Artículos sobre Outsoursing

711 views
618 views

Published on

Artículos sobre Outsoursing

Published in: Travel
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
711
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Artículos sobre Outsoursing

  1. 1. 72 Hoy Hablamos de... La seguridad en el Outsourcing Ricardo Además de permitir a la empresas contrato de externalización. Y por otra Cañizares Sales centrarse en el núcleo de su negocio, parte nos permite disponer de una DIRECTOR REVISTA en muchos casos la externalización serie de profesionales con una permite un ahorro de costes, debido a experiencia concreta, a cuyos que los proveedores pueden ofrecer servicios nos sería difícil de acceder si servicios a un precio menor, que lo tuviéramos que incorporarlos a la E l Outsourcing o que le supondría al propio cliente plantilla. externalización es una mantener la estructura técnica y Cuando una organización se tendencia que cada día va humana necesaria para ofrecer un plantea la posibilidad de externalizar adquiriendo mayor auge en todas las servicio, esto es debido a la parte de su actividad surgen una serie organizaciones, se ha convertido en economías de escala que pueden de preguntas a la que deben darse una necesidad para muchas utilizar los proveedores de servicios. respuestas: empresas que desean poder centrar Otro de las ventajas de la ¿Cuál es el núcleo de nuestro sus esfuerzos productivos en las externalización de servicios de TI, es negocio? actividades propias de su negocio, poder tener a nuestro alcance de ¿Cuáles son nuestros procesos liberando de tareas auxiliares a su equipamiento tecnológico de última clave? personal, permitiéndole una mayor generación, que es renovado y ¿Qué procesos productivos aportan especialización y competitividad. actualizado durante la duración del más valor al negocio? nº 11 junio 2007
  2. 2. 73 Hoy Hablamos de... ¿Qué diferencia a nuestra se queden obsoletos y el más Para «Hablar de» organización de la competencia? importante el “Poder” queda en el «La seguridad en los sistemas de ¿En qué somos verdaderamente lado del proveedor. información sanitaria», en este número competitivos? Para intentar minimizar los riesgos hemos seleccionado: citados es necesario tener en cuenta a Las respuestas a las preguntas la hora de la selección del proveedor anteriores y otros muchos más una serie de aspectos como: la ISPS, PYMES y aspectos, como la seguridad de la garantía de calidad del servicio, la Externalización 34 información y el control sobre los garantía de continuidad del servicio, procesos generadores de valor, van a los procedimientos de control (SLA: Outsourcing - ¿Qué? permitirnos definir la capacidad, acuerdo de nivel de servicio), así ¿Quién? ¿Cuándo? 74 ¿Cómo? viabilidad y oportunidad de tomar la como las ventajas competitivas y decisión de externalizar una serie de conocimientos técnicos que nos Servicios gestionados TIC: procesos de nuestra organización. proporciona el proveedor de servicios. más cerca del negocio 78 La decisión final de externalizar o La única garantía que disponen las no externalizar debe tener en organizaciones para asegurarse de que Cómo afrontar un proyecto cuenta una serie de razones la externalización de servicios cumple los de Outsourcing TI con 80 garantías de éxito objetivas, entre las que podemos objetivos previstos, es la adecuada citar: El deseo de “centrarse” en el elaboración de los contratos de Seguridad en la negocio, aumentar la competencia, prestación de servicios o de los pliegos Externalización de Sistemas 82 reducir los costes y ganar de prescripciones técnicas en el caso de flexibilidad en nuestra estructura de producción. Todo ello teniendo en cuenta que se trata de una decisión En este número de nuestra estratégica de la organización y que La externalización es una Revista a+)), encontrarán una serie nos va a exigir a rediseñar los de interesantes artículos en los que controles existentes. decisión estratégica de la se exponen diferentes puntos de La externalización de un servicio de vista y tendencias de la TI, implica asumir unos riesgos organización que nos va a externalización de servicios, pero no adicionales, teniendo en cuenta que quiero finalizar sin recordarles la dicha decisión aporta una serie de exigir rediseñar los importancia de los aspectos de ventajas y desventajas. Como ventajas más significativas controles existentes seguridad y control, en la externalización de servicios, citaremos: la experiencia y por lo que es necesario que dichos dedicación de proveedor de servicios aspectos queden reflejados y la existencia de unas las administraciones públicas. En ellos exhaustivamente en los contratos, especificaciones de servicio (SLA), debe quedar perfectamente establecido sin olvidar que uno de los muchos mucho más detalladas que en el caso cuales son las condiciones de prestación servicios susceptibles de de servicios proporcionados del servicio, especialmente: los derechos externalización en una organización, internamente. de auditoría, las garantías de es la seguridad de los sistemas de Como desventajas hablaremos de: continuidad de las operaciones, la información, lo que se conoce en costes que exceden las expectativas, gestión de la seguridad, los informes de muchos casos como “Seguridad pérdida de la experiencia interna, seguimientos, los aspectos relativos al Gestionada”, esta externalización pérdida del control y dificultad para personal, sin olvidar las garantías necesita unos controles mucho más cambiar los acuerdos. respecto a la integridad, confidencialidad estrictos que cualquier otro tipo de Entre los riesgos que implica la y disponibilidad de la información. externalización. externalización citaremos: los costes ocultos, el incumplimiento de los términos del contrato, el coste puede En el próximo, hablaremos de: dejar de ser competitivo a lo largo del período del contrato, la obsolescencia El software abierto y la seguridad técnica de los sistemas del proveedor nº 11 junio 2007
  3. 3. 34 Tribuna de Opinión ISP, PYMES y Externalización EL VALOR AÑADIDO QUE APORTA LA EXTERNALIZACIÓN DE LA SEGURIDAD DE LAS TIC RESULTA CRUCIAL PARA LAS PYMES Por lo general, los ISP ven en los Las necesidades de seguridad en servicios de seguridad una forma de Internet de las PYMES dependen del añadir valor y de fidelizar las modelo de negocio, del sector, del Omar Aguirre conexiones de ADSL de sus usuarios. volumen y del uso de las TI de cada Garantizar una red transparente, una. Por este motivo, los ISP cuentan DIRECTOR GENERAL limpia y segura a los clientes con una amplia cartera de servicios, lo Optenet evidencia su responsabilidad social que permite a cualquier organización, corporativa, al tiempo que refuerza su independientemente de su sector y reputación y su imagen de marca. requerimientos, incorporarse de forma C on un tejido empresarial Asimismo, brinda la oportunidad de activa a la Sociedad del Conocimiento. copado mayoritariamente por mejorar los resultados comerciales, Con todo, los principales servicios PYMES y autónomos en nuestro con un flujo de ingresos más externalizados en MSS son: país, el outsourcing o externalización en previsible para las compañías con -Administración de la seguridad y el marco de la seguridad TIC se ha productos y servicios “commodities”. mantenimiento de equipos y convertido en una herramienta básica y tecnología, como es el caso de la primordial para el desarrollo de esta administración y configuración de clase de negocios. El valor añadido que firewall, de redes Virtual Private aporta la externalización de una materia Network (VPN), de servicios antivirus tan crítica y fundamental como la Para las PYMES, las y antispam y Sistemas de Detección seguridad de los sistemas informáticos, resulta crucial en estos casos, ya que ventajas que ofrece el de Intrusos (IDS). -Monitorización de seguridad, que este tipo de clientes no requieren de la modelo de Seguridad consiste en el análisis detectivo de los misma complejidad que las grandes eventos registrados (logs) por los corporaciones, ni pueden permitirse un Gestionada son claras sistemas y de los estados de los desembolso desproporcionado para lo componentes, para identificar que son sus necesidades, y de igual situaciones irregulares y llevar a cabo forma, tampoco pueden descuidar su las actuaciones correctivas correcto funcionamiento. Para las PYMES, las ventajas que predefinidas. Dentro del sector de la gestión de ofrece el modelo de Seguridad Las empresas proveedoras de la seguridad (Manager Security Gestionada son claras, lo que lo acceso a Internet (ISP) aseguran que Service), existen muchas convierte en una apuesta de futuro. el outsourcing o la externalización de organizaciones, entre ellas los Con este modelo, la compañía tiene la los servicios de seguridad es la mejor Proveedores de Servicios a Internet oportunidad de dejar a cargo de opción para proteger los sistemas (ISP), que ofrecen esta alternativa de expertos todo lo referente a la informáticos en las PYMES, ya que negocio como una estrategia para la instalación, administración y gestión implican un ahorro de dinero, de obtención de un modelo costo-valor de cualquier factor ligado a su tiempo y un mejor servicio. El propio eficiente, permitiendo además reducir seguridad, y orientar sus esfuerzos mercado avala este hecho. No en la ocurrencia de brechas de seguridad hacia el negocio principal, sin tener vano, se calcula que los servicios MSS y optimizar las gestiones de la que destinar recursos humanos ni son los de mayor crecimiento en el monitorización sobre los activos TIC financieros a complicadas funciones segmento de las TIC, con un de las empresas. técnicas. crecimiento interanual del 35%. nº 11 junio 2007
  4. 4. 74 Perspectiva Empresarial Externalización: ¿Qué? ¿Quién? ¿Cuándo? ¿Cómo? PREGUNTAS PARA UN ANÁLISIS DE LOS PROCESOS PARA RENTABILIZAR SU NEGOCIO Y PODER PRESTAR UN SERVICIO CON MAYOR CALIDAD Y MENOR COSTE A SUS CLIENTES Sin embargo, no es fácil detectar lo Una vez definido el/los proceso/s que realmente no es su negocio. Por que deben ser externalizados, es ello siempre recomendamos un preciso analizar en profundidad la Alexandre Paixão Andrade análisis detallado de aquellos procesos puesta en marcha de esa que cumplen dos requisitos claros, externalización, mediante la búsqueda DIRECTOR GENERAL que son los siguientes: del partner adecuado capaz de IZO BPO 1) ¿El proceso en cuestión tiene garantizar que el proceso se desarrolla impacto directo en mi negocio y en con idénticos criterios de calidad y mis clientes? eficiencia aplicados por la empresa 2) ¿Existe alguna empresa en el cliente en sus procesos internos. L a palabra “outsourcing” o Un proceso de externalización no se externalización comenzó a ser resume como la búsqueda de una utilizada en España hace empresa que proporcione mano de obra aproximadamente 10 años. Las en tanto la compañía cliente continúa principales empresas españolas gestionando el servicio. El objetivo de la empezaron a analizar, con gran Una empresa ha de externalización es contar con un partner interés y en profundidad, las diversas formas de rentabilizar su mantener el foco en su que asuma la gestión del servicio, que desarrolle la actividad con unos objetivos negocio y poder prestar un servicio negocio claros y cuantificables y, además, que su con mayor calidad y menor coste a buen hacer genere valor a la solución e sus clientes. incremente los ratios de rentabilidad y Pero en un proceso de outsourcing calidad del servicio global que la aparecen varias preguntas: empresa cliente ofrece. ¿Qué debo externalizar? mercado especializada en desarrollar La relación cliente – proveedor ¿Cómo voy a dejar una parte de mi esa actividad y que no sea debe ser una relación “ganar-ganar·. actividad en manos de un tercero? competencia directa a la mía? Si su empresa gana el outsourcer ¿Cómo garantizo la calidad del Analizando las últimas tendencias también gana pero ambas compañías proceso externalizado? del mercado se verifica que los han de estar dispuestas a asumir las ¿Por qué realmente externalizo una procesos más externalizados son: dificultades en el servicio. actividad? La gestión con el cliente (ventas, ¿Cuáles son los principales motivos Vamos a intentar contestar a esas post-venta, fidelización y otros para la realización de un proceso preguntas y algunas más: procesos asociados con la relación externalización? ¿Qué debo externalizar? cliente) Reducción y control de los costes Tom Peters afirma: “externalice Todo lo relacionado con la gestión y operacionales todo lo que no sea copyright de su mantenimiento de la tecnología Mejora en el enfoque de la empresa empresa”. Es decir, una empresa ha Sistemas de información, desarrollo Ganar acceso a las mejores de mantener el foco en su negocio. de los sistemas. prácticas del sector nº 11 junio 2007
  5. 5. 75 Perspectiva Empresarial Off Shore Liberar recursos internos para otras actividades Tom Peters afirma: economía de escala facilita la generación de sinergias y el ahorro de Incrementar los beneficios por la transformación de procesos “externalice todo lo que no costes. Un ejemplo de modelo de Control de las funciones de difícil gestión o fuera de control sea copyright de su externalización lo constituyen las empresas que contratan personal para Reducción de los riesgos en la empresa” la recepción de asistentes en un inversión relacionada con las evento esporádico. Pero un modelo actividades. El objetivo de la BPO consiste en la externalización de un proceso de facturación, desde la externalización es contar tarificación del servicio, cálculo de la ¿Cuáles son los modelos de factura, emisión de la factura, envío a externalización de un proceso? con un partner que asuma los clientes finales y comprobación de SLA: Service Level Agreement la gestión del servicio los ingresos generados. Un ejemplo de offshore es un Actualmente, los modelos de proceso de compras de una gran outsourcing están muy desarrollados. modelos BPO –Business Process multinacional, realizado en un país a Hace ya algunos años que se vienen Outsourcing, modelos de relación de través de un partner para todas las asignando tareas a una tercera cliente –, proveedores basados en la filiales de la empresa en cualquier empresa, casi como si fuera una búsqueda de la excelencia y con una parte del mundo. No debemos olvidar gestión de recursos humanos, con una clara orientación a resultados del que el outsourcing en España ha clara orientación hacia la reducción de negocio. tenido gran relevancia en el sector de costes y esta una forma de Una nueva versión del modelo BPO la relación con los clientes, a través externalizar que se mantiene. es la realización de ese proceso de de la creación de outsourcers Sin embargo, a día de hoy, las negocio en países con costes más especializados en esta actividad para empresas están desarrollando económicos, o en localidades donde la las grandes empresas. nº 11 junio 2007
  6. 6. 76 Perspectiva Empresarial Desde nuestra visión proponemos consideración durante el desarrollo completamente posible. Lo principal es el desarrollo de un proyecto completo del outsourcing. que la empresa tenga identificados los que analice el impacto de cada paso a ¿Cómo garantizar la calidad de un indicadores claves que impactan en el seguir en la implantación del proceso en el modelo BPO? servicio y, por tanto, en la satisfacción outsourcing. Con el fin de lograr los La respuesta es: del cliente y en la calidad prestada. mejores resultados, es preciso que el “De la misma manera que El objetivo principal del control de proyecto contemple una serie de garantizas la calidad del servicio que la calidad es incrementar la fases concretas. Pero no hay que se presta en tus oficinas por tu propio satisfacción de los clientes. La olvidar que cada proceso y cada personal”. diferencia entre lo que una compañía empresa posee sus características A día de hoy, garantizar la calidad valora como calidad ofrecida y lo que, propias, que deben ser tomadas en de los procesos externalizados es realmente, percibe el cliente es un factor claramente diferenciador en la actualidad. Esto implica que las empresas han de evaluar lo que los clientes valoran, realmente, como un servicio diferenciado y con calidad. Conclusión El análisis del proceso de outsourcing como externalización de un elemento clave para el negocio (no como el encargo de una tarea específica a un proveedor) revierte positivamente en la calidad, en el ahorro de costes y en el foco del negocio de la empresa. nº 11 junio 2007
  7. 7. 78 Perspectiva Empresarial Servicios Gestionados TIC: más cerca del negocio SE TRATA DE ALCANZAR UNA SITUACIÓN DE MÁXIMO RENDIMIENTO Y SATISFACCIÓN DEL CLIENTE QUE CONFÍA EN EL PROVEEDOR, ESTÁ SATISFECHO DEL SERVICIO Y CONFORME CON EL COSTE que su entorno TIC deberá ir Este modelo fija una banda de incorporando para facilitar la evolución gasto de antemano, haciendo el coste José Manuel Aguirre del negocio. Sus recursos podrán ser previsible. Persigue la calidad reorientados a estas actividades, continua. Establece indicadores de GERENTE DE SERVICIOS GESTIONADOS liberando a su equipo de problemas niveles de servicio más cercanos al BURKE rutinarios. negocio y más independientes de la tecnología y los medios necesarios para conseguir los objetivos. Dispone de soluciones flexibles, escalables, El cliente puede dejar de remotas, autónomas, con plena Negocio y gestión trazabilidad y delegables hasta el interesarse por el número punto que se determine. Universaliza El incremento de la inversión económica en tecnología, por sí solo, de máquinas, recursos la disponibilidad y optimiza los recursos (el servicio se presta en no garantiza ventajas en el negocio, si no va acompañado de nuevos modelos humanos, herramientas, etc., tiempo real y únicamente cuando se necesita). de gestión. “Procesos viejos a los que y focalizar la atención en Se trata de alcanzar una situación se les agrega más tecnología generan de máximo rendimiento y satisfacción, resultados viejos” (Norton). los cambios de su ámbito nada fácil de conseguir en la que el En el caso de la contratación de cliente confía en el proveedor, está servicios gestionados TIC, el de negocio satisfecho del servicio y conforme con entregable final incluye la propia el coste y el suministrador está gestión, como parte del suministro del dispuesto a ampliar/alterar los ANS servicio. Este aspecto modifica la Gestión a medida establecidos para situar en primer operativa diaria, el CIO y su equipo y objetivo común plano los objetivos de la organización, pasan de adoptar un papel de gestión con los que se encuentra alineado, a supervisión y el proveedor pasa de El modelo de Servicios Gestionados conservando el margen de beneficio. mero suministrador de servicios a de BURKE garantiza la adaptación a integrador y gestor. cada entorno, fijando de antemano el El cliente puede dejar de grado de gestión que llevará asociado Plataformas, servicios y interesarse por el número de cada servicio, teniendo muy en modelos de gestión máquinas, recursos humanos, cuenta, tanto los factores técnicos herramientas, etc. y, desde una visión como los organizativos y manteniendo Una gestión estructurada de más global de las necesidades, una capacidad de anticipación que servicios TIC requiere gestionar costes focalizar la atención en los cambios consideramos imprescindible. por servicio y entorno. Los servicios nº 11 junio 2007
  8. 8. 79 Perspectiva Empresarial gestionados se adaptan a estas pautas y permiten afrontar externalizaciones por áreas de especialización, ofreciendo nuevas oportunidades de integración del conjunto de servicios. En cualquier plataforma multifabricante, nos encontramos distintas capas que interactúan: 1) el hardware, 2) los sistemas operativos que soportan 3) las plataformas de redes/telecomunicaciones, Internet y gestión de datos/almacenamiento, 4) las aplicaciones de software de gestión 5) la consultoría y la integración. El alcance de los servicios gestionados tiende a monitorizar, operar, mantener, gestionar y analizar servicios determinados de manera regula las Cartas de Servicios. Esta Conclusiones proactiva, sobre este tipo de norma obliga a todas las plataformas, siendo extensible al organizaciones de la Administración 1. Contratar servicios gestionados helpdesk, operación, monitorización, del Estado a elaborar Cartas de en lugar de provisión de máquinas, formación y soporte, desarrollo y Servicios. En ellas deben declarar cesión de recursos humanos, etc., mantenimiento de aplicaciones, CPD y públicamente los servicios que prestan resulta más operativo y cercano al Sistemas, Redes y Telco. a los ciudadanos y los compromisos cliente, ayuda a alinear negocio y Para dar respuesta a la complejidad que adoptan en cuanto a estándares tecnología, proporcionando “sentido creciente que presentan estas de calidad. común” a los servicios TIC. plataformas, los problemas críticos y En un contexto G2C, entendido 2. El modelo de servicios para gestionar los cambios IMAC en como la realización y prestación de los gestionados libera al Departamento TIC los entornos distribuidos, resulta servicios y mantenimiento de de tareas de poco valor para el negocio, imprescindible la aplicación de relaciones entre ciudadanos y permitiendo al CIO dedicar más tiempo metodologías y herramientas. administración, mediante a “escuchar” a su cliente interno, motor Existen distintos modelos “de instrumentos electrónicos, el modelo del negocio de la compañía. buenas prácticas” en la gestión TIC. de Servicios Gestionados facilita el 3. Cada organización es un mundo, Uno de los más difundidos, desde el cumplimiento de los compromisos que la gestión también se puede punto de vista de servicios los distintos organismos adquieren suministrar “a medida”. gestionados -el ITIL-, se estructura con el ciudadano. 4. Los servicios gestionados resultan alrededor de dos grupos de procesos: estratégicos, como base de la cadena los focalizados en el día a día y Tecnologías de la Información y de servicio público al ciudadano: TIC soporte de los servicios y los la Comunicación Proveedor TIC (ANS) Organismo centrados en la planificación y la CIO Chief Information Officer (Carta de Servicios) Ciudadano provisión de estos servicios. 5. Aunque la externalización de ANS Acuerdos de Niveles de Servicio servicios viene creciendo significativamente, la consecución de los Compromiso de la CPD Centro de Proceso de Datos ANS comprometidos no resulta Administracion y servicios suficiente para garantizar la satisfacción, G2C Government to Consumer gestionados se requiere de una implicación real y proactiva en los proyectos que impulse IMAC Instalar, Mover, Añadir y Cambiar Dentro del Plan de Calidad para la la evolución del negocio del cliente. Administración General del Estado, el ITIL Information Technology "Servicio es poner primero al Infrastructure Library Real Decreto 1259/1999 establece y cliente” (K. Albrecht) nº 11 junio 2007
  9. 9. 80 Perspectiva Empresarial Cómo afrontar un proyecto de externalización TI con garantías de éxito UNA DE LAS CLAVES PARA QUE UN PROYECTO DE EXTERNALIZACIÓN REALMENTE RESPONDA A LOS OBJETIVOS DE NEGOCIO QUE TENÍA LA ORGANIZACIÓN SERÍA REALIZAR UN ENFOQUE ESTRUCTURADO los servicios prestados en nuestro país proyectos de externalización no vayan serán de externalización. parejas a los resultados obtenidos se Fernando Cruz Martínez–Lacaci Pese al éxito de esta fórmula, se encuentra en los fallos producidos en percibe una creciente insatisfacción por sus distintas fases de planificación, DIRECTOR GENERAL parte de los clientes respecto a este tipo contratación, ejecución y seguimiento Synotion España de proyectos, debido a que en un posterior. Concretamente, según nuestra número importante de ellos no se llegan experiencia y las encuestas realizadas a alcanzar los objetivos planteados, en un buen número de compañías europeas, los principales fallos radican L a subcontratación de servicios en tres puntos, a saber: TI a través de uno o varios 1. La falta de alineación entre las proveedores externos es una estrategias corporativas y el práctica cada vez más habitual entre Pese al éxito de esta departamento de sistemas de la las empresas españolas, ya sean organización medianas o grandes corporaciones, fórmula, se percibe 2. Las dificultades surgidas en la que se aseguran así un acceso rápido selección y gestión de sourcers o a tecnologías y experiencia de última insatisfacción en este tipo proveedores tecnológicos, sobre todo en generación, liberando recursos propios los grandes proyectos de TI y para enfocarse enteramente en sus de proyectos 3. El establecimiento de relaciones actividades de mayor valor añadido. poco óptimas y, en algunos casos, Prueba de ello es un reciente informe claramente inadecuadas con estos elaborado por la consultora IDC, según proveedores de servicios externos. el cual, el mercado de externalización mientras que otros directamente en España alcanzó en 2006 el 42% del fracasan. Una consulta realizada por total de servicios tecnológicos, siendo Orbys Consulting cifra en un tercio las Enfoque estructurado y las entidades públicas y financieras los empresas que admitieron que la estrategia de externalización sectores más destacados en su externalización no cubrió sus demanda. IDC estima que este expectativas, de las que un 23% Una de las claves para que un mercado seguirá creciendo de forma optaron incluso por revertir el proceso. proyecto de externalización realmente continua hasta alcanzar el 47% en A nuestro juicio el motivo de que las responda a los objetivos de negocio 2010, fecha en la que casi la mitad de expectativas en muchos de estos que tenía la organización sería realizar nº 11 junio 2007
  10. 10. 81 Perspectiva Empresarial un enfoque estructurado, que cubra externos y los contratos que las todas las fases del mismo y de la soportan estén provistos de cierta relación con el proveedor. flexibilidad, contemplando cláusulas y En este tipo de proyectos se procedimientos para la introducción de identifican dos áreas fundamentales: cambios. por un lado, la contratación, en la que La fase de transición consiste en se podrían identificar las fases de la migración del modo actual de operar definición de la estrategia, de la de la compañía al modelo de operación selección del proveedor y de la futuro, el cual no cubre únicamente los preparación de los contratos; y por sistemas de información, la otro, la gestión contractual con el/los infraestructura, los servicios y la proveedor/es externo/s, de manera que organización, sino también los roles, la organización reciba la funcionalidad los comportamientos, las actividades y requerida, en el lugar y en el momento las responsabilidades de la apropiados. La organización además organización y de sus proveedores de debe prestar especial atención a la servicios externos. preparación de la fase de transición y a En cuanto a la fase de ejecución, la creación de un responsable o equipo proveedores de servicios. Es la fase durante la misma resulta esencial no interno para la gestión de estos de definición de la provisión sólo que se monitorice desde dentro la outsourcers, con el fin de garantizar un propiamente dicha. Posteriormente se prestación de los servicios concretos, traspaso rápido de los servicios. da paso a la selección del sino también que se implementen los Para la elaboración de una buena proveedor que mejor se ajuste a las cambios necesarios para ajustar el estrategia de externalización TI, la nivel de estos servicios a las organización debe tener claro que para condiciones del mercado y del iniciar un proyecto de externalización negocio, comprobando que los Niveles de servicios tecnológicos, éstos deben de Servicio contratados se cumplen. aportar un valor claro a todas las áreas. Además debe identificar cuáles La externalización en Finalizada la colaboración, para la organización se inicia una nueva fase de estas capacidades TI están ligadas España alcanzó en 2006 el de transición, en la que debe trasladar a procesos de su core business, y si su de nuevo los servicios externalizados departamento de sistemas es capaz de 42% del mercado total de para ser prestados desde dentro de la ofrecer estos servicios de manera organización o a través de uno o varios interna o no. Por ello dicha estrategia servicios TIC nuevos proveedores externos. Se hace debe estar alineada con los objetivos necesaria entonces una evaluación de tecnológicos de la compañía y las la relación y los resultados que ayude a necesidades actuales y futuras de su la organización a establecer los puntos negocio. En este plan, la compañía para futuros partnerships. debe evaluar también la experiencia y necesidades de la compañía, un En conclusión, el proceso de capacidades disponibles en el proceso difícil que exige un definición de la política de mercado, las soluciones estándar acercamiento estructurado que ayude externalización y su implementación es comercializadas, y la dinámica y nivel a la organización en la comparación de sumamente complejo, ya que una de madurez del mercado. los productos y servicios ofertados por decisión errónea puede resultar crítica diferentes proveedores. Normalmente, para el futuro de cualquier organización. y con el fin de reducir la lista de Afortunadamente, para acudir en su De la definición de la provisión candidatos, se hace una preselección ayuda hay empresas independientes en a la evaluación final hasta llegar a la llamada “short list”. el mercado capaces de ayudarles, con Llegada la fase de preparación una larga experiencia a sus espaldas en Una vez elaborada la estrategia se de contratos, éstos ayudan a la este tipo de proyectos, cuya inicia el proyecto en sí, cuyo primer organización a gestionar la relación y intervención, sobre todo en las fases de punto a resolver es saber cómo la a evaluar los beneficios que la misma selección y contratación de proveedores compañía alcanzará sus objetivos le aporta. Lo ideal es que las y en la gestión del cambio, es garantía haciendo uso de uno o varios colaboraciones con proveedores de éxito. nº 11 junio 2007
  11. 11. 82 Perspectiva Empresarial Seguridad en la Externalización de Sistemas EL CIFRADO FÍSICO OFRECE EL SERVICIO DE ALMACENAMIENTO CIFRADO Y EL CIFRADO LÓGICO EL DE LA ADMINISTRACIÓN CONFIDENCIAL (e-business) o a sus proveedores, corriente eléctrica, seguridad física y necesita tener sus servidores demás servicios de monitorización, Santiago conectados a Internet, y funcionando por parte de un proveedor de Crespo en un régimen de 24x7. Tener un servicios, resulta ser casi siempre RESPONSABLE DE servidor en nuestra propia oficina económicamente viable para la PREVENTA Zitralia conectado a Internet con garantías mayoría de los negocios y rentable suficientes de continuidad y seguridad, para muchos más. Gracias a estos como son tener varios proveedores –o servicios logramos que nuestros servidores «vivan» en su «hábitat natural»: el CPD, que estén L a externalización de sistemas atendidos y en óptimas condiciones informáticos es una práctica de funcionamiento a un precio muy empresarial en auge, debido principalmente a los enormes ahorros La externalización también razonable. De la misma manera, el Hosting, de costes que logra, gracias a las economías de escala que los tiene su «otra cara de la que consiste en alquilar ciertos servicios para nuestra compañía, en proveedores de estos servicios pueden moneda»: conlleva servidores compartidos con otras trasladar a sus clientes. empresas es más económico aún. En Si bien hay muchos y sofisticados problemas de seguridad estos entornos la administración de servicios de outsourcing, el más sistemas corre por parte del habitual suele ser la contratación de proveedor de servicios, y tenemos Hosting y Housing y Acceso a Internet acceso a servicios de Internet pre- en el Centro de Proceso de Datos –CPD configurados y muy económicos. de ahora en adelante- y poco a poco, carriers- de Internet, aire En estas salas, tanto si hemos cada vez más, se está externalizando acondicionado, sistema anti-incendios contratado un servicio de Hosting la propia administración e incluso la de CO2, fuentes de alimentación como si hemos contratado uno de gestión de los sistemas informáticos. ininterrumpida incluso con sistemas Housing para albergar nuestros La contratación del uso de centros generadores eléctricos autónomos, propios servidores, las máquinas de proceso de datos ajenos a nuestra copias de seguridad atendidas, sala de cuentan con todas las medidas de organización empresarial, es una monitorización 24x7 (con sus operación serias, como son los citados práctica que rinde múltiples ventajas operadores correspondientes), es sistemas anti-incendios, anti- que finalmente redundan en la calidad realmente caro y resulta del todo terremotos, seguridad de acceso físico de los servicios ofrecidos por nuestra inviable para muchas empresas, si no (ya que hay que identificarse compañía (si somos nosotros el cliente se recurre a la externalización. previamente para pasar a los CPD), del outsourcer). Contratar un servicio de Housing: operadores 24x7 (que pueden Cualquier compañía que desee Es decir, el uso de un rack para resetear, apagar, encender, o realizar ofrecer servicios online a sus clientes meter en él nuestros servidores, la operativas cualquier día a cualquier nº 11 junio 2007
  12. 12. 84 Perspectiva Empresarial La «ingeniería social» es mucho más habitual de lo que pensamos. 2. En los casos en los que nuestro negocio quizás no sea susceptible de tan sofisticado espionaje industrial, se pueden dar otras problemáticas. El administrador del sistema, cuando estamos ante un Hosting o una externalización pura de la administración, como puede acceder a toda la máquina, sea capaz de «cotillear» -por no pensar cosas peores- información sensible de nuestro negocio, como acuerdos contractuales, contratos, nóminas, etc. 3. Aunque no externalicemos la administración del sistema, ¿si nuestro administrador de sistemas pasa un día por un directorio llamado «Nóminas» y no puede resistirse a hora), ventilación y temperatura averiguar lo que cobra todo el mundo adecuadas, monitorización, etc. en la empresa? ¿Y si luego divulga Sin embargo como casi todo en la vida, la externalización también tiene La mayor parte de los esos datos -aunque sea sin mala intención- y se acaba creando mal su «otra cara de la moneda»: conlleva ataques suelen proceder ambiente entre los empleados? ¿O, y problemas, sobre todo de seguridad. si nuestro administrador descontento Si tenemos externalizada no sólo la del interior: por ej.: un decide airear información confidencial ubicación en un CPD (Housing) de sólo para hacer daño a la compañía? nuestros sistemas sino la administrador de sistemas Afortunadamente estos problemas administración de las propias no suceden todos los días, pero por máquinas (esto es siempre así en el descontento desgracia, ocurren en más ocasiones caso del Hosting), estaremos -aunque de las deseadas: La mayor parte de los no siempre conscientemente- ante varios problemas de seguridad. Al final, son nuestros datos de negocio los que están en peligro de diferentes formas: 1. Aunque el proveedor de servicios de CPD nos garantice la seguridad física, al no estar bajo nuestro control directo, siempre nos quedará - conscientemente o no- la duda de si alguien no autorizado podría «despistar» -intencionadamente o no- por ejemplo, una cinta de backup con datos críticos de nuestro negocio. Situaciones en las que un supuesto técnico viene a reparar el servidor de otro cliente acabe haciendo una copia o saboteando nuestros datos son en ocasiones una desgraciada realidad. nº 11 junio 2007
  13. 13. 85 Perspectiva Empresarial El Cifrado Lógico se logra añadiendo una capa de autenticación adicional -de forma paralela- a la del sistema operativo, que separa y diferencia de manera efectiva la administración del sistema operativo, de la administración de seguridad de la máquina. De esta manera, aunque el Administrador de sistemas pueda acceder a todos los directorios de datos de los usuarios, será incapaz de leerlos, ya que para él, estarán cifrados. Sólo los usuarios con los derechos otorgados por el Administrador de seguridad podrá ser capaz de leerlos. Ni siquiera el Administrador de seguridad podría ser capaz de acceder a los datos en claro. Es decir, será capaz de realizar copias de seguridad, restaurar, etc., pero siempre accederá a los datos encriptados, de manera ilegible. Sólo serán legibles para los usuarios autorizados. Los proveedores de servicios pueden también ofrecer estas dos ataques no vienen del perímetro de la administración de la seguridad de capas de seguridad adicionales, como red, donde las medidas de seguridad forma que permita que seamos servicios de valor añadido a sus (firewalls, antivirus, proxys, etc.) están nosotros quienes decidamos quién clientes. Por una parte, usando la más que implantados y suelen cubrir accede a qué información, y no el tecnología de cifrado físico se puede casi todas las amenazas externas, sino administrador del sistema, que hemos ofrecer el servicio de Almacenamiento que suelen proceder del interior de los decidido externalizar. Esto lo logramos Cifrado, y con la de cifrado lógico su sistemas -un administrador de con un Cifrado Lógico de datos. servicio correspondiente: el de sistemas descontento-, bien sea El cifrado físico añade una capa de Administración Confidencial. empleado nuestro o bien del proveedor seguridad física adicional, Sin duda alguna, éste es el de servicios- puede hacer cosas muy garantizando la confidencialidad de los siguiente paso en la seguridad «curiosas»- datos albergados en los discos duros, informática: una vez protegido el cintas de backup, DVD, o cualquier perímetro de la red, ahora toca ¿Cómo podemos estar a salvo de dispositivo en los que deseemos proteger la información que hay en estos peligros sin renunciar a las guardar información crítica de nuestros servidores, que es lo que ventajas de externalizar nuestros negocio. Se necesita una autenticación realmente tiene valor en la Sociedad servidores y aplicaciones? La solución que puede realizarse con una del Conocimiento. necesita cubrir los dos frentes del contraseña, un token criptográfico o Si logramos este grado de mismo: bien por red, contra servidores confidencialidad en los datos, Pasa por un lado, por evitar que el seguros de nuestra propia podemos externalizar sin problemas, hardware que tenemos en el CPD, organización, previo al arranque de la dormir tranquilos sabiendo que el esté desprotegido: integrando un máquina. De otra manera, será empleado descontento -propio o del Cifrado Físico a los discos duros o imposible el arranque del sistema outsourcer- será incapaz de acceder, particiones, y de las cintas de backup. operativo, y por tanto, el uso no copiar o falsificar información crítica, y Por otro, necesitamos separar la autorizado de la máquina y la cumplir la LOPD sin mayores administración del sistema de la información que contiene. quebraderos de cabeza. nº 11 junio 2007

×