• Bookmark

Adaptación COBIT 5 e ITIL en un municipio saudí

Por Govind Kulkarni, COBIT5, CSQA, Experto ITIL, PMP

COBIT Focus | 25 mayo de 2015 Árabe | Inglés | Francés | Italiano | Portugués

El municipio de Arabia Saudita en este caso de estudio es una institución estatal que ha estado en operación desde hace 50 años. Su principal objetivo es servir a los ciudadanos en el ámbito de su región.


Algunos de los servicios más destacados que se prestan a los ciudadanos son salud, saneamiento, agua, electricidad, carreteras y escuelas, entre otros. Estos servicios se proporcionan a 7 millones de habitantes. Toda la información relacionada con estos 7 millones de ciudadanos es gestionada por el departamento de TI del municipio.


Algunos de los servicios de TI en el municipio se consumen dentro del mismo (p. ej., la planificación de recursos empresariales [ERP]) y algunos están disponibles al público (p. ej., servicios de salud, escuelas, policía). Ofrecer un buen servicio a los ciudadanos es el objetivo principal del municipio, y la información juega un papel crucial. La información puede estar relacionada con el nombre, edad, sexo, educación, salud, vivienda, saneamiento, quejas, gustos personales, etc.


El municipio crea una gran cantidad de información, y es un desafío gestionar esta información de manera correcta, consistente y eficaz. Además, el lenguaje constituye una dimensión más, ya que algunos ciudadanos quieren información solo en árabe y algunos quieren la misma información también presentada en inglés.
 

El municipio crea una gran cantidad de información, y es un desafío gestionar esta información de manera correcta, consistente y eficaz.


El municipio debe prestar la debida atención a, y enfocarse en, la gestión de la información. La falta de disponibilidad de la información cuando es absolutamente necesaria, o la información incorrecta, incluso cuando está disponible, deriva en la frustración de los ciudadanos, y el municipio no puede tomar este riesgo. La información se gestiona a través de una lista de servicios que el municipio proporciona a clientes y a usuarios internos y externos.


Por lo tanto, el municipio optó por adaptar e implementar un gobierno empresarial y el marco de gestión de servicios para incorporar disciplina, estructura y un enfoque organizado a la gestión de información. En este caso, el municipio consideró tanto COBIT 5 como la Biblioteca de Infraestructura de Tecnologías de Información (ITIL, por sus siglas en inglés).


Si bien la implementación de COBIT 5 e ITIL en el municipio de Arabia Saudita aún está en curso y se espera que tardará aproximadamente un año para completarlo, este caso de estudio abordará cómo se inició la adaptación de COBIT 5 e ITIL, sus motivadores, el enfoque utilizado y los facilitadores enfocados para proporcionar lecciones y detalles; el enfoque adoptado para establecer procesos; y cómo la adaptación de COBIT 5 e ITIL ayudó a lograr los objetivos de TI y municipales.


El departamento de TI del municipio está dirigido por un director de información (CIO). Varios departamentos, tales como las oficinas de gestión de redes TI, gestión de infraestructura de TI y gestión de proyectos (PMO), están dirigidos por los gerentes bajo la dirección del CIO. Las aplicaciones informáticas se compran en su mayoría de proveedores.


Hay varios departamentos, como el jurídico, de generación de licitaciones y gestión de estrategias, que consumen servicios de TI. Cada departamento requiere el tipo de información correcta para crear, editar, modificar, almacenar y archivar. Por lo tanto, es importante que se adopte un enfoque estructurado basado en marcos probados como COBIT e ITIL.


Motivadores para la implementación de principios de gobierno y gestión de servicios

Los principales motivadores de la implementación de un marco de gobierno y gestión de servicios eran los puntos débiles del municipio, en particular:

  • Falta de continuidad del negocio
  • Gestión de activos de TI que requería disciplina
  • Incidentes importantes que causaban la falta de disponibilidad de servicios
  • Insuficiente gestión de riesgos de TI y gestión de seguridad
  • Creación de valor del negocio para las partes interesadas

Otro factor clave era derivar valor de TI. El dinero no era un factor importante. Debido a que es una organización gubernamental, los únicos criterios que deben cumplirse para los gastos es que cualquier inversión necesita justificación.


Año tras año, las TI estaban bien financiadas. Sin embargo, la determinación de la generación de valor de TI era una razón principal para la implementación de estos marcos. El objetivo era obtener un retorno de la inversión (ROI) de TI. Las TI también necesitaban cumplir en una variedad de áreas, incluyendo:

  • Reducción de incidentes
  • Número de usuarios que están satisfechos con los servicios municipales
  • Una estrategia implementada para cumplir con los próximos desafíos a medida que la demanda de servicios aumenta
  • La integración con otros municipios y sub-municipios
  • Satisfacer los cumplimientos continuos
  • Gestión de riesgos

El municipio estaba ansioso por poner en práctica los marcos de mejores prácticas; por lo tanto, obtener el compromiso de la alta dirección nunca fue un problema. El CIO personalmente inició el proyecto y guió a cada miembro para demostrar la importancia de varios marcos y de la gestión de la información.


Formación del equipo de implementación

Para que las TI ofrezcan valor, se decidió que era necesario implementar un marco de mejores prácticas. La pregunta era: ¿Quiénes serían los miembros ideales de este equipo y quién necesitaba supervisar a quién?


El municipio cuenta con 60 miembros del personal de TI que trabajan en distintos departamentos. La Figura 1 muestra el organigrama creado para la implementación.


Figura 1 - Organigrama para la implementación del marco

Fuente: Govind Kulkarni. Reimpreso con autorización.


La preparación, las funciones y las responsabilidades del equipo incluyeron:

  • Cada miembro fue entrenado en los marcos de mejores prácticas; estándares; principales procesos COBIT 5 de Alinear, Planificar y Organizar (APO); Construir, Adquirir e Implementar (BAI); y Entregar, Servir y Soportar (DSS); y la gobernabilidad.
  • Los recursos cruciales recibieron capacitación y certificación en COBIT 5 a nivel de fundamentos y de implementación.
  • Los recursos cruciales también recibieron capacitación ITIL a nivel de experto. El PMO fue responsable del seguimiento semanal de los problemas, la presentación de informes, estimación de costos y provisión de valor.
  • El equipo de traducciones fue responsable de convertir los procesos y otros documentos al árabe y guiar a los usuarios en el idioma.
  • El equipo de implementación fue responsable de la implementación general de los marcos de mejores prácticas y de establecer prioridades. El equipo de implementación estaba compuesto por creadores de procesos.
  • El equipo de herramientas fue responsable de convertir los procesos en herramientas y de habilitar el mapeo de herramientas y procesos, según sea necesario.

Evaluación de la situación actual

La evaluación de la situación actual se completó a través de una lista de control estandarizada. Se emplearon reuniones y talleres como medio para identificar las debilidades de TI que operaban en áreas importantes en los últimos 6 meses, incluyendo:

  • Inversiones de TI
  • Visión/objetivos de TI
  • Estrategia de TI para los próximos 5 años
  • Puntos débiles de TI
  • Principales procesos de TI
  • Necesidades de cumplimiento

Estas áreas se discutieron con el departamento de TI, y en ocasiones con los usuarios finales, y posteriormente se documentaron y compartieron con todas las partes interesadas. Estos documentos de evaluación de la situación actual ayudaron a concentrar el enfoque y la atención en las áreas de interés del usuario.


Enfoque de implementación y estrategia

Como menciona COBIT 5, las áreas que se pueden implementar con rapidez y pueden proporcionar resultados rápidos mientras abordan los puntos débiles son las que deben implementarse en las fases iniciales. Este concepto impulsó el plan de implementación basado en puntos débiles actuales.


El enfoque de la aplicación estaba en el habilitador de procesos. El modelo de referencia de procesos (PRM) fue referenciado para la implementación. Los procesos seleccionados del PRM se asignaron a 2 categorías, prioridad 1 y prioridad 2. Entonces se creó el plan de implementación. La implementación de los procesos de prioridad 1 y prioridad 2 se agrupan en la fase 1.


Fase 1


Los procesos de prioridad 1 para la implementación incluyen:

  • APO02 – Gestionar la estrategia
  • APO05 – Gestionar la cartera
  • DSS02 – Gestionar las peticiones e incidentes de servicio
  • DSS03 – Gestionar los problemas
  • DSS04 – Gestionar la continuidad
  • BAI10 – Gestionar la configuración
  • BAI06 – Gestionar los cambios
  • BAI04 – Gestionar la disponibilidad y capacidad
  • BAI07 – Gestionar la aceptación de cambios y la transición

Los procesos de prioridad 2 para la implementación incluyen:

  • BAI08 – Gestionar el conocimiento
  • APO09 – Gestionar los acuerdos de servicio
  • APO10 – Gestionar los proveedores
  • APO08 – Gestionar las relaciones
  • APO13 – Gestionar la seguridad

Fase 2


En la segunda fase (después de la implementación de todos los procesos de gestión), el plan es incluir los procesos de gobierno. Por lo tanto, este estudio de caso resalta solo los procesos de gestión.


Después de las conversaciones con la alta dirección y el departamento de estrategia, se desarrolló una estrategia de TI. La estrategia incluyó una visión de TI a corto y largo plazo (5 años) alineada con la visión de negocio, una declaración de misión y objetivos.


Se realizaron varios talleres con los usuarios, el departamento de TI y los miembros de las unidades de negocio para capacitar a las partes interesadas sobre la estrategia de TI y su participación, funciones y responsabilidades probables.


Preparación del plan de implementación y lanzamiento del proyecto

La implementación del marco fue liderado como cualquier proyecto, con una fecha específica de inicio y fecha de finalización, hitos y responsabilidades. El conjunto estándar de tareas que se enumeran en la Figura 2 debía llevarse a cabo para cada proceso.


Figura 2 - Principales tareas del plan de implementación

Nombre de la tarea

Obtener los requisitos del proceso de las partes interesadas; realizar reuniones y talleres.
Crear la documentación de los procesos; hacer una lista de flujos de trabajo, estados.
Llevar a cabo el taller de documentación del proceso para las partes interesadas.
Corregir el documento del proceso en base a las aportaciones del taller.
Obtener la autorización - Inglés
Obtener la autorización - Árabe
Imprimir, archivar y entregar el proceso al equipo de herramientas.
Emprender pláticas sobre el proceso de implementación y las herramientas.
Proporcionar apoyo y asistencia para la implementación de las herramientas.
Emprender pruebas piloto del proceso de implementación, utilizando herramientas y guías para los usuarios finales.
Ofrecer talleres para los usuarios finales con el fin de desarrollar la confianza en el nuevo proceso y nuevas herramientas.
Poner el proceso en marcha.
Dar cuenta de los problemas post implementación y apoyar en el proceso y la corrección.
Crear una referencia para el proceso.

Fuente: Govind Kulkarni. Reimpreso con autorización.


Se creó un calendario de un año de duración y se presentó a la administración. Se programó una revisión trimestral de la implementación y se incluyeron revisiones semanales de la situación, los desafíos y las actividades de re-planificación.


También se incluyó un registro de las partes interesadas, con detalles tales como:

  • Nombre
  • Puesto
  • Departamento
  • Relación
  • Detalles de contacto
  • Cómo las partes interesadas participarán en cada una de las tareas de implementación

Contenido del proceso

Cada proceso determinado en la prioridad 1 y 2 contiene los mismos elementos básicos, incluyendo:

  • Introducción al proceso
  • Propósito y objetivos del proceso
  • Alcance del proceso
  • Siglas, definiciones y terminologías utilizadas en el proceso
  • Referencias utilizadas para crear el documento del proceso
  • Políticas del proceso que los usuarios y el departamento de TI deben seguir
  • Valor para el negocio
  • Métodos, técnicas y actividades
  • Escalamientos
  • Acuerdos de servicio que deben lograrse
  • Estados del proceso
  • Insumos/productos clave (I/O) e interfaces con otros procesos
  • Indicadores de desempeño clave (KPIs) y los factores de éxito cruciales (CFSs) del proceso y los métodos para recolectar las mediciones
  • Reuniones para evaluar el estado de la implementación y los problemas
  • Informes del proceso
  • Factores de riesgo, supuestos y desafíos

Los requisitos del proceso se capturaron durante los talleres, donde se abordaron debates, sugerencias, desacuerdos y pros y contras para llegar a un documento del proceso.


Los objetivos del negocio fueron asignados a los objetivos del proceso en cada etapa, por ejemplo:

  • Objetivo de negocio: La satisfacción del usuario final necesita mantenerse o aumentarse.
  • Objetivo del proceso DSS02 - Gestionar las peticiones de servicio e incidentes: ¿Cuál es el tiempo necesario para responder y resolver un incidente? Cuanto antes se resuelva un incidente, más satisfechos estarán los usuarios.

Se crearon plantillas para documentar los procesos. Se creó la planificación de talleres de acuerdo con los siguientes detalles (Figura 3).


Figura 3 - Planificación de talleres

No. de est.

Temas

Grupo de participantes I Lote 1 (Miembros del Comité de Dirección de TI y otros gerentes e ingenieros)

Observaciones

   

Fecha

Tiempo

 
1 APO05 - Comprender el catálogo y la cartera de servicios Miércoles, 02 de abril de 2014 9.00AM a 09.30AM

El PMO compartirá los detalles de la agenda individual al menos tres días antes del taller.

2 APO02 - Gestionar la estrategia para servicios de TI Miércoles, 09 de abril de 2014 9.00AM a 09.30AM
3 DSS02 - Gestionar las peticiones y los incidentes Miércoles, 23 de abril de 2014 9.00AM a 09.30AM
4 DSS03 - Gestionar los problemas Miércoles, 30 de abril de 2014 9.00AM a 09.30AM
5 DSS04 - Gestionar la continuidad Miércoles, 07 de mayo de 2014 9.00AM a 09.30AM
6 BAI06 - Gestionar los cambios Miércoles, 21 de mayo de 2014 9.00AM a 09.30AM
7 BAI10 - Gestionar la configuración Miércoles, 28 de mayo de 2014 9.00AM a 09.30AM

Fuente: Govind Kulkarni. Reimpreso con autorización.


Planificación de talleres

Los participantes optaron por asistir a lotes de talleres de acuerdo con su conveniencia.


Los talleres:

  • Se llevaron a cabo en lotes para educar a todos los usuarios. Hasta el momento, se han realizado 18 talleres.
  • Continuaron incluso después de que el proceso se puso en marcha
  • Concluyeron con elementos de acción para los usuarios incluidos en el acta de cada reunión
  • Incluyeron la integración del proceso y las herramientas
  • Incluyeron una prueba piloto del proceso por parte de los usuarios
  • Se llevaron a cabo para explicar a los usuarios cómo utilizar el proceso y las herramientas

Los factores clave logrados durante la implementación del proceso incluyeron:

  • La capacitación de todas las partes interesadas es imprescindible. Todos necesitan ser capacitados adecuadamente para utilizar las herramientas y los procesos. Solo entonces los emplearán los usuarios finales.
  • La implementación eficaz de las herramientas solo es posible cuando las partes interesadas conocen bien tanto el proceso como las funciones de las herramientas.
  • Los talleres son el único medio de participación con las partes interesadas para la implementación.
  • Los talleres deben centrarse en el facilitador que proporciona la explicación adecuada, y en segundo lugar, en el usuario que lo pone en práctica. Cuanta más práctica tengan los usuarios, mayor es la tasa de adopción y menor es la necesidad de recapacitación.
  • Los talleres deben explicar la importancia de seguir un proceso y sus políticas.
  • Los talleres deben explicar los beneficios de seguir un proceso.
  • Los usuarios finales que no están acostumbrados a seguir procesos enfrentarán desafíos. Cambiar su mentalidad se facilita a través de talleres y al permitirles utilizar el proceso por su cuenta. Un facilitador necesita tomar parte en el fomento del concepto.
  • Los facilitadores deben observar cuidadosamente quién está siguiendo y aprendiendo en el taller y quién no lo está haciendo.
  • Los talleres no deben durar más de media hora. Los primeros 10 minutos se deben invertir explicando el orden del día y el proceso.
  • Los logros y retos del taller deben comunicarse a la alta dirección para obtener orientación y dirección cuando sea necesario.
  • El concepto de ofrecer un buen servicio a los ciudadanos debe ser siempre la prioridad de las partes interesadas.
  • Todas las mediciones requeridas deben recolectarse solamente con las herramientas. No debe haber ninguna recolección manual de datos.

Desafíos enfrentados

El desarrollo y la implementación del proceso no carecieron de retos e incluyeron:

  • Barreras interdepartamentales (superadas mediante el uso de talleres)
  • Idioma
  • Experiencia en la implementación de las herramientas
  • Logística, tales como visas de viaje para los consultores
  • Reunir a las partes interesadas para los talleres, de acuerdo con la disponibilidad de todas ellas

Beneficios de implementación

Aunque la implementación aún está en curso, se ha avanzado mucho y las partes interesados ven una tremenda mejora en su manera de trabajar. Algunas partes interesadas consideran que seguir el proceso y usar las herramientas de forma eficaz los ayuda a hacer mejor su trabajo, servir mejor, dar seguimiento a los estados, generar mejores informes y estar al tanto de los problemas.


Independientemente de lo bien que sea el proceso, los incidentes no pueden reducirse a cero, y ese no es el objetivo en este caso; en su lugar, responder a los incidentes y trabajar para resolverlos dentro de una línea de tiempo, asegura un servicio adecuado a los usuarios.


Por primera vez, el departamento de TI está en la práctica de gestionar los problemas para reducir la recurrencia, realizar evaluaciones de riesgos para los activos de TI cruciales, y planificar e implementar la continuidad del negocio. Todo esto asegura que las TI se estén convirtiendo en un activo valioso que suministra los servicios necesarios, y este cambio se refleja en la satisfacción de los usuarios. Los resultados en términos de valor financiero aún no se han cuantificado.


En el futuro, otros facilitadores se implementarán uno por uno. A medida que el éxito continúe, los procesos de gobierno se implementarán en los próximos meses, y éstos asegurarán de que se logren los beneficios para satisfacer las necesidades de las partes interesadas.


Govind Kulkarni, COBIT5, CSQA, Experto ITIL, PMP

Es un desarrollador de software experimentado con 2 décadas de experiencia ofreciendo soluciones de TI. Ha trabajado en todo el ciclo de vida de desarrollo de software, y actualmente realiza capacitación en COBIT 5, ITIL y pruebas de software. Kulkarni ha completado tareas de consultoría para el análisis de brechas, la implementación de COBIT 5/ITIL, las evaluaciones utilizando la norma ISO 15504 y la personalización de herramientas para clientes alrededor del mundo. Sus intereses actuales incluyen la continuidad del negocio, la evaluación de TI y la gestión de costos, la optimización de la escalabilidad y del desempeño de aplicaciones web, el análisis predictivo, y las áreas de tecnología como OpenStack y DevOps. Fue uno de los editores del libro Cómo reducir el costo de pruebas de software, publicado por CRC Press en el 2012. Puede ser contactado en Govind.kulkarni@vyomlabs.com o goodgovind1505@gmail.com.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.