26 errores en la gestión de servicios

El día a día

Sí, asegurar que los servicios estén operando es labor de todos los días.

El tema es cómo lo logramos.

Buscamos realizar esta titánica labor considerando la coyuntura, presupuestos [de seguridad, entre otros], recursos, capacidades, compromisos, niveles de servicio existentes, proveedores, la propia organización –su modelo de gestión, su cultura.

Sabemos que los recursos son tanto materiales como humanos, tangibles como intangibles, y que son escasos.

Es más, las cosas pueden no ir tan bien como deseamos.

Además, reconozcamos que durante nuestra gestión también cometemos errores o estamos sujetos a problemas o a fallas.

Veamos.

Durante toda gestión existen errores o fallas

Error 01: no contar con un caso [real] de negocio

No olvidemos que al negocio le interesa ganar dinero, y que está en el ADN de los gerentes el invertir sobre la base de un caso de negocio.

Así, es mejor orientar nuestras necesidades de inversión en infraestructura de TI sobre la base de un enfoque de negocios, no sobre aspectos técnicos de la inversión.

En adición, todo caso de negocio debe propiciar valor para el negocio; entonces, implica que TODO caso de negocio debe estar apoyado por el un ejecutivo que lidere/apueste/necesite la propuesta.

Error 02: no realizar [nosotros] el planeamiento estratégico

Complicado si realmente no conocemos la estrategia del negocio ¿cierto? ¿Nosotros debemos buscarla o es algo que nos la tienen que proporcionar? ¿La entendemos, en toda su extensión? ¿Participamos en su formulación?

Lo cierto es que la planificación estratégica de TI debe estar firmemente enraizada en el plan estratégico del negocio. El mejor plan de TI ya no es simplemente un resumen de la inversión financiera requerida o una lista de tecnologías para implementar. Más bien, es una evaluación de los cambios exigidos para lograr los objetivos del negocio.

Los entendidos sugieren no encargar a alguien que lo haga por nosotros porque, finalmente, el entregable dormirá en algún estante; tal vez esperando presupuesto [que tal vez no llegará]; tal vez porque era un mero cumplimiento; tal vez porque el contenido no es lo esperado y, más bien, atenta contra el statu quo.

Tampoco es buena idea tratar que nuestros colaboradores implementen algo de lo que no han sido partícipes, de lo que no se sienten [porque no han sido] parte, o que se comprometan a aquello que consideran responsabilidad de otros.

Seguramente existen muchos otros posibles tal vez, quizá, intenciones, obligaciones. Cada organización los identificará. Lo cierto es que el entregable [el planeamiento estratégico de TI] no se pone en práctica; o, en todo caso, [como es usual] no resulta como se esperaba.

Para evitar esto, Gartner aconseja crear un proceso “claro y realizable” para desarrollar el plan estratégico, utilizando cualquier plan existente o usado previamente como punto de partida, planear rápido, enfocándonos en el mediano plazo, definiendo los componentes esenciales, desarrollando métricas para el éxito [estableciendo indicadores de rendimiento clave basados en resultados], atando los principios rectores a la visión corporativa, haciendo coincidir la frecuencia de la planificación con la marcha del negocio.

Error 03: presupuesto escaso o inapropiado

El presupuesto de TI dice mucho sobre sus propietarios: si los ejecutivos tienen una hoja de ruta para el futuro y si están dispuestos a pagar por ella, si los líderes de la compañía valoran la innovación, o si aún ven la tecnología como una función detrás de bambalinas.

Todo se reduce a la cuestión de si la empresa desea crecer y prosperar o si permite que sus competidores la dejan atrás.

Consideremos nuestro presupuesto en comparación con otros [realmente] similares en el mercado, en la medida de lo posible; entender [razonadamente] si es mejor el CAPEX por sobre el OPEX [o al revés], garantizando siempre que cada alternativa elegida cumpla con las normas contables; trasladando el gasto a las líneas de negocios [¿ABC costing? ¿conocemos realmente el costo/consumo del servicio provisto por cada unidad de negocio?] de manera que éstas estarían más interesadas en que sus inversiones rediman los resultados de negocio comprometidos.

Necesitamos asignar fondos para el presente (sostenibilidad operativa) y futuro (sustentabilidad, innovación, transformación digital, modernización de la tecnología, re-entrenamiento, actualización de procesos), sin olvidar asignar fondos para arreglar [mantener] lo legado.

Error 04: promover al candidato equivocado

No olvidemos que un candidato no sólo debe calzar en el puesto, sino que también debe calzar con la filosofía de la organización.

Así, la organización tiene que definir con claridad qué está buscando en términos de habilidades, carácter y competencias.

No son buenas razones promover por recompensa, o para proporcionar una línea de carrera, o para sentirse como un buen gerente.

Debemos elegir de forma inteligente.

Error 05: aplicar metodología ágil a los sistemas centrales

Y, sobre todo, cuando creemos que aplican donde se requiere un fuerte y riguroso control de cambios.

Por ejemplo, en servicios netamente de TI como correo electrónico, telefonía, ERP, aplicaciones de oficina, entre otros.

Tenemos que establecer límites claros –los riesgos son muchos, y mayores en impacto. La agilidad [velocidad] para los sistemas del negocio; rigurosidad [prudencia] para los sistemas nucleares.

Se necesita un enfoque disciplinado. Pensemos en una empresa bimodal. Entendamos el propósito de DevOps.

Según Gartner, las organizaciones deberían embarcarse en una “destrucción creativa”: replantear la arquitectura, los procesos y la gente que se requieren en el ámbito de tecnología para enfrentar las cargas de trabajo de la siguiente generación, incluyendo el IoT.

Error 06: subestimar riesgos

Y hasta no identificarlos oportunamente o no dimensionar [mejor] su impacto.

Uno de los primeros aspectos a considerar en la implantación de la ISO27001/ISO27002 es el análisis de riesgos, y establecer su gestión.

Probablemente necesitemos ayuda. Reconozcamos nuestras fortalezas y debilidades, y actuemos en consecuencia.

Error 07: cautiverio –de proveedores (internos o externos)

Por ejemplo, sabemos que las relaciones con los proveedores, tanto internos como externos, pueden ser frágiles, que podríamos quedar cautivos de ellos (bajos precios, innumerables promesas, supuesta integración, transición), vernos impactados por sus errores o fallas, estar sujetos a sus agendas ocultas, o hasta afrontar problemas de corrupción y sus implicancias legales.

Claro, todas las áreas internas relacionadas deberían tener presente lo que se espera de ellas (OLA), y no olvidemos lo que se espera [mejor dicho, requiere] de los proveedores externos (UC) con relación a la entrega del servicio.

Debemos garantizar para nuestro cliente [o usuario] el valor del servicio provisto. Y esto es una labor de todos, así como la seguridad de la información.

Muchas veces blandimos y hasta nos escudamos en leyes o regulaciones, normas o políticas, para ‘cumplir’ con nuestras funciones. Pero ‘seguimos’ estas leyes, regulaciones, normas, o políticas, de forma ciega, buscando [algunas veces] realizar el menor esfuerzo.

Error 08: la solución es la nube –por la nube

Tal vez pensamos que la nube es una buena opción [y lo es, si planeamos las cosas bien].

Todos hemos escuchado sobre los modelos de nube y sus ventajas.

Pero si creemos que adoptar un modelo híbrido conlleva simplicidad porque pensamos que este modelo de nube lo podemos administrar como una extensión de nuestro centro de datos, bueno, pensemos nuevamente –y planifiquemos mejor, factores como costo, disponibilidad requerida, estabilidad, requerimientos de configuración, niveles de servicio, licencias de software.

Empecemos por realmente conocer nuestro ecosistema, y de qué pie cojeamos. Hagamos un análisis de brecha.

Recordemos que la nube no es para todos, y tampoco para todo.

Mantengamos nuestras opciones, evitemos depender [o ser cautivos] de un solo proveedor de nube.

Error 09: contrataciones inadecuadas

Se requiere un equipo para construir una empresa exitosa, pero solo se necesita un empleado incompetente con una mala actitud para derribar a todos y a todos.

Debemos buscar contratar el nivel de destreza y habilidad requeridos para que el servicio proporcione el valor que se espera de él.

Error 10: no ser asertivo

Y, decir no cuando debemos decir no, pero de forma positiva –postergando la respuesta en lo posible.

No es que bloqueemos la innovación en la empresa, o busquemos detener su crecimiento.

Démonos tiempo para evaluar la sensibilidad, el impacto, los riesgos.

Decir que sí con demasiada frecuencia hace que sea imposible mantener todo parchado y en cumplimiento; generamos desconfianza.

Error 11: pecar de controlista

Si TI no está en el circuito cuando alguien en marketing o en alguna otra unidad de negocio lanza alguna iniciativa de shadow IT, bueno, aceptemos y reconozcamos que TI perdió el control hace años  y no puede recuperarlo; pero, avancemos, capitalicemos.

TI sigue siendo relevante, pero solo si se adapta. No dejemos que se piense que TI es únicamente quien mantiene operando el correo electrónico, y no es gravitante [no aporta valor] para el negocio.

Consideremos una adecuada verificación o aprobación de los equipos de TI o seguridad frente a este tipo de iniciativas. El objetivo no es evitar que existan, sino facultar a los equipos que decidieron utilizar estos servicios a cumplir con los requisitos mínimos de protección de datos establecidos en y por la organización.

Error 12: propiciar el oscurantismo

No perdamos credibilidad; garanticémosla.

Las malas noticias nunca mejoran por sí mismas. Y cuanto antes la gente empiece a lidiar con eso, tenemos más oportunidad de recuperar el proyecto y retomar el camino –o, al menos, perder menos.

Busquemos crear oportunidades para hablar con el director financiero y otros líderes empresariales cuando no están en modo crisis.

Error 13: elección incorrecta del outsourcing

Podríamos considerar que la elección de un servicio tercerizado simplifica nuestra labor. Y, dependiendo de nuestra organización, posiblemente esta premisa es correcta; pero, para un verdadero éxito, debemos tener presente los siguientes consejos:

  • Al tomar un servicio de TI, tomemos el tiempo necesario para comprender completamente nuestro rol como cliente para una relación de aprovisionamiento exitosa, en lugar de culpar [siempre] al proveedor del servicio. Si hicimos bien nuestra tarea de búsqueda inicial de un proveedor idóneo, identifiquemos la causa raíz y evitemos perder tiempo en cambiar de proveedores.
  • Enfoquemos nuestros esfuerzos en identificar el problema [analizar la demanda y el BIA], para el que requerimos una solución [o herramienta], y cómo podemos solucionarlo, antes de buscar soluciones en el mercado a las que después deberemos adaptarnos. Esto es, la solución debe resolver nuestra necesidad; principalmente, y lo mejor posible, no olvidemos el principio del 80/20.
  • La innovación empieza y termina en casa, no en el proveedor –y sus soluciones; así, debemos construir un ambiente y cultura que fomente eso, pero dentro de nuestra organización.
  • No hay plantillas, ya que cada organización es diferente, tiene problemas diferentes, y los afronta de manera diferente. Las mejores prácticas de outsourcing requieren determinar el alcance, el marco financiero y el perfil de riesgo adecuados para su empresa y sus objetivos, objetivos y cultura.
  • Durante la contratación, el objetivo de la negociación debe ser garantizar la alineación con los requisitos de la organización y no poner al proveedor en la situación más apretada. Esto, finalmente, juega en contra de la organización.
  • No subestimar el factor humano (en toda la empresa). Debemos planear para el cambio requerido en un entorno subcontratado, que [seguramente] requerirá una amplia supervisión ya que [seguramente] será significativo. Es vital comunicarse de manera activa y honesta, atendiendo las inquietudes y necesidades específicas del grupo de interesados.
  • No desestimar la transición, incluyendo procesos, sistemas, niveles de servicio, volúmenes, contratos y excepciones, y planifiquemos explícitamente el proceso de transferencia de conocimiento.
  • Implantar un modelo y marco de gobierno robusto, que incluya el equipo de gestión de entrega de servicios, los interesados en el negocio, los ejecutivos y el equipo de gestión del proveedor.
  • Gestionar el SLA, no blandir el contrato.

Error 14: presionar el outsourcing

Expectativas poco realistas y falta de gobernanza a intereses desalineados y mala comunicación son, usualmente, causas por las que no se alcanzan los resultados esperados, pero no las únicas.

Aumentar el desgaste de los recursos de outsourcing nunca es una buena señal. Puede ocasionar una alta rotación del personal del proveedor, disidencia interna, cambios en el liderazgo, apatía en la innovación, corrupción del alcance, fallas en cumplir los SLA, métricas inalcanzables, costos crecientes.

Los cambios frecuentes a menudo indican que el cliente, el proveedor o ambos no han podido establecer procesos de trabajo efectivos.

Mantener los canales de comunicación abiertos y fomentar un ambiente de confianza con los proveedores actuales ayudará a garantizar que los clientes estén al tanto si hay alguna actividad que impactarían negativamente en los resultados del negocio.

Error 15: no cerrar la brecha de habilidades –¿o debilidades?

Las empresas deben tomar algunas decisiones difíciles sobre cómo llenar las necesidades de personal y qué debe hacerse, interna y externamente; especialmente en seguridad.

Surgen las preguntas de siempre, pero no limitadas a las siguientes: ¿qué se hará? ¿será necesario capitalizar sobre nuestro personal clave? ¿será necesario tercerizar? ¿quiénes son candidatos? ¿a quién elegimos? ¿por qué la elección? ¿cuándo necesitamos? ¿cómo se hará? ¿cómo lo hará? ¿con qué? ¿para cuándo lo necesitamos? ¿hasta cuándo es necesario? ¿cuáles son los riesgos de no hacerlo? ¿cuáles son los riesgos al hacerlo? ¿hemos definido/acotado el alcance real/necesario? ¿quién será el responsable de rendir cuentas? ¿quién será responsable de ejecutar? ¿contamos con los procesos necesarios y suficientes, vigentes, actualizados, entendidos, realmente implantados [no sólo implementados]? ¿están las normas correctamente planteadas y apoyan las políticas? ¿las políticas apoyan esta ‘iniciativa’?

Error 16: ‘ahorrar’ en las capacitaciones

Actualmente, la premisa burda, errada y antigua de que mantenerse al día con la tecnología es responsabilidad de cada empleado, no es más vigente que antes.

Creemos ser efectivos al buscar un especialista con mucha experiencia y muchas certificaciones, y pretender pagarle centavos.

El mundo de este siglo habla de retención del personal clave como un factor estratégico, ya que las habilidades de este personal son el diferenciador clave para las organizaciones.

Si bien este personal puede ‘disfrutar’ de su trabajo, el reentrenamiento es muy útil para mantenerlo de esa manera.

Esto es especialmente cierto si la tecnología, que sabemos, cambia constantemente, y lo que queremos es reducir la curva de aprendizaje, asegurar la entrega de valor (con los servicios), garantizar la estabilidad de la plataforma tecnológica, que se incremente el valor de vida de los clientes, alcanzar los resultados que el negocio espera –y para los que ha comprometido recursos y capacidades.

Los profesionales de TI calificados, capacitados y certificados son esenciales para que las inversiones en tecnología redunden en obtener los resultados económicos que el negocio se ha planteado.

Error 17: no caracterizar TI

Las empresas deben tomar algunas decisiones difíciles sobre cómo llenar las necesidades de personal y qué debe hacerse, interna y externamente; especialmente en seguridad.

Y podemos caracterizar la disyuntiva (opciones, alternativas, problemas) con herramientas básicas como 6W-2H, matriz RACI, técnica MoSCoW, FODA, entre otras.

Error 18: adquirir ‘soluciones’ antes de establecer requisitos

Cuanto mejores sean los procesos de involucramiento/compromiso y soporte, más eficiente y productivo será el negocio, incrementará la satisfacción, la resolución de incidentes en el primer contacto, reducción en costos de soporte (por ejemplo, transporte, si se utilizan herramientas de soporte remoto apropiadas).

Conviene establecer los procesos antes que buscar una solución en el mercado. Apliquemos la regla del 80/20, y utilicemos cuantas herramientas estén a nuestro alcance.

Error 19: no establecer los procesos adecuados para que los servicios sobrevivan los cambios organizacionales

Porque, usualmente, estamos sujetos a alguna agenda oculta, que busca sus propios intereses, mantener la zona de confort, el statu quo, el feudo, el control local; pero sin interesar los resultados que el negocio espera.

Es así importante que las organizaciones identifiquen las necesidades reales de servicios e implante las acciones correctivas concretas requeridas, incluso organizacionales, en favor del negocio.

Gobernanza, auditorías, controles efectivos, son aquí mandatorios.

Error 20: considerar la seguridad como un proyecto –un producto terminado

Un reciente estudio de seguridad de Forrester descubrió que el 82% de las organizaciones tienen problemas para identificar y proteger los dispositivos conectados a la red. Peor aún, la mayoría no tenía claro quién es responsable de administrar los dispositivos.

Creemos que estamos seguros tras implementar una determinada seguridad –y nos engañamos pensando que este sentido de seguridad permanecerá en inmutable.

Seguimos cometiendo los mismos errores. Ahí están las diferentes noticias que de tanto en tanto nos llegan sobre violaciones perpetradas, incluso a grandes empresas.

Error 21: no haber establecido un modelo de seguridad de la información en la organización

Un modelo de seguridad de la información nos dice que tengamos presente:

  • La seguridad de los datos: estando almacenados, al ser procesados, cuando son transmitidos.
  • Los pilares de la seguridad de la información: confidencialidad, integridad, disponibilidad.
  • Capacitación, procesos, políticas, y su correcta y oportuna implantación.

¿Hemos considerado todo esto en nuestra actual plataforma tecnológica, en nuestros actuales sistemas de información? ¿Lo estamos considerando en un futuro cercano? ¿Hemos establecido una línea de tiempo? Si es así, ¿están los recursos y capacidades necesarios, entendidos, aceptados, y comprometidos?

Error 22: ignorar consejos básicos de seguridad de la información

Si se desea mantener la seguridad de toda la información de la organización, se deberán considerar activamente mínimamente los siguientes consejos de seguridad:

Error 23: confiar únicamente en el hacking ético como norma de seguridad

En seguridad, hay hermanos, mucho que hacer.

Empezando por casa, primero es hacer nuestra tarea; es decir, identificar y provisionar la seguridad en profundidad y líneas de defensa necesarias.

  • Incorporar mecanismos de control de acceso suficientes y apropiados.
  • Asegurar la vigencia de los mecanismos de autenticación y autorización.
  • No depender únicamente de los cortafuegos.
  • Implantar mecanismos [incluyendo políticas, procesos y sus procedimientos] contra código malicioso (malware), phishing, y todo tipo de X-ware pernicioso para la seguridad –y productividad.

Error 24: no gestionar correctamente el cambio

El cambio es una constante, especialmente en la era digital, ya que las tecnologías y las formas de trabajo que evolucionan rápidamente transforman el lugar de trabajo; y no entender que se necesita procesos establecidos y consistentes para gestionar el cambio, es una fórmula para el fracaso.

Sí, el miedo a lo desconocido, en el paradigma del cambio, puede ser una fuerza poderosa y negativamente motivadora; esperemos por tanto, resistencia al cambio, pero también afrontémoslo y gestionémoslo.

Pero, la transformación, bien llevada a cabo, representa nuevas oportunidades de crecimiento y ventaja competitiva.

Error 25: mantener [y hasta insistir en] una arquitectura de TI incorrecta [o inadecuada]

¡Imposible! ¡eso no ocurre en nuestra empresa! ¡todo está controlado! Bueno, así nos podrían decir los entendidos en TI; pero, para los no iniciados, ¿cómo podríamos darnos cuenta? Porque existe una o más de las situaciones siguientes:

  • Reingreso manual de [los mismos] datos, conducente a su inconsistencia –pero que calificamos de verificación y/o validación.
  • Colecciones de soluciones puntuales -que enmascaramos como ‘personalizadas’.
  • Aplicaciones redundantes que no ofrecen nuevas funcionalidades para el negocio.
  • Datos redundantes, y además inconsistentes, al no mantener la sincronización de datos en múltiples bases de datos de forma correcta, lo que genera un esfuerzo desperdiciado en las actividades de conciliación.
  • Necesitamos [nosotros] ‘interfacear’ con varias aplicaciones para realizar nuestras funciones u obtener un entregable, con el consiguiente error humano.
  • Debemos alimentar un sistema con los datos de otro –una acción propensa a errores si esta tarea no se automatiza lo suficientemente bien.
  • Tenemos, incluso, una configuración de software o hardware [o más] que, aunque poco elegante, ineficiente, torpe o [hasta] parcheada, tiene éxito [aparente] al resolver un problema específico o realizar una tarea en particular –y le denominamos ‘solución alternativa’.
  • Mantener tecnología obsoleta, que hace más difícil la integración con nuevos sistemas y equipos.

Consideremos, además, que, cuantos más sistemas y bases de datos tengamos, más interfaces terminaremos construyendo y que, cuantas más interfaces tengamos, más frágiles serán nuestros sistemas y, consecuentemente, más difícil será darles mantenimiento.

Claro, podemos resolver este dilema de múltiples interfaces con un elegante sistema de integración de aplicaciones empresariales, o un bus de servicios, o alguna otra forma de middleware-más-metadatos que mantenga todo limpio.

Pero consideremos que esta [y, para todo efecto, cualquier] engañosa integración [aunque elegante] es tan frágil y difícil de mantener como el exceso de interfaces.

Aumenta, por supuesto, nuestra incapacidad para adaptar los sistemas a los requisitos comerciales nuevos y cambiantes.

Incluso, las ‘soluciones alternativas’ vuelven frágil nuestro sistema e incrementa el costo de mantenimiento con cada solución innecesaria, al igual que el tiempo de inactividad, el costo de la capacitación del personal y la complejidad de cada proyecto posterior.

Estas situaciones, en mayor o menor grado, agotan los recursos de la empresa, la apartan de su actividad primaria de creación de valor, ralentizan los procesos del negocio, aumentan los costos de capacitación porque requieren interfaces del sistema, y las plataformas que las sustenten y que deben ser compatibles entre sí.

Consideremos que las planificaciones de arquitectura de TI a largo plazo ya son cosa del pasado. Recordemos, debemos tener un plan que sea flexible (habiendo escuchado las necesidades de nuestros patrocinadores e interesados), y considerar que probaremos y fallaremos, pero debemos hacerlo rápido, para recuperarnos aún más rápido y con mínimo impacto negativo –sobre todo en el aspecto de la seguridad.

Error 26: fallar en nuestro liderazgo

Cierto, ya conocemos las frases [motivadoras]: “hacer más con menos”, “sí podemos”, “es coyuntural”, “saldremos adelante”, “quedamos los buenos”, “eliminamos la grasa”, entre otras.

Buscan esconder, tras presionar fuerte por alcanzar [muy] buenos resultados, que la moral del personal se impacta negativamente.

Por ejemplo, como líderes:

  • Fallamos en comunicar [si acaso lo hacemos] completa, apropiada y oportunamente cómo cada actividad que realizamos se relaciona con los objetivos y la estrategia del negocio.
  • Fallamos cuando entre nuestros objetivos no se encuentra el incluir capacitación y otras formas de desarrollar habilidades técnicas y / o comerciales, mínimamente al colaborador clave –se supone que los que quedan, son clave ¿verdad?
  • Fallamos si demoramos en proporcionar las herramientas en cantidad suficiente y con las características necesarias, si acaso lo hacemos.
  • Fallamos si no buscamos identificar, priorizar, y automatizar las tareas repetitivas.
  • Fallamos si no identificamos, desarrollamos e implantamos formas innovadoras para que el usuario [cliente] se auto-atienda –es decir, ahorrar tiempo para todos, justamente para hacer más.
  • Fallamos si continuamos seleccionando indicadores de rendimiento solamente importantes para TI y no para el negocio.
  • Fallamos cuando agotamos a nuestros colaboradores cada vez que insistimos en asignarles proyectos con poco tiempo de aviso, sin presupuesto y no previstos, con requisitos olvidados, sujetos a complicaciones imprevistas, mala gestión y errores humanos [como el código incorrecto] sin tener en cuenta [considerar] los que ya tienen en sus portafolios pendientes de entregar.
  • Fallamos si no propiciamos que nuestros colaboradores celebren las victorias rápidas –y, como gestores, además nos las apropiamos.
  • Fallamos en describir las contribuciones que cada uno de nuestros colaboradores puede hacer para entregar resultados hasta el siguiente nivel.
  • Fallamos cuando evitamos que cada colaborador reconozca el valor de los logros de los objetivos y cómo sus contribuciones afectan la realización de los beneficios esperados
  • Fallamos cuando insistimos en el micro control del colaborador –hostigando incluso. ¿Delegamos mal?
  • Fallamos al no considerar enfoques y métodos nuevos, y nos cegamos ante soluciones más simples que se alinean mejor con los procesos comerciales y son mucho más fáciles de implementar. ¿Ego?
  • Fallamos mientras sigamos considerando a nuestros colaboradores como recursos complementarios (Gestión 1.0) o sólo gestionamos procesos (Gestión 2.0), y no reconocemos la complejidad del entorno operativo actual y el poder de personas motivadas y motivadas para resolver problemas (Gestión 3.0).
  • Fallamos cuando pecamos de auto-suficientes, soberbia, o [incluso] negligencia, y no buscamos ayuda externa.
  • Fallamos cuando no entregamos el resultado esperado por el negocio. Podemos ser eficaces y hasta eficientes, pero si no somos efectivos [apreciación de nuestro cliente o usuario], fracasamos, lo que impacta negativamente nuestra credibilidad, imagen, reputación, ganancias o ingresos.

Y luego nos quejamos de alta rotación del personal, baja en el rendimiento, reducción de la calidad de los entregables, incremento de errores, deterioro de la credibilidad, entre otros factores negativos.

Y, para concluir

Busquemos un sentido de pertenencia, para lograr compromiso.

No olvidemos ser transparentes, tengamos una cultura de apertura, busquemos ser resilientes, mantengámonos abiertos al debate.

De lo contrario, las expectativas de los patrocinadores e interesados no se verán satisfechas; tampoco se alcanzarán los resultados que el negocio espera; menos entregaremos el valor que los usuarios y clientes esperan de los servicios que reciben.

16 habilidades de seguridad crítica que necesitamos

16 habilidades de seguridad crítica que necesitamos

Pongámonos en situación

Seguramente este tema sobre seguridad es trillado para muchos, por lo [aparentemente] obvio del tema, a estas alturas.

Contamos con herramientas que seguramente dominamos. Esa es la parte tecnológica.

Pero no debemos dejar de lado que el ser humano ha desarrollado la tecnología con base en hechos científicos, como herramienta, para ayudarse en lo repetido, en lo meramente operativo y no pensante [bueno, otro tema son los continuos avances en inteligencia artificial].

 

 

Entendamos primero el concepto de habilidad

El concepto de habilidad se refiere a una capacidad y disposición para algo; hace referencia a la maña, el talento, la pericia o la aptitud para desarrollar alguna tarea. Es una aptitud innata.

En 1993 la División de Salud Mental de la Organización Mundial de la Salud (OMS) lanzó la Iniciativa Internacional para la Educación en Habilidades para la Vida en las Escuelas.

El propósito de esta actuación era difundir mundialmente la enseñanza de un grupo genérico de diez destrezas psicosociales, consideradas relevantes en la promoción de la competencia psicosocial de niñas, niños y jóvenes.

  1. Autoconocimiento
  2. Empatía
  3. Comunicación asertiva
  4. Relaciones interpersonales
  5. Toma de decisiones
  6. Solución de problemas y conflictos
  7. Pensamiento creativo
  8. Pensamiento crítico
  9. Manejo de emociones y sentimientos
  10. Manejo de tensiones y estrés

Estas diez habilidades psicosociales no son materia nueva. En cierta forma, son tan antiguas como la propia humanidad, porque todas tienen que ver con la manera en que manejamos las relaciones con nosotros mismos, con las demás personas y con el entorno social.

Es más, el Foro Económico Mundial en 2016, propuso en su artículo, 10 habilidades que se necesita para prosperar en la Cuarta Revolución Industrial, que hacia el 2020, se requerirán las siguientes habilidades:

  1. Solución de problemas complejos.
  2. Pensamiento crítico.
  3. Creatividad.
  4. Administración de personal.
  5. Coordinar a otros para trabajar en un fin común.
  6. Inteligencia emocional.
  7. Juicio y toma de decisiones.
  8. Orientado al servicio.
  9. Negociación.
  10. Flexibilidad cognitiva.

Y otro artículo, más reciente, Las habilidades más importantes del mañana, según cinco líderes mundiales, las siguientes habilidades adicionales:

  1. Habilidades blandas, como el trabajo en equipo, conocimiento de las herramientas digitales, la comprensión de las reglas y las regulaciones, la responsabilidad y el compromiso son las más relevantes.
  2. Explotar los torrentes de información que se generan a diario con una fuerte dosis de empatía.
  3. Habilidades que las computadoras nunca llegarán a dominar, y grandes maestros para enseñarlas.
  4. Olvidar el aprendizaje de memoria, y centrarse en habilidades transferibles como: pensamiento crítico, adaptabilidad, resolución de problemas, entre otras.
  5. Un espíritu emprendedor, y las habilidades para saber cómo aplicarlo.

Resulta importante considerar esto de la cuarta revolución industrial porque, en palabras del presidente ejecutivo de WEF, Klaus Schwab, cambiará “no sólo lo que hacemos sino lo que somos”, dado que “afectará nuestra identidad” en múltiples formas.

Más aún esta revolución se manifestará en nuestro sentido de privacidad, noción de propiedad, patrones de consumo, así como en la forma en la que cultivamos nuestro conocimiento e interactuamos con las personas.

Schwab está convencido que “[…] en el futuro, el talento, más que el capital, representará el factor crítico de la producción”.

Ciertamente son de importancia las habilidades consideradas en estos artículos.

Veamos, entonces, sabemos qué hacer en cuanto a seguridad

Pensamos que sabemos todo sobre el tema. Nuestras certificaciones en seguridad, riesgos, continuidad, y otras más, nos acreditan, y nuestra experiencia en dichos campos nos avala. ¿No acabamos de certificarnos en Hacking Ético? -y seguramente ya nos consideramos hackers.

Bueno, no es así para todos, aunque parezca [o debería], y a ellos va dirigido esta contribución.

Mucho tiene que ver [y empezar] con reconocer [sinceramente] nuestras propias fortalezas y debilidades, nuestro propio accionar, nuestras costumbres.

No es raro que el ecosistema en que nos desenvolvemos también juega un papel importante en esto, ya que muchas veces nos arrastra –y nos dejamos arrastrar.

Pero, ¿cómo empezamos a hacer las cosas?

Preguntémonos, por ejemplo:

  1. ¿Cuántas veces no hemos hecho nuestra tarea previa antes de realizar la instalación, implementación, personalización, configuración de un servicio?
    1. ¿Hemos analizado la real necesidad para el negocio, de algún cambio o de una nueva implementación?
    2. ¿Hemos entendido a cabalidad la envergadura del cambio requerido?
    3. ¿Hemos analizado los pre-requisitos?
    4. ¿Hemos identificado todos los datos involucrados y contamos con los correctos y necesarios?
    5. ¿Hemos evaluado los pormenores de nuestras acciones y planeado la ejecución de la tarea?
    6. ¿Hemos evaluado los riesgos antes, durante, y después de la ejecución planeada?
    7. ¿Hemos asegurado que contamos con lo necesario antes de empezar la tarea?
    8. ¿Contamos con mecanismos de remediación/recuperación/reversión realmente probados?
  2. ¿Cuántas veces hemos ingresado valores por defecto?
    1. Y no nos hemos preocupado de analizar y evaluar antes cómo se vería afectada nuestra seguridad, que tanto cuidamos, por estos valores.
    2. Por apuro/cansancio [u otra excusa de su preferencia, mi estimado lector].
    3. Por desconocimiento y por no tener a quién preguntar [o no querer preguntar por vergüenza].
    4. Y los dejamos así, sin evaluar cómo se ve afectada nuestra seguridad, que ya descuidamos, por nuestra acción.
  3. ¿Cuántas veces nos limitamos a las pocas opciones que el proveedor ha implementado en la herramienta [antigua o nueva]?, y sobre las que nos ha capacitado, ambas cosas por puro cumplimiento, pero luego no buscamos o aprendemos más allá [con lo que desperdiciamos la herramienta]
  4. ¿Cuántas veces nos limitamos a una determinada plataforma, y no entendemos que nuestro conocimiento es aplicable a otras, por igual? ¿O sólo llegamos a manejar información?

Y, ¿entendemos realmente en dónde y cómo debemos enfocar la seguridad?

  1. ¿Cuáles son las características únicas del negocio, mercados, clientes, infraestructura, industria?
    1. Todos estos aspectos informan la política de seguridad y cada empresa tiene problemas diferentes.
    2. Antes de comenzar a adquirir herramientas, ¿quién entiende de seguridad en la empresa?
  2. ¿Reconocemos que las habilidades de gestión de proyectos centradas en la seguridad son extremadamente importantes?
    1. Necesitamos descubrir cómo integrar las diferentes soluciones de seguridad que hemos identificado como necesarias, con el resto de los sistemas, agregar capacitación, mantenimiento, actualizaciones, por nombrar algunas.
    2. Y todo esto, ¿cuánto tiempo tomará, sujeto a qué presupuesto, considerando qué resultados?
  3. Las empresas están aprovechando DEVOPS y la automatización para poder gestionar el panorama de amenazas. Recordemos que DEVOPS es una forma de pensar y un enfoque para el desarrollo de software y los procesos de lanzamiento, no una categoría de producto o certificación específica.
    1. ¿Qué debemos considerar para implementar DEVOPS o cualquier otra opción, apoyando la agilidad y flexibilidad?
    2. ¿De qué manera, si aceptamos lo anterior, impacta en nuestra TI [bimodal]?
  4. ¿Estamos empleando en realidad un pensamiento crítico para [realmente] evolucionar?
    1. ¿Ya actualizamos nuestro FODA situacional?
    2. ¿Contamos con un real FODA estratégico? ¿o sólo nos enfocamos en debilidades?
    3. ¿Ya identificamos lo que verdaderamente necesita el negocio para prosperar, y la seguridad relacionada?
    4. ¿Conocemos y entendemos realmente nuestro ecosistema?
    5. ¿Ya actualizamos nuestro análisis de brecha?
    6. ¿Ya hemos puesto en marcha nuestra estrategia para cerrar la brecha?

No olvidemos identificar primero lo que debemos mejorar, cuál es la mejora, qué buscamos obtener con la mejora, cuándo realizarla, con qué recursos y capacidades contamos para llevarla a cabo, el cómo la llevaremos a cabo, quién será responsable de llevarla a cabo, y quién será responsable de los resultados para el negocio

  1. ¿Hemos incrementado nuestras destrezas programando, enfocados en la automatización?
    1. ¿Aprendimos nuevos lenguajes de programación?
    2. ¿Ya nos habituamos al entorno de línea de comando (CLI)?
  2. ¿Ya aprendimos a utilizar las soluciones de seguridad que se han implementado?
    1. ¿Sabemos ya por qué falló nuestra reciente implementación de DLP o SIEM, u otras opciones?
    2. ¿Seguimos dependiendo del proveedor del servicio para los incidentes? ¿o seguimos llamando a todo ‘problemas’?
    3. ¿Reconocemos dónde erramos, y por qué erramos? Sí, nosotros erramos. La tecnología falla, y se puede corregir. ¿Podemos decir lo mismo nosotros?
  3. ¿Entendemos que la experiencia ganada no se puede perder?
    1. ¿Cómo garantizamos la permanencia del personal clave relacionado con la seguridad?
    2. ¿Cómo aseguramos que el conocimiento adquirido [en la empresa] no se vaya con el personal [junto con su experiencia]?
    3. ¿Hemos desarrollado alguna forma de gestión del conocimiento?
  4. ¿Estamos en capacidad de realizar una autopsia o investigación forense después de un, digamos, ‘incidente’?
    1. ¿Nos interesa, pero no tenemos tiempo o recursos o competencias?
    2. Luego de nuestro análisis y evaluación de vulnerabilidades, utilizando nuestro recientemente adquirido conocimiento en hackeo ético, ¿se nos pasó algo? Claro, sino, no hubiera ‘incidente’.
    3. ¿No sería bueno aplicar nuestros conocimientos de hacking para apoyar a cerrar la brecha? Cierto, eso lo hace otro especialista ¿o no pensamos así?
  5. ¿Cómo están de maduras nuestras habilidades blandas?
    1. Serían útiles para determinar posibles amenazas internas a la organización ¿no creen?
    2. Serían útiles para entender el comportamiento de los usuarios frente a los esquemas / perfiles de seguridad que se implementan
  6. ¿Hemos identificado que un punto importante en este tema de seguridad, así como en muchos otros, es la pasión por lo que se hace?
  7. ¿Reconocemos si somos capaces de afrontar la implementación de distintas normativas de seguridad, consolidarlas, y ser eficiente en la implementación de los controles, sin afectar las metas de negocio?
  8. ¿Reconocemos que aún nos falta recorrer mucho en cuanto a seguridad?
    1. Verdadera proactividad
    2. Verdadera previsión [anticipación]
    3. Verdadera innovación
    4. Lidiar con nuestra rigidez cognitiva en ciberseguridad
    5. Planeamiento consciente y consistente de la seguridad
    6. Controlar realmente, monitorizar y tomar acción rápida y efectiva ante cualquier incidente
    7. Valorar lo importante para el negocio, en cuanto a la seguridad
    8. Asegurar que el alineamiento / articulación entre el negocio y la tecnología sea real y efectivo, considerando la seguridad
    9. Establecer correctamente los factores críticos de éxito, sus indicadores clave de rendimiento y las métricas asociadas, en cantidad y propiedad correctas
    10. Evitar postergar lo importante
    11. Reducir las ‘emergencias’
    12. Adoptar la seguridad y la calidad como una forma de vida
    13. Implementar correctamente marcos de trabajo, gobierno, estándares, buenas prácticas
    14. Respetar políticas, normas, procedimientos
    15. Madurar procesos, personas, y tecnología –cierto, también la empresa en su conjunto
    16. Pruebas reales, orientadas, contextuales, personalizadas, controladas, completas
    17. Automatización al máximo, identificando las posibilidades reales de nuestra plataforma tecnológica, y utilizándola al máximo con apoyo de nuestras destrezas
    18. Aprender de nuestra experiencia
    19. Asegurar lo aprendido
    20. Mejora continua –incluyéndonos a nosotros mismos
    21. Gestionar el conocimiento
    22. Muchos otros

Conclusiones

Sí, la seguridad parte del sentido común; es un compromiso, es algo que se adopta, se interioriza.

Reconozcamos que, en la seguridad, sí intervienen las habilidades tratadas, no sólo se trata de capacitarse [o certificarse].

Es y debe ser parte integral de la cultura del lugar de trabajo.

Es fácil encontrarnos con un ‘problema’ y decir que, con una nueva tecnología o herramienta, lo resolvemos. Esto es una falacia. ¿No será que encontramos un incidente [que es, además, repetitivo] y, dadas diferentes, digamos, situaciones, optamos por lo más fácil –y decimos que ‘transferimos’ el riesgo? Hagamos nuestra tarea primero, y bien.

Y sí, Deming con su PDCA está presente, incluso en la seguridad.

Una buena persona de seguridad tendrá una gran pasión por compartir, aprender y hacer crecer sus conocimientos todo el tiempo.

¿Coinciden conmigo en que las destrezas y habilidades antes presentadas tienen mérito de ser consideradas? ¿Y han considerado desde qué edades deben ser incorporadas en nuestro ADN? Interesante ver el resultado en unos años.

Fuerzas impulsoras – Fuerzas de resistencia [restricción]

Pongámonos en situación

Seguramente hemos enfrentado, en más de una oportunidad, resistencia al cambio.

¿Sabemos quiénes favorecen cambios en pro del negocio, y quiénes no?

¿Buscamos mejorar o no salir de la zona de confort [de mantener el statu quo]?

¿Buscamos que el negocio gane o que nosotros ganemos?

¿Cómo afectamos a la organización con nuestra decisión [o posición] al respecto?

Las anteriores son interrogantes importantes que debemos resolver. Sabemos que es importante que todos en la organización estemos alineados con los objetivos institucionales.

¿Dónde están establecidos los principios rectores para las decisiones anteriores? ¿Ética, moral, valores?

Apreciamos que están involucrados diferentes fuerzas de consideración: personas (conocimiento de nosotros mismos), hábitos, costumbres, actitudes, motivaciones.

Roosevelt (ex presidente de USA, 1939), nos invocaba a dejar de reaccionar ante los eventos y las emociones y aprender a elegir nuestra propia respuesta ante cualquier situación. Recordemos parte del célebre discurso de Kennedy (ex presidente de USA, 1961), y pongámoslo en contexto: “no pregunten qué puede hacer su país [la empresa] por ustedes, pregunten qué pueden hacer ustedes por su país [la empresa]”.

Si deseamos realizar cambios, primero identifiquemos los cambios y las fuerzas relacionadas

Significa que necesitamos caracterizar la naturaleza del cambio; esto es, identificar, clasificar y tratar con las fuerzas que están trabajando por y en contra de nosotros cuando estamos tratando de implementar cualquier tipo de cambio en la organización [o nuestro lugar de trabajo].

Sobre una organización, considerando que requiere realizar algún cambio (la expectativa, el deseo, la necesidad, el objetivo, el diferenciador), requerido por aspectos tan diversos como (fuerzas impulsoras):

Podríamos empezar por preguntarnos:

Tendríamos, por tanto, que identificar y evaluar las fuerzas de resistencia [restricción] que surgen por:

  • El temor a lo desconocido.
  • Estructuras organizativas existentes.
  • Actitudes ‘Así no es como lo hacemos aquí’.
  • Compromisos existentes con organizaciones asociadas.
  • Legislación o regulaciones gubernamentales.
  • Contratos previos.

Así que, podríamos continuar preguntándonos, buscando identificar:

Podemos considerar herramientas como la 6W-2H para caracterizar las opciones.

A tener en cuenta

Recordemos que, desde hace ya muchos años, vivimos en un estado de cambio. Este estado reemplazó la sensación de certeza, estabilidad y familiaridad a la que estábamos acostumbrados. Este tipo de entorno se puede describir utilizando el acrónimo “VUCA”, que significa “volátil”, “incierto”, “complejo” y “ambiguo”, por sus siglas en idioma inglés.

Tengamos en cuenta que una conciencia de las fuerzas representadas en el modelo VUCA y las estrategias para mitigar el daño que pueden causar son parte integral de la gestión de crisis y la planificación de la recuperación de desastres.

Para resolver las interrogantes anteriores, seguramente requeriremos la participación de otras personas, como los miembros del equipo o expertos dentro de nuestra organización, clientes, partes interesadas externas y personas de la industria, entre otros. Recordemos, no estamos solos. Seguramente habrá alguien más que comulgue con nuestras ideas. Démosles la oportunidad de aportar opciones y de fortalecer nuestros argumentos.

Sí, lo anterior es un impulsor, así como resulta ser un freno el ver que no existe compromiso, que no se evidencia una comunicación oportuna y suficiente, se observa incumplimiento en las actividades establecidas, existe una carencia de retro alimentación, entre otros factores. Importante tenerlos en cuenta.

Busquemos obtener, mediante procedimientos diversos, como lluvia de ideas, las fuerzas relacionadas con cada cambio identificado. Tratemos que no sean muchas [trabajemos tres o cinco] para cada caso, para no desviar demasiado la atención [diversificación y, por tanto, debilitamiento de fuerzas].

Segundo, evaluamos el esfuerzo

Debemos valorar la influencia de las fuerzas. Para ello, establezcamos primero los criterios con los que trabajaremos, definamos las escalas de valoración que utilizaremos.

Busquemos obtener el consenso [aceptación, aprobación, autorización] de estos criterios y escalas, a fin de evitar, en lo posible, “marchas atrás”, “arrepentimientos”, “claridad de ideas”, “re-enfoques”, “cambio de prioridades”, otros.

A continuación, por cada cambio identificado, contrastemos ambas fuerzas y valoremos su influencia, utilizando los criterios y escalas antes establecidos.

Ordenemos, evaluemos, y prioricemos, teniendo presente que, a veces, es más fácil reducir el impacto de las fuerzas restrictivas que fortalecer las fuerzas impulsoras.

Conviene, por tanto, una vez identificado el cambio a trabajar, realizar un análisis de brecha, con el fin de determinar a fin de gestionar, con mayor detalle, entre otros aspectos clave, los plazos, presupuestos, recursos, capacidades, el valor esperado del cambio.

Para ello, un análisis FODA podría ser de mucho interés, para responder a las situaciones siguientes, entre otras:

  • ¿Cómo se desempeña actualmente mi área/unidad/organización?
  • ¿Cuáles son nuestras fortalezas y cómo podemos capitalizarlas?
  • ¿Hay alguna debilidad en el rendimiento general de nuestra área/unidad/organización?
  • ¿Dónde podemos mejorar?
  • ¿Cuáles son los factores externos o internos que están impactando nuestro futuro?
  • ¿Cuál es el posible impacto en las personas/en el negocio de las perspectivas futuras actuales?

Recordemos darle el tiempo apropiado y oportuno a lo importante, para que lo [realmente] urgente no nos abrume.

Formulemos nuestras estrategias de acción

¿Dónde están establecidos los principios rectores decidir nuestro comportamiento frente a las diferentes fuerzas?

¿No están claros los objetivos, no han sido apropiada y oportunamente difundidos e interiorizados, o no existen?

¿No son apropiados nuestros enfoques o formas de abordar la evaluación de opciones para decidir la alternativa más apropiada?

¿Tenemos forma de decidir cuál de las fuerzas tiene cierta flexibilidad para el cambio?

¿Tenemos forma de identificar sobre cuál de las fuerzas se puede influir?

Si hemos calificado cada fuerza, pensemos [planeemos] ¿cómo se puede [primero] reducir las amenazas que presentan las fuerzas restrictivas, [segundo] aumentar las posibilidades de las fuerzas impulsoras, o ambos?, [tercero] actuemos en consecuencia.

Podríamos, por ejemplo, considerar establecer un sentido de urgencia, con el fin de que la organización entienda por qué el cambio ya no es opcional, y apoye a que se realice, porque desea incrementar [sino, al menos, mantener] su valor.

Este sentido de urgencia puede impulsar el cambio, y reunir a las personas correctas [esperamos que en la oportunidad correcta] que aportarían al cambio de forma efectiva.

Recordemos que debemos definir las acciones que se requiere sean completadas con el fin de cumplir con el cambio propuesto, y de establecer un plan de acción [las acciones enumeradas en este plan de acción deben comenzar con un verbo] para el cumplimiento correspondiente [operativo y de gestión, de acuerdo con la envergadura del cambio]; y de asignar una persona responsable para cada acción y una fecha concreta para su conclusión [podríamos apoyarnos con una matriz RACI y, además, con un cronograma].

Algunas tácticas

  • Pongamos sobre la mesa las consecuencias de la inacción
  • Comuniquémonos, de forma constante y transparente
  • Utilicemos nuestro lenguaje corporal para transmitir el sentido de urgencia
  • No temamos al diálogo [no sólo pongamos a disposición –o presionemos- informes]
  • Interesémonos en conseguir los resultados esperados [comprometidos]
  • Emponderemos [correctamente] las [buenas y correctas] acciones
  • Respaldemos nuestras palabras con hechos [lideremos con el ejemplo]
  • Ayudemos a evitar [eliminar] la cultura del “nosotros conocemos mejor”
  • Reconozcamos las complacencias [y trabajemos para erradicarlas]
  • Identifiquemos [tempranamente] y enfrentemos [con argumentos] a aquellos que siempre están trabajando duro para obstaculizar el cambio
  • Busquemos establecer una cultura centrada en los resultados (en lugar de enfocada en la tarea).

Probablemente necesitemos cambiar la cultura organizacional.

Conclusiones

No olvidemos que todo esto es subjetivo y, por tanto, aspectos relacionados con la salud o la seguridad de las propias personas podrían prevalecer [consciente o inconscientemente, y hasta ser esbozadas por conveniencia].

¿Necesitamos establecer que todo esto forma parte de la mejora continua [ciclo PDCA]?

Pongamos nuestra inteligencia emocional a trabajar.

Algunas ‘mejores prácticas’ de TI para el fracaso –y algunas ‘mejores prácticas’ para evitarlo

Así es, una mejor práctica no es una receta de cocina. La preparación que hagamos de un ‘platillo’ y su resultado depende de muchos factores referidos a las herramientas, nosotros mismos como çocineros’, de los ‘comensales’ y su entorno.

Una real mejor práctica es considerar la preparación del ‘platillo’ para garantizar su resultado. Así, intervienen el ecosistema tecnológico en operación –moderno, vigente, legacy, integrado, interconectado- plataforma tecnológica e infraestructura de soporte, la cantidad necesaria de especialistas con el perfil apropiado, la experiencia, competencias (conocimientos, aptitudes, actitudes), orientación técnica o de gestión, requisitos del negocio, apetito de riesgo, intereses personales, los recursos para la producción del servicio (en adición al ecosistema tecnológico y el personal de apoyo, se necesita información, aplicaciones, recursos financieros) y capacidades para asegurar el rendimiento esperado (modelo de gestión, organización implementada, procesos establecidos, conocimiento gestionado), ambos activos de servicio necesarios para entregar el servicio con el valor esperado (con la utilidad y la garantía de rendimiento esperada), aparte claro del presupuesto, coyuntura socio-económica, entorno regulatorio y legal, mercado (cultura, exigencias, demografía, restricciones, gobierno, importación/exportación).

Estamos propensos a decir sí o no a todo y esto varia como buena práctica de acuerdo a la cultura y clima organizacional, buscando no quedar mal –aunque esto es lo que ocurre al no cumplir si accedemos o no entregar si era posible y alguien después nos lo hizo ver.

Una real buena práctica es explicar qué debe hacer para satisfacer las solicitudes, luego de realizar el análisis previo correspondiente. Lo que sigue será una conversación más que una excusa.

Tampoco es una buena práctica blandir que se cumple con el acuerdo de nivel de servicio (SLA) aceptado por el cliente, o con el nivel de servicio organizacional (OLA) requerido y comprometido por las áreas internas de la empresa, cuando es evidente la existencia de reclamaciones al respecto, y tratamos de minimizar el impacto haciendo bromas a costa de clientes, usuarios –o peor, de nuestro soporte- ‘inexperto’. Puede haber un contrato en ambos casos, pero no es bueno mantener las relaciones a distancia.

Una real buena práctica es identificar y enfrentar cambios –incluso sustanciales, investiguemos con transparencia. Recuerde que las relaciones requieren confianza, que la confianza no sucede a menos que reconozca a los colegas y clientes como personas reales que, si les gusta, trabajarán con usted para arreglar lo que falla y que el propósito de los contratos no es definir las relaciones -es definir lo que sucede cuando no hay confianza y algo va seriamente mal.

Tomamos como buena práctica poner nombre a nuestros proyectos, desde hace poco incluso, no siempre ha sido así. Pero esta buena práctica de la dirección de proyectos la utilizamos para nombrar el proyecto como una implementación de software (y nos preocupamos de que el producto software funcione) y no como los resultados esperados por el negocio (no establecemos los requisitos y criterios de validación necesarios para el entregable). El trabajo de TI se realiza cuando el software satisface los requisitos y cumple con las especificaciones –se ha hecho el aseguramiento y control de calidad apropiados al producto software, su verificación. Entonces sabemos quién es culpable de no alcanzar los resultados esperados por el negocio ¿verdad?

Una real buena práctica implica identificar al real sponsor del proyecto. Me refiero no al que ha sido nombrado (otra ‘buena práctica’), sino al que le interesa el éxito del proyecto porque su reputación está en juego y actúa en beneficio del negocio, y no asume el encargo sólo por intereses personales. Otra es designar correctamente a alguien realmente encargado de realizar las validaciones oportunas, correctas y apropiadas.

Insistir en un retorno de inversión de la plataforma actual al instaurar la buena práctica del gobierno de TI es también una perjudicial para los proyectos donde la tecnología puede ayudar a los departamentos de negocios a ofrecer mejores resultados más rápido, o para aquellos proyectos que buscan ayudar a impulsar la satisfacción del cliente.

No podemos discutir que estos proyectos son críticos, por lo que una real buena práctica es que se necesita establecer correctamente los casos de negocio oportunos, necesarios y apropiados, y la organización debe implementar los cambios que sean identificados con prontitud.

El aumento de la eficacia de la misión y la eficiencia operativa son beneficios clave que se pueden lograr con el cloud computing. Recordemos la definición del NIST. Pero aplicar una estrategia al respecto es otra cosa, considerando por supuesto la seguridad en la nube. Tomamos como buena práctica la mera adopción de una solución comercial enfocada en IaaS, PaaS o SaaS. Sí hay orientaciones al respecto, pero dependerá de cada organización su definición y el éxito de su implementación ya que se deberá mantener las evaluaciones tecnológicas y las inversiones alineadas con las estrategias empresariales. Es una buena práctica reutilizar el recurso humano (exigirle más, por decirlo amablemente), pero debemos considerar que, probablemente, se requiera una reorganización de la organización de TI para ofrecer mayor agilidad empresarial y soporte a iniciativas empresariales clave.

Es una real buena práctica recordar que el ser humano es adaptable pero no es una máquina multitarea y tiene dignidad. Entonces conviene planificar –una buena práctica que muchas veces olvidamos por las presiones del mercado. Una buena planificación es muy importante porque en ella establecemos roles, responsabilidades, alcance del modelo de despliegue y servicios a emplear o entregar, controles, aspectos de diseño y de operación (que seguramente será necesario afinar), cumplimiento regulatorio y legal, integración de tecnología legacy con la nueva, cargas de trabajo, procesos establecidos, exposición al riesgo o apetito de riesgo, sponsor (real), ámbito de influencia, gobernabilidad, plazos, presupuestos, valor real para el negocio considerando las inversiones con base en su estrategia de negocio digital, entre otros muchos factores a considerar.  Otra real buena práctica es que todos los proyectos que se lancen deberían estar totalmente equipados, con “personal completo”, lo que significa que el proyecto nunca esperará a que un miembro del equipo esté disponible para trabajar en él.

Una buena práctica es emplear métodos ágiles, pero el pretender combinarla con la premisa de abaratar costos ya no lo es. La combinación es factible pero complicada en su control y gestión, y hasta contraproducente en cuanto a resultados esperados. Esto sólo si hablamos de contar con recursos y capacidades internas al país (on-shore); sin hablar de los recursos y capacidades que podrían verse interesantes fuera del país (off-shore).

Una real buena práctica es realizar una apropiada planificación tras reconocer que están implicados diferentes aspectos, no sólo el costo del recurso humano con el perfil adecuado, sino los costos de la tecnología a emplear y los mecanismos de seguridad necesarios, así como aspectos de locación, demográficos, culturares, idiomáticos, entre muchos otros.

Cómo la organización necesita capacitar a sus colaboradores en ciberseguridad

Las encuestas seguramente mostrarán que los trabajadores siguen violando las políticas de seguridad para seguir siendo productivos.

Las amenazas de información modernas vienen en muchas formas: de los hackers que buscan robar propiedad intelectual a los empleados inconscientes que no saben que están poniendo los datos en riesgo.

Cierto, los seres humanos somos el eslabón más débil –hasta que los hacemos un activo fuerte.

[Sin duda] la empresa capacita a sus colaboradores de acuerdo con su política de seguridad para inculcarles el papel crítico que desempeñan en mantener su lugar de trabajo seguro mediante una vigilancia más estrecha para proteger contraseñas personales y datos confidenciales, y en reconocer las amenazas (¿ransomware por ejemplo?).

Toquemos el punto de la capacitación y preguntémonos:

  • ¿cómo realizamos estas capacitaciones? Por ejemplo, en línea o presencial, otras formas
  • ¿en dónde realizamos estas capacitaciones? Por ejemplo, en un local especialmente acondicionado (interno o interno a la organización), en la oficina del jefe inmediato, en el módulo de trabajo del colaborador al cual reemplazará o con el cual trabajará, otros
  • ¿en qué oportunidades realizamos esta capacitación? Por ejemplo, el primer día/semana/mes de labores, tan pronto o luego que el colaborador ha ingresado, o antes que el colaborador se integre formalmente a la empresa, agrupamos los colaboradores ingresantes en un periodo determinado, una vez al año, por pedido expreso, por necesidad evidente [una re-capacitación por ‘afianzamiento’ tal vez], otras opciones
  • ¿cuál es el propósito de la capacitación? Por ejemplo, una inducción, la que esperamos no sea sólo de seguridad ocupacional, difundir la política institucional, difundir la política de seguridad, aclarar el acuerdo de confidencialidad que el colaborador firmará al ingresar a laborar y que le será recordado por el área competente al retirarse de la empresa, otros
  • ¿mantenemos un registro de las capacitaciones realizadas? Por ejemplo, en archivo texto, hoja de cálculo, archivos personales, base de datos, otros, y consideramos también las evaluaciones de entrada y de salida, tanto de colaboradores como de capacitadores
  • ¿cómo aseguramos la asistencia? Por ejemplo, por disposición normativa, coordinación con el jefe inmediato, obligación contractual, amenaza a la continuidad laboral por incumplimiento, otros
  • ¿cómo controlamos la asistencia y entrega/accedo al material correspondiente? Por ejemplo, identificación de la computadora desde donde realizamos la capacitación [dirección IP, nombre de máquina], identificación del usuario que ingresa al módulo en línea de capacitación, presencial con un supervisor, listado actualizado de participantes, otros
  • ¿mantenemos un historial de estas capacitaciones por cada colaborador? Por ejemplo, para emplearlas como insumo de la evaluación semestral o anual
  • ¿de qué manera aseguramos el resultado esperado –y continuo- de esta capacitación? Por ejemplo, evaluaciones inopinadas periódicas con registro de resultados en el archivo personal, resultados tangibles [objetivos] de labores realizadas registrados en el archivo personal, otros
  • ¿por qué realizamos estas capacitaciones? Por ejemplo, por mero cumplimiento normativo, porque así lo pidió el jefe [actual], o porque la empresa realmente ha interiorizado la necesidad, entre otros
  • Seguramente tenemos algunas otras inquietudes. Compártanlas por favor, en beneficio de todos.

Démonos cuenta [si aún no lo hemos hecho] de que la seguridad es un facilitador.

Crear una cultura de seguridad en una empresa puede ser complicado. En la organización la cultura implica una balanceada intersección entre personas y organización –es lo que hace únicas a las empresas, afecta la forma en que implementamos las cosas y lo que tiene sentido en el ecosistema de la organización.

En este ecosistema, los profesionales de la seguridad de la información debemos darnos cuenta que hemos evolucionado de siempre ser vistos como meramente tecnólogos, a gente de proceso, a ser verdaderamente un socio comercial y profesional de negocios -me incluyo ¿te incluyes?

En aras de afianzar esta cultura de ciberseguridad, por ejemplo, nada como ser transparente en qué estamos haciendo y cómo lo estamos haciendo los profesionales de la seguridad de la información, y explicarlo en el lenguaje del negocio -¿de qué manera lo haces tú?

Pero, también es obvio que la organización debe evolucionar, debe buscar un equilibrio entre proteger los datos y capacitar a los colaboradores para que sean productivos (no olvidemos la triada procesos-personas-tecnología), incorporando los altos ejecutivos del negocio en este esfuerzo de capacitación para que entiendan a cabalidad [y con esfuerzo y tiempo, también interioricen que no es sólo responsabilidad del departamento de TI] los requerimientos y necesidades de ciberseguridad [algo que ya no se puede ignorar].

La organización busca protegerse contra el mal comportamiento del usuario final, amenazas de día cero, sitios Web comprometidos y hacks entre equipos de escritorio y entre equipos de escritorio y servidores, seguramente empleará para esto alguna herramienta especializada (¿secure desktop as a serviceSDaaS?).

Bastante se ha hablado también que no es una cuestión de si vamos a ser atacados [o que vaya a violar nuestra seguridad], es una cuestión de cuándo esto ocurrirá, y que debemos estar preparados.

El problema seguramente es cómo lograr que tanto la organización como los colaboradores interioricen esta necesidad y objetivo –de manera continua porque, recordemos que la seguridad es un proceso, no un producto.

¿Cómo pueden las compañías asegurarse de que sus políticas y procesos de seguridad estén al día con las amenazas modernas? Una política de seguridad clara y bien entendida sería un inicio. Una sensibilización y formación [en contraposición (o complemento tal vez) a una capacitación] apropiadas, seguidas de las auditorias correspondientes, serian también aconsejables. El tipo de sensibilización [compromiso e interiorización posterior] que logremos en estos programas de formación es la clave. Enfrentamos entonces el cómo, cuándo, con qué, quién, para qué, formamos y hay un desafío en el contenido y orientación de la formación.

Como estado, es evidente que hay bastante más que hacer. Los esfuerzos de PCM-ONGEI podrían no ser suficientes y están lejos de ser completos.

En el ámbito educativo, algunas universidades contemplan carreras de ingeniería que incluyen cursos de ciberseguridad en su currículo, y otras ofrecen carreras especificas relacionadas con la seguridad informática; sin embargo, este interés en la seguridad de la información se centra aún –erróneamente- en carreras de ingeniería relacionadas con las tecnologías de la información.

Las certificaciones ayudan, pero, a pesar que hay un gran número de ellas, podrían no ser suficientes [en el tiempo] o apropiadas [orientación, alcance] para todo tipo de organización [deberemos tener en cuenta sus prioridades, objetivos y metas estratégicas, sus impulsores de valor].

Gestión de proyectos en la gestión pública

Ya antes habíamos comentado sobre los proyectos fallidos.

De hecho, mucho se habla hoy sobre este tema de que en la gestión pública se deben gestionar proyectos o, al menos, de que deberíamos emplear técnicas de gestión de proyectos en la gestión pública.

Interesante propuesta, e ideal desde todo punto de vista, pero ¿y la acción?

Hace un tiempo se pretendió utilizar una herramienta para gestionar proyectos en una entidad del estado. Obviamente esta iniciativa fracasó. Los motivos fueron, entre otros, pero no limitados a, la expectativa de alcanzar los beneficios siempre promulgados por una eficiente gestión de proyectos, además de una pronta toma de decisiones informada, pero sin tener en cuenta las restricciones y plazos de ley para ciertas actividades, las ocurrencias producto de una deficiente formulación de los expedientes técnicos, y formalismos establecidos, pero no estandarizados, de los diferentes actores. Hay aquí una relación e integración interesante de gobierno, riesgos, y cumplimiento, y se comprueba que todo proyecto debe ser continuamente monitorizado para validar que se mantiene entregando el valor esperado.

El gerente general deseaba conocer realmente el portafolio de proyectos de la institución. Deseaba dejar un portafolio de proyectos ordenado, organizado, y controlado. En la fecha de la presentación oficial del producto desarrollado, se dio cuenta este gerente que no iba a inaugurar una determinada obra -estratégica- durante su vigencia en el cargo. Los sub-gerentes se excusaron, adujeron carencia de información oportuna, apareció un sin número de actividades extra, y atacaron el producto. El ejercicio sirvió al gerente para tomar una decisión referente a la inauguración, y para corroborar, según él, que efectivamente no se le informaba ni oportuna ni apropiadamente, y que las gerencias no trabajaban en equipo.

El producto no tenía nada de malo. Se había desarrollado en conjunto con el personal asignado como un producto dinámico, de alcance holístico para la tarea. Este dinamismo permitía reducir, lo mejor posible, la incertidumbre y el riesgo[1], pero era necesario dedicarle –constantemente-un tiempo; no es que me pueda limitar horas antes a completar el cuadro, de forma aislada, para presentarlo en la fecha prevista, apoyándome en “mi experiencia pasada”. El alcance era holístico por cuanto involucraba todas las gerencias, desde la concepción de la idea hasta la inauguración del proyecto una vez terminado. Un problema es que los sub-gerentes lo consideraron un mero plan estático, y no un producto sujeto de continua actualización (¿una de las excusas del momento?). El compromiso de apoyo se dio, puntualmente para el momento y por exigencia del gerente general, atendiendo a únicamente su ámbito de competencia, y falló la comunicación interna, y la continuidad del compromiso (genuino) para las actualizaciones pertinentes y constantes, el sinceramiento de reconocer que se necesita y de adoptar una herramienta de control.

Si lo anterior se corrigiera, entendiendo que se requiere un cambio de real[2] contenido (estructura, procesos de negocios, sistemas de gestión, tecnología, cultura, las propias personas, etc.), seguramente mejoraríamos la calidad de los proyectos y obtendríamos mejores resultados, sobre todo, sostenibles en el tiempo.

[1]       Fuente: http://salineropampliega.com/2014/11/gestion-de-proyectos-en-la-administracion-publica.html

[2]       Fuente: http://salineropampliega.com/2017/02/entrevista-a-akira-bloise-sobre-como-implementar-la-direccion-de-proyectos-en-una-organizacion-12.html

Transformación digital

McKinsey[1] nos dice que la transformación es quizás el término más usado en los negocios. A menudo, las empresas lo aplican libremente, a cualquier forma de cambio, por pequeño o rutinario que sea.

Así, el término “transformación digital” se ha utilizado para describir cualquier cosa, desde una aplicación técnica hasta el desarrollo de una estrategia de medios sociales, pero en realidad la verdadera transformación necesita involucrar mucho más que el producto final[2].

Veamos.

Las empresas han evolucionado, como lo muestra la siguiente figura, que propone una combinación de fuerzas económicas y tecnológicas que han cambiado el mundo y han creado y crean disrupción –nadie está a salvo. Interesante el trío de tecnologías habilitadoras:

the-digital-enterprise-wave

Fuente: High Level Digital Transformation Diagnostic, Agile Elephant

Forrester[3] nos alerta que el mundo se ha vuelto digital ‑la competencia se basa cada vez más en la fuerza de sus experiencias digitales y negocios digitales. Así, buscamos realizar hoy una transformación digital para competir mañana y lo hacemos por diversas razones:

  • Porque hemos fallado en evolucionar como empresa, nuestros proyectos no han sido exitosos, y es una cuestión de transformar o perecer[4], ya que la competencia lo está haciendo. Forrester nos informa que 46% de los ejecutivos encuestados por creen que para el año 2020 lo digital tendrá un impacto en más de la mitad de sus ventas[5].
  • Porque buscamos crecer. PWC[6] nos informa lo que los negocios realmente quieren tras esta iniciativa: aumentar las ganancias; aumentar los ingresos; crear una mejor experiencia del cliente.

pwc-chasing-digital-value

Fuente: PWC, 2015 Digital IQ Survey

  • Porque es una transformación del negocio lo que buscamos siendo que lo digital está [o debería estar] ya imbuido en el negocio y porque lo digital está muy arraigado en el consumidor actual o, como dice Altimeter[7] “un realineamiento de modelos de negocio y procesos para generar un nuevo valor para los clientes y empleados con el fin de competir efectivamente en una economía digital en constante cambio” –lo que podría potencialmente abarcar a todos los clientes.
  • Porque los proyectos de transformación digital deben producir algo valioso para el consumidor y el negocio y esto requiere de una visión clara del líder para que el negocio la compre y se comprometa, ‑porque si no, nada se transforma. Liderar el cambio digital requiere que los gerentes tengan una visión de cómo transformar su empresa para enfrentar un mundo digital. Algo valioso para el usuario podría ser, por ejemplo, la experiencia en la navegación y personalización, considerando además un muy probable comportamiento cambiante. Para el negocio, algo valioso podría ser, por ejemplo, una capacidad superior de analítica de datos (grandes volúmenes de datos y una aplicación avanzada), integración de tecnologías, agilidad y flexibilidad operativas para enfrentar nuevos requerimientos –teniendo siempre en cuenta el costo total de propiedad.
  • Porque buscamos una manera de decir que nos movemos a la nube [primero[8]], en cuyo caso, deberemos conocer los pasos que deberemos seguir, determinar si debemos crear nuevos puestos de trabajo o contratar consultorías especializadas, establecer la garantía del servicio, por ejemplo.

Lo cierto es que la transformación digital es imperativa para cualquier negocio, grande o pequeño ‑declaración bastante trillada además. Pero tengamos presente que la transformación digital implica invertir en la tecnología que sea y cuando sea apropiada, porque la tecnología por sí sola no es una solución –es un medio, no una estrategia; es un viaje, no un destino.

Según un artículo del MIT Sloan Management Review[9], cuanto mayor sea la madurez digital de una empresa, mejores serán sus resultados financieros. La madurez digital está dada por la intensidad digital, que es el nivel de inversión en iniciativas que son posibles con la tecnología y que significan cambiar la forma en que opera la empresa; y por la intensidad en la gestión de la transformación, que es el nivel de inversión en las capacidades de liderazgo necesarias para crear la transformación digital dentro de una organización, y el gobierno correspondiente. Y Deloitte[10] nos dice que es la estrategia digital la que impulsa la madurez digital, y la agenda digital se conduce desde arriba. El líder digital debe tener la capacidad de articular el valor de las tecnologías digitales con el futuro de la organización –no precisamente ser un experto en tecnología. Las empresas van desde una madurez temprana, pasando por un estado de desarrollo de la madurez, y van madurando digitalmente.

De hecho, PWC ha identificado las siguientes diez capacidades críticas que se correlacionan con un fuerte rendimiento financiero –evidentes, por cierto, todos los puntos, y especialmente el de ciberseguridad: liderazgo, de arriba para abajo, compromiso, estrategia compartida en toda la organización, abordar los temas desde afuera, impulsado por la ventaja competitiva, uso eficiente de los datos del negocio (analítica, tecnología adicional a las propuestas por Agile Elephant: nube, social, móvil), ciberseguridad, ruta digital clara, medición consistente y continua.

digital-iq-survey

Fuente: PWC, 2015 Digital IQ Survey

Crear una nueva forma interna de trabajar y comunicarse es parte del proceso. Es un cambio cultural para muchas organizaciones. Las personas, sus habilidades y la cultura de la organización son esenciales para que una transformación tenga éxito. Agile Elephant[11] nos sugiere emplear el modelo de las 7 S de McKinsey[12] para diseñar la transformación, y no olvidarnos de la parte “blanda” anterior, ya que usualmente nos enfocamos sólo en la parte “dura”, y es que la transformación digital es un problema de personas, y agregaría, motivadas:

mckinsey-7-s-model

Debemos fomentar la innovación [sin grandes volúmenes de datos de calidad que “alimente” la innovación, el proceso se detendrá], la capacidad de innovación, y nuevos modelos de negocio[13], buscar cambiar la organización de un enfoque legacy a nuevas formas de trabajar y pensar usando tecnologías digitales, sociales, móviles y emergentes con la finalidad de propiciar cambios en las relaciones con clientes, procesos internos y propuestas de valor[14]. Lo cual implica, según Gartner[15], modernizar las aplicaciones nucleares, extender las capacidades de estas aplicaciones, transicionar a nuevos modelos de consumo como SaaS, entre otras posibilidades de abordar el tema. Gartner también nos sugiere construir software diferenciado, innovador y no estándar o software con servicios profesionales (para requisitos de personalización e integración), o soluciones cada vez más originarias de empresas emergentes, disruptores o proveedores locales especializados, y no comprar aplicaciones ya hechas. ¿No les parece una ola esto?; es decir, ¿no lo habían escuchado antes?

Operar dentro de los límites de los paradigmas tradicionales sin propósito ni visión desafía finalmente la dirección, la capacidad y la agilidad para prosperar en una economía digital. El camino hacia la transformación suele ser moldeado por la persona o el grupo que dirige el esfuerzo, lo cual puede limitar la implementación de una transformación holística, persistente y significativa en toda la empresa; por ejemplo, impulsando las inversiones digitales desde una perspectiva operativa o tecnológica sin la empatía del cliente o el conocimiento de cómo y por qué las nuevas expectativas, preferencias y valores que generan la disrupción de los mercados. Crean lo que Schumpeter acuñó como “destrucción creativa”[16].

El cambio cultural requiere que las organizaciones desafíen continuamente el statu quo, experimenten a menudo –tomar riesgos es una norma cultural, y se sientan cómodos con el fracaso. El compromiso con los empleados y gerentes necesita tener un contexto, una visión y un llamado a la acción que resuene con cada persona individualmente. Este tipo de personalización es lo que motiva a una fuerza de trabajo. La incorporación de los procesos y enfoques de trabajo de la transformación en actividades cotidianas deben darse desde el inicio de la transformación para asegurar que el impulso del rendimiento continúe acelerándose después de la transformación.

Además, necesitamos saber dónde está ocurriendo el cambio[17], dónde tiene el mayor impacto –y cuán rápido está ocurriendo. Es importante mirar más allá de su propio sector: la interrupción digital no respeta las fronteras de la industria.

La optimización del contacto que tiene el cliente con la marca obliga a una empresa a identificar todas las herramientas y tecnologías –apropiadas para la tarea, procesos, capacidades y transiciones necesarias para ofrecerle una gran experiencia[18] -e incrementar el valor de vida del cliente[19] por supuesto.

La forma en que las organizaciones han estado planificando y administrando cambios a gran escala ya no funciona, se necesita ahora un enfoque iterativo, ágil (el ritmo del cambio en el mundo digital es [muy] rápido), automatizado, basado en los resultados y orientado a la experiencia del cliente. La transformación no es ensamblar cosas o combinar soluciones de las plataformas empresariales existentes. Es cuestionar cómo funciona la estructura y lo que se necesita para hacerlo mejor, no sólo reunir todo lo existente –incluyendo lo legacy- de formas diferentes –o “innovadoras”.

Así, es vital: la colaboración interna; la creación de procesos holísticos y no fragmentados[20] que apoyen la visión, no sólo la propuesta de actividades o metas; la creación de equipos multifuncionales que integren diversas funciones en el negocio, conformados por el personal correcto y adecuado para ejecutar la estrategia[21], competente, bien entrenado y capacitado, con la mentoría apropiada, o los proyectos fallarán; el desarrollo de incentivos para compartir por una entrega –final- exitosa; y cuidar de no subestimar necesidades o recursos y capacidades.

Para crear impulso, los equipos multifuncionales necesitan un apoyo visible de la alta dirección, un mandato claro para hacer las cosas con el empoderamiento oportuno y apropiado, suficientes recursos para construir un programa de trabajo donde las inversiones deberían estar ligadas al progreso y no a ciclos presupuestales fijos, y responsabilidad por las ganancias y pérdidas y rendición de cuentas.

Debemos tener presente que deberemos eliminar barreras y contar con una estrategia de visión transformadora, que nuestra cultura debe tender a ser integrada e innovadora, con un talento humano realmente comprometido que sigue un liderazgo con buenas habilidades digitales.

[1]      Fuente: http://www.mckinsey.com/business-functions/mckinsey-recovery-and-transformation-services/our-insights/transformation-with-a-capital-t; disponible en dic/2016

[2]      Fuente: https://www.marketingweek.com/2016/04/14/what-does-digital-transformation-really-mean/; disponible en dic/2016

[3]      Fuente: https://solutions.forrester.com/consulting/digital-business/; disponible en dic/2016

[4]      Fuente: https://enterprisersproject.com/what-is-digital-transformation; disponible en dic/2016

[5]      Fuente: http://blogs.forrester.com/nigel_fenwick/15-12-08-the_state_of_digital_business_2016_to_2020; disponible en dic/2016

[6]      Fuente: http://www.pwc.com/gx/en/advisory-services/digital-iq-survey-2015/campaign-site/digital-iq-survey-2015.pdf; disponible en dic/2016

[7]      Fuente: http://www.altimetergroup.com/pdf/reports/Six-Stages-of-Digital-Transformation-Altimeter.pdf; disponible en dic/2016

[8]      Fuente: http://www.businesswire.com/news/home/20151104005180/en/; disponible en dic/2016

[9]      Fuente: http://sloanreview.mit.edu/article/the-advantages-of-digital-maturity/; disponible en dic/2016

[10]    Fuente: https://dupress.deloitte.com/content/dam/dup-us-en/articles/digital-transformation-strategy-digitally-mature/15-MIT-DD-Strategy_small.pdf; disponible en dic/2016

[11]    Fuente: http://www.theagileelephant.com/digital-transformation-diagnostic/; disponible en dic/2016

[12]    Fuente: http://www.12manage.com/methods_7S_es.html; disponible en dic/2016

[13]    Fuente: http://www.theagileelephant.com/what-is-digital-transformation/; disponible en dic/2016

[14]    Fuente: http://sloanreview.mit.edu/article/the-nine-elements-of-digital-transformation/; disponible en dic/2016

[15]    Fuente: http://www.gartner.com/newsroom/id/3119717; disponible en dic/2016

[16]    Fuente: http://www.centroschumpeter.org/2015/05/la-innovacion-proceso-destruccion-creativa/; disponible en dic/2016

[17]    Fuente: http://www.mckinsey.com/business-functions/organization/our-insights/nine-questions-to-help-you-get-your-digital-transformation-right; disponible en dic/2016

[18]    Fuente: http://www.i-scoop.eu/digital-transformation/#Digital_transformation_and_the_customer_experience; disponible en dic/2016

[19]    Fuente: http://www.marketingguerrilla.es/que-es-el-customer-lifetime-value/; disponible en dic/2016

[20]    Fuente: http://www.cmswire.com/digital-experience/7-reasons-your-digital-transformation-project-may-fail/; disponible en dic/2016

[21]    Fuente: https://cloudfabrix.com/blog/digital-transformation/why-most-of-the-digital-transformation-projects-are-failing/; disponible en dic/2016

Curso: Planeamiento estratégico (Ingeniería de Sistemas)

Introducción

Dictado en la Universidad Telesup -UPT, Lima – Perú, en los ciclos 2007-2 (noviembre/2007), 2008-2 (noviembre/2008), 2009-2 (agosto/2009), 2010-0 (enero/2010).

Sumilla

Es sabido que la información constituye, cada vez más, un recurso estratégico esencial para la supervivencia actual de la empresa o la institución. El gerente de hoy no sólo debe cuidar de los principales procesos de su empresa, sino que además debe estar midiendo permanentemente la manera como el entorno afecta estos procesos. En el caso de la información, su almacenamiento, tratamiento, recuperación y transmisión. Ello significa un ejercicio permanente de planeamiento y análisis de sistemas y procesos que hagan cada vez más eficiente y fácil el flujo de información entre las fuentes de información y los lugares de la empresa en donde se le requiere, ya sea para posibilitar procesos de gestión o bien para tomar decisiones sobre algún aspecto que atañe a su funcionamiento; más en los últimos tiempos donde la tecnología es tan cambiante.

En efecto, el planeamiento estratégico de la información comienza antes de tratarse el tema de la información. Comienza con el proceso de análisis, evaluación y determinación de la misión, objetivos, metas y mecanismos de medición institucionales. Sólo a partir de un planeamiento global de los fines y métodos de la empresa es que podemos alinear exitosamente el planeamiento de los sistemas de información que deben hacer posible tales fines y métodos. El análisis del impacto de las tecnologías de la información y las comunicaciones –TIC‑ y el de aquellas que sean pertinentes al “negocio” central de nuestra empresa o institución deben ser incorporados cuidadosamente en nuestro planeamiento.

Para hacer frente a lo anterior, durante el desarrollo de este curso el estudiante recibirá la información necesaria que le permitirá resolver con éxito diversas situaciones en la que un planeamiento estratégico bien diseñado y gestionado es mandatorio.

Continue reading

Planeamiento estratégico AFP Horizonte

La seguridad social es un sistema de largo plazo que busca brindar protección a los trabajadores y sus familiares cuando lleguen a la edad de jubilación o cuando ocurren siniestros de invalidez o muerte, sin poner en riesgo la economía de los países.

Como pieza fundamental de la reforma del Estado, se buscó un sistema de Previsión más justo para los trabajadores del país que ayudara al crecimiento del ahorro interno y se adoptó el esquema chileno, creando a fines de 1,992 mediante DL25897, el Sistema Privado de Pensiones bajo un sistema de Capitalización Individual. Continue reading