22 febrero 2007

El valor de los servicios

Hace algunos días leí una artículo que me llamó la atención. Básicamente, venía a decir que para calcular el ROI en infraestructuras no sólo hay que tener en cuenta el propio valor y los beneficios que aportan las tecnologías, sino que hay que estimar los beneficios que dichas tecnologías aportan al negocio.

La filosofía que plantea el artículo es sencilla: No sólo hay que contemplar los gastos directos e indirectos, sino también los beneficios directos e indirectos. El problema es que los gastos son fáciles de calcular (al menos, a priori), mientras que calcular los beneficios indirectos, y cuantificarlos en dinero, suele ser algo bastante más complejo. Soluciones sencillas no hay, pero aquí dejo un par de métodos que pueden ser útiles a la hora de ayudarnos a tomar una decisión.

El primero de ellos es pensar en la externalización completa del elemento a valorar. Cuál es el coste directo e indirecto? Podemos hacer un ejercicio teórico, y es pensar en los costes que supondría un BPO (externalización de los procesos de negocio) completo. De esa forma, los cálculos de costes directos e indirectos ya los ha realizado el proveedor, y nosotros podremos identificar más fácilmente tanto los beneficios directos (qué me ahorro si no tengo que realizar yo dicho proceso?) como los indirectos (en qué me se beneficiaría mi negocio de que un experto externo realizase ese proceso?). Además, el propio ejercicio nos ayuda a analizar lo que tenemos, ya que el hipotético proveedor nos tiene que definir las funcionalidades y servicios adicionales que nos va a proporcionar dicha externalización, y por tanto nos ayuda a identificar esos beneficios de negocio. Eso sí, este ejercicio sólo es válido a la hora de hablar de BPO, ya que una externalización parcial no nos libraría de muchos de los gastos indirectos que pueda ocasionar el outsourcing que planteamos.

Otra posibilidad es llevar a cabo un pequeño análisis de riesgos. O más en concreto, desarrollar el modelo de valor de un análisis de riesgos. Identificar tus activos, analizar sus interrelaciones, establecer los criterios de valoración de dichos activos y finalmente valorarlos. De ese modo, además de haber analizado dónde radica el valor de tu negocio también habrás identificado las dependencias que tiene el negocio en relación a la infraestructura tecnológica, y si ves cómo puede afectar la tecnología en el negocio, a la inversa puedes identificar cómo el negocio se puede beneficiar de la tecnología.

En resumen, si queremos calcular los beneficios que puede tener una inversión a nivel de negocio tendremos que conocer cómo se desarrolla nuestro negocio. Y tenemos dos opciones: o compararnos con los análisis que nos dan otros, o llevar a cabo nuestro propio análisis. Y aun así, sólamente tendremos un dato más en el que basarnos para tomar decisiones. La bola de cristal empresarial todavía no se ha inventado...

14 febrero 2007

Publicada ISO 27006

Ayer mismo se publicó la norma ISO/IEC 27006:2007, tal y como se puede comprobar en la propia web de ISO. Esta norma define los requisitos exigibles a los organismos certificadores de SGSIs, y por tanto regula definitivamente el proceso de acreditación. Además, esta norma también servirá para aclarar en cierta medida los términos en los que debe interpretarse la ISO 27001 desde el punto de vista de la auditoría.

Parece que hoy estamos de enhorabuenas, en términos de noticias relacionadas con SGSIs. Y probablemente uno de los organismos que más contentos pueda estar es el propio AENOR, que ve su trabajo de certificación reforzado por la subvención estatal y su posibilidad de acreditación abierta tras la publicación definitiva de esta norma. Ahora le toca a ENAC hacer los deberes...

Subvenciones estatales para SGSIs

Creo que deberíamos alegrarnos de noticias como esta. Tal y como refleja ISO27000.es, dentro del Programa InnoEmpresa se apoya a las pymes (y organismos intermedios) en la “implantación y certificación” de “Sistemas de Gestión de la Seguridad de la Información (Norma ISO 27001 o eventuales desarrollos posteriores)”. Este programa se establece en el Real Decreto 1579/2006, y ha salido publicado en el BOE núm. 29 de este año (fechado el viernes 2 de febrero de 2007). El programa tiene vigencia durante el periodo 2007-2013, y la cuantía de las ayudas puede llegar hasta el 50% en ayudas blandas (consultoría externa, por ejemplo) y hasta un tope máximo de 18000 € (55000 para organismos intermedios y superiores en ambos casos si fueran proyectos suprarregionales).

Para más información, recomiendo la lectura del propio Real Decreto.

09 febrero 2007

CMDB, la solución

Llevo una temporada en la que, sin saber muy bien cómo, acabo metido en debates interminables que son más filosóficos que otra cosa. Y uno de los más recurrentes ha sido el relativo a la CMDB.

La CMDB es un concepto que introduce ITIL / ISO 20000 para facilitar la gestión de los servicios IT. Estrictamente, no es más que una base de datos que soporta la gestión de la configuración de los activos IT. El problema viene cuando nos adentramos en el término “configuración”. Qué es exactamente la configuración? Pues todo. Lo primero que se nos viene a la cabeza son atributos como marca, modelo, numero de serie, componentes, software instalado, procesos en ejecución o contenido de los ficheros de configuración. El problema es que la CMDB debe contemplar más que eso. Debe ser capaz de modelizar las relaciones entre activos IT y negocio, y por tanto debe definir la configuración de nuestras redes, servicios e incluso modelo de negocio en relación con los sistemas IT. Y llegados a este punto es donde las CMDBs que actualmente se comercializan empiezan a desbarrar. Es imposible desarrollar estos modelos utilizando como punto único de partida herramientas de inventario, y la capacidad que ofrecen actualmente las CMDBs para configurar un modelo de negocio relacional consistente con estos inventarios es muy limitada. Por no decir que la cohesión automática de ambos mundos es utópica, a día de hoy.

Entonces, por qué afirmo que la CMDB es la solución? Porque una CMDB que respondiera de forma efectiva a las necesidades de modelizar el negocio desde los servicios hasta los activos IT supondría un importante punto de inflexión en la gestión de las organizaciones. Los directores estarían en situación de identificar el grado de dependencia del negocio con los activos IT, los departamentos TIC podrían saber las implicaciones reales que puede tener un cambio de configuración sobre el propio negocio, y a más bajo nivel sería una herramienta ideal para identificar, en caso de caída de un switch departamental, qué procesos de negocio se pueden ver afectados, por poner un ejemplo.

Además, la CMDB es una herramienta básica a la hora de realizar un análisis de riesgos. Porque para realizar un correcto análisis de riesgos, el valor de los activos va a depender de los procesos de negocio que soporten o en los que intervengan, y las amenazas habrá que mitigarlas para todos los activos que participan en los servicios si queremos que los procesos que sustentan el negocio se desarrollen de forma segura. Integrar la CMDB como motor de clasificación de activos en una herramienta de análisis de riesgos sería clave para ser capaces de identificar, de forma automática, cómo un cambio en la configuración de un servidor web, por ejemplo, puede provocar la aparición de nuevos riesgos tecnológicos en nuestro negocio. Lamentablemente, ni las CMDBs son lo suficientemente maduras, ni están suficientemente integradas con las herramientas de análisis de riesgos. Pero no desesperemos; se ve luz al final del túnel. La herramienta de análisis de riesgos EAR / PILAR, aunque no desarrolla completamente este concepto, ya implementa un modelo relacional como punto de partida para el análisis de riesgos. Y tarde o temprano los fabricantes de CMDBs se darán cuenta de que las amenazas a las que está sujeto un activo pueden constituir un ítem de configuración tan válido como un número de factura o el coste económico de dicho activo. Además, así descubrirán que incluso se puede reintroducir la gestión de la seguridad en los procesos de ITIL, a través de las herramientas que venden como ITIL-Compliance…

06 febrero 2007

Habemus reglamento?

Ayer publicaban en VNUnet una noticia esperanzadora, en términos de LOPD. Por boca del actual ministro de justicia, Juan Fernando López Aguilar, el nuevo reglamento de medidas de seguridad para la LOPD se aprobará “en el actual periodo de sesiones del Parlamento”. Es cierto que es un margen de tiempo amplio, y que su sustitución al frente de la cartera de Justicia disminuye la fiabilidad que debería tener dicho compromiso, pero al menos es la primera vez que se habla de plazos de aprobación desde fuentes ministeriales. De todos modos, en Terra se hacen eco de la misma noticia, y aunque en este caso el compromiso es del Gobierno, el plazo citado es “esta legislatura”. Y de fondo, la pregunta que me planteo es: ¿Si la noticia es la misma, cómo se produce esa divergencia? No parten del mismo comunicado de prensa? De la misma entrevista? A ver si va a resultar que la fiabilidad de la información suministrada no es suficiente… ¿Falta seguridad de la información?

01 febrero 2007

Tendencias para 2007

Martín Pérez publicó el pasado 23 de Enero un interesante post en el que se hacía eco de las opiniones de Hitachi Data Systems sobre tendencias para el 2007. Me gustaría comentar algunas de ellas, dado su especial interés dentro de la materia tratada en este blog:

  • Aumenta la presión por ajustar TI y Negocios: Parece evidente que esta es una tendencia creciente en los últimos tiempos. De hecho, la aparición y consolidación de referencias como ITIL, ISO 20000 o CMMI for Services no hacen más que ratificar esa tendencia. Y es algo obvio, si tenemos en cuenta la creciente dependencia que presentan las empresas en relación a su área TIC y la necesidad de justificar y optimizar las inversiones realizadas en esta materia.
  • Continuidad de Negocio: Era de esperar la inclusión de este apartado, sobre todo si tenemos en cuenta el creciente número de desastres naturales (y otros de origen humano) que se han venido sufriendo a lo largo de todo el mundo durante el año pasado. Pero no sólo este es un factor clave, ya que los planes de continuidad de negocio provocan un significativo aumento de la sensación de seguridad en términos de negocio en muchos directivos. Y si la organización se lo puede permitir, este factor subjetivo ayuda enormemente a la consolidación de esta tendencia.
  • Aumento de las normativas: Es previsible que en una sociedad empresarialmente madura surjan preocupaciones sobre el modo de mantener la relativa tranquilidad que impera actualmente. Y una de las técnicas más tranquilizadoras consiste en establecer normativas y regulaciones que ayuden a que, en términos de mínimos, todo siga tal y como está ahora. Aunque me gustaría añadir que no sólo desde el imperativo legal, sino desde un mercado que exige crecientes garantías y al que las distintas certificaciones parecen satisfacer.
  • La Gestión del Ciclo de Vida de la Información (ILM) se convertirá en un concepto reiterativo: La sociedad de la información cada vez lo es más, y esta creciente dependencia de la información (que no los datos) ha provocado la aparición de filosofías que buscan su óptima gestión. Y si las combinamos con una gestión de su seguridad, en términos amplios, nos encontramos con dos mundos que terminarán tarde o temprano por converger…
  • Aumentan los hosts de seguridad: De la mano de la creciente preocupación por la seguridad informática, y respaldado por el impulso de los fabricantes de sistemas de seguridad, es previsible que este aumento se mantenga a corto y medio plazo. El problema es que este aumento, aunque parezca mentira, no conlleva una disminución equivalente de la sensación de inseguridad que provoca la compra de estos aparatos. ¿Conseguirán los fabricantes dar con la clave? O es que los hosts de seguridad no son suficiente? Falta quizás algo de gestión?

Como se puede ver, ciertas tendencias en el mundo IT parecen encajar con la temática de este blog. Gestión de la seguridad, continuidad de negocio, gestión de servicios IT… ¿Querrá decir que el número de lectores seguirá aumentando con el paso del tiempo? Esperemos que sí! Es toda una satisfacción ver cómo las visitas van aumentando con el paso del tiempo.