Embed Size (px)
Citation preview
1
INSTITUTO
POLITÉCNICO NACIONAL
Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias
Sociales y Administrativas
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
Integración de las Tecnologías de Información a la Reingeniería de Procesos de Negocio
T E S I S
QUE PARA OBTENER EL GRADO DE MAESTRO EN
INGENIERÍA INDUSTRIAL
PRESENTA Cristina Domínguez Frias
DIRECTOR
Guillermo Pérez Vázquez
Ciclo: Enero-Junio 2014
1
1
1
RESUMEN
El presente trabajo analiza las estrategias que actualmente están utilizando las empresas en su búsqueda por mantener su competitividad en un ambiente cada día más globalizado, estas estrategias son la Reingeniería de Procesos de Negocio (y otras asociadas como Rediseño de Procesos de Negocio, Mejora de Procesos de Negocio o Innovación de Procesos de Negocio) y la implementación de Tecnologías de Información. Ambos esfuerzos hasta el día de hoy se realizan de manera aislada, lo que conlleva a una falta de integración de áreas de negocio, de sistemas de información, de procesos, de datos, etc.; cuando en la realidad los procesos que se llevan a cabo dentro de la empresa, y las tecnologías y sistemas de información que se utilizan están intrínsecamente ligados, no solo por la relación de dependencia que se muestra con más detalle en las siguientes páginas, sino porque las metodologías que se utilizan tienen actividades de análisis que pueden conjuntarse.
Con la aplicación de la metodología que se propone se muestra que al utilizar una metodología conjunta de Reingeniería de Procesos de Negocio y de Análisis y Desarrollo de Sistemas de Información se potencializan los beneficios, al conjuntar equipos de trabajo interdisciplinarios, definir procesos tomando en cuenta las posibilidades que ofrecen las Tecnologías de Información, desarrollo de Sistemas de Información que soportan de manera adecuada los procesos definidos y como consecuencia adicional se integran cada vez más los Sistemas de Información entre sí y las bases de datos que éstos utilizan.
1
ABSTRACT
This paper analyzes the strategies currently being used in businesses in their quest to maintain their competitiveness in an increasingly globalized environment, these strategies are the Business Process Reengineering (and associated as Business Process Redesign, Business Process Improvement or Business Process Innovation) and the implementation of Information Technology. Both efforts until today are performed in isolation, leading to lack of integration between business areas, information systems, process, data, etc.; when in reality the processes that take place within the company and the technologies and information systems used are intrinsically linked, not only by the dependency relation which is shown with more detail in the following pages, but because the methodologies have used analysis activities that can cohere.
With the application of the methodology proposed is shown that by conducting a joint methodology for Business Process Reengineering and Analysis and Development of Information Systems the benefits are enhanced, to bring together interdisciplinary teams, to define processes taking into account the potential of Information Technology, development of information systems that support adequately defined processes and as a further consequence is increasingly integrated information systems to each other and the databases they use.
1
AGRADECIMIENTOS
A Dios,
por el regalo de la vida y toda su creación.
A mis padres,
por su amor incondicional y por transmitirme la importancia del trabajo.
A mis hermanos,
por su ejemplo de vida y por estar a mi lado cuando los he necesitado.
A mi esposo,
por su infinito amor, por motivarme, por acompañarme día a día.
A mis amigos,
porque su compañía hace que el camino tenga mayor sentido.
A mis compañeros de trabajo,
por apoyarme en esta etapa de mi vida.
A mis profesores,
por el conocimiento y experiencias transmitidas.
A mi director de tesis,
por su paciencia y gran ayuda
2
ÍNDICE
INTRODUCCIÓN ........................................................................................... 4
CAPÍTULO 1 DEFINICIÓN DEL PROBLEMA ................................................... 6
1.1 Antecedentes ................................................................................................................................................. 6
1.2 Situación actual en México .......................................................................................................................... 7 1.2.1 Seguridad de la Información en México ................................................................................................ 8
1.3 Hipótesis ...................................................................................................................................................... 10
1.4 Objetivos ..................................................................................................................................................... 11 1.4.1 Objetivos Específicos ........................................................................................................................... 11
1.5 Caso de estudio ........................................................................................................................................... 12 1.5.1 Descripción de la empresa .................................................................................................................... 12 1.5.2 Estructura organizacional de la empresa .............................................................................................. 13 1.5.3 Descripción de la problemática ............................................................................................................ 13
CAPÍTULO 2 FUNDAMENTACIÓN TEÓRICA ............................................... 21
2.1 La empresa .................................................................................................................................................. 21
2.2 Generalidades de Ingeniería Industrial ................................................................................................... 27 2.2.1 Reingeniería de Procesos de Negocio .................................................................................................. 30 2.2.2 Objetivo de la Reingeniería .................................................................................................................. 33 2.2.3 Definición y clasificación de Procesos ................................................................................................. 34 2.2.4 La reingeniería en los procesos de una empresa .................................................................................. 35 2.2.5 De la estructura a los procesos ............................................................................................................. 36
2.3 Generalidades de las Tecnologías de Información .................................................................................. 37 2.3.1 Tecnologías de la Información y la Comunicación .............................................................................. 37 2.3.2 Sistemas de Información ...................................................................................................................... 38
2.3.2.1 Componentes de un sistema de información ................................................................................ 41 2.3.3 Metodologías de Desarrollo de Software ............................................................................................. 42
2.3.3.1 Modelo en cascada ....................................................................................................................... 44 2.3.3.2 Modelo en V ................................................................................................................................. 46 2.3.3.3 Modelo iterativo ........................................................................................................................... 48 2.3.3.4 Modelo de desarrollo incremental ................................................................................................ 49 2.3.3.5 Modelo en espiral ......................................................................................................................... 50 2.3.3.6 Modelo de prototipos .................................................................................................................... 52
2.4 Generalidades de Seguridad de la Información ...................................................................................... 54 2.4.1 Conceptos básicos ................................................................................................................................ 56
2.4.1.1 Información .................................................................................................................................. 56 2.4.1.2 Otros Conceptos ........................................................................................................................... 56 2.4.1.3 Características críticas de la información ..................................................................................... 59
3
2.4.2 Identificación y Autenticación ............................................................................................................. 61
CAPÍTULO 3 ANÁLISIS .............................................................................. 62
3.1 Tecnologías de Información y Reingeniería de Procesos de Negocio .................................................... 62 3.1.1 La relación de RPN y TIs ..................................................................................................................... 63 3.1.2 Habilidades de los profesionales .......................................................................................................... 66 3.1.3 Importancia de la estrategia .................................................................................................................. 67
CAPÍTULO 4 METODOLOGÍA ...................................................................... 70
4.1 Modelo ......................................................................................................................................................... 70
4.2 Detalle .......................................................................................................................................................... 72
CAPÍTULO 5 APLICACIÓN DE LA METODOLOGÍA ...................................... 76
5.1 Desarrollo .................................................................................................................................................... 76
5.2 Sistema de Información ............................................................................................................................. 82 5.2.1 Características del Sistema de Información ......................................................................................... 83 5.2.2 Funcionalidad del Sistema de Información .......................................................................................... 83
5.2.2.1 Flujo de alta de empleados ........................................................................................................... 84 5.2.2.2 Baja de empleados ........................................................................................................................ 84 5.2.2.3 Mantenimiento a accesos .............................................................................................................. 85 5.2.2.4 Configuración de accesos Web .................................................................................................... 86 5.2.2.5 Registro de movimientos .............................................................................................................. 88 5.2.2.6 Reporteo ....................................................................................................................................... 89
5.3 Resultados ................................................................................................................................................... 91
5.4 Implicaciones .............................................................................................................................................. 92
CAPÍTULO 6 DISCUSIÓN ........................................................................... 93
6.1 Puntos fuertes y débiles desde el punto de vista de los Sistemas de Información ................................ 93
6.2 Puntos fuertes y débiles desde el punto de vista de la Reingeniería de procesos ................................. 94
6.3 Conclusiones ............................................................................................................................................... 95
6.4 Futuras investigaciones .............................................................................................................................. 97
BIBLIOGRAFÍA .......................................................................................... 98
4
Introducción
Anteriormente la ingeniería industrial estaba basada principalmente en cómo
organizar la eficiente producción de bienes tangibles y era aplicada principalmente
a procesos de manufactura; por otro lado, las tecnologías de información eran
utilizadas principalmente para almacenar información y automatizar procesos. Las
tecnologías de información han sido utilizadas con mayor frecuencia para
automatizar y agilizar el trabajo en lugar de transformarlo, mientras tanto la
ingeniería industrial ha comenzado a analizar otros procesos dentro de las
empresas.
La tendencia mundial de competitividad y globalización asociada al medio
ambiente dinámico por el que pasa nuestra sociedad, hacen necesario que las
organizaciones busquen nuevas opciones y formas de operar, que les permita
optimizar la utilización de sus recursos, de tal manera que puedan ofrecer bienes
y/o servicios de clase mundial y así lograr los objetivos que persiguen, tales como
generar riqueza, tener un crecimiento sostenido, ser líderes en su área o
incrementar su participación en los mercados globales.
Las estrategias para llevar a cabo una reingeniería de procesos o para la utilización
y/o desarrollo de tecnologías y sistemas de información se han llevado a cabo de
manera separada. Estas visiones apartadas una de la otra han provocado una falta
de integración entre las áreas de negocio (departamentos) dentro de la
organización y una falta de conectividad entre los sistemas así como
descentralización de la información, lo que hace más lento y difícil el
procesamiento de datos y la toma de decisiones.
Estudios realizados en Harvard, MIT y 19 reconocidas compañías demuestran que
existe una relación recursiva entre la reingeniería de procesos de negocio y las
5
tecnologías de información, por lo que el objetivo dentro de las organizaciones
debiera ser emplear los conocimientos de optimización de recursos de la ingeniería
industrial y la agilización de tareas que traen consigo el uso de tecnologías y
sistemas de información e incorporarlos a una nueva visión integral a fin de buscar
que cada área de la organización trabaje de la mejor manera posible hacia el logro
de los objetivos.
El presente trabajo se centra en una metodología para integrar ambas estrategias:
la reingeniería de procesos de negocio (RPN) y el análisis y desarrollo de sistemas
de información (ADSI), ya que actualmente en las empresas no se tiene esta visión
conjunta que busque alinear y concentrar los esfuerzos en una sola línea. En el
capítulo 1 se describe la problemática tanto general como de la empresa en
cuestión, aquí se presenta una aproximación de la falta de integración que existe
entre ambas metodologías; el capítulo 2 presenta el marco teórico de ambas
metodologías y se agregan algunos conceptos de seguridad de la información
debido a que el proyecto de la empresa en cuestión busca minimizar el impacto al
compartir información; durante el capítulo 3 podemos ver a detalle la brecha que
existe entre la RPN y el ADSI y los puntos que tienen en común; en el capítulo 4 se
presenta la metodología propuesta para dar seguimiento a un proyecto de RPN; el
capítulo 5 muestra la aplicación de esta metodología en la empresa caso de
estudio; y, finalmente, durante el capítulo 6 se analizan los resultados.
Las habilidades que el maestro en Ingeniería Industrial desarrolla en relación a
diseño, medición y mejoras de sistemas productivos serán de gran ayuda en el
tratamiento de los problemas que se presentan en el ciclo de la información de
una empresa, específicamente en la reingeniería de procesos que se propone llevar
a cabo, además se complementará con conocimientos de tecnologías de
información para el análisis y desarrollo de sistemas de información.
6
Capítulo 1 Definición del problema
1.1 Antecedentes
Existen investigaciones previas que han tratado de cubrir la brecha que existe
entre estas dos ramas de la ciencia, desde que surgió la reingeniería de procesos
de negocio visualizaron las tecnologías de la información como apoyo/soporte a los
nuevos procesos de negocio (Hammer y Champy, 1994), otro punto de vista en
cambio sostiene que las tecnologías de información son las que impulsan a la
reingeniería y en su metodología integra una actividad dedicada completamente a
encontrar las tecnologías más adecuadas para el proceso que se está rediseñando
(Davenport, 1993).
Más recientemente se hizo una importante colaboración, distinguiendo a las
tecnologías como: de cambio y de soporte (Childe, Maull y Mills, 1996). Las
tecnologías de cambio, sirven para el análisis, modelado y mapeo de los procesos
existentes, mientras que las tecnologías de soporte se relacionan a la
implementación de sistemas de información y a la configuración de los procesos.
De acuerdo a esta descripción, las tecnologías de soporte están ligadas
directamente al desarrollo de aplicaciones.
La falta de sincronización existente entre la reingeniería de procesos de negocio y
las tecnologías de información ha sido previamente identificada (Donovan, 1994);
después se identificaron similitudes entre las metodologías de reingeniería de
procesos de negocio por un lado y el desarrollo de sistemas de información por el
otro, sin embargo no se concretó en un marco combinado que las integrara (Bond,
1999).
7
1.2 Situación actual en México
De acuerdo con Rosalina Rivera, gerente de Project Management de Praxis
(Empresa de desarrollo de sistemas de información), la mayoría de las iniciativas
dentro de las organizaciones no son exitosas debido a una de las siguientes
razones: definición incompleta del alcance, escasa participación de las áreas
involucradas, carencia de soporte ejecutivo y falta de una visión completa de las
capacidades de la organización. Ésta última es en la que queremos profundizar
puesto que nos habla de la visión integral que hemos mencionado antes no
solamente al momento de definir una estrategia de implementación de sistemas de
información sino a nivel global.
Existe un perfil que se ha venido desarrollando a nivel mundial que integra la
visión de las tecnologías de la información y la situación y estrategia del negocio,
el Business Analyst (BA) o Analista de Negocios (AN), quién es responsable de
identificar, evaluar y promover soluciones tecnológicas o de procesos que
satisfagan a las necesidades, metas y objetivos del negocio.
El perfil del Analista de Negocios es ya reconocido en México a través del
International Institute of Business Analyst (IIBA) capítulo México, sin embargo,
aún son pocas las empresas que tienen definido este perfil dentro del área de
sistemas y en algunas de ellas confunden sus funciones con un Administrador de
Proyectos, de hecho, en algunas organizaciones (principalmente pequeñas), una
sola persona desarrolla ambos perfiles. En la tabla 1 se muestran las
responsabilidades para cada uno de los perfiles descritos.
Administrador de proyectos Analista de negocios Se asegura de la entrega en tiempo del producto
Se asegura que el producto se construye de acuerdo a los requerimientos
8
Recibe los requerimientos del sistema y se apega a ellos
Es responsable de cerrar la brecha entre las áreas de TI y las usuarias al momento de definir los requerimientos
Propone soluciones no solo tecnológicas sino de mejoras de procesos o cambios en la organización
Define el alcance del proyecto y reducirlo a un conjunto manejable de tareas
Define los requerimientos a partir de las necesidades del cliente
Certificación a través del PMBOOK Certificación a través del BABOOK
Tabla 1. Diferencias entre Administrador de Proyectos y Analista de Negocios. Fuente: Propia
Las responsabilidades que tiene este perfil se asemejan mucho a la integración
que aquí se pretende demostrar; sin embargo, la principal diferencia que
observamos radica en que el objetivo principal del Analista de Negocios es ser
interlocutor entre el área de TI y las áreas usuarias. Además, aquí se pretende
diseñar un marco de trabajo que concentre los esfuerzos únicamente en la RPN y
el ADSI.
1.2.1 Seguridad de la Información en México
En la última década la seguridad de la información ha comenzado a cobrar
relevancia, de acuerdo con Symantec (empresa dedicada a ofrecer soluciones
contra amenazas de Internet) en 2009 México se posicionó en el segundo lugar
de América Latina en recibir ataques cibernéticos solamente antecedido por Brasil
como lo muestra la tabla 2.
LAM Ranking 2009 por Actividad RANKING Porcentaje Código Spam
2009 2008 País 2009 2008 Malicioso Zombies Phishing Bots 1 1 Brasil 43% 34% 1 1 1 1 2 2 México 13% 17% 2 4 4 5 3 3 Argentina 13% 15% 6 2 2 2 4 4 Chile 7% 8% 5 5 3 3 5 5 Colombia 7% 7% 4 3 5 6 6 7 Venezuela 3% 3% 3 9 6 10 7 6 Perú 3% 4% 7 6 8 4 8 9 República Dominicana 1% 1% 11 7 19 7 9 8 Puerto Rico 1% 2% 9 12 10 8
9
10 12 Uruguay 1% 1% 24 8 9 12
Tabla 2. Actividad maliciosa por país, América Latina Fuente: Informe de Symantec sobre las Amenazas a la Seguridad en Internet Vol. XV
En México, la existencia de recursos humanos especializados en Seguridad de la
Información es extremadamente escasa, y el sistema de educación media y
superior no contempla en sus planes de estudio materias dirigidas a conocer y
solucionar las cada vez mayores necesidades en esta área. Además, las pequeñas
y medianas empresas carecen de los recursos necesarios para alcanzar niveles
óptimos de infraestructura y estratégicos que les permitan cubrir los riesgos en
materia de seguridad.
En la encuesta realizada por Ernest & Young (compañía dedicada a la contabilidad
y auditoría) se indica que la tendencia en México a mantener o incrementar el
presupuesto destinado a la gestión de riesgos de seguridad de la información es de
94% y en el resto del mundo de 90%. El 54% en México no cuentan con una
estrategia documentada de seguridad de la información mientras que a nivel global
el porcentaje asciende a 60%. Y sólo en ambos casos 28% consideran nuevos
riesgos a la seguridad de la información dentro de su plan de acción.
En cuanto a uno de los problemas a los que se enfrenta la empresa en cuestión,
cabe señalar que de acuerdo a esta encuesta 48% en México no cuenta con un
programa específico de administración de accesos e identidades que mitigue los
riesgos asociados con los derechos de acceso a datos y sistemas, y a nivel global la
cifra se incrementa a un 60%.
En otra encuesta, realizada por Joint Future Systems en este año 2011 (encuesta
que se realizó a directivos y niveles medios de diferentes organizaciones,
instituciones y empresas de todos tamaños dentro de toda la República Mexicana
con una muestra de 1,514) se reconoce que existen ciertos avances pero que
10
existen rezagos que en conjunto nos colocan como un país con mayores carencias
que progresos. Las observaciones que se hacen son:
• En México, la atención al tema de protección de datos personales ha ido en
aumento. En 2010, se promulgó la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares (LFPDPPP) y esto ha marcado
tendencia en las empresas como tema prioritario. Sin embargo, hace falta
aún más, puesto que México es uno de los países con el mayor crecimiento
en adopción de uso de tecnologías y no se tienen las medidas de seguridad
necesarias para hacer que la entrada a estas tecnologías sea de manera
segura.
• Han surgido certificaciones de todo tipo de especialidades en seguridad, sin
embargo aún no hay una que cubra las necesidades específicas del país,
cabe preguntarse por qué usar estándares que parecieran haber sido
hechos para empresas enormes si en nuestro país la mayoría son pequeñas
o medianas empresas.
• Hace falta una cultura de cooperación organizacional, México está a la
vanguardia en infraestructura tecnológica en comparación con muchos
países de Europa, pero lo que nos frena para avanzar es que nos hace falta
trabajar en conjunto entre varias entidades para lograr objetivos comunes y
atacar problemas comunes.
1.3 Hipótesis
Al generar un marco de trabajo conjunto que integre las visiones de los expertos
en las áreas de negocio y los expertos en TI además de alinear la estrategia de
negocio que persigue la empresa se potencializa el conocimiento y por tanto el
alcance y éxito de cualquier proyecto.
11
El presente trabajo se centra en la Reingeniería de Procesos de Negocio (RPN) y el
Análisis y Desarrollo de Sistemas de Información (ADSI) como primer paso para
las empresas mexicanas que hoy en día no cuentan con un perfil que se
especialice en la conexión natural de estas metodologías
1.4 Objetivos
El principal objetivo de este trabajo es analizar la separación que existe entre la
reingeniería de procesos de negocio (RPN) y la utilización de tecnologías de
información (TIs), específicamente el proceso de análisis y desarrollo de sistemas
de información (ADSI). Un objetivo secundario dentro del presente trabajo es
visualizar cómo están naturalmente ligadas y proyectar las ventajas que
representaría poder tener un marco de trabajo conjunto.
Se busca presentar una metodología para integrar estas dos ramas de la ciencia de
manera que se presente un punto de partida para la reingeniería de procesos que
sea fácil de llevar a cabo y que conlleve a obtener grandes ventajas una vez
realizado.
1.4.1 Objetivos Específicos
• Presentar una metodología para la integración de RPN con ADSI.
• Describir las ventajas en comparación con utilizar cada herramienta de
manera independiente.
• Presentar un caso real de aplicación de esta metodología,
12
1.5 Caso de estudio
1.5.1 Descripción de la empresa
Empresa de un Grupo alemán especializada, desde hace 19 años, en el
financiamiento de automóviles de marcas de lujo, así como de vehículos
comerciales reconocidos en el mercado.
Con el objetivo de respaldar las ventas en México, esta empresa cuenta con
expertos en financiamiento de flotas y menudeo quienes, de acuerdo con las
necesidades y perfiles de cada cliente, diseñan los planes de crédito o
arrendamiento más adecuados y asequibles. La financiera cautiva cuenta con el
apoyo de asesores financieros en cada una de las agencias donde las marcas del
Grupo tienen presencia.
Nace en 2007 y se constituye como una sociedad controladora de las acciones de
las empresas del Grupo en México, al tener una participación como accionista
mayoritario. Tiene como objetivo concentrar las funciones corporativas para buscar
eficiencias operativas y financieras, consistencia en el cumplimiento de
regulaciones nacionales e internacionales y obtener beneficios al negociar con
empresas o entidades externas como un solo grupo. Concentra, dentro del Grupo,
servicios legales, de tesorería, relaciones gubernamentales, comunicación
corporativa e impuestos y aduanas.
13
1.5.2 Estructura organizacional de la empresa
El diagrama 1 muestra la estructura organizacional de la empresa caso de estudio:
Diagrama 1
Fuente: propia
1.5.3 Descripción de la problemática
Dentro de la empresa se tenía la necesidad de contar con un sistema que facilitara
la administración de empleados, es decir, de implementar los procesos de altas,
bajas y asignación de recursos.
Uno de los factores clave dentro de cualquier empresa es la Seguridad de la
Información, y dentro de éste está el control de accesos, ya que éste es el inicio
de una buena estrategia de seguridad. De acuerdo a la estrategia global del grupo,
14
que se muestra en la tabla 3 en México se decidió por razones de auditoría
establecer mejores mecanismos de control.
Función Marco normativo de
Seguridad Nivel de Implementación en México
Proteger la habilidad de la organización para funcionar.
Plan de Contingencia y Control del Negocio
Para las áreas operativas se cuenta con oficinas fuera del edificio. Algunos sistemas cuentan con servidores de respaldo que pueden ser habilitados en cualquier momento.
Habilitar un sistema seguro de aplicaciones implementadas en los sistemas de información de la organización.
Ciclo de Desarrollo de Sistemas Seguros
Se aca de dar una capacitación pero hasta el momento no existe la implementación de seguridad que contemple ataques en los sitemas actuales
Proteger los datos que la organización colecciona y Utiliza.
Clasificación y Control de Activos de Información Control de Accesos
Existe la clasificación y algunas restricciones físicas a la información. En cuanto a control de acceso hay fallas debido a que no están concentradas en una sola herramienta.
Salvaguardar los activos de tecnología en uso dentro de la organización.
Se delega al proveedor de seguridad del edificio donde se ubican las oficinas
Tabla 3. Estrategia de medidas de seguridad
Fuente: propia
15
A continuación en el diagrama 2 se muestra cómo se operaba anteriormente al
momento de ingresar nuevos empleados.
1. El proceso se dispara cuando Recursos Humanos (RH) solicita la generación
de la clave del empleado UID.
2. Una vez que esta clave es proporcionada, puede solicitar a infraestructura la
generación de accesos a la intranet y al correo corporativo. También se
encarga de avisar al Supervisor del empleado.
3. Infraestructura da de alta al empleado en Lotus y Active Directory.
4. Infraestructura solicita al área de Soporte la instalación del equipo.
5. El supervisor solicita a Soporte Técnico los accesos de aplicaciones de
acuerdo al perfil que tendrá el empleado.
6. El área de Soporte Técnico instala el las aplicaciones y el equipo de
cómputo.
7. Los Administradores de los Sistemas que definió el supervisor en el paso 4
proporcionan los accesos solicitados.
8. Una vez concluido los Administradores de los Sistemas mandan aviso al
empleado con las contraseñas generadas en caso de que aplique.
16
Diagrama 2. Flujo de alta de usuarios Fuente: propia
El diagrama 3 muestra el proceso de baja:
1. El área de Recursos Humanos da de baja al empleado de EWD .
2. Informa al área de Infraestructura y al Supervisor del empleado.
3. Infraestructura da de baja al empleado de Lotus y Active Directory.
4. El supervisor solicita la baja de los accesos a las aplicaciones y si es
necesario solicita se elabore un resguardo de la información que manejaba
el empleado.
5. El área de Soporte Técnico prepara el equipo para su reasignación
(restauración de PC) y elabora resguardo de información en caso de que
haya sido solicitado. También solicita la baja de los sistemas a los
administradores de cada Sistema.
6. Soporte técnico realiza una actualización de inventario, donde se adiciona el
equipo que deja de utilizar el empleado.
7. Cada Administrador de Sistema da de baja al empleado de las aplicaciones.
17
8. El Administrador del Sistema confirma la baja del empleado al Supervisor.
Diagrama 3. Flujo de baja de usuarios Fuente: propia
18
Por reglamento de la región se pide una revisión trimestral para asegurar que los
accesos a los SIs son correctos, el cual se muestra en el diagrama 4:
1. El Gerente de TI envía aviso para llevar a cabo la revisión trimestral.
2. El área de Infraestructura envía aviso para llevar a cabo la revisión trimestral.
3. Los Administradores de Sistemas generan la lista de usuarios.
4. El área de Recursos Humanos genera lista de usuarios de EWD
5. En conjunto, el gerente de TI y cada Administrador del Sistema revisan y depuran
el listado de usuarios, verifican sus niveles de acceso y emiten un listado depurado.
6. En conjunto, el gerente de Infraestructura y Recursos Humanos revisan y depuran
el listado de usuarios EWD y emiten una lista depurada.
7. El Gerente de TI revisa el listado final de usuarios EWD y lo compara contra Lotus
Notes y Active Directory.
8. Se archiva evidencia de la revisión.
Diagrama 4. Flujo de mantenimiento de usuarios Fuente: propia
Se ha detectado que el control de accesos es susceptible de mejora debido a los
siguientes puntos:
19
• para cada uno de los sistemas se otorgan claves a los usuarios para que
ingrese, por tanto, la cantidad de claves que las personas dentro de la
empresa tienen para acceder a los diferentes sistemas se multiplica
dependiendo de la complejidad y número de herramientas de información
que ésta tenga.
• tanto el control de alta y baja de usuarios debe originarse cuando se
contrata o deja de laborar un empleado en la empresa, sin embargo si esto
no sucede en tiempo real se complica la administración de usuarios, ya que
también se hace exponencial el número de accesos dependiendo de su
perfil.
• otra desventaja que este proceso tiene es que cada herramienta
(entiéndase aplicación) debe contener un módulo especializado en el
control de accesos, por lo que se multiplica la codificación para una
simple tarea.
Una administración para control de usuarios típica, que se encuentra dentro de
cada una de las aplicaciones que se utilizan dentro de la organización se muestra
en la figura 1.
Figura 1. Control de accesos
Fuente: propia
20
con el flujo que muestra la figura 2:
Figura 2. Flujo del control de accesos
Fuente: propia
21
Capítulo 2 Fundamentación teórica
2.1 La empresa
Una empresa es una entidad conjunta de recursos humanos, materiales y
financieros que se dedica a actividades industriales, mercantiles o de prestación de
servicios buscando satisfacer necesidades dentro de la sociedad a cambio de una
utilidad o beneficio.
Reyes Ponce (1990) describe los elementos que conforman una empresa como:
• Bienes materiales, es decir, instalaciones y maquinaria, materias primas,
dinero y capital constituidos por valores, acciones y obligaciones.
• Personas, que forman la empresa como activo y cuyo trabajo se debe
valorar.
• Áreas que se dan por las relaciones que se deben coordinar diversos
aspectos como ventas, producción, finanzas, organización y administración
que se encarga de estructurar la organización con base en la separación de
funciones, niveles jerárquicos, grado de centralización o descentralización.
A comienzos de este siglo se desarrolló una variedad de métodos destinados a
mejorar la productividad en las fábricas (Taylor, 1911), este sistema denominado
"Organización Científica del Trabajo" tuvo un gran arraigo en todos los sistemas
industriales de Occidente, su premisa era hacer más eficiente una actividad
aplicando criterios científicos en el diseño de los puestos de trabajo, con estos
mismos criterios propuso también la especialización en la supervisión, lo que dio
lugar a la típica estructura del trabajo que ha llegado a nuestros días.
Sus teorías sobre la descomposición de tareas, la organización del trabajo y el
aumento de la productividad individual, han marcado el pensamiento directivo
22
durante casi un siglo. Su contribución al desarrollo de la sociedad industrial
moderna es innegable. Sin embargo, estas ideas eran adecuadas para el contexto
en que se desarrollaron; la mano de obra era poco o nada cualificada, las
diferencias entre clases sociales eran importantes, los mercados eran estáticos y
existía una primacía neta de la demanda.
La empresa conseguía ser competitiva reduciendo sus costos de producción a
través del aprovechamiento de economías de escala en todos los recursos
empleados, tanto técnicos como humanos. Los medios de producción, muy
potentes y especializados, debían utilizarse en series largas, basándose sobre
criterios de lote económico y productividad, porque la minimización del costo
directo permitía alcanzar la competitividad a través de precios bajos.
En cuanto a los trabajadores, eran considerados por los empresarios poco más que
máquinas capaces de pensar, pero éstos aceptaban trabajar en estas condiciones
debido a su escasa cualificación.
Cuando se analizan las peculiaridades que caracterizan la dirección de una
empresa basada en los principios tayloristas, Ugo Fea (1993) observa las
siguientes características:
1. Estructura rígida, su organigrama estaba basado en las funciones y las
especializaciones, un poder de decisión centralizado y un fangoso sistema
de control.
2. Primacía de los medios y los sistemas sobre el factor humano, el cual tiene
sus tareas predefinidas y debe cumplir de forma rígida sus funciones.
3. Proceso productivo no flexible, dado que los medios poco dúctiles obligan a
mantener el mismo tipo de producción por tiempos largos, almacenando
materiales y productos terminados.
4. Carencia de innovación y dinamismo, debido a que las importantes
inversiones en estos medios exigen plazos de amortizaciones prolongados y
23
obligan al mantenimiento de una tecnología durante el mayor tiempo
posible.
5. Sistema de comunicación muy complejo, obligado a transmitir la
información en sentido vertical, en virtud de la centralización del poder de
decisión, y desarrollado con sistemas informáticos de elevados costos de
gestión.
6. Una estructura de mando rígida, asignada por funciones y áreas de
intervención que creaban "compartimientos estancos", los cuáles, a menudo
confundían sus objetivos con los de la empresa; incluso llegaban a dar
preferencia a los propios que determinaban su nivel de eficiencia así como
su posición jerárquica y retributiva.
7. Una absoluta necesidad de predefinir todas las actividades, que requería de
un poderoso aparato de control para verificar el cumplimiento de los
objetivos establecidos, con un enorme desgaste de energías y recursos
vitales destinados, en vez de a la producción de valor añadido, a una
actividad inútil y dañina, origen de continuas tensiones entre los mandos y
el personal operativo.
8. Las relaciones laborales eran concebidas del modo siguiente: por parte del
empresario, se actuaba hacia el trabajador como si éste intentara cobrar su
sueldo sin aportar la prestación debida; como resultado, se le imponía una
cantidad horaria de piezas a fin de controlarle y, si era necesario, se le
obligaba a cumplir con su deber. Por parte del trabajador, se consideraba el
empresario como un explotador del que debía defenderse dándole la
mínima prestación posible a cambio del salario.
9. El cliente era otro elemento "perturbador", porque, con sus exigencias
imponía continuos y costosos cambios en el sistema productivo con
necesidades imprevistas o con variantes de los productos básicos que no
permitían el mejor aprovechamiento de los medios. Las tensiones con el
cliente estaban bien representadas por el lema "el cliente siempre tiene
24
razón", y eran asumidas forzadamente por el resto de la estructura. En la
situación opuesta se encontraba el proveedor con el que la empresa
utilizaba la misma política; máximas exigencias y mínimo reconocimiento de
sus problemas económico-productivos.
10. La calidad del producto era externa al proceso productivo y ejecutada por
los especialistas del control de calidad. Su objetivo consistía en alcanzar el
mínimo nivel aceptable por el cliente. Los controles y la separación de las
piezas malas representaban un costo inútil que, si no correspondía a
exigencias del cliente, constituía un despilfarro no recuperable en el precio
de venta.
En las empresas actuales estas ideas orientan todavía gran parte de la dirección,
sin embargo, en el mundo empresarial actual se puede apreciar una tendencia
progresiva a abandonar estas ideas, y aplicar otras filosofías y principios en la
dirección más acordes con la realidad que se vive. En el mundo empresarial actual
observamos un aumento de la productividad posibilitado por la revolución
acelerada de las tecnologías de información y la posibilidad de asignar nuevas y
más numerosas responsabilidades a las personas gracias a su mejor cualificación.
Por otro lado, están las nuevas políticas gubernamentales, que posibilitan un
mayor acercamiento entre las clases sociales. Relacionado con la supervivencia y
competitividad, el dinamismo del mercado está obligando a las empresas a
adaptarse a situaciones nuevas y cambiantes cada vez más frecuentes.
Otras características serían la mayor oferta de productos y servicios que provocan
un endurecimiento de la competencia y en muchos sectores la globalización de los
mercados. Relacionado con el fenómeno "Calidad" observamos cómo el cliente
persigue y aprecia cada vez más la calidad en los productos y servicios, junto a los
25
ya habituales de precio y plazo de entrega. También se incrementa la componente
de servicios en todos los productos manufacturados.
Otras constantes en la actuación de muchas empresas son el respeto por el medio
ambiente y la preocupación por la ética en los negocios. En conclusión, podemos
afirmar que con el advenimiento de estos cambios, las hipótesis en las que se basa
el modelo tradicional han dejado de ser tan adecuadas en este final de siglo.
De acuerdo con Herbert Simon (1997) “los principales problemas de la
organización en la actualidad no son problemas de departamentalización y
coordinación de unidades operativas. En su lugar, se trata de problemas de
organización para el almacenamiento y procesamiento de información; no la
división del trabajo, sino la factorización de toma de decisiones. Estos problemas
de organización son los más atacados, por lo menos en una primera aproximación,
mediante el examen de los sistemas de información y el sistema de decisiones que
apoya en la abstracción de la agencia y la estructura del departamento”.
Para dar respuesta a este nuevo paradigma, las empresas necesitan realizar un
conjunto de cambios. Según Ricart y Valor (1995) es necesario:
1. Mantener varios focos de atención a la vez, como producto, mercado,
cliente o geografía.
2. Alinear intereses de individuos y grupos en tareas interdependientes, de
forma que funcionen como equipos en la persecución de objetivos comunes.
3. Obtener rapidez, calidad y bajo costo en un entorno dinámico que exige
cambios constantes.
4. Responder a estándares competitivos cada vez más exigentes, a base de
aprender y mejorar continuamente.
5. Atraer, motivar, desarrollar y retener empleados capaces de actuar
efectivamente en este complejo entorno organizativo.
26
El cambio y la innovación son pues inevitables, dando lugar a una nueva
orientación de la filosofía, principios y métodos aplicables en la dirección
empresarial.
Dado que una empresa se encuentra inmersa en un medio ambiente éste
determina en gran medida el funcionamiento tanto externo como interno, la figura
3 muestra esta interacción.
Figura 3. La empresa y su medio ambiente
Fuente: Peter Drucker (2003)
Mientras que las empresas tradicionales están organizadas en torno a funciones las
nuevas empresas competitivas lo hacen en torno a procesos. Las primeras se
basan en la especialización del trabajo y las segundas en la flexibilidad y
adaptación al cambio. En la tabla 4 se muestran las diferencias entre las empresas
tradicionales y las del nuevo paradigma:
Característica Empresa tradicional Nueva empresa Resultados Corto plazo Manera continua
Funcionamiento Labores individuales Trabajo en equipo
Trabajo Físico Físico como mental
Creatividad Obstruye sistemáticamente Se fomenta
Directivos Incapacidad entrenada Empoderamiento
Trabajadores Satisfacción a sus jefes Satisfacer a clientes
27
Cultura organizacional No importa Gestión y desarrollo
Mantenimiento Actitud reactiva Prevención/predicción
Productoras de bienes Empuje Arrastre
Proveedores Diversos Oferentes unitarios
Producción Rígida Flexible
Procesos y actividades Innecesarios e improductivos Valor agregado
Actitud ante el cambio Reactiva Proactivo
Tipo de organización Piramidal Plana
Pensamiento Mecanicista, lógico-racional Organicista/sistémico
Enfoque Sumisión/lealtad Responsabilidad
Selección del personal Contubernio Capital intelectual
Presupuesto asignado Datos históricos Mejoramiento
Investigación y desarrollo Trabajo segmentado Ingeniería conjunta
Normatividad No existe Certificación
Tecnología Prácticamente nula Básica/masiva
Tabla 4. Características de empresas tradicionales y nuevas Fuente: Urbina, Baca Gabriel (2002)
Como podemos ver en la tabla anterior a diferencia de las empresas del pasado,
las empresas actuales se caracterizan por ser complejas, dinámicas e innovadoras,
y el tipo de empleados que están requiriendo también ha cambiado con el tiempo,
ahora requieren de profesionales ampliamente capacitados y capaces de ser
independientes en la tomas de decisiones, fácilmente adaptables y de preferencia
dispuestos a seguir aprendiendo.
2.2 Generalidades de Ingeniería Industrial
Ante la necesidad de profesionales que sean capaces de dominar mayores áreas
dentro de las empresas, en las universidades más reconocidas se imparte la
carrera de Ingeniería Industrial; cuyos egresados, gracias a su visión integradora
tienen gran demanda en el sector industrial y de servicios. La palabra ingeniería
proviene de la raíz griega “Genere” que significa crear; por lo tanto, un ingeniero
es un creador, un inventor, un innovador y un solucionador de problemas.
28
Paul Wright (2012) define la ingeniería como "La profesión en la que el
conocimiento de las ciencias matemáticas y naturales adquirido mediante el
estudio, la experiencia y la práctica, se aplica con buen juicio a fin de desarrollar
las formas en que se pueden utilizar de manera económica, los materiales y las
fuerzas de la naturaleza en beneficio de la humanidad."
Por otro lado, la concepción “Industrial” es más amplia de lo que comúnmente se
piensa; no es sólo manufactura, sino transformación de recursos en bienes y/o
servicios con valor agregado, generando “Producciones Terminales” ofrecidas al
consumidor o a la sociedad que está orientada a la excelencia, calidad,
competitividad y globalización.
Comencemos por el concepto generalizado de la Ingeniería Industrial, que es la
parte de la ingeniería que debe aplicarse a todos los factores, incluyendo el factor
humano que contribuye a la producción y a la distribución de bienes o servicios. La
Ingeniería Industrial, técnicamente, forma a profesionistas que con un cierto
acervo de conocimientos, habilidades y destrezas, junto con experiencias
empíricas, aptitudes de investigación y actitudes de superación personal desarrolla
estructuras, diseños, procesos y dispositivos mediante los cuales transforma ideas,
conocimientos y materias primas en productos o servicios útiles a la sociedad.
Toda esta actividad requiere administración del tiempo, de los conocimientos, de
los recursos materiales, financieros y humanos.
Si nos referimos a la empresa como cualquier institución del sector público, privado
o social, cuya misión sea integrar los recursos necesarios para lograr un objetivo,
producir eficientemente, distribuir productos y/o servicios que satisfagan una
necesidad especifica y obtener una utilidad económica y social por ello, entonces
comprenderemos que la ingeniería industrial no es otra cosa que la administración
aplicada a la producción de bienes y servicios que la sociedad requiere.
29
De acuerdo con Hodson (1998) “La Ingeniería Industrial se interesa en el diseño,
mejoramiento e instalación de sistemas integrados por hombres, materiales y
equipos.”
Esta definición fue modificada y adoptada como definición por la American
Institute of Industrial Engineers (AIIE), quedando como sigue:
“La Ingeniería Industrial se ocupa del diseño, mejoramiento e implantación de
sistemas integrados por personas, materiales, equipos y energía. Se vale de los
conocimientos y posibilidades especiales de las ciencias matemáticas, físicas y
sociales, junto con los principios y métodos del análisis y el diseño de ingeniería,
para especificar, predecir y evaluar los resultados que se obtendrán de dichos
sistemas.”
La Ingeniería Industrial se ubica entonces en la aplicación de técnicas, métodos y
procedimientos en todos los factores que intervienen en dirección, procesos,
distribución y aplicación a la producción y de servicios, en toda la empresa u
organización donde se aplica.
La Ingeniería Industrial dirige su actuación a la planeación: ejecutiva, estratégica y
táctica en Ingeniería y Tecnología; que tiene como propósito el analizar, diseñar y
mejorar sistemas industriales, de evaluar su comportamiento, así como de tomar
decisiones mediante la aplicación de teorías matemáticas y estadísticas, de
metodologías de integración de empresas y simulación, así como de los métodos
de análisis y diseño de la ingeniería y de las ciencias sociales. Para ello sus
principales objetivos están dirigidos a:
1. Responder a la necesidad de contar con un sector industrial más
competitivo, con profesionales capaces de aplicar y desarrollar metodologías
30
de planeación estratégica en tecnologías y análisis de decisiones, habilitados
en la instrumentación con herramientas de vanguardia como la simulación,
tecnologías de información, automatización y robótica.
2. Optimizar procesos básicos (o de apoyo), intermedios y terminales tanto de
manufactura como de servicios para lograr la excelencia de la producción
terminal de bienes y servicios.
3. Dotar a un País o medio organizacional con conocimientos y herramientas
actualizadas, para que su desempeño sea eficiente en la solución de
problemas de gestión de operaciones y de la productividad que se dan en
las: medianas, pequeñas y micro empresas.
Ahora bien, para que un Ingeniero Industrial logre cumplir con su definición y con
sus objetivos, debe de recurrir a diversas herramientas, tales como: investigación,
imaginación, creatividad, espontaneidad. Luego de cumplir con estas cualidades,
es necesario obtener otras herramientas de carácter mecánico tales como:
conocimientos administrativos y científicos; habilidades técnicas, humanas y
gerenciales.
2.2.1 Reingeniería de Procesos de Negocio
Como respuesta a la globalización y al ambiente de alta competitividad en los
mercados, las organizaciones son sometidas a la presión de mejorar su
rendimiento y reducir costos, surge así la necesidad de reinventar los negocios,
descartando las viejas formas de trabajo que habían sido creados desde la
revolución industrial, con la incorporación de herramientas modernas de
tecnologías de información.
A principios de siglo surge una nueva tendencia donde se propone llevar a cabo
reestructuraciones radicales de las prácticas que habían utilizado hasta entonces
31
los empresarios, con lo cual surge la organización del siglo XXI (Hammer, 1990),
con tres principales características: puestos de trabajo de “alto compromiso”,
énfasis en la dirección de procesos de negocios antes que departamentos
funcionales y evolución de la tecnología informática (Parro, 1996).
Hammer y Champy (1994) definen la reingeniería como “La reconcepción
fundamental y el rediseño radical de los procesos de negocios, para lograr mejoras
dramáticas en medidas de desempeño y críticas contemporáneas tales como costo,
calidad, servicio y rapidez”.
La reingeniería de procesos de negocio (RPN) implica más que un simple rediseño
de procesos, la idea de este movimiento fue mejorada y se agregó a la visión la
importancia de las tecnologías de información (Davenport, 1990).
Uno de los argumentos de Hammer se basaba en que Adam Smith había iniciado
el movimiento hacia el incremento de la especialización en el trabajo. Movimiento
continuado por Ford que aplicó dicho principio a la producción automotriz cuando
estableció su línea de producción continua en Michigan, a principios del siglo XX.
Sin embargo, para Hammer esta forma de trabajo había permitido a los
departamentos que cada uno tratara de maximizar su eficiencia a expensas de la
totalidad.
Ambos puntos de vista coinciden en dos puntos importantes: el primero, conjuntar
la visión de procesos de inicio a fin pasando por varios departamentos y puntos de
transformación; y el segundo, la necesidad de integrar las tecnologías de
información en cada uno de los procesos de manera que no solo faciliten y
optimizen la forma de trabajo sino que cada vez integren más el conjunto de
procesos que se llevan a cabo dentro de la organización.
32
En la tabla 5 se desglosa el mapeo de las diferentes etapas propuestas por
Hammer y Champy y Davenport para llevar a cabo la reingeniería:
Tabla 5. Mapeo de etapas en BPR Fuente: propia
Como ya se mencionó, la principal diferencia entre ambas visiones radica en la
atención a las Tecnologías de información antes del rediseño de los nuevos
procesos de negocio, probablemente Hammer y Champy obviaron este paso aún
cuando en la época en la que desarrollaron su visión las TIs ya habían cobrado
cierta importancia debido a que al momento de mejorar los procesos son la
herramienta principal de automatización. Pero desde nuestro punto de vista, sí es
importante remarcar esta actividad no solo por la importancia que tienen y el
grado en que las TIs pueden afectar los nuevos procesos sino porque además
creemos firmemente que la persona ideal para realizar la evaluación de las TIs que
se adapten y proporcionen ventajas competitivas a la empresa no es la misma que
hace el rediseño de los procesos, ya que frecuentemente son profesionales de la
Ingeniería Industrial y desconocen los procesos y herramientas al momento de
integrar y desarrollar Tecnologías de Información.
33
2.2.2 Objetivo de la Reingeniería
Según Henry J. Johansson (2010) “El objetivo fundamental de la Reingeniería,
permite el análisis orgánico de procesos, en lugar de funciones y favorece la
autogestión, eliminando las estructuras de supervisión innecesarias. Se concentra
en los procesos principales del negocio que “crean valor” para el cliente,
contribuyendo a la capacidad competitiva de la compañía. Estos procesos son
operados bajo cuatro indicadores de desempeño, que coinciden con los criterios
del cliente para estimar valor: calidad, costo, tiempo total de fabricación y
servicio”.
En esencia la RPN, en los años noventa se enfocó en la mejora de los procesos
dentro de organizaciones de Estados Unidos y Europa. Hoy en día la RPN, se
enfoca en crear procesos de negocios que unan a grupos de compañías. Fue a
causa de que en muchas discusiones sobre los fracasos y la desconfianza que se
empleó sobre el término “Reingeniería de Procesos de Negocio”, llegó a ser
impopular a finales de los años noventa y ha caído en desuso. Como una
alternativa, muchas compañías llegan a referirse a sus proyectos de procesos de
negocios como “Mejora de Procesos de Negocio” o “Rediseño de Procesos de
Negocio” (Harmon, 2003).
Anteriormente el rediseño de los procesos de negocio se enfocaba sobre el
mejoramiento de los procesos dentro de la empresa (Harmon, 2003), hoy en día
se enfoca a crear procesos de negocio que enlacen los procesos de otros grupos
de empresas, que corresponden a un sistema de cadena de suministro, para
organizar decenas de proveedores, transportistas, centros de producción y
distribuidores, dentro de un solo proceso.
El Diseño o Rediseño de procesos se refiere a un esfuerzo mayor, que es realizado
para una mejora significante en un proceso existente o para la creación de un
34
nuevo proceso. El rediseño de procesos considera todos los aspectos de un
proceso y a menudo resulta en la secuencia en la que el proceso se lleva a cabo,
en puestos de trabajo de los empleados y en la introducción de la automatización.
2.2.3 Definición y clasificación de Procesos
En los siguientes párrafos se presenta lo que diferentes autores definen como
proceso, esta definición cobra especial importancia debido a que es la base para la
reingeniería, incluso podemos afirmar que es la base sobre la que funciona la
organización.
Para Hammer y Champy (1994), un proceso es “un grupo organizado de
actividades relacionadas que trabajan juntas para transformar una o más tipos de
entradas en salidas que constituyen el valor que se le da a los clientes”, y advierte
que “solamente cuando todas las actividades hayan sido debidamente realizadas
se creará valor”.
Para Davenport (1993) un proceso “es un ordenamiento específico de actividades
de trabajo a través del tiempo y el espacio, con un principio, un final, y las
entradas y salidas claramente definidas: una estructura para la acción”.
Eneka Albizu (2004) propone lo siguiente: “Una de las características de la
reingeniería es la orientación a los procesos de negocio, entendidos éstos como la
secuencia de actividades en los que intervienen un conjunto de recursos y
capacidades tendiente a producir valor para los clientes”.
La definición de N.Lowenthal (2005) habla de un “conjunto estructurado y medido
de actividades planeadas para producir un resultado específico para un cliente o
mercado en particular. Implica un fuerte énfasis en cómo se hace el trabajo dentro
de una organización”.
35
Finalmente, Arturo Tovar (2007) define al proceso como “cualquier secuencia de
pasos, tareas o actividades, que agregan valor a una entrada (insumo), para
transformarla en una salida (resultado)”.
Existen además varias clasificaciones de los procesos. De acuerdo con Arturo
Tovar, dentro de la empresa se pueden encontrar típicamente dos tipos de
procesos:
• Los procesos clave.- son aquéllos que impactan de manera directa en el
cumplimiento de uno o más de los requerimientos del cliente y no están
limitados a las actividades de manufactura o servicios, se pueden encontrar
en cualquier área y a cualquier nivel de negocio.
• Los procesos soporte.- los cuales sustentan la operación de los procesos
clave con el suministro de recursos, insumos o actividades vitales para su
operación”.
2.2.4 La reingeniería en los procesos de una empresa
La reingeniería se puede aplicar a todo tipo de empresas (Albizu, 2004) como son:
• “Empresas que atraviesan graves dificultades, por lo que la reingeniería
podría ayudar a realizar cambios profundos y rápidos para mejorar su nivel
de rendimiento.
• Empresas que no atraviesan dificultades serias, pero que sin embargo los
directivos prevén que en un futuro más o menos cercano se van a producir
cambios en el entorno que podrían comprometer la estabilidad de la
empresa.
• Empresas que se encuentran en una posición privilegiada y que aspiran a
mantener o incrementar su ventaja competitiva frente a los competidores”.
36
En general los autores consideran varios factores para la aplicación de la
reingeniería de procesos y tienen una visión muy diferente de su aplicación con
respecto a la del tipo de profesionales que realizan este tipo de trabajo.
2.2.5 De la estructura a los procesos
La empresa tradicional, basada en estructuras funcionales encargadas de realizar
pequeñas tareas bien definidas, se administra a través de las personas más
calificadas o los administradores más confiables. Para efectuar el cambio de
paradigma hacia una orientación por procesos tradicionalmente se basa en la
siguiente secuencia: primero, se propone una estrategia de negocio, luego se
planea una estructura de negocios y de procesos, y finalmente se implementa a
través de las herramientas de tecnologías de información (TI).
Es importante aclarar (verificar tabla 4) que el personal que se requiere para esta
nueva forma de administrar es diferente, no solo las personas que operan los
procesos sino también los administrativos, por lo que la relación entre ellos
también cambia, ya no solamente se imparten y reciben órdenes, sino que ahora
debe darse un proceso interactivo en el ir y venir de la información así como en la
toma de decisiones.
Dentro de la RPN se plantea partir de cero (hoja en blanco) para realizar este
cambio de paradigma, aunque la mayoría de los autores están de acuerdo, en
investigaciones previas se ha encontrado que eso es algo sumamente complicado
en la práctica puesto que es imposible detener el curso diario de la empresa para
operar de una forma totalmente diferente. Creemos que lo recomendable es que
primero se seleccionen los procesos clave y se vayan atacando conforme a una
prioridad previamente establecida.
37
2.3 Generalidades de las Tecnologías de Información
Hablar de tecnologías de la información y llegar a una definición conjunta es
prácticamente imposible, la mayoría de las personas las conceptualiza de acuerdo
al grado de experiencia que han tenido con ellas, de ahí tenemos que para algunos
se puede referir a un teléfono celular, a una tableta o a una computadora, es
cierto que todos estos ejemplos están incluidos en el concepto de Tecnologías de
Información y la Comunicación (TICs), pero va mucho más allá. Dos de los
elementos comunes en la mayoría de estas definiciones son la relación de los
diferentes avances tecnológicos implicados en las nuevas tecnologías de la
información y la comunicación (NTIC) y la descripción de las aplicaciones que estos
avances han generado.
2.3.1 Tecnologías de la Información y la Comunicación
Para Castells (1998) las Tecnologías de la Información y la Comunicación hacen
referencia a un conjunto de tecnologías desarrolladas en el campo de la
microelectrónica, la informática, las telecomunicaciones, la televisión y la radio, la
optoelectrónica y su conjunto de desarrollo y aplicaciones; en cambio Cabero
(2000) las presenta de acuerdo a las diferentes utilidades de las TIC en la
educación (Ver figura 4).
38
Figura 4. Tecnologías de la información y la comunicación
Fuente: Cabero (2000)
Y como podemos visualizar en la figura anterior no se toman en cuenta los
sistemas de información (SIs), y como desde nuestro punto de vista éstos tienen
gran importancia debido a que precisamente dentro de las organizaciones éste es
uno de los principales temas al momento de automatizar y mejorar procesos.
2.3.2 Sistemas de Información
Antes de conceptualizar a los Sistemas de Información, se conceptualizarán sus
componentes:
Sistema:
• es un conjunto de elementos interrelacionados e interactuantes entre sí.
• es un conjunto de partes o elementos organizados y relacionados que
interactúan entre sí para lograr un objetivo.
• es un conjunto de unidades en interrelación.
• es una totalidad organizada, hecha de elementos solidarios que no pueden
ser definidos más que los unos con relación a los otros en función de su
39
lugar en esa totalidad.
• es un todo integrado, aunque compuesto de estructuras diversas,
interactuantes y especializadas.
Información:
• es un conjunto organizado de datos, que constituye un mensaje sobre un
cierto fenómeno o ente.
• es un fenómeno que proporciona significado o sentido a las cosas, e indica
mediante códigos y conjuntos de datos, los modelos del pensamiento
humano.
Uniendo ambos vocablos, se caracteriza al “Sistema de Información”:
• es un conjunto de elementos que interactúan entre sí con el fin de apoyar
las actividades de una empresa o negocio.
• es un conjunto organizado de elementos que interactúan entre si para
procesar los datos y la información (incluyendo procesos manuales y
automáticos) y distribuirla de la manera más adecuada posible en una
determinada organización en función de sus objetivos.
• es un conjunto organizado de elementos, que pueden ser personas, datos,
actividades o recursos materiales en general, que interactúan entre sí para
procesar información y distribuirla de manera adecuada en función de los
objetivos de una organización.
De acuerdo a Castellanos (2009) un Sistema de Información es un “conjunto
interrelacionado de elementos que proveen información para el apoyo de las
funciones de operación, gerencia y toma de decisiones en una organización”.
40
Y como Sistema que es, un SI presenta el mismo modelo de Entrada-Proceso-
Salida como muestra la figura 5:
Figura 5. Metáfora de sistemas Fuente: Castellanos (2009)
Un Sistema de Información presenta las siguientes características:
• Generalidad
• Simplicidad
• Continuidad
• Consistencia
• Flexibilidad
• Dinamismo
Los objetivos que persigue un Sistema de Información son:
• Automatizar los procesos operativos.
• Reducir los errores humanos
• Proporcionar información que sirva de apoyo al proceso de toma de
decisiones.
• Lograr ventajas competitivas a través de su implantación y uso.
Algunos tipos de Sistemas de Información:
• Sistemas Transaccionales: automatizan tareas operativas de la organización.
41
• Sistemas de Apoyo de las Decisiones: brindan información que sirve de
apoyo a los mandos intermedios y a la alta administración en el proceso de
toma de decisiones.
• Sistemas Estratégicos: generan ventajas que los competidores no posean,
tales como ventajas en costos y servicios diferenciados con clientes y
proveedores.
• Sistema Planificación de Recursos (ERP): integran la información y los
procesos de una organización en un solo sistema.
2.3.2.1 Componentes de un sistema de información
Un sistema de información (SI) está compuesto por mucho más que una o varias
computadoras (hardware), comprende el conjunto completo de datos, hardware,
software, redes, personas y procedimientos que interactúan en este sistema para
que funcione (como se muestra en la figura 6) (Whitman y Jerbert, 2011). Estos
componentes en conjunto posibilitan la entrada, procesamiento, salida y
almacenamiento de la información. El siguiente esquema muestra los tres niveles
en que funciona: en el primero y más importante tenemos los datos que pueden
estar o no almacenados de manera electrónica y de ahí proviene el segundo nivel
que representa la infraestructura requerida para su almacenamiento,
procesamiento y control, y en el último nivel tenemos lo que determina el uso de
esta información que son las personas regidas a su vez por políticas y
procedimientos.
42
Figura 6. Componentes de un sistema de información
Fuente: propia
2.3.3 Metodologías de Desarrollo de Software
El ciclo de vida es el conjunto de fases por las que pasa el software que se está
desarrollando desde que nace la idea inicial hasta que es retirado o remplazado
(muere). También se denomina a veces paradigma.
Entre las funciones que debe tener un ciclo de vida se pueden destacar:
• Determinar el orden de las fases del proceso de software
• Establecer los criterios de transición para pasar de una fase a la siguiente
• Definir las entradas y salidas de cada fase
• Los estados por los que pasa el producto
• Describir las actividades a realizar para transformar el producto
• Definir un esquema que sirve como base para planificar, organizar,
coordinar, desarrollar.
43
Un ciclo de vida para un proyecto se compone de fases sucesivas compuestas por
tareas que se pueden planificar. Según el modelo de ciclo de vida, la sucesión de
fases puede ampliarse con bucles de realimentación, de manera que lo que
conceptualmente se considera una misma fase se pueda ejecutar más de una vez
a lo largo de un proyecto, recibiendo en cada pasada de ejecución aportaciones a
los resultados intermedios que se van produciendo (realimentación).
• Fases: una fase es un conjunto de actividades relacionadas con un objetivo
en el desarrollo del proyecto. Se construye agrupando tareas (actividades
elementales) que pueden compartir un tramo determinado del tiempo de
vida de un proyecto. La agrupación temporal de tareas impone requisitos
temporales correspondientes a la asignación de recursos (humanos,
financieros o materiales).
• Entregables: son los productos intermedios que generan las fases. Pueden
ser materiales o inmateriales (documentos, software). Los entregables
permiten evaluar la marcha del proyecto mediante comprobaciones de su
adecuación o no a los requisitos funcionales y de condiciones de realización
previamente establecidos.
La ingeniería del software establece y se vale de una serie de modelos que
establecen y muestran las distintas etapas y estados por los que pasa un producto
de software, desde su concepción inicial, pasando por su desarrollo, puesta en
marcha y posterior mantenimiento, hasta la retirada del producto. A estos modelos
se les denomina “Modelos de ciclo de vida del software”. El primer modelo
concebido fue el de Royce, más comúnmente conocido como Cascada o “Lineal
Secuencial”. Este modelo establece que las diversas actividades que se van
realizando al desarrollar un producto software, se suceden de forma lineal.
Los modelos de ciclo de vida del software describen las fases del ciclo de software
y el orden en que se ejecutan las fases.
44
Un modelo de ciclo de vida de software es una vista de las actividades que ocurren
durante el desarrollo de software, intenta determinar el orden de las etapas
involucradas y los criterios de transición asociados entre estas etapas.
Un modelo de ciclo de vida del software:
• Describe las fases principales de desarrollo de software
• Define las fases primarias esperadas de ser ejecutadas durante esas fases
• Ayuda a administrar el progreso del desarrollo de software
• Provee un espacio de trabajo para la definición de un proceso detallado de
desarrollo de software
En cada una de las etapas de un modelo de ciclo de vida, se pueden establecer
una serie de objetivos, tareas y actividades que lo caracterizan. Existen distintos
modelos de ciclo de vida y la elección de un modelo para un determinado tipo de
proyecto es realmente importante; el orden es uno de estos puntos importantes.
Existen varias alternativas de modelos de ciclo de vida. A continuación se
muestran algunos de los modelos tradicionales y más utilizados.
2.3.3.1 Modelo en cascada
Es el enfoque metodológico que ordena rigurosamente las etapas del ciclo de vida
del software, de forma que el inicio de cada etapa debe esperar a la finalización de
la inmediatamente anterior.
El modelo en cascada es un proceso de desarrollo secuencial, en el que el
desarrollo se ve fluyendo hacia abajo (como una cascada) sobre las fases que
componen el ciclo de vida.
45
Se cree que el modelo en cascada fue el primer modelo de proceso introducido y
seguido ampliamente en la ingeniería el software. La innovación estuvo en la
primera vez que la ingeniería del software fue dividida en fases separadas.
La primera descripción formal del modelo en cascada fue en un artículo (Royce,
1970), aunque no se usó el término cascada en este artículo. Irónicamente, se
estaba presentando este modelo como un ejemplo de modelo que no funcionaba.
En el modelo original existían las siguientes fases:
• Especificación de requisitos
• Diseño
• Construcción (Implementación o codificación)
• Integración
• Pruebas
• Instalación
• Mantenimiento
La figura 7 muestra el modelo en cascada, en el cuál se avanza de una fase a la
siguiente en una forma puramente secuencial.
46
Figura 7. Modelo en cascada Fuente: S. Pressman, Roger (2005)
2.3.3.2 Modelo en V
El modelo en V se desarrolló para terminar con algunos de los problemas que se
vieron utilizando el enfoque de cascada tradicional. Los defectos estaban siendo
encontrados demasiado tarde en el ciclo de vida, ya que las pruebas no se
introducían hasta el final del proyecto.
El modelo en V dice que las pruebas necesitan empezarse lo más pronto posible en
el ciclo de vida. También muestra que las pruebas no son sólo una actividad
basada en la ejecución. Hay una variedad de actividades que se han de realizar
antes del fin de la fase de codificación. Estas actividades deberían ser llevadas a
cabo en paralelo con las actividades de desarrollo, y los técnicos de pruebas
necesitan trabajar con los desarrolladores y analistas de negocio de tal forma que
puedan realizar estas actividades y tareas y producir una serie de entregables de
pruebas. Los productos de trabajo generados por los desarrolladores y analistas de
negocio durante el desarrollo son las bases de las pruebas en uno o más niveles.
47
El modelo en V es un modelo que ilustra cómo las actividades de prueba
(verificación y validación) se pueden integrar en cada fase del ciclo de vida. Dentro
del modelo en v, las pruebas de validación tienen lugar especialmente durante las
etapas tempranas, por ejemplo, revisando los requisitos de usuario y después por
ejemplo, durante las pruebas de aceptación de usuario.
El modelo en V es un proceso que representa la secuencia de pasos en el
desarrollo del ciclo de vida de un proyecto. Describe las actividades y resultados
que han de ser producidos durante el desarrollo del producto. La parte izquierda
de la v representa la descomposición de los requisitos y la creación de las
especificaciones del sistema. El lado derecho de la V representa la integración de
partes y su verificación. V significa “Validación y Verificación”. La figura 8 resume
los descrito anteriormente sobre este modelo.
48
Figura 8. Modelo en V
Fuente: S. Pressman, Roger (2005)
Realmente las etapas individuales del proceso pueden ser casi las mismas que las
del modelo en cascada. Sin embargo hay una gran diferencia. En vez de ir para
abajo de una forma lineal las fases del proceso vuelven hacia arriba tras la fase de
codificación, formando una V. La razón de esto es que para cada una de las fases
de diseño se ha encontrado que hay un homólogo en las fases de pruebas que se
correlacionan.
2.3.3.3 Modelo iterativo
Es un modelo derivado del ciclo de vida en cascada. Este modelo busca reducir el
riesgo que surge entre las necesidades del usuario y el producto final por malos
entendidos durante la etapa de recopilación de requisitos.
Consiste en la iteración de varios ciclos de vida en cascada. Al final de cada
iteración se le entrega al usuario una versión mejorada o con mayores
funcionalidades del producto. El usuario es quien después de cada iteración evalúa
49
el producto y lo corrige o propone mejoras. Estas iteraciones se repetirán hasta
obtener un producto que satisfaga las necesidades del usuario. Ver figura 9.
Figura 9. Modelo iterativo Fuente: S. Pressman, Roger (2005)
Este modelo se suele utilizar en proyectos en los que los requisitos no están claros
por parte del usuario, por lo que se hace necesaria la creación de distintos
prototipos para presentarlos y conseguir la conformidad tanto del usuario como del
equipo de desarrollo.
2.3.3.4 Modelo de desarrollo incremental
El modelo incremental combina elementos del modelo en cascada con la filosofía
interactiva de construcción de prototipos. Se basa en la filosofía de construir
incrementando las funcionalidades del programa. Este modelo aplica secuencias
lineales de forma escalonada mientras progresa el tiempo en el calendario. Cada
secuencia lineal produce un incremento del software.
50
Figura 10. Modelo incremental Fuente: S. Pressman, Roger (2005)
Cuando se utiliza un modelo incremental (como se muestra en la figura 10), el
primer incremento es a menudo un producto esencial, sólo con los requisitos
básicos. Este modelo se centra en la entrega de un producto operativo con cada
incremento. Los primeros incrementos son versiones incompletas del producto
final, pero proporcionan al usuario la funcionalidad que precisa y también una
plataforma para la evaluación.
2.3.3.5 Modelo en espiral
El desarrollo en espiral, que se muestra en la figura 11, es un modelo de ciclo de
vida utilizado de forma generalizada en la ingeniería del software (Boehm, 1986).
Las actividades de este modelo se conforman en una espiral donde cada bucle
representa un conjunto de actividades. Las actividades no están fijadas a priori,
sino que las siguientes se eligen en función del análisis de riesgos, comenzando
por el bucle anterior. Boehm, autor de diversos artículos de ingeniería del
software, modelos de estimación de esfuerzos y tiempo que se consume en hacer
51
productos software y modelos de ciclo de vida, ideó y promulgó un modelo desde
un enfoque distinto al tradicional en Cascada: el Modelo Evolutivo Espiral.
Su modelo de ciclo de vida en espiral tiene en cuenta fuertemente el riesgo que
aparece a la hora de desarrollar software. Para ello, se comienza mirando las
posibles alternativas de desarrollo, se opta por la de riesgos más asumibles y se
hace un ciclo de la espiral. Si el cliente quiere seguir haciendo mejoras en el
software, se vuelven a evaluar las nuevas alternativas y riesgos y se realiza otra
vuelta de la espiral, así hasta que llegue un momento en el que el producto
software desarrollado sea aceptado y no necesite seguir mejorándose con otro
nuevo ciclo.
Este modelo de desarrollo combina las características del modelo de prototipos y el
modelo en cascada. El modelo en espiral está pensado para proyectos largos,
caros y complicados. Este modelo no fue el primero en tratar el desarrollo
iterativo, pero fue el primer modelo en explicar las iteraciones. Se suele interpretar
como que dentro de cada ciclo de la espiral se sigue un modelo en cascada, pero
no necesariamente ha de ser así.
Este sistema es muy utilizado en proyectos grandes y complejos como puede ser,
por ejemplo, la creación de un sistema operativo.
Al ser un modelo de ciclo de vida orientado a la gestión de riesgos se dice que uno
de los aspectos fundamentales de su éxito radica en que el equipo que lo aplique
tenga la necesaria experiencia y habilidad para detectar y catalogar correctamente
riesgos.
52
Figura 11. Modelo en espiral
Fuente: S. Pressman, Roger (2005)
2.3.3.6 Modelo de prototipos
Un cliente, a menudo, define un conjunto de objetivos generales para el software,
pero no identifica los requisitos detallados de entrada, proceso o salida. En otros
casos, el responsable del desarrollo del software puede no estar seguro de la
eficiencia de un algoritmo, de la calidad de adaptación de un sistema operativo, o
de la forma en que debería tomarse la interacción hombre-máquina. En éstas y en
otras muchas situaciones, un paradigma de construcción de prototipos (figura 12)
puede ofrecer el mejor enfoque.
El paradigma de construcción de prototipos comienza con la recolección de
requisitos. El desarrollador y el cliente encuentran y definen los objetivos globales
para el software, identifican los requisitos conocidos y las áreas del esquema en
donde es obligatoria más definición. Entonces aparece un diseño rápido. El diseño
rápido se centra en una representación de esos aspectos del software que serán
visibles para el usuario/cliente. El diseño rápido lleva a la construcción de un
prototipo. El prototipo lo evalúa el cliente/usuario y se utiliza para refinar los
requisitos del software a desarrollar. La iteración ocurre cuando el prototipo se
pone a punto para satisfacer las necesidades del cliente, permitiendo al mismo
tiempo que el desarrollador comprenda mejor lo que se necesita hacer.
53
Figura 12. Modelo de prototipos Fuente: S. Pressman, Roger (2005)
54
2.4 Generalidades de Seguridad de la Información
De acuerdo con Wikipedia, “se entiende por seguridad de la información a todas
aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de
los sistemas tecnológicos que permitan resguardar y proteger la información
buscando mantener la confidencialidad, la disponibilidad y la integridad de la
misma”.
La seguridad de la información por tanto, se define como el conjunto de medidas
tecnológicas, de normas y procedimientos y de información y sensibilización, que
aseguren la confidencialidad, integridad y disponibilidad de la información en sus
estados de proceso, almacenamiento y transporte. Es importante diferenciar entre
Seguridad de la Información y Seguridad Informática, donde esta última
únicamente se encarga de aquella información que se encuentra en medios
informáticos (electrónica) y es tema de esta tesis abarcar las otras formas o
medios en las que se encuentra la información y otros activos de la empresa.
La información es un activo valioso, y así como los otros activos de la empresa es
necesario que sea protegido. La seguridad de la información, por tanto, es una
necesidad presente en cualquier institución, las empresas actualmente manejan y
administran su información por medio de hardware y software haciendo necesaria
la evaluación de riesgos con el propósito de proteger su integridad,
confidencialidad y disponibilidad.
Por el nivel de importancia que juega la información en la operación de las
empresas es un activo amenazado. Las amenazas se originan de dos fuentes
principales: humanos y naturaleza. De acuerdo con un artículo de internet
(Microsoft, 2011) las amenazas del tipo humano además se pueden categorizar en
maliciosas y no maliciosas.
55
• Desastres naturales
• Empleados maliciosos o descontentos.
• Atacantes externos o “crackers”.
• Empleados no maliciosos.
El impacto que puede causar el mal uso de ésta está cuantificado por pérdidas
económicas, publicidad negativa, etc. El auge de la Seguridad de la Información en
la última década tiene múltiples razones, entre ellas el número de incidentes de
seguridad en Internet y el surgimiento de normas de carácter internacional.
Algunas noticias recientes revelan la importancia de proteger la información:
• La tecnología de la información ha sido seleccionada como un arma para los
terroristas.
• Internet se ha venido utilizando con mayor frecuencia cada vez para la
realización de transacciones críticas de negocios.
• Nuevas regulaciones gubernamentales han surgido que responsabilizan a las
organizaciones de mantener mecanismos de control para la privacidad,
acceso, almacenamiento e intercambio de la información.
Según Areitio (2008), “la tendencia, cada vez más dominante hacia la
interconectividad y la interoperabilidad de redes, de las máquinas de computación,
de las aplicaciones e incluso empresas, ha situado a la seguridad de los sistemas
de información como un elemento central en todo el desarrollo de la sociedad”, sin
embargo, este punto de vista únicamente contempla los sistemas informáticos y
deja de lado otros factores clave que contribuyen al manejo sistemático, oportuno
y seguro de la información, entre ellos las políticas, procedimientos y procesos; es
por ello que cobra especial importancia mantener la confidencialidad, integridad y
disponibilidad de la información.
56
2.4.1 Conceptos básicos
2.4.1.1 Información
Podemos definir un dato, de acuerdo con De Pablo (1989), como un “elemento de
conocimiento que carece de significado por sí mismo”, o que está fuera de su
contexto. En definitiva, se trata de algo incompleto que necesita un complemento
en la forma de otro dato o un proceso de elaboración que le dé más sentido. A su
vez, por información entendemos un dato o conjunto de datos, elaborado y
situado en un contexto, de forma que tiene un significado para alguien en un
momento y lugar determinado (ver figura 13).
Figura 13 Generación de información
Fuente: Wikipedia
Y… ¿en dónde se encuentra nuestro principal activo? La información puede estar
en varias formas: hablada (en conversaciones), escrita, impresa o digitalizada, y
puede ir desde un correo electrónico hasta documentos, fotos, imágenes, etc.
2.4.1.2 Otros Conceptos
A continuación se enlistan los conceptos básicos sobre el tema (Whitman y Jerbert,
2011):
Acceso
Habilidad de un sujeto u objeto para usar, manipular, modificar, o afectar otro
sujeto u objeto. Usuarios autorizados tienen acceso legal al sistema, mientras que
los hacker tienen acceso ilegal al sistema. El control de accesos regula esta
habilidad.
57
Activo
Recurso organizacional que está siendo protegido. Un activo puede ser lógico,
como un sitio Web, información, o datos; o un activo puede ser físico, como una
persona, sistema computacional u otro objeto tangible. Activos, y principalmente
los activos de información, son el centro de los esfuerzos de seguridad; son lo que
se intenta proteger.
Ataque
Un acto intencional o no intencional que puede causar un daño o de otra forma,
comprometer la información y/o los sistemas que la soportan. Los ataques pueden
ser activos o pasivos, intencionales o no intencionales, y directos o indirectos.
Alguien leyendo casualmente información sensible no dirigida a él o ella es un
ataque pasivo. Un hacker tratando de acceder a un sistema de información es un
ataque intencional.
Control, protección o contramedida
Mecanismos de seguridad, políticas o procedimientos que pueden reducir riesgos,
resolver vulnerabilidades y, de esta manera, aumentar la seguridad dentro de la
organización
Explotar
Técnica utilizada para comprometer un sistema. Este término puede ser un verbo o
un sustantivo. Agentes amenazantes pueden atentar contra un sistema u otro
activo de información utilizándolo ilegalmente para su propio beneficio.
Exposición
Una condición o estado de ser expuesto. En seguridad de la información, la
exposición existe cuando una vulnerabilidad conocida por un atacante es presente.
Pérdida
58
Una instancia simple de un activo de información que sufre daño, modificación o
exposición no intencionado o no autorizado. Cuando la información de la
organización es robada ha sufrido una pérdida.
Perfil de protección o postura de seguridad
El conjunto completo de controles o salvaguardas, incluyendo políticas, educación,
entrenamiento y conciencia, y tecnología, que la organización implementa para
proteger sus activos.
Riesgo
La probabilidad de que algo no deseado suceda. Las organizaciones deben
minimizar los riesgos para alcanzar el nivel de riesgos deseados.
Sujetos y Objetos
Una computadora puede ser el sujeto de un ataque – una entidad agente utilizada
para conducir un ataque- o el objeto de un ataque la entidad objetivo.
Amenaza
Una categoría de objetos, personas u otras entidades que representan peligro
hacia un activo. Las amenazas siempre están presentes y pueden ser intencionales
o indirectas.
Agente amenazante
La instancia específica o componente de una amenaza. Por ejemplo, todos los
hacker en el mundo presentan una amenaza colectiva, mientras que Kevin Mitnick,
quien ha sido condenado por acceder sin permiso en los sistemas telefónicos, es
un agente específico amenazante. Igualmente, un rayo, una granizada, o un
tornado es un agente amenazante que es parte de las amenazas de tormentas
severas.
59
Vulnerabilidad
Una debilidad o falta en un sistema o mecanismo de protección que se abre para
un ataque o daño. Algunos ejemplos de vulnerabilidades son las fallas en los
paquetes de software, un puerto de sistema desprotegido, una puerta no
bloqueada. Algunas vulnerabilidades bien-conocidas han sido examinadas,
documentadas y publicadas; otras permanecen latentes.
2.4.1.3 Características críticas de la información
Las vulnerabilidades de información se clasifican en: Confidencialidad, Integridad y
Disponibilidad (ver figura 14) (Stamp, 2011). Confidencial, previene la lectura no
autorizada de información; Integridad, trata con la prevención o al menos la
detección de escritura no autorizada; Disponibilidad, asegurar que los sistemas
responsables de almacenamiento, procesamiento y entrega de información estén
disponibles cuando se necesitan.
Figura 14. Triada CID
Fuente: Stamp, Mark (2011)
A diferencia de otro punto de vista que categoriza estas vulnerabilidades como
características críticas de la siguiente manera (Whitman y Jerbert, 2011):
Disponibilidad
Permite a usuarios autorizados utilizar información sin interferencia u obstrucción,
y a recibirla en el formato requerido.
60
Precisión
La información tiene precisión cuando está libre de errores y tiene el valor que el
usuario final espera. Si la información ha sido modificada intencional o no
intencionalmente ya no es exacta.
Autenticidad
La autenticidad de la información es una cualidad o estado de ser genuina u
original, más que ser una reproducción o fabricación: la información es auténtica
cuando se encuentra en el mismo estado en el cual fue creada, puesta,
almacenada o transferida.
Confidencialidad
La información tiene confidencialidad cuando la revelación o exposición a
individuos o sistemas no autorizados es impedida. La confidencialidad asegura que
sólo aquellos con derechos y privilegios para el acceso a la información son
capaces de hacerlo.
Integridad
La información tiene integridad cuando está toda, completa e incorrupta. La
integridad de la información es amenazada cuando es expuesta a la corrupción,
daño, destrucción o ruptura de su estado auténtico.
Utilidad
La utilidad de la información es la cualidad o estado de tener valor para algún
propósito o fin. La información tiene valor cuando puede servir a algún propósito
en particular.
Posesión
61
La posesión de la información es la cualidad o estado de propiedad o control sobre
algún objeto o artículo.
2.4.2 Identificación y Autenticación
Para la mayoría de los sistemas, la identificación y autenticación (I&A) es la
primera línea de defensa. I&A es una medida técnica que evita que gente no
autorizada (o procesos no autorizados) ingresen a nuestro sistema computacional.
I&A es un bloque crítico de la seguridad computacional dado que es la base a la
mayoría de los controles de acceso y establece responsabilidades de usuario.
Los sistemas computacionales reconocen a la gente basados en la autenticación de
los datos que el sistema recibe. La autenticación presenta varios desafíos:
recolección de los datos de autenticación, transmisión segura de los datos, y
conocimiento de si la persona autenticada originalmente es aún la persona que
utiliza el sistema computacional.
Hay tres formas de autenticación que se pueden utilizar solas o combinadas:
• algo que el individuo conoce (contraseñas, claves de cifrado)
• algo que el individuo posee (paquete, tarjeta)
• algo que el individuo es (voz, huella digital)
62
Capítulo 3 Análisis
3.1 Tecnologías de Información y Reingeniería de
Procesos de Negocio
La reingeniería de procesos de negocio se vislumbra con distintas denominaciones:
mejora de procesos de negocio, rediseño de procesos de negocio, innovación de
procesos de negocio, transformación de procesos de negocio. Cada una de estas
aproximaciones y dependiendo del punto de vista de cada autor hacen referencia a
la importancia de tomar en consideración las tecnologías de la información,
algunas como motor habilitador para el cambio, otras como mero soporte y otras
más como parte esencial dentro de la reingeniería.
Para Davenport las TI tienen un rol más importante en la RPN que el ser una
herramienta útil, y determina que existe una relación recursiva entre las TIs y la
RPN, y es que pensar en tecnologías de información debe ser en términos de cómo
soportan los nuevos procesos de negocio, y pensar en mejoras de proceso debe
ser en términos de las capacidades que ofrecen las tecnologías de información (ver
figura 15).
63
Figura 15. Relación recursiva entre TI y RPN
Fuente: Davenport (1993)
Dentro de este trabajo apoyamos totalmente esta visión, sin embargo creo que el
factor principal y motor de cambio dentro de cualquier empresa siempre debe ser
el negocio, es decir, las herramientas (sean de TI, RPN o cualquier otra) no dictan
por si solas un cambio, sino que la necesidad de adoptarlas o no surge del propio
negocio basado en su estrategia; por ejemplo, una estrategia es estar a la
vanguardia para mantenerse competitivo y de aquí derivaría la necesidad de
implementar herramientas que le permitan alcanzar este objetivo.
3.1.1 La relación de RPN y TIs
Es importante dar un vistazo integral al ciclo de análisis y diseño de sistemas de
información (ADSI) y a la reingeniería de procesos de negocio (RPN) de manera
simultánea, enfocándose en cómo la información se utiliza en el proceso y cómo la
gente interactúa con los sistemas (Kaplan y Murdock, 1991). La relación que
existe entre la RPN y los SI tienen mucho en común, puesto que comparten
métodos y sugiere que el pensamiento de procesos es el mismo que el
pensamiento de sistemas (Earl, 1994).
64
Recientemente se ha representado el proceso de reingeniería de procesos de
negocio y análisis y desarrollo de sistemas de información de una manera integral
y se comparan (como se vienen haciendo desde hace tiempo) con la construcción
de un edificio, a continuación se muestra la tabla de dicha analogía e integración:
Arquitectura Desarrollo de Sistemas de
Información
Reingeniería de procesos de negocio y sistemas de
información Gráfico de burbujas Alcance / Objetivos Iniciación de Proyecto
Entender la estructura final del edificio propuesto
Entender el ambiente de negocio que necesita automatización así como los objetivos del proyecto
Entender el ambiente de negocio que necesita automatización así como los objetivos del proyecto conjunto
Dibujo del arquitecto Modelo de negocio Planeación estratégica Representación arquitectónica del del edificio desde la perspectiva del dueño
Modelo descriptivo de las relaciones entre las entidades de negocio desde la perspectiva del usuario
Examinar las metas, objetivos y la estrategia de negocio de SI/TI, e identificar áreas de mejora
Planos del arquitecto Modelo de Sistema de Información Identificación de procesos Representación detallada del edificio final desde la perspectiva del arquitecto (diseñador)
Modelo detallado del sistema de información desde la perspectiva del diseñador
Identificación y mapeo de procesos en el contexto del ambiente de negocio actual
Plan del contratista Modelo tecnológico Análisis de procesos
Analizar y tomar en consideración cualquier problema que limite los planos del arquitecto
Analizar y tomar en consideración cualquier problema tecnológico que limite el modelo de sistema de información del diseñador
Analizar los procesos identificados y su soporte de SI/TI e identificar problemas y oportunidades de mejora
Plan de compras Descripción detallada Reingeniería de procesos Esquematizar los planes detallados de los componentes que se requieren para la estructura final del edificio
Codificar el programa de computación (software) que produce las instrucciones para ejecutar los sistemas actuales
Llevar a cabo el proceso actual y el trabajo de mejoras de SI/TI (mapeando los nuevos procesos y subprocesos)
El edificio Sistemas de Información Desarrollo de procesos
El edificio físico completo listo para ocuparse El sistema listo para implementarse
Los nuevos procesos listos para implementarse
Tabla 6. Arquitectura Clásica VS Desarrollo de SI VS. Reingeniería de PN y SI
Fuente: Weerakkody y Currie (2003)
65
Como se puede ver en la tabla 6, en la fase de inicio, ambas metodologías analizan
el estado actual del negocio y los objetivos que persigue, una vez concluida esta
etapa los caminos se bifurcan y cada área define sus prioridades; por un lado la
RPN se enfoca al negocio y el ADSI se enfoca a actividades de entendimiento,
diseño y factibilidad del nuevo SI.
Hoy en día existen diferentes metodologías y herramientas tanto para el análisis y
desarrollo de sistemas de información como para la reingeniería de procesos de
negocio, desafortunadamente no hay muchas investigaciones acerca de la relación
natural que existe entre estos procesos y el uso de diversas metodologías y la
desconexión que hay entre los profesionales de ambas ramas ha resultado en una
brecha entre los modelos de procesos de negocio y los sistemas SI/TI.
Y la brecha que a nuestro juicio es la mejor analizada y más amplia la presentan
Weerakkody y Currie (2003) en la figura 16, donde se marcan los diferentes
perfiles y los productos de salida que cada una de ellas tiene.
66
Figura 16. Brecha entre RPN y ADSI Fuente: Weerakkody y Currie (2003)
3.1.2 Habilidades de los profesionales
Perfil del analista de sistemas:
• Mejorar los conocimientos en tecnología y sistemas de información
• Experiencia y dominio de la programación informática
• Conocimientos generales de la empresa
• Capacidad para resolver problemas
• Técnicas de comunicación interpersonal
• Flexibilidad y capacidad de adaptación
Perfil del analista de procesos:
• Análisis e identificación de oportunidades para la optimización de procesos
• Diseño de propuesta de mejoras
• Análisis de impacto al negocio por la introducción de cambios
67
• Excelente comunicación y buen manejo de relaciones interpersonales
¿Qué diferencias podemos detectar de acuerdo a los perfiles expuestos? Desde
nuestro punto de vista algo muy importante es la visión integral, la visión que tiene
el analista de sistemas está enfocada en tratar de resolver problemas de manera
técnica, mientras que el analista de procesos debe tener una visión global de la
estrategia y operaciones de la empresa.
3.1.3 Importancia de la estrategia
Los proyectos de reingeniería de procesos de negocio generalmente son llevados
de acuerdo a la estrategia y necesidades de la alta dirección, y normalmente una
vez definido el plan de acción es cuando se solicita consultoría a los expertos de
tecnologías de información para soportar lo ya diseñado en el mejor de los casos,
pero incluso puede ocurrir que se soliciten las modificaciones tecnológicas sin
siquiera consultar la factibilidad con anterioridad.
Aunado a esto, los proyectos de RPN y ADSI se llevan a cabo por equipos de
profesionales de manera separada, con distintos objetivos, planeación y recursos.
Al final resulta complicado tratar de conjuntarlos.
Ya se ha estudiado la relación intrínseca que existe entre la reingeniería de
procesos de negocio y las tecnologías de información, pero más aún, las decisiones
estratégicas de alto nivel deberían estar soportados desde el inicio en esta
mancuerna. Se debería alinear:
• Estrategia de reingeniería de procesos de negocio
• Infraestructura de tecnologías de información
• Sistemas de información
68
Para alinear efectivamente la infraestructura de tecnologías de información y la
estrategia de reingeniería de procesos de negocio es necesario construir una
adecuada infraestructura, una adecuada inversión en infraestructura y dispositivos
tecnológicos, medidas de efectividad de la infraestructura, integración propia de
sistemas de información, reingeniería efectiva de los sistemas existentes,
incrementar las competencias funcionales de tecnologías de información y hacer
uso efectivo de herramientas de software, entre otras. En la figura 17 se muestra
cómo la elección de la estrategia está ligada a la estrategia de negocio, las
estrategias de RPN y de TI, a los conocimientos (legado) de ambas vertientes y a
las presiones que se tienen.
Es necesario alinear la estrategia de TI con la estrategia del negocio, ya que como
área de soporte debe ayudar a que se alcance la máxima efectividad, es una
relación ganar-ganar.
Figura 17. Vista multidimensional de RPN
Fuente: Light (2000)
Al realizar la reingeniería de procesos de negocio separada de la consideración
desde el análisis del uso de tecnologías de información trae como consecuencia la
separación del negocio y dificulta la toma de decisiones.
69
En la figura 18 se muestra la arquitectura de sistemas de información
descentralizados, como es común encontrar en las empresas.
Figura 18. Descentralización de sistemas
Fuente: propia
70
Capítulo 4 Metodología
4.1 Modelo
La metodología que se plantea en el presente trabajo integra la visión de RPN y
de ADSI en un marco de trabajo conjunto, y dado que en las empresas se carece
de la figura del analista de negocios se propone que estas etapas se trabajen en
conjunto con las áreas involucradas, y el experto en sistemas de información. Si no
es posible, es conveniente que por lo menos en las etapas 4 y 5 esté presente
alguien del área de TI específicamente de desarrollo.
Cae mencionar que la metodología elegida para llevar a cabo el ciclo de vida del
proyecto de software puede influir en el seguimiento a esta metodología, en el
caso de la metodología en cascada el paso 5 no lleva el desarrollo de prototipos de
software y no regresa al paso anterior. En cuanto a la actividad específica de
desarrollo de prototipos, hablando de prototipos de software (pantallas),
únicamente se utilizará cuando la metodología a elegir sea el Modelo de Prototipos,
en caso contrario los prototipos quedarán reducidos a los de RPN.
La figura 19 muestra las etapas propuestas para esta metodología.
71
Figura 19. Metodología
Fuente: propia
72
4.2 Detalle
A continuación se detalla cada una de las 8 etapas dentro de la metodología de
trabajo propuesta:
1. Desarrollar visión de negocio y objetivos de procesos
Uno de los errores que se han cometido al tratar de rediseñar procesos de
negocio dentro de las empresas es simplemente racionalizarlo, eliminando
ineficiencias y cuellos de botella y perdiendo por completo de vista el contexto
total. Es necesario priorizar objetivos y definir estrategias concretas de acción,
así como visualizar a la empresa de manera integral.
2. Identificar procesos a rediseñar
Todas las organizaciones podrían alcanzar niveles altos de mejora si realizaran
un rediseño total de sus procesos dirigido por el uso de tecnologías de
información, sin embargo, esto tendría costos económicos y de esfuerzo muy
altos por lo que se recomienda que se realice un análisis y se elijan los
procesos de alto impacto para el tipo de negocio en que se planea realizar el
rediseño.
3. Entender y medir los procesos existentes
Es importante tener una línea base de salida antes de realizar el rediseño
debido a que de esta manera se puede entender mejor cuáles son las áreas de
oportunidad y posibles mejoras a alcanzar. Además, deberían medirse
periódicamente y entrar en un proceso de mejora continua.
4. Identificar Tecnologías de información posibles a utilizar
73
Para ello se requiere de la participación de un experto en tecnologías de
información para que asesore en las posibilidades que ofrecen, el impacto y los
costos. Entre más temprana sea la etapa en la que este experto puede
participar es mejor, incluso en la primer fase es conveniente que entienda hacia
donde se dirige la empresa.
La tecnología de la información es un recurso poderoso para la innovación de
procesos, aunque no puede cambiar los procesos por sí misma tiene un
impacto importante en la innovación de procesos como se muestra en la tabla
7 (Davenport, 1993).
Impacto Explicación Automatización Elimina personal de un proceso
Información Captura información de un proceso con el propósito de entenderlo
Secuencia Cambia la secuencia de un proceso o permite el paralelismo
Control Sigue de cerca el estado del proceso y los objetos
Analítico Mejora el análisis de la información y la toma de decisiones
Geográfico Coordina procesos a través de las distancias
Integrador Coordina actividades y procesos
Intelectual Captura y distribuye activos intelectuales
Desintemediador Eliminar intermediarios del proceso
Tabla 7. Impacto de la tecnología en los procesos Fuente: Davenport (1993)
5. Diseñar procesos y desarrollar prototipos
Es necesario realizar sesiones de trabajo que involucren lluvia de ideas para
asegurar que se tengan varias opciones para elegir, incluso tal vez sea
necesario regresar a este punto antes de definir el proceso final. Se recomienda
que esta actividad sea iterativa para llegar a una definición óptima.
6. Selección de mejoras a realizar
74
Esta etapa es muy importante y no se tiene bien definida por ninguna de las
dos herramientas, por un lado, los especialistas en tecnologías de información
se enfocan en el producto que están construyendo para realizar las pruebas; y
por el otro lado, la reingeniería solo mide tiempos y movimientos de las
actividades a realizar, por lo que se hace necesario una visión integradora para
poder determinar el mejor camino de acuerdo al objetivo de la estrategia.
75
7. Medición y control de los nuevos procesos
Una vez realizadas las mejoras será necesario medir y controlar los resultados
que se obtuvieron para compararlos con la línea de partida y verificar si
representan el avance o mejora que se esperaban, de lo contrario puede servir
de línea base para un nuevo rediseño.
8. Implementar plan de mejora continua
A diferencia de otras metodologías, este paso se considera importante ya que
como se mencionó al inicio de este trabajo la manera de hacer negocios se
encuentra en constante cambio, y que decir del avance vertiginoso que tienen
las tecnologías de información, por lo que si no se quiere volver a caer en un
nivel de insuficiencia es necesario que se planteen periodos de revisión de los
procesos y actualización de nuevas tecnologías.
Con esta metodología se pretende mostrar un acercamiento al resultado de aplicar
la metodología aquí diseñada, de manera que se resalten las diferencias y mejoras
al incluir un analista de negocios desde la fase de inicio del proyecto.
Por razones de alcance del presente estudio teórico no se realizarán las etapas 7 y
8 y se dejarán como precedente para futuras investigaciones.
76
Capítulo 5 Aplicación de la metodología
En este apartado se muestra el desarrollo del proyecto y los resultados obtenidos
en cuanto a la herramienta que se generó y los cambio en los procesos que se
dieron.
5.1 Desarrollo
1. Desarrollar visión de negocio y objetivos de procesos
Se requiere de una herramienta que consolide el recurso humano con el que se
cuenta dentro del grupo como una sola base de información de la plantilla de
empleados. Esta herramienta debe ser fácil de operar y debe contener el flujo
de aprobación/autorización con que actualmente se trabaja de forma manual.
Derivado de la integración del analista de negocios desde la fase de inicio del
proyecto se detecta que el modelo actual de control de accesos con el que la
empresa regularmente trabaja se encuentra totalmente descentralizado, cada
una de las aplicaciones se ha construido como elemento aislado una de la otra
con su propio esquema de control de accesos, esto dificulta la administración
de los datos.
El principal objetivo que se persigue se puede visualizar en la figura 20.
77
Figura 20. Modelo de control de accesos
Fuente: propia
2. Identificar procesos a rediseñar
El principal proceso que se busca optimizar con esta nueva herramienta es la
administración de empleados: altas, bajas y revisión trimestral.
Como objetivos secundarios se plantean:
• Asignación de recursos (Computadora de escritorio, computadora personal,
línea de teléfono, celular, automóvil, estación de trabajo, tarjeta
corporativa).
• Control de accesos a los sistemas de información
3. Entender y medir los procesos existentes
Específicamente el proceso de alta de empleados tomaba una semana, una de
las principales demoras era la espera de respuesta para obtener la clave de
usuario que viene desde Alemania. Actualmente con la implantación de la
herramienta y la mejora que se realizó al proceso toma solamente tres días;
aunque en tiempo representa un 40% de optimización, las ventajas de la
creación del nuevo SI son la centralización de información, explotación a través
de reporteo y generación de avisos (recordatorios).
78
Por otra parte, el proceso de bajas tomaba solamente un día, sin embargo, no
era para nada confiable, ya que la baja de los sistemas se realizaba de forma
manual y en ocasiones el supervisor llegaba a olvidarse de realizar la tarea. Con
el nuevo sistema se sigue dependiendo de la baja de algunos sistemas de
manera manual, pero a largo plazo y conforme se sigan desarrollando
herramientas para la localidad se llegará al objetivo perseguido.
4. Identificar Tecnologías de información posibles a utilizar
Desde el inicio del proyecto la necesidad planteada por los usuarios es contar
con un sistema de información que les permita tener el control de empleados
contratados.
5. Diseñar procesos y desarrollar prototipos
A continuación se muestran los nuevos flujos de procesos ya rediseñados que
se llevan a cabo a través del nuevo SI, el flujo de altas queda queda como se
muestra en el diagrama 5.
1. El Solicitante genera una solicitud para el nuevo empleado y la envía a
revisión. Un Solicitante es aquel empleado con nivel de Supervisor y que
tendrá a su cargo al nuevo empleado.
2. El Aprobador recibe notificación y determina si la aprueba o no. El
Aprobador es el gerente del área donde se encuentra el empleado que
genera la solicitud.
3. Si la solicitud se aprueba, el Solicitante recibe la notificación.
4. El Solicitante captura información general del empleado y especifica los
accesos y recursos que necesitará de acuerdo a sus funciones.
5. El área de Recursos Humanos recibe notificación de solicitud aprobada y
captura UID.
79
6. Cada Administrador de Sistema recibe notificación de permisos
solicitados y los aprueba o deniega.
7. El solicitante recibe notificación de accesos aprobados o denegados para
las aplicaciones solicitadas.
8. El nuevo empleado recibe notificación de accesos y contraseña temporal
para los Sistemas.
Diagrama 5. Nuevo flujo de alta de usuarios Fuente: propia
El flujo de bajas de empleados se simplifica como lo muestra el diagrama 6.
1. El Solicitante realiza la baja del empleado. El Solicitante puede ser un
supervisor, director o personal de Recursos Humanos.
2. Cada Administrador de Sistema recibe notificación de la baja del
empleado y procede a eliminar los accesos que tiene.
3. El solicitante recibe notificación de baja de accesos.
80
Diagrama 6. Nuevo flujo de baja de usuarios Fuente: propia
El flujo de mantenimiento de usuarios se muestra en la figura 7.
1. El Gerente de TI programa aviso de revisión trimestral en el nuevo SI.
2. Cada Administrador de Sistemas recibe aviso de revisión trimestral una
vez que se cumple la fecha.
3. El Gerente de Infraestructura recibe aviso de revisión trimestral una vez
que se cumple la fecha.
4. Cada Administrador de Sistemas genera la lista de usuarios, verifica los
niveles de acceso y archiva evidencia de la revisión.
5. El Gerente de Infraestructura solicita las lista de usuarios de EWD.
6. El área de Recursos Humanos obtiene la lista de usuarios de EWD
7. En conjunto, el Gerente de Infraestructura y el responsable de Recursos
Humanos revisan y depuran el listado de usuarios EWD.
8. El Gerente de Infraestructura genera el lisado final de usuarios de EWD
y archiva evidencia de la revisión.
9. El Gerente de TI revisa el listado final de usuarios EWD y lo compara
contra los accesos de Lotus Notes.
81
Diagrama 7. Nuevo flujo de mantenimiento de usuarios
Fuente: propia
6. Selección de mejoras a realizar
Una vez liberado el SI se detecta la necesidad de implementar un proceso de
trasferencia de empleados entre empresas del grupo, como lo muestra el
diagrama 8.
1. El Solicitante genera una solicitud para la transferencia del empleado y la
envía a revisión. Un Solicitante es aquel empleado con nivel de
Supervisor y que tendrá a su cargo al nuevo empleado.
2. El Aprobador recibe notificación y determina si la aprueba o no. El
Aprobador es el gerente del área donde se encuentra el empleado que
genera la solicitud.
3. Si la solicitud se aprueba, el Solicitante recibe la notificación.
4. El Solicitante captura información general del empleado y especifica los
accesos y recursos que necesitará de acuerdo a sus funciones.
82
5. El área de Recursos Humanos recibe notificación de solicitud aprobada y
captura UID.
6. Cada Administrador de Sistema recibe notificación de permisos
solicitados y los aprueba o deniega.
7. El solicitante recibe notificación de accesos aprobados o denegados para
las aplicaciones solicitadas.
8. El nuevo empleado recibe notificación de accesos y contraseña temporal
para los Sistemas.
Diagrama 8. Flujo de transferencia de usuarios Fuente: propia
5.2 Sistema de Información
Una de las tendencias que se observa a nivel global es contar con sistemas web
que permitan a los usuarios el acceso desde cualquier punto en el que se
83
encuentren, si bien es cierto, esta tendencia tiene implicaciones de seguridad, pero
cada vez será más necesario dar movilidad a los usuarios.
Entre las ventajas que tienen las aplicaciones web sobre las de escritorio se
encuentran:
• Compatibilidad multiplataforma
• Menos requerimientos de hardware
• Acceso inmediato
• Usuarios concurrentes
• Información en línea
• Facilidad de actualización
Una de las estrategias de la empresa es contar con aplicaciones de administración
del negocio vía web para dar movilidad y flexibilidad a sus empleados. Por ello se
decidió desarrollar la aplicación solicitada por Recursos Humanos en plataforma
web.
5.2.1 Características del Sistema de Información
Las características del nuevo SI son:
• Plataforma web
• Multiempresa
• Control de accesos web
5.2.2 Funcionalidad del Sistema de Información
La funcionalidad desarrollada fue:
84
5.2.2.1 Flujo de alta de empleados
Denominado de manera interna como on-boarding cuenta con las siguientes
opciones
• Listado de solicitudes en proceso
• Nueva solicitud
• Aprobación de solicitud
• Captura de Clave (TID)
• Solicitud de acceso
• Aprobación de permisos
La figura 21 muestra el módulo de altas con el listado de solicitudes en proceso (Captura TID).
Figura 21. Listado de empleados
Fuente: propia
5.2.2.2 Baja de empleados
Denominado de manera interna como off-boarding durante la fase de diseño se
buscó simplificarlo y se decidió que un perfil determinado puede dar de baja a
85
cualquier empleado sin necesidad de aprobación, únicamente se notifica a los
involucrados. La persona responsable realiza una búsqueda del empleado a dar de
baja y al seleccionarlo aparece la pantalla de detalle (figura 22) con la opción para
darlo de baja.
Figura 22. Baja de empleados
Fuente: propia
5.2.2.3 Mantenimiento a accesos
Para facilitar la revisión trimestral realizada por supervisores se implementó un
mecanismo que incluye configuración y revisión. La configuración permite
programar la siguiente revisión (ver figura 23) y a partir de ahí la herramienta
notificará cada vez que se acerque la siguiente revisión.
El proceso desarrollado implica que el SI proporciona un listado de los accesos que
los empleados de cada supervisor tienen a su cargo y permite mantener o
denegarlos a través de botones en la pantalla.
86
Figura 23. Mantenimiento a accesos
Fuente: propia
5.2.2.4 Configuración de accesos Web
Contar con un solo punto de acceso a los sistemas no es fácil, la estrategia para
este proyecto fue que únicamente los sistemas basados en Web se conecten a la
base de datos de este sistema.
Para que la funcionalidad descrita sea posible es necesario que por cada sistema
web con que cuenta la empresa dentro de esta base unificada se contemplen los
menús y botones de cada herramienta, a su vez, cada herramienta web debe
cambiar su base de control de accesos (propia) y direccionar la validación de
cuentas de usuario a esta herramienta.
La figura 24 muestra la configuración de un usuario para el “Sitio de Distribuidores
Autos”, definidas en las opciones de menú que se habilitaron.
87
Figura 24. Configuración de accesos
Fuente: propia
88
5.2.2.5 Registro de movimientos
Al principio no se contaba con esta funcionalidad, pero debido a la renuencia de
los usuarios a utilizar la herramienta fue necesario implementarla porque se
quejaban de no recibir las notificaciones. La figura 25 muestra la configuración de
las notificaciones por cada tipo de transacción.
Figura 25. Bitácora de movimientos
Fuente: propia
89
En la figura 26 se muestra un ejemplo de notificación por correo electrónico.
Figura 26. Notificación de alta
Fuente: propia
5.2.2.6 Reporteo
Como toda base de información, una de los principales objetivos es su explotación
para su posterior análisis, seguimiento y toma de decisiones, es por ello que se
cuenta con reportes de:
• Solicitudes de altas
• Empleados
• Accesos a sistemas
• Recursos asignados
La figura 27 muestra el módulo de reporteo y la pantalla de “Reporte de accesos”
90
Figura 27. Generación de reportes
Fuente: propia
91
5.3 Resultados
A continuación se muestra la tabla de resultados una vez implementado el sistema, la cuál abarca la funcionalidad, otras características, el tiempo en proceso para los procesos analizados: altas, bajas y mantenimiento, número de áreas involucradas y las estrategias de negocio que se atacaron con este proyecto:
Inicial Final
Funcionalidad Administración de empleados
Administración de empleados
Reportes Reportes
Asignación de recursos
Control de accesos
Transferencia de empleados
Mantenimiento a usuarios (automatización)
Bitácora de movimientos
Otras características Multiempresa Multiempresa
Multilenguaje
Punto de acceso único
Tiempo en proceso (Alta, Baja, Mantenimiento)
5 días 2 días 3 días
2 días 1 día 2 días
Áreas involucradas Recursos Humanos Recursos Humanos
Infraestructura Infraestructura
Soporte Técnico Soporte Técnico
Sistemas Supervisor
Supervisor
Estrategias Automatización Automatización
Mejora de procesos Mejora de procesos
Movilidad y flexibilidad a empleados
Tabla 8. Resultados Fuente: propia
Como podemos observar en cuestión de funcionalidad se desarrolló más de lo
previsto siendo la más importante el control de accesos, que antes se llevaba a
cabo mediante un flujo de autorización sonde el supervisor solicitaba los accesos a
92
las aplicaciones y el área de sistemas los proporcionaba. Se agregaron otras
características importantes como: Multiempresa y Punto de acceso único, siendo
ésta última la más importante a nivel tecnológico ya que representa un parte
aguas para el diseño de nuevas aplicaciones. Además, se logró disminuir el tiempo
de proceso de altas en un 40%, para el proceso de bajas 50% y el de
mantenimiento a un 30% . En el segmento de áreas involucradas se delimitaron
responsabilidades dejando fuera al área de Sistemas, lo que ayudó a hacer el
proceso más limpio. En cuanto a las estrategias de crecimiento de la empresa, se
atacaron tres en lugar de dos, esto como consecuencia de utilizar la plataforma
web dando así movilidad a los empleados que utilizan esta aplicación.
5.4 Implicaciones
En este caso la empresa cuenta con los recursos e infraestructura necesarios para
llevar a cabo una mejora de procesos y un desarrollo de sistemas propio (in-
house), además de ser una “Nueva Empresa” con un ambiente dinámico y gente
acostumbrada a trabajar en equipo y a adaptarse al cambio.
Aún con esto fue difícil el periodo de adaptación, se impartieron cursos de
capacitación a los empleados de nivel supervisor hacia arriba que son quienes
tienen acceso directo al SI, pero esto no ha sido suficiente, muchas veces recurren
aún al área de sistemas para solicitar ayuda porque no les ha quedado claro el
nuevo proceso o porque desconocen cómo funciona el software.
93
Capítulo 6 Discusión
6.1 Puntos fuertes y débiles desde el punto de vista de
los Sistemas de Información
Como ya se ha mencionado antes, los SIs tienen especial importancia dentro de la
empresa debido a que se encargan de administrar la información generada por
computadora (información digital). Esta es el principal activo dentro de las
organizaciones ya que a partir de ella se llevan a cabo todos los procesos y
permite la generación de informes con respecto a la historia, situación actual y
oportunidades de negocio, entre otros.
Existen costos asociados con la producción, distribución, seguridad,
almacenamiento y recuperación de la información; aunque se encuentra a nuestro
alrededor esta no es gratis, y de su uso es estratégico depende posicionar la
competitividad de un negocio. Es importante mencionar que el manejo de
información digitalizada difiere en forma significativa de la que se genera
manualmente, es aquí donde entran los SIs, como herramientas de entrada,
manejo y explotación de la información digital.
Entre las ventajas que proveen los SIs tenemos:
• Rapidez
• Menores costos
• Reducción de errores durante el procesamiento de información
Y entre las desventajas:
• Requieren inversiones de dinero importantes
• Falta de consolidación al momento de administrar la información
• Problemas derivados de seguridad de la información
94
6.2 Puntos fuertes y débiles desde el punto de vista de
la Reingeniería de procesos
La RPN busca actualizar la empresa en su totalidad ante las perspectivas de
modelo de negocio vigentes, con esto se asegura de su competitividad en un
mercado globalizado, por tanto conlleva varias ventajas, entre las que podemos
destacar:
• Mayor atención a las necesidades del cliente
• Cambios puntuales organizacionales y de procedimientos
• Mejoras y resultados visibles a corto plazo
• Reducción de costos (al optimizar el consumo de materias primas)
• Incremento de la productividad
• Optimización de procesos
Sin embargo, dependiendo de cada empresa en particular y de los esfuerzos con
que se realice (enfoque, presupuesto, compromiso, etc.) puede tener algunas
desventajas:
• Si se realiza en un área específica se puede llegar a perder la visión de
interdependencia dentro de la empresa
• Requiere un alto nivel de compromiso de toda la organización
• Es necesario realizar inversiones importantes
Ya hemos dado un acercamiento al mundo de los SIs y de la RPN, pero, dentro de
este trabajo es importante evaluar la mancuerna que se realizó con la RPN.
Derivado de un análisis previo se concluye que las ventajas de integrar ambas
metodologías promueven una estrategia y esfuerzo de trabajo integral, y esto
deriva en las siguientes ventajas:
• Unificación de esfuerzos
95
• Integración de equipos de trabajo multidisciplinarios
• Fijación de estrategias a largo plazo
• Desarrollo de SIs que se adecuan más a las necesidades de los usuarios
Y entre las desventajas:
• Difícil comunicación entre el equipo, ya que cada quién se especializa en su
rama y manejan diferentes conceptos
• Proyectos de lento avance al inicio
• Mayores costos
6.3 Conclusiones
El uso de las metodologías aquí expuestas ha ido en crecimiento de manera
separada en las empresas que buscan mejorar y ser competitivas, sin embargo, los
esfuerzos que se realizan solo están tomando un punto de vista, el de las RPN o el
de el desarrollo de sistemas; y, de acuerdo a las encuestas, estos esfuerzos
muchas veces no llegan a concretarse y esto los desmotiva.
Es indiscutible la necesidad de un marco que integre los esfuerzos llámese de
reingeniería, optimización o mejora de procesos y la implementación de
tecnologías y sistemas de información. De otra manera, las organizaciones van por
un camino a ciegas sin una estrategia definida y más importante aún con esfuerzos
aislados a falta de una visión integral.
La primera intención de este trabajo fue conjuntar ambas metodologías
principalmente en sus etapas de análisis, sin embargo, conforme se fue
desarrollando se cambió a únicamente integrar la visión de los expertos en
tecnologías de información en dos actividades de la metodología: definición de
tecnologías a utilizar y desarrollo de prototipos; esto con la finalidad de que cada
equipo independiente de trabajo cuente con el panorama general de lo que se
96
pretende llevar a cabo. Posteriormente el desarrollo del Sistema de Información
puede seguir la metodología seleccionada y una vez implementado se prosigue con
la metodología.
Estamos convencidos que el uso de la metodología propuesta es el primer paso
para integrar las estrategias dentro del negocio y generar la figura de Analista de
Negocios que requieren las empresas por dos razones principales, la primera: la
persona que se integre a los proyectos va a adquirir conocimientos del negocio a
medida que pase el tiempo, la segunda: los cambios que sufre la metodología
original de RPN en cuanto a actividades no tienen tanto impacto excepto en la
mentalidad de las personas.
Un problema que vemos para la implementación de la metodología propuesta es
que actualmente en México las empresas pertenecen y se manejan con las
enseñanzas de la vieja escuela, por lo que cuesta trabajo innovar y formar equipos
de trabajo de diferentes áreas que en verdad sean productivos, que acepten otros
puntos de vista y que lejos de competir busquen el bien común.
Creemos firmemente que las empresas del futuro una vez superado el paradigma
de la nueva empresa, cuyas características se mencionaron en el capítulo I, serán
aquellas capaces de operar de manera holística, como un todo, donde todas y
cada una de las áreas estén involucradas y donde se dé especial prioridad a la
integración de la estrategia y de los procesos interdepartamentales; y aún más allá
de integrar las propias áreas, aquéllas que logren integrar a sus socios de negocio
serán más eficientes.
97
6.4 Futuras investigaciones
En el caso de estudio se detectó e implementó (aunque no completamente) el
control de acceso centralizado (Single point of access) esto para simplificar el
proceso y facilitar a los usuario el complejo manejo de tantas contraseñas.
¿Y que pasaría si esta estrategia se aplicara a otras bases de información? Tales
como la elaboración de reportes (Single Point of Reporting) que hoy día es uno de
los problemas que enfrentan las empresas debido a que cada área opera con SIs
diferentes. O el manejo de catálogos (Single Point of Information) que también es
un problema cada vez que se buscan desarrollos que integren las áreas operativas,
los SIs no se comunican entre sí! Y para trabajar con la base de información es
necesario mapear los productos que se definieron previamente en un SI con el
otro con el que se busca la conexión.
Además, el presente trabajo se centró únicamente en los SIs como parte de las
tecnologías de información y comunicación, sin embargo, debería existir un marco
integral que considere los procesos de negocio, tecnologías disponibles
(infraestructura y equipos) y sistemas de información.
98
Bibliografía
Andreu, R.; Ricart, J. y Valor, J. (1995), “La organización en la era de la
información”, Barcelona, IESE
Areitio Bertolin, Javier (2008), “Seguridad de la Información”, Ed. Paraninfo
Arturo Tovar, A. M. (2007), “CPIMC. Un modelo de administración por procesos”,
México, Panorama
Bond, T.C. (1999), ”Systems Analysis and Business Process Mapping: a Symbiosis”,
Business Process Management Journal, Vol. 5, No. 2, pp.164-178
Boehm, Barry (1986), "A Spiral Model of Software Development and
Enhancement", ACM SIGSOFT Software Engineering Notes
CABERO ALMENARA, Julio (2000).
Cabero, Almenara (2000) Las nuevas tecnologias de la informacio n y la
comunicacio n: aportaciones a la ensenanza, en CABERO, J. (Ed.): Nuevas
Tecnologias aplicadas a la educacion. Madrid: Sintesis, Pp. 15-38
Castellanos, Luis R. (2009) Desarrollo de Sistemas de Información, Editorial
Académica Española.
Castells, Manuel (1998), Fin del milenio la era de la información: economía,
sociedad y cultura, Vol III, Ed. Wiley-Blackewell
Childe, S., R. Maull, B. Millis (1996), “UK Experience in Business Process
Reengineering”
99
URL: http://bprc.warwick.ac.uk/rc-rep-9.html
Davenport Thomas, Short James (1990), “The new Industrial engineering
information technology and business process redesign”, In Sloan Management
Review, Summer
Davenport, Thomas (1993), “Procees innovation: reengineering work trhrough
information technology”, USA, Ernst and young
Donovan, J.J. (1994), “Business Re-engineering with Information Technology”,
Prentice Hall
Drucker, Peter F. (2003), “La empresa en la sociedad que viene: los seis factores
que están transformando el mundo que conocemos”, España, Empresa Activa
Earl, M.J. (1994), “The new and old of Business Process Redesign”, Journal of
Strategic Information Systems, 3(1), Pp 5-22
Eneka Albizu, M. O. (2004), “Reingeniería y cambio organizacional. Teoría y
práctica”, Madrid, Prentice Hall
Fea, Ugo (1993), “Hacia un nuevo concepto de empresa occidental: la empresa
dinámica en calidad total”, Marcombo-Boixareu
Hammer, Michael (1990), “Trabajo de reingeniería: no automatice obliterate”,
Harvard Business Review, pp. 104-112
Hammer Michael, Champy J. (1994), “Reingeniería: olvide lo que sabe cómo debe
funcionar su empresa ‘casi todo está errado’”, Bogotá, Norma
100
Harmon, Peter (2003), “Business process change: a manager s guide to improving,
redesigning, and automating process”, California, Morgan Kaufman
Herbert, Simon (1997), “Admnistrative behavior”, USA, Free press
Hodson, William K. (1998), “Manual del ingeniero industrial”, México, McGraw-Hill
Howarth, Anne, Stanton, Barry, Sinclair-Hunt, Margaret (1997) “Information
Systems Management”, University of Cambridge
Johansson Henry J., P. M. (2010), “Reingeniería de procesos de negocios”, México,
Limusa.
Joint Future Systems (2011) “Estudio de percepción: Seguridad en informática
México 2011”
Kaplan, R. B., Murdock, L. (1991) “Rethinking the corporation: Core Process
Redesign”, The Mckinsey Quaterly
Light, B. (2000) “The evolution of business process reengineering”, Ed. Business
Information Technology
Lowenthal N., J. (2005), “Definición y análisis de un proceso de negocios”, México,
Panorama
Microsoft (2011) “Best practices for enterprise security”
101
Murray, M.A. y M.P. Lynn (1997), “Business Process Re-engineering/Information
System Development to Improve Customer Service Quality”, Business Process
Management Journal, Vol. 3, No. 1, pp.9-16
Pablo De, I. (1989) “El reto informático (La gestión de la información en la
empresa)”, Madrid, Ediciones Pirámide.
Parro, N. R. (1996), “Reingeniería: Empezar de nuevo”, Buenos Aires, Macchi
Reyes Ponce, Agustín (1990), “Administración moderna”, México, Limusa.
Royce, Winston (1970), "Managing the Development of Large Software Systems",
Proceedings of IEEE WESCON
Stamp, Mark (2011) “Information Security: Principles and Practice”, Ed. Wiley
Symantec (2009) “Informe de Symantec sobre las Amenazas a la Seguridad en
Internet Vol. XV”
S. Pressman, Roger (2005) Ingeniería del Software: Un enfoque practico, Ed.
McGraw Hill, 3ra Ed.
Tipton, Harold F., Nozaki, Micki K. (2011) “Information Security Management
Handbook”, CRC Press
Urbina, Baca Gabriel (2002) “Administración Informática”, Ed. Patria
Whitman, Michael E., Mattord, Jerbert J. (2011) “Principles of information
security”, Information Security Professionals, Fourth Edition.
102
Weerakkody, Vishanth, Currie, Wendy (2003) “Integrando Reingeniería de
Procesos de Negocio con Desarrollo de Sistemas de Información: cuestiones e
implicaciones”, Business Process Management, Vol. 2678, pp. 302-320
Winslow Taylor, Frederick (1911), “The principles of scientific management”, New
York, Harper and brothers
Wright, Paul (2012) “Introducción a la ingeniería”, Limusa Wiley
