jueves, 11 de abril de 2013

Ideas para hacer un Plan Estratégico de TI

Repasando artículos interesantes en mi bandeja de entrada de Evernote, me he reencontrado con un artículo de Jerry Bishop en su blog blog.thehigheredcio.com. El artículo se titula 5 – S’s to IT Strategic Planning. Las 5 S se refieren a Strategic, Simplification, Service, Sustainability y Savings. La idea del artículo es articular un Plan Estratégico de TI entorno a estos 5 conceptos.

Resumiendo, os aconsejo que leáis el artículo, podemos decir que el Plan Estratégico debe articularse de la siguiente manera:
  • Pensar en dos o tres iniciativas para ayudar a vuestra organización a alcanzar sus objetivos estratégicos. Estos pueden ser, entre otros, el crecimiento del negocio y la mejora de los márgenes o, como decía un financiero con el que trabajé, “simplemente” vender, facturar y cobrar.
  • Pensar en cómo eliminar la complejidad y, en consecuencia, sus costes y falta de calidad asociados. En tanto que ofrecemos servicios de TI dicha complejidad puede estar presente en la tecnología, los procesos, las personas o incluso la relación con nuestros proveedores. En este punto, por tanto, podemos tener la tentación de disminuir drásticamente la complejidad asociada a la operación y gestión de nuestras TI, pero ojo con hacerlo a costa de perder totalmente el control de las mismas o de casarnos con alguien para luego acordarnos de lo bien que vivíamos solos.
  • Pensar en dos o tres servicios a mejorar que, por supuesto, estén directamente relacionados con las iniciativas encaminadas a ayudar a los objetivos estratégicos de la empresa y en los que sea posible y adecuado aplicar medidas de simplificación (eliminación de la complejidad).
  • Pensar en términos de sostenibilidad, es decir, en proyectos de continuidad y en proyectos asociados al Green IT.
  • Por último, en base a las acciones planificadas de simplificación y sostenibilidad,  estimar como pueden disminuir los costes asociados a mantener y operar las TI con el objetivo de asignar estos recursos económicos a los proyectos estratégicos. En este punto, el autor nos aconseja seguir el modelo run, grow and transform de Gartner. Por supuesto esta es la parte más compleja en tanto en cuanto hay departamentos de TI que, a estas alturas, ven comprometido el presupuesto operativo ya más que rebajado durante estos últimos años.

Cuando lo leí me pareció un artículo muy interesante porque establece de una manera clara, concisa y con sentido común el mapa básico sobre el que trabajar. Como se suele decir, si bien el mapa no es la ruta, si usamos un mapa erróneo o incompleto podemos acabar siguiendo el camino – siguiendo una moda, eligiendo el proyecto, implantando la solución, apostando por una tecnología…- equivocado.


jueves, 4 de abril de 2013

SANS Institute publica una nueva versión de los 20 controles críticos de seguridad

EL SANS Institute ha publicado una nueva versión de los 20 controles críticos de seguridad.

En el siguiente enlace podréis encontrar una descripción bastante detallada de cada uno de ellos y, en especial, de cómo los hackers pueden explotar la ausencia de los mismos y de como implementarlos, automatizarlos y medir su efectividad.


En este otro enlace podréis ver un poster con soluciones de mercado basadas en los fabricantes que han esponsorizado el estudio asociado.


Si bien es una publicación realmente muy interesante, dejadme que insista en que el objetivo de implementar y operar dichos controles es el de administrar los riesgos de seguridad de la información de las organizaciones en el marco de sus riesgos empresariales generales. 

No olvidemos, por tanto que los controles a implementar se deben basar en los resultados y conclusiones de una evaluación de riesgos previa, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de la organización en materia de seguridad de la información.

Entre otras cosas, lo anterior conlleva el establecimiento de una serie de criterios de aceptación del riegos que deben ser aprobador por la Dirección de la organización.

Para mi, la gran ventaja de esta aproximación para los departamentos de TI, es que aborda la seguridad desde el punto de vista del negocio y no desde un punto de vista puramente técnico con las ventajas que ello conlleva. dejadme que me cite a mi mismo y reproduzca un párrafo de la entrada anterior:
"...parece claro que la única manera de huir de la comoditización, y de ser vistos única y exclusivamente como un centro de coste, es creando y demostrando valor. Y la mejor manera de hacerlo es conociendo qué es importante para el negocio en general y para las diferentes áreas y sus responsables en particular.."


martes, 2 de abril de 2013

Consumerización de TI


Partamos de la premisa de que parece claro que la comoditización y consumerización de las TI está acelerando la transición hacia los servicios básicos (commodity) de TI a la vez que está permitiendo la toma de decisiones sobre TI, fuera del departamento de TI, por parte del resto de líneas o áreas de negocio de la organización.

La comoditización lleva inevitablemente al Director de TI o CIO a discutir de precios con el negocio, a que determinados servicios que presta el departamento de TI se vean únicamente cómo un coste. Esto es así porque el negocio no aprecia valor en ellos y no está dispuesto a gastar más de lo necesario por un servicio que considera básico.

La consumerización, especialmente a través de las soluciones y servicios cloud, pone al alcance de los responsables de negocio un abanico ingente de soluciones fácilmente parametrizables (aunque no necesariamente integrables) al margen del control del departamento de TI. Esto les ayuda a tener la sensación, a veces real, de que por fin las TIC se mueven a su misma velocidad, la del negocio.

Respecto de la comoditización, parece claro que la única manera de huir de ella, y de ser vistos única y exclusivamente como un centro de coste, es creando y demostrando valor. Y la mejor manera de hacerlo es conociendo qué es importante para el negocio en general y para las diferentes áreas y sus responsables en particular.

Respecto de la consumerización, el Departamento de TI tiene básicamente dos opciones. La primera consistiría en tratar de “poner puertas al campo” restringiendo el uso de tecnología internamente y, en consecuencia, acabando con la innovación que les solicita el negocio. En la segunda opción, el departamento de TI proporcionaría servicios centrales de apoyo al uso de dichas tecnologías proporcionando, además, un marco de cumplimiento, gestión e incluso operación de las mismas.

Parece claro, por tanto, que como respuesta a estas dos tendencias, el Departamento de TI debe potenciar la provisión de sus servicios profesionales de TI. Es decir, de aquellos servicios que asesoran al negocio en base la experiencia en determinadas áreas conocimiento específico.

Me estoy refiriendo a servicios de alto valor para el negocio que debe realizar o liderar el departamento de TI. Un ejemplo podría ser la realización de un Plan Director de Seguridad, de un Plan Director de Sistemas, de un Plan de Contingencia de TI (BIA y Análisis de Riesgos incluido) o de un análisis de los riesgos o implicaciones del uso de aplicaciones de social media para comunicarse con los usuarios o clientes. Incluso, y debido al carácter transversal del Departamento de TI, éste puede ser el mejor preparado para realizar un Plan de Continuidad de Negocio o un análisis de riesgos operacionales del negocio.