GERENCIAMIENTO DE TI

Complejidad de la tecnología..................................................................................................3Complejidad de la tecnología..............................................................................................3El ambiente centralizado.....................................................................................................3El ambiente cliente/servidor................................................................................................4Las aplicaciones empresariales...........................................................................................5El futuro..............................................................................................................................6

Métricas y metodologías.........................................................................................................7Métricas y metodologías.....................................................................................................7Metodologías e indicadores..............................................................................................10CobiT, ITIL y CMM.........................................................................................................10Metodologías tradicionales...............................................................................................11TCO, TVO y CAPT..........................................................................................................12Indicadores tradicionales...................................................................................................14

Administración de desktop....................................................................................................14Administración de desktop................................................................................................14Nuevos desafíos................................................................................................................15Planeación de la capacidad...............................................................................................16Estabilidad de la plataforma..............................................................................................17Administración de la movilidad........................................................................................18Resultados en la práctica...................................................................................................19Reducción de costos..........................................................................................................20

Administración de servidores................................................................................................20Administración de servidores............................................................................................20La administración del cambio...........................................................................................22TI bajo el régimen 24X7...................................................................................................23

Administración de redes........................................................................................................24Herramientas de administración........................................................................................24Evolución de las herramientas..........................................................................................25Administración de redes....................................................................................................26Modelos de administración...............................................................................................26Administración de datos y correo electrónico...................................................................27Web Services.....................................................................................................................28

Herramientas de administración............................................................................................29Herramientas de Administración......................................................................................29Evolución de las Herramientas.........................................................................................30Administración de Redes..................................................................................................31Modelos de Administración..............................................................................................31Administración de Datos y Correo Electrónico................................................................32Principales Participantes...................................................................................................33

Seguridad..............................................................................................................................35Seguridad..........................................................................................................................35La Administración de la Seguridad...................................................................................36Brechas..............................................................................................................................37Seguridad en Redes Inalámbricas.....................................................................................39Seguridad de los Datos......................................................................................................41

Contingencia.....................................................................................................................43CIO’s, CTO’s y CSO’s.....................................................................................................44Bibliografía Recomendada................................................................................................45

El futuro de la administración...............................................................................................46El futuro de TI...................................................................................................................46Computación Bajo Demanda............................................................................................47Adaptive Enterprise...........................................................................................................49Outsourcing.......................................................................................................................49El CIO del Futuro..............................................................................................................50Bibliografía Recomendada................................................................................................51

Complejidad de la tecnología.

Complejidad de la tecnología.

Hace poco más de 40 años, la informática era vista como una forma eficiente de procesar datos y de posibilitar la automatización de funciones repetitivas, como por ejemplo las ejecutadas por los departamentos administrativos y contables de las organizaciones. En los años posteriores, su unión con la electrónica, también llamada mecatrónica o automatización industrial, contribuyó para aumentar la eficiencia y la productividad en el trabajo operacional de las industrias. En poco tiempo, otros importantes y radicales cambios transformarían el mundo y, fundamentalmente, el sector corporativo. El éxito de la alianza entre la informática y las telecomunicaciones permitió tornar realidad el concepto de globalización, expandió las fronteras de las empresas hacia el mundo entero a través de un simple toque en el mouse (un "click"). Y el futuro que nos golpea a la puerta nos muestra la llamada convergencia tecnológica: ésta reúne en un único dispositivo (aparato) teléfono, computadora, Internet, agenda electrónica, juegos, televisión, música, entre otras facilidades. Si para una persona común es difícil asimilar tantos cambios en un espacio tan corto de tiempo, para un gerente del área de Tecnología de la (TI) de una empresa todo esto representa un enorme y constante desafío. La complejidad de los actuales parques de máquinas, de redes y de sistemas instalados es muy grande y está en continua evolución. A lo cual se suma la necesidad cada vez más apremiante de entender no sólo de bits y bytes, sino también de la estrategia de negocios de la compañía, de manera que sea posible responder a las necesidades de los clientes y del mercado y establecer con los proveedores y demás asociados un intercambio de informaciones eficiente y en tiempo real. Por otro lado, los usuarios internos de la tecnología (empleados de los diversos departamentos de la empresa) también comenzaron a tener voz activa en la elección de herramientas y soluciones, lo que obliga al gerente de TI a considerar el factor humano dentro de sus atribuciones y responsabilidades.En este nuevo contexto, el profesional de TI necesitó y necesita reinventarse, tornándose más flexible y abierto, menos técnico y cerrado, como era imprescindible en un pasado no tan distante.

El ambiente centralizado.

Al retroceder en el tiempo verificamos que, hasta el final de los años 50, las computadoras eran tenidas como obra de la imaginación humana o como una fantasía extraída de los libros y películas de ficción científica. Prácticamente sólo algunos pocos segmentos, como las áreas académica, militar y el gobierno se aventuraban a probar las entonces grandiosas y complejas máquinas. En Brasil, el gobierno del Estado de San Pablo fue pionero al adquirir, en 1957, una Univac-120 destinada a calcular el consumo de agua en la capital paulista. El equipo estaba formado por 4.500 válvulas, realizaba 12 mil sumas y restas por minuto y 2.400 multiplicaciones o divisiones por minuto. En el sector privado, una de las primeras

corporaciones que invirtió en este sentido fue Anderson Clayton, que compró una Ramac 305 de IBM, en 1959. La máquina tenía cerca de dos metros de ancho y un metro ochenta de altura, poseía mil válvulas en cada puerta de entrada y de salida de la información y ocupaba un piso entero de la empresa. Considerada, en esa época, lo máximo en innovación, esta computadora necesitaba cinco minutos para buscar una información y la impresora operaba a una velocidad de 12,5 caracteres por segundo.En poco menos de 10 años, estas fabulosas máquinas evolucionaron y conquistaron el interés de las corporaciones de gran porte, órganos del gobierno federal y universidades. Corrían los años 60 y reinaban absolutamente los CPD’s - Centros de Procesamiento de Datos - que eran, en realidad, ambientes climatizados, cercados por paredes de vidrio como si fuera una verdadera urna, y estaban preparados para proteger a las grandes máquinas - los mainframes. En general, el CPD era un área aparte en la empresa, a la cual tenían acceso sólo los profesionales directamente involucrados con las computadoras, como los analistas de sistemas, técnicos de mantenimiento, programadores, operadores, entre otros. Intangible para los empleados de otros departamentos, el único eslabón de conexión entre estas islas de informática y el resto de la compañía eran las pilas de formularios continuos que contenían las informaciones procesadas, las cuales habían sido requeridas por los usuarios de algún área específica.Hasta el final de los años 70, predominó lo que por convención se llamó "la Era de los CPD’s", o también "la Era de la Computadora", en la cual todas las decisiones referentes a la tecnología estaban a cargo del Gerente de Procesamiento de Datos y de Sistemas de Informaciones Gerenciales. Este profesional reportaba a la jerarquía financiera de la organización y era imprescindible que tuviese conocimiento y competencia esencialmente técnicos. Y en ese momento el foco de la tecnología era la productividad y la tendencia organizacional del área de informática era de centralización. En este ambiente, el enfoque administrativo era el de control y las inversiones en tecnología eran conservadoras y tenían que pasar por el duro cuestionamiento y aprobación del área financiera de la organización. Confinados y aislados en el ambiente cerrado de los CPD’s, el gerente y los demás profesionales de informática permanecían ajenos a las necesidades de los funcionarios de los diferentes departamentos y también a la estrategia del negocio de la empresa. Todo el tiempo era dedicado a la creación de algoritmos, rutinas, lenguajes de programación, desarrollo de aplicativos y demás funciones técnicas. Cuando necesitaban justificar nuevas inversiones en el área, los gerentes de informática se preocupaban por demostrar las ganancias de costos del sistema, de la mano de obra y del mantenimiento, y no por los beneficios propiciados por la tecnología para la empresa como un todo. La mayor dificultad en esa época, era convencer a la directoria financiera acerca de la real necesidad de las inversiones requeridas para el aumento de la capacidad de los sistemas, mantenimiento y desarrollo de nuevos aplicativos. El área informática se veía básicamente como un sector generador de gastos y se la consideraba como "un mal necesario".

El ambiente cliente/servidor.

Al comienzo de la década del 80 los avances de la microelectrónica posibilitaron el desarrollo de computadoras menores, que ocupaban menos espacio y, al mismo

tiempo, se volvían más poderosas en lo que respecta al aumento de la capacidad de procesamiento, agilidad y memoria, tornándose más accesibles en términos económicos. A partir de 1975, todas las funciones necesarias para el funcionamiento de una computadora ya estaban integradas en un único chip. La capacidad de memoria comenzó a duplicarse cada año. Gradualmente, el procesamiento de informaciones dejaba de ser realizado en lotes de transacciones (en tiempo posterior o batch) y comenzaba a realizarse en línea (en tiempo real), o sea, las actualizaciones de los archivos eran realizadas a medida que las transacciones se efectuaban. Pero, a partir de los años 90, con la evolución de la microinformática, los cambios se volvieron más significativos y visibles. La "Era de los CPD’s" llegaba a su fin para dar comienzo a la "Era de la Información". Poco a poco, los grandes mainframes, demasiado complejos para los usuarios comunes, que exigían personal altamente especializado para operarlos y encargarse de su mantenimiento, y que además eran sumamente caros, comenzaron a ser sustituidos por máquinas servidoras de aplicaciones, en un proceso bautizado de downsizing y rightsizing. En muchas empresas, sin embargo, los mainframes fueron mantenidos para operaciones más complejas y estratégicas. Nuevas máquinas y periféricos fueron siendo agregados al parque de las empresas. Las redes terminales "burros" conectadas al mainframe fueron sustituyéndose por las estaciones cliente y por las computadoras de mesa - o personales (PC) - unidas con interfaces gráficas y aplicativos que tornaron la operación más fácil y amigable para las personas que no poseían ningún conocimiento de tecnología. Comenzaba a tener vigor el modelo cliente-servidor, proporcionando a todas las esferas de la empresa el acceso a la información. El ambiente centralizado y cerrado del mainframe y de los antiguos CPD’s le cedió el lugar a las plataformas heterogéneas. En esa época, comenzaron a proliferar los softwarehouses, disponibilizaron y aumentaron la oferta de software básico y de paquetes aplicativos, se decretó el final del área de la arquitectura propietaria y se abrió camino para el ambiente abierto y la compatibilidad entre los diferentes sistemas.

Las aplicaciones empresariales.

La informática comienza a ser entendida como Tecnología de la Información y empresas de mediano y de pequeño porte ingresan al rol de usuarias. En las grandes compañías surge un nuevo tipo de profesional: el CIO -Chief Information Officer- definido como el más alto ejecutivo, cuya principal responsabilidad es la de gerenciar o administrar información. El gerente esencialmente técnico sale de escena y entra el ejecutivo que necesita ser, ante todo, un hombre de negocios, con capacidad de gerenciar los recursos de la información y actuar como un estratega de la tecnología. La competencia requerida para el cargo es la de gerencia de negocios. El CIO comienza a reportarse al CEO - Chief Executive Officer - o al Director Ejecutivo, y su incumbencia es en el nivel de alta gerencia. El foco en la tecnología comienza a ser una ventaja de la empresa al enfrentarse a la competencia, la misión es la innovación tecnológica y las inversiones en el área son agresivas. El área de informática deja de ser vista como un sector meramente generador de costos, y se la ve como factor esencial para posibilitarle a la

empresa mantenerse ágil, competitiva e insertada en el nuevo orden económico dictado por la globalización. En el mismo compás de las innovaciones del hardware, surgen las ondas tecnológicas y los respectivos paquetes aplicativos direccionados a integrar a la empresa como un todo y a aumentar la productividad y facilitar la comunicación y la transmisión de datos en diferentes niveles. Los sistemas de gestión empresarial, conocidos por la sigla ERP (Enterprise Resource Management) son adoptados inicialmente por las empresas de gran porte y, más recientemente, por el middle market. La oferta de nuevos aplicativos para todo tipo de usuarios proliferan de manera sorprendente. La informática está en todas partesy adquiere nuevas y poderosas aliadas: Internet y las innovaciones en el campo de las telecomunicaciones. En las industrias, el empleo de la TI permite no sólo agilizar la producción sino también facilitar el contacto directo con proveedores y asociados de negocios. El foco son las redes internas y externas, intercambio electrónico de documentos (EDI, que está siendo sustituido por el Web EDI), el código de barras y soluciones que permitan la perfecta integración con la cadena de suministros (Supply Chain). En el sector financiero la atención se vuelca hacia la seguridad y el almacenamiento de datos y, también, hacia las aplicaciones de misión crítica. Las operadoras de telecomunicaciones y empresas minoristas y del área de servicios priorizan los paquetes que permiten identificar y seleccionar los clientes, como por ejemplo, las soluciones de Customer Relationship Management (CRM), o el gerenciamiento de la relación con el cliente. Las soluciones de Business Intelligence, que permiten el análisis de los datos bajo las más variadas e inusitadas perspectivas, comienzan a llamar la atención de las corporaciones de diversas áreas. La oferta de productos se diversifica aún más y se mantiene en continua evolución. En todos los tipos y portes de empresas, los usuarios comienzan a tener participación activa en la elección e implementación de nuevas herramientas. Su colaboración se torna imprescindible para el éxito de nuevos proyectos de tecnología.

El futuro.

Paradójicamente, al mismo tiempo en que la tecnología se tornó más amigable y accesible a un número mayor de personas, su gerenciamiento se volvió cada vez más complejo. Además de organizar y conciliar ambientes heterogéneos compuestos por máquinas de diferentes épocas y fabricantes, intranets, extranets, redes locales(LAN), redes de larga distancia (WAN), redes y dispositivos (notebooks, handhelds, palmtops, etc.) inalámbricos (wireless), comunicación por satélite, software para diferentes aplicaciones, firewall, anti- virus, política de seguridad y una serie de cuestiones puramente tecnológicas, el gerente de TI también necesita preocuparse con otros aspectos. Saber escuchar, respetar y atender las necesidades de los profesionales de todas las áreas de la empresa, integrar hardware y software nuevos con el legado, evaluar las innovaciones tecnológicas, no descuidar los aspectos relativos a la seguridad, preocuparse por reducir y controlar costos, alinear la TI con la estrategia de negocios de la empresa y comprobar los beneficios propiciados, son sólo algunas de sus nuevas atribuciones.

Gerenciar la TI en la actualidad significa saber trabajar las ideas y los problemas de modo a analizar la cuestión bajo diferentes aspectos que se integran: los factores estratégicos, funcionales, técnicos, tecnológicos y de costos. También se torna importante saber administrar terceros, una vez que crece la tendencia a transferir buena parte de las funciones de TI para empresas externas y especializadas.En el futuro, el gerente de TI probablemente deberá lidiar con nuevos desafíos como el grid computing, también llamado utility computing y computación bajo demanda- una manera de organizar los recursos de TI de la misma forma que las empresas públicas usan las redes eléctricas para disponibilizar sus servicios. El concepto, hasta ahora más utilizado en comunidades técnicas y científicas que en negocios comerciales, permite a los usuarios compartir energía, almacenamiento de datos y otros servicios en tiempo real. Esta tendencia, sin embargo, según afirman los consultores de mercado, aún llevará de 10 a 15 años para llegar a ser una realidad. Alvin Toffler, consultor y periodista norteamericano, autor de varios libros y respetado como "futurólogo", resalta que estamos viviendo lo que por convención se decidió llamar Sociedad de Información de la Tercera Ola, en la que el conocimiento pasó a ser el activo más importante de las empresas y no la producción. El desafío de los administradores/gerentees en todo el mundo, según cree, será el de crear redes de conocimiento capaces de interconectar los elementos monetarios de sus negocios a los factores no monetarios tales como la articulación de la sociedad civil, que cuestiona el comportamiento ambiental de las empresas. Toffler destaca tres puntos clave para la gestión del futuro. El primero es el Efecto de la Velocidad, que significa la capacidad de acompañar todas las informaciones que afectan directa o indirectamente los negocios. El segundo es el Efecto de la Complejidad, que implica administrar la diversidad de necesidades creadas por una sociedad informada, o sea, la capacidad de ofrecer productos customizados para cada cliente. Y finalmente el Efecto de la Constelación, que se refiere a la capacidad de percibir las innumerables redes que están interconectadas en un negocio. Esto no se restringe a identificar áreas de negocios, proveedores y consumidores, sino que también exige un cuidado especial con la estrategia, que necesita ser capaz de coordinar las diferentes realidades que componen la actividad económica.

Métricas y metodologías.

Métricas y metodologías.

Lo que no se puede medir, no se puede administrar. La frase es de Peter Drucker, conceptuado profesor, consultor y uno de los papas de la administración moderna, y traduce con exactitud la necesidad, cada vez mayor, de que los actuales administradores de TI (tecnología de la información) se sirvan de metodologías e indicadores que les permitan establecer objetivos, monitorear los resultados y verificar, de manera objetiva, cómo y si las metas propuestas fueron alcanzadas. La experiencia ha mostrado que los antiguos manuales de procedimientos utilizados en el pasado ya no cumplen más con los requisitos de las empresas. El turbulento ambiente empresarial, que se apoya en la tecnología y vive en una

constante mutación, exige formas más ágiles y flexibles de administración. Dentro de esta nueva óptica adquiere fuerza lo que por convención se llama Administración del Gobierno de TI, que no es nada más que una estructura bien definida de relaciones y procesos que controla y dirige una organización. El principal foco es permitir que las perspectivas de negocios, de infraestructura, de personas y de operaciones sean tenidas en cuenta en el momento de definir lo que más le interesa a la empresa en el momento de alinear la TI a su estrategia. Dentro de este contexto, además de las métricas y las metodologías que permiten mensurar la capacidad (en uso y potencial) de los sistemas, también adquiere cada vez más importancia la adopción de patrones que aseguren e impriman a la infraestructura corporativa tecnológica una mayor flexibilidad. Estos patrones tienen un papel crítico en la administración de ambientes heterogéneos, sin los cuales no sería posible facilitar la integración y la interoperabilidad entre los diferentes sistemas y soluciones. Actualmente, frente a la complejidad y a la diversidad tecnológica presente en las corporaciones ya no basta administrar la integración y la interoperabilidad entre los diferentes sistemas y soluciones. Actualmente, frente a la complejidad y diversas tecnologías presente en las corporaciones ya no basta administrar desktops, servidores, redes, datos y software de manera aislada. Todos estos componentes necesitan interconectarse para posibilitar la conectividad y los servicios, y la administración debe contemplar estas cuestiones. En este sentido, los proveedores de tecnología están adoptando patrones en sus productos para imprimirles mayor facilidad de integración y, al mismo tiempo, para permitirles a los usuarios una administración más eficaz, con costos menores. Por su parte, las empresas usuarias de tecnología también comienzan a prestar más atención a estos detalles y a escoger productos que los tengan en cuenta. Una de las principales organizaciones que tiene como foco la creación, empleo, mantenimiento y divulgación de patrones e iniciativas para la administración de ambientes de TI es la Distributed Management Task Force (DMTF - www.dmtf.org), que actualmente reúne en su rol de asociados y de colaboradores a los principales proveedores de tecnología de la información, además de grupos y entidades de patronización. El resultado de esta unión de fuerzas fue la creación de una serie de patrones que comienzan a ser adoptados por el mercado, entre los cuales se destacan el CIM (Common Information Model), WBEM (Web-Based Enterprise Management), DEN (Directory Enabled Networking), ASF (Alert Standard Format) y DMI (Desktop Management Iniciative).En términos simples, el CIM puede ser entendido como un modelo conceptual para la descripción de los ambientes de computación y de red de las corporaciones- sus componentes, configuraciones, operaciones, relaciones, etc.- sin referirse a una implementación en particular. Su utilización busca dirigir la administración, punto a punto, de las estaciones clientes hacia los servidores a través de la red, o sea, permitir el intercambio de informaciones de administración entre sistemas y aplicaciones. El CIM está compuesto por dos partes: el CIM Specification, que describe el lenguaje, nomenclatura y técnicas de mapeamiento para otros modelos de la administración (como los SNMP MIBs y DMTF MIFs, entre otros), presentando también el Meta Schema, que es la definición formal del modelo; y el CIM Schema, que provee una serie de clases con propiedades y asociaciones que propician el mejor entendimiento conceptual del framework en el cual es posible organizar la información disponible sobre el ambiente administrado. El CIM propicia una semántica patronizada, parecida a un diccionario de términos de administración, describe los ambientes de TI y de la red de la corporación. El

modelo, que fue concebido para ayudar a minimizar los impactos de la introducción de nuevas tecnologías, facilita la integración y la interoperabilidad con los sistemas ya instalados. Otro patrón desarrollado por DMTF es el Web-Based Enterprise Management (WBEM), que está dirigida a acoplar el CIM a los protocolos de Internet como los XML y los HTTP. La arquitectura del WBEM incorpora el CIM Server y a varios proveedores de datos de administración. El CIM Server actúa como un agente (broker) de información entre los proveedores de datos de instrumentación y los clientes/aplicaciones de administración. El WBEM puede ser entendido como un set de tecnologías de administración y de patrones de Internet desarrolladas para unificar la administración de un ambiente corporativo de TI. Por su parte, el Directory Enabled Networks (DEN) fue inicialmente definido como un modelo de informaciones basado en una extensión del CIM. Su función es describir cómo utilizar el CIM y un directorio para localizar y acceder a informaciones de administración. El DEN se focaliza en comunicar los beneficios, usos y estructuras de un directorio; es un componente de un ambiente completo de administración. El DEN también especifica los mapeamientos low-level LDAP para los releases CIM. Esto permite la creación de un template para realizar el intercambio de informaciones entre los directorios y posibilita a los proveedores de tecnología compartir una definición común (pero extensible) tanto de entidades como de sistemas, aplicaciones y servicios. Otro patrón que viene despertando el interés de los proveedores de TI y también de las empresas es el Alert Standard Format (ASF), que le permite al administrador de TI responder de forma proactiva y reactiva a problemas ocurridos en un sistema en particular o en varios sistemas, cuando un sistema no esté presente o disponible. Históricamente estos problemas eran resueltos con el empleo de tecnologías propietarias y muy caras. Con el ASF es posible reducir sustancialmente estos costos. El ASF consiste en un sistema cliente (o en un servidor o varios sistemas), definido como "cliente" y una consola de administración que controla y monitorea este cliente. Una computadora ASF permite realizar la administración remota en un escenario de sistema operacional ausente y una serie de acciones, tales como: transmitir mensajes por el sistema ASF incluyendo alertas de seguridad, recibo y procesamiento de pedidos remotos de mantenimiento enviados por la consola de administración, capacidad de describir las características de un sistema cliente a la consola de administración; y capacidad de describir el software utilizado para configurar o controlar el sistema cliente en una situación en que el sistema operacional esté presente. El ASF adiciona importantes medidas de seguridad, las cuales definen interfaces de alerta y de control remoto que permiten la administración proactiva de elementos de la red cuando sus sistemas operacionales (OS) estén ausentes. La especificación define el Remote Management Control Protocol (RMCP) que le permite al administrador de la red responder remotamente a un alerta de diferentes maneras: activando los sistemas, desactivando los sistemas o, forzando un rebote. Esta funcionalidad le permite al administrador ahorrarse un valioso tiempo, en la medida en que reduce las visitas al ambiente de desktop, ya que tendrá la habilidad de solucionar los problemas de manera remota, a través de la consola de administración. El ASF también define un protocolo de cuatro fases que incluye descubrimiento, autentificación, comando de transferencia y conclusión. Con estas capacidades de autentificación es posible para el administrar atender, también de forma remota, las necesidades de seguridad que la corporación requiere.

El absent (sistema operacional ausente) es definido como un estado del sistema de computación en el que el sistema operacional no está disponible. Esto puede ocurrir por problemas de boot o errores, o porque el sistema en que se encuentra está en un sistema adormecido (bajo poder). Con la especificación ASF, el administrador de la red será alertado de las fallas en componentes específicos, minimizando el mantenimiento on-site y, al mismo tiempo, aumenta la visibilidad y el acceso remoto a los sistemas locales. Sin el ASF, los problemas de sistema operacional ausente necesitan una intervención manual para poder reactivar los sistemas o forzar un rebote. Las principales proveedoras de soluciones de TI, entre las cuales se incluye a Intel, 3Com, HP, e IBM, entre otras, desempeñaron un papel activo en el desarrollo del ASF, al trabajar en conjunto con la DMTF. Estas empresas apuestan a este patrón como forma de asegurarle a los respectivos clientes del sector corporativo una forma más eficiente de administrar sus ambientes distribuidos, al ayudar inclusive a maximizar el uptime (disponibilidad) de los sistemas. Por otra parte, las corporaciones usuarias de tecnología ya comienzan a exigir este patrón en los productos. Un ejemplo reciente, en Brasil, fue el de la Caja Económica Federal que insertó en la licitación para la adquisición de desktops (cerca de 150 mil máquinas), el ASF como uno de los requisitos que las proveedoras que se postularan como candidatas deberían ofrecer en sus productos. Otro patrón desarrollado por la DMTF es el Desktop Management Interface (DMI) Specification, que establece un framework patrón para administrar desktops, notebooks y servidores conectados en red. El DMI fue el primer patrón para la administración de desktop y coexiste en los ambientes actuales con el WBEM. La especificación inicial, creada en 1993, involucraba la administración remota a través de una interface y disponía de un modelo para el filtrado de eventos. La versión 2.0, que fue dada a conocer en 1996, incrementó la especificación original a través de la definición de un mecanismo que envía las informaciones de administración a través de la red para clientes no locales o para un site central.

Metodologías e indicadores.

La ardua tarea de administración del ambiente de tecnología también puede ser facilitada con la adopción de herramientas, indicadores y metodologías que ayudan a los profesionales a dimensionar el uso efectivo y el potencial de uso de los sistemas. El rol de productos es vasto y variado. Actualmente, se suman a las soluciones conocidas y tradicionales como, por ejemplo, el Balanced ScoreCard, Return on Investment (ROI), TCO (Total Cost of Ownership), Economic Value Added (EVA), y Activity Based Costing, otros modelos que comienzan a ser empleados por el sector corporativo, como el CobiT, el ITIL y el CMM. A continuación, una breve descripción de las principales herramientas de medición que están siendo utilizadas por el mercado para ayudar en la administración empresarial.

CobiT, ITIL y CMM.

Desarrollada en los Estados Unidos, la metodología CobiT- Control Objectives for Information and Related Technology- fue creada por el Information System Audit

and Control Association (Isaca) en 1996, a partir de herramientas de auditoria. Funciona como una especie de guía para la gestión de la TI en las empresas. El CobiT incluye una serie de recursos como, por ejemplo, sumario ejecutivo, framework, control de objetivos, mapas de auditoría y un conjunto de procesos de trabajo ya establecidos y empleados por el mercado entre los cuales se incluye el CMM (Capability Maturity Model), la ISO 9000 (para calidad), BS7799/ISSO 17799 (normas para seguridad de la información) y el ITIL (para gestión del departamento de TI).El CobiT no depende de las plataformas de TI adoptadas por las empresas y su uso está orientado a los negocios, en el sentido de proveer informaciones detalladas para administrar procesos. La metodología está dirigida a tres niveles diferentes: para gerentes que necesitan evaluar los riesgos y controlar las inversiones de TI; para los usuarios que necesitan asegurar la calidad de los servicios prestados a los clientes internos y externos; y para auditores que necesitan evaluar el trabajo de gestión de la TI y aconsejar el control interno de la organización. El foco principal es apuntar dónde deben realizarse las mejoras. Complementario al CobiT, el ITIL - Information Technology Infraestructure Library - es una biblioteca que describe las mejores prácticas de gestión, específicamente elaborada para el área de TI. Creado a fines de los años 80 por la Central Computing and Telecommunications Agency para el gobierno británico, el ITIL, que reúne un conjunto de recomendaciones, se divide en dos bloques: soporte de servicios (service support), que incluye cinco disciplinas y una función; y la entrega de servicios (service delivery), que posee cinco disciplinas más. Los puntos focalizados presentan las mejores prácticas para la central de atención, administración de incidentes, administración de problemas y administración financiera para servicios de TI.Dirigido a ayudar a las empresas a mejorar la productividad de los procesos de desarrollo de software y a organizar el funcionamiento de sus ambientes de tecnología de la información, el CMM - Capability Maturity Model - es una metodología que muestra las metas que deben ser alcanzadas y actúa como un modelo de orientación y calificación de las etapas madurez. El CMM define cinco niveles de madurez para los ambientes de desarrollo de software (inicial, repetible, definido, administrado y optimizado, siendo que cada uno está compuesto por un conjunto de áreas clave de proceso (KPA - Key Process Areas) que describen las cuestiones y los grandes temas que deben ser abordados y resueltos para alcanzar un determinado nivel.

Metodologías tradicionales.

Una de las metodologías más buscadas en la actualidad es el Balanced ScoreCard, creada al inicio de la década del 90 por Robert Kaplan y David Norton, ambos profesores de Harvard University (EUA). Su empleo, que le permite a una empresa obtener una base más amplia para la toma de decisiones, considera cuatro perspectivas: la financiera (según la visión de los accionistas), la de los clientes, la de los procesos internos de negocios, y la de innovación. En la práctica, la metodología consigue mostrar lo que es más crítico y da la posibilidad de direccionar los recursos hacia los procesos que de hecho agregarán valor a la empresa. La tecnología es una pieza importante para poner el BSC en funcionamiento pero no es suficiente porque la metodología interactúa con la

cultura de la corporación. Por ser compleja e involucrar a toda la estructura empresarial, la adopción de este modelo debe partir de la alta dirección o del propio presidente de la empresa.El proyecto de instrucción de BSC se aplica a cualquier empresa, independiente del ramo de actividad y del porte y lleva en media de 8 a 12 semanas para ser concluido; pero, los beneficios comienzan a ser percibidos un año después de la implementación. El empleo de esta metodología posibilita una visión amplia, general e integrada de la empresa, a través de diferentes paneles. Se trata de un modelo flexible, que permite ajustes a lo largo del tiempo.El Balanced ScoreCard crea un lenguaje para comunicar la misión y la estrategia de la empresa a todos los empleados y utiliza indicadores para informar sobre los vectores de éxito alcanzados en el momento y los pretendidos en el futuro. De esta forma, es posible canalizar las energías y los esfuerzos de las personas para alcanzar los objetivos de largo plazo.Otro indicador de desempeño muy buscado por el sector corporativo es el Return on Investment -ROI-, que se utiliza para apoyar y justificar nuevas inversiones en tecnología. El ROI se calcula considerando el beneficio anual proveniente de la inversión divido por el monto invertido; se expresa en porcentaje y, por lo tanto, es fácilmente comparable a otras tasas, como por ejemplo, la de interés y la de costo de capital. Este indicador, sin embargo, no considera los riesgos involucrados y tampoco otras variables a lo largo del tiempo. En este sentido, no es muy recomendado para la evaluación de proyectos de larga duración, en los que los costos y beneficios tengan que pasar por grandes alteraciones a lo largo del tiempo. Aún así, el ROI es uno de los indicadores preferidos de los principales ejecutivos de las empresas, debido a que ofrece un valor cuantificable y bien definido.

TCO, TVO y CAPT.

Actualmente, la gran preocupación del sector corporativo es verificar hasta qué punto los gastos se están realizando de forma inteligente y cuáles son las ganancias reales obtenidas. Lo más importante no es saber sólo cuánto se invierte en TI sino también tener una comprensión general de su impacto en la organización. Entre las metodologías existentes, una de las más conocidas y que se tornó patrón en el mundo entero es el TCO - Total Cost of Ownership -; desarrollada en 1987 por el Gartner Group, actual Gartner Incorporated, está evolucionando hacia un concepto aún más amplio bautizado de TVO - Total Value of Opportunity.El TCO comenzó a ser ampliamente considerado a medida que la computación distribuida se desarrollaba y las empresas se dieron cuenta de que a pesar de que el modelo cliente/servidor ofrecía una serie de beneficios sumamente válidos, en contrapartida, traía una serie de desafíos que el modelo anterior de cierta manera no traía, por ser más controlado. Entre estos desafíos, los principales eran la gestión de costos y la cuestión de seguridad. Inicialmente la metodología fue desarrollada para medir sólo los costos relativos a las PCs. Luego el concepto maduró, fue expandido para abarcar todo el resto de la computación distribuida, como redes LAN (Local Area Network), brigdes, hubs, ruteadores, periféricos, etc. La idea principal que se intentaba transmitir al sector corporativo, a fines de los años 80, a través del análisis del TCO, era la de que el costo de poseer un activo

de TI no se restringía al costo de adquisición de este activo. El valor pago para la compra de la solución o del equipo representaba sólo una pequeña parte de una ecuación mucho más compleja que incluía también los costos relativos al mantenimiento y al uso de este activo a lo largo del tiempo. Similar a un plan de cuentas contable, el plan de cuentas del TCO incluye todos los costos de mantener una solución de TI: tanto los costos directos y presupuestados (como adquisición de hardware y software, operación y administración), como los costos indirectos y no presupuestados (como tiempo de inactividad de los sistemas y operaciones de los usuarios finales).Analizar los costos de TI de una manera más amplia, sin embargo, aún no es considerado por muchas empresas como totalmente satisfactorio. Muchas desean comprobar los reales beneficios propiciados por la tecnología en uso. Basándose en esto, Gartner comenzó a realizar también investigaciones para usuarios de negocios. El resultado fue la creación de una nueva división bautizada G2, compuesta por analistas especializados en análisis de negocios, que desarrollaron el Gartner Business Performance Framework (GBPS) - un framework de métricas de oferta, demanda y soporte.El framework GBPF constituye una parte importante de una nueva herramienta del Gartner bautizada como TVO - Total Value of Opportunity. Basada en la Web, la herramienta ayuda al cliente a construir un Business Case que consiste en presentar los proyectos que quiere implementar en su empresa. La columna vertebral del TVO está formada por siete preguntas - las Seven Business Value Questions. Son cuestiones simples, tales como la descripción de la iniciativa pretendida, dónde esta iniciativa causará impacto en el negocio, cuánto cuesta, facilidad y dificultad de implementación, entre otras. Otra metodología existente para medir el costo total de propiedad es el Costo Anual por Teclado -CAPT-, creado alrededor de 1998 por el CIA/ FGV (Centro de Informática Aplicada de la Fundación Getulio Vargas de San Pablo). El método se caracteriza por la simplicidad y la facilidad de aplicación, y consiste, básicamente, en levantar todos los valores direccionados hacia el área de TI (inversiones y gastos con hardware, software, mantenimiento, soporte, actualización, entrenamiento de empleados y todo lo demás que esté bajo la rúbrica de TI), llegar a un valor único y dividir esta cantidad por el número de "teclados" o de equipos existentes en la empresa. La facilidad está justamente en el hecho de que toda empresa dispone de estas informaciones. La propuesta del CAPT es la de ser un indicador que provee una visión clara de cómo la empresa se encuentra en aquél momento, o como mínimo, cómo está la administración de los recursos de tecnología. El CAPT no se basó en ningún modelo preexistente, sino que fue el resultado de un trabajo de investigación que realizó el equipo de investigadores del CIA, que incluye profesores y alumnos de la Fundación Getulio Vargas, y que intentaba identificar cuáles eran las informaciones importantes que necesitan ser recogidas para poder medir, de manera eficiente, los costos de la TI. La metodología de la FGV provee sólo una parte de la radiografía sobre los costos de la TI de una empresa. Los propios creadores del método reconocen su limitación. Permite obtener pocas informaciones y exige el uso de otros indicadores para proveer una mejor percepción sobre la dirección de los gastos e inversiones en TI. Para evaluar los costos referentes específicamente al uso de aplicativos existe otra metodología denominada Total Cost of Application Ownership (TCA), que se aplica especialmente para evaluar los costos relativos a la computación basados en la red. Con la proliferación de uso de redes en las compañías, muchas aplicaciones son puestas a disposición de los usuarios fijos,

móviles y para los que se encuentran dispersos geográficamente. Los aplicativos deben estar accesibles a través de una gran variedad de opciones de conectividad, como redes LAN, WAN, VPN, wireless y Web based, entre otras. También el número y la variedad de dispositivos fijos y móviles como PCs, notebooks, PDAs, etc., han crecido mucho en las compañías. El TCA tiene como foco el análisis de los costos asociados a los dispositivos específicos de computación, y tiene en cuenta cómo los aplicativos son disponibilizados, la localización de los usuarios, las opciones y la variedad de conectividad y la variedad de tipos dispositivos-cliente.

Indicadores tradicionales.

Además de las metodologías y métricas específicas para el área de TI, los administradores de informática también pueden valerse de otros sistemas que ya venían siendo utilizados por las empresas antes del uso masivo de la tecnología. El método Activity Based Costing (ABC), por ejemplo, fue inicialmente introducido en el sector industrial. Usado como una poderosa herramienta para la administración de los costos de producción, fue posteriormente empleado también en otras áreas, como la de servicios. La idea básica es la de que todas las actividades de una empresa direccionadas a soportar la producción y la distribución de bienes y servicios deben ser consideradas como costos del producto. El ABC integra varias actividades diferentes, entre las cuales encontramos el análisis de valor, el análisis de procesos, el control de costos, el control de calidad. Los abordajes basados en actividades generan informaciones importantes para apoyar la toma de decisiones, en la medida en que proveen a los gerentes un panorama claro de cómo se comportan los costos y cuáles son las formas de controlarlos eficientemente para optimizar el desempeño de los negocios. Algunos administradores también usan el Economic Value Added (EVA) -Valor Económico Agregado-, método de desempeño corporativo desarrollado por la consultora norteamericana Stern Stewart, en la década de 80, que corresponde a la sustracción del lucro operacional del costo de capital. Además existen otras metodologías y métricas que constituyen importantes herramientas para ayudar a los gerentes de tecnología a monitorear y a controlar costos y tambiéna evaluar beneficios. El empleo de estos sistemas, de manera individual o combinada, está volviéndose obligatorio para que las corporaciones se mantengan ágiles y se aseguren su poder de competitividad.

Administración de desktop.

Administración de desktop.

Durante décadas, el director del área de informática se limitó a administrar la tecnología de forma táctica y técnica. El ambiente centralizado, basado en la tecnología propietaria, que tuvo su auge en los años 60 y 70, aunque presentaba

una gran complejidad, era más fácil de ser administrado. La atención del administrador del área estaba básicamente focalizada en el desarrollo de aplicativos, análisis de sistemas, cuidados de equipos, mantenimiento, atención a las solicitudes de los diferentes departamentos de la empresa y control de las actividades técnicas. La diversidad de máquinas y de softwares era pequeña si se la compara con el presente. Al mainframe estaban conectados algunos periféricos y las entonces llamadas "terminales burro", que eran las que permitían a un limitado número de usuarios el acceso a los datos. En este período, la elección de nuevas tecnologías estaba, de cierta manera, facilitada en la medida en que había pocos proveedores que actuaban en el mercado. Este modelo dejó de tener vigor con la proliferación del ambiente cliente servidor y de la computación distribuida. En un corto espacio de tiempo, nuevas empresas proveedoras de hardware y de software ampliaron considerablemente la oferta de opciones, tornando más complicado el proceso de elección. Por otro lado, los usuarios de diferentes departamentos de la corporación comenzaron a tener acceso a herramientas de tecnología, lo cual dio como resultado el aumento del número de estaciones de trabajo, de computadoras de mesa (desktops, las conocidas PCs) y de los devices móviles (notebooks) en uso. Con esto, el ambiente de la informática se volvió múltiple y mucho más complejo. Muchas empresas comenzaron a disponer de un parque tecnológico, compuesto por máquinas de diferentes fabricantes, portes, años de fabricación, y que funcionan bajo diferentes sistemas operacionales y utilizan diferentes versiones de software. Antiguas y nuevas generaciones de herramientas de TI conectadas en redes y conviviendo en un mismo ambiente, el cual pasó a sufrir transformaciones constantes. Administrar la tecnología de la información dejó de ser una actividad puramente técnica. Hoy, significa direccionar recursos para alcanzar objetivos estratégicos.

Nuevos desafíos.

La dinámica de la evolución tecnológica generó un efecto colateral. Los altos costos directos e indirectos relacionados con el mantenimiento de todo el aparato de computación llevaron a las empresas a re-evaluar su infraestructura de TI y a buscar identificar, medir y comprobar los beneficios propiciados en términos de disponibilidad, confiabilidad, accesibilidad y eficiencia de los sistemas. Y al tener en cuenta esta variedad de cambios, le cabe al director de TI la difícil tarea de imprimir eficiencia a los procesos de negocios, y al mismo tiempo, reducir costos operacionales. La buena administración y la mejor utilización del parque de computadoras instalado comenzaron a ser fundamentales y también el principal desafío del administrador de TI en la actualidad.En lo que se refiere específicamente al parque de PCs (desktops), estudios de Gartner Inc. mostraron que las empresas que no mantienen una administración adecuada del hardware y del software distribuidos pueden registrar un aumento anual del orden del 7% a 10% en el uso total de propiedad. A través de un monitoreamiento no apropiado, estas corporaciones terminan accediendo a informaciones inadecuadas para planear upgrades de hardware o sistemas operacionales. Además de aumentar los costos, la administración colabora para que los administradores del área tracen previsiones incorrectas sobre los equipos que los usuarios de hecho poseen y para los cuales deben desarrollar

aplicaciones. El instituto de investigaciones también concluyó que, por el contrario, cuando la administración es adecuada y bien ejecutada se puede reducir el TCO (costo total de propiedad) en alrededor del 30%. La estrategia se resume en focalizar la reducción de costos de todas las fases del ciclo de vida de la PC y tener en cuenta también el ambiente de TI del que forma parte. Centralizar el control de TI y optar por la adopción de un ambiente patronizado o estandarizado, (con productos de un único fabricante o de pocos proveedores), son otras actitudes que pueden traer grandes beneficios, entre los cuales podemos nombrar los siguientes: facilitar el soporte, agilizar la resolución de problemas, facilitar la actualización antivirus y programas aplicativos, maximizar el entrenamiento de usuarios, además de reducir costos. Una encuesta realizada por Giga Information Group mostró que la patronización de PCs puede generar reducciones del orden del 15 al 25% en el costo de la TI durante el ciclo de vida de los sistemas.

Planeación de la capacidad.

El ciclo de vida de las PCs está dividido en cuatro etapas principales: evaluación , distribución/migración, administración y desactivación/renovación. Para evitar errores sencillos, como por ejemplo, proveer una máquina con un procesador de alta potencia, gran capacidad de memoria y recursos sofisticados a un empleado que sólo utilizará un procesador de textos y una planilla electrónica, o darle a un ingeniero un equipo que no le permita rodar aplicativos más pesados y necesarios para su trabajo, es fundamental que se realice una evaluación previa de la base de usuarios para definir la configuración de las PCs que se les destina, de manera que se atiendan sus reales demandas. El planeamiento de la capacidad (sizing) de los desktops debe tener en cuenta dos vertientes. La primera se refiere al análisis del perfil del uso de cada empleado, para que el aplicativo presente las características y funcionalidades en la medida exacta de las necesidades de trabajo de aquel profesional. En este sentido, la administración puede ser facilitada si los usuarios son agrupados en categorías, de acuerdo a sus áreas de actuación: ventas, ingeniería, administración, marketing, etc. También es importante considerar las características de trabajo de cada usuario, como por ejemplo, verificar la necesidad de trasladarse de los profesionales de campo y que normalmente participan en reuniones externas con clientes y proveedores, o los que viajan con gran frecuencia; empleados que usan aplicativos que requieren mayor poder de procesamiento, como los del área de ingeniería y de desarrollo de productos y así sucesivamente. El segundo cuidado tiene que ver con la dimensión del volumen del procesamiento de cada máquina. Este cálculo se realiza en base a datos históricos del uso de cada máquina y de proyecciones de uso futuro de los sistemas. El mundo de los negocios no es estático. Al contrario, vive en constante transformación, y esto, el administrador de TI debe tenerlo en cuenta. Es necesario evaluar y hacer el seguimiento de la evolución de los cambios dentro de la corporación y, consecuentemente, de las necesidades de cada usuario que también están en constante transformación y debe disponer de herramientas adecuadas para el desempeño de sus funciones. Verificar continuamente la necesidad de ampliar la capacidad de memoria, la capacidad de los discos, la velocidad del procesamiento, el upgrade de software, la movilidad, los recursos multimedia, los recursos para trabajo en grupo, entre

otros elementos, es fundamental para maximizar el parque de desktops y adecuar su uso efectivo. Actualmente, existen herramientas que ayudan al administrador en la tarea de realizar este levantamiento y componer un inventario sobre el número de máquinas instaladas (inclusive notebooks, PDAs y dispositivos wireless), y a monitorear sus respectivas configuraciones, software utilizado, métricas de performance y nivel de integración con otros sistemas. La distribución/migración es otra cuestión importante que debe ser considerada. En general, los usuarios acaban requiriendo horas del personal técnico del área de soporte y del helpdesk para configurar los softwares en sus equipos. Pero este trabajo puede realizarse de manera remota, a través de herramientas específicas que se apoyan en la red. La configuración automática reduce los riesgos de errores humanos y establece una mayor patronización y confiabilidad. En principio este proceso permite cargar en las nuevas PCs el sistema operacional y los aplicativos que fueron configurados en un sistema de referencia. En lo que atañe a la administración de desktops, otros dos elementos son importantes: la actualización del software y la resolución de problemas. Son procesos que también pueden realizarse de manera remota a través de herramientas específicas y por procesos de monitoreo. Fallas en las PCs significan reducción en la productividad de los empleados, por esto se recomienda la adopción de herramientas que, combinadas con aplicaciones de helpdesk, le permitan a los técnicos controlar los sistemas a través de la red y conseguir la resolución de las fallas de manera rápida y eficiente.La determinación del tiempo de vida útil de los equipos es actualmente una práctica recomendada por los institutos de investigación y por los consultores como forma de reducir costos con el soporte y el mantenimiento, además de que facilita la administración. El Giga Information Group recomienda que cada tres años el parque de desktops debe ser renovado, y cada dos, el de notebooks, al considerar que en términos monetarios es más caro para la empresa mantener en operación equipos antiguos que invertir en la sustitución por productos de última generación. Cuanto más antiguo sea el parque, mayores son los costos de mantenimiento y de soporte, además de aumentar los riesgos de fallas en los sistemas y de una baja velocidad de procesamiento, lo que puede comprometer los niveles de productividad de la empresa como un todo.

Estabilidad de la plataforma.

Se estima que sólo en términos de PCs existen hoy, en el mundo, 500 millones de máquinas con vida útil superior a los cuatro años, verifícándose que, de este contingente, el 50 % se usan en el sector corporativo. La mayoría de estos equipos -cerca del 73%- está equipado con sistemas operacionales antiguos como Windows 95 y 98. Respecto a los sistemas operacionales y demás aplicativos, también exigen renovación porque muchos proveedores de productos, encabezados por Microsoft, ya anunciaron que no darán soporte a las versiones antiguas de sus soluciones. No acompañar esta tendencias del mercado puede significar para las corporaciones la obligación de cargar con costos adicionales expresivos. Invertir en nuevas plataformas y en software de última generación puede representar una inversión inicial mayor, pero las ganancias de performance propiciadas y la reducción de la necesidad de mantenimiento demuestran, en la

punta del lápiz, que se trata de una práctica que debe llevarse a cabo. En términos comparativos, renovar el parque de TI equivale a la compra de un auto nuevo. Cuanto más uso tenga el automóvil, más visitas al taller mecánico serán necesarias y generará gastos de mantenimiento. En el caso de la TI, sucede lo mismo. Además de existir más posibilidades de fallas, los sistemas pueden presentar baja performance y también pueden tornarse más vulnerables respecto a los ataques de tentativas de invasión por los hackers y también de virus. Sin embargo, de acuerdo con los consultores, en la práctica el número de empresas que opta por esta estrategia de renovar el parque instalado ya es una realidad en los Estados Unidos y en países del primer mundo, que poseen mecanismos financieros y de mercado favorables a esto. Pero en países como Brasil y los de América Latina aún es pequeño el número de empresas que pueden adoptar esta sistemática. En estos lugares se verifica que la actualización tecnológica no es mandatoria pero sí que sería saludable en algunos segmentos de la empresa, especialmente en los que tienen interface con el mundo externo. En Brasil, no es difícil encontrar industrias que aún utilizan soluciones antiguas, como por ejemplo, el lenguaje Cobol y el sistema operacional DOS, y que no quieren invertir en innovación porque estas tecnologías antiguas aún cumplen los requerimientos en forma satisfactoria. En lo que se refiere a nuevas inversiones en TI en los países emergentes, la realidad muestra que los administradores actuales necesitan verificar cómo la informática fluye en los diferentes departamentos de su empresa y cuál es el grado de madurez de los usuarios para lidiar con ella. Otra cuestión importante es verificar qué resultados se obtendrá con las nuevas herramientas y cuánto impactará la actualización tecnológica de los negocios de la corporación. Lo que presenta un peso mayor, principalmente en la reducción de los costos directos e indirectos, y que hoy constituye la mayor presión sufrida por los administradores de TI de parte de la alta dirección, son las prácticas de administración. Realizar un inventario del parque de hardware y software instalado da la posibilidad de efectuar un mayor control sobre los activos, además de combatir la piratería, en la medida que se realiza el levantamiento de la cantidad de licencias instaladas, y además contribuye a disciplinar el uso de estos recursos dentro de la organización. También es importante contar con un programa eficiente de seguridad y de protección de datos, de tal manera que se discipline el uso de activos de TI, al impedir la instalación y la remoción de software por los usuarios. Optar por la patronización del ambiente también es una actitud inteligente, en la medida en que facilita la utilización de los recursos por parte de los usuarios, además de reducir los costos con entrenamiento y minimizar el trabajo del helpdesk. Son prácticas que, en el conjunto, contribuyen a reducir los costos totales en unos 30%.

Administración de la movilidad.

Actualmente, la fuerza del trabajo es mucho más móvil y dispersa que nunca, y este proceso deberá acentuarse en los próximos años. Mientras la organización de TI y el personal del call center deben permanecer centralizados, la base de empleados que pasan la mayor parte del tiempo trabajando fuera de la empresa no lo necesita. Los sistemas operacionales modernos y las aplicaciones de administración ofrecen un largo espectro de herramientas que permiten monitorear

y administrar los sistemas cliente de manera remota, controlar el inventario, solucionar problemas e instalar o renovar software.Las soluciones que posibilita la administración remota de la base de usuarios móviles facilita, principalmente, las tareas de mantenimiento y helpdesk. Si un usuario tiene problemas con un aplicativo, el personal técnico del helpdesk podrá visualizar el problema y solucionarlo remotamente, sin tener que moverse físicamente para verificarlo. Según el instituto de investigaciones Gartner Inc., las corporaciones pueden registrar un ahorro entre US$ 21 y US$ 77 por máquina, por año, de los costos de helpdesk sólo adoptando esta práctica.Otra forma de reducir costos y maximizar la administración de los ambientes distribuidos es esparcir por la corporación estaciones de reserva a través de las cuales los empleados pueden hacer backups y reponer componentes de los sistemas de acuerdo a sus necesidades. De esta forma, se crean estaciones de servicios dirigidas a atender a los usuarios de notebooks y a ayudarlos a solucionar problemas de manera rápida y eficiente. En resumen, las mejores prácticas para una buena administración de la base de PCs recomiendan que sean tomada algunas actitudes sencillas, como por ejemplo: sustituir PCs de forma proactiva, simplificar y patronizar el ambiente, segmentar la base de usuarios, mantener los software actualizados, maximizar el proceso de distribución de sistemas y, monitorear el ambiente móvil a través de soluciones distribuidas.

Resultados en la práctica.

Muchas empresas ya están obteniendo considerables ganancias a través de la maximización del parque de desktops. Un ejemplo es el de Dedic, del Grupo Portugal Telecom, una de las mayores empresas de contact center de Brasil, que cuenta con grandes clientes como, por ejemplo, las operaciones de Vivo en San Pablo, Paraná y Santa Catarina, Primesys, Hopi Hari, Unidas Rent a Cary la compañía de seguro dental Prodent. El negocio de Dedic es proveer una solución completa para la relación con los clientes para las empresas del mercado brasileño, y pone a disposición, para esto, dos sites propios localizados en San Pablo, además de administrar tres sites de clientes, en San Pablo, Campinas y Londrina. Al sumar los cinco sites, Dedic cuenta con 2.700 posiciones de atención (Pas), con más de 5mil empleados. Administrar la infraestructura técnica que soporta el contact center es, por lo tanto, esencial para sus negocios. En este sentido, la empresa optó por adoptar las soluciones de Altiris, especializada en auxiliar a las organizaciones para administrar el ciclo de vida de las desktops, notebooks, handhelds, servidores Windows, Linux y Unix, además de activos fijos, y providencian la integración completa y soluciones de administración de sistema para clientes, dispositivos móviles y servidores, con rápido retorno de inversión. Para automatizar la implantación, mantenimiento y soporte, de acuerdo a los patrones de los sistemas instalados en las desktops de Dedic, fue usada la solución Client Management Suite (CMS), de Altiris. A través del módulo Deployment Solution fue posible automatizar todo el servicio de configuración. Esto dio como resultado un gran ahorro de tiempo y dinero en la realización de la tarea. Una máquina fue preparada manualmente por un técnico con las configuraciones del cliente. A partir de este equipo, se creó una imagen, la cual fue usada en el proceso de clonación, realizado a través de la solución de Altiris - que

configuró las demás computadoras. El procedimiento, en cada computadora, llevó menos de diez minutos. La solución fue considerada vital para el negocio de Dedic porque la distribución de softwares - principal etapa del proceso de configuración, necesita realizarse de manera ágil y confiable, y mantiene la calidad. Con el CMS, el patrón de softwares distribuidos fue mantenido, y la herramienta dio la posibilidad de reducir de inmediato el costo mensual de contratación de mano de obra para la ejecución de tareas. Con esto, fue aumentando la productividad del equipo interno, y reflejó inmediatamente la satisfacción y la tranquilidad tanto de la empresa como de los clientes. Antes de implementar la solución, Dedic había realizado una encuesta en el mercado y test con pilotos de soluciones similares de otros proveedores. La calidad, performance y facilidad del uso demostrada por la herramienta de Altiris, lograron que la empresa optase por su adopción. Está en uso hace más de un año y medio.

Reducción de costos.

Otra empresa que espera obtener beneficios a través de la administración adecuada es BMW, una de las compañías líderes del sector automotor, que optó por seguir las mejores prácticas para renovar su parque de PCs. La compañía introdujo centenas de equipos munidos con el procesador Intel Pentium 4 y tecnología Hyper Threading, con sistema operacional Windows XP. Cerca del 20% de estas nuevas computadoras son notebooks equipados con el procesador Pentium M. El objetivo de BMW es analizar cómo las diferentes categorías de funcionarios se van a beneficiar con la tecnología móvil. El acceso de estos usuarios a la red corporativa de la empresa se hará a través de la red WWAN.

Administración de servidores.

Administración de servidores.

Las corporaciones están adoptando la opción del modelo de computación distribuida desde el inicio de la década del 80. Estos ambientes de tecnología pueden disponer de una única computadora con mayor capacidad y utilizarlo como servidor de varias estaciones cliente (desde PCs comunes hasta estaciones de trabajo). Lo más,; sin embargo, es que las empresas cuenten con un ambiente heterogéneo, con varios servidores distribuidos o conectados a través de un cluster (varios servidores conectados en red). Este modelo requiere mayores cuidados de administración si se desea evitar que la infraestructura no se torne demasiado compleja, no eficiente, cara y que necesite inversiones continuas en equipos, componentes y personal. Debido a las limitaciones de hardware y de software en el pasado, muchos operadores y administradores aún permanecen arraigados a ciertos conceptos y reglas; como la de que cada aplicación de misión crítica debe permanecer en un único servidor dedicado, el cual nunca puede usar más que el 80 % de la capacidad de la CPU (unidad central de procesamiento). Hoy, sin embargo, con la

evolución tecnológica, esto hoy no tiene sentido. La gran preocupación de los administradores de TI en la actualidad se refiere a la proliferación del número de servidores. Cada vez más empresas invierten en nuevos equipos; buscan aumentar la productividad y atender las crecientes necesidades de los negocios, y esto, por el contrario, puede causar graves trastornos y dificultades de administración. La diversidad de plataformas operacionales y de generaciones tecnológicas en un único ambiente causa problemas de operación, mantenimiento, actualización y, en consecuencia, de costos. Uno de los factores que ha contribuido con este aumento del número de servidores en las empresas es la reducción del costo de hardware, a cada año, aunque este valor representa sólo el 20% del costo total de propiedad. A pesar que la opción de instalar varios servidores pueda parecer una alternativa barata, cada nueva máquina que llega, sin embargo, incrementa costos ocultos sumamente significativos, requiere dedicación de los técnicos especializados en actividades de depuración, maximización y administración. Además, es necesario un mantenimiento de diferentes configuraciones como, por ejemplo, scripts operacionales, versiones de sistemas, utilitarios de apoyo, procedimiento de backup y disaster recovery. Mantener todo este aparato bajo control requiere la adopción de algunas medidas entre las cuales están incluidas la consolidación geográfica, física, de datos y aplicaciones. Se entiende por consolidación geográfica la reducción del número de sites: se concentran los servidores en un menor número de máquinas. En la práctica, esto posibilita reducir costos de administración, en la medida en que disminuye la necesidad de técnicos remotos. También los niveles de servicio terminan maximizándose, a través de la adopción de procedimientos y reglas operacionales. Por su parte, la consolidación física significa transferir la carga de varios servidores de menor porte a máquinas de mayor porte, lo cual mejora la utilización general de los recursos. En promedio, un servidor distribuido utiliza entre el 20 y el 30% de su capacidad, lo que equivale a un uso pleno potencial de un único servidor a cada tres máquinas. Para comprender mejor estos conceptos, vamos a imaginar que una empresa dispone de un parque con 200 servidores, y mezcla tecnologías Intel y RISC, de diversos proveedores y generaciones tecnológicas, los cuales operan con sistemas operacionales diferentes como Unix, Linux y versiones variadas de Windows y NetWare. Administrar este ambiente heterogéneo implica costos de personal especializado para operación y soporte, además de gastos con las innumerables versiones de software y de soluciones de administración y de seguridad. Todas estas cuestiones pueden ser minimizadas si la empresa opta por una simple consolidación en términos geográficos y físicos, y sustituye estas máquinas por 30 o 40 de mayor porte, obtiene como resultado la reducción del número de técnicos, de los costos de instalación física y operacionales, y además registra ganancias en disponibilidad, seguridad, nivel de servicio y aprovechamiento de los recursos de computación. El planeamiento de la capacidad de los servidores es otra tarea que debe ser realizada de manera continua por el administrador de TI, de acuerdo a la demanda y el volumen del procesamiento de los sistemas para que las variaciones de uso que suceden en el ambiente no comprometan la performance deseada y apropiada. La periodicidad con que este trabajo debe ser realizado puede ser tanto diaria, como semanal o mensual, de acuerdo a las características de demanda de las máquinas, del volumen de las informaciones procesadas y de la criticidad del

ambiente. Pueden emplearse herramientas que ayuden a analizar los antecedentes de uso de los sistemas y a realizar cálculos para proyecciones de necesidades futuras; se pueden tener en cuenta aspecto como: número de usuarios simultáneos que acceden al servidor, aumento de la velocidad de procesamiento, aumento de la capacidad de memoria, ampliación del número de estaciones cliente conectadas a los servidores, nuevos periféricos y aplicativos agregados, entre otras cuestiones.

La administración del cambio.

El principal propósito de la administración es asegurar la confiabilidad y la buena performance de los sistemas, al menor costo de propiedad y de mantenimiento posible. En este sentido, la plataforma de aplicación elegida, preferencialmente, debe tener en cuenta cinco factores principales: flexibilidad, escalabilidad, performance, confiabilidad y seguridad. Para evitar problemas futuros, el administrador de TI actual está más atento a la garantía de la calidad de las herramientas empleadas en la corporación. Las mejores prácticas del mercado recomiendan que, en el caso de los servidores, se trate de obtener de los proveedores una garantía del 99, 9 %, como mínimo, de la confiabilidad de sus productos. Los procedimientos para asegurar el buen desempeño de los servidores deben ser los mismos que los aplicados a las computadoras de mayor porte, como mainframes con monitoreo y mantenimiento periódicos y planeamiento del desempeño y del uso de los sistemas. En los casos en que la TI soporta las operaciones importantes para la empresa pero que aún se vale de equipos de un porte menor para hacerlo, es recomendable que se opte por la adopción de servidores en cluster, porque aseguran la redundancia del ambiente y, con esto, garantizan el mantenimiento de los servicios del mismo aunque se produzca una avería en alguno de los equipos. También es importante disponer de un sistema de backup para prevenir eventuales problemas de pérdida de los datos o de falta de disponibilidad de los sistemas. También se torna necesaria la adopción de algún tipo de administración de los cambios, lo cual puede hacerse manualmente o de forma automática. Cuando los primeros servidores comenzaron a ser empleados por el sector corporativo, el software era instalado de forma manual, a través de varios tipos de medios como discos y los actuales CD ROMs. En aquella época el software instalado en el servidor normalmente era estático, necesitaba alteraciones sólo una o dos veces por año. Y en los casos en que necesitaban ser modificados, el proceso era realizado por técnicos que gastaban horas para concluir el trabajo. Con el pasar de los años y los avances tecnológicos, las empresas comenzaron a adquirir un número mayor de servidores y, con esto, surgió la necesidad de realizar una administración remota. Algunas organizaciones usaban scripts desarrollados internamente y softwares utilitarios para distribuir los aplicativos para servidores remotos y, luego, recurrían a herramientas de administración y control para la instalación de los mismos. La cuestión era que esta sistemática no ofrecía escalabilidad y además, necesitaba una intervención manual y personal con conocimiento especializado. Con el crecimiento de la Web y del consecuente aumento del uso de aplicativos basados en la red, también aumentó la frecuencia de alteraciones en códigos y contenidos necesarias, y al mismo tiempo las arquitecturas de TI se fueron tornando cada vez más complejas.

Para atender estas nuevas necesidades, surgieron en el mercado nuevas soluciones de administración de los cambios, que en términos simples son productos recomendados para simplificar la administración de aplicativos y datos; se reduce la necesidad de la administración local y, en consecuencia, disminuye la cantidad de llamados al helpdesk. Hoy, la mayoría de las soluciones para la administración de cambios en servidores está compuesta por una mezcla de sistema de distribución de aplicativos y de contenido, y de instalación de archivos, a partir de repositorios principales para puntos en la red, cuyo objetivo es el de ofrecer control en tiempo real y disponibilidad de recursos.

TI bajo el régimen 24X7.

Algunas corporaciones ya comenzaron a adoptar herramientas que les permitan controlar mejor sus activos de TI. BM&F (Bolsa Mercantil & de Futuros) se incluye en este rol. Las metas de la empresa eran ambiciosas: internacionalizar las operaciones por medio del ingreso en la Alianza Globex (formada por las bolsas de Chicago, París, Singapur, Madrid y Montreal), lanzar nuevos contratos buscando el aumento del volumen de negocios y de la liquidez, automatizar los diferentes departamentos internos y prepararse para tornar disponible para el mercado nuevos servicios de Clearing de Cambio, además de automatizar los tradicionales procesos de Clearing de Derivados. Para conseguir atender este elenco de metas propuestas por la dirección y el Consejo, y garantizar los niveles de servicio, BM&F necesitó revitalizar toda su infraestructura tecnológica. El proceso que se inició tres años atrás, dio como resultado la construcción de dos centros de tecnología totalmente espejados y operacionales, integrados por fibra óptica redundante, con tres links de 2,5 GBPS. Todo este aparato de computación es administrado y monitoreado por la plataforma Unicenter, de Computer Associates (CA). La definición de la arquitectura de administración del ambiente de tecnología de la información (TI) tuvo en cuenta una serie de requisitos, buscó específicamente reducir los riesgos operacionales. El objetivo era avanzar del concepto de administración de componentes de la infraestructura hacia un modelo de administración de las líneas de negocios y de procesos críticos, de tal manera que se asegurase el buen desempeño de las operaciones. Basándose en esto, se preparó una Request For Proposal: la misma contenía todas las especificaciones funcionales, técnicas, comerciales y de niveles de servicio deseados. La plataforma de administración tendría que, necesariamente, soportar un ambiente heterogéneo (compuesto por plataformas mainframe, Windows/NT y Unix) y de alta criticidad, con diferentes bases de datos y software aplicativos, para posibilitar la consolidación de las informaciones por líneas de negocios o por procesos críticos, además de garantizar la integración y la interoperabilidad.Otro ítem importante fue la flexibilidad para la contratación y expansión de licencias: aseguró el crecimiento continuo de las plataformas y el compromiso de entrega efectiva de la solución.Los proyectos de administración, en general, poseen un factor de riesgo muy grande y muchas veces no son concluyentes, a pesar de ser estratégicos para la garantía de calidad. Por este motivo, debería haber un riguroso compromiso para el cumplimiento de los cronogramas y el seguimiento permanente. Luego de la implementación de la solución, en términos de desempeño, BM&F superó las metas de crecimiento pretendidas. Para tener una idea de cuánto la TI

es importante para la empresa, diariamente se negocian, en promedio 388 mil contratos, lo que si se suman los valores financieros da US$ 16,8 mil millones por día. Frente a este contexto, no es admisible ninguna falla de operación, seguridad e integridad de los datos. También se torna necesaria la garantía del funcionamiento sin interrupciones del aparato de computación, 24 horas por día, siete días por semana. Por esta razón fueron creados los dos centros tecnológicos, uno de ellos instalados en el edificio de BM&F, en el centro viejo de la capital paulista, que fue ampliado en el 2.000, y el otro en el data center de Optiglobe, en el barrio de Santo Amaro, en San Pablo, empresa con la que fue firmado un acuerdo de "Colocation" (los equipos, sistemas y administración son de BM&F, correspondiéndole a Optiglobe la provisión del lugar físico y de la infraestructura de redes y de links). La iniciativa forma parte del plan de contingencia de BM&F. Si hubiera algún problema en uno de los dos edificios que comprometa el pleno funcionamiento del centro de tecnología, el otro asume las actividades y garantiza que las operaciones no sean interrumpidas. También se realizó toda la consolidación de la base de datos con el fin de simplificar su recuperación en caso de necesidad. Los dos CPD’s son espejados, ambos son operacionales y todo se actualiza en tiempo real. Para facilitar la administración de la infraestructura y reducir los riesgos, se montaron siete centrales de operaciones ( de red; servidores/procesos; atención, almacenamiento, seguridad, administración predial y cambios/continuidad). Todo fue sintetizado en dos conjuntos de paneles de control y de monitoreo, uno de los cuales es dirigido a los negocios y el otro a la infraestructura. La administración de todo este aparato, compuesto por 150 máquinas servidoras, 600 estaciones de trabajo, además de las redes de intranet y extranet y todos los links de integración con otras empresas, está a cargo de Unicenter. Todos los resultados proyectados fueron alcanzados y la empresa comenzó a tener un control más efectivo del parque de TI, desde el registro de incidentes en el helpdesk, pasando por los paneles de monitoreo, por la colecta real time de comportamientos de performance, hasta llegar a la detección de fallas y de consumo de todos los componentes.

Administración de redes.

Herramientas de administración.

Finalizó la época en que era posible administrar el ambiente de TI de manera empírica y manual. Con la adopción en masa, en el sector corporativo, del modelo de computación distribuida y por la creciente dependencia de la tecnología para alcanzar metas de negocios, es cada vez mayor la necesidad de disponer de herramientas que permitan monitorear y controlar los sistemas en todos los niveles y capas. Por lo tanto, no es de extrañar, la tendencia de crecimiento del mercado de software de administración, que según los datos de la International Data Corporation (IDC) deberá mover una cifra próxima a los US$ 11,5 mil millones en el 2006.De todos los factores que contribuyeron para esta realidad, Internet, sin duda, tuvo un gran peso, en la medida en que creó una red que posibilita un nivel

de interacción nunca antes imaginado entre la empresa, clientes, proveedores y demás asociados de negocios. Administrar la infraestructura que soporta las transacciones en el mundo virtual se tornó esencial. Existe la necesidad de poseer una banda de comunicación mayor para soportar el creciente volumen de datos generado y en circulación, además de mayor capacidad de procesamiento, de maximizar el almacenamiento de las informaciones, y de una serie de otras providencias que sólo la administración adecuada y automatizada es capaz de identificar, para sólo después encontrar las soluciones para atender perfectamente. Monitorear y aceitar la red es importante, así como también a sus principales actores (desktops y servidores) individualmente, y además, analizar la disponibilidad de aplicaciones y base de datos, planear la capacidad de los sistemas, administrar el uso del software, fallas, contenido y personas, sin descuidar la seguridad. Existen herramientas de administración para cada una de estas áreas, que se adecuan a las más complejas y diferentes plataformas, sean las que se basan en Unix y Linux, o en Windows y en el ambiente Intel. Una de las formas de prever la viabilidad de la utilización de herramientas de administración es diseñar los workflows para cada proceso presente en la empresa. Pueden adoptarse soluciones que atiendan, inicialmente, las áreas más críticas y, en seguida, expandir el uso de la tecnología. No existe, sin embargo, ninguna fórmula o regla para definir el mejor camino a seguir. También puede haber problemas de integración posterior a las diferentes soluciones, aunque esto normalmente es solucionado por los proveedores que consiguen customizar el software para cada cliente y situación específica.

Evolución de las herramientas.

En los últimos 30 años el segmento de herramientas de administración se multiplicó, se diversificó y actualmente se encuentra muy pulverizado. Al comienzo del proceso de maduración de esta tecnología, la era del framework dominó el mercado. El chasi, como se lo conoció al dispositivo, servía como base de las aplicaciones pero dificultaba la integración entre diferentes marcas de productos. Actualmente, sin embargo, la mayoría de las herramientas disponibles son más amigables, abiertas y modulares, permiten el diseño de un proyecto a largo plazo que, inclusive, puede mezclar productos de diferentes proveedores y también soluciones caseras, desarrolladas por la propia empresa.Se recomienda que las corporaciones analicen sus procesos internos para determinar lo que es crítico y lo que no lo es para el core business antes de realizar la elección de la herramienta. Otra precaución se refiere a probar la infraestructura para verificar si las condiciones son favorables para recibir al nuevo aplicativo. En el caso de que la red no esté preparada, el software de administración podrá generar más problemas que resultados. Una vez que se define el monitoreo necesario, una prueba piloto es fundamental. Otro cuidado vital es entrenar personas que sepan lo que están haciendo. Si el equipo no estuviera preparado y la dimensión del proyecto no fuera la correcta, el resultado puede demorar en aparecer o frustrar las expectativas.

Administración de redes.

Los programas de administración de red reúnen una serie de herramientas de monitoreo y control en el sentido de proveer una única interface de operación y son ejecutados en servidores, hubs y placas de red. Su función es recolectar estadísticas del movimiento de los datos y observar las condiciones que exceden el límite de los programas. Al detectar algún problema, alertan al programa de administración central, el cual puede desencadenar algunas acciones de reinicio o ruteamiento y pedir ayuda humana a través de alarmas o avisos.En general, los fabricantes de equipos para redes adoptan conjuntos de patrones que permiten la operación de programas administradores. El más conocido y usado es el Administrador de Protocolos de Red Simple (SNMP - Simple Network Management Protocol) que se aplica a todos los sistemas. Este protocolo fue proyectado a mediados de los años 80 como respuesta a los problemas de comunicación entre los diversos tipos de red. La idea básica era ofrecer una manera de fácil implementación y con bajo overhead para la administración de ruteadores, servidores, workstation y otros recursos de redes heterogéneas. El SNMP es un protocolo de nivel de aplicación de la arquitectura TCP/IP, que opera típicamente sobre el UDP (User Datagram Protocol). Bajo el SNMP, pequeños programas de administración, conocidos como agentes, son ejecutados en un procesador especial y que contiene una variedad de dispositivos conectados en red. Estos programas monitorean los dispositivos y recolectan datos estadísticos en el formato conocido como Management Information Base (MIB - base de informaciones de administración). Un programa central, denominado Management Console Program (programa consola de administración) ordena a los agentes en una base regular y descarga el contenido de sus MIBs.El lugar ideal para un agente de administración es el hub, dispositivo que permanece situado en el centro del sistema de cables. De esta forma, el agente puede monitorear el nivel de actividad y el tipo de dato que va y vuelve hacia cada estación cliente y hacia cada servidor. En general, los servidores poseen sus propios agentes que reportan detalles de las condiciones del equipo y de las acciones de las máquinas de cada cliente. Los agentes de administración también están disponibles para ciertos modelos de placas de red y para productos especializados.Para redes corporativas constituidas por diversas LANs (redes locales) conectadas a través de WAN (red de larga distancia) se utiliza el protocolo RMON (Remote Monitoring) - una capacidad de administración remota del SNMP. Esto sucede porque los enlaces de la red de larga distancia, por operar a tasas de transmisión inferiores a las de las LANs que las interconectan, comienzan a tener gran parte de su banda de transmisión ocupada por informaciones de administración. El protocolo RMON ofrece soporte para la implementación de un sistema de administración distribuido. Cada elemento RMON tiene como tarea recolectar, analizar, tratar y filtrar informaciones de administración de la red y sólo notificar a la estación gerente los eventos significativos y situaciones de error.

Modelos de administración.

Existen algunos modelos para administración de redes. Uno de ellos es el modelo Internet, que adopta un abordaje gerente/agente. Los agentes mantienen informaciones sobre recursos y los gerentes le piden estas informaciones a los agentes. Otro modelo es el OSI, de la ISO, que se basa en la teoría de orientación a objetos. Este modelo genera agentes a los cuales es más complejo desarrollar, consume más recursos de los elementos de red y libera al gerente para que pueda realizar tareas más inteligentes. Existen también sistemas de administración basados en Java, que consisten en un browser administrador en el Network Management System (NMS) y una máquina Java en el agente.Independiente del modelo elegido, de los protocolos, y de las herramientas empleadas, la administración de la red permite monitorear la disponibilidad y la performance de cada elemento de la red, medir el nivel de utilización del parque de software, consumo de banda y una serie de factores que aseguren la continuidad de las operaciones y el mejor uso de la infraestructura de TI. También pueden usarse herramientas que van a administrar elementos específicos y puntuales como servidores, desktops, storage, correo electrónico, entre otros. En general, las soluciones de administración de servidores permiten evaluar la performance de las máquinas, planear su capacidad de procesamiento, realizar un inventario de hardware y software y monitorear las bases de datos y demás aplicativos que ruedan bajo la plataforma (como ERP, CRM, BI, etc). En el caso de las desktops, uno de los principales beneficios propiciados por los sistemas de administración es el de proveer al director del área de TI un mayor control sobre el parque de máquinas y, especialmente, sobre las licencias de software. Como en general, en las grandes empresas, la decisión sobre el uso de software es del usuario final, es grande el riesgo de utilizar programas piratas, licencias no autorizada o también, aplicativos no autorizados por la corporación. Todo esto, además de poder generarle complicaciones legales a la empresa puede contribuir a aumentar el costo causado por el exceso de programas rodando en una red. El gran desafío de las herramientas de administración no está exactamente en el control, sino en la ayuda que se le da al usuario para que él pueda entender qué puede y qué no puede ser usado.

Administración de datos y correo electrónico.

Con un uso mayor de Internet, intranets y extranets, se vuelve necesario también otro tipo de administración: la de almacenamiento. Especialmente en la empresa de mayor porte o en las que cuentan con un gran parque tecnológico, el crecimiento del volumen de datos requiere que se tomen las medidas apropiadas para su correcto almacenamiento. Algunos analistas, sin embargo, evalúan que en el mercado brasileño aún falta madurez en esta área. Esto porque, con la vasta oferta de herramientas de administración de almacenamiento, los ejecutivos de TI terminan optando por la compra de discos de almacenamiento que, en la práctica, no responden a las necesidades y dificultan el control. Pero, este panorama deberá cambiar en los próximos dos años: lo impulsará la necesidad de colocar datos en línea y de almacenarlos con criterio. El uso correcto de las herramientas puede permitir, por ejemplo, que la cantidad de datos que cada profesional de tecnología administra salte de 1,5 TB a 15 TB. Esto significa que la reducción de costo no tiene lugar sólo en los equipos de almacenamiento sino también en los recursos humanos.

Los beneficios de la administración del almacenamiento fueron comprobados por Dori Alimentos, que tenía un problema de espacio aliado al desempeño de Oracle con el sistema de Baan. La empresa estaba obligada a realizar un mantenimiento en la base de datos para ganar espacio y mejorar el desempeño de los sistemas. La situación cambió después que la empresa adquirió el DB Optimizer, solución desarrollada por Improve, la cual dispone de una función propia para limpiar y maximizar la base de datos de los servidores. Con esto, Dori Alimentos no necesitó invertir en hardware y hoy todos los datos anteriores al 2003 están clasificados como antecedentes. En la base quedaron solamente los datos del 2003, lo que contribuye para que el sistema sea más rápido y también deja a los empleados más satisfechos.Otra cuestión que preocupa a las empresas, de manera general, se refiere a la administración de correos electrónicos y de accesos a la Web.Transformada en herramienta de trabajo indispensable, Internet, si por un lado trae una serie de beneficios y facilidades, por otro requiere iniciativas para regular su uso. Existe un mal uso tanto del correo electrónico como de los web sites, lo cual implica una reducción de productividad, destrucción de informaciones y mayor exposición a virus y a ataques indeseados. Pero, existen normas que asociadas a herramientas de control, son sencillas de implementar y solucionan los problemas. Glaxo SmithKline (GSK), por ejemplo, creó un comité de seguridad de la información, compuesto por representantes de diferentes áreas de la compañía. Este grupo definió la política del uso de la Web. En la práctica, el documento creado estableció criterios para el uso de correos electrónicos y los tipos de sites a los que podría accederse y los que están prohibidos, como los pornográficos, racistas o los de origen informativo dudoso. La herramienta elegida para efectuar este control fue un software de Aker, instalado antes del firewall. El aplicativo bloquea cualquier tentativa de acceso a contenido no autorizado. Respecto al correo electrónico, se prohibió la realización de downloads de aplicativos, a través de firewalls y customizaciones internas. Con estas medidas, el consumo de banda cayó un 20%.

Web Services.

El mercado dispone de un amplio espectro de opciones para todos los tipos de administración y dirigidas a cubrir las necesidades de empresas de diferentes portes y ramos de actividad. Según Gartner Inc., en los próximos cinco años los proveedores de software de administración deberán basar sus aplicaciones en Web Services, en vez de adoptar arquitecturas propietarias, o restructurar los sistemas con foco en los modelos primarios de comunicación entre los módulos por medio del uso de protocolos abiertos. Considerados como componentes de software usados para la integración entre aplicaciones corporativas, así como para realizar la conexión entre empresas, clientes y asociados, los Web Services están recibiendo cada vez más atención por parte de los proveedores de soluciones que los ven como una tecnología dirigida hacia la interoperabilidad. Algunos ya comienzan a adoptarla, como por ejemplo el caso de la Automatos, empresa especializada en soluciones de administración remota de TI. En la concepción de la empresa, las herramientas de administración existentes son eficaces, pero el problema es que, en realidad, constituyen un software más para rodar en la red de las corporaciones. En la tentativa de administrar el legado, en la práctica, se lo

termina aumentando. Con esta visión, Automatos apostó a una tecnología Web Services y desarrolló sus soluciones con base en la misma. De esta forma, el cliente accede a la solución de administración requerida a través de Internet o por una red probada y adquiere las funcionalidades que necesita, sin necesitar instalar el software en la máquina de la empresa, y paga sólo por lo que usa. Con esto, el costo puede ser 10 veces más barato en comparación con la compra del software, además de ser cinco veces más rápido y tres veces más fácil de usar. Bajo este formato, Automatos pone a disposición soluciones para la administración de desktops, servidores y de red. El DeskPS (Desktop Performance Solution), por ejemplo, es una solución dirigida a determinar las reales necesidades de actualización de los parques de desktops y notebooks. Entre las funcionalidades encontramos: análisis de performance (cuánto cada computadora está consumiendo en términos de CPU, memoria, disco y red), análisis de dimensión, planeamiento de capacidad, elaboración de informes para el planeamiento de la evolución del parque instalado, análisis del tiempo de respuesta, control de licencias, distribución de archivos y software, entre otras. En el caso de los servidores, el Banco Opportunity consiguió obtener un ahorro de R$ 150 mil reales al año, a través de la contratación de servicios para la administración de inventarios de hardware y software, y análisis de desempeño y disponibilidad de los servidores. El contrato de tres años que se cerró con Automatos, demandó una inversión anual de R$ 60 mil. Aún con un crecimiento del 300% de la infraestructura en los últimos siete años, que dio como resultado 180 estaciones, 50 servidores y un volumen de datos diez veces superior, llegó a 200 gigabites, el Opportunity consiguió mantener un equipo de TI reducido. A partir de la percepción de la posibilidad de usar Internet para ayudar y agregar valor al proceso de administración de servidores, el software instalado para monitorear la actividad de las máquinas le posibilitó al banco planear nuevas inversiones en TI, y evitar problemas de desempeño. La mayor ventaja de la iniciativa fue prescindir de la compra de servidores dedicados al control del parque de máquinas y, consecuentemente, redujo el mantenimiento del número de variables para controlar. Aún siendo sensible a cuestiones de seguridad, el banco aceptó bien la solución web porque fueron usados mecanismos de criptografía tan seguros para la transmisión de los datos que navegan por la red como los del sistema usado por la home banking.

Herramientas de administración.

Herramientas de Administración.

Finalizó la época en que era posible administrar el ambiente de TI de manera empírica y manual. Con la adopción en masa, en el sector corporativo, del modelo de computación distribuida y por la creciente dependencia de la tecnología para alcanzar metas de negocios, es cada vez mayor la necesidad de disponer de herramientas que permitan monitorear y controlar los sistemas en todos los niveles y capas. Por lo tanto, no es de extrañar, la tendencia de crecimiento del mercado de software de administración, que según los datos de la International Data Corporation (IDC) deberá mover una cifra próxima a los US$ 11,5 mil millones en

el 2006.De todos los factores que contribuyeron para esta realidad, Internet, sin duda, tuvo un gran peso, en la medida en que creó una red que posibilita un nivel de interacción nunca antes imaginado entre la empresa, clientes, proveedores y demás asociados de negocios. Administrar la infraestructura que soporta las transacciones en el mundo virtual se tornó esencial. Existe la necesidad de poseer una banda de comunicación mayor para soportar el creciente volumen de datos generado y en circulación, además de mayor capacidad de procesamiento, de maximizar el almacenamiento de las informaciones, y de una serie de otras providencias que sólo la administración adecuada y automatizada es capaz de identificar, para sólo después encontrar las soluciones para atender perfectamente. Monitorear y aceitar la red es importante, así como también a sus principales actores (desktops y servidores) individualmente, y además, analizar la disponibilidad de aplicaciones y base de datos, planear la capacidad de los sistemas, administrar el uso del software, fallas, contenido y personas, sin descuidar la seguridad. Existen herramientas de administración para cada una de estas áreas, que se adecuan a las más complejas y diferentes plataformas, sean las que se basan en Unix y Linux, o en Windows y en el ambiente Intel. Una de las formas de prever la viabilidad de la utilización de herramientas de administración es diseñar los workflows para cada proceso presente en la empresa. Pueden adoptarse soluciones que atiendan, inicialmente, las áreas más críticas y, en seguida, expandir el uso de la tecnología. No existe, sin embargo, ninguna fórmula o regla para definir el mejor camino a seguir. También puede haber problemas de integración posterior a las diferentes soluciones, aunque esto normalmente es solucionado por los proveedores que consiguen customizar el software para cada cliente y situación específica.

Evolución de las Herramientas.

En los últimos 30 años el segmento de herramientas de administración se multiplicó, se diversificó y actualmente se encuentra muy pulverizado. Al comienzo del proceso de maduración de esta tecnología, la era del framework dominó el mercado. El chasi, como se lo conoció al dispositivo, servía como base de las aplicaciones pero dificultaba la integración entre diferentes marcas de productos. Actualmente, sin embargo, la mayoría de las herramientas disponibles son más amigables, abiertas y modulares, permiten el diseño de un proyecto a largo plazo que, inclusive, puede mezclar productos de diferentes proveedores y también soluciones caseras, desarrolladas por la propia empresa.Se recomienda que las corporaciones analicen sus procesos internos para determinar lo que es crítico y lo que no lo es para el core business antes de realizar la elección de la herramienta. Otra precaución se refiere a testar la infraestructura para verificar si las condiciones son favorables para recibir al nuevo aplicativo. En el caso de que la red no esté preparada, el software de administración podrá generar más problemas que resultados. Una vez que se define el monitoreamiento necesario, un test piloto es fundamental. Otro cuidado vital es entrenar personas que sepan lo que están haciendo. Si el equipo no estuviera preparado y la dimensión del proyecto no fuera la correcta, el resultado puede demorar en aparecer o frustrar las expectativas.

Administración de Redes.

Los programas de administración de red reúnen una serie de herramientas de monitoreo y control en el sentido de proveer una única interface de operación y son ejecutados en servidores, hubs y placas de red. Su función es recolectar estadísticas del movimiento de los datos y observar las condiciones que exceden el límite de los programas. Al detectar algún problema, alertan al programa de administración central, el cual puede desencadenar algunas acciones de reinicio o ruteamiento y pedir ayuda humana a través de alarmas o avisos.En general, los fabricantes de equipos para redes adoptan conjuntos de patrones que permiten la operación de programas administradores. El más conocido y usado es el Administrador de Protocolos de Red Simple (SNMP - Simple Network Management Protocol) que se aplica a todos los sistemas. Este protocolo fue proyectado a mediados de los años 80 como respuesta a los problemas de comunicación entre los diversos tipos de red. La idea básica era ofrecer una manera de fácil implementación y con bajo overhead para la administración de ruteadores, servidores, workstation y otros recursos de redes heterogéneas. El SNMP es un protocolo de nivel de aplicación de la arquitectura TCP/IP, que opera típicamente sobre el UDP (User Datagram Protocol). Bajo el SNMP, pequeños programas de administración, conocidos como agentes, son ejecutados en un procesador especial y que contiene una variedad de dispositivos conectados en red. Estos programas monitorean los dispositivos y recolectan datos estadísticos en el formato conocido como Management Information Base (MIB - base de informaciones de administración). Un programa central, denominado Management Console Program (programa consola de administración) ordena a los agentes en una base regular y descarga el contenido de sus MIBs.El lugar ideal para un agente de administración es el hub, dispositivo que permanece situado en el centro del sistema de cables. De esta forma, el agente puede monitorear el nivel de actividad y el tipo de dato que va y vuelve hacia cada estación cliente y hacia cada servidor. En general, los servidores poseen sus propios agentes que reportan detalles de las condiciones del equipo y de las acciones de las máquinas de cada cliente. Los agentes de administración también están disponibles para ciertos modelos de placas de red y para productos especializados.Para redes corporativas constituidas por diversas LANs (redes locales) conectadas a través de WAN (red de larga distancia) se utiliza el protocolo RMON (Remote Monitoring) - una capacidad de administración remota del SNMP. Esto sucede porque los enlaces de la red de larga distancia, por operar a tasas de transmisión inferiores a las de las LANs que las interconectan, comienzan a tener gran parte de su banda de transmisión ocupada por informaciones de administración. El protocolo RMON ofrece soporte para la implementación de un sistema de administración distribuido. Cada elemento RMON tiene como tarea recolectar, analizar, tratar y filtrar informaciones de administración de la red y sólo notificar a la estación gerente los eventos significativos y situaciones de error.

Modelos de Administración.

Existen algunos modelos para administración de redes. Uno de ellos es el modelo Internet, que adopta un abordaje gerente/agente. Los agentes mantienen informaciones sobre recursos y los gerentes le piden estas informaciones a los agentes. Otro modelo es el OSI, de la ISO, que se basa en la teoría de orientación a objetos. Este modelo genera agentes a los cuales es más complejo desarrollar, consume más recursos de los elementos de red y libera al gerente para que pueda realizar tareas más inteligentes. Existen también sistemas de administración basados en Java, que consisten en un browser administrador en el Network Management System (NMS) y una máquina Java en el agente.Independiente del modelo elegido, de los protocolos, y de las herramientas empleadas, la administración de la red permite monitorear la disponibilidad y la performance de cada elemento de la red, medir el nivel de utilización del parque de software, consumo de banda y una serie de factores que aseguren la continuidad de las operaciones y el mejor uso de la infraestructura de TI. También pueden usarse herramientas que van a administrar elementos específicos y puntuales como servidores, desktops, storage, correo electrónico, entre otros. En general, las soluciones de administración de servidores permiten evaluar la performance de las máquinas, planear su capacidad de procesamiento, realizar un inventario de hardware y software y monitorear las bases de datos y demás aplicativos que ruedan bajo la plataforma (como ERP, CRM, BI, etc). En el caso de las desktops, uno de los principales beneficios propiciados por los sistemas de administración es el de proveer al director del área de TI un mayor control sobre el parque de máquinas y, especialmente, sobre las licencias de software. Como en general, en las grandes empresas, la decisión sobre el uso de software es del usuario final, es grande el riesgo de utilizar programas piratas, licencias no autorizada o también, aplicativos no autorizados por la corporación. Todo esto, además de poder generarle complicaciones legales a la empresa puede contribuir a aumentar el costo causado por el exceso de programas rodando en una red. El gran desafío de las herramientas de administración no está exactamente en el control, sino en la ayuda que se le da al usuario para que él pueda entender qué puede y qué no puede ser usado.

Administración de Datos y Correo Electrónico.

Con un uso mayor de Internet, intranets y extranets, se vuelve necesario también otro tipo de administración: la de storage. Especialmente en la empresa de mayor porte o en las que cuentan con un gran parque tecnológico, el crecimiento del volumen de datos requiere que se tomen las medidas apropiadas para su correcto almacenamiento. Algunos analistas, sin embargo, evalúan que en el mercado brasileño aún falta madurez en esta área. Esto porque, con la vasta oferta de herramientas de administración de storage, los ejecutivos de TI terminan optando por la compra de discos de almacenamiento que, en la práctica, no responden a las necesidades y dificultan el control. Pero, este panorama deberá cambiar en los próximos dos años: lo impulsará la necesidad de colocar datos on line y de almacenarlos con criterio. El uso correcto de las herramientas puede permitir, por ejemplo, que la cantidad de datos que cada profesional de tecnología administra salte de 1,5 TB a 15 TB. Esto significa que la reducción de costo no tiene lugar sólo en los equipos de storage sino también en los recursos humanos.

Los beneficios de administración de storage fueron comprobados por Dori Alimentos, que tenía un problema de espacio aliado a la performance de Oracle con el sistema de Baan. La empresa estaba obligada a realizar un mantenimiento en la base de datos para ganar espacio y mejorar la performance de los sistemas. La situación cambió después que la empresa adquirió el DB Optimizer, solución desarrollada por Improve, la cual dispone de una función propia para limpiar y maximizar la base de datos de los servidores. Con esto, Dori Alimentos no necesitó invertir en hardware y hoy todos los datos anteriores al 2003 están clasificados como antecedentes. En la base quedaron solamente los datos del 2003, lo que contribuye para que el sistema sea más rápido y también deja a los empleados más satisfechos.Otra cuestión que preocupa a las empresas, de manera general, se refiere a la administración de correos electrónicos y de accesos a la Web.Transformada en herramienta de trabajo indispensable, Internet, si por un lado trae una serie de beneficios y facilidades, por otro requiere iniciativas para regular su uso. Existe un mal uso tanto del correo electrónico como de los web sites, lo cual implica una reducción de productividad, destrucción de informaciones y mayor exposición a virus y a ataques indeseados. Pero, existen normas que asociadas a herramientas de control, son sencillas de implementar y solucionan los problemas. Glaxo SmithKline (GSK), por ejemplo, creó un comité de seguridad de la información, compuesto por representantes de diferentes áreas de la compañía. Este grupo definió la política del uso de la Web. En la práctica, el documento creado estableció criterios para el uso de correos electrónicos y los tipos de sites a los que podría accederse y los que están prohibidos, como los pornográficos, racistas o los de origen informativo dudoso. La herramienta elegida para efectuar este control fue un software de Aker, instalado antes del firewall. El aplicativo bloquea cualquier tentativa de acceso a contenido no autorizado. Respecto al correo electrónico, se prohibió la realización de downloads de aplicativos, a través de firewalls y customizaciones internas. Con estas medidas, el consumo de banda cayó un 20%.

Principales Participantes.

Actualmente hay muchos proveedores disputando una porción de este mercado, que tiende a volverse cada vez más promisorio. Entre las líderes se destacan Computer Associates, HP, IBM Tivoli, BMC Software y Compuware. A continuación, una breve descripción de las principales familias de herramientas de cada una de éstas.

Computer Associates Es el caballito de batalla de Unicenter, la base de la administración de la empresa que realiza el 43% de sus negocios sobre esta tecnología. Bajo el paraguas de Unicenter se resguardan seis modalidades principales: network and systems, automated operations, IT resources, database, Web infrastructure y aplications, todas basadas en arquitectura de inteligencia distribuida. CA también anunció dos nuevas soluciones para la administración inalámbrica: el Wireless Network Management (WNM) y el Mobile Device Management (MDM). Las soluciones son modulares y pueden ser implantadas poco a poco.

Recientemente la empresa lanzó sus primeros productos direccionados hacia la administración de Web services, dando un gran paso en un mercado dominado por pequeñas compañías y startups. El Unicenter Web Services Distributed Management monitorea la performance de los aplicativos y notifica a los administradores del sistema. El producto controla la construcción de las interfaces de software de acuerdo a los patrones Web services.

HP Luego de la fusión de HP con Compaq, la plataforma de administración Openview obtuvo un refuerzo: el Temip, dirigido a centrales telefónicas y de infraestructuras de telecomunicaciones. Actualmente, la empresa está trabajando fuertemente en la mejora de la integración entre el Openview y el Windows. El Openview se basa en capas: análisis de fallas, de performance y administración del servicio. Las herramientas pueden administrar las aplicaciones apuntando, enseguida, dónde están las fallas.Los usuarios pueden optar por saber primero dónde está el problema, o qué proceso fue afectado.

IBM Tivoli La empresa ofrece soluciones que soportan las líneas de negocios y no sólo la infraestructura. El portfolio incluye 37 productos que, juntos, posibilitan a los clientes seleccionar, integrar e implementar software para administrar en ambientes complejos. Los módulos principales son: administración de la performance y disponibilidad, configuración y operaciones, seguridad, almacenamiento y servicios. Entre los productos se destacan el Service Level Advisor, basado en complejos algoritmos; el Enterprise Data Warehouse, desarrollado sobre la tecnología DB2 para el archivo de datos de administración de sistemas; y el Switcher Analyzer, para monitoreo de redes.

BMC Software Las áreas cubiertas por las soluciones disponibilizadas por la empresa son datos, aplicaciones, almacenamiento y seguridad. Denominadas Patrol (para ambiente distribuido) y Mainview (para mainframe) los módulos que las componen pueden ser implantados de manera gradual, de acuerdo con la necesidad de los clientes. El Patrol controla niveles de servicio, maximiza la performance y prevé los problemas antes de que afecten los procesos de negocios. El módulo Application Centric Network Management provee la administración de redes por medio de la perspectiva de la aplicación. Entre sus funcionalidades, se incluyen el análisis del desempeño de la red y de sus dispositivos, el planeamiento de la capacidad y la visualización gráfica de la topología y del tráfico.Otra familia de productos es la Incontrol, que administra e integra soluciones corporativas por la simplificación de la administración de la producción, automatización y seguridad a partir de un único punto central.

Compuware La solución Vantage, soportada por ocho productos puntuales, administra toda la infraestructura y aplicaciones. Pueden ser administrados el servidor, la red, las estaciones de trabajo, aplicaciones, intranets y el balance de carga. La herramienta también usa arquitectura en tres capas que le permiten a los

servidores administrados y a los componentes de control operar de manera independiente, recuperándose de fallas en la red o en los sistemas.

Peregrine Proveedora de software para administración consolidada de activos, servicios y administración de TI. La empresa fue recientemente nominada como líder mundial en la provisión de software para la administración de problemas, de acuerdo a la encuesta "Worldwide Problem Management Software Competitive Analysis, 2003", realizada por el instituto IDC (International Data Corporation). Sus soluciones se focalizan en las metodologías de medición de TCO de Gartner y en la implantación de procesos ITIL, que ayudan a las empresas a reducir costos y a mejorar la productividad, al acelerar el retorno de la inversión y asegurar acuerdos de niveles de servicio. En Brasil, los clientes usan las soluciones Peregrine para realizar la administración de servicios y activos, sean o no de tecnología, dentro de los patrones de las mejores prácticas definidas por el ITIL (Information Technology Infra-structure Library). Mayores detalles sobre estas familias y demás productos dirigidos a la administración se pueden obtener en los sites de las empresas:

o www.ca.como www.ibm.com.bro www.compuware.com.bro www.bmc.como www.hp.com.bro www.peregrine.como www.automatos.com.br

Seguridad.

Seguridad.

En los tiempos actuales no quedan dudas de que el Talón de Aquiles del sector corporativo es la seguridad. Y cuanto más dependiente de la tecnología de la información una empresa se torna, mayor es su vulnerabilidad. Spams, virus, worms, invasiones de hackers, accesos a sites inapropiados, piratería, accesos remotos no autorizados, son sólo algunos de los problemas que necesitan ser ecuacionados por los administradores de TI. Pero, la cuestión de la seguridad no se resume sólo a estas cuestiones. Después del atentado a las Torres Gemelas del World Trade Center, el 11 de septiembre del 2.001, en los Estados Unidos, el mundo corporativo se puso de acuerdo sobre la importancia de establecer un plan de contingencia, de manera que se asegurase la continuidad de las operaciones en caso de accidentes e incidentes que pudiesen comprometer las instalaciones físicas. Además hay otros cuidados que son necesarios, como por ejemplo, asegurar la disponibilidad de los sistemas, contar con un sistema de back-up eficiente, mantener la documentación de los sistemas actualizada, entrenar personas y una serie de otras prevenciones.

El uso de la tecnología Web provocó que cambiara el enfoque dado a la seguridad. Hasta hace poco tiempo, la gran preocupación de los administradores de tecnología era la pérdida de informaciones, en función de las invasiones y de ataques de virus. Las inversiones se concentraban en la adquisición de soluciones que limpiasen y protegiesen las máquinas, como, por ejemplo, antivirus y firewalls. Hoy el espectro se amplió. Las acciones con relación a la seguridad deben estar relacionadas a la continuidad de los negocios, no restringiéndose sólo a los aspectos puramente tecnológicos sino que deben englobar también otras áreas de atención como, por ejemplo, el entrenamiento de personas para el debido uso de las informaciones, el control de acceso a los sistemas y los aspectos relacionados a la seguridad del ambiente físico. El gran desafío del administrador es saber cuantificar el impacto que una falla de seguridad, en cualquier nivel, puede traerle a la empresa y a sus asociados en los negocios, una vez que cualquier paralización puede interrumpir una cadena productiva a nivel mundial, y dar como resultado perjuicios financieros exorbitantes.

La Administración de la Seguridad.

Ante todo, es importante que el administrador de TI tenga conciencia de que el concepto de seguridad es muy amplio y que comienza antes del empleo simple y puro de herramientas. La tendencia natural es querer colocar candados en todo, hasta donde no es necesario, y con esto, pueden presentarse distorsiones como, por ejemplo, elevar excesivamente las inversiones de manera general, implementar soluciones en áreas no tan necesarias de protección y dejar al descubierto áreas importantes. Una empresa que, por ejemplo, pone a disposición del público en general una página de Internet dirigida a recibir curriculuns, si tiene algún problema de violación de hackers, no sufrirá grandes pérdidas. Obvio que tendrá perjuicios, principalmente respecto a su imagen y a la pérdida de informaciones, pero nada que sea demasiado comprometedor. En este caso, no se aplican soluciones altamente sofisticadas como las de biometría, por ejemplo, que al mismo tiempo son muy caras, porque estas informaciones no son esenciales para la empresa y la inversión se justificaría. Por este motivo, es fundamental que el primer paso sea verificar dónde la empresa es vulnerable y puntualizar las áreas que requieren mayor nivel de protección, y tener una visión precisa de la administración de riesgo (risk assessment) para que no se realicen inversiones mayores que las que son necesarias. Este planeamiento tiene que hacerse bajo la óptica del negocio y no de la tecnología. El segundo paso se refiere a la verificación de los proceso de la empresa y al establecimiento de las políticas de seguridad. Luego de estas definiciones, se camina hacia la elección y el empleo de herramientas y soluciones para prevenir y evitar violaciones a los sistemas. Y finalmente, debe realizarse todo un trabajo interno de concientización. Todos los empleados deben ser entrenados y orientados sobre las medidas de seguridad adoptadas. De nada sirve disponer de varios mecanismos sofisticados de contraseñas, reconocimiento de usuarios, etc., si después de todos los cuidados un profesional se distrae y deja sobre la mesa un informe confidencial que puede terminar siendo visto por personas no autorizadas. La adopción de las especificaciones ISO 177-99 puede ayudar a los gerentes de TI en la difícil tarea de administrar la seguridad. Estas especificaciones contemplan 10 áreas de control:

1. política de seguridad2. seguridad organizacional3. control y clasificación de activos 4. seguridad de personas5. seguridad del ambiente6. administración y control de las operaciones de comunicación7. control de acceso a los sistemas8. desarrollo de los sistemas y mantenimiento9. administración de continuidad de los negocios10. especificaciones de seguridad

Sólo el 40% de estas especificaciones son relativas a TI. El 60% restante se refiere a personas, procesos y entrenamiento. Si una empresa está atenta a todo esto, tendrá el 80% de sus necesidades de seguridad cubiertas. En los que se refiere específicamente a los aspectos tecnológicos, existen tres áreas que merecen la atención del gerente. La primera es el área de defensa de la corporación. Algunas empresas instalan antivirus y firewall y creen que con esto están protegidas, se olvidan de que existen otras formas de invasión que no son bloqueadas con esas herramientas, como el spam (mensajes no autorizados recibidos a través del correo electrónico), por ejemplo. Es necesario realizar la administración de las vulnerabilidades que son consecuencia del propio crecimiento del ambiente de computación. La segunda área es la de administración de la identidad. Se vuelve necesario implantar soluciones que permitan tener la seguridad de que quien está accediendo a las informaciones y aplicativos es, de hecho, aquel empleado que está autorizado. El administrador también necesita tener en cuenta que el perfil de las personas varía a lo largo de los años. Un director de marketing que tenía acceso a informaciones y sistemas específicos puede asumir una nueva función de la empresa, como por ejemplo, comenzar a dirigir el área financiera. En general, a este profesional se lo termina autorizando a acceder a otras informaciones y sistemas, y acumula los permiso anteriores de acceso. En realidad, lo correcto sería que se fuesen deshabilitando los que él ya no necesita. Otro cuidado debe ser bloquear los accesos a los sistemas cuando el empleado deja de formar parte del cuadro de la empresa. Y finalmente, la tercer área se refiere al control de acceso a los sistemas corporativos, tanto en lo que se refiere a los empleados internos (definir quién puede acceder a qué), como a los asociados externos de negocios (clientes, proveedores, etc.). Es importante que el administrador tenga una visión desde fuera hacia dentro para determinar qué asociados tendrán acceso a qué informaciones y sistemas de la compañía, o sea, para que se puedan trazar las formas de permisos y de restricciones a los accesos. Luego le resta al administrador de TI aplicar los conceptos de estas tres áreas en las arquitecturas de desktops, servidores y redes de la corporación.

Brechas.

Una de las principales puertas de entrada para los incidentes de seguridad en el sector corporativo es Internet. Esto porque la mayoría de las empresas le permiten a sus empleados el acceso total y además, permiten a terceros, a través de

extranets y del e-business, el acceso a través de links dedicados o vía Web. A pesar de utilizar conexiones criptográficas y otros cuidados, en la práctica, las puertas pueden no ser cerradas debidamente, lo que facilita el ataque de hackers y de accesos indebidos a los sistemas. En una encuesta reciente realizada en diversos sectores de actividad, quedó comprobado que más del 78% registraron pérdidas financieras a causa de la invasión de los sistemas, pero el 56% no supo cuantificar los perjuicios. Aún sabiendo de los riesgos y que los ataques seguramente aumentarán, las empresas normalmente no poseen ningún plan de acción para impedir estos riesgos. La mayor dificultad no es tecnológica, es cultural. La falta de conciencia del público interno, sea de los ejecutivos, sea de los empleados en general, es lo que puede echar todo a perder. Para minimizar este problema, las corporaciones deben preocuparse en adoptar una política de seguridad que sea comprensible para todos y divulgarla de manera correcta. También es fundamental que la empresa evalúe, en la planta de la red, todos los puntos que deben ser cubiertos por procesos seguros. Esto puede realizarse comenzando por la evaluación de la infraestructura de TI y la utilización del diagrama de la arquitectura de la red para determinar cómo y dónde los usuarios internos y externos pueden acceder a la planta. En seguida, se recomienda que los sistemas de la corporación sean testados contra invasiones, a través de herramientas específicas, y que con esto puedan visualizar las vulnerabilidades en la red. Disponer de una lista con todos los servidores y sistemas críticos para la empresa constituye otra buena iniciativa, complementada por la relación de los empleados que instalaron y/o desarrollaron aplicaciones. Otro punto fundamental es desarrollar una lista para que todos los administradores de la red sigan al pie de la letra y en la cual debe estar especificado quiénes son los responsables por cada sistema. Debe crearse una política para los empleados que explique de manera adecuada cómo utilizar de forma correcta las informaciones corporativas. Un ejemplo es el de listar las medidas que deben ser tomadas cuando haya una sospecha de invasión o de infección en la red o en la desktop. Estos profesionales también deben ser instruidos sobre cómo lidiar con sus contraseñas de acceso a los sistemas y si pueden o no dejar sus estaciones conectadas al salir, con el fin de evitar la exposición de informaciones internas a personas no autorizadas. Un cuidado esencial se refiere al sistema de correo electrónico, que constituye una de la principales brechas para los incidentes de seguridad. A pesar de que en la mayoría de los casos las empresas cuentan con herramientas para el monitoreo de correo electrónico, antivirus y firewall, todos los días surgen nuevas plagas virtuales que llegan a través del correo electrónico y que pueden infectar los sistemas y causar graves trastornos. En el banco Banespa, por ejemplo, una de las formas de lidiar con el problema fue limitar el tamaño de los archivos que son anexados a los mensajes que llegan a los usuarios por vía electrónica. Estos archivos no pueden tener más que 500 Kb y, en determinado nivel, más que 3 Mb. También fueron adoptadas medidas que excluyen archivos con extensiones .exe, .tif, .pdf, y .scr directamente en el servidor, así como la adopción de firewall y antivirus.Otro ejemplo es el de Brasmetal Waelzholz, empresa proveedora de cintas de acero relaminadas a frío, que cuenta con un parque de 120 estaciones de trabajo y concluyó su sistema de seguridad de red hace poco más de tres años. Hasta mediados de la década del 90, la empresa permitía el acceso a Internet a sólo 10 personas y de éstas, sólo 5 usaban el correo electrónico. En esa época, la

compañía tenía un control total de todas las informaciones que circulaban en la red. En 1.998, la empresa cambióo su link de línea discada (la misma línea telefónica usada en las residencias) por un link de banda ancha. El cambio posibilitó que más personas tuvieran acceso al correo electrónico y a Internet. Por este motivo, se produjo un crecimiento significativo del volumen de accesos y la empresa perdió el control de lo que navegaba por la red. Inicialmente, el mayor recelo era sufrir una invasión a través de virus. Como el backup (copia) de datos siempre fue un hábito de la empresa, el principal problema sería la pérdida de horas de trabajo hasta que la infección fuera resuelta. Brasmetal optó por crear una única regla para acceder a internet o al correo electrónico y, contrató a Lintec, integradora de soluciones, para ayudarla en este sentido. Pensaron en todo: servidores, antivirus, firewalls, entre otras herramientas de seguridad como forma de prevención. Lintec también orientó a la empresa a invertir en un sistema de detección de intrusos y, por este motivo, fue implantado el Trust Intrusion Detection, de Computer Associates, que garantizó el cumplimiento de las normas internas de accesos. Para divulgar la política de acceso a datos y de uso del correo electrónico y de Internet, Brasmetal elaboró un reglamento con reglas detalladas, además de un nuevo site (en la intranet) que contempla las principales orientaciones de seguridad para el entrenamiento de empleados. A pesar de todos los sistemas complejos de seguridad que fueron implantados, la empresa es consciente de que no hay cómo protegerse del 100% de los ataques. Hay backdoors, por ejemplo, que no son detectados por los sistemas de seguridad y que son instalados en las estaciones de los usuarios. Debido a la ingenuidad, este tipo de ataque es conocido como "ingeniería social" y, si el usuario no estuviese entrenado para no "caer" en esta "labia" de nada servirá toda la inversión realizada en seguridad de la información, pues, hasta que se descubra el backdoor instalado, el hacker ya se habrá hecho la fiesta.

Seguridad en Redes Inalámbricas.

Con la evolución de la tecnología móvil y el aumento de su uso en las corporaciones, algunos cuidados deben tomarse en relación a las redes wireless. Todas las herramientas de protección convencionales usadas en las redes cableadas se aplican a las inalámbricas. Pero, además, las redes wireless exigen cuidados adicionales y específicos. Aún hay mucho desconocimiento en esta área porque se trata de algo nuevo en el mercado y es natural que todavía haya recelo y desconfianza por parte de las empresas que se deciden por la implantación de este tipo de red. El patrón de criptografía para redes locales inalámbricas, denominado WEP (Wired Equivalent Privacy), es bastante seguro, pero aún presenta algunas restricciones, y por este motivo, se recomienda que las corporaciones no se restrinjan sólo a él. Es fundamental también realizar una configuración confiable de la red wireless, y utilizar recursos de seguridad inherentes a los puntos de acceso e instalados de firewall, y en los casos más complejos, vale la pena adquirir equipos, software y servicios especializados. Para garantizar la seguridad de este ambiente, son lanzados constantemente nuevos patrones. La Alianza Wi-Fi divulgó recientemente el patrón WPA (Wi-Fi Protected Access) para el acceso de PDAs, con mejoras en la criptografía de los datos y en la autenticación del usuario en relación al WEP. El consorcio desarrolló una nueva

herramienta, fue bautizada como Zone, destinada a encontrar puntos de acceso Wi-Fi entre los 12 mil hot spots (puntos de acceso público) instalados en el mundo. Otra promesa es el desarrollo del patrón 802.11 i que está siendo realizado por el IEEE 802.11 Task Group, que promete ser aún más seguro que el 802.11 b, e incluye una nueva versión del WEP basada en el AES (Advanced Encrypton Standard), pero sólo se ofrecerá en el mercado a partir del 2005.En general, las soluciones en uso actualmente y compatibles con el patrón 802.11b incluyen mecanismos de seguridad. Pero es necesario que las empresas implementen los proyectos de protección de datos. La mayor fragilidad de las redes wireless está en el chipset de punto de acceso. Por esto es importante tornar confiable la comunicación entre éste y los demás dispositivos autorizados. El envío de un paquete UDP (User Datagram Protocol) hacia una determinada puerta, por ejemplo, provoca que el sistema retorne informaciones con el nombre de la red (SSID- Service Set Identifier), la clave de la criptografía y hasta la contraseña del administrador del proprio Access Point. El cuidado inicial, por lo tanto, es evitar que el SSID, que realiza la identificación del nombre de la red entre los usuarios, sea conocido por un posible intruso. Para esto, es necesario deshabilitar el envío de esta secuencia a través de un broadcast. En seguida, se debe tornar confiable la comunicación entre el Access Point y los demás dispositivos autorizados. Para conseguirlo, es importante que el servidor central sepa exactamente cuáles son los números seriales de las placas de red de cada máquina autorizada a compartir el ambiente. Los llamados MACAddress de todas deben estar registrados. Este trabajo, aunque sea haga de manera manual, puede evitar que algunas computadoras se conecten con facilidad con la red, sólo aproximándose a la región de cobertura. Por otro lado, sólo este cuidado no es suficiente para garantizar la seguridad. Existen varios programas disponibles en Internet que simulan la dirección de cualquier placa de red y se hacen pasar por un dispositivo autorizado en el momento de la conexión. Si alguien con malas intenciones tuviera la información del código de una determinada estación autorizada para usar la red, podría entrar fácilmente y usar indebidamente este acceso. Una vez cerrada esta primera brecha, es el momento de prestar atención a la inviolabilidad de la información que navega entre las estaciones y el punto central de la red. Como todas las señales están navegando en un ambiente público, la única manera de salvaguardar los datos es codificarlos y barajarlos de una manera ordenada, o sea, criptografarlos. Para descifrar la información del otro lado, es necesario abrirla con una llave criptográfica. Las informaciones están, de esta forma, seguras... hasta que un extraño tenga acceso a la llave criptográfica o quiebre su código. Para garantizar la inviolabilidad de los datos, son recomendables otros recursos, como los de una red virtual privada. El uso del protocolo IPSec permite la creación de un túnel seguro entre la estación y el Access Point.Ejemplo de esto es el VPN-1 Security Client, de Check Point. Para proteger conexiones wireless de, como máximo, 10 mil usuarios simultáneos, existe también la plataforma Cisco VPN3000, con escalabilidad y facilidad de upgrade.En el caso de que se pretendan niveles más elaborados de criptografía, los patrones AES (Advanced Encryption Standard) y DES (Data Encryption Standart) son opciones interesantes. Las empresas con operaciones más críticas pueden hasta implementar aplicaciones que usen el 3DES. Sin embargo, es necesario tener un cierto sentido común para evitar gastos innecesarios.

Otro cuidado se refiere a la encriptación de los datos y a realizar el monitoreo en tiempo real, a través del empleo de herramientas específicas, muchas de las cuales son distribuidas gratuitamente a través de Internet. Se recomiendan algunas acciones que el administrador de TI debe tomar para tornar la red corporativa más segura, como por ejemplo:

- No mencionar el nombre de la red a cualquier persona; - Deshabilitar, en el Access Point, la emisión automática de informaciones

como: el nombre de la red, la llave criptográfica y la contraseña del administrador de la red;

- Realizar una lista de las computadoras reconocidas; - La autenticación de la computadora debe realizarse usando el MAC

Address de la placa de cada dispositivo. Esta acción impide que máquinas extrañas al ambiente puedan conectarse a la red;

- No dejar que la señal se escape;- La posición del Access Point y la potencia de la antena pueden tener un

alcance que sobrepase las fronteras geográficas de la empresa.. Ese escape sin control de la señal es peligroso. Es necesario implementar mecanismos de autentificación y criptografía;

- Actuar rápido si la robaron o se perdió la notebook. El robo o la pérdida de equipos tiene consecuencias serias para la seguridad de la red corporativa. Debe prevenirse qué acciones se tomarán en estos casos, desde el boletín de registro del incidente en la comisaría hasta la anulación del pedido de acceso de la referida máquina,;

- Definir qué tipo de información navega en la red. Es importante que el usuario del canal inalámbrico sepa qué puede y qué no puede navegar por la red wireless. Detalles de aquél proyecto estratégico que cambiará el rumbo del mercado no deben ser mencionados en correos electrónicos, principalmente si no estuvieran criptografados;

- Criptografar para no darle el mapa al bandido. Datos estratégicos, correos electrónicos profesionales, modelos de venta, lista de clientes preferenciales, planes de nuevos negocios pueden caer en manos enemigas. El perjuicio de la propagación de este tipo de información puede ser fulminante;

- Autenticación de quién entra a la red. Además de garantizar cuáles son los dispositivos autorizados para entrar en la red, deben ser usarse métodos de autenticación fuertes de usuario, por medio de tolkens y contraseñas dinámicas;

- Erguir murallas de fuego. La conexión con la red local cableada debe estar siempre protegida por firewall, como cualquier puerta abierta hacia el mundo exterior.

- Realizar monitoreo frecuente de todas las actividades de la red inalámbrica para verificar fallas y flagrar intrusos. Este procedimiento otorga una serie de beneficios, como permitir el descubrimiento de la instalación de placas no autorizadas en los equipos de usuario; chequeo en los dispositivos que no están usando criptografía; detección de ataques contra clientes wireless que no saben que están siendo hackeados; y visualización de accesos no autorizados, lo cual permite tomar providencias inmediatas que impedirán que el intruso llegue a los datos estratégicos de la empresa.

Seguridad de los Datos.

El activo más precioso de las empresas, sin duda, son las informaciones. Por lo tanto, los cuidados con relación a los datos deben ser redoblados. Diversos estudios del International Data Corporation (IDC) revelaron que el volumen de informaciones dentro de las empresas crece el 34% al año, y llega al 60% en algunas corporaciones, lo cual exige más espacio en almacenamiento y también una administración maximizada. Lo que se observa actualmente es una gran preocupación, por parte de los proveedores de soluciones, por ofrecer sistemas de administración capaces de trabajar no sólo con equipos de diferentes marcas, sino también con topologías diferentes, como las redes SAN (Storage Area Network) - dirigidas hacia un volumen grande de datos estructurados, con elevada cantidad de accesos y número limitado de usuarios - y NAS (Network Attached Storage) - que coloca los discos como dispositivos de la red y no como periféricos de un único servidor. Además, existe el CAS (Content Addressed Storage) que sirve para guardar los datos de baja utilización y que necesita ser retenida por largos períodos, como por ejemplo, las informaciones fiscales. La administración de la red de storage se realiza con soluciones SRM (Storage Resource Management) que muestran el comportamiento de cada dispositivo conectado a la red, la cantidad y tipos de datos guardados, cuál es el origen de las informaciones, cantidad de espacio libre y registro de problemas en los discos. Es posible crear reglas para cada tipo de archivo y realizar la transferencia automática hacia el disco adecuado. Existen también otras opciones, como los conceptos Information Lifecicle Management (ILM), para clasificar los datos de acuerdo a la periodicidad con la que se acceden y la fecha de almacenamiento, y el Hierarchial Storage Management (HSM), que establece un límite para que cada usuario almacene archivos, varía de acuerdo a la actividad y el cargo que posee. El HSM puede usarse también dentro de aplicaciones, como el correo electrónico y la base de datos. La administración de storage normalmente es compleja porque, en general, las empresas poseen varios sistemas en la red que no se integran perfectamente uno al otro. Algunos fabricantes de soluciones defienden el concepto de virtualización, según el cual es posible tener acceso a los datos independientemente del servidor y del sistema operacional utilizado. Con esto, los usuarios pueden crear capas de almacenamiento entre sistemas de diferentes proveedores, y tener una visión unificada y consolidada del storage. En vez de acceder a informaciones directamente desde la base, esto se realiza a través del servidor de virtualización, se eliminan copias y espacio libre en el disco. La administración de datos involucra, además, la realización de backups (copia de datos), restore (recuperación de datos) y business continuity. Es importante que la empresa sepa recuperar los datos que fueron grabados tanto hace cinco minutos, como los que fueron grabados hace un año, por ejemplo. Para esto necesitan adoptar metodologías específicas y realizar tests periódicos. Una administración mal realizada puede traerle perjuicios inmensos a las corporaciones, además del riesgo de perder informaciones valiosas. Los software de administración representan una solución importante, en la medida que automatizan la operación de backup y disminuyen la necesidad de mantenimiento. Existen buenas opciones de herramientas disponibles, como las listadas a continuación:

- Computer Associates BrightStor SRM: ofrece capacidad de administrar storage a partir de un punto único, ofrece informaciones como la capacidad de storage del sistema.

- EMC ControlCenter StorageScope: dirigido hacia informes de capacidad y administración de recursos. Posee total integración con la familia ControlCenter.

- Fujitsu Softek Storage Manager: ofrece un punto único para visualizar los recursos de storage en mainframe y plataforma distribuida.

- HP OpenView Builder: software de administración de capacidad para direct-attached storage (DAS), SAN-attached storage y NAS.

- IBM Tivoli Storage Resource Manager: el producto ofrece integración como el Tivoli Inventory y ofrece el monitoreo de aplicaciones del DB2.

- Sun StorEdge Resource Management Suite: automatiza el descubrimiento, informes de estadísticas, monitoreo y alerta sobre la capacidad de storage se está usando.

- Veritas SANPoint Control/Storage Reporter: con el SANPoint Control 3.5, Veritas expandió su administración de aplicaciones de storage incluyendo el RDBMS de Oracle y Exchange de Microsoft.

Con la adopción de una práctica correcta de storage, el Detran de Río de Janeiro, por ejemplo, consiguió reducir de seis a cuatro servidores y el equipo focalizado en administrar la infraestructura pasó de once a dos personas, sólo con la implementación de una red de storage centralizada, se usaron soluciones de HP. Otro ejemplo es el de la PUC Paraná, que optó por centralizar el almacenamiento en el equipo Thunder 9200, de Hitachi Data Systems. El aumento del desempeño fue del orden del 48% si se compara con la estructura anterior, además de haberse eliminado la necesidad de backup de cada servidor, lo cual dio como resultado una reducción significativa de costos.

Contingencia.

Actualmente el sector corporativo se muestra más preocupado por adoptar una política de contingencia. El atentado a las torres gemelas, el 11 de septiembre del 2001, en los Estados Unidos, sirvió para ampliar el interés, pero muchas empresas, especialmente las que lidian con volúmenes grandes de datos y que son profundamente dependientes de la tecnología, como las del sector de las finanzas y de las telecomunicaciones, ya venían preocupándose, desde hace algún tiempo, por esta cuestión. Fue el caso de J.P.Morgan que contrató, ni bien ocurrió el primer atentado un año antes de la explosión de las torres gemelas, a Peregrine para que la ayudará a elaborar y a ejecutar un proyecto de contingencia. Al percibir el riesgo, la empresa no perdió tiempo y tuvo las iniciativas adecuadas, lo cual la salvó y le permitió la continuidad de las operaciones cuando sus dependencias físicas fueron totalmente destruidas en aquél fatídico 11 de septiembre. Una política de protección no puede ser efectivizada de la noche a la mañana y tampoco existe una fórmula patrón que sirva para todas las empresas. Es necesario, inicialmente, realizar un análisis interno y determinar qué es vital para la compañía, cuáles son los mayores riesgos y vulnerabilidades de sus sistemas, cuáles son los cuidados básicos que deben tomarse y cuáles son las herramientas

de hardware y software que se muestran más apropiadas para proteger a la empresa en todos los sentidos. Otro aspecto a ser considerado es que un plan de seguridad no puede ser rígido, o sea, necesita ser flexible y dinámico para soportar las necesidades que surjan en virtud de la velocidad de cambio de factores físicos, tecnológicos y humanos. Concientizar a los empleados e involucrarlos en el proceso también constituye un elemento importante para que una política de seguridad tenga éxito. Cada empleado debe ser bien entrenado y entender su papel en este proceso. La empresa, por su parte, necesita actuar con transparencia para que el equipo de trabajo actúe como un aliado. Otra medida fundamental es realizar reevaluaciones periódicas del plan de seguridad para verificar, mediante tests, los puntos que aún son vulnerables.Toda la cuestión de la contingencia está directamente relacionada a la necesidad de mantener la disponibilidad de los sistemas, principalmente en los ambientes de misión crítica. Es a partir de la identificación de los costos asociados a las interrupciones y del tiempo que los sistemas no están disponibles (downtime) que se determina la estrategia que se necesita adoptar. Cuanto menor sea el downtime y el tiempo de recuperación de la información, mayor será el costo del proyecto. En el caso de los bancos, de las operadoras de tarjeta de crédito, y empresas en las cuales sólo algunos minutos del sistema fuera del aire pueden acarrear perjuicios de millones de dólares, sin contar el riesgo de tener su imagen de credibilidad comprometida, los riesgos son minimizados con la adopción de máquinas redundantes a la falla (espejadas) y también de otro site totalmente espejado, que entra en actividad en caso de producirse una interrupción total en el sistema principal. Son alternativas extremamente caras y que sólo se justifican por la criticidad de las operaciones. Las empresas con menos recursos, pueden usar como opción los sistemas de alta disponibilidad, compuestos generalmente por varios servidores conectados en cluster. Debe considerarse, además, que una parte de las interrupciones y problemas en los sistemas pueden ocurrir por errores humanos de operación. Es fundamental contar con herramientas adecuadas y apoyo especializado para cuantificar las pérdidas ocasionadas por esas paradas no planeadas y también para tomar medidas eficaces para evitar, o al menos, minimizar los incidentes.

CIO’s, CTO’s y CSO’s.

Prestarle atención a la seguridad comenzó a ser mandatorio. ¿Pero a quién le cabe esta responsabilidad dentro de las corporaciones? En los Estados Unidos y en Europa muchas empresas optaron por admitir especialistas como, por ejemplo, los CTOs (Chief Technology Officers) y los CSOs (Chief Security Officers) para que se hagan cargo específicamente de las políticas de seguridad y de la adquisición de tecnologías para este fin, y dejaron a los CIOs (Chief Informantion Officer) los asuntos relacionados a la gestión de los negocios y la responsabilidad por la integración de las áreas ejecutivas con el área de TI. En Brasil y en América Latina este panorama es un poco diferente. En estos lugares, en general, el CIO acumula el papel de gerente de estas áreas con el de ejecutivo de negocios y tomador de decisiones. En gran parte de las corporaciones, las funciones de los CTOs y CSOs son ejecutadas por gerentes operacionales que se reportan exclusivamente al CIO. Son subordinados que asumen tareas importantes, como

la de "cerrar las puertas" de la organización para impedir ataques externos, pero que casi nunca pasan del primer nivel de la gestión corporativa. Son estos profesionales los responsables de las prácticas de los productos adquiridos (como firewalls, ruteadores, switches y software de administración), para verificar si la infraestructura está funcionando de acuerdo con los previamente establecido. Sólo en algunas empresas que ya cuentan con una política más avanzada, estos gerentes operacionales cuentan con un status mayor, son promovidos y comienzan a coordinar la política de seguridad, no sólo en el área de TI sino también en todos los niveles de la empresa. El gran problema es que la mayoría de las empresas todavía mira a la seguridad como un centro generador de costos y se cuestiona si realmente necesitar invertir continuamente pesadas cifras en este sentido y tomar todos los cuidados. Las inversiones necesarias, de hecho, normalmente son altas y la expectativa es que nada suceda. Sin embargo, no hay seguridad a prueba de absolutamente todo. Puede establecerse altos niveles de seguridad, los cuales son aplicados en ambientes de alto riesgo. Y estos niveles varían en cada empresa y en cada proceso de negocios. Para conseguir convencer a la alta dirección de que las medidas de seguridad son fundamentales, los administradores de TI terminan valiéndose de las técnicas de marketing que consisten en difundir el miedo, exaltan los desastres que podrían ocurrir en caso de que hubiese un problema en los sistemas. Este apelo, basado en la emoción y no en la razón, sin embargo, se muestra como un cuchillo de doble filo. El abordaje puede funcionar en situaciones reales de crisis pero termina no pudiendo sustentarse a lo largo del tiempo. Otro efecto colateral no deseado es el desperdicio de dinero, en la medida en que son implementadas soluciones que no siempre son las más recomendadas, además de mostrarse más difíciles para administrar y analizar en términos de resultados prácticos. La actitud más correcta es condensar las informaciones relativas a las necesidades de seguridad de la empresa de manera clara para transmitir una situación que los ejecutivos de la alta gerencia (principalmente el presidente de la empresa y el director financiero) puedan comprender. En general, estos ejecutivos consideran que seguridad es un problema tecnológico y no de negocios, por este motivo, terminan no aprobando las inversiones necesarias para el área. Mostrar los riesgos que esta decisión puede traerle a la empresa, sin apelar a la técnica del terror, es uno delos desafíos de los administradores de TI. Es responsabilidad del CIO lograr que los ejecutivos entiendan que un excelente firewall no lo resuelve todo. Son necesarias otras medidas que deben funcionar como un todo. Nuevas amenazas surgen al mismo compás que la evolución tecnológica, lo que requiere, por lo tanto, una atención constante y la implementación de nuevas soluciones y acciones que permitan mantener la empresa con el mayor nivel de protección posible.

Bibliografía Recomendada.

Título: Seguridad en las RedesAutor: Thomas WadlowEditora Campus

Título: Administrando datos en la WebAutor: Dan Suciu y Peter BunemanEditora Campus

El futuro de la administración.

El futuro de TI.

La tecnología de la información evolucionó rápidamente. En menos de 30 años dejó de ser un privilegio sólo de las grandes corporaciones, para tornarse una herramienta indispensable y utilizada por empresas de diferentes tipos y portes. Hoy no se discute más su aplicabilidad para lograr el alcance de las metas de negocios. El gran cuestionamiento de los analistas de mercado y de los administradores de TI es evaluar hasta qué punto, en el futuro, valdrá la pena ser pionero en innovación tecnológica o si la mejor estrategia será esperar que las soluciones maduren para sólo después invertir en su adquisición. ¿Hardware y software ya se convirtieron en commodity? De hecho, ¿será posible comprar tecnología bajo demanda? ¿La tercerización será inevitable? El futuro de la TI en las corporaciones estuvo en evidencia durante todo el año 2003, principalmente luego de la divulgación del artículo de Nicholas Carr, publicado en mayo en la Revista Harvard Business Review, que causó polémica en el mundo entero. El consagrado escritor, periodista y consultor norteamericano, especializado en la intersección entre la estrategia de negocios y tecnología de la información, adquirió notoriedad cuando su artículo titulado "IT doesn't matter" (La TI no tiene importancia) movilizó a los ejecutivos, los invitó a analizar el asunto y además tuvo como resultado reportajes en periódicos y revistas de peso como el New York Times, Washington Post, Financial Times, Business Week, USA Today, Fortune, Computerworld, entre otros. Aunque fueron fuertemente respondidos, los argumentos presentados por Carr tienen su lógica y no pudieron ser ignorados, sirvieron al menos para propiciar una buena reflexión al respecto del tema. Entre los principales puntos abordados, él resaltó que para tener valor estratégico, la tecnología necesita permitir que las compañías la usen de manera diferenciada. Pero, como la evolución de la TI es muy rápida y en poco tiempo se torna accesible a todos, se vuelve cada vez más difícil obtener ventajas sólo por su empleo. Carr cree que la infraestructura de TI (hardware y software), entendida como un proceso de almacenamiento y transmisión de datos, está transformándose en commodity, así como las ferrovías se transformaron en parte de la infraestructura de las empresas del siglo XIX, y ocurrió lo mismo con la electricidad, a comienzos del siglo XX. "TI es esencialmente un mecanismo de transporte, en la medida en que transporta información digital de la misma forma que los cables eléctricos transportan electricidad. Y es más valiosa cuando es compartida, que cuando se la usa aisladamente. Además, la casi infinita escalabilidad de muchas tecnologías, combinada con la velocidad de patronización tecnológica significa que no hay ningún beneficio en ser propietario de las aplicaciones. Nadie más desarrolla su

propio correo electrónico o procesador de texto. Y esto está dirigiéndose rápidamente hacia aplicaciones más críticas, como el supply chain management (administración de la cadena productiva) y customer relationship management (administración de la relación con el cliente). Sistemas genéricos son eficientes, pero no ofrecen ventajas sobre los competidores, pues todos están comprando los mismos tipos de sistemas. Con Internet, tenemos el canal perfecto para la distribución de aplicaciones genéricas. Y en la medida que vamos hacia los Web Services, donde podemos comprar aplicaciones, todo nos llevará a una homogeinización de la capacidad de tecnología".En este trecho de la entrevista concedida al Computerworld, Nicholas Carr reitera la idea de que hoy la tecnología ya no representa un diferencial competitivo para las empresas. En el pasado, el panorama era otro. Sólo las grandes empresas tenían el poder suficiente para invertir en el desarrollo de tecnología propietaria, esperaban (y conseguían) obtener una ventaja sobre los competidores. Actualmente, sin embargo, con la evolución tecnológica teniendo lugar en espacios de tiempo cada vez más cortos, esta ventaja deja de existir. Dejó de valer la pena invertir pesadas cifras en el desarrollo de sistemas y soluciones y además correr los riesgos de ser pionero, porque puede obtenerse sí una ventaja sobre los competidores, pero rápidamente esto deja de ser un diferencial. Como ejemplo, Carr cita que en 1995, en los Estados Unidos, grandes bancos minoristas crearon redes propietarias para ofrecer servicios de homebanking a sus clientes e invirtieron millones de dólares en este sentido. Al percibir este nicho, los software houses rápidamente comenzaron a ofrecer soluciones de este tipo e internet banking se transformó en commodity, lo que le posibilitó a otros bancos menores disponibilizar este servicio con inversiones y riesgos infinitamente inferiores a los de las instituciones que fueron pioneras. El gran riesgo de las empresas en la actualidad, según Carr, es gastar en exceso en TI y continuar queriendo obtener ventajas sobre la competencia, lo cual fatalmente llevará a un desperdicio de dinero y a la decepción. Estas afirmaciones provocaron reacciones diferentes en el mercado y entre los ejecutivos de TI, se mezclaron indignaciones acaloradas con asentimientos discretos. Las principales críticas pusieron en evidencia que las empresas pioneras y que apostaron al desarrollo tecnológico, tienen éxito porque también cuentan con una estrategia de negocios bien engranada. Pero la TI desempeña un papel primordial y contribuye significativamente para obtener buenos resultados. La dinámica del mercado sufre la acción de varios agentes, además de las presiones de los competidores y de los nuevos que entran. Esto debe ser complementado por un conjunto de procesos, lo que requiere aplicaciones y sistemas innovadores, además de niveles de servicio para soportar la estrategia de negocios. Polémica aparte, el hecho innegable es que actualmente en las corporaciones están más reticentes para realizar nuevas inversiones en tecnología, inclusive las que son extremamente dependientes de estos recursos. Muchos factores contribuyen para esto, entre los cuales encontramos las oscilaciones en la política y en la economía mundial y la consecuente retracción de la producción de bienes y servicios. Pero tampoco se puede ignorar el hecho de que gran parte de las empresas que invirtió en tecnología de punta, sub utiliza el aparato de computación del que dispone y se cuestiona si debe realizar nuevas adquisiciones o dirigirse hacia el mejor aprovechamiento de sus activos.

Computación Bajo Demanda.

Atravesando estos cuestionamientos, comienzan a insertarse nuevos conceptos bautizados como computación on demand, grid computing, utility computing y adaptive computing, que en la práctica significan casi lo mismo y son presentados como el futuro de la computación. El movimiento es liderado por las proveedoras líderes de la industria de TI como, por ejemplo, IBM, HP y Sun Microsystems. Cada una a su manera defiende la idea de que el desafío actual del sector corporativo es no basarse en escenarios, pues estos cambian muy rápidamente. Las empresas necesitan tener la capacidad de responder a estos cambios, con la misma agilidad. Parafraseando a Charles Darwin, las especies que sobreviven no son las más fuertes, sino las que mejor consiguen adaptarse a los cambios. El mismo principio se aplica a las corporaciones que cada vez más necesitan ser hábiles para administrar TI, reducir costos sin comprometer la calidad de los servicios, defender la máxima de hacer más con menos. De ahora en adelante, lo que marcará la diferencia no será el tipo de tecnología empleada sino cómo la empresa la usa. Hoy, algunas funciones de procesamiento están limitadas por las restricciones de las computadoras. El concepto de computación bajo demanda presupone un escenario en el que será posible obtener una capacidad extra de procesamiento, en la medida en que fuera necesaria, a través de la red, sin que el usuario necesite conocer la complejidad de la infraestructura y se pagará por lo que efectivamente se usa. También llamado grid computing, es un concepto de procesamiento distribuido que involucra el uso de varias computadoras interconectadas a través de redes locales o de larga distancia, e inclusive Internet. Su operación requiere también el empleo de muchos protocolos, patrones y herramientas de software.En la concepción de IBM, on demand no se refiere sólo a la tecnología sino que se trata también de cambiar la manera de realizar negocios, a través del desarrollo de nuevas capacidades para responder a todo lo que el mercado presenta, y poder tornar más eficiente la empresa y obtener ventajas sobre los competidores. El propósito de on demand es cambiar la forma de realizar negocios, de manera que quede claramente colocada dentro del contexto de lo que está ocurriendo en una empresa en particular y analizar sus problemas, el ambiente competitivo y los procesos que usa. Por lo tanto, on demand tendrá diferentes alcances en diferentes industrias. En la industria farmacéutica, por ejemplo, las soluciones on demand podrán ayudar a las empresas a reducir el tiempo para introducir nuevos medicamentos en el mercado, lo cual les traerá ventajas en relación a los competidores más lentos. Por otra parte, en la industria automovilística, las soluciones on demand ayudarán a mejorar la administración de la cadena de distribución y pedidos, además de maximizar la fabricación de piezas, sus procesos de desarrollo de proyectos y de fabricación, y la administración de productos a través de sus ciclos de vida. Dispuesta a colocar la teoría en la práctica, IBM ya comenzó a disponibilizar nuevos servicios para proveer acceso remoto a aplicaciones de servidores, a los cuales se les cobrará de acuerdo al volumen de uso. La estrategia es atender a las empresas que necesitan lidiar con un gran volumen de servidores, lo que torna cara su adquisición, administración y mantenimiento. Con el proyecto de IBM, las compañías comienzan a utilizar el poder de los servidores de la propia IBM, que están instalados en los data centers de Big Blue. El acceso se realiza remotamente y el usuario paga mensualmente sólo por la carga que usó.

En el mismo modelo de negocio, IBM también puso a disposición la administración de los servicios de servidores y red, como conectividad con Internet, almacenamiento, backup y firewall.

Adaptive Enterprise.

HP siguió la misma dirección pero resalta que el modelo propuesto es un poco diferente, y comenzó a disponibilizar paquetes de nuevos servicios, software, soluciones y una arquitectura de referencia - todo bajo lo que bautizó como "Adaptive Enterprise". La idea es ayudar a los usuarios de los productos a medir, proyectar y administrar cambios en la estructura de TI para atender la demanda del negocio. El objetivo es trabajar con lo que ya existe en el cliente, preservar las inversiones realizadas y prepararlo para avanzar hacia un nuevo nivel. En la práctica, el concepto defendido por la proveedora prevé la virtualización gradual del procesamiento de aplicativos, comienza dentro de las propias empresas y llega a la tercerización total en algunos años. Existen, en realidad, etapas entre el modelo actual y el de la empresa adaptable que son medibles y pueden ser divididos en tres niveles: seguridad y continuidad de negocios; consolidación y administración; y virtualización, procesamiento bajo demanda y outsourcing. En Brasil, gran parte de las empresas se encuentra en el primer nivel.

Outsourcing.

En la evaluación de los consultores de mercado, la computación bajo demanda aún está comenzando a dar sus primeros pasos y le llevará algunos años madurar. Lo que deberá recibir más impulso en los próximos años será el proceso de tercerización de TI. El outsourcing, como también es conocido, no representa ninguna novedad y viene siendo adoptado, en mayor o menor escala, por las corporaciones de diferentes ramos de actividades hace muchos años. Pero recientemente se comenzó a percibir que las desconfianzas y resistencias de las áreas usuarias, que eran muy elevadas en un pasado reciente, ya no constituyen una dificultad para la madurez de este modelo. Motivadas por la necesidad de reducir costos y por haber concluido que hacer todo en casa, además de muy caro es poco productivo, las empresas de grande, mediano y pequeño porte están gradualmente aumentando el proceso de delegar algunas funciones de TI a terceros. Existe, sin embargo, la necesidad de seguir algunos criterios, para que este proceso alcance los objetivos pretendidos. Tan importante como la elección de la empresa prestadora, es saber elaborar el mejor acuerdo de nivel de servicio (SLA - Service Level Agreement), que se caracteriza por ser mucho más detallista que los contratos convencionales de la descripción de los servicios acordados entre las partes, y que establecen una serie de parámetros y métricas que deberán alcanzarse (tiempo medio entre fallas, disponibilidad de los sistemas, performance, etc.) y contiene cláusulas de las penalidades previstas para los casos de no cumplimiento. Para el futuro, se espera el crecimiento de lo que viene llamándose de "la próxima ola de outsourcing": el Business Process Outsourcing (BPO) que no se restringe a una simple tercerización, en la medida en que exige del prestador de servicios la

participación en los riesgos del negocio del cliente. El BPO presupone la tercerización de la gestión de un proceso de negocio de una empresa, como por ejemplo, la del área de recursos humanos, en que son ofertadas toda la infraestructura del hardware, software aplicativos, soporte y mano de obra especializada. Esto requiere que el prestador tenga profundo conocimiento del negocio del cliente. Si el negocio tiene éxito, el proveedor será bien remunerado; si le va mal, los perjuicios tendrán que ser divididos entre las partes. En el ámbito general del outsourcing, las estimaciones de Brasil son de que este mercado, en Brasil, continuará creciendo a tasas muy superiores que la de los otros segmentos de la tecnología, y deberá mover cerca de R$ 14,7 mil millones en el 2007. Sin embargo, existen aún obstáculos que vencer. Mientras la tercerización de las redes de datos y voz y la administración de infraestructura son considerados servicios consolidados, otras propuestas de outsourcing de infraestructura aún necesitan romper algunas barreras. Es el caso del segmento del almacenamiento de datos, en el que los data centers se presentan como los grandes propagadores del servicio, ofrecen la posibilidad de poner a disposición servidores y equipos del cliente, o también de ceder espacio en sus máquinas y disponibilizar una gama amplia de servicios. Pero por el momento, las empresas que más invierten en outsourcing de almacenamiento son las de los sectores financiero, minorista y manufactura.

El CIO del Futuro.

Cuáles son los caminos y las tecnologías que irán a prevalecer en el futuro aún son cuestiones inciertas. Outsourcing, computación bajo demanda, movilidad, convergencia, consolidación de sistemas, seguridad y software libre, son las vertientes que tienen mayor probabilidad de recibir mayor atención del sector corporativo de ahora en adelante. Pero, frente a un escenario que prevé el aumento de la comoditización de TI y de su operación a través de terceros, ¿cuál será el papel del CIO en el futuro? Hoy, este profesional aún es el mejor integrador de soluciones dentro de las corporaciones. El próximo paso será tornarlo el mejor administrador de estas necesidades. Además del obvio conocimiento de la tecnología, el nuevo CIO también tendrá que mostrar habilidad para el desarrollo de arquitecturas, tener una visión estratégica y familiaridad con el board de la compañía, sea para reportarse, sea para integrarla; también le competirá decidir qué sí y qué no deberá ser tercerizado, tendrá que mantener el control sobre la administración de los servicios y contratos, y además deberá distinguir dónde la innovación tecnológica se hará necesaria y dónde se podrá optar por la comoditización. Los más pesimistas creen que en un futuro no muy distante, el cargo de CIO dejará de existir porque la tecnología será tan simple de usar que no habrá necesidad de un profesional específico para liderarla. Los optimistas, por otra parte, sostienen que el CIO probablemente dejará de ser el gran mentor de la informática pero continuará siendo responsable por el mantenimiento de la infraestructura tecnológica como un todo y de la administración de terceros. En este sentido, la administración del gobierno de TI tendrá que crecer mucho. Cuál de las dos corrientes tiene razón, sólo el tiempo lo dirá.

Bibliografía Recomendada.

Nicholas Carr, escritor, consultor de TI y editor de Harvard Business Review Cezar Zarza, vicepresidente de Marketing de Computer Associates de Brasil Juarez Zortea, director de ventas de HP Services Sergio Cardoso da Motta, IBM Business Consulting Service Roberto Camanho, director de Decision Systems Heron Domingues, consultor de empresas Jornal Computerworld Luciano Dolenc, country manager de Peregrine Vandereli Rigatieri, WDC Networks