Gobierno de las tecnologías y los sistemas de información
Artículos sobre Outsoursing
1. 72
Hoy Hablamos de...
La seguridad en el
Outsourcing
Ricardo Además de permitir a la empresas contrato de externalización. Y por otra
Cañizares Sales
centrarse en el núcleo de su negocio, parte nos permite disponer de una
DIRECTOR REVISTA en muchos casos la externalización serie de profesionales con una
permite un ahorro de costes, debido a experiencia concreta, a cuyos
que los proveedores pueden ofrecer servicios nos sería difícil de acceder si
servicios a un precio menor, que lo tuviéramos que incorporarlos a la
E
l Outsourcing o que le supondría al propio cliente plantilla.
externalización es una mantener la estructura técnica y Cuando una organización se
tendencia que cada día va humana necesaria para ofrecer un plantea la posibilidad de externalizar
adquiriendo mayor auge en todas las servicio, esto es debido a la parte de su actividad surgen una serie
organizaciones, se ha convertido en economías de escala que pueden de preguntas a la que deben darse
una necesidad para muchas utilizar los proveedores de servicios. respuestas:
empresas que desean poder centrar Otro de las ventajas de la ¿Cuál es el núcleo de nuestro
sus esfuerzos productivos en las externalización de servicios de TI, es negocio?
actividades propias de su negocio, poder tener a nuestro alcance de ¿Cuáles son nuestros procesos
liberando de tareas auxiliares a su equipamiento tecnológico de última clave?
personal, permitiéndole una mayor generación, que es renovado y ¿Qué procesos productivos aportan
especialización y competitividad. actualizado durante la duración del más valor al negocio?
nº 11 junio 2007
2. 73
Hoy Hablamos de...
¿Qué diferencia a nuestra se queden obsoletos y el más
Para «Hablar de»
organización de la competencia? importante el “Poder” queda en el
«La seguridad en los sistemas de
¿En qué somos verdaderamente lado del proveedor.
información sanitaria», en este número
competitivos? Para intentar minimizar los riesgos
hemos seleccionado:
citados es necesario tener en cuenta a
Las respuestas a las preguntas la hora de la selección del proveedor
anteriores y otros muchos más una serie de aspectos como: la ISPS, PYMES y
aspectos, como la seguridad de la garantía de calidad del servicio, la
Externalización 34
información y el control sobre los garantía de continuidad del servicio,
procesos generadores de valor, van a los procedimientos de control (SLA: Outsourcing - ¿Qué?
permitirnos definir la capacidad, acuerdo de nivel de servicio), así
¿Quién? ¿Cuándo? 74
¿Cómo?
viabilidad y oportunidad de tomar la como las ventajas competitivas y
decisión de externalizar una serie de conocimientos técnicos que nos Servicios gestionados TIC:
procesos de nuestra organización. proporciona el proveedor de servicios.
más cerca del negocio 78
La decisión final de externalizar o La única garantía que disponen las
no externalizar debe tener en organizaciones para asegurarse de que Cómo afrontar un proyecto
cuenta una serie de razones la externalización de servicios cumple los
de Outsourcing TI con 80
garantías de éxito
objetivas, entre las que podemos objetivos previstos, es la adecuada
citar: El deseo de “centrarse” en el elaboración de los contratos de Seguridad en la
negocio, aumentar la competencia, prestación de servicios o de los pliegos Externalización de Sistemas 82
reducir los costes y ganar de prescripciones técnicas en el caso de
flexibilidad en nuestra estructura de
producción. Todo ello teniendo en
cuenta que se trata de una decisión En este número de nuestra
estratégica de la organización y que La externalización es una Revista a+)), encontrarán una serie
nos va a exigir a rediseñar los de interesantes artículos en los que
controles existentes. decisión estratégica de la se exponen diferentes puntos de
La externalización de un servicio de vista y tendencias de la
TI, implica asumir unos riesgos organización que nos va a externalización de servicios, pero no
adicionales, teniendo en cuenta que quiero finalizar sin recordarles la
dicha decisión aporta una serie de
exigir rediseñar los importancia de los aspectos de
ventajas y desventajas.
Como ventajas más significativas
controles existentes seguridad y control,
en la externalización de servicios,
citaremos: la experiencia y por lo que es necesario que dichos
dedicación de proveedor de servicios aspectos queden reflejados
y la existencia de unas las administraciones públicas. En ellos exhaustivamente en los contratos,
especificaciones de servicio (SLA), debe quedar perfectamente establecido sin olvidar que uno de los muchos
mucho más detalladas que en el caso cuales son las condiciones de prestación servicios susceptibles de
de servicios proporcionados del servicio, especialmente: los derechos externalización en una organización,
internamente. de auditoría, las garantías de es la seguridad de los sistemas de
Como desventajas hablaremos de: continuidad de las operaciones, la información, lo que se conoce en
costes que exceden las expectativas, gestión de la seguridad, los informes de muchos casos como “Seguridad
pérdida de la experiencia interna, seguimientos, los aspectos relativos al Gestionada”, esta externalización
pérdida del control y dificultad para personal, sin olvidar las garantías necesita unos controles mucho más
cambiar los acuerdos. respecto a la integridad, confidencialidad estrictos que cualquier otro tipo de
Entre los riesgos que implica la y disponibilidad de la información. externalización.
externalización citaremos: los costes
ocultos, el incumplimiento de los
términos del contrato, el coste puede En el próximo, hablaremos de:
dejar de ser competitivo a lo largo del
período del contrato, la obsolescencia El software abierto y la seguridad
técnica de los sistemas del proveedor
nº 11 junio 2007
3. 34
Tribuna de Opinión
ISP, PYMES y Externalización
EL VALOR AÑADIDO QUE APORTA LA EXTERNALIZACIÓN DE LA SEGURIDAD DE LAS TIC
RESULTA CRUCIAL PARA LAS PYMES
Por lo general, los ISP ven en los Las necesidades de seguridad en
servicios de seguridad una forma de Internet de las PYMES dependen del
añadir valor y de fidelizar las modelo de negocio, del sector, del
Omar
Aguirre conexiones de ADSL de sus usuarios. volumen y del uso de las TI de cada
Garantizar una red transparente, una. Por este motivo, los ISP cuentan
DIRECTOR GENERAL
limpia y segura a los clientes con una amplia cartera de servicios, lo
Optenet
evidencia su responsabilidad social que permite a cualquier organización,
corporativa, al tiempo que refuerza su independientemente de su sector y
reputación y su imagen de marca. requerimientos, incorporarse de forma
C
on un tejido empresarial Asimismo, brinda la oportunidad de activa a la Sociedad del Conocimiento.
copado mayoritariamente por mejorar los resultados comerciales, Con todo, los principales servicios
PYMES y autónomos en nuestro con un flujo de ingresos más externalizados en MSS son:
país, el outsourcing o externalización en previsible para las compañías con -Administración de la seguridad y
el marco de la seguridad TIC se ha productos y servicios “commodities”. mantenimiento de equipos y
convertido en una herramienta básica y tecnología, como es el caso de la
primordial para el desarrollo de esta administración y configuración de
clase de negocios. El valor añadido que firewall, de redes Virtual Private
aporta la externalización de una materia Network (VPN), de servicios antivirus
tan crítica y fundamental como la
Para las PYMES, las y antispam y Sistemas de Detección
seguridad de los sistemas informáticos,
resulta crucial en estos casos, ya que
ventajas que ofrece el de Intrusos (IDS).
-Monitorización de seguridad, que
este tipo de clientes no requieren de la modelo de Seguridad consiste en el análisis detectivo de los
misma complejidad que las grandes eventos registrados (logs) por los
corporaciones, ni pueden permitirse un Gestionada son claras sistemas y de los estados de los
desembolso desproporcionado para lo componentes, para identificar
que son sus necesidades, y de igual situaciones irregulares y llevar a cabo
forma, tampoco pueden descuidar su las actuaciones correctivas
correcto funcionamiento. Para las PYMES, las ventajas que predefinidas.
Dentro del sector de la gestión de ofrece el modelo de Seguridad Las empresas proveedoras de
la seguridad (Manager Security Gestionada son claras, lo que lo acceso a Internet (ISP) aseguran que
Service), existen muchas convierte en una apuesta de futuro. el outsourcing o la externalización de
organizaciones, entre ellas los Con este modelo, la compañía tiene la los servicios de seguridad es la mejor
Proveedores de Servicios a Internet oportunidad de dejar a cargo de opción para proteger los sistemas
(ISP), que ofrecen esta alternativa de expertos todo lo referente a la informáticos en las PYMES, ya que
negocio como una estrategia para la instalación, administración y gestión implican un ahorro de dinero, de
obtención de un modelo costo-valor de cualquier factor ligado a su tiempo y un mejor servicio. El propio
eficiente, permitiendo además reducir seguridad, y orientar sus esfuerzos mercado avala este hecho. No en
la ocurrencia de brechas de seguridad hacia el negocio principal, sin tener vano, se calcula que los servicios MSS
y optimizar las gestiones de la que destinar recursos humanos ni son los de mayor crecimiento en el
monitorización sobre los activos TIC financieros a complicadas funciones segmento de las TIC, con un
de las empresas. técnicas. crecimiento interanual del 35%.
nº 11 junio 2007
4. 74
Perspectiva Empresarial
Externalización: ¿Qué?
¿Quién? ¿Cuándo? ¿Cómo?
PREGUNTAS PARA UN ANÁLISIS DE LOS PROCESOS PARA RENTABILIZAR SU NEGOCIO Y
PODER PRESTAR UN SERVICIO CON MAYOR CALIDAD Y MENOR COSTE A SUS CLIENTES
Sin embargo, no es fácil detectar lo Una vez definido el/los proceso/s
que realmente no es su negocio. Por que deben ser externalizados, es
ello siempre recomendamos un preciso analizar en profundidad la
Alexandre
Paixão Andrade análisis detallado de aquellos procesos puesta en marcha de esa
que cumplen dos requisitos claros, externalización, mediante la búsqueda
DIRECTOR GENERAL
que son los siguientes: del partner adecuado capaz de
IZO BPO
1) ¿El proceso en cuestión tiene garantizar que el proceso se desarrolla
impacto directo en mi negocio y en con idénticos criterios de calidad y
mis clientes? eficiencia aplicados por la empresa
2) ¿Existe alguna empresa en el cliente en sus procesos internos.
L
a palabra “outsourcing” o Un proceso de externalización no se
externalización comenzó a ser resume como la búsqueda de una
utilizada en España hace empresa que proporcione mano de obra
aproximadamente 10 años. Las en tanto la compañía cliente continúa
principales empresas españolas gestionando el servicio. El objetivo de la
empezaron a analizar, con gran
Una empresa ha de externalización es contar con un partner
interés y en profundidad, las
diversas formas de rentabilizar su
mantener el foco en su que asuma la gestión del servicio, que
desarrolle la actividad con unos objetivos
negocio y poder prestar un servicio negocio claros y cuantificables y, además, que su
con mayor calidad y menor coste a buen hacer genere valor a la solución e
sus clientes. incremente los ratios de rentabilidad y
Pero en un proceso de outsourcing calidad del servicio global que la
aparecen varias preguntas: empresa cliente ofrece.
¿Qué debo externalizar? mercado especializada en desarrollar La relación cliente – proveedor
¿Cómo voy a dejar una parte de mi esa actividad y que no sea debe ser una relación “ganar-ganar·.
actividad en manos de un tercero? competencia directa a la mía? Si su empresa gana el outsourcer
¿Cómo garantizo la calidad del Analizando las últimas tendencias también gana pero ambas compañías
proceso externalizado? del mercado se verifica que los han de estar dispuestas a asumir las
¿Por qué realmente externalizo una procesos más externalizados son: dificultades en el servicio.
actividad? La gestión con el cliente (ventas, ¿Cuáles son los principales motivos
Vamos a intentar contestar a esas post-venta, fidelización y otros para la realización de un proceso
preguntas y algunas más: procesos asociados con la relación externalización?
¿Qué debo externalizar? cliente) Reducción y control de los costes
Tom Peters afirma: “externalice Todo lo relacionado con la gestión y operacionales
todo lo que no sea copyright de su mantenimiento de la tecnología Mejora en el enfoque de la empresa
empresa”. Es decir, una empresa ha Sistemas de información, desarrollo Ganar acceso a las mejores
de mantener el foco en su negocio. de los sistemas. prácticas del sector
nº 11 junio 2007
5. 75
Perspectiva Empresarial
Off Shore
Liberar recursos internos para otras
actividades
Tom Peters afirma: economía de escala facilita la
generación de sinergias y el ahorro de
Incrementar los beneficios por la
transformación de procesos
“externalice todo lo que no costes.
Un ejemplo de modelo de
Control de las funciones de difícil
gestión o fuera de control
sea copyright de su externalización lo constituyen las
empresas que contratan personal para
Reducción de los riesgos en la empresa” la recepción de asistentes en un
inversión relacionada con las evento esporádico. Pero un modelo
actividades. El objetivo de la BPO consiste en la externalización de
un proceso de facturación, desde la
externalización es contar tarificación del servicio, cálculo de la
¿Cuáles son los modelos de factura, emisión de la factura, envío a
externalización de un proceso? con un partner que asuma los clientes finales y comprobación de
SLA: Service Level Agreement
la gestión del servicio los ingresos generados.
Un ejemplo de offshore es un
Actualmente, los modelos de proceso de compras de una gran
outsourcing están muy desarrollados. modelos BPO –Business Process multinacional, realizado en un país a
Hace ya algunos años que se vienen Outsourcing, modelos de relación de través de un partner para todas las
asignando tareas a una tercera cliente –, proveedores basados en la filiales de la empresa en cualquier
empresa, casi como si fuera una búsqueda de la excelencia y con una parte del mundo. No debemos olvidar
gestión de recursos humanos, con una clara orientación a resultados del que el outsourcing en España ha
clara orientación hacia la reducción de negocio. tenido gran relevancia en el sector de
costes y esta una forma de Una nueva versión del modelo BPO la relación con los clientes, a través
externalizar que se mantiene. es la realización de ese proceso de de la creación de outsourcers
Sin embargo, a día de hoy, las negocio en países con costes más especializados en esta actividad para
empresas están desarrollando económicos, o en localidades donde la las grandes empresas.
nº 11 junio 2007
6. 76
Perspectiva Empresarial
Desde nuestra visión proponemos consideración durante el desarrollo completamente posible. Lo principal es
el desarrollo de un proyecto completo del outsourcing. que la empresa tenga identificados los
que analice el impacto de cada paso a ¿Cómo garantizar la calidad de un indicadores claves que impactan en el
seguir en la implantación del proceso en el modelo BPO? servicio y, por tanto, en la satisfacción
outsourcing. Con el fin de lograr los La respuesta es: del cliente y en la calidad prestada.
mejores resultados, es preciso que el “De la misma manera que El objetivo principal del control de
proyecto contemple una serie de garantizas la calidad del servicio que la calidad es incrementar la
fases concretas. Pero no hay que se presta en tus oficinas por tu propio satisfacción de los clientes. La
olvidar que cada proceso y cada personal”. diferencia entre lo que una compañía
empresa posee sus características A día de hoy, garantizar la calidad valora como calidad ofrecida y lo que,
propias, que deben ser tomadas en de los procesos externalizados es realmente, percibe el cliente es un
factor claramente diferenciador en la
actualidad. Esto implica que las
empresas han de evaluar lo que los
clientes valoran, realmente, como un
servicio diferenciado y con calidad.
Conclusión
El análisis del proceso de
outsourcing como externalización de
un elemento clave para el negocio (no
como el encargo de una tarea
específica a un proveedor) revierte
positivamente en la calidad, en el
ahorro de costes y en el foco del
negocio de la empresa.
nº 11 junio 2007
7. 78
Perspectiva Empresarial
Servicios Gestionados TIC:
más cerca del negocio
SE TRATA DE ALCANZAR UNA SITUACIÓN DE MÁXIMO RENDIMIENTO Y SATISFACCIÓN DEL
CLIENTE QUE CONFÍA EN EL PROVEEDOR, ESTÁ SATISFECHO DEL SERVICIO Y CONFORME
CON EL COSTE
que su entorno TIC deberá ir Este modelo fija una banda de
incorporando para facilitar la evolución gasto de antemano, haciendo el coste
José Manuel
Aguirre del negocio. Sus recursos podrán ser previsible. Persigue la calidad
reorientados a estas actividades, continua. Establece indicadores de
GERENTE DE SERVICIOS
GESTIONADOS liberando a su equipo de problemas niveles de servicio más cercanos al
BURKE rutinarios. negocio y más independientes de la
tecnología y los medios necesarios
para conseguir los objetivos. Dispone
de soluciones flexibles, escalables,
El cliente puede dejar de remotas, autónomas, con plena
Negocio y gestión trazabilidad y delegables hasta el
interesarse por el número punto que se determine. Universaliza
El incremento de la inversión
económica en tecnología, por sí solo,
de máquinas, recursos la disponibilidad y optimiza los
recursos (el servicio se presta en
no garantiza ventajas en el negocio, si
no va acompañado de nuevos modelos
humanos, herramientas, etc., tiempo real y únicamente cuando se
necesita).
de gestión. “Procesos viejos a los que y focalizar la atención en Se trata de alcanzar una situación
se les agrega más tecnología generan de máximo rendimiento y satisfacción,
resultados viejos” (Norton). los cambios de su ámbito nada fácil de conseguir en la que el
En el caso de la contratación de cliente confía en el proveedor, está
servicios gestionados TIC, el de negocio satisfecho del servicio y conforme con
entregable final incluye la propia el coste y el suministrador está
gestión, como parte del suministro del dispuesto a ampliar/alterar los ANS
servicio. Este aspecto modifica la Gestión a medida establecidos para situar en primer
operativa diaria, el CIO y su equipo y objetivo común plano los objetivos de la organización,
pasan de adoptar un papel de gestión con los que se encuentra alineado,
a supervisión y el proveedor pasa de El modelo de Servicios Gestionados conservando el margen de beneficio.
mero suministrador de servicios a de BURKE garantiza la adaptación a
integrador y gestor. cada entorno, fijando de antemano el
El cliente puede dejar de grado de gestión que llevará asociado Plataformas, servicios y
interesarse por el número de cada servicio, teniendo muy en modelos de gestión
máquinas, recursos humanos, cuenta, tanto los factores técnicos
herramientas, etc. y, desde una visión como los organizativos y manteniendo Una gestión estructurada de
más global de las necesidades, una capacidad de anticipación que servicios TIC requiere gestionar costes
focalizar la atención en los cambios consideramos imprescindible. por servicio y entorno. Los servicios
nº 11 junio 2007
8. 79
Perspectiva Empresarial
gestionados se adaptan a estas
pautas y permiten afrontar
externalizaciones por áreas de
especialización, ofreciendo nuevas
oportunidades de integración del
conjunto de servicios.
En cualquier plataforma
multifabricante, nos encontramos
distintas capas que interactúan: 1) el
hardware, 2) los sistemas operativos
que soportan 3) las plataformas de
redes/telecomunicaciones, Internet y
gestión de datos/almacenamiento, 4)
las aplicaciones de software de
gestión 5) la consultoría y la
integración.
El alcance de los servicios
gestionados tiende a monitorizar,
operar, mantener, gestionar y analizar
servicios determinados de manera regula las Cartas de Servicios. Esta Conclusiones
proactiva, sobre este tipo de norma obliga a todas las
plataformas, siendo extensible al organizaciones de la Administración 1. Contratar servicios gestionados
helpdesk, operación, monitorización, del Estado a elaborar Cartas de en lugar de provisión de máquinas,
formación y soporte, desarrollo y Servicios. En ellas deben declarar cesión de recursos humanos, etc.,
mantenimiento de aplicaciones, CPD y públicamente los servicios que prestan resulta más operativo y cercano al
Sistemas, Redes y Telco. a los ciudadanos y los compromisos cliente, ayuda a alinear negocio y
Para dar respuesta a la complejidad que adoptan en cuanto a estándares tecnología, proporcionando “sentido
creciente que presentan estas de calidad. común” a los servicios TIC.
plataformas, los problemas críticos y En un contexto G2C, entendido 2. El modelo de servicios
para gestionar los cambios IMAC en como la realización y prestación de los gestionados libera al Departamento TIC
los entornos distribuidos, resulta servicios y mantenimiento de de tareas de poco valor para el negocio,
imprescindible la aplicación de relaciones entre ciudadanos y permitiendo al CIO dedicar más tiempo
metodologías y herramientas. administración, mediante a “escuchar” a su cliente interno, motor
Existen distintos modelos “de instrumentos electrónicos, el modelo del negocio de la compañía.
buenas prácticas” en la gestión TIC. de Servicios Gestionados facilita el 3. Cada organización es un mundo,
Uno de los más difundidos, desde el cumplimiento de los compromisos que la gestión también se puede
punto de vista de servicios los distintos organismos adquieren suministrar “a medida”.
gestionados -el ITIL-, se estructura con el ciudadano. 4. Los servicios gestionados resultan
alrededor de dos grupos de procesos: estratégicos, como base de la cadena
los focalizados en el día a día y Tecnologías de la Información y de servicio público al ciudadano:
TIC
soporte de los servicios y los la Comunicación Proveedor TIC (ANS) Organismo
centrados en la planificación y la CIO Chief Information Officer (Carta de Servicios) Ciudadano
provisión de estos servicios. 5. Aunque la externalización de
ANS Acuerdos de Niveles de Servicio servicios viene creciendo
significativamente, la consecución de los
Compromiso de la CPD Centro de Proceso de Datos ANS comprometidos no resulta
Administracion y servicios suficiente para garantizar la satisfacción,
G2C Government to Consumer
gestionados se requiere de una implicación real y
proactiva en los proyectos que impulse
IMAC Instalar, Mover, Añadir y Cambiar
Dentro del Plan de Calidad para la la evolución del negocio del cliente.
Administración General del Estado, el ITIL
Information Technology "Servicio es poner primero al
Infrastructure Library
Real Decreto 1259/1999 establece y cliente” (K. Albrecht)
nº 11 junio 2007
9. 80
Perspectiva Empresarial
Cómo afrontar un proyecto
de externalización TI con
garantías de éxito
UNA DE LAS CLAVES PARA QUE UN PROYECTO DE EXTERNALIZACIÓN REALMENTE
RESPONDA A LOS OBJETIVOS DE NEGOCIO QUE TENÍA LA ORGANIZACIÓN SERÍA REALIZAR
UN ENFOQUE ESTRUCTURADO
los servicios prestados en nuestro país proyectos de externalización no vayan
serán de externalización. parejas a los resultados obtenidos se
Fernando Cruz
Martínez–Lacaci Pese al éxito de esta fórmula, se encuentra en los fallos producidos en
percibe una creciente insatisfacción por sus distintas fases de planificación,
DIRECTOR GENERAL
parte de los clientes respecto a este tipo contratación, ejecución y seguimiento
Synotion España
de proyectos, debido a que en un posterior. Concretamente, según nuestra
número importante de ellos no se llegan experiencia y las encuestas realizadas
a alcanzar los objetivos planteados, en un buen número de compañías
europeas, los principales fallos radican
L
a subcontratación de servicios en tres puntos, a saber:
TI a través de uno o varios 1. La falta de alineación entre las
proveedores externos es una estrategias corporativas y el
práctica cada vez más habitual entre Pese al éxito de esta departamento de sistemas de la
las empresas españolas, ya sean organización
medianas o grandes corporaciones, fórmula, se percibe 2. Las dificultades surgidas en la
que se aseguran así un acceso rápido selección y gestión de sourcers o
a tecnologías y experiencia de última insatisfacción en este tipo proveedores tecnológicos, sobre todo en
generación, liberando recursos propios los grandes proyectos de TI y
para enfocarse enteramente en sus
de proyectos 3. El establecimiento de relaciones
actividades de mayor valor añadido. poco óptimas y, en algunos casos,
Prueba de ello es un reciente informe claramente inadecuadas con estos
elaborado por la consultora IDC, según proveedores de servicios externos.
el cual, el mercado de externalización mientras que otros directamente
en España alcanzó en 2006 el 42% del fracasan. Una consulta realizada por
total de servicios tecnológicos, siendo Orbys Consulting cifra en un tercio las Enfoque estructurado y
las entidades públicas y financieras los empresas que admitieron que la estrategia de externalización
sectores más destacados en su externalización no cubrió sus
demanda. IDC estima que este expectativas, de las que un 23% Una de las claves para que un
mercado seguirá creciendo de forma optaron incluso por revertir el proceso. proyecto de externalización realmente
continua hasta alcanzar el 47% en A nuestro juicio el motivo de que las responda a los objetivos de negocio
2010, fecha en la que casi la mitad de expectativas en muchos de estos que tenía la organización sería realizar
nº 11 junio 2007
10. 81
Perspectiva Empresarial
un enfoque estructurado, que cubra externos y los contratos que las
todas las fases del mismo y de la soportan estén provistos de cierta
relación con el proveedor. flexibilidad, contemplando cláusulas y
En este tipo de proyectos se procedimientos para la introducción de
identifican dos áreas fundamentales: cambios.
por un lado, la contratación, en la que La fase de transición consiste en
se podrían identificar las fases de la migración del modo actual de operar
definición de la estrategia, de la de la compañía al modelo de operación
selección del proveedor y de la futuro, el cual no cubre únicamente los
preparación de los contratos; y por sistemas de información, la
otro, la gestión contractual con el/los infraestructura, los servicios y la
proveedor/es externo/s, de manera que organización, sino también los roles,
la organización reciba la funcionalidad los comportamientos, las actividades y
requerida, en el lugar y en el momento las responsabilidades de la
apropiados. La organización además organización y de sus proveedores de
debe prestar especial atención a la servicios externos.
preparación de la fase de transición y a En cuanto a la fase de ejecución,
la creación de un responsable o equipo proveedores de servicios. Es la fase durante la misma resulta esencial no
interno para la gestión de estos de definición de la provisión sólo que se monitorice desde dentro la
outsourcers, con el fin de garantizar un propiamente dicha. Posteriormente se prestación de los servicios concretos,
traspaso rápido de los servicios. da paso a la selección del sino también que se implementen los
Para la elaboración de una buena proveedor que mejor se ajuste a las cambios necesarios para ajustar el
estrategia de externalización TI, la nivel de estos servicios a las
organización debe tener claro que para condiciones del mercado y del
iniciar un proyecto de externalización negocio, comprobando que los Niveles
de servicios tecnológicos, éstos deben de Servicio contratados se cumplen.
aportar un valor claro a todas las
áreas. Además debe identificar cuáles
La externalización en Finalizada la colaboración, para la
organización se inicia una nueva fase
de estas capacidades TI están ligadas España alcanzó en 2006 el de transición, en la que debe trasladar
a procesos de su core business, y si su de nuevo los servicios externalizados
departamento de sistemas es capaz de 42% del mercado total de para ser prestados desde dentro de la
ofrecer estos servicios de manera organización o a través de uno o varios
interna o no. Por ello dicha estrategia servicios TIC nuevos proveedores externos. Se hace
debe estar alineada con los objetivos necesaria entonces una evaluación de
tecnológicos de la compañía y las la relación y los resultados que ayude a
necesidades actuales y futuras de su la organización a establecer los puntos
negocio. En este plan, la compañía para futuros partnerships.
debe evaluar también la experiencia y necesidades de la compañía, un En conclusión, el proceso de
capacidades disponibles en el proceso difícil que exige un definición de la política de
mercado, las soluciones estándar acercamiento estructurado que ayude externalización y su implementación es
comercializadas, y la dinámica y nivel a la organización en la comparación de sumamente complejo, ya que una
de madurez del mercado. los productos y servicios ofertados por decisión errónea puede resultar crítica
diferentes proveedores. Normalmente, para el futuro de cualquier organización.
y con el fin de reducir la lista de Afortunadamente, para acudir en su
De la definición de la provisión candidatos, se hace una preselección ayuda hay empresas independientes en
a la evaluación final hasta llegar a la llamada “short list”. el mercado capaces de ayudarles, con
Llegada la fase de preparación una larga experiencia a sus espaldas en
Una vez elaborada la estrategia se de contratos, éstos ayudan a la este tipo de proyectos, cuya
inicia el proyecto en sí, cuyo primer organización a gestionar la relación y intervención, sobre todo en las fases de
punto a resolver es saber cómo la a evaluar los beneficios que la misma selección y contratación de proveedores
compañía alcanzará sus objetivos le aporta. Lo ideal es que las y en la gestión del cambio, es garantía
haciendo uso de uno o varios colaboraciones con proveedores de éxito.
nº 11 junio 2007
11. 82
Perspectiva Empresarial
Seguridad en la
Externalización de Sistemas
EL CIFRADO FÍSICO OFRECE EL SERVICIO DE ALMACENAMIENTO CIFRADO Y EL CIFRADO
LÓGICO EL DE LA ADMINISTRACIÓN CONFIDENCIAL
(e-business) o a sus proveedores, corriente eléctrica, seguridad física y
necesita tener sus servidores demás servicios de monitorización,
Santiago
conectados a Internet, y funcionando por parte de un proveedor de
Crespo
en un régimen de 24x7. Tener un servicios, resulta ser casi siempre
RESPONSABLE DE
servidor en nuestra propia oficina económicamente viable para la
PREVENTA
Zitralia
conectado a Internet con garantías mayoría de los negocios y rentable
suficientes de continuidad y seguridad, para muchos más. Gracias a estos
como son tener varios proveedores –o servicios logramos que nuestros
servidores «vivan» en su «hábitat
natural»: el CPD, que estén
L
a externalización de sistemas atendidos y en óptimas condiciones
informáticos es una práctica de funcionamiento a un precio muy
empresarial en auge, debido
principalmente a los enormes ahorros
La externalización también razonable.
De la misma manera, el Hosting,
de costes que logra, gracias a las
economías de escala que los
tiene su «otra cara de la que consiste en alquilar ciertos
servicios para nuestra compañía, en
proveedores de estos servicios pueden moneda»: conlleva servidores compartidos con otras
trasladar a sus clientes. empresas es más económico aún. En
Si bien hay muchos y sofisticados problemas de seguridad estos entornos la administración de
servicios de outsourcing, el más sistemas corre por parte del
habitual suele ser la contratación de proveedor de servicios, y tenemos
Hosting y Housing y Acceso a Internet acceso a servicios de Internet pre-
en el Centro de Proceso de Datos –CPD configurados y muy económicos.
de ahora en adelante- y poco a poco, carriers- de Internet, aire En estas salas, tanto si hemos
cada vez más, se está externalizando acondicionado, sistema anti-incendios contratado un servicio de Hosting
la propia administración e incluso la de CO2, fuentes de alimentación como si hemos contratado uno de
gestión de los sistemas informáticos. ininterrumpida incluso con sistemas Housing para albergar nuestros
La contratación del uso de centros generadores eléctricos autónomos, propios servidores, las máquinas
de proceso de datos ajenos a nuestra copias de seguridad atendidas, sala de cuentan con todas las medidas de
organización empresarial, es una monitorización 24x7 (con sus operación serias, como son los citados
práctica que rinde múltiples ventajas operadores correspondientes), es sistemas anti-incendios, anti-
que finalmente redundan en la calidad realmente caro y resulta del todo terremotos, seguridad de acceso físico
de los servicios ofrecidos por nuestra inviable para muchas empresas, si no (ya que hay que identificarse
compañía (si somos nosotros el cliente se recurre a la externalización. previamente para pasar a los CPD),
del outsourcer). Contratar un servicio de Housing: operadores 24x7 (que pueden
Cualquier compañía que desee Es decir, el uso de un rack para resetear, apagar, encender, o realizar
ofrecer servicios online a sus clientes meter en él nuestros servidores, la operativas cualquier día a cualquier
nº 11 junio 2007
12. 84
Perspectiva Empresarial
La «ingeniería social» es mucho más
habitual de lo que pensamos.
2. En los casos en los que nuestro
negocio quizás no sea susceptible de
tan sofisticado espionaje industrial, se
pueden dar otras problemáticas. El
administrador del sistema, cuando
estamos ante un Hosting o una
externalización pura de la
administración, como puede acceder a
toda la máquina, sea capaz de
«cotillear» -por no pensar cosas
peores- información sensible de
nuestro negocio, como acuerdos
contractuales, contratos, nóminas, etc.
3. Aunque no externalicemos la
administración del sistema, ¿si
nuestro administrador de sistemas
pasa un día por un directorio llamado
«Nóminas» y no puede resistirse a
hora), ventilación y temperatura averiguar lo que cobra todo el mundo
adecuadas, monitorización, etc. en la empresa? ¿Y si luego divulga
Sin embargo como casi todo en la
vida, la externalización también tiene
La mayor parte de los esos datos -aunque sea sin mala
intención- y se acaba creando mal
su «otra cara de la moneda»: conlleva ataques suelen proceder ambiente entre los empleados? ¿O, y
problemas, sobre todo de seguridad. si nuestro administrador descontento
Si tenemos externalizada no sólo la del interior: por ej.: un decide airear información confidencial
ubicación en un CPD (Housing) de sólo para hacer daño a la compañía?
nuestros sistemas sino la administrador de sistemas Afortunadamente estos problemas
administración de las propias no suceden todos los días, pero por
máquinas (esto es siempre así en el
descontento desgracia, ocurren en más ocasiones
caso del Hosting), estaremos -aunque de las deseadas: La mayor parte de los
no siempre conscientemente- ante
varios problemas de seguridad.
Al final, son nuestros datos de
negocio los que están en peligro de
diferentes formas:
1. Aunque el proveedor de servicios
de CPD nos garantice la seguridad
física, al no estar bajo nuestro control
directo, siempre nos quedará -
conscientemente o no- la duda de si
alguien no autorizado podría
«despistar» -intencionadamente o no-
por ejemplo, una cinta de backup con
datos críticos de nuestro negocio.
Situaciones en las que un supuesto
técnico viene a reparar el servidor de
otro cliente acabe haciendo una copia
o saboteando nuestros datos son en
ocasiones una desgraciada realidad.
nº 11 junio 2007
13. 85
Perspectiva Empresarial
El Cifrado Lógico se logra
añadiendo una capa de autenticación
adicional -de forma paralela- a la del
sistema operativo, que separa y
diferencia de manera efectiva la
administración del sistema operativo,
de la administración de seguridad de
la máquina.
De esta manera, aunque el
Administrador de sistemas pueda
acceder a todos los directorios de
datos de los usuarios, será incapaz de
leerlos, ya que para él, estarán
cifrados. Sólo los usuarios con los
derechos otorgados por el
Administrador de seguridad podrá ser
capaz de leerlos. Ni siquiera el
Administrador de seguridad podría ser
capaz de acceder a los datos en claro.
Es decir, será capaz de realizar copias
de seguridad, restaurar, etc., pero
siempre accederá a los datos
encriptados, de manera ilegible. Sólo
serán legibles para los usuarios
autorizados.
Los proveedores de servicios
pueden también ofrecer estas dos
ataques no vienen del perímetro de la administración de la seguridad de capas de seguridad adicionales, como
red, donde las medidas de seguridad forma que permita que seamos servicios de valor añadido a sus
(firewalls, antivirus, proxys, etc.) están nosotros quienes decidamos quién clientes. Por una parte, usando la
más que implantados y suelen cubrir accede a qué información, y no el tecnología de cifrado físico se puede
casi todas las amenazas externas, sino administrador del sistema, que hemos ofrecer el servicio de Almacenamiento
que suelen proceder del interior de los decidido externalizar. Esto lo logramos Cifrado, y con la de cifrado lógico su
sistemas -un administrador de con un Cifrado Lógico de datos. servicio correspondiente: el de
sistemas descontento-, bien sea El cifrado físico añade una capa de Administración Confidencial.
empleado nuestro o bien del proveedor seguridad física adicional, Sin duda alguna, éste es el
de servicios- puede hacer cosas muy garantizando la confidencialidad de los siguiente paso en la seguridad
«curiosas»- datos albergados en los discos duros, informática: una vez protegido el
cintas de backup, DVD, o cualquier perímetro de la red, ahora toca
¿Cómo podemos estar a salvo de dispositivo en los que deseemos proteger la información que hay en
estos peligros sin renunciar a las guardar información crítica de nuestros servidores, que es lo que
ventajas de externalizar nuestros negocio. Se necesita una autenticación realmente tiene valor en la Sociedad
servidores y aplicaciones? La solución que puede realizarse con una del Conocimiento.
necesita cubrir los dos frentes del contraseña, un token criptográfico o Si logramos este grado de
mismo: bien por red, contra servidores confidencialidad en los datos,
Pasa por un lado, por evitar que el seguros de nuestra propia podemos externalizar sin problemas,
hardware que tenemos en el CPD, organización, previo al arranque de la dormir tranquilos sabiendo que el
esté desprotegido: integrando un máquina. De otra manera, será empleado descontento -propio o del
Cifrado Físico a los discos duros o imposible el arranque del sistema outsourcer- será incapaz de acceder,
particiones, y de las cintas de backup. operativo, y por tanto, el uso no copiar o falsificar información crítica, y
Por otro, necesitamos separar la autorizado de la máquina y la cumplir la LOPD sin mayores
administración del sistema de la información que contiene. quebraderos de cabeza.
nº 11 junio 2007