Cómo la organización necesita capacitar a sus colaboradores en ciberseguridad

Las encuestas seguramente mostrarán que los trabajadores siguen violando las políticas de seguridad para seguir siendo productivos.

Las amenazas de información modernas vienen en muchas formas: de los hackers que buscan robar propiedad intelectual a los empleados inconscientes que no saben que están poniendo los datos en riesgo.

Cierto, los seres humanos somos el eslabón más débil –hasta que los hacemos un activo fuerte.

[Sin duda] la empresa capacita a sus colaboradores de acuerdo con su política de seguridad para inculcarles el papel crítico que desempeñan en mantener su lugar de trabajo seguro mediante una vigilancia más estrecha para proteger contraseñas personales y datos confidenciales, y en reconocer las amenazas (¿ransomware por ejemplo?).

Toquemos el punto de la capacitación y preguntémonos:

  • ¿cómo realizamos estas capacitaciones? Por ejemplo, en línea o presencial, otras formas
  • ¿en dónde realizamos estas capacitaciones? Por ejemplo, en un local especialmente acondicionado (interno o interno a la organización), en la oficina del jefe inmediato, en el módulo de trabajo del colaborador al cual reemplazará o con el cual trabajará, otros
  • ¿en qué oportunidades realizamos esta capacitación? Por ejemplo, el primer día/semana/mes de labores, tan pronto o luego que el colaborador ha ingresado, o antes que el colaborador se integre formalmente a la empresa, agrupamos los colaboradores ingresantes en un periodo determinado, una vez al año, por pedido expreso, por necesidad evidente [una re-capacitación por ‘afianzamiento’ tal vez], otras opciones
  • ¿cuál es el propósito de la capacitación? Por ejemplo, una inducción, la que esperamos no sea sólo de seguridad ocupacional, difundir la política institucional, difundir la política de seguridad, aclarar el acuerdo de confidencialidad que el colaborador firmará al ingresar a laborar y que le será recordado por el área competente al retirarse de la empresa, otros
  • ¿mantenemos un registro de las capacitaciones realizadas? Por ejemplo, en archivo texto, hoja de cálculo, archivos personales, base de datos, otros, y consideramos también las evaluaciones de entrada y de salida, tanto de colaboradores como de capacitadores
  • ¿cómo aseguramos la asistencia? Por ejemplo, por disposición normativa, coordinación con el jefe inmediato, obligación contractual, amenaza a la continuidad laboral por incumplimiento, otros
  • ¿cómo controlamos la asistencia y entrega/accedo al material correspondiente? Por ejemplo, identificación de la computadora desde donde realizamos la capacitación [dirección IP, nombre de máquina], identificación del usuario que ingresa al módulo en línea de capacitación, presencial con un supervisor, listado actualizado de participantes, otros
  • ¿mantenemos un historial de estas capacitaciones por cada colaborador? Por ejemplo, para emplearlas como insumo de la evaluación semestral o anual
  • ¿de qué manera aseguramos el resultado esperado –y continuo- de esta capacitación? Por ejemplo, evaluaciones inopinadas periódicas con registro de resultados en el archivo personal, resultados tangibles [objetivos] de labores realizadas registrados en el archivo personal, otros
  • ¿por qué realizamos estas capacitaciones? Por ejemplo, por mero cumplimiento normativo, porque así lo pidió el jefe [actual], o porque la empresa realmente ha interiorizado la necesidad, entre otros
  • Seguramente tenemos algunas otras inquietudes. Compártanlas por favor, en beneficio de todos.

Démonos cuenta [si aún no lo hemos hecho] de que la seguridad es un facilitador.

Crear una cultura de seguridad en una empresa puede ser complicado. En la organización la cultura implica una balanceada intersección entre personas y organización –es lo que hace únicas a las empresas, afecta la forma en que implementamos las cosas y lo que tiene sentido en el ecosistema de la organización.

En este ecosistema, los profesionales de la seguridad de la información debemos darnos cuenta que hemos evolucionado de siempre ser vistos como meramente tecnólogos, a gente de proceso, a ser verdaderamente un socio comercial y profesional de negocios -me incluyo ¿te incluyes?

En aras de afianzar esta cultura de ciberseguridad, por ejemplo, nada como ser transparente en qué estamos haciendo y cómo lo estamos haciendo los profesionales de la seguridad de la información, y explicarlo en el lenguaje del negocio -¿de qué manera lo haces tú?

Pero, también es obvio que la organización debe evolucionar, debe buscar un equilibrio entre proteger los datos y capacitar a los colaboradores para que sean productivos (no olvidemos la triada procesos-personas-tecnología), incorporando los altos ejecutivos del negocio en este esfuerzo de capacitación para que entiendan a cabalidad [y con esfuerzo y tiempo, también interioricen que no es sólo responsabilidad del departamento de TI] los requerimientos y necesidades de ciberseguridad [algo que ya no se puede ignorar].

La organización busca protegerse contra el mal comportamiento del usuario final, amenazas de día cero, sitios Web comprometidos y hacks entre equipos de escritorio y entre equipos de escritorio y servidores, seguramente empleará para esto alguna herramienta especializada (¿secure desktop as a serviceSDaaS?).

Bastante se ha hablado también que no es una cuestión de si vamos a ser atacados [o que vaya a violar nuestra seguridad], es una cuestión de cuándo esto ocurrirá, y que debemos estar preparados.

El problema seguramente es cómo lograr que tanto la organización como los colaboradores interioricen esta necesidad y objetivo –de manera continua porque, recordemos que la seguridad es un proceso, no un producto.

¿Cómo pueden las compañías asegurarse de que sus políticas y procesos de seguridad estén al día con las amenazas modernas? Una política de seguridad clara y bien entendida sería un inicio. Una sensibilización y formación [en contraposición (o complemento tal vez) a una capacitación] apropiadas, seguidas de las auditorias correspondientes, serian también aconsejables. El tipo de sensibilización [compromiso e interiorización posterior] que logremos en estos programas de formación es la clave. Enfrentamos entonces el cómo, cuándo, con qué, quién, para qué, formamos y hay un desafío en el contenido y orientación de la formación.

Como estado, es evidente que hay bastante más que hacer. Los esfuerzos de PCM-ONGEI podrían no ser suficientes y están lejos de ser completos.

En el ámbito educativo, algunas universidades contemplan carreras de ingeniería que incluyen cursos de ciberseguridad en su currículo, y otras ofrecen carreras especificas relacionadas con la seguridad informática; sin embargo, este interés en la seguridad de la información se centra aún –erróneamente- en carreras de ingeniería relacionadas con las tecnologías de la información.

Las certificaciones ayudan, pero, a pesar que hay un gran número de ellas, podrían no ser suficientes [en el tiempo] o apropiadas [orientación, alcance] para todo tipo de organización [deberemos tener en cuenta sus prioridades, objetivos y metas estratégicas, sus impulsores de valor].

Seis factores críticos para crear una mejor estrategia de seguridad de TI

¿Qué necesitamos para establecer una hoja de ruta funcional de la seguridad de las TI de la empresa?

Recordemos que un solo tipo y un solo nivel de seguridad de la información podría no ser suficiente para una determinada organización. ¿Qué modelo de defensa en profundidad adoptaría, de entre los varios que existen? Tampoco debemos olvidar la estrategia a seguir si ocurriera alguna brecha en esta seguridad de la información.

Pero, debemos empezar, y lo hacemos de la siguiente manera:

  1. Identificar, clasificar, y etiquetar los recursos, los activos de información, considerando su importancia –o implicancia en los procesos de la organización, ya sean estos recursos físicos o virtuales, tangibles o intangibles.

Debemos responder con certeza el por qué debo considerarlos.

¿Convendría que los mismos sistemas que se han puesto en marcha se actualicen automáticamente en una base de datos ad-hoc a medida que cambia el inventario de recursos?

Las organizaciones deben tener pleno conocimiento de lo que tienen, valorar lo que tienen y lo que no pueden permitirse perder, además de crear un plan integral para proteger estos activos críticos.

Tendríamos, entonces, que pensar en un conjunto automatizado de herramientas para rastrear y clasificar los recursos.

  1. Proteger el acceso a los recursos, tratarlos conforme a su clasificación y prioridad establecida, de acuerdo a su impacto en el negocio (las consecuencias).

Claro, tenemos que sincerar el cómo realizaremos la protección para lo cual seguramente necesitaremos realizar primero un análisis de brecha. ¿Hemos realizado nuestro FODA?

Consideremos las nuevas tendencias para crear valor de TI, e incluso de los usuarios al emplear la tecnología como shadow IT o BYOD.

Tendríamos, entonces, que establecer una línea base correcta y sincerada –de todo, sin olvidar o menospreciar los recursos y capacidades existentes, desde el punto de vista del valor que se espera del servicio de TI.

El intercambio de información –correcta, completa, contextual, oportuna, clara- se vuelve crítico.

  1. Detectar amenazas y ataques, considerando el triángulo procesospersonas-tecnología, identificando riesgos en las operaciones que es donde se provee el valor de un servicio.

Tendríamos, entonces, que entender y asegurar que todos en la organización tengan claro que la detección de amenazas (un sospechoso siguiéndote a tu casa –bueno, tal vez una amenaza algo más sofisticada, especializada, escalable -¿que afecte la privacidad?, ¿porque el enemigo está adentro?), detección de vulnerabilidades (una ventana abierta –situación que se advierte con un escaneo de vulnerabilidades [y no debemos remitirnos solamente al perímetro]), y detección de ataques (el sospechoso metiéndose a tu casa por la ventana abierta) son tres cosas distintas.

De hecho, es crucial el dominio del tema, la provisión de la tecnología apropiada, y hacer y dejar hacer.

¿Recordamos los honeypot? De repente ya hemos sido víctimas de un hacker y aún no lo sabemos.

  1. Responder a las amenazas y ataques, considerando que posiblemente requiramos apoyo externo o una mayor capacitación y experiencia internas.

¿Cuáles serían las estrategias que adoptaríamos?

Tendríamos, entonces, que tomar medidas proactivas sobre un riesgo identificado y preparar las reactivas (de acción inmediata ante la ocurrencia del evento) –evitando acciones bomberiles.

Las medidas proactivas deberían ser pensadas, planeadas, diseñadas, implementadas, probadas, afinadas, y con responsabilidad asignada, con recursos y capacidades presupuestados, que den cumplimiento a normas internas y/o legales, que busquen evitar deudas, multas, pagos no presupuestados, litigios, pérdida de confianza y clientes, daños a la reputación y pérdida de confianza de las partes interesadas, publicidad negativa y pérdida de activos, entre otros aspectos negativos.

Es decir, una verdadera proactividad en una empresa con alto nivel de madurez, que está preparada para el cambio.

Realizar lo importante para evitar [en lo posible] las emergencias –o, al menos, reducir su frecuencia o impacto.

Ciertamente el error humano sigue siendo una amenaza para la seguridad, pero si trabajamos la cultura organizacional seguramente podremos compensar algunos riesgos de seguridad y privacidad de la información empresarial –los internos a la organización, por lo menos, concientizar al usuario.

  1. Es claro entonces que la educación en ciberseguridad debe ser parte integral de la cultura del lugar de trabajo, es hacer que la ciberseguridad sea tarea de todos. Sabemos que esta educación en ciberseguridad no significa asistir a un [solo] curso o seminario –por único que sea en su género, significa hacer de la seguridad una iniciativa cultural colaborativa y continua.

Es ayudar a todos en la empresa a comprender que los ciber delincuentes representan una amenaza no sólo para la empresa, sino también para ellos y sus familias, también (filtración de datos personales, por ejemplo, y las posibles amenazas que esto conlleva).

Sin embargo, cuando ocurra una brecha de seguridad, evitemos actitudes incorrectas en un líder o equipo de infosec porque pueden resultar en una peor violación de privacidad / seguridad y en una afectación negativa a la moral y motivación en el entorno laboral –lo que, potencialmente, podría conducir a la aparición de más riesgos o a elevar la graduación de los existentes.

La importancia de tener una actitud positiva y fuerte de seguridad y privacidad es tal que tanto los líderes como los empleados deben ver la privacidad como un valor que desean experimentar, promover, proteger y formar.

  1. Mejorar la analítica (para una mejora continua de todo el proceso).

Tendríamos, entonces, que realizar una labor analítica de predicción, porque nos dice dónde reforzar la protección –un poco de inteligencia de negocio siempre ayuda. Lo que implica un estado de cambio constante en los servicios y su gestión, lo que implica además gestionar proyectos.

Todo lo anterior es una tarea realizada de forma periódica (¿una auditoría particular o integrada?) o por demanda del mercado (¿tal vez necesidad?), siempre en evolución (nuevos hallazgos de día-cero, ahora además con la IoT –agregamos complejidad a lo complicado), un espacio, una oportunidad para mejorar.

Sigamos el ciclo de Deming, de mejora continua.

Tengamos presente que hemos pasado de un modelo donde se hacía hacking por diversión o fama, a la ciberguerra propiamente dicha, con objetivos claros y concretos, como destrucción, negación de un servicio, destruir la imagen de una empresa, incluso de monetizar la información obtenida.

 

¿Quién desea una TI Bimodal?

¿Quién desea una TI Bimodal?

Según Gartner, bimodal es la práctica de la gestión de dos estilos distintos pero coherentes de trabajo: uno centrado en la previsibilidad; la otra en la exploración.

Revisemos:

  • El Modo 1 (más gobierno, menos cambio) está optimizado para las áreas que son más predecibles y son bien entendidas. Lidiamos aquí con, pero no limitados a, estabilidad, robustez, estándares, planificación cuidadosa, cumplimiento, gobierno, riesgos, eficiencia, seguridad, precisión, disponibilidad, presupuestos, niveles de servicio y requisitos.
  • El Modo 2 (menos gobierno, más cambio) es exploratorio [pero requiere un enfoque riguroso y disciplinado -para que las cosas no se escapen de las manos], experimentando para resolver nuevos problemas, agilidad centrada en el tiempo de lanzamiento al mercado [velocidad], la rápida evolución de la aplicación y, en particular, la estrecha alineación con las unidades de negocio.

En la siguiente figura Gartner gráfica lo anterior:

Estas iniciativas a menudo comienzan con una hipótesis que se prueba y se adapta durante un proceso que implica iteraciones cortas, adoptando potencialmente un enfoque de producto viable mínimo (MVP) -experimentación.

Tengamos presente que un equipo de TI exploratorio no es fácil porque tienes que desafiar el pensamiento convencional [de las personas, claro], aceptar los riesgos [la empresa] y sentirte cómodo con un ritmo de cambio [motivación de todos] que es muy diferente de la forma actual en que opera TI.

Ninguna iniciativa es igual a otra, dadas las particularidades de cada negocio, mercado, o empresa. Cada empresa debe conocer su ecosistema, para adaptarse conforme convenga, e innovar rápidamente para responder a las amenazas y oportunidades.

Sabemos que, en el contexto empresarial, el estilo de trabajo, el modelo de decisión y la gobernanza, son los que hacen la diferencia; por tanto, cada empresa debe evaluar -a través de prueba y error- cómo enfrenta este paradigma, porque seguramente requerirá equipos multidisciplinarios [manpower], consultorías, nuevos contratos de soporte, nuevas negociaciones, nuevas herramientas, nuevos procesos, nuevas competencias, nuevas habilidades, nuevos conocimientos, nuevos recursos, y nuevas capacidades. No dejemos de lado el costo total de propiedad y los niveles de servicio acordados.

Seguramente deberemos considerar incluir cosas como aplicaciones móviles y su desarrollo, experiencia para el lado del cliente, IoT [Internet de las cosas] para obtener cierta experiencia en la captura de grandes flujos de datos y analizarlos desde diferentes dispositivos, ya sean estos dispositivos de consumo, dispositivos industriales, lo que se tenga a mano. Podría acabar ocurriendo que los ingenieros recién entrenados quieren usar nuevas técnicas en sistemas antiguos, y crear silenciosamente work-arounds en lo que se ha conocido como “shadow IT“. Trataríamos entonces de incorporar y estandarizar esta shadow IT y permitir a los innovadores innovar, pero dentro de la estructura corporativa. Esto implicaría una reingeniería de la gestión tecnológica y del papel de la empresa en su implementación.

Pero, tengamos presente que no por utilizar métodos ágiles o DevOps ya somos bimodales. La organización también está involucrada, no solo es un asunto de pura tecnología. Tampoco significa dedicarse a producir código porque se arriesga una mayor complejidad arquitectónica y de aplicación, lo que reduce la agilidad de la empresa. Recordemos que la cadena se rompe por el eslabón más débil, ¿o será que avanzaremos siempre al paso del más lento? [el impacto en los clientes, específicamente, es parte del segundo efecto secundario].

Ambos modos son esenciales, según Gartner, [tienen una relación simbiótica] para crear un valor sustancial, e impulsar un cambio organizativo importante, ninguno es estático y, probablemente, para el futuro tampoco sean suficientes. Combinar [y balancear] una evolución más predecible de productos y tecnologías (Modo 1) con lo nuevo e innovador (Modo 2) es la esencia de una capacidad bimodal empresarial. Ambos modos juegan un papel esencial en la transformación digital.

Sin embargo, el Modo 1 podría erróneamente considerarse negativo [¿desmotivación por creer que debe mantenerse con lo legacy (islamiento), con el día a día, aunque exista la nube?]. Y no vemos que se debería centrar en la explotación de lo que se conoce, pero renovando a la vez el entorno heredado a un estado que es apto para un mundo digital –renovar el core es la clave. De igual modo, el Modo 2 podría considerarse erróneamente positivo, (siempre iterando / ¿arriesgando, sobre simplificando, sin normas, con prácticas no lineales?), y siempre debería siempre estar ¿planeando para el futuro? [¿flexibilidad?, ¿motivación por mantenerse en lo nuevo?]. Capacidad de respuesta frente a estabilidad.

¿Y si cambiamos el ejemplo de los corredores a las velocidades de una bicicleta de carrera? ¿o de blanco y negro al espectro de colores? ¿cuán segregada/dividida/segmentada podrían estar TI? Esto sugiere que este modelo bimodal podría ser una sobre simplificación de lo realmente requerido. Por ejemplo, una mejor alternativa, según John C. McCarthy, analista de Forrester, es que las organizaciones trabajen más para entender sus desafíos y hacer “los cambios necesarios para conducir la simplicidad”. El enfoque en los clientes, más que la velocidad o una disciplina en particular, es el diferenciador crítico en las empresas que están teniendo éxito.

También debemos tener cuidado y considerar que los modos podrían competir inevitablemente por los fondos, recursos, habilidades y la atención de la dirección, sin dejar de lado estándares, disciplina, reducir complejidad, gestionar riesgos, en todo momento. Ambos conceptos pueden funcionar mejor cuando son compartidos por los elementos front-end y back-end del ecosistema de TI. Iterar es bueno, pero con la verificación y la metodología de las TI tradicionales de back-end.

Doxware, una variante del ransomware o del extortionware

Doxware, ¿es una evolución, una variante de malware, una nueva tendencia, o sólo un nuevo nombre? –porque nos gustan los nombres nuevos, sobre todo para lo que resulte amenazante[1].

Según la RAE, secuestrar es “Retener indebidamente a una persona para exigir dinero por su rescate, o para otros fines”; extorsión es “Presión que se ejerce sobre alguien mediante amenazas para obligarlo a actuar de determinada manera y obtener así dinero u otro beneficio”.

Ransomware suele instalarse en un sistema a través de un archivo adjunto de correo electrónico malicioso [usualmente de modalidad phishing], una descarga de software infectado y / o visitando un sitio o enlace malicioso. Cuando el sistema (independiente de la víctima) está infectado con ransomware, se bloquea, se cifran los archivos del usuario o se restringe el acceso del usuario a las funciones clave del equipo[2]. No se necesita mover datos, sólo cifrarlos[3]. Para evitar ataques, no sólo de ransomware, asegúrese de que todos los sistemas y software estén actualizados, proteja su red con tantas capas de seguridad como su presupuesto lo permita, cifre los datos sensibles, trate de no poner todos los huevos en la misma canasta, prevenga, eduque. El Grupo Smartekh nos ofrece un análisis gratuito de riesgo por ransomware.

Haciendo un poco de historia, la palabra doxxing; doxxing o doxing es un derivado de la palabra “docs” [“documentos” en idioma inglés]; el término es una versión abreviada de “dropping dox”, un método de venganza (algo así como dejar datos de alguien en el baño) que se remonta a la cultura hacker (y no tan hacker) de principios de los años 90[4].

Cuando doxxing y ransomware se combinan, esta combinación letal se conoce como Doxware[5]. Doxware entonces es el término usado para la técnica de acoso de encontrar, [secuestrar, extraer] y luego publicar información personal sensible de un usuario, incluyendo direcciones, números de teléfono e incluso números de Seguro Social[6].

Doxware normalmente escanea los archivos buscando frases clave que indican que son comunicación privilegiada, confidenciales o privados; así, el alcance de los archivos que doxware tiene como objetivo es menor que el ransomware ordinario, que se dirige a los discos duros completos[7].

Más preocupante es que los ciber delincuentes pueden tener acceso permanente a los datos personales y pueden exigir un rescate más de una vez. Incluso si se cede al chantaje, no hay ninguna garantía de que los archivos que han exfiltrado se eliminarán (apareció el extortionware). Los ataques basados en extorsión probablemente no aumentarán para el público en general, pero puede ser preocupante para los objetivos de alto valor, conocidos por tener datos valiosos. Con doxware el ataque es más personal, más selectivo, busca los blancos más atractivos, los que rindan más beneficios, los que maximicen el ROI. Es más, doxware puede exponer a las víctimas a acoso y humillación, pero también puede dejarlas vulnerables al robo de identidad[8].

El shadow IT, las redes sociales, el autoservicio de TI, hummmm. De hecho, preocupa a más de uno.

Confiamos en que evitamos la pérdida de los datos con los respaldos que realizamos, y en que recuperamos los servicios desde ahí, pero, en adición al tiempo y esfuerzo relacionados con el retorno real a la operación (dependiendo de la plataforma tecnológica desplegada, las capacidades existentes, y el tamaño del recurso comprometido), y del costo total de propiedad inherente, ¿qué fue de la pérdida de privacidad de los datos, no sólo por en dónde estaban sino, además, de quién son? ¿qué hay de un usufructo no alcanzado u oportunidades perdidas? ¿qué hay de los datos que son publicados y/o de posibles acciones legales por exposición no autorizada? ¿qué hay de la confianza perdida?, entre muchas otras interrogantes.

Recordemos, la ignorancia no es una defensa y el anonimato percibido no es un escape[9].

[1]       Fuente: http://searchdatacenter.techtarget.com/es/cronica/Doxware-Nueva-amenaza-de-ransomware-o-solo-extortionware-renombrado; disponible en marzo/2017

[2]       Fuente: https://www.techopedia.com/definition/4337/ransomware; disponible en marzo/2017

[3]       Fuente: http://www.networkworld.com/article/3174678/security/the-latest-ransomware-threat-doxware.html; disponible en marzo/2017

[4]       Fuente: http://computer.howstuffworks.com/what-is-doxxing.htm; disponible en marzo/2017

[5]       Fuente: https://www.topsec.com/it-security-news-and-info/what-is-doxware-ransomware; disponible en marzo/2017

[6]       Fuente; https://www.merriam-webster.com/dictionary/dox; disponible en marzo/2017

[7]       Fuente: https://www.techopedia.com/definition/32411/doxware; disponible en marzo/2017

[8]       Fuente: https://www.quora.com/What-is-Doxware-Malware; disponible en marzo/2017

[9]       Fuente: http://www.independent.co.uk/life-style/gadgets-and-tech/news/online-abuse-internet-sexting-doxxing-trolling-new-legal-guidelines-crime-prosecution-service-a7353536.html; disponible en marzo/2017

El Modelo Esencial. ¿Qué modelar en el Análisis? ¿El Sistema Actual? ¿El Sistema Futuro? Los detalles de implementación ? Los requerimientos esenciales. – ppt descargar

El Enfoque Clásico: Modelo Físico Actual – Modelo Lógico Actual – Modelo Lógico Futuro – Modelo Físico Futuro

Origen: El Modelo Esencial. Que modelar en el Análisis? El Sistema Actual ? El Sistema Futuro ? Los detalles de implementación ? Los requerimientos esenciales. – ppt descargar

Una relación entre la información [de calidad] y la [buena] motivación…

En la actualidad, el valor diferencial de una empresa radicará en cómo gestiona y explota su información[1]. La información es explotada por los equipos de trabajo.

Obvio, ¿cierto? Refraseo lo anterior pero emplearé el término colaborador y no fuerza laboral, trabajador, empleado, personal, mano de obra calificada, recurso/talento humano, funcionario, servidor [público], entre otros calificativos, para establecer que es una persona que da su contribución de manera integral[2] convirtiéndose así, por su individualidad (habilidades, conocimiento, experiencia), en el real diferenciador de la empresa.

La información [de calidad] es explotada por los equipos de trabajo, los [equipos de trabajo] que deberían estar conformados por colaboradores comprometidos [con la calidad] en su generación [redundo, de la información].

El compromiso del colaborador es la combinación del orgullo, la energía y el optimismo que alimenta su esfuerzo discrecional y su intención de quedarse[3].

El esfuerzo discrecional es todo aquel esfuerzo (energía e inspiración[4]) que, de forma espontánea y voluntaria realiza un empleado por encima del nivel mínimo requerido para conservar su puesto de trabajo[5] ¡qué tal motivación! Y, claro, sin presiones ¿verdad?

Bueno, lo cierto es que, para lograr lo anterior, las empresas han presionado y continúan presionando a sus colaboradores, con lo que han fomentado el estrés laboral y han llevado a una mayor rotación y a una menor motivación [de los colaboradores]. Esto es un riesgo, y los estrategas se enfrentan [además] a la [su] resistencia interna cuando tratan de presentar un plan para considerar las amenazas a largo plazo[6], plan producto muchas veces de un proceso de planeamiento mecánico también de corto plazo por tener que cumplir metas igualmente de corto plazo (ayer me solicitaron actualizar catorce proyectos de envergadura internacional para hoy), por miedo al fracaso (hicimos como organización en tres días lo que sabíamos demanda siete, porque el jefe lo exigió, y por supuesto que hubo quejas con los resultados), y por preocupación por aspectos operativos[7] (por ejemplo: aumento de la tasa de intercambio de información y aumento de la tasa de innovación[8] requerida para atender la demanda de los clientes; adopción de nuevos conceptos, filosofías, metodologías, normas, buenas prácticas; cambio de paradigmas). No interiorizan aún que el pensamiento a largo plazo (proactividad verdadera, prevención) es lo importante que impulsa el crecimiento.

Olvidamos completamente la retroalimentación positiva continua, para sentirnos personas capaces, confiadas y fuertes, y no sólo darla en la reunión de fin de año –como una vez más he sido testigo. Olvidamos que, como personas, valoramos en diferentes grados (por ejemplo, tomando en cuenta la Pirámide de Maslow) y de acuerdo a nuestra generación (millenials, baby boomers, X, Y, Z, otros[9]), contar con oportunidades de desarrollo, desafíos, logro personal, futuras oportunidades de carrera, estabilidad, un adecuado ecosistema laboral, una adecuada y oportuna comunicación y retroalimentación, un sano balance entre vida personal y trabajo, estrategias de responsabilidad social, tasa de crecimiento, y saber que existe y que se da una auténtica meritocracia, entre otros factores de satisfacción.

Aún no confiamos en la persuasión, sino en el poder y lo que conseguimos es sumisión -temporal, mero cumplimiento –y encima mal cumplimiento (por ejemplo, un órgano de calidad que aprueba diagramas de flujo mal hechos, incluso con base en sus propios lineamientos); no logramos para el futuro la interiorización, menos compromiso educado y consciente (involucramiento[10]) –querer hacer lo que se debe[11].

Se habrán dado cuenta que, potencialmente, si incurrimos en los errores y mantenemos los riesgos antes descritos –y sus interdependencias, la información que obtendríamos (los datos son un activo corporativo crucial), con la que deberemos tomar decisiones, no sería de calidad (una mala supervisión de la política de información impide la productividad y crea vulnerabilidades[12]) y, por consiguiente, los resultados podrían ser desastrosos. No olvidemos que debemos gestionar el conocimiento.

[1]   Fuente: http://www.silicon.es/lean-it-una-futura-tecnologia-delgada-y-valerosa-2209541#6iqKkMlmOwK4m05B.99; disponible en dic/2016

[2]   Fuente: http://www.gestiopolis.com/obrero-a-colaborador-transicion-incompleta-empresas/; disponible en dic/2016

[3]   Fuente: https://www.cebglobal.com/content/dam/cebglobal/us/EN/best-practices-decision-support/innovation-strategy/pdfs/ceb-strategy-engagement-insights.pdf; disponible en dic/2016

[4]   Fuente: http://factorhuma.org/index.php?option=com_content&view=article&id=2814&catid=4&Itemid=11&lang=es; disponible en dic/2016

[5]   Fuente: http://www.marketingdepymes.com/sala-de-lectura/instrumentos/los-esfuerzos-discrecionales-la-clave-de-la-motivacion; disponible en dic/2016

[6]   Fuente: https://www.cebglobal.com/content/dam/cebglobal/us/EN/best-practices-decision-support/innovation-strategy/pdfs/ceb-strategy-influence-key-stakeholders-white-paper.pdf; disponible en dic/2016

[7]   Fuente: https://www.cebglobal.com/content/dam/cebglobal/us/EN/best-practices-decision-support/innovation-strategy/pdfs/ceb-strategy-putting-the-strategy-back-in-strategic-planning-summary.pdf; disponible en dic/2016

[8]   Fuente: https://www.cebglobal.com/content/dam/cebglobal/us/EN/best-practices-decision-support/innovation-strategy/pdfs/CEB-R&D-Accelerating-Speed-to-Market.pdf; disponible en dic/2016

[9]   Fuente: http://www2.cipd.co.uk/pm/peoplemanagement/b/weblog/archive/2016/12/12/rethinking-age-at-work.aspx; disponible en dic/2016

[10] Fuente: http://www.apoyo.com/engagement-mas-alla-del-compromiso-del-colaborador/; disponible en dic/2016

[11] Fuente: http://www.thinkingpeoplerecursoshumanos.es/desarrollo-de-rr-hh/compromiso-del-empleado/; disponible en dic/2016

[12] Fuente: https://www.cebglobal.com/content/dam/cebglobal/us/EN/best-practices-decision-support/finance/pdfs/ceb-first-quarterly-journal-q4-2016.pdf; disponible en dic/2016

¿Recordamos cómo resolver problemas?

Mi esposa y yo visitamos ayer una pareja amiga, un poco mayor que nosotros, que no veíamos hace tiempo, y durante la deliciosa velada uno de los temas de conversación que surgió fue, por la coyuntura, el de la educación actual.

Nuestro amigo recordaba sus días de colegio y cómo, a pesar de que las cosas en apariencia han cambiado, de que los colegios piden libros nuevos cada año, la información contenida en los libros no ha cambiado, no se ha actualizado, y su nieto aprende cosas que tienen más de 50 años de antigüedad. Nos recuerda cómo sus dos hijos menores regresaban del colegio y tenían que hacer la tarea de matemática encargada por el docente (o la docente, ya no incidí por la igualdad de género): resolver problemas. El problema era que en clase sólo se habían desarrollado, en el mejor de los casos, unos ejercicios. ¿Recuerdan cuando el docente sacaba a la pizarra un grupo de alumnos y hacía concurso para ver quién de ellos terminaba más rápido?

Bueno, ejercicios y problemas son cosas bien distintas[1]. Un ejercicio es una aplicación práctica de una fórmula o un algoritmo de cálculo; las cosas están predefinidas, las acciones son fijas, los resultados únicos. Sin embargo, para resolver un problema, nos recordaba mi amigo, se necesita planear la operación que se utilizará para, una vez realizada, obtener una solución. En general, esto no ha cambiado, pero nuestros educandos parece no utilizan este proceso –y, por costumbre, nuestros profesionales tampoco.

Bien, siendo un poco más académicos[2], un problema necesita ser entendido para definir un plan de cómo resolverlo, poner en práctica el plan, y finalmente comprobar los resultados. ¿Requeriré desarrollar un proyecto? ¿Tendré suficientes recursos y capacidades para enfrentar el reto o necesitaré apoyo? ¿Qué requisitos de calidad, de mejora continua o de seguridad de la información deberé considerar?

En otras palabras, necesitamos toda la información posible, saber en qué consiste el problema, qué conocemos para resolverlo, qué se requiere, cuáles son las condiciones en que se da, como mínimo; debemos establecer una estrategia de solución; llevar adelante el plan, comprobar que hemos alcanzado la solución –muchas veces creemos haber resuelto un problema y luego no es así, repetir el proceso si es necesario; establecer las lecciones aprendidas –cómo llegamos a la solución o por qué no, cuáles son las equivocaciones y cuáles los aciertos, cuál fue el proceso seguido, por ejemplo.

Debemos conocer pero, sobre todo, saber aprender[3]. Hay expertos que conocen los procesos pero un verdadero maestro es quien domina el proceso de aprender sobre un proceso. En general, el método de la analogía es buena, como base comparativa, pero hay que saber cuándo y cómo aplicarlo –por los paradigmas que seguramente tenemos arraigados y que enfrentamos (potencialmente limitativos) cuando aplicamos la filosofía del kaizen.

Usualmente enfrentamos los problemas buscando el qué debemos hacer para solucionarlos, y no consideramos que deberíamos preguntarnos qué necesitamos aprender. Realizamos ciertas acciones y esperamos que algo pase, o que aprendamos algo. ¿Qué aprendimos de pasos anteriores, qué resultados necesitamos lograr de los siguientes pasos? Puede ser difícil responder esto último ya que todos estamos condicionados a pensar en términos de elementos de acción, no de resultados[4]. ¿Se dieron cuenta del aspecto PDCA involucrado?

Tomamos información limitada, la extrapolamos en una falsa comprensión total y ofrecemos un diagnóstico y tratamiento[5]. Incorrecto el proceso. Debemos controlar nuestro ímpetu a tratar de saltar a una solución sin tener todo lo necesario para tomar decisiones informadas.

[1]   Fuente: http://soymatematicas.com/resolver-problemas-de-matematicas/; disponible en dic/2016

[2]   Fuente: http://www.portaleducativo.net/tercero-basico/567/Como-resolver-problemas-matematicos; disponible en dic/2016

[3]   Fuente: http://theleanthinker.com/2010/04/12/knowing-vs-knowing-how-to-learn/; disponible en dic/2016

[4]   Fuente: http://theleanthinker.com/2016/07/07/the-improvement-kata-next-step-and-expected-result/; disponible en dic/2016

[5]   Fuente: http://theleanthinker.com/2016/11/12/its-what-must-we-learn-not-what-should-we-do/; disponible en dic/2016

Transformación digital

McKinsey[1] nos dice que la transformación es quizás el término más usado en los negocios. A menudo, las empresas lo aplican libremente, a cualquier forma de cambio, por pequeño o rutinario que sea.

Así, el término “transformación digital” se ha utilizado para describir cualquier cosa, desde una aplicación técnica hasta el desarrollo de una estrategia de medios sociales, pero en realidad la verdadera transformación necesita involucrar mucho más que el producto final[2].

Veamos.

Las empresas han evolucionado, como lo muestra la siguiente figura, que propone una combinación de fuerzas económicas y tecnológicas que han cambiado el mundo y han creado y crean disrupción –nadie está a salvo. Interesante el trío de tecnologías habilitadoras:

the-digital-enterprise-wave

Fuente: High Level Digital Transformation Diagnostic, Agile Elephant

Forrester[3] nos alerta que el mundo se ha vuelto digital ‑la competencia se basa cada vez más en la fuerza de sus experiencias digitales y negocios digitales. Así, buscamos realizar hoy una transformación digital para competir mañana y lo hacemos por diversas razones:

  • Porque hemos fallado en evolucionar como empresa, nuestros proyectos no han sido exitosos, y es una cuestión de transformar o perecer[4], ya que la competencia lo está haciendo. Forrester nos informa que 46% de los ejecutivos encuestados por creen que para el año 2020 lo digital tendrá un impacto en más de la mitad de sus ventas[5].
  • Porque buscamos crecer. PWC[6] nos informa lo que los negocios realmente quieren tras esta iniciativa: aumentar las ganancias; aumentar los ingresos; crear una mejor experiencia del cliente.

pwc-chasing-digital-value

Fuente: PWC, 2015 Digital IQ Survey

  • Porque es una transformación del negocio lo que buscamos siendo que lo digital está [o debería estar] ya imbuido en el negocio y porque lo digital está muy arraigado en el consumidor actual o, como dice Altimeter[7] “un realineamiento de modelos de negocio y procesos para generar un nuevo valor para los clientes y empleados con el fin de competir efectivamente en una economía digital en constante cambio” –lo que podría potencialmente abarcar a todos los clientes.
  • Porque los proyectos de transformación digital deben producir algo valioso para el consumidor y el negocio y esto requiere de una visión clara del líder para que el negocio la compre y se comprometa, ‑porque si no, nada se transforma. Liderar el cambio digital requiere que los gerentes tengan una visión de cómo transformar su empresa para enfrentar un mundo digital. Algo valioso para el usuario podría ser, por ejemplo, la experiencia en la navegación y personalización, considerando además un muy probable comportamiento cambiante. Para el negocio, algo valioso podría ser, por ejemplo, una capacidad superior de analítica de datos (grandes volúmenes de datos y una aplicación avanzada), integración de tecnologías, agilidad y flexibilidad operativas para enfrentar nuevos requerimientos –teniendo siempre en cuenta el costo total de propiedad.
  • Porque buscamos una manera de decir que nos movemos a la nube [primero[8]], en cuyo caso, deberemos conocer los pasos que deberemos seguir, determinar si debemos crear nuevos puestos de trabajo o contratar consultorías especializadas, establecer la garantía del servicio, por ejemplo.

Lo cierto es que la transformación digital es imperativa para cualquier negocio, grande o pequeño ‑declaración bastante trillada además. Pero tengamos presente que la transformación digital implica invertir en la tecnología que sea y cuando sea apropiada, porque la tecnología por sí sola no es una solución –es un medio, no una estrategia; es un viaje, no un destino.

Según un artículo del MIT Sloan Management Review[9], cuanto mayor sea la madurez digital de una empresa, mejores serán sus resultados financieros. La madurez digital está dada por la intensidad digital, que es el nivel de inversión en iniciativas que son posibles con la tecnología y que significan cambiar la forma en que opera la empresa; y por la intensidad en la gestión de la transformación, que es el nivel de inversión en las capacidades de liderazgo necesarias para crear la transformación digital dentro de una organización, y el gobierno correspondiente. Y Deloitte[10] nos dice que es la estrategia digital la que impulsa la madurez digital, y la agenda digital se conduce desde arriba. El líder digital debe tener la capacidad de articular el valor de las tecnologías digitales con el futuro de la organización –no precisamente ser un experto en tecnología. Las empresas van desde una madurez temprana, pasando por un estado de desarrollo de la madurez, y van madurando digitalmente.

De hecho, PWC ha identificado las siguientes diez capacidades críticas que se correlacionan con un fuerte rendimiento financiero –evidentes, por cierto, todos los puntos, y especialmente el de ciberseguridad: liderazgo, de arriba para abajo, compromiso, estrategia compartida en toda la organización, abordar los temas desde afuera, impulsado por la ventaja competitiva, uso eficiente de los datos del negocio (analítica, tecnología adicional a las propuestas por Agile Elephant: nube, social, móvil), ciberseguridad, ruta digital clara, medición consistente y continua.

digital-iq-survey

Fuente: PWC, 2015 Digital IQ Survey

Crear una nueva forma interna de trabajar y comunicarse es parte del proceso. Es un cambio cultural para muchas organizaciones. Las personas, sus habilidades y la cultura de la organización son esenciales para que una transformación tenga éxito. Agile Elephant[11] nos sugiere emplear el modelo de las 7 S de McKinsey[12] para diseñar la transformación, y no olvidarnos de la parte “blanda” anterior, ya que usualmente nos enfocamos sólo en la parte “dura”, y es que la transformación digital es un problema de personas, y agregaría, motivadas:

mckinsey-7-s-model

Debemos fomentar la innovación [sin grandes volúmenes de datos de calidad que “alimente” la innovación, el proceso se detendrá], la capacidad de innovación, y nuevos modelos de negocio[13], buscar cambiar la organización de un enfoque legacy a nuevas formas de trabajar y pensar usando tecnologías digitales, sociales, móviles y emergentes con la finalidad de propiciar cambios en las relaciones con clientes, procesos internos y propuestas de valor[14]. Lo cual implica, según Gartner[15], modernizar las aplicaciones nucleares, extender las capacidades de estas aplicaciones, transicionar a nuevos modelos de consumo como SaaS, entre otras posibilidades de abordar el tema. Gartner también nos sugiere construir software diferenciado, innovador y no estándar o software con servicios profesionales (para requisitos de personalización e integración), o soluciones cada vez más originarias de empresas emergentes, disruptores o proveedores locales especializados, y no comprar aplicaciones ya hechas. ¿No les parece una ola esto?; es decir, ¿no lo habían escuchado antes?

Operar dentro de los límites de los paradigmas tradicionales sin propósito ni visión desafía finalmente la dirección, la capacidad y la agilidad para prosperar en una economía digital. El camino hacia la transformación suele ser moldeado por la persona o el grupo que dirige el esfuerzo, lo cual puede limitar la implementación de una transformación holística, persistente y significativa en toda la empresa; por ejemplo, impulsando las inversiones digitales desde una perspectiva operativa o tecnológica sin la empatía del cliente o el conocimiento de cómo y por qué las nuevas expectativas, preferencias y valores que generan la disrupción de los mercados. Crean lo que Schumpeter acuñó como “destrucción creativa”[16].

El cambio cultural requiere que las organizaciones desafíen continuamente el statu quo, experimenten a menudo –tomar riesgos es una norma cultural, y se sientan cómodos con el fracaso. El compromiso con los empleados y gerentes necesita tener un contexto, una visión y un llamado a la acción que resuene con cada persona individualmente. Este tipo de personalización es lo que motiva a una fuerza de trabajo. La incorporación de los procesos y enfoques de trabajo de la transformación en actividades cotidianas deben darse desde el inicio de la transformación para asegurar que el impulso del rendimiento continúe acelerándose después de la transformación.

Además, necesitamos saber dónde está ocurriendo el cambio[17], dónde tiene el mayor impacto –y cuán rápido está ocurriendo. Es importante mirar más allá de su propio sector: la interrupción digital no respeta las fronteras de la industria.

La optimización del contacto que tiene el cliente con la marca obliga a una empresa a identificar todas las herramientas y tecnologías –apropiadas para la tarea, procesos, capacidades y transiciones necesarias para ofrecerle una gran experiencia[18] -e incrementar el valor de vida del cliente[19] por supuesto.

La forma en que las organizaciones han estado planificando y administrando cambios a gran escala ya no funciona, se necesita ahora un enfoque iterativo, ágil (el ritmo del cambio en el mundo digital es [muy] rápido), automatizado, basado en los resultados y orientado a la experiencia del cliente. La transformación no es ensamblar cosas o combinar soluciones de las plataformas empresariales existentes. Es cuestionar cómo funciona la estructura y lo que se necesita para hacerlo mejor, no sólo reunir todo lo existente –incluyendo lo legacy- de formas diferentes –o “innovadoras”.

Así, es vital: la colaboración interna; la creación de procesos holísticos y no fragmentados[20] que apoyen la visión, no sólo la propuesta de actividades o metas; la creación de equipos multifuncionales que integren diversas funciones en el negocio, conformados por el personal correcto y adecuado para ejecutar la estrategia[21], competente, bien entrenado y capacitado, con la mentoría apropiada, o los proyectos fallarán; el desarrollo de incentivos para compartir por una entrega –final- exitosa; y cuidar de no subestimar necesidades o recursos y capacidades.

Para crear impulso, los equipos multifuncionales necesitan un apoyo visible de la alta dirección, un mandato claro para hacer las cosas con el empoderamiento oportuno y apropiado, suficientes recursos para construir un programa de trabajo donde las inversiones deberían estar ligadas al progreso y no a ciclos presupuestales fijos, y responsabilidad por las ganancias y pérdidas y rendición de cuentas.

Debemos tener presente que deberemos eliminar barreras y contar con una estrategia de visión transformadora, que nuestra cultura debe tender a ser integrada e innovadora, con un talento humano realmente comprometido que sigue un liderazgo con buenas habilidades digitales.

[1]      Fuente: http://www.mckinsey.com/business-functions/mckinsey-recovery-and-transformation-services/our-insights/transformation-with-a-capital-t; disponible en dic/2016

[2]      Fuente: https://www.marketingweek.com/2016/04/14/what-does-digital-transformation-really-mean/; disponible en dic/2016

[3]      Fuente: https://solutions.forrester.com/consulting/digital-business/; disponible en dic/2016

[4]      Fuente: https://enterprisersproject.com/what-is-digital-transformation; disponible en dic/2016

[5]      Fuente: http://blogs.forrester.com/nigel_fenwick/15-12-08-the_state_of_digital_business_2016_to_2020; disponible en dic/2016

[6]      Fuente: http://www.pwc.com/gx/en/advisory-services/digital-iq-survey-2015/campaign-site/digital-iq-survey-2015.pdf; disponible en dic/2016

[7]      Fuente: http://www.altimetergroup.com/pdf/reports/Six-Stages-of-Digital-Transformation-Altimeter.pdf; disponible en dic/2016

[8]      Fuente: http://www.businesswire.com/news/home/20151104005180/en/; disponible en dic/2016

[9]      Fuente: http://sloanreview.mit.edu/article/the-advantages-of-digital-maturity/; disponible en dic/2016

[10]    Fuente: https://dupress.deloitte.com/content/dam/dup-us-en/articles/digital-transformation-strategy-digitally-mature/15-MIT-DD-Strategy_small.pdf; disponible en dic/2016

[11]    Fuente: http://www.theagileelephant.com/digital-transformation-diagnostic/; disponible en dic/2016

[12]    Fuente: http://www.12manage.com/methods_7S_es.html; disponible en dic/2016

[13]    Fuente: http://www.theagileelephant.com/what-is-digital-transformation/; disponible en dic/2016

[14]    Fuente: http://sloanreview.mit.edu/article/the-nine-elements-of-digital-transformation/; disponible en dic/2016

[15]    Fuente: http://www.gartner.com/newsroom/id/3119717; disponible en dic/2016

[16]    Fuente: http://www.centroschumpeter.org/2015/05/la-innovacion-proceso-destruccion-creativa/; disponible en dic/2016

[17]    Fuente: http://www.mckinsey.com/business-functions/organization/our-insights/nine-questions-to-help-you-get-your-digital-transformation-right; disponible en dic/2016

[18]    Fuente: http://www.i-scoop.eu/digital-transformation/#Digital_transformation_and_the_customer_experience; disponible en dic/2016

[19]    Fuente: http://www.marketingguerrilla.es/que-es-el-customer-lifetime-value/; disponible en dic/2016

[20]    Fuente: http://www.cmswire.com/digital-experience/7-reasons-your-digital-transformation-project-may-fail/; disponible en dic/2016

[21]    Fuente: https://cloudfabrix.com/blog/digital-transformation/why-most-of-the-digital-transformation-projects-are-failing/; disponible en dic/2016

DevOps – ITIL: riesgos y oportunidades

DevOps es un término con diferentes significados para diferentes personas. De hecho, no hay –aún- algo como un “manifiesto”.

Tampoco es que un NetOp o un SysAdmin o algún otro rol se conviertan por arte de magia en un DevOp[1]. Tampoco es una tecnología en concreto[2]. No se trata de resolver un problema de TI sino de innovación, del negocio.

Bueno, sí, la relación entre desarrollo de software (valor traducido en la funcionalidad requerida) y operaciones (valor traducido en estabilidad tangible) está en las siglas pero, por la literatura que circula al respecto, aún no hay una definición estándar[3]. Pero, de hecho, usualmente encontramos  el “yo me ocupo sólo de mi parte” o “en mi máquina funciona, es tu problema” o “es tu culpa”[4], entre otros muchísimos aspectos sociales o técnicos de la “relación”; así, la palabra “relación” es circunstancial –algo que DevOps e ITIL buscan eliminar.

devop01

Está el enfoque técnico pero también está la necesidad del negocio. Las personas, los procesos y la tecnología van de la mano en este moderno enfoque estratégico.

devop02

De hecho, cada negocio es distinto y cada empresa tendrá que analizar la velocidad de los despliegues y la frecuencia de los mismos para someter a consideración la más apropiada y mejor alternativa de solución –una solución a la medida para cada empresa, considerando que a algunas les contará más trabajo que a otras la adopción de este paradigma[5]. Flexibilidad, adaptabilidad y velocidad son aspectos que los usuarios y clientes valoran de los servicios que consumen porque están convencidos de que con estos servicios logran una ventaja competitiva -pueden llegar a ser más eficientes, efectivos, productivos.

devop03

En la siguiente figura se muestra la brecha entre Dev y Ops:

devop04

Así, es requerida una plataforma tecnológica (hardware, software, infraestructura) altamente automatizada (pruebas de código incluidas), con un flujo de trabajo automatizado (versiones, personalizaciones, configuraciones), y monitorizada de forma continua para asegurar que se cumple con los niveles de servicio comprometidos por el negocio (se valida y verifica que se alcanzan los objetivos estratégicos) y que el servicio está garantizado ya que satisface los requerimientos de: seguridad (seguridad de la información por supuesto, una necesidad en la estrategia DevOps[6] para generar confianza); capacidad (rendimiento, escalabilidad, tanto del hardware y software base como de las aplicaciones); disponibilidad, continuidad; soporte; confiabilidad –recordemos la garantía de valor según ITIL; ¿estarán los procesos de la organización preparados para este paradigma?

devop05

En ambos entornos hay bastante que mejorar ya que lo requerido por el negocio es la satisfacción del cliente o consumidor con el servicio recibido (el valor del servicio estratégico que ha sido diseñado y transicionado a producción se valida, verifica y aprecia en la operación con el cumplimiento de los SLA). Esto implica poner en práctica las mejores recomendaciones de nunca pasar un defecto conocido por los centros de trabajo, de no permitir nunca que una optimización local o particular genere una degradación global, de siempre buscar incrementar la fluidez de las comunicaciones, y de siempre buscar alcanzar una profunda comprensión del sistema (según Deming). Debemos entonces tener en cuenta el rendimiento del servicio completo, de extremo a extremo, y no de individuos, componentes, áreas o departamentos por separado.

La retroalimentación es entonces clave para saber y reconocer si las expectativas del negocio se están aterrizando completa y correctamente[7] –preguntemos a los stakeholders su visión y apreciación holística de los resultados[8]. Entendamos y respondamos sus inquietudes, acerquemos y amplifiquemos los lazos de retroalimentación cuando y donde sean necesarios, incorporemos el conocimiento donde –con conciencia- lo requiramos. ¿Serán efectivos los procesos de gestión de cambios, de configuraciones, de versiones, de accesos, y de problemas, entre otros?, ¿estarán a la altura de las nuevas necesidades?, ¿estarán a punto los ambientes de prueba necesarios[9]?, ¿estamos midiendo los resultados esperados –el valor para el cliente- o todavía medimos salidas de componentes/sistemas/áreas/departamentos individuales? Las profesiones son diferentes (know-how, habilidades, conocimientos, necesidades de capacitación, etc.), los roles son diferentes, y es claro que la responsabilidad es compartida[10].

Los marcos de trabajo y herramientas también son numerosas y diferentes para cada profesión; usualmente hablamos de “llevar” a la nube y tal vez también sea bueno considerar “traer” de la nube. Incluso las diferentes herramientas que existen también tienen enfoques digamos, “sesgados” en uno u otro entorno. Sin embargo, hay buenas noticias: existen varias alternativas; pero también hay malas noticias: existen varias alternativas. Esto implica adoptar e interiorizar una cultura que fomente: (a) experimentación continua, correr riesgos y aprender de los fracasos –la búsqueda de la innovación, reducir el “time-to-market”, salir de nuestra zona de confort, entre otros aspectos positivos; y (b) la comprensión de que la repetición y la práctica es el requisito previo para la maestría –incrementar la resiliencia, estabilidad, garantía, cumplimiento, seguridad de la información, eficiencia, efectividad, rapidez, flexibilidad y adaptabilidad para responder a nuevas o cambiantes necesidades, empleo eficiente de modernas tecnologías disruptivas, entre otros beneficios. Integrar las diferentes alternativas de solución es lo importante –y es lo riesgoso para el negocio, aunque a nosotros los especialistas esta integración nos resulte interesante. ¿Cuánta integración es necesaria, en cuántas fases lo lograremos, cuál es el plazo o cuáles son los plazos, quién realizará esta integración (o con quién), con qué se realizará?, son algunas preguntas que deberemos responder.

Requisitos y beneficios podrían verse mezclados y esto podría ocasionar confusión –y problemas- en su adopción; así, cada empresa deberá establecer los principios, métodos y prácticas DevOps que sean más apropiados para sus negocios.

Creo que a todos nos duele la cabeza el sólo pensar las mejoras que debemos implementar en nuestros respectivos ecosistemas tecnológicos, empezando por un cambio de cultura para eliminar los silos; aportar transparencia en las actividades de desarrollo y de operaciones; adoptar e interiorizar la calidad[11] y la colaboración[12]; trabajar en equipo, de forma más cercana, en un marco de respeto mutuo, generando confianza, aportando mayor agilidad al negocio y notables incrementos de productividad[13]; establecer procesos y responsabilidades claras; identificar mejoras necesarias en los procesos, tecnología y capacidades, habilidades, y conocimiento de las personas.

Para tener éxito con un DevOps disciplinado, necesitamos ocuparnos de las 5P de la mejora[14] (donde tal vez sean las personas lo más importante, como ya hemos visto):

  • Propósito/Objetivo: involucra todos los elementos que constituyen la intención de la organización. Esto incluye la misión, visión, objetivos y estrategias de la organización. Implica identificar los principales puntos fuertes, puntos débiles, oportunidades y amenazas;
  • Principios: son las filosofías que guían la empresa, los supuestos, o actitudes sobre las que la organización debe operar y cómo debería conducir sus negocios. Esto incluye la base de integridad, ética, y valores nucleares a los cuales se espera que los empleados se comprometan cuando son contratados. Implica identificar la cultura y los valores de la organización;
  • Procesos: son las estructuras organizacionales, sistemas, y procedimientos que se utilizan para fabricar los productos o desarrollar los servicios que provee la organización, así como la infraestructura y reglas que apoyan estos sistemas y procedimientos. Implica una lista de todos los procesos y exponerlos mediante diagramas de flujo, mapas de procesos, técnicas como 6W-2H; identificando los responsables de cada proceso;
  • Personas: son los individuos (y equipos de personas) que realizan el trabajo que es consistente con los Principios y Procesos de una organización para lograr su Propósito. Son los componentes activos que obtienen resultados. Implica determinar en qué medidas las personas están calificados para las funciones que desempeñan; identificar las necesidades de formación;
  • Rendimiento: involucra todas las métricas, mediciones y resultados esperados que muestran el estado de la organización, y son utilizados para la toma de decisiones. Los resultados son re‑alimentados al proceso de gestión estratégica con el fin de proveer retro‑alimentación y control. Implica identificar las medidas de rendimiento usados; establecer indicadores clave de rendimiento (KPI); establecer un sistema métrico.

El modelo de negocio determinará el marco de trabajo, mejor práctica, o norma que se empleará[15] y el contexto en el que actuarán (ITIL y DevOps, por ejemplo, complementándose ambos), enderezando el timón cuando y cuantas veces sea necesario. Es buscar agregar/obtener valor a/de los servicios que la empresa entrega. Esto implica buscar convertirnos en seres realmente proactivos –una nueva especie en el mundo informático de más de una empresa.

[1]       Fuente: https://www.quora.com/Is-DevOps-the-new-name-for-SysAdmin-Why-are-all-DevOps-tools-related-to-infrastructure-and-system-admin; disponible en agosto/2016

[2]       Fuente: http://searchdatacenter.techtarget.com/es/consejo/Definicion-de-DevOps-mejor-explicamos-lo-que-no-es; disponible en agosto/2016

[3]       Fuente: https://www.youtube.com/watch?v=o7-IuYS0iSE; disponible en agosto/2016

[4]       Fuente: http://es.slideshare.net/therobot/que-demonios-es-eso-de-devops-y-porquedebera-interesarme; disponible en agosto/2016

[5]       Fuente: http://www.javiergarzas.com/2014/12/devops-en-10-min.html; disponible en agosto/2016

[6]       Fuente: https://www.newcontext.com/devops-needs-security/; disponible en agosto/2016

[7]       Fuente: http://itrevolution.com/the-three-ways-principles-underpinning-devops/; disponible en agosto/2016

[8]       Fuente: http://www.drdobbs.com/architecture-and-design/getting-devops-right-the-lay-of-the-land/240062639; disponible en agosto/2016

[9]       Fuente: http://www.itproguy.com/devops-practices/; disponible en agosto/2016

[10]     Fuente: https://www.youtube.com/watch?v=_I94-tJlovg; disponible en agosto/2016

[11]     Fuente: https://www.paradigmadigital.com/techbiz/que-es-devops-y-sobre-todo-que-no-es-devops/; disponible en agosto/2016

[12]     Fuente: http://blog.itlinux.cl/blog/2013/10/23/que-es-devops/; disponible en agosto/2016

[13]     Fuente: http://www.claranet.es/devops-que-es-y-como-lo-aplicamos-como-proveedor-de-cloud-hosting; disponible en Agosto/2016

[14]     Fuente: http://www.12manage.com/description_pryor_5_ps_model.html; agosto/2016

[15]     Fuente: http://www.ca.com/us/rewrite/articles/devops/devops-and-itil-always-let-your-business-context-be-your-guide.html; disponible en 2016