Sunday, November 23, 2014
¿Controlo o delego?. Esta es mi reflexión
|
Maria Elena Fernández Jaén Directora de Proyectos PMP |
“Ser o no ser”, reflexión filosófica de Hamlet en la célebre novela de Shakespeare; es la gran incertidumbre que nos acompaña en multitud de ocasiones cuando tenemos que hacer frente a decisiones importantes.
Esa célebre frase me ha inspirado a la hora de escribir este artículo y a recodar mis frecuentes dudas sobre delegar o no delegar en el momento de acometer la dirección de un proyecto.
Read more »
Tuesday, October 28, 2014
Cómo construir una administración con futuro y no morir en el intento
Borja Colón de Carvajal Twitter: Linkedin: www.linkedin.com/in/ Blog: borjacolon.blogspot. |
El pasado 15 de julio la OCDE adoptó las Recomendaciones para el Desarrollo de Estrategias de Administración Digital en las que claramente apuntaba la dirección que debía seguirse para avanzar un paso más en la total implantación de ésta. Repasando dichas propuestas (en total son doce) me gustaría destacar, por lo menos, las siguientes:
- Incluir una mayor transparencia, apertura e inclusión de los procesos y operaciones de la Administración
- Arraigar en el sector público una cultura basada en los datos
- Establecer un marco de gestión de riesgos para garantizar la seguridad digital y la preservación de la privacidad, así como adoptar medidas de seguridad efectivas
- Asegurar el uso coherente de tecnologías digitales en las distintas áreas políticas y en los diferentes niveles de Administración
- Disponer de modelos de negocio claros que garanticen la sostenibilidad de las inversiones en la implementación de la Estrategia de Administración Digital
- Contratar tecnología de manera innovadora, adecuada al nuevo uso que se hace de ella.
Lo cierto es que algo está fallando porque, primero, muchas de esas Administraciones siguen sin saber exactamente a dónde se dirigen y, segundo, continúan trabajando como lo hacían hace 10, 15, 20 o incluso 30 años atrás.
Parecen dos cuestiones éstas accesorias, secundarias, no obstante no es así. No podemos cimentar nuestro crecimiento tecnológico sobre la base de una estrategia desconocida o, peor, inexistente, y a través de una metodología de trabajo que no tiene en cuenta las posibilidades que ofrece la racionalización de las tareas en torno a procesos, como tampoco podemos pretender estar a la última en aplicaciones tecnológicas de transparencia, RISP o Gobierno Abierto si en el fondo no hemos pretendido si quiera entender cuál es la verdadera vocación de estos conceptos.
Debemos ser más humildes, vamos mal así. Debemos replantearnos todo este chiringuito tecnológico y echar la vista atrás, recalculando nuestra ruta y reorientando nuestra organización hacia donde realmente tiene que estar, que es en la vanguardia de la tecnología, sí, pero mejor todavía, a la cabeza de la gestión de calidad, la mejora continúa y la excelencia profesional.
Es cierto, hay Administraciones públicas absolutamente sorprendentes, y no citaré a ninguna por miedo a no ser lo suficientemente exhaustivo. De ahí que deban ser éstas la punta de lanza de todas las demás, un espejo en el que mirarnos, un modelo al que seguir. Efectivamente, para ellas sí serán útiles las recomendaciones de la OCDE, pero para las demás, ¿no vamos a empezar la casa por el tejado, verdad?
Un saludo a todos y gracias a ti, Andrés
Sunday, October 19, 2014
ITIL y los SGSI, beneficios comunes
Pedro Valcárcel CISSP. Seguridad Social |
ITIL y los SGSI, beneficios comunes
Estándares como ITIL y los SGSI (Sistemas de Gestión de Seguridad de la Información) tienen puntos en común en la adopción de controles de seguridad. Si se impulsan esos aspectos, se conseguirá un beneficio común.A veces, en organizaciones grandes (empresas privadas y administraciones púbicas) los departamentos que se encargan de la gestión de sistemas informáticos y los de la seguridad no trabajan de forma conjunta, aunque resulta que tienen objetivos comunes.
Por un lado, uno de los aspectos de la seguridad es la protección del entorno de producción de. Por otro lado, ITL persigue una administración eficiente de esos sistemas. Si tuviéramos que implantar ambos estándares ¿no sería interesante abordar beneficios comunes? No pretendo hablar aquí de todos los posibles, pero sí de algunos de los más importantes:
- Implantar procesos de administración y operación.
- Relacionar los objetivos de seguridad con los del negocio.
- Actualización de sistemas.
- Gestionar incidencias de seguridad.
Los procesos de administración y operación de sistemas deben estar escritos y asumidos por la organización. Debe estar por escrito cómo un servidor se instala en producción o cómo se aplican actualizaciones de software. Sólo por el simple hecho que eso se revise, ya está haciendo una acción de mejora continua.
Si un servidor de aplicaciones para internet, por ejemplo, no se administra o bien se hace basándose en la buena profesionalidad de ciertas personas, sin método, además de no ser eficiente, también es inseguro.
Objetivos de seguridad relacionados con los del negocio
Los estándares de seguridad incluyen los objetivos, indicadores y cuadros de mando de seguridad, pero eso es algo vacío si no está relacionado con los objetivos de nuestra organización.
Si hemos montado un servicio de venta de productos por internet, interesará a nuestra dirección el nivel de riesgo de seguridad, porque si es alto puede hacer que ese servicio deje de prestarse.
Un cuadro de mando de seguridad aislado no suele interesar más que al responsable de seguridad y está condenado a grandes esfuerzos porque continúe adelante.
La actualización de los sistemas
Los componentes software de un sistema informático debe revisarse periódicamente y aplicar sobre ellos actualizaciones de mejora de rendimiento, funcionalidades y, también, de seguridad.
Si bien es cierto que todos los días surgen vulnerabilidades graves que implican que se deben aplicar actualizaciones urgentes, el beneficio de mantener los sistemas actualizado abarca más aspectos que la seguridad.
La gestión de las incidencias de seguridad
Los estándares de seguridad nos dicen que las incidencias de seguridad deben registrarse, analizarse y tomar medidas que dificulten al menos que en el futuro vuelvan a repetirse.
Pero ¿qué diferencia hay entre una incidencia de seguridad y de otro tipo? En el fondo, ninguna. Pues al final hay que registrarla, analizarla y resolver el problema que la ha provocado. De hecho la gestión de incidencias aparece como un proceso de ITIL, junto con la “gestión de problemas”, por ejemplo.
Las incidencias de seguridad, en mi opinión, debería ser la primera fuente, no la única, de los procesos continuos de mejora.
Enemigos comunes
Finalmente, otra prueba de que hay puntos comunes entre ITIL y los SGSI es que también tienen enemigos comunes. Frases como:
No hay tiempo de ponernos documentar lo que ya sabemos hacer todos.Son síntoma de que, si no se actúa sobre los problemas, tarde o temprano se volverán a producir.
Es muy difícil medir este o aquel objetivo y no vale la pena porque no vamos a ser precisos.
Este problema mejor que no se registre como incidente para que no se entere nadie.
Los departamentos de seguridad deben aliarse con los de producción y sistemas para conseguir esos objetivos comunes: la implantación del SGSI y de ITIL.
El Círculo ITIL |
Monday, August 02, 2004
Creación de blog
Hoy he creado el primer blog personal