Búsqueda


8 de junio de 2006

Combinando Estándares

Una de las técnicas más habituales en los días que corren es la combinación de diferentes estándares en la definición del Modelo de gestión de Servicios TIC de una organización. Normalmente, siempre decimos que ITIL no es suficiente y que es bueno combinarlo con otros modelos o estándares como puede ser COBIT.

Precisamente, la combinación ITIL+ COBIT + ISO17799 que ahora es tan y tan conocida (en parte gracias al documento publicado conjuntamente entre el itSMF e ISACA llamado Aligning COBIT, ITIL and ISO 17799 for Business Benefit ) en realidad comenzó allá por el año 2002 cuando Angeli Hoekstra y Nicolette Conradie publicaron un simple powerpoint (yo lo bajé del Chapter de Sudáfrica del itSMF) llamado Cobit, ITIL and ISO17799, how to use them in conjunction Este powerpoint sentó las bases del trabajo que posteriormente se desarrollaría en muchas de las implantaciones de procesos en todo el mundo, y curiosamente es uno de los archivos sobre estos temas más compartidos en las redes P2P.

En este tipo de trabajos, normalmente se tiende a presentar a ITIL como una fuente de definición de procesos y de tareas a realizar (nos dice “el qué”) y a COBIT como fuerte en la definición de métricas y controles (nos dice “qué medir”) así que el trabajo más normal es hacer una combinación de ambos estándares para conseguir los procesos detallados según ITIL y medidos y controlados según COBIT.

Hasta aquí nada raro. ¿Entonces?

Pues entonces viene cuando aparece el problema de la falta de documentación en castellano. Los libros oficiales de ITIL son pesados… no son precisamente un libro que uno se lleva a la cama para leer antes de dormir (más que nada porque te duermes antes de comenzar!) y además están escritos en un perfecto inglés de la Gran Bretaña, de ese que utiliza Whilst en lugar de While y te deja buscando en el diccionario la mitad de las veces (menos mal que se están cocinando los libros en castellano!) así que uno se lee lo que necesita. Los libros más trabajados, obviamente, son el Service Support y el Service Delivery.

Pero esta semana he centrado mi atención en el Planning to Implement Service Management. Resulta que ahí aparece el famoso cuadro que muestra las diferentes tareas en el ciclo de mejora continua de los procesos que vamos a implementar:

  • Definición de objetivos de alto nivel, respondiendo a la pregunta “What is the vision”
  • Definición del nivel de madurez actual (antes de empezar, para poder luego medir el progreso!) respondiendo a la pregunta “Where are we now?”
  • Definición de a dónde queremos llegar, objetivos claros y mesurables; respondiendo a la pregunta “Where do we want to be?”
  • Definición de los procesos y de las mejoras en los procesos; con la pregunta “How we do get where we want to be?”
  • Definición de métricas y controles para responder a la pregunta “How do we check our milestones have been reached?”
  • Y por último y para cerrar el ciclo, Definición de actividades de esponsorización para responder a la pregunta “How do we keep the momentum going?”

Y justamente en el capítulo 6, respondiendo a la pregunta “How do we check our milestones have been reached?” hay todo un fantástico apartado dedicado a la definición de CSF (Factores Críticos de Éxito) y de KPIs (Indicadores Clave de Rendimiento) que he dedicado un rato a estudiar y a comparar con los que propone COBIT para sus diferentes procesos incluidos en ITIL.

Por ejemplo, si miramos la Gestión de Cambios podemos ver que aparecen 4 CSF y 32 KPIs organizadamente agrupados para medir la consecución de cada uno de los 4 CSF. Sin embargo, si comprobamos la información presente en COBIT 3 nos encontramos con que hay la friolera de 12 CSF y 6KPIs y si miramos en COBIT 4, aquí vemos que el concepto CSF ha sido eliminado y ahora aparecen 4 Activity Goals, 6 KPIs (totalmente diferentes a los planteados por COBIT 3), 4 Process Goals, 6 Process KGI, 5 IT Goals y 1 IT KGI.

Personalmente, me parecen mucho más adecuados los CSF de COBIT3 que los de ITIL, aunque el modelo COBIT 4 es innovador y es el que más me gusta, pero… ¿Quién se quiere encorsetar es una única propuesta?

A la hora de definir tus procesos, tus indicadores, tus herramientas de control y tus objetivos, se creativo: no te bases únicamente en lo que han escrito otros, piensa e inventa aquello que tu organización necesite (porque al fin y al cabo, tú conoces mejor que nadie tu propio entorno). No reinventes la rueda, así que inspírate en todo lo que leas pero ten siempre abierta la mente a crear nuevas propuestas.

2 comentarios:

José Manuel Fernández dijo...

Buenas:

Con todo y todo lo que hay actualmente a nuestro alcance para la correcta gestión de la Seguridad de Información, Procesos, Objetivos de Control, ... la verdad es que los sistemas mixtos son los que mejor pueden funcionar.

ISO 27001, ISO 17799, ITIL / ISO 22000 /BS 15000, COBIT, ... unos tienen unas cosas indudablemente mejores que otras y tener la suficiente visión para poder integrar los mejores aspectos de cada cual es la gran virtud que deben tener los especialistas que trabajen la materia.

Respecto de lo último que dices en tu entrada, estás en lo cierto. La inventiva puede ayudar, pero no hay que perder de vista que cada organización es distinta. Siempre hay aspectos que hacen que sea diferente la implantación de una determinada metodología en la organización.

ITIL es el futuro a juicio de muchos de los expertos en el sector servicios TI. ISO 27001 está en su génesis como el que dice ... No sé, todavía en nuestro país queda tanto camino por recorrer ...

Para empezar podrían poner la documentación especilizada en español, o, por lo menos, no utilizar whilst en lugar de while.

José Manuel Fernández
Blog ISO 27001

José Manuel Fernández dijo...

La virgen !!! La deformación profesional. Eso me pasa por trabajar con tantas normas y tanto papelorio.

Quería decir ISO 20000 y no ISO 22000 que es la de Calidad Alimentaria.

En fin.

Deformación profesional.