09 febrero 2007

CMDB, la solución

Llevo una temporada en la que, sin saber muy bien cómo, acabo metido en debates interminables que son más filosóficos que otra cosa. Y uno de los más recurrentes ha sido el relativo a la CMDB.

La CMDB es un concepto que introduce ITIL / ISO 20000 para facilitar la gestión de los servicios IT. Estrictamente, no es más que una base de datos que soporta la gestión de la configuración de los activos IT. El problema viene cuando nos adentramos en el término “configuración”. Qué es exactamente la configuración? Pues todo. Lo primero que se nos viene a la cabeza son atributos como marca, modelo, numero de serie, componentes, software instalado, procesos en ejecución o contenido de los ficheros de configuración. El problema es que la CMDB debe contemplar más que eso. Debe ser capaz de modelizar las relaciones entre activos IT y negocio, y por tanto debe definir la configuración de nuestras redes, servicios e incluso modelo de negocio en relación con los sistemas IT. Y llegados a este punto es donde las CMDBs que actualmente se comercializan empiezan a desbarrar. Es imposible desarrollar estos modelos utilizando como punto único de partida herramientas de inventario, y la capacidad que ofrecen actualmente las CMDBs para configurar un modelo de negocio relacional consistente con estos inventarios es muy limitada. Por no decir que la cohesión automática de ambos mundos es utópica, a día de hoy.

Entonces, por qué afirmo que la CMDB es la solución? Porque una CMDB que respondiera de forma efectiva a las necesidades de modelizar el negocio desde los servicios hasta los activos IT supondría un importante punto de inflexión en la gestión de las organizaciones. Los directores estarían en situación de identificar el grado de dependencia del negocio con los activos IT, los departamentos TIC podrían saber las implicaciones reales que puede tener un cambio de configuración sobre el propio negocio, y a más bajo nivel sería una herramienta ideal para identificar, en caso de caída de un switch departamental, qué procesos de negocio se pueden ver afectados, por poner un ejemplo.

Además, la CMDB es una herramienta básica a la hora de realizar un análisis de riesgos. Porque para realizar un correcto análisis de riesgos, el valor de los activos va a depender de los procesos de negocio que soporten o en los que intervengan, y las amenazas habrá que mitigarlas para todos los activos que participan en los servicios si queremos que los procesos que sustentan el negocio se desarrollen de forma segura. Integrar la CMDB como motor de clasificación de activos en una herramienta de análisis de riesgos sería clave para ser capaces de identificar, de forma automática, cómo un cambio en la configuración de un servidor web, por ejemplo, puede provocar la aparición de nuevos riesgos tecnológicos en nuestro negocio. Lamentablemente, ni las CMDBs son lo suficientemente maduras, ni están suficientemente integradas con las herramientas de análisis de riesgos. Pero no desesperemos; se ve luz al final del túnel. La herramienta de análisis de riesgos EAR / PILAR, aunque no desarrolla completamente este concepto, ya implementa un modelo relacional como punto de partida para el análisis de riesgos. Y tarde o temprano los fabricantes de CMDBs se darán cuenta de que las amenazas a las que está sujeto un activo pueden constituir un ítem de configuración tan válido como un número de factura o el coste económico de dicho activo. Además, así descubrirán que incluso se puede reintroducir la gestión de la seguridad en los procesos de ITIL, a través de las herramientas que venden como ITIL-Compliance…

16 comentarios:

Anónimo dijo...

Me ha gustado.
Salu2,
Alerma

Anónimo dijo...

Le damos la vuelta a tu planteamiento.

¿Te imaginas una CMDB gestionando las dependencias de los elementos de red igual que Spectrum o Openview? ¿Y los usuarios y perfiles sin AD?

hay procesos que tienen valor si se ejecutan el 100% de las veces, y el valor de hacerlo un 99% cae a nulo. Además, creo que para que un repositorio sea actualizado tiene que tener valor en la gestión diaria, no únicamente para consultarlo "si sucede que..." AD gestiona permisos, Openview la red... así que tengo una razón MUY fuerte para mantenerlos actualizados.

jalmor dijo...

Comentaros una nueva vision para el CMDB. Yo trabajo en una compañía que acaba de desarrollar un CMDB basado en metadatos.

Es decir un repositorio de metadatos que gestiona los "Configuration ITEMS" y sus relaciones.

Al pensar el CMDB como repositorio de metadatos, tenemos dos cosas buenas:
*.El metaCMDB recibirá los datos criticos del negocio que le dan las herramientas existentes como el Openview que comentais.
*.Por otro lado no hay problema de relacionar metadatos de elementos de TI con elementos no TI.

Anónimo dijo...

EAR/PILAR es un software de gestión de riesgos orientado a la Administración Pública, y por tanto es al menos complicado hacerse con una licencia operativa, que permita hacer un plan gestor de riesgos de cero. ¿Recomiendas alguna alternativa a este software y que sea tan completa?
Muy bueno tu blog.
Un saludo

Joseba Enjuto dijo...

Vaya, qué desatendido tenía este post. No sé si voy a poder contestar a todos los comentarios de una vez...

Empezando por el último, actualmente PILAR también es una herramienta para empresa privada, y las licencias se venden en la propia web (www.ar-tools.com). Y en versión más artesanal, un simple excel bien encadenado (al estilo de magerit v1) también podría servir. Al fin y al cabo, lo importante es saber por qué ponemos los valores...

En cuanto a cómo implementar una CMDB, está claro que lo ideal sería que integrase todo y encima de forma automática. Lo difícil es llevarlo a cabo, y por éso las suites que "venden" CMDBs de este tipo son tan caras (y luego no suelen cumplir todo lo que prometen). Me gusta la idea de modelizar la CMDB en forma de metadatos, aunque si es muy centralizado puede que choque un poco con el concepto de FCMDB (CMDB federada) que parece que se está imponiendo para entornos complejos. De todas formas, mantenednos al tanto de cómo va evolucionando el mercado de herramientas, que seguro que todos estamos interesados.

Saludos,

Joseba Enjuto

Joseba Enjuto dijo...

Leo y Angélica,

La publicación de comentarios en el blog está prevista para hacer comentarios sobre los post publicados, no para incluir vínculos sin relación directa con la temática. Por favor, tenedlo en cuenta.

Maria dijo...
Este comentario ha sido eliminado por un administrador del blog.
Joseba Enjuto dijo...

Hola, María,
Me parece aceptable difundir el evento, gratuito, a través del blog, pero una vez finalizado el mes eliminaré el comentario asociado.
Saludos,
Joseba

Anónimo dijo...

Buenas tardes, soy nueva en esto, son ingeniera tecnica de informatica, he realizado cursos de ITIL, pero acabo de entrar en una empresa y me han encargado el tema de CMDB, agradeceria un ejemplo sencillo de una cmdb de una empresa de software, es para hacerme una idea. Son muchos conceptos... Disculpad de antemano, el no poder aportar nada, sino todo lo contrario, pedir...

Os dejo mi correo, por si queréis contactar:
carla.nunez.fernandez@gmail.com

Muchas gracias

Saludos.

Joseba Enjuto dijo...

Hola, Carla,

Te recomiendo echarle un vistazo a los ejemplos/demo que incluyen algunos paquetes de SW para CMDB. En versión libre, tanto OneCMDB como CMDBuild te pueden servir de referencia.

Anónimo dijo...

Muchas gracias por la ayuda. Saludos

Anónimo dijo...

Carla

Anónimo dijo...

Estoy trabajando con Pilar Ear, el cual permite una evaluación de 30 días; sin embargo, me parece tiempo muy corto para entender la aplicación, sobre todo por las limitaciones que tiene la licencia de evaluación.

Sabe alguien la forma de extender el tiempo o utilizar una licencia full sin pago.

saludos.

Joseba Enjuto dijo...

Desconozco el sistema actual de licenciamiento de PILAR, pero supongo que la única forma será negociarlo directamente con el fabricante.

Rosa Familia Coronada dijo...

cual seria una herramienta cmdb

Joseba Enjuto dijo...

Hola, Rosa,

Hay herramientas CMDB gratuitas, como las dos que he indicado en uno de los comentarios anteriores, y también las hay de pago. Muchas de ellas las podrás encontrar como módulos de alguna "herramienta ITSM", con mayor o menor grado de integrabilidad.

Saludos,

Joseba