluación de su impacto.
• Evaluación de los simulacros de desastre realizados.
• Actividades de prevención y recuperación realizadas.
• Costes asociados a los planes de prevención y recuperación.
• Preparación y capacitación del personal TI respecto a los planes y
procedimientos de prevención y recuperación.

180