26 noviembre 2009

Consejos para la ISO 20000

Probablemente, en estas fechas muchas empresas del sector TIC puedan estar pensando en si meterse o no en un proyecto de implantación de un Sistema de Gestión de Servicios TI (SGSTI) certificable bajo ISO 20000. Si esa es vuestra situación, aquí van unos consejos que os pueden servir como ayuda para tomar esa decisión:

  • No te metas en un proyecto de ISO 20000 si no estás dispuesto a "hacer ruido" en toda la organización. La ISO 20000 en una empresa que venda servicios TI afecta directamente al negocio de la organización, toca de lleno las actividades productivas y de venta. Por tanto, un SGSTI según ISO 20000 no es un sistema de gestión que se pueda implantar "con vaselina". Si no estás dispuesto a remover los cimientos de la organización, este no es tu sistema de gestión.


  • No te metas en un proyecto de ISO 20000 si no vendes servicios. Si tu modelo de negocio está basado en la venta de productos o proyectos, este no es un sistema de gestión para ti. No estoy hablando de que la organización no realice proyectos (de hecho, el proceso de gestión de la entrega es el enlace con ellos), pero esos proyectos deben estar encaminados a la prestación de un servicio continuado. Si a día de hoy tu organización no vende servicios TI, o estás dispuesto a hacer un cambio radical en (al menos) parte del modelo de negocio o este sistema de gestión no es el más adecuado para ti.


  • No te metas en un proyecto de ISO 20000 si no eres partidario de la estandarización de tus servicios. Si tu modelo de negocio se basa en la provisión de soluciones llave en mano, diseñadas exactamente al gusto del cliente, este sistema de gestión no te conviene. La ISO 20000 permite personalizaciones, por supuesto, pero dentro de unos parámetros acotados. Su filosofía se basa en la normalización de los servicios y en su "industrialización", de modo que el margen de actuación que permite es limitado. Si eres partidario de la prestación de servicios diseñados completamente a medida es muy probable que el modelo no te encaje.


  • No te metas en un proyecto de ISO 20000 si tu modelo de negocio se centra en el consumo de los servicios prestados. La ISO 20000 se centra en la calidad de los servicios TI prestados, no en la cantidad de servicios consumidos (independientemente de que dicho consumo se mida por ancho de banda, tiempo de procesador o de dedicación de recursos humanos). La ISO 20000 se centra en fijar y garantizar el cumplimiento de unos niveles de servicio determinados, acordados con el cliente en un SLA (Service Level Agreement), de modo que la cantidad de servicio consumido pasa a un segundo término. Está claro que ese es un parámetro clave para el servicio prestado, y por eso existe un proceso específico encargado de gestionar la capacidad del servicio, pero si tu preocupación principal es el consumo del servicio probablemente la ISO 20000 no sea una referencia apropiada para ti.


  • No te metas en un proyecto de ISO 20000 si no eres partidario de la transparencia hacia el cliente. Si no eres partidario de ofrecer información detallada al cliente acerca del nivel de servicio que realmente le estás prestando, de los problemas internos que haya podido tener el servicio o del consumo del servicio que realmente está realizando el cliente, posiblemente este sistema de gestión no sea el modelo apropiado para ti. La ISO 20000 tiene un proceso específico de gestión de informes del servicio cuyo objetivo es, en definitiva, ser más transparente de cara al cliente, y puede que proporcionar tanta información no encaje con la filosofía de negocio de la organización, por múltiples motivos. Por tanto, si no estás dispuesto a "enseñar tus vergüenzas" al cliente, este modelo probablemente no te encaje.

Podría extenderme más en otro tipo de consejos más asociados a la implantación de un sistema de gestión genérico tipo ISO (disposición a dedicar recursos extra a nuevas actividades, disposición a ser auditado, disposición a mantener un programa de formación específico, etc.), pero creo que estos puntos pueden resumir las principales consideraciones de negocio que nos hemos encontrado en este tipo de proyectos. De todas formas, seguro que cualquiera que conozca suficientemente el modelo es capaz de ampliar esa lista a la hora de pensar en su propia organización...


Y no quería terminar el post de hoy sin hacer una reflexión final:



Si no tienes miedo a remover los cimientos de tu organización, si vendes servicios TI, si quieres estandarizar internamente esos servicios, si tu principal preocupación es su calidad, si eres partidario de la transparencia con el cliente... No tengas ninguna duda: la ISO 20000 es tu modelo a seguir. ¿a qué esperas para empezar?

24 noviembre 2009

Cuantos errores de seguridad cometes?

Es muy habitual que, hablando de seguridad, la gente trate de encontrar un método sencillo para saber, de forma rápida y medianamente fiable, cuánta es la seguridad de su organización. A poder ser, de forma autónoma y obteniendo un resultado cuantitativo. Por eso, cuando el otro día leí en ComputerWorld un artículo en el que hablaban de Los diez errores más comunes de los administradores de redes, me resultó muy sencillo hacer una propuesta de auto-evaluación rápida. ¿Cuántos de estos errores evita tu organización de manera sistemática (sin que evitarlos dependa de la iniciativa personal de un administrador de redes preocupado por la seguridad)? El número de errores evitados sería, directamente, la "nota" en seguridad. ¿Cuántos de estos errores se evitan en tu organización?:
  1. No cambiar las claves por defecto de los equipos (servidores, routers, switches, etc.).
  2. Compartir una misma contraseña en múltiples dispositivos
  3. No buscar vulnerabilidades de inyección SQL en las aplicaciones web
  4. No definir listas de control de accesos en los dispositivos de red
  5. Permitir accesos remotos y software de administración inseguros
  6. No probar las aplicaciones no críticas frente a vulnerabilidades básicas
  7. No proteger apropiadamente los servidores frente al malware
  8. No configurar los routers para prohibir tráfico saliente no deseado
  9. No saber dónde se almacenan los datos críticos de la organización (todas sus ubicaciones, considerando todas las copias existentes de los mismos)
  10. No seguir estándares de seguridad básicos (en el artículo se habla de PCI DSS, pero me vale cualquier estándar de mínimos de seguridad).

¿Cuál es tu nota? ¿Apruebas en seguridad? ¿Echas en falta alguna medida de seguridad básica de red? Si quieres hablar de ello, los comentarios están a tu disposición.

23 noviembre 2009

Si no cumples con tu perfil

Es cierto, las redes sociales cada vez están más de moda. Es más, yo creo que es el momento de dejar de pensar que son una moda y empezar a pensar en que, sencillamente, nuestras vidas se están "digitalizando". Es un proceso lento, muy irregular y muy poco homogéneo, pero creo que es un proceso imparable. Poco a poco, todos tendremos que ir aprendiendo a convivir con nuestras "dos vidas", la física (la de toda la vida, o la real, como dirían algunos) y la digital, virtual o como quiera que se acabe llamando la vida que "vive" nuestra identidad digital, que queramos o no también es parte de nosotros.

¿Cuál es el problema de llevar esta "doble vida" (real y virtual)? Sencillamente, que esa duplicidad es una falacia. En realidad esa doble vida no existe, son sólo dos visiones de una vida única, la nuestra. Dos visiones distintas, desde perfiles diferentes, pero de una única realidad.

El problema de la "doble vida" no es nuevo. De hecho, es tan antiguo como la sociedad en la que vivimos. Todos tenemos distintos perfiles en la vida real: el profesional, el personal, el familiar... Perfiles distintos, en los que tratamos de potenciar distintas características, pero que normalmente siempre tratamos de que sean coherentes entre sí. Al fin y al cabo, no es tan difícil que los distintos perfiles acaben mezclándose, y si algo tenemos claro es que detrás de cada perfil siempre está uno mismo.

El problema con nuestros perfiles digitales es que a veces nos olvidamos de que nos siguen representando a nosotros. Y de que son perfiles mucho más ubicuos, persistentes y permeables, con muchas más posibilidades de mezclarse y expandirse. Y claro, si no son coherentes entre sí y con los de la "vida real", podemos tener un problema...

Ese problema de falta de coherencia entre perfiles es el que ha tenido la protagonista de la noticia que acabo de leer, acerca de una chica que ha perdido la pensión por depresión por estar alegre y de fiesta con sus amigas. Parece que su perfil "profesional real" (de baja por depresión) no era coherente con su perfil "personal virtual" (fotos en facebook de fiesta con las amigas), y debido a esa incoherencia la empresa aseguradora ha decidido suspender la remuneración que tenía asignada.

No voy a entrar en la pertinencia o no del hecho, y menos voy a analizar la legalidad o no de la decisión, sobre todo desde el punto de vista de las leyes españolas. Prefiero quedarme sólo con el fondo del asunto: ¿estamos preparados para gestionar adecuadamente nuestros perfiles digitales? ¿Hasta qué punto puede ser "la seguridad" la herramienta para llevar a cabo esta gestión? Y lo que es más importante: ¿Existen los medios para hacerlo? ¿O estamos intentando ponerle puertas al campo? Si alguien quiere hacer comentarios al respecto, ya sabe que aquí puede hacerlo.

19 noviembre 2009

Publicada ISO/IEC TR 20000-3:2009

Lo sé, hace más de un mes que no publico ningún post. La verdad es que últimamente ando envuelto en una vorágine profesional bastante agotadora... Aunque ya se empieza a ver la luz al final del tunel.

Hoy sencillamente quiero destacar la publicación hace un mes del estándar ISO/IEC TR 20000-3:2009, la tercera parte de la cada vez más conocida ISO 20000. Esta parte, cuyo título oficial es Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1, es un "informe técnico" en el que se dan pautas sobre cómo se puede definir el alcance de un SGSTI (Sistema de Gestión de Servicios TI) en línea con las exigencias de la ISO 20000. Habla de la aplicabilidad de la ISO 20000 y de los principios generales para la definición de alcances, y sobre todo proporciona distintos ejemplos y escenarios para la definición de alcances válidos.

Para terminar, y en línea con este tema, para todo aquél que quiera profundizar en la definición de alcances para un SGSTI según ISO 20000 también puede consultar el documento "itSMF ISO/IEC 20000 Certification Scheme - Scoping Guidelines", que aunque date de 2006 sigue siendo perfectamente válido, y tiene la ventaja de que está redactado en un tono mucho más divulgativo que el documento anterior.