top of page

Marcos de Trabajo, Normas y Estándares de TI 

Hoy, habiendo trabajado en múltiples departamentos de TI y servido en varios puestos de liderazgo y consultoría en los últimos años, podría dar una opinión más certera de los desafíos que los departamentos de TI enfrentan y cómo pueden afrontarlos apegándose a un estándar, norma o marco de trabajo.  

 

Pero, ¿cuáles son los modelos clave que son más aplicables a una organización de TI? Primero, debemos comprender que hay algunos puntos clave que todas las organizaciones de TI deben reconocer. Sin estos como pautas para ejecutar en los departamentos de TI, tratar de seleccionar los marcos aplicables será inútil.

 

Si dividimos TI en seis puntos principales de interés, las empresas deben:

 

  1. Entender que procesos se tienen, la calidad de los productos y servicios, y como mejorarlos.

  2. Enfocarse en la alineación con el cliente y entregar servicios de calidad que superen las expectativas

  3. Construir arquitecturas de información, infraestructura y aplicaciones que soporten esos servicios

  4. Tener la organización correcta, las personas (roles) y los procesos que respaldan esos servicios

  5. Continuamente monitorear, medir y mejorar

  6. Garantizar la gobernabilidad, gestionar el riesgo y las actividades de cumplimiento en todo lo anterior

 

Con esos seis puntos en mente, podremos los siguientes estándares, normas, marcos de referencia, de acuerdo a la necesidad, especifica.

 

Para Calidad y Mejora continua: ISO 9001, SEIS SIGMA

Para la Alineación con los clientes, la entrega y mejora de los servicios de TI: ITIL, ISO 20000

Para la Gestión de Proyectos: PMBOK, PRINCE2

Para manejo de Proyectos de Desarrollo: SCRUM

Para dar arquitectura al área de TI: TOGAF

Para Análisis de Negocio: BABOK

Para tener un adecuado Análisis de Riesgos: ISO 27000

Para darle Gobernabilidad a TI: CoBIT, ISO 38500

 

Esquemáticamente veríamos algo así:

Como te puedes dar cuenta, normalmente cada uno de los tipos estándares o marcos de trabajo, se empalman, son complementarios entre ellos y dan soporte a una o más de los puntos principales de interés que te mencione al principio. E igualmente existen uno o más estándares para el mismo propósito (claro con diferentes alcances y como todo con ventajas y desventajas), como PRINCE2 y PMBOK, o ITIL e ISO 20000.

 

Ahora, la pregunta es: ¿cómo podemos satisfacer estos puntos utilizando marcos de referencia? ¿Debería utilizar metodologías desarrollados internamente o las mejores prácticas probadas en la industria? Mi consejo es aplicar la experiencia de ambos. Sin embargo, hay algunas herramientas importantes que están a disposición del público que proporcionan una base fundamental para crear una organización de TI, a la vez que tienen la flexibilidad para adoptar modelos que se adapten a tu organización. Por supuesto, hay docenas de modelos para elegir, y la lista puede abrumar rápidamente a cualquiera que se sumerja en la investigación de cuál es la opción correcta. En cualquier caso, he condensado la lista enormemente grande, en una lista de las principales 13 metodologías, según lo que he visto en la práctica. Es muy importante tener en cuenta que los marcos de trabajo a continuación no son una obligación para las empresas. Son herramientas sugestivas (en lugar de prescriptivas) y estas ayudan a los departamentos de TI a diseñar y gestionar el cumplimiento de los puntos anteriores.

 

La lista da un breve resumen de lo que hacen estos estándar. No hay uno que sea mejor que otro, simplemente cumplen diferentes propósitos.

ISO 9001 Sistemas de Gestión de la Calidad

 

Es una norma de sistemas de gestión de la calidad (SGC) reconocida internacionalmente. La norma ISO 9001 es un referente mundial en SGC, superando el millón de certificados en todo el mundo.

La norma ISO 9001 es aplicable a cualquier organización – independientemente de su tamaño y ubicación geográfica. Se centra en los procesos y en la satisfacción del cliente en lugar de en procedimientos, es igualmente aplicable tanto a proveedores de servicios como a fabricantes.

La norma ISO 9001 de sistemas de gestión de la calidad proporciona la infraestructura, procedimientos, procesos y recursos necesarios para ayudar a las organizaciones a controlar y mejorar su rendimiento y conducirles hacia la eficiencia, servicio al cliente y excelencia en el producto.

"Las organizaciones que aplican la norma ISO tienen mayores tasas de supervivencia, de ventas y de crecimiento de puestos de trabajo". Mike Toffel, Associate Professor, Harvard Business School.

La certificación ISO 9001 SGC ayuda a transmitir:

  • Compromiso a los accionistas

  • Reputación de la organización

  • Satisfacción del cliente

  • Ventaja competitiva

 

SEIS SIGMA metodología de mejora de procesos

 

6 Sigma es una metodología de trabajo para conseguir la máxima eficiencia de los procesos analizando su variabilidad y proponiendo soluciones basadas en datos.

 

Se define por sus propios autores como un proceso de negocio que permite a las compañías mejorar drásticamente sus resultados finales.

 

El proceso "6 sigma" es un método sistemático que utiliza datos, rigurosamente medidos y analizados, para identificar las fuentes de error (causas raíces de un problema) y las formas de eliminarlas generando mayor satisfacción del cliente y ahorros económicos sustanciales.

 

Se apoya en herramientas estadísticas y de análisis, y propone el desarrollo de grupos de trabajo dinámicos, trabajando con datos en la  búsqueda de la causa raíz al problema estudiado y favoreciendo la toma de decisiones justificada numéricamente.

 

Las empresas que entran en la iniciativa 6 Sigma acaban integrando los principios de esta metodología en su cultura a la vista de los resultados obtenidos.

 

Principios 6 SIGMA:

 

  • Enfocado al cliente,

  • Centrado en los procesos

  • Metodología para la realización de los proyectos (Anchor, DFSS)

  • Estructura organizacional (Champion, Black Belt, Green Belt...)

  • "Lucha" contra la variación (procesos robustos)

 

ITIL La biblioteca de infraestructura de TI

 Es un marco de gestión de servicios de TI que alinea TI con las necesidades del negocio. Las áreas de enfoque clave de ITIL incluyen Servicios, Fases del ciclo de vida, Procesos, Roles y Funciones. Sin duda, ITIL se ha convertido en la solución de administración de servicios más conocida y popular, y ha demostrado su utilidad hasta el momento. Aunque los primeros usuarios de ITIL generalmente eran grandes corporaciones, finalmente escapa a la maldición de "solo para grandes empresas", y cada vez más pequeñas y medianas empresas encuentran prácticas útiles. ITIL es un excelente punto de partida para los proveedores de servicios de TI que apenas están empezando a impulsar la disciplina de los procesos, además de proporcionar estructura y responsabilidad en torno a una organización ya madura. La mayor ventaja es cómo ITIL utiliza la Mejora continua del servicio para proporcionar un mecanismo de retroalimentación constante que lo ayude a garantizar que lo que está entregando esté en línea con las expectativas del cliente.

 

ISO 20000 certificación de los servicios de gestión y soporte TI

 

Es un estándar de calidad generado por la Organización Internacional de Estandarización (ISO) y se utiliza para la certificación de los servicios de gestión y soporte TI. Se trata de una actualización de la norma BS 15000 que ha logrado reorganizar los contenidos para alinearlos con todas las normas de carácter internacional.

Para realizar la elaboración de la norma que ha tenido en cuenta otros documentos como el Código de Buenas Prácticas de la gestión de servicios de TI (ITIL e ITSM).

La norma ISO 20000 utiliza un control exhaustivo de la gestión de los servicios de gestión y soporte TI para operar bajo procesos que sirvan para conseguir un servicio efectivo. En la norma se especifican procesos relacionados con la configuración de sistemas así como la gestión y la solución de problemas de la TI.

Una de las características fundamentales de la norma es su facilidad para alinearse con otras normas que facilitan el trabajo en las organizaciones para la implantación de sistemas integrados. El resultado:

  • Armonización con la norma ISO 9001 e ISO 27001

  • Optimización del proceso planificar, hacer, verificar y actuar

  • Constante mejora del sistema de gestión y soporte TI

 

ISO 27001 gestión de la seguridad de la información en una empresa. 

Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema de Seguridad de la Información y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa pueda ser certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la información y muchas empresas se han certificado su cumplimiento.

 

CMMI modelo de (Capacity Madurity Model Integrated)

 

Es una fusión de modelos de mejora de procesos  e ingeniería del software. Constituye una forma de medir el grado de madurez de las organizaciones respecto a la aplicación de las mejores prácticas de desarrollo y gestión del software.

 

El objetivo de CMMI es establecer una guía que permita a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios informáticos. Son cinco los niveles de madurez que establece CMMI:

 

  •     Nivel 0: Incompleto

  •     Nivel 1: Inicial o ejecutado:

  •     Nivel 2: Repetible:

  •     Nivel 3: Definido:

  •     Nivel 4: Administrado

  •     Nivel 5: Optimizado

 

El objetivo principal de estos niveles de madurez es lograr un nivel de estandarización adecuado para cada compañía respecto a sus procesos de desarrollo de software, con la finalidad de gestionar los proyectos de software adecuadamente y así lograr cumplir con los objetivos planificados para dicho proyecto. Es importante recordar también que lo primordial no es lograr la certificación de los procesos de la organización sino lograr una institucionalización de dichos procesos estandarizados que conlleven a la realización de los objetivos definidos.

 

SCRUM desarrollo de software

 

Es una metodología de desarrollo muy simple, que requiere trabajo duro porque no se basa en el seguimiento de un plan, sino en la adaptación continua a las circunstancias de la evolución del proyecto.

 

Scrum es una metodología ágil, y como tal: Es un modo de desarrollo de carácter adaptable más que predictivo.   Orientado a las personas más que a los procesos.  Emplea la estructura de desarrollo ágil: incremental basada en iteraciones y revisiones.

 

Se comienza con la visión general del producto, especificando y dando detalle a las funcionalidades o partes que tienen mayor prioridad de desarrollo y que pueden llevarse a cabo en un periodo de tiempo breve. Cada uno de estos periodos de desarrollo es una iteración que finaliza con la producción de un incremento operativo del producto. Estas iteraciones son la base del desarrollo ágil y Scrum gestiona su evolución a través de reuniones breves diarias en las que todo el equipo revisa el trabajo realizado el día anterior y el previsto para el día siguiente.

 

PRINCE (PRojects IN Controlled Environments, Proyectos en entornos controlados)

 

Es un acercamiento basado en procesos para la gestión de cualquier tipo de proyecto. Es un estándar de facto para la gestión de proyectos en los organismos gubernamentales del reino unido, y también ampliamente reconocido y utilizado en el sector privado (tanto en el Reino Unido como a nivel internacional)

Las principales características de PRINCE2 son:

  • Se enfoca en la justificación desde el punto de vista del negocio

  • Define una estructura organizativa específica para el equipos de gestión de proyectos

  • Su planificación está enfocada al producto

  • Se centra en la división del proyecto en fases manejables y controlables

  • Dispone de flexibilidad para adaptarse a las necesidades concretas del proyecto

PRINCE2 comprende un conjunto de principios, un conjunto de “temas de control” (control themes), la definición de los ciclos de vida y guías de orientación para la adecuación del método al entorno real del proyecto. Los temas de control son aquellos aspectos de la gestión de proyectos que necesitan ser abordados continuamente durante todo el ciclo de vida del proyecto y proporcionan orientación sobre cómo deben realizarse los procesos. Estos temas describen:

  • Cómo se establecen líneas base para el control de beneficios, riesgos, alcance, calidad, coste y plazos

  • Cómo el equipo de proyecto monitoriza y controla el trabajo durante el avance del proyecto

El tema de organización apoya a los otros temas con la estructura de roles y responsabilidades con estrategias claras la delegación y escalado.

PRINCE2 proporciona un modelo basado en procesos para la gestión de todo el proyecto. Este modelo consiste en un conjunto de actividades que se necesitan para dirigir, gestionar y entregar el proyecto.

 

PMBOK El cuerpo de conocimiento de gestión de proyectos

 

Actualmente, hay muchos recursos de administración de proyectos en el mercado como PRINCE2, pero el PMBOK es claramente el más probado de los recursos de administración de proyectos que existen. La guía presenta un conjunto de términos y pautas estándar para la disciplina de gestión de proyectos e incluye procesos centrales y áreas de conocimiento. Estos están diseñados en una estructura matricial que le permite vincular cada proceso a un grupo de procesos y áreas de conocimiento aplicables: un gran beneficio cuando se planifican, organizan y administran los recursos para lograr los objetivos del proyecto.

 

TOGAF El marco de arquitectura de grupo abierto

 

Es un marco de arquitectura empresarial que representa un conjunto de herramientas, métodos y vocabulario que satisface un enfoque completo en la planificación, el diseño, la implementación y el gobierno de la arquitectura empresarial. Los temas de TOGAF incorporan dominios, método de desarrollo de arquitectura (ADM) y Enterprise Continuum. Los dominios (o pilares) incluyen arquitectura comercial, arquitectura de aplicaciones, arquitectura de datos y arquitectura técnica. El ADM es un ciclo iterativo utilizado para gestionar la ejecución de las actividades de planificación de la arquitectura. Enterprise Continuum es similar a un repositorio de todos los activos de la arquitectura de la organización.

 

BABOK El cuerpo de conocimiento de análisis empresarial

 

Aunque las herramientas de manejo de proyecto como PMBOK o PRINCE2 son buenas, falta algo en ellas. Teniendo en cuenta que la falla número uno de los proyectos de TI gira en torno a los requisitos, esta brecha definitivamente se llena con el BABOK. La guía está escrita para Business Analyst (BA) y proporciona un marco que describe las áreas clave de conocimiento, que se alinean con un conjunto relacionado de tareas y técnicas utilizadas por BA para realizar sus roles. No hay una metodología de entrega prescrita como parte de BABOK; sin embargo, el enfoque principal es documentar estas técnicas en lo que respecta a las áreas básicas de conocimiento de BA: planificación y monitoreo empresarial, obtención, gestión y comunicación de requisitos, análisis empresarial, evaluación y validación de soluciones y competencias subyacentes. Si es un BA, un PM u otro profesional de la entrega de proyectos, le recomiendo que investigue este.

 

ISO 31000 directrices y principios para gestionar el riesgo de las organizaciones.

 

La variedad y complejidad de los riesgos es muy diversa por lo que éste estándar internacional desarrollado por la ISO no está pensado para un sistema particular de gestión, más bien es una guía de buenas prácticas para las actividades relacionadas con la gestión de riesgos.

El diseño y la implantación de la gestión de riesgos dependerán de las diversas necesidades de cada organización, de sus objetivos concretos, contexto, estructura, operaciones, procesos actividades, servicios, etc.

El estándar ISO 31000:2009 está estructurado en tres elementos claves para una efectiva gestión de riesgos:

  • Los principios para la gestión de riesgos: para una mayor eficacia en la gestión del riesgo en una organización.

  • La estructura de soporte o marco de Trabajo. El objetivo de este elemento es integrar el proceso de gestión de riesgos con la dirección, para que esta adquiera un fuerte compromiso con la implantación de la Gestión del Riesgo. En este caso la norma establece una serie de órdenes que se deben cumplir para asegurar la efectividad de la gestión de riesgos

  • El proceso de gestión de riesgos: este proceso consta de tres etapas: establecimiento del contexto, valoración de riesgos y tratamiento de los mismos.

 

COBIT Objetivos de control para información y tecnología relacionada

 

Hoy en día, COBIT es reconocido internacionalmente como la solución de "Gobernabilidad" para TI, con aspectos de seguridad, calidad y cumplimiento. Su enfoque no es necesariamente cómo ejecutar un proceso, sino qué se debe hacer para garantizar un control adecuado de ese proceso. Por lo tanto, técnicamente no implementaras procesos COBIT de abajo hacia arriba, sino que lo usaras como una herramienta para ayudarlo a controlar procesos de arriba hacia abajo como parte de una iniciativa de gobierno más grande. Esta es una herramienta muy constructiva y útil. Comenzando como una herramienta diseñada para auditores de TI para ayudar en el control de TI, se ha convertido en un modelo para ayudar a las empresas a cumplir con los requisitos legales y de cumplimiento. Ayuda a comprender los sistemas de TI y dar guía a las decisiones en torno al nivel de seguridad y control que es necesario para proteger los activos mediante el apalancamiento de un modelo de gobierno de TI. Más específicamente, cierra la brecha entre los requisitos de control, los problemas técnicos y los riesgos comerciales en lugar de centrarse en el proceso real (como lo hace ITIL) y permite el desarrollo de políticas y buenas prácticas de control de TI. Este framework o marco de trabajo, es un punto de partida para la mayoría de los departamentos de TI ya que te dice qué hacer en lugar de, cómo hacerlo.

 

ISO 38500 marco de principios para que la dirección de las organizaciones los utilice al evaluar, dirigir y monitorear el uso de las TIC

 

Esta nueva norma fija los estándares para un buen gobierno de los procesos y decisiones empresariales relacionadas con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en TIC internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.

En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales:

  • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TIC.

  • Informar y orientar a los directores que controlan el uso de las TIC en su organización.

  • Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC.

La norma ISO/IEC 38500:2008 se publicó en junio de 2008 en base a la norma australiana AS8015:2005. Es la primera de una serie sobre normas de gobierno de TIC.

Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones lo utilice al evaluar, dirigir y monitorizar el uso de las tecnologías de la información y comunicaciones (TICs).

Alcance, Aplicación y Objetivos

La norma se aplica al gobierno de los procesos de gestión de las TICs en todo tipo de organizaciones que utilicen (hoy todas) las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TIC.

Dentro de los beneficios de un buen gobierno de TIC estaría la conformidad de la organización con:

  • Los estándares de seguridad

  • Legislación de privacidad

  • Legislación sobre el spam

  • Legislación sobre prácticas comerciales

  • Derechos de propiedad intelectual, incluyendo acuerdos de licencia de software

  • Regulación medioambiental

  • Normativa de seguridad y salud laboral

  • Legislación sobre accesibilidad

  • Estándares de responsabilidad social

También la búsqueda de un buen rendimiento de las TIC mediante:

  • Apropiada implementación y operación de los activos de TIC

  • Clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos de la organización

  • Continuidad y sostenibilidad del negocio

  • Alineamiento de las TICs con las necesidades del negocio

  • Asignación eficiente de los recursos

  • Innovación en servicios, mercados y negocios

  • Buenas prácticas en las relaciones con los interesados (stakeholders)

  • Reducción de costes

  • Materialización efectiva de los beneficios esperados de cada inversión en TIC

 

Conclusiones

Si esta lista de estándares, normas, marcos de trabajo te suena abrumador, no te preocupes, lo es. Permítame ofrecerte algunos puntos finales para considerar antes de terminar.  Los siguientes son mis puntos finos relacionados con la selección e implementación de cualquiera de los marcos anteriores:

1 Estos marcos son sugestivos, no preceptivos. No tienes que implementar todo en el libro o la norma, y debes planear ajustarlos para que se adapten a tus necesidades específicas.

2 No creas que debes elegir uno e ir todo el tiempo con él. Como traté de ilustrar arriba, no hay un solo marco que pueda cubrir todas las necesidades. Lo mejor será que implementes las partes aplicables de muchos marcos de trabajo.

3 Un marco de trabajo no es la solución mágica que resolverá todos tus problemas, pero seguro que puede ayudar a resolver muchos.

4 Implementa los marcos de trabajo en fases. No trates de exprimir todo en una sola versión. Usa tus prácticas de administración de proyectos para ayudar a implementarlos como proyectos.

5 Capacítate sobre los marcos de trabajo aplicables para que te ayuden a comprender todo el espectro de lo que pueden ofrecer antes de sumergirte en un solo marco. Puedes encontrar muchos consejos y trucos de un instructor calificado y con experiencia.

 

Como vimos hay muchos estándares, y la lista seguirá creciendo; no todas pueden implementarse en conjunto; esto crea retos de integración por resolver. Por otro lado, no hay una manera única de hacerlo; no hay recetas mágicas para decidir que usar y como usarlo pero si hay guía y mucha documentación de ayuda y soporte. 

Referencias bibliográficas:

https://blog.itil.org/2013/10/allgemein/governance-over-it-service-management-processes-using-cobit-5-0/

https://www.interfacett.com/blogs/itil-cobit-pmbok-babok-togaf-5-tools-to-improve-your-it-department/

http://tareadmon.blogspot.mx/2015/02/comparacion-de-marcos-de-trabajo-y.html

https://www.proactivanet.com/blog/proactivanet/prince2-en-3-minutos/

https://advisera.com/27001academy/es/que-es-iso-27001/

http://www.lrqa.es/certificaciones/iso-9001-norma-calidad/

http://www.pmg-ssi.com/2017/10/norma-iso-20000-gestion/

bottom of page