martes, 27 de enero de 2009

ITIL y la flexibilidad

La semana pasada, en una visita a un cliente, surgió uno de los reproches recurrentes hacia ITIL, con los que, de tanto en tanto, nos encontramos. Este reproche consiste en decir que ITIL resta flexibilidad a la organización de TI.

Desde mi punto de vista es imprescindible disponer de políticas, sistemas, procesos eficaces. Es imprescindible gestionar adecuadamente las actividades de TI para que, entre otras cosas, podamos dedicarnos a lo que realmente proporciona valor, podamos medir el desempeño y la consecución de los objetivos establecidos y podamos hacer un uso lo más productivo posible de los recursos de TI.

Si no disponemos de un marco de trabajo en el que movernos, es fácil que cada cosa que ocurre en el departamento de TI se convierta en una "excepción" susceptible de realizarse cada vez de forma diferente y contradictoria. Imaginemos, por ejemplo, un help desk donde cada técnico tratase las incidencias "a su manera". Y esto es perfectamente extrapolable a cualquier actividad del departamento de TI.

Si disponemos de una buena base (procesos, políticas, sistemas adecuados) podemos acometer cambios y cambios rápidos con la seguridad de que se realizan sobre una base sólida. Sin una base sólida, la búscada flexibilidad conduce al caos. Por tanto, sólo es posible ser flexible de forma inteligente si nos hemos dotado previamente de unos procesos y políticas adecuados.

El reto se encuentra en diseñar procesos eficientes (procesos bien definidos y estructurados que eviten actividades innecesarias), eficaces (definidos para alcanzar el objetivo buscado), y que huyan de la burocracia.

Gestión de riesgos en los planes de continuidad


Proceso de gestión de riesgos de seguridad de la información ISO/IEC 27005

Mucha gente trata de determinar cuáles son los factores clave que determinan el éxito o fracaso de los planes de continuidad del negocio. Existe unanimidad en que entre ellos se encuentra la correcta gestión de riesgos.

Sin embargo, es sorprendente descubrir cómo se trata de una de las fases en la que en la mayoría de los planes, menos esfuerzo se dedica. Los motivos pueden ser varios: requiere la realización de un estudio detallado y la participación de personal especializado, es necesaria la participación activa de la dirección, etc.


¿Por qué es necesario dedicar tanto esfuerzo en esta fase? La respuesta es la de siempre:
se deben tratar infinidad de posibles amenazas, con un número limitado de recursos. Y es aquí donde la gestión adecuada de riesgos juega un papel fundamental, determinando qué riesgos se deben tratar de forma prioritaria para reducir al mínimo la posibilidad de sufrir en el negocio las consecuencias de daños irreparables.

Si no se realiza una correcta gestión de los riesgos, es posible que se dediquen recursos a evitar la materialización de incidentes muy poco probables, y que en cambio no se identifiquen (y por tanto no se traten) algunos con probabilidad alta de materializarse.

Ante esta situación, se ha definido la norma ISO/IEC 27005 que trata de definir un framework para la gestión de riesgos. Cada uno de los subprocesos que lo forman, que siguen el modelo PDCA (Plan-Do-Check-Act), se encuentra ampliamente detallado en la propia norma, sirviendo como una guía de referencia para la gestión de riesgos.

A continuación se resumen estos procesos, indicando ejemplos y conceptos clave para su implementación:


  • Establecer el contexto: Esta actividad establece el ámbito y el alcance de la gestión de riesgos. También se crean los criterios para evaluar, decidir el impacto, y aceptar los riesgos. Además, en este paso se debe crear la estructura organizativa que debe soportar la gestión de riesgos.
  1. Es aconsejable comenzar con la gestión de riesgos enfocada en los activos que sean críticos para la organización, ya que sin tener experiencia, pretender abarcar dentro del alcance toda la organización puede ser excesivo.
  2. En una reunión con la dirección, se deben establecer los criterios para los riesgos, de forma que cada uno de ellos se comprometa a respetar los resultados que se obtengan.
  • Identificar los riesgos: este proceso identifica los activos a proteger, las amenazas existentes, los controles que se han aplicado, las vulnerabilidades actuales y las consecuencias de materializarse cada una de las amenazas.
  1. Mediante la realización de entrevistas con la dirección y los empleados, se realiza un inventario de activos, imputándoles un valor, siguiendo los criterios establecidos por la fase anterior.
  2. Resulta práctico analizar las descripción de amenazas comunes que aparece en la misma norma, así como "brainstorming" del personal técnico.
  • Estimación de riesgos: se describen varias metodologías para realizar una estimación del nivel de riesgo de que una amenaza se haga realidad (ya sea a nivel cuantitativo, cualitativo o una combinación de ambos).
  1. Tal y como se recomienda en la norma, es conveniente comenzar por un análisis de riesgo cualitativo, y si se considera oportuno entrar en más detalle (cuantitativo) para ciertos riesgos específicos.
  • Evaluación de riesgos: se realiza una priorización de los riesgos a tratar, dependiendo de los resultados obtenidos en los procesos anteriores. Así se establece el plan de acción.
  1. Normalmente a cada riesgo se le asigna una puntuación, en función de su probabilidad y el impacto que supondría. Así se puede realizar una clasificación que servirá para establecer qué riesgos se deben tratar primero.
  • Tratamiento de riesgos: se diseñan los controles a implantar para evitar o minimizar los riesgos.
  1. Se deben tener en cuenta los "daños colaterales" de implantar las medidas, ya que a menudo al implantar un control se introducen nuevas vulnerabilidades en los sistemas colindantes.
  • Comunicación de riesgos: este proceso asegura que se produzca el flujo de información necesario para que todo implicado esté al día de la evolución de la gestión de riesgos.
  1. Es aconsejable la realización de reuniones periódicas entre los diferentes implicados de la gestión de riesgos.
  • Monitorización y revisión: mantenerse al día de la evolución de las amenazas y de las medidas implantadas para reducir o evitar riesgos.
  1. Cada vez que se implemente un control, se deben establecer indicadores que proporcionen a la organización información sobre su correcto funcionamiento para tratar los riesgos.
  2. Como mínimo cada dos años, se recomienda realizar auditorías tecnologías para determinar el estado y la validez de los controles implantados.
Tal y como se puede comprobar, la norma ISO/IEC 27005 se trata de una guía de referencia bastante completa, muy aconsejable para los implicados en el diseño de los planes de continuidad. Sin embargo, como suele suceder, cada organización deberá "personalizar" estos procesos, de forma que se integren de un modo natural en la organización.

Solamente realizando una gestión de riesgos eficiente, se podrá asegurar que el plan de continuidad responde a la realidad de la organización, y únicamente enfocándolo como un modelo de mejora contínua se conseguirá mantenerlo al día.