lunes, 19 de diciembre de 2011

Gestión desde la nube


Los departamentos de TI afrontan el reto de reducir los costes, el retorno de las inversiones realizadas y la entrega de valor al negocio, ofreciendo a la organización servicios eficientes y de calidad. Teniendo en cuenta que las necesidades del negocio cambian constantemente, los departamentos de TI tienen que alinearse a ellas a fin de que el cumplimiento de las metas del departamento de TI permita cumplir las metas del negocio. Para ello es necesario implantar procesos TI que permitan por lo menos:

1.    Asegurar los servicios TI a sus usuarios para que estén disponibles, sean fiables y con buen rendimiento.
2.       Garantizar la mejora continua de los mismos.
3.       Reducir el coste total de provisión y soporte de los servicios TI.
4.       Gestionar el conocimiento de la empresa.
5.       Mejorar el flujo de información.
6.       Aumentar la satisfacción de los usuarios.
7.       Demostrar el valor y la aportación del departamento de TI.

Las incidencias y las peticiones que generan los usuarios al departamento de TI tienen un flujo de actividad que supone una importante carga, por ello, se debe poner énfasis en su automatización y optimizar su tratamiento en busca de altas cuotas de eficiencia.

La gestión de incidencias es el proceso que se ocupa del tratamiento de los sucesos que provocan la degradación o pérdida del funcionamiento normal de un servicio, con el objetivo fundamental de recuperar el servicio para el negocio lo más rápidamente posible. Se centra en restaurar el servicio cuanto antes, sin admitir dilaciones por investigaciones técnicas. Su objetivo es que todo servicio caído o degradado retorne cuanto antes a la normalidad. Mantener únicamente esta actividad frenética de “apaga fuegos” no es productivo.

Este proceso es el que más volumen de trabajo genera en TI. Además involucra a un número de actores bastante amplio, desde los teleoperadores, pasando por todas las áreas técnicas, hasta llegar a los desarrolladores de las aplicaciones. Hay que tener en cuenta que lo normal es atender ente 2 y 3 contactos por mes de cada usuario, relacionados a incidencias de servicio. Además hay que considerar que la tendencia es que este volumen de contactos se vaya incrementado, debido al aumento de la diversidad de dispositivos móviles y a la progresiva penetración de las TI en la actividad de la empresa. Por ello, es importante disponer de una organización perfectamente preparada y entrenada para su atención y resolución. Es necesario definir, en la actividad de clasificación, la prioridad con la que se debe tratar la incidencia. Igualmente ocurre a la hora de asignar un orden de resolución.

Actualmente el mercado ofrece muchas opciones para gestionar un departamento de TI y en concreto las incidencias y cambios. Muchos fabricantes de software disponen de herramientas con funcionalidades HelpDesk que permiten crear, gestionar y documentar todas las incidencias y problemas de una empresa. La implantación de una solución de este tipo requiere una mejora de los procesos que implica una mejora de conocimientos del personal y por supuesto una mejora en la tecnología. Una buena forma de mejora de procesos es la reingeniería de los mismos en base a las mejores prácticas (metodologías) existentes en el mercado. Esto implica una automatización y modernización de la infraestructura tecnológica así como un cambio en la manera de trabajar por parte de las personas implicadas. La adopción de todo ello no deja de ser un proceso complicado y en la mayoría de casos ligeramente largo. Sin embargo, la nube, el ya famoso y recurrente “cloud computing”, ofrece nuevas oportunidades de gestión TI. Adoptar una solución de gestión de TI basada en la nube, evita que tengamos que ampliar nuestra tecnología y la empresa se puede centrar en  mejorar los conocimientos del personal y adaptar los procesos a la nube sin que estos se vean afectados. Una puesta a punto rápida y sencilla, carente de licencias o agentes/clientes y una modalidad de pago fraccionada y correspondiente al uso que se da. Sin costes de mantenimiento y sin inversión en soporte.

1.    SaaS: modelo de distribución de software que proporciona a los clientes el acceso al mismo a través de la red, de manera que libera al cliente del mantenimiento de las aplicaciones, de operaciones técnicas y de soporte.
2.   Puesta en marcha: al no haber servicios de implantación ni formación en un tiempo muy reducido la herramienta está operativa.
3.     Disponibilidad: La modalidad de licenciamiento Saas ofrece un servicio continuo y accesible desde cualquier lugar y a cualquier hora, puesto que se ejecuta a través del navegador.  
4.       Ahorro: Una de las ventajas del cloud computing es el ahorro en tecnología ya que al estar en la nube no hay que comprar servidores o recursos. 






viernes, 16 de diciembre de 2011

Service Desk: el Factor Humano

Como muchos otros, empecé mis pasos en el ámbito de las TI embarcando en una “galera”. Sí, una galera de combate. En ese momento –hace ya más de 10 años- el concepto de Service Desk no estaba tan extendido y era mucho más conocido y frecuente el término “Helpdesk”.

El volumen de llamadas entrantes era muy elevado y los SLA asociados a la gestión telefónica de la llamada, que por aquel entonces era la entrada principal de incidencias, peticiones, quejas, y preguntas varias, era bastante estricto en cuanto a los tiempos de respuesta y abandono.

El perfil de actividad de los usuarios y clientes que accedían al servicio de soporte era absolutamente típico, por este motivo en cuanto se abrían las líneas telefónicas, la ocupación de los agentes era inmediata y el colapso se producía acto seguido. Las llamadas entrantes, que no dejaban de fluir, entraban en el sistema, escuchaban las opciones y se distribuían en función de la lógica de saltos y grupos diseñada para el servicio en cuestión.

En pocos minutos, las colas empezaban a acumularse y el supervisor cual “cómitre” iniciaba la maniobra: ¡remo de combate!

En los supuestos 3 minutos de media que debía durar cada llamada para poder asimilar las colas en espera, se debía escuchar, entender, registrar, resolver y cerrar o escalar. El proceso de registro debía ser por otro lado completo y adecuado en cuanto a su descripción, categorización y priorización. Sólo puedo decir, que lo intentábamos.

Ahora los tiempos han cambiado y el usuario dispone de múltiples fórmulas para contactar con su Service Desk y existen muchos automatismos e integraciones que facilitan el proceso de registro. Ahora bien, dado su coste, no podemos afirmar aquí que la implantación de dichos automatismos esté muy extendida, por lo que las dificultades en el proceso de registro siguen estando patentes. El operador gestiona su tiempo para “procesar la información” según su criterio y según la presión que asimile.

¿De qué depende entonces? ¿Es un problema de falta de conocimientos? ¿De procedimientos? ¿De metodología de trabajo? En parte, y sólo en parte, ya que aunque existan, no se contempla el factor humano, y éste es, de momento, un elemento muy importante, tanto a la hora de proporcionar el soporte, como a la hora de efectuar el proceso de registro y aprender de él.

A mi entender, el problema guarda relación directa con los siguientes aspectos:
  • El esfuerzo en cumplimentar los datos de registro correctamente todavía no se percibe como proporcional al valor intrínseco de la información que aportan. Por tanto, sigue faltando equilibrio entre el nivel de “detalle” requerido, su “valor” y el tiempo invertido en su tratamiento.
  • Los procesos se ejecutan de forma intuitiva, y su recurrencia, más o menos continuada, establece las bases de trabajo.
De lo anteriormente descrito, algún lector podría desprender cierto grado de determinismo que le llevara a cuestionarse la utilidad de los estándares metodológicos y “best practices”. Pero no estoy hablando de determinismo, estoy hablando de aprendizaje.

“La capacidad de evaluar – el nivel más alto de la taxonomía cognitiva – se basa en el supuesto de que el estudiante, para ser capaz de evaluar, tiene que disponer de la información necesaria, comprender esa información, ser capaz de aplicarla, de analizarla, de sintetizarla y, finalmente, de evaluarla” (E.W. Eisner a propósito de B. Bloom. Perspectivas: revista trimestral de educación comparada (París. UNESCO: Oficina Internacional de Educación), vol. XXX, n° 3, septiembre 2000, págs. 423-432).
Así pues, el factor humano no es un elemento determinante, pero sí condicionante del contexto de la prestación del servicio, porque en ese proceso cognitivo de comprender, evaluar y aplicar la información participan aspectos como la inteligencia, el contexto social, la motivación, así como otros componentes emocionales del individuo.

Sin olvidar aspectos tan esenciales como disponer de un dimensionamiento correcto y de las herramientas necesarias, podemos afirmar que se requiere un cambio de enfoque, pero incluso antes de que le pongamos nombre (ITIL, ISO/IEC 20000, etc.) esta diversidad sólo podrá gestionarse con enfoques que aporten sistemática, es decir que:

viernes, 2 de diciembre de 2011

X Jornada Internacional de Seguridad - ISMS

El martes 29 de Noviembre asistimos a la X Jornada Internacional de Seguridad de la Información organizada por el ISMS Forum Spain centrada en la CiberDefensa y CiberSeguridad.

El evento se celebró en la Ciudad de las Artes y las Ciencias de Valencia, un escenario que no conocíamos y que nos pareció idóneo para la jornada.

El congreso, que comenzó a las 9 y terminó pasadas las 18, contó con más de 20 ponentes de ámbitos distintos, desde expertos en seguridad, pasando por representantes de proveedores de seguridad hasta CISOs de importantes organizaciones.

Desde mi punto de vista (soy Consultor de Seguridad), las mejores ponencias fueron las posteriores al Coffee-break, concretamente :

  • La estrategia Española en materia de CiberSeguridad” de Javier Candau (Subdirector General Adjunto del Centro Criptológico Nacional, CCN)
  • Why security breaches are occurring? The Data Breach Investigations Report 2011” de Jelle Niemantsverdriet (Principal Consultant Forensics and Investigative Response), Verizon Business Security)

Javier Candau (cuyo apellido me pareció muy indicado para su profesión), comentó las distintas estrategias tomadas por otros países en cuanto a CiberSeguridad. Explicó las distintas amenazas a las que un país puede estar expuesto y de la importancia de proteger las infraestructuras críticas. Mencionó varios conceptos como el cibercrimen, el ciberespionaje, el hacktivismo o el ciberterrorismo. Dentro de la estrategia española, comentó la relevancia del Esquema Nacional de Seguridad (ENS).

Jelle Niemantsverdriet (@jelle_n) en una ponencia muy visual y llena de datos interesantes (se puede consultar aquí) remarcó la importancia de revisar los LOGS regularmente para conocer las intrusiones que las organizaciones sufren. Jelle en un baile de estadísticas de distintas fuentes, propone aprender de los errores de los demás. Comenta también que tal como ocurre en los accidentes de avión, las intrusiones no están normalmente producidas por un GRAN error, sino por la suma de pequeños errores que llevan a la catástrofe. El ponente mostró un gráfico con el descenso de brechas de información registradas en los dos últimos años. Su explicación a éste hecho es la mejora de los sistemas de seguridad, el incremento de la concienciación en seguridad de las organizaciones, el endurecimiento de la legislación y por tanto, que muchos crackers han sido detenidos con condenas severas. Otra de sus explicaciones al descenso es que las brechas de seguridad no se han producido en las grandes empresas, ya que estas han tomado mayor conciencia de la seguridad, sino que se dan en empresas mucho más pequeñas y que no detectan los ataques. En sus palabras, los crackers “ya no cazan elefantes, ahora cazan conejos”.


Después de un abundante y delicioso almuerzo a base de pequeñas tapas, la tarde se dividió en:

  • Mesa redonda: “La entrada en vigor de la normativa española en materia de infraestructuras críticas
  • Mesa redonda: "El nuevo panorama de ciberamenazas. Casos de éxito y buenas prácticas."
  • “El headhunting de profesionales y directivos de la Seguridad ¿Qué está demandando el mercado?" de Miguel Portillo (Associate Director, Michael Page Executive Search)

Las dos mesas redondas fueron muy interesantes, aunque por mi vocación, encontré más interesante la segunda (sobre ciberamenazas y casos prácticos), que la primera (centrada en normativa e infraestructuras críticas).

Por último, la ponencia de Miguel Portillo de Michael Page fue muy interesante al tratar de un tema totalmente distinto a todos los tratados durante la jornada. Se hizo una muy buena contextualización del mercado laboral europeo y español. Se centró en la figura del CISO, tanto en sus características personales como lo que demanda el mercado.


En conclusión, la valoración del evento fue muy positiva y creo que el resto de asistentes coincidirán en ello, tanto por la organización como por el contenido de las charlas. Espero poder asistir al siguiente evento ya que fue una magnífica experiencia.