Mejores Prácticas de TI

           Durante las últimas 2 sesiones estuvimos hablando sobre la tarea de Trend Topics que nos fue encomendada sin embargo se observo que la mayoría de las tareas no se habían normalizado es decir colocado en un rubro del 100% para poder mostrar su comprensión, en mi caso particular se denoto que a pesar de que sí estaba normalizada los 5 temas que grafiqué del correo laboral absorben casi el 100% de mi actividad diaria, posterior a la clase sobrepuse las gráficas y daban un 98% en algunos meses esto denota que en mi caso no recibo muchos spams o correos en los que no soy requerida y por tratarse de un área de soporte a la producción se reciben gran cantidad con incidentes productivos, cada uno tiene un nivel de gravedad distinto por lo cual no todos son prioritarios pero lo notable de eso es que no recibo un porcentaje mayor al 2% de correos fuera de mi área de trabajo.

En otra de las sesiones de clase se hablo sobre el tema del control en las organizaciones denotando que es importante controlar en todo momento lo que sucede en nuestra empresa y para esto se hace uso de las mejores prácticas las cuales nos proporcionan métricas para poder evaluar nuestro avance, claro que para que antes suceda todo esto es necesario conocer el nivel de madurez de la empresa principalmente para saber de qué punto vamos a partir y de ahí en adelante ir afinando cada detalle hasta llegar a un nivel óptimo de seguimiento de la práctica para entonces en un momento dado poder innovar.

Los integrantes de clase dimos nuestro punto de vista sobre los temas tratados y algunos coincidimos en que las mejores prácticas son eficientes pero deben de manejar un nivel de flexibilidad además de trabajar con la gente para lograr un cambio en la cultura que se tiene en cuanto a la resistencia al cambio se recomienda tener una buena comunicación con cada miembro de la organización, transmitir las actividades para lograr las metas pero no con términos rebuscados como normalmente escuchamos hablar a los altos directivos sino haciéndolo con un lenguaje sencillo y entendible para las personas a quienes se desea hacer llegar el mensaje. Es necesario que como líderes de una organización  se transmita información a los miembros de equipo cara a cara ya que esto hace que las personas nos sintamos parte de, y no solo un instrumento para llegar a cumplir metas que a veces no conocemos, motivando a la gente y recompensando de acuerdo a la dificultad de la implantación y a su impacto.

Para llevar a cabo lo anterior es necesario el uso de métricas ya que se dice que: “No se puede implantar lo que no se puede medir”, dichos valores nos ayudarán a llevar un control en el avance de implementación, se debe comenzar por entender el negocio.

Las áreas de enfoque para el gobierno de TI son:

IT Governance Institute. COBIT 4.1

Se investigo sobre algunos modelos de gobernabilidad existentes a implementar para poder integrar y explotar los grandes volúmenes de información que las organizaciones tienen y se anexan algunas con la finalidad de comprender y ejemplificar mejor en qué consisten:

v  Modelo COSO – Committee Sponsoring Organizations of the Tradeway Commission, USA, septiembre 1992

1.     Ambiente de Control

Es el elemento que proporciona disciplina y estructura. El ambiente de control se determina en función de la integridad y competencia del personal de una organización; los valores éticos son un elemento esencial que afecta a otros componentes del control. Entre sus factores se incluye la filosofía de la administración, la atención y guía proporcionados por el consejo de administración, el estilo operativo, así como la manera en que la gerencia confiere autoridad y asigna responsabilidades, organiza y desarrolla a su personal.

2.     Evaluación de riesgos

Es la identificación y análisis de los riesgos que se relacionan con el logro de los objetivos; la administración debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias.

Se debe prestar especial atención a:

Ø  Los avances tecnológicos.

Ø  Los cambios en los ambientes operativos.

Ø  Las nuevas líneas de negocios.

Ø  La reestructuración corporativa.

Ø  La expansión o adquisiciones extranjeras.

Ø  El personal de nuevo ingreso.

Ø  El rápido crecimiento.

3.     Actividades de control.

Las actividades de control ocurren a lo largo de la organización, en todos los niveles y todas las funciones, incluyendo los procesos de aprobación, autorización, conciliaciones, etc. Las actividades de control se clasifican en:

ü  Controles preventivos.

ü  Controles detectivos.

ü  Controles correctivos.

ü  Controles manuales o de usuario.

ü  Controles de cómputo o de tecnología de información.

ü  Controles administrativos.

las actividades de control deben ser apropiadas para minimizar los riesgos

4.     Información y comunicaciones.

Se debe generar información relevante y comunicarla oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.

5.     Monitoreo.

Los controles internos deben ser “monitorizados” constantemente para asegurarse que el proceso se encuentra operando como se planeó y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. el alcance y la frecuencia del monitoreo dependen de los riesgos que se pretenden cubrir.

http://www.cancer.gov.co/images/dinamicas/meci.jpg

Por lo tanto los objetivos principales de la COSO en cuanto a control de las organizaciones de TI son:

1)     Asegurar las inversiones en TI, es decir que generen valor agregado.

2)     Aminorar los riesgos asociados a las TI.

v  Modelo COBIT 4.1 – Control Objectives for Information and Related Technology.

Los objetivos de control para la información y la tecnología relacionada (COBIT) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.

Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:

ü  Estableciendo un vínculo con los requerimientos del negocio

ü  Organizando las actividades de TI en un modelo de procesos generalmente aceptado

ü  Identificando los principales recursos de TI a ser utilizados

ü  Definiendo los objetivos de control gerenciales a ser considerados

La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de los procesos de negocio y de TI.

El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

IT Governance Institute. COBIT 4.1

v  Modelo COBIT 5

COBIT 5 es un marco de trabajo de gobernanza y administración para la información y las tecnologías relacionadas, que tiene como objetivos:

Ø  Proporcionar una gobernanza y un marco de trabajo basado en COBIT 4.1, vinculando y reforzando los marcos de trabajo y guías más importantes de ISACA – Information Systems Audit and Control Association, tales como:

-        Val IT

-        Risk IT

-        Business Model for Information Security (BMIS)

-        IT Assurance Framework (ITAF)

Ø  Asimismo, vincularse con otros marcos de trabajo y estándares en el entorno, tales como:

-        ITIL

-        Estándares ISO

ISACA: http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT5-Framework-ED-27june2011.pdf

1.     Integrator Framework

Proporciona una base para integrar con eficacia otros marcos de trabajo, estándares y prácticas utilizadas.

2.     Stakeholder Value Driven

Las empresas existen para crear valor para sus grupos de interés (Stakeholders), por lo que el objetivo de gobierno para cualquier empresa es la creación de valor mediante la obtención de beneficios a un costo óptimo de los recursos, así como una optimización de los riesgos.

3.     Business and Context Focussed

Tener un enfoque de negocios significa centrarse en las metas y los objetivos de la empresa. Esto se refiere al objetivo de cada empresa para la realización de beneficios, la optimización de recursos y del riesgo. Los beneficios son:

ü  Mayor valor a través de la creación de una gobernanza eficaz y la gestión de información de la empresa y los activos tecnológicos.

ü  Mayor satisfacción de los usuarios con los compromisos y los servicios de TI, vistos como un factor clave.

ü  Mayor cumplimiento de las leyes, reglamentos y políticas.

ü  La función de TI se hace más enfocada al negocio.

4.     Enabler Based

Además de los objetivos de gobierno, los otros elementos principales del enfoque de la gobernabilidad son los siguientes:

ü  Facilitadores de gobierno.- Son los recursos de la organización para el gobierno, como los marcos, principios, estructura, procesos y prácticas, por medio de los cuáles se dirige la acción y pueden alcanzarse los objetivos.
ü  Ámbito de gobierno.- El gobierno puede ser aplicado a toda la empresa, una entidad, un activo tangible o intangible, etc.
ü  Las funciones, actividades y relaciones.- Definen quién está involucrado en el gobierno, la forma en que están involucrados, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno.

                                 ISACA: http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT5-Framework-ED-27june2011.pdf

5.     Governance and Management Structured

El marco de trabajo hace una clara distinción entre gobierno y administración. estas dos disciplinas son diferentes tipos de actividades, requieren de estructuras organizativas diferentes y tienen objetivos diferentes.

ISACA: http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT5-Framework-ED-27june2011.pdf

COBIT define la gobernabilidad de TI como la responsabilidad que tiene la dirección y los niveles superiores de la gerencia para asegurar que el sistema de Tecnologías de la Información (TI) de su organización apoyan en forma efectiva los objetivos y estrategia de la organización.

Blog Consejero de Viajes

En clase se nos pidió planear la creación e implementación de un Consejero de Viajes para competir por un apoyo de Telmex, para dicho fin se nos pide como pre requisito  facturar medio millón de dólares. El desarrollo debe ser en Android o IOS. Nuestras ideas son las siguientes:

Objetivo de la empresa: Conseguir la facturación de 500,000 dólares y ser una empresa rentable.

• Grupo de 4 desarrolladores
• Gobernanza de autoridad horizontal se propone de esta manera porque es lo más recomendable para organizaciones nuevas y que inician con poco personal.
• Establecer lineamientos es decir, se opto por una estructura horizontal por lo tanto se deben nombrar sociedades entre los participantes de la organización  y formas de trabajo flexibles, la estrategia de la empresa será generar software de manera eficaz, eficiente y confiable para satisfacer las necesidades de los usuarios y generar beneficios económicos a partir de la misma.
• Utilizaremos las reglas del PMBOK para controlar el proyecto
• Daremos sueldo base a programadores
• Se adquirirán equipos, software y licencias para desarrolladores
• El trabajo se podrá desarrollar home office ya que es necesario hacer uso de la tecnología en beneficio de los desarrolladores sin perder el control y monitoreo de sus avances.
• Se utilizará arrendamiento de infraestructura para iniciar las operaciones, ya que solo contamos con equipos, software y licencias para desarrollo
• Se realizara un estudio de mercado para analizar posibles de proveedores de bases de datos que faciliten la interacción con comercios y para la interacción con mercados globales.
• La gestión de recursos humanos la realizaremos con un esquema de compensación integral en la cual se iniciaría como sueldo base pero con la finalidad de modificar un porcentaje a variable por ideas innovadoras una vez que el negocio logre un nivel más maduro dentro del mercado

La estrategia para lograr la facturación de medio millón de dólares con los recursos descritos anteriormente y una vez contando con el software desarrollado bajo los puntos anteriores consisten en:

• Distribución gratuita del software
• Convenios con empresas que cuentan con bases de datos y con un enfoque de trato reciproco para lograr una negociación de tipo ganar -  ganar.
• Se buscara conseguir precios preferenciales en los comercios que sean referenciados para beneficiar al usuario y conseguir recursos de los comercios.
• Se contará  con una opción que sea por pago de membrecía  en cuyo caso las búsquedas facilitarían el acceso a esos negocios.
• Integrar la aplicación a redes sociales y con un esquema de reconocimiento otorgando puntos  por recomendación o por coincidencia de contactos.
• Buscar realizar algunas alianzas para lograr una empresa global de manera gradual para incrementar ingresos
• Enfocar nuestra difusión a líneas áreas ya que con promoción en sus vuelos atacaríamos directamente a los clientes potenciales que transitan a diario por los aeropuertos buscando lugares recomendados para visitar.
• Desarrollar puntos de contacto en los principales puertos de entrada del turista, dando información importante, instalando y asesorando sobre el uso 
• Con base en un estudio de mercado seleccionaríamos los mejores lugares para introducir el servicio y el manejo del riesgo se haría enfocándose en un mercado principal y posteriormente abriríamos las nuevas plazas
• Proveer servicios de búsqueda para diversos segmentos del mercado y usuarios con ciertas características

Para los costos hemos determinado el siguiente presupuesto inicial con base en estimados:

ü  Investigación de mercado $500,000

ü  Personal $ 1,200,000

ü  Equipo $250,000

ü  Infraestructura $600,000

ü  Publicidad y ventas $500,000

ü  Administración $2,000,000

        Se tendrá la siguiente estructura horizontal:
1.  Socios de  TI, administración, finanzas, ventas y marketing

2.  Desarrolladores

3.   Testers

4.  Becarios

Posterior a esto se nos pidió desarrollar nuestro proceso de desarrollo de software bajo la norma MoProSoft, lo cual realizamos de la siguiente forma:

Definición General del Proceso

Proceso: Desarrollo de software

Categoría: Tecnologías para la información, soporte al negocio

Propósito: Proveer soluciones de software de acuerdo a las necesidades del negocio

Descripción:

1.  Análisis de requerimientos

2.  Diseño, algoritmo

3.  Desarrollo y construcción (codificación)

4.  Pruebas unitarias y generales

5.  Capacitación

6.  Implementación 

Objetivos: Contar con los recursos tecnológicos, humanos y con base en buenas prácticas garantizar el desarrollo con la calidad y políticas de la empresa

Indicadores: Se recomienda el uso de indicadores que nos indiquen a nivel tiempo, costo y alcance (calidad definida para el producto) llevar un control de los objetivos cumplidos en las etapas de cada proyecto, en particular para el “Consejero de Viajes” considerar los hitos cumplidos en tiempo y costo y mediante los logros avanzados, utilizar semáforos que muestren en un reporte ejecutivo el status de los proyectos para saber si es necesario ejecutar acciones correctivas para enderezar el rumbo del proyecto.

        Un ejemplo de ciertos indicadores cuantitativos son:

% de Efectividad= Programas para proyecto entregados en tiempo/Total de programas del proyecto

% de Disciplina Presupuestal =Programas para proyecto realizados en costo/Total de programas del proyecto

Responsabilidad y autoridad: Líder de desarrollo así como un jefe por etapa o área

Subprocesos: Se recomienda dividir el proyecto en subprocesos de los cuales se tenga como salida un entregable, por ejemplo para el análisis de requerimientos obtener una matriz de requerimientos, del diseño obtener algoritmos, del diseño obtener programas, de las pruebas obtener un status de pruebas exitosas y no exitosas, de capacitación obtener un documento que indique el funcionamiento del entregable que contiene la información necesaria para manejar el nuevo producto y de la implementación un documento con especificaciones técnicas y funcionales del producto.

Procesos relacionados: El proceso de desarrollo de software se relaciona con algún proceso de soporte a la producción una vez liberado, ya que el proyecto habrá terminado y pasará a un área en la cual se le dé el mantenimiento y soporte necesario así como actualización de versiones, etc.

Service Oriented Architecture (SOA), Administración de Software y Tipos de licencias de software

Se identifica un concepto nuevo que es Business Process Management – BPM el cual se refiere a definir el contexto de negocio así como contar con métricas adecuadas para llevar un control sobre qué tan preparado se encuentra el negocio a cambios; es decir, qué tan flexible y adaptable es, qué tan integrado se encuentran sus componentes tales como procesos, información y aplicaciones, así como qué tan independientes son entre sí para poder conectarse unos con otros y poder reutilizarse en futuras implementaciones.

                Generalmente estamos habituados a entender que el avance de un negocio depende en gran parte de las tecnologías de IT con las que cuenta la organización; sin embargo, nos damos cuenta que  un diseño SOA no solo depende de las tecnologías de IT sino que éstas deben estar alineadas con el objetivo y metas del negocio y si esto no se cumple el diseño SOA está destinado al fracaso, por lo tanto debe existir una sinergia entre IT y objetivos de negocio.

Respecto a los cambios que deben sufrir las organizaciones que no manejan un diseño SOA pero requieren de su implementación se recomienda realizar un ingreso penetrante en cada proceso; es decir, cuestionarse la existencia del proceso y si es necesario optimizarlo, eliminar procesos no flexibles y aprovechar al máximo la información que se tiene; es decir, se necesita un diseño que permita transformar datos no estructurados en información confiable, consistente, integra y con calidad así como estar coordinada por una gobernanza efectiva. Por lo tanto SOA se refiere  a implementar una buena gobernanza con servicios e información bien diseñados.

Los ejemplos que se tocan en el artículo básicamente aluden a que la información debe estar disponible y digerible para quienes representa una utilidad importante; es decir, la información no es para todos sino que debe destinarse a cierto grupo y debe ser comprensible para que sea de utilidad en la toma de decisiones así como estar disponible siempre que se necesite de manera rápida.

Con lo anterior podemos concluir que BPM es necesario para generar el marco conceptual del negocio y poder controlar con una serie de indicadores en el nivel en que la organización se encuentra y SOA para llevar una correcta gobernanza de la información con todas sus características cualitativas para tomar decisiones importantes y con impacto positivo para la organización.

Opinión Administración de Software

Convivimos con el tema de licencias a diario y el mejor ejemplo es en nuestro trabajo, generalmente accedemos a las aplicaciones sabiendo que la empresa pagó una licencia para que nosotros tuviéramos el acceso, sin embargo no nos ponemos a pensar lo difícil que es la tarea de detectar las licencias necesarias en las organizaciones para los muchos empleados que laboran en las distintas áreas y con accesos a diferentes aplicaciones, plataformas, etc.

            En efecto, supone una tarea compleja y varias consecuencias a favor o en contra dependiendo si el análisis de licencias requeridas fue el correcto o hubo alguna falla en su cálculo. La primera implicación es el servicio que la organización debe proporcionar a sus clientes ya que los empleados deben de tener acceso a las aplicaciones que permiten proporcionarlo, de lo contrario se estaría fallando con el objetivo del negocio que es mantener siempre sus servicios disponibles. La segunda implicación es la de costos, con esto quiero mostrar que por cada licencia dependiendo su tipo, la organización debe pagar una cuota con lo cual llegamos a la conclusión de que la determinación del número de licencias a presupuestar cada año debe hacerse de manera minuciosa, ya que de esto depende la  inversión que la organización realiza y la productividad debe ser mayor a dicha inversión; de ahí la importancia de pagar las licencias suficientes para poder proveer los servicios; es decir, no pagar demasiadas licencias y tampoco pagar menos de las necesarias ya que esto causaría caer en incumplimiento por parte de auditorías de administración de software y esto causa caer en riesgo de multas que significan una pérdida para la organización.

Concluyendo, el software es un activo importante de la empresa desde siempre pero que por su naturaleza es difícil de administrar; sin embargo, se le ha dado la importancia que merece en las últimas décadas porque las organizaciones se han dado cuenta de que su correcta administración causa un buen servicio y eliminación de riesgos de incumplimiento; por lo tanto, no se tienen pérdidas cuantiosas en multas y además la empresa tiene ahorros significativos cuando se conoce con exactitud las licencias necesarias para efectuar sus operaciones con éxito.

Licencias.

Conforme el artículo de Administración de Software que leí, los tipos de licencias son:

ü  Instalación -  Medida del número de veces que un producto de software ha sido instalado

ü  Usuario –El uso está relacionado con un usuario específico

ü  Usuario Concurrente -  Verifica el número de usuarios accediendo a un producto al mismo tiempo.

ü  Capacidad – Varía de acuerdo a las evaluaciones de capacidad de infraestructura.

ü  Procesador -  De acuerdo al número de procesadores que usa el producto.

ü  Valor / Puntos – Puntos o valores que se asignan a aspectos del uso del software.

ü  Otros -  Muchos otros incluyen los basados en millones de instrucciones por segundo (MIPS) y millones de servicios de CPU por hora (MSU)

                En otra búsqueda de tipo de licencias encontré las siguientes:

Ø  Según los derechos que cada autor se reserva sobre su obra:

1.     Licencia de software de código abierto permisivas: Se puede crear una obra derivada sin que ésta tenga obligación de protección alguna.

2.     Licencia de software de código abierto robustas: Estas licencias aplican algunas restricciones a las obras derivadas, haciendo que según el grado de aplicación se puedan dividir a su vez en 2 subcategorías:

a.     Licencias de software de código abierto robustas fuertes: Contienen una cláusula que obliga a que las obras derivadas o modificaciones que se realicen al software original se deban licenciar bajo los mismos términos y condiciones de la licencia original.

b.     Licencias de software de código abierto robustas débiles: Contienen una cláusula que obliga a que las modificaciones que se realicen al software original se deban licenciar bajo los mismos términos y condiciones de la licencia original, pero que las obras derivadas que se puedan realizar de él puedan ser licenciadas bajo otros términos y condiciones distintas.

3.     Licencia de software de código cerrado: En ellas los propietarios establecen los derechos de uso, distribución, redistribución, copia, modificación, cesión y en general cualquier otra consideración que se estime necesaria. Por lo general no permiten que el software sea modificado de formas no especificadas en la propia licencia, regula el número de copias que pueden ser instaladas e incluso los fines concretos para los cuales puede ser utilizado.

4.     Software de dominio público (sin licencia): Se permite uso, copia, modificación o redistribución con o sin fines de lucro.

Ø  Según su destinatario:

1.     Licencia de usuario final: El uso de un producto solo está permitido para un único usuario (el comprador). En este tipo de contrato, el dueño de los derechos de un producto insta al usuario final de éste a que reconozca tener conocimiento de las restricciones de uso, de los derechos del autor (copyright), de las patentes, etc. y que acepte de conformidad.

2.     Licencia de distribuidores: Se le asigna derechos restringidos a un comerciante de tipo comisionario para que venda el producto(software) dando una remesa o comisión al fabricante. La misma puede ser por primera venta o licencia de renovación de contrato. No se trata de una licencia de uso en términos jurídicos, sino mas bien en un acuerdo comercial en la que no tiene porque ser cedido el derecho de distribución necesariamente. Puede darse el caso de simple actividad comercial en la que el distribuidor ni siquiera tenga contacto con el software, y éste como elemento y la licencia de uso en si sea directamente suscrita y puesta a disposición por parte del fabricante. Encargándose el distribuidor del correspondiente cobro al usuario y pago al fabricante menos su margen.

De acuerdo con lo anterior en mi trabajo se maneja un tipo de licencia por instalación sobre las aplicaciones que se manejan dentro del área y son licencias de código cerrado es decir no se puede modificar su contenido tal cual lo estable el derecho de uso.