Taxonomía de Soluciones de Seguridad TIC

17 11 2009

INTECO ha publicado recientemente la segunda edición de la Taxonomía de Soluciones de Seguridad TIC.

Tomando el mercado como referencia, esta nueva versión de la taxonomía recoge de una forma más simple y homogénea el conjunto de categorías de servicios y soluciones de seguridad de la información.

La taxonomía se completa con un amplio catálogo de fichas para las distintas soluciones y servicios, orientadas a proporcionar a las empresas información y criterio a la hora de realizar la compra de productos o la  contratación de servicios.


Comentarios : Deja un Comentario »
Etiquetas: ,
Categorías : Noticias, Seguridad de la información

Hablando del retorno de inversión de la seguridad de la información con los orientadores de PIMESTIC

9 11 2009

El pasado martes 3 de noviembre tuvimos la oportunidad de compartir una jornada de formación con los orientadores tecnológicos del Plan PIMESTIC en el Departament de Governació de la Generalitat de Catalunya.

En la sesión, que contó con unos cincuenta asistentes, nuestra intervención se centró en cuatro aspectos:

  • Concienciar sobre la necesidad de ir más allá de las medidas técnicas habituales en los proyectos de seguridad de la información e incorporar medidas organizativas y de procesos.
  • Trasladar buenas prácticas para la implantación de un SGSI.
  • Reflexionar sobre las fuentes de valor en los proyectos de seguridad de la información.
  • Discutir sobre la forma de cuantificar adecuadamente dicho valor mediante un adecuado análisis de riesgos y el indicador ROSI.

Con ello tratamos de dotar a los orientadores de argumentos y herramientas que les permitiesen concienciar a los directivos y empresarios a los que asesoran, sobre los aspectos positivos de un proyecto de seguridad de la información en cuanto a la gestión del riesgo para el negocio, el impacto en la productividad y la competitividad, etc. Es decir, como una más que justificable inversión, pero que debe responder a unos objetivos de negocio concretos, adecuarse a la escala de la organización y cuyos beneficios puedan cuantificarse.

analisis_riesgos calculo_rosi

Comentarios : Deja un Comentario »
Etiquetas: , , ,
Categorías : Eventos, Formación, Seguridad de la información, TATAKI

España líder europeo en empresas certificadas en CMMI

27 10 2009

La certificación de la calidad del software, entendida como la mejora de los procesos encaminados a obtener productos software, ha adquirido una gran importancia en el mundo durante los últimos años y España no es ajena a estos movimientos.

Las ayudas concedidas a las PYMES TIC para apoyar la certificación dentro del Plan Avanza 2006-2010, puesto en marcha por la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información han jugado un papel importante en este resultado. Así lo atestigua el balance final de la convocatoria de ayudas del año 2008, que muestra una tendencia de consolidación en el interés de las PYMES en abordar la certificación, como un elemento no sólo de prestigio, sino de utilidad real a la hora de acometer sus procesos de negocio.

En la búsqueda de la certificación de la calidad, la empresa española apunta a CMMI (Capability Maturity Model Integration) como el modelo más valorado en la actualidad. Esta apuesta por CMMI se traduce en un incremento constante del número de organizaciones evaluadas en CMMI en España en los últimos años. Según el último informe publicado por el SEI (Software Engineering Institute) correspondiente a septiembre de 2009, contamos en nuestro país con 155 organizaciones evaluadas, frente a un número que no alcanzaba la decena a comienzos del 2005, fecha en la que el Plan Avanza comienza su andadura. España, de esta forma, se posiciona a la cabeza de Europa, superando a Francia (153 organizaciones evaluadas) que hasta la fecha ostentaba el liderazgo europeo. A nivel mundial, España ocupa la quinta posición, por detrás de Estados Unidos (1405), China (946), India (460) y Japón (290).

INTECO, y concretamente el Laboratorio Nacional de Calidad del Software, también pretende respaldar y contribuir a esta tendencia, con iniciativas como la colaboración en la traducción al castellano de CMMI o en la elaboración, junto con la Asociación Española para la Calidad, de una guía de gestión de proyectos basada en CMMI y adaptada a la pequeña empresa.


Comentarios : 1 comentario
Etiquetas: , , ,
Categorías : Calidad, Normas y estándares, Project Management

Continuidad de negocio vs. Recuperación de desastres

13 10 2009

Ya hemos hablado en alguna otra ocasión de la confusión alrededor de los conceptos de continuidad de negocio, tanto en lo relativo a continuidad de TI como a los planes de recuperación de desastres. Como el tema es recurrente con diversos interlocutores vamos a tratar de poner un poco más de luz en el asunto.

Continuidad de negocio (Business Continuity) es un concepto fundamentalmente PROACTIVO: ¿Cómo evito o mitigo el impacto de un riesgo?

Algunos de los objetivos de la Gestión de la Continuidad del Negocio (Business Continuity Management) son:

  • Evaluar los riesgos potenciales y preparar contingencias para acontecimientos imprevistos, tales como escenarios de desastre.
  • Minimizar las interrupciones en las operaciones normales.
  • Establecer mecanismos alternativos de operación de antemano.
  • Mantener un mínimo nivel de servicio, mientras se restauran las operaciones.
  • Proteger las funciones de negocio que ofrecen productos o servicios.
  • Minimizar el impacto económico de las interrupciones.
  • Capacitar al personal con los procedimientos de emergencia.

Recuperación de desastres (Disaster Recovery) es un concepto fundamentalmente REACTIVO: ¿Cómo me recupero de un desastre y restauro la organización a un estado normal de operación una vez que un riesgo se ha materializado?

El Plan de Recuperación de Desastres (Disaster Recovery Plan) debe establecer los procedimientos para recuperar los procesos y sistemas después de una interrupción. El plan debe incluir:

  • Definición de los sistemas, recursos y procesos necesarios para restaurar el servicio a los niveles previos al desastre.
  • Definición de las fases de notificación y activación para detectar y evaluar los daños.
  • Definición de las actividades, recursos y procedimientos necesarios durante la interrupción de las operaciones.
  • Asignación de responsabilidades al personal autorizado para garantizar la coordinación.

Así pues, queda claro que el plan de recuperación de desastres es sólo una parte dentro de la gestión de la continuidad de negocio.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Continuidad de negocio

Lean … o simplemente pragmatismo y sentido común

1 09 2009

Que el sector TIC es de los más inflacionistas de nuestro entorno es algo prácticamente fuera de toda duda. En los últimos tiempos, sin embargo, dicha inflación está tomando aires de exponencialidad, quizás no en lo estrictamente tecnológico pero sí en lo que respecta a las siglas y los “conceptos”.

Sólo hay que mirar un poco hacia atrás para ver como el marketing alrededor del sector propugnó lo novedoso de los servicios Web (WS) hace unos años. Al poco tiempo casi quedaron eclipsados por las arquitecturas orientadas a servicios (SOA), más recientemente por el software como servicio (SaaS), la computación en la nube (cloud computing), etc. Ninguno de estos conceptos es exactamente lo mismo que los otros, ni se substituyen en entre sí tecnológicamente hablando, se trata más bien de evoluciones naturales, … Sin embargo la maquinaria del mercado acaba generando momentum, o hype como gusta a la prensa americana, alrededor de cada nueva sigla (tenga un nuevo concepto asociado detrás o no).

Por otra parte, esta dinámica inflacionista, provoca cierta apetencia por adoptar términos provenientes de otros sectores. Dichos términos tienen un contenido real y original en su sector de origen, pero no siempre lo acaban teniendo al traerlos al contexto TIC, por lo menos no como para crear productos, servicios, cursos, etc. O al menos así lo vemos.

Uno de los términos que ha aparecido en el espectro recientemente es el término Lean, aplicado en diversas formas como Lean IT, Lean IT Service Management, etc. El término proviene del Lean Manufacturing o Lean Production, como filosofía genérica de gestión de procesos, términos acuñados anos después de que Toyota idease una forma de producción eficaz y eficiente, eliminado lo superfluo de sus procesos.

Por supuesto, todo ello puede aplicarse a la implementación de servicios TI, a su gestión, al desarrollo de software, a la gestión de proyectos, etc. sobre todo debido a dos factores:

  1. De un tiempo a esta parte es cada vez más frecuente pensar en TI en base a procesos, sobre todo desde la irrupción en masa de frameworks de buenas prácticas, normas y estándares de gestión, e.g. CMMI, ITIL, COBIT, ISO 20000, ISO 27000, etc.
  2. Estamos en plena crisis económica.

Dicho simplemente: hay mucho escepticismo sobre la aplicabilidad práctica y el éxito de todos esos frameworks que resultan muy complejos a los no iniciados (los clientes), y debido a la crisis económica todo lo que suene a reducir, simplificar, … ahorrar, es más que bienvenido (por los clientes).

Así pues, lo Lean se ha convertido en un poderoso argumento de marketing (otra vez) para que algunos vendan “nuevos” productos de gestión y “nuevos” servicios de consultoría, re-etiquetados pero que, muy probablemente, no son sustancialmente diferentes a lo que ya se venía ofreciendo.

¿O es que alguien prestaba servicios de adaptación de procesos a ITIL, por ejemplo, y lo hacía siguiendo al pie de la letra lo que ponía el manual correspondiente, sin entrar a comprender el negocio del cliente, su cultura organizativa, etc., y consecuentemente eliminado del modelo todo aquello que no aplicaba, no encajaba, etc.?

¿No será simplemente que el pragmatismo y el sentido común ahora tienen una etiqueta? ¿Una etiqueta más vendible?

Son suficientes preguntas para la reflexión, pero para ayudar en ella, ahí van un par de citas:

Todo lo que hemos aprendido en la era industrial se ha orientado a crear más y más complicaciones. Pienso que ahora cada vez más gente está entendiendo que lo mejor es simplificar, no complicar. La simplicidad es la máxima sofisticación.
John Sculley, Ex CEO de Apple y ex Vicepresidente de Pepsi.

Y del libro “The power of simplicity“:
… la vida profesional es mucho más sencilla de lo que muchos creen. Lo que pasa es que hay demasiada gente dedicada a complicarla…
Y más adelante da una receta simple y compleja a la vez para sobreponerse a la situación. A saber:
… simplificar lo complejo y, sobretodo, no complicar lo simple“.
Jack Trout, Presidente de Trout & Partners.

Lo dicho, no hace falta tanto marketing, tanta fachada, para proporcionar valores que deberían ser consustanciales a la propia consultoría: el pragmatismo y el sentido común, para aplicar lo esencial, lo que aplica, lo que tiene valor y nada más.


Comentarios : Deja un Comentario »
Etiquetas: , , , , ,
Categorías : Dirección SI/TI, Gestión de servicios TI

« Entradas anteriores Entradas siguientes »


Seguir

Get every new post delivered to your Inbox.