Ciencias Sociales T - I - ECORFAN

María Palma

Directora

Ciencias Sociales T - I

Handbook

ECORFAN®

Ciencias de la Tecnología de Información

Proceedings T-I

Solares-Soto , Pedro Fernando Director

ECORFAN®

Volumen I

Para futuros volúmenes:

http://www.ecorfan.org/proceedings

ECORFAN®

ECORFAN Tópicos Selectos de Tecnologías de Información

El Proceeding ofrecerá los volúmenes de contribuciones seleccionadas de investigadores que

contribuyan a la actividad de difusión científica de ECORFAN en su área de investigación en

Ingeniería. Además de tener una evaluación total, en las manos de los editores de la Universidad

Iberoamericana que colaboraron con calidad y puntualidad en sus capítulos, cada contribución

individual fue arbitrada a estándares internacionales (LATINDEX-DIALNET-ResearchGate-

DULCINEA-HISPANA-Sudoc- SHERPA-UNIVERSIA-e-Revistas), la serie propone así a la

comunidad académica , los informes recientes sobre los nuevos progresos en las áreas más

interesantes y prometedoras de investigación en Tecnologías de Información.

María Ramos-Escamilla · Pedro Fernando Solares-Soto

Editores

Ciencias de la Tecnología de Información

Universidad Iberoamericana. Junio 30, 2015.

ECORFAN®

Editores

María Ramos-Escamilla

[email protected]

Academico Distingido FICSAC.

Pedro Fernando Solares-Soto

[email protected]

Universidad Iberoamericana

Coordinador de Maestría y TSU.

Departamento de Ingenierias- Administración de Servicios de TI

ISBN-978-607-8382-78-1

Sello Editorial ECORFAN: 607-8324

Número de Control PCTI: 2013-01

Clasificación PCTI (2015): 071514-0101

©ECORFAN-México.

Ninguna parte de este escrito amparado por la Ley de Derechos de Autor ,podrá ser reproducida, transmitida o utilizada

en cualquier forma o medio, ya sea gráfico, electrónico o mecánico, incluyendo, pero sin limitarse a lo siguiente: Citas

en artículos y comentarios bibliográficos ,de compilación de datos periodísticos radiofónicos o electrónicos. Para los

efectos de los artículos 13, 162,163 fracción I, 164 fracción I, 168, 169,209 fracción III y demás relativos de la Ley de

Derechos de Autor. Violaciones: Ser obligado al procesamiento bajo ley de copyright mexicana. El uso de nombres

descriptivos generales, de nombres registrados, de marcas registradas, en esta publicación no implican, uniformemente

en ausencia de una declaración específica, que tales nombres son exentos del protector relevante en leyes y regulaciones

de México y por lo tanto libre para el uso general de la comunidad científica internacional. PCTI es parte de los medios

de ECORFAN (www.ecorfan.org)

mailto:[email protected]

Prefacio

Una de las líneas estratégicas de la mision y vision universitaria ha sido la de impulsar una política

de ciencia, tecnología e innovación que contribuya al crecimiento económico, a la competitividad,

al desarrollo sustentable y al bienestar de la población, así como impulsar una mayor divulgación en

beneficion del indice de desarrollo humano , a través de distintos medios y espacios, así como la

consolidación de redes de innovación de la investigación, ciencia y tecnología en México.

La IBERO visualiza la necesidad de promover el proceso de la investigación,

proporcionando un espacio de discusión y análisis de los trabajos realizados fomentando el

conocimiento entre ellos y la formación y consolidación de redes que permitan una labor

investigativa más eficaz y un incremento sustancial en la difusión de los nuevos conocimientos.

Este volumen I contiene 10 capítulos arbitrados que se ocupan de estos asuntos en Tópicos Selectos

de Ciencias de la Tecnología de Información, elegidos de entre las contribuciones, reunimos

algunos investigadores y estudiantes.

Rojas expone un protocolo del diseño del sistema para asegurar un cierto grado absoluto de

continuidad operacional durante un período de medición dado; Zamora & Solares analizan el

funcionamiento de los distintos sectores de salud en México para así poder comprender el desarrollo

y empleo de las tecnologías de la información; Galicia expone todos los factores que inciden para

beneficiar o perjudicar según sea el caso la innovación tecnológica la cual depende totalmente de la

tecnología empleada; Salazar presenta un estudio de la industria automotriz de México en Saltillo

Coahuila, donde la base de la investigación es la competitividad vista desde la cadena de

abastecimiento; Castañeda da a conocer todas las tareas que permiten dar origen a diversas leyes

que castigan al cibercrimen así como medidas para evitarlo.

Mejía comprueba como las grandes empresas han optado por hacer uso de la tecnología de

almacenamiento en la nube se basan en un enfoque de modelo de servicio a la carta, acceso de

autoservicio a servidores, aplicaciones; López apuesta por la Auto-evaluación del riesgo control

para el uso en empresas así como sus beneficios; Yáñez & Valdés demuestran que el modelo EPCU

utilizándolo como una herramienta basada en la opinión de los expertos para obtener un resultado

consistente siendo una capacidad positiva para sincronizar las opiniones para ser eficientes en la

fase de análisis; Pachuca & Cárdenas exponen el modelo de gestión de ITIL con énfasis en el área

de proveedores de las TI para así asegurar un óptimo servicio y una satisfacción por parte del

cliente; Nuñez analiza la relación que existe entre el gobierno y las Tics asegurando que las

tecnologías de la Información van mejorando día con día y esto beneficia a las PYME´s.

Quisiéramos agradecer a los revisores anónimos por sus informes y muchos otros que

contribuyeron enormemente para la publicación en éstos procedimientos repasando los manuscritos

que fueron sometidos. Finalmente, deseamos expresar nuestra gratitud a la Universidad

Iberoamericana en el proceso de preparar esta edición del volumen.

Pedro Solares-Soto

María Ramos-Escamilla

Mexico,D.F. Junio 30, 2015.

Contenido

Pag

Solución de alta disponibilidad

1-4

Tecnologías de Información en el sector salud (TISS)

5-12

Innovación Tecnológica

13-24

Clúster Automotriz en Coahuila

25-34

Complejidades y facetas del Cibercrimen

35-38

Súbase a la nube sin miedo- Compute-as-a-service

39-44

Control Self Assessment (CSA) como herramienta de gestión de riesgo tecnológico

45-52

Generación de un índice integrado de satisfacción del servicio (IISS) para un área de

servicio de soporte técnico en una empresa trasnacional utilizando lógica difusa

53-67

ITIL Gestión del portafolio de servicios

68-76

Gobierno de tecnologías de información, un enfoque para las PYMES

77-84

Apéndice A . Consejo Editor IBERO

85

Apéndice B. Consejo Editor ECORFAN

86-87

Apéndice C. Consejo Arbitral ECORFAN

88-90

1

Solución de alta disponibilidad

Ángel Rojas

Á. Rojas

Universidad Iberoamericana, Prolongación Paseo de la Reforma 880, Alvaro Obregon, Lomas De santa Fe, 01219

Ciudad de México, D.F., México

M.Ramos, P. Solares.(eds.) Ciencias de la Tecnología de la Información -©ECORFAN, México D.F., 2015.

2

Abstract

High Availability (High availability) is a system design protocol and associated implementation that

ensures a certain absolute degree of operational continuity during a given measurement.

Availability refers to the ability of the community of users to access the system, submit new work,

update or alter existing work, or collect the results of previous work. If a user can not access the

system is said to be unavailable. The term downtime (downtime) is used to define when the system

is not available.

1 Alta disponibilidad

La alta disponibilidad es esencial para cualquier organización interesada en la protección de su

negocio contra el riesgo de una interrupción del sistema, pérdida de datos transaccionales o datos

incompletos. Cualquiera sea la razón, cuando un servidor se cae, las aplicaciones y los procesos de

negocio que dependen de esas aplicaciones se detienen. Para un negocio interesado en estar

disponible en todo momento, HA clustering es una solución práctica.

Dos o más servidores se unen o agrupan para respaldar el uno al otro. Si el servidor

primario se cae, el sistema de agrupamiento se reinicia la aplicación en uno de los otros servidores

del clúster, permitiendo que el negocio siga funcionando normalmente.

Los servidores están conectados mediante una red o de la interfaz de serie para que puedan

comunicarse entre sí. Eventos de tiempo improductivo programadas pueden incluir parches para el

software del sistema que requieren un reinicio o cambios de configuración del sistema que sólo

tienen efecto en un reinicio. Eventos de tiempo de inactividad no programados la típica surgen de

algún evento físico, como un fallo de hardware o software o anomalía ambiental. Clúster de alta

disponibilidad (HA clúster) implementaciones que intentan utilizar la redundancia de componentes

del clúster para eliminar puntos únicos de fallo.

Implementaciones de clúster HA intentan construir redundancia en un clúster para eliminar

los puntos únicos de fallo, incluyendo múltiples conexiones de red y de almacenamiento de datos

que está conectado de forma redundante a través de redes de área de almacenamiento.

El balanceo de carga es un método de redes de computadoras para la distribución de las

cargas de trabajo a través de múltiples recursos informáticos, como ordenadores, un clúster de

ordenadores, enlaces de red, unidades centrales de procesamiento o unidades de disco.

Esta se implementa un alto cúmulos de disponibilidad e incorporados con la infraestructura

de equilibrio de carga de servidores. Esta tecnología no sólo mejora la disponibilidad, sino que

también afecta solicita la seguridad y performance de los servicios de aplicación. (Katterman, 2013)

La mayor parte de los trucos y técnicas actuales para extender la disponibilidad del servicio

se originó en la industria de las telecomunicaciones. Con los años, los fabricantes de equipos de

telecomunicaciones idearon múltiples esquemas para proporcionar un servicio ininterrumpido a

pesar de los fallos de hardware y software. Desafortunadamente, la mayoría de estos esquemas son

caros de mantener, y difícil de actualizar como requisitos evolucionados. También requieren largos

ciclos de desarrollo. (Webb, 2008) La ventaja de este enfoque es que los subsistemas hot-

swappable, al igual que los servidores blade o unidades de disco hot-swappable. Un sistema no

puede ser fácilmente reemplazado mientras el otro continúa funcionando y el reemplazo de ahora se

convierte en el esclavo o hot-libre. Por lo general, se requiere cierto tiempo para conseguir el nuevo

sistema en una condición de ser el esclavo desde mínimamente tiene que arrancar.

3

Otra ventaja de este enfoque es que mientras que los subsistemas deben ejecutar las mismas

aplicaciones y tienen el mismo I / O, internamente puede haber diferencias de hardware. Dicho esto,

la mayoría de los sistemas tienden a ser muy similares o idénticos. Por el contrario, las soluciones

basadas en software proporcionan una mayor flexibilidad en la aplicación de los diferentes sistemas

de sincronización y de comprobación de errores. (Saggurti, 2015)

Los fallos de nodo de un clúster de alta disponibilidad no son visibles desde clientes fuera

del clúster. Combina con equilibrio de carga y la tecnología de almacenamiento compartido

(Moniruzzaman & Hossain, 2014)

Cada vez más los datos no estructurados se producen y consumen en la red. Cómo mantener

estos datos y mejorar la disponibilidad y la escalabilidad de los sistemas de almacenamiento se ha

convertido en un reto considerable. (Jiang, Zhang, Liao, Jin, & Peng, 2014)

En el mundo empresarial competitivo de hoy, las empresas están abiertas 24 horas al día,

siete días a la semana y cada vez se basan en la tecnología para hacer negocios y para ayudar a

sostener las ganancias. Como dependencia de negocio en la tecnología aumenta, también lo hace el

costo de tiempo de inactividad. Con la tecnología relacionada con tanta fuerza a procesos de

negocio y los costos de los cortes de la escalada, las empresas hoy están exigiendo el tiempo de

inactividad más corto y la recuperación rápida para aplicaciones críticas. La información es la

empresa más fuerte de una empresa activo, y el éxito empresarial está ligado directamente a la

continuidad y el acceso confiable a la información.

E-business y ERP sistemas son ejemplos sencillos en los que cualquier interrupción

significativa afectará directamente a las operaciones de una empresa y los ingresos y, peor,

posiblemente provocar su propia desaparición.

1.2 Conclusiones

La implementación de una solución de alta disponibilidad (HA) puede proteger su negocio de

costosos tiempos de inactividad. (Dolewski, 2010)

La Virtualización está en auge. Pero a medida que un número creciente de empresas

incorporan la tecnología, es importante recordar que la consolidación de servidores en menos

máquinas físicas viene con ciertos riesgos. Sí, las empresas de cualquier tamaño puede darse cuenta

de los beneficios de los recursos fabulosos, pero el costo de falla en el servidor puede ser alto.

Dado que el servidor puede llegar a ser bastante valioso, ya que tiene más y más máquinas

virtuales (VM): si se cae o experimenta problemas, operaciones de negocios pueden ser

severamente afectados. Por esta razón, necesita una solución de recuperación de alta disponibilidad

/ desastre potente. Microsoft y VMware ofrecen esta funcionalidad dentro de sus productos de la

industria estándar, y esas características proporcionan bueno, básico protección. Sin embargo, para

la facilidad de uso o funcionalidad más granular, debe tener en cuenta los productos de terceros

tales como los contemplados en guía del comprador. (Bovberg, 2010)

1.2 Referencias

Bovberg, J. (2010). High Availability/Disaster Recovery for Virtual Environments. Windows IT

Pro, 16(6), 71.

Dolewski, R. (2010). HIGH AVAILABILITY: A Revenue Engine for Your Business. SQL Server

Magazine, 12(11), 20.

4

Jiang, W., Zhang, L., Liao, X., Jin, H., & Peng, Y. (2014). A novel clustered MongoDB-based

storage system for unstructured data with high availability. Computing, 96(6), 455. doi:

10.1007/s00607-013-0355-8

Katterman, W. (2013). Implementing high availability network communications for the smart grid

and industrial applications. EDN Europe, 11, 17.

Moniruzzaman, A. B. M., & Hossain, S. A. (2014). A Low Cost Two-Tier Architecture Model for

High Availability Clusters Application Load Balancing. International Journal of Grid & Distributed

Computing, 7(1), 89. doi: 10.14257/ijgdc.2014.7.1.09

Saggurti, P. (2015). High Availability is Not Just for the Data Center. Electronic Design, 63(3), 38.

Webb, W. (2008). High availability in embedded systems. Electronics Weekly(2340), 26.

5

Tecnologías de Información en el sector salud (TISS)

Carlos Zamora & Pedro Solares

C. Zamora & P. Solares

Universidad Iberoamericana. Campus Ciudad de México, Prolongación Paseo de la Reforma 880, Lomas de Santa Fe,

México, D.F., 01219. México. Teléfono: 5559504000 ext. 4720

[email protected]


6

Abstract

Health services are worldwide a transcendental activity with significant impact on critical variables

for the rest of the productive apparatus and consumption of a nation. The indicators in this category

are always significant to locate the level of development and social consciousness of a country.

Analysis of Information Technology in Health (TISS) Sector its goal is to know the status of

Information Technology (IT) and identify specific issues to be resolved in the IT institutions

analyzed to assist in the fulfillment of its objectives not only in IT, but in the corporate strategy. The

diagóstico focused on three major public health institutions in Mexico: Mexican Social Security

Institute (IMSS), the Institute of Security and Social Services for State Workers (ISSSTE) and the

Popular Health Insurance (SPS, CNPSS ) using the maturity level of the Control Objectives for

Information Technology (COBIT).

Introducción

La salud en México desde siempre se ha ubicado de lleno en los ámbitos de la economía, así como

la administración y la política, representando para las administraciones federales que conjuntamente

con la educación son los dos sectores más críticos de la economía, y conforma un punto central para

la movilización de intereses y un aspecto fundamental para estructurar la oferta del gobierno

federal. El sector público de salud en México está representado principalmente por instituciones de

seguridad social como el Instituto Mexicano del Seguro Social, el Instituto de Seguridad y Servicios

Sociales de los Trabajadores del Estado, Petróleos Mexicanos (PEMEX), y otros, que proporcionan

servicios a los trabajadores del sector formal de la economía, y a las instituciones que protegen o

prestan servicios a la población sin seguridad social, dentro de las que se incluyen el Seguro

Popular de Salud,la Secretaría de Salud (SS), los Servicios Estatales de Salud (SESA). La oferta de

servicios de salud se complementa con el sector privado que presta servicios a la población con

capacidad de recursos económicos para su pago [1]. Con base en los estudios del Banco Mundial y

otras investigaciones [2] el desarrollo y acceso a las Tecnologías de la Información para mejorar los

resultados de la salud es el factor de mayor incidencia sobre la reducción de la mortalidad que se ha

experimentado durante el último siglo.

2 Fatores de Anáisis

El estudio de análisis de las Tecnologías de Información en el Sector Salud (TISS) su objetivo es

conocer la situación actual de la TI e identificar aspectos puntuales a resolver en las Tecnologías de

Información de las instituciones analizadas para apoyar en el cumplimiento de sus objetivos no

solo en materia de TI, sino en la estrategia institucional. El estudio se enfocó en las tres

instituciones más importantes de salud pública en México y en aquellas brechas necesarias a cubrir

de acuerdo a las mejores prácticas establecidas, para que éstas se conformen como un factor sólido

y clave para asegurar la entrega de los servicios a los usuarios, lo que sin duda repercutirá en

beneficio de las propias instituciones y del país.

El estudio analizó en primera instancia la situación del IMSS, ISSSTE y CNPSS en términos

del entorno en el que se desenvuelven, los factores regulatorios, sociales, económicos y humanos

más importantes a considerar en cada momento para la ejecución de cada uno de los ejercicios o

prácticas a lo largo del tiempo. También la estrategia planteada dentro del plan estratégico que

generan las instituciones como directrices, y además la estrategia específica en materia de TI

conocida como Plan Estratégico de Tecnologías de Información y Comunicaciones (PETIC), así

como verificación de la alineación eficaz entre los objetivos de TI y los objetivos de las

Instituciones. Asì como los eslabones que conforman la cadena de valor o los procesos más

importantes para cada Institución identificando los procesos primarios y los procesos secundarios

para garantizar el éxito y cumplimiento de los objetivos.

7

Lo anterior se conformó como base para evaluar los procesos de TI que soportan a los

procesos institucionales, identificando principalmente la situación actual de capacidades, así como

las brechas con respecto a mejores prácticas utilizando las propuestas por COBIT [3] y los riesgos

existentes al mantener esas brechas, así como la de los procesos de TI con ITIL (Information

Technology Infrastructure Library) [4].

2.1 Resultados

El estudio parte de diagnósticos realizados por los expertos del sector salud, así como de los

acuerdos del Pacto por México [5], Plan Nacional de Desarrollo 2013-2018 [6], la Estrategia Digital

Nacional [7], que determinan una valoración sobre el estado de la administración de las

Tecnologías de Información (TI) en tres de las instituciones de salud más importantes de México:

IMSS, ISSSTE y CNPSS.

El estudio plantea que a través del empleo de las TI se soportan las actividades clave de las

instituciones de salud, esto es, muestra qué estrategias son factibles de desarrollar a través de

utilizar herramientas diversas para elevar sus capacidades a un nivel 4 de la escala del marco

metodológico de COBIT, permitiéndoles así lograr el cumplimiento del mandato constitucional,

estipulado en el Artículo 4to, Constitucional de ―garantizar con eficiencia y eficacia el acceso a los

servicios de salud para toda la población‖. Son varios los resultados obtenidos. Por ejemplo, que no

hay evidencias suficientes de coordinación entre las instituciones estudiadas, en cuanto a los

contenidos o estrategias de salud, que las obligan a conjuntar acciones y esfuerzos para lograr el

esquema de interoperabilidad necesario para garantizar el acceso universal a los servicios de salud,

la portabilidad de este servicio, y aumentar -e igualar- su calidad, propuesto en el Pacto por México

y la Estrategia Digital Nacional y el Plan Nacional de Desarrollo 2013-2018. Otro hallazgo

importante es que no se identificó un plan formal para mejorar las competencias y conocimientos

del personal operativo y administrativo de las áreas de TI en las instituciones evaluadas. La Tabla 1

presenta los resúmenes de los procesos analizados como parte de este estudio en cada institución y

la evaluación global de cada uno de ellos, de acuerdo a la escala de niveles de madurez de 1 a 5 de

COBIT.

Tabla 2 Resumen de procesos analizados por institución y su resultado

Fuente: Elaboración propia.

8

En general los procesos se encuentran en un nivel por debajo de 4, que es el establecido

como mínimo para poder cumplir con el mandato constitucional de garantizar el acceso a los

servicios de salud con calidad y eficiencia. También existe una problemática común en las tres

instituciones en tópicos torales de TI, tales como gestión de Gobierno de TI con referencia al marco

del Information Technologies Governance Institute (ITGI) [8], gestión de estrategia, gestión de

innovación, gestión de portafolio de proyectos con base en Project Management Institute (PMI) [9],

arquitectura empresarial de acuerdo al The Open Group Architecture Framework (TOGAF) [10],

entrega de beneficios, administración de conocimiento y configuración de activos de TI. Una

solución integral para el sector salud en materia de TI tiene que considerar estos rezagos en cada

institución para construir desde los cimientos un adecuado marco integral de interoperabilidad y una

plataforma de TI idónea que soporte los esfuerzos encaminados a lograr la Cobertura Universal en

Salud [11] para el país y los objetivos asociados que se manifiestan en las políticas públicas del

Gobierno Federal.

Los resultados por cada uno de los factores analizados son:

Normatividad y logro de objetivos. De acuerdo a los resultados derivados del estudio, se

encuentra que las instituciones que forman parte del alcance no han logrado cumplir con lo

establecido en el Artículo 4º constitucional, que estipula garantizar el acceso a servicios de salud

oportunos y con calidad. Hay que resaltar la importancia significativa que organismos como el

Banco Mundial y la OCDE (Organización para la Cooperación y Desarrollo Económicos) prestan a

las Tecnologías de Información como un factor crítico de éxito para brindar una mayor y mejor

cobertura de servicios de salud. Las instituciones estudiadas han incluido en su agenda estratégica

las TI para lograr los objetivos y metas que tienen establecidas. Sin embargo, existen capacidades,

brechas y riesgos en la gestión de las TI, procesos, personas y capacitación que es necesario cubrir

para alcanzarlos.

Existe rezago en el cumplimiento de objetivos de tecnología en apoyo a objetivos

institucionales y en consecuencia, a lo establecido en otros planes y programas. Una vez que estos

postulados sean incluidos como premisas en lo general y lo particular, es factible hacer planes a

corto y largo plazo concretos y definidos, pero sobre todo dirigidos a la contribución conjunta hacia

la Cobertura Universal de Salud en el país [12].

Procesos Institucionales.

En ocasiones los procesos están establecidos en la documentación institucional, hay que

resaltar que en la práctica se encuentran deficiencias operativas causadas por desconexiones en las

definiciones, o por desconocimiento de los mismos. Esto lleva a considerar esfuerzos importantes

en revisiones y actualización de los procesos existentes, capacitación del personal encargado de las

actividades y apoyo mediante herramientas de TI para optimizar el desempeño.

En los planes en materia de innovación y desarrollo de TI es factible de considerar la

fiscalización de los procesos, la eficiencia operativa, y la administración del cambio de forma

sustantiva. No obstante que se consideró prioritaria la línea de servicios los avances obtenidos son

insuficientes, ya que las instituciones quedan expuestas a visiones y objetivos de corto plazo.

Riesgos de TI.

Los procesos relacionados con la operación, administración, supervisión y evaluación de la

seguridad de la información se encuentran con brechas y riesgos importantes en sus capacidades, las

tareas de supervisión y evaluación están en la mayoría de los casos limitadas a determinados

servicios y procesos.

9

Lo anterior da como resultado un conjunto de vulnerabilidades en la operación, continuidad,

confidencialidad, integridad y disponibilidad de los servicios y activos de TI. Fue de suma

importancia durante el análisis identificar los riesgos y vulnerabilidades de TI que son factibles de

impactar de manera negativa a las instituciones, incluyendo la evaluación de aspectos tales como la

administración, operación y seguridad de los servicios de TI, detectando la necesidad de la creación

de programas de monitoreo y supervisión que ayuden a mitigar riegos que impacten el logro de los

beneficios propuestos por cada institución de salud.

2.2 Recomendaciones

Una vez concluidas cada una de las etapas del análisis del estudio, las cuales partieron del

entendimiento de las necesidades del derechohabiente y de las mismas Instituciones (su razón de

ser, su estrategia y los servicios que prestan) [13], se analizó la composición y el estado que

guardan las TI en las tres importantes instituciones. A la luz de los resultados del presente

diagnóstico, a continuación se señala un conjunto de recomendaciones y opiniones sobre la

situación actual de las TI en el sector salud en México.

Asegurar el cumplimiento regulatorio.

Se recomienda utilizar servicios externos a las instituciones que ayuden a fortalecer

mediante proyectos específicos la política y metodología de Gobierno de TI que les permitirá sentar

las bases adecuadas para tener mecanismos de control interno en los lineamientos referidos en la

normatividad aplicable.

Alineación estratégica conjunta.

Las instituciones y sus áreas informáticas tienen que ser muy cuidadosas y efectivas en la

manera de seleccionar e incorporar tecnologías como parte de sus planes de modernización e

innovación tecnológica. Así mismo, se sugiere incorporar aquellas tecnologías que dejen de

manifiesto su total integración con los servicios que prestan las instituciones involucradas, en favor

de los beneficiarios, de su cobertura y en estricto apego a lograr el cumplimiento de los mandatos

constitucionales, promoviendo la adopción de tecnologías sustentadas en estándares informáticos

que reflejen relaciones óptimas tanto de costo-beneficio como de costo-efectividad. Resulta vital

que las instituciones de salud analizadas entren en una dinámica renovada que considere las TI

como una inversión con impactos a corto, mediano y largo plazo y no como un gasto corriente.

Interoperabilidad y portabilidad de servicios.

Se recomienda trabajar en la definición, integración e implementación de redes de

convergencia y plataformas de interoperabilidad que apoyen la obligación del sector por lograr la

Cobertura Universal en Salud y alcanzar la portabilidad en los servicios, cumpliendo con las

demandas y derechos de los usuarios respectivos. Para garantizar la interoperabilidad y portabilidad

de servicios de salud, se recomienda utilizar criterios de arquitectura empresarial y estándares

informáticos que permitan homologar el conjunto de tecnologías existentes en cada institución. Del

mismo modo, aquellas tecnologías a incorporar tienen que orientarse a conformar el mejor universo

de elementos, aquellos que soporten la total accesibilidad a la información común y un bajo costo

de administración y pertenencia (TCO).

Recursos humanos y tecnológicos.

10

Las instituciones tienen que perfeccionar o adoptar nuevas formas de operar y asignar sus

recursos tecnológicos, requiriéndose también de la participación del personal tanto directivo como

operativo, así como otros interesados. Resulta fundamental incorporar prácticas y procesos de

gestión del cambio a lo largo y ancho de las instituciones analizadas, bajo la vigilancia de los

órganos internos de control, autoridades normativas, institucionales o federales.

Es prioritario asignar el presupuesto en aquellos recursos tecnológicos en los que se obtenga

más valor para los derechohabientes. En este sentido, es importante señalar que una deficiente

asignación se verá reflejada en una defectuosa selección y adquisición de plataformas tecnológicas,

no estandarizadas y no alineadas a proyectos que entreguen mayor valor tanto a las instituciones

como a los derechohabientes, teniendo altos costos de operación y administración e impactando

finalmente en el cumplimiento de los objetivos, metas y beneficios institucionales.

Seguridad, niveles de servicio y capacidades de TI.

El conjunto de elementos de TI tiene que estar gobernado por procesos sustentados en

mejores prácticas que aseguren la correcta administración, control y seguridad de los componentes

y de la información. La carencia o mal manejo de medidas de protección por falta de gestión de

recursos económicos y humanos genera deficiencias que no agregan valor en el cumplimiento de los

objetivos de las instituciones, por lo cual es primordial identificar estas situaciones para evitar la

falta de continuidad y disponibilidad en la operación, así como el deterioro de los servicios que se

prestan a los ciudadanos.

Una gestión deficiente de la seguridad por falta de gobierno en las TI es factible de

provocar filtración de información sensible de las instituciones y de datos personales de los

beneficiarios registrados en los sistemas institucionales, provocando consecuencias de

incumplimiento en la legislación vigente en materia de protección de datos personales.

2.3 Conclusiones

Sin lugar a dudas, en nuestro tiempo las Tecnologías de Información se encuentran transformando

los productos, servicios y vida de las personas. El contar con información oportuna, confiable y

disponible es factible de significar la diferencia en la adecuada toma estratégica de decisiones en un

gran corporativo o en una dependencia gubernamental. Todo señala a la información como un

activo sumamente importante de las organizaciones. El contar con el acceso oportuno en el

momento indicado y con la confiabilidad, calidad y seguridad adecuada hace la diferencia en la

entrega de productos y servicios tanto en el sector público como en el sector privado.

Con respecto a la transparencia, el manejo de datos e información en la mayoría de los

procesos analizados, presentan brechas y riesgos en sus capacidades y esto necesariamente se ve

reflejado de forma negativa en la integración de las TI a la operación de los procesos sustantivos de

las instituciones que conformaron el alcance del análisis. Es importante enfatizar que los flujos de

información hacia el interior y hacia los proveedores y derechohabientes tienen que generar niveles

aceptables de suficiencia, integridad, disponibilidad y confidencialidad que favorezcan la

transparencia y el buen gobierno. Es factible destacar que las instituciones tienen que trabajar en la

comunicación, concientización e importancia sobre los proyectos de inversión pública en TI para

beneficio del sector y derechohabientes, llevando a cabo una administración del logro de los

beneficios de dichas inversiones (contribución a nuevos servicios, mayor eficiencia y un mejor

grado de reacción a los requerimientos).

11

De lo contrario no se podrá garantizar la optimización de los costos en la prestación de los

servicios y capacidades de TI, impactando en una deficiente asignación de recursos y proyectos de

TI que no ofrezcan el mayor valor posible para apoyar la estrategia y los objetivos institucionales.

Las consecuencias de no tener niveles de servicio debidamente acordados provoca que las

necesidades y expectativas de las áreas usuarias no sean plenamente satisfechas, debido a que la

configuración (especificación, diseño, acuerdos, monitoreo) de los servicios de TI no fue

establecida formalmente desde su concepción, lo que genera la imposibilidad de que los servicios

entregados sean objetivamente evaluados.

En el corto plazo, hay que establecer los métodos para la planeación de la capacidad del

hardware y comunicaciones de las instituciones estudiadas, de tal manera que sea factible tener un

crecimiento y evolución sostenidos, haciendo uso de las mejores prácticas disponibles en la materia.

Cuando no se planean correctamente las necesidades actuales y futuras en capacidad de hardware y

comunicaciones, surgen problemas en la disponibilidad, rendimiento y capacidad tecnológica, así

como también retrasos o caídas de los aplicativos que soportan las operaciones, con impactos en

diferentes niveles.

2.4 Referencias

[1] Agustín Escobar (2012). La Calidad de la Rendición de Cuentas: Transparencia y Acceso

Efectivo al Seguro Popular.

[2] Organización para la Cooperación y el Desarrollo Económico (OCDE) (2011). Panorama de la

salud (Health at a glance).

[3] COBIT is a trademark of ISACA registered in the U.S. and other countries.

[4] Information Technology Infrastructure Library (ITIL) v3 (2007)

United Kingdom's Office of Government Commerce

[5] Pacto por México (2012). Pacto por México. http://pactopormexico.org/ Consultado el 10 de

enero 2014.

[6] Plan Nacional de Desarrollo 2013-2018. pnd.gob.mx/. Consultado el 8 de Febrero de 2014.

[7] Estrategia Digital Nacional para transformar a México . www.presidencia.gob.mx. Consultado

el 20 de Febrero de 2014.

[8] Information Technologies Governance Institute (ITGI) (2008). The Val IT Framework (Val IT)

v2.0

[9] Project Management Institute (PMI) (2008). The Project Management Body Of Knowledge

(PMBOK) 4th Edition.

[10] The Open Group (2011). The Open Group Architecture Framework (TOGAF) v9.1.

[11] INSP (2012). Encuesta Nacional de Salud y Nutrición [ENSANUT] 2012. Resultados

nacionales. México: Instituto Nacional de Salud Pública.

http://ensanut.insp.mx/informes/ENSANUT2012ResultadosNacionales.pdf Consultado el 30 de

enero del 2014.

12

[12] FUNSALUD (2012). Universalidad de los Servicios de Salud – Propuesta de FUNSALUD.

México: Fundación Mexicana para la Salud.

http://www.funsalud.org.mx/eventos_2012/Universalidad%20de%20los%20servicios%20de%20sal

ud/UNIVERSALIDAD%20DE%20LOS%20SERVICIOS_DEF.pdf Consultado el 1 de febrero del

2014.

[13] INSP (2006). La Salud en México: 2006/2012, Visión de Funsalud. México: Fundación

Mexicana para la Salud, AC, http://www.funsalud.org.mx/vision_2006-

2012/documentos/VISION%20SALUD.pdf Consultado el 25 de enero 2013.

13

Innovación Tecnológica

Ricardo Galicia

R. Galicia




14

Abstract

Technological innovation occurs when technology is used as a means to introduce change. The

process of technological innovation is essentially continuous nature. The essence of the process of

technological innovation is the accumulation of knowledge over time. The assumption that the

innovation process is subject to historical conditions plays a central role in the evolutionary

approach and represents the fact that the evolution of a technology depends critically on the path it

has followed in the past. The technological innovation process is partially irreversible. The

development of technology in the context of a particular technological trajectory, generates new

knowledge through a series of feedback mechanisms that improve their performance. These

mechanisms strengthen this dominant technology over other alternative technologies with which it

competes. The technological innovation process is affected by different types of uncertainty.

Reflects the ignorance that has a priori what is the solution of the technical problem to be solved

and if, indeed, you can find within the time and cost projections: What is the best technical solution

is feasible?, will it work?

Introducción

La innovación es un proceso que consiste en convertir en una solución a un problema o una

necesidad, una idea creativa, la innovación puede realizarse a través de mejoras y no solo de la

creación de algo completamente nuevo. Nuevo puede significar en este sentido una auténtica

novedad mundial o bien, una novedad subjetiva desde una perspectiva de una única empresa, o de

un trabajador. En la actualidad se distinguen una serie de categorías de innovación. Se mencionan

aquí algunos de las áreas temáticas relevantes:

Innovación técnica.

Innovación de los servicios.

Innovación de los modelos de negocio.

Innovación del diseño.

Innovación social.

Las innovaciones pueden distinguirse según la forma de su surgimiento:

Innovación cerrada (Closed Innovation), donde los innovadores se encuentran solamente

dentro de una organización.

Innovación abierta (Open Innovation), donde las organizaciones de un mundo

crecientemente diversificado con el conocimiento internacionalmente disperso ya no pueden

quedarse solamente con su propia fuerza innovadora, sino que están cada vez más supeditados a la

integración y utilización de informaciones y competencias externas).

Para agilizar todo el proceso de gestión de la innovación en la empresa se han desarrollado una serie

de herramientas software que simplifican dicho proceso:

Herramientas de vigilancia tecnológica: sirven a la empresa u organización que la use para

conocer las últimas tendencias tecnológicas en su campo.

Herramientas de gestión de patentes: ayudan a llevar un inventario de todas aquellas

patentes en las que se está trabajando o que se han adquirido por parte de la empresa.

15

Herramientas de gestión de ideas: permiten recabar y posteriormente gestionar las ideas de

los clientes y empleados de las empresas para convertirlas en innovación.

Herramientas de gestión de conocimiento: documentan el conocimiento interno de las

empresas, para este luego pueden ser estudiado y aplicando a nuevas ideas de negocios y/o

producto. En algunos casos estas herramientas se enfocan en documentar las capacidades de los

empleados internos y asesores externos.

La dirección de la innovación tecnológica en los últimos años se ha convertido en una de las

áreas de estudio más atractivas y prometedoras dentro de la dirección de empresas.

3 Características de Innovación

La mayor parte de los esfuerzos empresariales traen alguna novedad o innovación en su producto o

servicio. Los clientes adoptan las innovaciones dependiendo de su percepción de las ventajas y

riesgos que ven en ellas. Una innovación puede ser un producto, un proceso, una idea, un nuevo

servicio que se percibe como algo nuevo, una nueva manera de hacer las cosas, entre los

compradores potenciales. Una innovación le presenta a un usuario potencial una nueva alternativa

para solucionar un problema, pero también representa la incertidumbre de si la misma será mejor o

peor que la solución existente.

Las innovaciones no siempre se adoptan rápidamente.

Algunas ideas innovadoras pueden tardar muchos años en propagarse y ser adoptadas por los

consumidores. La difusión de una innovación depende de la percepción de los consumidores de

cinco características:

Ventaja relativa - la percepción de superioridad de una innovación comparada a un producto

o solución existente. Esta ventaja puede ser de carácter económico o de eficiencia.

Compatibilidad - cuan bien se acopla la innovación a los valores, sistemas y prácticas

existentes de un comprador potencial.

Complejidad - cómo se percibe la innovación en términos de dificultad de entender o de

utilizar. Mientras más difícil es percibida, más lenta será su adopción.

Experimentación - cuánto puede experimentar un comprador potencial con la innovación

antes de adoptarla. Mientras más pueda experimentar y probar, más rápida será su adopción en el

mercado.

Visibilidad - cuán visible es la innovación y sus beneficios a los compradores potenciales.

A mayor visibilidad, mayor será su adopción.

3.1 Elementos clave de la Gestión de la Innovación y de la Tecnología.

Los conceptos de gestión e innovación están íntimamente relacionados, Luhmann (1997 p. 89)

sugiere que innovación es ―...un proceso de decisión contrainductivo, un proceso de decisión que

decide diferente a lo que era de esperar y así, cambia las expectativas‖, lo cual, asociado con la

definición de gestión que de Albomaz y Fernández (1997) que señalamos previamente, denotan un

interés de cambio de paradigmas en la acción. Lundvall (1992) sugiere que la gestión de la

Innovación podría tener entonces dos denotados:

16

1.- Área disciplinaria que en el regiones específicas, tiene como objeto el estudio de estrategias,

condiciones y sistemas de manejo de recursos y oportunidades que permitan estimular la

creatividad, promoverla, vincularla con el entorno e introducir los resultados a la dinámica de las

organizaciones con racionalidad y efectividad.

2.- Serie de actividades realizadas por un gestor o equipo especializado de gestores, orientadas a

acelerar la transformación de ideas en innovaciones, vinculando en todo momento a los suficientes

agentes interesados en un marco regional y buscando que dichas innovaciones brinden satisfacción

a cada participante sin generar conflicto en las variables de medio ambiente, opinión pública,

intereses institucionales, comerciales, del consumidor y normativos.

3.1.1 Modelos y Procesos de Innovación

El modelo percibido del proceso de innovación junto con su práctica han evolucionado, dichos

cambios se sintetizan en las cinco generaciones (Rothwell, 1994).

Primera generación. Empuje tecnológico. Desde 1950 hasta la segunda mitad de los sesentas

el modelo dominante de innovación fue el denominado empuje tecnológico (technology -push). Es

un modelo lineal que asume una progresión ordenada que va del descubrimiento tecnológico,

pasando por la investigación aplicada, el desarrollo tecnológico y las actividades de producción,

para concluir en nuevos productos al mercado.

Segunda generación. El jalón de la necesidad o del mercado. Tercera generación. Modelo

del acoplamiento.

Cuarta generación. Modelo integrado No obstante el modelo de la tercera generación del

proceso de innovación contenía circuitos de retroalimentación, esencialmente permanecía

secuencial. El modelo de la cuarta generación se caracteriza por ser paralelo pero integrado,

Quinta generación. Integración de sistemas y redes. Consiste en el uso de sofisticadas

herramientas electrónicas que incrementan la velocidad y la eficiencia del desarrollo de productos al

través de todo el sistema de innovación, es decir al interior de la firma, pero también en el exterior,

proveedores, clientes y colaboradores, esencialmente la quinta generación del proceso de

innovación es la cuarta generación pero con una nueva tecnología del cambio tecnológico para

aumentar la velocidad y eficiencia de la innovación.

Miller y Morris (1999, pp.281y 282) proponen un proceso de innovación que consta de

cuatro fases:

Fase 1. Es la transformación de la idea inicial en la definición conceptual de la familia de

aplicaciones, dirigidas por la tecnología, productos, servicios o plataforma de distribución, o la

combinación de plataformas.

Fase 2. La comunidad de mejoras toma responsabilidad del proyecto. El objetivo es la

definición de un diseño dominante validado para las nuevas plataformas o nuevas plataformas para

diseños dominantes existentes.

Fase 3. Desarrollo de nuevos productos, servicios, familias de distribución y desarrollo de

métodos.

Fase 4. Desarrollo de las actividades de mercado para una familia de producto,

específicamente para los nuevos productos, servicios y procesos.

17

Otra modelo de innovación es el propuesto por Utterback (2001) que tiene un enfoque de la

ingeniería donde los factores tecnológicos y económicos determinan la viabilidad de la innovación.

Propone un modelo para el proceso de innovación que consta de seis etapas:

1. Iniciación del proceso. El stock de conocimientos tecnológicos existentes, es decir, el

estado de la técnica, sugiere la posibilidad de una innovación capaz de satisfacer una necesidad

presente de la sociedad. O bien esta necesidad provoca la búsqueda de los conocimientos y

tecnologías que nos permiten lograr una innovación con la cual se elimine la necesidad detectada.

2. Formulación de la idea. Se realiza un prediseño que es sometido a evaluación. Ésta es una

etapa fundamentalmente creativa, en la cual es imprescindible el reconocimiento tanto de la

viabilidad técnica como de la económica de la futura innovación. Es de gran importancia la

evaluación que se haga al costo del proceso, ya que la empresa tendrá que comprometer los recursos

necesarios para el desarrollo de las ulteriores etapas.

3. Formulación del problema. En algunas ocasiones se dispone de la información que

permite resolver el problema de manera inmediata. En otras ocasiones la información ha de

obtenerse mediante actividades de investigación y desarrollo. En esta etapa surgen problemas

imprevistos y aparecen nuevas soluciones que es necesario evaluar y sobre las que hay que decidir.

A veces, las dificultades que aparecen no pueden solucionarse, y el proceso ha de suspenderse

temporal o definitivamente.

4. Solución de problema. Ésta puede ser original, en cuyo caso nos encontramos con una

invención que incrementará el stock de procesos tecnológico disponibles. O bien puede solucionar

el problema mediante la adaptación de una invención ya existente, hallándonos entonces ante una

invención imitativa.

5. Perfeccionamiento y desarrollo. Durante esta etapa se fabrican prototipos o pequeñas

cantidades de acuerdo con las especificaciones previstas. Se efectúan las pruebas y evaluaciones

técnicas necesarias para determinar las posibilidades de fabricación o uso del nuevo producto o

proceso.

6. Utilización y difusión. La innovación no tiene lugar hasta que se ha introducido el

producto, ya sea un bien o un servicio, o se ha aplicado el proceso por primera vez en el mercado, a

partir de cuyo instante se inicia la difusión.

La cultura de la innovación.

Al igual que las personas, las empresas tienen una personalidad que las hace distinguirse una

de otras y les da una identidad propia. A nivel organizacional se le conoce como cultura

organizacional y se puede definir como un conjunto de significados, ideas, valores, creencias,

conductas y conceptos que comparten sus integrantes y determina su comportamiento. Las

creencias y demás elementos de la cultura inhiben o fomentan el desarrollo, es decir, estorban o

apoyan a una persona, a una organización o a un pueblo para crecer, progresar, desarrollarse.

Cambiar lo existente para sentirse mejor es resultado de una cultura que implica modificar las

creencias, prácticas, comportamientos, procesos. Diferentes estudios (Banegas, 1999; García, 1999,

Angel, 2006) sobre el tema definen características de una cultura de innovación, entre las que

encontramos: mayor creatividad, educación ubicua y permanente, mosaico cultural, pasión aplicada

a un proyecto, desarrollo de confianza, reconocimiento social, incentivos, aceptación del riesgo,

anticipar necesidades, controlar proyecto, aceptación del cambio, etc. La innovación por la

innovación no tienen sentido, su producto no dimensiona su impacto social, legal, ecológico y no

son coherentes con las personas, las organizaciones y los pueblos; una cultura de la innovación que

no mide y controla las consecuencias, no es ética.

18

Señala que la cultura innovadora no son meras instituciones legales ni económicas. Tiene un

profundo trasfondo social que es preciso remover e impulsar y que requiere continuidad y

vehemencia.

Las fuentes de la innovación.

Peter Drucker (2002) explica en ―La disciplina de la innovación‖ una serie de fuentes que

pueden dar origen a un proceso de innovación, cuatro de ellas dentro de una compañía o industria:

1. La sorpresa: el éxito o fracaso inesperado, el hecho inesperado producido en el exterior, pero

dentro del entorno próximo.

2. Las incongruencias o disonancias: Observar a fondo buscando la realidad de lo que

necesitan los clientes y la sociedad, es una fuente de innovación infalible.

3. Las necesidades en los procesos internos de la empresa y la presencia de escalones débiles

en los mismos.

4. Los cambios en los mercados, como consecuencia de los ciclos de vida de los productos y

los rápidos cambios de las necesidades de los clientes.

Añade tres fuentes adicionales de oportunidad fuera de una compañía, en su medio social e

intelectual:

5. Los cambios en los valores y en las percepciones de las personas y de la sociedad.

6. Las variaciones en la demografía: Este es uno de los cambios más importantes y cuyos

resultados afectaran a las sociedades y a la economía y la empresa.

7. Los nuevos conocimientos y las nuevas tecnologías, que afectan a la mayoría de los

procesos de las empresas industriales de servicios y agrícolas.

La gestión estratégica de la tecnología. El problema que aborda la gestión de la innovación

es claro. Con el fin de permanecer en el mercado, la empresa requiere que su oferta y el modo en

que es creada y suministrada permanezcan en un estado continuo de cambio y, para poder hacerlo,

la empresa debe:

Vigilar el entorno en busca de señales sobre la necesidad de innovar y sobre oportunidades

potenciales que puedan aparecer para la empresa. Su objeto es el de preparar a la organización para

afrontar los cambios que le puedan afectar en un futuro más o menos próximo y conseguir así su

adaptación.

Focalizar la atención y los esfuerzos en alguna estrategia concreta para la mejora del

negocio, o para dar una solución específica a un problema. Incluso las organizaciones mejor dotadas

de recursos no pueden plantearse abarcar todas las oportunidades de innovación que ofrece el

entorno, y debe seleccionar aquellas que en mayor medida puedan contribuir al mantenimiento y

mejora de su competitividad en el mercado.

Capacitar la estrategia que se haya elegido, dedicando los recursos necesarios para ponerla

en práctica. Esta capacitación puede implicar sencillamente la compra directa de una tecnología, la

explotación de los resultados de una investigación existente, o bien realizar una costosa búsqueda

para encontrar los recursos apropiados.

19

Implantar la innovación, partiendo de la idea y siguiendo las distintas fases de su desarrollo

hasta su lanzamiento final como un nuevo producto o servicio en el mercado, o como un nuevo

proceso o método dentro de la organización.

Aprender de la experiencia, lo que supone reflexionar sobre los elementos anteriores y

revisar experiencias tanto de éxito como de fracaso. En este sentido, es necesario disponer de un

sistema de valoración que alimente y asegure la mejora continua en el propio proceso de cambio

tecnológico.

3.2 Proceso de Innovación Tecnológica

El proceso de innovación tecnológica es un proceso que abarca el espectro de actividades que se

inicia con búsqueda de necesidades tecnológicas de organizaciones del sector productivo y se

extiende hasta la comercialización, en el mercado de estas organizaciones, de los productos ,

procesos, equipo, etc., que derivan de esfuerzos de investigación y desarrollo (IDE) o de otros

mecanismos.

De esta manera, la realización de innovaciones tecnológicas, entre otras condiciones:

a) Implica satisfacer demandas del sector productivo, a través del uso de cambios técnicos que

colocados en el mercado, producen consecuencias económicas y sociales.

b) No implica necesariamente ejecutar proyectos de IDE. La generación de cambios técnicos

pueden estar esencialmente basadas en informaciones técnicas disponibles en la literatura, normas

técnicas, patentes, etc., o en la compra de tecnología producida por terceros (innovación por

Adopción).

c) Necesariamente requiere del contexto de organizaciones del sector productivo, que

incorporen los cambios técnicos a sus sistemas de producción y les atribuye significación

económica y/o social.

Así para que los proyectos de investigación y desarrollo tengan consecuencia económico /

sociales, necesitan estar vinculadas a necesidades tecnológicas específicas de organizaciones

existentes del sector productivo.

Se plantea la correlación entre las funciones tecnológicas, las distintas alternativas de

innovación tecnológica y la planeación del desarrollo de organizaciones del sector productivo, bajo

el concepto de que este desarrollo depende de estrategias de innovación especificaciones que, a su

vez, son influenciadas por las políticas y estrategias nacionales.

De acuerdo al estudio de Donald G. Marquis, existen tres tipos de innovaciones:

Las innovaciones que se refieren a la administración de sistemas complejos donde el cambio

tecnológico se encuentra presente en primer plano. Ejemplo: proyectos espaciales, proyectos de

defensa, etc. Se caracteriza por la existencia de la planeación a largo plazo.

Las innovaciones radicales (a saltos), son aquellas que representan el desarrollo tecnológico

más radical y que ocasionan cambios en la industria. Ejemplos: el convertidor B.O.F. (Basic Oxigen

Furnace), xerografía, etc. Se originan de la aplicación de innovaciones graduales de otros sectores o

áreas de actividad o de la aplicación de nuevos conocimientos científicos, generados a partir de

proyectos de investigación básica y requieres de inversiones significativas.

20

Las innovaciones graduales son aquellas que son esenciales para la supervivencia de la

empresa y derivan de mejoras que no cambian sustancialmente los productos, procesos o equipos

existentes o de desarrollo que pueden implicar esfuerzos de desarrollo o de investigación.

Desarrollo e ingeniería. Esta clase de innovación está más involucrada como factor económico que

las otras dos innovaciones.

La innovación no es producto de una sola acción, más bien es la integración de diversos

procesos interrelacionados, como son la concepción de la idea, del invento de un artículo nuevo, el

desarrollo de un nuevo mercado, etc. La innovación puede ser desarrollada desde la concepción

hasta la implementación por una sola organización. Pero frecuentemente es deducida de las

contribuciones de fuentes ajenas, efectuadas en otros lugares y diferentes tiempos. El modelo del

proceso considera como fuentes de inicio y abasto del mismo a la tecnología y el mercado,

dividiéndolo en diferentes etapas y evento. Estos eventos pueden o no ser lineales. El proceso de

innovación inicia con una nueva idea, la cual incluye la etapa de reconocimiento de la posibilidad

técnica y potencial.

El innovador deberá tener un conocimiento actualizado del estado del arte y del

conocimiento técnico para sustentar sus estimaciones de posibilidad técnica. Asimismo deberá de

estar al día en cuanto a demandas sociales y económicas para poder reconocer una demanda y

diferenciarla determinando si es potencial o real.

La determinación de la demanda es importante.

La siguiente etapa es la formulación de la idea, la cual consiste en la asociación y fusión de

los conceptos de la demanda satisfecha y la posibilidad técnica, esta fusión de conocimientos de

origen al concepto de diseño. Este es un verdadero acto creativo en las cual la asociación de ambos

elementos es esencial. La idea o concepto de diseño, es meramente la identificación y formulación

de un problema, con el fin de tomar una decisión. Si esta es favorable y se le asignan fondos, se

entra a la etapa de la búsqueda de información para la solución del problema planteado. Si la

actividad de resolución del problema se lleva a cabo, una solución deberá ser encontrada.

La solución al problema puede ser la verificación del inicialmente planteado.

3.3 Herramientas de apoyo a la Gestión de la Innovación

Es conveniente conocer algunas de las herramientas o prácticas de gestión de la innovación más

habituales. La tabla 1 muestra cómo determinadas herramientas pueden ayudar a la gestión de los

elementos clave del proceso de innovación, y para su utilización pueden combinarse de diversas

formas y, ya que alguna de ellas tiene un propósito doble o múltiple, no es necesaria la aplicación

de todas.

Así, por ejemplo, el funcionamiento en equipo puede solucionar muchos de los problemas

de la gestión de interfaces y una buena evaluación de proyectos beneficiará la gestión de cartera.

Estas herramientas no son un fin en sí mismas, ni se eligen para ser aplicadas de forma aislada, sino

que su propósito es el de convertirse en parte integral de la gestión de la innovación.

En un principio, todas las herramientas identificadas pueden aplicarse a cualquier tipo de

empresa, y es labor fundamentalmente de la dirección su adaptación y ajuste a las necesidades

particulares y características de cada empresa.

21

Tabla 3

Herramientas Vigilar Focalizar Capacitar Implementar Aprender

Análisis de mercado X X X x

Perspectiva tecnológica X X

Benchmarking X x x

Análisis de patentes X X

Auditorias x X x

Gestión de cartera X x

Evaluación de proyectos X x x

Creatividad x X X X x

Gestión de derechos de la propiedad intelectual e

industrial

X

Gestión de interfaces X X

Gestión de proyectos X X

Trabajo en red x X X X x

Funcionamiento en equipo X X X x

Gestión del cambio X

Funcionamiento ajustado X X x

Análisis de valor X X

Mejora continua X X

Evaluación medioambiental x x X

X Herramienta plenamente aplicable en esta etapa / x Herramienta con posible aplicación en esta etapa.Fuente:

Fundación COTEC (Ed. 2001). Libro Innovación Tecnológica: Ideas Básicas.

http://www.uca.es/recursos/doc/Unidades/consejo_social/1801800_1032010103532.pdf

3.4 TI representa innovación y transformación

No es ningún secreto que el profesional de TI tiene uno de los trabajos más difíciles en la industria

tecnológica. En este mundo actual primero móvil, primero en la nube, ellos son los responsables de

dirigir las tensiones entre la nube pública y privada, la generalización de dispositivos y la

administración tradicional, y el balance en el acceso a los datos con su protección. Cada profesional

de TI enfrenta estos retos y, como resultado, es entendible la razón de que a menudo, estos héroes

anónimos, no estén seguros sobre su futuro. Conforme cada organización en el mundo depende cada

vez más del software y la tecnología, los CIOs y profesionales de TI pueden dirigir la estrategia y

transformación de las empresas. Pueden ayudar a sus compañías a lanzar nuevas capacidades de

negocios con la nube, aprovechar de manera inteligente y usar los datos para mejorar la

productividad a través de los dispositivos. TI puede ayudar a que empresas muy buenas se

conviertan en grandes empresas.

3.5 Razones por las que fracasan las innovaciones

En las economías de mercado, la innovación y la inversión están estrechamente relacionadas,

porque no es solo que una innovación potencialmente provechosa estimule la inversión, sino

también que un alto nivel de inversión tiende a estimular la innovación a fin de aprovechar los

últimos adelantos tecnológicos. El principal impulso hacia la innovación exitosa proviene del

mercado, por una demanda existente o potencial Entre las principales razones por las que fallan las

buenas innovaciones se encuentran:

Factores del mercado.

La administración.

El capital.

22

Regulaciones.

La tecnología.

Otros aspectos.

Como principales barreras al proceso de innovación se tienen:

La burocracia.

Los problemas de comunicación.

La mala formulación de los proyectos.

Los problemas en la transferencia de la tecnología.

La aversión al riesgo (por tradición y costumbre).

Ausencia de ejecutivos y administradores tecnológicos.

Escasa relación y conocimiento del mercado.

Falta de financiamiento oportuno y adecuado.

Estructura del sector industrial.

Inexistencia o manejo inadecuado de los roles críticos.

3.6 Propuesta para el proceso de innovaciones exitosas en México

El desarrollo de un proceso propio para las innovaciones exitosas requiere de la observación y

análisis de la información existente, y es aquí donde se debe puntualizar que:

1) El proceso de innovación fundamental es el presentado por Marquis y dependiendo de las

condiciones particulares de cada organización el proceso se debe adecuar.

2) El proceso de la innovación es independiente del lugar geográfico, sin embargo, su

restricción más importante es el propio sistema organizacional y su cultura, ya que serán estos los

que promuevan las respuestas innovadoras a los problemas presentados por el entorno.

3) En nuestro país las condiciones para las innovaciones son, al igual que el resto del mundo,

más propicias al jalón del mercado y de estas las graduales. Entre otras cosas debido al tamaño del

mercado nacional y el tamaño de organizaciones con que contamos; sin que esto quiera decir que

estamos exentos de las Innovaciones radicales ni del empuje de la tecnología.

4) La condición fundamental es un sistema administrativo con una orientación hacia el cliente,

las innovaciones y su asimilación en la organización que permita generar nuevo conocimiento.

De lo anterior es de considerar la necesidad de que el entorno ayude a satisfacer:

23

a) El establecimiento de procesos para los diagnósticos organizacionales, donde se contemplen

las capacidades tecnológicas existentes.

b) La promoción y difusión del conocimiento endógeno, es decir el desarrollado al interior de

las organizaciones.

Por parte de las organizaciones es necesario:

a) Establecer procesos que ayuden a monitorear el entorno tanto en los elementos del mercado

(jalón) como del sistema tecnológico (empuje).

b) Desarrollar alianzas estratégicas con sistemas externos a las propias organizaciones

(escuelas superiores y universidades), que auxilien al desarrollo de soluciones innovadoras.

c) Desarrollo y establecimiento de programas para la calidad ya que estos son los responsables,

en mayor medida, de las mejoras continuas o innovaciones graduales.

3.7 Conclusiones

La innovación en nuestros días es el punto de partida para las empresas y líderes de TI para la

creación de valor y cuando hablamos de valor me refiero a ser un diferenciador para nuestros

clientes y usuarios. Las ideas para hacer un mundo más accesible, con oportunidades para todos,

más abierto, digital y móvil, mejor conectado, más rápido, seguro, eficiente, sostenible, inteligente,

en dónde la innovación sea el motor hacia empresas de tecnología más avanzadas que ayuden a

mejorar nuestra sociedad. Pero la innovación tecnológica es una convicción de los accionistas de las

empresas, está dictada en las políticas y plasmada en la estrategia corporativa alineando los

esfuerzos de toda la compañía y de los socios y partes involucradas:

Clientes.

Proveedores.

Partners.

Sociedad.

Universidades (convenios).

Y se debe utilizar todo el talento disponible trabajando en una red colaborativa,

interdisciplinaria y global.

3.8 Referencias

[1] Sara Ortiz Cantú, Alvaro R. Pedroza Zapata. (2006). ¿ Que es la Gestión de la Innovación y la

Tecnología (GinnT)?. Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO) ,

Journal Technol. Manag. Innov. Vol. 1, No.2 ISSN: 0718-272. file:///Users/martha/Downloads/315-

440-1-PB.pdf

[2] Fundación COTEC (Ed. 2001). Innovación Tecnológica: Ideas Básicas.

http://www.uca.es/recursos/doc/Unidades/consejo_social/1801800_1032010103532.pdf

24

[3] Edward B. Roberts, Generating technological innovation, Technol, Management, 31 (1): 11-29,

de enero-febrero 1988, Manual de Gestión en Tecnología, Mc Graw Hill, Gerard Gaynor, 1999,

p.187, http://www.tecnologiaycalidad.galeon.com/tecnologia/5.htm

[6] Revisat MEDISAN Dra. Nilia Victoria Escobar Yéndez . Innovación Tecnologica.

http://bvs.sld.cu/revistas/san/vol4_4_00/san01400.htm

[7] Brad Anderson, Vicepresidente Corporativo para Windows Server y System Center en

Microsoft. (2015). TI representa innovación y transformación.

http://www.cioal.com/2015/05/05/ti-representa-innovacion-y-transformacion/

[8] Nieto Antolín Mariano. Caracteristicas Dinamicas del Proceso de Innovación Tecnologica en

la Empresa. Investigaciones Europeas de Direción y Economía de la Empresa. Vol. 9, No.3,

2003,pp 111-128 ISSN:1135-2523

25

Clúster Automotriz en Coahuila

Karina Salazar

K. Salazar




26

Abstract

In this article we all regard as the strongest automotive cluster in the country in the state of Coahuila

and was formed as the automotive cluster in Coahuila to travez SIECCA CIDIAC and put the

cluster model for one of the best to country level.

Introducción

Teoría de clústers automotrices.

Cedillo-Campos, M.G. & Piña-Monarrez, M.R. & Noriega-Morales, S.A. (2007). Realizan

un estudio de la industria automotriz de México en Saltillo Coahuila. Donde la base de la

investigación es la competitividad vista desde la cadena de abastecimiento, la cual es totalmente

dinámica, ya que la demanda no es predecible y los mercados son demasiado competidos. El punto

central es que la interacción de los proveedores genera ventajas competitivas al cubrirse

necesidades en forma complementaria y especializada. Estas ventajas no son permanentes por lo

que la relación e interacción entre los proveedores debe ser dinámica, para irse anticipando o

adaptando a los cambios en el mercado integrándose a la cadena de suplemento.

Cedillo-Campos, M.G. & Sánchez-Garza, J. & Sánchez Ramírez, C. (2006). Definen

claramente la existencia de dos tipos clúster que denominan:

Clúster de sobrevivencia compuesto por empresas de tercer grado y que tienen una conducta

oportunista, con poco capital y nada de innovación.

Clúster Transnacional, compuesto por las armadoras de carros, primer nivel, y las empresas

proveedoras extranjeras segundo nivel.

Klepper, S. (2007) Desarrolla una investigación para explicar el desarrollo del área de

Detroit y el cluster automotriz sobre parámetros diferentes a las teorías vistas de aglomeración

descritas en otros artículos, Realiza un modelo econométrico de los diferentes indicadores, para

demostrar las hipótesis, la aportación para la investigación, aprender cómo se desarrolló Detroit uno

de los clústers tradicionales en los EEUU. y el modelo que se aplica para su explicación. Se observa

que este es un clúster en el cuál la teoría de Porter no se cumple, Klepper, explica que básicamente

se debe a su antigüedad.

Barnes J. Kaplinski R.(2000) Determinan que la globalización y su efecto en el sector

automotriz nacional de Sudáfrica, se baso en los siguientes paradigmas de desarrollo:

El crecimiento sostenido del sector dependería de conservar los activos fijos, desarrollar la

capacidad tecnológica y crecer la producción elevando las escalas de economía.

La competencia internacional permitiría el crecimiento en las escalas de economía y el

desarrollo tecnológico de las empresas locales.

La realidad y argumentos en contra:

El crecimiento se ha dado mediante la inversión extranjera y las cadenas productivas

internacionales donde se desarrolla la tecnología.

El entorno global, se está desarrollando para generar acuerdos, tratados y organizaciones

sobre las bases de apertura comercial, y crecimiento basado en la inversión extranjera.

27

La tecnología es generada dentro de la cadena productiva internacional.

La inversión extranjera entre otros aspectos es atraída principalmente por el factor humano.

El sector automotriz y en especial el de auto partes, de empresarios locales, se ha orientado a

nichos de mercado de alta competencia con tecnología madura, en refacciones de vehículos usados

ya viejos.

En México se cuentan con 12 estados del país que cuentan con plantas de ensamble de

vehículos, pero Coahuila es la única donde se cuentan con 3 plantas armadoras. México es uno de

los países que provee autopartes a los Estados Unidos.

Gráfico 4

Importación de Autopartes de EE UU1

Aunque al centro del país ha llegado un par de armadoras, Coahuila sigue como el clúster

automotriz más fuerte del país.

Clúster Automotriz en Coahuila.

El clúster se ubica en el área conurbana Saltillo-Ramos Arizpe, en la región sureste del

estado y rodeado de una infraestructura productiva y de parques industriales.

En esta área se encuentran ubicados 10 de los más importantes parques industriales del

estado que dan soporte al desarrollo de la industria automotriz. Siendo más de 300 fabricantes de

autopartes instaladas sólo en el área conurbana Saltillo - Ramos Arizpe.

1 Importación de Autopartes de EE UU, Recuperado el día 22 de Junio del 2015, de:

http://www.imef.org.mx/grupos/coahuila/1erForoNac/Marcos%20Duran.ppt

28

Figura 4

Cluster Automotriz de Coahuila2

El 37.8% del PIB del Estado está representado por el sector automotriz, el cual 25 de cada

100 automóviles en el país se producen en Coahuila.

Coahuila cuenta con 2 plantas armadoras de vehículos y 1 dedicada a la fabricación de tracto

camiones. 70 mil empleos dependen de la industria automotriz en la región por tal motivo se puede

decir que es un punto clave para generación de empleos en el estado de Coahuila para este ramo.

Más de 200 empresas instaladas en el área conurbada Saltillo- Ramos Arizpe y 40 mil empleos

directos conforman la industria de autopartes del Estado.

Figura 4.1

Cadena Productiva Automotriz3

2 Cluster automotriz de Coahuila, Recuperado el día 22 de Junio del 2015, de:


29

Producción.

Coahuila es uno de los estados más representativos en la industria automotriz.

400 mil unidades por año y 25 de cada 100 automóviles se producen en el estado de

Coahuila. 27.9% de la producción corresponde a fabricación de vehículos.

72.1% a ensamble de automóviles y tracto camiones.

Gráfico 4.1

395,767

378,903

406,297

396,389

401,479

2005 2006 2007 2008 Promedio

Producción automotriz en Coahuila 2005-2008 (unidades)4

Los productos automotrices que se ensamblan en Coahuila son:

Figura 4.2

Competitividad

Los factores de competitividad más sobresalientes que apoyan al clúster automotriz son:

Localización estratégica y significativo acceso a mercados globales.

Fácil acceso a los principales mercados: al Norte con EEUU y Canadá, al este con Europa, al

oeste con Asia y al Sur con Sudamérica.

3 Cadena Productiva Automotriz, Recuperado el día 22 de Junio del 2015, de:

http://148.206.107.15/biblioteca_digital/capitulos/282-4350lsu.pdf 4 Producción Automotriz en Coahuila 2005-2008. Recuperada el día 22 de Junio del 2015, de:


30

Figura 4.3

Recursos humanos altamente calificados.

Primer lugar Nacional en productividad manufacturera.

Figura 4.4

Incentivos competitivos aplicados a la industria.

Amplia disponibilidad de parques industriales: 52 parques industriales en el Estado.

Proveeduría altamente vinculada con el sector automotriz.

Adecuada articulación entre instituciones educativas y de investigación con la industria

automotriz.

Infraestructura carretera y de ferrocarril de fácil acceso.

Excepcional calidad de vida.

Estable relación con sindicatos.

4 CIDIAC

Centro para la Integración y el Desarrollo de la Industria Automotriz de Coahuila (CIDIAC)–Nodo

central/articulador del clúster.

Fue creado formalmente el 16 de octubre del 2004.

31

Figura 4.5

Propósitos iniciales de CIDIAC:

Desarrollo de proveedores / incremento de contenido regional.

Realizar mapeo de clúster automotriz regional.

Detectar proyectos relevantes a desarrollar.

Encontrar las necesidades más frecuentes del sector.

Designar el proveedor que solucionará el requerimiento tecnológico.

Realizar eventos de matchmaking.

Gestionar fuentes de financiación y financiamiento.

Dificultades operativas y resurgimiento de CIDIAC:

Ante la caída de CIDIAC en problemas operativos y falta de involucramiento de actores

empresariales clave, cesa sus operaciones hacia el año 2006–2007. Es retomado por Canacintra y

presentado de nuevo justo a los 8 años de su fundación inicial en el evento denominado «13º

Encuentro de Cadenas Productivas», coincidentemente en un día 16 de octubre. En esta segunda

ocasión, se busca arropar a CIDIAC con un consejo directivo más comprometido y representativo

de la industria.

El enfoque del nuevo CIDIAC.

Misión: Impulsara la industria proveedora del sector automotriz de Coahuila para que tenga

capacidad certificada en material, producto terminado y proceso de fabricación.

Visión: Ser el centro estratégico de información y análisis técnico que facilite la integración

de las empresas regionales y nacionales del sector automotriz.

Objetivos de CIDIAC renovado:

Consolidación del proceso de desarrollo de proveedores.

32

Desarrollo humano basado en un análisis de la necesidad de técnicos, ingenieros y

profesionistas.

Impulso al desarrollo sustentable de la industria automotriz.

Fomento de la tecnología e innovación.

El modelo SIECCA.

Sistema de Innovación del Estado de Coahuila para el Clúster Automotriz. El SIECCA se

constituye con los Centros de Investigación, Instituciones de Educación Superior, el CONACYT y

el Gobierno del Estado de Coahuila, quienes aportan infraestructura, capacidades tecnológicas,

recursos humanos y financieros para apoyar al sector automotriz con tecnología, innovación

servicios tecnológicos y formación de recursos humanos en las áreas de Materiales, Fundición,

Conformado de metales, Herramentales, Transformación de plásticos y Sistemas de manufactura

Misión: Contribuir al desarrollo de las empresas que integran el Clúster Automotriz del

Estado de Coahuila, a través del trabajo conjunto con estas en la búsqueda de soluciones

innovadoras a su problemática.

Visión: Consolidarse como socio tecnológico de las empresas del Clúster Automotriz del

Estado de Coahuila, a través de la respuesta efectiva e integral a sus requerimientos, en las áreas de

su competencia.

Figura 4.6

Modelo de Colaboración de SIECCA5

Características del SIECCA:

SIECCA, se considera el Programa Estratégico del Estado de Coahuila para el clúster

automotriz. Es inter-institucional y multipartita. Además de que propone acciones específicas en

investigación científica y tecnológica aplicada, formación de recursos humanos especializados, así

como la adopción, innovación, asimilación y desarrollo tecnológico, buscando encontrar las

mejores soluciones a los retos que enfrenta la industria automotriz del estado.

5 Modelo de colaboración de Siecca, Recuperado el día 22 de Junio del 2015, de:

http://clusterautomotriz.com.mx/misionVision.html

33

El SIECCA busca atender una demanda manifiesta de las empresas que conforman el clúster

como es la formación de capacidades tecnológicas y de recursos humanos para el diseño de

productos y procesos para competir globalmente. En este sentido y en base a un estudio previo, esta

necesidad fue detectada en tres grandes áreas para el sector automotriz que son:

Fundición de metales.

Procesos de transformación de plásticos.

Conformado de metales.

Principales Avances: INFRAESTRUCTURA.

Unidad de Diseño y Laboratorio de Conformado.

Laboratorio de Prototipos Rápidos, reorientado luego a un Centro de reparación de

Herramentales.

Laboratorio de Dimensionamiento.

Sala Virtual para la simulación de desarrollo de productos.

Unidad de Diseño y Laboratorio de Fundición y Vaciado.

Laboratorio de Análisis de Propiedades para Plásticos.

Laboratorio de celdas de manufactura, metrología, procesos de fabricación automotriz.

Laboratorio de difractrometría.

4.1 Conclusiones

Como conclusiones los clúster automotriz determinan que existen dos elementos que integran la

competitividad y deben ser desarrollados por las empresas de tercer grado o del clúster de

sobrevivencia para integrarse a las cadenas productivas.

El análisis de los clusters, revela diferencias entre atención al grado de especialización o

integración con la cadena productiva que alcanzan. Los Clúster automotrices son todavía modestos

para los estándares internacionales El esquema de trabajo de CIDIAC permite tener un control y

evaluación estricta de las metas a desarrollar por cada periodo. Esto debido a que el Director le debe

rendir cuentas permanentemente al Comité encargado por el Consejo de Administración.

Asimismo, la autoridad ejercida en el Consejo por las principales empresas de la industria (así como

por las autoridades del desarrollo económico del Estado y del país) y de Funtec, permite concentrar

los esfuerzos en el desarrollo de una misma industria.

El estado de Coahuila entraña una gran tradición automotriz, es protagonista en la

producción y la exportación de vehículos así como en el desarrollo de esta industria.

4.2 Referencias

Teoría de Clúster automotrices. Recuperado el 22 de junio d 2015, de:

http://www.riico.org/memoria/sexto/RIICO-21504.pdf

34

Cluster Automotriz en Coahuila. Recuperado el 22 de Junio de 2015, de:


CIDIAC. Recuperado el 22 de Junio de 2015, de:

http://www.froncytec.info/docs/biblioteca/1_Saul.pdf

SIECCA. Recuperado el 22 de Junio de 2015, de:


Misión y Visión Siecca. Recuperado el 22 de Junio de 2015, de:

http://clusterautomotriz.com.mx/misionVision.html

Características de SIECCA. Recuperado el 22 de Junio de 2015, de:


35

Complejidades y facetas del Cibercrimen

Arely Castañeda

A. Castañeda




36

Abstract

In this document the key issues that allow current laws facilitate the work on appropriate

punishments for computer crimes as the speed with which technology advances not allow the law

and technology are presented at par. We will also see some examples of classification to combat

such crimes, such classification is necessary since the computer can be a means of communication

to run the offense or used as storage repository and takes a different treatment, however it should be

clearly enough when making a decision regarding his trial. Discuss a common example where most

surfers run the risk of falling, this act is given by simple curiosity or overconfident but it's time to

make consciousness of everything that goes with this example.

Las múltiples facetas de Cyberlaw

Este es un momento interesante para el derecho y la tecnología porque la tecnología está cambiando

a un ritmo exponencial. Muchas veces, los jueces y los jurados están confundidos por los términos

de la tecnología, y conceptos utilizados en este tipo de ensayos, las leyes no están escritas con la

suficiente rapidez para castigar adecuadamente a los cibercriminales. Un país no puede considerar

una acción concreta contra la ley en absoluto, mientras que otro país puede determinar que la misma

acción exige cinco años de prisión. Su nación no puede ver este tema como ilegal en absoluto o

tienen leyes que restringen dichas actividades. Las leyes de delitos por computadora (a veces

referido como cibernético) en todo el mundo tratan con algunos de los temas centrales:

Figura 5

Las leyes han sido creadas para combatir tres categorías de crímenes.

a) Crímenes asistidos por computadora:

Son en los que se utilizan computadoras como una herramienta para ayudar a llevar a cabo

un delito. Algunos ejemplos son:

Llevar a cabo actividades de guerra de información mediante el ataque crítico a sistemas de

infraestructura nacional.

Realización de ―hacktivismo‖, es una acción de protesta en contra de las actividades de un

gobierno o de una compañía, atacando sus sistemas y / o desconfigurando sus sitios web.

b) Delitos informáticos dónde la computadora ha sido el banco:

Refiere a incidentes donde un equipo fue víctima de un ataque hecho a mano para perjudicar

a este y a sus propietarios específicamente. Algunos ejemplos son:

37

Instalación de rootkits y sniffers para fines maliciosos.

Realización de un desbordamiento de búfer para tomar el control de un sistema.

c) Delitos en los que el equipo está involucrado en el crimen:

El último tipo de delito es donde un equipo no es necesariamente el atacante, pero

finalmente está involucrado en un crimen que se llevó a cabo. Esta categoría se refiere como equipo

incidental. Por ejemplo:

Si usted tiene un amigo que trabaja para una empresa que gestiona la lotería del estado y él

te da una impresión de los próximos tres números ganadores y los escribe en el ordenador, la acción

directa del delito es que la computadora es el lugar de almacenamiento y esta involucrado en el

delito. Así que si un crimen cae dentro de esta categoría quiere decir que el equipo no está atacando

a otro equipo, la computadora no está siendo atacada pero el equipo aún se utiliza de manera

significativa.

La razón por que se crean estos tipos de categorías es permitir que las leyes actuales se

apliquen a este tipo de delitos, a pesar de que están en el mundo digital. Al permitir el uso de las

leyes actuales, hace que sea más fácil para un juez saber cuáles son los castigos adecuadas para

estos delitos específicos. (HARRIS, 2013, pp. 979-990)

5 Ejemplo común de Cibercrimen

El texto anteriormente expuesto es algo que en México el día de hoy se a tomado muy a la ligera,

debido a la reciente explosión de la información, la seguridad de la misma se ha convertido en un

tema fundamental; el ―cibercrimen‖ es una latente amenaza y una manera moderna de robo que va

dirigido a todos y cada uno de los cibernautas; cuántas veces hemos recibido un mail en nuestra

bandeja de entrada de Facebook con el remitente de ―Paul Walker‖ sorprendidos e ingenuos ante tal

remitente abrimos el correo, pensando que no hay nada que temer, el asunto no para en la simple

acción de revisar un correo que contiene un texto insignificante, esta acción permitió instalar un

programa malicioso que nos pone en un riesgo de sufrir las siguientes consecuencias:

Envío de correo no deseado (Spam).

Participación en phishing.

Virus.

Software espía por ejemplo: robar información privada y personal entre ellos nuestros

números de tarjeta de crédito ó credenciales bancarias.

Lanzar ataques de denegación de servicio (DoS: Fraude mediante clics) contra un objetivo

específico.

Estamos a punto de ser extorsionados por un Hacker quien amenaza en no sólo con utilizar

nuestra tarjeta de crédito sin nuestro consentimiento, estamos literalmente en sus manos ya que

tiene acceso a toda nuestra información. Esta situación se desenvuelve debido a que el software

implantado permite que el atacante tome el control del equipo infectado; cuando un equipo ha sido

infectado por un virus botnet, actúa de manera sigilosa ya que no nos percatemos de toda la

situación que esta pasando dentro del equipo debido a que nuestra computadora realiza sus

funciones de manera normal, el atacante puede controlar la infección del equipo para amenazarnos,

ya que en este momento tuvo acceso a nuestras fotos privadas, esas que no queríamos que nadie

supiera que existían y aparte de todo a implantado un programa de denegación de servicio (DDoS)

además que acabamos de fundar el primer eslabón de una Botnet Normalmente se componen de tres

partes:

38

Figura 5.1

El bot pastor es el atacante y el cliente bot es la víctima que está siendo infectada por el

virus de la botnet; el comando y control servidor (C & C) es el servidor de control de una red de

bots y también un herramienta de comunicación entre un pastor y un cliente bot. El bot pastor

normalmente utiliza el protocolo de Internet Relay Chat (IRC) para comunicarse con el servidor de

comando y control y un cliente bot. Dado que los virus de botnets están siempre cambiando, tanto

en patrones y métodos de ataque, la detección y protección contra estos virus se han vuelto

extremadamente difíciles. (Kuan-Cheng, Sih-Yang, & Hung, 2014) ¿Saben que es lo mas

―gracioso‖? que toda esta situación nosotros mismos la provocamos, por creer y confiar en que

―Paul Walker‖ nos esta enviando un mensaje del mas allá; por eso la siguiente ocasión que

recibamos un correo electrónico de algún desconocido lo mejor es que no lo abramos sin antes

cerciorarnos que es seguro y tener nuestro antivirus actualizado.

5.1 Concusiones

La era en la que los hackers sólo se mofaban de las grandes compañías haciéndolas pasar por un

mal rato, debido a que ―tiraban‖ el servicio de su pagina de internet y con esto las ponían a trabajar

a marchas forzadas por restaurar el servicio, ya quedó atrás; la nueva modalidad de trabajar de los

―hackers‖ es el cibercrimen, la cual, es la manera mas moderna de robar toda nuestra información al

alcance de un click y por ello que es importante conocer de que manera esta situación nos puede

afectar, la mayoría de la veces no tenemos conciencia de los riesgos que existen en la red y

navegamos sin responsabilidad, sin entender todo lo que un clic puede desencadenar y cómo nos

puede llegar a afectar; no obstante la lucha contra el cibercrimen es un tema que nos afecta y es

responsabilidad de todos, ¿como lo logramos? Siendo responsables y asegurándonos que los correos

que recibimos provienen de personas seguras, evitando sitios WEB de pornografía ó paginas que

contienen programas gratuitos, que son el primer eslabón de una serie de consecuencias altamente

perjudiciales, que abren paso a la ciberdelincuencia. Dime que paginas consultas y te diré que

riesgos corres…

5.2 Referencias

HARRIS, S. (2013). All in one cissp. United States: McGraw-Hill.

Kuan-Cheng, L., Sih-Yang, C., & Hung, J. C. (2014). Botnet Detection Using Support Vector

Machines with Artificial Fish Swarm Algorithm. Journal of Applied Mathematics, 1-9. doi:

10.1155/2014/986428

39

Súbase a la nube sin miedo- Compute-as-a-service

Giselle Mejía

G. Mejía




40

Abstract

The aim of this article is an overview on the subject known as Compute-as-a-Service. The latent

idea of this document shows how organizations have used cloud computing to improve

competitiveness, recognizing the benefits of the improvement in business agility and streamlined

business processes. Cloud services are based on a model approach of personalized service, self-

service access to servers, applications and development platforms. Companies and service providers

have been slower to adopt cloud computing due to concerns about security, compliance, integration,

performance, implementation and operational risks.

Introducción

La globalización y las presiones económicas están cambiando el panorama de los negocios,

aumentando la presión para acelerar el tiempo de lanzamiento al mercado con nuevos productos y

servicios. El cambio constante de la tecnología ha dado lugar a la infraestructura ad-hoc, la creación

de complejidad que involucra la gestión y el apoyo de Infraestructura de TI. El mercado de la

computación en nube se estima que crecerá a más de $ 241,000,000,000 para 2020 (Ried and

Kisker, 2015).

Si bien los beneficios de la computación en nube son significativos, por lo que es la

complejidad de la planificación, la construcción y gestión de una nube.

Forrester encontró que solo el 6% de las empresas tienen hoy en día un verdadero auto-

servicio en la nube privada. (Nelson, 2015) Gardner considera que la aplicación de una ¨nube

privada madura¨ es un viaje que puede tomar de 3 a 7 años. La nube habilita aprovisionamiento

privado de recursos y servicios por un público de negocios no técnicos, fuerte proceso de

gobernanza (por ejemplo, gestión de solicitudes, configuración, gestión del cambio, gestión de la

capacidad) la orquestación de extremo a extremo y garantía de servicios. (Perilli,2015)

Compute-as-a-Service es una nube dedicada Infraestructura-as-a-Service (IaaS) que

proporciona acceso bajo demanda de autoservicio y el control de los servidores virtuales públicos y

privados, almacenamiento y redes. El servicio de nube privada se encuentra alojado dentro del

centro de datos e incluye la seguridad de clase empresarial, los controles y garantías de rendimiento,

así como una interfaz de aplicaciones (API) para una fácil integración en los sistemas de back-end.

6 ¿Por qué las organizaciones desean Compute-as-a-service?

Las organizaciones que están considerando la computación en la nube generalmente tienen

estos retos:

Mejorar la agilidad.

La agilidad es la capacidad de una empresa para adaptarse rápidamente y responder

eficientemente a los cambios en el entorno empresarial. Agilidad estratégica, o "la agilidad del

negocio," se puede lograr rápidamente mediante la adaptación de bienes y servicios para satisfacer

las demandas del cliente.

La agilidad es un concepto que incorpora las ideas de flexibilidad, equilibrio, capacidad de

adaptación y coordinación bajo un mismo paraguas. En un contexto de negocios, agilidad

típicamente se refiere a la capacidad de una organización para adaptarse rápidamente al mercado y

los cambios en el medio ambiente productivo.

41

La empresa ágil es una extensión de este concepto, en referencia a una organización que

utiliza los principios fundamentales de los sistemas adaptativos complejos y ciencia de la

complejidad para lograr el éxito. (Hatum, 2014)

En el contexto de la computación en nube, la agilidad a menudo se refiere a la capacidad de

desarrollar rápidamente, probar y lanzar aplicaciones de software que impulsan el crecimiento del

negocio.

La agilidad se logra de diferentes maneras:

El tiempo de salida al mercado/tiempo de ingresos: La computación en la nube permite a las

empresas significativamente disminuir el tiempo que se necesita para el suministro y la

infraestructura de TI, lo que acelera la entrega de los proyectos de TI que son fundamentales para el

crecimiento de ingresos o reducción de costos. Mientras que un servidor físico podría tomar días o

semanas para obtener y disponer, un servidor en la nube solo tarda unos minutos en realizar la

misma actividad.

Sistemas adaptativos: Debido a la accesibilidad de la API de plataformas en la nube, es

típicamente más fácil para automatizar la gestión de TI y el aprovisionamiento en un entorno de

nube, mediante la integración de plataformas de inteligencia de negocios y análisis de TI,

herramientas de monitoreo con la nube que permiten que los sistemas sean más adaptables. Por

ejemplo, los nuevos servidores se pueden aprovisionar automáticamente o des aprovisionar cuando

se cumplen los umbrales de balanceo de carga.

Nuevos modelos de negocio/Nuevos mercados/Innovación: La computación en la nube

permite a las empresas alinear los costos de TI de infraestructura y de gestión con el éxito y la

escala como nuevos mercados(productos, geografías, servicios, segmentos de clientes).

Flexibilidad y escalabilidad: La capacidad de aumentar o disminuir rápidamente los recursos

bajo demanda para satisfacer las necesidades de desarrollo de aplicaciones o de producción

impredecible. En el caso de la nube, esto podría significar capacidad para girar 10x hasta 100x la

utilización promedio de recursos informáticos para apoyar un nuevo proyecto o explosión repentina

de la demanda o tráfico en el sitio web. Debido a la flexibilidad de pago por uso de la nube, los

usuarios finales son capaces de escalar rápido o fallar rápido sobre la base de las demandas de la

empresa.

6.1 Costos reducidos

El uso de la nube puede reducir el costo total de propiedad de la infraestructura de manera

significativa. Algunos clientes reportan un ahorro de 50-75%, debido a que cada cliente es único, el

potencial de ahorros logrados mediante el aprovechamiento de las tecnologías o servicios en la nube

pueden variar. Varios factores de impacto en el costo total de propiedad de la infraestructura de

funcionamiento:

Reducción de CapEx: El gasto de capital en el equipo permite a las empresas depreciar lo

que costará de tres a cinco años; sin embargo, muchos de los proyectos de TI no duran dicho

periodo. La reducción de los gastos de CapEx (gastos de capital) en equipo y el movimiento en la

inversión a la nube (gastos operativos) permiten a las empresas alinear mejor la inversión y costo

con iniciativas empresariales para la reducción del mismo.

42

Virtualización: El uso de la tecnología de virtualización crea maquinas virtuales en una sola

maquina física, lo cual puede reducir significativamente los costos de hardware y energía.

Pago por uso: Usuarios finales de cloud computing solo pagan por los recursos que utilizan.

Por ejemplo, un usuario final puede necesitar utilizar diez servidores para probar y desarrollar una

aplicación en pocos meses, en lugar de tener que comprar el hardware, espacio de colocación y

poder para apoyar el proyecto temporal, puede simplemente usar diez servidores basados en la nube

para dos meses.

Capacidad y Elasticidad On-Demand: Ser capaz de ajustar el uso de recursos de forma

dinámica y bajo demanda para permitir a las empresas reducir exceso de aprovisionamiento.

Eficiencia: La computación en nube simplifica el aprovisionamiento, des aprovisionamiento

y re-despliegue de recursos a través de la automatización, consolas y APIs web fáciles de usar. La

eficiencia de la computación en la nube reduce la cantidad de tiempo que un administrador de

sistemas de TI tiene que gastar en la gestión y la infraestructura de apoyo. El número promedio de

admiradores de servidores en un centro de datos típico es de 50 servidores: 1 administrador. La

proporción promedio de los centros de datos es de 500:1 (Wicklund, 2014)

Economías de escala: En teoría un proveedor de nube debe ser capaz de transmitir los

beneficios de las economías de escala y la experiencia derivada de la prestación de servicios

estandarizados a varios clientes. La realidad es que puede ser menos costoso para un cliente

construir y gestionar recursos de TI internos para ciertas cargas de trabajo de aplicaciones que son

predecibles. Es importante entender los costos relevantes para el cliente y así poder gestionar sus

propios recursos en la empresa.

Apalancamiento de recursos: Las arquitecturas multi-tenant permiten intercambiar y

compartir recursos; y los costos cuando se ejecuta la aplicación. En este sentido, esta arquitectura

puede ser vista como una alternativa a la virtualización. (Wilder, 2014)

6.2 Reducción de riesgos

Las empresas que evalúan cloud están tratando de reducir la complejidad y el riesgo.

Continuidad del negocio: La nube puede ser utilizada como una forma rentable de copia de

seguridad de datos o proporcionar un sitio de recuperación ante desastres para mejorar la

continuidad del negocio y el tiempo de actividad.

Independencia tecnológica: El servicio de cloud no especifica el proveedor, y a menudo se

entrega como una suscripción o pago por uso, que son capaces de evitar los proveedores de

tecnología.

Complejidad Operacional: La nube permite a las empresas reducir la complejidad operativa,

la simplificación y estandarización de la forma en que los recursos de TI se gestionan y se entregan.

Gobierno, conformidad, seguimiento y control: Fundamental para lograr la gobernabilidad y

los requisitos de cumplimiento; como lo son las habilidades para auditar, el acceso seguro a los

datos y el control y recursos de la empresa. Los proveedores de cloud deben mejorar la forma en

que se realiza un seguimiento de recursos, asegurado y controlado por los usuarios finales, a

menudo una mejora de las empresas debe ser la capacidad de ser compatible (SSAE 16, HIPAA,

CFR 21 Parte 11, etc.) y cumplir con requerimientos de control interno.

43

Soberanía de datos: Cada vez más se requiere que una organización restringa la transmisión

y el almacenamiento de datos a una geografía específica (país o región). Uso de una nube pública o

la implementación de una nube privada en un país o región permite a las empresas satisfacer mejor

los datos, el cual es un requisito soberanía.

Servicios estandarizados: En una gran empresa global, se debe asegurar la normalización; la

cual es fundamental para administrar de manera eficiente y de apoyo de TI. Debido a la nube (SaaS,

PaaS, IaaS) ofrece un conjunto estandarizado de servicios, es más fácil de manejar y reducir los

errores y el riesgo de ejecución.

Habilidades especializadas: Las organizaciones a menudo carecen de habilidades internas

para migrar a nuevos modelos y plataformas, como la computación en nube. A falta de experiencia

práctica, habilidades internas (multiusuario, diseño de base de datos de la arquitectura, la migración

de aplicaciones de Microsoft, las operaciones en la nube, el usuario, desarrollo de interfaces, etc.) y

los puntos de referencia de funcionamiento, aumenta el riesgo de fracaso, y alarga el tiempo

necesario para las iniciativas relacionadas con la nube. Basándose en una nube con experiencia que

reduce el riesgo.

6.3 Conclusiones

El uso de la nube debe representar un medio para satisfacer las crecientes necesidades tecnológicas

de una empresa. Reducir los costos y el tiempo necesario para implementar y apoyar la

infraestructura de TI y reducir los riesgos, son apenas los requerimientos básicos de esta tendencia,

que hoy está al alcance de todos.

Optimizar el recurso humano y financiero para concentrarse en el crecimiento de la empresa

será el resultado final de optar por la nube adecuada.

Y aunque no está exenta de problemas, la seguridad, el cumplimiento, la integración, la

cobertura mundial y la disposición interna no pueden considerarse cuestiones secundarias.

6.4 Referencias

Hatum A. (2014) La organización y la nueva empresa ágil y virtual: hacia el modelo de negocio

abierto. [En línea]. Disponible http://www.harvard-deusto.com/articulo/La-organizacion-y-la-

nueva-empresa-agil-y-virtual-hacia-el-modelo-de-negocios-abierto

Nelson L. (2015). Market Overview: Private Cloud Solutions. [En línea]. Disponible

https://www.forrester.com/Market+Overview+Private+Cloud+Solutions+Q2+2011/fulltext/-/E-

res58924

Perilli, A. (2015). Virtualization and Cloud Computing, Data Center Strategies, Gartner for

Technology Professionals (GTP), 15 (2) 10-21

Ried S. and Kisker H.(2015). Sizing the cloud: Understanding and Quantifying The Future Of

Cloud Computing. [En línea]. Disponible

https://www.forrester.com/Sizing+The+Cloud/fulltext/-/E-res58161

Wicklund, P. (2014). Microsoft Sharepoint 2014 Deploying Cloud-Based Solutions.

Publisher: Microsoft Press.

44

Wilder Bill. (2014). Cloud Architecture Patterns: Using Microsoft Azure. Publisher: O´Reily

Media, Inc.

45

Control Self Assessment (CSA) como herramienta de gestión de riesgo

tecnológico

Alma López

A López




46

Abstract

The aim of this paper is to describe how the methodology of risk assessment Self-Control (CFS for

short) can assist organizations as a tool for risk management, both for business processes such as for

specific processes, as if they are information.For Technologies above we can conclude that the risk

assessment Self-control is a methodology that can support organizations in improving risk

management, implementation of controls and continuous improvement, creating value and

supporting the achievement of business objectives.

Introducción

La auto-evaluación de control (CSA por sus siglas en inglés)(Tovar, 2014) es un proceso a través

del cual se examina y evalúa la efectividad del control interno con el objetivo de proporcionar

seguridad razonable de que todos los objetivos de negocio serán alcanzados. Dicha metodología

puede ser utilizada por los altos ejecutivos, auditores e incluso stakeholders para evaluar la

razonabilidad de los procesos de gestión de riesgos y controles en una organización. Las

organizaciones que utilizan la auto-evaluación (CSA) tendrán un proceso formal y documentado

que permitirá a la alta gerencia y a los diferentes equipos de trabajo, e inclusive a los stakeholders

participar internamente de una forma estructurada con la finalidad de:

Identificar factores de riesgo y exposiciones relevantes.

Evaluar los procesos de control que mitigan o gestionan esos riesgos.

Desarrollar planes de acción para reducir los riesgos a niveles administrables.

Determinar la probabilidad de que los objetivos del negocio sean alcanzados. (Tovar, 2014)

La auto-evaluación (CSA) promueve la evaluación de riesgos y controles por el staff que

opera los procesos de negocio, siendo este un cambio significativo en los métodos tradicionales de

evaluación de riesgos y controles, ya que se basa en la creencia de que el personal que ejecuta las

actividades en el día a día tiene un conocimiento íntimo del proceso, incluyendo las fortalezas y

debilidades en el ambiente de riesgos y controles. Esta experiencia provee una visión única

referente a la implantación de controles, su utilidad intrínseca y adherencia necesaria. Sin embargo,

hoy en día pocas empresas en México han implementado la auto-evaluación del control, ya que se

requiere de cierta madurez en materia de Control Interno, la cual debe permear a lo largo y ancho de

la organización mediante la adecuada administración del ambiente de control.

7 El riesgo tecnológico en las organizaciones

La creciente dependencia en la información y los sistemas se han convertido en un elemento crítico

para el éxito y supervivencia de las organizaciones y la mala gestión del riesgo en materia de

tecnologías de información puede llevarlas a fraudes, fuga de información, pérdidas monetarias,

afectación a terceros, etc. Los riesgos de TI se encuentran intrínsecamente asociados con la

ausencia de las oportunidades para utilizar la tecnología, con el fin de mejorar la eficiencia o

efectividad de los procesos de negocio o como un facilitador para nuevas iniciativas

organizacionales, es decir, los riesgos de la prestación de servicios y de operaciones de TI están

asociados con todos los aspectos del desempeño de TI y servicios del sistema, que puede ocasionar

la destrucción o la reducción de valor para la organización. Es por ello que resulta necesario como

primer paso establecer una declaración en toda empresa en la que se establezca que los riesgos de

TI siempre existirán a pesar de que la organización no los detecte ni reconozca.(ISACA, 2009)

47

7.1 Control Interno y la gestión de riesgo tecnológico

En un mundo tan globalizado es necesario contar con figuras de control que apoyen y provean a la

alta dirección de seguridad razonable para el logro de objetivos. Es por ello que el control interno es

definido como un proceso efectuado por el Consejo de Administración de la organización

designado para proporcionar dicha seguridad razonable en el logro de los objetivos enfocándose

principalmente en los siguientes controles:

Controles operativos – Relacionados a la efectividad y eficiencia en el uso de los recursos de

la entidad.

Controles de reportes financieros – Relacionados a la preparación de estados financieros

confiables.

Controles de cumplimiento – Relacionados con el cumplimiento de la entidad con leyes y

regulaciones aplicables.(Commission, 2004)

Sin embargo, en todos y cada uno de los controles antes mencionados se encuentran

involucradas las Tecnologías de Información (TI) como base fundamental de toda la operación. Por

ello resulta indispensable determinar cuáles son las responsabilidades en materia de control dentro

de una organización, con la finalidad de saber quién deberá atender los temas en materia de riesgo-

control de TI. Con base en las mejores prácticas en materia de control interno, la alta dirección es la

encargada de la supervisión, establecimiento, administración y evaluación de los procesos de

gestión de riesgos y controles.(Moeller, 2013)

Las gerencias operativas son responsables de incluir la evaluación de riesgos y controles en

sus unidades de negocio, ya que los riesgos de TI también pertenecen al negocio y están asociados

con el uso, propiedad, operación, participación, influencia y adopción de las TI en las

organizaciones, ya que se componen de los eventos relacionados con las tecnologías, los cuales

potencialmente podrían afectar a la organización y el logro de sus metas y objetivos

estratégicos.(ISACA, 2009) Es por ello que las regulaciones internacionales como la Ley Sarbanes

Oxley(Commission, 2004), e incluso nacionales como lo es la Circular Única de la Comisión

Nacional Bancaria y de Valores, han determinado el riesgo tecnológico y la implementación de

controles que lo mitiguen como uno de los puntos críticos de toda organización. Y es en ese punto

donde los entes revisores (auditoría y/o contraloría) proveen distintos grados de aseguramiento de

efectividad en materia de gestión del riesgo y procesos de control dentro de la organización. Así

mismo, es donde la aplicación del CSA apoya los tres ámbitos del marco de riesgo tecnológico, ya

que mediante la autoevaluación de procesos de TI se puede obtener información crítica y útil para

el Gobierno de TI, así como para la identificación, evaluación, respuesta y administración del

Riesgo (RISK IT).(ISACA, 2014)

7.2 Aspectos fundamentales para la implementación del Control Self-Assessment (CSA)

La implementación de la metodología de auto-evaluación se puede llevar a cabo mediante las

siguientes técnicas:

Talleres – donde el personal y la gerencia discute la estructura de control, estos pueden ser

talleres de modelo de control o interactivos.

Encuestas – donde se obtiene información del personal que opera respecto a ciertos tópicos

de control que se tienen previamente identificados.

48

Así mismo, de acuerdo con las recomendaciones del resulta necesaria la declaración de una

política sobre la gestión de riesgo y un programa de concientización de seguridad que provenga de

las políticas, estándares, guías y procedimientos para:

El aseguramiento de los activos de información.

Conciencia de los deberes y responsabilidades individuales en la aplicación de sus

funciones.

Lo cual nos permita desarrollar una cultura organizacional que promueva la administración

de riesgo y comunicación efectiva de dichos riesgos con los stakeholders, todo mediante un

proceso claramente documentado y revisión continua de la alta dirección. Para asegurar el éxito de

la implementación de la auto-evaluación (CSA) los directivos, stakeholders, gerentes y personal a

todos los niveles deberá tener conciencia y adherirse a los conceptos de riesgo y control, para ello es

indispensable que la organización se asegure de lo siguiente:

Que el personal entienda su rol y responsabilidad relacionados con la misión de la

organización.

Que conozcan las políticas, procedimientos y prácticas de la organización.

Que posean los conocimientos adecuados de los controles gerenciales, operativos y técnicos.

El factor humano (factor no tecnológico o de procedimientos de control) es clave para

proporcionar un nivel adecuado y apropiado de la evaluación del riesgo-control, son un factor clave,

pero a la vez el enlace más débil, por lo que se requiere de un robusto programa de concientización.

7.3 Marcos y mejores prácticas que pueden ayudarnos en su implementación

La aplicación de mejores prácticas para la gestión de los riesgos de TI proporcionan beneficios

tangibles al negocio, algunos de estos son:

Menor número de eventos inesperados y fracasos.

Aumento de la calidad de la información.

Mayor confianza de las partes interesadas (stakeholders).

Menores preocupaciones de carácter regulatorio.

Nuevas iniciativas para el negocio apoyadas por aplicativos innovadores.

Algunas de estas mejores prácticas las podemos encontrar en marcos de referencia y normas

internacionales como lo son: COSO, COBIT, RISK IT, ISO 31000, en el sector financiero en el

marco de Basilea II, entre otros. A pesar de que los componentes de control son los mismos en estos

marcos de referencia y normas, para la auto-evaluación (CSA) y para las técnicas tradicionales, la

diferencia primaria reside en la metodología implementada para identificar, revisar, evaluar y

validar los controles ya que en las técnicas tradicionales es el auditor o consultor externo quien

emite su opinión respecto al marco de control, realiza el análisis y evaluación de riesgos y controles

basado en transacciones.

49

Sin embargo en el proceso de auto-evaluación (CSA) todas estas actividades son conducidas

por el personal de las unidades de negocio y la gerencia a cargo de cada una de ellas, basados en

procesos, enfocadas al cliente, orientadas a la identificación de riesgos, efectividad del control y

mejoramiento del proceso.(Graves, Longenecker, Marsh, & Milstead, 2003)

Costo de la implementación del CSA. El costo de implementación del Autocontrol puede ser

tan bajo o tan elevado como la organización lo decida, ya que puede ser ejecutado mediante simples

encuestas en papel, hasta desarrollar sistemas informáticos que apoyen en la aplicación de dichas

encuestas, análisis de resultados, emisión de reportes y notificaciones a la alta dirección o dueños de

proceso. Adicional a ello deberán considerarse costos de concientización y capacitación del

personal que dirigirá y llevará a cabo dicha práctica o proceso.

Beneficios del CSA.

En su forma más pura la Auto-evaluación del control (CSA) proporciona los siguientes

beneficios:

Facilita la obtención y comunicación de información que conduce a mejorar la gestión de

riesgos y controles.

Genera valor ya que motiva la cooperación entre las diferentes unidades de negocio e

incrementa la implicación de estas en el diseño y mantenimiento del sistema de gestión de riesgos y

controles, promoviendo así una cultura más abierta y compartida dentro de la organización.

El personal de las unidades de negocio adquiere entrenamiento y experiencia en la

evaluación de riesgos y administración de estos a través de la implementación de controles,

mejorando la oportunidad de alcanzar los objetivos de la organización.

El personal se ve motivado al ser dueño del proceso de gestión de riesgos y controles en sus

áreas de negocio, lo que promueve que las acciones correctivas implementadas por estos equipos de

trabajo sean frecuentemente más efectivas y oportunas.

La infraestructura entera de la organización en materia de objetivos-riesgos-controles se

encuentra sujeta a una mayor supervisión y mejoramiento continuo.

Los entes revisores de las organizaciones (auditoría y/o contraloría) mejoran su eficiencia en

la obtención de información vital y valiosa por parte de los equipos de trabajo de las unidades de

negocio, lo cual les permite mayor investigación y ejecución de pruebas para la identificación de

debilidades de control significativas y riesgos residuales altos.

7.4 Premisas para la implementación del CSA

Una de las principales premisas es que si el personal involucrado no es suficientemente consiente de

la importancia de éste tipo de prácticas y no responde de manera honesta las encuestas o no cuenta

con las habilidades de identificación de riesgos, lo que puede llevar a una falta de certeza en los

datos proporcionados por los participantes. Otra premisa importante es que si la alta dirección no

patrocina, fomenta y permea la cultura de la auto-evaluación en la organización resulta muy difícil,

sino es que hasta imposible su implementación. En otras palabras, se requiere de un gran

compromiso por parte de la alta gerencia, así como del personal que intervendrá en el proceso de

Auto-evaluación del control.

50

Caso de Implementación. En México, una de las instituciones hipotecarias más importantes

del país, decidió implementar la práctica de la Auto-evaluación del control CSA para mejorar su

gestión del riesgo-control. El método de implementación contempló el diseño del proceso de Auto-

evaluación del control CSA apoyado en la metodología COSO para procesos de negocio y COBIT

para los procesos de TI, en la cual se definen los objetivos de control a alcanzar y se establecen 8

objetivos de evaluación del control basados en el marco de referencia y 5 niveles de madurez para

cada uno de ellos.

Gráfico 7 Objetivos de evaluación de control establecidos en dimensiones y 5 niveles de madurez

con base en COSO – ERM

Fuente: Infonavit

Para ello, se diseñó un sistema informático que apoya con la automatización en la aplicación

de cuestionarios, la emisión de reportes de resultados y que facilita el análisis de resultados. Así

mismo se llevó a cabo la realización de talleres con los dueños de negocio, dueños de proceso y

personal clave que opera dichos procesos, con la finalidad de que estos obtuvieran una amplia

representación de las perspectivas que apoyan u obstaculizan el logro de objetivos institucionales.

En esta fase el personal de la Contraloría Interna se encargó de diseñar e impartir dichos talleres, así

como de la gestión y administración del proceso de Auto-evaluación del control.

En dicha práctica los participantes (tanto dueños de proceso, como operadores) evalúan las

fortalezas y debilidades de sus procesos (riesgos y controles) y comentan el impacto que tienen

ciertas actividades de críticas de la operación en el logro de los objetivos institucionales, esto desde

un enfoque global hasta uno muy particular, dependiendo de su involucramiento y responsabilidad

en la institución.

Dichas evaluaciones son aplicadas de manera periódica utilizando el mismo criterio en cada

ejercicio para facilitar la acumulación y comparaciones en el ámbito de toda la organización. Una

vez que se ejecutan las evaluaciones se emite el informe de resultados donde cada gerencia recibe el

reporte de evaluaciones, el cual constituye la base para el intercambio de ideas entre la gerencia, el

personal que opera y la contraloría interna, que incluye los asuntos de interés para la definición de

acciones de mejora que apoyen la gestión de riesgos institucionales.

51

Figura 7 Proceso de Auto-evaluación

Fuente: Infonavit

Dichos reportes comparan la evaluación de los controles de cada componente contra el nivel

de madurez de toda la Institución y determinan el nivel de confianza de los resultados mediante la

validación de evidencias que soportaron las respuestas de los participantes, obteniendo información

valiosa respecto a controles potenciales, por la especialización que cada proceso.

Gráfico 7.1 Comparación de resultados por área de negocio y procesos contra los resultados

institucionales

Fuente: Infonavit

A través de los 3 años que lleva implementada la Autoevaluación de control se ha logrado

elevar el nivel de madurez, ya que en su primer ejercicio en 2011 obtuvo un nivel de madurez de

3.71 que lo ubicaba como una organización CAPAZ en la que la gestión de riesgos presentaba

oportunidades moderadas de mejora y a lo largo del tiempo mediante la implementación de mejoras

derivadas de los resultados y retroalimentación de las Auto-evaluaciones se ha llegado en 2015 a un

nivel MADURO con una resultados de 4.05, en el cual las oportunidades de mejora son mínimas en

la gestión del riesgo-control dentro de sus procesos, generado valor en materia de gestión del riesgo

tecnológico y de sus procesos de negocio, ya que hoy en día se cuenta con actividades normadas en

los procesos de negocio, con riesgos y controles documentados y operaciones apoyadas en Sistemas

Informáticos Institucionales; reflejando que tanto los procesos y sus resultados son

cuantitativamente comprendidos y controlados.

52

7.5 Conclusiones

La implementación de un sistema de auto-evaluación del control requiere de cierto grado de

madurez por parte de la empresa, ya que la falta de patrocinio por parte de la alta gerencia

usualmente significa el fracaso en la implementación del CSA. Dicha implementación facilita la

identificación y gestión de riesgos de manera oportuna y exacta ya que es el personal quien tiene un

sentido más afinado, que está íntimamente relacionado con la operación y que conoce a detalle

cuales pudieran se las causa-raíz de estos, quienes participan en el ejercicio de autoevaluación. Las

mejores prácticas o marcos de referencia generan gran valor en la implementación de la

Autoevaluación de control, ya que pueden robustecer la implementación de éste a los ámbitos del

negocio que requiera desde la entrega de servicios (ITIL), la gestión del riesgo-control (COBIT,

ISO 31000 & RISK IT), hasta implicaciones referentes al ámbito de la seguridad de la información

(ISO 27000). Con un buen patrocinio e implementación de la Autoevaluación del riesgo-control

(CSA), la alta dirección tendrá un mejor entendimiento de los riesgos y controles que impactan el

negocio y los estados financieros; el personal de TI tendrá la propiedad de la estructura de control

debido a que ellos están envueltos en el diseño y evaluación de ésta. Siendo de esta manera que se

generará valor en la gestión de los riesgos tecnológicos y de negocio de la organización.

7.6 Referencias

Commission, C.-T. C. o. S. O. o. t. T. (2004). Enterprise Risk Management. 2.

Graves, S. M., Longenecker, B., Marsh, T. L., & Milstead, H. (2003). Evaluating Internal Controls.

Government Finance Review, 19(3), 40.

ISACA. (2009). The Risk IT Framework.

ISACA. (2014). Relating the COSO Internal Control—Integrated Framework and COBIT.

Moeller, R. R. (2013). Executive's Guide to COSO Internal Controls : Understanding and

Implementing the New Framework. John Wiley & Sons, Incorporated.

Tovar, F. (2014). Seminario CCSA (Certificación en Autoevaluación del Control). Instituto

Mexicano de Auditores Internos A.C.

53

Generación de un índice integrado de satisfacción del servicio (IISS) para un

área de servicio de soporte técnico en una empresa trasnacional utilizando lógica

difusa

Marco Yáñez & Francisco Valdés

M. Yáñez & F. Valdés



[email protected]

École de Technologie Supérieure, University of Québec Dept. of Software Engineering Montreal, Canada

[email protected]


54

Abstract

This work is an application of the EPCU model looking to have an efficient way to understand the

customer satisfaction compared with the actual methodology using in the Company to analyze the

satisfaction with three independent indicators. The case study uses the EPCU to obtain customer

profiles represent by only one indicator to be use for improvement the service. EPCU can provide a

tool based expert opinion to obtain a consistent result being a positive capability to synchronize the

opinions to be efficient the analysis phase and provoke a faster improvement action to be apply in

the different areas as needed.

Introducción

Este documento está desarrollado con base a la situación actual de una empresa trasnacional, que

por temas de confidencialidad se omitirá su nombre y se referenciará como ―Empresa A‖. La

Empresa A tiene como eje principal una estrategia de posicionamiento del cliente como núcleo en la

generación de experiencias positivas, considerando que la satisfacción de éste es el único medio de

permanencia en la industria y crecimiento en el mercado. Con los métodos establecidos que

actualmente se utilizan para medir los niveles de satisfacción, se han definido tres indicadores que

se describen a continuación:

―Total Customer Experience (TCE)‖; permite evaluar la calidad del servicio que es recibido

por el cliente final de la empresa, a nivel de la operación.

―Customer Loyalty Index (CLI)‖; permite evaluar cómo percibe los servicios

proporcionados el cliente, a nivel de negocio.

―Net Promoter Score (NPS)‖; permite evaluar la intención de recomendar los servicios

recibidos (generar clientes promotores de los servicios) dentro de su área de influencia.

Actualmente, estos tres indicadores son tratados de manera independiente y no se cuenta con

algún mecanismo formal que integre una sola perspectiva de servicio por parte de los clientes al

respecto de los servicios recibidos, lo único con lo que se cuenta es una percepción basada en el

juicio de experto. Generar un solo indicador de manera formal y consistente que permita tener una

idea de la percepción total mencionada, se considera relevante para la Empresa A, porque permitiría

tomar mejores decisiones para lograr un fortalecimiento de la posición del mercado y una

sustentabilidad de la organización, a través considerar las interacciones de los indicadores actuales

(TCE, CLI, NPS), es decir de manera sistémica.

En la Empresa A, no se tienen datos cuantitativos de la relación entre los tres indicadores y

los impactos individuales de cada uno de ellos, sin embargo, si se cuenta con la experiencia de los

trabajadores de cómo se relacionan estos indicadores, así como las implicaciones que tienen, lo cual

podría ser expresado mediante reglas de inferencia.

Un mecanismo que permite definir y manejar reglas de inferencia para obtener un valor

cuantitativo significativo es la Lógica Difusa [1] una aplicación de la lógica difusa se define en el

modelo EPCU [5] que es un modelo de estimación con base en variables cualitativas, que ha

demostrado en estudios que presenta un mejor comportamiento que el juicio de experto [5],

logrando que los resultados sean consistentes, con independencia de la experiencia de los

evaluadores.

55

En este documento, se pretende utilizar el Modelo EPCU [5], para generar un ―Índice

Integrado de Satisfacción de Servicios‖ (IISS), que pretende reflejar la satisfacción del cliente,

coadyuvando a la toma de decisiones que permitan mantener y/o mejorar la percepción del servicio

y como consecuencia lograr los objetivos estratégicos que tiene la Empresa A, de colocarse en una

posición positiva diferenciada comparada con los competidores.

En la sección 8 de este documento se explica cuál es la problemática o área de oportunidad

que se desea solucionar con la propuesta de IISS, dando un entorno general del servicio de soporte

técnico y como los indicadores actuales se utilizan en la Empresa A. en la sección 3 se describe

brevemente el marco matemático de la lógica difusa, que da pie al modelo EPCU descrito en la

sección 4, el modelo EPCU se utilizó para la generación de un índice unificado de satisfacción del

servicio y el proceso se define en la sección 5, en la sección 6, se describe el caso de estudio

realizado y en la sección 7 se presentan las conclusiones del contexto utilizado y los beneficios

esperados para la Empresa A.

8 Problemática/Área de oportunidad

Dentro de las áreas que conforman la entrega del Servicio de Soporte Técnico en la Empresa A , se

tienen establecidos procesos, procedimientos, recursos, herramientas, personal capacitado, y

refacciones enfocados a lograr un nivel de satisfacción de los clientes finales al resolver los

servicios de soporte técnico solicitados.

Se cuenta actualmente con un metodología madura de mejora continua basado en Lean Six

Sigma [2] con el cual se generan los planes de trabajo para las diferentes áreas que buscan obtener

un mejor servicio para los clientes, esta metodología tiene como principal fuente de información

para cumplir sus objetivos la información de los indicadores TCE, CLI y NPS.

Los indicadores se obtienen mediante encuestas, y se tratan de manera independiente, cada

indicador tiene una escala de medición, para el indicador TCE está establecida una escala del 0 al

10; dónde el 0 es el valor mínimo y el 10 el valor máximo para determinar el nivel de satisfacción

del cliente, el indicador NPS también utiliza una escala del 0 al 10; dónde el 0 es el valor mínimo y

el 10 el valor máximo para determinar la intención de recomendar a otros clientes los servicios de la

Empresa A, por último el CLI a diferencia de los otros dos índices, éste utiliza una escala del 0 al 5;

dónde 0 es el mínimo valor y 5 el máximo para determinar cómo percibe un cliente los servicios

proporcionados por la empresa A, y que determina el nivel del cliente sobre su disposición para

continuar las relaciones de negocio, estos indicadores son obtenidos por medio de una organización

externa que asegura la neutralidad de los resultados. A partir de los resultados de los indicadores se

buscan áreas de oportunidad del servicio para corregirlas e incrementar su calidad sobre la

perspectiva del cliente a través de hacer más eficiente la operación y mantener la salud financiera

del área de negocio.

Con base en este modelo de mejora continua, actualmente se ha podido determinar cómo se

puede mejorar la entrega de servicios de manera asistémica, pero siempre en un modelo de mejora

reactivo o post-servicio que trae como desventaja una afectación previa del cliente final sin que

tenga en la organización una oportunidad preventiva de asegurar el nivel de servicio esperado.

Al no contar con una visión integrada, la Empresa A invierte en acciones independientes que

buscan incrementar los tres indicadores, sin tener conocimiento de cuál de todos impactará más en

la percepción de un mejor servicio por parte del cliente, si se tuviera esta visión integrada, sería

posible identificar qué indicador es el que representa una mayor incremento en la percepción de los

servicios de soporte y enfocarse en acciones para incrementar este, haciendo más efectivo el uso de

los recursos.

56

Procedimiento de Entrega del Servicio de Soporte Técnico al Cliente

La figura 8 muestra el procedimiento de entrega de servicio de soporte técnico al cliente,

primeramente se recibe el requerimiento de soporte y es validado conforme los niveles de servicio

que tiene contratado el cliente, posterior a la recepción se busca identificar el problema con

elementos que tienen que interactuar desde la actitud de servicio hasta habilidades muy específicas

de entrevista para lograr una buena descripción del problema.

Posteriormente, se hace un trabajo de diagnóstico donde la mayoría de las veces se necesita

interactuar con uno o más representantes del cliente y lograr encontrar la causa raíz que provoca la

falla del servicio en el ambiente del cliente. Teniendo la causa raíz se debe desarrollar un plan de

remediación que implica instruir la forma en que se recuperara los servicios.

Una vez con el plan de remediación, se solicita la recepción técnica donde se va a realizar la

actividad física con el ambiente del cliente y de ser necesario el remplazo de refacciones, el plan de

remediación es ejecutado y la solución se valida en conjunto con el cliente, quién en su caso, libera

el servicio dándolo como solucionado y concluido.

Todos estos elementos tienen puntos que si llegan a no funcionar adecuadamente, pueden

implicar la generación de insatisfacciones al cliente final.

Una vez concluido, el cliente proporciona su evaluación (percepción) sobre los servicios

recibidos.

Figura 8 El Cliente y sus contactos con el servicio

Fuente: Creación propia

Integración de indicadores.

La figura 8.1 muestra la zona llamada de certidumbre con base a los resultados de los

indicadores de servicio actuales de la Empresa A, que como se ha comentado, son tomados en

cuenta de manera independiente para la elaboración de acciones post-servicio siempre y cuando el

cliente allá expresado algún tipo de insatisfacción. Cada indicador genera acciones de mejora en los

procesos, herramientas, recursos, etcétera sin ser relacionado con los otros dos indicadores

restantes. Posteriormente la acción aplicada regresa al ciclo de evaluación del cliente en cuanto el

ultimo recibe un nuevo servicio, si en esta ocasión el cliente expresa su insatisfacción en el mismo

indicador u otro de los indicadores, la información nuevamente vuelve a tratarse independiente por

el mismo proceso de mejora establecido con en la empresa A y no se relaciona con los otros dos

indicadores que pudiesen haber tenido información del mismo cliente, posiblemente perdiendo la

posibilidad de un mejor entendimiento del servicio entregado.

57

Figura 8.1 Integración de indicadores, zona de certidumbre

Zona de Certidumbre

Post - Revisión del Servicio

Experiencia Total

del Cliente

Net Promoter Score

Indice de Lealtad

del Cliente

Entrega del Servicio al Cliente Final

Zona de Incertidumbre

Cambios de

Proceso

Resultados de La Satisfacción

del Servicio

(De zona de Certidumbre a

Procesos de Mejora Continua)

Expectativa de la Satisfaccion

del Servicio

(De la Zona de Incertidumbre a

Recepcion del Servicio)

Implementacion de Herramientas

Inversion en Recursos

Pre - Revisión del Servicio

Mejora Proactiva o Preventiva

Mejora Reactiva o ReparaciónClientes

Fuente: Creación propia

El IISS generado mediante el modelo EPCU pretende que la percepción del cliente para los

tres indicadores se integre logrando que los trabajos de mejora post-servicio tengan una visión

sistemática de las inconformidades del cliente para que sea posteriormente analizados y procesados

en el ciclo de mejora continua de la Empresa A, logrando reducir la zona de incertidumbre referida

también en la figura 2, para lograr un ciclo de mejora más eficiente por medio de perfiles integrados

de clientes y con un mejor uso de los procesos, las herramientas y el personal del servicio de

soporte técnico, en virtud de que se podrían enfocar los esfuerzos en resolver lo que más repercuta

en incrementar la satisfacción del cliente.

El área actualmente busca cada día asegurar la estabilidad del servicio e incrementar la

calidad del mismo, pero siempre por medio de la retroalimentación de los clientes posterior a la

entrega donde se encuentran áreas de oportunidad.

8.1 Lógica Difusa (Fuzzy Logic)

La Lógica Difusa (LD) es un superconjunto de la lógica convencional referida como booleana que

busca cubrir el concepto de la verdad parcial -- por ejemplo los valores que se encuentran entre un

―completamente falso‖ y un ―completamente verdadero‖. Esta fue introducida por Lofti Zadeh en

1965 como una forma de tener un lenguaje natural para modelar la incertidumbre [1].

La utilidad de la LD para manejar la imprecisión y la incertidumbre proviene de algunos

elementos como son la teoría de los conjuntos difusos que se basa en las funciones de afiliación o

pertenencia que componen las clases. Zadeh [1] considera como características principales de la

LD como una extensión de la teoría clásica de conjuntos, el uso de variables lingüísticas y reglas

―si-entonces (if-then)‖ fundamentando la compresión de la información por medio de estos

elementos, dando una representación funcional a la precisión de significado. Mamdani define el

primer método de inferencia difusa, con aplicaciones para sistemas de control, por medio de la

síntesis de un conjunto de reglas lingüísticas, este método es uno de los más referidos en la

literatura de la lógica difusa [4].

Un sistema difuso consiste en un conjunto de elementos que contiene ―variables de entrada‖, un

elemento fusificador, un mecanismo de inferencia basado en las reglas de inferencia, la variable de

salida del mecanismo de inferencia y un mecanismo defusificador [3]. Entre el elemento fusificador

y el mecanismo de inferencia se determinan las funciones de membresía de las cuales hay varios

tipos [9] (vease Gráfico 8):

Trapezoidal.

58

Triangular.

Gaussiana.

Sigmoidea.

Singleton.

Gráfico 8 Funciones de membresía [9]

Para realizar la parte de defusificacion en el sistema difusos existen distintos mecanismos

[4], entre los que se encuentran:

El menor de los máximos.

El mayor de los máximos.

El centroide del área (RSS).

La bisectriz del área.

La media de los máximos.

Gráfico 8.1 Métodos de defusificación

Adaptada de [4]

59

8.2 El modelo de estimación de proyectos en entornos de incertidumbre (EPCU)

El modelo EPCU fue propuesto en el 2007 [6] con base a la lógica difusa y trata de resolver el

problema de como estimar un proyecto en las primeras etapas del ciclo de vida del proyecto donde

se encuentra una gran cantidad de incertidumbre y la información del proyecto es vaga (es decir,

generalmente descrito por variables lingüísticas).

El modelo considera:

Las variables lingüísticas usadas por los expertos para describir las variables de entrada del

proceso de estimación en base a la experiencia (cuando estas entradas se basan en la información

disponible de carácter impreciso o ambiguo para estimar un proyecto).

La forma en que los expertos combinan los valores lingüísticos para la estimación del

proyecto.

El modelo EPCU se compone de 6 pasos: especificación de las variables de entrada,

especificación de la variable de salida, generación de las reglas de inferencia, la fusificación, la

evaluación de las reglas de inferencia y la defusificación [8] (figura 8.2).

Los 3 primeros pasos están relacionados al proceso de configuración del ―contexto EPCU‖,

los siguientes 3 se procesa el modelo por medio de la fusificación establecida por los expertos,

posterior la aplicación de las reglas de inferencia y al final la obtención del valor defusificado que

nos permite su uso ya en la aplicación práctica.

Figura 8.1 Modelo EPCU y sus 6 etapas

Adaptada de [8]

Un contexto EPCU es ―un conjunto de variables (entradas y salida) y las relaciones que

afectan un proyecto específico o un conjunto de proyectos similares‖ [5].

Configuración del Modelo.

Especificación de las variables de entrada. El objetivo de este paso es identificar y definir las

variables más significativas para el proyecto (o el tipo de Proyecto) desde el punto de vista de los

expertos dentro de la organizacion. Para el caso de este estudio el objetivo no es estimar un

proyecto, es determinar IISS, por lo que las variables de entrada son los indicadores definidos

(TCE, CLI y NPS).

60

Los expertos deben definir los conjuntos difusos para cada variable, lo que significa que

deben clasificar las variables en términos de valores lingüísticos. Por ejemplo, para el índice de la

experiencia del servicio al cliente TCE, el conjunto difuso se puede clasificar como ―bajo‖, ―medio‖

o ―alto‖.

También se requiere definir el dominio de la función de pertenencia para representar las

opiniones de los profesionales experimentados sobre las variables de entrada, que para el caso de

este estudio, como ya se definió en la sección 2, ya se cuenta con el rango en función de los posibles

valores de salida de cada intervalo: para el indicador TCE el rango es de 0 a 10, para el indicador

NPS también utiliza un mismo rango. Por último para el CLI el rango es de 0 a 5.

Es necesario también definir el tipo de función de membresía, en particular el Modelo EPCU

propone una mezcla entre funciones triangulares para los conjuntos intermedios y trapezoidales para

los extremos.

Especificación de la variable de salida. Se repite el paso anterior para la variable de salida

que en este caso será el IISS.

Generación de las reglas de inferencia. Todos los conjuntos difusos pertenecientes a cada

variable de entrada deben combinarse en forma de si-entonces (if-then):

IF x AND y, THEN z

IF x OR y, THEN z (8)

Donde ―x‖ es un conjunto difuso para una variable de entrada, ―y‖ es un conjunto difuso

para otra variable de entrada y ―z‖ es un conjunto difuso para la variable de salida.

Todos los conjuntos difusos para cada variable de entrada deben ser combinados con los

conjuntos difusos de las otras variables de entrada, para generar la base de reglas de inferencia.

Utilización del Modelo.

Los siguientes 3 pasos buscan procesar la información por medio de las definiciones

anteriores, para lograr un valor cuantitativo significativo.

Fusificación. El objetivo es obtener valores fusificados de los valores que se tengan para los

indicadores previamente evaluados por algún cliente. Este proceso crea valores difusos para ser

usados en el siguiente paso, que consiste en ejecutar las reglas base.

Ejecución de las reglas de inferencia. Este paso consiste en ejecutar las reglas de inferencia

mediante la sustitución de los valores difusos obtenidos para cada variable de entrada en el paso

anterior. La ejecución de las reglas de inferencia deben seguir las reglas de la lógica difusa, como:

Valor (P o Q) = máximo {valor (P), (Q)}

Valor (P y Q) = min {valor (P), valor (Q)} (8.1)

Defusificación. El sexto paso es la defusificación, cuyo objetivo es obtener un valor ―Crisp‖

utilizable, que en este caso será el IISS. El método EPCU propone la utilización del método de

RSS, en virtud de que combina los efectos de todas las reglas aplicables, escalas de las funciones en

sus respectivas magnitudes calculadas. El método RSS matemáticamente es más complejo que los

otros métodos, pero da la mejor influencia ponderada a todas las reglas de inferencia involucradas.

61

Beneficios del Modelo EPCU.

Dentro de los beneficios de la utilización del modelo EPCU se encuentran: la replicación

sistemática de la experiencia que se define como ―el uso de la experiencia de los expertos por otras

personas con habilidades y experiencia distinta‖ [8], el modelo EPCU permite una replicación

sistemática de la experiencia. Con base en la experiencia se pueden definir los contextos para el

modelo EPCU, y no se requieren datos históricos. El modelo EPCU, funciona como una misma

regla con independencia de los expertos que evalúen las variables de entrada, ya que las reglas de

inferencia son constantes. Esto hace que presente un mejor comportamiento aun cuando los

evaluadores tengan distintas habilidades.

8.3 Definición del contexto EPCU para determinación del índice integrado de satisfacción de

servicio (IISS)

En esta sección se describirá la configuración el contexto EPCU propuesto para calcular el IISS.

Especificación de las variables de entrada.

En detalle para la creación del IISS, se establecen las tres variables de entrada como cada

uno de los índices como se describen en la tabla 1 que actualmente se utilizan en la empresa A.

Tabla 8 Definición de las variables de entrada

Nombre Rango conjuntos difusos

TCE 0 -> 10 3

NPS 0 -> 10 3

CLI 0 -> 53

A continuación describiremos las funciones de membresía para cada variable de entrada.

Para el TCE y NPS, se definieron tres conjuntos difusos identificados como ―Bajo‖, ―Medio‖ y

―Alto‖, dos de ellos de tipo trapezoidal y una de tipo triangular en segmentos de rangos entre 0 y 10

en números reales (véase gráfico 8.2):

Gráfico 8.2 Función de membresía de las variables de entrada TCE y NPS.

Para la variable correspondiente al indicador CLI, se generaron tres conjuntos difusos

―Bajo‖, ―Medio‖ y ―Alto‖, dos de tipo trapezoidal y una de tipo triangular en segmentos de rangos

entre 0 y 5 en números reales (véase Gráfico 8.3):

62

Gráfico 8.3 Función de membresía de la variable de entrada CLI

Especificación de la variable de salida.

La variable de salida integrará los índices anteriores y como ya se mencionó se denomina

Índice Integrado de Satisfacción del Servicio (IISS), para su definición se establecen cincos

conjuntos difusos ―Bajo‖, ―Medio Bajo‖, ―Medio‖, ―Medio Alto‖ y ―Alto‖, dos de tipo trapezoidal

y tres de tipo triangular en segmentos de rangos entre 0 y 10 en números reales, dónde 0 es el valor

mínimo y 10 el valor máximo del IISS, el que el índice tenga un valor ―Alto‖ implica que se logró

el nivel de satisfacción deseado en la entrega del servicio que permitiría conservar la lealtad del

cliente y su disposición a promover los servicios recibidos de la Empresa A. (véase Gráfico 8.4):

Gráfico 8.4 Función de membresía para indicador IISS

Generación de las reglas de inferencia.

La generación de reglas de inferencia tiene como propósito relacionar todos los conjuntos

difusos de las variables de entrada entre sí, teniendo como consecuencia un conjunto difuso de la

variable de salida. El listado de las reglas definidas para el contexto se muestra en la tabla 8.1.

63

Tabla 8.1 Reglas de inferencia

8.4 Caso de estudio de generación del índice integrado de satisfacción de servicio (IISS) por

medio del modelo EPCU

El caso de estudio se define en cuatro etapas las cuales se describirán a continuación:

Definición de clientes y valores de los indicadores.

Se realizó una búsqueda aleatoria en los registros de diez clientes que hubieran recibido un

servicio de soporte técnico y que tuvieran datos de evaluación de los tres indicadores establecidos

por la empresa A. La Tabla 8.2 muestra un listado de los diez clientes seleccionados identificados

con un número secuencial en la primera columna, en las columnas dos, tres y cuatro se observan los

valores obtenidos por cada cliente para los índices individuales TCE, NPS y CLI.

Tabla 8.2 Indicadores correspondientes a la evaluación de servicios de soporte por parte de 10

clientes

Definición de participantes expertos.

64

Para establecer el contexto EPCU y realizar el caso de estudio se necesitó hacer un proceso

de selección de Expertos que participarán en la evaluación de las reglas de inferencia así como en la

valoración de los clientes que se seleccionaron en el paso anterior.

Las consideraciones que se tomaron para formar al grupo de expertos fueron las siguientes:

a) Cada experto pertenece a una de las áreas principales del proceso de entrega de servicio de

soporte técnico a clientes.

b) Los expertos tienen la capacitación sobre la metodología lean six-sigma de mejora continua

establecida en la empresa A.

c) Los expertos tienen como parte de sus funciones la asignación de proyectos relacionados

con el análisis o diagnóstico de las encuestas aplicadas para cada indicador de servicio, así como la

administración de los grupos de mejora continua para establecer acciones que solventen las áreas de

oportunidad en los servicios detectados por dichos análisis.

d) Todos los expertos conocen a profundidad todos los elementos (procesos, herramientas,

personal) necesarios para la entrega del servicio.

Del proceso de selección se logró la colaboración de tres expertos que apoyaron en la

generación del contexto EPCU y el desarrollo del caso de estudio.

Cada participante, de acuerdo a su experiencia estableció sus consideraciones para

determinar de manera cualitativa el IISS, considerando los conjuntos definidos en la variable de

salida (―Bajo‖, ―Medio Bajo‖, ―Medio‖, ―Medio Alto‖ y ―Alto‖). El resultado de los trabajos de

valoración de los Expertos se muestra en la Tabla 8.3.

Tabla 8.3 Valoración por cliente del IISS basado en el juicio de expertos de la empresa A

De la tabla 8.3, se puede observar que solamente para 5 clientes (1, 5, 6, 8 y 10) los expertos

coincidieron en la evaluación del IISS basada en su experiencia. Para los demás casos solamente

coinciden 2 de los tres expertos.

Obtención del IISS utilizando el contexto EPCU definido.

Al aplicar los pasos para evaluar cada uno de los 10 clientes utilizando el contexto EPCU

con el objetivo de obtener el cálculo del IISS, se obtuvieron los datos descritos en la tabla 8.4, en

donde la primera columna contiene el identificador de cada cliente, las columnas 2, 3 y 4 el valor de

IISS determinado con base en la experiencia por cada uno de los expertos y en la última columna el

valor del IISS calculado con base en el contexto EPCU previamente definido en la sección 8.3.

65

Tabla 8.4 Resultados de IISS aplicando el modelo EPCU

Graficando los valores de IISS obtenidos y descritos en la tabla 8.3 se obtiene el gráfico 8.5

que muestra visualmente la pertenencia de cada uno de los clientes (representados por su número

dentro de los círculos) a los conjuntos difusos significativos que los influyen.

Gráfico 8.5 Ubicación de IISS por cliente aplicando el modelo EPCU

Análisis de los datos obtenidos.

Al integrar las informaciones de las tablas 8.2, 8.3 y 8.4 con la intención de confrontar los

datos obtenidos en cada una de las etapas anteriores se obtiene la tabla 8.5 conformada por la

primera columna con el identificador de cada cliente, las columnas dos, tres y cuatro con los valores

obtenidos de los indicadores que conforman las variables de entrada, las columnas cinco, seis y

siete con el valor de IISS determinado con base en la experiencia por cada uno de los expertos, la

columna ocho contiene la valoración del IISS con base en el contexto EPCU y la última columna

con los conjuntos difusos significativos a los cuales pertenece el IISS bajo el contexto de EPCU.

Tabla 8.5 IISS Basado en el juicio de expertos, el contexto EPCU y sus conjuntos difusos

significativos

TCE NPS CLI Experto 1 Experto 2 Experto 3

1 0 3 1 Bajo Bajo Bajo 1.00 Bajo

2 4 4 2 Medio Bajo Bajo Bajo 1.88 Bajo, Medio Bajo

3 5 7 2 Medio Bajo Medio Bajo Bajo 3.00 Medio Bajo

4 5 10 4 Medio Medio Alto Medio 7.33 Medio Alto, Alto

5 8 7 3 Medio Medio Medio 5.54 Medio, Medio Alto

6 8 10 2 Medio Medio Medio 6.72 Medio, Medio Alto

7 9 8 5 Alto Alto Medio Alto 10.00 Alto

8 9 9 5 Alto Alto Alto 10.00 Alto

9 10 4 3 Medio Alto Medio Medio 4.11 Medio Bajo, Medio

10 10 9 5 Alto Alto Alto 10.00 Alto

IISS Basado en el

Contexto de EPCU

Conjuntos Difusos

SignificativosCliente

Indicador IISS Basado en el Juicio de Expertos

66

Realizando la comparación del IISS con base en el juicio de Expertos y los conjuntos

difusos pertenecientes al IISS bajo el modelo de EPCU se puede observar una coincidencia

significativa de ambos valores; en los clientes 1, 2, 5, 6, 8 y 10 el juicio de expertos fue

representado de manera completa por los conjuntos difusos significativos para el IISS obtenido con

base en el EPCU, en los clientes 3, 7 y 9 se observa que tuvieron algún conjunto difuso significativo

para los expertos que no fue representado por el IISS obtenido con el EPCU, esto representa una

coincidencia del 67% (2 conjuntos difusos de 3) que es muy cercana al juicio de los expertos, para

el cliente 4 se observa que solamente hubo coincidencia en un conjunto difuso (33%) entre los

expertos y la evaluación realizada con el modelo EPCU. De manera integral podemos decir que la

coincidencia del IISS obtenida con base en el EPCU representa adecuadamente aladecuadamente al

juicio de los expertos, además de presentar otros beneficios como la replicación sistemática de la

experiencia y un manejo de la incertidumbre. Otra forma de interpretar los resultados obtenidos en

base al valor de IISS y su pertenencia a los conjuntos difusos significativos es, por ejemplo solo el

cliente 4tienen una experiencia de servicio que presenta la menor coincidencia entre los dos IISS

obtenidos, para los demás clientes que los clientes el resultado obtenido con el IISS representa en

más del 67% su coincidencia. Al obtener el IISS para cada cliente y compararlo con la opinión de

los expertos, se observa que el índice obtenido mediante el modelo EPCU reflejaba la situación real

de cada perfil de cliente, lo que permitiría identificar posibles mejoras en el proceso de atención de

soporte técnico.

8.5 Conclusiones

Conforme a los resultados obtenidos se puede considerar que la utilización del modelo EPCU

basado en la lógica difusa para la creación del Índice Integrado de Satisfacción del Servicio (IISS)

resulto tener un grado de coincidencia muy adecuado respecto del considerado por los expertos de

la Empresa A, llegándose a la conclusión que el IISS puede ser útil para determinar perfiles de

calidad de servicio basado en clientes.

El modelo EPCU permitió generar una herramienta de análisis que ya no depende de la

experiencia de los expertos y que maneja formalmente la incertidumbre al transformar la opinión de

expertos en una expresión más consistente, además que la valoración es replicable y al ser

sistemática habilita la obtención de información y su análisis de forma más rápida y eficiente para la

toma de decisiones.

El modelo EPCU muestra su eficacia al haberse creado el Índice Integrado de Satisfacción

del Servicio (IISS) y sus resultados reflejan cual es el grado en que un cliente se encuentra

satisfecho y su nivel de lealtad a la empresa A que permita ser promotor a otros clientes.

El IISS también podrá servir como un indicador de mejora que ayudará a que la Empresa A

pueda focalizar los esfuerzos, por ejemplo en alguna de las variables de entrada que pudiesen tener

un mejor resultado, y que permita tener a los clientes en el nivel de satisfacción que la Empresa A

busca dentro de los servicios de soporte técnico al cliente final de una forma ágil y eficiente.

Es importante considerar que para este estudio se obtuvieron resultados adecuados

considerando clientes que evaluaron los servicios y que generaron los tres índices base, sin

embargo, habrá que desarrollar varias iteraciones y más análisis para otros escenarios que permitan

cubrir la exigencia de los objetivos estratégicos de calidad y satisfacción de los clientes que la

empresa actualmente tiene.

67

8.6 Referencias

[1] Zadeh, Lotfi A (2008), ―Is there a need for fuzzy logic?‖, Information Sciences, vol. 178, issue

13, 1 July 2008, pp. 2751-2779.

[2] M. George, Lean Six SIGMA : Combining Six SIGMA Quality with Lean Production,

McGraw-Hill Professional Publishing, 2002.

[3] Idri, A. and A. Abran (2000), ―Towards a Fuzzy Logic-based Measure for Software Project

Similarity,‖ in: 6th MCSEAI'2000 – Maghrebian Conference on Computer Sciences, Fez, Morocco,

2000.

[4] Mamdani, E. H. and S. Assilian, "An experiment in linguistic synthesis with a fuzzy logic

controller," International Journal of Man-Machine Studies, vol. 7, no. 1, pp. 1-13, 1975.

[5] Valdés, F. and A. Abran (2010), ―Comparing the Estimation Performance of the EPCU Model

with the Expert Judgment Estimation Approach Using Data from Industry,‖ in: Software

Engineering Research, Management and Application 2010 (SERA 2010), (Montreal, Canada. May

24-26, 2010), pp. 227-240, ch. 15. Verlag, Berlin: Studies in Computational Intelligence, vol. 296,

Springer, ISBN:13: 9781615209750.

[6] Valdés, F. and A. Abran (2007), ―Industry Case Studies of Estimation Models based on Fuzzy

Sets,‖ in: IWSM-Mensura 2007, (UIB-Universitat de les Illes Baleares, Palma de Mallorca, Spain),

pp. 87-101. Editors: Abran-Dumke-Màs, Publisher: Proceedings of the IWSM-Mensura 2007.

ISBN 978-84-8384-020-7, November 5-9, 2007.

[7] Mamdani, E. H., "Applications of fuzzy logic to approximate reasoning using linguistic

synthesis," IEEE Transactions on Computers, vol. 26, no. 12, pp. 1182-1191, 1977.

[8] Valdés, F. (2011), ―Design of a Fuzzy Logic Software Estimation Process,‖ Ph.D. thesis, École

de Technologie Supérieure, Université du Québec, Montreal, December 2011.

[9] D.A. Tibaduiza, I. Amaya, S. Rodríguez, N. Mejia, M. Flórez, "Implementation of a fuzzy

control for the direct kinematic control of a robot manipulator," Ingeniare, vol. 19, 2011.

68

ITIL Gestión del portafolio de servicios

Claudia Pachuca & Paul Cárdenas

Claudia Pachuca & Paul Cárdenas




69

Abstract

This article describes the Portfolio Management Services ITIL (Information Technology

Infrastructure Library) as it does through a management model, structuring roles, functions,

establishing channels of communication and strategic planning, it is possible to formulate

innovative strategies for modernization of IT services within an organization considering the quality

and timeliness of service areas offered, results of experience and analysis of an organizational.

Describe as through a management model, structuring roles, functions, establishing channels

of communication and strategic planning, it is possible to formulate innovative strategies for

modernization of IT services in an organization considering the quality and timeliness of service

provided , results of the experiment and analysis of an organizational context known.

The topics covered emphasize a management model in regard to providing IT services area

in a particular organization, a strategic analysis to identify the elements that give value to the

customer regarding the proposed disciplines to provide a service quality, a portfolio in which

service lines are determined, the definition of business units and service consistent with the

proposed management model, strategic direction through which the action plans are offered to

strategically align management service with business objectives, a detailed description of the roles

and functions to be played by strategic areas and interdisciplinary groups that make up the model to

ensure that the service provided by the IT provider maintains adequate, timely and effective

technological elements have been agreed with the client with the requirements and controlled costs

and times.

Introducción

Observando la importancia de la implementación dela Gestión del Portafolio de Servicios de ITIL

(Biblioteca de Infraestructura de Tecnologías de Información), dentro de las organizaciones para la

entrega de un servicio de TI de calidad los temas que se abordan hacen énfasis en un modelo de

gestión en lo que respecta al área proveedora de servicios TI en una organización particular, un

análisis estratégico para identificar los elementos que dan valor al cliente con respecto a las

disciplinas propuestas para ofrecer un servicio con calidad, un portafolio en el cual se determinan

las líneas del servicio, la definición de unidades del negocio y del servicio coherentes con el modelo

de gestión propuesto, el direccionamiento estratégico a través del cual se ofrecen los planes de

acción para alinear estratégicamente la gestión del servicio con los objetivos del negocio, una

descripción detallada de los roles y funciones que deberán desempeñar las áreas estratégicas y los

grupos interdisciplinares que componen el modelo para garantizar que el servicio ofrecido por el

proveedor de TI mantiene los elementos tecnológicos adecuados, oportunos y eficaces que han sido

acordados con el cliente con los requisitos establecidos y con los costos y tiempos controlados.

"El mundo de hoy presenta amenazas y oportunidades para las organizaciones, éstas podrán

afrontarlas, en la medida que se preparen para ello.

La empresa orientada a resultados no es una moda más, es la necesidad de racionalizar

recursos para trabajar la perentoria respuesta oportuna a clientes que exigen lo que están pagando

por productos y servicios de excelente calidad‖ [1]

A lo anterior se añade la necesidad de tener calidad en lo que se hace; en la actualidad, para

las organizaciones el concepto de calidad trasciende las características físicas y funcionales de los

bienes y servicios.

70

Esta idea está enmarcada en un ambiente competitivo, que requiere una cultura de gestión

orientada hacia los procesos, personas y servicios mediante la mejora continua. Teniendo en cuenta

la necesidad de alinear el negocio con el uso de las TI, se requiere optimizar la tecnología en

cualquiera de los niveles de la organización a fin de mantener procesos eficientes y de esta manera

crecer a costes razonables y predecibles. Uno de los grandes problemas que se enfrentan hoy en lo

que a la prestación de servicios se refiere, es el de garantizar la prestación de un servicio conforme a

las necesidades del usuario sin incurrir en costos o esfuerzos adicionales.

La calidad y la satisfacción del cliente son parámetros que varían de acuerdo a la percepción

del consumidor, las metas y la visión institucional dependen en sí de los lineamientos que la alta

dirección defina en propósito de su desarrollo.

Tabla 9 Desafíos de la implementación de ITSM

La metodología ITIL (Information Technology).

Infraestructura Library - Biblioteca de Infraestructura de Tecnologías de Información), es

una metodología de mejores prácticas donde se propone métodos probados por organizaciones que

han sido casos de éxito para la gestión de los servicios informáticos.

Una organización está compuesta entre otros elementos de personas, objetivos, recursos y

procesos; su cultura organizacional, metas, dinamismo, talento humano, conocimiento y métodos de

trabajar impactan de manera importante su capacidad de producir un servicio con calidad, aceptable

al usuario y por consiguiente influyen para que sea competitiva y para que subsista en el entorno.

La gestión de servicios de Tecnologías de Información es un conjunto de capacidades

organizacionales especializadas en proporcionar valor a los clientes en forma de servicios [2].

Para proveer y gestionar de forma eficaz los servicios a lo largo de su ciclo de vida, resulta

imprescindible definir y adoptar un conjunto de metodologías o buenas prácticas.

Si estas buenas prácticas se agrupan y estructuran en procesos, este conjunto de procesos del

área de provisión y gestión de servicios, puede utilizarse para emplear el concepto de ciclo de vida

de producto completo que abarque también todos los aspectos relacionados con la provisión y

gestión de los servicios.

Esta metodología fue seleccionada a través de un proceso de revisión bibliográfico en el cual

se calificaron mediante criterios de evaluación, varias alternativas de solución [3].

71

Gráfico 9 Estado actual del gobierno de ITSM

Tomando en cuenta lo anterior, surge una pregunta: ¿Qué es lo que buscan las

organizaciones? ¿Cómo hacemos que las organizaciones determinen que es de valor?

Siendo la pregunta anterior uno de los retos en las organizaciones, es como definimos que

realmente lo que proporcionamos como área de TI es valioso para la organización. Para lo

anterior ITIL nos ofrece un marco de referencia para la gestión de servicios, el cual a su vez tiene

un proceso llamado Gestión de portafolio de servicios.

La meta primordial del proceso llamado Gestión de Portafolio de servicios es ser una guía de

gestión basada en la calidad del servicio, potencializando el capital humano, el conocimiento,

resultado de su operación y el control de sus actividades orientadas a la satisfacción del cliente.

Se busca organizar la estructura de trabajo, establecer herramientas y mecanismos eficientes

de comunicación, establecer una estructura por procesos que es una de las alternativas para

responder a esos nuevos desafíos; la identificación, delimitación y control permiten asignar

parámetros y responsabilidades medibles, para definir las verdaderas contribuciones en el quehacer

de las personas, justificando la inversión en ellas bajo criterios de desempeño más objetivos y

precisos.

Tabla 9.1 Liderazgo en la gestión de servicios de T.I.

9 Definición del portafolio de servicios

La importancia de que todos los servicios que están bajo nuestra responsabilidad, como

departamento de TI, deben de estar gestionados a lo largo de su ciclo de vida, esto quiere decir,

desde que el servicio es concebido como una idea, como una propuesta y pasando por su estado

de operación hasta que el servicio es retirado, por lo que debemos plantear algunos estados por los

cuales esos servicio deben pasar a través del Portafolio de Servicios, ITIL nos indica que son 3

estados generales:

72

El primero de ellos es el Pipeline de Servicios, cuando un servicio se concibe como una

propuesta, ingresa al pipeline (marketing).

Catálogo de Servicio, servicios que ya están en Operación, incluyendo los que ya tienen

tiempo operando.

Servicios retirados, un servicio llega al fin de su vida útil (cuando deja de aportar

valor).

Los servicios que entran al pipeline son esos servicios propuestos, los cuales tienen que

ser analizados de alguna forma, siendo el caso de negocio la herramienta que nos va a permitir

que solo algunos de los servicios que ingresan al pipeline sean autorizados. El caso de negocio

es la herramienta que nos va a permitir tomar decisiones de en cuál de estas propuestas si se va

a invertir dinero, esta es la herramienta que nos va a permitir que las propuestas sean autorizadas,

para que el servicio empiece a ser construido, empiece a ser diseñado y en algún punto

ponerlo en operación.

Tomando en cuenta estos conceptos en algún punto los servicios que ya están

autorizados van a pasar al catálogo de servicios y van a estar en operación durante su ciclo de

vida útil, una vez que termina su vida útil pasan a los servicios retirados, este es el concepto

del portafolio de servicios como lo maneja ITIL. Para lograr este cometido ITIL propone

básicamente un proceso que se llama la gestión de portafolios de servicios, este proceso debe:

Asegurar que haya una continuación adecuada de los servicios que equilibren las

inversiones.

Para lograr las metas de negocio y para lograr aportar ese valor, se busca que los

servicios que estamos proponiendo cumplan las metas de la organización, permitiendo:

Tomar decisiones sobre las inversiones.

Evaluar como los servicios se habilitan en ese logro de los objetivos estratégicos.

Trazar la inversión a lo largo de su ciclo de vida del servicio desde que es una propuesta

hasta que lo retiramos.

Es decir, si no hay una relación directa entre esos servicios propuestos estos no van a ser

autorizados. Implementar un servicio es una cuestión de dinero, básicamente, tiene que ver con

una cuestión de autorizar la inversión para construir ese servicio para lograr las metas del

negocio. ITIL propone 4 actividades básicamente para que deban llevarse a cabo para la gestión

de portafolios de servicios.

Definir qué servicios tenemos, cuales son los que vamos autorizar, casos de negocio.

Analizar propuesta de valor que cada servicio tiene, que es lo que aporta en beneficio,

prioridad.

Aprobar inversiones, y asegurar que hay recursos suficientes, cuando no hay un

entendimiento claro por parte del negocio o por parte de TI, acerca de esta propuesta de valor,

si se puede autorizar alguna inversión, pero no será suficiente, entonces debemos recortar las

capacidades de esa propuesta y por lo tanto no vamos a cubrir con el requerimiento de negocio.

73

Formalizar , documentar y comunicar que se ha autorizado cierto servicio ( Service

Charter, es el lineamiento de lo que el servicio es, cual necesidad es la que va a resolver y cuál es

el monto estimado de inversión que s e va a necesitar) [4].

Las organizaciones son entidades dinámicas y constantemente están generando

requerimientos nuevos, una de las responsabilidades de las áreas de TI es hacer que se cumplan

estos requerimientos que tiene el negocio y la organización manteniéndolos alineados. Siendo una

de las herramientas el portafolio de servicios.

ITIL nos dice que, para poder lograr esta aportación de valor , para controlar y tomar las

decisiones que aporten valor al negocio debemos enfocarnos en las siguientes metas generales, con

la gestión del portafolio.

Una apropiada combinación de inversiones que sea definida y alineada con la estrategia

empresarial, es decir, aquello que no esté relacionado con la estrategia de negocio no tiene caso

evaluarlo.

Fuentes de financiamiento son identificadas y disponibles, de nada sirve hacer propuestas

si no tenemos un financiamiento adecuado para ello. Los casos de negocio son evaluados y

priorizados antes que los fondos sean asignados.

Existe una vista amplia y exacta del desempeño del portafolio de inversiones, necesitamos

saber monitorear si la toma d decisiones fue la correcta.

Cambios al programa de inversiones son reflejados en los portafolios relevantes de servicios

de TI, activos y recursos, es decir, por necesidades de negocio se debe invertir en alguna

modificación a los servicios.

Los beneficios han sido realizados debido al monitoreo de los beneficios, es decir, no es

simplemente dar la inversión, si no ver que se den los beneficios [5-9].

Tabla 9.2 Métricas de evaluación calidad del servicio T.I.

ITIL establece cuales son básicamente las prácticas que se tienen que realizar en la gestión

del portafolio.

9.1 Métodos y resultados

Una matriz RACI, básicamente lo que nos dice son las responsabilidades que tienen los diferentes

actores/roles que participan dentro de un proceso, teniendo 4 niveles de responsabilidad.

A continuación veremos cómo están involucrados estos roles en las metas de la gestión

del portafolio, como lo establece ITIL:

74

Primera Práctica.

La toma de decisiones no está dentro de la parte de TI, si no del negocio. Para lograrlo y

ver que se está haciendo de manera adecuada, ITIL nos da indicadores específicos para lograr la

entrega de valor.

Hay que tener un medidor de porcentaje de satisfacción con los reportes de monitoreo del

portafolio.

El cual nos indique cual es el grado de satisfacción de la alta dirección a cerca de la

contribución de TI en la estrategia empresarial, es decir, ¿Que también lo está haciendo TI desde

el punto de negocio?

Segunda práctica.

Determinar la disponibilidad de las fuentes de financiamiento, de donde se obtiene el

dinero, aquí el rol es del director financiero y el director de TI, así como la oficina de gestión de

valor también es consultada.

¿Cuáles son las métricas que aplican en esta práctica?

La relación que hay entre los entre los fondos disponibles y los fondos asignados y

después la relación entre los fondos asignados y los fondos utilizados.

Tercera práctica.

Evaluar y seleccionar los programas que se van a financiar y aquí el rol es el del director

de la empresa, por que define la estrategia de la organización y se apoya de diferentes roles de la

organización.

Los indicadores son los porcentajes de unidades negocio involucradas en el proceso de

evaluación y priorización.

Cuarta Práctica.

Monitoreo, optimizar y reportar el desempeño del portafolio de inversiones, hay que

hacer un monitoreo para ver si efectivamente estas inversiones dan el fruto esperado y quien se

encarga de esto , la oficina de gestión de valor.

El comité que define la estrategia el encargado y se apoya de diferentes roles dentro de

la organización.

Los indicadores son, el nivel de satisfacción con los reportes de monitoreo del portafolio

Quinta Práctica.

Gestionar el logro de los beneficios, todo proyecto deben estar ligados a los beneficios

que está esperando la organización, el rol aquí lo llevan los ejecutivos del negocio.

Aquí el indicador es el porcentaje de inversiones para los cuales los beneficios se han

realizado y que son comparados con los casos de negocio [10-11].

75

Tabla 9.3 Beneficios percibidos con la implementación de ITL

9.2 Conclusiones

Es indispensable una mezcla sinérgica entre tres factores: Personas, Procesos y Productos. Dentro

del portafolio se deben tener en cuenta los procesos de Gestión de la Calidad del Servicio de la

metodología seleccionada que incluyen todas las actividades de la organización y que determinan

las políticas, los objetivos y las responsabilidades relativos a la calidad de modo que el servicio

satisfaga las necesidades por las cuales existe.

Para implementar en nuestra realidad el proceso del portafolio de servicios es necesario:

1. Obtener el respaldo de la alta dirección.

2. Integrar un comité para la gestión del portafolio.

3. Establecer criterios que sean claros para la evaluación para los casos de negocio.

4. Definir y medir indicadores relevantes.

5. Mejorar continuamente.

En general la gestión del portafolio, es uno de los aspectos más menospreciados dentro

de las prácticas de TI, muy pocas organizaciones tienen implementado un proceso para gestionar

los portafolios de servicio para una entrega de un servicio de TI de calidad.

9.3 Referencias

[1] Mejía, Melba Lida. (2004). Estructuras y cargos por procesos, orientados a resultados. Scientia

Et Technica, Agosto-Sin mes, 203-208.

[2] Laboratorio Nacional de Calidad de Software, Guía avanzada de gestión de servicios, Instituto

Nacional de Tecnologías de la Comunicación (INTECO), 2008.

[3] Medina, Y. C. y Rico, D. Modelo de gestión de servicios para la Universidad de Pamplona:

ITIL. Revista Scientia et Technica, v. XIV, n. 39. IX 2008.

[4] Toro, J. Acuerdo de niveles de servicio puerta entre el diseño y la implementación de servicios

de TI. Universidad Nacional de Colombia (Medellín). 2008.

76

[5] Office of Government Commerce, ITIL Version 3 Service Strategy, OGC, 2007.

[6] Office of Government Commerce, ITIL Version 3 Service Design, OGC, 2007.

[7] Office of Government Commerce, ITIL Version 3 Service Transition, OGC, 2007.

[8] Office of Government Commerce, ITIL Version 3 Service Operation, OGC, 2007.

[9] Office of Government Commerce, ITIL Version 3 Continual Service Improvement, OGC, 2007.

[10] Peña Carabali Sady (2012). Guía para la gestión de servicios de TI basada en ITIL V3.

Universidad EAN (Bogota), 28-30.

[11] Cannon, D. (2011). Chapter 6. Organizing for service strategy. ITIL Service Strategy (pp. 317-

339). The Stationery Office. ITIL Best Management Practice.

77

Gobierno de tecnologías de información, un enfoque para las PYMES

Gustavo Núñez

G. Núñez




78

Abstract

In a globalized world where companies operate today, undoubtedly information technologies play

an important role in the growth of SMEs, it is why the purpose of this article is to present an

approach to them allow to take into consideration the adoption of information technologies for

development empresarial.

El main focus is to understand the importance in government and management tools,

controls, frameworks, etc .. that information technologies offer us to generate value and how they

significantly help in meeting its objectives and therefore wealth creation and growth of SMEs.

Knowing the relationship between corporate governance and government information

technology is important for SMEs, so this correlation is exposed and which serves to allow

theorizing and integrate a focus on responsible adoption of information technology for SMEs.

Introducción

Existe un principio de filosofía que dice: ―Nadie ama, lo que no conoce primero‖, es por ello, que

como premisa menor conoceremos que es el gobierno corporativo y el gobierno de tecnologías de

información que nos permitan reflexionar sobre su razón de ser y luego entonces, como premisa

mayor, podamos amar y reconocer el valor que entregan a las PYMES, visto desde un tema

estratégico en la inclusión de las tecnologías de información en los planes de negocio de las

empresas y no solamente como elementos de soporte técnico a las necesidades del negocio.

Otro punto importante a considerar es que se tiene la creencia de que las PYMES son mucho

menos complejas que las grandes corporaciones, por lo tanto estos temas y su implementación que

les son necesarios para satisfacer sus requerimientos son muy básicos o en algunas empresas nulos,

ya sea por desconocimiento, cultura o miedo en el empresario de adoptar estas buenas prácticas, ya

que de manera generalizada se puede creer que son caras en su implementación y operación, por lo

cual no apuestan en una inversión en su adopción y lo ven meramente como un gasto.

Con lo anterior podemos decir que escala y complejidad son dos cosas totalmente diferentes,

para ello debemos definir claramente estos temas y la importancia vs beneficios que generan en el

sector empresarial, ya que las PYMES son igual de complejas que cualquier empresa grande, sin

duda a una menor escala, por ello la adopción de estas buenas prácticas en muchos enfoques no es

exclusiva de las grandes corporaciones.

El presente artículo en general trata de un enfoque y propuesta que la PYME deberá adoptar

y empezar a entender y atender para el desarrollo que esperan, la presente fuente de conocimiento

ayudara al dueño, empresario, director y/o gerente teorizar en elementos básicos que despertaran su

interés en la profundización de los mismos que podrá encontrar en diferentes fuentes de

conocimiento y que complementarán lo que se expone.

10 Gobierno corporativo para PYMES

El gobierno corporativo en una aplicación para las PYMES es algo difícil de asegurar que sea un

tema conocido para ellas y es por ello la importancia de este marco de referencia en el control

interno de las organizaciones permita la adecuada gestión de las mismas.

79

COSO (Committee of Sponsoring Organizations) por sus singlas en inglés, es un marco que

puede ofrecer a las PYMES, de una manera adecuada a su tamaño y necesidades la adopción de

buenas prácticas, que le permita definir el control interno como un proceso inmerso en sus

operaciones, en el cual deberá estar involucrados dueños, directores y tomadores de decisión.

La propuesta principal de COSO es la consecución de los objetivos de las empresas

mediante:

1) La eficacia y eficiencia de las operaciones.

2) Fiabilidad de la información financiera.

3) El cumplimiento con las leyes y reglamentos aplicables.

Estos tres objetivos deberán estar especialmente vinculados con el control interno, análisis

de los riesgos, procesos de control, información y comunicación entre las partes, y seguimientos a

los objetivos de la organización. (D'Aquila, 2013)

Es importante tener en cuenta que los marcos de referencia de las buenas prácticas en

cualquier campo de conocimiento no son exactamente la solución a los problemas de las

organizaciones y que estas deberán ser entendidas y atendidas justamente a la medida y

requerimientos que cada empresa tenga, por ello los stakeholder deben estar totalmente alineados y

enfocados en sus necesidades.

Sin lugar a dudas la tecnología juega un papel muy importante en la aplicación de estas

propuestas por COSO, y estas día a día van en una evolución constante, y las tecnologías de la

información nos brindaran una mejor gestión de estos objetivos y tareas que el gobierno corporativo

nos propone.

COSO está integrado por 17 principios, para la generación de resultados en su propuesta de

valor para las organizaciones estos integrados en los cinco componentes de COSO, para las PYMES

de manera concreta debe atender estos elementos, los cuales son:

Control Interno.- Aquí es donde la empresa a través de su declaración de valores y ética

comunica a sus colaboradores el cómo será el alineamiento en las operaciones de la empresa. Para

ello las empresas deben de tener de manera documentada y clara estas declaraciones.

Análisis de Riesgos.- En la definición donde el riesgo es una incertidumbre, hay de manera

inherente riesgos en el cumplimiento de los objetivos de las organizaciones, estos riesgos son de

manera diferente para cada empresa y por ello en dicho análisis deben de considerar el apetito al

riesgo al que están dispuestos a tolerar, entiendo este como algo particular de cada empresa, ya que

no se puede ponderar de igual forma para dos organizaciones, ya que cada una tendrá una tolerancia

diferente.

Control de Actividades.- Se deberán establecer políticas alineadas al análisis de riesgos, ya

que estos definirán los reglamentos y políticas en las operaciones de la empresa, con ello la empresa

dejara en claro lo que se puede o no realizar en cada uno de los procesos de la empresa.

Información y comunicación.- La alta dirección deberá comunicar de manera oportuna y por

los medios con los que cuenta la empresa las políticas y reglamentos definidos por la empresa, con

esto se deberán definir procesos y controles en los cuales se pueda denunciar cualquier eventualidad

que no cumpla con las políticas de la organización.

80

Seguimiento.- La empresa deberá establecer los controles que considere para el monitoreo

de cada uno de los procesos, deberá cuidar los registros que se generen ya que ellos son importantes

para la auditoria y monitoreo de cualquier desviación en sus objetivos. (Rittenberq, 2013) En la

siguiente figura se puede observar de manera gráfica la propuesta de gobierno corporativo para las

PYMES.

Figura 10

Fuente: Laski, J. P. (2006). El control interno como estrategia de aprendizaje organizacional: el modelo coso y sus

alcances en América Latina. (Spanish). Gestión y Estrategia (30): p. 16

Una vez que las PYMES adopten y hayan efectuado las acciones necesarias para el

cumplimiento con esta propuesta, el monitoreo continuo aplicando y documentando estos

importantes elementos, tendrán lo básico necesario para la consecución de sus objetivos de un

manera ordenada, con el beneficio de identificar áreas de oportunidad para su crecimiento y

desarrollo empresarial.

La PYME deberá tener de manera clara y definida su estructura organizacional y estructura

tecnológica ya que ayudara en una gran medida la definición de esta propuesta, con ello podrá

visualizar de manera acertada y documentada los elementos con los que cuenta para su

disponibilidad en la implantación de las tareas aquí expuestas.

81

10.1 Enfoque de un gobierno de tecnologías de información para PYMES

Las PYMES deberán entender que el uso adecuado y adopción de las Tecnologías de Información

(TI), serán un eslabón importante en su crecimiento y que la inmersión de ellas en sus planes de

negocio y control interno, serán potenciadores en el cumplimento de sus objetivos y por ende en su

crecimiento y desarrollo empresarial. Hemos visto a lo largo de este artículo una propuesta sencilla

en la adopción y documentación de controles que permitan enmarcar en las PYMES, la estructura

de un gobierno corporativo que les permita a su vez la adopción de un gobierno de TI.

Existen dos fuentes importantes para hablar acerca de gobierno de tecnologías de

información y para ello recurrimos a la ISO/IEC 38500 y COBIT 5 de ISACA6 , este tema es de

suma importancia para el avance y continuidad del negocio en las empresas, según el ITGI (IT

Governance Institute)7 el gobierno de TI engloba 5 áreas: alineación estratégica, gestión de

recursos, gestión de riesgos, medición del rendimiento y entrega de valor a la organización. (de la

Cámara Delgado, Sáenz Marcilla, Calvo-Manzano, & Fernández Vicente, 2012)

La ISO/IEC 38500 establece seis principios los cuales son una guía para la toma de

decisiones y que podremos observar como hacen sentido a los controles internos que se han

implantado en nuestra propuesta descrita en gobierno corporativo para PYMES. Estos seis

principios son:

Responsabilidad.- enfocado a la oferta y demanda de TI, en donde los responsables

comprenden y aceptan sus roles para el mantenimiento de este enfoque.

Estrategia.- con lo cual la empresa cuenta con las capacidades actuales y futuras con una

estrategia en el uso de las TI.

Inversión.- las inversiones de las TI se ven de manera clara y objetiva de acuerdo a un

análisis adecuado en donde se ve de manera alineada los beneficios, oportunidades, costos y riesgos

en el tiempo.

Rendimiento de resultados.- el uso adecuado de las TI, genera a la empresa los niveles y

calidad en sus servicios necesarios para satisfacer las necesidades de la PYME en sus operaciones y

alcance de sus objetivos.

Conformidad.- De acuerdo a las políticas, leyes y reglamentos que enmarquen a la empresa,

la adopción de las TI cumplirán con ellas y harán cumplir a la organización.

Comportamiento Humano.- Se atiende las necesidades y punto de vista del capital humano,

alineado a las políticas y reglamentos que se contemplan dentro de la empresa para alcanzar sus

metas. (de la Cámara Delgado et al., 2012)

COBIT 5 de ISACA8 propone que la información es un recurso clave desde el momento en

que se crea hasta que se destruye para las organizaciones, en este caso las PYMES como

anteriormente se expuso, deben atender este activo para su gestión y gobierno, que les permita la

generación de su crecimiento.

6 https://www.isaca.org

7 http://www.itgi.org

8 https://www.isaca.org

82

COBIT 5 ofrece un marco de referencia que permite a las PYMES alcanzar sus objetivos y

gobierno corporativo, de hecho así lo declara que es genérico y útil para empresas de todos los

tamaños y todos los sectores, por lo cual de manera holística, esto quiere decir que abarcando de

manera integral y todas las partes de la empresa para mantener el equilibrio entre la generación de

beneficios y la optimización de los niveles de riesgo y el uso de los recursos de TI.

Para la adopción de un gobierno de TI para las PYMES es importante tener en cuenta los

recursos limitados con los que cuentan y que de manera importante es tener documentado sus

objetivos y metas, basta que sean de 2 a 5, con ello bastara que se enfoque a las esenciales que

cubran su naturaleza de ser, y que mucho ayudara en adoptar lo propuesto en el capítulo anterior.

Es importante tener en cuenta que la implementación de un gobierno de TI, requieren de

trabajo, tiempo y voluntad, para ello las empresas deben estar conscientes de ello para asegurar

éxito, los principios que nos dice la ISO/IEC 38500, nos propone de manera clara lo que nos

ayudara en la definición de los procesos a seguir.

En la siguiente figura vemos como COBIT 5 ofrece un marco integral que las PYMES

pueden adoptar sin dificultades:

Figura 10.1 Principios de COBIT 5

Fuente: ISACA. (2012). COBIT 5 Framework. 94

Con esta figura es fácil conceptualizar nuestra propuesta en donde se ve de manera clara el

objetivo de cada uno de los principios de COBIT 5 y que teniendo aplicado nuestro control interno

hará más fácil, para ellos COBIT 5 propone un marco de referencia que puede ser consultado para

el aseguramiento de los activos de TI proporcionen los servicios requeridos a la estructura

organizacional de las PYMES y completen sus operaciones en tiempo y forma.

Parte importante para la adopción de un gobierno de TI son los catalizadores que propone

COBIT 5, los cuales los podemos ver en la siguiente figura:

83

Tabla 10.2 Catalizadores corporativos COBIT 5

Fuente: ISACA. (2012). COBIT 5 FRAMEWORK. 94

Aquí vemos los catalizadores que permitirán la adopción de gobierno de TI, para ello las

PYMES deben tener claro y definido estos, ya que el conjunto de todo lo expuesto en el presente

artículo, hará que sea más dinámico y sencillo su adopción.

10.2 Conclusiones

Es importante la definición de controles y procesos como lo hemos visto, para ello las empresas

deberán enfrentar varias áreas de oportunidad, que representan un cambio, en la que se espera una

mejora continua dentro de ellas que permitan su crecimiento y desarrollo empresarial.

El presente enfoque define de manera clara y a un alto nivel lo que las organizaciones deben

de reflexionar, y que la información como uno de los activos más importantes dentro de ellas debe

de recibir el control y gobierno adecuado.

La gestión de un proyecto adecuado permitirá que esto se convierta en un caso de éxito, por

ello los profesionistas en tecnologías de información deben proporcionar y profundizar a las

PYMES los elementos necesarios para la implantación de estas propuestas, una vez que tenemos

conceptualizado estos temas, la alta dirección de las PYMES, podrán entender y explotar junto con

estos profesionistas la generación de valor que hay en la adopción de un gobierno de TI para las

PYMES.

Las propuestas de negocio que resulten en caso de éxito, sin duda serán detonadores del

crecimiento económico de las regiones en las que se encuentran que permitan una mejora continua

de su entorno empresarial.

10.3 Referencias

D'Aquila, J. (2013). COSO's Internal Control--Integrated Framework. CPA Journal, 83(10), 22-29.

De la Cámara Delgado, M. m. e. u. e., Sáenz Marcilla, J. j. e. u. e., Calvo-Manzano, J. A. j. f. u. e.,

& Fernández Vicente, E. e. f. u. e. (2012). Integrando PRINCE2 e ISO/IEC 38500 para la gestión y

gobernanza de proyectos. (Spanish). CISTI (Iberian Conference on Information Systems &

Technologies / Conferência Ibérica de Sistemas e Tecnologias de Informação) Proceedings, 360-

365.

84

ISACA. (2012). COBIT 5 Framework. 94.

Rittenberq, L. E. (2013). COSO 2013. Internal Auditor, 70(4), 60-65.

85

Apéndice A . Consejo Editor IBERO

Garibay- Orozco Jorge, PhD.

Canales- Cruz Alejandro , PhD.

Fragoso- Trejo Héctor Manuel, PhD.

Hernández-Rojas Valderrama Roberto , PhD.

Lucio- Nieto Teresa, PhD.

Mar -Olivares Fernando, PhD.

Marín -Solís Ramón, PhD.

Miguel- Reyes Alfonso, PhD.

Ojeda- Villagómez Fernando , PhD.

Rocha- Lona Luis, PhD.

Romero- Gómez Joel, PhD.

Solares- Valdés Fernando, PhD.

Valdés -Souto Francisco, PhD.

Velasco- Gómez Antonio, PhD.

Universidad Iberoamericana , Mexico.

86

Apéndice B . Consejo Editor ECORFAN

Díaz Castellanos- Elizabeth Eugenia, PhD.

Instituto Tecnológico y de Estudios Superiores de Monterrey, México.

Díaz Castellanos-Elizabeth, PhD.

Instituto Tecnológico y de Estudios Superiores de Monterrey, México.

Liñan Cabello-Marco, PhD.

Universidad de Colima, México.

Sanchez Cano-Julieta, PhD.

Columbia University, New York, E.U.A.

Soria Freire-Vladimir, PhD.

Universidad de Guayaquil, México.

Bardey- David, PhD.

Universidad de Los Andes, Colombia.

Novelo Urdanivia- Federico, PhD.

Universidad Nacional Autónoma de México, México.

Alicia Girón, PhD

Universidad Nacional Autónoma de México, México.

Luis Felipe Beltran Morales, PhD.

Universidad de Concepción, Chile

Galicia Palacios- Alexander, PhD.

Instituto Politécnico Nacional, México.

Verdegay-José, PhD.

Universidad de Granada, España.

Quiroz Muñoz- Enriqueta, PhD.

Instituto de Investigaciones Dr. José María Luis Mora, México.

Elizundia Cisneros- María, PhD.

Universidad Anahuac México Norte, México.

Alvarado Borrego- Aida, PhD.

Universidad de Occidente, México.

Moreno Zea- María, PhD.

Universidad de Santiago, de Chile.

Ordonez Aleman- Gladys, PhD.

Universidad Espíritu Santo, Ecuador.

Sajid-Muhammad, PhD.

University Faisalabad, Pakistan.

87

Cardozo-Francisco, PhD.

Universidad del Valle, Colombia.

Vargas-Oscar, PhD.

National Chengchi University, Taiwán.

Solís Soto- Teresa, PhD.

Universidad Mayor, Real y Pontificia de San Francisco Xavier de Chuquisaca, Bolivia.

Quintanilla Dominguez- Joel, PhD.

Universidad Politecnica de Madrid, España.

Nieva Rojas- Jefferson, PhD.

Universidad Autónoma de Occidente, Colombia.

88

Apéndice C . Comité Arbitral ECORFAN

Jaliri Castellón- Carla Konradis, MsC.

Universidad Mayor, Real y Pontificia de San Francisco Xavier.

Gómez Monge- Rodrigo, PhD .

Universidad Michoacana de San Nicolás de Hidalgo.

Salamanca Cots- Maria Rosa, PhD.

Universidad Anahuac.

ViteTorres- Manuel, PhD.

Instituto Politécnico Nacional.

Islas Rivera- Víctor Manuel, PhD.

Instituto Mexicano del Transporte.

Villalba Padilla- Fátima Irina, PhD.

Escuela Superior de Economía ESE-IPN.

Escaleta Chávez- Milka Elena, MsC.

Universidad Autónoma de San Luis Potosí.

Valdivia Altamirano- William Fernando, PhD.

Universidad Politécnica Metropolitana de Hidalgo.

Cobos Campos- Amalia Patricia, PhD.

Universidad Autónoma de Chihuahua.

Beltran Miranda- Claudia Patricia, PhD.

Universidad de Guadalajara.

Linarez Placencia- Gildardo, PhD.

Universidad Tecnológica de San Luis Rio Colorado

Vázquez Olarra- Glafira, PhD.

Universidad Politécnica de Pénjamo

Lopez Ureta- Luz Cecilia, PhD.

Instituto Tecnologico Superior de Zapopan

Cervantes Rosas- María de los Ángeles PhD.

Universidad de Occidente.

Galaviz Rodríguez- José Víctor, PhD.

Universidad Tecnológica de Tlaxcala

Ordóñez Gutiérrez- Sergio Adrián, PhD.

Universidad Nacional Autónoma de México

Ruiz Aguilar- Graciela M.L., PhD.

Universidad de Guanajuato

89

González Gaxiola- Oswaldo, PhD.

Universidad Autónoma Metropolitana.

Gavira Durón- Nora, PhD.

Universidad Autónoma Metropolitana.

Rocha Rangel- Enrique, PhD.

Universidad Politécnica de Victoria.

Santillán Núñez- María Aída, PhD.

Universidad de Occidente.

Jiménez López- Victor Samuel, MsC.

Universidad Tecnológica Regional del Sur.

Rovirosa Hernandez- Ma. de Jesús, PhD.

Universidad de Veracruz.

Córdova Rangel- Arturo, PhD.

Universidad Politécnica de Aguascalientes.

Álvarez Echeverria- Francisco Antonio, MsC.

Universidad Nacional Autónoma de México.

Acosta Navarrete- María Susana, PhD.

Universidad Tecnológica del Suroeste de Guanajuato.

Pelayo Maciel- Jorge, PhD.

Universidad de Guadalajara

Guadarrama Gómez- Irma, MsC.

Universidad Tecnológica de la Riviera Maya.

Castillo Diego- Teresa Ivonne, PhD.

Universidad Tecnológica de la Mixteca.

Castro Enciso- Salvador Fernando, PhD.

Universidad Latina.

Liñan Cabello- Marco Agustin, PhD.

Universidad de Colima.

Manjarrez López- Juan Carlos, PhD.

Universidad Tecnológica de Puebla.

Ibarra Zavala- Darío Gualupe, PhD.

Universidad Nacional Autónoma de México.

Martínez García- Miguel Ángel. PhD.

Escuela Superior de Economía.

90

Trejo García- José Carlos, PhD.

Instituto Politécnico Nacional.

Deise Klauck, MsC.

Universidade Federal de Santa Catarina.

Ciencias Sociales T - I - ECORFAN

Documents

Transcript of Ciencias Sociales T - I - ECORFAN