• Bookmark

Implementación de la integración de servicios en un entorno multi-proveedor utilizando COBIT 5

Por Martin Andenmatten, CISA, CGEIT, CRISC, ITIL Master

COBIT Focus | 28 September 2015 Inglés | Francés | Alemán | Portugués

Estamos viviendo en un mundo en constante cambio. Si bien la tecnología es cada vez más inteligente y fácil de manejar para los usuarios, el gobierno y la gestión de las TI empresariales (GEIT) se están volviendo cada vez más complejas. Cada vez más, servicios en la nube están reemplazando a las soluciones tradicionales in-situ, y el riesgo asociado a este nuevo modelo de negocio para las TI es difícil de manejar. El papel del departamento de TI interno está siendo cuestionado debido a que, con frecuencia, su valor no se reconoce a nivel del consejo. Debido a que las empresas pueden acceder a los servicios de TI con relativa facilidad a través de un bróker de servicios en la nube, la gestión de programas y proyectos a largo plazo ya no es necesaria para suministrar servicios equivalentes a un costo, tiempo y riesgo desconocidos. Bueno, aún no llegamos a ese punto, pero el camino es claro.
 

COBIT 5 continúa siendo el marco básico para el diseño de un sistema de gobierno y gestión en un entorno multi-proveedor y extenso de servicios en la nube.


COBIT 5 fomenta el concepto de diferenciar gobierno de gestión. Aunque se considera apropiado, este enfoque aporta al desafío de saber cómo gobernar y gestionar estas torres de servicio divididas, compartidas y distribuidas (p. ej., torres de equipos de escritorio, infraestructura, plataforma y aplicaciones) de diferentes proveedores, con el fin de cumplir con las expectativas sobre la obtención de beneficios, optimización de riesgos y optimización de recursos. Será aún más interesante ver cómo esto se puede gestionar cuando ya no haya un solo proveedor de servicios, sino muchos proveedores de servicios, cada uno suministrando solo partes de un servicio. La combinación de proveedores está en constante cambio a través de la adición o eliminación de partes de servicios por los propietarios de los procesos de negocio. El habilitador de Servicios, Infraestructura y Aplicaciones COBIT 5 ya no es una unidad de suministro holística con una cadena de suministro clara. Es más una recopilación de torres de servicio de los proveedores de servicio independientes dentro de una red de suministros. Por ejemplo, ¿cómo los requisitos de disponibilidad o capacidad se pueden asegurar y gestionar de extremo a extremo? ¿Cómo se coordinarán los incidentes y problemas entre los diferentes proveedores? ¿Cómo se asegurarán las operaciones de seguridad y la ciber-resilencia, cuando los socios de servicio están cambiando dinámicamente? ¿Se trata de un proceso de gestión de proveedores dedicados con actividades de contratación y monitoreo suficientes para supervisar toda la situación y asegurar el cumplimiento? ¿La orquestación y automatización de servicios es la única solución y deberíamos basarnos principalmente en la confianza de que todo va a funcionar bien? ¿Necesitamos un sistema de gobierno y gestión mucho más sólido en un entorno de proveedores tan ágil y siempre cambiante? ¿Y eso cómo es?


COBIT 5 continúa siendo el marco básico para el diseño de un sistema de gobierno y gestión en un entorno multi-proveedor y extenso de servicios en la nube. ISACA ha publicado diversos volúmenes de guías prácticas COBIT 5; Vendor Management Using COBIT 5 (Gestión de proveedores utilizando COBIT 5) y Controls and Assurance in the Cloud: Using COBIT 5 (Controles y Aseguramiento en la nube: Utilizando COBIT 5) son especialmente adecuados para su uso en este contexto. Pero ninguna de las dos publicaciones toma en cuenta la dinámica que se debe considerar al gobernar y gestionar un entorno de este tipo. Es necesario un concepto de integración de servicios que apoye el cambio hacia contratos más cortos y el mayor impulso hacia el uso de servicios de abastecimiento y en la nube de múltiples proveedores externos.


Hoy en día, existe un modelo de este tipo: Integración y Gestión de Servicios (SIAM). Este es un concepto con una clara función de proporcionar dirección, gestión y coordinación para el suministro de servicios de TI de extremo a extremo. SIAM no es un marco nuevo, pero debido a que el enfoque típico de “mejor en su clase” al evaluar socios de servicios está dando lugar a una falta de interoperabilidad y portabilidad, así como a dificultades en la coordinación de los problemas de servicio, el marco se utiliza cada vez más en entornos de gestión de servicios. Ayuda a desarrollar las capacidades requeridas para tomar el control sobre toda la red de suministro de servicios. Y es una gran oportunidad para que las organizaciones de TI internas reposicionen su papel y desempeñen su función entre la empresa y los distintos proveedores como el custodio del órgano de gestión de consultas relacionadas con las TI dentro de la empresa. Esto es muy importante para mantener la responsabilidad de los procesos y servicios dentro de la organización.


SIAM no es una herramienta ni un proceso. Es más una capacidad fundamental para un modelo de operación objetivo con el fin de poder reflejar los requerimientos particulares de las unidades de negocio y la naturaleza particular del panorama del proveedor. Con el fin de gestionar de manera eficiente la integración de servicios dentro de una organización, es útil usar la estructura COBIT 5 con los 7 habilitadores y adaptarlo a los requerimientos especiales.


Habilitador de COBIT 5: Políticas, principios y marcos

Se necesitan políticas y orientaciones claras para definir cómo los servicios de nube y proveedores de aprovisionamiento externos se incorporan a una organización. Además, deben definirse los estándares de diseño de servicios que describen claramente las interfaces, los roles y las responsabilidades dentro del ecosistema de servicios. Cuando se debe proporcionar una garantía de servicio de extremo a extremo, es esencial tener a todos los socios en sintonía. Es necesario aclarar cómo se manejan las prioridades y cómo se invoca el escalamiento.


SIAM necesita desarrollar políticas y principios claros que definen los estándares de integración de servicios. Incluso cuando se debe aceptar que diferentes socios están utilizando diferentes herramientas y definiciones de procesos, se debe definir un conjunto mínimo de requisitos que describen los principios de trabajar juntos.


Como es la naturaleza de los servicios de outsourcing y de nube, partes de los procesos serán gestionadas en el sitio del proveedor (Figura 1). Sin embargo, la organización del usuario final sigue siendo responsable por el resultado del servicio, el costo y el riesgo. Se debe implementar una política y orientación claras con la autoridad para exigir el cumplimiento con cada proceso de gestión, p. ej., establecer la política de seguridad de la información, utilizar controles, detectar infracciones e iniciar acciones correctivas.


Figura 1 - Dominios del proceso

Fuente: Glenfis AG. Reimpreso con autorización


Habilitador de COBIT 5: Procesos

Las prácticas y actividades del proceso son los vehículos más importantes para la ejecución de las políticas y directivas. Se sabe que las organizaciones necesitan un propietario del proceso global que sea responsable de todas las actividades del proceso de extremo a extremo. En un entorno de múltiples proveedores, se debe considerar que cada proveedor tendrá un propietario de proceso correspondiente en su lado que estará actuando de acuerdo con sus responsabilidades. Por ejemplo, un administrador de problemas de la organización del usuario final necesita coordinar las definiciones y las actividades del proceso con cada propietario del proceso correspondiente de los proveedores de servicios cruciales.


En un entorno multi-proveedor, hay sistemas de integración de servicios y de gestión que se deben desarrollar. Hay componentes básicos específicos necesarios, como se ilustra en la Figura 2, con el propósito de coordinar el trabajo entre las diferentes partes interesadas involucradas. Por ejemplo, “Diseño del servicio” se convierte en un componente clave en la definición de los estándares e interfaces de procesos y herramientas para que los proveedores trabajen con el cliente.


Figura 2 - SIAM: Componentes y procesos del panorama

Fuente: Glenfis AG. Reimpreso con autorización


Como tal, se debe crear una imagen clara de todos los socios de servicios involucrados, dentro de la cartera de servicios y el catálogo de servicios (APO09). Diferentes definiciones de prioridades, esquemas de clasificación, niveles de servicio o transferencia de información se deben definir dentro del marco de diseño de servicios (APO01).


Habilitador de COBIT 5: Estructuras organizacionales

Debido a que la integración de servicios es una capacidad específica con habilidades específicas en la coordinación, gestión de proveedores y contratos, y el desarrollo de relaciones con todas las partes involucradas, es conveniente establecer un equipo SIAM específico. Este equipo puede orientar o incluso asumir algunas responsabilidades para la coordinación del proceso y la presentación consistente de informes del servicio. Puede actuar como una base de conocimientos para los procesos de gobierno y gestión, y para la definición de los estándares de integración de servicios (Figura 3).


Figura 3 - Organización y procesos dentro del concepto SIAM

Fuente: Glenfis AG. Reimpreso con autorización


Como tal, una función SIAM puede ser interna o suministrada por un proveedor SIAM específico. Este artículo sugiere que este equipo debe permanecer con la organización del usuario final ya que el núcleo de la coordinación y gestión del trabajo se llevan a cabo allí. Pero si las habilidades y la experiencia necesarias no se pueden encontrar in-situ, el outsourcing es siempre una opción.


Habilitador de COBIT 5: Cultura, ética y comportamiento

Como siempre, las personas ejecutan los procesos y hacen que todo se lleve a cabo. Se necesita una cultura de apoyo y de mente abierta para desarrollar relaciones personales eficaces en todos los niveles entre los propietarios de los procesos, los propietarios de los servicios, el equipo SIAM y los proveedores, donde quiera que se encuentren. Debe haber reuniones periódicas uno a uno entre los propietarios de los procesos y de los servicios correspondientes.


Al final, esto ayuda a crear un ambiente de trabajo de apoyo y colaboración a través de los proveedores, y ayuda en el desarrollo de una red de valor dentro del panorama de prestación de servicios.


Habilitador de COBIT 5: Información

La información es crucial. La información debe fluir entre la organización de los usuarios finales y los proveedores. Los incidentes, eventos, cambios, errores conocidos y logros de servicio deben ser transparentes y de fácil acceso. El diseño del servicio, tal como se abordó bajo Habilitador de procesos, suministrará los estándares e interfaces entre las partes involucradas.


Habilitador de COBIT 5: Servicios, infraestructura y aplicaciones

Debido a que los servicios de TI son una combinación de diferentes torres de servicios suministrados por proveedores internos y externos, se debe implementar una buena arquitectura de servicios basada en un método de desarrollo de arquitectura (ADM) (p. ej., Esquema de Arquitectura del Open Group [TOGAF]). Los estándares de diseño de servicios deben ser parte de un modelo de este tipo.


Un gran desafío es la colaboración entre las diferentes herramientas utilizadas por los diferentes proveedores. Es una ilusión solicitar a los proveedores que utilicen la misma herramienta que las organizaciones de usuarios finales utilizan, y derivaría en un aumento de los costos. Obtener un poco de integración técnica de los diferentes conjuntos de herramientas basadas en interfaces estándar ya es un reto en sí. Más difícil aún es la definición de estándares comunes de información para el intercambio (nivel de gravedad, prioridades, estado del proceso, etc.) (Figura 4).


Figura 4 - Conjunto de herramientas SIAM como la herramienta de planificación de recursos empresariales para las TI internas

Fuente: Glenfis AG. Reimpreso con autorización


Habilitador de COBIT 5: Personas, habilidades y competencias

El personal SIAM clave tiene que ser al menos tan calificado y conocedor de los servicios GEIT y las técnicas relacionadas como el personal del proveedor. Esto es crucial para poder diseñar y gobernar de manera eficaz los procesos y las actividades. Además de las habilidades técnicas y de procesos, se necesitarán habilidades interpersonales, especialmente en:

  • Gestión de relaciones
  • Gestión de conflictos
  • Influencia
  • Negociación
  • Gestión de las partes interesadas

El personal SIAM clave pasará la mayor parte de su tiempo con el personal del proveedor, fuera del control directo de la administración interna. La existencia y la madurez de estas habilidades interpersonales serán cruciales para la implementación exitosa del SIAM.


Implementación y transición a un nuevo modelo de operación SIAM

Al igual que la implementación de un sistema de gobierno y de gestión, el modelo de operación objetivo SIAM será un cambio organizacional que se debe tratar como un cambio empresarial. El modelo de implementación de siete pasos de COBIT 5 se puede utilizar como una guía, pero un modelo detallado SIAM debe entenderse plenamente con el fin de definir la visión y el estado objetivo.


Nota del autor

Puede encontrar más información sobre SIAM en dos libros blancos de Axelos:

Martin Andenmatten, CISA, CGEIT, CRISC, ITIL Master

Es fundador y director general de Glenfis AG, una organización de consultoría y capacitación con sede en Suiza. Él y su equipo ayudan a las organizaciones a desarrollar sus estrategias de abastecimiento y gestión de servicios, y las apoyan en la fase de selección y transición. Dirige programas demandantes de abastecimiento y gestión de servicios para una variedad de clientes. Desde el 2002, también ha sido instructor de cursos en ITIL, ISO 20000 y COBIT, y Gobierno de Abastecimiento. Como editor y escritor, ha descrito su experiencia práctica en los libros ISO 20000: Praxishandbuch für Servicemanagement und IT-Governance – Managing Services with ITIL (Manual práctico para la gestión de servicios y gobierno de TI - Gestión de Servicios con ITIL) y COBIT 5 Grundlagen (Conceptos básicos de COBIT 5).

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.