viernes, 12 de julio de 2013

El CIO como broker de servicios: gestionando entornos híbridos

IDC, en colaboración con HP y ABAST SYSTEMS, organizó el pasado 27 de Junio un encuentro con directivos de empresas y entidades públicas catalanas para debatir sobre el papel de CIO como broker de servicios. Éste es el resumen que Fernando Maldonado, el consultor de IDC que dirigió y moderó la reunión, nos hace sobre las conclusiones del evento.

---------------------------------------------



Los servicios Cloud no sólo están cambiando la forma en la que las empresas evalúan, adquirieren y despliegan tecnología, sino que también trasladan el foco de los departamentos TI hacia la entrega del servicio y la innovación.

Una organización centrada en servicios podrá favorecer el rendimiento de las aplicaciones, conseguir una mayor eficiencia de costes, mejorar la productividad del departamento TI y servir de impulso a la innovación en los procesos de la empresa.

A medida que las empresas vayan intensificando su adopción cloud y evolucione su estado de madurez mediante el desarrollo de una estrategia que abarque a toda la empresa, estas conseguirán separar la capa de servicio del modelo de despliegue y los servicios serán prestados en un entorno híbrido que será a través de cloud privada, pública o modelo tradicional en función del valor aportado y del riesgo asumido por la organización.

El papel que desempeñan los departamentos de sistemas es el de convertirse en un agente de cambio dentro de las organizaciones para lo que es necesario que se produzca un cambio de enfoque, de uno reactivo, vinculado a la actividad de soporte, a otro proactivo vinculado a detectar nuevos servicios no solo TI sino también de negocio.

Con este contexto de fondo, IDC plateó a los asistentes al almuerzo debate: ¿Cómo les afectaba esta transformación como CIOs y qué se exige de ellos?

Contexto.-

Durante el almuerzo, IDC contextualizó la adopción de Cloud y su impacto dentro de las organizaciones en torno a cinco puntos:
  • La trasformación de la industria TI está provocando que el departamento de sistemas pase de la periferia al “core” del negocio: resulta difícil encontrar un sector de actividad donde las tecnologías de información no jueguen un papel cada vez más importante en la prestación de un servicio a los clientes o un cambio de modelo de negocio. En otras palabras, es necesario que el papel que desempeñan los departamentos de sistemas pasen de una actividad de mero soporte, enfoque reactivo, a otra de impulsor del cambio, enfoque proactivo.
  • La adopción de Cloud Pública se acelera. Hasta ahora el despliegue ha estado marcado por modelos de despliegue que el mercado identifica como privados, pero son los modelos públicos los que en el corto plazo experimentan un mayor crecimiento. Esta evolución desembocará irremediablemente en la convivencia de distintos entornos dentro de la organización y la complejidad de gestionar estos entornos híbridos irán en aumento.
  • No existe un único camino a Cloud, cada empresa debe encontrar su propia vía. Las empresas encuentran dificultades en la identificación de qué cargas deben subir a Cloud pública, cuáles a Cloud privada y cuáles mantener en un modelo tradicional. La decisión sobre qué opción elegir depende fundamentalmente de factores endógenos a la empresa (ej. Criticidad de la carga, coste de entrega del servicio, valor aportado, etc.) por lo que no existen referentes claros ni sobre el modelo a utilizar ni sobre el ritmo de adopción.
  • Pasar de una aproximación táctica en Cloud a otra estratégica implica cambios en tecnología, procesos y personas. En una primera aproximación a Cloud, lo que las empresas buscan es alcanzar unos menores costes a través de una mayor eficiencia en la gestión de sus activos TI al mismo tiempo que van ganado en agilidad en la provisión de servicios TI. Una visión estratégica debe contemplar una visión trasversal de la empresa y no como un conjunto de soluciones puntuales inconexas para resolver problemas específicos.
  • A partir de ahora el foco pasa a la entrega del servicio. Los servicios Cloud están cambiando no sólo la forma en la que las empresas evalúan, adquirieren y despliegan tecnología sino que también trasladan el foco de los departamentos TI hacia la entrega del servicio. Se trata en definitiva de que los departamentos TI se orienten a servicios y para ello van a ser necesarios cambios no sólo tecnológicos sino también organizativos y culturales. Un hito imprescindible en esta reorientación a servicios es la utilización de un catálogo de servicio dinámico que incorpore conceptos de autoprovisión por parte de los usuarios.
Debate.-

Cloud promete una mayor trasparencia en costes, un servicio eficiente y un mejor soporte; pero el debate se centró en la complejidad de llevar esto a la práctica:
  • Gestión del riesgo. La evaluación de los servicios Cloud puede ser más confusa y complicada que entender unos KPIs y unos niveles de servicio dados y esto se debe a la necesidad de ir más allá, gestionando el riesgo de negocio detrás de los contratos. De este modo durante el debate las empresas se cuestionaron aspectos como:
    • ¿Existe flexibilidad en la negociación de los SLAs que permitan una mayor personalización? Las empresas consultadas por IDC señalaron que actualmente existe escasa flexibilidad y que la mayoría había llegado a acuerdos de adhesión con sus proveedores actuales de cloud, acuerdos que admiten una escasa personalización.
    • ¿Cuáles son los mecanismos que permiten verificar que los SLAs se están cumpliendo? El debate respecto a la verificación de SLAs puso de manifiesto la necesidad establecer alguna metodología que permita verificar que los acuerdos se cumplen. Además, también se trató del incremento del coste de ejercer el derecho a auditorías en el data center del proveedor por efecto de la deslocalización.
    • ¿Cuáles son los límites de las indemnizaciones cuando el proveedor no cumple con el servicio prometido? Actualmente, las empresas participantes en el debate, destacaron los limites en la responsabilidad de los proveedores, y más concretamente las indemnizaciones, eran un impedimento para subir cargas críticas a entornos Cloud. En casos de incumplimiento grave del servicio, la compensación representa en general un porcentaje del valor del contrato anual lo que es percibido como alto riesgo para su negocio.
    • ¿Cuáles son los costes de salida? Pese a que los proveedores están trabajando en una mayor estandarización que permita a los clientes moverse de una cloud a otra, los riesgos asociados actualmente a la reversibilidad del modelo siguen estando presentes y debe ser un aspecto que necesariamente debe ser negociado de antemano.
  • Cada empresa debe encontrar su propio camino a cloud. Las empresas representadas en el debate, empresas medianas y grandes, han llegado a Cloud Privada por evolución y una vez ahí comienzan…
  • Cloud por evolución. Las empresas consultadas por IDC admiten que a Cloud Privada llegan como evolución natural: primero consolidando sus data center, luego virtualizando, incorporando herramientas de automatización, orquestadores y finalmente portales de autoservicio. Estas mismas empresas destacan la necesidad de cubrir todas las etapas antes de estar en condiciones de dar el salto a Cloud, si bien algunas reconocen que la automatización y orquestación son todavía asignaturas pendientes.
  • Aprendiendo a compartir. La creciente madurez de la oferta se refleja en que las empresas tienen cada vez una mayor capacidad de elección en torno a los modelos de despliegue de Cloud. De este modo, durante los últimos años han aparecido distintos tipo de Cloud privada que van desde la Cloud privada gestionada a Cloud privada dedicada (en el segundo se comparte más que en el primero). Actualmente la demanda se está produciendo en Cloud privada gestionada donde la infraestructura es, y se ubica en instalaciones, del cliente y el proveedor se encarga de su gestión.
  • Broker de servicios. A medida que las empresas vayan intensificando su adopción Cloud, las empresas tendrán que coexistir en un entorno híbrido donde cada carga se adapte de forma dinámica al mejor modelo de despliegue en función del valor aportado y del riesgo asumido por la organización. La complejidad de gestión de estos entornos se convertirá en una de las principales prioridades de los departamentos de sistemas que tendrán que llevar a cabo una gestión del cambio en tanto que afectará no sólo a sus capacidades tecnológicas sino también a los procesos y las habilidades de las personas que componen el departamento.
  • Seguridad del dato. El principal inhibidor en la adopción del modelo Cloud sigue siendo la seguridad, entendida como seguridad del dato. Si bien, durante el debate se identificaron algunos aspectos que hacen que la sensibilidad de una empresa sea mayor o menor. Así por ejemplo, para el sector financiero, bufetes de abogados o entidades públicas la seguridad del dato resulta más crítica que para otros sectores. Detrás de esta distinción sectorial se encuentran aspectos de carácter regulatorio.
Opinión de IDC

En opinión de IDC el resumen del debate originado en torno a adopción de Cloud refleja la creciente madurez de las empresas que a pesar de reconocer tener una aproximación eminentemente táctica a Cloud apuntan a la necesidad de definir una estrategia global de empresa en un contexto en el que se están reorientando a servicios.

Que gran parte del debate se produjera en torno a la gestión de los contratos del servicio y de los riesgos y beneficios para el negocio es buena prueba de ello. Así como las contantes referencias a la necesidad de realizar una gestión del cambio que incluya tecnología, procesos y personas.

Tal y como apuntó un asistente al debate "Cloud está aquí para quedarse" y ahora es el momento de definir una estrategia en torno a su adopción.

miércoles, 22 de mayo de 2013

Cómo realizar un Plan Director de Seguridad en 5,3 pasos

Paso 1
Podemos decir de una manera genérica que el objetivo es definir, implementar y gestionar una serie de medidas o controles de seguridad que garanticen la confidencialidad, integridad, disponibilidad… de la información.
Paso 2
La pregunta a continuación sería ¿qué medidas o controles?. Estas medidas o controles han de ser de carácter técnico, organizativo, procedimental e incluso legal. La fuente de estas medidas son los requerimientos de negocio:
  • Las obligaciones legales, normas o políticas internas a las que ha de hacer frente (LOPD, SOX, PCI, ISO 27000, etc.  propiedad intelectual, aspectos contractuales con proveedores…)
  • El resultado de un análisis de riesgos en el que se defina qué riesgos existen, qué criterios de aceptación del riesgo establecemos y cómo los tratamos (aplicando controles o, por ejemplo, asumiendo, evitando o transfiriendo dichos riesgos).

Paso 3
El resultado consistirá en un conjunto de controles con sus medidas detalladas que se deberán aplicar en la organización. Controles que aplicarán a diferentes dominios de la seguridad: gestión de activos, proveedores, seguridad ligada a RR.HH, seguridad física y ambiental, gestión de comunicaciones y operaciones de TI, control de acceso…
Paso 4
Todos esos controles a mejorar o implementar se deben agrupar en función, por ejemplo, de:
  • Similitud de las medidas en cuanto a tipo de soluciones técnicas
  • Activos o dependencias a las cuales aplican las medidas
  • Por departamentos
  • Por estado de madurez, etc.

Paso 5
Estas agrupaciones resultarán en un conjunto de proyectos (ej: creación y gestión de políticas, arquitectura de red segura, aspectos jurídicos, tratamiento del malware…) que se han de evaluar, presupuestar, priorizar y planificar en un Plan Director de Seguridad.
5,1 Este enfoque garantiza un aproximación de arriba-abajo que tome como punto de partida los requerimientos del negocio.
5,2 La cuota de mercado de las herramientas y soluciones de seguridad está muy segmentada. No hay dominadores claros y sí que existen muchas soluciones de nicho de alto nivel. Por otro lado muchas soluciones parece que hacen lo mismo. Es por eso que, a la hora de escoger una solución o herramienta es imprescindible:
  • Recurrir a tests independientes y referencias de mercado que ayuden a hacer un filtrado.
  • Realizar una prueba de concepto que ayude a validar la idoneidad de la solución.

5,3 Idea final. Respecto al análisis y gestión de riesgos es importante dar un salto conceptual y empezar a pensar en ellos como una herramienta de creación de valor que debe ser un componente esencial del análisis estratégico de la empresa. Si más allá de analizar únicamente los riesgos tecnológicos nos planteamos un análisis de los riesgos operacionales, el debate


jueves, 11 de abril de 2013

Ideas para hacer un Plan Estratégico de TI

Repasando artículos interesantes en mi bandeja de entrada de Evernote, me he reencontrado con un artículo de Jerry Bishop en su blog blog.thehigheredcio.com. El artículo se titula 5 – S’s to IT Strategic Planning. Las 5 S se refieren a Strategic, Simplification, Service, Sustainability y Savings. La idea del artículo es articular un Plan Estratégico de TI entorno a estos 5 conceptos.

Resumiendo, os aconsejo que leáis el artículo, podemos decir que el Plan Estratégico debe articularse de la siguiente manera:
  • Pensar en dos o tres iniciativas para ayudar a vuestra organización a alcanzar sus objetivos estratégicos. Estos pueden ser, entre otros, el crecimiento del negocio y la mejora de los márgenes o, como decía un financiero con el que trabajé, “simplemente” vender, facturar y cobrar.
  • Pensar en cómo eliminar la complejidad y, en consecuencia, sus costes y falta de calidad asociados. En tanto que ofrecemos servicios de TI dicha complejidad puede estar presente en la tecnología, los procesos, las personas o incluso la relación con nuestros proveedores. En este punto, por tanto, podemos tener la tentación de disminuir drásticamente la complejidad asociada a la operación y gestión de nuestras TI, pero ojo con hacerlo a costa de perder totalmente el control de las mismas o de casarnos con alguien para luego acordarnos de lo bien que vivíamos solos.
  • Pensar en dos o tres servicios a mejorar que, por supuesto, estén directamente relacionados con las iniciativas encaminadas a ayudar a los objetivos estratégicos de la empresa y en los que sea posible y adecuado aplicar medidas de simplificación (eliminación de la complejidad).
  • Pensar en términos de sostenibilidad, es decir, en proyectos de continuidad y en proyectos asociados al Green IT.
  • Por último, en base a las acciones planificadas de simplificación y sostenibilidad,  estimar como pueden disminuir los costes asociados a mantener y operar las TI con el objetivo de asignar estos recursos económicos a los proyectos estratégicos. En este punto, el autor nos aconseja seguir el modelo run, grow and transform de Gartner. Por supuesto esta es la parte más compleja en tanto en cuanto hay departamentos de TI que, a estas alturas, ven comprometido el presupuesto operativo ya más que rebajado durante estos últimos años.

Cuando lo leí me pareció un artículo muy interesante porque establece de una manera clara, concisa y con sentido común el mapa básico sobre el que trabajar. Como se suele decir, si bien el mapa no es la ruta, si usamos un mapa erróneo o incompleto podemos acabar siguiendo el camino – siguiendo una moda, eligiendo el proyecto, implantando la solución, apostando por una tecnología…- equivocado.


jueves, 4 de abril de 2013

SANS Institute publica una nueva versión de los 20 controles críticos de seguridad

EL SANS Institute ha publicado una nueva versión de los 20 controles críticos de seguridad.

En el siguiente enlace podréis encontrar una descripción bastante detallada de cada uno de ellos y, en especial, de cómo los hackers pueden explotar la ausencia de los mismos y de como implementarlos, automatizarlos y medir su efectividad.


En este otro enlace podréis ver un poster con soluciones de mercado basadas en los fabricantes que han esponsorizado el estudio asociado.


Si bien es una publicación realmente muy interesante, dejadme que insista en que el objetivo de implementar y operar dichos controles es el de administrar los riesgos de seguridad de la información de las organizaciones en el marco de sus riesgos empresariales generales. 

No olvidemos, por tanto que los controles a implementar se deben basar en los resultados y conclusiones de una evaluación de riesgos previa, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de la organización en materia de seguridad de la información.

Entre otras cosas, lo anterior conlleva el establecimiento de una serie de criterios de aceptación del riegos que deben ser aprobador por la Dirección de la organización.

Para mi, la gran ventaja de esta aproximación para los departamentos de TI, es que aborda la seguridad desde el punto de vista del negocio y no desde un punto de vista puramente técnico con las ventajas que ello conlleva. dejadme que me cite a mi mismo y reproduzca un párrafo de la entrada anterior:
"...parece claro que la única manera de huir de la comoditización, y de ser vistos única y exclusivamente como un centro de coste, es creando y demostrando valor. Y la mejor manera de hacerlo es conociendo qué es importante para el negocio en general y para las diferentes áreas y sus responsables en particular.."


martes, 2 de abril de 2013

Consumerización de TI


Partamos de la premisa de que parece claro que la comoditización y consumerización de las TI está acelerando la transición hacia los servicios básicos (commodity) de TI a la vez que está permitiendo la toma de decisiones sobre TI, fuera del departamento de TI, por parte del resto de líneas o áreas de negocio de la organización.

La comoditización lleva inevitablemente al Director de TI o CIO a discutir de precios con el negocio, a que determinados servicios que presta el departamento de TI se vean únicamente cómo un coste. Esto es así porque el negocio no aprecia valor en ellos y no está dispuesto a gastar más de lo necesario por un servicio que considera básico.

La consumerización, especialmente a través de las soluciones y servicios cloud, pone al alcance de los responsables de negocio un abanico ingente de soluciones fácilmente parametrizables (aunque no necesariamente integrables) al margen del control del departamento de TI. Esto les ayuda a tener la sensación, a veces real, de que por fin las TIC se mueven a su misma velocidad, la del negocio.

Respecto de la comoditización, parece claro que la única manera de huir de ella, y de ser vistos única y exclusivamente como un centro de coste, es creando y demostrando valor. Y la mejor manera de hacerlo es conociendo qué es importante para el negocio en general y para las diferentes áreas y sus responsables en particular.

Respecto de la consumerización, el Departamento de TI tiene básicamente dos opciones. La primera consistiría en tratar de “poner puertas al campo” restringiendo el uso de tecnología internamente y, en consecuencia, acabando con la innovación que les solicita el negocio. En la segunda opción, el departamento de TI proporcionaría servicios centrales de apoyo al uso de dichas tecnologías proporcionando, además, un marco de cumplimiento, gestión e incluso operación de las mismas.

Parece claro, por tanto, que como respuesta a estas dos tendencias, el Departamento de TI debe potenciar la provisión de sus servicios profesionales de TI. Es decir, de aquellos servicios que asesoran al negocio en base la experiencia en determinadas áreas conocimiento específico.

Me estoy refiriendo a servicios de alto valor para el negocio que debe realizar o liderar el departamento de TI. Un ejemplo podría ser la realización de un Plan Director de Seguridad, de un Plan Director de Sistemas, de un Plan de Contingencia de TI (BIA y Análisis de Riesgos incluido) o de un análisis de los riesgos o implicaciones del uso de aplicaciones de social media para comunicarse con los usuarios o clientes. Incluso, y debido al carácter transversal del Departamento de TI, éste puede ser el mejor preparado para realizar un Plan de Continuidad de Negocio o un análisis de riesgos operacionales del negocio.

viernes, 22 de marzo de 2013

Gestión de Licencias de Software

Las organizaciones se gastan una fortuna en licencias cada año y muchas veces no tienen implementados los mecanismos de gestión adecuados para garantizar que 1) sólo tienen instalado software legal y 2) sólo se han comprado e instalado las licencias necesarias.


Por tanto, la gestión de las licencias de software ha de servir para garantizar que se mantiene un número óptimo de licencias para apoyar los requerimientos del negocio y que el número de licencias en propiedad es suficiente para cubrir el software instalado en uso.

La primera fase para implementar una gestión de licencias de software consiste en realizar una auditoría con el objetivo de conocer:
  • ¿Qué licencias hemos comprado y a qué contratos van asociadas?. Podemos tener licencias de todo tipo: licencias numeradas, concurrentes, asociadas a Enterprise Agreements (EA), OEM, de evaluación, free…
  • ¿Cuánto nos están costando?
  • ¿Qué instancias de software tenemos instaladas?
  • ¿Quién está usando este software?
  • Y si realmente lo está usando, ¿es necesario?

Para responder a las dos primeras preguntas sería muy bueno disponer de una herramienta de gestión de activos que permitiera a la organización gestionar de forma adecuada todo el ciclo de vida de los mismos. Si no es así, habrá que recurrir a un inventario manual. Para responder a las tres últimas, es necesario utilizar una herramienta de auditoría de software que realice el inventario de todo el software existente en los equipos.

Una vez respondidas las preguntas anteriores, es necesaria una segunda fase de análisis en la que comparemos el número de instancias de software instalado con el número de licencias de propiedadEn caso de que dichas instancias sean inferiores al número de propiedad, se deberá decidir si existe la necesidad de mantener o cancelar las licencias, teniendo en cuenta la posibilidad de ahorrar en costes de mantenimiento innecesario, capacitación y otros costes.

Cuando las instancias instaladas sean superiores a las de propiedad, será interesante plantearse la posibilidad de desinstalar licencias no necesarias o justificadas o, si es necesario, comprar las licencias que faltan para cumplir con los acuerdos de licenciamiento. La herramienta de auditoría de software nos puede ayudar a conocer el uso del software instalado y justificar la desinstalación de aquellas licencias no usadas.

Por último, en una tercera fase debemos:
  • Implementar los procesos necesarios para gestionar el ciclo de vida del software. Mantener actualizada una línea base de software comprado e instalado mediante la implementación de políticas de usuario y del proceso de gestión de peticiones de servicio que  lleven asociada una instalación, retirada o actualización de software. 
  • Asignar las responsabilidades necesarias para mantener y mejorar dicho proceso.
  • Regularmente, analizar si podemos obtener más valor para el negocio a través de la actualización o renovación de productos y licencias.




viernes, 8 de marzo de 2013

5 razones para realizar un Plan Director de Seguridad


Actualmente, las empresas y organizaciones han de hacer frente a diversos retos en lo que respecta a la gestión de la seguridad de la información.
  • Un marco de cumplimiento legal y normativo cada vez más amplio y complejo.
  • Una creciente dependencia, diversidad y complejidad tecnológica.
  • Una organización cada vez más extensa donde clientes, proveedores, partners y empleados quieren y/o necesitan acceder a información en cualquier momento y desde cualquier lugar.
  • Nuevos entornos tecnológicos, de relación y gestión como las redes sociales, la tecnología móvil, el cloud, etc.
Además, las organizaciones en general y los departamentos de TI en particular han de afrontar estos retos intentando aportar valor al negocio y ajustando los costes asociados a las Inversiones y al soporte y entrega de los servicios de TI.
Para abordar esta situación es imprescindible identificar los requerimientos de seguridad y el nivel adecuado de gestión que ha de implementar la organización. La respuesta para poder cumplir con estos requerimientos de seguridad e idoneidad consiste en la definición e implementación de controles de tipo técnico, legal, procedimental y organizativo que se han de establecer en el marco de un Plan Director de Seguridad.
El Plan Director de Seguridad nos va a permitir:
  1. Reducir los riesgos. Es necesario conocer a qué riesgos ha de hacer frente el negocio mediante un análisis de los mismos con el objetivo de eliminarlos o minimizar el impacto asociado a la materialización de las amenazas existentes.
  2. Ahorrar costes. Racionalización de los recursos en base a la eliminación de Inversiones o costes innecesarias o ineficientes debidos a la infra o sobreestimación de los riesgos.
  3. Cumplir con la legislación vigente. Aseguramiento del cumplimiento del marco legal y normativo que protege a la empresa eliminando los riesgos y sanciones asociados.
  4. Disponer de una visión integral de la seguridad desde una visión estratégica de la misma que desemboque en planes y medidas tácticas y operativas. Visión integral que permite aunar esfuerzos a la hora de implementar y gestionar controles idénticos o similares que provienen de requerimientos diferentes (LOPD, SOX, ISO27000, PCI, etc…). El objetivo final es disponer de un cuadro de mando de la seguridad que llegue a permitirnos conocer el nivel de riesgo de la organización.
  5. Mejorar la competitividad en el mercado. Mejorar la confianza en el negocio entre clientes, proveedores y socios con los que se comparte e intercambia información.

lunes, 4 de marzo de 2013

Reducción costes vs Inversión en nuevas tecnologías

El reto del CIO continúa estando relacionado con la reducción de costes versus la inversión en nueva tecnología. La idea es que es necesario recortar en algunos sitios para poder invertir en aquellos otros que puedan ayudar al negocio a ser más competitivo.

Respecto al recorte del gasto, a día de hoy ya se ha recortado en todo aquello que es obvio o fácilmente identificable, por lo que la aplicación de nuevos recortes seguramente será bastante más compleja y requerirá análisis coste-beneficio más detallados y elaborados.

Respecto a la inversión en tecnología que ayude a empujar el negocio parece claro que debe ir entorno al cloud, la tecnología móvil y el social media. Es lo que recomienda Gartner quien nos urge a encontrar dinero para invertir en estas tecnologías. De ahí la necesidad de recortar en otros sitios.

¿Dónde podemos recortar u optimizar el departamento de TI?. Básicamente en ideas o medidas que ya están aplicando la mayoría de empresas en mayor o menor medida:

  • Racionalizando el uso de la infraestructura. Eliminando infraestructura duplicada o infrautilizada, consolidando centros de datos.
  • Racionalizando el uso de aplicaciones. Cuestionando su utilización por que no son estratégicas, su mantenimiento es muy caro, se utiliza un porcentaje bajo toda su funcionalidad, su función la realiza otra aplicación o el ERP de turno, etc. En definitiva, intentando maximizar todo el potencial o la inversión de dichas aplicaciones y de la infraestructura que las soporta.
  • Monitorizando el uso del software para racionalizar el coste de licenciamiento.
  • Monitorizando el nivel de servicio de los proveedores y revisando los contratos y procesos asociados a la adquisición de dichos servicios.
  • Mejorando la eficiencia en base a la optimización de los procesos de gestión de la organización de TI. Implementando mejoras rápidas (el tan manido concepto de quick wins) y haciendo participe a los usuarios en la reingeniería de dichos procesos.

Para todo lo anterior es imprescindible tener un conocimiento profundo de qué servicios de TI ofrecemos, cómo los estamos soportando y entregando y cómo están ayudando a los procesos de negocio de la organización.

Respecto a la inversión que nos propone Gartner, es imprescindible que el CIO tome el liderazgo tecnológico con el fin de garantizar el buen gobierno y gestión de las TIC gracias a su visión transversal de los procesos de la compañía. ¿Por qué?. Básicamente porque las líneas de negocio  y los usuarios cada vez tienen la posibilidad de disponer de más tecnología por sí mismos y de hacerlo al margen del departamento de TI. De nuevo, según Gartner, a final de la década, un muy alto porcentaje del gasto en tecnología de las empresas se realizará fuera de TI.