24 noviembre 2010

Sistemas de Gestión de Organizaciones Resilientes

A veces es conveniente sacar la cabeza del entorno cercano y ver qué se mueve más allá. Sobre todo, cuando te pasas los días hablando de los mismos temas, con las mismas personas, en los mismos entornos. Por éso me gusta tener noticias de gente que se mueve en otros mundos, cercanos pero diferentes, y que siempre aportan un nuevo punto de vista a los temas de siempre. Y este es uno de esos casos.

Jose Miguel Sobrón trabaja en Naciones Unidas, en la Unidad de Apoyo a la Gestion de Crisis y Operaciones del Departamento de Seguridad. Trabaja, como digo yo, en Continuidad de Negocio "de verdad": las "típicas amenazas de libro" (pandemias, ataques terroristas, etc.) son amenazas reales a las que estas unidades tienen que enfrentarse de forma práctica y efectiva. Un entorno sin dudas interesente, y más si tenemos en cuenta que su trabajo está imbuído de la cultura americana, más pragmática que la europea, y por tanto con un acercamiento parcialmente distinto a los mismos problemas. Por éso, cuando me ofreció la posibilidad de contribuir a difundir la visión que tenía la ONU en relación a la Continuidad de Negocio, no lo dudé ni un momento.

Según era de esperar, Naciones Unidas lleva bastante tiempo trabajando en Continuidad de Negocio. No obstante, su acercamiento no es el estándar, ya que parte de un entorno multi-entidad, en el que la coordinación, cooperación, coherencia y complementación de las estrategias de cada entidad (nación, administración, empresa u otras) es clave para lograr una estrategia común de continuidad. En ese entorno, el concepto de Continuidad de Negocio fue evolucionando hasta desembocar en el de Resiliencia, entendida como la capacidad de una organización de recuperarse de cualquier situación. Y por lo tanto la sistemática de gestión para garantizar esa capacidad de recuperación de las organizaciones acabó por conformar lo que se ha venido a llamar Sistema de Gestión de Organizaciones Resilientes.

Los principios de este sistema de gestión son muy sencillos de entender:
  • Compromiso de la dirección: Los órganos directivos de cada entidad se deben comprometer activamente con el sistema de gestión (¿A alguien le suena?)
  • Transparencia: Todos los actores implicados conocen los planes de todos los demás.
  • Homogeneidad: La estructura básica de todos los planes es similar, lo que facilita su uso.
  • Sencillez: La sistemática de valoración de impactos es única, sencilla y simple, y es la referencia exclusiva para la activación de los planes.
Bajo estas premisas se desarrolla el resto de la sistemática de gestión, que ya es más similar a un sistema de gestión "clásico" de continuidad de negocio. ¿Os interesa el tema? ¿Queréis más información al respecto? Pues os invito a conocer más detalles directamente en su blog: Gestión de Riesgos, Crisis y Continuidad.

15 noviembre 2010

Calidad en la gestión de servicios TI

Hoy ha dado comienzo en Madrid el congreso anual de itSMF España, cuyo lema es "Dibujando el futuro de las TIC". Lamentablemente este año tampoco voy a poder asistir, ya que otros compromisos previos me lo impiden, pero a cambio me gustaría recomendaros a todos una de las ponencias, la T2.06 sobre cómo implantar la ISO 20000 en la PYME, donde Jose Ramón Concha, gran profesional donde los haya además de compañero de aventuras y desventuras, os va a contar cómo hemos conseguido que más de 20 PYMEs implanten, certifiquen (bajo ISO 20000) y mantengan su Sistema de Gestión de Servicios TI (SGSTI) con alcances muy reducidos (en algunos casos incluso de tan sólo 5 ó 6 personas), gracias a un gran esfuerzo de "decantación" del estándar y de construir procesos eficaces y sobre todo muy eficientes.
La verdad es que a veces tengo la sensación de que el sector está olvidando la esencia de la ISO 20000, de que las organizaciones están más empeñadas en "adecuarse" a ITIL que en buscar sus ventajas. Parece como si ITIL se hubiera vuelto una religión, y empezásemos a confundir el medio (la buena gestión de los servicios TI, independientemente del modelo de referencia que utilicemos) con el fin (incrementar la eficacia y eficiencia de los servicios TI e incrementar su beneficio para el negocio). Por éso creo que este tipo de ejemplos, aplicados a entornos reducidos, pueden no sólo ser una excelente referencia para una PYME, sino que incluso las grandes organizaciones deberían tomar estos casos de éxito como ejemplos a seguir, sobre todo si tenemos en cuenta las importantes ineficiencias que en muchas ocasiones se pueden observar en grandes empresas.
Creo que a estas alturas cualquiera que lea este blog sabrá que soy un completo creyente en la ISO 20000 y en las ventajas que una buena interpretación del estándar puede aportar a cualquier organización, incluso más allá de la gestión de servicios TI. No obstante, también creo que es importante basar esta confianza en el estándar en algo más objetivo que un simple convencimiento personal, y por éso estoy trabajando en un artículo que establezca una correlación clara entre este modelo de gestión y otros modelos más generalistas y reconocidos entre la alta dirección como pueden ser los modelos de excelencia empresarial. Ya os adelanto que el artículo resultante puede exceder el tamaño aconsejable para ser publicado en el blog, y que posiblemente opte por encontrar algún medio más apropiado para su publicación inicial, pero no os preocupéis que tarde o temprano encontraréis aquí los resultados de dicho artículo. Mientras tanto, espero que los contenidos sigan siendo de vuestro interés.
Un saludo a todos

09 noviembre 2010

Publicada la UNE 71599 sobre Continuidad de Negocio

Finalmente ya tenemos una norma española sobre continuidad de negocio: la UNE 71599. Tras la autorización por parte de BSI de la publicación de la norma BS 25999 como norma UNE, AENOR ha publicado la traducción oficial de la BS 25999 al español como norma UNE 71599, en dos partes:
  • UNE 71599-1:2010: Gestión de la continuidad del negocio. Parte 1: Código de práctica
  • UNE 71599-2:2010: Gestión de la continuidad del negocio. Parte 2: Especificaciones
Eso supone que ya tenemos una norma UNE certificable sobre continuidad de negocio, la parte 2, y probablemente este hecho suponga un impulso significativo al negocio de la certificación en este ámbito. Sobre todo si pensamos que hasta ahora era un requisito necesario (al menos, de facto) que existiera una norma UNE para que la certificación de un sistema de gestión en un cierto ámbito fuese susceptible de recibir subvenciones públicas...

Aunque la noticia me parece destacable y muy positiva, la verdad es que también tengo una crítica al respecto. El trabajo de adopción de la norma BS como norma UNE ha sido llevado a cabo por el comité AEN/CTN 71, cuyo ámbito de actuación son las Tecnologías de la Información, y esto me parece un error.

Una de las mayores críticas que está recibiendo el sector de la consultoría en torno a la orientación que da a la continuidad de negocio es que la aproximación que se suele realizar es desde el mundo de las TI y no desde la visión del negocio, y tengo la sensación de que AENOR puede haber hecho lo mismo, lo cual me parece un error. Y lo que me fastidia es que la diferencia de visión entre ambos mundos está muy clara desde que BSI publicó la BS 25777:2008, que habla específicamente de continuidad TIC y su relación con la BS 25999, de modo que no termino de entender el motivo por el cual ha sido ese subcomité quien ha asumido la gestión de esta norma. ¿Será que somos los del mundo de las TIC los que más nos preocupamos por la continuidad operativa del negocio? ¿O es que tenemos demasiado interiorizada la dependencia actual del negocio con respecto de las TIC? En cualquier caso, será interesante ver cómo evoluciona el sector a partir de la publicación de esta norma, no creeis?