9 metas de todo gestor de proyectos

Cierto, lo primero que debemos hacer los gestores de proyectos es atender a las tres restricciones clásicas.

Así, deberíamos prestar fina atención al plan que establecimos para monitorear el cronograma con el fin de mantenerlo al día, y registrar lo planeado versus el progreso realizado y actuando rápido ante cualquier desviación. Es interesante ver esto desde la óptica de Deming.

Sería conveniente identificar (bueno, lo mejor posible) el real costo total de propiedad de un proyecto, relacionado con el personal (colaboradores) interno y externo, recursos materiales, proveedores, entre otros puntos a considerar, y buscar ‘balancear’ el gasto total (rastreando cualquier desviación del plan) para que no se nos escape de las manos el presupuesto asignado al proyecto –al menos no tanto.

Cierto, los cambios son inevitables –y hasta buenos, pero al menos tengamos al principio un conjunto de requisitos completo, claro, entendido, aceptado, con criterios claros de cómo estos requisitos serán evaluados y aceptados. Entendamos que hay que saber decir sí a la persona y no a la tarea. Evaluemos antes de señalar opciones. Todos los que deciden deben tener claro por qué y cuándo deciden por una alternativa.

No olvidemos el mantra “reunirse con todo el equipo y establecer metas por adelantado”. Es buena idea además porque podríamos establecer etapas para un proyecto “grande”, además de priorizar las tareas necesarias para cada etapa.

Nuestro cliente debe estar y quedar siempre contento con nuestro trabajo –digo, con el avance del proyecto. Seamos transparentes. Entendamos las expectativas de los clientes, stakeholder y sponsors. La apertura y la honestidad son siempre las mejores herramientas para lidiar con las expectativas de las personas. Cierto, debemos buscar una mejor comunicación y entendimiento con las personas, en general.

Y no olvidemos a nuestro equipo de trabajo. Siempre se nos repite que, con un equipo feliz y motivado, con el cual, y dentro del cual existe una comunicación fluida y transparente, puedes lograr cualquier cosa. Bueno, también sabemos que esto empieza por tener al equipo correcto, con el perfil y competencias correctas para la tarea. Esto es, los recursos humanos con las capacidades adecuadas. Sigue el que los miembros se sientan reconocidos y que forman parte de algo importante, con un objetivo importante –que sería ideal que lo hagan suyo. No trabajo cargando piedras para construir la catedral – construyo mi catedral.

Recordemos que debemos manejar al triada personas-procesos-tecnología. Así, es necesario identificar qué se necesita mejorar, adicionar o utilizar, para invertir en la medida que sea necesario, de acuerdo con la envergadura del proyecto y su necesidad de comunicación -o interrelación.

Lo anterior implica que debe haber una base sólida para trabajar, y esta viene construida desde la organización, no por independientes interesados con brío y ganas de hacer bien las cosas. Es necesario que exista una correcta identificación, evaluación y priorización de proyectos que aporten valor real al negocio –conociendo todos cuáles son las metas y objetivos que se espera alcanzar, y que se establezcan correcta y oportunamente los roles y las responsabilidades, que exista estandarización para un mejor y pleno entendimiento de por qué se hacen (o necesitan hacer) las cosas, con políticas documentadas, claras y consistentes, y que se cumplen, apoyadas por las normativas correspondientes, y que se cuenten con los recursos y capacidades necesarias para llevar a cabo estos proyectos.

Sabemos que debemos gestionar los riesgos. Así, es necesario realizar el control correspondiente a los parámetros del proyecto, monitorizar el avance, y medir. Debemos poder ser capaces de definir, capturar y rastrear las métricas que rodean cada proyecto. Nos ayudamos con las lecciones aprendidas de experiencias pasadas, establecemos líneas base, documentamos (¿lo hacemos?). Debemos medir el progreso.

Algunas ‘mejores prácticas’ de TI para el fracaso –y algunas ‘mejores prácticas’ para evitarlo

Así es, una mejor práctica no es una receta de cocina. La preparación que hagamos de un ‘platillo’ y su resultado depende de muchos factores referidos a las herramientas, nosotros mismos como çocineros’, de los ‘comensales’ y su entorno.

Una real mejor práctica es considerar la preparación del ‘platillo’ para garantizar su resultado. Así, intervienen el ecosistema tecnológico en operación –moderno, vigente, legacy, integrado, interconectado- plataforma tecnológica e infraestructura de soporte, la cantidad necesaria de especialistas con el perfil apropiado, la experiencia, competencias (conocimientos, aptitudes, actitudes), orientación técnica o de gestión, requisitos del negocio, apetito de riesgo, intereses personales, los recursos para la producción del servicio (en adición al ecosistema tecnológico y el personal de apoyo, se necesita información, aplicaciones, recursos financieros) y capacidades para asegurar el rendimiento esperado (modelo de gestión, organización implementada, procesos establecidos, conocimiento gestionado), ambos activos de servicio necesarios para entregar el servicio con el valor esperado (con la utilidad y la garantía de rendimiento esperada), aparte claro del presupuesto, coyuntura socio-económica, entorno regulatorio y legal, mercado (cultura, exigencias, demografía, restricciones, gobierno, importación/exportación).

Estamos propensos a decir sí o no a todo y esto varia como buena práctica de acuerdo a la cultura y clima organizacional, buscando no quedar mal –aunque esto es lo que ocurre al no cumplir si accedemos o no entregar si era posible y alguien después nos lo hizo ver.

Una real buena práctica es explicar qué debe hacer para satisfacer las solicitudes, luego de realizar el análisis previo correspondiente. Lo que sigue será una conversación más que una excusa.

Tampoco es una buena práctica blandir que se cumple con el acuerdo de nivel de servicio (SLA) aceptado por el cliente, o con el nivel de servicio organizacional (OLA) requerido y comprometido por las áreas internas de la empresa, cuando es evidente la existencia de reclamaciones al respecto, y tratamos de minimizar el impacto haciendo bromas a costa de clientes, usuarios –o peor, de nuestro soporte- ‘inexperto’. Puede haber un contrato en ambos casos, pero no es bueno mantener las relaciones a distancia.

Una real buena práctica es identificar y enfrentar cambios –incluso sustanciales, investiguemos con transparencia. Recuerde que las relaciones requieren confianza, que la confianza no sucede a menos que reconozca a los colegas y clientes como personas reales que, si les gusta, trabajarán con usted para arreglar lo que falla y que el propósito de los contratos no es definir las relaciones -es definir lo que sucede cuando no hay confianza y algo va seriamente mal.

Tomamos como buena práctica poner nombre a nuestros proyectos, desde hace poco incluso, no siempre ha sido así. Pero esta buena práctica de la dirección de proyectos la utilizamos para nombrar el proyecto como una implementación de software (y nos preocupamos de que el producto software funcione) y no como los resultados esperados por el negocio (no establecemos los requisitos y criterios de validación necesarios para el entregable). El trabajo de TI se realiza cuando el software satisface los requisitos y cumple con las especificaciones –se ha hecho el aseguramiento y control de calidad apropiados al producto software, su verificación. Entonces sabemos quién es culpable de no alcanzar los resultados esperados por el negocio ¿verdad?

Una real buena práctica implica identificar al real sponsor del proyecto. Me refiero no al que ha sido nombrado (otra ‘buena práctica’), sino al que le interesa el éxito del proyecto porque su reputación está en juego y actúa en beneficio del negocio, y no asume el encargo sólo por intereses personales. Otra es designar correctamente a alguien realmente encargado de realizar las validaciones oportunas, correctas y apropiadas.

Insistir en un retorno de inversión de la plataforma actual al instaurar la buena práctica del gobierno de TI es también una perjudicial para los proyectos donde la tecnología puede ayudar a los departamentos de negocios a ofrecer mejores resultados más rápido, o para aquellos proyectos que buscan ayudar a impulsar la satisfacción del cliente.

No podemos discutir que estos proyectos son críticos, por lo que una real buena práctica es que se necesita establecer correctamente los casos de negocio oportunos, necesarios y apropiados, y la organización debe implementar los cambios que sean identificados con prontitud.

El aumento de la eficacia de la misión y la eficiencia operativa son beneficios clave que se pueden lograr con el cloud computing. Recordemos la definición del NIST. Pero aplicar una estrategia al respecto es otra cosa, considerando por supuesto la seguridad en la nube. Tomamos como buena práctica la mera adopción de una solución comercial enfocada en IaaS, PaaS o SaaS. Sí hay orientaciones al respecto, pero dependerá de cada organización su definición y el éxito de su implementación ya que se deberá mantener las evaluaciones tecnológicas y las inversiones alineadas con las estrategias empresariales. Es una buena práctica reutilizar el recurso humano (exigirle más, por decirlo amablemente), pero debemos considerar que, probablemente, se requiera una reorganización de la organización de TI para ofrecer mayor agilidad empresarial y soporte a iniciativas empresariales clave.

Es una real buena práctica recordar que el ser humano es adaptable pero no es una máquina multitarea y tiene dignidad. Entonces conviene planificar –una buena práctica que muchas veces olvidamos por las presiones del mercado. Una buena planificación es muy importante porque en ella establecemos roles, responsabilidades, alcance del modelo de despliegue y servicios a emplear o entregar, controles, aspectos de diseño y de operación (que seguramente será necesario afinar), cumplimiento regulatorio y legal, integración de tecnología legacy con la nueva, cargas de trabajo, procesos establecidos, exposición al riesgo o apetito de riesgo, sponsor (real), ámbito de influencia, gobernabilidad, plazos, presupuestos, valor real para el negocio considerando las inversiones con base en su estrategia de negocio digital, entre otros muchos factores a considerar.  Otra real buena práctica es que todos los proyectos que se lancen deberían estar totalmente equipados, con “personal completo”, lo que significa que el proyecto nunca esperará a que un miembro del equipo esté disponible para trabajar en él.

Una buena práctica es emplear métodos ágiles, pero el pretender combinarla con la premisa de abaratar costos ya no lo es. La combinación es factible pero complicada en su control y gestión, y hasta contraproducente en cuanto a resultados esperados. Esto sólo si hablamos de contar con recursos y capacidades internas al país (on-shore); sin hablar de los recursos y capacidades que podrían verse interesantes fuera del país (off-shore).

Una real buena práctica es realizar una apropiada planificación tras reconocer que están implicados diferentes aspectos, no sólo el costo del recurso humano con el perfil adecuado, sino los costos de la tecnología a emplear y los mecanismos de seguridad necesarios, así como aspectos de locación, demográficos, culturares, idiomáticos, entre muchos otros.

22 maneras de lograr reuniones más productivas -y seguras

22 maneras de lograr que las reuniones sean más productivas -y seguras

Para los no expertos, u olvidadizos, conviene recordarlas –aunque no sean las únicas. No olvidemos, sin embargo, la seguridad de la información.

El objetivo de toda reunión es lograr algo –ideas, avanzar en los proyectos, resolver problemas, mejorar servicios, entre otros. Buscamos un efecto positivo en la moral de los colaboradores, así como en el rendimiento del equipo y de la organización. Los líderes dirigen reuniones para hacer el trabajo.

Las reuniones pueden ser realmente productivas, de calidad, si contamos con las herramientas de colaboración adecuadas y configuradas apropiadamente para reducir las fallas de seguridad de las aplicaciones, y así evitar que los datos de toda la organización sean vulnerables (utilizando cifrado de datos, contraseñas seguras, evitar descargas automáticas, entre otras medidas) y, lo que es más importante, la mentalidad correcta, con la capacitación apropiada en cuanto a seguridad de la información.

La colaboración es una habilidad muy personal, y cada uno de nosotros trabaja de manera diferente (consideremos la generación en que nacimos), usamos herramientas diferentes –lo que crea problemas de seguridad de la información.

Unos prefieren una videoconferencia sobre una llamada telefónica o comunicación vía WhatsApp; otros prefieren utilizar el chat o el correo electrónico (cuidando la netiquette -reglas de convivencia/etiqueta en la red) para intercambiar archivos, por ejemplo; otros, el teletrabajo; otros utilizar sus propios dispositivos de comunicación (BYOD), buscando siempre movilidad (y asegurar que esa movilidad no comprometa la seguridad); por ejemplo. Como vemos, aparecen muchos riesgos de seguridad.

Con respecto a las reuniones, debemos considerar, entre otras cosas, pero no limitadas a, las siguientes:

  1. Determinar la necesidad de la reunión que se convoca. ¿No podemos obtener los mismos resultados mediante una llamada telefónica o un correo electrónico, por ejemplo?
  2. Designar el facilitador. Conviene un líder que puede reforzar las grandes ideas articuladas en la reunión, ayudar a una discusión positiva y asignar actividades de seguimiento.
  3. El objetivo de la reunión (por qué necesitamos reunirnos, qué ha ocurrido que demanda reunirnos). Las reuniones más eficaces son aquellas donde los objetivos son claros (enfocados, accionables/realizables con autorizaciones y recursos, oportunos). Este tipo de reuniones son las que generan un impacto positivo en el negocio, sobre las medidas de productividad, innovación y cuota de mercado.
  4. Programar una agenda pensando en tareas y no en tópicos ayuda, estableciendo a priori el tiempo que invertiremos en cada tarea propuesta (tiempo sincerado en relación con el alcance del trabajo que se espera completar de dicha tarea), y estableciendo la persona directamente responsable a cada tarea. ¿Serán suficientes 30 minutos en total?, considerando lo anterior o, como dicen, menos es mejor, si contamos con alguna estadística interna.
  5. La sensibilidad de la información que se tratará, las herramientas que se utilizarán, y los medios que se emplearán, todo antes, durante y después de la reunión. Necesitamos identificar los mecanismos de seguridad que serán empleados en cada caso, por todos los participantes, directos e indirectos (asesores internos y externos, asistentes, entre otros).
  6. Anticipar reacciones fuertes o negativas durante la reunión –considerando los posibles participantes, y condiciones que originan la necesidad de reunirse. El silencio podría ser considerada una reacción fuerte –y debemos aprender a tolerarlo. Tal vez una retroalimentación utilizando herramientas colaborativas puede ser útil, para evitar una relación ‘cara a cara’ que podría tomar tiempo.
  7. La zona horaria en que se encuentran los posibles participantes –o la posible situación a tratar, para realizar la convocatoria en SU horario, no el nuestro. Se supone que, aunque lejanos, hemos mantenido el contacto siempre ¿verdad?
  8. El mejor horario para agendar las reuniones y evitar distracciones ¿de martes a jueves tal vez? (luego que las cosas ocurridas el fin de semana han sido resueltas, y antes de los preparativos del siguiente fin de semana) ¿entre las 09:00 y las 11:00 horas? (después del desayuno y antes de la hora del almuerzo) ¿o entre las 14:00 y las 16:00 horas? (después del almuerzo y antes de la hora de salida) Cada organización tiene –y mantiene- sus tiempos en que se encuentran más alertas.
  9. Con qué información necesitamos contar -antes de la reunión para ser difundida y trabajada por los asistentes con anticipación.
  10. Asegurar la puntualidad (de inicio y de fin), un factor de respeto en equipos de trabajo –y además porque todos andamos muy ocupados ¿verdad? ¿Ofrecemos premios a los puntuales y castigo para los tardones? O nos basamos en la ética y respeto mutuo.
  11. Debemos establecer expectativas claras para la participación. Debe quedar claro lo que realizaremos (trabajar algo, coordinar algo, decidir sobre algo –aunque hay cosas que no pueden esperar a las reuniones); así, los participantes pueden expresar responsabilidad personal por una determinada acción. Si utilizamos una reunión para informar algo, que sea realmente crítico, o buscar emplear otros medios. Bueno, depende de la cultura organizacional.
  12. Tener en claro la información que necesitamos obtener, como resultado de la reunión. Esto implica una gestión de conocimiento.
  13. Identificar o programar con tiempo el tipo de reunión que sostendremos (presencial, remota/virtual), asegurando que todos los participantes contemos con lo necesario en cada caso y con la debida anticipación. No olvidemos repasar la “tarea” de la última reunión. Cuánta anticipación dependerá, dirán muchos, de la urgencia, sin considerar el trabajo previo a realizar, cuya calidad no estará garantizada.
  14. Convocar a las personas en la correcta cantidad (cuantos menos sean, mejor), con la adecuada competencia y experiencia, cantidad y nivel de información requerida, nivel de responsabilidad y autoridad para asignar y designar recursos, y a los que necesiten los resultados de la reunión. En otras palabras, convocar a los esenciales.
  15. La preparación previa que requiramos, como conocer la presentación que haremos para no leer las presentaciones y aburrir a los participantes, conocer a quién nos dirigimos, conocer cuáles son sus intereses, conocer el balance de su poder e influencia, entre otros aspectos.
  16. La comodidad del lugar (ubicación, sonoridad, control ambiental, espacio personal, tamaño del lugar, mobiliario apropiado y en buenas condiciones – ¿una mesa redonda tal vez?, iluminación, disponibilidad y acceso a los servicios, entre otros aspectos). Tal vez convenga realizar una determinada reunión fuera del salón de clase (la sala de reuniones habitual), especialmente si son pocos participantes. Igual, dependerá de la cultura organizacional y, quizá, también, de lo que se vaya a tratar.
  17. La herramienta a emplear –incluso utilizar algunas que hasta hace un tiempo podrían no haber sido autorizadas en la empresa, pero que ahora son necesarias para “mantenerse on-line” (fuera del lugar de trabajo, en cualquier sitio, y a toda hora).
  18. El medio a emplear (video conferencia, audio conferencia, por ejemplo), y no olvidemos antes y durante la reunión a aquellos que asisten de forma virtual –también son participantes.
  19. Asegurar, por supuesto, que no haya distracciones al utilizar dispositivos personales y otra agenda personal (realizando trabajos que no tienen relación con el propósito de la reunión, generando distracción y, por tanto, retrasos). Utilicemos las herramientas que realmente necesitemos, apaguemos lo demás, por respeto a los participantes.
  20. Cómo lograr no ser el único que habla (no estamos dando una disertación) –cuidemos el ego. Recordemos que la participación es lo que hace una reunión ya que tienen la oportunidad de proporcionar otras perspectivas sobre la tarea a realizarse, a hacer que las ideas fluyan. Todos tenemos derecho a defender nuestras ideas y a trabajar a partir de la crítica honesta -y constructiva por supuesto.
  21. Cómo hacemos para permanecer en el tema porque, puede ser inevitable que existan desvíos, por la cultura organizacional o de los propios participantes o interés de alguno de los participantes. Por ejemplo, si la conversación está saliendo del tema, lideremos el asunto (re-enfoquemos la reunión, el punto tratado), no tengamos miedo de intervenir y traer la conversación de nuevo a los temas descritos, y registremos todos los puntos relevantes planteados para una futura discusión.
  22. No olvidar recapitular al final de la reunión lo trabajado, los acuerdos (compromisos) tomados (las fechas objetivo concretas, los siguientes pasos, las tareas a ejecutar), de registrar todo convenientemente, y de realizar el seguimiento correspondiente (hecho de una manera que promueve la reflexión y el aprendizaje, y minimice las reacciones defensivas), previa difusión de lo realizado para que todos sepan que se hará con las decisiones tomadas.

Muchos de nosotros sabemos lo difícil que es hacer nuestro mejor trabajo y permanecer comprometidos con los resultados mutuos en un ambiente donde las reuniones no nos comprometen a aportar nuestras mejores ideas de manera eficiente y efectiva. Nadie desea críticas, reclamos, quejas, echar la culpa, aburrimiento o pensar que hemos malgastado nuestro valioso tiempo o el de nuestros colaboradores, y peor si hemos tenido que desplazarnos para nada.

Una vez que se hayan establecido estándares para reuniones eficientes, eficaces y entretenidas, su equipo seguirá [los estándares] – y las reuniones pueden comenzar a ser la mejor parte de su día de trabajo.

¿Algo que agregar o mejorar?

Bueno, hemos visto bastante sobre cómo realizar reuniones efectivas y planteando un esquema de seguridad en ellas.

Con respecto a la seguridad de la información antes, durante, y después de estas reuniones, cabe considerar, entre otras cosas, pero no limitadas a, las siguientes:

  1. Si la cultura organizacional interviene, ¿dónde queda la política de seguridad de la empresa?
  2. El asunto se complica si consideramos a los terceros en esto – ¿podremos hacer que se sujeten a nuestras reglas/políticas de seguridad o utilicen nuestras herramientas? ¿qué opinan?
  3. ¿Qué opciones tecnológicas podríamos ofrecer –o necesitamos implementar en adición- en estos casos?
  4. ¿Requeriremos (y podremos lograr) una transformación digital?
  5. ¿Cuáles serían las nuevas restricciones?
  6. ¿Propondremos herramientas en la nube –incluidas las redes sociales?
  7. ¿Qué protección brindaríamos y cómo mantendremos la seguridad si utilizamos la nube o redes sociales –y la sincronización de la información para evitar ‘malos entendidos’ o ‘desfase’, o excusas similares?
  8. ¿Qué políticas, normas o procedimientos nuevos estableceremos –o cómo afinamos, agilizamos, flexibilizamos lo existente?
  9. ¿Qué pasa con los cuidados que los propios usuarios debemos tener presente durante el uso de los servicios en nube o de redes sociales, como por ejemplo, a quién entregamos nuestro número de teléfono o correo electrónico?
  10. ¿Qué hay sobre los dispositivos o componentes que dejamos de lado en favor de los nuevos (independiente del motivo del reemplazo)? ¿Tenemos como norma adoptada y accionable destruirlos o borrar su contenido?
  11. Si utilizamos esquemas de comunicación como teletrabajo, ¿cómo garantizamos la identidad del interlocutor? ¿Cómo garantizamos la confidencialidad de la información tratada?
  12. ¿Deberá ser necesaria la firma de acuerdos de confidencialidad?
  13. ¿Podremos controlar que no se utilicen dispositivos (personales o provistos por la empresa) que hayan sido objeto de rooting, jailbreaking u obteniendo de otro modo acceso privilegiado al dispositivo?

En general, no sólo se trata de crear una ilusión de seguridad, es necesario medir la efectividad del esfuerzo. Queda abierto el debate.

Seis factores críticos para crear una mejor estrategia de seguridad de TI

¿Qué necesitamos para establecer una hoja de ruta funcional de la seguridad de las TI de la empresa?

Recordemos que un solo tipo y un solo nivel de seguridad de la información podría no ser suficiente para una determinada organización. ¿Qué modelo de defensa en profundidad adoptaría, de entre los varios que existen? Tampoco debemos olvidar la estrategia a seguir si ocurriera alguna brecha en esta seguridad de la información.

Pero, debemos empezar, y lo hacemos de la siguiente manera:

  1. Identificar, clasificar, y etiquetar los recursos, los activos de información, considerando su importancia –o implicancia en los procesos de la organización, ya sean estos recursos físicos o virtuales, tangibles o intangibles.

Debemos responder con certeza el por qué debo considerarlos.

¿Convendría que los mismos sistemas que se han puesto en marcha se actualicen automáticamente en una base de datos ad-hoc a medida que cambia el inventario de recursos?

Las organizaciones deben tener pleno conocimiento de lo que tienen, valorar lo que tienen y lo que no pueden permitirse perder, además de crear un plan integral para proteger estos activos críticos.

Tendríamos, entonces, que pensar en un conjunto automatizado de herramientas para rastrear y clasificar los recursos.

  1. Proteger el acceso a los recursos, tratarlos conforme a su clasificación y prioridad establecida, de acuerdo a su impacto en el negocio (las consecuencias).

Claro, tenemos que sincerar el cómo realizaremos la protección para lo cual seguramente necesitaremos realizar primero un análisis de brecha. ¿Hemos realizado nuestro FODA?

Consideremos las nuevas tendencias para crear valor de TI, e incluso de los usuarios al emplear la tecnología como shadow IT o BYOD.

Tendríamos, entonces, que establecer una línea base correcta y sincerada –de todo, sin olvidar o menospreciar los recursos y capacidades existentes, desde el punto de vista del valor que se espera del servicio de TI.

El intercambio de información –correcta, completa, contextual, oportuna, clara- se vuelve crítico.

  1. Detectar amenazas y ataques, considerando el triángulo procesospersonas-tecnología, identificando riesgos en las operaciones que es donde se provee el valor de un servicio.

Tendríamos, entonces, que entender y asegurar que todos en la organización tengan claro que la detección de amenazas (un sospechoso siguiéndote a tu casa –bueno, tal vez una amenaza algo más sofisticada, especializada, escalable -¿que afecte la privacidad?, ¿porque el enemigo está adentro?), detección de vulnerabilidades (una ventana abierta –situación que se advierte con un escaneo de vulnerabilidades [y no debemos remitirnos solamente al perímetro]), y detección de ataques (el sospechoso metiéndose a tu casa por la ventana abierta) son tres cosas distintas.

De hecho, es crucial el dominio del tema, la provisión de la tecnología apropiada, y hacer y dejar hacer.

¿Recordamos los honeypot? De repente ya hemos sido víctimas de un hacker y aún no lo sabemos.

  1. Responder a las amenazas y ataques, considerando que posiblemente requiramos apoyo externo o una mayor capacitación y experiencia internas.

¿Cuáles serían las estrategias que adoptaríamos?

Tendríamos, entonces, que tomar medidas proactivas sobre un riesgo identificado y preparar las reactivas (de acción inmediata ante la ocurrencia del evento) –evitando acciones bomberiles.

Las medidas proactivas deberían ser pensadas, planeadas, diseñadas, implementadas, probadas, afinadas, y con responsabilidad asignada, con recursos y capacidades presupuestados, que den cumplimiento a normas internas y/o legales, que busquen evitar deudas, multas, pagos no presupuestados, litigios, pérdida de confianza y clientes, daños a la reputación y pérdida de confianza de las partes interesadas, publicidad negativa y pérdida de activos, entre otros aspectos negativos.

Es decir, una verdadera proactividad en una empresa con alto nivel de madurez, que está preparada para el cambio.

Realizar lo importante para evitar [en lo posible] las emergencias –o, al menos, reducir su frecuencia o impacto.

Ciertamente el error humano sigue siendo una amenaza para la seguridad, pero si trabajamos la cultura organizacional seguramente podremos compensar algunos riesgos de seguridad y privacidad de la información empresarial –los internos a la organización, por lo menos, concientizar al usuario.

  1. Es claro entonces que la educación en ciberseguridad debe ser parte integral de la cultura del lugar de trabajo, es hacer que la ciberseguridad sea tarea de todos. Sabemos que esta educación en ciberseguridad no significa asistir a un [solo] curso o seminario –por único que sea en su género, significa hacer de la seguridad una iniciativa cultural colaborativa y continua.

Es ayudar a todos en la empresa a comprender que los ciber delincuentes representan una amenaza no sólo para la empresa, sino también para ellos y sus familias, también (filtración de datos personales, por ejemplo, y las posibles amenazas que esto conlleva).

Sin embargo, cuando ocurra una brecha de seguridad, evitemos actitudes incorrectas en un líder o equipo de infosec porque pueden resultar en una peor violación de privacidad / seguridad y en una afectación negativa a la moral y motivación en el entorno laboral –lo que, potencialmente, podría conducir a la aparición de más riesgos o a elevar la graduación de los existentes.

La importancia de tener una actitud positiva y fuerte de seguridad y privacidad es tal que tanto los líderes como los empleados deben ver la privacidad como un valor que desean experimentar, promover, proteger y formar.

  1. Mejorar la analítica (para una mejora continua de todo el proceso).

Tendríamos, entonces, que realizar una labor analítica de predicción, porque nos dice dónde reforzar la protección –un poco de inteligencia de negocio siempre ayuda. Lo que implica un estado de cambio constante en los servicios y su gestión, lo que implica además gestionar proyectos.

Todo lo anterior es una tarea realizada de forma periódica (¿una auditoría particular o integrada?) o por demanda del mercado (¿tal vez necesidad?), siempre en evolución (nuevos hallazgos de día-cero, ahora además con la IoT –agregamos complejidad a lo complicado), un espacio, una oportunidad para mejorar.

Sigamos el ciclo de Deming, de mejora continua.

Tengamos presente que hemos pasado de un modelo donde se hacía hacking por diversión o fama, a la ciberguerra propiamente dicha, con objetivos claros y concretos, como destrucción, negación de un servicio, destruir la imagen de una empresa, incluso de monetizar la información obtenida.

 

¿Gestionas el cambio como un experto?

¿Gestionas el cambio como un experto?

Ya habíamos hablado de gestionar el cambio en una entidad pública. De hecho, también de limitaciones para un apropiado cambio, y máxime si se trata de proyectos.

Tenemos el know-how pero carecemos de la madurez para afrontar el cambio y reconocer dónde empezar.

Muchas veces esto está condicionado por el ambiente y la cultura de la empresa, lo que nos hace fallar y pensar que utilizamos una herramienta o contratamos el personal inadecuado o contratamos un consultor inexperto, y hasta que fuimos estafados –claro, fácil es echarle la culpa al otro ¿verdad?

Las organizaciones deben adaptarse a los cambios de escenario con proyectos cada vez más complejos, y entornos de gran incertidumbre y volatilidad. En toda empresa se realiza periódicamente un esfuerzo por determinar la mejor dirección para el negocio.

La cultura organizacional, su estructura, sus procesos, políticas, procedimientos y hasta sus valores pueden no estar en sintonía con ese cambio que se nos avecina y que demandará una nueva forma de interactuar, de pensar, de actuar.

El establecer controles que antes no existían ocasionará que, en la mayoría de los casos, las personas se resistan y respondan sólo por obligación a las exigencias de la organización.

De hecho, la cultura organizacional cambiará en la medida que cambien las personas y la posición que estas personas adopten frente al cambio, ya que son las personas las que hacen el cambio sostenible en el tiempo.

Una vez identificados los cambios que debemos realizar para asegurar esa dirección (entendiendo la necesidad del cambio y beneficios luego del cambio en el ecosistema de la organización), debemos establecer el valor del cambio y priorizar los principales ajustes (en procesos nuevos -o actualizándolos o complementándolos, procesos que pueden ser medidos, verificados y por ende adaptados en pro de la mejora continua, roles, estructura organizativa si es necesaria), entender a quién alcanza el cambio y cómo le beneficia (a clientes y stakeholders), establecer el compromiso e involucramiento de los participantes (recursos provistos en la oportunidad y cantidad requerida, personal suficiente, apropiado, capacitado, motivado), realizarlos (aplicando las 6W-2H), y mejorarlos.

Es sabido que el trabajo colaborativo genera pertenencia, nos permite apropiarnos del conocimiento, las habilidades y las actitudes que nos hace falta desarrollar para lograr los objetivos planteados. Es necesario entonces un poco de inteligencia emocional en el momento oportuno y de la manera apropiada y personalizada para sensibilizar a las personas ante lo que está por venir y así canalizar sus emociones –o motivación. Es importante entonces desarrollar una estrategia de comunicación y monitorizar la comunicación porque es clave para realizar ajustes cuando sea necesario.

¿Quién desea una TI Bimodal?

¿Quién desea una TI Bimodal?

Según Gartner, bimodal es la práctica de la gestión de dos estilos distintos pero coherentes de trabajo: uno centrado en la previsibilidad; la otra en la exploración.

Revisemos:

  • El Modo 1 (más gobierno, menos cambio) está optimizado para las áreas que son más predecibles y son bien entendidas. Lidiamos aquí con, pero no limitados a, estabilidad, robustez, estándares, planificación cuidadosa, cumplimiento, gobierno, riesgos, eficiencia, seguridad, precisión, disponibilidad, presupuestos, niveles de servicio y requisitos.
  • El Modo 2 (menos gobierno, más cambio) es exploratorio [pero requiere un enfoque riguroso y disciplinado -para que las cosas no se escapen de las manos], experimentando para resolver nuevos problemas, agilidad centrada en el tiempo de lanzamiento al mercado [velocidad], la rápida evolución de la aplicación y, en particular, la estrecha alineación con las unidades de negocio.

En la siguiente figura Gartner gráfica lo anterior:

Estas iniciativas a menudo comienzan con una hipótesis que se prueba y se adapta durante un proceso que implica iteraciones cortas, adoptando potencialmente un enfoque de producto viable mínimo (MVP) -experimentación.

Tengamos presente que un equipo de TI exploratorio no es fácil porque tienes que desafiar el pensamiento convencional [de las personas, claro], aceptar los riesgos [la empresa] y sentirte cómodo con un ritmo de cambio [motivación de todos] que es muy diferente de la forma actual en que opera TI.

Ninguna iniciativa es igual a otra, dadas las particularidades de cada negocio, mercado, o empresa. Cada empresa debe conocer su ecosistema, para adaptarse conforme convenga, e innovar rápidamente para responder a las amenazas y oportunidades.

Sabemos que, en el contexto empresarial, el estilo de trabajo, el modelo de decisión y la gobernanza, son los que hacen la diferencia; por tanto, cada empresa debe evaluar -a través de prueba y error- cómo enfrenta este paradigma, porque seguramente requerirá equipos multidisciplinarios [manpower], consultorías, nuevos contratos de soporte, nuevas negociaciones, nuevas herramientas, nuevos procesos, nuevas competencias, nuevas habilidades, nuevos conocimientos, nuevos recursos, y nuevas capacidades. No dejemos de lado el costo total de propiedad y los niveles de servicio acordados.

Seguramente deberemos considerar incluir cosas como aplicaciones móviles y su desarrollo, experiencia para el lado del cliente, IoT [Internet de las cosas] para obtener cierta experiencia en la captura de grandes flujos de datos y analizarlos desde diferentes dispositivos, ya sean estos dispositivos de consumo, dispositivos industriales, lo que se tenga a mano. Podría acabar ocurriendo que los ingenieros recién entrenados quieren usar nuevas técnicas en sistemas antiguos, y crear silenciosamente work-arounds en lo que se ha conocido como “shadow IT“. Trataríamos entonces de incorporar y estandarizar esta shadow IT y permitir a los innovadores innovar, pero dentro de la estructura corporativa. Esto implicaría una reingeniería de la gestión tecnológica y del papel de la empresa en su implementación.

Pero, tengamos presente que no por utilizar métodos ágiles o DevOps ya somos bimodales. La organización también está involucrada, no solo es un asunto de pura tecnología. Tampoco significa dedicarse a producir código porque se arriesga una mayor complejidad arquitectónica y de aplicación, lo que reduce la agilidad de la empresa. Recordemos que la cadena se rompe por el eslabón más débil, ¿o será que avanzaremos siempre al paso del más lento? [el impacto en los clientes, específicamente, es parte del segundo efecto secundario].

Ambos modos son esenciales, según Gartner, [tienen una relación simbiótica] para crear un valor sustancial, e impulsar un cambio organizativo importante, ninguno es estático y, probablemente, para el futuro tampoco sean suficientes. Combinar [y balancear] una evolución más predecible de productos y tecnologías (Modo 1) con lo nuevo e innovador (Modo 2) es la esencia de una capacidad bimodal empresarial. Ambos modos juegan un papel esencial en la transformación digital.

Sin embargo, el Modo 1 podría erróneamente considerarse negativo [¿desmotivación por creer que debe mantenerse con lo legacy (islamiento), con el día a día, aunque exista la nube?]. Y no vemos que se debería centrar en la explotación de lo que se conoce, pero renovando a la vez el entorno heredado a un estado que es apto para un mundo digital –renovar el core es la clave. De igual modo, el Modo 2 podría considerarse erróneamente positivo, (siempre iterando / ¿arriesgando, sobre simplificando, sin normas, con prácticas no lineales?), y siempre debería siempre estar ¿planeando para el futuro? [¿flexibilidad?, ¿motivación por mantenerse en lo nuevo?]. Capacidad de respuesta frente a estabilidad.

¿Y si cambiamos el ejemplo de los corredores a las velocidades de una bicicleta de carrera? ¿o de blanco y negro al espectro de colores? ¿cuán segregada/dividida/segmentada podrían estar TI? Esto sugiere que este modelo bimodal podría ser una sobre simplificación de lo realmente requerido. Por ejemplo, una mejor alternativa, según John C. McCarthy, analista de Forrester, es que las organizaciones trabajen más para entender sus desafíos y hacer “los cambios necesarios para conducir la simplicidad”. El enfoque en los clientes, más que la velocidad o una disciplina en particular, es el diferenciador crítico en las empresas que están teniendo éxito.

También debemos tener cuidado y considerar que los modos podrían competir inevitablemente por los fondos, recursos, habilidades y la atención de la dirección, sin dejar de lado estándares, disciplina, reducir complejidad, gestionar riesgos, en todo momento. Ambos conceptos pueden funcionar mejor cuando son compartidos por los elementos front-end y back-end del ecosistema de TI. Iterar es bueno, pero con la verificación y la metodología de las TI tradicionales de back-end.

Gestión de proyectos en la gestión pública

Ya antes habíamos comentado sobre los proyectos fallidos.

De hecho, mucho se habla hoy sobre este tema de que en la gestión pública se deben gestionar proyectos o, al menos, de que deberíamos emplear técnicas de gestión de proyectos en la gestión pública.

Interesante propuesta, e ideal desde todo punto de vista, pero ¿y la acción?

Hace un tiempo se pretendió utilizar una herramienta para gestionar proyectos en una entidad del estado. Obviamente esta iniciativa fracasó. Los motivos fueron, entre otros, pero no limitados a, la expectativa de alcanzar los beneficios siempre promulgados por una eficiente gestión de proyectos, además de una pronta toma de decisiones informada, pero sin tener en cuenta las restricciones y plazos de ley para ciertas actividades, las ocurrencias producto de una deficiente formulación de los expedientes técnicos, y formalismos establecidos, pero no estandarizados, de los diferentes actores. Hay aquí una relación e integración interesante de gobierno, riesgos, y cumplimiento, y se comprueba que todo proyecto debe ser continuamente monitorizado para validar que se mantiene entregando el valor esperado.

El gerente general deseaba conocer realmente el portafolio de proyectos de la institución. Deseaba dejar un portafolio de proyectos ordenado, organizado, y controlado. En la fecha de la presentación oficial del producto desarrollado, se dio cuenta este gerente que no iba a inaugurar una determinada obra -estratégica- durante su vigencia en el cargo. Los sub-gerentes se excusaron, adujeron carencia de información oportuna, apareció un sin número de actividades extra, y atacaron el producto. El ejercicio sirvió al gerente para tomar una decisión referente a la inauguración, y para corroborar, según él, que efectivamente no se le informaba ni oportuna ni apropiadamente, y que las gerencias no trabajaban en equipo.

El producto no tenía nada de malo. Se había desarrollado en conjunto con el personal asignado como un producto dinámico, de alcance holístico para la tarea. Este dinamismo permitía reducir, lo mejor posible, la incertidumbre y el riesgo[1], pero era necesario dedicarle –constantemente-un tiempo; no es que me pueda limitar horas antes a completar el cuadro, de forma aislada, para presentarlo en la fecha prevista, apoyándome en “mi experiencia pasada”. El alcance era holístico por cuanto involucraba todas las gerencias, desde la concepción de la idea hasta la inauguración del proyecto una vez terminado. Un problema es que los sub-gerentes lo consideraron un mero plan estático, y no un producto sujeto de continua actualización (¿una de las excusas del momento?). El compromiso de apoyo se dio, puntualmente para el momento y por exigencia del gerente general, atendiendo a únicamente su ámbito de competencia, y falló la comunicación interna, y la continuidad del compromiso (genuino) para las actualizaciones pertinentes y constantes, el sinceramiento de reconocer que se necesita y de adoptar una herramienta de control.

Si lo anterior se corrigiera, entendiendo que se requiere un cambio de real[2] contenido (estructura, procesos de negocios, sistemas de gestión, tecnología, cultura, las propias personas, etc.), seguramente mejoraríamos la calidad de los proyectos y obtendríamos mejores resultados, sobre todo, sostenibles en el tiempo.

[1]       Fuente: http://salineropampliega.com/2014/11/gestion-de-proyectos-en-la-administracion-publica.html

[2]       Fuente: http://salineropampliega.com/2017/02/entrevista-a-akira-bloise-sobre-como-implementar-la-direccion-de-proyectos-en-una-organizacion-12.html

El Modelo Esencial. ¿Qué modelar en el Análisis? ¿El Sistema Actual? ¿El Sistema Futuro? Los detalles de implementación ? Los requerimientos esenciales. – ppt descargar

El Enfoque Clásico: Modelo Físico Actual – Modelo Lógico Actual – Modelo Lógico Futuro – Modelo Físico Futuro

Origen: El Modelo Esencial. Que modelar en el Análisis? El Sistema Actual ? El Sistema Futuro ? Los detalles de implementación ? Los requerimientos esenciales. – ppt descargar

Las limitaciones del ¿qué debo hacer? –o el por qué y qué debo aprender

Hace unos seis años trabajaba como supervisor de la implementación en un proyecto importante para el estado peruano cuyo producto recién en este año está siendo considerado y se busca utilizarlo –bueno, parte del ‘éxito’ es que, aunque su uso había sido declarado obligatorio en esa época, recién se está ejerciendo presión.

En ese entonces la empresa que había sido contratada para la implementación tenía serios problemas. Se observaban deficiencias y se informaban, con oportunidad y suficiencia. Pronto nos dimos cuenta que el “diseñador” de la solución era “responsable” de la implementación; hablo de persona. Lamentablemente, las observaciones no eran levantadas y, el responsable simplemente se sentaba en las reuniones de avance y preguntaba al equipo supervisor “¿qué debo hacer?” Con el cuento de que todos queremos un bien para el Perú, “a pedido” de la gerencia, resolvíamos como cliente los problemas del proveedor. Obviamente hubo retrasos pero ignoro si alguna multa hubo de por medio.

En otra institución, los desarrolladores de software buscaban rápidamente que el líder usuario les indicara qué hacer para comenzar a hacer –menos mal no empezaban a hacer antes de saber qué hacer, como en el cuento. Muchas veces, cuando lo que comenzó a hacerse era entregado, no terminaba siendo lo que se había solicitado. Bueno, esto lo hemos escuchado muchas veces. Una razón es que los requisitos no estuvieron bien definidos y, por ende, los requerimientos tampoco.

En los casos anteriores es evidente que se buscaba un mero cumplimiento, “¿qué debo hacer?”, implicando que la responsabilidad es de otro, no del que recibe el encargo. Luego, el resto es historia, sobre todo cuando las cosas salen mal; alguien se hará cargo; alguien será el títere y otro el titiritero; no es mi culpa, hice lo que me dijeron; entre otras excusas.

Lo verdaderamente malo es que no aprendemos de nuestros errores y, como dicen, quien no conoce su historia, está condenado a repetirla. Aquí viene la segunda parte, por qué debo aprender y, sobre todo, qué debo aprender[1], para evitar repetir errores. Mucho se ha hablado de esto también, pero poco se hace, y poco hacemos –o logramos hacer. El propósito no es sólo tener datos; es usar la información que esos datos nos proporcionan[2]. Se requiere una organización que aprenda[3]. Por el momento tendremos que lidiar con la cultura de la empresa, con el “aquí se hace así” o con el “siempre se ha hecho así”. Pero empecemos el cambio. Yo termino el año con aportes. A pesar del miedo de mis colaboradores, y de otros colaboradores, en el último mes he logrado hacer que, al menos, el área competente evalúe nuevos formatos de procedimientos, y que re-evalúen el contenido de otros procedimientos. Veremos cómo termina esto.

[1]  Fuente: http://theleanthinker.com/2016/11/12/its-what-must-we-learn-not-what-should-we-do/; disponible en dic/2016

[2]  Fuente: http://www.qualitydigest.com/inside/quality-insider-column/two-questions-get-you-nowhere.html; disponible en dic/2016

[3]  Fuente: http://www.qualitydigest.com/inside/quality-insider-article/engine-and-fuel-quality-improvement.html; disponible en dic/2016

Ah! la eficiencia –hacia una cultura de productividad

Peter Drucker dijo que la eficiencia es hacer bien las cosas[1].

El pensamiento lean[2] (sin grasa, ¿recuerdan el término de los ’90?) es lograr hacer las cosas correctas[3] dijo Pascal Dennis, teniendo como base fundamental para este “hacer” a los equipos de trabajo, y al cliente como centro[4] porque es el cliente quien define lo “correcto”, de modo que, en una cadena de producción o en la provisión de un servicio, aseguremos que sólo se usen recursos que agreguen valor al cliente final[5].

Desde un punto de vista productivo, el pensamiento lean busca eliminar desperdicios como: tiempos de espera innecesarios (entre etapas del proceso, plazos inadecuadamente comprometidos); por defectos (que tras una inspección –o varias- generan correcciones, iteraciones entre desarrollo del producto o servicio y el control de calidad); por movimientos innecesarios (de materiales en físico cuando puede emplearse medios digitales); mantener un inventario innecesario (inmovilizado ‘por si acaso’, excedente, no sólo de materia prima sino también de herramientas); por el procesamiento innecesario (muchas manos, pocos o ningún responsable, criterios no establecidos, delegación/empoderamiento inadecuado) o manipulación innecesaria (incremento de riesgos, accidentes, errores que se busca subsanar al final y no en la fuente[6] o de inmediato); por el transporte (o desplazamiento del colaborador cuando una acción remota puede ejecutarse) para su entrega al usuario final (cuando se puede emplear métodos alternativos como vídeo conferencia); y, por supuesto, sobredimensionamiento.

Desde el punto de vista de TI, en la era digital, el mandato de la tecnología se ha convertido en liderar como una ventaja competitiva a través de la diferenciación de [recursos y] capacidades y velocidad para explotar los cambios en los negocios[7]. En la siguiente figura se muestra cómo la TI empresarial propicia el cambio en el negocio, transformándose entre el paradigma tradicional (gestionar un proyecto para [buscar] garantizar el éxito de implementar una metodología secuencial, para entregar eficientemente el cambio de negocio a gran escala) y el paradigma digital (mentalidad en el producto, implementando una metodología iterativa, entregando cambios en pasos más pequeños, rápidos, confiables y eficientes):


picture4-100664754-orig

Fuente: http://www.cio.com/article/3078824/leadership-management/is-your-it-ready-for-the-digital-age.html

Esto implica ser adaptables y flexibles[8] como lo exige el ecosistema actual, en cuanto a la entrega de servicios, seguridad de la información, gobierno –recordemos que el valor diferencial de una compañía radicará en cómo gestiona y explota su información[9], más que en cómo gestiona la tecnología con paradigmas operacionales[10] obsoletos[11].

Requerimos entonces una TI eficiente. Pero también implica que debemos eliminar lo que no aporta, y tenemos una TI lean –lo que implica un cambio de paradigmas, de mentalidad, de procesos, como lo demostró Toyota, no de la fuerza laboral[12].

En la siguiente figura se muestra el valor incremental de la TI lean sobre la TI eficiente:

lean-it-levers-100687430-orig

Fuente: http://www.cio.com/article/3128277/it-strategy/the-chasm-between-efficient-it-and-lean-it.html

El siguiente extracto del artículo es particularmente ilustrativo: “La calidad genera valor al abordar problemas en la fuente. Piense en una gota de tinta en una piscina. Con una acción rápida, la tinta se puede limpiar con una sola inmersión de un cubo. Si se retrasa, la tinta se difunde por toda la piscina y requiere que el agua de la piscina sea reemplazada por completo. Del mismo modo, los defectos que permanecen en el sistema bastante tiempo causan nuevos defectos, y una corrección se vuelve exponencialmente más costosa”.

El 2016 State of DevOps Report[13] nos recuerda que hay mucho más en el rendimiento de TI que en las prácticas técnicas. Con el fin de crear un alto rendimiento sostenido, las organizaciones necesitan invertir tanto en sus personas y procesos como lo hacen en su tecnología. Entre sus conclusiones cuentan que la seguridad es una parte integral de la entrega continua, que, al incorporar calidad y seguridad en el ciclo de desarrollo de software, las empresas de alto rendimiento gastan menos tiempo en trabajos no planificados, que estas empresas pasan menos tiempo resolviendo problemas de seguridad y pasan más tiempo en nuevos trabajos de valor añadido, entre otros factores distintivos.

Analicemos nuestra brecha digital y comprometámonos a cerrarla –rápido (consolidación, habilidades digitales, servicios gestionados, servicios compartidos, costo total de propiedad, entre otros aspectos[14]).

[1]  Fuente: http://www.cio.com/article/3128277/it-strategy/the-chasm-between-efficient-it-and-lean-it.html; disponible en dic/2016

[2]  Fuente: http://aelit.congresoaelit.com/; disponible en dic/2016

[3]  Fuente: https://www.lean.org/WhoWeAre/LeanPerson.cfm?LeanPersonId=45; disponible en dic/2016

[4]  Fuente: http://aunclicdelastic.blogthinkbig.com/lean-it-una-declaracion-de-objetivos/; disponible en dic/2016

[5]  Fuente: http://www.ibermatica.com/sala-de-prensa/opinion/lean-it-aplicando-experiencias-industriales-para-la-mejora-de-la-eficacia-it; disponible en dic/2016

[6]  Fuente: http://www.cio.com/article/3143195/it-strategy/whats-next-for-enterprise-it.html?idg_eid=0f3e0907b81179ebb4f3b209b6424bae&token=%23tk.CIONLE_nlt_cio_enterprise_2016-11-30&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Enterprise%202016-11-30&utm_term=cio_enterprise#tk.CIO_nlt_cio_enterprise_2016-11-30; disponible en dic/2016

[7]  Fuente: http://www.cio.com/article/3078824/leadership-management/is-your-it-ready-for-the-digital-age.html; disponible en dic/2016

[8]  Fuente: http://www.cio.com/article/3143195/it-strategy/whats-next-for-enterprise-it.html?idg_eid=0f3e0907b81179ebb4f3b209b6424bae&token=%23tk.CIONLE_nlt_cio_enterprise_2016-11-30&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Enterprise%202016-11-30&utm_term=cio_enterprise#tk.CIO_nlt_cio_enterprise_2016-11-30; disponible en dic/2016

[9]  Fuente: http://www.silicon.es/lean-it-una-futura-tecnologia-delgada-y-valerosa-2209541; disponible en dic/2016

[10]                Fuente: https://www.standishgroup.com/sample_research_files/Modernization.pdf; disponible en dic/2016

[11]                Fuente: https://www.cebglobal.com/content/dam/cebglobal/us/EN/best-practices-decision-support/innovation-strategy/pdfs/ceb-strategy-putting-the-strategy-back-in-strategic-planning-summary.pdf; disponible en dic/2016

[12]                Fuente: http://www.cio.com/article/3146921/it-strategy/its-not-the-workforce-but-the-system-that-needs-a-fix.html; disponible en dic/2016

[13]                Fuente: https://techbeacon.com/sites/default/files/gated_asset/2016-state-of-devops-report.pdf; disponible en dic/2016

[14]                Fuente: http://www.cio.com/article/3128277/it-strategy/the-chasm-between-efficient-it-and-lean-it.html; disponible en dic/2016