miércoles, 28 de noviembre de 2012

El Data Privacy Institute publica el libro “Estudio de impacto y comparativa con la normativa española de la propuesta de Reglamento General de Protección de Datos de la Unión Europea”

Desde que viera la luz el pasado 25 de enero de 2012 el borrador del Reglamento General de Protección de Datos de la Unión Europea, surgió la necesidad entre los profesionales de la privacidad de evaluar el “gap” que suponía este reglamento con respecto a la legislación vigente a nivel nacional en materia de protección de datos, es decir la Ley 15/1999 y el RD 1720/2007.
Este duro y necesario trabajo lo ha realizado los profesionales que conforman el Data Privacy Institute que durante 9 largos meses se han dedicado a analizar detalladamente este borrador de Reglamento General, generando un libro que compara cada  articulo del mismo con la legislación vigente a nivel nacional. Este libro es sin duda una base de conocimiento inicial y esencial que deben obtener las empresas de cara al cambio sustancial que se aproxima.

He de recordar que este futuro Reglamento (que deberá aprobarse antes de marzo de 2014) tendrá una aplicación directa sobre todas las organizaciones europeas que tienen que cumplir con la normativa, logrando una armonización inexistente hoy en día. Sin embargo, este Reglamento General nace con el reto de coexistir con la normativa nacional de los Estados miembros, hecho donde quizás en España tengamos cierta ventaja ya que existe una cultura y conocimiento de la protección de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS y RD 1720/2007 principalmente) aunque en este borrador existen novedades que sin duda requerirán de esfuerzos importantes en el seno de las empresas españolas.
No pretendo en este artículo explicar en detalle el conjunto de novedades que se exponen en este borrador, (para ello recomiendo este libro) pero si me gustaría hacer hincapié en la nueva visión que aporta este borrador, describiendo un marco de GRC (Gobierno, Riesgo y Cumplimiento)  donde se alineen los objetivos de negocio con requerimientos de privacidad, analizando los riesgos y teniendo en cuenta la privacidad desde la concepción de los sistemas de tratamiento de datos. Es aquí donde nacen los conceptos de Accountability, Privacy by Design, Privacy by Default y el Privacy Impact Assesment que obligaran a las empresas a preocuparse de la privacidad desde el primer momento que se implementen nuevos procesos en las empresas. En mi opinión será necesario hacer un importante esfuerzo entre los profesionales de la privacidad para hacer ver al negocio que los requerimientos de privacidad no son un impedimento al negocio sino que puede ser desencadenantes de retornos de la inversión a través de un reforzamiento de la imagen, un mejor posicionamiento en el mercado y una mayor confianza de los stakeholders.
Otros puntos novedosos a destacar es la incorporación de la figura del Delegado de Protección de Datos una figura que deberá existir en organizaciones de más de 250 empleados y que será la encargada de velar por la privacidad en la organización. Será un rol directivo cuya misión deberá ser trasladar los requerimientos de privacidad a la Dirección y cuyo reto deberá residir en el retorno de la inversión como valor añadido al cumplimiento legal. Otras novedades son la aparición de mecanismos y procedimientos como las consultas previas, certificaciones orientadas a privacidad, la notificación de violaciones de seguridad, el establecimiento de los derechos al olvido y a la portabilidad de datos, la evaluación del impacto desde el punto de vista de la privacidad de los nuevos sistemas de tratamiento de datos (Privacy Impact Assesment) y los cambios sustanciales que se producen tanto en el ámbito de aplicación de la norma como los criterios sancionadores.
A modo de conclusión es importante señalar que este borrador define una serie importante de novedades, algunas con impactos mínimos pero otras con impactos severos como hemos comentado y que requerirán esfuerzos muy importantes por parte de las organizaciones. La mayor incógnita reside en las dudas existentes en cuanto a cómo va a ser la estrategia de evolución entre el modelo europeo y el nacional, cuestión todavía por definir.  Sin duda alguna se aproximan tiempos de duro trabajo tanto para los profesionales de la privacidad como para las empresas europeas.

miércoles, 14 de noviembre de 2012

Hoja de ruta para el control de costes de TI


Se estima que el 80% del presupuesto de TI se destina al coste operacional de la provisión y soporte de servicios TI y tan solo un 20% a nuevos proyectos. Por este motivo, el control del coste operacional se ha convertido en uno de los principales objetivos de todo departamento de TI.

Un control eficiente permite optimizar recursos y contener el gasto, así como demostrar al resto de la organización el coste real de los servicios proporcionados. Llegados a este punto la pregunta es evidente: ¿Cómo podemos enfocar el control de costes en nuestra organización?

Si en nuestra organización todavía no tenemos un control de costes adecuado para el departamento de TI, es recomendable analizar la presentación que realizamos en el Congreso Virtual del ITSMF bajo el título “Hoja de ruta para el control de costes de TI”.

En esta presentación tratamos los siguientes aspectos:
  • La necesidad del control de costes de TI.
  • Hoja de ruta:
    • Creación del catálogo de servicios de TI.
    • Definición del modelo de costes.
    • Análisis de los requisitos de los servicios.
    • Valoración de la madurez de gestión.

A través de un formato Webinar, se exponen los temas anteriores y se intenta responder a las preguntas que los asistentes realizaron durante la misma presentación.

El webinar está disponible a través del siguiente enlace:
https://www.brighttalk.com/webcast/8103/57773 (registro gratuito).

También podéis descargar el PDF de la presentación en:
http://www.abast.es/pdfs/BTSummits01-Abast.pdf

viernes, 9 de noviembre de 2012

3 principios básicos de la gestión de proyectos

Quizá por el entorno económico donde priman los presupuestos ajustados, o quizá por el aumento del nivel de madurez en la gestión de TI, lo cierto es que cada vez más empresas ponen su foco de atención en la gestión de proyectos.

La gestión de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas a las actividades de un proyecto con el objetivo de satisfacer los requisitos.

Los proyectos se usan a menudo como un medio de lograr el plan estratégico de la organización y son autorizados como resultado de una o más de las consideraciones que muestra la gráfica siguiente :




Por la naturaleza del mismo, no resulta fácil conseguir que un proyecto finalice con los resultados deseados.  Un proyecto es acotado (principio y fin definido), único (siempre habrá una característica que lo diferencie de otros proyectos) y supone incertidumbre.

Por este motivo, la ausencia de una gestión de proyectos adecuada puede generar una serie de contratiempos típicos, como por ejemplo:
  •           Desvíos significativos de los proyectos en cuanto a tiempo y coste. Incapacidad de determinar el avance del proyecto o de realizar previsiones precisas.
  •           Se inicia el proyecto sin disponer de una definición precisa del mismo.
  •           Cambios frecuentes en los objetivos iniciales. A medida que avanza el proyecto aparecen nuevos requisitos no previstos.
  •           Dificultad para disponer de los recursos necesarios en el momento preciso.
  •           No tratar adecuadamente a personas que tienen influencia sobre el proyecto.

Principales metodologías

Para ayudarte a gestionar correctamente los proyectos, existen multitud de metodologías:
  • PMBoK (Project Management Body of Knowledge).
  • PRINCE2 (Projects In Controlled Environments).
  • ISO 10.006.
  • ISO 21500.
  • SCRUM.
  • Otros...
La realidad es que todas las metodologías tienen sus ventajas y desventajas, siendo necesario identificar cuál se ajusta más a la Organización y al tipo de proyecto.

Los 3 principios de la gestión de proyectos.

Nuestra experiencia nos indica que sea cual sea la metodología que implantes en tu Organización o en un proyecto específico, es necesario que tengas en tu consideración tres puntos básicos :


1) Entender el contexto de la Organización (proyecto, programa, porfolio,…) : Para entender como funciona un proyecto, necesitas conocer el proyecto en el contexto de la organización:
  •  Cual es la naturaleza del producto.
  •  Como se está planificando el trabajo.
  • Como se aplicaran los recursos, …
2) Triple restricción (coste, tiempo, alcance): Debes gestionar estas tres variables al inicio de proyecto y en los cambios que surjan en las posteriores etapas ya que influirán en la calidad del proyecto final.
3) Buenas comunicaciones  (personal, interesados, …): Para el éxito del proyecto, resulta fundamental identificar a los interesados y analizar sus niveles de interés, expectativas, importancia e influencia y gestionar adecuadamente: 
  • el desempeño del proyecto.
  •  las comunicaciones internas y externas al proyecto.
  •  las expectativas de los interesados.
  •  la información en el momento oportuno y a las personas claves.

Teniendo en cuenta estos tres puntos  básicos y sobretodo aplicando la coherencia y el sentido común puedes anticiparte, en la mayoría de casos, a problemas que podrían influir negativamente en la consecución exitosa de un proyecto.