jueves, 31 de marzo de 2011

FEDECA en las AAPP

Para quienes no sepan qué es FEDECA, diré que es una federación que agrupa a las diferentes asociaciones profesionales de funcionarios que pertenen a alguno de los cuerpos superiores de la Administración Pública (Letrados, Interventores, etc) y en particular a los que pertenecemos a ASTIC, Asociación Profesional del Cuerpo Superior de Sistemas y Tecnologías de la Información.

Los que me conocen, saben que no soy propenso a afiliarme a asociaciones, sindicatos ni partidos, sobretodo porque creo por encima de todo en la libertad del individuo de tomar todas y cada una de sus decisiones y no cabe duda de que la pertenencia a algún tipo de colectivo más o menos organizado puede influir en las decisiones personales.

En cualquier caso, tambien me considero pragmático y es evidente que, en la sociedad actual, todo lo que conseguimos se debe normalmente al esfuerzo de un equipo o grupo de personas y no a la aportación de un único individuo. En este sentido,  la asociación de varios individuos puede ser la única forma de  encontrar las sinergias necesarias para conseguir ciertos objetivos.

Todo esto viene a cuento de que recientemente he decidido apoyar a FEDECA  presentandome en las listas de esta candidatura  para  las próximas elecciones del centro donde trabajo.

Por un lado, creo que los sindicatos actuales tienden a preocuparse de todos menos del personal funcionario del grupo A1 porque nos asocia a "La Dirección" y, por configuración sindical, se nos ve como la parte contraria.

Esto lo he vivido en mis carnes en todos aquellos asuntos en los que el personal del grupo A teníamos algún tipo de problema laboral. Recuerdo una ocasión en la que el apoyo que tuvimoos de un sindicato en una situación difícil y complicada para un grupo de compañeros del Cuerpo Superior TIC fue la de advertirnos que no se nos ocurriera hablar con el Subdirector de RRHH porque no podíamos autorepresentarnos. Esa función pertenecía a los sindicatos.... aunque no la fueran a ejercer.

Anecdotas aparte, tambien soy de la opinión de la representación sindical es un bien para los trabajadores, pero que es necesario profesionalizar la labor sindical y, sobretodo, desgajarla de los partidos. Las decisiones que toman los sindicatos no deben tomarse nunca para favorecer a un partido un otro, independientemente de las simpatías o ideologías que podamos profesar.

El motor, el criterio de decisión debe ser siempre el de obtener las mejores condiciones para los trabajadores, aunque tambien para la organización. No olvidemos que el fin de los trabajadores es que nuestras organizaciones funcionen lo mejor que podamos y que el trabajo que realicemos sea digno, motivador y se realice en las mejores condiciones ambientales, salariales, sociales, de seguridad....Todos trabajamos para ganar dinero y para que nosotros y nuestras familias vivamos bien, pero no podemos olvidar que pasamos más de siete horas al día en la oficina y ese tiempo debe ser de calidad en todos los sentidos.

Un reto importante para FEDECA es el de convencer que representa no solo a los cuerpos superiores, sino a todos los trabajadores de las AAPP. El conocimiento que sus miembros tienen de la administración, de sus mecanismos de funcionamiento y de las normas aplicables es un activo sin precedentes para una organización sindical, pero todo ese potencial debe ponerse al servicio de todos los trabajadores de cada centro.

No digo que FEDECA vaya a ser la solución a todos los problemas. Es una actor más que creo que tiene  la capacidad de aportar valor al mundo sindical y a la vida laboral . Tendremos que dejar tiempo y ver si la labor que entre todos hagamos pueda ser un beneficio para tod@s.

Leer más...

jueves, 24 de marzo de 2011

Aprendiendo del desastre de Japón: ¿Cómo actuar? (I)

El grado de dependencia que tienen las organizaciones, sean públicas o privadas, respecto a las Tecnologías de la información es muy alto.Tenemos aún muy reciente el terremoto de Japón sobre el que comentamos en un post anterior.

Una indisponibilidad o incidencia en la infraestructura TIC que soporta los procesos críticos de negocio puede provocar, entre otros:

  •  Incapacidad de la organización para ofrecer los servicios básicos/críticos, con la consiguiente pérdida económica directa.
  •  Pérdida de reputación.
  •  Deterioro de la imagen (ej. marca comercial).
  •  Imposibilidad de proteger los activos de la organización (ej. Propiedad intectual,).
  •  Pérdida de control sobre la actividad del negocio.
  •  Incumplimiento de requerimientos legales o regulatorios.

En los últimos años, es cierto que muchas organizaciones se han sensibilizado a esta importancia creciente de las TIC sobre sus procesos de negocio, de forma que han puesto en marcha medidas de securización de las infraestructuras TIC y de los procesos operativos de negocio.

Sin embargo, acontecimientos como el reciente terremoto en Japón y sus consecuencias sobre las instalaciones nucleares nos recuerdan que, a pesar de todas estas medidas, es posible que todos los controles fallen.
Los desastres son interrupciones que causan que los recursos de información críticos se vuelvan inoperables durante un tiempo, ocasionando un impacto adverso en las operaciones de negocio. No todas las interrupciones criticas en el servicio se clasifican corno desastres per se; sin embargo, tienen una naturaleza de alto riesgo.

Por este motivo, tenemos que estar preparados para actuar en el caso de que los procesos normales de nuestra organización y nuestros sistemas de información no estén disponibles. ¿Qué hacer en este caso. Como siempre, prever la situación, planificar nuestra forma de actuación, comunicarla a toda la organización, ensayar las actuaciones y revisarlas de forma periódica para mejorar nuestra capacidad de respuesta.

Si todo esto lo formalizamos, o que estamos preparando es un Plan de Continuidad de Negocio (BCP).

El BCP es un proceso diseñado para reducir el riesgo de la organización. Esto incluye a los recursos humanos y materiales necesarios para respaldar las funciones críticas de negocio ante un incidente.

El BCP tiene como objetivo asistir a la organización a seguir funcionando, aunque se haya producido una interrupción de las operaciones normales e incluye todas las tareas necesarias antes, durante y después del incidente.

El BCP incluye el Plan de Recuperación de Desastre (DRP), que es lo que normalmente conocemos mejor los profesionales TIC. Podemos asimilarlo a todas aquellas actividades necesarias para poder arrancar de nuevo el centro de datos después de un desastre.

Sin embargo, el BCP va mucho más allá de lo que se refiere a las medidas de recuperación de la infraestructura TIC. De hecho, el BCP es un conjunto de planes individuales de diversa naturaleza que son responsabilidad de la alta dirección del negocio para reducir el impacto de un desastre. Dentro del BCP, la parte correspondiente a las TIC es relativamente pequeña.

Uno de estos planes que forman parte del BCP es el Plan de Continuidad de Operaciones del negocio (COOP), que son todas las actividades que tiene que poner en marcha el negocio en tanto se recupera la operación normal. Puede requerir realizar acciones manuales que antes se apoyaban en las TIC en instalaciones temporales.

Por ejemplo, un banco con sus sistemas TIC inoperativos podría decidir hacer una transferencia manual a todos los clientes que tengan domiciliada la nómina ingresando el mismo importe que recibió el mes anterior. Evidentemente se producirían errores, pero recordemos que se trata de reducir el riesgo/impacto derivado del incidente/desastre sobre el negocio. ¿Quién confiaría de nuevo en el banco si no ha cobrado su nómina a tiempo?.

Otros Planes necesarios para preparar a la organización ante un desastre son:

  •  Plan de recuperación de las funciones de negocio: Se centra en recuperar las funciones de negocio y devolverlas a su estado normal. A diferencia del COOP, no incluye el mantenimiento de las funciones de negocio mientras dura el incidente.
  •  Plan de comunicación de crisis: Incluyen todas las acciones de comunicación interna y externa a la organización para afrontar la crisis.
  •  Plan de respuesta a ciberamenazas: Procedimientos a poner en marcha en el caso de sufrir un ataque a los sistemas TIC de la organización.
  •  Plan de emergencia: Normalmente asociado a las acciones para salvaguardar al personal de una instalación que está sujeta a alguna amenaza física.


En realidad, todos estos planes pueden ser documentos independientes o formar parte de un único plan de Continuidad de negocio y aparecer como anexos de este.

En la literatura sobre la materia, aparecen más o menos planes y pueden variar los nombres, pero el concepto es equivalente. Se trata de tener a toda la organización preparada para actuar y responder adecuadamente a todas las necesidades derivadas de una situación de emergencia.




¿Cuál es el punto de partida para elaborar estos Planes?. Como veremos en el siguiente post, el hacer una correcta evaluación de la situación con una aproximación basada en el análisis de riesgos.



Leer más...

lunes, 14 de marzo de 2011

Terremoto en Japón. ¿Estamos preparados para una contingencia?

Durante estos días, nadie ha podido escapar del horror del terremoto y posterior tsunami que ha afectado a la isla de Japón. El mundo globalizado en el que vivimos  ha traido a nuestros hogares, casi instantaneamente, información sobre el suceso en forma de imágenes, vídeos, entrevistas...

Precisamente el Jueves pasado estuve en una reunión de trabajo con personal de una gran empresa del sector TIC que tiene un gran centro de datos en Japón. Me comentaban lo concienciados que están en Japón los responsables de las empresas para adoptar, al igual que hacen con los edificios, medidas que reduzcan los riesgos ante amenazas desgraciadamente probables en este pais, como lo son los terremotos. Además de las medidas estructurales en los edificios del centro de cálculo, los racks que soportan los equipos de cálculo deben estar preparados para no volcarse, evitar que se rompan los cables o fibras con el movimiento, minimizar los daños en las cabinas de discos por la actividad sísmica, disponer de suministro eléctrico redundado, elaborar procedimientos de actuación de evaluación de daños, rescate y recuperación... Todo lo que sea necesario para garantizar la continuidad del negocio, incluyendo la consideración de que los equipos informáticos que dan soporte a los procesos de negocio puedan estar indisponibles por algún tiempo.

Me pareció curioso que tuvieran previsto hasta una posible erupción del volcán del conocido monte Fuji y tuvieran construido un canal para poder dirigir un eventual rio de lava lejos de las instalaciones del CPD.

Evidentemente, una catástrofe de la magnitud de la ocurrida en Japón, excede cualquier previsión. Aún es muy pronto para evaluar los daños materiales, por no hablar de las perdidas de personas, que son y deben ser la primera prioridad de cualquier responsable de una organización (las desgracias eliminan de raiz las artificiales categorías profesionales, rangos o distinciones y nos dejan desnudos en la igualdad, como personas que somos).

Sin embargo, no debemos dejar pasar la ocasión para hacer una reflexión. Aunque parece improbable un suceso como el que han visido en Japón, sí es posible que se den circunstancias que amenacen las instalaciones TIC sobre las que las Administraciones Públicas estamos dando servicio a los ciudadanos.

Vaya por delante, para no crear ningún tipo de alarma, que los centros de cálculo de la administración que conozco llevan años  con planes de contingencia definidos, preparados para afrontar con confianza una posible contingencia.

Pero tambien es cierto que es necesario revisar y actualizar constantemente estos planes y realizar pruebas periodicamente para garantizar una gestión rápida y eficiente de los procedimientos definidos.

Es buen momento para revisar las políticas y planes de contingencia y escarmentar en piel ajena porque, ya se sabe, siempre es mejor prevenir que curar.

Leer más...

jueves, 10 de marzo de 2011

Campaña sobre servicios electrónicos

El Ministerio de Política Territorial y Administración Pública (MPTyAP) y, más en concreto, la Secretaría de Estado de la Función pública, ha lanzado una campaña para promover el uso de los servicios electrónicos.

Como curiosidad, en la página http://masdestacados.060.es/ podemos encontrar un gráfico con los servicios electrónicos más representativos de la administración.


La campaña se ha denominado @dministración: Todos los servicios en tu mano.

La información puede encontrarse en esta página del MPTyAP. ¡Corre la voz!

Leer más...

martes, 8 de marzo de 2011

Introducción a COBIT

Existe una creciente preocupación en la alta dirección de todas las organizaciones, públicas o privadas, acerca de las actividades de la función IT.  Hoy en día, el papel que juegan las TICs en las organizaciones es cada vez más vital, no solo para mantener la competitividad, sino para garantizar las operaciones diarias.

En el sector privado, los consejos de administración de las empresas son conscientes de que una parada en sus sistemas significa una pérdida inmediata de los ingresos de la compañía.. En el sector público se reconocen las TI como factor necesario para prestar un servicio público de calidad. En ambos casos, existe una marcada sensibilidad a la  relación entre el correcto funcionamiento de los  servicios TI y la  imagen pública de la  organización.

Asimismo, la dirección se ve en la necesidad de justificar el valor de las importantes inversiones en las TICs, asegurar el cumplimiento normativo a la vez que se minimizan los riesgos en un entorno sujeto a amenazas internas y externas.

Todos estos factores han propiciado la aparición de modelos, metodologías y prácticas dirigidas a garantizar un mejor gobierno o un rendimiento más óptimo de las TIC en las organizaciones. Algunas de estas prácticas han sido desarrolladas por la propia dirección de las áreas IT mientras que otras externas tienen como propósito el control externo de las propias unidades TIC. Entre las prácticas más aceptadas podemos situar a COBIT.

Los Objetivos de Control para la Información y la Tecnología relacionada (conocidos generalmente por su acrónimo COBIT®) brindan un conjunto de buenas prácticas a través de un marco de trabajo basado en procesos, y presenta las actividades de una estructura manejable y lógica. Las buenas prácticas de COBIT están enfocadas fuertemente en el control y menos en la ejecución, es decir, indican más qué se debe conseguir sin focalizarse en el cómo.

Una de las características de COBIT es que está orientado al negocio, vinculando las metas de negocio con las metas de TI, proporcionando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.

Otra característica es su enfoque hacia procesos, mediante un modelo que subdivide TI en 34 procesos de acuerdo a cuatro áreas de responsabilidad (Planear, Construir, Ejecutar y Monitorizar) que básicamente coinciden con el conocido ciclo de Deming (Plan-Do-Check-Act).

Pero, de todas las buenas características que presenta COBIT, la que más ha influido en el éxito de COBIT es su dualidad de orientación hacia el Negocio y hacía las TIC, estableciendo un puente de enlace entre ambos mundos y definiendo un lenguaje común que ha permitido a los gestores entender el valor estratégico de las TIC y a los responsables de los sistemas de la información, la importancia de conducir sus acciones hacia el aporte del valor al negocio.

De manera más general, el empleo de un marco como COBIT satisface las necesidades de la Dirección y aporta una serie de beneficios que facilitan que se logren tanto los objetivos de la TI como los del negocio. Esto lo logra:

  •  Asegurando una mejor alineación, basándose en su enfoque en el negocio.
  •  Facilitando la implantación de políticas, procedimientos, prácticas y estructuras organizativas, para garantizar los objetivos perseguidos y prevenir eventos no deseados.
  •  Facilitando una medición objetiva sobre el estado actual de las TIC en una organización y facilitando el asesoramiento para determinar dónde se requieren mejoras. Así la dirección posee información que le permitirá tomar decisiones frente a riesgos, de forma rápida y asegurando el éxito.
  •  Proporcionando a la Dirección una visión más clara sobre lo que hace la unidad de TI.
  •  Definiendo la propiedad y la responsabilidad de los diferentes procesos TI de la organización.
  •  Facilitando una evaluación de la capacidad de dichos procesos, basada en sus modelos de madurez.
  •  Optimizando las inversiones realizadas en las TI.
  •  Facilitando el entendimiento de todos los participantes, al basarse en un lenguaje común.

En definitiva, COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con la TI.


Información relacionada: Iso 38500: El camino hacia el Gobierno TI

Leer más...

jueves, 3 de marzo de 2011

ISO 38500: El camino hacia el gobierno TI

La norma ISO 38500 ha pasado casi inadvertida en el mundo de las TIC y más aún en las Administraciones Públicas. Como indicaba en un post anterior  sobre Gobierno TI en el Sector Público , la idea que nos viene a todos a la cabeza al hablar de Gobierno TI está equivocada.

El Gobierno TI no tiene tanto que ver con las actividades de gestión de las TI por parte de los profesionales a cargo de las unidades de tecnologías de la información, sino con la responsabilidad que tiene la alta dirección de las organizaciones en conseguir que las acciones de las unidades de TI vayan en consonancia con la estrategia de la organización.

Normalmente, a los profesionales de las TIC nos gusta hablar del Gobierno TI aunque, en realidad, el Gobierno TI está relacionado en cierto sentido con el control que los responsables de las organizaciones deben ejercer sobre las unidades de TI. Esto nos suele gustar menos....

En todo este panorama, aparece la  ISO/IEC 38500:2008. Esta es la primera norma internacional que trata sobre el concepto de Gobierno TI en las organizaciones.  Formalmente se denomina  Corporate governance of information technology  y fija los estándares para el buen gobierno de los procesos y decisiones empresariales relacionadas con los sistemas y tecnologías de la información.

Fue publicada en junio de 2008 en base a la norma australiana AS8015:2005 y es la primera de una serie sobre normas de gobierno de TIC. Está alineada con los principios de gobierno corporativo recogidos en el “Informe Cadbury” y en los “Principios de Gobierno Corporativo de la OCDE.”

Los objetivos principales de la norma se pueden concretar en:
  • Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TIC.
  • Informar y orientar a los directores que controlan el uso de las TIC en su organización.
  • Proporcionar una base para la evaluación objetiva por parte de la alta dirección en el gobierno de las TIC.
Es conveniente insistir en que la norma está dirigida principalmente a la alta dirección de las organizaciones para hacerles entender y ayudarles a cumplir sus obligaciones legales, regulatorias y éticas respecto al uso de las TIC en sus organizaciones.
No es, por lo tanto, un estándar de Gestión de las TI , sino de Gobierno TI en el sentido más estricto.
 
Principios

La norma define seis principios de un buen gobierno corporativo de TIC:
  •  Responsabilidad—Todos los grupos e individuos de la organización  deben comprender y aceptar sus responsabilidades tanto en  el uso (demanda) como en la provisión de los servicios de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización.
  •  Estrategia—La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TIC.  Los planes estratégicos de TIC satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.
  •  Adquisición—Las adquisiciones de TI se hacen por razones válidas, en base a un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.
  •  Rendimiento—La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
  •  Conformidad—La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas.
  •  Factor humano—Las políticas de TIC, prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y emergentes de toda la gente  involucrada.
Tareas fundamentales del Gobierno TI

Una vez establecidos los principios básicos que deben regir el Gobierno TI de las organizaciones, la norma ISO 38500 define el modelo básico para que la alta dirección haga efectivo dicho gobierno Esto debe conseguirse mediante la ejecución de tres tareas fundamentales:

  • Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos).
  • Dirigir—Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. Asegurar la correcta transición de los proyectos a la producción,  considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TIC en la organización.
  •  Monitorizar—Mediante sistemas de medición, vigilar  el rendimiento de la TIC, asegurando que se ajusta a lo planificado.
La norma establece una relación entre principios y tareas fundamentales del Gobierno TI y presenta un modelo básico para entender cómo ejercer el Gobierno TI de acuerdo al modelo, a los principios y a las tareas.

  Si bien la explicación del estándar está fuera del objetivo de este post, sí quiero animar a leer la norma.

Contrariamente a lo que se puede pensar, es un documento ligero, de unas 25 páginas de extensión, si no recuerdo mal.



No es la "panacea", como no lo es ninguna norma o buena práctica, pero si es un buen punto de conocimiento y reflexión....para los altos responsables de las unidades del Sector Público.


Leer más...