29 noviembre 2011

Procesos y actividades

Con los conceptos aparentemente más sencillos suelen surgir las dudas filosóficas más profundas. Uno de estos casos, siempre recurrente, es el asociado al concepto de proceso.

En sí mismo, un proceso no es más que un conjunto de actividades realizadas de manera coordinada para conseguir un fin. En términos de organización empresarial, además, consideramos que ese conjunto de actividades se realiza para transformar una serie de entradas (inputs) en algo diferente, las salidas (outputs), aportando un valor añadido en dicha transformación (el fin buscado). Parece sencillo, verdad?

Las dudas surgen habitualmente al hablar del "tamaño" del proceso. ¿Cuál es el número mínimo de actividades que hay que "agrupar" para hablar de proceso? ¿Y qué ocurre cuando hablamos de sub-procesos? No obstante, cuando los pilares del concepto se empiezan a tambalear es cuando nos damos cuenta de las implicaciones existentes en función del "tipo de salidas" que produce, que pueden ser tanto productos como servicios. Y por si fuera poco, a alguien se le ocurre meter en este poutpurri el concepto de procedimiento, para terminar de liar las cosas...

Pero si lo pensamos bien, veremos que el tema tampoco es tan complejo:
  • Un procedimiento es la forma de hacer algo. Lo más habitual es que sea un documento donde se explica cómo se hace algo. Y ése algo puede ser tanto una única actividad (apretar una tuerca) como un proceso completo (por ejemplo, montar una mesa). Por lo tanto, es un elemento "colateral" a cualquier actividad o conjunto de actividades.
  • La diferencia entre actividad y sub-proceso y proceso es más sutil, ya que radica en el concepto de "valor añadido". Por poner un ejemplo, montar un coche puede ser un proceso, considerando que uno de sus sub-procesos puede ser montar el motor, ya que también aporta un valor añadido concreto, aunque menor. Una pista suele ser que el resultado (output) de cualquier sub-proceso es algo concreto, identificable de forma individual. Otra pista puede ser que las personas y/o los recursos que se utilizan para realizar cada sub-proceso son diferentes. Otra más sería que en el punto en el que se produce la salida de un sub-proceso se realiza una verificación de su resultado, ya que su correcta o incorrecta realización depende de ese sub-proceso en cuestión. Pero quizás la definición más elegante pueda ser que un conjunto de actividades sólo puede tener entidad de sub-proceso si la gestión requerida por el hecho de serlo genera menos carga que el valor que aporta en su conjunto. En cualquier caso, es el concepto más subjetivo de todos.
  • La relación entre procesos, servicios y productos es sencilla: la salida de cualquier proceso siempre va a ser un producto o servicio (o al menos parte de él). Por tanto, puede haber procesos "materiales" (la salida es un producto) e "inmateriales" (la salida es un servicio). Pero no los confundamos, sobre todo en este último caso: las actividades son el proceso, los resultados de esas actividades son el servicio.
  • Y por último, no olvidemos la cantidad de parámetros que podemos encontrar en un proceso:
    • Objetivos (fin del proceso)
    • Condicionantes (exigencias que afectan al proceso: propias, de clientes, legales, etc.)
    • Entradas
    • Actividades que lo componen
    • Recursos (materiales y humanos)
    • Registros (resultados parciales de las actividades)
    • Salidas (resultados del proceso completo)
    • Indicadores (parámetros que permiten medir el funcionamiento del proceso)
¿Ahora está más claro? Espero que el post haya sido de ayuda...

22 noviembre 2011

Continuidad preventiva

Es curioso ver que, en un mundo que cada vez avanza más deprisa, hay ciertos temas que parecen atemporales, como si el paso del tiempo estuviera detenido para ellos. Y lo más llamativo es que sólo la periódica aparición de deja-vus te recuerda que todo sigue igual, que el mundo parece no haber evolucionado nada en ese ámbito.

Uno de estos temas es el relacionado con la continuidad de negocio. O mejor dicho, con la forma de abordar la continuidad del negocio por parte del sector de la consultoría. Echando la vista atrás, hace más de 4 años que en este mismo blog criticaba la visión reactiva de la continuidad que tienen algunos autores. Y hoy es el día que me encuentro con un estupendo artículo titulado Gestión integral de crisis: La nueva Continuidad de Negocio que, escrito el pasado mes, viene a decir prácticamente lo mismo. ¿Qué estamos haciendo mal? ¿Por qué no hemos evolucionado nada en estos últimos 5 años?

De todos modos, este caso me parece especialmente hiriente, ya que ni siquiera hemos hecho caso a la sabiduría popular, que desde tiempos inmemoriales incluye en el refranero el máximo exponente de esta filosofía: "más vale prevenir que curar". ¿Por qué no somos capaces de incorporar el conocimiento histórico adquirido en las "nuevas" filosofías de gestión?

A partir de ahora, además, se abre un nuevo campo en el que aplicar la filosofía de la continuidad: la protección de las infraestructuras críticas. Quizás no sea nuevo en el fondo, pero sí que se ha renovado en la forma, en cómo encarar el problema, en cómo gestionarlo. ¿Seremos capaces de aplicar por fín la filosofía preventiva a la continuidad de estas infraestructuras? ¿Nos obligará su singularidad (son críticas por definición) o el coste de las medidas reactivas a cambiar la forma de afrontar este ámbito de la continuidad? ¿O no seremos capaces de aprender de nuestros errores? Espero que en esta ocasión aprendamos... por el bien de todos.

21 noviembre 2011

Seguridad multimedia

Todo evoluciona. Incluso la seguridad de la información, un tema que, seamos sinceros, no es especialmente interesante para el público en general, se puede hacer más atractivo y cercano con el correspondiente "toque multimedia". Y como a mí no se me dan demasiado bien esas herramientas, prefiero dejaros un par de referencias multimedia sobre seguridad de la información de dos reconocidos actores del sector.

La primera de ellas es un webinar sobre la implantación de un SGSI basado en ISO 27001, gratuito, impartido por Dejan Kosutic, en el que se va a profundizar en las similitudes, diferencias y convergencias entre la ISO 27001 y la ISO 9001. El único inconveniente para los hispano-hablantes es que el webinar se imparte en inglés, aunque no creo que a la mayoría les deba suponer demasiado problema en un sector en el que el spanglish es casi una obligación...

La segunda referencia es la intypedia, y en particular la última lección publicada hasta el momento, sobre el análisis y gestión de riesgos. Un complemento perfecto al webinar anterior que se centra en el núcleo del análisis de riesgos, y que cuenta con el guión de un reconocido experto en la materia como es Jose A. Mañas.

En definitiva, una forma más amena de acercarse al mundo de la seguridad, por si la versión "clásica" en modo texto no nos gusta demasiado...

Y ya que hablamos de contenido multimedia, no puedo dejar de referenciar las ponencias de ENISE, cuyos vídeos ya están disponibles. Espero que las disfrutéis...

08 noviembre 2011

ITIL en la vida cotidiana

Aunque a veces no nos damos cuenta, el mundo de la gestión TIC es muy pequeño. Para el común de los mortales, completamente desconocido. Pero además es un mundo muy endogámico, del que muchas veces nos cuesta trabajo salir.

Por eso, hoy quiero plantear una simple propuesta: ¿Cuántos servicios utilizáis en vuestra vida cotidiana, en vuestro día a día? ¿Os habéis planteado alguna vez cómo sería su gestión siguiendo las directrices de ITIL / ISO 20000?

Pensemos en la sanidad. Cuando nos ponemos enfermos... no tenemos, en realidad, una incidencia? ¿Qué pasaría si la atención primaria fuese nuestro CAU? Os imagináis a un médico de cabecera, al que le hayan asignado nuestra "incidencia", haciendo el seguimiento de nuestro tatamiento de principio a fin? Quizás podría mejorar el servicio prestado, aunque... qué os parece eso de no tener un médico de cabecera asignado, sino un pool de médicos atendiendo? Pero si seguimos un poco más allá... ¿Podríamos ver las operaciones de quirófano como un cambio/entrega? ¿Os gustaría que la sanidad tuviese una CMDB en la que cada uno de nosotros fuera un elemento de configuración? Y para rizar el rizo... ¿En qué consitiría el proceso de relaciones con el negocio (con los clientes)? ¿Realmente la sanidad se preocuparía por nuestra satisfacción real?

Pensemos en la administración pública. Cuando solicitamos un padrón (o una subvención), o cuando renovamos un DNI... ¿No estamos realizando, en el fondo, una petición de servicio? ¿No sería genial que existiera un punto único de interlocución con el que pudiésemos tramitar, de princpio a fin, todas nuestras necesidades? Y si hubiera que interactuar con otras administraciones públicas... ¿No debería ser el propio proceso de gestión de suministradores de nuestra administración pública quien se encargase de esos trámites? ¿Os imagináis que existiera un SLA con la administración pública contra el que pudiésemos reclamar? ¿O que pudiésemos recibir informes sobre los servicios que hemos utilizado?

Estos son sólo dos ejemplos de cómo se pueden aplicar los principios de la gestión de servicios TIC a cualquier clase de servicios. En el fondo, cualquier servicio, sea o no sea TIC, tiene una capacidad, seguridad o disponibilidad determinada, y podremos mejorarlo si gestionamos estos aspectos adecuadamente. Por suerte o por desgracia, la tecnología es compleja, y hemos tenido que desarrollar sistemáticas elaboradas para poder gestionarla mejor. ¿Por qué no hacemos uso de esas sistemáticas para gestionar servicios cuyo nivel de complejidad también sea elevado? La nueva versión de la ISO 20000 ya ha dado ese paso, librándose de la "coletilla" TIC... ¿Por qué no lo hacemos también nosotros?

03 noviembre 2011

Sensaciones de ENISE 2011

La semana pasada se celebró la 5ª edición de ENISE, en la que una vez más tuve la oportunidad de participar, representando a mi organización. En esta ocasión sólo pude estar los dos primeros días, dedicados a la seguridad en la nube y a la protección de las infraestructuras críticas respectivamente, así que son esas dos jornadas las que voy a comentar.

La sensación general que me queda es agridulce. Por un lado, creo que la organización ha sido magnífica, y la selección de los temas a debatir me ha parecido perfecta. Además, el formato de sesión plenaria seguido de talleres más específicos me parece muy acertado, y creo que la articulación de los temas y representantes en cada taller ha sido muy buena. Sin embargo, no puedo evitar un cierto regusto amargo derivado de la escasa profundidad de la mayor parte de las ponencias, así como de una cierta sensación de deja vu entre unas ponencias y otras. Tengo la sensación de que algunos de los ponentes no han (hemos) estado a la altura del congreso (o al menos, de lo que yo esperaba de él). Obviamente no estuve presente en todos los talleres, de modo que mi opinión no tiene por qué ser generalizable, pero por las impresiones que pude cruzar con otros participantes, no fui el único que salió con esa sensación.

Las principales conclusiones que extraje de la jornada dedicada al Cloud Computing se pueden resumir de forma sencilla:
  • Cloud = externalización + virtualización
  • El Cloud Computing no tiene problemas legales específicos, sólo acentúa los propios de la externalización, que en absoluto tenemos resueltos de forma satisfactoria.
  • Ni la seguridad ni la privacidad son preocupaciones primarias de los proveedores de servicios Cloud, de modo que las soluciones que ofrecen no incorporan mayores (ni menores) garantías al respecto que las ofertadas al hablar de "simple" externalización. Una vez más, la seguridad es un requisito incorporado a posteriori.
  • La virtualización es una realidad bastante más tangible que el cloud. El mercado del cloud todavía se está "autodefiniendo".
  • Las iniciativas en torno a las arquitecturas cloud de las grandes organizaciones son, por el momento, apuestas "a chica" (en términos "musísticos").
En cuanto a la jornada dedicada a las infraestructuras críticas, mis principales conclusiones son las siguientes:
  • La forma de proteger las infraestructuras críticas en los términos actuales todavía no está clara, existe una cierta indefinición en sus límites y en el encaje que tiene con otros conceptos más asentados como la seguridad patrimonial, la seguridad de la información, la continuidad de negocio, etc.
  • Derivado de esa indefinición, en muchos operadores críticos (oficiales o "futuribles") se está viviendo una cierta "lucha de poder" entre los mundos de la seguridad física y la seguridad lógica por hacerse con el control de estas "nuevas" iniciativas.
  • Es previsible que los próximos avances regulatorios en la materia ayuden a establecer estos límites y a resolver estas luchas.
  • En cualquier caso, todos los operadores críticos plantean la cuestión presupuestaria como la principal barrera para avanzar en este tema, motivo por el cual los avances reales son muy escasos.
  • Tampoco los proveedores de servicios presentan en la actualidad una oferta demasiado definida de productos o servicios específicos para la protección de las infraestructuras críticas, existiendo aproximaciones bastante diversas en función de los orígenes de cada proveedor.
En definitiva, la conclusión global que pude sacar de ambas jornadas es que, en cualquiera de los casos, el sector todavía no está maduro, y es previsible que en los próximos años veamos avances muy importantes en ambos temas.

Dicho esto... ¿Alguien que asistiera a la última jornada, dedicada a la seguridad de los dispositivos móviles, se atreve a completar el post con sus conclusiones al respecto? Dejo los comentarios a vuestra entera disposición.