¿Quién desea una TI Bimodal?

¿Quién desea una TI Bimodal?

Según Gartner, bimodal es la práctica de la gestión de dos estilos distintos pero coherentes de trabajo: uno centrado en la previsibilidad; la otra en la exploración.

Revisemos:

  • El Modo 1 (más gobierno, menos cambio) está optimizado para las áreas que son más predecibles y son bien entendidas. Lidiamos aquí con, pero no limitados a, estabilidad, robustez, estándares, planificación cuidadosa, cumplimiento, gobierno, riesgos, eficiencia, seguridad, precisión, disponibilidad, presupuestos, niveles de servicio y requisitos.
  • El Modo 2 (menos gobierno, más cambio) es exploratorio [pero requiere un enfoque riguroso y disciplinado -para que las cosas no se escapen de las manos], experimentando para resolver nuevos problemas, agilidad centrada en el tiempo de lanzamiento al mercado [velocidad], la rápida evolución de la aplicación y, en particular, la estrecha alineación con las unidades de negocio.

En la siguiente figura Gartner gráfica lo anterior:

Estas iniciativas a menudo comienzan con una hipótesis que se prueba y se adapta durante un proceso que implica iteraciones cortas, adoptando potencialmente un enfoque de producto viable mínimo (MVP) -experimentación.

Tengamos presente que un equipo de TI exploratorio no es fácil porque tienes que desafiar el pensamiento convencional [de las personas, claro], aceptar los riesgos [la empresa] y sentirte cómodo con un ritmo de cambio [motivación de todos] que es muy diferente de la forma actual en que opera TI.

Ninguna iniciativa es igual a otra, dadas las particularidades de cada negocio, mercado, o empresa. Cada empresa debe conocer su ecosistema, para adaptarse conforme convenga, e innovar rápidamente para responder a las amenazas y oportunidades.

Sabemos que, en el contexto empresarial, el estilo de trabajo, el modelo de decisión y la gobernanza, son los que hacen la diferencia; por tanto, cada empresa debe evaluar -a través de prueba y error- cómo enfrenta este paradigma, porque seguramente requerirá equipos multidisciplinarios [manpower], consultorías, nuevos contratos de soporte, nuevas negociaciones, nuevas herramientas, nuevos procesos, nuevas competencias, nuevas habilidades, nuevos conocimientos, nuevos recursos, y nuevas capacidades. No dejemos de lado el costo total de propiedad y los niveles de servicio acordados.

Seguramente deberemos considerar incluir cosas como aplicaciones móviles y su desarrollo, experiencia para el lado del cliente, IoT [Internet de las cosas] para obtener cierta experiencia en la captura de grandes flujos de datos y analizarlos desde diferentes dispositivos, ya sean estos dispositivos de consumo, dispositivos industriales, lo que se tenga a mano. Podría acabar ocurriendo que los ingenieros recién entrenados quieren usar nuevas técnicas en sistemas antiguos, y crear silenciosamente work-arounds en lo que se ha conocido como “shadow IT“. Trataríamos entonces de incorporar y estandarizar esta shadow IT y permitir a los innovadores innovar, pero dentro de la estructura corporativa. Esto implicaría una reingeniería de la gestión tecnológica y del papel de la empresa en su implementación.

Pero, tengamos presente que no por utilizar métodos ágiles o DevOps ya somos bimodales. La organización también está involucrada, no solo es un asunto de pura tecnología. Tampoco significa dedicarse a producir código porque se arriesga una mayor complejidad arquitectónica y de aplicación, lo que reduce la agilidad de la empresa. Recordemos que la cadena se rompe por el eslabón más débil, ¿o será que avanzaremos siempre al paso del más lento? [el impacto en los clientes, específicamente, es parte del segundo efecto secundario].

Ambos modos son esenciales, según Gartner, [tienen una relación simbiótica] para crear un valor sustancial, e impulsar un cambio organizativo importante, ninguno es estático y, probablemente, para el futuro tampoco sean suficientes. Combinar [y balancear] una evolución más predecible de productos y tecnologías (Modo 1) con lo nuevo e innovador (Modo 2) es la esencia de una capacidad bimodal empresarial. Ambos modos juegan un papel esencial en la transformación digital.

Sin embargo, el Modo 1 podría erróneamente considerarse negativo [¿desmotivación por creer que debe mantenerse con lo legacy (islamiento), con el día a día, aunque exista la nube?]. Y no vemos que se debería centrar en la explotación de lo que se conoce, pero renovando a la vez el entorno heredado a un estado que es apto para un mundo digital –renovar el core es la clave. De igual modo, el Modo 2 podría considerarse erróneamente positivo, (siempre iterando / ¿arriesgando, sobre simplificando, sin normas, con prácticas no lineales?), y siempre debería siempre estar ¿planeando para el futuro? [¿flexibilidad?, ¿motivación por mantenerse en lo nuevo?]. Capacidad de respuesta frente a estabilidad.

¿Y si cambiamos el ejemplo de los corredores a las velocidades de una bicicleta de carrera? ¿o de blanco y negro al espectro de colores? ¿cuán segregada/dividida/segmentada podrían estar TI? Esto sugiere que este modelo bimodal podría ser una sobre simplificación de lo realmente requerido. Por ejemplo, una mejor alternativa, según John C. McCarthy, analista de Forrester, es que las organizaciones trabajen más para entender sus desafíos y hacer “los cambios necesarios para conducir la simplicidad”. El enfoque en los clientes, más que la velocidad o una disciplina en particular, es el diferenciador crítico en las empresas que están teniendo éxito.

También debemos tener cuidado y considerar que los modos podrían competir inevitablemente por los fondos, recursos, habilidades y la atención de la dirección, sin dejar de lado estándares, disciplina, reducir complejidad, gestionar riesgos, en todo momento. Ambos conceptos pueden funcionar mejor cuando son compartidos por los elementos front-end y back-end del ecosistema de TI. Iterar es bueno, pero con la verificación y la metodología de las TI tradicionales de back-end.

Internet de las cosas -IoT

Según Gartner, el “Internet de las cosas (IoT) es la red de objetos físicos que contienen tecnología incorporada para comunicarse y detectar o interactuar con sus estados internos o con el entorno externo”[1]; y añade que “el valor real del Internet de las cosas va más allá de los dispositivos interconectados”[2][3].

La interacción crea más datos (más complejidad en su tratamiento, más aplicaciones, mejores y más seguras que los traten, mayor necesidad de almacenamiento y procesamiento); la comunicación acarrea más riesgos que deben ser apropiadamente gobernados, una necesidad de mayor y mejor gestión de servicios (decisiones de toda índole más difíciles, para usuarios y operadores); las condiciones actuales y posibilidades futuras requieren recursos y capacidades diferenciados para asegurar que se mantiene el valor de los servicios (que promulga ITIL®) que entregamos –la sostenibilidad operativa.

Todos estamos involucrados y somos responsables del buen o mal uso que hagamos del IoT, en todo nivel. Además, debemos considerar que hay muchas cosas que considerar[4]: capacitación, público objetivo, requisitos de construcción, servicios incorporados, dispositivos (tipos, compromiso de seguridad, manipulación no autorizada[5], otros), disponibilidad, aplicaciones, redes, conectividad, plataforma tecnológica, ecosistema, riesgos directos e indirectos, actualizaciones de firmware o de software, aplicaciones que incorporen la seguridad desde el diseño, la arquitectura de las aplicaciones a este respecto, cifrado de datos, protección de datos personales, categorización de datos, datos sensibles en general, control de acceso, normativas, regulaciones, estándares, metadatos de los dispositivos, sistemas de monitorización y de protección contra intrusiones y ataques, tanto a nivel individual como colectivo[6], monitoreo continuo, localización de los datos porque lo que es delito informático en un país puede no serlo en otro, resiliencia[7], confidencialidad, integridad y disponibilidad, entre muchas otras posibilidades.

IoT no es una cosa; es la integración de varias cosas en una solución de negocio, es el corazón del negocio digital –bueno, cuando ya no sea una buzzword y realmente se de una transformación digital y contemos con tecnología concreta utilizable hasta en nuestros hogares[8] y por todos (refrigeradoras que podrán avisar a sus dueños cuando no haya alimento en ellos[9] es la promesa ¿recuerdan?). Sería bueno saber cuántos y cuáles dispositivos están accediendo a nuestra red local, y algo ‘raro’ como deshabilitar el bluetooth y las funciones que los dispositivos no usan todo el tiempo[10]. No queremos que “alguien” nos haga “gastar” más electricidad de lo habitual. Ya conocemos las deficiencias de seguridad existentes, que no nos pesquen desprevenidos, por ellas al menos[11].

[1]       Fuente: http://www.gartner.com/it-glossary/internet-of-things/; disponible en marzo/2017

[2]       Fuente: http://www.gartner.com/technology/research/internet-of-things/?s=1; disponible en marzo/2017

[3]       Fuente: http://view.ceros.com/gartner/iot/p/1; disponible en marzo/2017

[4]       Fuente: https://ricveal.com/blog/10-retos-seguridad-iot/; disponible en marzo/2017

[5]       Fuente: http://aunclicdelastic.blogthinkbig.com/el-reto-de-la-seguridad-en-iot/; disponible en marzo/2017

[6]       Fuente: http://www.csuc.cat/es/internet-of-things-un-reto-para-la-seguridad; disponible en marzo/2017

[7]       Fuente: http://www.ibm.com/developerworks/ssa/library/iot-trs-secure-iot-solutions1/index.html; disponible en marzo/2017

[8]       Fuente: http://techcetera.co/el-reto-para-la-seguridad-para-el-internet-de-las-cosas/; disponible en marzo/2017

[9]       Fuente: http://www.nacion.com/tecnologia/informatica/Seguridad-principal-reto-Internet-Cosas_0_1571442852.html; disponible en marzo/2017

[10]     Fuente: http://techcetera.co/tiene-el-internet-de-las-cosas-iot-algun-riesgo-para-su-hogar/; disponible en marzo/2017

[11]     Fuente: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/insecurity-in-the-internet-of-things.pdf; disponible en marzo/2017

Autoservicio de TI

Desplegar tecnología para lograr que los usuarios de ésta se ayuden cuando tienen dificultades con la tecnología (sí, más tecnología para la tecnología) es algo que por mucho tiempo se ha tratado –y en algunos casos esta “innovación” ha funcionado y en otros no; bueno, siempre hay espacio para mejorar.

Los medios de acceso son variados. Existen versiones de respuesta humana o incluso robótica. Las interfaces son cada vez más útiles y usables. Sistemas de información y flujos de trabajo unos más integrados –y útiles- que otros. Actividades unas mejor implementadas que otras, como emisión y renovación de la identificación del usuario, entrenamiento, disponibilidad de opciones tipo push-pull para instalaciones o actualizaciones, ejecución de políticas de retención, solicitudes variadas (provisión de recursos, programación de atenciones, consultas sobre funcionalidad u operación, requerimientos de reparación, de información), entre otras[1]. Todos gozan de una interesante y mayor agilidad, los que entregan (TI tradicionalmente), y los que reciben (siempre el usuario). La experiencia de usuario está garantizada –depende del usuario calificarla.

fig1

Empoderar a los consumidores (usuarios y clientes) de servicios especializados para que ellos mismos se auto atiendan cuando tienen necesidades relacionadas con la tecnología de la información está muy de moda hoy en día[2].

Los usuarios finales obtienen las herramientas que necesitan para maximizar la productividad, tienen acceso a una vasta base de conocimiento[3] –y hasta a información a la que antes no tenían acceso (y no hablo de seguridad sino de alcance, disponibilidad, re-utilización porque esta iniciativa depende de la calidad y cantidad de información disponible y las facilidades disponibles para accederla[4] y generarla, incluso por comunidades de usuarios[5], y las medidas adoptadas para retener su control), y los departamentos de TI reducen la tensión cotidiana de las llamadas que llegan al servicio de atención al cliente[6].

Interesante. Se reducen costos al pasar del “modo bombero” a un estado de eficiencia y efectividad, y se re-enfoca la mesa de servicio a incrementar la satisfacción del cliente o del usuario.

Sí, nada nuevo hasta aquí. Pero, Gartner[7] nos alerta de las generalidades en que hemos incurrido antes, lo cual nos fuerza a sincerar los resultados frente a las expectativas de esta innovación –y preparar un buen caso de negocio primero.

  • El autoservicio de TI reduce costos en el soporte nivel 1 principalmente con relación a las solicitudes varias que ya comentamos. Algunas cosas todavía requerirán una llamada al servicio de TI o la asistencia de un técnico de soporte. Es una mezcla cuyo balance debe ser cuidadosamente considerado con respecto al valor esperado, con el objetivo de no incurrir en gastos innecesarios –aunque suene trillado esto último.
  • El autoservicio de TI requiere cuidado y actualización constante; no es una inversión que se realiza una sola vez y nos olvidamos luego. Es un continuo asegurar que el servicio lo seguimos entregando ‑como área de TI- como fue comprometido, y nuestro “consumidor” lo sigue recibiendo –su apreciación del valor- de forma oportuna, consistente y constante. El conocimiento, hemos mencionado, juega un papel vital y como tal debe ser gestionado apropiadamente para mantener su vigencia y utilidad.
  • Los usuarios finales acudirán a los autoservicios sólo si no tienen alternativa, lo cual dependerá de la estrategia que implemente la organización para su “adopción”, ya que la inclinación a su aceptación potencialmente será variada –tanto como la cultura organizacional, la mentalidad de los usuarios, la brecha generacional, así como los plazos límite que se establezcan.
  • Para una implementación exitosa del autoservicio de TI se requiere de requisitos previos que lo complementen, como un conjunto correctamente seleccionado de herramientas y procesos, adecuados, probados, afinados, y mantenidos, por personas con roles y competencias técnicas apropiadas, que apoyen, por ejemplo: la automatización de las actividades antes enumeradas, entre otras; y a los usuarios en las decisiones que deben tomar y en las tareas que deben realizar. Si se implementa adecuadamente, el autoservicio puede mejorar la satisfacción del cliente, proporcionar análisis de tendencias de incidentes, identificar oportunidades de capacitación, permitir ejecutar escenarios del tipo “que pasa si” para determinar a dónde llegarán las finanzas de la compañía para el trimestre, y consolidar el conocimiento que existe actualmente en los silos en toda la organización de soporte. La retroalimentación obtenida de un piloto o varios] es atractiva –y útil, para identificar la diversidad de información que sea requerida y permitir flexibilidad y agilidad en satisfacerla.
  • Así es, no dejemos de lado la utilidad, usabilidad, garantía, no sólo de los servicios entregados, con base en procesos gestionados y sujetos a una mejora continua, sino también de los medios utilizados para su entrega, como la interface de usuario utilizada –portal bien diseñado, amigable e intuitivo por supuesto, con el que sea fácil pedir ayuda.

Como siempre, una buena venta del valor del servicio ayudará a que los usuarios lo adopten voluntariamente (menor rechazo inicial; servicios conscientes del contexto que conocen su rol, ubicación y equipo[8]; adopción más rápida; disponibilidad de diferentes medios de contacto; apoyo a las aplicaciones actualmente en uso –aunque no hayan sido provistas por el departamento de TI; naturalidad, facilidad y flexibilidad en el procesamiento de solicitudes; compromiso consciente; finalmente interiorización), buscar qué necesitan hacer, qué quisieran hacer y no pueden –aún, qué les ha funcionado, qué les molesta, y otros posibles aspectos a considerar[9] -una mejora continua de funcionalidad y alcances, promocionar lo realizado, buscando cada vez una mayor aceptación. Identificar los temas correctos que ayudarán a los usuarios a ayudarse a sí mismos, toma tiempo y esfuerzo, no olvidemos considerar el costo total de propiedad de la solución integral.

[1]        Fuente: http://www.techrepublic.com/blog/10-things/10-ways-it-can-use-self-service/; disponible en dic/2016

[2]        Fuente: http://www.computerworld.com/article/2500959/enterprise-applications/self-service-it.html; disponible en dic/2016

[3]        Fuente: http://www.servicenow.com/products/express/it-self-service-portal-for-smb.html; disponible en dic/2016

[4]        Fuente: http://whatis.techtarget.com/definition/customer-self-service-CSS; disponible en dic/2016

[5]       Fuente: https://www.atlassian.com/it-unplugged/best-practices-and-trends/technologies-for-self-service-success; disponible en dic/2016

[6]        Fuente: http://www.axiossystems.com/solutions/end-user-self-service; disponible en dic/2016

[7]        Fuente: http://www.gartner.com/newsroom/id/1426813; disponible en dic/2016

[8]        Fuente: http://www.bmc.com/it-solutions/it-self-service.html; disponible en dic/2016

[9]        Fuente: http://www.informationweek.com/strategic-cio/team-building-and-staffing/7-ways-to-avoid-self-service-it-pitfalls/a/d-id/1297292; disponible en dic/2016

Los proyectos –que apoyan los negocios

Moira Alexander[1] escribió para la revista especializada CIO[2] un artículo interesante donde planteaba algunos proyectos “que todo negocio puede poner en práctica este año para ayudar a asegurar que las personas, procesos y tecnologías están trabajando juntos de manera efectiva para crear mejores oportunidades o evitar perderlas”.

Estos proyectos son los siguientes:

  • Poner más énfasis en proyectos que apoyen la estrategia [de las organizaciones].
  • Re-evaluar las necesidades del comprador/cliente [retroalimentación].
  • Adoptar la mejora de procesos de negocio [incrementar la eficiencia –y rendimiento].
  • Revisar la oferta de servicios de los proveedores [las necesidades cambian].
  • Revisar y mejorar los sistemas de información y la tecnología [factor competitivo en este mundo globalizado].
  • Re-despliegue de recursos humanos [sin crear pánico, buscar que la tarea sea realizada de la manera apropiada por la persona apropiada y a la primera vez].

Sí, para sobrevivir debemos evolucionar; esto es, tener la capacidad de anticipar el futuro y transformar la empresa en una empresa digital[3]. Los CIO estratégicos aseguran que las inversiones en TI están siendo impulsadas por las ganancias que esta digitalización promueve, por el incremento en agilidad que se genera y por el incremento en la experiencia del usuario[4].

A la hora de las ideas, olvídese de los rangos –talento es talento (lo que hay dentro).

La comprensión de ITIL® nos permitirá optimizar los servicios de TI porque ahora podemos ver a estos servicios holísticamente –su ciclo de vida, y ayudará a crear mejores estrategias para mantener a los clientes contentos. Deberemos empezar entonces por evaluar la actual oferta de servicios de TI.

Aunque toda empresa es diferente, en cuanto a tecnología, siempre existirán las de adopción temprana y las tradicionales [que no siempre encuentran obstáculos]. No olvidemos establecer los factores críticos de éxito y sus respectivos indicadores.

Para mantener el talento emocionado por su trabajo, asegúrese de contar con un plan regular de rotación de proyectos para asegurar que van a obtener consistentemente proyectos frescos en adición a sus funciones, y de manera más regular. Y, claro, asegure que su talento balancee su carga laboral con la familiar (se distraiga) para evitar el stress.

[1]      Fuente: http://www.cio.com/author/Moira-Alexander/; disponible en mayo/2016.

[2]      Fuente: http://www.cio.com/about/about.html; disponible en mayo/2016

[3]      Fuente: http://www.cio.com/article/3072655/leadership-management/how-cios-can-guide-digital-business-transformation.html; disponible en mayo/2016

[4]      Fuente: http://core0.staticworld.net/assets/2016/01/14/2016-state-of-the-cio-executive-summary.pdf, disponible en mayo/2016

 

Más sobre el marco de la computación en nube -cloudcomputing -Parte 2

La computación en nube es un acontecimiento disruptivo en TI[1]no es novedad, así como la movilidad, la seguridad, Big Data y las redes sociales (mayor cobertura con los smartphones y sus cada vez mayores funcionalidades) son factores disruptivos para los actuales modelos de negocio.

Como suele ser el caso, lo que debe hacerse en primer lugar como factor competitivo diferenciador [mayor conocimiento, mejor organización del conocimiento, mejores decisiones, mejor gestión de riesgos, entre otros beneficios], es establecer un fuerte enfoque de liderazgo en el cultivo de una cultura centrada en los datos (articulados claro con los objetivos del negocio) [implica tecnología, herramientas, experiencia, talento, cultura organizacional y, claro, liderazgo –nada nuevo ¿verdad?] pero esto casi siempre sucede en último lugar[2].

Además, [trabajar con, para y en] la nube requiere un conjunto único de habilidades del personal responsable de TI[3] -tampoco es novedad, si está esto bien enfocado.

¿Un ejemplo de enfoque? Como vi en una convocatoria CAS hace unos días, solicitaban un abogado especializado en planes de contingencia, con maestría en gestión pública, y experiencia en el cargo de más de cinco años en empresas extranjeras –por S/.4,500 Nuevos Soles mensuales. Dieron en el clavo los que señalaron que esta convocatoria quedó desierta –y no creo equivocarme que fue por el monto a pagar (nadie se presentó) más que por cumplimiento del perfil. No sería de extrañar que contraten un extranjero que “dice” cumple con los requisitos y pagándole más de lo presupuestado, utilizando alguna argucia legal porque: no se encuentra el profesional “calificado” en Perú [uno al que [podamos baratear exprimiendo su necesidad para] pagarle lo “presupuestado” por realizar las “funciones del cargo” [lo que deberían hacer varios profesionales y no uno] que [no] han pasado apropiadamente por los filtros correspondientes para efectuar la definición funcional correspondiente] –y después nos quejamos de los resultados. ¿O será que se requiere en realidad un servicio de consultoría y no debe entonces canalizarse como CAS? ¿Aspectos presupuestales o Pepe el vivo?

O el caso –que seguramente todos conocen y hasta vivido (yo sí pero fue descubierto a tiempo –de por medio, monitorización y trazabilidad ¿mencioné auditoría?, análisis del entorno económico-político [hacia dónde se dirigen las cosas], conocimiento del ecosistema, ¿ya planteé riesgos?)- de un administrador de sistemas “motivado” para “impactar negativamente” en la organización[4].

Y en el contexto de nube privada, seguramente [espero] los CIO no estarán pensando en [sugiero que no] reducir personal, por lo menos no bajo la ‘perspectiva’ de “verse” más [hum, digamos] eficientes [paraguas usualmente mal utilizado]. Antes seguramente han pensado en cómo proteger [y asegurar claro] la propiedad intelectual empresarial del servicio que se entrega ¿verdad que primero ya implementaron un buen sistema de gestión del conocimiento que funciona en toda la organización [me refiero a que es operado, actualizado, utilizado, optimizado], que está interiorizado y está sujeto a mejora continua con base en procedimientos documentados?

Flexibilidad, agilidad y ahorros económicos son los principales motivos –en adición a “sentirse en” control de la seguridad o justificar la “soberanía” de la información, independiente de su localización geográfica, lo que limita la adopción de este paradigma. Estos son viejos desafíos para las empresas y “bussiness as usual [el día a día]” para los equipos de TI [el proveedor interno]. Viejas historias.

No olvidamos el planeamiento previo, profundo y concienzudo que debemos hacer –para evitar errores [¡hey!, ¿no somos humanos?]. Sí, lo reconocemos [y no hay forma de olvidarlo] y algunos dirán que es mejor pensar conforme avanzamos [haciendo… bueno… depende de -o teniendo que aceptar- lo que resulte…]. Al respecto nuestras experiencias son variadas –por ponerlo amable. El diseño, implementación, gestión y mantenimiento de una nube privada es algo complejo –e intimidante para algunos. Sí, sí, cuento con algunas certificaciones al respecto [por lo que puedo hablar del tema] pero igual me intimido por supuesto, por las expectativas puestas en los proyectos –sobre todo si no contamos [o resulta “difícil” contar] con los recursos suficientes y apropiados, tanto humanos como materiales, pasando por plazos, factores externos, apoyo interno [la organización en su conjunto] y externo [proveedores, otras organizaciones], difusión y comunicación apropiada del proyecto [a TODOS los INTERESADOS], entre otros pero no únicos factores a considerar.

Sí, están las nuevas operaciones –propias del nuevo entorno de servicio entregado [suena bien y estamos ansiosos por trabajar en lo nuevo ¿verdad?]- y las legacy –propias del día a día [claro, las ahora aburridas (pero que no descuidamos ¿verdad? aun cuando somos humanos ¿cierto?) cuando tenemos a la vista algo nuevo], y tan habituales como la función de mesa de ayuda. Hay [hoy] normas y estándares internacionales que deberíamos seguir –y, claro, cada vez estamos más obligados [considerando lo apropiado caso por caso –es decir, con el sustento claro y completo por supuesto]. Cumplamos pero, con y por convicción, no sólo para la foto [¿el Mercado?].

Hace varias semanas estuve conversando con un cliente [una entidad pública] y su requerimiento era más tecnología, nueva tecnología, mejor tecnología. ¿Por qué y para qué? “Para operar mejor” fue prácticamente la respuesta [una horrible y muy lamentable similitud con el cuento de Perrault que escuchamos de niños]. No en balde los proveedores siempre preguntan primero si se cuenta con presupuesto y a cuánto asciende. A pesar de la redundancia y contingencia desplegada de la que hacía gala este cliente (centros de datos en activo-activo, y otras sutilezas), ocurrió un percance y ninguna redundancia o contingencia implementada lo salvó de ver sus servicios desplegados a nivel nacional paralizados –varias horas, en horario laboral. Pasado esto, ante las mismas preguntas de antes, la respuesta seguía siendo la misma.

¿Ya hablé de sostenibilidad [continuidad de operaciones sin menoscabo de la capacidad de desarrollo futuro] y sustentabilidad [las razones por las cuales invertir en la sostenibilidad o en la plataforma tecnológica para el caso]?[5] No olviden a Murphy. ¿Habrán por lo menos considerado la tercerización o externalización [claro, para aprovechar el know-how, alinear capacidades, suplir carencias, facilitar el acceso a especializaciones, economía de escala, acceder a más servicios –o mejor provistos, ampliar la oferta de servicios, optimizar costos, reducir el CAPEX [las inversiones] y optimizar el OPEX [el recurrente], mejorar la competitividad, adoptar el modelo de servicio, proporcionar continuidad al negocio, obtener resultados, entre otros motivos], o el formar un ecosistema bien balanceado con los proveedores? ¿[Aún] no? Pero seguramente ya lo están considerando ¿verdad?

Mucho que pensar ¿verdad? Y eso que falta considerar cumplimiento normativo y legal –ups, olvidé las relacionadas con certificaciones alcanzadas, cargas de trabajo a elegir entre ser procesadas localmente [nube privada] o en la nube [pública], ¿alguien dijo aplicaciones móviles?, el lidiar con la uniformidad de las plataformas en nube, o la complejidad de trabajar con nubes híbridas [qué va en dónde, cómo, cuánto y hasta cuándo], entre otros muchos factores. La mezcla correcta, por supuesto, puede variar de un cliente a otro en función de las necesidades específicas, tales como la disponibilidad, costos, el rendimiento de cada servicio en la cartera de la organización.

Gartner definió en 2012 una plataforma de gestión de nube como las capas superiores de la solución en nube e indica que se debe considerar lo siguiente:

  • Una arquitectura empresarial deservicio en nubetiene cinco nivelesde funcionalidad: gestión de acceso (auto servicio, subscripción, identidad y acceso, entre otros aspectos a considerar), gestión de servicios (proveedores, contratos, catálogo de servicio, modelo de servicio, configuración, provisión, nivel de servicio, disponibilidad, rendimiento, demanda, capacidad, finanzas, mediciones, facturación, entre otros aspectos a considerar), optimización de servicios (gobierno, orquestación, federación, entre otros aspectos a considerar), gestión de recursos (gobierno, estado, rendimiento, seguridad, entre otros aspectos a considerar), yla capasubyacente de recursos (APIs, recursos físicos y virtuales tanto internos como externos, entre otros aspectos a considerar).
  • Idealmente, las capas de servicios en nubedebenser lógicamenteindependientes entre sí, deben maximizar laflexibilidad de implementacióny debenpermitir que elpotencial de sustituciónde variosproveedores –recordemos que la arquitectura de nube no es monolítica.
  • Los servicios en nubepueden haber reducidolos requerimientosparauna capa degestión de servicios-por ejemplo,en pre-producción, donde generalmente se aplican menos procesosformalesde gestión de TI [pero debemos tener cuidado en no “aligerar” demasiado el control necesario].
  • Las empresas tienen la posibilidad de acabarcon muchosconjuntos derecursos de nube que probablemente tengan repartidos entre recursosinternos yexternos, y deberían evitar obstaculizar el desplazamiento eficiente de los recursos [diseñando y aplicando procedimientos apropiados, adecuados y optimizados].
  • Se debe evitar la dependencia de proveedores únicos, pero tener [MUCHO] cuidado de que seleccionar los componentes significa para la organización de TI que debe [asumir los riesgos de] convertirse en su propio integrador de sistemas. Seguramente ya tiene una estrategia de computación en nube a seguir ¿o no?
  • Se debe elegir una plataforma de gestión de nube que permita la gestión de los recursos y servicios híbridos, los que operan tanto a nivel interno como externo.

No olvidemos la tecnología –pero a la inteligencia artificial aún le falta para ser “humana” (para bien o mal) –en un par de siglos tal vez. La aplicación del concepto de “TI debe funcionar como un negocio” será obligatoria en este entorno, ya que las organizaciones de TI tendrán que aprender y perfeccionar áreas tales como el catálogo de productos [ok, ok, servicios], gestión de la capacidad, gestión del rendimiento, gestión de la configuración, gestión de la demanda [ITIL/ISO20000], aseguramiento de la continuidad [ISO27000], la gestión financiera, optimización y gobierno del servicio [COBIT/Kaplan y Norton] y, en general, la orientación al servicio [inherentemente calidad de servicio (conociendo al cliente y su entorno), innovación, ISO9000]. Esto requerirá nuevas habilidades y transformación [inteligencia emocional] porque los diferentes servicios probablemente requerirán diferentes modelos de gestión.

El tema es que hoy por hoy todos los acontecimientos disruptivos han impactado la forma en que se compran y consumen los bienes y servicios, la forma en que las empresas se conectan con sus clientes, la forma en que los gobiernos interactúan con sus ciudadanos [¿podremos finalmente utilizar eficientemente la Plataforma de interoperabilidad del estado -PIDE?], e incluso la forma en que colaboran a diario [la agenda digital peruana[6] [7]]. En consecuencia, las empresas y los gobiernos deben centrarse menos en commodities [hardware y software], y más en la forma en que TI ayuda a resolver problemas de negocios –un poco más de inteligencia en las políticas de empleo de los recursos –incluso a nivel gobierno con el Sistema Nacional de Inversión Pública (SNIP) tenemos ya importantes inclusiones de recomendaciones y mejores prácticas como la gestión de proyectos en el marco del PMI.

[1]      Fuente: http://docs.media.bitpipe.com/io_11x/io_111063/item_741189/HP_Gartner%20Newsletter_Cloud.pdf, febrero/2016

[2]      Fuente: http://resources.idgenterprise.com/original/AST-0143462_EIU_Teradata_The_Virtuous_Circle_of_Data_briefing_paper_1_.PDF, febrero/2016

[3]      Fuente: http://searchcloudcomputing.techtarget.com/answer/Should-I-build-a-dedicated-private-cloud-staff?utm_medium=EM&asrc=EM_NLN_51771055&utm_campaign=20151229_Google%20cloud%20grows%20up%20in%202015,%20but%20work%20remains_kcasey&utm_source=NLN&track=NL-1814&ad=904943&src=904943, diciembre/2015

[4]      Fuente: http://community.spiceworks.com/topic/334270-how-to-fire-a-sys-admin-when-it-pros-go-rogue?utm_campaign=digest&utm_medium=email&utm_source=digest&utme=topic+featured, febrero/2016

[5]      Cáceres Meza, Jack Daniel. Propuesta para la implementación de normas de calidad que apoyen la gestión de clientes en una empresa proveedora de Internet. Lima, 2013. viii, 293 h. : il. ; 30 cm. Tesis (Mg. en Dirección Estratégica de las Telecomunicaciones) -Universidad Nacional Mayor de San Marcos. Facultad de Ingeniería Electrónica y Eléctrica. Escuela de Post-Grado, 2013

[6]      Fuente: http://www.codesi.gob.pe/, febrero/2016

[7]      Fuente: http://www.codesi.gob.pe/docs/AgendaDigital20_28julio_2011.pdf, febrero/2016

Mobility -¿un problema para la seguridad de la información?

Bueno, todos reconocemos lo que Blackberry desde 1999 ha significado (ok, ok, continúa significando) para el mundo de los dispositivos móviles.

Tuve uno y principalmente por su capacidad de mensajería BBM –me permitía chatear con y comunicarme al instante con mi equipo de trabajo y podía ver con claridad cuándo mi mensaje había sido recibido, leído y me estaban respondiendo.

Sin embargo, en lo que concierne a los dispositivos, algunos opinan que ya fue superado[2] por los smartphones (lo usual como libreta de direcciones, agenda, calendario, lista de tareas, bloc de notas, navegador, aplicaciones de redes sociales, cámara de fotografía integrada en todos los dispositivos, teclado QWERTY incorporado, y su capacidad para enviar y recibir correo electrónico de Internet accediendo a las redes de las compañías de telefonía celular que brindan este servicio[1]) e incluso que en 2016 descontinuará su producción[3]. Una mayor capacidad de configuración por parte del usuario es uno de los motivos –claro, de las app o sea, software. Una mejor gama de servicios, es otro motivo[4].

Para reforzar su oferta de gestión de contenido móvil (MCM) [conjunto de tecnologías que proporcionan acceso seguro a los datos corporativos en los smartphone, tabletas y otros dispositivos de punto –usuario- final[5]] dentro de BlackBerry Enterprise Service 12 (BES 12), BlackBerry ha llegado a un acuerdo para comprar WatchDox Ltd., una compañía en Palo Alto, California de sincronización-y-compartición segura de archivos empresariales[6]. Esta aplicación asegura los archivos compartidos en tanto dispositivos móviles como computadoras de escritorio y le permite mantener el control sobre cómo se accede a los archivos, se copian, imprimen, editan y comparten. Los archivos pueden ser borrados de forma remota o encerrados en caso de una violación de datos. Además, puede eliminar el acceso a los archivos comprometidos durante una violación de datos. En la misma tónica de mejora, y para complementar su oferta de seguridad, BlackBerry adquirirá Good Technology Inc. de Sunnyvale, California, uno de los mayores proveedores restantes de la tecnología de gestión de movilidad empresarial (EMM)[7] [enfoque global para asegurar y permitir a los empleados el uso de smartphones y tabletas[8]], mejor conocido por sus capacidades de tecnología de contenedores[9] de correo electrónico y de seguridad móvil, con el objetivo de gestionar dispositivos de forma segura a través de cualquier plataforma[10].

Así, Blackberry busca extender su presencia con mejor software y servicios. Estas adquisiciones son una prueba más de los intentos de BlackBerry para transformarse de un fabricante de hardware a una empresa de software y servicios y, posiblemente, de que las finanzas de la compañía están cambiando después de varios años de pérdidas. Más aún, considera la seguridad de por medio, una de las principales tendencias en 2016 para la movilidad empresarial[11]:

  • Asegurar la información más que los dispositivos;
  • Desarrollar apps más rápido, más rápidas y más económicas de desplegar;
  • Empezar a construiraplicaciones que haganmás sentido, ya que se utilizael móvilpara loque es bueno: ingresoy captura de datos,y las cosasque puedes hacercuando estás “remoto”;
  • Preocupación de que el número creciente de smartphones aumenta el tamaño y la uniformidad de la superficie de ataque, sobre todo en los dispositivos que no van a ser muy visibles o manejables por TI;
  • Dos grandes tendencias serán la movilidad como una plataforma de cómputo primaria y los dispositivos [convencionales] desvaneciéndose en un segundo plano (porque simplemente se vuelven muy integrados con lo que hacemos y ya no los notamos o identificamos).

Ahora, con respecto a su empresa, sabiendo que la masificación de los dispositivos portátiles en el consumidor está obligando a las empresas a priorizar en sus estrategias de negocios el llevar sus contenidos y aplicaciones en forma segura a las plataformas móviles aceptando la tendencia BYOD (mobile first)[12], ¿Tiene sentido ir a una oferta de gestión completa de movilidad empresarial (EMM)? ¿O debe buscar una característica especial de EMM?, ya sea de:

  • Gestión de dispositivos móviles (MDM) [el área administrativa que trata con el despliegue, aseguramiento, seguimiento, integración y gestión de dispositivos móviles, como smartphones, tablets y portátiles, en el lugar de trabajo[13]].
  • Gestión de aplicaciones móviles (MAM) [es la entrega y administración de software empresarial a los smartphones y tabletas corporativas y personales de los usuarios[14]].
  • Gestión de contenido móvil (MCM).
  • Gestión de la información móvil (MIM) [estrategia de seguridad independiente del dispositivo que implica mantener los datos confidenciales cifrados y permitir solamente su acceso o transmisión a las aplicaciones autorizadas]

¿Qué pasa con otras características, como el servicio móvil, correo electrónico, información o gestión de acceso de identidad (IAM) [marco para los procesos de negocio que facilita la gestión de identidades electrónicas; este marco incluye la tecnología necesaria para apoyar la gestión de la identidad[15]]? ¿Qué pasa si la seguridad es su prioridad –como en el caso de Blackberry?

El siguiente cuadro muestra una comparación a enero de 2015 entre diferentes soluciones[16].

EMM_comparison (1)

Fuente: http://searchmobilecomputing.techtarget.com/

[1]      Fuente: https://es.wikipedia.org/wiki/BlackBerry, diciembre/2015

[2]      Fuente: http://searchmobilecomputing.techtarget.com/blog/Modern-Mobility/Will-market-consolidation-burn-BlackBerry-in-2016?utm_medium=EM&asrc=EM_NLN_51903280&utm_campaign=20160101_Top%20enterprise%20mobility%20tips%20from%202015_elockhart&utm_source=NLN&track=NL-1819&ad=904893&src=904893, diciembre/2015

[3]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500250910/BlackBerry-devices-face-extinction-amid-continual-losses, julio/2015

[4]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500260395/BBM-Meetings-dropped-BlackBerry-phones-could-be-next, diciembre/2015

[5]      Fuente: http://searchmobilecomputing.techtarget.com/definition/mobile-content-management, marzo/2014

[6]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500244787/BlackBerry-adds-enterprise-file-sync-and-share-with-WatchDox, abril/2015

[7]      Fuente: http://searchmobilecomputing.techtarget.com/news/4500252972/BlackBerry-buys-Good-Technology-to-boost-mobile-security, setiembre/2015

[8]      Fuente: http://searchmobilecomputing.techtarget.com/definition/enterprise-mobility-management-EMM, julio/2014

[9]      Fuente: http://whatis.techtarget.com/definition/secure-container, agosto/2015

[10]    Fuente: http://www.computerweekly.com/news/4500252954/BlackBerry-buys-Good-Technology-to-boost-device-management, setiembre/2015

[11]    Fuente: http://searchmobilecomputing.techtarget.com/feature/Experts-predict-2016-enterprise-mobility-trends?utm_medium=EM&asrc=EM_NLN_51903278&utm_campaign=20160101_Top%20enterprise%20mobility%20tips%20from%202015_elockhart&utm_source=NLN&track=NL-1819&ad=904893&src=904893, noviembre/2015

[12]    Fuente: http://www.solucionesorion.com/noticias/mobile-first-se-impone-como-concepto, abril/2013

[13]    Fuente: http://searchmobilecomputing.techtarget.com/definition/mobile-device-management, junio/2013

[14]    Fuente: http://searchmobilecomputing.techtarget.com/definition/mobile-application-management-MAM, junio/2014

[15]    Fuente: http://searchsecurity.techtarget.com/definition/identity-access-management-IAM-system, marzo/2015

[16]    Fuente: http://searchmobilecomputing.techtarget.com/news/2240239059/Enterprise-mobility-management-features-pricing-comparison, enero/2015

Seguridad de la información con la tendencia BYOD

El crecimiento y las innovaciones que brindan las redes sociales y las tecnologías de conectividad plantean una serie de oportunidades y riesgos para las empresas[1].

Bring Your Own Device (BYOD) es una tendencia cada vez más generalizada en la que las empresas permiten a los trabajadores llevar[2] [y utilizar –comprometiendo la seguridad de la información] sus dispositivos portátiles personales para llevar a cabo tareas del trabajo y conectarse a la red y recursos corporativos –la tecnología más avanzada aprovechable por la empresa pero sin los costos inherentes [¿qué tan cierto es esto y en qué grado?].

BYOD se requiere en algunos mercados verticales, como hospitales, escuelas, y algunas empresas manufactureras siguen exigiendo la movilidad y el uso que ofrecen estos dispositivos. ¿Su empresa requiere apoyar esta tendencia? ¿En dónde se requieren estos dispositivos? ¿Habrá que re-diseñar la red de datos?

Los usuarios adquieren dispositivos de su agrado y mantienen su status; ahorran los que permiten su uso –claro la empresa (menos costos en aparatos, licencias, renovaciones, seguros, entre otros –er, ahorros)[3]. En cualquier caso, su uso se incrementa:

BYOD

Todos ganan flexibilidad y movilidad; las empresas ganan además acceso remoto redefiniendo lo que significa “estar en la oficina”[4] [¿alguien dijo teletrabajo?] y personal más productivo [tal vez discutible esto último] pero, consideremos lo siguiente:

  • El control se complica:
    • Impacto en la confidencialidad-integridad-disponibilidad;
    • Re-evaluación de la clasificación de la información –y sus riesgos;
    • Los roles y autorizaciones;
    • Necesidad de incrementar recursos de red –para evitar degradación [¿qué consume más ancho de banda de comunicaciones, un Smartphone personal del cual ignoramos su configuración (aplicaciones instaladas) o una computadora propiedad de la empresa?];
    • Con BYOD, voz, vídeo, comunicaciones unificadas, y aplicaciones hambrientas de ancho de banda están siendo transportadas a través de la infraestructura inalámbrica, que probablemente no esté preparada para esta carga sin precedentes;
    • ¿Malware y rootkits? –claro que sí[5];
    • Necesidades adicionales/diferentes de protección Wi-Fi;
    • Control de tráfico;
    • Control de accesos;
    • Seguridad en la transmisión [¿VPN tal vez[6]?] y almacenamiento de los datos –cifrado de datos seguramente será una consideración de importancia;
    • ¿Problemas de identidad o filtración de información?;
    • Entre otros.
  • El entorno de trabajo se complica
    • Se debe reforzar el soporte técnico y mantenimiento de TI;
    • No olvidemos la gestión que sería requerida y los aspectos normativos y legales inherentes[7] [¿conocen –algunos seguramente recuerdan- términos como precedente jurídico?].
    • Entre otros.
  • Se vuelve menos confiable por la diversidad de alternativas tecnológicas, y su configuración[8].

Así, sería muy importante disponer de una solución Mobile Device Management (MDM) con la cual, entre otras funcionalidades se podría contar con[9]:

  • La instalación masiva de aplicaciones en los terminales conectados a la red
  • El control de las apps que pueden ser utilizadas permitiendo al personal de TI gestionar y bloquear tipos concretos de aplicaciones según categorías
  • El control de acceso de los dispositivos
  • La localización y el seguimiento de cualquier dispositivo
  • El bloqueo de funciones
  • La sincronización de archivos
  • El control de consumo telefónico y de datos
  • El borrado remoto de los datos de cualquier terminal
  • Y el establecimiento de una contraseña de bloqueo desde el servidor
  • Aplicación de políticas de DLP, cifrado y cumplimiento de normativas, mediante el bloqueo de dispositivos no cifrados o desbloqueados ilícitamente
  • Penalizaciones en caso de incumplimiento de roles[10]

La visibilidad lleva al control y el control lleva a la protección[11]. Así es, cada empresa tiene mucho que evaluar. Sobre todo porque el dispositivo NO le pertenece a la empresa así que hay MUCHAS limitaciones –pero el empleado debe ser consciente que para trabajar con sus propios dispositivos muchas veces debe renunciar a parte de su libertad y privacidad[12]. Entonces se debe establecer una política BYOD  para controlar su uso[13] la que debería tener en consideración lo siguiente:[14]

  • Personalización. Haga políticas específicas para casa caso sobre el uso y el acceso a la información por parte de los usuarios, puesto que cada uno de los trabajadores necesitará ciertas aplicaciones que quizá no le interesen a otros.
  • Restricción. La política de privacidad debe ser selectiva y restrictiva, ya no solo según el usuario, sino también según el tipo de datos a los que se tenga acceso [BYOD resulta atractivo porque las estrictas líneas de demarcación sobre lo que puede visitarse, descargarse y utilizarse en un dispositivo propiedad de la empresa se difuminan en un dispositivo propiedad del empleado, que incluye contenido tanto personal como profesional por diseño] –atenta contra el auto-servicio a que estaría acostumbrado el empleado.
  • Vincule las políticas y procesos de MDM con la estrategia general de administración y seguridad.

En adición a tener que implementar políticas de seguridad más estrictas –o “razonables” [cierto, ¿quién y cómo se definen? –no olvide crear la política antes de obtener la tecnología[15]], también se debe Invertir en sensibilización y capacitación de los usuarios. Los empleados deben ser entrenados en la importancia de adherirse a la política BYOD y los estragos que pueden ser causados por un fallo de seguridad. Una vez que la política BYOD está en su lugar y se comunica a los usuarios, debe haber una manera de monitorear y hacer cumplir la misma.

Tal vez sea conveniente analizar y sopesar si se debe desarrollar apps dedicadas –y seguras por supuesto- o continuar utilizando acceso web a los sistemas de información críticos. Recordemos no bajar la guardia –los ataques seguramente serán cada vez más selectivos. Si no tenemos madurez tecnológica para cumplir con las reglas y acuerdos establecidos para mantener la seguridad, poco se puede exigir [tal vez crear un perfil “de trabajo” y uno “personal”, para mantener separados apps y datos de cada uno podría ser una buena idea] -evitando proteger los datos corporativos con códigos de acceso personal[16].

No olvidemos nuestros procedimientos documentados [¿recuerdan las ISO, sobre todo la ISO9000?]. La auditoría es fundamental, para que sepamos cuándo se ha accedido a una aplicación, quién lo ha entrado, qué documentos ha utilizado, modificado, descargado, otros.

[1]      Fuente: http://www.welivesecurity.com/wp-content/uploads/2014/01/documento_guia_byod_W.pdf, enero/2014

[2]      Fuente: http://computerhoy.com/noticias/moviles/que-es-byod-ventajas-e-inconvenientes-7250, diciembre/2013

[3]      Fuente: http://www.isaca.org/chapters8/Montevideo/Events/Documents/presentacion%20-%20maximiliano%20alonzo%20-%20byod%20ventajas%20desventajas%20y%20consideraciones%20de%20seguridad.pdf, noviembre/2015

[4]      Fuente: https://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons-Global_ES.pdf, 2012

[5]      Fuente: https://www.sophos.com/es-es/products/your-needs/technology-case-studies/byod.aspx, noviembre/2015

[6]      Fuente: http://blog.ontrackdatarecovery.es/6-tips-para-mejorar-la-seguridad-byod/, agosto/2014

[7]      Fuente: http://viewer.zmags.com/publication/60f900a3, noviembre/2015

[8]      Fuente: http://www.flukenetworks.com/expertise/topic/byod, noviembre/2015

[9]      Fuente: http://www.trendmicro.es/productos/mobile-security/, noviembre/2015

[10]    Fuente: http://www.ibm.com/developerworks/ssa/cloud/library/cl-cloudbasedBYOD/, mayo/2013

[11]    Fuente: http://media.kaspersky.com/sp/business-security/win-security-battle.pdf, 2014

[12]    Fuente: http://www.pymesyautonomos.com/tecnologia/politicas-de-fugas-de-datos-seguridad-y-byod-cuando-el-enemigo-esta-detras-del-teclado, diciembre/2014

[13]    Fuente: http://searchdatacenter.techtarget.com/es/consejo/Como-crear-una-politica-de-BYOD, enero/2014

[14]    Fuente: http://www.raona.com/es/Solutions/Template/164/C%C3%B3mo-establecer-una-buena-pol%C3%ADtica-de-seguridad-para-tu-estrategia-BYOD, 2013

[15]    Fuente: http://content.maas360.com/www/content/eb/maas360-ten_commandments_of_byod_bring-your-own-device.pdf, octubre/2011

[16]    Fuente: http://f6ce14d4647f05e937f4-4d6abce208e5e17c2085b466b98c2083.r3.cf1.rackcdn.com/tips-to-avoid-seven-deadly-sins-mobile-security-pdf-6-w-1851.pdf, julio/2015

Un caso de éxito en gestión de servicios [de TI]

Toda empresa busca incrementar ventas, ganancias, márgenes, la satisfacción del cliente y reducir los costos de ventas y de mercadotecnia -mejorar los servicios [de TI].

En otras palabras, incrementar el ARPU[1] (ingreso recurrente mensual promedio de un cliente que paga) y reducir el churn[2] (cantidad de clientes o suscriptores que cortan lazos con su servicio o empresa durante un período de tiempo dado).

Una manera de lograr mayor eficiencia y efectividad es mediante el empleo de estándares internacionales y mejores prácticas en la industria ajustados a los propios requerimientos de la empresa con la finalidad de responder al qué debe hacerse y cómo debe hacerse, así como determinar la necesidad de implementar mejoras en los lugares y momentos más apropiados, si acaso encontrar como resultado de esta evaluación que es necesaria una re ingeniería de sus procesos. En otras palabras, credibilidad en la empresa y confianza en el servicio.

Aquí tenemos dos paradigmas. Primer paradigma: se piensa que las recomendaciones y estándares se deben aplicar a la totalidad de los procesos. Esto es incorrecto ya que se pueden aplicar las recomendaciones en solo parte de los procesos principales de la empresa ‑los que tienen relación o impacto directo sobre los clientes; solo es necesario establecer un plan de implementación que haya sido sincerado con los requerimientos del mercado y objetivos estratégicos de la empresa. Segundo paradigma: las áreas técnicas piensan que la aplicación de estándares de la industria implican controles innecesarios y son una pérdida de tiempo, además de limitar las funciones propias de investigación y desarrollo. Esto también es incorrecto por cuanto el área técnica no aprecia lo que va más allá del mero control (auditoria) – del proceso y no de la persona   y la estandarización y que, más bien, les permitiría contar con más y mejor tiempo para la investigación, mejora, innovación y desarrollo, tanto de la empresa como a título personal.

Una empresa proveedora de servicios Internet (ISP) tenía en 2007 una cartera de seis “servicios” de valor agregado que no habían sufrido cambio o mejora desde su concepción seis años antes. Estas soluciones de valor agregado se diferencian de las de valor añadido ‑como cataloga el Ministerio de Transportes y Comunicaciones (MTC) a las soluciones de dial up, almacenamiento de datos y cuentas de correo electrónico- en que emplean ampliamente las TIC. Dado que el área técnica no consideraba que estos servicios eran de su directa responsabilidad, ocurría que:

  • No se cumplían especificaciones, funcionalidad ni plazos de propuesta y menos de implementación.
  • Los costos de estos servicios siempre eran mayores a lo que el cliente pagó por ellos.
  • Los clientes nunca quedaban satisfechos con el producto o servicio implementado.
  • El ámbito de solución o implementación era meramente técnico y no se enfocaba en un beneficio real para la empresa contratante.
  • El producto o servicio sufría de fallas continuas y no estaba estandarizado ni documentado.
  • El diagnóstico era prácticamente imposible y casi siempre se debía efectuar una re‑instalación.

Por lo anterior, los clientes cancelaban o no renovaban contratos por estos productos o servicios e, inclusive, dada su insatisfacción, decidían no continuar trabajando con la empresa proveedora, retirándose completamente incluso de otros servicios no relacionados o no contratados de forma integral.

Como ejemplo de aplicación de la gestión de servicios, al interior de esta empresa se desarrolló una unidad de negocio enteramente nueva y con personal nuevo la cual tuvo como misión diseñar, desarrollar, implementar y dar mantenimiento y soporte técnico a productos y servicios de valor agregado, no regulados por el Ministerio de Transportes y Comunicaciones –MTC.

El proyecto de inversión para la nueva área propuesta contempló el empleo efectivo, desde sus inicios, de mejores prácticas en la industria y normas internacionales para la gestión de calidad (ISO9000), gestión de servicios (ITIL, ISO20000), gestión de la seguridad de la información (ISO27002, ISO27001), y gestión de proyectos (PMI), así como el establecimiento de acuerdos de nivel de servicio, encuestas de satisfacción y auditorias periódicas.

La implementación se logró exitosamente al 100% en solo cuatro meses y con un solo especialista. Durante este tiempo se desarrolló una cartera de 27 servicios nuevos y complejos, completos. Incluso se desarrollaron acuerdos de nivel de servicio –inexistentes hasta ese entonces, contratos personalizados para este conjunto de servicios de valor agregado, y plantillas para proyectos y propuestas comerciales –se tenían propuestas listas en menos de dos horas.

Al cabo de un año, esta área de Valor Agregado se enorgulleció de ser:

  • La primera unidad de negocio en satisfacción al cliente –por encima de los servicios bandera de la empresa.
  • La que más confianza logró con los clientes.
  • La única en pasar todas las auditorías internas.
  • La que mayor sostenibilidad ofrecía (continuidad de operaciones sin menoscabo de la capacidad de desarrollo futuro) de la plataforma tecnológica con procedimientos documentados.
  • La que mejor sustentabilidad ofrecía (razones) de la plataforma tecnológica y su innovación.
  • La segunda en margen de contribución con márgenes superiores al 95% del precio de venta.
  • La que más proyectos gestionó, la que en más licitaciones participó, la que más consultorías desarrolló e implementó –con un solo Gerente de cuenta, el brazo comercializador, de un total de siete.
  • La única en implementar proyectos de forma exitosa: con el nivel apropiado de seguridad física y lógica, realizados dentro del tiempo programado, satisfaciendo expectativas, con costo menor o dentro de lo presupuestado, con un impacto negativo mínimo o nulo en la operativa diaria, erradicando problemas legales, estableciendo el compromiso necesario con terceros, estableciendo acuerdos de nivel de servicio reales y sincerados con las posibilidades técnicas y administrativas, otros, estableciendo una adecuada gestión de incidentes y control de cambios.
  • La primera en beneficiarse de la gestión del conocimiento implementado por la generación de procedimientos documentados, lo que propició la difusión del conocimiento y lo hizo extensivo a otras unidades de negocio.
  • La única en contar con personal apropiadamente capacitado, suficientemente entrenado y altamente motivado.

[1] ARPU. Recuperado el 07 de setiembre de 2015 de sitio web: https://www.firstofficer.io/saas_metrics/arpu

[2] CHURN. Recuperado el 07 de setiembre de 2015 de sitio web: http://churn-rate.com/

Una historia verdadera de una TELCO –proveedor de servicios relacionados con las telecomunicaciones

Primero, un poco de contexto en cuanto a cumplimiento de requisitos del cliente (sus expectativas y necesidades transformadas en especificaciones concretas) y a certificar su cumplimiento.

Es sabido que durante los últimos años las empresas se han visto forzadas a hacer más con los mismos recursos que antes –o incluso con menos. Es decir, las empresas deben ser más eficientes en sus procesos y emplear estrategias diferenciadoras para lograr efectividad en sus resultados al satisfacer las necesidades de sus clientes mediante el cumplimiento de todos sus requerimientos, flexibilizando incluso sus costos para hacer lo mismo con el servicio que prestan.

El cumplimiento de normas peruanas e internacionales, la adhesión a determinadas metodologías o la adopción de mejores prácticas en la industria las damos como un hecho dado hoy en empresas privadas y veamos también las licitaciones en el Sistema Electrónico de Contrataciones del Estado (SEACE), dependiente del Organismo Supervisor de Contrataciones del Estado (OSCE). Actualmente existe un mayor interés entre las empresas nacionales por obtener los certificados de calidad ya que con ello se abren las puertas para ingresar al mercado internacional con una mayor competitividad (Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual ‑INDECOPI). La certificación permite demostrar a los consumidores el cumplimiento de regulaciones tanto técnicas como legales (Asociación Española de Normalización y Certificación ‑AENOR).

En la actualidad el mercado en general es más consciente de la importancia que tiene la satisfacción del cliente y por tanto los negocios están enfocados en ofrecer productos y servicios cada vez de mayor calidad, e incorporan en este concepto la gestión de calidad, disponibilidad de los servicios, confidencialidad de los datos y su integridad, como parte de un modelo integrado de gestión (del cual hablaremos en un posterior artículo). Sin embargo, en algunas ocasiones las empresas productoras o de servicios pasan por alto esta satisfacción tan importante con el fin de no perjudicar los ingresos económicos del momento y, al hacerlo, no se dan cuenta que su prestigio se ve severamente dañado en el mediano y largo plazo, por un solo cliente insatisfecho.

En la industria de las telecomunicaciones el modelo de negocio de las TELCO 1.0 está centrado en la infraestructura física, que lo puede limitar geográficamente en algunos casos, y cuya escalabilidad se basa en CAPEX (inversiones en activos). Los servicios provistos por una TELCO 1.0 están fuertemente regulados por el Ministerio de Transportes y Comunicaciones –MTC. Este modelo busca continuamente la diferenciación de servicios, lo vemos en la oferta del mercado. La reducción de precios y la cada vez menor intermediación harán que las ganancias bajen y aumente el churn –la deserción de clientes.

Así aparece el modelo de negocio de las TELCO 2.0 el cual está centrado en la infraestructura virtual ya que sub arrienda la infraestructura física a cualquiera de los TELCO 1.0 que puedan proveer la conectividad en el alcance geográfico requerido y, por tanto, su escalabilidad se basa en OPEX (gasto en las operaciones). La mayoría de los servicios que provee no están regulados lo cual ofrece interesantes ventajas competitivas.

Ahora, la historia. Una empresa de telecomunicaciones TELCO 2.0 nació de otra dedicada a servicios Internet y operó entre 2001 y 2010. Experimentó reducciones considerables en sus ingresos entre 2007 y 2009, especialmente en sus dos servicios bandera del mercado corporativo: hosting e Internet. La empresa matriz formó entre 2008 y 2009 una empresa dedicada al periodismo, y dos más en 2010. Su personal técnico era responsable de las operaciones de todas estas empresas, con énfasis en las últimas (directiva central). Con ayuda de la siguiente figura cuya escala es logarítmica mostramos algunos aspectos de servicio, aseguramiento y seguridad que no fueron debidamente tomados en cuenta, aun cuando estos son servicios regulados.

rcp

Los registros de incidencias se mantenían hasta 2007 en el correo electrónico y hojas Excel que cada especialista mantenía de forma individual, sin formato estandarizado. En 2008 se busca implementar un sistema de información aparente para las incidencias. Apreciamos que hasta noviembre de 2009, mes en que se implementa un nuevo sistema de registro de incidencias, la empresa evaluada no contaba con un sistema real y eficiente para el registro de datos. Podemos observar que en el periodo 2008-2009 el número de reportes por avería se reduce sin embargo, aumentan las desafiliaciones –lo que resulta inexplicable. Nótese el caos de los datos y cómo el Reporte de avería se transformó convenientemente en Estado de servicio. Aparecen Averías en 2009 pero no en 2010, y tampoco Soporte en Línea. De igual forma, es particularmente interesante notar que se registran Desafiliaciones y Desafiliaciones de servicios. En cambio, aparece un rubro Otros en 2010 que no tiene un contenido específico pero va en aumento. Además, la telefonía fija existía desde 2005 y cambió a ese nombre en 2010. En 2010 la correlación entre el número de desafiliaciones y de llamadas inquiriendo por el estado del servicio es ahora más evidente y resulta interesante que no exista información sobre averías en sus servicios bandera.

Evidentemente esta empresa cerró pero la matriz abrió otras relacionadas. Las causas del colapso fueron varias, entre otras: procedimientos deficientemente establecidos y no documentados; cultura organizacional que no interioriza el concepto de servicio, como ITIL lo propone (no tiene pasión por el cliente); conceptos de calidad mal orientados; liderazgo organizacional mal enfocado; empresa que no adopta la gestión en sus operaciones (seguridad de la información, servicios); inexistente sinceramiento operativo y ocultamiento de información (áreas que son juez y parte y que impiden cualquier intento de auditoría); cumplimiento normativo inexistente.

Consejos para la seguridad de los datos en las empresas

1Para todas las empresas, sin importar su tamaño o sus equipos informáticos, la información contenida en ellos representa uno de los activos más valiosos.

Muchas empresas tienen implantadas una serie de políticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, pérdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a través de sistemas informáticos como en otro tipo de soportes, como el papel. Continue reading