domingo, 24 de enero de 2010

Un principio básico de la seguridad de la información

Acabo de terminar de cancelar mi suscripción de hosting personal. La compañía en donde tenía el servicio acaba de imponer algunas reglas nuevas respecto de la contraseña del usuario. Estas son las nuevas reglas:

  • cambiar la contraseña cada 2 meses
  • usar más de 8 caracteres
  • usar al menos un número
  • no usar secuencias de caracteres, o sea no puede ir un “2” después de un “1”, ni una “h” antes de una “i”.
  • Tampoco puede contener secuencias de contraseñas anteriores, o sea si habías usado una secuencia como “ty62w” como parte de una contraseña, no puedes volver a utilizar “ty6”, ni “y62”, ni “62w” (lo habéis pillado)
  • Finalmente, no puede contener nombres, partes de tu correo electrónico, ni tu clave
Es esta una clave más segura. Sí, sin ninguna duda. Pero matemáticamente.   El problema es que las claves de seguridad no son para los ordenadores, sino para los seres humanos. Una clave con las políticas de seguridad como las descritas es mucho más insegura en manos de un ser humano normal. ¿por qué?   Porque se verá forzado a anotara. De lo contrario no la recordará, y si la recuerda la primera vez, la segunda o la tercera será imposible. Entonces claro, necesitaremos que nos recuperen la clave. En estas mismas condiciones ahora tienes una nueva condición, te validan quién eres, y para eso respondes a la pregunta secreta imposible de que alguien la descubra:
  • en qué ciudad naciste
  • o cuál es el apellido de tu madre
  • o cómo se llama tu mascota (sí la que todos vemos en el Facebook)
He mencionado que si no cambias tu clave no te permiten acceder al panel de control o al servicio que tú pagas. Es de locos, buscando asegurar el sistema lo vulneran. Ahora tenemos las claves escritas y seguramente en algún archivo de nombre, eeehhh “claves”, o “contraseñas” (si no da igual, perderemos el archivo), y para cambiar la contraseña tenemos palabras del diccionario y que TODO el mundo conoce o puede encontrar.   Lo anterior es negativo. Ni cerca de lo que esto produce:
  • insatisfacción del cliente
  • clientes perdiendo el tiempo recuperando contraseñas
  • clientes frustrados y diciendo “palabrotas” mientras intenta escribir una clave
  • finalmente, bajas, pérdidas de clientes
  • y toda la cadena de consecuencias posteriores
  Siempre hay una alternativa para los que ofrecen servicios por Internet y piensan buscar una solución complicando las cosas. Desconecta el servidor y ha otra cosa.

sábado, 23 de enero de 2010

¿Cambiará la mensajería Google Wave?


¿Quién es Google exactamente? ¿una fábrica de software en todas direcciones?
Todos conocemos a google por el buscador, durante algún tiempo se negó a hacer un portal, y ya lo hizo, uno personalizado de hecho; ha creado mensajería, blogs, una zona para compartir videos con youtube, creación de documentos y algunas aplicaciones más.

Ahora Google nos propone algo más: cambiar la forma de mensajería. Básicamente se trata de un sistema con servidor central en donde nos comunicaríamos y compartiríamos mensajes y documentos, tanto fuera de línea como en línea. Para intentar describirlo mejor, es como juntar el correo electrónico y el messenger en uno sólo.

Lo que me impresiona de este caso es la capacidad de documentar. En las propuestas que está haciendo google lo han mostrado desde una perspectiva personal y de empresa pequeña. En el primer caso por ejemplo, compartes mensajes con tus amigos de alguna actividad, coordinas un encuentro o una tarea, sumas algunas fotos, un texto, una hoja de cálculo, y luego seleccionas y lo subes a tu blog (Blogger por supuesto). En el segundo caso, en una empresa algo muy parecido pero esta vez con algún proyecto o actividad de empresa.

Una de las características que me han parecido interesantes es la capacidad de incluir a un nuevo participante en una conversación avanzada, y la capacidad del nuevo individuo para hacer "playback" y buscar los mensajes anteriores que se había perdido. La otra que me gsta muchísimo es que cuando estás en el modo "mensajería instantánea" los caracteres se van transmitiendo en tiempo real, o sea que no hace falta esperar a que la otra persona le dé al botón de enviar, con lo cual ya puedes ir pensando en la respuesta, algo más similar a una conversación.

Por la parte que me toca, no puedo ignorar que esta forma de comunicar puede mejorar significativamente la formación a distancia. Por lo general, complementamos la formación con email y foros para que los estudiantes vayan compartiendo preguntas y respuestas junto con el tutor. Esta vez, con una herramienta como Google Wave vamos a ser capaces de documentar en tiempo real, incorporarse a una conversación en vivo o ver lo que se ha discutido, y finalmente dejar cada tema bien documentado. Muchas expectativas.

La mala noticia es que Google Wave todavía no está disponible al público en general. Se anunció a mediados del año pasado principalmente para desarrolladores. Es de código abierto y se han compartido los API, para que los desarrolladores puedan ir probándolo. Por ahora puedes acceder a Google Wave sólo si alguien que lo esté probando te invita, y no hay auto-invitaciones. Tampoco es que te pierdas mucho de probarlo, total necesitarás que todos con los que colabores estén en poseción de una cuenta google, así que podemos esperar al lanzamiento. Si te ha interesado echa un vistazo en wave.google.com.

jueves, 21 de enero de 2010

ITIL v2 - ITIL v3


Aún después del anuncio de retirada de ITIL v2, la discusión continúa. Hay varios blogs y foros en los que se "reclama" que se retiren los libros y el contenido de ITIL v2.

A inicios de 2009 tuvimos un diálogo con dos colegas más y grabamos este video



martes, 19 de enero de 2010

Copyright – ITIL – ISO20000


Este es un tema difícil de tratar, pero necesario (como tantos otros). Hay “cosas” que tienen dueño y otras que son patrimonio de la humanidad. Sin entrar en un debate específico legal respecto de derechos de autor, imagen y otros (no sea que además me hagan pagar un canon), me gustaría referirme a uno en particular que nos compete y del cual últimamente he recibido muchas preguntas.

Llamé a mi amigo Mark la semana pasada, y entre una y otra comentamos un poco de los efectos de difusión de la muerte de Michael Jackson. Uno de los fenómenos para la historia fue lo que hicieron dos ciudadanos chinos, en China, que se encerraron dos días seguidos y escribieron un libro completo de Michael Jackson y lo llevaron a tiendas en sólo dos días más. En la noticia se hacía referencia además de que la mayoría de la información la obtuvieron de Internet pues no conocían al objeto de su investigación. El comentario de Mark fue algo parecido a “cómo no se me ocurrió hacerlo y venderlo yo”. La respuesta es muy simple, porque seguramente preferirías ahorrarte los costes de la demanda (obviemos la parte de demandar en China, mi amigo está en Miami).

Otro ejemplo antes de entrar en materia. En el 2002 en la oficina en California pedí a una de las asistentes administrativas que aprovisionara un proyector para una formación, ella no me entendió, la conversación era en inglés y lo que yo pedía era un “projector”, y pedí ayuda, hasta que alguien me entendió y tradujo a un “infocus”, lo peor es que resultó además ser de otra marca. En España por ejemplo tenemos otros casos como pedir un pan Bimbo y traer un pan molde de cualquier marca, o un Albal para el papel de aluminio o plata. Estos son casos de marcas registradas que se convierten en genéricos, es bueno para el marketing y el posicionamiento pero malo para la marca porque legalmente puede perder los derechos de control.

En el caso de ITIL es una marca registrada y no se puede hacer uso ni de la palabra, que además debería escribirse como ITIL®, ni uso del logo sin autorización.

¿Por qué esto es importante y por qué OGC (el dueño) pone tanto empeño en esto?

En este momento estamos en el primer ejemplo, ITIL es una marca registrada y si alguien hace uso ilegal puede verse enfrentado a sanciones penales. Si OGC no hace fuerza en el tema, entonces podríamos pasar a un peligroso caso como el segundo ejemplo, donde se convierte en un genérico y ahora OGC ya no puede imponerse y regularlo, por lo tanto cualquiera podría hacer su propia versión de ITIL, su propia interpretación, sus propios exámenes, su propia formación, y acabaríamos destruyendo ITIL, ya nadie sabría como es, y la competencia por los distintos sabores y colores acabaría dejando el espacio para que otro marco de referencia que sí esté cuidado (por ejemplo CobIT, o CMMi u otro) ocupe el espacio que deja ITIL. Cualquier similitud entre Unix y Windows es pura coincidencia.

Por esta razón, existe un solo esquema de certificación de ITIL y una formación acreditada y un examen certificado, todo en propiedad de OGC y custodiado por APMG. Cualquier formación, examen o referencia que no esté autorizada sería ilegal, lo mismo que copiarse una peli, solo que esta vez la copia te puede salir mala.

ISO20000 es otra historia.

ISO como organización se denomina a sí misma como un puente entre el sector público y el privado. La mayoría de la financiación la obtiene del sector público, por lo tanto una ISO como tal, aunque se vende, es patrimonio de la humanidad, o sea que no es susceptible a ser patentado. Es por esta razón que cualquiera puede tanto hacer una auditoría como inventar un curso o un examen para personas.

En el caso de una ISO, se conoce que hay organizaciones que piden unos requisitos y otras que piden más o menos. Hay diferentes esquemas de certificación y puede haber diferentes formaciones, enfoques y exámenes. Cada gobierno en un país determinado, elige la forma de “regular” al menos las acreditaciones que él mismo reconocerá por ejemplo en el caso de una licitación. Y lo demás, será de acuerdo con lo que decida el mercado, la marca que mejor consiga posicionarse será la que mayor reconocimiento tenga.

Así, es como hay más de una formación de ISO20000, y más de un tipo de examen, rutas de certificación y más. ¿Cuál es la correcta? La que el mercado decida. Si el mercado decide que todas entonces bien, si decide que una en particular entonces también bien. itSMF propuso el primer esquema de certificación para ISO20000 (eso sí es certificable), y es el que de facto se acepta como el más importante y más internacional.

domingo, 17 de enero de 2010

Lo que no es el Servicio


El pasado viernes asistí a una formación de Gestión de Niveles de Servicio (SLM) (uno de los procesos de ITIL), el instructor estaba haciendo referencia a la importancia de escribir en lenguaje claro y no ambiguo lo que es el Servicio, y apuntó a que algunas veces también es importante incluir (en el acuerdo) lo que el servicio no es. Gran lección.

Podría decirse que la negociación es una de mis fortalezas, yo siempre hago énfasis en clarificar y asegurarse de que ambas partes tienen una idea clara respecto del Servicio. Pero este enfoque podría resultar útil en muchas situaciones.

Recuerdo que una vez en el Caribe, con un gran fabricante de ordenadores, ellos tenían problemas con un nuevo servicio. En realidad el servicio no era el problema, sino el SLA. Habían firmado nuevos acuerdos de servicio tan genéricos como escribir “25 situaciones al mes”, y podéis imaginar lo poco útil que puede resultar, primero porque nadie podría estar interesado en una “situación” (quizá en no tenerlas), pero en segundo lugar porque es demasiado genérico y poco específico.

La solución que sugerí en ese momento fue crear categorías, algo tan simple como Categoría uno, dos y tres. Y la segunda sugerencia fue dar ejemplos de esos niveles, algo como “categoría uno” sería cuando una impresora no imprime, y “categoría dos” sería algo como “no puedo acceder a Internet”.

Así que con el nuevo enfoque podría resultar muy útil, con algunas definiciones y ejemplos de lo que no es el servicio. Algo como una situación no puede ser por ejemplo “instalar una base de datos en un servidor de producción”, o “instalar SAP para toda la empresa”.

English version

sábado, 16 de enero de 2010

Certificación TI de Profesionales (las bases)



La semana pasada me pedía un amigo que le hablara de las certificaciones de profesionales, él está diseñando una certificación de profesionales en un campo diferente al que yo me desenvuelvo y del que conozco que es TI, pero quería escuchar la experiencia desde la perspectiva TI y para tomar alguna guía.

Me parece muy inteligente, no que me pregunte a mí, sino que analice el desarrollo de otras que han sido exitosas para aprender, justo el año pasado me planteaba con otros colegas la falta que le hace a PMP aprender de un Microsoft por ejemplo. Así que os dejo de mi experiencia.

Las certificaciones de profesionales afectan directamente a tres jugadores:

- el profesional que se va a certificar, quien será además objeto del conocimiento

- la empresa privada o pública que será el patrono del profesional o que contratará sus servicios de alguna forma

- el fabricante o dueño de la tecnología, materia o conocimiento que se certifica. En inglés también se le llama sponsor (por patrocinador).

Hay otros tres jugadores indirectos pero muy involucrados:

- auditores o examinadores que son los que se encargan de gestionar la evaluación y hacerlo de forma independiente

- las empresas e instituciones que requieren las certificaciones, y son quienes piden a sus contratistas que aporten personal certificado

- Centros Acreditados de Formación para que los profesionales se puedan preparar

Teniendo en mente los principales jugadores, podemos entender por qué se creó en primer lugar las certificaciones.

Recuerdo mi primer trabajo, cuando aún me faltaba por completar algunas materias en la universidad, el puesto era para un programador, me hicieron varias entrevistas, me hicieron preguntas de programación, de lenguaje, de bases de datos, y de sistemas operativos; y todo esto tomando en cuenta que me había recomendado un buen amigo que ya trabajaba ahí y que había dado fe de mis habilidades y conocimientos para el puesto.

En ese momento NO había disponibilidad de hacer uso de las certificaciones, por lo que había que hacer preguntas, quizá para un puesto de mayor nivel funcional me habrían pedido que programara algo, o en uno de mayor nivel vertical me habrían pedido que además hiciera algo. Y la empresa contratante tendría que hacer el mismo ejercicio con cada uno de los candidatos. Quizá siempre más difícil con los puestos junior.

Cuál habría sido el escenario con la existencia de una certificación. Seguramente se aplicaría un filtro previo, con lo cual, sólo participarían de las entrevistas quien tuviera la certificación, lo que ahorraría mucho tiempo y esfuerzo. Las entrevistas se centrarían en entender si conozco del negocio y quizá en su defecto determinar lo que requiero de aprender del negocio, y en descubrir si cumplo con el perfil para ser un nuevo jugador en el equipo actual. Las entrevistas de personalidad, psicológicas y demás de Recursos Humanos serían consistentes en ambas circunstancias.

Puesto el ejemplo anterior, explico desde mi experiencia lo que entiendo por una certificación TI de profesionales, objetivos y beneficios, y como no podría ser diferente en mi cabeza, lo expreso en una tabla:

¿Qué es?

Profesional

Empleador

Fabricante

Un recurso para probar su habilidad y conocimientos

Una garantía de que puede disponer de recursos aptos para las tareas que requiere de realizar

Una garantía para sus clientes de que sus productos o servicios pueden ser soportados, personalizados y mejorados

Todas las cosas tienen diferente significado para el ojo que los mira. En el caso del profesional una certificación es la carta la prueba de sus conocimientos, y parte integral de su Hoja de Vida. En el caso del empleador sirve de garantía para validar que tiene recursos para las necesidades que tiene, y el fabricante puede mostrar a su base instalada que existen los profesionales cualificados para apoyar sus soluciones.

Objetivo

Profesional

Empleador

Fabricante

- Obtener un empleo
- Mejorar el sueldo
- Promocionarse
- Distinguirse

- Asegurar la inversión en tecnología
- Garantizar un el uso de sus recursos
- Incentivar a sus empleados

- Fidelizar profesionales y clientes
- Imagen

Las certificaciones también cumplen un objetivo diferente para cada uno de los jugadores, pero uno que es complementario con los demás. Un empleador puede asegurarse de que se hará buen uso o mejor uso de la tecnología en la que ha invertido si cuenta con profesionales certificados, y a su vez se puede permitir pagar mejor a sus empleados quienes son más competitivos, lo cual es un beneficio evidente para el empleado.

Una tecnología que posea un alto número de profesionales certificados, y que adicionalmente consiga que las empresas que hacen uso de dichas tecnologías requieran la certificación, se posiciona mucho mejor frente a sus clientes y con ventaja con sus competidores. Para las tecnologías que no cuentan con profesionales certificados, o donde hay pocos y donde además hay una implantación escasa y selectiva, cualquier trabajo, o consultoría pasa por comprometer muchos recursos, humanos, económicos y requiere de adaptarse a la oferta y no al revés.

Objetivo

Profesional

Empleador

Fabricante

- Obtener un empleo
- Mejorar el sueldo
- Promocionarse
- Distinguirse

- Asegurar la inversión en tecnología
- Garantizar un el uso de sus recursos
- Incentivar a sus empleados
reducir costes

- Fidelizar profesionales y clientes
- Imagen

Cada uno tiene un objetivo, que en algún momento podrían parecer opuestos pero en realidad se complementan. Aún cuando puede ser que el profesional reciba un aumento de sueldo, la empresa reduce sus costes de soporte externo, contratación externa y en tiempos de recuperación. Igualmente gana competitividad lo que puede repercutir en mejores ingresos.

Expectativas

Profesional

Empleador

Fabricante

Aumento de ingresos

Productividad

Soluciones estables, Bases de Datos de Conocimiento

Todos ganan, si las expectativas se cumplen el profesional se posiciona mejor en el mercado y en su empresa, la empresa es más productiva con lo cual amortiza la inversión en corto plazo y obtiene retorno de inversión, y el fabricante gana con el conocimiento que se genera del producto y la tecnología con lo cual el producto sube de valor (no necesariamente de precio).

Resultados

Profesional

Empleador

Fabricante

- Estabilidad profesional
- Confianza
- Carrera profesional

- Productividad
- Imagen
- Seguridad
- Autonomía
- Reducción de costes externos
- Competitividad

- Profesionales en el mercado
- Conocimiento del producto
- Confianza en el mercado


miércoles, 13 de enero de 2010

El Lenguaje del Cliente

Es muy probable que la frase “en el lenguaje del cliente” la usemos en nuestra empresa en cada curso relacionado con Gestión, como los cursos de ITIL, CobIT, PMP, PRINCE2, CMMi, SOA, ISO20000 y otros. Igual que lo que ocurre con la mayoría de las palabras y las frases, las pronunciamos y muchas veces asumimos que todos la entendemos porque son palabras por decirlo, “cotidianas”. Actualmente estoy participando como revisor de un libro y el lenguaje en el que está escrito ha sido una de las discusiones, ¿quién es el lector? O quién esperamos que lea.

Como he comentado en otras ocasiones, me transporto a mi oficina todos los días en el Metro de Madrid (o todas las veces que me es posible), creo que es un estupendo medio de transporte y además colaboro con el medio ambiente. También es un medio de comunicación, los miles de viajeros que pasamos por las estaciones, que estamos en los andenes y que viajamos en los vagones nos exponemos a mucha información y publicidad. Es un estupendo medio, particularmente es donde me entero de las obras de teatro y eventos generales de interés.

En las últimas semanas, el Metro de Madrid nos ha dejado un ejemplo perfecto de lo que es “el lenguaje del cliente” y un ejemplo completamente perdido y desafortunado de dicha frase. Me gustaría comentar ambas situaciones y quiero empezar por el que se aleja más.

Caso 1 – Lenguaje Técnico

Tal parece que el equipo técnico de Metro de Madrid ha instalado un nuevo sistema de control de trenes, es la deducción que hago, no afirmo. Eso es lo que entiendo cuando veo en los carros de metro letreros hablando del sistema e intentando posicionar en la mente de los viajeros dicho sistema.

Veamos, si veo un letrero en una valla publicitaria con la marca de un coche, yo asumo que quieren posicionar en mi mente dicha marca, no realmente la existencia de un coche, creo que eso lo podemos dar por asumido. Si ocurre lo mismo con un yogur por ejemplo, asumo que quien paga el anuncio quiere que consuma su yogur, no solo decirme lo bueno que es que consuma cualquier yogur.

Vea la imagen, ¿qué entiende?

Hay unas letras que no se ven porque son azules sobre fondo azul, y esta foto la hice con la cámara de mi móvil que no es especialmente la indicada para esta misión, la palabra es Bombardier, que asumo es el fabricante. Yo pensaría que este tipo de comunicación debería estar orientada a dos públicos:

- Interno: empleados de Metro de Madrid, principalmente del departamento técnico y de quién sea que aportó el dinero para la inversión, para recordarle lo bueno de su inversión

- Dueños de otros Metros en alguna parte del mundo: quizá no el mejor sitio para anunciarlo, pero nunca se sabe.

Para los miles de pasajeros. ¿A mí qué me dice? Nada.

Caso 2 - Lenguaje del Cliente

El siguiente es quizá uno de los carteles más relevantes en mi opinión, y más cercanos al público, un ejemplo fantástico de qué comunicar y cómocomunicarlo; y aún así uno de los que menos tiempo se han expuesto. Vea la siguiente imagen, ¿le dice algo?


Definitivamente esta imagen está creada para el público, a mi la verdad me habla en voz alta además. Me encanta. Me gusta inclusive el logo de abajo a la derecha, es muy real, en mi última revisión me recomendaron que salga una parada antes del metro y camine, ahora Metro de Madrid me da un par de ideas adicionales.

Los viajeros en los vagones del metro leyendo este mensaje pueden hacerse una idea de cómo utilizarlo en su beneficio, o no. Pero aún cuando sea NO, es algo en lo que puede pensar para sí mismo, pero en el primer caso no es algo en lo que pueda pensar.

En el Lenguaje del Cliente

En cada proyecto y desarrollo del departamento de TI, deberíamos contar con un Caso de Negocio que justifique la inversión de tiempo, recursos y dinero.

Es fácil apuntar un error, ahora propongamos algo al Caso 1. Asumiré muchos de los hechos.

Objetivo del sistema: controlar mejor los tiempos, medir los tiempos de desplazamiento, aumentar la frecuencia de los trenes, distribuir mejor los trenes.

Beneficios para el Negocio: mejorar el transporte de personas, optimizar el uso de recursos, quizá ahorrar enviando los trenes donde se necesitan.

Beneficios para el Cliente externo (los viajeros): evitar grandes esperas, mejorar la satisfacción de los usuarios, dar una sensación de efectividad y seguridad, dar la impresión de control, generar la confianza en el usuario de que el mejor tiempo posible es el que está recibiendo.

Con los supuestos anteriores, seguramente el departamento de marketing encontraría la forma de crear un mejor cartel que refleje que Metro hace inversiones que ayudan a mejorar los tiempos de espera y el envío de los trenes, algo como “todo calculado”, y en ese caso yo no pensaría cosas como viajo por la línea 6 o la 9, es igual, Metro lo tiene optimizado, me ha hablado.

No es fácil. Por lo general estamos dentro del bosque y no es fácil que los mensajes nos salten y nos digan que aparte de nosotros nadie más entenderá el mensaje. Parte de los beneficios de los sistemas de calidad es que cuando escribimos procedimientos, hay actividades y tareas que podemos hacer de obligado cumplimiento. Por ejemplo en los RFC (Peticiones de Cambios) hemos adicionado el espacio requerido de “beneficio para el Negocio”, por supuesto no lo hemos inventado, lo hemos aprendido con ITIL y otros. En el caso de las comunicaciones, deberíamos tener una actividad de “Revisión de Lenguaje”, con pruebas y un claro entender del lector. Esto sería parte de La Estrategia en el Ciclo de Vida de los Servicios.

En fin, espero que este mensaje, esté en el lenguaje apropiado.

martes, 12 de enero de 2010

Actualización de la versión actual de ITIL

Es posible que apenas nos estemos acostumbrando a ITIL v3 y estemos terminando de entender la filosofía detrás de ITIL v3. Aún así OGC ha anunciado que hará una actualización.

En realidad OGC ha decidido mantener un ciclo de actualizaciones para ITIL y para las publicaciones del núcleo de ITIL. Así puede mejorar las probabilidades de mantener el ritmo del mundo cambiante en que vivimos. Esta actualización viene muy bien pues después de la crisis económica se han cambiado muchas prácticas y adoptado nuevas guías que seguro que influenciarán los próximos años.

¿Vamos a tener una nueva versión de ITIL? No, será una nueva edición. La idea es mantener diferentes ediciones entre las versiones. El cambio a ITIL v3 fue lo suficiente impactante como para proponer una nueva versión. No sabemos cuál será la versión resultante, la idea sería decir versión 3 segunda edición, algo así como ITIL v3.1.

Esta nueva edición espera incluir todos los comentarios que se han hecho hasta hoy a ITIL v3 y mantener consistencia en todos los libros. El alcance del proyecto incluye:

1. mantener la consistencia de los roles en todos los libros

2. asegurarse de que se entienda que las estructuras organizacionales descritas en los libros son recomendadas y nos prescriptivas

3. asegurarse de que se describan metas, objetivos, propósitos para todos los propósitos

4. asegurar un tratamiento común para todos los procesos

5. alinear los libros con las prácticas en PRINCE2®, MSP®, M_O_R®, y P3O®

6. Estandarizar la introducción de todos los libros

7. Estandarizar el glosario para todos los libros

8. Describir mejor y diferenciar entre el Gestor del Producto (Product Manager) y el Dueño del Servicio (Service Owner)

9. Incluir las relaciones del Catálogo de Servicios en el libro de Operación del Servicio

Está fuera del alcance cualquier acción que conlleve a cambiar los conceptos principales, los procesos o cualquier práctica que entorpezca o interfiera con las implantaciones actuales o las que se estén llevando a cabo. Todo el proyecto es responsabilidad de TSO y con las guías de APMG.

Se espera que estos cambios estén disponibles a principios de 2011, y que no cambien el esquema de certificación, no obstante cambiarán los contenidos de la formación y posiblemente alguno de los tiempos o requisitos. Todos estos cambios se comunicarán vía los Centros de Formación Acreditados y los Institutos de Examinación.

Nos queda esperar los cambios. Si en este momento está en medio de una implantación o aprendiendo ITIL, no se preocupe, el ámbito planteado no tiene un alcance que pueda variar una implantación, ni tampoco cambiará las relaciones con otros marcos de referencia y métodos como CobiT, o ISO/IEC 20000.


lunes, 11 de enero de 2010

IT Governance para 2010

Los años se repiten en muchos sentidos. Al final del año normalmente definimos lo que queremos para el próximo año, y al inicio del año hacemos un repaso de lo hecho en el año anterior.

Como podemos recordar los años 90’s fueron de constante invención y desarrollo de ideas, el software tomó forma y los procesadores se hicieron accesibles a la mayoría. Empezando el año 2000 teníamos bastante dominado el software y la infraestructura en general, así Internet empezó a modificar las reglas y a conectar todo con todo, y llegó el momento de la Gestión de la Infraestructura.

Ahí es donde ITIL se posicionó muy bien, ayudando a poner orden con procesos y funciones. Hemos cerrado el año 2009 con un número muy importante de certificaciones ISO/IEC 20000, más de 400 empresas en el mundo y más de 20 en España. Este último dato es un claro ejemplo de lo que nos formula los años por venir. Las empresas están buscando acercarse al control y a la administración de todas las inversiones que han hecho.

Yo obtuve mi primera certificación en tecnología en 1995, ya hace casi 15 años. En los primero años fue para unos pocos, a inicios de 2000 coincidimos en que una certificación tecnológica, como por ejemplo las de Microsoft, ya no eran opcionales para nadie, es prácticamente inaceptable que un estudiante de informática termine su carrera sin una certificación tecnológica. Hoy los puestos de trabajo escriben cada vez menos el requisito de una certificación en tecnología, quizá porque se da por sentado, y cuando se trata de decidir por un empleado, es evidente que dicha certificación juega un papel crítico.

Los nuevos pasos son en la Gestión, igualmente los profesionales que empiezan o que actualmente ocupan un puesto de responsabilidad en TI requieren de los conocimientos de Gestión, como por ejemplo ITIL, y no de oídas. A estas alturas debemos unificar el lenguaje de Gestión y los profesionales deben hablar con propiedad.

2010 no es sólo un nuevo año. Marca el inicio de una nueva década. Esta década que además la ha cerrado el 2008 y el 2009 con una crisis financiera producto de malas prácticas, y de otros actos irresponsables. El mundo entero necesitará asegurarse de que no ocurra de nuevo. Hay que recordar que las caídas como la de Enron (y Arthur Ardensen) ainicio de 2000 provocaron nuevos controles como los americanos SOX (Sarbanes Oxley Act), que ahora tiene su versión europea; estos casos no fueron con el uso de un corrector sobre el papel, sino manipulando los sistemas de información informatizados. La década pasada nos dejó más de una historia que forzará los años por venir hacia el control y la transparencia.

Después de la Gestión viene el control y la Gobernabilidad. En inglés se denomina IT Governance, yo no he conseguido traducirlo con eficiencia, pues es probable que en castellano no tengamos las palabras que sirvan de símil. La traducción más aceptada es Gobierno de TI, lo cual podría darnos una mala idea.

Governance es una palabra que encierra mucho. Cuando adolescente la escuchaba como algo que solía necesitar, se refería a autoridad, control, guía y modelo. Hay otras palabras asociadas:

Governing body: se refiere al organismo de administración, el que pone e impone las reglas.

Corporate Governance: organismo que controla, gestiona y administra la política general de la organización.

En realidad estas prácticas se vienen generalizando en todos los campos. en el siglo pasado las organizaciones tenían un contable y quizá un departamento contable, luego hubo cabida para un Director Financiero, y en este siglo apareció el CFO (Chief Financial Officer), y pasó a ser parte de la Junta Directiva. En los 90’s algunas empresas asignaron la seguridad informática a algún técnico de TI, posteriormente hubo una política de seguridad, hace diez años se crearon departamentos de seguridad y hace cinco se pensó en unificar la seguridad informática con la seguridad física, hoy existe el CSO (Chief Security Officer) y también pasó a ser parte de la Junta Directiva. Y así cada área que fue tomando importancia relativa en la organización y que fue necesario de controlar y asegurar.

Es la década de IT Governance. El control de los activos de la organización, que ahora son digitales es crítico para las organizaciones. Algunas de las reglas serán impuestas, por ley o como requisito, por ejemplo SOX (y su versión europea EURO-SOX), ISO20000, ISO19770, o ISO27000; otros marcos serán adoptados por los requisitos del negocio, como CMMi, CobiT, MOF, SAM, Risk Management, Business Continuity, y los que están por venir.

En esta década quedará alguien que se pueda dar el lujo de decir que no sabe de ITIL, o de Gobernabilidad, o de Gestión de Proyectos; serán los menos, y espero que lo diga en privado para que no cause una mala impresión. Recordemos que vamos a una velocidad muy diferente.

En fin, hay mucho trabajo por hacer, y muy emocionante. Mucha suerte a todos.