E l Outsourcing o

externalización es una

tendencia que cada día va

adquiriendo mayor auge en todas las

organizaciones, se ha convertido en

una necesidad para muchas

empresas que desean poder centrar

sus esfuerzos productivos en las

actividades propias de su negocio,

liberando de tareas auxiliares a su

personal, permitiéndole una mayor

especialización y competitividad.

Además de permitir a la empresas

centrarse en el núcleo de su negocio,

en muchos casos la externalización

permite un ahorro de costes, debido a

que los proveedores pueden ofrecer

servicios a un precio menor, que lo

que le supondría al propio cliente

mantener la estructura técnica y

humana necesaria para ofrecer un

servicio, esto es debido a la

economías de escala que pueden

utilizar los proveedores de servicios.

Otro de las ventajas de la

externalización de servicios de TI, es

poder tener a nuestro alcance de

equipamiento tecnológico de última

generación, que es renovado y

actualizado durante la duración del

contrato de externalización. Y por otra

parte nos permite disponer de una

serie de profesionales con una

experiencia concreta, a cuyos

servicios nos sería difícil de acceder si

tuviéramos que incorporarlos a la

plantilla.

Cuando una organización se

plantea la posibilidad de externalizar

parte de su actividad surgen una serie

de preguntas a la que deben darse

respuestas:

� ¿Cuál es el núcleo de nuestro

negocio?

� ¿Cuáles son nuestros procesos

clave?

� ¿Qué procesos productivos aportan

más valor al negocio?

72

nº 11 � junio 2007

Hoy Hablamos de...

La seguridad en elOutsourcing

Ricardo Cañizares Sales

DIRECTOR REVISTA

� ¿Qué diferencia a nuestra

organización de la competencia?

� ¿En qué somos verdaderamente

competitivos?

Las respuestas a las preguntas

anteriores y otros muchos más

aspectos, como la seguridad de la

información y el control sobre los

procesos generadores de valor, van a

permitirnos definir la capacidad,

viabilidad y oportunidad de tomar la

decisión de externalizar una serie de

procesos de nuestra organización.

La decisión final de externalizar o

no externalizar debe tener en

cuenta una serie de razones

objetivas, entre las que podemos

citar: El deseo de “centrarse” en el

negocio, aumentar la competencia,

reducir los costes y ganar

flexibilidad en nuestra estructura de

producción. Todo ello teniendo en

cuenta que se trata de una decisión

estratégica de la organización y que

nos va a exigir a rediseñar los

controles existentes.

La externalización de un servicio de

TI, implica asumir unos riesgos

adicionales, teniendo en cuenta que

dicha decisión aporta una serie de

ventajas y desventajas.

Como ventajas más significativas

citaremos: la experiencia y

dedicación de proveedor de servicios

y la existencia de unas

especificaciones de servicio (SLA),

mucho más detalladas que en el caso

de servicios proporcionados

internamente.

Como desventajas hablaremos de:

costes que exceden las expectativas,

pérdida de la experiencia interna,

pérdida del control y dificultad para

cambiar los acuerdos.

Entre los riesgos que implica la

externalización citaremos: los costes

ocultos, el incumplimiento de los

términos del contrato, el coste puede

dejar de ser competitivo a lo largo del

período del contrato, la obsolescencia

técnica de los sistemas del proveedor

se queden obsoletos y el más

importante el “Poder” queda en el

lado del proveedor.

Para intentar minimizar los riesgos

citados es necesario tener en cuenta a

la hora de la selección del proveedor

una serie de aspectos como: la

garantía de calidad del servicio, la

garantía de continuidad del servicio,

los procedimientos de control (SLA:

acuerdo de nivel de servicio), así

como las ventajas competitivas y

conocimientos técnicos que nos

proporciona el proveedor de servicios.

La única garantía que disponen las

organizaciones para asegurarse de que

la externalización de servicios cumple los

objetivos previstos, es la adecuada

elaboración de los contratos de

prestación de servicios o de los pliegos

de prescripciones técnicas en el caso de

las administraciones públicas. En ellos

debe quedar perfectamente establecido

cuales son las condiciones de prestación

del servicio, especialmente: los derechos

de auditoría, las garantías de

continuidad de las operaciones, la

gestión de la seguridad, los informes de

seguimientos, los aspectos relativos al

personal, sin olvidar las garantías

respecto a la integridad, confidencialidad

y disponibilidad de la información.

En este número de nuestra

Revista a+)), encontrarán una serie

de interesantes artículos en los que

se exponen diferentes puntos de

vista y tendencias de la

externalización de servicios, pero no

quiero finalizar sin recordarles la

importancia de los aspectos de

seguridad y control,

en la externalización de servicios,

por lo que es necesario que dichos

aspectos queden reflejados

exhaustivamente en los contratos,

sin olvidar que uno de los muchos

servicios susceptibles de

externalización en una organización,

es la seguridad de los sistemas de

información, lo que se conoce en

muchos casos como “Seguridad

Gestionada”, esta externalización

necesita unos controles mucho más

estrictos que cualquier otro tipo de

externalización.

73

nº 11 � junio 2007

Hoy Hablamos de...

La externalización es una

decisión estratégica de la

organización que nos va a

exigir rediseñar los

controles existentes

ISPS, PYMES yExternalización 34

Outsourcing - ¿Qué?¿Quién? ¿Cuándo?¿Cómo?

74

Servicios gestionados TIC:más cerca del negocio 78

Cómo afrontar un proyectode Outsourcing TI congarantías de éxito

80

Seguridad en laExternalización de Sistemas

Para «Hablar de»«La seguridad en los sistemas de información sanitaria», en este númerohemos seleccionado:

En el próximo, hablaremos de:

� El software abierto y la seguridad

82

nº 11 � junio 2007

C on un tejido empresarial

copado mayoritariamente por

PYMES y autónomos en nuestro

país, el outsourcing o externalización en

el marco de la seguridad TIC se ha

convertido en una herramienta básica y

primordial para el desarrollo de esta

clase de negocios. El valor añadido que

aporta la externalización de una materia

tan crítica y fundamental como la

seguridad de los sistemas informáticos,

resulta crucial en estos casos, ya que

este tipo de clientes no requieren de la

misma complejidad que las grandes

corporaciones, ni pueden permitirse un

desembolso desproporcionado para lo

que son sus necesidades, y de igual

forma, tampoco pueden descuidar su

correcto funcionamiento.

Dentro del sector de la gestión de

la seguridad (Manager Security

Service), existen muchas

organizaciones, entre ellas los

Proveedores de Servicios a Internet

(ISP), que ofrecen esta alternativa de

negocio como una estrategia para la

obtención de un modelo costo-valor

eficiente, permitiendo además reducir

la ocurrencia de brechas de seguridad

y optimizar las gestiones de la

monitorización sobre los activos TIC

de las empresas.

Por lo general, los ISP ven en los

servicios de seguridad una forma de

añadir valor y de fidelizar las

conexiones de ADSL de sus usuarios.

Garantizar una red transparente,

limpia y segura a los clientes

evidencia su responsabilidad social

corporativa, al tiempo que refuerza su

reputación y su imagen de marca.

Asimismo, brinda la oportunidad de

mejorar los resultados comerciales,

con un flujo de ingresos más

previsible para las compañías con

productos y servicios “commodities”.

Para las PYMES, las ventajas que

ofrece el modelo de Seguridad

Gestionada son claras, lo que lo

convierte en una apuesta de futuro.

Con este modelo, la compañía tiene la

oportunidad de dejar a cargo de

expertos todo lo referente a la

instalación, administración y gestión

de cualquier factor ligado a su

seguridad, y orientar sus esfuerzos

hacia el negocio principal, sin tener

que destinar recursos humanos ni

financieros a complicadas funciones

técnicas.

Las necesidades de seguridad en

Internet de las PYMES dependen del

modelo de negocio, del sector, del

volumen y del uso de las TI de cada

una. Por este motivo, los ISP cuentan

con una amplia cartera de servicios, lo

que permite a cualquier organización,

independientemente de su sector y

requerimientos, incorporarse de forma

activa a la Sociedad del Conocimiento.

Con todo, los principales servicios

externalizados en MSS son:

-Administración de la seguridad y

mantenimiento de equipos y

tecnología, como es el caso de la

administración y configuración de

firewall, de redes Virtual Private

Network (VPN), de servicios antivirus

y antispam y Sistemas de Detección

de Intrusos (IDS).

-Monitorización de seguridad, que

consiste en el análisis detectivo de los

eventos registrados (logs) por los

sistemas y de los estados de los

componentes, para identificar

situaciones irregulares y llevar a cabo

las actuaciones correctivas

predefinidas.

Las empresas proveedoras de

acceso a Internet (ISP) aseguran que

el outsourcing o la externalización de

los servicios de seguridad es la mejor

opción para proteger los sistemas

informáticos en las PYMES, ya que

implican un ahorro de dinero, de

tiempo y un mejor servicio. El propio

mercado avala este hecho. No en

vano, se calcula que los servicios MSS

son los de mayor crecimiento en el

segmento de las TIC, con un

crecimiento interanual del 35%.

OmarAguirre

DIRECTOR GENERAL

Optenet

ISP, PYMES y ExternalizaciónEL VALOR AÑADIDO QUE APORTA LA EXTERNALIZACIÓN DE LA SEGURIDAD DE LAS TIC

RESULTA CRUCIAL PARA LAS PYMES

Para las PYMES, las

ventajas que ofrece el

modelo de Seguridad

Gestionada son claras

34Tribuna de Opinión

L a palabra “outsourcing” o

externalización comenzó a ser

utilizada en España hace

aproximadamente 10 años. Las

principales empresas españolas

empezaron a analizar, con gran

interés y en profundidad, las

diversas formas de rentabilizar su

negocio y poder prestar un servicio

con mayor calidad y menor coste a

sus clientes.

Pero en un proceso de outsourcing

aparecen varias preguntas:

¿Qué debo externalizar?

¿Cómo voy a dejar una parte de mi

actividad en manos de un tercero?

¿Cómo garantizo la calidad del

proceso externalizado?

¿Por qué realmente externalizo una

actividad?

Vamos a intentar contestar a esas

preguntas y algunas más:

¿Qué debo externalizar?

Tom Peters afirma: “externalice

todo lo que no sea copyright de su

empresa”. Es decir, una empresa ha

de mantener el foco en su negocio.

Sin embargo, no es fácil detectar lo

que realmente no es su negocio. Por

ello siempre recomendamos un

análisis detallado de aquellos procesos

que cumplen dos requisitos claros,

que son los siguientes:

1) ¿El proceso en cuestión tiene

impacto directo en mi negocio y en

mis clientes?

2) ¿Existe alguna empresa en el

mercado especializada en desarrollar

esa actividad y que no sea

competencia directa a la mía?

Analizando las últimas tendencias

del mercado se verifica que los

procesos más externalizados son:

� La gestión con el cliente (ventas,

post-venta, fidelización y otros

procesos asociados con la relación

cliente)

� Todo lo relacionado con la gestión y

mantenimiento de la tecnología

� Sistemas de información, desarrollo

de los sistemas.

Una vez definido el/los proceso/s

que deben ser externalizados, es

preciso analizar en profundidad la

puesta en marcha de esa

externalización, mediante la búsqueda

del partner adecuado capaz de

garantizar que el proceso se desarrolla

con idénticos criterios de calidad y

eficiencia aplicados por la empresa

cliente en sus procesos internos.

Un proceso de externalización no se

resume como la búsqueda de una

empresa que proporcione mano de obra

en tanto la compañía cliente continúa

gestionando el servicio. El objetivo de la

externalización es contar con un partner

que asuma la gestión del servicio, que

desarrolle la actividad con unos objetivos

claros y cuantificables y, además, que su

buen hacer genere valor a la solución e

incremente los ratios de rentabilidad y

calidad del servicio global que la

empresa cliente ofrece.

La relación cliente – proveedor

debe ser una relación “ganar-ganar·.

Si su empresa gana el outsourcer

también gana pero ambas compañías

han de estar dispuestas a asumir las

dificultades en el servicio.

¿Cuáles son los principales motivos

para la realización de un proceso

externalización?

� Reducción y control de los costes

operacionales

� Mejora en el enfoque de la empresa

� Ganar acceso a las mejores

prácticas del sector

74

nº 11 � junio 2007

Perspectiva Empresarial

Externalización: ¿Qué?¿Quién? ¿Cuándo? ¿Cómo?PREGUNTAS PARA UN ANÁLISIS DE LOS PROCESOS PARA RENTABILIZAR SU NEGOCIO Y

PODER PRESTAR UN SERVICIO CON MAYOR CALIDAD Y MENOR COSTE A SUS CLIENTES

Una empresa ha de

mantener el foco en su

negocio

AlexandrePaixão Andrade

DIRECTOR GENERAL

IZO BPO

� Liberar recursos internos para otras

actividades

� Incrementar los beneficios por la

transformación de procesos

� Control de las funciones de difícil

gestión o fuera de control

� Reducción de los riesgos en la

inversión relacionada con las

actividades.

¿Cuáles son los modelos deexternalización de un proceso?

SLA: Service Level Agreement

Actualmente, los modelos de

outsourcing están muy desarrollados.

Hace ya algunos años que se vienen

asignando tareas a una tercera

empresa, casi como si fuera una

gestión de recursos humanos, con una

clara orientación hacia la reducción de

costes y esta una forma de

externalizar que se mantiene.

Sin embargo, a día de hoy, las

empresas están desarrollando

modelos BPO –Business Process

Outsourcing, modelos de relación de

cliente –, proveedores basados en la

búsqueda de la excelencia y con una

clara orientación a resultados del

negocio.

Una nueva versión del modelo BPO

es la realización de ese proceso de

negocio en países con costes más

económicos, o en localidades donde la

economía de escala facilita la

generación de sinergias y el ahorro de

costes.

Un ejemplo de modelo de

externalización lo constituyen las

empresas que contratan personal para

la recepción de asistentes en un

evento esporádico. Pero un modelo

BPO consiste en la externalización de

un proceso de facturación, desde la

tarificación del servicio, cálculo de la

factura, emisión de la factura, envío a

los clientes finales y comprobación de

los ingresos generados.

Un ejemplo de offshore es un

proceso de compras de una gran

multinacional, realizado en un país a

través de un partner para todas las

filiales de la empresa en cualquier

parte del mundo. No debemos olvidar

que el outsourcing en España ha

tenido gran relevancia en el sector de

la relación con los clientes, a través

de la creación de outsourcers

especializados en esta actividad para

las grandes empresas.

75

nº 11 � junio 2007

Perspectiva Empresarial

Tom Peters afirma:

“externalice todo lo que no

sea copyright de su

empresa”

El objetivo de la

externalización es contar

con un partner que asuma

la gestión del servicio

Off

Sho

re

Desde nuestra visión proponemos

el desarrollo de un proyecto completo

que analice el impacto de cada paso a

seguir en la implantación del

outsourcing. Con el fin de lograr los

mejores resultados, es preciso que el

proyecto contemple una serie de

fases concretas. Pero no hay que

olvidar que cada proceso y cada

empresa posee sus características

propias, que deben ser tomadas en

consideración durante el desarrollo

del outsourcing.

¿Cómo garantizar la calidad de un

proceso en el modelo BPO?

La respuesta es:

“De la misma manera que

garantizas la calidad del servicio que

se presta en tus oficinas por tu propio

personal”.

A día de hoy, garantizar la calidad

de los procesos externalizados es

completamente posible. Lo principal es

que la empresa tenga identificados los

indicadores claves que impactan en el

servicio y, por tanto, en la satisfacción

del cliente y en la calidad prestada.

El objetivo principal del control de

la calidad es incrementar la

satisfacción de los clientes. La

diferencia entre lo que una compañía

valora como calidad ofrecida y lo que,

realmente, percibe el cliente es un

factor claramente diferenciador en la

actualidad. Esto implica que las

empresas han de evaluar lo que los

clientes valoran, realmente, como un

servicio diferenciado y con calidad.

Conclusión

El análisis del proceso de

outsourcing como externalización de

un elemento clave para el negocio (no

como el encargo de una tarea

específica a un proveedor) revierte

positivamente en la calidad, en el

ahorro de costes y en el foco del

negocio de la empresa.

76

nº 11 � junio 2007

Perspectiva Empresarial

Negocio y gestión

El incremento de la inversión

económica en tecnología, por sí solo,

no garantiza ventajas en el negocio, si

no va acompañado de nuevos modelos

de gestión. “Procesos viejos a los que

se les agrega más tecnología generan

resultados viejos” (Norton).

En el caso de la contratación de

servicios gestionados TIC, el

entregable final incluye la propia

gestión, como parte del suministro del

servicio. Este aspecto modifica la

operativa diaria, el CIO y su equipo

pasan de adoptar un papel de gestión

a supervisión y el proveedor pasa de

mero suministrador de servicios a

integrador y gestor.

El cliente puede dejar de

interesarse por el número de

máquinas, recursos humanos,

herramientas, etc. y, desde una visión

más global de las necesidades,

focalizar la atención en los cambios

que su entorno TIC deberá ir

incorporando para facilitar la evolución

del negocio. Sus recursos podrán ser

reorientados a estas actividades,

liberando a su equipo de problemas

rutinarios.

Gestión a medida y objetivo común

El modelo de Servicios Gestionados

de BURKE garantiza la adaptación a

cada entorno, fijando de antemano el

grado de gestión que llevará asociado

cada servicio, teniendo muy en

cuenta, tanto los factores técnicos

como los organizativos y manteniendo

una capacidad de anticipación que

consideramos imprescindible.

Este modelo fija una banda de

gasto de antemano, haciendo el coste

previsible. Persigue la calidad

continua. Establece indicadores de

niveles de servicio más cercanos al

negocio y más independientes de la

tecnología y los medios necesarios

para conseguir los objetivos. Dispone

de soluciones flexibles, escalables,

remotas, autónomas, con plena

trazabilidad y delegables hasta el

punto que se determine. Universaliza

la disponibilidad y optimiza los

recursos (el servicio se presta en

tiempo real y únicamente cuando se

necesita).

Se trata de alcanzar una situación

de máximo rendimiento y satisfacción,

nada fácil de conseguir en la que el

cliente confía en el proveedor, está

satisfecho del servicio y conforme con

el coste y el suministrador está

dispuesto a ampliar/alterar los ANS

establecidos para situar en primer

plano los objetivos de la organización,

con los que se encuentra alineado,

conservando el margen de beneficio.

Plataformas, servicios ymodelos de gestión

Una gestión estructurada de

servicios TIC requiere gestionar costes

por servicio y entorno. Los servicios

78

nº 11 � junio 2007

Perspectiva Empresarial

Servicios Gestionados TIC:más cerca del negocio

El cliente puede dejar de

interesarse por el número

de máquinas, recursos

humanos, herramientas, etc.,

y focalizar la atención en

los cambios de su ámbito

de negocio

José ManuelAguirre

GERENTE DE SERVICIOSGESTIONADOS

BURKE

SE TRATA DE ALCANZAR UNA SITUACIÓN DE MÁXIMO RENDIMIENTO Y SATISFACCIÓN DEL

CLIENTE QUE CONFÍA EN EL PROVEEDOR, ESTÁ SATISFECHO DEL SERVICIO Y CONFORME

CON EL COSTE

gestionados se adaptan a estas

pautas y permiten afrontar

externalizaciones por áreas de

especialización, ofreciendo nuevas

oportunidades de integración del

conjunto de servicios.

En cualquier plataforma

multifabricante, nos encontramos

distintas capas que interactúan: 1) el

hardware, 2) los sistemas operativos

que soportan 3) las plataformas de

redes/telecomunicaciones, Internet y

gestión de datos/almacenamiento, 4)

las aplicaciones de software de

gestión 5) la consultoría y la

integración.

El alcance de los servicios

gestionados tiende a monitorizar,

operar, mantener, gestionar y analizar

servicios determinados de manera

proactiva, sobre este tipo de

plataformas, siendo extensible al

helpdesk, operación, monitorización,

formación y soporte, desarrollo y

mantenimiento de aplicaciones, CPD y

Sistemas, Redes y Telco.

Para dar respuesta a la complejidad

creciente que presentan estas

plataformas, los problemas críticos y

para gestionar los cambios IMAC en

los entornos distribuidos, resulta

imprescindible la aplicación de

metodologías y herramientas.

Existen distintos modelos “de

buenas prácticas” en la gestión TIC.

Uno de los más difundidos, desde el

punto de vista de servicios

gestionados -el ITIL-, se estructura

alrededor de dos grupos de procesos:

los focalizados en el día a día y

soporte de los servicios y los

centrados en la planificación y la

provisión de estos servicios.

Compromiso de laAdministracion y serviciosgestionados

Dentro del Plan de Calidad para la

Administración General del Estado, el

Real Decreto 1259/1999 establece y

regula las Cartas de Servicios. Esta

norma obliga a todas las

organizaciones de la Administración

del Estado a elaborar Cartas de

Servicios. En ellas deben declarar

públicamente los servicios que prestan

a los ciudadanos y los compromisos

que adoptan en cuanto a estándares

de calidad.

En un contexto G2C, entendido

como la realización y prestación de los

servicios y mantenimiento de

relaciones entre ciudadanos y

administración, mediante

instrumentos electrónicos, el modelo

de Servicios Gestionados facilita el

cumplimiento de los compromisos que

los distintos organismos adquieren

con el ciudadano.

Conclusiones

1. Contratar servicios gestionados

en lugar de provisión de máquinas,

cesión de recursos humanos, etc.,

resulta más operativo y cercano al

cliente, ayuda a alinear negocio y

tecnología, proporcionando “sentido

común” a los servicios TIC.

2. El modelo de servicios

gestionados libera al Departamento TIC

de tareas de poco valor para el negocio,

permitiendo al CIO dedicar más tiempo

a “escuchar” a su cliente interno, motor

del negocio de la compañía.

3. Cada organización es un mundo,

la gestión también se puede

suministrar “a medida”.

4. Los servicios gestionados resultan

estratégicos, como base de la cadena

de servicio público al ciudadano:

� Proveedor TIC (ANS) � Organismo

(Carta de Servicios) � Ciudadano

5. Aunque la externalización de

servicios viene creciendo

significativamente, la consecución de los

ANS comprometidos no resulta

suficiente para garantizar la satisfacción,

se requiere de una implicación real y

proactiva en los proyectos que impulse

la evolución del negocio del cliente.

"Servicio es poner primero al

cliente” (K. Albrecht)

79

nº 11 � junio 2007

Perspectiva Empresarial

TIC Tecnologías de la Información yla Comunicación

CIO Chief Information Officer

ANS Acuerdos de Niveles de Servicio

CPD Centro de Proceso de Datos

G2C Government to Consumer

IMAC Instalar, Mover, Añadir y Cambiar

ITIL Information TechnologyInfrastructure Library

L a subcontratación de servicios

TI a través de uno o varios

proveedores externos es una

práctica cada vez más habitual entre

las empresas españolas, ya sean

medianas o grandes corporaciones,

que se aseguran así un acceso rápido

a tecnologías y experiencia de última

generación, liberando recursos propios

para enfocarse enteramente en sus

actividades de mayor valor añadido.

Prueba de ello es un reciente informe

elaborado por la consultora IDC, según

el cual, el mercado de externalización

en España alcanzó en 2006 el 42% del

total de servicios tecnológicos, siendo

las entidades públicas y financieras los

sectores más destacados en su

demanda. IDC estima que este

mercado seguirá creciendo de forma

continua hasta alcanzar el 47% en

2010, fecha en la que casi la mitad de

los servicios prestados en nuestro país

serán de externalización.

Pese al éxito de esta fórmula, se

percibe una creciente insatisfacción por

parte de los clientes respecto a este tipo

de proyectos, debido a que en un

número importante de ellos no se llegan

a alcanzar los objetivos planteados,

mientras que otros directamente

fracasan. Una consulta realizada por

Orbys Consulting cifra en un tercio las

empresas que admitieron que la

externalización no cubrió sus

expectativas, de las que un 23%

optaron incluso por revertir el proceso.

A nuestro juicio el motivo de que las

expectativas en muchos de estos

proyectos de externalización no vayan

parejas a los resultados obtenidos se

encuentra en los fallos producidos en

sus distintas fases de planificación,

contratación, ejecución y seguimiento

posterior. Concretamente, según nuestra

experiencia y las encuestas realizadas

en un buen número de compañías

europeas, los principales fallos radican

en tres puntos, a saber:

1. La falta de alineación entre las

estrategias corporativas y el

departamento de sistemas de la

organización

2. Las dificultades surgidas en la

selección y gestión de sourcers o

proveedores tecnológicos, sobre todo en

los grandes proyectos de TI y

3. El establecimiento de relaciones

poco óptimas y, en algunos casos,

claramente inadecuadas con estos

proveedores de servicios externos.

Enfoque estructurado yestrategia de externalización

Una de las claves para que un

proyecto de externalización realmente

responda a los objetivos de negocio

que tenía la organización sería realizar

80

nº 11 � junio 2007

Perspectiva Empresarial

Cómo afrontar un proyectode externalización TI congarantías de éxitoUNA DE LAS CLAVES PARA QUE UN PROYECTO DE EXTERNALIZACIÓN REALMENTE

RESPONDA A LOS OBJETIVOS DE NEGOCIO QUE TENÍA LA ORGANIZACIÓN SERÍA REALIZAR

UN ENFOQUE ESTRUCTURADO

Pese al éxito de esta

fórmula, se percibe

insatisfacción en este tipo

de proyectos

Fernando CruzMartínez–Lacaci

DIRECTOR GENERAL

Synotion España

un enfoque estructurado, que cubra

todas las fases del mismo y de la

relación con el proveedor.

En este tipo de proyectos se

identifican dos áreas fundamentales:

por un lado, la contratación, en la que

se podrían identificar las fases de

definición de la estrategia, de la

selección del proveedor y de la

preparación de los contratos; y por

otro, la gestión contractual con el/los

proveedor/es externo/s, de manera que

la organización reciba la funcionalidad

requerida, en el lugar y en el momento

apropiados. La organización además

debe prestar especial atención a la

preparación de la fase de transición y a

la creación de un responsable o equipo

interno para la gestión de estos

outsourcers, con el fin de garantizar un

traspaso rápido de los servicios.

Para la elaboración de una buena

estrategia de externalización TI, la

organización debe tener claro que para

iniciar un proyecto de externalización

de servicios tecnológicos, éstos deben

aportar un valor claro a todas las

áreas. Además debe identificar cuáles

de estas capacidades TI están ligadas

a procesos de su core business, y si su

departamento de sistemas es capaz de

ofrecer estos servicios de manera

interna o no. Por ello dicha estrategia

debe estar alineada con los objetivos

tecnológicos de la compañía y las

necesidades actuales y futuras de su

negocio. En este plan, la compañía

debe evaluar también la experiencia y

capacidades disponibles en el

mercado, las soluciones estándar

comercializadas, y la dinámica y nivel

de madurez del mercado.

De la definición de la provisióna la evaluación final

Una vez elaborada la estrategia se

inicia el proyecto en sí, cuyo primer

punto a resolver es saber cómo la

compañía alcanzará sus objetivos

haciendo uso de uno o varios

proveedores de servicios. Es la fase

de definición de la provisión

propiamente dicha. Posteriormente se

da paso a la selección del

proveedor que mejor se ajuste a las

necesidades de la compañía, un

proceso difícil que exige un

acercamiento estructurado que ayude

a la organización en la comparación de

los productos y servicios ofertados por

diferentes proveedores. Normalmente,

y con el fin de reducir la lista de

candidatos, se hace una preselección

hasta llegar a la llamada “short list”.

Llegada la fase de preparación

de contratos, éstos ayudan a la

organización a gestionar la relación y

a evaluar los beneficios que la misma

le aporta. Lo ideal es que las

colaboraciones con proveedores

externos y los contratos que las

soportan estén provistos de cierta

flexibilidad, contemplando cláusulas y

procedimientos para la introducción de

cambios.

La fase de transición consiste en

la migración del modo actual de operar

de la compañía al modelo de operación

futuro, el cual no cubre únicamente los

sistemas de información, la

infraestructura, los servicios y la

organización, sino también los roles,

los comportamientos, las actividades y

las responsabilidades de la

organización y de sus proveedores de

servicios externos.

En cuanto a la fase de ejecución,

durante la misma resulta esencial no

sólo que se monitorice desde dentro la

prestación de los servicios concretos,

sino también que se implementen los

cambios necesarios para ajustar el

nivel de estos servicios a las

condiciones del mercado y del

negocio, comprobando que los Niveles

de Servicio contratados se cumplen.

Finalizada la colaboración, para la

organización se inicia una nueva fase

de transición, en la que debe trasladar

de nuevo los servicios externalizados

para ser prestados desde dentro de la

organización o a través de uno o varios

nuevos proveedores externos. Se hace

necesaria entonces una evaluación de

la relación y los resultados que ayude a

la organización a establecer los puntos

para futuros partnerships.

En conclusión, el proceso de

definición de la política de

externalización y su implementación es

sumamente complejo, ya que una

decisión errónea puede resultar crítica

para el futuro de cualquier organización.

Afortunadamente, para acudir en su

ayuda hay empresas independientes en

el mercado capaces de ayudarles, con

una larga experiencia a sus espaldas en

este tipo de proyectos, cuya

intervención, sobre todo en las fases de

selección y contratación de proveedores

y en la gestión del cambio, es garantía

de éxito.

81

nº 11 � junio 2007

Perspectiva Empresarial

La externalización en

España alcanzó en 2006 el

42% del mercado total de

servicios TIC

L a externalización de sistemas

informáticos es una práctica

empresarial en auge, debido

principalmente a los enormes ahorros

de costes que logra, gracias a las

economías de escala que los

proveedores de estos servicios pueden

trasladar a sus clientes.

Si bien hay muchos y sofisticados

servicios de outsourcing, el más

habitual suele ser la contratación de

Hosting y Housing y Acceso a Internet

en el Centro de Proceso de Datos –CPD

de ahora en adelante- y poco a poco,

cada vez más, se está externalizando

la propia administración e incluso la

gestión de los sistemas informáticos.

La contratación del uso de centros

de proceso de datos ajenos a nuestra

organización empresarial, es una

práctica que rinde múltiples ventajas

que finalmente redundan en la calidad

de los servicios ofrecidos por nuestra

compañía (si somos nosotros el cliente

del outsourcer).

Cualquier compañía que desee

ofrecer servicios online a sus clientes

(e-business) o a sus proveedores,

necesita tener sus servidores

conectados a Internet, y funcionando

en un régimen de 24x7. Tener un

servidor en nuestra propia oficina

conectado a Internet con garantías

suficientes de continuidad y seguridad,

como son tener varios proveedores –o

carriers- de Internet, aire

acondicionado, sistema anti-incendios

de CO2, fuentes de alimentación

ininterrumpida incluso con sistemas

generadores eléctricos autónomos,

copias de seguridad atendidas, sala de

monitorización 24x7 (con sus

operadores correspondientes), es

realmente caro y resulta del todo

inviable para muchas empresas, si no

se recurre a la externalización.

Contratar un servicio de Housing:

Es decir, el uso de un rack para

meter en él nuestros servidores, la

corriente eléctrica, seguridad física y

demás servicios de monitorización,

por parte de un proveedor de

servicios, resulta ser casi siempre

económicamente viable para la

mayoría de los negocios y rentable

para muchos más. Gracias a estos

servicios logramos que nuestros

servidores «vivan» en su «hábitat

natural»: el CPD, que estén

atendidos y en óptimas condiciones

de funcionamiento a un precio muy

razonable.

De la misma manera, el Hosting,

que consiste en alquilar ciertos

servicios para nuestra compañía, en

servidores compartidos con otras

empresas es más económico aún. En

estos entornos la administración de

sistemas corre por parte del

proveedor de servicios, y tenemos

acceso a servicios de Internet pre-

configurados y muy económicos.

En estas salas, tanto si hemos

contratado un servicio de Hosting

como si hemos contratado uno de

Housing para albergar nuestros

propios servidores, las máquinas

cuentan con todas las medidas de

operación serias, como son los citados

sistemas anti-incendios, anti-

terremotos, seguridad de acceso físico

(ya que hay que identificarse

previamente para pasar a los CPD),

operadores 24x7 (que pueden

resetear, apagar, encender, o realizar

operativas cualquier día a cualquier

82

nº 11 � junio 2007

Perspectiva Empresarial

Seguridad en laExternalización de SistemasEL CIFRADO FÍSICO OFRECE EL SERVICIO DE ALMACENAMIENTO CIFRADO Y EL CIFRADO

LÓGICO EL DE LA ADMINISTRACIÓN CONFIDENCIAL

La externalización también

tiene su «otra cara de la

moneda»: conlleva

problemas de seguridad

SantiagoCrespo

RESPONSABLE DEPREVENTA

Zitralia

hora), ventilación y temperatura

adecuadas, monitorización, etc.

Sin embargo como casi todo en la

vida, la externalización también tiene

su «otra cara de la moneda»: conlleva

problemas, sobre todo de seguridad.

Si tenemos externalizada no sólo la

ubicación en un CPD (Housing) de

nuestros sistemas sino la

administración de las propias

máquinas (esto es siempre así en el

caso del Hosting), estaremos -aunque

no siempre conscientemente- ante

varios problemas de seguridad.

Al final, son nuestros datos de

negocio los que están en peligro de

diferentes formas:

1. Aunque el proveedor de servicios

de CPD nos garantice la seguridad

física, al no estar bajo nuestro control

directo, siempre nos quedará -

conscientemente o no- la duda de si

alguien no autorizado podría

«despistar» -intencionadamente o no-

por ejemplo, una cinta de backup con

datos críticos de nuestro negocio.

Situaciones en las que un supuesto

técnico viene a reparar el servidor de

otro cliente acabe haciendo una copia

o saboteando nuestros datos son en

ocasiones una desgraciada realidad.

La «ingeniería social» es mucho más

habitual de lo que pensamos.

2. En los casos en los que nuestro

negocio quizás no sea susceptible de

tan sofisticado espionaje industrial, se

pueden dar otras problemáticas. El

administrador del sistema, cuando

estamos ante un Hosting o una

externalización pura de la

administración, como puede acceder a

toda la máquina, sea capaz de

«cotillear» -por no pensar cosas

peores- información sensible de

nuestro negocio, como acuerdos

contractuales, contratos, nóminas, etc.

3. Aunque no externalicemos la

administración del sistema, ¿si

nuestro administrador de sistemas

pasa un día por un directorio llamado

«Nóminas» y no puede resistirse a

averiguar lo que cobra todo el mundo

en la empresa? ¿Y si luego divulga

esos datos -aunque sea sin mala

intención- y se acaba creando mal

ambiente entre los empleados? ¿O, y

si nuestro administrador descontento

decide airear información confidencial

sólo para hacer daño a la compañía?

Afortunadamente estos problemas

no suceden todos los días, pero por

desgracia, ocurren en más ocasiones

de las deseadas: La mayor parte de los

84

nº 11 � junio 2007

Perspectiva Empresarial

La mayor parte de los

ataques suelen proceder

del interior: por ej.: un

administrador de sistemas

descontento

ataques no vienen del perímetro de la

red, donde las medidas de seguridad

(firewalls, antivirus, proxys, etc.) están

más que implantados y suelen cubrir

casi todas las amenazas externas, sino

que suelen proceder del interior de los

sistemas -un administrador de

sistemas descontento-, bien sea

empleado nuestro o bien del proveedor

de servicios- puede hacer cosas muy

«curiosas»-

¿Cómo podemos estar a salvo de

estos peligros sin renunciar a las

ventajas de externalizar nuestros

servidores y aplicaciones? La solución

necesita cubrir los dos frentes del

mismo:

� Pasa por un lado, por evitar que el

hardware que tenemos en el CPD,

esté desprotegido: integrando un

Cifrado Físico a los discos duros o

particiones, y de las cintas de backup.

� Por otro, necesitamos separar la

administración del sistema de la

administración de la seguridad de

forma que permita que seamos

nosotros quienes decidamos quién

accede a qué información, y no el

administrador del sistema, que hemos

decidido externalizar. Esto lo logramos

con un Cifrado Lógico de datos.

El cifrado físico añade una capa de

seguridad física adicional,

garantizando la confidencialidad de los

datos albergados en los discos duros,

cintas de backup, DVD, o cualquier

dispositivo en los que deseemos

guardar información crítica de

negocio. Se necesita una autenticación

que puede realizarse con una

contraseña, un token criptográfico o

bien por red, contra servidores

seguros de nuestra propia

organización, previo al arranque de la

máquina. De otra manera, será

imposible el arranque del sistema

operativo, y por tanto, el uso no

autorizado de la máquina y la

información que contiene.

El Cifrado Lógico se logra

añadiendo una capa de autenticación

adicional -de forma paralela- a la del

sistema operativo, que separa y

diferencia de manera efectiva la

administración del sistema operativo,

de la administración de seguridad de

la máquina.

De esta manera, aunque el

Administrador de sistemas pueda

acceder a todos los directorios de

datos de los usuarios, será incapaz de

leerlos, ya que para él, estarán

cifrados. Sólo los usuarios con los

derechos otorgados por el

Administrador de seguridad podrá ser

capaz de leerlos. Ni siquiera el

Administrador de seguridad podría ser

capaz de acceder a los datos en claro.

Es decir, será capaz de realizar copias

de seguridad, restaurar, etc., pero

siempre accederá a los datos

encriptados, de manera ilegible. Sólo

serán legibles para los usuarios

autorizados.

Los proveedores de servicios

pueden también ofrecer estas dos

capas de seguridad adicionales, como

servicios de valor añadido a sus

clientes. Por una parte, usando la

tecnología de cifrado físico se puede

ofrecer el servicio de Almacenamiento

Cifrado, y con la de cifrado lógico su

servicio correspondiente: el de

Administración Confidencial.

Sin duda alguna, éste es el

siguiente paso en la seguridad

informática: una vez protegido el

perímetro de la red, ahora toca

proteger la información que hay en

nuestros servidores, que es lo que

realmente tiene valor en la Sociedad

del Conocimiento.

Si logramos este grado de

confidencialidad en los datos,

podemos externalizar sin problemas,

dormir tranquilos sabiendo que el

empleado descontento -propio o del

outsourcer- será incapaz de acceder,

copiar o falsificar información crítica, y

cumplir la LOPD sin mayores

quebraderos de cabeza.

85

nº 11 � junio 2007

Perspectiva Empresarial