miércoles, 20 de mayo de 2009

Estándares Metodológicos para la Gestión de los Sistemas de Información.

En la actualidad la variedad de metodologías (llamémosle así de forma genérica al conjunto de estándares, metodologías, o buenas prácticas) presentes en el mercado relacionadas con la gestión de los departamentos de TI es muy amplia, y parece que el futuro no va en la línea con la “consolidación” como pasa en el mercado de las empresas de TI, sino todo lo contrario, con nueva metodologías apareciendo en la cartelera mensualmente…..Lean Service Management, USMBOK (Universal Service Management Body of Knowlegde, www.usmbok.org), ISO 38500, CMMi Services, Six Sigma aplicado a TIC, y un largo etcétera.
De todas formas hay algunos de estos estándares que se han consolidado en el mercado, o que suenan en mayor medida, sobre todo los que ya llevan unos años de trayectoria. Entre estos, ITIL, en sus versiones 2 y 3 (14 millones de entradas en google), el estándar ISO 20000 (4,6 millones de entradas), nacido a raíz de ITIL, la ISO 27001 relacionada con la seguridad de la información (1,7 millones de entradas), CMMi en su totalidad (Development- Services-Adquisition) (2,1 millones de entradas), y Cobit (0,8 millones de entradas) como marco de gestión más enfocado a alinear los objetivos del negocio con las tareas de los departamentos de TI.
De todo este aglomerado de estándares cada organización debe ser capaz de entenderlos todos, saber qué puntos tienen en común y qué elementos define mejor cada uno, y a la vez saber utilizar aquellas herramientas que nos presentan individualmente los distintos enfoques.
Por ejemplo, ISO 20000 es, a nuestro modo de ver, un buen punto de partida para iniciarse en este camino, aunque no se persiga el fin último de una certificación. Este estándar define unos mínimos que toda organización debe cumplir (los “debes” de la norma, en su parte 1) para tener un sistema de gestión de servicios TI (SGSTI). Apoyando a esta norma certificable, podemos utilizar su parte 2 (ISO/IEC 20.000-2), como referencia para la mejora de este sistema de gestión (los “debería” de la norma).
En paralelo, no podemos desviar la vista de ITIL, en su versión 2, ya que contiene casi los mismos procesos que la norma certificable, aportando un conocimiento más profundo en cuanto a las interrelaciones entre los distintos procesos y una visión más detallada de los roles implicados y sus responsabilidades.
La última versión de ITIL, la 3ª de estas mejores prácticas, aporta una mayor profundidad en cuanto al ciclo de vida de los servicios, y se realiza una revisión de antiguos conceptos, actualizándolos y proponiendo algunas nuevas soluciones a dificultades encontradas en la versión anterior. De todas formas, la versión 3 en todo su conjunto, abarca un ámbito tan grande de procesos y funciones que no parece recomendable empezar con esta versión de esta metodología a no ser que hablemos de organizaciones ya muy maduras en la gestión por procesos y con un cierto tamaño, que nos permita dedicarle un esfuerzo considerable.
No olvidemos, de entre todas las metodologías, aquellas orientadas a asegurar la seguridad de la información, como requisito indispensable dentro de una organización que gestiona datos y por tanto debe asegurar su confidencialidad, integridad y disponibilidad. En este sentido la norma ISO 27001 (Sistema de Gestión de la Seguridad de la Información (SGSI)) sería la norma certificable, junto con toda la familia de la serie 27000, y por tanto el punto de referencia.
Como complemento a todas las anteriores, nunca deberíamos descuidarnos tener en cuenta Cobit (Cobit 4.1), sea cual sea el ámbito que nos interese (dentro de TI). Ya que nos aporta un visión complementaria a todos los procesos de ISO 20.000 e ITIL, y nos aporta mucha más información en relación a indicadores y como mapearlos a nuestros objetivos de negocio. Sin olvidar las propuestas de matrices RACI o los niveles de madurez propuestos para cada proceso.
En definitiva, para confeccionar un sistema de gestión de los sistemas de información, hay unos pasos que ninguna organización debería saltarse. En primer lugar, conocer las distintas metodologías, y posteriormente definir cuál es el objetivo que quiere conseguir la organización. Seguidamente, evaluar el estado de madurez de la organización respecto al objetivo marcado. En tercer lugar, llevar a cabo un proyecto (apoyado por la Dirección) para conseguir pasar del estado actual al deseado. Este paso puede realizarse internamente, o con ayuda externa, pero siempre debe quedar claro el objetivo, y se deben definir los indicadores que nos permitirán saber cuando hemos llegado al objetivo final.
Para finalizar y siguiendo el hilo del inicio de este artículo, comentar que 11 empresas en España (según distintas fuentes) ya han conseguido la certificación ISO 20.000, y nos consta que un número mucho mayor están en camino de implementar un modelo basado en dicha norma, lo que nos reafirma en nuestra opinión: La ISO 20.000 es un buen punto de partida hacia la mejora para las organizaciones que gestionan las TIC.


Artículo publicado en www.computing.es

http://www.computing.es/Informes/200905130005/Estandares-Metodologicos-para-la-Gestion-de-los-Sistemas-de-Informacion.aspx