lunes, 19 de diciembre de 2011

Gestión desde la nube


Los departamentos de TI afrontan el reto de reducir los costes, el retorno de las inversiones realizadas y la entrega de valor al negocio, ofreciendo a la organización servicios eficientes y de calidad. Teniendo en cuenta que las necesidades del negocio cambian constantemente, los departamentos de TI tienen que alinearse a ellas a fin de que el cumplimiento de las metas del departamento de TI permita cumplir las metas del negocio. Para ello es necesario implantar procesos TI que permitan por lo menos:

1.    Asegurar los servicios TI a sus usuarios para que estén disponibles, sean fiables y con buen rendimiento.
2.       Garantizar la mejora continua de los mismos.
3.       Reducir el coste total de provisión y soporte de los servicios TI.
4.       Gestionar el conocimiento de la empresa.
5.       Mejorar el flujo de información.
6.       Aumentar la satisfacción de los usuarios.
7.       Demostrar el valor y la aportación del departamento de TI.

Las incidencias y las peticiones que generan los usuarios al departamento de TI tienen un flujo de actividad que supone una importante carga, por ello, se debe poner énfasis en su automatización y optimizar su tratamiento en busca de altas cuotas de eficiencia.

La gestión de incidencias es el proceso que se ocupa del tratamiento de los sucesos que provocan la degradación o pérdida del funcionamiento normal de un servicio, con el objetivo fundamental de recuperar el servicio para el negocio lo más rápidamente posible. Se centra en restaurar el servicio cuanto antes, sin admitir dilaciones por investigaciones técnicas. Su objetivo es que todo servicio caído o degradado retorne cuanto antes a la normalidad. Mantener únicamente esta actividad frenética de “apaga fuegos” no es productivo.

Este proceso es el que más volumen de trabajo genera en TI. Además involucra a un número de actores bastante amplio, desde los teleoperadores, pasando por todas las áreas técnicas, hasta llegar a los desarrolladores de las aplicaciones. Hay que tener en cuenta que lo normal es atender ente 2 y 3 contactos por mes de cada usuario, relacionados a incidencias de servicio. Además hay que considerar que la tendencia es que este volumen de contactos se vaya incrementado, debido al aumento de la diversidad de dispositivos móviles y a la progresiva penetración de las TI en la actividad de la empresa. Por ello, es importante disponer de una organización perfectamente preparada y entrenada para su atención y resolución. Es necesario definir, en la actividad de clasificación, la prioridad con la que se debe tratar la incidencia. Igualmente ocurre a la hora de asignar un orden de resolución.

Actualmente el mercado ofrece muchas opciones para gestionar un departamento de TI y en concreto las incidencias y cambios. Muchos fabricantes de software disponen de herramientas con funcionalidades HelpDesk que permiten crear, gestionar y documentar todas las incidencias y problemas de una empresa. La implantación de una solución de este tipo requiere una mejora de los procesos que implica una mejora de conocimientos del personal y por supuesto una mejora en la tecnología. Una buena forma de mejora de procesos es la reingeniería de los mismos en base a las mejores prácticas (metodologías) existentes en el mercado. Esto implica una automatización y modernización de la infraestructura tecnológica así como un cambio en la manera de trabajar por parte de las personas implicadas. La adopción de todo ello no deja de ser un proceso complicado y en la mayoría de casos ligeramente largo. Sin embargo, la nube, el ya famoso y recurrente “cloud computing”, ofrece nuevas oportunidades de gestión TI. Adoptar una solución de gestión de TI basada en la nube, evita que tengamos que ampliar nuestra tecnología y la empresa se puede centrar en  mejorar los conocimientos del personal y adaptar los procesos a la nube sin que estos se vean afectados. Una puesta a punto rápida y sencilla, carente de licencias o agentes/clientes y una modalidad de pago fraccionada y correspondiente al uso que se da. Sin costes de mantenimiento y sin inversión en soporte.

1.    SaaS: modelo de distribución de software que proporciona a los clientes el acceso al mismo a través de la red, de manera que libera al cliente del mantenimiento de las aplicaciones, de operaciones técnicas y de soporte.
2.   Puesta en marcha: al no haber servicios de implantación ni formación en un tiempo muy reducido la herramienta está operativa.
3.     Disponibilidad: La modalidad de licenciamiento Saas ofrece un servicio continuo y accesible desde cualquier lugar y a cualquier hora, puesto que se ejecuta a través del navegador.  
4.       Ahorro: Una de las ventajas del cloud computing es el ahorro en tecnología ya que al estar en la nube no hay que comprar servidores o recursos. 






viernes, 16 de diciembre de 2011

Service Desk: el Factor Humano

Como muchos otros, empecé mis pasos en el ámbito de las TI embarcando en una “galera”. Sí, una galera de combate. En ese momento –hace ya más de 10 años- el concepto de Service Desk no estaba tan extendido y era mucho más conocido y frecuente el término “Helpdesk”.

El volumen de llamadas entrantes era muy elevado y los SLA asociados a la gestión telefónica de la llamada, que por aquel entonces era la entrada principal de incidencias, peticiones, quejas, y preguntas varias, era bastante estricto en cuanto a los tiempos de respuesta y abandono.

El perfil de actividad de los usuarios y clientes que accedían al servicio de soporte era absolutamente típico, por este motivo en cuanto se abrían las líneas telefónicas, la ocupación de los agentes era inmediata y el colapso se producía acto seguido. Las llamadas entrantes, que no dejaban de fluir, entraban en el sistema, escuchaban las opciones y se distribuían en función de la lógica de saltos y grupos diseñada para el servicio en cuestión.

En pocos minutos, las colas empezaban a acumularse y el supervisor cual “cómitre” iniciaba la maniobra: ¡remo de combate!

En los supuestos 3 minutos de media que debía durar cada llamada para poder asimilar las colas en espera, se debía escuchar, entender, registrar, resolver y cerrar o escalar. El proceso de registro debía ser por otro lado completo y adecuado en cuanto a su descripción, categorización y priorización. Sólo puedo decir, que lo intentábamos.

Ahora los tiempos han cambiado y el usuario dispone de múltiples fórmulas para contactar con su Service Desk y existen muchos automatismos e integraciones que facilitan el proceso de registro. Ahora bien, dado su coste, no podemos afirmar aquí que la implantación de dichos automatismos esté muy extendida, por lo que las dificultades en el proceso de registro siguen estando patentes. El operador gestiona su tiempo para “procesar la información” según su criterio y según la presión que asimile.

¿De qué depende entonces? ¿Es un problema de falta de conocimientos? ¿De procedimientos? ¿De metodología de trabajo? En parte, y sólo en parte, ya que aunque existan, no se contempla el factor humano, y éste es, de momento, un elemento muy importante, tanto a la hora de proporcionar el soporte, como a la hora de efectuar el proceso de registro y aprender de él.

A mi entender, el problema guarda relación directa con los siguientes aspectos:
  • El esfuerzo en cumplimentar los datos de registro correctamente todavía no se percibe como proporcional al valor intrínseco de la información que aportan. Por tanto, sigue faltando equilibrio entre el nivel de “detalle” requerido, su “valor” y el tiempo invertido en su tratamiento.
  • Los procesos se ejecutan de forma intuitiva, y su recurrencia, más o menos continuada, establece las bases de trabajo.
De lo anteriormente descrito, algún lector podría desprender cierto grado de determinismo que le llevara a cuestionarse la utilidad de los estándares metodológicos y “best practices”. Pero no estoy hablando de determinismo, estoy hablando de aprendizaje.

“La capacidad de evaluar – el nivel más alto de la taxonomía cognitiva – se basa en el supuesto de que el estudiante, para ser capaz de evaluar, tiene que disponer de la información necesaria, comprender esa información, ser capaz de aplicarla, de analizarla, de sintetizarla y, finalmente, de evaluarla” (E.W. Eisner a propósito de B. Bloom. Perspectivas: revista trimestral de educación comparada (París. UNESCO: Oficina Internacional de Educación), vol. XXX, n° 3, septiembre 2000, págs. 423-432).
Así pues, el factor humano no es un elemento determinante, pero sí condicionante del contexto de la prestación del servicio, porque en ese proceso cognitivo de comprender, evaluar y aplicar la información participan aspectos como la inteligencia, el contexto social, la motivación, así como otros componentes emocionales del individuo.

Sin olvidar aspectos tan esenciales como disponer de un dimensionamiento correcto y de las herramientas necesarias, podemos afirmar que se requiere un cambio de enfoque, pero incluso antes de que le pongamos nombre (ITIL, ISO/IEC 20000, etc.) esta diversidad sólo podrá gestionarse con enfoques que aporten sistemática, es decir que:

viernes, 2 de diciembre de 2011

X Jornada Internacional de Seguridad - ISMS

El martes 29 de Noviembre asistimos a la X Jornada Internacional de Seguridad de la Información organizada por el ISMS Forum Spain centrada en la CiberDefensa y CiberSeguridad.

El evento se celebró en la Ciudad de las Artes y las Ciencias de Valencia, un escenario que no conocíamos y que nos pareció idóneo para la jornada.

El congreso, que comenzó a las 9 y terminó pasadas las 18, contó con más de 20 ponentes de ámbitos distintos, desde expertos en seguridad, pasando por representantes de proveedores de seguridad hasta CISOs de importantes organizaciones.

Desde mi punto de vista (soy Consultor de Seguridad), las mejores ponencias fueron las posteriores al Coffee-break, concretamente :

  • La estrategia Española en materia de CiberSeguridad” de Javier Candau (Subdirector General Adjunto del Centro Criptológico Nacional, CCN)
  • Why security breaches are occurring? The Data Breach Investigations Report 2011” de Jelle Niemantsverdriet (Principal Consultant Forensics and Investigative Response), Verizon Business Security)

Javier Candau (cuyo apellido me pareció muy indicado para su profesión), comentó las distintas estrategias tomadas por otros países en cuanto a CiberSeguridad. Explicó las distintas amenazas a las que un país puede estar expuesto y de la importancia de proteger las infraestructuras críticas. Mencionó varios conceptos como el cibercrimen, el ciberespionaje, el hacktivismo o el ciberterrorismo. Dentro de la estrategia española, comentó la relevancia del Esquema Nacional de Seguridad (ENS).

Jelle Niemantsverdriet (@jelle_n) en una ponencia muy visual y llena de datos interesantes (se puede consultar aquí) remarcó la importancia de revisar los LOGS regularmente para conocer las intrusiones que las organizaciones sufren. Jelle en un baile de estadísticas de distintas fuentes, propone aprender de los errores de los demás. Comenta también que tal como ocurre en los accidentes de avión, las intrusiones no están normalmente producidas por un GRAN error, sino por la suma de pequeños errores que llevan a la catástrofe. El ponente mostró un gráfico con el descenso de brechas de información registradas en los dos últimos años. Su explicación a éste hecho es la mejora de los sistemas de seguridad, el incremento de la concienciación en seguridad de las organizaciones, el endurecimiento de la legislación y por tanto, que muchos crackers han sido detenidos con condenas severas. Otra de sus explicaciones al descenso es que las brechas de seguridad no se han producido en las grandes empresas, ya que estas han tomado mayor conciencia de la seguridad, sino que se dan en empresas mucho más pequeñas y que no detectan los ataques. En sus palabras, los crackers “ya no cazan elefantes, ahora cazan conejos”.


Después de un abundante y delicioso almuerzo a base de pequeñas tapas, la tarde se dividió en:

  • Mesa redonda: “La entrada en vigor de la normativa española en materia de infraestructuras críticas
  • Mesa redonda: "El nuevo panorama de ciberamenazas. Casos de éxito y buenas prácticas."
  • “El headhunting de profesionales y directivos de la Seguridad ¿Qué está demandando el mercado?" de Miguel Portillo (Associate Director, Michael Page Executive Search)

Las dos mesas redondas fueron muy interesantes, aunque por mi vocación, encontré más interesante la segunda (sobre ciberamenazas y casos prácticos), que la primera (centrada en normativa e infraestructuras críticas).

Por último, la ponencia de Miguel Portillo de Michael Page fue muy interesante al tratar de un tema totalmente distinto a todos los tratados durante la jornada. Se hizo una muy buena contextualización del mercado laboral europeo y español. Se centró en la figura del CISO, tanto en sus características personales como lo que demanda el mercado.


En conclusión, la valoración del evento fue muy positiva y creo que el resto de asistentes coincidirán en ello, tanto por la organización como por el contenido de las charlas. Espero poder asistir al siguiente evento ya que fue una magnífica experiencia.

viernes, 7 de octubre de 2011

El error más común a la hora de Analizar y Gestionar los Riesgos Tecnológicos

El análisis de riesgos tecnológicos es la piedra angular utilizada por el CISO para gestionar la seguridad de los sistemas de información. Consiste en un estudio pormenorizado de las amenazas y eventos a los que están expuestos los activos de información que conforman los servicios tecnológicos, y los impactos que se provocarían en el negocio en caso de que estas se materialicen.

Existen multitud de metodologías y de enfoques, pero a menudo, y sobre todo, cuando se decide abordar por primera vez un análisis de este tipo, se cometen errores de base que pueden comprometer el éxito del proyecto.

El análisis debe surgir con un doble objetivo, por un lado estudiar los riesgos asociados a los sistemas de información y su entorno, y por otro, aplicar las medidas necesarias para conocer, prevenir, impedir, reducir o controlar los riesgos estudiados hasta niveles aceptables por la organización.

Sin embargo, a pesar de que los objetivos suelen estar claros, no siempre se consiguen, ya que las organizaciones han elevado el grado de exigencia, como consecuencia tanto del aumento acelerado del volumen y dependencia de las tecnologías de la información, como de los nuevos escenarios (nuevas amenazas, tecnologías novedosas, vulnerabilidades escondidas, nuevas salvaguardas…) a los que nos enfrentamos.

Por tanto para conseguir gestionar los riesgos con éxito en este nuevo entorno más complejo, es necesario tener un equipo experto que plantee el análisis y gestión de riesgos como un conjunto de iteraciones, en las cuales, en cada una de ellas, se analice el escenario actual y se amplíe el nivel de detalle en función de las necesidades del negocio.

En ocasiones las organizaciones incurren en el error de plantear un análisis estático con un principio y un fin, al que no se le da continuidad en el futuro y donde se intenta analizar de golpe el todo. La clave, desde nuestro punto de vista, a la hora de abordar un proyecto de este tipo, es plantear el análisis en fases, en modo dinámico de gestión continua de tratamiento de riesgos, en la cual en las diferentes iteraciones del estudio se vayan incorporando nuevos servicios, aumentando el catálogo de amenazas, contando con nuevas salvaguardas. La gestión de riesgos consistirá en ir viendo cómo evoluciona el riesgo en cada iteración, implantando controles, actualizando el escenario tecnológico, garantizando que se toman decisiones para mitigar, transferir o asumir el riesgo hasta los niveles que la Alta Dirección considera como “aceptables”, creando a su vez valor al negocio mediante:

  • Integración con los procesos organizacionales
  • Forma parte de la toma de decisiones
  • Atiende explícitamente los aspectos de incertidumbre
  • Es sistemática, estructurada y oportuna
  • Está alineada con el contexto externo e interno de la organización
  • Es dinámica, iterativa y responde a los cambios
  • Facilita la mejora continua en las organizaciones

viernes, 30 de septiembre de 2011

Los 3 errores más comunes a la hora de contratar un servicio externo


Asumir completamente los requerimientos y costes de la prestación de un servicio o bien, contratarlo a un proveedor externo, suele ser una de las decisiones más controvertidas que una organización debe tomar. Pero ¿Qué aspectos inciden con mayor fuerza en la decisión final?, ¿Son estos aspectos realmente, significativos o a menudo se valoran desde una perspectiva errónea?

Las respuestas a estas preguntas están en el día a día, o sino ¿Quién no conoce casos de cancelaciones contractuales antes de que finalice el período estipulado?, ¿Penalizaciones por incumplimiento de contrato?, ¿Hastío de las relaciones cliente-proveedor?, por poner sólo unos ejemplos.

El punto de vista de valoración y las expectativas previas juegan, por tanto, un papel muy importante. Así pues, podemos considerar que en función del enfoque y la expectativa que se asuma, se pueden cometer, frecuentemente, los siguientes 3 errores:

Presupuesto vs Oferta

El presupuesto de gasto (o la necesidad de reducir costes), suele ser un elemento decisorio de peso a la hora de valorar distintas ofertas de proveedores, especialmente, en tiempos oscuros económicamente hablando, como los actuales. Se cumple la máxima: “para que voy a pagar más, si puedo obtener lo mismo por menos”. Si bien es normal y correcto comparar ofertas y prestaciones, el error está en considerar propuestas “supuestamente económicas” para prestaciones “supuestamente de calidad” que acaban siendo superficiales, no disponen de la flexibilidad necesaria para adaptarse a requerimientos cambiantes o a la propia complejidad de la organización.

Contrato legal vs SLA

Muchos contratos de servicios se resuelven a través de una correcta y concreta documentación legal que establece los detalles legales de la prestación que se contrata y las obligaciones de ambas partes firmantes, pero no siempre se acompaña o amplía con el establecimiento de un acuerdo de nivel de servicio (SLA) donde se detallen los requerimientos de servicio y se establezcan tanto el nivel de servicio requerido, como el umbral considerado por la organización para identificar un nivel inaceptable, el marco de trabajo, o el modelo de relación que deberá enmarcar la interacción cliente-proveedor.

En otros casos, sí existen estos acuerdos SLA, pero no son suficientemente claros o incluyen objetivos demasiado ambiciosos que alimentan la expectativa del cliente pero son claramente inasequibles por parte del proveedor, que en ocasiones, acepta “gratamente” el pago de las penalizaciones acordadas, antes que invertir en la mejora de los servicios que presta.

Se cumple la máxima: “el contrato legal me asegura el cumplimiento de todos mis deseos”. El error está en considerar que el contrato siempre cubre mis expectativas de servicio, incluso cuando éstas ni siquiera hayan sido formuladas e incluidas en él.

Seguimiento vs “laisser faire”

Si focalizarse en el presupuesto y no concretar explícitamente los requerimientos y expectativas de servicio son errores comunes, también lo es considerar que por el hecho de contratar un proveedor externo para que proporcione el servicio que necesitamos, no es necesario que “invirtamos tiempo y esfuerzo” en su seguimiento. Se cumple la máxima: “ya saben lo que tienen que hacer. Los hemos contratado para poder dedicarnos a otras tareas”.

Este aspecto está vinculado al punto anterior y es normal que no se tenga en cuenta, si previamente, no se ha tenido en cuenta el establecimiento de un acuerdo de nivel de servicio realista que establezca el marco de control del seguimiento (indicadores de rendimiento, métricas, etc.). El error está en no evaluar periódicamente la prestación del servicio para poder confirmar que sigue siendo adecuada a los requerimientos que nos han llevado a contratarlo.

En conclusión, el error más común es el de no conocer bien la expectativa de servicio, es decir, saber exactamente, qué es lo que se necesita, qué es lo que el proveedor ofrece, qué es lo que se contrata y cuál es el coste real de la prestación, y la estrategia que finalmente, se determine no pueden dejarse a merced de una cuestión de enfoque.

“El pesimista se queja del viento. El optimista espera que cambie. El realista ajusta las velas” (Guillen G. Ward)

viernes, 16 de septiembre de 2011

Gestión de la Demanda y Proyectos

¿A día de hoy es posible para los ejecutivos de TI ver, en qué proyectos y actividades operacionales deberían estar trabajando, qué porcentaje del presupuesto se destina a los proyectos, los niveles de capacidad de los recursos, y la alineación con las necesidades del negocio?.
Es posible! Gracias a una buena gestión de la demanda y una buena gestión de proyectos.
Los departamentos de TI absorben una demanda creciente con  recursos ajustados. Con estas premisas es difícil responder plenamente a las peticiones del negocio, así como evaluarlas y priorizarlas adecuadamente. Además, los proyectos resultantes no se gestionan adecuadamente en calidad, tiempo y presupuesto. De esta manera el riesgo de que el resultado u oferta final al cliente no concuerde con lo demandado inicialmente es muy alto.
Gestionar la demanda
La Gestión de la Demanda es la encargada en estos casos de redistribuir la capacidad para asegurar que los servicios críticos no se ven afectados o, cuando menos, lo sean en la menor medida posible. Para llevar a cabo esta tarea de forma eficiente es imprescindible que la Gestión de la Capacidad conozca las prioridades del negocio del cliente y pueda actuar en consecuencia.
Una buena gestión de la demanda de la organización:
  • Permite que los departamentos de TI puedan enfocar sus recursos y su presupuesto a las prioridades del negocio.
  • Consolida y prioriza todos los proyectos con mayor y mejor visibilidad y control, centrándose en aquellos de mayor prioridad cumpliendo los compromisos de nivel de servicio.
  • Automatiza este ciclo de vida de la demanda parar alinearse con los procesos de negocio y reducir el tiempo de resolución de las solicitudes asociadas a la demanda de servicios.
  • Subsanar  la degradación del servicio por aumentos no previstos de la demanda.
Gestionar proyectos
Tan importante como gestionar adecuadamente la demanda, es realizar una buena gestión de los proyectos resultantes de la misma. De esta manera sabremos en todo momento qué proyectos están centrados en aumentar el valor del negocio, y cuáles en optimizar la prestación de servicios de TI y reducir los costes. Una buena gestión de proyectos permite:
  • Medir el progreso del proyecto y los tiempos del mismo: (Integración con diagramas de Gantt, por ejemplo) de forma automatizada, de tal forma que cada vez que un proyecto está programado, se calcula y destaca visiblemente las tareas más importantes. Las tareas se asignan a los recursos de cada usuario.
  • Visibilidad financiera: para la toma diaria de decisiones sobre el departamento y sus proyectos, una correcta visualización del rendimiento financiero mediante la recopilación de los costes reales.
  • Plan presupuestario: El objetivo es establecer y administrar el presupuesto de TI durante todo el ciclo de vida del proyecto. Los directores de IT obtienen la flexibilidad necesaria para adaptarse con rapidez, a medida que cambian las previsiones de los objetivos de negocio.
  • Gestionar los recursos: (actividades estratégicas y operativas en cualquier etapa del ciclo de vida del proyecto). Permite un completo entendimiento de los recursos internos o contratados que se encuentran comprometidos y/o asignados a diferentes tareas o proyectos. De esta manera, los jefes de proyectos pueden responder rápidamente a los cambios con una clara comprensión de los posibles efectos en la capacidad de los recursos y en la priorización de trabajo.
  • Automatización: Habitualmente, las empresas tratan un volumen de cientos de proyectos y equipos que se distribuyen geográficamente, a esto se añade la participación de socios externos, subcontratistas y empresas internacionales. Para afrontar este reto, la automatización de los flujos de trabajo en el proceso de gestión de proyectos, permite el control del mismo reduciendo los tiempos de ejecución, el presupuesto, y por ende  los riesgos y costes asociados.
Es prácticamente imposible abordar este tipo de gestión y obtener los beneficios expuestos sin contar con unas herramientas adecuadas. Por ello es interesante acudir al mercado para ver las posibilidades que este nos ofrece. (Project & Portfolio Management).
Cuadrante Mágico de Gartner (soluciones PPM)

viernes, 9 de septiembre de 2011

Servicios TIC: Equilibrio entre garantía y utilidad

La gestión de servicios TIC es un concepto que se ha convertido en la piedra angular para todos aquellos que nos dedicamos a la prestación de servicios, en cualquiera de sus vertientes.

Mucho se ha hablado sobre cuál es el modelo de gestión más adecuado, cuáles son las mejores prácticas, e incluso si implantar un sistema de gestión introduce demasiada burocracia. Sin embargo, mi intención es hacer una reflexión sobre algo mucho más elemental, pero que considero que a menudo se pierde de vista: el propio concepto de SERVICIO.

Realmente, ¿Qué entendemos por servicio? Son de aquellas cosas intangibles que nos cuesta definir. De hecho la RAE presenta 20 entradas para este concepto, y creo que ninguna de ellas se acaba de ajustar al concepto de servicio TIC. Por ello, prefiero acudir a ITIL®, que define el servicio como “un medio de entrega de valor a los clientes facilitando los resultados que los clientes desean lograr sin la responsabilidad sobre los costes y riesgos específicos”.

El concepto de costes y riesgos específicos es bastante intuitivo, por ejemplo, todos necesitamos un teléfono móvil profesional, pero ninguna compañía decidiría desplegar su propia red de comunicaciones en lugar de contratar el servicio a un operador (no estamos dispuestos a asumir los costes y riesgos específicos de desplegar el servicio).

Sin embargo, ¿En qué consiste la entrega de valor? A nivel conceptual, el valor que se entrega es el hecho que nos diferencia de la competencia, el que hace que el cliente nos perciba como un activo para su operativa y no como un gasto innecesario, y en definitiva, el que hace que nos seleccione a nosotros en lugar de a cualquier otro competidor.

En este punto, es importante aclarar que esta definición es aplicable a cualquier proveedor de servicios, incluso para aquellos cuyo cliente es su propia organización: Al fin y al cabo, la provisión con recursos propios también supone un coste, y todo servicio podría llegar a ser externalizado. Por este motivo, los proveedores de servicios deberíamos analizar si para nuestro cliente los servicios ofrecidos “valen más de lo que le cuestan”.

Cuando explico estos conceptos nuevamente acudo a ITIL® para presentar la composición de valor a través de dos conceptos clave: la UTILIDAD y la GARANTÍA.


Utilidad es qué se provee. La característica de cumplir con un objetivo, es decir, que realmente aporte “algo” a la organización. En caso contrario, ¿Para qué ofrecer este servicio? Y en este sentido, se trata de aportar una de las siguientes características:

  • Soportar el rendimiento: supone un rendimiento positivo en las tareas realizadas, o en los resultados obtenidos. Volviendo al ejemplo anterior, la telefonía fija facilitó la comunicación a larga distancia, agilizando así la operativa de las organizaciones.

  • Eliminar restricciones: permite realizar una tarea que en caso de no disponer del servicio sería imposible. En el momento de su aparición, la telefonía móvil no aportaba una nueva utilidad (básicamente el resultado era el mismo que la telefonía convencional), sin embargo, eliminó la barrera de tener que buscar un teléfono o una cabina telefónica, la de no poder localizar en cualquier momento a una persona, etc.

Garantía es cómo se provee. Consiste en ofrecer dicho servicio en buenas condiciones, de forma que el cliente pueda confiar en él. Para ello, obligatoriamente deberá cumplir con las siguientes características:

  • Suficiente disponibilidad: Imaginemos que la mitad de las veces que intento llamar por teléfono no puedo establecer la conexión. ¿Cómo puedo valorar positivamente este servicio?

  • Suficiente capacidad: Si el sonido se interrumpiera constantemente cuando paso por una zona con más personas hablando por teléfono, el servicio resultaría poco fiable.

  • Suficiente continuidad: Si en mi casa dejara se tener cobertura durante toda una semana porque ha caído un repetidor de señal, ¿Continuaría confiando en el operador?

  • Suficiente seguridad: Por último, si cualquiera pudiera interceptar mis conversaciones, seguramente dejaría de utilizar este servicio para preservar mi intimidad.

Todo ello resulta bastante lógico e intuitivo, sin embargo, a la hora de la verdad, acaba difuminándose. Normalmente el cliente se preocupa por exigir UTILIDAD (pese a que evidentemente también requiere un nivel aceptable de garantía), y son el grupo de desarrollo y los responsables funcionales quienes se focalizan en conseguir dicho objetivo. Como contrapartida, el departamento de sistemas se centra en conseguir la GARANTÍA del servicio. ¿Dónde se rompe este equilibrio? La respuesta es clara: en el momento en que se valoran las restricciones de coste y tiempo. Y en estos casos, normalmente se opta por dar prioridad a la UTILIDAD en detrimento de la GARANTÍA.

Sin embargo la lógica dice que únicamente cuando se cumplen las dos características (tanto la utilidad como la garantía), estamos en condiciones de ofrecer valor al cliente. Luego, la pregunta es evidente: ¿realmente todos los servicios que ofrecemos están aportando valor? Y si la respuesta no está clara, será el momento de hacer algo al respecto …. quizás revisar el catálogo de servicios.

ITIL® es una marca registrada de la OGC (Office of Government Commerce) en Reino Unido, resto de la UE y otros países



lunes, 4 de julio de 2011

Wifi: La amenaza invisible

Las redes inalámbricas o redes wifi están presentes en la mayor parte de las organizaciones hoy día. Es más, muchos comercios, hoteles, bares y restaurantes lo ofrecen de forma gratuita a sus clientes. La moda de las redes wifi abiertas pasó y la gran mayoría ya usan protocolos como los WEP (Wired Equivalent Privacy) o WPA/WPA2 (Wi-Fi Protected Access) para proteger el acceso. La gente se siente segura detrás de contraseñas interminables y complejas de números, símbolos, mayúsculas y minúsculas. Pero ¿estamos realmente seguros? ¿Qué pasaría si alguien pudiera travesar esta barrera de protección?

Crackeo de Wifis

Los protocolos más comunes de cifrado wifi son WEP y WPA/WPA2. El algoritmo WEP se rompió hace años. Por eso, obviando los métodos o detalles técnicos, una red wifi WEP con clientes haciendo uso de ella se tardaría desde segundos (claves por defecto de operador), a una hora como máximo en descifrar. Cuando una contraseña WEP es la única barrera de protección a la red interna la organización tiene definitivamente un problema.

Existen métodos para el crackeo de redes WPA/WPA2, aunque dependen en gran medida de la fortaleza y longitud de la contraseña. Es preferible tomar las recomendaciones típicas sobre políticas de contraseñas y cambiarla cada cierto tiempo.

Algunos de los métodos para conseguir contraseñas WPA/WPA2 agilizan el proceso con el uso de clústers y GPUs, ya que el crackeo se puede realizar offline, es decir, fuera del alcance de la red, una vez capturados los datos necesarios (WPA handshake).

Segmentación e independencia

Otros de los factores que debemos analizar son la información, servicios y recursos a los que pueden acceder los usuarios una vez obtienen acceso. Se debe tener en cuenta por dos razones: por los distintos roles de usuarios que pueden acceder a dicha red y por los usuarios no legítimos que puedan obtener la contraseña (crackers, curiosos, antiguos empleados, etc.).

No es lo mismo un Director General de una empresa accediendo por wifi a los archivos confidenciales de una empresa que un empleado externo o un invitado accediendo a internet. Se debe ser riguroso con el control y acceso a las redes y cuidadoso con la asignación de permisos para los distintos roles de usuario.

Cada vez es más importante diseñar una estructura de red que mantenga una arquitectura con dos o más redes separadas o incluso segmentadas internamente a través de redes virtuales VLANs.

Por otro lado, imaginemos por un momento que alguien de forma fraudulenta o un antiguo empleado accede a la red wifi corporativa. ¿Sabemos con seguridad a qué recursos tendría acceso? ¿Se auditan o monitorizan estas acciones de forma regular? ¿Cuándo fue la última vez que se cambió la contraseña de las redes wifi? La contraseña de la red inalámbrica no puede ser nunca la única forma de protección.

Sniffing de tráfico

Todos los datos/paquetes que se envían por redes inalámbricas, pueden ser interceptados por tarjetas en modo monitor. En los protocolos WEP y WPA/WPA2 los datos interceptados están cifrados, pero en el protocolo abierto (sin contraseña), los datos transmitidos pueden ser capturados y leídos tal como son emitidos.

Lo que mucha gente no sabe, es que conociendo la clave de una wifi puede descifrarse el tráfico entre emisores y receptores. La prueba de concepto siempre sorprende, y el nivel de seguridad al que se está expuesto dependerá del protocolo de red usado. Si se usan FTPS, HTTPS, ssh, nuestros datos siempre estarán más seguros que con los protocolos FTP, HTTP o telnet en los que pueden verse en texto plano datos y contraseñas. En resumen, alguien que supiera la contraseña de la red, no sólo podría campar a sus anchas en la red, sino que podría recopilar credenciales de la organización.

Para estas pruebas de concepto, existen programas como Firesheep (addon de Firefox -http://codebutler.github.com/firesheep/) o Faceniff (Aplicación de Android http://faceniff.ponury.net/) que sorprenden por su facilidad de uso, y por los resultados obtenidos. Existen herramientas de uso más complejo que consiguen resultados más sofisticados y exhaustivos .

Medidas de seguridad adicionales

Existen varias medidas complementarias a una simple contraseña:

  • Filtrado de MAC: en grandes entornos puede ser complicado gestionarlo, pero es un método de control simple pero efectivo. Debemos tener en cuenta que existen técnicas sencillas de mac-spoofing (http://www.govannom.org/seguridad/14-wifi-wireless-redes/154-como-hacer-mac-spoofing.html) y también es cierto que algunos Access Point pueden detectar el mac-spoofing. Tal como la contraseña, no puede ser la única medida de seguridad.
  • SSID oculta: Medida que sirve básicamente para evadirse del punto de mira de curiosos. Cualquiera con los conocimientos y herramientas necesarias puede obtener fácilmente el SSID (también conocido como nombre de la red). La seguridad por oscuridad se convierte en un sencillo paso más en el crackeo de la red y más cuando el atacante sabe qué se busca.
  • SSID distinto: Una medida de seguridad sencilla es renombrar la wifi con un SSID que no identifique la empresa.
  • Otras: a medida que crecen las organizaciones, la complejidad de sus redes y la concienciación en la seguridad de la información se usan soluciones más sofisticadas como pueden ser NAC, UAC, Radius o portales cautivos por poner algunos ejemplos. Todas son herramientas que mejoran de forma sustancial la seguridad de las redes inalámbricas.

En Conclusión:

Para evitar la intrusión de usuarios maliciosos y garantizar la confidencialidad de los datos es recomendable seguir las siguientes instrucciones:

  • Las redes wifi deben considerar la encriptación WPA2 preferentemente, con una contraseña compleja y larga (mínimo 12 caracteres).
  • Debe existir una segmentación de red adecuada para los tipos de usuarios que se conectaran a la red inalámbrica.
  • Crear una red de invitados separada de la red interna, para conceder únicamente conexión a internet a los proveedores que lo requieran.
  • No se puede confiar solamente en una contraseña, el uso de más medidas de seguridad es muy recomendable.
  • Monitorizar la red y los equipos conectados a ella, ya sea de forma manual o automatizada para evitar ataques.

Es posible que alguno piense que estas medidas son muy básicas, pero nuestra experiencia nos dice que no siempre se siguen estas recomendaciones. Para ilustrarlo, desde nuestras oficinas, se puede ver una red inalámbrica con el SSID que es el nombre de una organización que utiliza una clave WEP. Esperamos por su bien, que sea una red de invitados bien gestionada. Aunque desafortunadamente, creo que eso sería mucho esperar.

miércoles, 29 de junio de 2011

Evento Hacking Ético

Los recientes robos de datos de usuarios de la plataforma PSN de Sony y del INTECO, así como las actividades de Anonymous, han puesto en primera página de actualidad el problema de la vulnerabilidad de los sistemas de organización frente a ataques malintencionados.

Esto nos lleva a preguntarnos:

Si le ha pasado a ellos ¿podría suceder también en mi organización?
¿Dispongo de las medidas de seguridad necesarias para evitar un ataque similar?
En caso de que sucediera ¿cuánto tardaría en detectarlo?
¿Nuestra organización puede permitirse ser victima de un ataque parecido?
¿Qué nivel de madurez tiene nuestra seguridad de la información?
¿Cuáles son nuestras vulnerabilidades más críticas?
¿En qué debemos cambiar para mejorar nuestra seguridad?
¿Son efectivas las medidas de seguridad que tenemos implementadas?

Abast Grup y Buguroo (Grupo Ecija Consulting&Security) os invitan a este seminario en el que os mostraremos cómo mejorar vuestros niveles de seguridad.

El evento se realizará mañana día 30 de junio en las oficinas de Abast en Barcelona (c/equador 39-45). Se iniciará a las 9:45 y finalizará aproximadamente sobre las 12:00h. La agenda será la siguiente:

  • Café de bienvenida y entrega de documentación

  • Charla sobre hacking ético: ¿Cómo?, ¿cuando?, ¿donde? a cargo de David Ortega, Director de Consultoría y Auditoría de TI de Abast Systems

  • Demostración práctica de la herramienta Buguroo de análisis de vulnerabilidades en código fuente a cargo de Abel González Lanzarote, Director de Operaciones de Buguroo Offensive Security

  • Ruegos y preguntas

  • Aperitivo

Para apuntaros podéis llamar al 902 486 901 o inscribiros en www.abast.es/seminarios. Os esperamos.

viernes, 10 de junio de 2011

Monitoriza tu negocio

Hoy en día monitorizar el estado de los servidores, los tiempos de respuesta e incluso el rendimiento de las aplicaciones, no es suficiente. Una monitorización transaccional es un componente clave en la estrategia de la gestión de servicios de negocio que permite a las TI mejorar los resultados de las empresas.

Para tener una correcta visión del negocio es necesario:
  • Medir y administrar los procesos críticos para asegurar la obtención de resultados esperados.
  • Monitorizar de arriba abajo la tecnología con el fin de integrar a usuarios finales y perspectivas de sistema, dando una imagen clara de la complejidad de la infraestructura que soportan las aplicaciones más importantes para el negocio.

El poder medir la experiencia del usuario final ayuda a solucionar y entender los problemas y requisitos de un departamento de TI. Para ello es necesario ejecutar transacciones controladas de forma repetitiva. Gracias a este control obtendremos datos de rendimiento (tiempo de respuesta) y disponibilidad de las transacciones monitorizadas, acelerando la labor de investigación de un problema y su resolución cuando se detecta.

Cuando los usuarios interactúan con las aplicaciones, sus acciones incluyen una serie de peticiones que interactúan con los componentes tecnológicos (firewalls, switches, routers, servidores, bases de datos,...) que generan respuestas que deben ser validadas y traducidas como tiempo de respuesta y disponibilidad.

Podemos identificar como una correcta monitorización del negocio la que:

  1. Se realiza desde múltiples localizaciones (dentro y fuera de los firewalls) obteniendo medidas de disponibilidad y rendimiento.
  2. Permite detectar problemas que pueden impactar a los usuarios antes de que éstos queden afectados.

La captura minuciosa de estos datos de forma repetitiva y consistente desde cualquier lugar de la red permite crear una línea base de funcionamiento y tener una visión clara del funcionamiento de las aplicaciones monitorizadas. De esta forma podremos alinear la organización IT con las prioridades de negocio.

Al fin y al cabo se trata de:

  • Capturar de forma rápida la actividad en tiempo real de los usuarios, viendo donde se hizo el clic así como las páginas y los errores que percibo o no el usuario.
  • Comprender el impacto que tienen en el negocio los incidentes en la disponibilidad del servicio
  • Dar la prioridad adecuada para responder a los múltiples problemas en el orden correcto.

Todas estas prácticas darán valor al departamento de TI que proveerá al negocio:

  • Una visualización en profundidad de los procesos empresariales.
  • Un seguimiento y medida de las transacciones individuales conforme progresan a través de sus cauces de proceso.
  • Convergencia entre los sistemas de bajo nivel y monitoreo en la red, y los procesos de negocio de alto nivel.

Por último, hay que proporcionar al negocio de una solución eficaz para reducir el número, duración y gravedad de las interrupciones del servicio. Para ello hay que realizar un análisis para manejar los problemas de manera integral, que podemos dividir en dos ramas:

  1. Análisis proactivo: proporciona una visibilidad avanzada en interrupciones en el servicio al mostrar problemas y automáticamente aislar sus las causas del mismo. Esta capacidad permite solucionar el problema antes de que se produzcan impactos en la empresa.
  2. Análisis reactivo: En el caso de que se produzca un incidente o problema, el análisis reactivo reduce el tiempo medio de reparación (MTTR).

(MTTR es el acrónimo de las palabras inglesas Medium Time To Repair, o tiempo medio hasta haber reparado la avería).

El mercado actual ofrece herramientas varias para conseguir este tipo de monitorización, pero lo más importante es hacer un análisis del negocio, las aplicaciones y los usuarios, desde un punto de vista de valor para poder medir cada uno de los mencionados de la forma correcta.