lunes, 26 de marzo de 2012

Reducir los costes de TI gracias a una buena gestión de activos




Parto de una premisa que consiste en considerar que el coste de TI está directamente relacionado con la gestión de TI, de manera que una buena gestión puede permitirnos reducir los costes del departamento.

En este sentido, el primer paso para reducir costes es entender qué es lo que tenemos.
  • ¿Tenemos alguna manera de evaluar adecuadamente los contratos con terceros?
  • ¿Tenemos alguna manera de evaluar si es interesante consolidar dichos contratos, adecuar los niveles de servicio u obtener mejores precios?
  • ¿Usamos todo el software que tenemos licenciado?
  • ¿Necesitamos todas las aplicaciones que tenemos instaladas?
  • ¿Es relativamente fácil detectar y retirar activos obsoletos que pueden suponer costes de licenciamiento y soporte elevados?

Para poder responder a estas preguntas es necesario disponer de un sistema eficaz de control que garantice un correcto seguimiento del ciclo de vida de los activos de TI y sus servicios relacionados (instalación, soporte, mantenimiento…) que permita aumentar el control financiero y operativo.

Gracias a una correcta gestión de activos podremos, entre otras cosas:
  • Realizar el seguimiento de los costes totales: costes directos asociados a los costes de adquisición y arrendamiento. Costes indirectos asociados a la instalación, mantenimiento, actualizaciones, gestión de cambios, etc.
  • Gestionar las licencias de software.
  • Gestionar el ciclo de contratación (solicitudes, pedidos, recibos).
  • Gestionar los contratos.
  • Gestionar las finanzas (presupuestos, centros de coste, cargos).
  • Gestionar la obsolescencia (terminación, datos de limpieza y eliminación...)

viernes, 23 de marzo de 2012

¿Cuáles son los tres errores más comunes a la hora de abordar la seguridad de TI?




1. Abordar el tema desde un punto de vista donde prevalece el aspecto técnico

Las personas que iniciamos nuestra carrera profesional como técnicos tenemos tendencia a intentar resolver los problemas también desde un punto de vista técnico. Es de esta manera como pensamos en abordar los retos asociados a la seguridad de la información. La gran mayoría de las soluciones existentes en el mercado tienen su nicho de mercado, su utilidad y su beneficio para la organización. Sin embargo nos olvidamos de dos aspectos fundamentales asociados a la seguridad:

  • Más vale poner una tirita en la herida que una venda fuera de ella

Esto básicamente significa que las medidas de seguridad que implantemos deben estar asociadas a los riesgos que tengamos y a las obligaciones legales que sea necesario cumplir. Esto hará, sobretodo, que la seguridad sea rentable para la organización ya que ayudará a hacer un uso racional de los recursos en base a la eliminación de inversiones innecesarias o ineficientes. Una vez tenemos claros los requisitos de seguridad podemos pensar en qué solución existente en el mercado se adapta mejor.

  • La seguridad de nuestra organización viene determinada por la seguridad del eslabón más débil.

Si únicamente vemos la seguridad como un “problema” técnico es como si estuviéramos poniendo una puerta blindada en nuestra casa mientras dejamos la ventana abierta. No podemos olvidarnos de las personas y de los procesos que nos van a ayudar a ser eficientes y eficaces a la hora de trabajar la seguridad.

2. No pensar en montar un sistema de gestión

Las organizaciones y su entorno son organismos vivos. La regulación, los procesos de negocio, los servicios de TI, la infraestructura, personas y  procesos que los soportan cambian con el tiempo.

El sistema de gestión nos va a permitir planificar los proyectos y tareas necesarios para garantizar la seguridad de nuestra organización, ejecutar adecuadamente dichos proyectos y tareas, chequear que se están realizando según lo planificado y actuar en consecuencia. En definitiva el sistema clarifica qué se debe hacer, quién y cuándo gracias a la introducción de un modelo de mejora continua que garantice que los objetivos de seguridad se alcanzan y mantienen e incluso mejoran a lo largo del tiempo.

3. Pensar en que la seguridad es sólo un problema del Departamento de TI

Nuestra experiencia nos dice que, generalmente, el negocio ve como algo burocrático, “molesto”, innecesario, las medidas de seguridad que pretende adoptar el departamento de TI. Para que el negocio vea que estas medidas son útiles es necesario que se justifiquen por la necesidad de reducir o eliminar riesgos asociados a los procesos de negocio. Es por tanto imprescindible realizar un análisis de riesgos y un análisis de impacto den el negocio. Es obvio que además es importante concienciar,  formar e implicar a toda la organización en temas de seguridad de TI.

miércoles, 21 de marzo de 2012

¿Por qué necesito un Catálogo de Servicios?


Según la definición que nos ofrece la edición 2011 de ITIL® un Catálogo de Servicios (Service Catalogue) es una base de datos o documento estructurado con información sobre todos los servicios de TI en producción (Live IT), incluyendo aquellos disponibles para la implementación. El Catálogo de Servicios forma parte de la Cartera de Servicios (Service Portfolio) y contiene información relativa a dos tipos de servicios de TI: los orientados al cliente que son visibles para el negocio; y los de soporte que son requeridos por el proveedor para la provisión de los primeros (ITIL® 2011 Edition: Service Design & Service Strategy Glossary).


Imaginemos una organización cualquiera y supongamos que quiero conocer los servicios de TI que soportan sus procesos de negocio. En la mayoría de los casos la situación será la siguiente:

  • El área de TI podrá ofrecer una relación, más o menos detallada, de los servicios que proporciona, aunque probablemente sólo sean los principales, que son los primeros que vienen a la mente cuando se piensa en ello, o corresponden a los que se acepta como propios; porque quién no ha oído alguna vez: “¿y esto lo hacemos nosotros?”.
  • El colectivo de clientes y/o usuarios ofrecerá una relación mucho más corta y menos detallada, puesto que la mayoría de ellos, o bien no conoce el concepto servicio de TI, o bien no siempre lo asocia a las prestaciones que recibe, o simplemente no los percibe como tal.

Las consecuencias más habituales de esta situación son la ambigüedad, el desconocimiento, los retrasos en la provisión de algunos servicios, el recurso a apoyarse en “casos precedentes”, los malos entendidos,...En resumen, la mala imagen del área de TI.

¿En qué nos ayuda un Catálogo de Servicios? En mi opinión, las razones son principalmente dos:
  1. Sistematización
  2. Difusión y comunicación
Recordemos la definición anterior: “documento estructurado”. La sistematización como método proporciona una aproximación analítica a los procesos que se desarrollan en una organización. Lleva implícito su ordenamiento. Por tanto, el esfuerzo realizado en las actividades de registro y de clasificación va a posibilitar el acceso, el control y el manejo ágil de la información.

El ejercicio de pensar, tipificar y clasificar los servicios de TI, y plasmarlo en un documento estructurado, nos lleva al segundo beneficio: facilita su difusión y comunicación.  Difusión que se realizará en dos sentidos, hacia el usuario final y/o cliente, que a través del Catálogo no sólo conocerá realmente los servicios de TI, sino que también podrá percibir el valor que se le ofrece en la entrega de los mismos; y a la vez, hacia la propia área de TI, que ejercerá un mayor control sobre esos servicios y sobre las condiciones específicas de su provisión.

Por tanto, el Catálogo de Servicio va a ser el vehículo, el medio principal que va a proporcionarnos un doble beneficio: conocernos y darnos a conocer mejor.

“La ciencia más útil es aquella cuyo fruto es el más comunicable” 
Leonardo Da Vinci


ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries"

lunes, 12 de marzo de 2012

La AGPD presenta la herramienta “DISPONE” para administraciones públicas

Esta herramienta gratuita pretende ayudar a las administraciones a realizar los trámites necesarios para la notificación de sus ficheros. Desde el pasado 9 de Marzo está disponible a través de la web de la Agencia Española de Protección de Datos.

La normativa actual de protección de datos establece que la creación, modificación o supresión de ficheros de titularidad pública debe realizarse por medio de una disposición general publicada en el BOE o en el Diario Oficial pertinente. Sin embargo, resultaba frecuente la aparición de dudas sobre qué información se debía incluir en este tipo de disposiciones.

Mediante la aplicación “DISPONE” la AGPD pretende ayudar a las administraciones públicas a generar estas comunicaciones. Solamente es necesario ir introduciendo cierta información relativa a la identificación de la propia administración, y del procedimiento a realizar (inscripción, modificación o supresión de ficheros), y automáticamente genera un documento con toda la información que la administración debería incluir en su comunicado.