ciencias sociales t - i - ecorfan
TRANSCRIPT
María Palma
Directora
Ciencias Sociales T - I
Handbook
ECORFAN®
Ciencias de la Tecnología de Información
Proceedings T-I
Solares-Soto , Pedro Fernando Director
ECORFAN®
Volumen I
Para futuros volúmenes:
http://www.ecorfan.org/proceedings
ECORFAN®
ECORFAN Tópicos Selectos de Tecnologías de Información
El Proceeding ofrecerá los volúmenes de contribuciones seleccionadas de investigadores que
contribuyan a la actividad de difusión científica de ECORFAN en su área de investigación en
Ingeniería. Además de tener una evaluación total, en las manos de los editores de la Universidad
Iberoamericana que colaboraron con calidad y puntualidad en sus capítulos, cada contribución
individual fue arbitrada a estándares internacionales (LATINDEX-DIALNET-ResearchGate-
DULCINEA-HISPANA-Sudoc- SHERPA-UNIVERSIA-e-Revistas), la serie propone así a la
comunidad académica , los informes recientes sobre los nuevos progresos en las áreas más
interesantes y prometedoras de investigación en Tecnologías de Información.
María Ramos-Escamilla · Pedro Fernando Solares-Soto
Editores
Ciencias de la Tecnología de Información
Universidad Iberoamericana. Junio 30, 2015.
ECORFAN®
Editores
María Ramos-Escamilla
Academico Distingido FICSAC.
Pedro Fernando Solares-Soto
Universidad Iberoamericana
Coordinador de Maestría y TSU.
Departamento de Ingenierias- Administración de Servicios de TI
ISBN-978-607-8382-78-1
Sello Editorial ECORFAN: 607-8324
Número de Control PCTI: 2013-01
Clasificación PCTI (2015): 071514-0101
©ECORFAN-México.
Ninguna parte de este escrito amparado por la Ley de Derechos de Autor ,podrá ser reproducida, transmitida o utilizada
en cualquier forma o medio, ya sea gráfico, electrónico o mecánico, incluyendo, pero sin limitarse a lo siguiente: Citas
en artículos y comentarios bibliográficos ,de compilación de datos periodísticos radiofónicos o electrónicos. Para los
efectos de los artículos 13, 162,163 fracción I, 164 fracción I, 168, 169,209 fracción III y demás relativos de la Ley de
Derechos de Autor. Violaciones: Ser obligado al procesamiento bajo ley de copyright mexicana. El uso de nombres
descriptivos generales, de nombres registrados, de marcas registradas, en esta publicación no implican, uniformemente
en ausencia de una declaración específica, que tales nombres son exentos del protector relevante en leyes y regulaciones
de México y por lo tanto libre para el uso general de la comunidad científica internacional. PCTI es parte de los medios
de ECORFAN (www.ecorfan.org)
Prefacio
Una de las líneas estratégicas de la mision y vision universitaria ha sido la de impulsar una política
de ciencia, tecnología e innovación que contribuya al crecimiento económico, a la competitividad,
al desarrollo sustentable y al bienestar de la población, así como impulsar una mayor divulgación en
beneficion del indice de desarrollo humano , a través de distintos medios y espacios, así como la
consolidación de redes de innovación de la investigación, ciencia y tecnología en México.
La IBERO visualiza la necesidad de promover el proceso de la investigación,
proporcionando un espacio de discusión y análisis de los trabajos realizados fomentando el
conocimiento entre ellos y la formación y consolidación de redes que permitan una labor
investigativa más eficaz y un incremento sustancial en la difusión de los nuevos conocimientos.
Este volumen I contiene 10 capítulos arbitrados que se ocupan de estos asuntos en Tópicos Selectos
de Ciencias de la Tecnología de Información, elegidos de entre las contribuciones, reunimos
algunos investigadores y estudiantes.
Rojas expone un protocolo del diseño del sistema para asegurar un cierto grado absoluto de
continuidad operacional durante un período de medición dado; Zamora & Solares analizan el
funcionamiento de los distintos sectores de salud en México para así poder comprender el desarrollo
y empleo de las tecnologías de la información; Galicia expone todos los factores que inciden para
beneficiar o perjudicar según sea el caso la innovación tecnológica la cual depende totalmente de la
tecnología empleada; Salazar presenta un estudio de la industria automotriz de México en Saltillo
Coahuila, donde la base de la investigación es la competitividad vista desde la cadena de
abastecimiento; Castañeda da a conocer todas las tareas que permiten dar origen a diversas leyes
que castigan al cibercrimen así como medidas para evitarlo.
Mejía comprueba como las grandes empresas han optado por hacer uso de la tecnología de
almacenamiento en la nube se basan en un enfoque de modelo de servicio a la carta, acceso de
autoservicio a servidores, aplicaciones; López apuesta por la Auto-evaluación del riesgo control
para el uso en empresas así como sus beneficios; Yáñez & Valdés demuestran que el modelo EPCU
utilizándolo como una herramienta basada en la opinión de los expertos para obtener un resultado
consistente siendo una capacidad positiva para sincronizar las opiniones para ser eficientes en la
fase de análisis; Pachuca & Cárdenas exponen el modelo de gestión de ITIL con énfasis en el área
de proveedores de las TI para así asegurar un óptimo servicio y una satisfacción por parte del
cliente; Nuñez analiza la relación que existe entre el gobierno y las Tics asegurando que las
tecnologías de la Información van mejorando día con día y esto beneficia a las PYME´s.
Quisiéramos agradecer a los revisores anónimos por sus informes y muchos otros que
contribuyeron enormemente para la publicación en éstos procedimientos repasando los manuscritos
que fueron sometidos. Finalmente, deseamos expresar nuestra gratitud a la Universidad
Iberoamericana en el proceso de preparar esta edición del volumen.
Pedro Solares-Soto
María Ramos-Escamilla
Mexico,D.F. Junio 30, 2015.
Contenido
Pag
Solución de alta disponibilidad
1-4
Tecnologías de Información en el sector salud (TISS)
5-12
Innovación Tecnológica
13-24
Clúster Automotriz en Coahuila
25-34
Complejidades y facetas del Cibercrimen
35-38
Súbase a la nube sin miedo- Compute-as-a-service
39-44
Control Self Assessment (CSA) como herramienta de gestión de riesgo tecnológico
45-52
Generación de un índice integrado de satisfacción del servicio (IISS) para un área de
servicio de soporte técnico en una empresa trasnacional utilizando lógica difusa
53-67
ITIL Gestión del portafolio de servicios
68-76
Gobierno de tecnologías de información, un enfoque para las PYMES
77-84
Apéndice A . Consejo Editor IBERO
85
Apéndice B. Consejo Editor ECORFAN
86-87
Apéndice C. Consejo Arbitral ECORFAN
88-90
1
Solución de alta disponibilidad
Ángel Rojas
Á. Rojas
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
2
Abstract
High Availability (High availability) is a system design protocol and associated implementation that
ensures a certain absolute degree of operational continuity during a given measurement.
Availability refers to the ability of the community of users to access the system, submit new work,
update or alter existing work, or collect the results of previous work. If a user can not access the
system is said to be unavailable. The term downtime (downtime) is used to define when the system
is not available.
1 Alta disponibilidad
La alta disponibilidad es esencial para cualquier organización interesada en la protección de su
negocio contra el riesgo de una interrupción del sistema, pérdida de datos transaccionales o datos
incompletos. Cualquiera sea la razón, cuando un servidor se cae, las aplicaciones y los procesos de
negocio que dependen de esas aplicaciones se detienen. Para un negocio interesado en estar
disponible en todo momento, HA clustering es una solución práctica.
Dos o más servidores se unen o agrupan para respaldar el uno al otro. Si el servidor
primario se cae, el sistema de agrupamiento se reinicia la aplicación en uno de los otros servidores
del clúster, permitiendo que el negocio siga funcionando normalmente.
Los servidores están conectados mediante una red o de la interfaz de serie para que puedan
comunicarse entre sí. Eventos de tiempo improductivo programadas pueden incluir parches para el
software del sistema que requieren un reinicio o cambios de configuración del sistema que sólo
tienen efecto en un reinicio. Eventos de tiempo de inactividad no programados la típica surgen de
algún evento físico, como un fallo de hardware o software o anomalía ambiental. Clúster de alta
disponibilidad (HA clúster) implementaciones que intentan utilizar la redundancia de componentes
del clúster para eliminar puntos únicos de fallo.
Implementaciones de clúster HA intentan construir redundancia en un clúster para eliminar
los puntos únicos de fallo, incluyendo múltiples conexiones de red y de almacenamiento de datos
que está conectado de forma redundante a través de redes de área de almacenamiento.
El balanceo de carga es un método de redes de computadoras para la distribución de las
cargas de trabajo a través de múltiples recursos informáticos, como ordenadores, un clúster de
ordenadores, enlaces de red, unidades centrales de procesamiento o unidades de disco.
Esta se implementa un alto cúmulos de disponibilidad e incorporados con la infraestructura
de equilibrio de carga de servidores. Esta tecnología no sólo mejora la disponibilidad, sino que
también afecta solicita la seguridad y performance de los servicios de aplicación. (Katterman, 2013)
La mayor parte de los trucos y técnicas actuales para extender la disponibilidad del servicio
se originó en la industria de las telecomunicaciones. Con los años, los fabricantes de equipos de
telecomunicaciones idearon múltiples esquemas para proporcionar un servicio ininterrumpido a
pesar de los fallos de hardware y software. Desafortunadamente, la mayoría de estos esquemas son
caros de mantener, y difícil de actualizar como requisitos evolucionados. También requieren largos
ciclos de desarrollo. (Webb, 2008) La ventaja de este enfoque es que los subsistemas hot-
swappable, al igual que los servidores blade o unidades de disco hot-swappable. Un sistema no
puede ser fácilmente reemplazado mientras el otro continúa funcionando y el reemplazo de ahora se
convierte en el esclavo o hot-libre. Por lo general, se requiere cierto tiempo para conseguir el nuevo
sistema en una condición de ser el esclavo desde mínimamente tiene que arrancar.
3
Otra ventaja de este enfoque es que mientras que los subsistemas deben ejecutar las mismas
aplicaciones y tienen el mismo I / O, internamente puede haber diferencias de hardware. Dicho esto,
la mayoría de los sistemas tienden a ser muy similares o idénticos. Por el contrario, las soluciones
basadas en software proporcionan una mayor flexibilidad en la aplicación de los diferentes sistemas
de sincronización y de comprobación de errores. (Saggurti, 2015)
Los fallos de nodo de un clúster de alta disponibilidad no son visibles desde clientes fuera
del clúster. Combina con equilibrio de carga y la tecnología de almacenamiento compartido
(Moniruzzaman & Hossain, 2014)
Cada vez más los datos no estructurados se producen y consumen en la red. Cómo mantener
estos datos y mejorar la disponibilidad y la escalabilidad de los sistemas de almacenamiento se ha
convertido en un reto considerable. (Jiang, Zhang, Liao, Jin, & Peng, 2014)
En el mundo empresarial competitivo de hoy, las empresas están abiertas 24 horas al día,
siete días a la semana y cada vez se basan en la tecnología para hacer negocios y para ayudar a
sostener las ganancias. Como dependencia de negocio en la tecnología aumenta, también lo hace el
costo de tiempo de inactividad. Con la tecnología relacionada con tanta fuerza a procesos de
negocio y los costos de los cortes de la escalada, las empresas hoy están exigiendo el tiempo de
inactividad más corto y la recuperación rápida para aplicaciones críticas. La información es la
empresa más fuerte de una empresa activo, y el éxito empresarial está ligado directamente a la
continuidad y el acceso confiable a la información.
E-business y ERP sistemas son ejemplos sencillos en los que cualquier interrupción
significativa afectará directamente a las operaciones de una empresa y los ingresos y, peor,
posiblemente provocar su propia desaparición.
1.2 Conclusiones
La implementación de una solución de alta disponibilidad (HA) puede proteger su negocio de
costosos tiempos de inactividad. (Dolewski, 2010)
La Virtualización está en auge. Pero a medida que un número creciente de empresas
incorporan la tecnología, es importante recordar que la consolidación de servidores en menos
máquinas físicas viene con ciertos riesgos. Sí, las empresas de cualquier tamaño puede darse cuenta
de los beneficios de los recursos fabulosos, pero el costo de falla en el servidor puede ser alto.
Dado que el servidor puede llegar a ser bastante valioso, ya que tiene más y más máquinas
virtuales (VM): si se cae o experimenta problemas, operaciones de negocios pueden ser
severamente afectados. Por esta razón, necesita una solución de recuperación de alta disponibilidad
/ desastre potente. Microsoft y VMware ofrecen esta funcionalidad dentro de sus productos de la
industria estándar, y esas características proporcionan bueno, básico protección. Sin embargo, para
la facilidad de uso o funcionalidad más granular, debe tener en cuenta los productos de terceros
tales como los contemplados en guía del comprador. (Bovberg, 2010)
1.2 Referencias
Bovberg, J. (2010). High Availability/Disaster Recovery for Virtual Environments. Windows IT
Pro, 16(6), 71.
Dolewski, R. (2010). HIGH AVAILABILITY: A Revenue Engine for Your Business. SQL Server
Magazine, 12(11), 20.
4
Jiang, W., Zhang, L., Liao, X., Jin, H., & Peng, Y. (2014). A novel clustered MongoDB-based
storage system for unstructured data with high availability. Computing, 96(6), 455. doi:
10.1007/s00607-013-0355-8
Katterman, W. (2013). Implementing high availability network communications for the smart grid
and industrial applications. EDN Europe, 11, 17.
Moniruzzaman, A. B. M., & Hossain, S. A. (2014). A Low Cost Two-Tier Architecture Model for
High Availability Clusters Application Load Balancing. International Journal of Grid & Distributed
Computing, 7(1), 89. doi: 10.14257/ijgdc.2014.7.1.09
Saggurti, P. (2015). High Availability is Not Just for the Data Center. Electronic Design, 63(3), 38.
Webb, W. (2008). High availability in embedded systems. Electronics Weekly(2340), 26.
5
Tecnologías de Información en el sector salud (TISS)
Carlos Zamora & Pedro Solares
C. Zamora & P. Solares
Universidad Iberoamericana. Campus Ciudad de México, Prolongación Paseo de la Reforma 880, Lomas de Santa Fe,
México, D.F., 01219. México. Teléfono: 5559504000 ext. 4720
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
6
Abstract
Health services are worldwide a transcendental activity with significant impact on critical variables
for the rest of the productive apparatus and consumption of a nation. The indicators in this category
are always significant to locate the level of development and social consciousness of a country.
Analysis of Information Technology in Health (TISS) Sector its goal is to know the status of
Information Technology (IT) and identify specific issues to be resolved in the IT institutions
analyzed to assist in the fulfillment of its objectives not only in IT, but in the corporate strategy. The
diagóstico focused on three major public health institutions in Mexico: Mexican Social Security
Institute (IMSS), the Institute of Security and Social Services for State Workers (ISSSTE) and the
Popular Health Insurance (SPS, CNPSS ) using the maturity level of the Control Objectives for
Information Technology (COBIT).
Introducción
La salud en México desde siempre se ha ubicado de lleno en los ámbitos de la economía, así como
la administración y la política, representando para las administraciones federales que conjuntamente
con la educación son los dos sectores más críticos de la economía, y conforma un punto central para
la movilización de intereses y un aspecto fundamental para estructurar la oferta del gobierno
federal. El sector público de salud en México está representado principalmente por instituciones de
seguridad social como el Instituto Mexicano del Seguro Social, el Instituto de Seguridad y Servicios
Sociales de los Trabajadores del Estado, Petróleos Mexicanos (PEMEX), y otros, que proporcionan
servicios a los trabajadores del sector formal de la economía, y a las instituciones que protegen o
prestan servicios a la población sin seguridad social, dentro de las que se incluyen el Seguro
Popular de Salud,la Secretaría de Salud (SS), los Servicios Estatales de Salud (SESA). La oferta de
servicios de salud se complementa con el sector privado que presta servicios a la población con
capacidad de recursos económicos para su pago [1]. Con base en los estudios del Banco Mundial y
otras investigaciones [2] el desarrollo y acceso a las Tecnologías de la Información para mejorar los
resultados de la salud es el factor de mayor incidencia sobre la reducción de la mortalidad que se ha
experimentado durante el último siglo.
2 Fatores de Anáisis
El estudio de análisis de las Tecnologías de Información en el Sector Salud (TISS) su objetivo es
conocer la situación actual de la TI e identificar aspectos puntuales a resolver en las Tecnologías de
Información de las instituciones analizadas para apoyar en el cumplimiento de sus objetivos no
solo en materia de TI, sino en la estrategia institucional. El estudio se enfocó en las tres
instituciones más importantes de salud pública en México y en aquellas brechas necesarias a cubrir
de acuerdo a las mejores prácticas establecidas, para que éstas se conformen como un factor sólido
y clave para asegurar la entrega de los servicios a los usuarios, lo que sin duda repercutirá en
beneficio de las propias instituciones y del país.
El estudio analizó en primera instancia la situación del IMSS, ISSSTE y CNPSS en términos
del entorno en el que se desenvuelven, los factores regulatorios, sociales, económicos y humanos
más importantes a considerar en cada momento para la ejecución de cada uno de los ejercicios o
prácticas a lo largo del tiempo. También la estrategia planteada dentro del plan estratégico que
generan las instituciones como directrices, y además la estrategia específica en materia de TI
conocida como Plan Estratégico de Tecnologías de Información y Comunicaciones (PETIC), así
como verificación de la alineación eficaz entre los objetivos de TI y los objetivos de las
Instituciones. Asì como los eslabones que conforman la cadena de valor o los procesos más
importantes para cada Institución identificando los procesos primarios y los procesos secundarios
para garantizar el éxito y cumplimiento de los objetivos.
7
Lo anterior se conformó como base para evaluar los procesos de TI que soportan a los
procesos institucionales, identificando principalmente la situación actual de capacidades, así como
las brechas con respecto a mejores prácticas utilizando las propuestas por COBIT [3] y los riesgos
existentes al mantener esas brechas, así como la de los procesos de TI con ITIL (Information
Technology Infrastructure Library) [4].
2.1 Resultados
El estudio parte de diagnósticos realizados por los expertos del sector salud, así como de los
acuerdos del Pacto por México [5], Plan Nacional de Desarrollo 2013-2018 [6], la Estrategia Digital
Nacional [7], que determinan una valoración sobre el estado de la administración de las
Tecnologías de Información (TI) en tres de las instituciones de salud más importantes de México:
IMSS, ISSSTE y CNPSS.
El estudio plantea que a través del empleo de las TI se soportan las actividades clave de las
instituciones de salud, esto es, muestra qué estrategias son factibles de desarrollar a través de
utilizar herramientas diversas para elevar sus capacidades a un nivel 4 de la escala del marco
metodológico de COBIT, permitiéndoles así lograr el cumplimiento del mandato constitucional,
estipulado en el Artículo 4to, Constitucional de ―garantizar con eficiencia y eficacia el acceso a los
servicios de salud para toda la población‖. Son varios los resultados obtenidos. Por ejemplo, que no
hay evidencias suficientes de coordinación entre las instituciones estudiadas, en cuanto a los
contenidos o estrategias de salud, que las obligan a conjuntar acciones y esfuerzos para lograr el
esquema de interoperabilidad necesario para garantizar el acceso universal a los servicios de salud,
la portabilidad de este servicio, y aumentar -e igualar- su calidad, propuesto en el Pacto por México
y la Estrategia Digital Nacional y el Plan Nacional de Desarrollo 2013-2018. Otro hallazgo
importante es que no se identificó un plan formal para mejorar las competencias y conocimientos
del personal operativo y administrativo de las áreas de TI en las instituciones evaluadas. La Tabla 1
presenta los resúmenes de los procesos analizados como parte de este estudio en cada institución y
la evaluación global de cada uno de ellos, de acuerdo a la escala de niveles de madurez de 1 a 5 de
COBIT.
Tabla 2 Resumen de procesos analizados por institución y su resultado
Fuente: Elaboración propia.
8
En general los procesos se encuentran en un nivel por debajo de 4, que es el establecido
como mínimo para poder cumplir con el mandato constitucional de garantizar el acceso a los
servicios de salud con calidad y eficiencia. También existe una problemática común en las tres
instituciones en tópicos torales de TI, tales como gestión de Gobierno de TI con referencia al marco
del Information Technologies Governance Institute (ITGI) [8], gestión de estrategia, gestión de
innovación, gestión de portafolio de proyectos con base en Project Management Institute (PMI) [9],
arquitectura empresarial de acuerdo al The Open Group Architecture Framework (TOGAF) [10],
entrega de beneficios, administración de conocimiento y configuración de activos de TI. Una
solución integral para el sector salud en materia de TI tiene que considerar estos rezagos en cada
institución para construir desde los cimientos un adecuado marco integral de interoperabilidad y una
plataforma de TI idónea que soporte los esfuerzos encaminados a lograr la Cobertura Universal en
Salud [11] para el país y los objetivos asociados que se manifiestan en las políticas públicas del
Gobierno Federal.
Los resultados por cada uno de los factores analizados son:
Normatividad y logro de objetivos. De acuerdo a los resultados derivados del estudio, se
encuentra que las instituciones que forman parte del alcance no han logrado cumplir con lo
establecido en el Artículo 4º constitucional, que estipula garantizar el acceso a servicios de salud
oportunos y con calidad. Hay que resaltar la importancia significativa que organismos como el
Banco Mundial y la OCDE (Organización para la Cooperación y Desarrollo Económicos) prestan a
las Tecnologías de Información como un factor crítico de éxito para brindar una mayor y mejor
cobertura de servicios de salud. Las instituciones estudiadas han incluido en su agenda estratégica
las TI para lograr los objetivos y metas que tienen establecidas. Sin embargo, existen capacidades,
brechas y riesgos en la gestión de las TI, procesos, personas y capacitación que es necesario cubrir
para alcanzarlos.
Existe rezago en el cumplimiento de objetivos de tecnología en apoyo a objetivos
institucionales y en consecuencia, a lo establecido en otros planes y programas. Una vez que estos
postulados sean incluidos como premisas en lo general y lo particular, es factible hacer planes a
corto y largo plazo concretos y definidos, pero sobre todo dirigidos a la contribución conjunta hacia
la Cobertura Universal de Salud en el país [12].
Procesos Institucionales.
En ocasiones los procesos están establecidos en la documentación institucional, hay que
resaltar que en la práctica se encuentran deficiencias operativas causadas por desconexiones en las
definiciones, o por desconocimiento de los mismos. Esto lleva a considerar esfuerzos importantes
en revisiones y actualización de los procesos existentes, capacitación del personal encargado de las
actividades y apoyo mediante herramientas de TI para optimizar el desempeño.
En los planes en materia de innovación y desarrollo de TI es factible de considerar la
fiscalización de los procesos, la eficiencia operativa, y la administración del cambio de forma
sustantiva. No obstante que se consideró prioritaria la línea de servicios los avances obtenidos son
insuficientes, ya que las instituciones quedan expuestas a visiones y objetivos de corto plazo.
Riesgos de TI.
Los procesos relacionados con la operación, administración, supervisión y evaluación de la
seguridad de la información se encuentran con brechas y riesgos importantes en sus capacidades, las
tareas de supervisión y evaluación están en la mayoría de los casos limitadas a determinados
servicios y procesos.
9
Lo anterior da como resultado un conjunto de vulnerabilidades en la operación, continuidad,
confidencialidad, integridad y disponibilidad de los servicios y activos de TI. Fue de suma
importancia durante el análisis identificar los riesgos y vulnerabilidades de TI que son factibles de
impactar de manera negativa a las instituciones, incluyendo la evaluación de aspectos tales como la
administración, operación y seguridad de los servicios de TI, detectando la necesidad de la creación
de programas de monitoreo y supervisión que ayuden a mitigar riegos que impacten el logro de los
beneficios propuestos por cada institución de salud.
2.2 Recomendaciones
Una vez concluidas cada una de las etapas del análisis del estudio, las cuales partieron del
entendimiento de las necesidades del derechohabiente y de las mismas Instituciones (su razón de
ser, su estrategia y los servicios que prestan) [13], se analizó la composición y el estado que
guardan las TI en las tres importantes instituciones. A la luz de los resultados del presente
diagnóstico, a continuación se señala un conjunto de recomendaciones y opiniones sobre la
situación actual de las TI en el sector salud en México.
Asegurar el cumplimiento regulatorio.
Se recomienda utilizar servicios externos a las instituciones que ayuden a fortalecer
mediante proyectos específicos la política y metodología de Gobierno de TI que les permitirá sentar
las bases adecuadas para tener mecanismos de control interno en los lineamientos referidos en la
normatividad aplicable.
Alineación estratégica conjunta.
Las instituciones y sus áreas informáticas tienen que ser muy cuidadosas y efectivas en la
manera de seleccionar e incorporar tecnologías como parte de sus planes de modernización e
innovación tecnológica. Así mismo, se sugiere incorporar aquellas tecnologías que dejen de
manifiesto su total integración con los servicios que prestan las instituciones involucradas, en favor
de los beneficiarios, de su cobertura y en estricto apego a lograr el cumplimiento de los mandatos
constitucionales, promoviendo la adopción de tecnologías sustentadas en estándares informáticos
que reflejen relaciones óptimas tanto de costo-beneficio como de costo-efectividad. Resulta vital
que las instituciones de salud analizadas entren en una dinámica renovada que considere las TI
como una inversión con impactos a corto, mediano y largo plazo y no como un gasto corriente.
Interoperabilidad y portabilidad de servicios.
Se recomienda trabajar en la definición, integración e implementación de redes de
convergencia y plataformas de interoperabilidad que apoyen la obligación del sector por lograr la
Cobertura Universal en Salud y alcanzar la portabilidad en los servicios, cumpliendo con las
demandas y derechos de los usuarios respectivos. Para garantizar la interoperabilidad y portabilidad
de servicios de salud, se recomienda utilizar criterios de arquitectura empresarial y estándares
informáticos que permitan homologar el conjunto de tecnologías existentes en cada institución. Del
mismo modo, aquellas tecnologías a incorporar tienen que orientarse a conformar el mejor universo
de elementos, aquellos que soporten la total accesibilidad a la información común y un bajo costo
de administración y pertenencia (TCO).
Recursos humanos y tecnológicos.
10
Las instituciones tienen que perfeccionar o adoptar nuevas formas de operar y asignar sus
recursos tecnológicos, requiriéndose también de la participación del personal tanto directivo como
operativo, así como otros interesados. Resulta fundamental incorporar prácticas y procesos de
gestión del cambio a lo largo y ancho de las instituciones analizadas, bajo la vigilancia de los
órganos internos de control, autoridades normativas, institucionales o federales.
Es prioritario asignar el presupuesto en aquellos recursos tecnológicos en los que se obtenga
más valor para los derechohabientes. En este sentido, es importante señalar que una deficiente
asignación se verá reflejada en una defectuosa selección y adquisición de plataformas tecnológicas,
no estandarizadas y no alineadas a proyectos que entreguen mayor valor tanto a las instituciones
como a los derechohabientes, teniendo altos costos de operación y administración e impactando
finalmente en el cumplimiento de los objetivos, metas y beneficios institucionales.
Seguridad, niveles de servicio y capacidades de TI.
El conjunto de elementos de TI tiene que estar gobernado por procesos sustentados en
mejores prácticas que aseguren la correcta administración, control y seguridad de los componentes
y de la información. La carencia o mal manejo de medidas de protección por falta de gestión de
recursos económicos y humanos genera deficiencias que no agregan valor en el cumplimiento de los
objetivos de las instituciones, por lo cual es primordial identificar estas situaciones para evitar la
falta de continuidad y disponibilidad en la operación, así como el deterioro de los servicios que se
prestan a los ciudadanos.
Una gestión deficiente de la seguridad por falta de gobierno en las TI es factible de
provocar filtración de información sensible de las instituciones y de datos personales de los
beneficiarios registrados en los sistemas institucionales, provocando consecuencias de
incumplimiento en la legislación vigente en materia de protección de datos personales.
2.3 Conclusiones
Sin lugar a dudas, en nuestro tiempo las Tecnologías de Información se encuentran transformando
los productos, servicios y vida de las personas. El contar con información oportuna, confiable y
disponible es factible de significar la diferencia en la adecuada toma estratégica de decisiones en un
gran corporativo o en una dependencia gubernamental. Todo señala a la información como un
activo sumamente importante de las organizaciones. El contar con el acceso oportuno en el
momento indicado y con la confiabilidad, calidad y seguridad adecuada hace la diferencia en la
entrega de productos y servicios tanto en el sector público como en el sector privado.
Con respecto a la transparencia, el manejo de datos e información en la mayoría de los
procesos analizados, presentan brechas y riesgos en sus capacidades y esto necesariamente se ve
reflejado de forma negativa en la integración de las TI a la operación de los procesos sustantivos de
las instituciones que conformaron el alcance del análisis. Es importante enfatizar que los flujos de
información hacia el interior y hacia los proveedores y derechohabientes tienen que generar niveles
aceptables de suficiencia, integridad, disponibilidad y confidencialidad que favorezcan la
transparencia y el buen gobierno. Es factible destacar que las instituciones tienen que trabajar en la
comunicación, concientización e importancia sobre los proyectos de inversión pública en TI para
beneficio del sector y derechohabientes, llevando a cabo una administración del logro de los
beneficios de dichas inversiones (contribución a nuevos servicios, mayor eficiencia y un mejor
grado de reacción a los requerimientos).
11
De lo contrario no se podrá garantizar la optimización de los costos en la prestación de los
servicios y capacidades de TI, impactando en una deficiente asignación de recursos y proyectos de
TI que no ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos institucionales.
Las consecuencias de no tener niveles de servicio debidamente acordados provoca que las
necesidades y expectativas de las áreas usuarias no sean plenamente satisfechas, debido a que la
configuración (especificación, diseño, acuerdos, monitoreo) de los servicios de TI no fue
establecida formalmente desde su concepción, lo que genera la imposibilidad de que los servicios
entregados sean objetivamente evaluados.
En el corto plazo, hay que establecer los métodos para la planeación de la capacidad del
hardware y comunicaciones de las instituciones estudiadas, de tal manera que sea factible tener un
crecimiento y evolución sostenidos, haciendo uso de las mejores prácticas disponibles en la materia.
Cuando no se planean correctamente las necesidades actuales y futuras en capacidad de hardware y
comunicaciones, surgen problemas en la disponibilidad, rendimiento y capacidad tecnológica, así
como también retrasos o caídas de los aplicativos que soportan las operaciones, con impactos en
diferentes niveles.
2.4 Referencias
[1] Agustín Escobar (2012). La Calidad de la Rendición de Cuentas: Transparencia y Acceso
Efectivo al Seguro Popular.
[2] Organización para la Cooperación y el Desarrollo Económico (OCDE) (2011). Panorama de la
salud (Health at a glance).
[3] COBIT is a trademark of ISACA registered in the U.S. and other countries.
[4] Information Technology Infrastructure Library (ITIL) v3 (2007)
United Kingdom's Office of Government Commerce
[5] Pacto por México (2012). Pacto por México. http://pactopormexico.org/ Consultado el 10 de
enero 2014.
[6] Plan Nacional de Desarrollo 2013-2018. pnd.gob.mx/. Consultado el 8 de Febrero de 2014.
[7] Estrategia Digital Nacional para transformar a México . www.presidencia.gob.mx. Consultado
el 20 de Febrero de 2014.
[8] Information Technologies Governance Institute (ITGI) (2008). The Val IT Framework (Val IT)
v2.0
[9] Project Management Institute (PMI) (2008). The Project Management Body Of Knowledge
(PMBOK) 4th Edition.
[10] The Open Group (2011). The Open Group Architecture Framework (TOGAF) v9.1.
[11] INSP (2012). Encuesta Nacional de Salud y Nutrición [ENSANUT] 2012. Resultados
nacionales. México: Instituto Nacional de Salud Pública.
http://ensanut.insp.mx/informes/ENSANUT2012ResultadosNacionales.pdf Consultado el 30 de
enero del 2014.
12
[12] FUNSALUD (2012). Universalidad de los Servicios de Salud – Propuesta de FUNSALUD.
México: Fundación Mexicana para la Salud.
http://www.funsalud.org.mx/eventos_2012/Universalidad%20de%20los%20servicios%20de%20sal
ud/UNIVERSALIDAD%20DE%20LOS%20SERVICIOS_DEF.pdf Consultado el 1 de febrero del
2014.
[13] INSP (2006). La Salud en México: 2006/2012, Visión de Funsalud. México: Fundación
Mexicana para la Salud, AC, http://www.funsalud.org.mx/vision_2006-
2012/documentos/VISION%20SALUD.pdf Consultado el 25 de enero 2013.
13
Innovación Tecnológica
Ricardo Galicia
R. Galicia
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
14
Abstract
Technological innovation occurs when technology is used as a means to introduce change. The
process of technological innovation is essentially continuous nature. The essence of the process of
technological innovation is the accumulation of knowledge over time. The assumption that the
innovation process is subject to historical conditions plays a central role in the evolutionary
approach and represents the fact that the evolution of a technology depends critically on the path it
has followed in the past. The technological innovation process is partially irreversible. The
development of technology in the context of a particular technological trajectory, generates new
knowledge through a series of feedback mechanisms that improve their performance. These
mechanisms strengthen this dominant technology over other alternative technologies with which it
competes. The technological innovation process is affected by different types of uncertainty.
Reflects the ignorance that has a priori what is the solution of the technical problem to be solved
and if, indeed, you can find within the time and cost projections: What is the best technical solution
is feasible?, will it work?
Introducción
La innovación es un proceso que consiste en convertir en una solución a un problema o una
necesidad, una idea creativa, la innovación puede realizarse a través de mejoras y no solo de la
creación de algo completamente nuevo. Nuevo puede significar en este sentido una auténtica
novedad mundial o bien, una novedad subjetiva desde una perspectiva de una única empresa, o de
un trabajador. En la actualidad se distinguen una serie de categorías de innovación. Se mencionan
aquí algunos de las áreas temáticas relevantes:
Innovación técnica.
Innovación de los servicios.
Innovación de los modelos de negocio.
Innovación del diseño.
Innovación social.
Las innovaciones pueden distinguirse según la forma de su surgimiento:
Innovación cerrada (Closed Innovation), donde los innovadores se encuentran solamente
dentro de una organización.
Innovación abierta (Open Innovation), donde las organizaciones de un mundo
crecientemente diversificado con el conocimiento internacionalmente disperso ya no pueden
quedarse solamente con su propia fuerza innovadora, sino que están cada vez más supeditados a la
integración y utilización de informaciones y competencias externas).
Para agilizar todo el proceso de gestión de la innovación en la empresa se han desarrollado una serie
de herramientas software que simplifican dicho proceso:
Herramientas de vigilancia tecnológica: sirven a la empresa u organización que la use para
conocer las últimas tendencias tecnológicas en su campo.
Herramientas de gestión de patentes: ayudan a llevar un inventario de todas aquellas
patentes en las que se está trabajando o que se han adquirido por parte de la empresa.
15
Herramientas de gestión de ideas: permiten recabar y posteriormente gestionar las ideas de
los clientes y empleados de las empresas para convertirlas en innovación.
Herramientas de gestión de conocimiento: documentan el conocimiento interno de las
empresas, para este luego pueden ser estudiado y aplicando a nuevas ideas de negocios y/o
producto. En algunos casos estas herramientas se enfocan en documentar las capacidades de los
empleados internos y asesores externos.
La dirección de la innovación tecnológica en los últimos años se ha convertido en una de las
áreas de estudio más atractivas y prometedoras dentro de la dirección de empresas.
3 Características de Innovación
La mayor parte de los esfuerzos empresariales traen alguna novedad o innovación en su producto o
servicio. Los clientes adoptan las innovaciones dependiendo de su percepción de las ventajas y
riesgos que ven en ellas. Una innovación puede ser un producto, un proceso, una idea, un nuevo
servicio que se percibe como algo nuevo, una nueva manera de hacer las cosas, entre los
compradores potenciales. Una innovación le presenta a un usuario potencial una nueva alternativa
para solucionar un problema, pero también representa la incertidumbre de si la misma será mejor o
peor que la solución existente.
Las innovaciones no siempre se adoptan rápidamente.
Algunas ideas innovadoras pueden tardar muchos años en propagarse y ser adoptadas por los
consumidores. La difusión de una innovación depende de la percepción de los consumidores de
cinco características:
Ventaja relativa - la percepción de superioridad de una innovación comparada a un producto
o solución existente. Esta ventaja puede ser de carácter económico o de eficiencia.
Compatibilidad - cuan bien se acopla la innovación a los valores, sistemas y prácticas
existentes de un comprador potencial.
Complejidad - cómo se percibe la innovación en términos de dificultad de entender o de
utilizar. Mientras más difícil es percibida, más lenta será su adopción.
Experimentación - cuánto puede experimentar un comprador potencial con la innovación
antes de adoptarla. Mientras más pueda experimentar y probar, más rápida será su adopción en el
mercado.
Visibilidad - cuán visible es la innovación y sus beneficios a los compradores potenciales.
A mayor visibilidad, mayor será su adopción.
3.1 Elementos clave de la Gestión de la Innovación y de la Tecnología.
Los conceptos de gestión e innovación están íntimamente relacionados, Luhmann (1997 p. 89)
sugiere que innovación es ―...un proceso de decisión contrainductivo, un proceso de decisión que
decide diferente a lo que era de esperar y así, cambia las expectativas‖, lo cual, asociado con la
definición de gestión que de Albomaz y Fernández (1997) que señalamos previamente, denotan un
interés de cambio de paradigmas en la acción. Lundvall (1992) sugiere que la gestión de la
Innovación podría tener entonces dos denotados:
16
1.- Área disciplinaria que en el regiones específicas, tiene como objeto el estudio de estrategias,
condiciones y sistemas de manejo de recursos y oportunidades que permitan estimular la
creatividad, promoverla, vincularla con el entorno e introducir los resultados a la dinámica de las
organizaciones con racionalidad y efectividad.
2.- Serie de actividades realizadas por un gestor o equipo especializado de gestores, orientadas a
acelerar la transformación de ideas en innovaciones, vinculando en todo momento a los suficientes
agentes interesados en un marco regional y buscando que dichas innovaciones brinden satisfacción
a cada participante sin generar conflicto en las variables de medio ambiente, opinión pública,
intereses institucionales, comerciales, del consumidor y normativos.
3.1.1 Modelos y Procesos de Innovación
El modelo percibido del proceso de innovación junto con su práctica han evolucionado, dichos
cambios se sintetizan en las cinco generaciones (Rothwell, 1994).
Primera generación. Empuje tecnológico. Desde 1950 hasta la segunda mitad de los sesentas
el modelo dominante de innovación fue el denominado empuje tecnológico (technology -push). Es
un modelo lineal que asume una progresión ordenada que va del descubrimiento tecnológico,
pasando por la investigación aplicada, el desarrollo tecnológico y las actividades de producción,
para concluir en nuevos productos al mercado.
Segunda generación. El jalón de la necesidad o del mercado. Tercera generación. Modelo
del acoplamiento.
Cuarta generación. Modelo integrado No obstante el modelo de la tercera generación del
proceso de innovación contenía circuitos de retroalimentación, esencialmente permanecía
secuencial. El modelo de la cuarta generación se caracteriza por ser paralelo pero integrado,
Quinta generación. Integración de sistemas y redes. Consiste en el uso de sofisticadas
herramientas electrónicas que incrementan la velocidad y la eficiencia del desarrollo de productos al
través de todo el sistema de innovación, es decir al interior de la firma, pero también en el exterior,
proveedores, clientes y colaboradores, esencialmente la quinta generación del proceso de
innovación es la cuarta generación pero con una nueva tecnología del cambio tecnológico para
aumentar la velocidad y eficiencia de la innovación.
Miller y Morris (1999, pp.281y 282) proponen un proceso de innovación que consta de
cuatro fases:
Fase 1. Es la transformación de la idea inicial en la definición conceptual de la familia de
aplicaciones, dirigidas por la tecnología, productos, servicios o plataforma de distribución, o la
combinación de plataformas.
Fase 2. La comunidad de mejoras toma responsabilidad del proyecto. El objetivo es la
definición de un diseño dominante validado para las nuevas plataformas o nuevas plataformas para
diseños dominantes existentes.
Fase 3. Desarrollo de nuevos productos, servicios, familias de distribución y desarrollo de
métodos.
Fase 4. Desarrollo de las actividades de mercado para una familia de producto,
específicamente para los nuevos productos, servicios y procesos.
17
Otra modelo de innovación es el propuesto por Utterback (2001) que tiene un enfoque de la
ingeniería donde los factores tecnológicos y económicos determinan la viabilidad de la innovación.
Propone un modelo para el proceso de innovación que consta de seis etapas:
1. Iniciación del proceso. El stock de conocimientos tecnológicos existentes, es decir, el
estado de la técnica, sugiere la posibilidad de una innovación capaz de satisfacer una necesidad
presente de la sociedad. O bien esta necesidad provoca la búsqueda de los conocimientos y
tecnologías que nos permiten lograr una innovación con la cual se elimine la necesidad detectada.
2. Formulación de la idea. Se realiza un prediseño que es sometido a evaluación. Ésta es una
etapa fundamentalmente creativa, en la cual es imprescindible el reconocimiento tanto de la
viabilidad técnica como de la económica de la futura innovación. Es de gran importancia la
evaluación que se haga al costo del proceso, ya que la empresa tendrá que comprometer los recursos
necesarios para el desarrollo de las ulteriores etapas.
3. Formulación del problema. En algunas ocasiones se dispone de la información que
permite resolver el problema de manera inmediata. En otras ocasiones la información ha de
obtenerse mediante actividades de investigación y desarrollo. En esta etapa surgen problemas
imprevistos y aparecen nuevas soluciones que es necesario evaluar y sobre las que hay que decidir.
A veces, las dificultades que aparecen no pueden solucionarse, y el proceso ha de suspenderse
temporal o definitivamente.
4. Solución de problema. Ésta puede ser original, en cuyo caso nos encontramos con una
invención que incrementará el stock de procesos tecnológico disponibles. O bien puede solucionar
el problema mediante la adaptación de una invención ya existente, hallándonos entonces ante una
invención imitativa.
5. Perfeccionamiento y desarrollo. Durante esta etapa se fabrican prototipos o pequeñas
cantidades de acuerdo con las especificaciones previstas. Se efectúan las pruebas y evaluaciones
técnicas necesarias para determinar las posibilidades de fabricación o uso del nuevo producto o
proceso.
6. Utilización y difusión. La innovación no tiene lugar hasta que se ha introducido el
producto, ya sea un bien o un servicio, o se ha aplicado el proceso por primera vez en el mercado, a
partir de cuyo instante se inicia la difusión.
La cultura de la innovación.
Al igual que las personas, las empresas tienen una personalidad que las hace distinguirse una
de otras y les da una identidad propia. A nivel organizacional se le conoce como cultura
organizacional y se puede definir como un conjunto de significados, ideas, valores, creencias,
conductas y conceptos que comparten sus integrantes y determina su comportamiento. Las
creencias y demás elementos de la cultura inhiben o fomentan el desarrollo, es decir, estorban o
apoyan a una persona, a una organización o a un pueblo para crecer, progresar, desarrollarse.
Cambiar lo existente para sentirse mejor es resultado de una cultura que implica modificar las
creencias, prácticas, comportamientos, procesos. Diferentes estudios (Banegas, 1999; García, 1999,
Angel, 2006) sobre el tema definen características de una cultura de innovación, entre las que
encontramos: mayor creatividad, educación ubicua y permanente, mosaico cultural, pasión aplicada
a un proyecto, desarrollo de confianza, reconocimiento social, incentivos, aceptación del riesgo,
anticipar necesidades, controlar proyecto, aceptación del cambio, etc. La innovación por la
innovación no tienen sentido, su producto no dimensiona su impacto social, legal, ecológico y no
son coherentes con las personas, las organizaciones y los pueblos; una cultura de la innovación que
no mide y controla las consecuencias, no es ética.
18
Señala que la cultura innovadora no son meras instituciones legales ni económicas. Tiene un
profundo trasfondo social que es preciso remover e impulsar y que requiere continuidad y
vehemencia.
Las fuentes de la innovación.
Peter Drucker (2002) explica en ―La disciplina de la innovación‖ una serie de fuentes que
pueden dar origen a un proceso de innovación, cuatro de ellas dentro de una compañía o industria:
1. La sorpresa: el éxito o fracaso inesperado, el hecho inesperado producido en el exterior, pero
dentro del entorno próximo.
2. Las incongruencias o disonancias: Observar a fondo buscando la realidad de lo que
necesitan los clientes y la sociedad, es una fuente de innovación infalible.
3. Las necesidades en los procesos internos de la empresa y la presencia de escalones débiles
en los mismos.
4. Los cambios en los mercados, como consecuencia de los ciclos de vida de los productos y
los rápidos cambios de las necesidades de los clientes.
Añade tres fuentes adicionales de oportunidad fuera de una compañía, en su medio social e
intelectual:
5. Los cambios en los valores y en las percepciones de las personas y de la sociedad.
6. Las variaciones en la demografía: Este es uno de los cambios más importantes y cuyos
resultados afectaran a las sociedades y a la economía y la empresa.
7. Los nuevos conocimientos y las nuevas tecnologías, que afectan a la mayoría de los
procesos de las empresas industriales de servicios y agrícolas.
La gestión estratégica de la tecnología. El problema que aborda la gestión de la innovación
es claro. Con el fin de permanecer en el mercado, la empresa requiere que su oferta y el modo en
que es creada y suministrada permanezcan en un estado continuo de cambio y, para poder hacerlo,
la empresa debe:
Vigilar el entorno en busca de señales sobre la necesidad de innovar y sobre oportunidades
potenciales que puedan aparecer para la empresa. Su objeto es el de preparar a la organización para
afrontar los cambios que le puedan afectar en un futuro más o menos próximo y conseguir así su
adaptación.
Focalizar la atención y los esfuerzos en alguna estrategia concreta para la mejora del
negocio, o para dar una solución específica a un problema. Incluso las organizaciones mejor dotadas
de recursos no pueden plantearse abarcar todas las oportunidades de innovación que ofrece el
entorno, y debe seleccionar aquellas que en mayor medida puedan contribuir al mantenimiento y
mejora de su competitividad en el mercado.
Capacitar la estrategia que se haya elegido, dedicando los recursos necesarios para ponerla
en práctica. Esta capacitación puede implicar sencillamente la compra directa de una tecnología, la
explotación de los resultados de una investigación existente, o bien realizar una costosa búsqueda
para encontrar los recursos apropiados.
19
Implantar la innovación, partiendo de la idea y siguiendo las distintas fases de su desarrollo
hasta su lanzamiento final como un nuevo producto o servicio en el mercado, o como un nuevo
proceso o método dentro de la organización.
Aprender de la experiencia, lo que supone reflexionar sobre los elementos anteriores y
revisar experiencias tanto de éxito como de fracaso. En este sentido, es necesario disponer de un
sistema de valoración que alimente y asegure la mejora continua en el propio proceso de cambio
tecnológico.
3.2 Proceso de Innovación Tecnológica
El proceso de innovación tecnológica es un proceso que abarca el espectro de actividades que se
inicia con búsqueda de necesidades tecnológicas de organizaciones del sector productivo y se
extiende hasta la comercialización, en el mercado de estas organizaciones, de los productos ,
procesos, equipo, etc., que derivan de esfuerzos de investigación y desarrollo (IDE) o de otros
mecanismos.
De esta manera, la realización de innovaciones tecnológicas, entre otras condiciones:
a) Implica satisfacer demandas del sector productivo, a través del uso de cambios técnicos que
colocados en el mercado, producen consecuencias económicas y sociales.
b) No implica necesariamente ejecutar proyectos de IDE. La generación de cambios técnicos
pueden estar esencialmente basadas en informaciones técnicas disponibles en la literatura, normas
técnicas, patentes, etc., o en la compra de tecnología producida por terceros (innovación por
Adopción).
c) Necesariamente requiere del contexto de organizaciones del sector productivo, que
incorporen los cambios técnicos a sus sistemas de producción y les atribuye significación
económica y/o social.
Así para que los proyectos de investigación y desarrollo tengan consecuencia económico /
sociales, necesitan estar vinculadas a necesidades tecnológicas específicas de organizaciones
existentes del sector productivo.
Se plantea la correlación entre las funciones tecnológicas, las distintas alternativas de
innovación tecnológica y la planeación del desarrollo de organizaciones del sector productivo, bajo
el concepto de que este desarrollo depende de estrategias de innovación especificaciones que, a su
vez, son influenciadas por las políticas y estrategias nacionales.
De acuerdo al estudio de Donald G. Marquis, existen tres tipos de innovaciones:
Las innovaciones que se refieren a la administración de sistemas complejos donde el cambio
tecnológico se encuentra presente en primer plano. Ejemplo: proyectos espaciales, proyectos de
defensa, etc. Se caracteriza por la existencia de la planeación a largo plazo.
Las innovaciones radicales (a saltos), son aquellas que representan el desarrollo tecnológico
más radical y que ocasionan cambios en la industria. Ejemplos: el convertidor B.O.F. (Basic Oxigen
Furnace), xerografía, etc. Se originan de la aplicación de innovaciones graduales de otros sectores o
áreas de actividad o de la aplicación de nuevos conocimientos científicos, generados a partir de
proyectos de investigación básica y requieres de inversiones significativas.
20
Las innovaciones graduales son aquellas que son esenciales para la supervivencia de la
empresa y derivan de mejoras que no cambian sustancialmente los productos, procesos o equipos
existentes o de desarrollo que pueden implicar esfuerzos de desarrollo o de investigación.
Desarrollo e ingeniería. Esta clase de innovación está más involucrada como factor económico que
las otras dos innovaciones.
La innovación no es producto de una sola acción, más bien es la integración de diversos
procesos interrelacionados, como son la concepción de la idea, del invento de un artículo nuevo, el
desarrollo de un nuevo mercado, etc. La innovación puede ser desarrollada desde la concepción
hasta la implementación por una sola organización. Pero frecuentemente es deducida de las
contribuciones de fuentes ajenas, efectuadas en otros lugares y diferentes tiempos. El modelo del
proceso considera como fuentes de inicio y abasto del mismo a la tecnología y el mercado,
dividiéndolo en diferentes etapas y evento. Estos eventos pueden o no ser lineales. El proceso de
innovación inicia con una nueva idea, la cual incluye la etapa de reconocimiento de la posibilidad
técnica y potencial.
El innovador deberá tener un conocimiento actualizado del estado del arte y del
conocimiento técnico para sustentar sus estimaciones de posibilidad técnica. Asimismo deberá de
estar al día en cuanto a demandas sociales y económicas para poder reconocer una demanda y
diferenciarla determinando si es potencial o real.
La determinación de la demanda es importante.
La siguiente etapa es la formulación de la idea, la cual consiste en la asociación y fusión de
los conceptos de la demanda satisfecha y la posibilidad técnica, esta fusión de conocimientos de
origen al concepto de diseño. Este es un verdadero acto creativo en las cual la asociación de ambos
elementos es esencial. La idea o concepto de diseño, es meramente la identificación y formulación
de un problema, con el fin de tomar una decisión. Si esta es favorable y se le asignan fondos, se
entra a la etapa de la búsqueda de información para la solución del problema planteado. Si la
actividad de resolución del problema se lleva a cabo, una solución deberá ser encontrada.
La solución al problema puede ser la verificación del inicialmente planteado.
3.3 Herramientas de apoyo a la Gestión de la Innovación
Es conveniente conocer algunas de las herramientas o prácticas de gestión de la innovación más
habituales. La tabla 1 muestra cómo determinadas herramientas pueden ayudar a la gestión de los
elementos clave del proceso de innovación, y para su utilización pueden combinarse de diversas
formas y, ya que alguna de ellas tiene un propósito doble o múltiple, no es necesaria la aplicación
de todas.
Así, por ejemplo, el funcionamiento en equipo puede solucionar muchos de los problemas
de la gestión de interfaces y una buena evaluación de proyectos beneficiará la gestión de cartera.
Estas herramientas no son un fin en sí mismas, ni se eligen para ser aplicadas de forma aislada, sino
que su propósito es el de convertirse en parte integral de la gestión de la innovación.
En un principio, todas las herramientas identificadas pueden aplicarse a cualquier tipo de
empresa, y es labor fundamentalmente de la dirección su adaptación y ajuste a las necesidades
particulares y características de cada empresa.
21
Tabla 3
Herramientas Vigilar Focalizar Capacitar Implementar Aprender
Análisis de mercado X X X x
Perspectiva tecnológica X X
Benchmarking X x x
Análisis de patentes X X
Auditorias x X x
Gestión de cartera X x
Evaluación de proyectos X x x
Creatividad x X X X x
Gestión de derechos de la propiedad intelectual e
industrial
X
Gestión de interfaces X X
Gestión de proyectos X X
Trabajo en red x X X X x
Funcionamiento en equipo X X X x
Gestión del cambio X
Funcionamiento ajustado X X x
Análisis de valor X X
Mejora continua X X
Evaluación medioambiental x x X
X Herramienta plenamente aplicable en esta etapa / x Herramienta con posible aplicación en esta etapa.Fuente:
Fundación COTEC (Ed. 2001). Libro Innovación Tecnológica: Ideas Básicas.
http://www.uca.es/recursos/doc/Unidades/consejo_social/1801800_1032010103532.pdf
3.4 TI representa innovación y transformación
No es ningún secreto que el profesional de TI tiene uno de los trabajos más difíciles en la industria
tecnológica. En este mundo actual primero móvil, primero en la nube, ellos son los responsables de
dirigir las tensiones entre la nube pública y privada, la generalización de dispositivos y la
administración tradicional, y el balance en el acceso a los datos con su protección. Cada profesional
de TI enfrenta estos retos y, como resultado, es entendible la razón de que a menudo, estos héroes
anónimos, no estén seguros sobre su futuro. Conforme cada organización en el mundo depende cada
vez más del software y la tecnología, los CIOs y profesionales de TI pueden dirigir la estrategia y
transformación de las empresas. Pueden ayudar a sus compañías a lanzar nuevas capacidades de
negocios con la nube, aprovechar de manera inteligente y usar los datos para mejorar la
productividad a través de los dispositivos. TI puede ayudar a que empresas muy buenas se
conviertan en grandes empresas.
3.5 Razones por las que fracasan las innovaciones
En las economías de mercado, la innovación y la inversión están estrechamente relacionadas,
porque no es solo que una innovación potencialmente provechosa estimule la inversión, sino
también que un alto nivel de inversión tiende a estimular la innovación a fin de aprovechar los
últimos adelantos tecnológicos. El principal impulso hacia la innovación exitosa proviene del
mercado, por una demanda existente o potencial Entre las principales razones por las que fallan las
buenas innovaciones se encuentran:
Factores del mercado.
La administración.
El capital.
22
Regulaciones.
La tecnología.
Otros aspectos.
Como principales barreras al proceso de innovación se tienen:
La burocracia.
Los problemas de comunicación.
La mala formulación de los proyectos.
Los problemas en la transferencia de la tecnología.
La aversión al riesgo (por tradición y costumbre).
Ausencia de ejecutivos y administradores tecnológicos.
Escasa relación y conocimiento del mercado.
Falta de financiamiento oportuno y adecuado.
Estructura del sector industrial.
Inexistencia o manejo inadecuado de los roles críticos.
3.6 Propuesta para el proceso de innovaciones exitosas en México
El desarrollo de un proceso propio para las innovaciones exitosas requiere de la observación y
análisis de la información existente, y es aquí donde se debe puntualizar que:
1) El proceso de innovación fundamental es el presentado por Marquis y dependiendo de las
condiciones particulares de cada organización el proceso se debe adecuar.
2) El proceso de la innovación es independiente del lugar geográfico, sin embargo, su
restricción más importante es el propio sistema organizacional y su cultura, ya que serán estos los
que promuevan las respuestas innovadoras a los problemas presentados por el entorno.
3) En nuestro país las condiciones para las innovaciones son, al igual que el resto del mundo,
más propicias al jalón del mercado y de estas las graduales. Entre otras cosas debido al tamaño del
mercado nacional y el tamaño de organizaciones con que contamos; sin que esto quiera decir que
estamos exentos de las Innovaciones radicales ni del empuje de la tecnología.
4) La condición fundamental es un sistema administrativo con una orientación hacia el cliente,
las innovaciones y su asimilación en la organización que permita generar nuevo conocimiento.
De lo anterior es de considerar la necesidad de que el entorno ayude a satisfacer:
23
a) El establecimiento de procesos para los diagnósticos organizacionales, donde se contemplen
las capacidades tecnológicas existentes.
b) La promoción y difusión del conocimiento endógeno, es decir el desarrollado al interior de
las organizaciones.
Por parte de las organizaciones es necesario:
a) Establecer procesos que ayuden a monitorear el entorno tanto en los elementos del mercado
(jalón) como del sistema tecnológico (empuje).
b) Desarrollar alianzas estratégicas con sistemas externos a las propias organizaciones
(escuelas superiores y universidades), que auxilien al desarrollo de soluciones innovadoras.
c) Desarrollo y establecimiento de programas para la calidad ya que estos son los responsables,
en mayor medida, de las mejoras continuas o innovaciones graduales.
3.7 Conclusiones
La innovación en nuestros días es el punto de partida para las empresas y líderes de TI para la
creación de valor y cuando hablamos de valor me refiero a ser un diferenciador para nuestros
clientes y usuarios. Las ideas para hacer un mundo más accesible, con oportunidades para todos,
más abierto, digital y móvil, mejor conectado, más rápido, seguro, eficiente, sostenible, inteligente,
en dónde la innovación sea el motor hacia empresas de tecnología más avanzadas que ayuden a
mejorar nuestra sociedad. Pero la innovación tecnológica es una convicción de los accionistas de las
empresas, está dictada en las políticas y plasmada en la estrategia corporativa alineando los
esfuerzos de toda la compañía y de los socios y partes involucradas:
Clientes.
Proveedores.
Partners.
Sociedad.
Universidades (convenios).
Y se debe utilizar todo el talento disponible trabajando en una red colaborativa,
interdisciplinaria y global.
3.8 Referencias
[1] Sara Ortiz Cantú, Alvaro R. Pedroza Zapata. (2006). ¿ Que es la Gestión de la Innovación y la
Tecnología (GinnT)?. Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO) ,
Journal Technol. Manag. Innov. Vol. 1, No.2 ISSN: 0718-272. file:///Users/martha/Downloads/315-
440-1-PB.pdf
[2] Fundación COTEC (Ed. 2001). Innovación Tecnológica: Ideas Básicas.
http://www.uca.es/recursos/doc/Unidades/consejo_social/1801800_1032010103532.pdf
24
[3] Edward B. Roberts, Generating technological innovation, Technol, Management, 31 (1): 11-29,
de enero-febrero 1988, Manual de Gestión en Tecnología, Mc Graw Hill, Gerard Gaynor, 1999,
p.187, http://www.tecnologiaycalidad.galeon.com/tecnologia/5.htm
[6] Revisat MEDISAN Dra. Nilia Victoria Escobar Yéndez . Innovación Tecnologica.
http://bvs.sld.cu/revistas/san/vol4_4_00/san01400.htm
[7] Brad Anderson, Vicepresidente Corporativo para Windows Server y System Center en
Microsoft. (2015). TI representa innovación y transformación.
http://www.cioal.com/2015/05/05/ti-representa-innovacion-y-transformacion/
[8] Nieto Antolín Mariano. Caracteristicas Dinamicas del Proceso de Innovación Tecnologica en
la Empresa. Investigaciones Europeas de Direción y Economía de la Empresa. Vol. 9, No.3,
2003,pp 111-128 ISSN:1135-2523
25
Clúster Automotriz en Coahuila
Karina Salazar
K. Salazar
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
26
Abstract
In this article we all regard as the strongest automotive cluster in the country in the state of Coahuila
and was formed as the automotive cluster in Coahuila to travez SIECCA CIDIAC and put the
cluster model for one of the best to country level.
Introducción
Teoría de clústers automotrices.
Cedillo-Campos, M.G. & Piña-Monarrez, M.R. & Noriega-Morales, S.A. (2007). Realizan
un estudio de la industria automotriz de México en Saltillo Coahuila. Donde la base de la
investigación es la competitividad vista desde la cadena de abastecimiento, la cual es totalmente
dinámica, ya que la demanda no es predecible y los mercados son demasiado competidos. El punto
central es que la interacción de los proveedores genera ventajas competitivas al cubrirse
necesidades en forma complementaria y especializada. Estas ventajas no son permanentes por lo
que la relación e interacción entre los proveedores debe ser dinámica, para irse anticipando o
adaptando a los cambios en el mercado integrándose a la cadena de suplemento.
Cedillo-Campos, M.G. & Sánchez-Garza, J. & Sánchez Ramírez, C. (2006). Definen
claramente la existencia de dos tipos clúster que denominan:
Clúster de sobrevivencia compuesto por empresas de tercer grado y que tienen una conducta
oportunista, con poco capital y nada de innovación.
Clúster Transnacional, compuesto por las armadoras de carros, primer nivel, y las empresas
proveedoras extranjeras segundo nivel.
Klepper, S. (2007) Desarrolla una investigación para explicar el desarrollo del área de
Detroit y el cluster automotriz sobre parámetros diferentes a las teorías vistas de aglomeración
descritas en otros artículos, Realiza un modelo econométrico de los diferentes indicadores, para
demostrar las hipótesis, la aportación para la investigación, aprender cómo se desarrolló Detroit uno
de los clústers tradicionales en los EEUU. y el modelo que se aplica para su explicación. Se observa
que este es un clúster en el cuál la teoría de Porter no se cumple, Klepper, explica que básicamente
se debe a su antigüedad.
Barnes J. Kaplinski R.(2000) Determinan que la globalización y su efecto en el sector
automotriz nacional de Sudáfrica, se baso en los siguientes paradigmas de desarrollo:
El crecimiento sostenido del sector dependería de conservar los activos fijos, desarrollar la
capacidad tecnológica y crecer la producción elevando las escalas de economía.
La competencia internacional permitiría el crecimiento en las escalas de economía y el
desarrollo tecnológico de las empresas locales.
La realidad y argumentos en contra:
El crecimiento se ha dado mediante la inversión extranjera y las cadenas productivas
internacionales donde se desarrolla la tecnología.
El entorno global, se está desarrollando para generar acuerdos, tratados y organizaciones
sobre las bases de apertura comercial, y crecimiento basado en la inversión extranjera.
27
La tecnología es generada dentro de la cadena productiva internacional.
La inversión extranjera entre otros aspectos es atraída principalmente por el factor humano.
El sector automotriz y en especial el de auto partes, de empresarios locales, se ha orientado a
nichos de mercado de alta competencia con tecnología madura, en refacciones de vehículos usados
ya viejos.
En México se cuentan con 12 estados del país que cuentan con plantas de ensamble de
vehículos, pero Coahuila es la única donde se cuentan con 3 plantas armadoras. México es uno de
los países que provee autopartes a los Estados Unidos.
Gráfico 4
Importación de Autopartes de EE UU1
Aunque al centro del país ha llegado un par de armadoras, Coahuila sigue como el clúster
automotriz más fuerte del país.
Clúster Automotriz en Coahuila.
El clúster se ubica en el área conurbana Saltillo-Ramos Arizpe, en la región sureste del
estado y rodeado de una infraestructura productiva y de parques industriales.
En esta área se encuentran ubicados 10 de los más importantes parques industriales del
estado que dan soporte al desarrollo de la industria automotriz. Siendo más de 300 fabricantes de
autopartes instaladas sólo en el área conurbana Saltillo - Ramos Arizpe.
1 Importación de Autopartes de EE UU, Recuperado el día 22 de Junio del 2015, de:
http://www.imef.org.mx/grupos/coahuila/1erForoNac/Marcos%20Duran.ppt
28
Figura 4
Cluster Automotriz de Coahuila2
El 37.8% del PIB del Estado está representado por el sector automotriz, el cual 25 de cada
100 automóviles en el país se producen en Coahuila.
Coahuila cuenta con 2 plantas armadoras de vehículos y 1 dedicada a la fabricación de tracto
camiones. 70 mil empleos dependen de la industria automotriz en la región por tal motivo se puede
decir que es un punto clave para generación de empleos en el estado de Coahuila para este ramo.
Más de 200 empresas instaladas en el área conurbada Saltillo- Ramos Arizpe y 40 mil empleos
directos conforman la industria de autopartes del Estado.
Figura 4.1
Cadena Productiva Automotriz3
2 Cluster automotriz de Coahuila, Recuperado el día 22 de Junio del 2015, de:
http://www.imef.org.mx/grupos/coahuila/1erForoNac/Marcos%20Duran.ppt
29
Producción.
Coahuila es uno de los estados más representativos en la industria automotriz.
400 mil unidades por año y 25 de cada 100 automóviles se producen en el estado de
Coahuila. 27.9% de la producción corresponde a fabricación de vehículos.
72.1% a ensamble de automóviles y tracto camiones.
Gráfico 4.1
395,767
378,903
406,297
396,389
401,479
2005 2006 2007 2008 Promedio
Producción automotriz en Coahuila 2005-2008 (unidades)4
Los productos automotrices que se ensamblan en Coahuila son:
Figura 4.2
Competitividad
Los factores de competitividad más sobresalientes que apoyan al clúster automotriz son:
Localización estratégica y significativo acceso a mercados globales.
Fácil acceso a los principales mercados: al Norte con EEUU y Canadá, al este con Europa, al
oeste con Asia y al Sur con Sudamérica.
3 Cadena Productiva Automotriz, Recuperado el día 22 de Junio del 2015, de:
http://148.206.107.15/biblioteca_digital/capitulos/282-4350lsu.pdf 4 Producción Automotriz en Coahuila 2005-2008. Recuperada el día 22 de Junio del 2015, de:
http://www.imef.org.mx/grupos/coahuila/1erForoNac/Marcos%20Duran.ppt
30
Figura 4.3
Recursos humanos altamente calificados.
Primer lugar Nacional en productividad manufacturera.
Figura 4.4
Incentivos competitivos aplicados a la industria.
Amplia disponibilidad de parques industriales: 52 parques industriales en el Estado.
Proveeduría altamente vinculada con el sector automotriz.
Adecuada articulación entre instituciones educativas y de investigación con la industria
automotriz.
Infraestructura carretera y de ferrocarril de fácil acceso.
Excepcional calidad de vida.
Estable relación con sindicatos.
4 CIDIAC
Centro para la Integración y el Desarrollo de la Industria Automotriz de Coahuila (CIDIAC)–Nodo
central/articulador del clúster.
Fue creado formalmente el 16 de octubre del 2004.
31
Figura 4.5
Propósitos iniciales de CIDIAC:
Desarrollo de proveedores / incremento de contenido regional.
Realizar mapeo de clúster automotriz regional.
Detectar proyectos relevantes a desarrollar.
Encontrar las necesidades más frecuentes del sector.
Designar el proveedor que solucionará el requerimiento tecnológico.
Realizar eventos de matchmaking.
Gestionar fuentes de financiación y financiamiento.
Dificultades operativas y resurgimiento de CIDIAC:
Ante la caída de CIDIAC en problemas operativos y falta de involucramiento de actores
empresariales clave, cesa sus operaciones hacia el año 2006–2007. Es retomado por Canacintra y
presentado de nuevo justo a los 8 años de su fundación inicial en el evento denominado «13º
Encuentro de Cadenas Productivas», coincidentemente en un día 16 de octubre. En esta segunda
ocasión, se busca arropar a CIDIAC con un consejo directivo más comprometido y representativo
de la industria.
El enfoque del nuevo CIDIAC.
Misión: Impulsara la industria proveedora del sector automotriz de Coahuila para que tenga
capacidad certificada en material, producto terminado y proceso de fabricación.
Visión: Ser el centro estratégico de información y análisis técnico que facilite la integración
de las empresas regionales y nacionales del sector automotriz.
Objetivos de CIDIAC renovado:
Consolidación del proceso de desarrollo de proveedores.
32
Desarrollo humano basado en un análisis de la necesidad de técnicos, ingenieros y
profesionistas.
Impulso al desarrollo sustentable de la industria automotriz.
Fomento de la tecnología e innovación.
El modelo SIECCA.
Sistema de Innovación del Estado de Coahuila para el Clúster Automotriz. El SIECCA se
constituye con los Centros de Investigación, Instituciones de Educación Superior, el CONACYT y
el Gobierno del Estado de Coahuila, quienes aportan infraestructura, capacidades tecnológicas,
recursos humanos y financieros para apoyar al sector automotriz con tecnología, innovación
servicios tecnológicos y formación de recursos humanos en las áreas de Materiales, Fundición,
Conformado de metales, Herramentales, Transformación de plásticos y Sistemas de manufactura
Misión: Contribuir al desarrollo de las empresas que integran el Clúster Automotriz del
Estado de Coahuila, a través del trabajo conjunto con estas en la búsqueda de soluciones
innovadoras a su problemática.
Visión: Consolidarse como socio tecnológico de las empresas del Clúster Automotriz del
Estado de Coahuila, a través de la respuesta efectiva e integral a sus requerimientos, en las áreas de
su competencia.
Figura 4.6
Modelo de Colaboración de SIECCA5
Características del SIECCA:
SIECCA, se considera el Programa Estratégico del Estado de Coahuila para el clúster
automotriz. Es inter-institucional y multipartita. Además de que propone acciones específicas en
investigación científica y tecnológica aplicada, formación de recursos humanos especializados, así
como la adopción, innovación, asimilación y desarrollo tecnológico, buscando encontrar las
mejores soluciones a los retos que enfrenta la industria automotriz del estado.
5 Modelo de colaboración de Siecca, Recuperado el día 22 de Junio del 2015, de:
http://clusterautomotriz.com.mx/misionVision.html
33
El SIECCA busca atender una demanda manifiesta de las empresas que conforman el clúster
como es la formación de capacidades tecnológicas y de recursos humanos para el diseño de
productos y procesos para competir globalmente. En este sentido y en base a un estudio previo, esta
necesidad fue detectada en tres grandes áreas para el sector automotriz que son:
Fundición de metales.
Procesos de transformación de plásticos.
Conformado de metales.
Principales Avances: INFRAESTRUCTURA.
Unidad de Diseño y Laboratorio de Conformado.
Laboratorio de Prototipos Rápidos, reorientado luego a un Centro de reparación de
Herramentales.
Laboratorio de Dimensionamiento.
Sala Virtual para la simulación de desarrollo de productos.
Unidad de Diseño y Laboratorio de Fundición y Vaciado.
Laboratorio de Análisis de Propiedades para Plásticos.
Laboratorio de celdas de manufactura, metrología, procesos de fabricación automotriz.
Laboratorio de difractrometría.
4.1 Conclusiones
Como conclusiones los clúster automotriz determinan que existen dos elementos que integran la
competitividad y deben ser desarrollados por las empresas de tercer grado o del clúster de
sobrevivencia para integrarse a las cadenas productivas.
El análisis de los clusters, revela diferencias entre atención al grado de especialización o
integración con la cadena productiva que alcanzan. Los Clúster automotrices son todavía modestos
para los estándares internacionales El esquema de trabajo de CIDIAC permite tener un control y
evaluación estricta de las metas a desarrollar por cada periodo. Esto debido a que el Director le debe
rendir cuentas permanentemente al Comité encargado por el Consejo de Administración.
Asimismo, la autoridad ejercida en el Consejo por las principales empresas de la industria (así como
por las autoridades del desarrollo económico del Estado y del país) y de Funtec, permite concentrar
los esfuerzos en el desarrollo de una misma industria.
El estado de Coahuila entraña una gran tradición automotriz, es protagonista en la
producción y la exportación de vehículos así como en el desarrollo de esta industria.
4.2 Referencias
Teoría de Clúster automotrices. Recuperado el 22 de junio d 2015, de:
http://www.riico.org/memoria/sexto/RIICO-21504.pdf
34
Cluster Automotriz en Coahuila. Recuperado el 22 de Junio de 2015, de:
http://www.imef.org.mx/grupos/coahuila/1erForoNac/Marcos%20Duran.ppt
CIDIAC. Recuperado el 22 de Junio de 2015, de:
http://www.froncytec.info/docs/biblioteca/1_Saul.pdf
SIECCA. Recuperado el 22 de Junio de 2015, de:
http://www.froncytec.info/docs/biblioteca/1_Saul.pdf
Misión y Visión Siecca. Recuperado el 22 de Junio de 2015, de:
http://clusterautomotriz.com.mx/misionVision.html
Características de SIECCA. Recuperado el 22 de Junio de 2015, de:
http://www.froncytec.info/docs/biblioteca/1_Saul.pdf
35
Complejidades y facetas del Cibercrimen
Arely Castañeda
A. Castañeda
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
36
Abstract
In this document the key issues that allow current laws facilitate the work on appropriate
punishments for computer crimes as the speed with which technology advances not allow the law
and technology are presented at par. We will also see some examples of classification to combat
such crimes, such classification is necessary since the computer can be a means of communication
to run the offense or used as storage repository and takes a different treatment, however it should be
clearly enough when making a decision regarding his trial. Discuss a common example where most
surfers run the risk of falling, this act is given by simple curiosity or overconfident but it's time to
make consciousness of everything that goes with this example.
Las múltiples facetas de Cyberlaw
Este es un momento interesante para el derecho y la tecnología porque la tecnología está cambiando
a un ritmo exponencial. Muchas veces, los jueces y los jurados están confundidos por los términos
de la tecnología, y conceptos utilizados en este tipo de ensayos, las leyes no están escritas con la
suficiente rapidez para castigar adecuadamente a los cibercriminales. Un país no puede considerar
una acción concreta contra la ley en absoluto, mientras que otro país puede determinar que la misma
acción exige cinco años de prisión. Su nación no puede ver este tema como ilegal en absoluto o
tienen leyes que restringen dichas actividades. Las leyes de delitos por computadora (a veces
referido como cibernético) en todo el mundo tratan con algunos de los temas centrales:
Figura 5
Las leyes han sido creadas para combatir tres categorías de crímenes.
a) Crímenes asistidos por computadora:
Son en los que se utilizan computadoras como una herramienta para ayudar a llevar a cabo
un delito. Algunos ejemplos son:
Llevar a cabo actividades de guerra de información mediante el ataque crítico a sistemas de
infraestructura nacional.
Realización de ―hacktivismo‖, es una acción de protesta en contra de las actividades de un
gobierno o de una compañía, atacando sus sistemas y / o desconfigurando sus sitios web.
b) Delitos informáticos dónde la computadora ha sido el banco:
Refiere a incidentes donde un equipo fue víctima de un ataque hecho a mano para perjudicar
a este y a sus propietarios específicamente. Algunos ejemplos son:
37
Instalación de rootkits y sniffers para fines maliciosos.
Realización de un desbordamiento de búfer para tomar el control de un sistema.
c) Delitos en los que el equipo está involucrado en el crimen:
El último tipo de delito es donde un equipo no es necesariamente el atacante, pero
finalmente está involucrado en un crimen que se llevó a cabo. Esta categoría se refiere como equipo
incidental. Por ejemplo:
Si usted tiene un amigo que trabaja para una empresa que gestiona la lotería del estado y él
te da una impresión de los próximos tres números ganadores y los escribe en el ordenador, la acción
directa del delito es que la computadora es el lugar de almacenamiento y esta involucrado en el
delito. Así que si un crimen cae dentro de esta categoría quiere decir que el equipo no está atacando
a otro equipo, la computadora no está siendo atacada pero el equipo aún se utiliza de manera
significativa.
La razón por que se crean estos tipos de categorías es permitir que las leyes actuales se
apliquen a este tipo de delitos, a pesar de que están en el mundo digital. Al permitir el uso de las
leyes actuales, hace que sea más fácil para un juez saber cuáles son los castigos adecuadas para
estos delitos específicos. (HARRIS, 2013, pp. 979-990)
5 Ejemplo común de Cibercrimen
El texto anteriormente expuesto es algo que en México el día de hoy se a tomado muy a la ligera,
debido a la reciente explosión de la información, la seguridad de la misma se ha convertido en un
tema fundamental; el ―cibercrimen‖ es una latente amenaza y una manera moderna de robo que va
dirigido a todos y cada uno de los cibernautas; cuántas veces hemos recibido un mail en nuestra
bandeja de entrada de Facebook con el remitente de ―Paul Walker‖ sorprendidos e ingenuos ante tal
remitente abrimos el correo, pensando que no hay nada que temer, el asunto no para en la simple
acción de revisar un correo que contiene un texto insignificante, esta acción permitió instalar un
programa malicioso que nos pone en un riesgo de sufrir las siguientes consecuencias:
Envío de correo no deseado (Spam).
Participación en phishing.
Virus.
Software espía por ejemplo: robar información privada y personal entre ellos nuestros
números de tarjeta de crédito ó credenciales bancarias.
Lanzar ataques de denegación de servicio (DoS: Fraude mediante clics) contra un objetivo
específico.
Estamos a punto de ser extorsionados por un Hacker quien amenaza en no sólo con utilizar
nuestra tarjeta de crédito sin nuestro consentimiento, estamos literalmente en sus manos ya que
tiene acceso a toda nuestra información. Esta situación se desenvuelve debido a que el software
implantado permite que el atacante tome el control del equipo infectado; cuando un equipo ha sido
infectado por un virus botnet, actúa de manera sigilosa ya que no nos percatemos de toda la
situación que esta pasando dentro del equipo debido a que nuestra computadora realiza sus
funciones de manera normal, el atacante puede controlar la infección del equipo para amenazarnos,
ya que en este momento tuvo acceso a nuestras fotos privadas, esas que no queríamos que nadie
supiera que existían y aparte de todo a implantado un programa de denegación de servicio (DDoS)
además que acabamos de fundar el primer eslabón de una Botnet Normalmente se componen de tres
partes:
38
Figura 5.1
El bot pastor es el atacante y el cliente bot es la víctima que está siendo infectada por el
virus de la botnet; el comando y control servidor (C & C) es el servidor de control de una red de
bots y también un herramienta de comunicación entre un pastor y un cliente bot. El bot pastor
normalmente utiliza el protocolo de Internet Relay Chat (IRC) para comunicarse con el servidor de
comando y control y un cliente bot. Dado que los virus de botnets están siempre cambiando, tanto
en patrones y métodos de ataque, la detección y protección contra estos virus se han vuelto
extremadamente difíciles. (Kuan-Cheng, Sih-Yang, & Hung, 2014) ¿Saben que es lo mas
―gracioso‖? que toda esta situación nosotros mismos la provocamos, por creer y confiar en que
―Paul Walker‖ nos esta enviando un mensaje del mas allá; por eso la siguiente ocasión que
recibamos un correo electrónico de algún desconocido lo mejor es que no lo abramos sin antes
cerciorarnos que es seguro y tener nuestro antivirus actualizado.
5.1 Concusiones
La era en la que los hackers sólo se mofaban de las grandes compañías haciéndolas pasar por un
mal rato, debido a que ―tiraban‖ el servicio de su pagina de internet y con esto las ponían a trabajar
a marchas forzadas por restaurar el servicio, ya quedó atrás; la nueva modalidad de trabajar de los
―hackers‖ es el cibercrimen, la cual, es la manera mas moderna de robar toda nuestra información al
alcance de un click y por ello que es importante conocer de que manera esta situación nos puede
afectar, la mayoría de la veces no tenemos conciencia de los riesgos que existen en la red y
navegamos sin responsabilidad, sin entender todo lo que un clic puede desencadenar y cómo nos
puede llegar a afectar; no obstante la lucha contra el cibercrimen es un tema que nos afecta y es
responsabilidad de todos, ¿como lo logramos? Siendo responsables y asegurándonos que los correos
que recibimos provienen de personas seguras, evitando sitios WEB de pornografía ó paginas que
contienen programas gratuitos, que son el primer eslabón de una serie de consecuencias altamente
perjudiciales, que abren paso a la ciberdelincuencia. Dime que paginas consultas y te diré que
riesgos corres…
5.2 Referencias
HARRIS, S. (2013). All in one cissp. United States: McGraw-Hill.
Kuan-Cheng, L., Sih-Yang, C., & Hung, J. C. (2014). Botnet Detection Using Support Vector
Machines with Artificial Fish Swarm Algorithm. Journal of Applied Mathematics, 1-9. doi:
10.1155/2014/986428
39
Súbase a la nube sin miedo- Compute-as-a-service
Giselle Mejía
G. Mejía
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
40
Abstract
The aim of this article is an overview on the subject known as Compute-as-a-Service. The latent
idea of this document shows how organizations have used cloud computing to improve
competitiveness, recognizing the benefits of the improvement in business agility and streamlined
business processes. Cloud services are based on a model approach of personalized service, self-
service access to servers, applications and development platforms. Companies and service providers
have been slower to adopt cloud computing due to concerns about security, compliance, integration,
performance, implementation and operational risks.
Introducción
La globalización y las presiones económicas están cambiando el panorama de los negocios,
aumentando la presión para acelerar el tiempo de lanzamiento al mercado con nuevos productos y
servicios. El cambio constante de la tecnología ha dado lugar a la infraestructura ad-hoc, la creación
de complejidad que involucra la gestión y el apoyo de Infraestructura de TI. El mercado de la
computación en nube se estima que crecerá a más de $ 241,000,000,000 para 2020 (Ried and
Kisker, 2015).
Si bien los beneficios de la computación en nube son significativos, por lo que es la
complejidad de la planificación, la construcción y gestión de una nube.
Forrester encontró que solo el 6% de las empresas tienen hoy en día un verdadero auto-
servicio en la nube privada. (Nelson, 2015) Gardner considera que la aplicación de una ¨nube
privada madura¨ es un viaje que puede tomar de 3 a 7 años. La nube habilita aprovisionamiento
privado de recursos y servicios por un público de negocios no técnicos, fuerte proceso de
gobernanza (por ejemplo, gestión de solicitudes, configuración, gestión del cambio, gestión de la
capacidad) la orquestación de extremo a extremo y garantía de servicios. (Perilli,2015)
Compute-as-a-Service es una nube dedicada Infraestructura-as-a-Service (IaaS) que
proporciona acceso bajo demanda de autoservicio y el control de los servidores virtuales públicos y
privados, almacenamiento y redes. El servicio de nube privada se encuentra alojado dentro del
centro de datos e incluye la seguridad de clase empresarial, los controles y garantías de rendimiento,
así como una interfaz de aplicaciones (API) para una fácil integración en los sistemas de back-end.
6 ¿Por qué las organizaciones desean Compute-as-a-service?
Las organizaciones que están considerando la computación en la nube generalmente tienen
estos retos:
Mejorar la agilidad.
La agilidad es la capacidad de una empresa para adaptarse rápidamente y responder
eficientemente a los cambios en el entorno empresarial. Agilidad estratégica, o "la agilidad del
negocio," se puede lograr rápidamente mediante la adaptación de bienes y servicios para satisfacer
las demandas del cliente.
La agilidad es un concepto que incorpora las ideas de flexibilidad, equilibrio, capacidad de
adaptación y coordinación bajo un mismo paraguas. En un contexto de negocios, agilidad
típicamente se refiere a la capacidad de una organización para adaptarse rápidamente al mercado y
los cambios en el medio ambiente productivo.
41
La empresa ágil es una extensión de este concepto, en referencia a una organización que
utiliza los principios fundamentales de los sistemas adaptativos complejos y ciencia de la
complejidad para lograr el éxito. (Hatum, 2014)
En el contexto de la computación en nube, la agilidad a menudo se refiere a la capacidad de
desarrollar rápidamente, probar y lanzar aplicaciones de software que impulsan el crecimiento del
negocio.
La agilidad se logra de diferentes maneras:
El tiempo de salida al mercado/tiempo de ingresos: La computación en la nube permite a las
empresas significativamente disminuir el tiempo que se necesita para el suministro y la
infraestructura de TI, lo que acelera la entrega de los proyectos de TI que son fundamentales para el
crecimiento de ingresos o reducción de costos. Mientras que un servidor físico podría tomar días o
semanas para obtener y disponer, un servidor en la nube solo tarda unos minutos en realizar la
misma actividad.
Sistemas adaptativos: Debido a la accesibilidad de la API de plataformas en la nube, es
típicamente más fácil para automatizar la gestión de TI y el aprovisionamiento en un entorno de
nube, mediante la integración de plataformas de inteligencia de negocios y análisis de TI,
herramientas de monitoreo con la nube que permiten que los sistemas sean más adaptables. Por
ejemplo, los nuevos servidores se pueden aprovisionar automáticamente o des aprovisionar cuando
se cumplen los umbrales de balanceo de carga.
Nuevos modelos de negocio/Nuevos mercados/Innovación: La computación en la nube
permite a las empresas alinear los costos de TI de infraestructura y de gestión con el éxito y la
escala como nuevos mercados(productos, geografías, servicios, segmentos de clientes).
Flexibilidad y escalabilidad: La capacidad de aumentar o disminuir rápidamente los recursos
bajo demanda para satisfacer las necesidades de desarrollo de aplicaciones o de producción
impredecible. En el caso de la nube, esto podría significar capacidad para girar 10x hasta 100x la
utilización promedio de recursos informáticos para apoyar un nuevo proyecto o explosión repentina
de la demanda o tráfico en el sitio web. Debido a la flexibilidad de pago por uso de la nube, los
usuarios finales son capaces de escalar rápido o fallar rápido sobre la base de las demandas de la
empresa.
6.1 Costos reducidos
El uso de la nube puede reducir el costo total de propiedad de la infraestructura de manera
significativa. Algunos clientes reportan un ahorro de 50-75%, debido a que cada cliente es único, el
potencial de ahorros logrados mediante el aprovechamiento de las tecnologías o servicios en la nube
pueden variar. Varios factores de impacto en el costo total de propiedad de la infraestructura de
funcionamiento:
Reducción de CapEx: El gasto de capital en el equipo permite a las empresas depreciar lo
que costará de tres a cinco años; sin embargo, muchos de los proyectos de TI no duran dicho
periodo. La reducción de los gastos de CapEx (gastos de capital) en equipo y el movimiento en la
inversión a la nube (gastos operativos) permiten a las empresas alinear mejor la inversión y costo
con iniciativas empresariales para la reducción del mismo.
42
Virtualización: El uso de la tecnología de virtualización crea maquinas virtuales en una sola
maquina física, lo cual puede reducir significativamente los costos de hardware y energía.
Pago por uso: Usuarios finales de cloud computing solo pagan por los recursos que utilizan.
Por ejemplo, un usuario final puede necesitar utilizar diez servidores para probar y desarrollar una
aplicación en pocos meses, en lugar de tener que comprar el hardware, espacio de colocación y
poder para apoyar el proyecto temporal, puede simplemente usar diez servidores basados en la nube
para dos meses.
Capacidad y Elasticidad On-Demand: Ser capaz de ajustar el uso de recursos de forma
dinámica y bajo demanda para permitir a las empresas reducir exceso de aprovisionamiento.
Eficiencia: La computación en nube simplifica el aprovisionamiento, des aprovisionamiento
y re-despliegue de recursos a través de la automatización, consolas y APIs web fáciles de usar. La
eficiencia de la computación en la nube reduce la cantidad de tiempo que un administrador de
sistemas de TI tiene que gastar en la gestión y la infraestructura de apoyo. El número promedio de
admiradores de servidores en un centro de datos típico es de 50 servidores: 1 administrador. La
proporción promedio de los centros de datos es de 500:1 (Wicklund, 2014)
Economías de escala: En teoría un proveedor de nube debe ser capaz de transmitir los
beneficios de las economías de escala y la experiencia derivada de la prestación de servicios
estandarizados a varios clientes. La realidad es que puede ser menos costoso para un cliente
construir y gestionar recursos de TI internos para ciertas cargas de trabajo de aplicaciones que son
predecibles. Es importante entender los costos relevantes para el cliente y así poder gestionar sus
propios recursos en la empresa.
Apalancamiento de recursos: Las arquitecturas multi-tenant permiten intercambiar y
compartir recursos; y los costos cuando se ejecuta la aplicación. En este sentido, esta arquitectura
puede ser vista como una alternativa a la virtualización. (Wilder, 2014)
6.2 Reducción de riesgos
Las empresas que evalúan cloud están tratando de reducir la complejidad y el riesgo.
Continuidad del negocio: La nube puede ser utilizada como una forma rentable de copia de
seguridad de datos o proporcionar un sitio de recuperación ante desastres para mejorar la
continuidad del negocio y el tiempo de actividad.
Independencia tecnológica: El servicio de cloud no especifica el proveedor, y a menudo se
entrega como una suscripción o pago por uso, que son capaces de evitar los proveedores de
tecnología.
Complejidad Operacional: La nube permite a las empresas reducir la complejidad operativa,
la simplificación y estandarización de la forma en que los recursos de TI se gestionan y se entregan.
Gobierno, conformidad, seguimiento y control: Fundamental para lograr la gobernabilidad y
los requisitos de cumplimiento; como lo son las habilidades para auditar, el acceso seguro a los
datos y el control y recursos de la empresa. Los proveedores de cloud deben mejorar la forma en
que se realiza un seguimiento de recursos, asegurado y controlado por los usuarios finales, a
menudo una mejora de las empresas debe ser la capacidad de ser compatible (SSAE 16, HIPAA,
CFR 21 Parte 11, etc.) y cumplir con requerimientos de control interno.
43
Soberanía de datos: Cada vez más se requiere que una organización restringa la transmisión
y el almacenamiento de datos a una geografía específica (país o región). Uso de una nube pública o
la implementación de una nube privada en un país o región permite a las empresas satisfacer mejor
los datos, el cual es un requisito soberanía.
Servicios estandarizados: En una gran empresa global, se debe asegurar la normalización; la
cual es fundamental para administrar de manera eficiente y de apoyo de TI. Debido a la nube (SaaS,
PaaS, IaaS) ofrece un conjunto estandarizado de servicios, es más fácil de manejar y reducir los
errores y el riesgo de ejecución.
Habilidades especializadas: Las organizaciones a menudo carecen de habilidades internas
para migrar a nuevos modelos y plataformas, como la computación en nube. A falta de experiencia
práctica, habilidades internas (multiusuario, diseño de base de datos de la arquitectura, la migración
de aplicaciones de Microsoft, las operaciones en la nube, el usuario, desarrollo de interfaces, etc.) y
los puntos de referencia de funcionamiento, aumenta el riesgo de fracaso, y alarga el tiempo
necesario para las iniciativas relacionadas con la nube. Basándose en una nube con experiencia que
reduce el riesgo.
6.3 Conclusiones
El uso de la nube debe representar un medio para satisfacer las crecientes necesidades tecnológicas
de una empresa. Reducir los costos y el tiempo necesario para implementar y apoyar la
infraestructura de TI y reducir los riesgos, son apenas los requerimientos básicos de esta tendencia,
que hoy está al alcance de todos.
Optimizar el recurso humano y financiero para concentrarse en el crecimiento de la empresa
será el resultado final de optar por la nube adecuada.
Y aunque no está exenta de problemas, la seguridad, el cumplimiento, la integración, la
cobertura mundial y la disposición interna no pueden considerarse cuestiones secundarias.
6.4 Referencias
Hatum A. (2014) La organización y la nueva empresa ágil y virtual: hacia el modelo de negocio
abierto. [En línea]. Disponible http://www.harvard-deusto.com/articulo/La-organizacion-y-la-
nueva-empresa-agil-y-virtual-hacia-el-modelo-de-negocios-abierto
Nelson L. (2015). Market Overview: Private Cloud Solutions. [En línea]. Disponible
https://www.forrester.com/Market+Overview+Private+Cloud+Solutions+Q2+2011/fulltext/-/E-
res58924
Perilli, A. (2015). Virtualization and Cloud Computing, Data Center Strategies, Gartner for
Technology Professionals (GTP), 15 (2) 10-21
Ried S. and Kisker H.(2015). Sizing the cloud: Understanding and Quantifying The Future Of
Cloud Computing. [En línea]. Disponible
https://www.forrester.com/Sizing+The+Cloud/fulltext/-/E-res58161
Wicklund, P. (2014). Microsoft Sharepoint 2014 Deploying Cloud-Based Solutions.
Publisher: Microsoft Press.
44
Wilder Bill. (2014). Cloud Architecture Patterns: Using Microsoft Azure. Publisher: O´Reily
Media, Inc.
45
Control Self Assessment (CSA) como herramienta de gestión de riesgo
tecnológico
Alma López
A López
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
46
Abstract
The aim of this paper is to describe how the methodology of risk assessment Self-Control (CFS for
short) can assist organizations as a tool for risk management, both for business processes such as for
specific processes, as if they are information.For Technologies above we can conclude that the risk
assessment Self-control is a methodology that can support organizations in improving risk
management, implementation of controls and continuous improvement, creating value and
supporting the achievement of business objectives.
Introducción
La auto-evaluación de control (CSA por sus siglas en inglés)(Tovar, 2014) es un proceso a través
del cual se examina y evalúa la efectividad del control interno con el objetivo de proporcionar
seguridad razonable de que todos los objetivos de negocio serán alcanzados. Dicha metodología
puede ser utilizada por los altos ejecutivos, auditores e incluso stakeholders para evaluar la
razonabilidad de los procesos de gestión de riesgos y controles en una organización. Las
organizaciones que utilizan la auto-evaluación (CSA) tendrán un proceso formal y documentado
que permitirá a la alta gerencia y a los diferentes equipos de trabajo, e inclusive a los stakeholders
participar internamente de una forma estructurada con la finalidad de:
Identificar factores de riesgo y exposiciones relevantes.
Evaluar los procesos de control que mitigan o gestionan esos riesgos.
Desarrollar planes de acción para reducir los riesgos a niveles administrables.
Determinar la probabilidad de que los objetivos del negocio sean alcanzados. (Tovar, 2014)
La auto-evaluación (CSA) promueve la evaluación de riesgos y controles por el staff que
opera los procesos de negocio, siendo este un cambio significativo en los métodos tradicionales de
evaluación de riesgos y controles, ya que se basa en la creencia de que el personal que ejecuta las
actividades en el día a día tiene un conocimiento íntimo del proceso, incluyendo las fortalezas y
debilidades en el ambiente de riesgos y controles. Esta experiencia provee una visión única
referente a la implantación de controles, su utilidad intrínseca y adherencia necesaria. Sin embargo,
hoy en día pocas empresas en México han implementado la auto-evaluación del control, ya que se
requiere de cierta madurez en materia de Control Interno, la cual debe permear a lo largo y ancho de
la organización mediante la adecuada administración del ambiente de control.
7 El riesgo tecnológico en las organizaciones
La creciente dependencia en la información y los sistemas se han convertido en un elemento crítico
para el éxito y supervivencia de las organizaciones y la mala gestión del riesgo en materia de
tecnologías de información puede llevarlas a fraudes, fuga de información, pérdidas monetarias,
afectación a terceros, etc. Los riesgos de TI se encuentran intrínsecamente asociados con la
ausencia de las oportunidades para utilizar la tecnología, con el fin de mejorar la eficiencia o
efectividad de los procesos de negocio o como un facilitador para nuevas iniciativas
organizacionales, es decir, los riesgos de la prestación de servicios y de operaciones de TI están
asociados con todos los aspectos del desempeño de TI y servicios del sistema, que puede ocasionar
la destrucción o la reducción de valor para la organización. Es por ello que resulta necesario como
primer paso establecer una declaración en toda empresa en la que se establezca que los riesgos de
TI siempre existirán a pesar de que la organización no los detecte ni reconozca.(ISACA, 2009)
47
7.1 Control Interno y la gestión de riesgo tecnológico
En un mundo tan globalizado es necesario contar con figuras de control que apoyen y provean a la
alta dirección de seguridad razonable para el logro de objetivos. Es por ello que el control interno es
definido como un proceso efectuado por el Consejo de Administración de la organización
designado para proporcionar dicha seguridad razonable en el logro de los objetivos enfocándose
principalmente en los siguientes controles:
Controles operativos – Relacionados a la efectividad y eficiencia en el uso de los recursos de
la entidad.
Controles de reportes financieros – Relacionados a la preparación de estados financieros
confiables.
Controles de cumplimiento – Relacionados con el cumplimiento de la entidad con leyes y
regulaciones aplicables.(Commission, 2004)
Sin embargo, en todos y cada uno de los controles antes mencionados se encuentran
involucradas las Tecnologías de Información (TI) como base fundamental de toda la operación. Por
ello resulta indispensable determinar cuáles son las responsabilidades en materia de control dentro
de una organización, con la finalidad de saber quién deberá atender los temas en materia de riesgo-
control de TI. Con base en las mejores prácticas en materia de control interno, la alta dirección es la
encargada de la supervisión, establecimiento, administración y evaluación de los procesos de
gestión de riesgos y controles.(Moeller, 2013)
Las gerencias operativas son responsables de incluir la evaluación de riesgos y controles en
sus unidades de negocio, ya que los riesgos de TI también pertenecen al negocio y están asociados
con el uso, propiedad, operación, participación, influencia y adopción de las TI en las
organizaciones, ya que se componen de los eventos relacionados con las tecnologías, los cuales
potencialmente podrían afectar a la organización y el logro de sus metas y objetivos
estratégicos.(ISACA, 2009) Es por ello que las regulaciones internacionales como la Ley Sarbanes
Oxley(Commission, 2004), e incluso nacionales como lo es la Circular Única de la Comisión
Nacional Bancaria y de Valores, han determinado el riesgo tecnológico y la implementación de
controles que lo mitiguen como uno de los puntos críticos de toda organización. Y es en ese punto
donde los entes revisores (auditoría y/o contraloría) proveen distintos grados de aseguramiento de
efectividad en materia de gestión del riesgo y procesos de control dentro de la organización. Así
mismo, es donde la aplicación del CSA apoya los tres ámbitos del marco de riesgo tecnológico, ya
que mediante la autoevaluación de procesos de TI se puede obtener información crítica y útil para
el Gobierno de TI, así como para la identificación, evaluación, respuesta y administración del
Riesgo (RISK IT).(ISACA, 2014)
7.2 Aspectos fundamentales para la implementación del Control Self-Assessment (CSA)
La implementación de la metodología de auto-evaluación se puede llevar a cabo mediante las
siguientes técnicas:
Talleres – donde el personal y la gerencia discute la estructura de control, estos pueden ser
talleres de modelo de control o interactivos.
Encuestas – donde se obtiene información del personal que opera respecto a ciertos tópicos
de control que se tienen previamente identificados.
48
Así mismo, de acuerdo con las recomendaciones del resulta necesaria la declaración de una
política sobre la gestión de riesgo y un programa de concientización de seguridad que provenga de
las políticas, estándares, guías y procedimientos para:
El aseguramiento de los activos de información.
Conciencia de los deberes y responsabilidades individuales en la aplicación de sus
funciones.
Lo cual nos permita desarrollar una cultura organizacional que promueva la administración
de riesgo y comunicación efectiva de dichos riesgos con los stakeholders, todo mediante un
proceso claramente documentado y revisión continua de la alta dirección. Para asegurar el éxito de
la implementación de la auto-evaluación (CSA) los directivos, stakeholders, gerentes y personal a
todos los niveles deberá tener conciencia y adherirse a los conceptos de riesgo y control, para ello es
indispensable que la organización se asegure de lo siguiente:
Que el personal entienda su rol y responsabilidad relacionados con la misión de la
organización.
Que conozcan las políticas, procedimientos y prácticas de la organización.
Que posean los conocimientos adecuados de los controles gerenciales, operativos y técnicos.
El factor humano (factor no tecnológico o de procedimientos de control) es clave para
proporcionar un nivel adecuado y apropiado de la evaluación del riesgo-control, son un factor clave,
pero a la vez el enlace más débil, por lo que se requiere de un robusto programa de concientización.
7.3 Marcos y mejores prácticas que pueden ayudarnos en su implementación
La aplicación de mejores prácticas para la gestión de los riesgos de TI proporcionan beneficios
tangibles al negocio, algunos de estos son:
Menor número de eventos inesperados y fracasos.
Aumento de la calidad de la información.
Mayor confianza de las partes interesadas (stakeholders).
Menores preocupaciones de carácter regulatorio.
Nuevas iniciativas para el negocio apoyadas por aplicativos innovadores.
Algunas de estas mejores prácticas las podemos encontrar en marcos de referencia y normas
internacionales como lo son: COSO, COBIT, RISK IT, ISO 31000, en el sector financiero en el
marco de Basilea II, entre otros. A pesar de que los componentes de control son los mismos en estos
marcos de referencia y normas, para la auto-evaluación (CSA) y para las técnicas tradicionales, la
diferencia primaria reside en la metodología implementada para identificar, revisar, evaluar y
validar los controles ya que en las técnicas tradicionales es el auditor o consultor externo quien
emite su opinión respecto al marco de control, realiza el análisis y evaluación de riesgos y controles
basado en transacciones.
49
Sin embargo en el proceso de auto-evaluación (CSA) todas estas actividades son conducidas
por el personal de las unidades de negocio y la gerencia a cargo de cada una de ellas, basados en
procesos, enfocadas al cliente, orientadas a la identificación de riesgos, efectividad del control y
mejoramiento del proceso.(Graves, Longenecker, Marsh, & Milstead, 2003)
Costo de la implementación del CSA. El costo de implementación del Autocontrol puede ser
tan bajo o tan elevado como la organización lo decida, ya que puede ser ejecutado mediante simples
encuestas en papel, hasta desarrollar sistemas informáticos que apoyen en la aplicación de dichas
encuestas, análisis de resultados, emisión de reportes y notificaciones a la alta dirección o dueños de
proceso. Adicional a ello deberán considerarse costos de concientización y capacitación del
personal que dirigirá y llevará a cabo dicha práctica o proceso.
Beneficios del CSA.
En su forma más pura la Auto-evaluación del control (CSA) proporciona los siguientes
beneficios:
Facilita la obtención y comunicación de información que conduce a mejorar la gestión de
riesgos y controles.
Genera valor ya que motiva la cooperación entre las diferentes unidades de negocio e
incrementa la implicación de estas en el diseño y mantenimiento del sistema de gestión de riesgos y
controles, promoviendo así una cultura más abierta y compartida dentro de la organización.
El personal de las unidades de negocio adquiere entrenamiento y experiencia en la
evaluación de riesgos y administración de estos a través de la implementación de controles,
mejorando la oportunidad de alcanzar los objetivos de la organización.
El personal se ve motivado al ser dueño del proceso de gestión de riesgos y controles en sus
áreas de negocio, lo que promueve que las acciones correctivas implementadas por estos equipos de
trabajo sean frecuentemente más efectivas y oportunas.
La infraestructura entera de la organización en materia de objetivos-riesgos-controles se
encuentra sujeta a una mayor supervisión y mejoramiento continuo.
Los entes revisores de las organizaciones (auditoría y/o contraloría) mejoran su eficiencia en
la obtención de información vital y valiosa por parte de los equipos de trabajo de las unidades de
negocio, lo cual les permite mayor investigación y ejecución de pruebas para la identificación de
debilidades de control significativas y riesgos residuales altos.
7.4 Premisas para la implementación del CSA
Una de las principales premisas es que si el personal involucrado no es suficientemente consiente de
la importancia de éste tipo de prácticas y no responde de manera honesta las encuestas o no cuenta
con las habilidades de identificación de riesgos, lo que puede llevar a una falta de certeza en los
datos proporcionados por los participantes. Otra premisa importante es que si la alta dirección no
patrocina, fomenta y permea la cultura de la auto-evaluación en la organización resulta muy difícil,
sino es que hasta imposible su implementación. En otras palabras, se requiere de un gran
compromiso por parte de la alta gerencia, así como del personal que intervendrá en el proceso de
Auto-evaluación del control.
50
Caso de Implementación. En México, una de las instituciones hipotecarias más importantes
del país, decidió implementar la práctica de la Auto-evaluación del control CSA para mejorar su
gestión del riesgo-control. El método de implementación contempló el diseño del proceso de Auto-
evaluación del control CSA apoyado en la metodología COSO para procesos de negocio y COBIT
para los procesos de TI, en la cual se definen los objetivos de control a alcanzar y se establecen 8
objetivos de evaluación del control basados en el marco de referencia y 5 niveles de madurez para
cada uno de ellos.
Gráfico 7 Objetivos de evaluación de control establecidos en dimensiones y 5 niveles de madurez
con base en COSO – ERM
Fuente: Infonavit
Para ello, se diseñó un sistema informático que apoya con la automatización en la aplicación
de cuestionarios, la emisión de reportes de resultados y que facilita el análisis de resultados. Así
mismo se llevó a cabo la realización de talleres con los dueños de negocio, dueños de proceso y
personal clave que opera dichos procesos, con la finalidad de que estos obtuvieran una amplia
representación de las perspectivas que apoyan u obstaculizan el logro de objetivos institucionales.
En esta fase el personal de la Contraloría Interna se encargó de diseñar e impartir dichos talleres, así
como de la gestión y administración del proceso de Auto-evaluación del control.
En dicha práctica los participantes (tanto dueños de proceso, como operadores) evalúan las
fortalezas y debilidades de sus procesos (riesgos y controles) y comentan el impacto que tienen
ciertas actividades de críticas de la operación en el logro de los objetivos institucionales, esto desde
un enfoque global hasta uno muy particular, dependiendo de su involucramiento y responsabilidad
en la institución.
Dichas evaluaciones son aplicadas de manera periódica utilizando el mismo criterio en cada
ejercicio para facilitar la acumulación y comparaciones en el ámbito de toda la organización. Una
vez que se ejecutan las evaluaciones se emite el informe de resultados donde cada gerencia recibe el
reporte de evaluaciones, el cual constituye la base para el intercambio de ideas entre la gerencia, el
personal que opera y la contraloría interna, que incluye los asuntos de interés para la definición de
acciones de mejora que apoyen la gestión de riesgos institucionales.
51
Figura 7 Proceso de Auto-evaluación
Fuente: Infonavit
Dichos reportes comparan la evaluación de los controles de cada componente contra el nivel
de madurez de toda la Institución y determinan el nivel de confianza de los resultados mediante la
validación de evidencias que soportaron las respuestas de los participantes, obteniendo información
valiosa respecto a controles potenciales, por la especialización que cada proceso.
Gráfico 7.1 Comparación de resultados por área de negocio y procesos contra los resultados
institucionales
Fuente: Infonavit
A través de los 3 años que lleva implementada la Autoevaluación de control se ha logrado
elevar el nivel de madurez, ya que en su primer ejercicio en 2011 obtuvo un nivel de madurez de
3.71 que lo ubicaba como una organización CAPAZ en la que la gestión de riesgos presentaba
oportunidades moderadas de mejora y a lo largo del tiempo mediante la implementación de mejoras
derivadas de los resultados y retroalimentación de las Auto-evaluaciones se ha llegado en 2015 a un
nivel MADURO con una resultados de 4.05, en el cual las oportunidades de mejora son mínimas en
la gestión del riesgo-control dentro de sus procesos, generado valor en materia de gestión del riesgo
tecnológico y de sus procesos de negocio, ya que hoy en día se cuenta con actividades normadas en
los procesos de negocio, con riesgos y controles documentados y operaciones apoyadas en Sistemas
Informáticos Institucionales; reflejando que tanto los procesos y sus resultados son
cuantitativamente comprendidos y controlados.
52
7.5 Conclusiones
La implementación de un sistema de auto-evaluación del control requiere de cierto grado de
madurez por parte de la empresa, ya que la falta de patrocinio por parte de la alta gerencia
usualmente significa el fracaso en la implementación del CSA. Dicha implementación facilita la
identificación y gestión de riesgos de manera oportuna y exacta ya que es el personal quien tiene un
sentido más afinado, que está íntimamente relacionado con la operación y que conoce a detalle
cuales pudieran se las causa-raíz de estos, quienes participan en el ejercicio de autoevaluación. Las
mejores prácticas o marcos de referencia generan gran valor en la implementación de la
Autoevaluación de control, ya que pueden robustecer la implementación de éste a los ámbitos del
negocio que requiera desde la entrega de servicios (ITIL), la gestión del riesgo-control (COBIT,
ISO 31000 & RISK IT), hasta implicaciones referentes al ámbito de la seguridad de la información
(ISO 27000). Con un buen patrocinio e implementación de la Autoevaluación del riesgo-control
(CSA), la alta dirección tendrá un mejor entendimiento de los riesgos y controles que impactan el
negocio y los estados financieros; el personal de TI tendrá la propiedad de la estructura de control
debido a que ellos están envueltos en el diseño y evaluación de ésta. Siendo de esta manera que se
generará valor en la gestión de los riesgos tecnológicos y de negocio de la organización.
7.6 Referencias
Commission, C.-T. C. o. S. O. o. t. T. (2004). Enterprise Risk Management. 2.
Graves, S. M., Longenecker, B., Marsh, T. L., & Milstead, H. (2003). Evaluating Internal Controls.
Government Finance Review, 19(3), 40.
ISACA. (2009). The Risk IT Framework.
ISACA. (2014). Relating the COSO Internal Control—Integrated Framework and COBIT.
Moeller, R. R. (2013). Executive's Guide to COSO Internal Controls : Understanding and
Implementing the New Framework. John Wiley & Sons, Incorporated.
Tovar, F. (2014). Seminario CCSA (Certificación en Autoevaluación del Control). Instituto
Mexicano de Auditores Internos A.C.
53
Generación de un índice integrado de satisfacción del servicio (IISS) para un
área de servicio de soporte técnico en una empresa trasnacional utilizando lógica
difusa
Marco Yáñez & Francisco Valdés
M. Yáñez & F. Valdés
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
École de Technologie Supérieure, University of Québec Dept. of Software Engineering Montreal, Canada
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
54
Abstract
This work is an application of the EPCU model looking to have an efficient way to understand the
customer satisfaction compared with the actual methodology using in the Company to analyze the
satisfaction with three independent indicators. The case study uses the EPCU to obtain customer
profiles represent by only one indicator to be use for improvement the service. EPCU can provide a
tool based expert opinion to obtain a consistent result being a positive capability to synchronize the
opinions to be efficient the analysis phase and provoke a faster improvement action to be apply in
the different areas as needed.
Introducción
Este documento está desarrollado con base a la situación actual de una empresa trasnacional, que
por temas de confidencialidad se omitirá su nombre y se referenciará como ―Empresa A‖. La
Empresa A tiene como eje principal una estrategia de posicionamiento del cliente como núcleo en la
generación de experiencias positivas, considerando que la satisfacción de éste es el único medio de
permanencia en la industria y crecimiento en el mercado. Con los métodos establecidos que
actualmente se utilizan para medir los niveles de satisfacción, se han definido tres indicadores que
se describen a continuación:
―Total Customer Experience (TCE)‖; permite evaluar la calidad del servicio que es recibido
por el cliente final de la empresa, a nivel de la operación.
―Customer Loyalty Index (CLI)‖; permite evaluar cómo percibe los servicios
proporcionados el cliente, a nivel de negocio.
―Net Promoter Score (NPS)‖; permite evaluar la intención de recomendar los servicios
recibidos (generar clientes promotores de los servicios) dentro de su área de influencia.
Actualmente, estos tres indicadores son tratados de manera independiente y no se cuenta con
algún mecanismo formal que integre una sola perspectiva de servicio por parte de los clientes al
respecto de los servicios recibidos, lo único con lo que se cuenta es una percepción basada en el
juicio de experto. Generar un solo indicador de manera formal y consistente que permita tener una
idea de la percepción total mencionada, se considera relevante para la Empresa A, porque permitiría
tomar mejores decisiones para lograr un fortalecimiento de la posición del mercado y una
sustentabilidad de la organización, a través considerar las interacciones de los indicadores actuales
(TCE, CLI, NPS), es decir de manera sistémica.
En la Empresa A, no se tienen datos cuantitativos de la relación entre los tres indicadores y
los impactos individuales de cada uno de ellos, sin embargo, si se cuenta con la experiencia de los
trabajadores de cómo se relacionan estos indicadores, así como las implicaciones que tienen, lo cual
podría ser expresado mediante reglas de inferencia.
Un mecanismo que permite definir y manejar reglas de inferencia para obtener un valor
cuantitativo significativo es la Lógica Difusa [1] una aplicación de la lógica difusa se define en el
modelo EPCU [5] que es un modelo de estimación con base en variables cualitativas, que ha
demostrado en estudios que presenta un mejor comportamiento que el juicio de experto [5],
logrando que los resultados sean consistentes, con independencia de la experiencia de los
evaluadores.
55
En este documento, se pretende utilizar el Modelo EPCU [5], para generar un ―Índice
Integrado de Satisfacción de Servicios‖ (IISS), que pretende reflejar la satisfacción del cliente,
coadyuvando a la toma de decisiones que permitan mantener y/o mejorar la percepción del servicio
y como consecuencia lograr los objetivos estratégicos que tiene la Empresa A, de colocarse en una
posición positiva diferenciada comparada con los competidores.
En la sección 8 de este documento se explica cuál es la problemática o área de oportunidad
que se desea solucionar con la propuesta de IISS, dando un entorno general del servicio de soporte
técnico y como los indicadores actuales se utilizan en la Empresa A. en la sección 3 se describe
brevemente el marco matemático de la lógica difusa, que da pie al modelo EPCU descrito en la
sección 4, el modelo EPCU se utilizó para la generación de un índice unificado de satisfacción del
servicio y el proceso se define en la sección 5, en la sección 6, se describe el caso de estudio
realizado y en la sección 7 se presentan las conclusiones del contexto utilizado y los beneficios
esperados para la Empresa A.
8 Problemática/Área de oportunidad
Dentro de las áreas que conforman la entrega del Servicio de Soporte Técnico en la Empresa A , se
tienen establecidos procesos, procedimientos, recursos, herramientas, personal capacitado, y
refacciones enfocados a lograr un nivel de satisfacción de los clientes finales al resolver los
servicios de soporte técnico solicitados.
Se cuenta actualmente con un metodología madura de mejora continua basado en Lean Six
Sigma [2] con el cual se generan los planes de trabajo para las diferentes áreas que buscan obtener
un mejor servicio para los clientes, esta metodología tiene como principal fuente de información
para cumplir sus objetivos la información de los indicadores TCE, CLI y NPS.
Los indicadores se obtienen mediante encuestas, y se tratan de manera independiente, cada
indicador tiene una escala de medición, para el indicador TCE está establecida una escala del 0 al
10; dónde el 0 es el valor mínimo y el 10 el valor máximo para determinar el nivel de satisfacción
del cliente, el indicador NPS también utiliza una escala del 0 al 10; dónde el 0 es el valor mínimo y
el 10 el valor máximo para determinar la intención de recomendar a otros clientes los servicios de la
Empresa A, por último el CLI a diferencia de los otros dos índices, éste utiliza una escala del 0 al 5;
dónde 0 es el mínimo valor y 5 el máximo para determinar cómo percibe un cliente los servicios
proporcionados por la empresa A, y que determina el nivel del cliente sobre su disposición para
continuar las relaciones de negocio, estos indicadores son obtenidos por medio de una organización
externa que asegura la neutralidad de los resultados. A partir de los resultados de los indicadores se
buscan áreas de oportunidad del servicio para corregirlas e incrementar su calidad sobre la
perspectiva del cliente a través de hacer más eficiente la operación y mantener la salud financiera
del área de negocio.
Con base en este modelo de mejora continua, actualmente se ha podido determinar cómo se
puede mejorar la entrega de servicios de manera asistémica, pero siempre en un modelo de mejora
reactivo o post-servicio que trae como desventaja una afectación previa del cliente final sin que
tenga en la organización una oportunidad preventiva de asegurar el nivel de servicio esperado.
Al no contar con una visión integrada, la Empresa A invierte en acciones independientes que
buscan incrementar los tres indicadores, sin tener conocimiento de cuál de todos impactará más en
la percepción de un mejor servicio por parte del cliente, si se tuviera esta visión integrada, sería
posible identificar qué indicador es el que representa una mayor incremento en la percepción de los
servicios de soporte y enfocarse en acciones para incrementar este, haciendo más efectivo el uso de
los recursos.
56
Procedimiento de Entrega del Servicio de Soporte Técnico al Cliente
La figura 8 muestra el procedimiento de entrega de servicio de soporte técnico al cliente,
primeramente se recibe el requerimiento de soporte y es validado conforme los niveles de servicio
que tiene contratado el cliente, posterior a la recepción se busca identificar el problema con
elementos que tienen que interactuar desde la actitud de servicio hasta habilidades muy específicas
de entrevista para lograr una buena descripción del problema.
Posteriormente, se hace un trabajo de diagnóstico donde la mayoría de las veces se necesita
interactuar con uno o más representantes del cliente y lograr encontrar la causa raíz que provoca la
falla del servicio en el ambiente del cliente. Teniendo la causa raíz se debe desarrollar un plan de
remediación que implica instruir la forma en que se recuperara los servicios.
Una vez con el plan de remediación, se solicita la recepción técnica donde se va a realizar la
actividad física con el ambiente del cliente y de ser necesario el remplazo de refacciones, el plan de
remediación es ejecutado y la solución se valida en conjunto con el cliente, quién en su caso, libera
el servicio dándolo como solucionado y concluido.
Todos estos elementos tienen puntos que si llegan a no funcionar adecuadamente, pueden
implicar la generación de insatisfacciones al cliente final.
Una vez concluido, el cliente proporciona su evaluación (percepción) sobre los servicios
recibidos.
Figura 8 El Cliente y sus contactos con el servicio
Fuente: Creación propia
Integración de indicadores.
La figura 8.1 muestra la zona llamada de certidumbre con base a los resultados de los
indicadores de servicio actuales de la Empresa A, que como se ha comentado, son tomados en
cuenta de manera independiente para la elaboración de acciones post-servicio siempre y cuando el
cliente allá expresado algún tipo de insatisfacción. Cada indicador genera acciones de mejora en los
procesos, herramientas, recursos, etcétera sin ser relacionado con los otros dos indicadores
restantes. Posteriormente la acción aplicada regresa al ciclo de evaluación del cliente en cuanto el
ultimo recibe un nuevo servicio, si en esta ocasión el cliente expresa su insatisfacción en el mismo
indicador u otro de los indicadores, la información nuevamente vuelve a tratarse independiente por
el mismo proceso de mejora establecido con en la empresa A y no se relaciona con los otros dos
indicadores que pudiesen haber tenido información del mismo cliente, posiblemente perdiendo la
posibilidad de un mejor entendimiento del servicio entregado.
57
Figura 8.1 Integración de indicadores, zona de certidumbre
Zona de Certidumbre
Post - Revisión del Servicio
Experiencia Total
del Cliente
Net Promoter Score
Indice de Lealtad
del Cliente
Entrega del Servicio al Cliente Final
Zona de Incertidumbre
Cambios de
Proceso
Resultados de La Satisfacción
del Servicio
(De zona de Certidumbre a
Procesos de Mejora Continua)
Expectativa de la Satisfaccion
del Servicio
(De la Zona de Incertidumbre a
Recepcion del Servicio)
Implementacion de Herramientas
Inversion en Recursos
Pre - Revisión del Servicio
Mejora Proactiva o Preventiva
Mejora Reactiva o ReparaciónClientes
Fuente: Creación propia
El IISS generado mediante el modelo EPCU pretende que la percepción del cliente para los
tres indicadores se integre logrando que los trabajos de mejora post-servicio tengan una visión
sistemática de las inconformidades del cliente para que sea posteriormente analizados y procesados
en el ciclo de mejora continua de la Empresa A, logrando reducir la zona de incertidumbre referida
también en la figura 2, para lograr un ciclo de mejora más eficiente por medio de perfiles integrados
de clientes y con un mejor uso de los procesos, las herramientas y el personal del servicio de
soporte técnico, en virtud de que se podrían enfocar los esfuerzos en resolver lo que más repercuta
en incrementar la satisfacción del cliente.
El área actualmente busca cada día asegurar la estabilidad del servicio e incrementar la
calidad del mismo, pero siempre por medio de la retroalimentación de los clientes posterior a la
entrega donde se encuentran áreas de oportunidad.
8.1 Lógica Difusa (Fuzzy Logic)
La Lógica Difusa (LD) es un superconjunto de la lógica convencional referida como booleana que
busca cubrir el concepto de la verdad parcial -- por ejemplo los valores que se encuentran entre un
―completamente falso‖ y un ―completamente verdadero‖. Esta fue introducida por Lofti Zadeh en
1965 como una forma de tener un lenguaje natural para modelar la incertidumbre [1].
La utilidad de la LD para manejar la imprecisión y la incertidumbre proviene de algunos
elementos como son la teoría de los conjuntos difusos que se basa en las funciones de afiliación o
pertenencia que componen las clases. Zadeh [1] considera como características principales de la
LD como una extensión de la teoría clásica de conjuntos, el uso de variables lingüísticas y reglas
―si-entonces (if-then)‖ fundamentando la compresión de la información por medio de estos
elementos, dando una representación funcional a la precisión de significado. Mamdani define el
primer método de inferencia difusa, con aplicaciones para sistemas de control, por medio de la
síntesis de un conjunto de reglas lingüísticas, este método es uno de los más referidos en la
literatura de la lógica difusa [4].
Un sistema difuso consiste en un conjunto de elementos que contiene ―variables de entrada‖, un
elemento fusificador, un mecanismo de inferencia basado en las reglas de inferencia, la variable de
salida del mecanismo de inferencia y un mecanismo defusificador [3]. Entre el elemento fusificador
y el mecanismo de inferencia se determinan las funciones de membresía de las cuales hay varios
tipos [9] (vease Gráfico 8):
Trapezoidal.
58
Triangular.
Gaussiana.
Sigmoidea.
Singleton.
Gráfico 8 Funciones de membresía [9]
Para realizar la parte de defusificacion en el sistema difusos existen distintos mecanismos
[4], entre los que se encuentran:
El menor de los máximos.
El mayor de los máximos.
El centroide del área (RSS).
La bisectriz del área.
La media de los máximos.
Gráfico 8.1 Métodos de defusificación
Adaptada de [4]
59
8.2 El modelo de estimación de proyectos en entornos de incertidumbre (EPCU)
El modelo EPCU fue propuesto en el 2007 [6] con base a la lógica difusa y trata de resolver el
problema de como estimar un proyecto en las primeras etapas del ciclo de vida del proyecto donde
se encuentra una gran cantidad de incertidumbre y la información del proyecto es vaga (es decir,
generalmente descrito por variables lingüísticas).
El modelo considera:
Las variables lingüísticas usadas por los expertos para describir las variables de entrada del
proceso de estimación en base a la experiencia (cuando estas entradas se basan en la información
disponible de carácter impreciso o ambiguo para estimar un proyecto).
La forma en que los expertos combinan los valores lingüísticos para la estimación del
proyecto.
El modelo EPCU se compone de 6 pasos: especificación de las variables de entrada,
especificación de la variable de salida, generación de las reglas de inferencia, la fusificación, la
evaluación de las reglas de inferencia y la defusificación [8] (figura 8.2).
Los 3 primeros pasos están relacionados al proceso de configuración del ―contexto EPCU‖,
los siguientes 3 se procesa el modelo por medio de la fusificación establecida por los expertos,
posterior la aplicación de las reglas de inferencia y al final la obtención del valor defusificado que
nos permite su uso ya en la aplicación práctica.
Figura 8.1 Modelo EPCU y sus 6 etapas
Adaptada de [8]
Un contexto EPCU es ―un conjunto de variables (entradas y salida) y las relaciones que
afectan un proyecto específico o un conjunto de proyectos similares‖ [5].
Configuración del Modelo.
Especificación de las variables de entrada. El objetivo de este paso es identificar y definir las
variables más significativas para el proyecto (o el tipo de Proyecto) desde el punto de vista de los
expertos dentro de la organizacion. Para el caso de este estudio el objetivo no es estimar un
proyecto, es determinar IISS, por lo que las variables de entrada son los indicadores definidos
(TCE, CLI y NPS).
60
Los expertos deben definir los conjuntos difusos para cada variable, lo que significa que
deben clasificar las variables en términos de valores lingüísticos. Por ejemplo, para el índice de la
experiencia del servicio al cliente TCE, el conjunto difuso se puede clasificar como ―bajo‖, ―medio‖
o ―alto‖.
También se requiere definir el dominio de la función de pertenencia para representar las
opiniones de los profesionales experimentados sobre las variables de entrada, que para el caso de
este estudio, como ya se definió en la sección 2, ya se cuenta con el rango en función de los posibles
valores de salida de cada intervalo: para el indicador TCE el rango es de 0 a 10, para el indicador
NPS también utiliza un mismo rango. Por último para el CLI el rango es de 0 a 5.
Es necesario también definir el tipo de función de membresía, en particular el Modelo EPCU
propone una mezcla entre funciones triangulares para los conjuntos intermedios y trapezoidales para
los extremos.
Especificación de la variable de salida. Se repite el paso anterior para la variable de salida
que en este caso será el IISS.
Generación de las reglas de inferencia. Todos los conjuntos difusos pertenecientes a cada
variable de entrada deben combinarse en forma de si-entonces (if-then):
IF x AND y, THEN z
IF x OR y, THEN z (8)
Donde ―x‖ es un conjunto difuso para una variable de entrada, ―y‖ es un conjunto difuso
para otra variable de entrada y ―z‖ es un conjunto difuso para la variable de salida.
Todos los conjuntos difusos para cada variable de entrada deben ser combinados con los
conjuntos difusos de las otras variables de entrada, para generar la base de reglas de inferencia.
Utilización del Modelo.
Los siguientes 3 pasos buscan procesar la información por medio de las definiciones
anteriores, para lograr un valor cuantitativo significativo.
Fusificación. El objetivo es obtener valores fusificados de los valores que se tengan para los
indicadores previamente evaluados por algún cliente. Este proceso crea valores difusos para ser
usados en el siguiente paso, que consiste en ejecutar las reglas base.
Ejecución de las reglas de inferencia. Este paso consiste en ejecutar las reglas de inferencia
mediante la sustitución de los valores difusos obtenidos para cada variable de entrada en el paso
anterior. La ejecución de las reglas de inferencia deben seguir las reglas de la lógica difusa, como:
Valor (P o Q) = máximo {valor (P), (Q)}
Valor (P y Q) = min {valor (P), valor (Q)} (8.1)
Defusificación. El sexto paso es la defusificación, cuyo objetivo es obtener un valor ―Crisp‖
utilizable, que en este caso será el IISS. El método EPCU propone la utilización del método de
RSS, en virtud de que combina los efectos de todas las reglas aplicables, escalas de las funciones en
sus respectivas magnitudes calculadas. El método RSS matemáticamente es más complejo que los
otros métodos, pero da la mejor influencia ponderada a todas las reglas de inferencia involucradas.
61
Beneficios del Modelo EPCU.
Dentro de los beneficios de la utilización del modelo EPCU se encuentran: la replicación
sistemática de la experiencia que se define como ―el uso de la experiencia de los expertos por otras
personas con habilidades y experiencia distinta‖ [8], el modelo EPCU permite una replicación
sistemática de la experiencia. Con base en la experiencia se pueden definir los contextos para el
modelo EPCU, y no se requieren datos históricos. El modelo EPCU, funciona como una misma
regla con independencia de los expertos que evalúen las variables de entrada, ya que las reglas de
inferencia son constantes. Esto hace que presente un mejor comportamiento aun cuando los
evaluadores tengan distintas habilidades.
8.3 Definición del contexto EPCU para determinación del índice integrado de satisfacción de
servicio (IISS)
En esta sección se describirá la configuración el contexto EPCU propuesto para calcular el IISS.
Especificación de las variables de entrada.
En detalle para la creación del IISS, se establecen las tres variables de entrada como cada
uno de los índices como se describen en la tabla 1 que actualmente se utilizan en la empresa A.
Tabla 8 Definición de las variables de entrada
Nombre Rango conjuntos difusos
TCE 0 -> 10 3
NPS 0 -> 10 3
CLI 0 -> 53
A continuación describiremos las funciones de membresía para cada variable de entrada.
Para el TCE y NPS, se definieron tres conjuntos difusos identificados como ―Bajo‖, ―Medio‖ y
―Alto‖, dos de ellos de tipo trapezoidal y una de tipo triangular en segmentos de rangos entre 0 y 10
en números reales (véase gráfico 8.2):
Gráfico 8.2 Función de membresía de las variables de entrada TCE y NPS.
Para la variable correspondiente al indicador CLI, se generaron tres conjuntos difusos
―Bajo‖, ―Medio‖ y ―Alto‖, dos de tipo trapezoidal y una de tipo triangular en segmentos de rangos
entre 0 y 5 en números reales (véase Gráfico 8.3):
62
Gráfico 8.3 Función de membresía de la variable de entrada CLI
Especificación de la variable de salida.
La variable de salida integrará los índices anteriores y como ya se mencionó se denomina
Índice Integrado de Satisfacción del Servicio (IISS), para su definición se establecen cincos
conjuntos difusos ―Bajo‖, ―Medio Bajo‖, ―Medio‖, ―Medio Alto‖ y ―Alto‖, dos de tipo trapezoidal
y tres de tipo triangular en segmentos de rangos entre 0 y 10 en números reales, dónde 0 es el valor
mínimo y 10 el valor máximo del IISS, el que el índice tenga un valor ―Alto‖ implica que se logró
el nivel de satisfacción deseado en la entrega del servicio que permitiría conservar la lealtad del
cliente y su disposición a promover los servicios recibidos de la Empresa A. (véase Gráfico 8.4):
Gráfico 8.4 Función de membresía para indicador IISS
Generación de las reglas de inferencia.
La generación de reglas de inferencia tiene como propósito relacionar todos los conjuntos
difusos de las variables de entrada entre sí, teniendo como consecuencia un conjunto difuso de la
variable de salida. El listado de las reglas definidas para el contexto se muestra en la tabla 8.1.
63
Tabla 8.1 Reglas de inferencia
8.4 Caso de estudio de generación del índice integrado de satisfacción de servicio (IISS) por
medio del modelo EPCU
El caso de estudio se define en cuatro etapas las cuales se describirán a continuación:
Definición de clientes y valores de los indicadores.
Se realizó una búsqueda aleatoria en los registros de diez clientes que hubieran recibido un
servicio de soporte técnico y que tuvieran datos de evaluación de los tres indicadores establecidos
por la empresa A. La Tabla 8.2 muestra un listado de los diez clientes seleccionados identificados
con un número secuencial en la primera columna, en las columnas dos, tres y cuatro se observan los
valores obtenidos por cada cliente para los índices individuales TCE, NPS y CLI.
Tabla 8.2 Indicadores correspondientes a la evaluación de servicios de soporte por parte de 10
clientes
Definición de participantes expertos.
64
Para establecer el contexto EPCU y realizar el caso de estudio se necesitó hacer un proceso
de selección de Expertos que participarán en la evaluación de las reglas de inferencia así como en la
valoración de los clientes que se seleccionaron en el paso anterior.
Las consideraciones que se tomaron para formar al grupo de expertos fueron las siguientes:
a) Cada experto pertenece a una de las áreas principales del proceso de entrega de servicio de
soporte técnico a clientes.
b) Los expertos tienen la capacitación sobre la metodología lean six-sigma de mejora continua
establecida en la empresa A.
c) Los expertos tienen como parte de sus funciones la asignación de proyectos relacionados
con el análisis o diagnóstico de las encuestas aplicadas para cada indicador de servicio, así como la
administración de los grupos de mejora continua para establecer acciones que solventen las áreas de
oportunidad en los servicios detectados por dichos análisis.
d) Todos los expertos conocen a profundidad todos los elementos (procesos, herramientas,
personal) necesarios para la entrega del servicio.
Del proceso de selección se logró la colaboración de tres expertos que apoyaron en la
generación del contexto EPCU y el desarrollo del caso de estudio.
Cada participante, de acuerdo a su experiencia estableció sus consideraciones para
determinar de manera cualitativa el IISS, considerando los conjuntos definidos en la variable de
salida (―Bajo‖, ―Medio Bajo‖, ―Medio‖, ―Medio Alto‖ y ―Alto‖). El resultado de los trabajos de
valoración de los Expertos se muestra en la Tabla 8.3.
Tabla 8.3 Valoración por cliente del IISS basado en el juicio de expertos de la empresa A
De la tabla 8.3, se puede observar que solamente para 5 clientes (1, 5, 6, 8 y 10) los expertos
coincidieron en la evaluación del IISS basada en su experiencia. Para los demás casos solamente
coinciden 2 de los tres expertos.
Obtención del IISS utilizando el contexto EPCU definido.
Al aplicar los pasos para evaluar cada uno de los 10 clientes utilizando el contexto EPCU
con el objetivo de obtener el cálculo del IISS, se obtuvieron los datos descritos en la tabla 8.4, en
donde la primera columna contiene el identificador de cada cliente, las columnas 2, 3 y 4 el valor de
IISS determinado con base en la experiencia por cada uno de los expertos y en la última columna el
valor del IISS calculado con base en el contexto EPCU previamente definido en la sección 8.3.
65
Tabla 8.4 Resultados de IISS aplicando el modelo EPCU
Graficando los valores de IISS obtenidos y descritos en la tabla 8.3 se obtiene el gráfico 8.5
que muestra visualmente la pertenencia de cada uno de los clientes (representados por su número
dentro de los círculos) a los conjuntos difusos significativos que los influyen.
Gráfico 8.5 Ubicación de IISS por cliente aplicando el modelo EPCU
Análisis de los datos obtenidos.
Al integrar las informaciones de las tablas 8.2, 8.3 y 8.4 con la intención de confrontar los
datos obtenidos en cada una de las etapas anteriores se obtiene la tabla 8.5 conformada por la
primera columna con el identificador de cada cliente, las columnas dos, tres y cuatro con los valores
obtenidos de los indicadores que conforman las variables de entrada, las columnas cinco, seis y
siete con el valor de IISS determinado con base en la experiencia por cada uno de los expertos, la
columna ocho contiene la valoración del IISS con base en el contexto EPCU y la última columna
con los conjuntos difusos significativos a los cuales pertenece el IISS bajo el contexto de EPCU.
Tabla 8.5 IISS Basado en el juicio de expertos, el contexto EPCU y sus conjuntos difusos
significativos
TCE NPS CLI Experto 1 Experto 2 Experto 3
1 0 3 1 Bajo Bajo Bajo 1.00 Bajo
2 4 4 2 Medio Bajo Bajo Bajo 1.88 Bajo, Medio Bajo
3 5 7 2 Medio Bajo Medio Bajo Bajo 3.00 Medio Bajo
4 5 10 4 Medio Medio Alto Medio 7.33 Medio Alto, Alto
5 8 7 3 Medio Medio Medio 5.54 Medio, Medio Alto
6 8 10 2 Medio Medio Medio 6.72 Medio, Medio Alto
7 9 8 5 Alto Alto Medio Alto 10.00 Alto
8 9 9 5 Alto Alto Alto 10.00 Alto
9 10 4 3 Medio Alto Medio Medio 4.11 Medio Bajo, Medio
10 10 9 5 Alto Alto Alto 10.00 Alto
IISS Basado en el
Contexto de EPCU
Conjuntos Difusos
SignificativosCliente
Indicador IISS Basado en el Juicio de Expertos
66
Realizando la comparación del IISS con base en el juicio de Expertos y los conjuntos
difusos pertenecientes al IISS bajo el modelo de EPCU se puede observar una coincidencia
significativa de ambos valores; en los clientes 1, 2, 5, 6, 8 y 10 el juicio de expertos fue
representado de manera completa por los conjuntos difusos significativos para el IISS obtenido con
base en el EPCU, en los clientes 3, 7 y 9 se observa que tuvieron algún conjunto difuso significativo
para los expertos que no fue representado por el IISS obtenido con el EPCU, esto representa una
coincidencia del 67% (2 conjuntos difusos de 3) que es muy cercana al juicio de los expertos, para
el cliente 4 se observa que solamente hubo coincidencia en un conjunto difuso (33%) entre los
expertos y la evaluación realizada con el modelo EPCU. De manera integral podemos decir que la
coincidencia del IISS obtenida con base en el EPCU representa adecuadamente aladecuadamente al
juicio de los expertos, además de presentar otros beneficios como la replicación sistemática de la
experiencia y un manejo de la incertidumbre. Otra forma de interpretar los resultados obtenidos en
base al valor de IISS y su pertenencia a los conjuntos difusos significativos es, por ejemplo solo el
cliente 4tienen una experiencia de servicio que presenta la menor coincidencia entre los dos IISS
obtenidos, para los demás clientes que los clientes el resultado obtenido con el IISS representa en
más del 67% su coincidencia. Al obtener el IISS para cada cliente y compararlo con la opinión de
los expertos, se observa que el índice obtenido mediante el modelo EPCU reflejaba la situación real
de cada perfil de cliente, lo que permitiría identificar posibles mejoras en el proceso de atención de
soporte técnico.
8.5 Conclusiones
Conforme a los resultados obtenidos se puede considerar que la utilización del modelo EPCU
basado en la lógica difusa para la creación del Índice Integrado de Satisfacción del Servicio (IISS)
resulto tener un grado de coincidencia muy adecuado respecto del considerado por los expertos de
la Empresa A, llegándose a la conclusión que el IISS puede ser útil para determinar perfiles de
calidad de servicio basado en clientes.
El modelo EPCU permitió generar una herramienta de análisis que ya no depende de la
experiencia de los expertos y que maneja formalmente la incertidumbre al transformar la opinión de
expertos en una expresión más consistente, además que la valoración es replicable y al ser
sistemática habilita la obtención de información y su análisis de forma más rápida y eficiente para la
toma de decisiones.
El modelo EPCU muestra su eficacia al haberse creado el Índice Integrado de Satisfacción
del Servicio (IISS) y sus resultados reflejan cual es el grado en que un cliente se encuentra
satisfecho y su nivel de lealtad a la empresa A que permita ser promotor a otros clientes.
El IISS también podrá servir como un indicador de mejora que ayudará a que la Empresa A
pueda focalizar los esfuerzos, por ejemplo en alguna de las variables de entrada que pudiesen tener
un mejor resultado, y que permita tener a los clientes en el nivel de satisfacción que la Empresa A
busca dentro de los servicios de soporte técnico al cliente final de una forma ágil y eficiente.
Es importante considerar que para este estudio se obtuvieron resultados adecuados
considerando clientes que evaluaron los servicios y que generaron los tres índices base, sin
embargo, habrá que desarrollar varias iteraciones y más análisis para otros escenarios que permitan
cubrir la exigencia de los objetivos estratégicos de calidad y satisfacción de los clientes que la
empresa actualmente tiene.
67
8.6 Referencias
[1] Zadeh, Lotfi A (2008), ―Is there a need for fuzzy logic?‖, Information Sciences, vol. 178, issue
13, 1 July 2008, pp. 2751-2779.
[2] M. George, Lean Six SIGMA : Combining Six SIGMA Quality with Lean Production,
McGraw-Hill Professional Publishing, 2002.
[3] Idri, A. and A. Abran (2000), ―Towards a Fuzzy Logic-based Measure for Software Project
Similarity,‖ in: 6th MCSEAI'2000 – Maghrebian Conference on Computer Sciences, Fez, Morocco,
2000.
[4] Mamdani, E. H. and S. Assilian, "An experiment in linguistic synthesis with a fuzzy logic
controller," International Journal of Man-Machine Studies, vol. 7, no. 1, pp. 1-13, 1975.
[5] Valdés, F. and A. Abran (2010), ―Comparing the Estimation Performance of the EPCU Model
with the Expert Judgment Estimation Approach Using Data from Industry,‖ in: Software
Engineering Research, Management and Application 2010 (SERA 2010), (Montreal, Canada. May
24-26, 2010), pp. 227-240, ch. 15. Verlag, Berlin: Studies in Computational Intelligence, vol. 296,
Springer, ISBN:13: 9781615209750.
[6] Valdés, F. and A. Abran (2007), ―Industry Case Studies of Estimation Models based on Fuzzy
Sets,‖ in: IWSM-Mensura 2007, (UIB-Universitat de les Illes Baleares, Palma de Mallorca, Spain),
pp. 87-101. Editors: Abran-Dumke-Màs, Publisher: Proceedings of the IWSM-Mensura 2007.
ISBN 978-84-8384-020-7, November 5-9, 2007.
[7] Mamdani, E. H., "Applications of fuzzy logic to approximate reasoning using linguistic
synthesis," IEEE Transactions on Computers, vol. 26, no. 12, pp. 1182-1191, 1977.
[8] Valdés, F. (2011), ―Design of a Fuzzy Logic Software Estimation Process,‖ Ph.D. thesis, École
de Technologie Supérieure, Université du Québec, Montreal, December 2011.
[9] D.A. Tibaduiza, I. Amaya, S. Rodríguez, N. Mejia, M. Flórez, "Implementation of a fuzzy
control for the direct kinematic control of a robot manipulator," Ingeniare, vol. 19, 2011.
68
ITIL Gestión del portafolio de servicios
Claudia Pachuca & Paul Cárdenas
Claudia Pachuca & Paul Cárdenas
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
69
Abstract
This article describes the Portfolio Management Services ITIL (Information Technology
Infrastructure Library) as it does through a management model, structuring roles, functions,
establishing channels of communication and strategic planning, it is possible to formulate
innovative strategies for modernization of IT services within an organization considering the quality
and timeliness of service areas offered, results of experience and analysis of an organizational.
Describe as through a management model, structuring roles, functions, establishing channels
of communication and strategic planning, it is possible to formulate innovative strategies for
modernization of IT services in an organization considering the quality and timeliness of service
provided , results of the experiment and analysis of an organizational context known.
The topics covered emphasize a management model in regard to providing IT services area
in a particular organization, a strategic analysis to identify the elements that give value to the
customer regarding the proposed disciplines to provide a service quality, a portfolio in which
service lines are determined, the definition of business units and service consistent with the
proposed management model, strategic direction through which the action plans are offered to
strategically align management service with business objectives, a detailed description of the roles
and functions to be played by strategic areas and interdisciplinary groups that make up the model to
ensure that the service provided by the IT provider maintains adequate, timely and effective
technological elements have been agreed with the client with the requirements and controlled costs
and times.
Introducción
Observando la importancia de la implementación dela Gestión del Portafolio de Servicios de ITIL
(Biblioteca de Infraestructura de Tecnologías de Información), dentro de las organizaciones para la
entrega de un servicio de TI de calidad los temas que se abordan hacen énfasis en un modelo de
gestión en lo que respecta al área proveedora de servicios TI en una organización particular, un
análisis estratégico para identificar los elementos que dan valor al cliente con respecto a las
disciplinas propuestas para ofrecer un servicio con calidad, un portafolio en el cual se determinan
las líneas del servicio, la definición de unidades del negocio y del servicio coherentes con el modelo
de gestión propuesto, el direccionamiento estratégico a través del cual se ofrecen los planes de
acción para alinear estratégicamente la gestión del servicio con los objetivos del negocio, una
descripción detallada de los roles y funciones que deberán desempeñar las áreas estratégicas y los
grupos interdisciplinares que componen el modelo para garantizar que el servicio ofrecido por el
proveedor de TI mantiene los elementos tecnológicos adecuados, oportunos y eficaces que han sido
acordados con el cliente con los requisitos establecidos y con los costos y tiempos controlados.
"El mundo de hoy presenta amenazas y oportunidades para las organizaciones, éstas podrán
afrontarlas, en la medida que se preparen para ello.
La empresa orientada a resultados no es una moda más, es la necesidad de racionalizar
recursos para trabajar la perentoria respuesta oportuna a clientes que exigen lo que están pagando
por productos y servicios de excelente calidad‖ [1]
A lo anterior se añade la necesidad de tener calidad en lo que se hace; en la actualidad, para
las organizaciones el concepto de calidad trasciende las características físicas y funcionales de los
bienes y servicios.
70
Esta idea está enmarcada en un ambiente competitivo, que requiere una cultura de gestión
orientada hacia los procesos, personas y servicios mediante la mejora continua. Teniendo en cuenta
la necesidad de alinear el negocio con el uso de las TI, se requiere optimizar la tecnología en
cualquiera de los niveles de la organización a fin de mantener procesos eficientes y de esta manera
crecer a costes razonables y predecibles. Uno de los grandes problemas que se enfrentan hoy en lo
que a la prestación de servicios se refiere, es el de garantizar la prestación de un servicio conforme a
las necesidades del usuario sin incurrir en costos o esfuerzos adicionales.
La calidad y la satisfacción del cliente son parámetros que varían de acuerdo a la percepción
del consumidor, las metas y la visión institucional dependen en sí de los lineamientos que la alta
dirección defina en propósito de su desarrollo.
Tabla 9 Desafíos de la implementación de ITSM
La metodología ITIL (Information Technology).
Infraestructura Library - Biblioteca de Infraestructura de Tecnologías de Información), es
una metodología de mejores prácticas donde se propone métodos probados por organizaciones que
han sido casos de éxito para la gestión de los servicios informáticos.
Una organización está compuesta entre otros elementos de personas, objetivos, recursos y
procesos; su cultura organizacional, metas, dinamismo, talento humano, conocimiento y métodos de
trabajar impactan de manera importante su capacidad de producir un servicio con calidad, aceptable
al usuario y por consiguiente influyen para que sea competitiva y para que subsista en el entorno.
La gestión de servicios de Tecnologías de Información es un conjunto de capacidades
organizacionales especializadas en proporcionar valor a los clientes en forma de servicios [2].
Para proveer y gestionar de forma eficaz los servicios a lo largo de su ciclo de vida, resulta
imprescindible definir y adoptar un conjunto de metodologías o buenas prácticas.
Si estas buenas prácticas se agrupan y estructuran en procesos, este conjunto de procesos del
área de provisión y gestión de servicios, puede utilizarse para emplear el concepto de ciclo de vida
de producto completo que abarque también todos los aspectos relacionados con la provisión y
gestión de los servicios.
Esta metodología fue seleccionada a través de un proceso de revisión bibliográfico en el cual
se calificaron mediante criterios de evaluación, varias alternativas de solución [3].
71
Gráfico 9 Estado actual del gobierno de ITSM
Tomando en cuenta lo anterior, surge una pregunta: ¿Qué es lo que buscan las
organizaciones? ¿Cómo hacemos que las organizaciones determinen que es de valor?
Siendo la pregunta anterior uno de los retos en las organizaciones, es como definimos que
realmente lo que proporcionamos como área de TI es valioso para la organización. Para lo
anterior ITIL nos ofrece un marco de referencia para la gestión de servicios, el cual a su vez tiene
un proceso llamado Gestión de portafolio de servicios.
La meta primordial del proceso llamado Gestión de Portafolio de servicios es ser una guía de
gestión basada en la calidad del servicio, potencializando el capital humano, el conocimiento,
resultado de su operación y el control de sus actividades orientadas a la satisfacción del cliente.
Se busca organizar la estructura de trabajo, establecer herramientas y mecanismos eficientes
de comunicación, establecer una estructura por procesos que es una de las alternativas para
responder a esos nuevos desafíos; la identificación, delimitación y control permiten asignar
parámetros y responsabilidades medibles, para definir las verdaderas contribuciones en el quehacer
de las personas, justificando la inversión en ellas bajo criterios de desempeño más objetivos y
precisos.
Tabla 9.1 Liderazgo en la gestión de servicios de T.I.
9 Definición del portafolio de servicios
La importancia de que todos los servicios que están bajo nuestra responsabilidad, como
departamento de TI, deben de estar gestionados a lo largo de su ciclo de vida, esto quiere decir,
desde que el servicio es concebido como una idea, como una propuesta y pasando por su estado
de operación hasta que el servicio es retirado, por lo que debemos plantear algunos estados por los
cuales esos servicio deben pasar a través del Portafolio de Servicios, ITIL nos indica que son 3
estados generales:
72
El primero de ellos es el Pipeline de Servicios, cuando un servicio se concibe como una
propuesta, ingresa al pipeline (marketing).
Catálogo de Servicio, servicios que ya están en Operación, incluyendo los que ya tienen
tiempo operando.
Servicios retirados, un servicio llega al fin de su vida útil (cuando deja de aportar
valor).
Los servicios que entran al pipeline son esos servicios propuestos, los cuales tienen que
ser analizados de alguna forma, siendo el caso de negocio la herramienta que nos va a permitir
que solo algunos de los servicios que ingresan al pipeline sean autorizados. El caso de negocio
es la herramienta que nos va a permitir tomar decisiones de en cuál de estas propuestas si se va
a invertir dinero, esta es la herramienta que nos va a permitir que las propuestas sean autorizadas,
para que el servicio empiece a ser construido, empiece a ser diseñado y en algún punto
ponerlo en operación.
Tomando en cuenta estos conceptos en algún punto los servicios que ya están
autorizados van a pasar al catálogo de servicios y van a estar en operación durante su ciclo de
vida útil, una vez que termina su vida útil pasan a los servicios retirados, este es el concepto
del portafolio de servicios como lo maneja ITIL. Para lograr este cometido ITIL propone
básicamente un proceso que se llama la gestión de portafolios de servicios, este proceso debe:
Asegurar que haya una continuación adecuada de los servicios que equilibren las
inversiones.
Para lograr las metas de negocio y para lograr aportar ese valor, se busca que los
servicios que estamos proponiendo cumplan las metas de la organización, permitiendo:
Tomar decisiones sobre las inversiones.
Evaluar como los servicios se habilitan en ese logro de los objetivos estratégicos.
Trazar la inversión a lo largo de su ciclo de vida del servicio desde que es una propuesta
hasta que lo retiramos.
Es decir, si no hay una relación directa entre esos servicios propuestos estos no van a ser
autorizados. Implementar un servicio es una cuestión de dinero, básicamente, tiene que ver con
una cuestión de autorizar la inversión para construir ese servicio para lograr las metas del
negocio. ITIL propone 4 actividades básicamente para que deban llevarse a cabo para la gestión
de portafolios de servicios.
Definir qué servicios tenemos, cuales son los que vamos autorizar, casos de negocio.
Analizar propuesta de valor que cada servicio tiene, que es lo que aporta en beneficio,
prioridad.
Aprobar inversiones, y asegurar que hay recursos suficientes, cuando no hay un
entendimiento claro por parte del negocio o por parte de TI, acerca de esta propuesta de valor,
si se puede autorizar alguna inversión, pero no será suficiente, entonces debemos recortar las
capacidades de esa propuesta y por lo tanto no vamos a cubrir con el requerimiento de negocio.
73
Formalizar , documentar y comunicar que se ha autorizado cierto servicio ( Service
Charter, es el lineamiento de lo que el servicio es, cual necesidad es la que va a resolver y cuál es
el monto estimado de inversión que s e va a necesitar) [4].
Las organizaciones son entidades dinámicas y constantemente están generando
requerimientos nuevos, una de las responsabilidades de las áreas de TI es hacer que se cumplan
estos requerimientos que tiene el negocio y la organización manteniéndolos alineados. Siendo una
de las herramientas el portafolio de servicios.
ITIL nos dice que, para poder lograr esta aportación de valor , para controlar y tomar las
decisiones que aporten valor al negocio debemos enfocarnos en las siguientes metas generales, con
la gestión del portafolio.
Una apropiada combinación de inversiones que sea definida y alineada con la estrategia
empresarial, es decir, aquello que no esté relacionado con la estrategia de negocio no tiene caso
evaluarlo.
Fuentes de financiamiento son identificadas y disponibles, de nada sirve hacer propuestas
si no tenemos un financiamiento adecuado para ello. Los casos de negocio son evaluados y
priorizados antes que los fondos sean asignados.
Existe una vista amplia y exacta del desempeño del portafolio de inversiones, necesitamos
saber monitorear si la toma d decisiones fue la correcta.
Cambios al programa de inversiones son reflejados en los portafolios relevantes de servicios
de TI, activos y recursos, es decir, por necesidades de negocio se debe invertir en alguna
modificación a los servicios.
Los beneficios han sido realizados debido al monitoreo de los beneficios, es decir, no es
simplemente dar la inversión, si no ver que se den los beneficios [5-9].
Tabla 9.2 Métricas de evaluación calidad del servicio T.I.
ITIL establece cuales son básicamente las prácticas que se tienen que realizar en la gestión
del portafolio.
9.1 Métodos y resultados
Una matriz RACI, básicamente lo que nos dice son las responsabilidades que tienen los diferentes
actores/roles que participan dentro de un proceso, teniendo 4 niveles de responsabilidad.
A continuación veremos cómo están involucrados estos roles en las metas de la gestión
del portafolio, como lo establece ITIL:
74
Primera Práctica.
La toma de decisiones no está dentro de la parte de TI, si no del negocio. Para lograrlo y
ver que se está haciendo de manera adecuada, ITIL nos da indicadores específicos para lograr la
entrega de valor.
Hay que tener un medidor de porcentaje de satisfacción con los reportes de monitoreo del
portafolio.
El cual nos indique cual es el grado de satisfacción de la alta dirección a cerca de la
contribución de TI en la estrategia empresarial, es decir, ¿Que también lo está haciendo TI desde
el punto de negocio?
Segunda práctica.
Determinar la disponibilidad de las fuentes de financiamiento, de donde se obtiene el
dinero, aquí el rol es del director financiero y el director de TI, así como la oficina de gestión de
valor también es consultada.
¿Cuáles son las métricas que aplican en esta práctica?
La relación que hay entre los entre los fondos disponibles y los fondos asignados y
después la relación entre los fondos asignados y los fondos utilizados.
Tercera práctica.
Evaluar y seleccionar los programas que se van a financiar y aquí el rol es el del director
de la empresa, por que define la estrategia de la organización y se apoya de diferentes roles de la
organización.
Los indicadores son los porcentajes de unidades negocio involucradas en el proceso de
evaluación y priorización.
Cuarta Práctica.
Monitoreo, optimizar y reportar el desempeño del portafolio de inversiones, hay que
hacer un monitoreo para ver si efectivamente estas inversiones dan el fruto esperado y quien se
encarga de esto , la oficina de gestión de valor.
El comité que define la estrategia el encargado y se apoya de diferentes roles dentro de
la organización.
Los indicadores son, el nivel de satisfacción con los reportes de monitoreo del portafolio
Quinta Práctica.
Gestionar el logro de los beneficios, todo proyecto deben estar ligados a los beneficios
que está esperando la organización, el rol aquí lo llevan los ejecutivos del negocio.
Aquí el indicador es el porcentaje de inversiones para los cuales los beneficios se han
realizado y que son comparados con los casos de negocio [10-11].
75
Tabla 9.3 Beneficios percibidos con la implementación de ITL
9.2 Conclusiones
Es indispensable una mezcla sinérgica entre tres factores: Personas, Procesos y Productos. Dentro
del portafolio se deben tener en cuenta los procesos de Gestión de la Calidad del Servicio de la
metodología seleccionada que incluyen todas las actividades de la organización y que determinan
las políticas, los objetivos y las responsabilidades relativos a la calidad de modo que el servicio
satisfaga las necesidades por las cuales existe.
Para implementar en nuestra realidad el proceso del portafolio de servicios es necesario:
1. Obtener el respaldo de la alta dirección.
2. Integrar un comité para la gestión del portafolio.
3. Establecer criterios que sean claros para la evaluación para los casos de negocio.
4. Definir y medir indicadores relevantes.
5. Mejorar continuamente.
En general la gestión del portafolio, es uno de los aspectos más menospreciados dentro
de las prácticas de TI, muy pocas organizaciones tienen implementado un proceso para gestionar
los portafolios de servicio para una entrega de un servicio de TI de calidad.
9.3 Referencias
[1] Mejía, Melba Lida. (2004). Estructuras y cargos por procesos, orientados a resultados. Scientia
Et Technica, Agosto-Sin mes, 203-208.
[2] Laboratorio Nacional de Calidad de Software, Guía avanzada de gestión de servicios, Instituto
Nacional de Tecnologías de la Comunicación (INTECO), 2008.
[3] Medina, Y. C. y Rico, D. Modelo de gestión de servicios para la Universidad de Pamplona:
ITIL. Revista Scientia et Technica, v. XIV, n. 39. IX 2008.
[4] Toro, J. Acuerdo de niveles de servicio puerta entre el diseño y la implementación de servicios
de TI. Universidad Nacional de Colombia (Medellín). 2008.
76
[5] Office of Government Commerce, ITIL Version 3 Service Strategy, OGC, 2007.
[6] Office of Government Commerce, ITIL Version 3 Service Design, OGC, 2007.
[7] Office of Government Commerce, ITIL Version 3 Service Transition, OGC, 2007.
[8] Office of Government Commerce, ITIL Version 3 Service Operation, OGC, 2007.
[9] Office of Government Commerce, ITIL Version 3 Continual Service Improvement, OGC, 2007.
[10] Peña Carabali Sady (2012). Guía para la gestión de servicios de TI basada en ITIL V3.
Universidad EAN (Bogota), 28-30.
[11] Cannon, D. (2011). Chapter 6. Organizing for service strategy. ITIL Service Strategy (pp. 317-
339). The Stationery Office. ITIL Best Management Practice.
77
Gobierno de tecnologías de información, un enfoque para las PYMES
Gustavo Núñez
G. Núñez
Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219
Ciudad de México, D.F., México
M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.
78
Abstract
In a globalized world where companies operate today, undoubtedly information technologies play
an important role in the growth of SMEs, it is why the purpose of this article is to present an
approach to them allow to take into consideration the adoption of information technologies for
development empresarial.
El main focus is to understand the importance in government and management tools,
controls, frameworks, etc .. that information technologies offer us to generate value and how they
significantly help in meeting its objectives and therefore wealth creation and growth of SMEs.
Knowing the relationship between corporate governance and government information
technology is important for SMEs, so this correlation is exposed and which serves to allow
theorizing and integrate a focus on responsible adoption of information technology for SMEs.
Introducción
Existe un principio de filosofía que dice: ―Nadie ama, lo que no conoce primero‖, es por ello, que
como premisa menor conoceremos que es el gobierno corporativo y el gobierno de tecnologías de
información que nos permitan reflexionar sobre su razón de ser y luego entonces, como premisa
mayor, podamos amar y reconocer el valor que entregan a las PYMES, visto desde un tema
estratégico en la inclusión de las tecnologías de información en los planes de negocio de las
empresas y no solamente como elementos de soporte técnico a las necesidades del negocio.
Otro punto importante a considerar es que se tiene la creencia de que las PYMES son mucho
menos complejas que las grandes corporaciones, por lo tanto estos temas y su implementación que
les son necesarios para satisfacer sus requerimientos son muy básicos o en algunas empresas nulos,
ya sea por desconocimiento, cultura o miedo en el empresario de adoptar estas buenas prácticas, ya
que de manera generalizada se puede creer que son caras en su implementación y operación, por lo
cual no apuestan en una inversión en su adopción y lo ven meramente como un gasto.
Con lo anterior podemos decir que escala y complejidad son dos cosas totalmente diferentes,
para ello debemos definir claramente estos temas y la importancia vs beneficios que generan en el
sector empresarial, ya que las PYMES son igual de complejas que cualquier empresa grande, sin
duda a una menor escala, por ello la adopción de estas buenas prácticas en muchos enfoques no es
exclusiva de las grandes corporaciones.
El presente artículo en general trata de un enfoque y propuesta que la PYME deberá adoptar
y empezar a entender y atender para el desarrollo que esperan, la presente fuente de conocimiento
ayudara al dueño, empresario, director y/o gerente teorizar en elementos básicos que despertaran su
interés en la profundización de los mismos que podrá encontrar en diferentes fuentes de
conocimiento y que complementarán lo que se expone.
10 Gobierno corporativo para PYMES
El gobierno corporativo en una aplicación para las PYMES es algo difícil de asegurar que sea un
tema conocido para ellas y es por ello la importancia de este marco de referencia en el control
interno de las organizaciones permita la adecuada gestión de las mismas.
79
COSO (Committee of Sponsoring Organizations) por sus singlas en inglés, es un marco que
puede ofrecer a las PYMES, de una manera adecuada a su tamaño y necesidades la adopción de
buenas prácticas, que le permita definir el control interno como un proceso inmerso en sus
operaciones, en el cual deberá estar involucrados dueños, directores y tomadores de decisión.
La propuesta principal de COSO es la consecución de los objetivos de las empresas
mediante:
1) La eficacia y eficiencia de las operaciones.
2) Fiabilidad de la información financiera.
3) El cumplimiento con las leyes y reglamentos aplicables.
Estos tres objetivos deberán estar especialmente vinculados con el control interno, análisis
de los riesgos, procesos de control, información y comunicación entre las partes, y seguimientos a
los objetivos de la organización. (D'Aquila, 2013)
Es importante tener en cuenta que los marcos de referencia de las buenas prácticas en
cualquier campo de conocimiento no son exactamente la solución a los problemas de las
organizaciones y que estas deberán ser entendidas y atendidas justamente a la medida y
requerimientos que cada empresa tenga, por ello los stakeholder deben estar totalmente alineados y
enfocados en sus necesidades.
Sin lugar a dudas la tecnología juega un papel muy importante en la aplicación de estas
propuestas por COSO, y estas día a día van en una evolución constante, y las tecnologías de la
información nos brindaran una mejor gestión de estos objetivos y tareas que el gobierno corporativo
nos propone.
COSO está integrado por 17 principios, para la generación de resultados en su propuesta de
valor para las organizaciones estos integrados en los cinco componentes de COSO, para las PYMES
de manera concreta debe atender estos elementos, los cuales son:
Control Interno.- Aquí es donde la empresa a través de su declaración de valores y ética
comunica a sus colaboradores el cómo será el alineamiento en las operaciones de la empresa. Para
ello las empresas deben de tener de manera documentada y clara estas declaraciones.
Análisis de Riesgos.- En la definición donde el riesgo es una incertidumbre, hay de manera
inherente riesgos en el cumplimiento de los objetivos de las organizaciones, estos riesgos son de
manera diferente para cada empresa y por ello en dicho análisis deben de considerar el apetito al
riesgo al que están dispuestos a tolerar, entiendo este como algo particular de cada empresa, ya que
no se puede ponderar de igual forma para dos organizaciones, ya que cada una tendrá una tolerancia
diferente.
Control de Actividades.- Se deberán establecer políticas alineadas al análisis de riesgos, ya
que estos definirán los reglamentos y políticas en las operaciones de la empresa, con ello la empresa
dejara en claro lo que se puede o no realizar en cada uno de los procesos de la empresa.
Información y comunicación.- La alta dirección deberá comunicar de manera oportuna y por
los medios con los que cuenta la empresa las políticas y reglamentos definidos por la empresa, con
esto se deberán definir procesos y controles en los cuales se pueda denunciar cualquier eventualidad
que no cumpla con las políticas de la organización.
80
Seguimiento.- La empresa deberá establecer los controles que considere para el monitoreo
de cada uno de los procesos, deberá cuidar los registros que se generen ya que ellos son importantes
para la auditoria y monitoreo de cualquier desviación en sus objetivos. (Rittenberq, 2013) En la
siguiente figura se puede observar de manera gráfica la propuesta de gobierno corporativo para las
PYMES.
Figura 10
Fuente: Laski, J. P. (2006). El control interno como estrategia de aprendizaje organizacional: el modelo coso y sus
alcances en América Latina. (Spanish). Gestión y Estrategia (30): p. 16
Una vez que las PYMES adopten y hayan efectuado las acciones necesarias para el
cumplimiento con esta propuesta, el monitoreo continuo aplicando y documentando estos
importantes elementos, tendrán lo básico necesario para la consecución de sus objetivos de un
manera ordenada, con el beneficio de identificar áreas de oportunidad para su crecimiento y
desarrollo empresarial.
La PYME deberá tener de manera clara y definida su estructura organizacional y estructura
tecnológica ya que ayudara en una gran medida la definición de esta propuesta, con ello podrá
visualizar de manera acertada y documentada los elementos con los que cuenta para su
disponibilidad en la implantación de las tareas aquí expuestas.
81
10.1 Enfoque de un gobierno de tecnologías de información para PYMES
Las PYMES deberán entender que el uso adecuado y adopción de las Tecnologías de Información
(TI), serán un eslabón importante en su crecimiento y que la inmersión de ellas en sus planes de
negocio y control interno, serán potenciadores en el cumplimento de sus objetivos y por ende en su
crecimiento y desarrollo empresarial. Hemos visto a lo largo de este artículo una propuesta sencilla
en la adopción y documentación de controles que permitan enmarcar en las PYMES, la estructura
de un gobierno corporativo que les permita a su vez la adopción de un gobierno de TI.
Existen dos fuentes importantes para hablar acerca de gobierno de tecnologías de
información y para ello recurrimos a la ISO/IEC 38500 y COBIT 5 de ISACA6 , este tema es de
suma importancia para el avance y continuidad del negocio en las empresas, según el ITGI (IT
Governance Institute)7 el gobierno de TI engloba 5 áreas: alineación estratégica, gestión de
recursos, gestión de riesgos, medición del rendimiento y entrega de valor a la organización. (de la
Cámara Delgado, Sáenz Marcilla, Calvo-Manzano, & Fernández Vicente, 2012)
La ISO/IEC 38500 establece seis principios los cuales son una guía para la toma de
decisiones y que podremos observar como hacen sentido a los controles internos que se han
implantado en nuestra propuesta descrita en gobierno corporativo para PYMES. Estos seis
principios son:
Responsabilidad.- enfocado a la oferta y demanda de TI, en donde los responsables
comprenden y aceptan sus roles para el mantenimiento de este enfoque.
Estrategia.- con lo cual la empresa cuenta con las capacidades actuales y futuras con una
estrategia en el uso de las TI.
Inversión.- las inversiones de las TI se ven de manera clara y objetiva de acuerdo a un
análisis adecuado en donde se ve de manera alineada los beneficios, oportunidades, costos y riesgos
en el tiempo.
Rendimiento de resultados.- el uso adecuado de las TI, genera a la empresa los niveles y
calidad en sus servicios necesarios para satisfacer las necesidades de la PYME en sus operaciones y
alcance de sus objetivos.
Conformidad.- De acuerdo a las políticas, leyes y reglamentos que enmarquen a la empresa,
la adopción de las TI cumplirán con ellas y harán cumplir a la organización.
Comportamiento Humano.- Se atiende las necesidades y punto de vista del capital humano,
alineado a las políticas y reglamentos que se contemplan dentro de la empresa para alcanzar sus
metas. (de la Cámara Delgado et al., 2012)
COBIT 5 de ISACA8 propone que la información es un recurso clave desde el momento en
que se crea hasta que se destruye para las organizaciones, en este caso las PYMES como
anteriormente se expuso, deben atender este activo para su gestión y gobierno, que les permita la
generación de su crecimiento.
6 https://www.isaca.org
7 http://www.itgi.org
8 https://www.isaca.org
82
COBIT 5 ofrece un marco de referencia que permite a las PYMES alcanzar sus objetivos y
gobierno corporativo, de hecho así lo declara que es genérico y útil para empresas de todos los
tamaños y todos los sectores, por lo cual de manera holística, esto quiere decir que abarcando de
manera integral y todas las partes de la empresa para mantener el equilibrio entre la generación de
beneficios y la optimización de los niveles de riesgo y el uso de los recursos de TI.
Para la adopción de un gobierno de TI para las PYMES es importante tener en cuenta los
recursos limitados con los que cuentan y que de manera importante es tener documentado sus
objetivos y metas, basta que sean de 2 a 5, con ello bastara que se enfoque a las esenciales que
cubran su naturaleza de ser, y que mucho ayudara en adoptar lo propuesto en el capítulo anterior.
Es importante tener en cuenta que la implementación de un gobierno de TI, requieren de
trabajo, tiempo y voluntad, para ello las empresas deben estar conscientes de ello para asegurar
éxito, los principios que nos dice la ISO/IEC 38500, nos propone de manera clara lo que nos
ayudara en la definición de los procesos a seguir.
En la siguiente figura vemos como COBIT 5 ofrece un marco integral que las PYMES
pueden adoptar sin dificultades:
Figura 10.1 Principios de COBIT 5
Fuente: ISACA. (2012). COBIT 5 Framework. 94
Con esta figura es fácil conceptualizar nuestra propuesta en donde se ve de manera clara el
objetivo de cada uno de los principios de COBIT 5 y que teniendo aplicado nuestro control interno
hará más fácil, para ellos COBIT 5 propone un marco de referencia que puede ser consultado para
el aseguramiento de los activos de TI proporcionen los servicios requeridos a la estructura
organizacional de las PYMES y completen sus operaciones en tiempo y forma.
Parte importante para la adopción de un gobierno de TI son los catalizadores que propone
COBIT 5, los cuales los podemos ver en la siguiente figura:
83
Tabla 10.2 Catalizadores corporativos COBIT 5
Fuente: ISACA. (2012). COBIT 5 FRAMEWORK. 94
Aquí vemos los catalizadores que permitirán la adopción de gobierno de TI, para ello las
PYMES deben tener claro y definido estos, ya que el conjunto de todo lo expuesto en el presente
artículo, hará que sea más dinámico y sencillo su adopción.
10.2 Conclusiones
Es importante la definición de controles y procesos como lo hemos visto, para ello las empresas
deberán enfrentar varias áreas de oportunidad, que representan un cambio, en la que se espera una
mejora continua dentro de ellas que permitan su crecimiento y desarrollo empresarial.
El presente enfoque define de manera clara y a un alto nivel lo que las organizaciones deben
de reflexionar, y que la información como uno de los activos más importantes dentro de ellas debe
de recibir el control y gobierno adecuado.
La gestión de un proyecto adecuado permitirá que esto se convierta en un caso de éxito, por
ello los profesionistas en tecnologías de información deben proporcionar y profundizar a las
PYMES los elementos necesarios para la implantación de estas propuestas, una vez que tenemos
conceptualizado estos temas, la alta dirección de las PYMES, podrán entender y explotar junto con
estos profesionistas la generación de valor que hay en la adopción de un gobierno de TI para las
PYMES.
Las propuestas de negocio que resulten en caso de éxito, sin duda serán detonadores del
crecimiento económico de las regiones en las que se encuentran que permitan una mejora continua
de su entorno empresarial.
10.3 Referencias
D'Aquila, J. (2013). COSO's Internal Control--Integrated Framework. CPA Journal, 83(10), 22-29.
De la Cámara Delgado, M. m. e. u. e., Sáenz Marcilla, J. j. e. u. e., Calvo-Manzano, J. A. j. f. u. e.,
& Fernández Vicente, E. e. f. u. e. (2012). Integrando PRINCE2 e ISO/IEC 38500 para la gestión y
gobernanza de proyectos. (Spanish). CISTI (Iberian Conference on Information Systems &
Technologies / Conferência Ibérica de Sistemas e Tecnologias de Informação) Proceedings, 360-
365.
84
ISACA. (2012). COBIT 5 Framework. 94.
Rittenberq, L. E. (2013). COSO 2013. Internal Auditor, 70(4), 60-65.
85
Apéndice A . Consejo Editor IBERO
Garibay- Orozco Jorge, PhD.
Canales- Cruz Alejandro , PhD.
Fragoso- Trejo Héctor Manuel, PhD.
Hernández-Rojas Valderrama Roberto , PhD.
Lucio- Nieto Teresa, PhD.
Mar -Olivares Fernando, PhD.
Marín -Solís Ramón, PhD.
Miguel- Reyes Alfonso, PhD.
Ojeda- Villagómez Fernando , PhD.
Rocha- Lona Luis, PhD.
Romero- Gómez Joel, PhD.
Solares- Valdés Fernando, PhD.
Valdés -Souto Francisco, PhD.
Velasco- Gómez Antonio, PhD.
Universidad Iberoamericana , Mexico.
86
Apéndice B . Consejo Editor ECORFAN
Díaz Castellanos- Elizabeth Eugenia, PhD.
Instituto Tecnológico y de Estudios Superiores de Monterrey, México.
Díaz Castellanos-Elizabeth, PhD.
Instituto Tecnológico y de Estudios Superiores de Monterrey, México.
Liñan Cabello-Marco, PhD.
Universidad de Colima, México.
Sanchez Cano-Julieta, PhD.
Columbia University, New York, E.U.A.
Soria Freire-Vladimir, PhD.
Universidad de Guayaquil, México.
Bardey- David, PhD.
Universidad de Los Andes, Colombia.
Novelo Urdanivia- Federico, PhD.
Universidad Nacional Autónoma de México, México.
Alicia Girón, PhD
Universidad Nacional Autónoma de México, México.
Luis Felipe Beltran Morales, PhD.
Universidad de Concepción, Chile
Galicia Palacios- Alexander, PhD.
Instituto Politécnico Nacional, México.
Verdegay-José, PhD.
Universidad de Granada, España.
Quiroz Muñoz- Enriqueta, PhD.
Instituto de Investigaciones Dr. José María Luis Mora, México.
Elizundia Cisneros- María, PhD.
Universidad Anahuac México Norte, México.
Alvarado Borrego- Aida, PhD.
Universidad de Occidente, México.
Moreno Zea- María, PhD.
Universidad de Santiago, de Chile.
Ordonez Aleman- Gladys, PhD.
Universidad Espíritu Santo, Ecuador.
Sajid-Muhammad, PhD.
University Faisalabad, Pakistan.
87
Cardozo-Francisco, PhD.
Universidad del Valle, Colombia.
Vargas-Oscar, PhD.
National Chengchi University, Taiwán.
Solís Soto- Teresa, PhD.
Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca, Bolivia.
Quintanilla Dominguez- Joel, PhD.
Universidad Politecnica de Madrid, España.
Nieva Rojas- Jefferson, PhD.
Universidad Autónoma de Occidente, Colombia.
88
Apéndice C . Comité Arbitral ECORFAN
Jaliri Castellón- Carla Konradis, MsC.
Universidad Mayor, Real y Pontificia de San Francisco Xavier.
Gómez Monge- Rodrigo, PhD .
Universidad Michoacana de San Nicolás de Hidalgo.
Salamanca Cots- Maria Rosa, PhD.
Universidad Anahuac.
ViteTorres- Manuel, PhD.
Instituto Politécnico Nacional.
Islas Rivera- Víctor Manuel, PhD.
Instituto Mexicano del Transporte.
Villalba Padilla- Fátima Irina, PhD.
Escuela Superior de Economía ESE-IPN.
Escaleta Chávez- Milka Elena, MsC.
Universidad Autónoma de San Luis Potosí.
Valdivia Altamirano- William Fernando, PhD.
Universidad Politécnica Metropolitana de Hidalgo.
Cobos Campos- Amalia Patricia, PhD.
Universidad Autónoma de Chihuahua.
Beltran Miranda- Claudia Patricia, PhD.
Universidad de Guadalajara.
Linarez Placencia- Gildardo, PhD.
Universidad Tecnológica de San Luis Rio Colorado
Vázquez Olarra- Glafira, PhD.
Universidad Politécnica de Pénjamo
Lopez Ureta- Luz Cecilia, PhD.
Instituto Tecnologico Superior de Zapopan
Cervantes Rosas- María de los Ángeles PhD.
Universidad de Occidente.
Galaviz Rodríguez- José Víctor, PhD.
Universidad Tecnológica de Tlaxcala
Ordóñez Gutiérrez- Sergio Adrián, PhD.
Universidad Nacional Autónoma de México
Ruiz Aguilar- Graciela M.L., PhD.
Universidad de Guanajuato
89
González Gaxiola- Oswaldo, PhD.
Universidad Autónoma Metropolitana.
Gavira Durón- Nora, PhD.
Universidad Autónoma Metropolitana.
Rocha Rangel- Enrique, PhD.
Universidad Politécnica de Victoria.
Santillán Núñez- María Aída, PhD.
Universidad de Occidente.
Jiménez López- Victor Samuel, MsC.
Universidad Tecnológica Regional del Sur.
Rovirosa Hernandez- Ma. de Jesús, PhD.
Universidad de Veracruz.
Córdova Rangel- Arturo, PhD.
Universidad Politécnica de Aguascalientes.
Álvarez Echeverria- Francisco Antonio, MsC.
Universidad Nacional Autónoma de México.
Acosta Navarrete- María Susana, PhD.
Universidad Tecnológica del Suroeste de Guanajuato.
Pelayo Maciel- Jorge, PhD.
Universidad de Guadalajara
Guadarrama Gómez- Irma, MsC.
Universidad Tecnológica de la Riviera Maya.
Castillo Diego- Teresa Ivonne, PhD.
Universidad Tecnológica de la Mixteca.
Castro Enciso- Salvador Fernando, PhD.
Universidad Latina.
Liñan Cabello- Marco Agustin, PhD.
Universidad de Colima.
Manjarrez López- Juan Carlos, PhD.
Universidad Tecnológica de Puebla.
Ibarra Zavala- Darío Gualupe, PhD.
Universidad Nacional Autónoma de México.
Martínez García- Miguel Ángel. PhD.
Escuela Superior de Economía.
90
Trejo García- José Carlos, PhD.
Instituto Politécnico Nacional.
Deise Klauck, MsC.
Universidade Federal de Santa Catarina.
91