miércoles, 28 de noviembre de 2012

El Data Privacy Institute publica el libro “Estudio de impacto y comparativa con la normativa española de la propuesta de Reglamento General de Protección de Datos de la Unión Europea”

Desde que viera la luz el pasado 25 de enero de 2012 el borrador del Reglamento General de Protección de Datos de la Unión Europea, surgió la necesidad entre los profesionales de la privacidad de evaluar el “gap” que suponía este reglamento con respecto a la legislación vigente a nivel nacional en materia de protección de datos, es decir la Ley 15/1999 y el RD 1720/2007.
Este duro y necesario trabajo lo ha realizado los profesionales que conforman el Data Privacy Institute que durante 9 largos meses se han dedicado a analizar detalladamente este borrador de Reglamento General, generando un libro que compara cada  articulo del mismo con la legislación vigente a nivel nacional. Este libro es sin duda una base de conocimiento inicial y esencial que deben obtener las empresas de cara al cambio sustancial que se aproxima.

He de recordar que este futuro Reglamento (que deberá aprobarse antes de marzo de 2014) tendrá una aplicación directa sobre todas las organizaciones europeas que tienen que cumplir con la normativa, logrando una armonización inexistente hoy en día. Sin embargo, este Reglamento General nace con el reto de coexistir con la normativa nacional de los Estados miembros, hecho donde quizás en España tengamos cierta ventaja ya que existe una cultura y conocimiento de la protección de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS y RD 1720/2007 principalmente) aunque en este borrador existen novedades que sin duda requerirán de esfuerzos importantes en el seno de las empresas españolas.
No pretendo en este artículo explicar en detalle el conjunto de novedades que se exponen en este borrador, (para ello recomiendo este libro) pero si me gustaría hacer hincapié en la nueva visión que aporta este borrador, describiendo un marco de GRC (Gobierno, Riesgo y Cumplimiento)  donde se alineen los objetivos de negocio con requerimientos de privacidad, analizando los riesgos y teniendo en cuenta la privacidad desde la concepción de los sistemas de tratamiento de datos. Es aquí donde nacen los conceptos de Accountability, Privacy by Design, Privacy by Default y el Privacy Impact Assesment que obligaran a las empresas a preocuparse de la privacidad desde el primer momento que se implementen nuevos procesos en las empresas. En mi opinión será necesario hacer un importante esfuerzo entre los profesionales de la privacidad para hacer ver al negocio que los requerimientos de privacidad no son un impedimento al negocio sino que puede ser desencadenantes de retornos de la inversión a través de un reforzamiento de la imagen, un mejor posicionamiento en el mercado y una mayor confianza de los stakeholders.
Otros puntos novedosos a destacar es la incorporación de la figura del Delegado de Protección de Datos una figura que deberá existir en organizaciones de más de 250 empleados y que será la encargada de velar por la privacidad en la organización. Será un rol directivo cuya misión deberá ser trasladar los requerimientos de privacidad a la Dirección y cuyo reto deberá residir en el retorno de la inversión como valor añadido al cumplimiento legal. Otras novedades son la aparición de mecanismos y procedimientos como las consultas previas, certificaciones orientadas a privacidad, la notificación de violaciones de seguridad, el establecimiento de los derechos al olvido y a la portabilidad de datos, la evaluación del impacto desde el punto de vista de la privacidad de los nuevos sistemas de tratamiento de datos (Privacy Impact Assesment) y los cambios sustanciales que se producen tanto en el ámbito de aplicación de la norma como los criterios sancionadores.
A modo de conclusión es importante señalar que este borrador define una serie importante de novedades, algunas con impactos mínimos pero otras con impactos severos como hemos comentado y que requerirán esfuerzos muy importantes por parte de las organizaciones. La mayor incógnita reside en las dudas existentes en cuanto a cómo va a ser la estrategia de evolución entre el modelo europeo y el nacional, cuestión todavía por definir.  Sin duda alguna se aproximan tiempos de duro trabajo tanto para los profesionales de la privacidad como para las empresas europeas.

miércoles, 14 de noviembre de 2012

Hoja de ruta para el control de costes de TI


Se estima que el 80% del presupuesto de TI se destina al coste operacional de la provisión y soporte de servicios TI y tan solo un 20% a nuevos proyectos. Por este motivo, el control del coste operacional se ha convertido en uno de los principales objetivos de todo departamento de TI.

Un control eficiente permite optimizar recursos y contener el gasto, así como demostrar al resto de la organización el coste real de los servicios proporcionados. Llegados a este punto la pregunta es evidente: ¿Cómo podemos enfocar el control de costes en nuestra organización?

Si en nuestra organización todavía no tenemos un control de costes adecuado para el departamento de TI, es recomendable analizar la presentación que realizamos en el Congreso Virtual del ITSMF bajo el título “Hoja de ruta para el control de costes de TI”.

En esta presentación tratamos los siguientes aspectos:
  • La necesidad del control de costes de TI.
  • Hoja de ruta:
    • Creación del catálogo de servicios de TI.
    • Definición del modelo de costes.
    • Análisis de los requisitos de los servicios.
    • Valoración de la madurez de gestión.

A través de un formato Webinar, se exponen los temas anteriores y se intenta responder a las preguntas que los asistentes realizaron durante la misma presentación.

El webinar está disponible a través del siguiente enlace:
https://www.brighttalk.com/webcast/8103/57773 (registro gratuito).

También podéis descargar el PDF de la presentación en:
http://www.abast.es/pdfs/BTSummits01-Abast.pdf

viernes, 9 de noviembre de 2012

3 principios básicos de la gestión de proyectos

Quizá por el entorno económico donde priman los presupuestos ajustados, o quizá por el aumento del nivel de madurez en la gestión de TI, lo cierto es que cada vez más empresas ponen su foco de atención en la gestión de proyectos.

La gestión de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades de un proyecto con el objetivo de satisfacer los requisitos.

Los proyectos se usan a menudo como un medio de lograr el plan estratégico de la organización y son autorizados como resultado de una o más de las consideraciones que muestra la gráfica siguiente :




Por la naturaleza del mismo, no resulta fácil conseguir que un proyecto finalice con los resultados deseados.  Un proyecto es acotado (principio y fin definido), único (siempre habrá una característica que lo diferencie de otros proyectos) y supone incertidumbre.

Por este motivo, la ausencia de una gestión de proyectos adecuada puede generar una serie de contratiempos típicos, como por ejemplo:
  •           Desvíos significativos de los proyectos en cuanto a tiempo y coste. Incapacidad de determinar el avance del proyecto o de realizar previsiones precisas.
  •           Se inicia el proyecto sin disponer de una definición precisa del mismo.
  •           Cambios frecuentes en los objetivos iniciales. A medida que avanza el proyecto aparecen nuevos requisitos no previstos.
  •           Dificultad para disponer de los recursos necesarios en el momento preciso.
  •           No tratar adecuadamente a personas que tienen influencia sobre el proyecto.

Principales metodologías

Para ayudarte a gestionar correctamente los proyectos, existen multitud de metodologías:
  • PMBoK (Project Management Body of Knowledge).
  • PRINCE2 (Projects In Controlled Environments).
  • ISO 10.006.
  • ISO 21500.
  • SCRUM.
  • Otros...
La realidad es que todas las metodologías tienen sus ventajas y desventajas, siendo necesario identificar cuál se ajusta más a la Organización y al tipo de proyecto.

Los 3 principios de la gestión de proyectos.

Nuestra experiencia nos indica que sea cual sea la metodología que implantes en tu Organización o en un proyecto específico, es necesario que tengas en tu consideración tres puntos básicos :


1) Entender el contexto de la Organización (proyecto, programa, porfolio,…) : Para entender como funciona un proyecto, necesitas conocer el proyecto en el contexto de la organización:
  •  Cual es la naturaleza del producto.
  •  Como se está planificando el trabajo.
  • Como se aplicaran los recursos, …
2) Triple restricción (coste, tiempo, alcance): Debes gestionar estas tres variables al inicio de proyecto y en los cambios que surjan en las posteriores etapas ya que influirán en la calidad del proyecto final.
3) Buenas comunicaciones  (personal, interesados, …): Para el éxito del proyecto, resulta fundamental identificar a los interesados y analizar sus niveles de interés, expectativas, importancia e influencia y gestionar adecuadamente: 
  • el desempeño del proyecto.
  •  las comunicaciones internas y externas al proyecto.
  •  las expectativas de los interesados.
  •  la información en el momento oportuno y a las personas claves.

Teniendo en cuenta estos tres puntos  básicos y sobretodo aplicando la coherencia y el sentido común puedes anticiparte, en la mayoría de casos, a problemas que podrían influir negativamente en la consecución exitosa de un proyecto. 

viernes, 26 de octubre de 2012

Resiliencia como medida de madurez de una Organización


La definición de “resiliencia” la podemos encontrar en varias disciplinas como por ejemplo en física de materiales, donde el concepto se aplica a la capacidad de un material de volver a su estado original después de una deformación.

También tiene acepciones en psicología, en biología,…  y en todas ellas, la definición de este término se corresponde aproximadamente con el término entereza o elasticidad, relacionada con la superación de obstáculos.

Aplicado a una Organización podemos emplear este término como la capacidad que tiene un sistema para recuperarse tras un desastre o perturbación, es decir, medición de la habilidad para volver a la normalidad  tras un incidente que interrumpa las actividades del Negocio.

Podemos concebir la resiliencia como una medida de  madurez en la gestión y mejora de los procesos de la Organización, de la misma forma que existen criterios CMMI.


Podemos medir la resiliencia de la Organización analizando el nivel de adecuación de sus activos en base a la:
  • Gestión de riesgos.
  • Gestión de la seguridad: protección.
  • Gestión de la continuidad : estrategias, planes y respuesta a incidentes.
  • Gestión de la información y el conocimiento.


Un ejemplo de elementos para establecer criterios de medición serían los siguientes:
  • % de actividades que soportan o que no soportan los objetivos de Negocio.
  • Probabilidad de entrega un servicio a lo largo de un evento disruptivo.
  • Porcentaje de activos o servicios que no satisface los requerimientos de seguridad.
  • % de los riesgos por debajo del umbral establecido.
  • # de servicios cubiertos con un plan de continuidad.
  • % de servicios que podrían o no podrían ofrecer un servicio en un evento disruptivo.
  • % de escenarios de desastre probados.

La valoración de estos elementos, según su clasificación por categoría y su peso específico establecerían valores que en un cuadro de mando nos daría índices que aportarian una visión global del nivel de madurez del producto, servicio o proceso de la Organización.

Además de los conceptos anteriores, una organización “resiliente” debería:
  • Promocionar el  aprendizaje (interpretando las experiencias de forma constructiva).
  • Desarrollar la tolerancia ante la incertidumbre. 

viernes, 19 de octubre de 2012

Publicada la norma ISO27013: Integración de ISO20000 e ISO27000


La reciente publicación de la norma ISO/IEC 27013:2012 ofrece una guía sobre cómo implementar de forma integrada los sistemas de gestión descritos por las normas ISO27001 e ISO20000-1. De esta forma se aprovechan sus aspectos comunes para la creación de un sistema conjunto de gestión.

El propósito de la ISO/IEC 27013:2012 es ofrecer una guía a las organizaciones que:
  • Ya disponen de uno de los sistemas de gestión y desean implementar el otro.
  • Desean implementar conjuntamente la ISO/IEC 27001 y la ISO/IEC 20000-1.
  •  Desean integrar ambos sistemas ya existentes en la organización.

Con la publicación de esta norma se demuestra nuevamente la visión estratégica de integrar y homogeneizar cada vez más los sistemas de gestión existentes. Así se facilita a las organizaciones la optimización de los recursos dedicados a la implementación y mantenimiento de sus sistemas de gestión.

Como eliminar la subjetividad de un Análisis de Impacto al Negocio

El BIA (Business Impact Analysis) es uno de los pilares esenciales para  la implantación de un Plan de Continuidad de Negocio.

Este análisis identifica, cuantifica y califica los impactos sobre el negocio en una pérdida, interrupción o trastorno  de los procesos de una organización y responde a los requerimientos de disponibilidad necesarios para restablecer la actividad tras una parada inesperada.

El BIA nos proporciona:

  • Relación de todos los procesos críticos del Negocio
  • Visión global de criticidad de cada área :
    • Por procesos
    • Por impacto
  • Requerimientos de recuperación para Tecnología
  • Identificación de dependencias (relación entre procesos, con proveedores, clientes, etc.)
  • Identificación de soporte necesario (Proveedores críticos, Infraestructuras, personal clave, etc.)
  • Identificación de otra información necesaria (Registros vitales, etc.)
No obstante,  el método de recopilar esta información basada en entrevistas y encuestas a interlocutores clave de cada Unidad de Negocio es su principal debilidad. Debido a esto  es  importante establecer controles para que la percepción de la situación y de lo que es realmente crítico sea tratada y presentada de forma homogénea.

Existen varias formas para reducir la subjetividad :

1) Durante las entrevistas situar al entrevistado en el peor de los casos. No se trata de valorar incidencias ni afectación a la Unidad, se trata de centrarse en un desastre con afectación a toda la Organización.

2) Revaluación de los tiempos  de recuperación objetivos considerando las dependencias entre procesos. Corregir parámetros en función de las relaciones internas (inputs/outputs) de las diferentes actividades críticas de cada Unidad de Negocio.

 

3) Precisar y analizar el tipo de impacto de la parada del proceso. Si no podemos plantear un impacto (tangible o intangible), el procesos no puede ser crítico.

4) Consolidación de la información en un mapa general de procesos y criticidades. La visión en conjunto nos permitirá detectar exceso o carencia.

 

5) Elevar el informe al nivel más alto de gerencia posible dando una visión más estratégica a las valoraciones.

El resultado nos permitirá tener una base solida y fiable para establecer las estrategias de continuidad adecuadas.

lunes, 15 de octubre de 2012

Disponible la nueva versión de MAGERIT

El CCN-CERT presenta la nueva versión de la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT v3). 

Esta metodología es toda una referencia para la gestión de riesgos en los sistemas de información, especialmente en el ámbito de la administración pública. Algunos la conocerán porque se trata de la metodología que está detrás de la herramienta EAR/PILAR. 

Según los propios responsables de su creación, la versión 3 de MAGERIT introduce los siguientes cambios respecto a la versión anterior: 
  • Mejor alineamiento con la normativa ISO, buscando una integración de las tareas de análisis de riesgos dentro de un marco organizacional de gestión de riesgos dirigido desde los órganos de gobierno. 
  • Aligerar el texto. 
  • Se eliminan partes poco importantes o poco usadas. 
  • Se normalizan las diferentes actividades: 
    • MAR – Método de Análisis de Riesgos. 
    • PAR – Proyecto de Análisis de Riesgos. 
    • PS – Plan de Seguridad. 

Los tres libros que componen la metodología puede descargarse gratuitamente en el siguiente enlace.

lunes, 1 de octubre de 2012

Datos elocuentes en la publicación de la Memoria Anual de la AEPD

La Agencia Española de Protección de Datos ha hecho pública su Memoria de Actividades de 2011 a través de su página web (www.agpd.es) mostrando datos muy interesantes que dejan patente que existe un mayor conocimiento de la LOPD en la sociedad, además de una creciente preocupación en los ciudadanos por la seguridad de los datos.
La Memoria hace una exposición de las actuaciones llevadas a cabo por la Agencia en el año 2011 y expone cifras muy relevantes entre las que me gustaría destacar:
-          El número de escritos de denuncia han aumentado un 51,60% respecto al periodo anterior, alcanzado la cifra de 7.648 denuncias, frente a las 5.045 de 2010. Este dato ha generado un crecimiento en el número de resoluciones declarativas de infracción del 37,7%, alcanzándose un total de 898 resoluciones declarativas de infracción, de las cuales 817 tuvieron como destinatarios a responsables privados y 81 a Administraciones Públicas.







-          El montante total de las sanciones económicas superó la suma de 19,5 millones de euros, incrementándose un 12% respecto al año anterior.


-          En cuanto a la distribución de la cuantía de las sanciones, los sectores con mayor importe global de sanciones fueron: el sector de telecomunicaciones -que aglutinó más del 63% del global de las sanciones- con 12,3 millones de euros, seguido por el sector financiero, con 3,8 millones, las entidades de suministro y comercialización de gas, electricidad y agua, con algo más de 1 millón de euros, la videovigilancia con 494.000 euros y las comunicaciones electrónicas comerciales - spam (LSSI)-, con 305.000 euros.

-          De las sanciones impuestas en 2011, un 66,49% de ellas son graves, un 32,78% leves y solo 0,73% muy graves.

-          La Memoria pone de relieve que «el derecho al olvido» en internet se ha configurado como un derecho cada vez más reclamado por los ciudadanos, ya que de las tres solicitudes recibidas en la Agencia en 2007 se ha pasado a las 160 de 2011. La Agencia da respuesta a esta demanda ciudadana «a través de los derechos de cancelación y oposición». Este último se aplica para evitar la indexación de datos personales por los motores de búsqueda.
-          En cuanto a las áreas temáticas en las que se produce un mayor crecimiento de las actuaciones, destacan la difusión de datos personales en internet y la vulnerabilidad de las medidas de seguridad en la red, así como la inclusión de datos de morosidad en ficheros. 
 
Por tanto concluyendo:
Hay una tendencia al alza en el número de resoluciones declarativas de infracción, las cuantías económicas se han elevado significativamente y además, la gran mayoría de ellas son graves.  Uno de los motivos que ha provocado el aumento del  número de sanciones es tal y como muestran los números, el crecimiento exponencial que ha sufrido la solicitud del derecho de cancelación y oposición y la imposibilidad de respuesta por parte de muchas organizaciones. La ley cada vez es más conocida por la sociedad y así se refleja en este dato, ya que los ciudadanos cada vez ejercitan más a las organizaciones los derechos ARCO. Durante mi trayectoria profesional, he adecuado y auditado a empresas de muy diferentes tipos a los requerimientos de la LOPD y de RD 1720/2007, y las solicitudes que se producían de los derechos ARCO eran poco frecuentes por lo general. La Agencia siempre ha insistido en la importancia de estos derechos como uno de los principios básicos de la LOPD, y yo como consultor, siempre he intentado trasladar esto a mis clientes. Sin embargo, en ocasiones, he visto como las organizaciones se han relajado en recomendaciones sobre la “ejercitación de derechos”  convencidas de que el desconocimiento de la ley por parte de la sociedad garantizaba que nadie los solicitaría. Por tanto estos datos deben “poner en alerta” a las organizaciones definiendo procedimientos de atención y respuesta a los derechos ARCO y cumpliendo las medidas de seguridad del Titulo VIII del RD 1720/2007, ya que sin duda 2011 ha supuesto el “empujón definitivo” que los derechos ARCO necesitaban para ser finalmente reconocidos en las organizaciones como uno de los pilares fundamentales de la protección de datos.


jueves, 6 de septiembre de 2012

La evolución del Régimen Sancionador por incumplimiento LOPD en España y la diversidad de escenarios existente en Europa

Desde que nació la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, uno de los aspectos más debatidos y trascendentes en el mundo empresarial fue la alta cuantía que alcanzaban las sanciones, especialmente las muy graves (hasta 600.000 euros).  El establecimiento de los niveles leve, grave y muy grave y las sanciones asociadas (rangos económicos) provocó un impacto de calado en las organizaciones, sobre todo en las pymes, que consideraban injusta la estandarización de sanciones para “el mundo empresarial” por entender que no tiene las mismas consecuencias una sanción similar para una PYME que para una IBEX 35. A este argumento se sumó el hecho de “hacer la vista gorda” con las Administraciones Públicas que hizo que poco a poco se comenzara a ver el Régimen Sancionador definido como “mejorable”.
De esta manera el 6 de marzo de 2011 entró en vigor la Ley de Economía Sostenible que incluía en su Disposición final quincuagésima sexta la reforma de los artículos  43, 44, 45, 46 y 49 referidos al Régimen Sancionador de la Ley 15/1999. Estas modificaciones recogen en gran medida la experiencia acumulada por la AEPD, con el objetivo de aportar mayor seguridad jurídica y mayor precisión en la aplicación de la norma, así como ampliar los criterios de modulación y adecuación de las sanciones. A la modificación de los niveles de gravedad de ciertos incumplimientos, se sumó la sistematización y ampliación de los criterios de graduación que se tienen en cuenta por el órgano sancionador para la modulación de las sanciones, incorporando como novedades la posibilidad de valorar la diligencia profesional sobre el tratamiento de datos exigible al infractor (tal y como hemos apuntado, no es lo mismo la diligencia profesional exigible a una gran corporación que a una Pyme), su volumen de negocio y el tipo de actividad que desarrolla. Además se amplían las opciones para adoptar medidas preventivas en el cumplimiento de la ley a través de la figura del apercibimiento como medida no sancionadora (solo para hechos que no sean constitutivos de infracciones muy graves y cuando el sujeto responsable no haya sido sancionado o apercibido con anterioridad).
De esta manera este hecho definió dentro de nuestras fronteras un nuevo Régimen Sancionador más afinado y preciso. Sin embargo, en un mundo donde una empresa opera en cualquier país, con sedes en diferentes puntos geográficos,  no deja de ser curioso que una misma infracción pueda ser sancionada de diferente manera en función del país donde se cometa. Este hecho, tal y como se muestra en el siguiente artículo del diario jurídico, (http://www.diariojuridico.com/actualidad/conoce-las-sanciones-economicas-que-existen-en-proteccion-de-datos-a-nivel-europeo.html) vuelve a plantear un escenario imperfecto donde surge la pregunta de si sería mejor que las sanciones dependieran de la capacidad de renta de cada país de la Unión.
En mi opinión, es estrictamente necesario que se desarrolle ágilmente  la propuesta de reforma de protección de datos de la Unión Europea, donde se defina un catálogo de infracciones y sanciones económicas iguales para todos, que sería aplicable también a las Administraciones públicas y permita de esta manera regular de una manera estandarizada el Régimen Sancionador de la Ley de Protección de Datos en Europa.

martes, 24 de julio de 2012

Gestión del servicio: de la contención a la construcción

Se entiende por Gestión del Servicio el conjunto de competencias especializadas de la organización que proporcionan valor a los clientes en forma de Servicios (ITIL® 2011 Edition: Service Strategy Glossary).

Si el delivery se visualiza como una escala en la que los polos corresponden a "bueno" o "malo", estaremos más cerca de un extremo o del opuesto en función de múltiples factores: económicos, organizativos, humanos, etc. No obstante, lo que determina indudablemente cuál será su posición de valor real es la consciencia que el proveedor de servicios de TI tenga de la gestión del servicio en sí misma. Si el espíritu con el que lo afronta es de contención, o bien de construcción. Esta diferencia de enfoque determina cuál es su actitud final frente al cliente:

  • Actitud de contención 

Nunca suele ser una actitud de partida en un contrato de servicios. Se llega a ella tras un tiempo de provisión del servicio que no se percibe por parte del cliente como satisfactorio. La gestión del servicio, lejos de construir, dedica todos sus esfuerzos a contener y canalizar el descontento del cliente para mantener a flote el contrato.

  • Actitud de construcción 
Existe una cultura de servicio. El cliente es la principal prioridad y por tanto, existe un programa de mejora continua implantado y en funcionamiento que recoge el feedback de éste. Se conocen bien sus características y sus requerimientos. El valor que se proporciona es en forma de garantía del servicio. La gestión del servicio se realiza en un marco de colaboración y crecimiento.

El rasgo diferencial subyacente entre ambas actitudes reside en la existencia o, en su defecto, en la carencia de una estrategia de servicio implementada en la organización proveedora de los servicios de TI. Por tanto, la evolución de una actitud de contención a una actitud de construcción pasa inevitablemente por desarrollar esta estrategiaNo obstante, su desarrollo no es precisamente algo trivial ni fácil de llevar a cabo, requiere un gran conocimiento tanto del cliente o clientes, como de la propia organización proveedora de los servicios de TI ¿Por dónde empezar?

Detallamos a continuación 3 aspectos que son esenciales:
  1. Identificar los diferentes tipos de cliente para adaptar nuestra organización proveedora de servicios TI a sus diferentes requerimientos y necesidades. No todos los clientes son iguales, y en consecuencia, nuestros servicios deben ser suficientemente flexibles para poder atenderlos en su particularidad.
  2. Identificar adecuadamente las expectativas del cliente, es decir, conocer lo que es realmente importante para el cliente, no lo que suponemos o percibimos que puede ser.
  3. Gestionar su demanda, es decir, ajustar las expectativas anteriores a nuestra capacidad real, como proveedores, para prestar ese servicio de forma satisfactoria para ambos.

When we turn on a water tap, we expect to see water flow from it. When we turn on a light switch, we expect to see light fill the room. Not so many years ago, these very basic things were not as reliable as they are today. We know instinctively that the advances in technology have made them reliable enough to be considered as utility. But it isn't just the technology that makes the service reliable. It is how they are managed [1]


[1] ITIL® Service Strategy. 2011 Edition Pag.15.

martes, 10 de julio de 2012

Producción y productividad: el dilema de la eficacia


Cuenta esta fábula de Esopo [1] que una mañana un granjero descubrió que una de sus gallinas había puesto un huevo de oro macizo. Dudando de la validez del hallazgo, lo llevó al orfebre de la ciudad, quien tras confirmarle el valor del material, le compró el huevo. Cada mañana la gallina ponía un nuevo huevo de oro que el granjero vendía por una considerable cantidad obteniendo un indudable beneficio.
Un buen día, la codicia y la impaciencia se adueñaron del granjero, y no pudiendo esperar al día siguiente decidió matar a la gallina para extraer de una sola vez todos los huevos de oro; pero al abrirla, se percató que en su interior no había nada. Su gallina era como todas las demás. Había matado a su principal fuente de beneficio.

Una de las interpretaciones más comunes que se hace de esta fábula, analizada desde una perspectiva económica,  tiene relación con la efectividad, y viene a decir lo siguiente: si no se mantiene el equilibrio entre la producción, entendida como resultado, y la productividad, entendida como capacidad de producción, difícilmente se conseguirá alcanzar la eficacia.

Extrapolando esta interpretación al mundo de las TI, podemos considerarla un tanto inexacta, ya que no siempre puede encontrarse una correlación positiva entre volumen de producción y eficacia. Dicho de otro modo: no por más producir, más efectivo se es.

La eficacia, por tanto, participa de la incorporación de otro elemento fundamental al proceso productivo: las capacidades.

Las personas somos a la vez, recursos y capacidades. Somos mano de obra para la producción y un conjunto de aptitudes para su transformación. Dos aspectos de un binomio que no debería nunca segregarse, puesto que su finalidad en sí misma es crear valor.

Si nos basamos en ITIL [2] como modelo de gestión de servicios, veremos  que sus “buenas prácticas” se fundamentan en los que se ha dado en llamar las 4 Ps, es decir, la confluencia y amalgama de Productos (tecnología), Personas, Procesos y Partners. Pero obsérvese que esa P de “Personas” (People), uno de los pilares principales, no se mantiene sólo a nivel de recursos o FTE’s (Full Time Equivalent). No. Esa P representa a los principales “hacedores” (enablers) que hacen posible la transformación de los recursos en valor mediante la puesta en marcha de procesos definidos. Por tanto, la creación de “valor” depende de las personas como recursos en la misma medida que depende de las personas como capacidades. De aspectos tan intangibles como el conocimiento, la capacidad de aprendizaje, la experiencia, la creatividad, la visión, la intuición, la flexibilidad, la capacidad de gestión, el entusiasmo o la motivación.


Es precisamente este valor entendido en su conjunto el que proporciona el equilibrio, ya no solo entre producción y productividad, sino también entre beneficio y eficacia.


[1] Fábula de la gallina de los huevos de oro

[2] ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries.

martes, 19 de junio de 2012

La "usabilidad" del Catálogo de Servicios


Hace un tiempo, les hablábamos en este mismo blog del por qué era importante disponer de un Catálogo de Servicios (¿Porqué necesito un Catálogo de Servicios?). Ahora pretendemos ir un paso más allá y hablarles de su “usabilidad”.

¿Usabilidad? Sí, pero ¿Qué es? Pues bien, aunque en el diccionario de la Real Academia Española (RAE) no aparece este término, lo podríamos definir como una propiedad que debe tenerse en cuenta en el diseño de objetos, sistemas y otros elementos. Propiedad que de forma sucinta debería concentrar estos tres aspectos: Facilidad de uso para el usuario en el contexto en el que está previsto su uso y con el propósito para el que ha sido diseñado. Por tanto, el término en cuestión se ha forjado en el ámbito del diseño centrado en el usuario y se desarrolla en el marco del estándar internacional ISO 9241-210:2010 –Ergonomic of human-system interaction. Part 210: Human-centred design for interactive systems-.

Y ahora se preguntarán: “¿...y qué tiene que ver esto con el Catálogo de Servicios?” Pues mucho, si tenemos en cuenta que uno de los objetivos que pretendemos al poner en marcha un Catálogo de Servicios es precisamente que cumpla esas cualidades.

La “usabilidad” del Catálogo de Servicios debe basarse en un profundo conocimiento de:
  • La organización de TI como proveedor de los servicios de TI.
  • Los diferentes colectivos a los que se orienta (recordemos que puede tener diferentes destinatarios).
  • Los diferentes contextos y su evolución, los cuales generan las distintas demandas de servicio.

Por tanto, asimilando el concepto del mundo del diseño, el Catálogo debe dejar claro:
  • El contexto de uso
  • Los requisitos que debe cumplir el usuario para acceder o beneficiarse del servicio.
  • Los detalles de la prestación del servicio de acuerdo al contexto y propósito definido.
  • Cómo se valorará o medirá la eficacia y eficiencia de los servicios que incluye (indicadores de calidad, de disponibilidad, etc.), es decir, cómo se medirá la satisfacción de uso de éstos.

Visualicen esta idea:

Catálogo de Servicios = producto interactivo



martes, 12 de junio de 2012

2 Herramientas para la toma de decisiones

"El mundo se aparta cuando ve pasar a un hombre que sabe adónde va"
A. De Saint-Exupery

Tomar una decisión no es algo simple ni trivial, en cambio es un acto que llevamos a cabo prácticamente a diario.  En la mayoría de ocasiones se trata de decisiones de pequeño alcance e impacto, pero también están aquellas otras cuyas implicaciones pueden determinar el futuro.

En general, tendemos a buscar siempre aquella que permite obtener un mayor beneficio. La mejor opción dentro de las posibles; pero para ello, es necesario que se produzca un proceso de evaluación de alternativas. Este proceso, lejos de ser libre, está condicionado por una serie de factores que limitan nuestra capacidad de decisión:
  • El contexto o situación (escenario).
  • La información que se disponga para tomar la decisión (certidumbre o incertidumbre).
  • La perspectiva personal (la forma en la que se comprende y enfoca la situación).

¿Cómo afrontar este proceso de la forma más objetiva posible? Con método. La aproximación al proceso de decisión se puede afrontar de una forma metódica, puesto que en realidad, no deja de ser una secuencia lógica.

¿Cómo se puede llevar a cabo? En dos pasos:
  1. Identificando previamente:
    • Cuál es el requisito o la necesidad que genera la toma de decisión.
    • Qué alternativas posibles puedo considerar.
    • Qué posibles escenarios pueden tener lugar.
  2. Aplicando técnicas de análisis que facilitan el proceso de decisión. Existen múltiples técnicas para ello: matriz de Kepner-Tregoe, análisis de coste-beneficio, análisis de Pareto, análisis de riesgo e impacto, etc. dependiendo del enfoque.

Puesto que suele ser frecuente que las alternativas se conozcan de antemano, resultan muy útiles para ayudar en la elección las dos técnicas que resumimos a continuación:

Los árboles de decisión (valoración dinámica)

Esta técnica es eficaz cuando se dispone de diferentes alternativas y la información de partida no es suficiente (incertidumbre). Mediante el árbol de decisión se pretende analizar las diferentes opciones y conocer los posibles escenarios resultantes, para obtener así, una visión del riesgo que acompaña a cada una de ellas.

De forma muy breve, el árbol se inicia con una primera decisión que se esquematiza como un cuadrado. A partir de este punto, se desarrollan las alternativas que se van a valorar, y para cada una de ellas, los resultados posibles. Si el resultado es incierto se expresará con un círculo. Si el resultado de una decisión es otra decisión, se dibujará un nuevo cuadrado a partir del cual, se desarrollará el nuevo flujo de alternativas.

Una vez trazado el árbol, es el momento de realizar la evaluación que nos permitirá tomar la decisión. Para ello es necesario asignar diferentes valores: en primer lugar, el valor que daremos a cada resultado en función del posible impacto previsto si se da dicho escenario (este valor puede ser por ejemplo cuantitativo €), y en segundo lugar, un valor de probabilidad de ocurrencia a cada círculo de incertidumbre (el valor del círculo debe ser igual al 100% o 1 si se utilizan fracciones). Los resultados finales corresponderán a las interacciones entre las alternativas de decisión y los escenarios considerados.


Grid Analysis o análisis de parrilla (valoración multifactorial)

En esta modalidad de análisis no existe una opción preferente sino que se dispone de diferentes factores a considerar. El método, en este caso, consiste en asignar “pesos” en función de la importancia relativa que dichos factores tienen para nosotros.

Las opciones a valorar se listarán en la izquierda del cuadrante, mientras que los factores que se van a considerar, en la parte superior. Cada opción deberá ser puntuada en función de su importancia, a partir de una escala de valores donde 0 equivale a “insignificante” y 5 a “muy importante”.
Puesto que la importancia de cada factor puede ser diferencial a la hora de tomar la decisión final, se aplicarán pesos relativos a cada uno de ellos. Las puntuaciones de cada opción se multiplicarán por el “peso” del factor considerado en cada caso, obteniéndose valores determinados por opción y factor.

Los resultados se sumarán para obtener un valor total por opción. Aquella que obtenga el valor mayor será la mejor opción.
Aunque aquí sólo hemos visto dos técnicas y muy esquemáticamente, si deseas profundizar en el proceso de toma de decisiones, o en la propia teoría de la decisión, puedes encontrar actualmente muchas referencias procedentes de diferentes ámbitos –principalmente de la psicología y la gestión de empresa-, te dejamos aquí algunas de ellas:
  • A. Cañabate (1997) – Toma de decisiones: análisis y entorno organizativo. Ediciones UPC.
  • R. L. Keeney (1994) – Creativity in decision Making with value-focused thinking. Sloan Management Review; Summer 1994; 35, 4; ABI/INFORM Global, pag. 33.
  • T. Batley (1992) – Técnicas de gestión para profesionales. Ediciones Granica S.A.
  • E. De Bono (1985) Six Thinking Hats: An Essential Approach to Business Management (disponible en español)



martes, 5 de junio de 2012

COBIT 5: “Por fin un verdadero marco de referencia de Gobierno Corporativo TIC”

Es curioso, llevamos años hablando del concepto de Gobierno TIC, actualmente está muy de “moda” el término  GRC (Gobierno, Riesgos y Cumplimiento) y en el sector desde hace años se difunden estándares, conjuntos de buenas prácticas y marcos de referencia (ISO 38500, Cobit 4…) que hacen suyo el concepto. Muchas de las organizaciones que implementaban los procesos de Cobit 4 o de ITIL proclaman que en su organización se Gobiernan las TIC.
En los últimos años me he preguntado constantemente si ese Gobierno TIC que se difundía era el verdadero ideal que permitía alinear los objetivos de las TIC con los del Negocio y así entregar valor, alineación estratégica, gestionar riesgos, gestionar recursos y medir el desempeño…
Me gustaría centrar el foco en especial en Cobit (Objetivos de Control para las Tecnologías de la Información), ya que su eslogan desde los últimos años ha sido el Gobierno TIC. En sus primeras versiones, Cobit se definía como un marco de control para auditores de TI. En la revisión del año 2000, Cobit 3, incluía como producto/documento aparte  las Management Guidelines o  guía de gestión para la dirección, con una orientación más cercana al concepto de Gobierno TI. Posteriormente ISACA desarrolla el marco Cobit 4 y vende el mismo como la “biblia del Gobierno TIC” y estructura el mismo en 4 dominios (Planificar y Organizar, Adquirir e Implementar, Entregar y dar Soporte y Medir y Reportar) que contemplan un conjunto total de 34 procesos. De esta forma implementando este conjunto de procesos teóricamente la organización estaba Gobernando las TIC. Más tarde ISACA lanza otros productos complementarios como VAL IT y RISK IT abarcando dos “patas” en mi opinión claves en el Gobierno TIC y que la versión 4.1 de Cobit no incluía, la Gestión de Inversiones TIC (Val IT) y la Gestión de Riesgos TIC (Risk IT).  Aunque ISACA difundió estos marcos como producto de la familia Cobit, entre los profesionales comenzó a hablarse de un Cobit 4 incompleto que dejaba de lado dos parámetros clave como son la inversión y los riesgos. Surgieron las dudas entre aquellos que habían creído  que Cobit 4 era la “panacea” de la Gobernanza TIC.

Así mismo en 2008 sale al mercado el estándar internacional ISO 38500 y las dudas aumentan al no verse clara la relación entre los procesos de Cobit 4 y el ciclo de Gobernanza expuesto por el estándar: “Evaluar, Dirigir y Monitorizar
Por fin ISACA reacciona, se da cuenta de su eslogan fallido en la versión 4, desarrollando y publicando hace mes y medio Cobit 5, entre una gran expectación entre los profesionales TIC. 

Esta nueva versión tiene un carácter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute). Así en esta versión, se dividen los procesos de Gestión de los de Gobierno (se incluye una nueva capa de procesos específicamente de Gobierno) en claro alineamiento con la norma, ISO 38500.

Por fin, después de años de dudas, tengo claro que ahora ya existe un marco de Gobierno TIC y que se desarrolla en Cobit 5. Gracias ISACA pero nos has tenido muy despistados unos cuantos años.

Tres consejos para una consultoría "tangible"


Salvo excepciones en las que el área de TI tiene su propio presupuesto y la potestad de gastarlo en lo que estime conveniente, suele ser frecuente que, por jerarquías organizativas, la decisión final del gasto o de la inversión, ya sea en tecnología o en servicios, acabe dependiendo del director financiero o de cualquier otro directivo “no tecnológico”. Este simple hecho organizativo conlleva muchos problemas para los directores o responsables de las áreas de TI, puesto que deben “justificar” sus peticiones y “convencer” para poder llevarlas a cabo.

A la hora de “justificar” y “convencer” se dan dos posturas:
  • Los “prácticos”, que apuestan por invertir más en tecnología –algo tangible e identificado como un elemento básico para la producción del negocio-, que en servicios de consultoría –percibidos como algo intangible de coste elevado-. Resultado: una predominancia de la visión operativa por encima de la táctica.
  • Los “open-minded”, que a pesar de las necesidades de renovación e inversión tecnológica que siempre se dan en un entorno de TI, son capaces de analizar y conocer las carencias reales de la organización TI para cumplir con las expectativas del negocio y buscan en los servicios de consultoría, una colaboración externa y objetiva que les sitúe en el punto adecuado. Resultado: una predominancia de la visión táctica por encima de la operativa.

Si eres de los primeros, a estas alturas del texto, ya habrás encontrado argumentos que te convenzan para continuar con tu  visión operativa. Suerte con los presupuestos.

Si eres de los segundos, te interesará tener en cuenta estos tres consejos:
  1. Evita las sorpresas. No todas las consultoras son iguales. Valora bien los servicios que se ofrecen y su alcance.  Debes saber en todo momento qué se incluye y qué se excluye o, simplemente, no se contempla. Las diferencias pueden ser importantes en cuestiones de calidad, y cumplimiento de expectativas.
  2. Evita establecer una relación “maestro-alumno”.  Durante la fase de proyecto debes considerar al consultor como la persona que, a través de la observación, la escucha activa, la pregunta directa y su profesionalidad, te ayudará a clarificar tus objetivos y desarrollar un plan de acción para alcanzarlos. Percíbelo como un “coach”.
  3. Establece una relación de confianza. La confianza y la transparencia deben ser los fundamentos del trabajo conjunto. Sin esa base, los pasos específicos que debéis dar para conseguir el éxito en el proyecto no serán ni fiables, ni probablemente correctos.

El éxito de tu proyecto depende de ello.

6 preguntas para un servicio de TI en la nube

El cloud lleva implicito una serie de conceptos: acceso desde cualquier dispositivo, en cualquier momento, bajo demanda, pagando por el uso, con una rápida provisión y una mínima gestión o interacción del proveedor del servicio.


Si bien, dado su enorme potencial, todavía está en su fase inicial, algunos clientes ya hace tiempo que empiezan a interesarse, preguntarnos e incluso traspasar alguno de sus servicios a la nube. Uno de los servicios típicos es el del correo electrónico.

En estos casos, la pregunta en cuestión es: ¿Qué he de tener en cuenta?. Según The OccupyIT Manifesto (publicado por la AIIM The global community of Information Professionals), básicamente los siguientes aspectos:
  1. Cumplimiento: ¿Puede su proveedor en la nube someterse a auditorías y certificaciones de seguridad?
  2. Ubicación de los datos: ¿Su proveedor está dispuesto a comprometerse por contrato a que está cumpliendo con las leyes de privacidad de la las jurisdicciones locales, regionales y nacionales en las que se almacenan sus datos?
  3. Segregación de los datos: ¿Están sus datos correctamente separados de todos los demás en los servidores compartidos de manera que sus datos no puedan ser leídos por cualquiera?
  4. Disponibilidad: ¿Ha definido sus requisitos de nivel de servicio, y hay cláusulas de penalización que pueden ser invocadas en caso de que no se cumplan?
  5. Recuperación: ¿Qué pasa si su proveedor en la nube sufre un desastre natural, o incluso simplemente un accidente que tiene como resultado una pérdida total de datos? ¿Puede hacer una restauración completa en el momento oportuno?
  6. Viabilidad: ¿Qué sucede con sus datos si su proveedor es adquirido o va a la quiebra?
Por último, un aspecto que me preocupa del cloud es la asimetría de fuerzas tan grande que puede producirse entre el cliente y el proveedor cloud.


lunes, 4 de junio de 2012

¿Cuánto cuestan los servicios de TI?

Actualmente, los responsables de TI se encuentran en una situación compleja:

  • Por un lado aumenta, cada vez más, la dependencia del negocio de las TI. Cada vez hay más servicios críticos, mayor demanda de nuevas tecnologías, el usuario recibe servicios aparentemente similares a un precio inferior, la organización se extiende a clientes, proveedores, etc.
  • Por otro lado, la difícil situación económica exige al responsable de TI reducir los costes a la vez que se mantiene o incluso mejora la calidad de los servicios de TI.

Ante la pregunta ¿Cómo podemos reducir los costes de TI?, se impone la respuesta obvia: conociendo los costes de TI.

Es, por tanto, URGENTE identificar, calcular y gestionar los costes asociados a los servicios de TI de tal manera que se haga una gestión rentable de los activos y recursos de TI usados en la provisión y soporte de dichos servicios.

Para ello, es necesario disponer de los mecanismos y de las herramientas que permitan al gestor de TI “controlar la infraestructura” y “medir a las personas…y proveedores”.

Dicho control y medición debe ir dirigido a los siguientes 3 ámbitos: gestión de activos, gestión de los servicios y gestión de los proyectos de TI.

La gestión de activos nos permite responder a las siguientes preguntas: ¿Qué tenemos?, ¿dónde está?, ¿Cuánto nos está costando?, ¿tiene mantenimiento?, ¿se debería actualizar?, ¿está funcionando correctamente?, ¿qué servicio o proceso de negocio soporta?, etc.

El 80% del presupuesto en TI, según Pinkelephant, se dedica a la operativa diaria. Parece claro que una gestión más eficiente y eficaz de las operaciones de TI a través de la introducción de una serie de actividades, estructuradas como procesos o no, en función del tamaño del departamento de TI, nos tiene que ayudar a reducir dicho presupuesto. Hablamos de gestión de incidencias, problemas, configuración (la gestión de activos es un subconjunto), cambios, etc.

El 70% de los proyectos de TI no cumplen objetivos de plazos, coste y calidad según Gartner. Es imprescindible una correcta planificación que tenga en cuenta todas las dimensiones del proyecto, así como un adecuado seguimiento y control que nos permita detectar y reaccionar ante desviaciones en los costes.

Por último, si bien el coste es imprescindible a la hora de definir el servicio, de cara a establecer comparaciones con otro tipo de servicios externos al departamento de TI, es necesario añadir dos características más: garantía y utilidad. Si no lo hacemos así, corremos el riesgo de estar comparando peras con manzanas.

Insisto, elijamos aquella aproximación que se adecúe más a nuestras necesidades pero abordémoslo con urgencia si no queremos que sean otros departamentos y unidades de la organización los que elijan por nosotros el camino a seguir.


lunes, 21 de mayo de 2012

La importancia de la perspectiva múltiple en la Gestión de Riesgos

El riesgo viene derivado de la existencia de amenazas que en ocasiones y por diferentes circunstancias aprovechan las vulnerabilidades de los procesos / activos para producir una degradación de las actividades de negocio. 
La principal herramienta que utilizan las organizaciones para gestionar los riesgos y mitigarlos hasta niveles aceptables es el Control Interno, que es un proceso diseñado con el fin de proporcionar un grado de seguridad "razonable" para la consecución de los objetivos corporativos, garantizando la eficiencia y eficacia de la operatividad, la fiabilidad de la información corporativa y el cumplimiento normativo. 
El conjunto de controles que conforman el “Control Interno” y su nivel de madurez hacen evolucionar al riesgo intrínseco (riesgo existente por la propia naturaleza de los procesos) hacia un riesgo residual resultante tras valorar la eficacia de los mismos. Pero para que la gestión de riesgos sea óptima, completa y con perspectiva es totalmente clave “atacar” el riesgo desde dos caminos complementarios cuyo enfoque es distinto:


El Plan de Tratamiento de Riesgos y las Estrategias de Recuperación


En primer lugar “El Plan de Tratamiento de Riesgos” (o también conocido como Programa de Gestión de Riesgos), el cual está enfocado por y para el riesgo e incluye el conjunto de medidas a implantar para  mitigar /transferir/ asumir el riesgo hasta niveles aceptables por la organización, actuando sobre el impacto o sobre la probabilidad de ocurrencia. Incluye medidas normalmente a corto y medio plazo y combina controles preventivos, detectivos y correctivos.  

 

Sin embargo el Plan de Tratamiento solo es capaz de gestionar los riesgos desde la perspectiva del grado de exposición y necesita de otra naturaleza de controles denominados “Estrategias de Recuperación”, cuya perspectiva es la continuidad, su ejecución  es siempre reactiva (una vez se ha materializado el desastre) y la cuales tienen por objetivo dotar de una respuesta a la organización ante un desastre que acontece, a fin de recuperar la operativa normal cumpliendo los requerimientos de negocio (tiempos de recuperación, productividad, cumplimientos regulatorio…). Las Estrategias de Recuperación suelen ser muy costosas, se implantan en plazos largos y se deben aplicar a riesgos cuyo impacto es catastrófico y que justifica claramente la alta inversión que supone.
De esta manera la clave para conseguir una óptima Gestión de Riesgos será la habilidad del Responsable de Seguridad para diseñar un plan equilibrado de controles con perspectiva global que escale a la Alta Dirección y consiga el respaldo total por parte de la misma.