Post on 03-Jul-2015
description
transcript
E l Outsourcing o
externalización es una
tendencia que cada día va
adquiriendo mayor auge en todas las
organizaciones, se ha convertido en
una necesidad para muchas
empresas que desean poder centrar
sus esfuerzos productivos en las
actividades propias de su negocio,
liberando de tareas auxiliares a su
personal, permitiéndole una mayor
especialización y competitividad.
Además de permitir a la empresas
centrarse en el núcleo de su negocio,
en muchos casos la externalización
permite un ahorro de costes, debido a
que los proveedores pueden ofrecer
servicios a un precio menor, que lo
que le supondría al propio cliente
mantener la estructura técnica y
humana necesaria para ofrecer un
servicio, esto es debido a la
economías de escala que pueden
utilizar los proveedores de servicios.
Otro de las ventajas de la
externalización de servicios de TI, es
poder tener a nuestro alcance de
equipamiento tecnológico de última
generación, que es renovado y
actualizado durante la duración del
contrato de externalización. Y por otra
parte nos permite disponer de una
serie de profesionales con una
experiencia concreta, a cuyos
servicios nos sería difícil de acceder si
tuviéramos que incorporarlos a la
plantilla.
Cuando una organización se
plantea la posibilidad de externalizar
parte de su actividad surgen una serie
de preguntas a la que deben darse
respuestas:
� ¿Cuál es el núcleo de nuestro
negocio?
� ¿Cuáles son nuestros procesos
clave?
� ¿Qué procesos productivos aportan
más valor al negocio?
72
nº 11 � junio 2007
Hoy Hablamos de...
La seguridad en elOutsourcing
Ricardo Cañizares Sales
DIRECTOR REVISTA
� ¿Qué diferencia a nuestra
organización de la competencia?
� ¿En qué somos verdaderamente
competitivos?
Las respuestas a las preguntas
anteriores y otros muchos más
aspectos, como la seguridad de la
información y el control sobre los
procesos generadores de valor, van a
permitirnos definir la capacidad,
viabilidad y oportunidad de tomar la
decisión de externalizar una serie de
procesos de nuestra organización.
La decisión final de externalizar o
no externalizar debe tener en
cuenta una serie de razones
objetivas, entre las que podemos
citar: El deseo de “centrarse” en el
negocio, aumentar la competencia,
reducir los costes y ganar
flexibilidad en nuestra estructura de
producción. Todo ello teniendo en
cuenta que se trata de una decisión
estratégica de la organización y que
nos va a exigir a rediseñar los
controles existentes.
La externalización de un servicio de
TI, implica asumir unos riesgos
adicionales, teniendo en cuenta que
dicha decisión aporta una serie de
ventajas y desventajas.
Como ventajas más significativas
citaremos: la experiencia y
dedicación de proveedor de servicios
y la existencia de unas
especificaciones de servicio (SLA),
mucho más detalladas que en el caso
de servicios proporcionados
internamente.
Como desventajas hablaremos de:
costes que exceden las expectativas,
pérdida de la experiencia interna,
pérdida del control y dificultad para
cambiar los acuerdos.
Entre los riesgos que implica la
externalización citaremos: los costes
ocultos, el incumplimiento de los
términos del contrato, el coste puede
dejar de ser competitivo a lo largo del
período del contrato, la obsolescencia
técnica de los sistemas del proveedor
se queden obsoletos y el más
importante el “Poder” queda en el
lado del proveedor.
Para intentar minimizar los riesgos
citados es necesario tener en cuenta a
la hora de la selección del proveedor
una serie de aspectos como: la
garantía de calidad del servicio, la
garantía de continuidad del servicio,
los procedimientos de control (SLA:
acuerdo de nivel de servicio), así
como las ventajas competitivas y
conocimientos técnicos que nos
proporciona el proveedor de servicios.
La única garantía que disponen las
organizaciones para asegurarse de que
la externalización de servicios cumple los
objetivos previstos, es la adecuada
elaboración de los contratos de
prestación de servicios o de los pliegos
de prescripciones técnicas en el caso de
las administraciones públicas. En ellos
debe quedar perfectamente establecido
cuales son las condiciones de prestación
del servicio, especialmente: los derechos
de auditoría, las garantías de
continuidad de las operaciones, la
gestión de la seguridad, los informes de
seguimientos, los aspectos relativos al
personal, sin olvidar las garantías
respecto a la integridad, confidencialidad
y disponibilidad de la información.
En este número de nuestra
Revista a+)), encontrarán una serie
de interesantes artículos en los que
se exponen diferentes puntos de
vista y tendencias de la
externalización de servicios, pero no
quiero finalizar sin recordarles la
importancia de los aspectos de
seguridad y control,
en la externalización de servicios,
por lo que es necesario que dichos
aspectos queden reflejados
exhaustivamente en los contratos,
sin olvidar que uno de los muchos
servicios susceptibles de
externalización en una organización,
es la seguridad de los sistemas de
información, lo que se conoce en
muchos casos como “Seguridad
Gestionada”, esta externalización
necesita unos controles mucho más
estrictos que cualquier otro tipo de
externalización.
73
nº 11 � junio 2007
Hoy Hablamos de...
La externalización es una
decisión estratégica de la
organización que nos va a
exigir rediseñar los
controles existentes
ISPS, PYMES yExternalización 34
Outsourcing - ¿Qué?¿Quién? ¿Cuándo?¿Cómo?
74
Servicios gestionados TIC:más cerca del negocio 78
Cómo afrontar un proyectode Outsourcing TI congarantías de éxito
80
Seguridad en laExternalización de Sistemas
Para «Hablar de»«La seguridad en los sistemas de información sanitaria», en este númerohemos seleccionado:
En el próximo, hablaremos de:
� El software abierto y la seguridad
82
nº 11 � junio 2007
C on un tejido empresarial
copado mayoritariamente por
PYMES y autónomos en nuestro
país, el outsourcing o externalización en
el marco de la seguridad TIC se ha
convertido en una herramienta básica y
primordial para el desarrollo de esta
clase de negocios. El valor añadido que
aporta la externalización de una materia
tan crítica y fundamental como la
seguridad de los sistemas informáticos,
resulta crucial en estos casos, ya que
este tipo de clientes no requieren de la
misma complejidad que las grandes
corporaciones, ni pueden permitirse un
desembolso desproporcionado para lo
que son sus necesidades, y de igual
forma, tampoco pueden descuidar su
correcto funcionamiento.
Dentro del sector de la gestión de
la seguridad (Manager Security
Service), existen muchas
organizaciones, entre ellas los
Proveedores de Servicios a Internet
(ISP), que ofrecen esta alternativa de
negocio como una estrategia para la
obtención de un modelo costo-valor
eficiente, permitiendo además reducir
la ocurrencia de brechas de seguridad
y optimizar las gestiones de la
monitorización sobre los activos TIC
de las empresas.
Por lo general, los ISP ven en los
servicios de seguridad una forma de
añadir valor y de fidelizar las
conexiones de ADSL de sus usuarios.
Garantizar una red transparente,
limpia y segura a los clientes
evidencia su responsabilidad social
corporativa, al tiempo que refuerza su
reputación y su imagen de marca.
Asimismo, brinda la oportunidad de
mejorar los resultados comerciales,
con un flujo de ingresos más
previsible para las compañías con
productos y servicios “commodities”.
Para las PYMES, las ventajas que
ofrece el modelo de Seguridad
Gestionada son claras, lo que lo
convierte en una apuesta de futuro.
Con este modelo, la compañía tiene la
oportunidad de dejar a cargo de
expertos todo lo referente a la
instalación, administración y gestión
de cualquier factor ligado a su
seguridad, y orientar sus esfuerzos
hacia el negocio principal, sin tener
que destinar recursos humanos ni
financieros a complicadas funciones
técnicas.
Las necesidades de seguridad en
Internet de las PYMES dependen del
modelo de negocio, del sector, del
volumen y del uso de las TI de cada
una. Por este motivo, los ISP cuentan
con una amplia cartera de servicios, lo
que permite a cualquier organización,
independientemente de su sector y
requerimientos, incorporarse de forma
activa a la Sociedad del Conocimiento.
Con todo, los principales servicios
externalizados en MSS son:
-Administración de la seguridad y
mantenimiento de equipos y
tecnología, como es el caso de la
administración y configuración de
firewall, de redes Virtual Private
Network (VPN), de servicios antivirus
y antispam y Sistemas de Detección
de Intrusos (IDS).
-Monitorización de seguridad, que
consiste en el análisis detectivo de los
eventos registrados (logs) por los
sistemas y de los estados de los
componentes, para identificar
situaciones irregulares y llevar a cabo
las actuaciones correctivas
predefinidas.
Las empresas proveedoras de
acceso a Internet (ISP) aseguran que
el outsourcing o la externalización de
los servicios de seguridad es la mejor
opción para proteger los sistemas
informáticos en las PYMES, ya que
implican un ahorro de dinero, de
tiempo y un mejor servicio. El propio
mercado avala este hecho. No en
vano, se calcula que los servicios MSS
son los de mayor crecimiento en el
segmento de las TIC, con un
crecimiento interanual del 35%.
OmarAguirre
DIRECTOR GENERAL
Optenet
ISP, PYMES y ExternalizaciónEL VALOR AÑADIDO QUE APORTA LA EXTERNALIZACIÓN DE LA SEGURIDAD DE LAS TIC
RESULTA CRUCIAL PARA LAS PYMES
Para las PYMES, las
ventajas que ofrece el
modelo de Seguridad
Gestionada son claras
34Tribuna de Opinión
L a palabra “outsourcing” o
externalización comenzó a ser
utilizada en España hace
aproximadamente 10 años. Las
principales empresas españolas
empezaron a analizar, con gran
interés y en profundidad, las
diversas formas de rentabilizar su
negocio y poder prestar un servicio
con mayor calidad y menor coste a
sus clientes.
Pero en un proceso de outsourcing
aparecen varias preguntas:
¿Qué debo externalizar?
¿Cómo voy a dejar una parte de mi
actividad en manos de un tercero?
¿Cómo garantizo la calidad del
proceso externalizado?
¿Por qué realmente externalizo una
actividad?
Vamos a intentar contestar a esas
preguntas y algunas más:
¿Qué debo externalizar?
Tom Peters afirma: “externalice
todo lo que no sea copyright de su
empresa”. Es decir, una empresa ha
de mantener el foco en su negocio.
Sin embargo, no es fácil detectar lo
que realmente no es su negocio. Por
ello siempre recomendamos un
análisis detallado de aquellos procesos
que cumplen dos requisitos claros,
que son los siguientes:
1) ¿El proceso en cuestión tiene
impacto directo en mi negocio y en
mis clientes?
2) ¿Existe alguna empresa en el
mercado especializada en desarrollar
esa actividad y que no sea
competencia directa a la mía?
Analizando las últimas tendencias
del mercado se verifica que los
procesos más externalizados son:
� La gestión con el cliente (ventas,
post-venta, fidelización y otros
procesos asociados con la relación
cliente)
� Todo lo relacionado con la gestión y
mantenimiento de la tecnología
� Sistemas de información, desarrollo
de los sistemas.
Una vez definido el/los proceso/s
que deben ser externalizados, es
preciso analizar en profundidad la
puesta en marcha de esa
externalización, mediante la búsqueda
del partner adecuado capaz de
garantizar que el proceso se desarrolla
con idénticos criterios de calidad y
eficiencia aplicados por la empresa
cliente en sus procesos internos.
Un proceso de externalización no se
resume como la búsqueda de una
empresa que proporcione mano de obra
en tanto la compañía cliente continúa
gestionando el servicio. El objetivo de la
externalización es contar con un partner
que asuma la gestión del servicio, que
desarrolle la actividad con unos objetivos
claros y cuantificables y, además, que su
buen hacer genere valor a la solución e
incremente los ratios de rentabilidad y
calidad del servicio global que la
empresa cliente ofrece.
La relación cliente – proveedor
debe ser una relación “ganar-ganar·.
Si su empresa gana el outsourcer
también gana pero ambas compañías
han de estar dispuestas a asumir las
dificultades en el servicio.
¿Cuáles son los principales motivos
para la realización de un proceso
externalización?
� Reducción y control de los costes
operacionales
� Mejora en el enfoque de la empresa
� Ganar acceso a las mejores
prácticas del sector
74
nº 11 � junio 2007
Perspectiva Empresarial
Externalización: ¿Qué?¿Quién? ¿Cuándo? ¿Cómo?PREGUNTAS PARA UN ANÁLISIS DE LOS PROCESOS PARA RENTABILIZAR SU NEGOCIO Y
PODER PRESTAR UN SERVICIO CON MAYOR CALIDAD Y MENOR COSTE A SUS CLIENTES
Una empresa ha de
mantener el foco en su
negocio
AlexandrePaixão Andrade
DIRECTOR GENERAL
IZO BPO
� Liberar recursos internos para otras
actividades
� Incrementar los beneficios por la
transformación de procesos
� Control de las funciones de difícil
gestión o fuera de control
� Reducción de los riesgos en la
inversión relacionada con las
actividades.
¿Cuáles son los modelos deexternalización de un proceso?
SLA: Service Level Agreement
Actualmente, los modelos de
outsourcing están muy desarrollados.
Hace ya algunos años que se vienen
asignando tareas a una tercera
empresa, casi como si fuera una
gestión de recursos humanos, con una
clara orientación hacia la reducción de
costes y esta una forma de
externalizar que se mantiene.
Sin embargo, a día de hoy, las
empresas están desarrollando
modelos BPO –Business Process
Outsourcing, modelos de relación de
cliente –, proveedores basados en la
búsqueda de la excelencia y con una
clara orientación a resultados del
negocio.
Una nueva versión del modelo BPO
es la realización de ese proceso de
negocio en países con costes más
económicos, o en localidades donde la
economía de escala facilita la
generación de sinergias y el ahorro de
costes.
Un ejemplo de modelo de
externalización lo constituyen las
empresas que contratan personal para
la recepción de asistentes en un
evento esporádico. Pero un modelo
BPO consiste en la externalización de
un proceso de facturación, desde la
tarificación del servicio, cálculo de la
factura, emisión de la factura, envío a
los clientes finales y comprobación de
los ingresos generados.
Un ejemplo de offshore es un
proceso de compras de una gran
multinacional, realizado en un país a
través de un partner para todas las
filiales de la empresa en cualquier
parte del mundo. No debemos olvidar
que el outsourcing en España ha
tenido gran relevancia en el sector de
la relación con los clientes, a través
de la creación de outsourcers
especializados en esta actividad para
las grandes empresas.
75
nº 11 � junio 2007
Perspectiva Empresarial
Tom Peters afirma:
“externalice todo lo que no
sea copyright de su
empresa”
El objetivo de la
externalización es contar
con un partner que asuma
la gestión del servicio
Off
Sho
re
Desde nuestra visión proponemos
el desarrollo de un proyecto completo
que analice el impacto de cada paso a
seguir en la implantación del
outsourcing. Con el fin de lograr los
mejores resultados, es preciso que el
proyecto contemple una serie de
fases concretas. Pero no hay que
olvidar que cada proceso y cada
empresa posee sus características
propias, que deben ser tomadas en
consideración durante el desarrollo
del outsourcing.
¿Cómo garantizar la calidad de un
proceso en el modelo BPO?
La respuesta es:
“De la misma manera que
garantizas la calidad del servicio que
se presta en tus oficinas por tu propio
personal”.
A día de hoy, garantizar la calidad
de los procesos externalizados es
completamente posible. Lo principal es
que la empresa tenga identificados los
indicadores claves que impactan en el
servicio y, por tanto, en la satisfacción
del cliente y en la calidad prestada.
El objetivo principal del control de
la calidad es incrementar la
satisfacción de los clientes. La
diferencia entre lo que una compañía
valora como calidad ofrecida y lo que,
realmente, percibe el cliente es un
factor claramente diferenciador en la
actualidad. Esto implica que las
empresas han de evaluar lo que los
clientes valoran, realmente, como un
servicio diferenciado y con calidad.
Conclusión
El análisis del proceso de
outsourcing como externalización de
un elemento clave para el negocio (no
como el encargo de una tarea
específica a un proveedor) revierte
positivamente en la calidad, en el
ahorro de costes y en el foco del
negocio de la empresa.
76
nº 11 � junio 2007
Perspectiva Empresarial
Negocio y gestión
El incremento de la inversión
económica en tecnología, por sí solo,
no garantiza ventajas en el negocio, si
no va acompañado de nuevos modelos
de gestión. “Procesos viejos a los que
se les agrega más tecnología generan
resultados viejos” (Norton).
En el caso de la contratación de
servicios gestionados TIC, el
entregable final incluye la propia
gestión, como parte del suministro del
servicio. Este aspecto modifica la
operativa diaria, el CIO y su equipo
pasan de adoptar un papel de gestión
a supervisión y el proveedor pasa de
mero suministrador de servicios a
integrador y gestor.
El cliente puede dejar de
interesarse por el número de
máquinas, recursos humanos,
herramientas, etc. y, desde una visión
más global de las necesidades,
focalizar la atención en los cambios
que su entorno TIC deberá ir
incorporando para facilitar la evolución
del negocio. Sus recursos podrán ser
reorientados a estas actividades,
liberando a su equipo de problemas
rutinarios.
Gestión a medida y objetivo común
El modelo de Servicios Gestionados
de BURKE garantiza la adaptación a
cada entorno, fijando de antemano el
grado de gestión que llevará asociado
cada servicio, teniendo muy en
cuenta, tanto los factores técnicos
como los organizativos y manteniendo
una capacidad de anticipación que
consideramos imprescindible.
Este modelo fija una banda de
gasto de antemano, haciendo el coste
previsible. Persigue la calidad
continua. Establece indicadores de
niveles de servicio más cercanos al
negocio y más independientes de la
tecnología y los medios necesarios
para conseguir los objetivos. Dispone
de soluciones flexibles, escalables,
remotas, autónomas, con plena
trazabilidad y delegables hasta el
punto que se determine. Universaliza
la disponibilidad y optimiza los
recursos (el servicio se presta en
tiempo real y únicamente cuando se
necesita).
Se trata de alcanzar una situación
de máximo rendimiento y satisfacción,
nada fácil de conseguir en la que el
cliente confía en el proveedor, está
satisfecho del servicio y conforme con
el coste y el suministrador está
dispuesto a ampliar/alterar los ANS
establecidos para situar en primer
plano los objetivos de la organización,
con los que se encuentra alineado,
conservando el margen de beneficio.
Plataformas, servicios ymodelos de gestión
Una gestión estructurada de
servicios TIC requiere gestionar costes
por servicio y entorno. Los servicios
78
nº 11 � junio 2007
Perspectiva Empresarial
Servicios Gestionados TIC:más cerca del negocio
El cliente puede dejar de
interesarse por el número
de máquinas, recursos
humanos, herramientas, etc.,
y focalizar la atención en
los cambios de su ámbito
de negocio
José ManuelAguirre
GERENTE DE SERVICIOSGESTIONADOS
BURKE
SE TRATA DE ALCANZAR UNA SITUACIÓN DE MÁXIMO RENDIMIENTO Y SATISFACCIÓN DEL
CLIENTE QUE CONFÍA EN EL PROVEEDOR, ESTÁ SATISFECHO DEL SERVICIO Y CONFORME
CON EL COSTE
gestionados se adaptan a estas
pautas y permiten afrontar
externalizaciones por áreas de
especialización, ofreciendo nuevas
oportunidades de integración del
conjunto de servicios.
En cualquier plataforma
multifabricante, nos encontramos
distintas capas que interactúan: 1) el
hardware, 2) los sistemas operativos
que soportan 3) las plataformas de
redes/telecomunicaciones, Internet y
gestión de datos/almacenamiento, 4)
las aplicaciones de software de
gestión 5) la consultoría y la
integración.
El alcance de los servicios
gestionados tiende a monitorizar,
operar, mantener, gestionar y analizar
servicios determinados de manera
proactiva, sobre este tipo de
plataformas, siendo extensible al
helpdesk, operación, monitorización,
formación y soporte, desarrollo y
mantenimiento de aplicaciones, CPD y
Sistemas, Redes y Telco.
Para dar respuesta a la complejidad
creciente que presentan estas
plataformas, los problemas críticos y
para gestionar los cambios IMAC en
los entornos distribuidos, resulta
imprescindible la aplicación de
metodologías y herramientas.
Existen distintos modelos “de
buenas prácticas” en la gestión TIC.
Uno de los más difundidos, desde el
punto de vista de servicios
gestionados -el ITIL-, se estructura
alrededor de dos grupos de procesos:
los focalizados en el día a día y
soporte de los servicios y los
centrados en la planificación y la
provisión de estos servicios.
Compromiso de laAdministracion y serviciosgestionados
Dentro del Plan de Calidad para la
Administración General del Estado, el
Real Decreto 1259/1999 establece y
regula las Cartas de Servicios. Esta
norma obliga a todas las
organizaciones de la Administración
del Estado a elaborar Cartas de
Servicios. En ellas deben declarar
públicamente los servicios que prestan
a los ciudadanos y los compromisos
que adoptan en cuanto a estándares
de calidad.
En un contexto G2C, entendido
como la realización y prestación de los
servicios y mantenimiento de
relaciones entre ciudadanos y
administración, mediante
instrumentos electrónicos, el modelo
de Servicios Gestionados facilita el
cumplimiento de los compromisos que
los distintos organismos adquieren
con el ciudadano.
Conclusiones
1. Contratar servicios gestionados
en lugar de provisión de máquinas,
cesión de recursos humanos, etc.,
resulta más operativo y cercano al
cliente, ayuda a alinear negocio y
tecnología, proporcionando “sentido
común” a los servicios TIC.
2. El modelo de servicios
gestionados libera al Departamento TIC
de tareas de poco valor para el negocio,
permitiendo al CIO dedicar más tiempo
a “escuchar” a su cliente interno, motor
del negocio de la compañía.
3. Cada organización es un mundo,
la gestión también se puede
suministrar “a medida”.
4. Los servicios gestionados resultan
estratégicos, como base de la cadena
de servicio público al ciudadano:
� Proveedor TIC (ANS) � Organismo
(Carta de Servicios) � Ciudadano
5. Aunque la externalización de
servicios viene creciendo
significativamente, la consecución de los
ANS comprometidos no resulta
suficiente para garantizar la satisfacción,
se requiere de una implicación real y
proactiva en los proyectos que impulse
la evolución del negocio del cliente.
"Servicio es poner primero al
cliente” (K. Albrecht)
79
nº 11 � junio 2007
Perspectiva Empresarial
TIC Tecnologías de la Información yla Comunicación
CIO Chief Information Officer
ANS Acuerdos de Niveles de Servicio
CPD Centro de Proceso de Datos
G2C Government to Consumer
IMAC Instalar, Mover, Añadir y Cambiar
ITIL Information TechnologyInfrastructure Library
L a subcontratación de servicios
TI a través de uno o varios
proveedores externos es una
práctica cada vez más habitual entre
las empresas españolas, ya sean
medianas o grandes corporaciones,
que se aseguran así un acceso rápido
a tecnologías y experiencia de última
generación, liberando recursos propios
para enfocarse enteramente en sus
actividades de mayor valor añadido.
Prueba de ello es un reciente informe
elaborado por la consultora IDC, según
el cual, el mercado de externalización
en España alcanzó en 2006 el 42% del
total de servicios tecnológicos, siendo
las entidades públicas y financieras los
sectores más destacados en su
demanda. IDC estima que este
mercado seguirá creciendo de forma
continua hasta alcanzar el 47% en
2010, fecha en la que casi la mitad de
los servicios prestados en nuestro país
serán de externalización.
Pese al éxito de esta fórmula, se
percibe una creciente insatisfacción por
parte de los clientes respecto a este tipo
de proyectos, debido a que en un
número importante de ellos no se llegan
a alcanzar los objetivos planteados,
mientras que otros directamente
fracasan. Una consulta realizada por
Orbys Consulting cifra en un tercio las
empresas que admitieron que la
externalización no cubrió sus
expectativas, de las que un 23%
optaron incluso por revertir el proceso.
A nuestro juicio el motivo de que las
expectativas en muchos de estos
proyectos de externalización no vayan
parejas a los resultados obtenidos se
encuentra en los fallos producidos en
sus distintas fases de planificación,
contratación, ejecución y seguimiento
posterior. Concretamente, según nuestra
experiencia y las encuestas realizadas
en un buen número de compañías
europeas, los principales fallos radican
en tres puntos, a saber:
1. La falta de alineación entre las
estrategias corporativas y el
departamento de sistemas de la
organización
2. Las dificultades surgidas en la
selección y gestión de sourcers o
proveedores tecnológicos, sobre todo en
los grandes proyectos de TI y
3. El establecimiento de relaciones
poco óptimas y, en algunos casos,
claramente inadecuadas con estos
proveedores de servicios externos.
Enfoque estructurado yestrategia de externalización
Una de las claves para que un
proyecto de externalización realmente
responda a los objetivos de negocio
que tenía la organización sería realizar
80
nº 11 � junio 2007
Perspectiva Empresarial
Cómo afrontar un proyectode externalización TI congarantías de éxitoUNA DE LAS CLAVES PARA QUE UN PROYECTO DE EXTERNALIZACIÓN REALMENTE
RESPONDA A LOS OBJETIVOS DE NEGOCIO QUE TENÍA LA ORGANIZACIÓN SERÍA REALIZAR
UN ENFOQUE ESTRUCTURADO
Pese al éxito de esta
fórmula, se percibe
insatisfacción en este tipo
de proyectos
Fernando CruzMartínez–Lacaci
DIRECTOR GENERAL
Synotion España
un enfoque estructurado, que cubra
todas las fases del mismo y de la
relación con el proveedor.
En este tipo de proyectos se
identifican dos áreas fundamentales:
por un lado, la contratación, en la que
se podrían identificar las fases de
definición de la estrategia, de la
selección del proveedor y de la
preparación de los contratos; y por
otro, la gestión contractual con el/los
proveedor/es externo/s, de manera que
la organización reciba la funcionalidad
requerida, en el lugar y en el momento
apropiados. La organización además
debe prestar especial atención a la
preparación de la fase de transición y a
la creación de un responsable o equipo
interno para la gestión de estos
outsourcers, con el fin de garantizar un
traspaso rápido de los servicios.
Para la elaboración de una buena
estrategia de externalización TI, la
organización debe tener claro que para
iniciar un proyecto de externalización
de servicios tecnológicos, éstos deben
aportar un valor claro a todas las
áreas. Además debe identificar cuáles
de estas capacidades TI están ligadas
a procesos de su core business, y si su
departamento de sistemas es capaz de
ofrecer estos servicios de manera
interna o no. Por ello dicha estrategia
debe estar alineada con los objetivos
tecnológicos de la compañía y las
necesidades actuales y futuras de su
negocio. En este plan, la compañía
debe evaluar también la experiencia y
capacidades disponibles en el
mercado, las soluciones estándar
comercializadas, y la dinámica y nivel
de madurez del mercado.
De la definición de la provisióna la evaluación final
Una vez elaborada la estrategia se
inicia el proyecto en sí, cuyo primer
punto a resolver es saber cómo la
compañía alcanzará sus objetivos
haciendo uso de uno o varios
proveedores de servicios. Es la fase
de definición de la provisión
propiamente dicha. Posteriormente se
da paso a la selección del
proveedor que mejor se ajuste a las
necesidades de la compañía, un
proceso difícil que exige un
acercamiento estructurado que ayude
a la organización en la comparación de
los productos y servicios ofertados por
diferentes proveedores. Normalmente,
y con el fin de reducir la lista de
candidatos, se hace una preselección
hasta llegar a la llamada “short list”.
Llegada la fase de preparación
de contratos, éstos ayudan a la
organización a gestionar la relación y
a evaluar los beneficios que la misma
le aporta. Lo ideal es que las
colaboraciones con proveedores
externos y los contratos que las
soportan estén provistos de cierta
flexibilidad, contemplando cláusulas y
procedimientos para la introducción de
cambios.
La fase de transición consiste en
la migración del modo actual de operar
de la compañía al modelo de operación
futuro, el cual no cubre únicamente los
sistemas de información, la
infraestructura, los servicios y la
organización, sino también los roles,
los comportamientos, las actividades y
las responsabilidades de la
organización y de sus proveedores de
servicios externos.
En cuanto a la fase de ejecución,
durante la misma resulta esencial no
sólo que se monitorice desde dentro la
prestación de los servicios concretos,
sino también que se implementen los
cambios necesarios para ajustar el
nivel de estos servicios a las
condiciones del mercado y del
negocio, comprobando que los Niveles
de Servicio contratados se cumplen.
Finalizada la colaboración, para la
organización se inicia una nueva fase
de transición, en la que debe trasladar
de nuevo los servicios externalizados
para ser prestados desde dentro de la
organización o a través de uno o varios
nuevos proveedores externos. Se hace
necesaria entonces una evaluación de
la relación y los resultados que ayude a
la organización a establecer los puntos
para futuros partnerships.
En conclusión, el proceso de
definición de la política de
externalización y su implementación es
sumamente complejo, ya que una
decisión errónea puede resultar crítica
para el futuro de cualquier organización.
Afortunadamente, para acudir en su
ayuda hay empresas independientes en
el mercado capaces de ayudarles, con
una larga experiencia a sus espaldas en
este tipo de proyectos, cuya
intervención, sobre todo en las fases de
selección y contratación de proveedores
y en la gestión del cambio, es garantía
de éxito.
81
nº 11 � junio 2007
Perspectiva Empresarial
La externalización en
España alcanzó en 2006 el
42% del mercado total de
servicios TIC
L a externalización de sistemas
informáticos es una práctica
empresarial en auge, debido
principalmente a los enormes ahorros
de costes que logra, gracias a las
economías de escala que los
proveedores de estos servicios pueden
trasladar a sus clientes.
Si bien hay muchos y sofisticados
servicios de outsourcing, el más
habitual suele ser la contratación de
Hosting y Housing y Acceso a Internet
en el Centro de Proceso de Datos –CPD
de ahora en adelante- y poco a poco,
cada vez más, se está externalizando
la propia administración e incluso la
gestión de los sistemas informáticos.
La contratación del uso de centros
de proceso de datos ajenos a nuestra
organización empresarial, es una
práctica que rinde múltiples ventajas
que finalmente redundan en la calidad
de los servicios ofrecidos por nuestra
compañía (si somos nosotros el cliente
del outsourcer).
Cualquier compañía que desee
ofrecer servicios online a sus clientes
(e-business) o a sus proveedores,
necesita tener sus servidores
conectados a Internet, y funcionando
en un régimen de 24x7. Tener un
servidor en nuestra propia oficina
conectado a Internet con garantías
suficientes de continuidad y seguridad,
como son tener varios proveedores –o
carriers- de Internet, aire
acondicionado, sistema anti-incendios
de CO2, fuentes de alimentación
ininterrumpida incluso con sistemas
generadores eléctricos autónomos,
copias de seguridad atendidas, sala de
monitorización 24x7 (con sus
operadores correspondientes), es
realmente caro y resulta del todo
inviable para muchas empresas, si no
se recurre a la externalización.
Contratar un servicio de Housing:
Es decir, el uso de un rack para
meter en él nuestros servidores, la
corriente eléctrica, seguridad física y
demás servicios de monitorización,
por parte de un proveedor de
servicios, resulta ser casi siempre
económicamente viable para la
mayoría de los negocios y rentable
para muchos más. Gracias a estos
servicios logramos que nuestros
servidores «vivan» en su «hábitat
natural»: el CPD, que estén
atendidos y en óptimas condiciones
de funcionamiento a un precio muy
razonable.
De la misma manera, el Hosting,
que consiste en alquilar ciertos
servicios para nuestra compañía, en
servidores compartidos con otras
empresas es más económico aún. En
estos entornos la administración de
sistemas corre por parte del
proveedor de servicios, y tenemos
acceso a servicios de Internet pre-
configurados y muy económicos.
En estas salas, tanto si hemos
contratado un servicio de Hosting
como si hemos contratado uno de
Housing para albergar nuestros
propios servidores, las máquinas
cuentan con todas las medidas de
operación serias, como son los citados
sistemas anti-incendios, anti-
terremotos, seguridad de acceso físico
(ya que hay que identificarse
previamente para pasar a los CPD),
operadores 24x7 (que pueden
resetear, apagar, encender, o realizar
operativas cualquier día a cualquier
82
nº 11 � junio 2007
Perspectiva Empresarial
Seguridad en laExternalización de SistemasEL CIFRADO FÍSICO OFRECE EL SERVICIO DE ALMACENAMIENTO CIFRADO Y EL CIFRADO
LÓGICO EL DE LA ADMINISTRACIÓN CONFIDENCIAL
La externalización también
tiene su «otra cara de la
moneda»: conlleva
problemas de seguridad
SantiagoCrespo
RESPONSABLE DEPREVENTA
Zitralia
hora), ventilación y temperatura
adecuadas, monitorización, etc.
Sin embargo como casi todo en la
vida, la externalización también tiene
su «otra cara de la moneda»: conlleva
problemas, sobre todo de seguridad.
Si tenemos externalizada no sólo la
ubicación en un CPD (Housing) de
nuestros sistemas sino la
administración de las propias
máquinas (esto es siempre así en el
caso del Hosting), estaremos -aunque
no siempre conscientemente- ante
varios problemas de seguridad.
Al final, son nuestros datos de
negocio los que están en peligro de
diferentes formas:
1. Aunque el proveedor de servicios
de CPD nos garantice la seguridad
física, al no estar bajo nuestro control
directo, siempre nos quedará -
conscientemente o no- la duda de si
alguien no autorizado podría
«despistar» -intencionadamente o no-
por ejemplo, una cinta de backup con
datos críticos de nuestro negocio.
Situaciones en las que un supuesto
técnico viene a reparar el servidor de
otro cliente acabe haciendo una copia
o saboteando nuestros datos son en
ocasiones una desgraciada realidad.
La «ingeniería social» es mucho más
habitual de lo que pensamos.
2. En los casos en los que nuestro
negocio quizás no sea susceptible de
tan sofisticado espionaje industrial, se
pueden dar otras problemáticas. El
administrador del sistema, cuando
estamos ante un Hosting o una
externalización pura de la
administración, como puede acceder a
toda la máquina, sea capaz de
«cotillear» -por no pensar cosas
peores- información sensible de
nuestro negocio, como acuerdos
contractuales, contratos, nóminas, etc.
3. Aunque no externalicemos la
administración del sistema, ¿si
nuestro administrador de sistemas
pasa un día por un directorio llamado
«Nóminas» y no puede resistirse a
averiguar lo que cobra todo el mundo
en la empresa? ¿Y si luego divulga
esos datos -aunque sea sin mala
intención- y se acaba creando mal
ambiente entre los empleados? ¿O, y
si nuestro administrador descontento
decide airear información confidencial
sólo para hacer daño a la compañía?
Afortunadamente estos problemas
no suceden todos los días, pero por
desgracia, ocurren en más ocasiones
de las deseadas: La mayor parte de los
84
nº 11 � junio 2007
Perspectiva Empresarial
La mayor parte de los
ataques suelen proceder
del interior: por ej.: un
administrador de sistemas
descontento
ataques no vienen del perímetro de la
red, donde las medidas de seguridad
(firewalls, antivirus, proxys, etc.) están
más que implantados y suelen cubrir
casi todas las amenazas externas, sino
que suelen proceder del interior de los
sistemas -un administrador de
sistemas descontento-, bien sea
empleado nuestro o bien del proveedor
de servicios- puede hacer cosas muy
«curiosas»-
¿Cómo podemos estar a salvo de
estos peligros sin renunciar a las
ventajas de externalizar nuestros
servidores y aplicaciones? La solución
necesita cubrir los dos frentes del
mismo:
� Pasa por un lado, por evitar que el
hardware que tenemos en el CPD,
esté desprotegido: integrando un
Cifrado Físico a los discos duros o
particiones, y de las cintas de backup.
� Por otro, necesitamos separar la
administración del sistema de la
administración de la seguridad de
forma que permita que seamos
nosotros quienes decidamos quién
accede a qué información, y no el
administrador del sistema, que hemos
decidido externalizar. Esto lo logramos
con un Cifrado Lógico de datos.
El cifrado físico añade una capa de
seguridad física adicional,
garantizando la confidencialidad de los
datos albergados en los discos duros,
cintas de backup, DVD, o cualquier
dispositivo en los que deseemos
guardar información crítica de
negocio. Se necesita una autenticación
que puede realizarse con una
contraseña, un token criptográfico o
bien por red, contra servidores
seguros de nuestra propia
organización, previo al arranque de la
máquina. De otra manera, será
imposible el arranque del sistema
operativo, y por tanto, el uso no
autorizado de la máquina y la
información que contiene.
El Cifrado Lógico se logra
añadiendo una capa de autenticación
adicional -de forma paralela- a la del
sistema operativo, que separa y
diferencia de manera efectiva la
administración del sistema operativo,
de la administración de seguridad de
la máquina.
De esta manera, aunque el
Administrador de sistemas pueda
acceder a todos los directorios de
datos de los usuarios, será incapaz de
leerlos, ya que para él, estarán
cifrados. Sólo los usuarios con los
derechos otorgados por el
Administrador de seguridad podrá ser
capaz de leerlos. Ni siquiera el
Administrador de seguridad podría ser
capaz de acceder a los datos en claro.
Es decir, será capaz de realizar copias
de seguridad, restaurar, etc., pero
siempre accederá a los datos
encriptados, de manera ilegible. Sólo
serán legibles para los usuarios
autorizados.
Los proveedores de servicios
pueden también ofrecer estas dos
capas de seguridad adicionales, como
servicios de valor añadido a sus
clientes. Por una parte, usando la
tecnología de cifrado físico se puede
ofrecer el servicio de Almacenamiento
Cifrado, y con la de cifrado lógico su
servicio correspondiente: el de
Administración Confidencial.
Sin duda alguna, éste es el
siguiente paso en la seguridad
informática: una vez protegido el
perímetro de la red, ahora toca
proteger la información que hay en
nuestros servidores, que es lo que
realmente tiene valor en la Sociedad
del Conocimiento.
Si logramos este grado de
confidencialidad en los datos,
podemos externalizar sin problemas,
dormir tranquilos sabiendo que el
empleado descontento -propio o del
outsourcer- será incapaz de acceder,
copiar o falsificar información crítica, y
cumplir la LOPD sin mayores
quebraderos de cabeza.
85
nº 11 � junio 2007
Perspectiva Empresarial