
El tema de la “salud” empresarial se está agudizando cada vez más, especialmente si miramos el panorama laboral en estos tiempos tan turbios. De todas maneras en el sector TIC (el más mimado como dirían muchos), todavía se vive. Unos sobreviven, otros al contrario, viven muy bien pero con la acentuación de la crisis, parece que en el aire se percibe, parecido a la intensidad eléctrica antes de la tormenta, una senzación de cambio inevitable. Y estaria bien si muchas empresas desde pymes a grandes corporaciones empezarán a sanear sus propios métodos de trabajo y no solo a cortar plantilla como quirófanos de guerra. Siguiendo la idea principal de estas líneas me gustaría completar el artículo que empeze dos semanas antes, y continuar con:
III. Documentación y procedimientos.
He observado muchas veces que en el mundo de la consultoría IT, el muy deseado crecimiento empresarial se puede transformar en una pesadilla sin fin si no hay uniformidad o guías de operaciones bien definidas. Es muy difícil evaluar una empresa cuando eres desorganizado, no tienes buena documentación ni procedimientos a seguir. La falta de los mismos creará un monstruo, una organización imposible de dirigir. A continuación enumeraré unos ítems dignos de considerar para una organización sana:
1.Si es necesario hacerlo más de una vez, ¡documéntalo!
La documentación es una inversión de tiempo que saca su beneficio muchas veces más. Es una tarea a veces ingrata que no se hace por falta de tiempo, interés o simplemente vaguearía, pero está bien cuando uno encuentra una solución en Google que le salvará de muchas horas de investigación y análisis. La regla de oro es: si pasas más de 4 horas solventando un problema, es probablemente necesario documentarlo y evitar que otro compañero gaste el mismo tiempo o más para llegar a las mismas conclusiones que tu. Se trata de eficiencia en el trabajo. Y si lo miras de otro punto de vista, documentar siempre ayuda a memorizar información y desarrollar tus habilidades de expresar y organizar material escrito. La existencia de documentación (si hay variedad mejor!), es una bendición con respecto a los clientes, porque de esta manera existirá una base de conocimientos con soluciones para problemas comunes que los usuarios podrán solucionar solos, con direcciones básicas y así tu equipo puede concentrase en la solución de otros temas.
2. Alguien tiene que haber hecho esto antes.
Los procedimientos son absolutamente necesarios para crear una empresa IT coherente y tienen que ser desarrollarlos una vez que la empresa madura. Los procedimientos pueden crearse para: la alineación de procesos de consultoría al negocio (recursos humanos, ventas, finanzas, logística, calidad, etc), tecnologías para el monitoreo y el control de infraestructura tecnológica, diseños lógicos y físicos para el control de las operaciones; la planificación, iniciación, ejecución, control y cierre de proyectos; procesos de contratación/acogida de personal, etc. Cualquier tarea que se está realizando regularmente en una empresa es susceptible para ser documentarla. Para la dirección de la empresa, es muy importante no solo hacer énfasis sobre la creación de documentación y guías sino también reforzar su seguimiento.
IV. La innovación y la rentabilidad.
Cualquiera empresa IT es responsable de investigar e implementar las soluciones más prácticas y menos costosas. Hoy en día, con la multitud de soluciones existentes en el mercado y la ventaja real que ofrecen la utilización de herramientas Open Source, que uno se decante por una solución implica bastante razonamiento y sopesar los pros y los contras. Describiré algunos criterios que pueden ser utilizados para encontrar la herramienta adecuada para el trabajo, así como para reducir los costes de TI.
1. ¿Qué es lo que realmente necesitan?
Antes de decidir la herramienta adecuada para el trabajo es necesario identificar todas las funciones que son necesarias para tu cliente. La clave es diferenciar lo que necesitan de lo que quieren y centrarse en la funcionalidad que es crítica. Es muy sabio tener en cuenta el crecimiento y los cambios previsibles en la empresa cliente y asegurase que las herramientas elegidas cumplirán con los nuevos requisitos. Solo cuando existe una lista final con los puntos “a hacer”, puedes dedicarte a la fase de investigación.
2. ¿Quién escribe estas cosas y cuál debo escoger?
Una vez empezado el proceso de investigación te darás rápido cuenta que hay una multitud de herramientas que pueden cumplir tus necesidades. La amplia oferta contiene software de licencia, open-source, servicios de outsourcing o la utilización de uno de los productos SaaS disponibles. Si no estás acostumbrado a evaluar y elegir entre una gama tan amplia podrías utilizar las siguientes preguntas para reducir las opciones a 2 o 3 soluciones que puedan funcionar para tu caso.
• ¿Tiene todas las funciones que necesitas?
• ¿En qué se apoya?
• ¿Existe una comunidad activa de desarrolladores y de usuarios?
• ¿Cuáles son los usuarios existentes? ¿Comunican sus experiencias y
su nivel de satisfacción?
• ¿Se puede evaluar?
• ¿Cuáles son los costes de las licencias si hay una?
• ¿Cuánto me costará mantener la herramienta?
• ¿Puedes permitirte un servicio de hosting proprio?
• ¿Puede ser una herramienta de outsourcing o se puede utilizar un
producto SaaS?
• ¿Tienes el talento para mantenerla con recursos propios?
• ¿Es fácil de usar y mantener?
Bueno, al final de este proceso tienen que resultar 2 o 3 herramientas “prime”. La situación ideal seria tener como finalistas una herramienta Open Source, una de licencia y una opción SaaS. De esta manera puedes compararlas y hacer la elección correcta.
3.¿Licencia, open-source o herramienta de outsourcing?
Buena pregunta, pero la elección más afortunada resulta tras una evaluación de los puntos pro y contra (para cada opción), de las capacidades técnicas y financieras de tu empresa. Enumeraré algunas cosas para tener en cuenta sobre cada una de estas opciones.
Licencia:
Pros: Las herramientas comerciales (de pago) vienen (habitualmente) con un manual de soporte hecho, que reduce bastante el esfuerzo y el trabajo del equipo. La verdad es que las herramientas pasan muchos tests, motivo por lo que tienen menos bugs y son más estables. La verdad es que cuando uno se decide comprar una herramienta de los grandes proveedores, espera comprar una que está hecha en conformidad con los estandartes industriales y que es compatible con otros sistemas y herramientas.
Contras: Los costes de una licencia pueden ser una razón determinante en la elección de una herramienta. Los grandes proveedores alguna vez responden con dificultad a los pedidos de cambio de características y te puedes encontrar en la situación de esperar bastante tiempo hasta la salida de una nueva versión de software. Otra pega es que los costes de licencia no incluyen el acceso a la fuente o al código y cabe la posibilidad de no poder personalizar la herramienta.
Una herramienta comercial puede ser la elección positiva cuando puedes permitirte económicamente los costes extra de la licencia. Solo con un buen análisis coste-beneficio podrías determinar si merece la pena o no.
Open Source:
Pros: No hay ningún coste de licencia para la mayoria de los productos open-source lo que representa un gran atractivo a la hora de evaluar este tipo de producto. Ademas, el código está disponible y puedes personalizar la herramienta en función de tus necesidades. Muchas veces las comunidades de desarrolladores y usuarios son bastante activas y es bastante fácil pedir nuevas características y encontrar soporte cuando tienes problemas. Las versiones nuevas y mejoradas del producto están lanzadas con frecuencia y le puedes encontrar con facilidad para descargarlas.Las herramientas de código abierto son a menudo consideradas la vanguardia de la tecnología actual.
Contras: Utilizar herramientas Open Source implica dedicar mucho tiempo de investigación y tener buenos técnicos con ganas de experimentar. En la mayoría de los casos no hay documentación o suporte anteriormente establecidos y muchas veces contratar un especialista para implementar y dar el soporte necesario es la mejor opción. El principal impedimento para las herramientas Open Source es su estabilidad, dado que hay una probabilidad más grande de tener bugs que las versiones comerciales y probablemente durará un tiempo hasta que la comunidad lo arregle. Es el riesgo que corre también el desarrollo de nuevas versiones y actualizaciones que pueden ser abandonadas por la comunidad. En este caso tendrás que buscar otra solución lo que podría ser costoso para la empresa. Open Source es una opción perfecta cuando tienes el equipo para implementarlo y mantenerlo. Es una opción que mantendrá “lean” tu empresa y te da la posibilidad sorprender a tus clientes. El nivel del beneficio de esta opción es directamente proporcional con la dedicación para la investigación y la planificación.
Herramientas de Outsourcing y SAAS.
Pros: Pagas por lo que utilizas y no es necesario tener especialistas para el mantenimiento del software. Las herramientas están siempre disponibles y el soporte está asegurado por el proveedor. En la mayoría de los casos no hay ninguna inversión y puedes renunciar a utilizarlo cuando quieras.
Contras: Las herramientas de outsorcing y SaaS pueden salir bastante costosas dependiendo del tamaño de la organización y de cuanto tiempo utilizas la herramienta. Las soluciones SaaS pueden ser poco flexibles y tener características predeterminadas que no se pueden personalizar. Para el servicio de hosting y mantenimiento, dependes totalmente del proveedor y esto implica riesgos evidentes. Las herramientas de Outsourcing y SaaS tienen un valor diferente en función de los recursos y las necesidades de la organización. Por ejemplo, puede ser una buena opción para una organización pequeña que no puede permitirse una inversión grande en personal y software sino que le beneficia pagar lo que usa. Una vez más: evalúa bien esta opción para asegurarte que es de verdad lo que necesitas.
V. La seguridad y la continuidad del negocio:
Cualquier organización IT (proveedor o consultora) tendría que estar preparada para afrontar y prever cualquier posible incidente de seguridad y ser capaz de solventar problemas e incidencias que afectan directamente el buen funcionamiento del servicio crítico de la empresa. Aunque sea imposible anticipar y estar preparado para todo tipo de eventualidades, es una buena idea, por lo menos intentarlo, cubrir el mayor numero de aspectos posibles. El coste de no estar preparado es bastante grande y aunque estas cosas son excepcionales, es suficiente que pase una vez para hacer mucho daño al negocio o causar problemas financieros. Existen diferentes estrategias y soluciones para abordar estas cuestiones y algunos de ellos llevan una etiqueta de alto precio. Enumeraré algunas soluciones asequibles que no tienen excusa para ignorar:
1. El enemigo de dentro:
Es importante mantener la información sensible fuera del alcance de algunas miradas indiscretas y de la posibilidad de ser “filtrada” fuera de la empresa. La clave es tener bien definidos a que recursos tiene acceso cada usuario y tener herramientas para monitorizarlo y reforzarlo. Hay que tener un mecanismo central de autentificación como LDAP o Active Directory, lo que habilita el acceso granular a los recursos. Utilizarlo es una ventaja para una administración fácil, para auditorias, y la posibilidad de deshabilitar rápidamente el acceso a todos los recursos. La auditoria activa se obtiene monitorizando la retención de registros de acceso, los registros de acceso y habilitando la capacidad de auditoria en tu software y tus dispositivos. La buena capacidad de auditoria hace que la investigación y la prevención de incidentes de seguridad sean posibles. Supervisar el acceso no autorizado y las actividades sospechosas en tus sistemas mediante el uso de varias herramientas comerciales y de fuente abierta. Las alertas automáticas de los eventos de seguridad pueden permitir la detección temprana y la prevención. Implementar un antivirus sólido y un sistema de detección y eliminación de malware en todos tus sistemas. Aplicar los cambios de contraseña regular, evitar compartir las contraseñas y educar a los usuarios tener en mente la política de seguridad. Aprende de tus propios errores y adopta medidas preventivas que aseguran que los eventos de seguridad negativos no vuelvan a repetirse.
2. ¿Van los chicos malos a por nosotros?
Ser paranoico sobre los temas de seguridad puede afectar el enfoque general, pero ignorarlos, es una actitud bastante pueril. Siempre cabe una pequeña posibilidad que tu red sea escaneada por hackers y que uno de tus sistemas pueda ser comprometido mientras que tú no sospechas nada. Es poco probable que tu empresa sea destacada y que se convierta en el target personal de un hacker, pero es probable que uno de los miles de scripts de ejecucion de hacking pueda obtener información sensible de la empresa o el acceso a tus sistemas. Esta información puede ser
utilizada para enviaros spam o para comprometer otros sistemas utilizando tu hardware. Una brecha de seguridad puede deshabilitar el éxito de los sistemas de misión crítica, causar pérdidas de datos sensibles, y poner tu negocio en una posición de ser responsable de los daños causados a tus clientes. Algunas prácticas que pueden ayudar a proteger tu negocio de amenazas externos son:
• Diseñar y mantener una red segura ya que es tu primera línea de defensa y debe hacerlo lo más impenetrable posible.
• Limitar el acceso con un firewall y permitir el acceso a los servicios internos necesarios. Ttambién puedes asegurarte de que los sistemas que son accesibles desde el exterior se encuentran en una zona de despeje (DMZ) aislados.
• Evita el uso de protocolos inseguros como FTP, HTTP, POP3 y otros para transmitir las contraseñas.
• Dispon de un sistema de control de cambios para monitorizar todos los cambios del firewall.
• Refuerza la aplicación habitual de contraseñas fuertes y de cambios de contraseña.
• Implementa uno de los sistemas propietario u open source de detección de intrusos.
• Aisla a las redes inalámbricas de los demás y utilizar el más alto nivel de encriptación.
• Realiza auditorias de seguridad en su propio entorno, en intervalos regulares de tiempo para encontrar vulnerabilidades o contrata a otra empresa para hacer la auditoria.
3. Un terremoto o un error del usuario.
Tu negocio depende de que tus sistemas de misión crítica operaran en todo momento. Los desastres naturales, apagones, o un error del usuario pueden causar pérdida de datos y mantener tu sistema inactivo. Aunque los desastres naturales son muy raros, los errores del usuario y los fallos de hardware ocurren todo el tiempo. Voy a hablar de algunas soluciones que le pueden preparar para este tipo de eventos y que le ayudará a superarlas.
• Tener una estrategia de backup que incluye un sistema backup bueno, restauraciones de prueba operadas regularmente y el envío de cintas offside.
• Guarda diagramas detallados e información técnica sobre tu entorno en caso de que necesita ser reconstruido.
• Invierta en tus sistemas de misión crítica para hacerlos altamente disponibles con un número de soluciones de código abierto o comerciales.
• Tener protocolos sobre cómo responder a los desastres, la pérdida de datos causada por fallos de hardware o errores del usuario. Es importante revisar esto de vez en cuando e incluso realizar ejercicios de entrenamiento para que tu empleados sepan actuar en tales casos.
• En la situación en cual tu empresa tiene más de una oficina, una opción será utilizar el balance de carga global y diferentes tipos de replicación para mantener una réplica exacta de tus sistemas de misión crítica en dos o más sitios. Esto puede ser una solución costosa y no tiene sentido financiero para la mayoría de las empresas.
• Asegúrate de tener un sistema UPS bueno (fuente de alimentación ininterrumpida) en tu centro de datos o incluso un generador de electricidad si es posible.
No pretendo tener la formula mágica para la creación y el funcionamiento de una empresa IT, pero en general todas las empresas exitosas del mundo TIC, respeta en un 90% porciento los puntos expuestos anteriormente. Seguramente hay algunos de vosotr@s que pensáis que había podido organizar el material de otra manera, hacer hincapié en otros puntos resaltar otros aspectos como importantes, pero como lo he dicho antes, el importante es el perfeccionamiento, el aprendizaje.
Mis saludos,
Simona Adriana Toma