Búsqueda


26 de febrero de 2007

Un nuevo ¿impulso? a la FCMDB

Hace casi ya un año que comenzaba este blog con unos artículos al respecto de los conceptos que se barajaban entonces sobre la Federación de la CMDB.

A las pocas semanas de publicar esos primeros artículos, aparecía una nota de prensa en la que se comentaba la alianza de "los grandes" para crear un estándard orientado a la federación de la CMDB y así lo reflejaba en el artículo Desenfocado , que no me dejaba para nada las cosas claras.

Ha pasado casi un año, y leo en IT Skeptic un artículo (ácido, como siempre por allí) comentando que ya han publicado (con meses de retraso) el primer whitepaper conjunto para la federación de CMDBs.

El IT Skeptic entraba a saco en su artículo, pero antes de comentar nada o de creerme las cosas que allí se explican, pensé que sería mejor bajarme el whitepaper, leerlo y opinar con cierto conocimiento de causa, así que aprovechando un viaje en metro me lo lei calma y ahora puedo opinar.

¿¿¿Para eso 9 meses de retraso y la union de 6 de las empresas "grandes" ???

Sinceramente, si en Abril del año pasado lo veía desenfocado, ahora lo veo negro. Si han juntado a lumbreras de estas seis compañias para parir semejante simplicidad (no es que esté mal, simplemente es que para escribir eso no hacían falta 9 meses), para construir un estandard "de verdad" no nos quedan años ni nada...

Etiquetas: ,
2 comentarios

Otra vez, la importancia de las palabras.

Charlie Betz escribe desde hace años un blog llamado ERP4IT de lectura recomendada para todos aquellos que quieran ver el mundo de las TIC desde otro punto de vista.

Este señor suele publicar artículos en el blog que son simplemente "el pensamiento del día" o "alimento para la mente" como los llama él. Pues bien, resulta que la semana pasada publicó uno de estos pensamientos del día que hace referencia directamente al tema que en anteriores posts en este blog se habían tratado: lo importante que es definir claramente los términos que estamos tratando para podernos entender.

Etiquetas:
0 comentarios

21 de febrero de 2007

Mas respuestas a preguntas

Otro lector del blog, esta vez identificado como Jrolivas72, plantea otra consulta:

Felicidades por tu blog Antonio, te mando un cordial saludo desde México (Baja California). Viendo tu experiencia te quería preguntar algo; actualmente estoy preparando el programa de auditoría para el area de TI, espero iniciarla en 30 días. Mis colegas de TI no tienen algún modelo implementado y con esta auditoría se pretende encaminarlos en el Gobierno de TI. Crees que sea conveniente auditar con COBIT 3 (Audit Guidelines 3)?. Veo que COBIT 4 ahora trae un tercio menos de objetivos! y es mas conciso... Saludos y te agradezco cualquier comentario.

¡Caramba! Esta no está mal... con tan poca información será difícil contestar y acertar, pero vamos a ver qué podemos hilvanar como respuesta.

El principal problema con el que nos encontramos en esta pregunta es que no sabemos para qué se está preparando el programa de auditoría, cuáles son los objetivos de este plan de auditoría. Yo no soy partidario de "auditar porque sí", sino que soy más partidario de auditar y recomendar.

Es decir, si el programa de auditoría está pensado con el fin de detectar anomalías o incumplimientos de un conjunto de políticas determinado (es decir, se plantea la necesidad de Gobierno de TI, se definen los procesos, controles, políticas, etc y se define un plan de auditoría que deba comprobar el cumplimiento, entonces se puede utilizar CobiT para definir este plan siempre y cuando se haya utilizado CobiT para la definición de las políticas, controles, etc.)

Ahora bien, si el programa de auditoría está pensado para establecer "cuán lejos estamos de los objetivos planteados por CobiT", entonces no estamos ante un plan de auditorías sino ante un plan de assessments o de evaluación de la madurez.

Una vez reflexionado sobre este punto, vamos a ver qué es más conveniente, la V.3 o la V.4: es una lástima que vayas a empezar en 30 días, porque, tal y como veiamos en el artículo sobre CobiT 4.1, la ISACA está a punto de publicar el equivalente a las guías de auditoría y las guías de implantación para cada uno de los controles en CobiT 4. Pero si no te puedes esperar, comienza el desarrollo con las guías de auditoría de COBIT 3 y posteriormente "haz madurar tu plan hacia Cobit 4"

De todas formas, lo último que te puedo recomendar es tragarte las guías de auditoría de CobiT 3 sin modificación, adaptación y "moldeado" a las políticas, prácticas y experiencias en tu propia organización. Es de recibo adaptar Cobit a las necesidades de tu compañia y adoptar únicamente las partes necesarias, pues si no estarás introduciendo una presión excesiva e innecesaria a tu área de IT.

Etiquetas: , , ,
7 comentarios

20 de febrero de 2007

Respuestas a preguntas concretas

 Hace unos días, un visitante del blog que firma como Sandro dejó esta pregunta en uno de los posts:

Hola! Me dispongo a implementar Cobit en una empresa de Autoría de DVD, quisiera preguntarte de qué forma podría encontrar referencia de otras empresas que hayan implementado Cobit que tengan mas o menos este perfil (Producción de DVDs, video, películas)

Quería contestar "in-line" en los comentarios, pero es difícil que Sandro vaya a mantenerse al día esperando contínuamente a que le responda allí, y por eso he preferido contestar con un post "dedicado".

La verdad es que "implantaciones" de CobiT completas no tengo el gusto de conocer (¿alguien que quiera servir de referencia y me la muestra?).

La idea con CobiT es más utilizarlo como herramienta de trabajo, moldeando las partes que te interesan y desechando aquellas que no te interesan, de tal forma que al final acabas montando tu propio esquema de control, pero usando CobiT como guía o referencia.

Por ejemplo, simplemente hazte unas pocas preguntas: ¿Realmente te dispones a implementar todos los procesos de CobiT de una tacada? ¿A qué nivel de madurez pretendes llegar en cada uno de ellos? ¿Sin modificar nada?

Ahora bien, si quieres casos de estudio sobre compañias que han utilizado CobiT para implantar planes de auditoría, directrices de Gobierno de las TIC, reducción o cotrol de riesgos, etc... entonces puedes visitar la web de la ISACA donde publican periódicamente casos de estudio.

Por último, comentar que respuestas de este estilo te las vas a encontrar continuamente, porque CobiT no es como una ISO que haya que implantarla "tal y como dictan las normas", ni como ITIL que, al fin y al cabo, es una colección de recomendaciones. La respuesta habitual es "es que CobiT es un framework y por lo tanto es sólo una guía".

Para mi, CobiT es una navaja suiza: muchísimos gadgets a utilizar por diferentes roles o perfiles de gente para hacer diferentes cosas.

¡Espero haberte ayudado!

PS:: Espero que nos cuentes a todos (como comentarios en este blog o como artículos en el tuyo propio) cómo te va en tu aventura cobitera!

Etiquetas: , ,
2 comentarios

¡Ya tenemos fecha!

Bueno, ahora ya es oficial: los cinco libros que forman el núcleo de ITIL V.3 tienen fecha de publicación: el miércoles 30 de Mayo de 2007 estarán en el mercado (inicialmente en Inglés), aunque al parecer se podrán comenzar a realizar los pedidos a partir de mañana mismo, tal y como informa la OGC en su website Best Management Practice .

Según se informaba en la última publicaciónn de las Newsletter, a partir de esta fecha comenzará, de inmediato, el proceso de traducción a diferentes idiomas, entre los que figurará el castellano.

Etiquetas: ,
0 comentarios

6 de febrero de 2007

AS 8015-2005: Corporate Governance of ICT

En la presentación que hizo Jan Van Bon durante el evento del itSMF el pasado Noviembre, hizo mucho hincapié en que tuviesemos un ojo puesto en este estándard, ya que está en fast-track para convertirse en ISO y puede significar una ISO sobre Gobierno (corporativo) de las TIC en un plazo relativamente breve.

Lo primero fue encontrar algo de información sobre este estándar de las antípodas, así que me armé de Google y encontré los siguientes enlaces interesantes:

http://www.ramin.com.au/itgovernance/as8015.html

http://www.usq.edu.au/resources/as8015corporategovernanceofict.pdf

http://goanna.cs.rmit.edu.au/~keithf/Managing%20the%20risks%20of%20ICT%20Governance.pdf

Después de leer un rato, aquí van mis impresiones al respecto:

VOCABULARIO

Lo primero que me llamó la atención fue el apartado de definiciones, en las que aparece una definición de Gobierno de las TIC interesante:

El sistema mediante el cual se dirige y controla el uso actual y futuro de las TIC. Incluye la evaluación y la dirección de planes para el uso de las TIC en el soporte a la organización y la monitorización de este uso para el cumplimiento de los planes, así como la definición de estrategias y políticas relativas al uso de las TIC en la organización

Me gusta especialmente la primera frase como definición de IT Governance, más que la enrevesada y difícilmente comprensible definición que da COBIT.

PRINCIPIOS

Este estándard incluye la definición de "los 6 principios del buen gobierno de las TIC":

  1. Establecer responsabilidades en el ámbito de las TIC y que éstas sean claramente entendidas y asumidas.
  2. Planificar las TIC de forma que soporten de la mejor manera posible las necesidades de la organización.
  3. Adquirir las TIC de una forma válida.
  4. Asegurar un correcto rendimiento, según requerimientos de la organización.
  5. Asegurar el cumplimiento.
  6. Asegurar que las TIC respetan los factores humanos.

MODELO

Establece un modelo para el Gobierno orientado a tres tareas principales:

  1. Evaluar el uso de las TIC
  2. Dirigir la preparación e implementación de planes y políticas
  3. Monitorizar el cumplimiento de la dirección.

¿Se acuerdan del modelo de Governance propuesto por COBIT? Básicamente plantea las actividades de establecer objetivos, comparar resultados, proporcionar dirección y medir rendimiento... un modelo similar, pero más ampliado que el que propone el estándard australiano.


Imagen propiedad de ISACA

MATRIZ DE ACTIVIDADES

Por último nos plantean una matriz de actividades donde se cruzan los 6 principios con las 3 actividades, de tal forma que dan una pincelada de tareas a realizar para, por ejemplo, evaluar el establecimiento de responsabilidades, dirigir el establecimiento de responsabilidades y monitorizar el establecimiento de responsabilidades.

CONCLUSIONES

Personalmente, como estándard me ha parecido un poco flojo, y creo que tendrá que llenarse mucho de contenido para realmente aportar más que COBIT. De todas formas, hace un enfoque interesante (una vez más, la sutileza en el uso de las palabras):

En todo el texto, en las definiciones usadas, en la definición de ámbito, en los principios, se utiliza el concepto de uso de las TIC, así como la coletilla en el título que dice Corporate Governance: estamos hablando de un estándard que piensa más en cómo las organizaciones usan las TIC que en cómo los departamentos de IT las gobiernan o gestionan.

Esta es la variación importante, lo que hace este estándard diferente y el motivo por el que Jan Van Bon nos recomendaba el tenerlo en el punto de mira, y para muestra un pequeño extracto del capítulo de ámbito del estándard:

Este estándard proporciona guías y principios para los Directores de las organizaciones [...] para el uso efectivo, eficiente y aceptable de las TIC en su organización.

Aquí está la clave.

Etiquetas: ,
4 comentarios
Suscribirse a: Entradas (Atom)