México, Ciudad de México

BLENDING AGILE AND ISO 22301/27001/20000 COMPLIANCE

Israel Salazar / Eleael Velázquez GERENCIA DE GESTIÓN DE PROCESOS TI

RESUMEN En la actualidad el mundo cambia constantemente; por lo que la adaptación a gran velocidad se vuelve un reto para la humanidad. Es por eso que se puede ver un proceso de transformación radical en todas las aristas de la sociedad dando como resultado la creación de nuevas tecnologías, sofisticadas aplicaciones, implementación de modernas metodologías, incluso la hibridación entre ellas teniendo como objetivo la satisfacción de las necesidades de una forma rápida, eficiente y no olvidando la simplicidad de las cosas.

No obstante en las organizaciones existe un efecto colateral al tener que decidir si se implementan marcos de referencia internacionales o dirigir los esfuerzos a prácticas agiles, dado que hoy en día se busca alcanzar objetivos de una forma más sencilla, interactiva y tener el valor agregado que nos da la capacidad de adaptación rápida al cambio.

Este artículo tiene como propósito abordar y destacar los highlights (focos importantes) para comprender la relación e interconexión para lograr la hibridación de Agile and ISO Compliance (cumplimiento).

PALABRAS CLAVE: CONTINUIDAD DE NEGOCIO, DRP, BCP, RIESGO, BLENDING AGILE, BEST PRACTICES.

INTRODUCCIÓN

En las organizaciones de TI la información juega un papel clave para la creación de nuevas soluciones tecnológicas. El impacto que tendría no darle la importancia requerida es crucial para la rentabilidad de las empresas, teniendo como consecuencia desde daños a la imagen, pérdidas financieras e incluso deterioro en la entrega del servicio.

Implementar un Sistema de Gestión que cuide estos aspectos nos ayudaría a crecer de forma

México, Ciudad de México

exponencial, resultado de la mejora en la organización interna, por ello la importancia de ISO/IEC 27001, ISO 22301 e ISO/IEC 20000 como estándares internacionales de mayor impacto en la industria de TI.

Adicional a lo anterior, las organizaciones en áreas de mejorar el time to market (periodo de lanzamiento al mercado), la entrega de valor temprana así como la satisfacción de sus clientes, han emprendido proyectos estratégicos de transformación Agile (ágil) dando como resultado un Blending (mezcla) de Marcos de Referencia, Estándares y Best Practices (mejores prácticas).

DESARROLLO “Las normas ISO se crearon con la finalidad de ofrecer orientación, coordinación, simplificación y unificación de criterios a las empresas y organizaciones con el objeto de reducir costos y aumentar la efectividad”.1

Puntualmente las normas ISO 22301, ISO 27001 e ISO 20000, tienen como propósito proteger la seguridad de la información de todos nuestros activos

1 ISOTOOLS (2015). ¿Qué son las normas ISO y cuál es su finalidad? Web: https://www.isotools.org/2015/03/19/que- son-las-normas-iso-y-cual-es-su-finalidad/

involucrados en el alcance del sistema, la continuidad del negocio y el enfoque basado en riesgos, además de la calidad de los servicios de TI.

La adopción de un marco de referencia internacional puede resultar un tanto engorroso y poco cuantificable o medible durante el proceso de implementación si lo ejecutamos de forma tradicional. Por sus ciclos de trabajo inmensos, genera como consecuencia la poca probabilidad de poder detectar fallas en etapas tempranas.

Las razones indicadas en el 13° “Reporte de Estado de la Agilidad” muestran por qué las organizaciones han adoptado Agile.

Figura 1. Razones para adoptar agile2

2 Collabnet Versionone. (Mayo 2019). 13th Annual State of Agile Report. .13.

México, Ciudad de México

El reporte revela que el 74% de las empresas incorporan prácticas ágiles para acelerar la liberación de entrega de software y un 51% menciona que para incrementar la productividad de la organización.

Por otro lado, de acuerdo a la filosofía empresarial de Toyota se establece que “una serie de pequeñas mejoras continuas y constantes es mejor que un cambio grande.”3

ISO/IEC 27001 SISTEMA DE GESTIÓN

DE SEGURIDAD DE LA INFORMACIÓN

(SGSI). El estándar ISO 27001 es sinónimo de seguridad de la información enfocada a la infraestructura tecnológica y todo lo relacionado con esta. Establecer criterios de protección como Integridad, Confidencialidad y Disponibilidad mediante un Sistema de Mejora Continua que permita evaluar todo tipo de riesgo, permitiéndonos implementar controles y estrategias adecuadas para eliminar o minimizar la materialización de dichos riesgos.

Uno de los pilares para implementar ISO 27001 es una correcta evaluación de riesgos mediante una estrategia que permita considerar

amenazas, vulnerabilidades, análisis de impacto y planes de tratamiento para minimizar o estar preparados ante la materialización de riesgos tal como se muestran en la siguiente imagen.

Figura 2. Ejemplo de una correcta evaluación de riesgos4

La norma cuenta con 14 dominios y 113 controles que pueden ser implementados para medir y darle trazabilidad para proteger la información de la organización.

Algunos de los ejemplos que podemos mencionar de cara a la implementación de los controles de ISO 27001 son: implementación de cámaras de seguridad, identificación de cables para evitar interferencias, guardias de seguridad, acceso

3 Las claves del exito de Toyota/ Jeffren K. Liker/Mexico 2000

4 ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

México, Ciudad de México

biométrico, encriptación de información confidencial, credenciales de identificación entre otras.

ISO22301 SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO (SGCN).

El objetivo de ISO 22301 es asegurar que los Key Players (jugadores clave) estén listos y totalmente preparados para cumplir con los requisitos internos, regulatorios y del cliente teniendo un enfoque en la continuidad del negocio, es decir lo requerido para contar con los recursos mínimos e indispensable para poder seguir operando.

Este estándar puede ser implementado para todo tipo de organización, pero es de particular interés a los que están involucrados en la gestión de riesgos, o continuidad tecnológica.

La ISO 22301 nos lleva a la creación de tres artefactos base como columna vertebral de este estándar

• Business Continuity Plan (BCP) por sus siglas en ingles.

La Cláusula 3.5 de la ISO 22301, define al BCP como “procedimientos documentados que guían a la organización a responder, recuperar, reanudar y restaurar a un nivel de

operación predefinido después de una interrupción”.5

• Disaster Recovery Plan (Plan de

Recuperación ante Desastres - DRP) por sus siglas en inglés.

Se compone de un plan a corto plazo, que tiene la función de reparar y restaurar los procesos críticos de la organización, y de un plan a largo plazo en donde podemos descubrir la causa raíz y las medidas preventivas a tomar después de una interrupción

• Business Impact Analysis (Análisis de Impacto al Negocio - BIA) por sus siglas en inglés.

Este documento es de gran utilidad en las organizaciones, pues su propósito es estimar o evaluar la afectación que podría tener o padecer la organización como resultado de algún desastre o incidente. El BIA responde claramente a la pregunta: ¿Qué podría verse afectado si ocurre alguna contingencia?

ISO/IEC 20000 SISTEMA DE GESTIÓN DE CALIDAD DE LOS SERVICIOS TI

Esta norma surge de la necesidad que se tiene por mantener actualizados los sistemas de tecnología de la información, teniendo

5 ISO22301 Sistema de Gestión de Continuidad de Negocio

México, Ciudad de México

como meta el desarrollo de servicios fiables y de calidad, permitiendo demostrar que los servicios ofrecidos cumplen con las mejores prácticas implementando el ciclo propuesto por Edwards Deming conocido como Ciclo PDCA o espiral de Mejora Continua. Al implementar ISO/IEC20000 como principal beneficio es mejorar la rentabilidad de los servicios de TI.

La siguiente imagen nos muestra las fases o etapas que nos brindan mejor rentabilidad mitigando o eliminado las fallas repetitivas, tales como la elevación de los costos de los proyectos debido a un cálculo erróneo, dándonos como efecto colateral pérdida en la reputación de la organización.

Figura 3. Fases para mejorar la rentabilidad 6

Este estándar se integra por una familia que se divide de la siguiente forma:

6 Elaboración propia del autor

1. 20000-1: Requisitos del Sistema de Gestión de Servicios.

2. 20000-2: Guía para a aplicación de Sistemas de Gestión de Servicios.

3. 20000-3: Proveedores de Servicio. 4. 20000-4: Modelo de Evaluación de

Procesos. 5. 20000-5: Guía para el Plan de

implementación para ISO / IEC 20000-1.

6. 20000-9: Guía para la aplicación de ISO / IEC 20000-1 a servicios en la nube.

7. 20000-10: Conceptos y terminología.

8. 20000-11: Guía sobre la relación entre ISO 20000-1:2011 vs ITIL, Modelos de Gestión de Servicios.

9. 20000-12: Guía sobre la integración entre ISO/IEC 20000-1 y CMMI-SVC, Modelo de Madurez de Capacidades Integrado para Gestión de Servicios.

BLENDING AGILE & ISO COMPLIANCE Dadas las exigencias de la industria de TI así como de la necesidad de evolucionar en temas de entrega de servicios, las organizaciones se encuentran viviendo transformaciones agile y adoptando nuevas prácticas bajo el paradigma ágil con el objetivo de generar valor de manera temprana, mejorar la predictibilidad en proyectos así como de adaptarse

México, Ciudad de México

a los cambios y gestionar adecuadamente las prioridades de Negocio.

Cabe mencionar que el termino Blending justamente hace referencia a la fusión, mezcla y merge de best practices del enfoque agile. En el 13 Reporte de Estado de la Agilidad sección Agile Methodologies Used ilustra como las organizaciones se encuentran hibridando con distintos marcos de trabajo con paradigmas agile.

Figura 4 Organizaciones fusionado distintos marcos de referencia agile7

Lo anterior refleja la necesidad de adoptar, parametrizar y realizar el blending agile que la industria requiere.

Por otro lado no podemos dejar de mencionar que la normatividad en las empresas es un tópico de carácter mandatorio, justo por ello

7 Collabnet Versionone. (Mayo 2019). 13th Annual State of Agile Report. .13.

proponemos lo que hemos denominado Agile & ISO Compliance, lo cual consiste en correlacionar ambos marcos.

La convivencia entre el blending agile (mezcla de agilidad) y la normatividad la enunciamos de manera iterativa a través de las siguientes etapas:

Figura 5 artefacto rev0.1 “Agile and ISO compliance” 8

La hibridación ISO Compliance and Agile propone a lo largo de iteraciones cíclicas apoyar a las organizaciones en términos de definición, implementación, evaluación y retroalimentación de cara al cumplimiento normativo.

Adicionalmente cabe destacar que la integración de los Estándares ISO 27001, ISO 20000 e ISO 22301 da como resultado un sistema de gestión

8 elaboración propia del autor

México, Ciudad de México

integral soportado estratégicamente por un enfoque correlacional basado en riesgos, que propicia el aseguramiento de la calidad en la entrega de servicios de TI.

A lo anteriormente descrito podemos conceptualizarlo como el trinomio de la calidad y servicios en TI, ya que se complementan logrando altos estándares en la entrega y correcta atención a la evaluación, prevención, tratamiento y solución a los riesgos inherentes para la organización.

Figura 6 Diagrama de hibridación ISO & Agile 9 Aunado a lo anterior el blending agile recubre, con prácticas de paradigma ágil que proporcionan un enfoque de entrega de valor temprana a los tópicos de normatividad.

CONCLUSIÓN Podemos notar que hay una brecha enorme entre los marcos de referencia robustos como son los estándares internacionales (ISO) y las buenas prácticas de agile, es ahí donde se propone la implementación de esta hibridación entre normatividades y agilidad, obteniendo un equilibrio entre ambas metodologías.

Una detección temprana de desviaciones, la participación activa del Cliente durante el ciclo de vida del proceso asegurando soluciones en la entrega de los artefactos sin necesidad de esperar hasta el término del proyecto, eliminación de tareas y actividades innecesarias del equipo logrando una mayor productividad y la unificación de esfuerzos, todo esto sin perder las directrices de los estándares internacionales como principales beneficios de la adopción de esta hibridación. De este modo se ofrece un valor agregado en un mercado potencial en la industria de las Tecnologías de la Información.

México, Ciudad de México

REFERENCIAS

International Organization for Standardization. (2012). ISO 22301 . Sistema de Gestion de Continuidad de Negocio.

ISOTOOLS. (19 de marzo de 2015). Obtenido de https://www.isotools.org/2015/03/19/q ue-son-las-normas-iso-y-cual-es-su- finalidad/

Liker, J. K. (2000). Las claves del exito de Toyota. En J. K. Liker, Las claves del exito de Toyota. Grupo planeta.

Collabnet Versionone. (Mayo 2019). 13th Annual State of Agile Report. 13.

Tel. 55 50800048 Ext.1134 procesos.ti@praxisglobe.com Ismael Betancourt García

ISMAEL BETANCOURT GARCÍA Gerente de Gestión de Procesos TI