5 pasos para proteger dispositivos móviles todo el tiempo, en todo lugar

No debería hacer falta sufrir un ataque para empujar a los usuarios y las organizaciones a garantizar la seguridad de sus dispositivos móviles. Los ciber-criminales vienen en todas las formas y tamaños, por lo que asegurar sistemas móviles es simplemente lo hay que hacer. Los ataques contra activos de información (de gobierno, corporativa o personal) han estado ocurriendo por algún tiempo, pero muchos usuarios y organizaciones han ignorado claramente las recomendaciones para proteger dispositivos móviles, exponiéndose a sí mismos, a su negocio, a sus clientes y a sus empleados.

Los dispositivos móviles en las manos de trabajadores móviles están expuestos a una variedad de amenazas, a saber:

Las redes de los hoteles suelen estar ampliamente abiertas a escuchas por parte de criminales u otros huéspedes. Esto es porque todos los paquetes para un conjunto de habitaciones, un piso, varios pisos, o incluso todo el hotel, están a la vista de todos los sistemas en la red. Los paquetes desprotegidos son los principales objetivos de captura, análisis y extracción de datos.

La conexión a redes wireless públicas no encriptadas de un hotel, enviar información sensible al éter, es un problema muy conocido.

La configuración inapropiada de firewalls, o la falta total de un perímetro de seguridad para el dispositivo de usuario final, le permite a cualquiera, en cualquier momento y en cualquier lugar, usar redes públicas para examinar en detalle información privada en laptops, smartphones o PDAs.

Algunos dispositivos robados o perdidos que no están encriptados son un cofre del tesoro de información, incluyendo passwords, información sobre clientes y empleados, y datos de la identidad del usuario. Una vez más, ésta no es una lista complete de vectores potenciales de ataque, pero una atención apropiada a estos cuatro incidentes reduce el riesgo a un nivel razonable y apropiado. Los siguientes pasos son un buen comienzo para la prevención del robo de información o ataque a los sistemas:

Almacenar solo lo absolutamente necesario. Esta es la primera regla de la protección contra la filtración de información. ¿Por qué andar llevando información sobre nuestros clientes, datos financieros o planes para un Nuevo producto/servicio si no los necesitamos fuera de la oficina? La información que está ausente no puede ser comprometida.

Proteger los datos que pasan por redes públicas. La mejor manera de prevenir el espionaje de paquetes, casual o dirigido, en redes públicas es encriptar dichos paquetes o la sesión, incluso si la encripción se limita solo al tráfico entre el dispositivo del usuario final y un proveedor de servicios de encripción del tráfico en Internet. Para una mayor protección, usar solo conexiones SSL para revisar e-mail o acceder a la información corporativa. Cuando esto no es posible, los servicios online, tanto gratuitos como tarifados, pueden llenar el hueco. Dos ejemplos son MegaProxy (tarifado) y AnchorFree (gratuito).

Configurar los dispositivos para bloquear el espionaje externo. El primer paso para establecer un perímetro de seguridad alrededor de un dispositivo es la configuración de un firewall. Los firewalls personales gratuitos que vienen con Windows XP o Vista son soluciones que brindan protección mínima contra intrusos que quieran comprometer la seguridad de las laptops. Una protección más completa se puede obtener de las Suites de seguridad como la de AVG, McAfee o Symantec. Los firewalls también están disponibles para muchos dispositivos handheld, protegiendo las listas de contactos, el e-mail y otra información sensible que comúnmente se encuentra en PDAs y smartphones. El segundo paso es configurar Bluetooth, en laptops y handhelds, para bloquear todos los accesos no autorizados. Ninguna laptop debería ser expuesta innecesariamente por falta de una protección anti-malware.

Encriptar la información sensible en el dispositivo. Aunque parezca una obviedad, los reportes de robo de laptops dejan claro que muchos usuarios y organizaciones no han entendido el mensaje. Hacer backup de la información crítica. Toda la información crítica para el negocio debería ser copiada a un sitio alternativo. Incluso los usuarios móviles que no se conecten a la red corporativa todos los días pueden ser protegidos de la pérdida de datos con soluciones online.

Por último, pero no por eso menos importante, hay que aplicar prácticas estándares de hardening de sistema—parchear, cerrar todos los servicios innecesarios, etc. Además de seguir las mejores prácticas de Microsoft, considerar implementar algunas o todas de las recomendaciones y lineamientos modelo de configuración del NIST (National Institute of Standards and Technology).

El nuevo poder de los profesionales IT

Apuesto que pocos ejecutivos tienen idea del poder que profesional IT cualquiera puede tener hoy. Dado que la mayoría de los empleados piensa que el departamento IT es aquél al que se llama cuando no pueden acceder a los archivos o cuando la PC está lenta, es bastante desconcertante para ellos descubrir que, según su posición en la compañía, los profesionales IT están muy cerca de tener la llave del reino. Los medios, por su parte, están alimentando este nuevo miedo en los corazones de los ejecutivos corporativos de todos lados.

Una historia del Globe and Mail trajo a la luz algunos casos recientes de profesionales IT disgustados que hicieron estragos a sus empleadores. Una de estas historias es la del ingeniero australiano que fue sentenciado a dos años de prisión por hackear un sistema de recolección de basura provocando que millones de litros de of aguas negras sin tratar fueran arrojadas a ríos y parques. También la de Roger Duronio quien fue encontrado culpable de sabotaje informático y fraude a la seguridad por crear una bomba lógica que derribó 2000 servidores de UBS PaineWebber. Por último, la historia de Alan Giang Tran quien, luego de ser despedido de su trabajo en una compañía de limusinas de aeropuerto, hackeó la red de su anterior empleador y borró la base de datos de clientes. Es sabido que los líderes corporativos están comenzando a establecer políticas para protegerse de cualquier tipo de represalia como estas. Existen un par de razones por las que tales políticas pueden considerarse una pérdida de tiempo. Una es que dichos ejecutivos no entienden lo suficiente de IT como para saber cómo formular una política restrictiva de estas actividades o accesos. La segunda, si uno piensa en todas las oportunidades que IT tiene para manipular o destruir datos o cortar redes, es bastante sorprendente que ocurra tan poco. Por lo que se podría estar cayendo una vez más en el error recurrente de invertir tiempo valioso en la creación políticas para algo que ocurre como mucho el 1% de las veces. Esto nos lleva a hacernos una pregunta: como profesionales IT, ¿tenemos el poder para paralizar la empresa para la que trabajamos? ¿Por qué algunas personas toman ventaja de este poder y la mayoría no lo hace?

Estrategia: Un plan de 100 días para el nuevo CIO

Cuando un nuevo comienza en una organización, inmediatamente tiene que aprovechar el primer impulso y empezar a construir credibilidad. La comunidad de negocios, los ejecutivos senior y la organización IT en sí misma tienen altas expectativas, por lo que comenzar con el pie derecho es crítico para lidiar con las primeras impresiones. Una forma efectiva para tener éxito perdurable es crear un “Plan para los primeros 100 días.”

NO HAY SEGUNDAS OPORTUNIDADES PARA LA PRIMERA IMPRESIÓN

Los CIOs se enfrentan con diversos desafíos cuando recién comienzan. Necesitan manejar las percepciones, las expectativas y las prioridades pendientes del negocio; y además, comprender la condición actual de las finanzas y recursos humanos de IT. La ventana de tiempo para analizar lo que se necesita hacer es muy estrecha durante los primeros días, y la alta gerencia siempre está impaciente por percibir signos visibles de acción en el nuevo liderazgo IT. Enfrentado con estos desafíos, el nuevo CIO necesita determinar los pasos a seguir en el corto plazo para aprovechar el impulso inicial, traducirlo en un plan, y obtener consenso entre todos los ejecutivos para la poder emprender rápidamente las acciones. La continua revisión del progreso del Plan de 100 Días se puede aprovechar como un foro para discutir con los ejecutivos del negocio sobre el futuro en el largo plazo. De este modo, las primeras conversaciones no girarán en torno de las relaciones entre departamentos, la gobernabilidad y el rol del CIO, sino de la estrategia, el valor y el apalancamiento de IT.

COMO PREPARAR EL PLAN DE 100 DÍAS

Para crear y evolucionar un Plan de 100 Días el nuevo CIO debe reunirse con todos los partícipes claves (internos y externos) de las distintas áreas. Para preparar estas reuniones se debe previamente:

- Construir la agenda para el Plan. Como primer paso, antes de establecer diálogo con los ejecutivos, el CIO debe delinear un modelo del plan a corto plazo que tenga sentido para ellos. Como un plan del plan, este marco de referencia esquematiza los tópicos de acción a alto nivel y conforma la base del diálogo para las primeras reuniones. También establece los indicadores con los que se medirá el logro para el Plan de 100 Días de acuerdo a la visión y objetivos de los ejecutivos del negocio.

- Asegurar que las suposiciones del CIO sean claras y válidas. El CIO encara su rol con un conjunto de preconceptos sobre dónde se encuentra IT y hacia dónde debe dirigirse en la empresa. Confirmar estas suposiciones con los ejecutivos evita las sorpresas durante la ejecución del Plan de 100 Días.

- Establecer un marco de referencia de los problemas y oportunidades actuales. La comunidad de negocios tiene percepciones de qué se necesita mejorar en IT y en dónde IT puede tener impacto. Esto debe ser articulado en el plan como ítems de acción. La nueva organización IT en sí misma tiene que comprar y contribuir al plan – ellos, junto al CIO, son una significativa fuente de conocimiento sobre los desafíos a enfrentar y las oportunidades a identificar para incorporar al plan.

ALGUNAS RECOMENDACIONES

Un CIO que desea tener un primer impulso durable debería:

- Hacer que sus pares del negocio sepan que los está escuchando. Cuando se está tomando el control de una organización IT, se debe empezar con el pie derecho con los pares del negocio. Hay que averiguar en dónde les aprieta el zapato y qué frustraciones tuvieron con el líder IT anterior o qué expectativas tienen ahora, porque el CIO también tendrá solicitudes hacia ellos – que pueden ir desde mayor involucramiento en la gobernabilidad IT hasta pedir paciencia si se está enfrentando un cambio radical en la organización.

- Establecer su estilo de liderazgo lo antes posible. El Plan de 100 Días sirve para ajustar el equilibrio entre gobernabilidad, mandato y autoridad para alinearlo con el estilo de liderazgo prevaleciente y con la cultura corporativa. Deberá convencer a los colegas del negocio de que su punto de vista tiene sentido en términos de la contribución de IT al negocio. Este tipo de compromiso genera fuertes adeptos y desalienta las continuas disputas territoriales.

La forma en que el nuevo CIO capitaliza sus primeros 100 días es crucial. Se sientan los precedentes y, si el CIO ha pasado mucho tiempo enfocado hacia adentro, o parece estar operando sin una agenda clara, las primeras impresiones son muy difíciles de cambiar.

Compliance: ¿Por qué negarnos a la tercerización?

La escasez de profesionales de seguridad calificados y el creciente número de requerimientos de seguridad de las regulaciones mundiales están empujando a las organizaciones más allá de los límites de lo que pueden manejar. El equipo de seguridad de la organización IT se ve sometido a una creciente presión cuando intenta equilibrar los esfuerzos diarios por garantizar la seguridad con los requerimientos de auditoría. Entonces, ¿por qué no habríamos de tercerizar las tareas repetitivas de Compliance?

No se dedica el personal interno a tareas de Help Desk. Las solicitudes de soporte, tal como recuperación de passwords y creación de cuentas, se envían a una mesa de soporte tercerizada. Nuestro proveedor del servicio de Help Desk también maneja las bajas de cuentas y actividades de administración de cuentas a gran escala relacionadas con la distribución de nuevos sistemas. Por último, cualquier actividad repetitiva de control de acceso se contrata a recursos externos. Esto no significa que delegamos la responsabilidad. Con regularidad revisamos todos los procesos para garantizar que los resultados conformen nuestras políticas, estándares y lineamientos.

También tercerizamos la tediosa tarea agregar, correlacionar y dar sentido a los datos de logs, incluyendo los logs de los IDS/IPS y firewalls. Esto le permite a nuestros analistas enfocarse en tareas de seguridad de nivel más alto que requieren el conocimiento de la organización y su tecnología. Por lo tanto, sería lógico suponer que, para poder cumplir con los exigentes mandatos de las regulaciones, una práctica recomendable sería la de tercerizar aquellas tareas que cualquiera puede hacer y retener en la organización las tareas a las que el personal interno agrega valor. De este modo, los analistas de seguridad internos se pueden enfocar en la estrategia, el análisis, el diseño y la visión operativa usando recursos externos para delegar las crecientes actividades vinculadas a Compliance.

10 Tecnologías que los cyber-criminales adoran explotar

Los cyber-criminales pueden ir tras los usuarios en cualquier número de formas, y los resultados pueden ser devastadores. La siguiente lista es para compartir con los usuarios y ayudarlos a mantenerse en pie contra los ataques. Las nuevas tecnologías nos facilitan el trabajo, nos permiten comunicarnos y aprovechar el entretenimiento disponible en Internet. Pero muchas de estas mismas tecnologías también lo hacen más fácil para los cyber-criminales. Estamos hablando de hackers, spammers, scammers, phishers y otros tipos de criminales de Internet. En este artículo, revisaremos las 10 principales tecnologías online que ellos adoran explotar y veremos cómo podemos protegernos, tanto en el hogar como en el trabajo, cuando usamos estas tecnologías.

#1 Conectividad de Banda Ancha El acceso a Internet por banda ancha creció, en los hogares argentinos, un 82,4%, y actualmente son el 66% del total. La banda ancha tiene muchas ventajas para los usuarios, incluyendo alta velocidad a un costo relativamente bajo y la naturaleza “siempre conectada” que elimina la necesidad de loguearse al ISP cada vez que se desea acceder a los recursos en Internet. Pero estas mismas características también la hacen perfecta para ser explotada por los hackers. El tener la computadora conectada a Internet 24x7 significa que los cyber-criminales tienen una ventana de oportunidad mucho más amplia para obtener acceso y robar datos, voltear la computadora, o hacer cualquier otro tipo de daño. A su vez, la alta velocidad de las nuevas tecnologías de acceso (por ejemplo, Fibertel está ofreciendo planes de hasta 10Mbps) implica que archivos maliciosos mucho más grandes puedan descargarse ahora a las máquinas en solo segundos.

#2 Redes Wi-Fi Otra tecnología que se ha vuelto increíblemente popular es el Wi-Fi, o redes wireless 802.11. Con creciente frecuencia, tanto las redes hogareñas como de oficinas, están siendo conectadas por tecnologías wireless en vez de cables Ethernet, y los hotspots Wi-Fi proliferan en lugares públicos como confiterías, aeropuertos y hoteles. El Wi-Fi ofrece máxima conveniencia porque uno se mueve mover por la ciudad y seguir conectado, pero también lo hace más conveniente para que un criminal se meta en una red y sistemas privados sin ser notado, dado que cualquiera con una laptop habilitada para wireless dentro de un rango puede interceptar las señales. A diferencia de sus predecesores, los nuevos dispositivos de acceso wireless usan encripción por defecto; pero es necesario revisar y asegurarse de que se está utilizando la encripción más segura, tal como WPA/WPA2/802.11i antes que WEP, la cual es fácil de craquear. También debería usarse encripción fuerte para las aplicaciones que se ejecutan sobre una red wireless (por ejemplo, SSH y TLS/HTTPS). Se puede usar VPN (red privada virtual) o IPsec para encriptar el tráfico que viaja sobre una LAN wireless, y se debería crear un segmento de red separado para las comunicaciones wireless si también hay una LAN física.

#3 Medios removibles Los discos floppy (disquettes) han sido prácticamente reemplazados por las lectoras/grabadoras de CD/DVD, las lectoras de tarjetas flash y los discos USB; pero en cualquier forma que sea, los cyber-criminales adoran a los medios removibles. Si pueden obtener acceso físico a una computadora, puede copiar y remover archivos rápida y fácilmente sin que nadie se percate. Los medios removibles también pueden provocar un riesgo de seguridad porque es fácil perder discos, pen drives, tarjetas flash y otros por el estilo. Se puede utilizar la Política de Grupos en Vista o editar el registro en XP para deshabilitar el uso de dispositivos USB. También se puede obtener software de terceros que bloqueará el uso de cualquier dispositivo I/O a través de los puertos USB y IEEE1394 o usando conexiones wireless BlueTooth. Si a uno le preocupa que se pierdan o roben datos a través de los discos removibles o tarjetas, se puede encriptar los datos para poder seguir trabajando con ellos en diferentes computadoras pero que un ladrón no pueda hacerlo.

#4 La Web La Web difícilmente siga siendo una “nueva” tecnología, pero sigue siendo una de las favoritas de los cyber-criminales porque casi todos los que se conectan a Internet usan un navegador Web. Allá cuando la Web estaba basada en texto, navegar era una actividad bastante segura, pero hoy se espera que las páginas web hagan mucho más, y muchas ejecutan programas, tal como Java scripts y controles Active-X, para darle a los usuarios una experiencia multimedia mucho más rica. El problema es que los atacantes pueden usar estas capacidades del navegador para correr sus propios programas maliciosos en nuestras computadoras. No hay que engañarse pensando que porque se utiliza un navegador particular se está seguro. Todos los navegadores populares tienen vulnerabilidades y éstas pueden ser explotadas. Lo más importante es la configuración del navegador. Si se deshabilita Java script y Active-X para la mayoría de los sitios, será más difícil para los atacantes obtener acceso a la máquina a través del navegador (pero esto también impide ver correctamente algunos sitios). También es importante instalar las actualizaciones de seguridad que se liberen para el navegador.

#5 E-mail y mensajería instantánea El uso del e-mail se está volviendo obligatorio. Prácticamente todo el mundo tiene una o más direcciones de correo, y es una de las formas de comunicación más convenientes. Es casi tan inmediato como el teléfono o la mensajería instantánea sin la presión de responder en tiempo real a menos que se desee. Desafortunadamente, el e-mail también posee algunas características que lo hacen atractivo para los criminales, que pueden enviar correo con la dirección de remitente cambiada para que sea difícil o imposible descubrir el verdadero origen de los mensajes. Así, pueden salirse con la suya enviando spam, phishing, amenazas, pornografía infantil, y otro tipo de correspondencia ilegal. Los programas de mensajería instantánea también pueden representar una amenaza. Como con el e-mail, los IMers pueden pretender ser otra persona, y la mayoría de los programas de IM ahora soportar transferencia de archivos, lo que les da a los criminales una forma de descargar software malicioso a nuestras máquinas. Las tecnologías para autenticar la identidad de quien envía un e-mail, tales como Sender ID de Microsoft y la más genérica SPF, pueden resolver el problema del spoofing; pero solo si las usan todos los dueños de dominios de e-mail. Mientras tanto, uno puede protegerse con software de filtrado de spam que permita crear una lista blanca o de remitentes seguros y siguiendo la buena práctica de no hacer clic en hyperlinks en el e-mail, viendo el correo solamente en formato de texto (no correo HTML), y evitando involucrarse en conversaciones por IM o intercambio de archivos con desconocidos.

#6 Comunicaciones unificadas Las comunicaciones unificadas (UC) son una tendencia popular en el espacio corporativo, y las empresas están encontrando muchas ventajas en combinar sus aplicaciones de e-mail, telefonía, IM y conferencia para que estos programas interactúen entre sí. A media que la voz sobre IP (VoIP) lentamente va reemplazando los servicios tradicionales de telefonía, todas estas tecnologías de comunicación pueden ejecutarse sobre la misma red. Sin embargo, esto también implica que ahora las llamadas telefónicas sean sujeto de algunas de las mismas amenazas a las que los datos siempre han sido vulnerables: los paquetes de VoIP pueden ser interceptados, o incluso modificados, en tránsito tal como cualquier otro tráfico de datos. Para protegerse en el mundo unificado, hay que usar encripción para mantener la confidencialidad de los datos importantes, ya sean texto, voz u otros. También hay que asegurarse de que el software UC se actualice regularmente (junto con el sistema operativo subyacente) y usar autenticación para verificar el origen de los mensajes y la integridad de los mensajes.

#7 Programas peer-to-peer (P2P) El medio más popular de intercambio rápido de grandes archivos a través de Internet es la utilización de software y redes P2P, tales como BitTorrent, KaZaA, Gnutella y Napster. Las personas los usan para compartir música y películas violando las leyes de propiedad intelectual, pero también con propósitos legítimos, tal como distribuir sus propias películas y fotografías personales. Se estima que se comparten en redes P2P miles de millones de canciones al año. Los criminales adoran las redes P2P porque pueden cambiar el nombre de los archivos que comparten y hacer que la gente descargue malware (tal como un programa que permita al criminal tomar control de la máquina) inadvertidamente mientras cree que está bajando una canción. Dado que la mayoría de estas redes también intenta proteger el anonimato de sus usuarios, los criminales tienen poco riesgo de ser detectados. La mejor manera de protegerse contra los peligros de las aplicaciones P2P es directamente no usarlas.

#8 E-commerce y banca online Cada vez más personas están haciendo negocios a través de Internet. Es conveniente para comprar lo que necesitamos desde la comodidad del hogar y hacer que nos lo envíen y para pagar cuentas y transferir dinero entre nuestras cuentas sin tener que ir al banco. Los criminales adoran esta tendencia, porque les da más oportunidades de hacerse del dinero ajeno. Los criminales pueden interceptar la información a medida que viaja a través de la red, irrumpir en las bases de datos online de los comercios o instituciones financieras para robar información, o establecer sus propios sitios falsos de e-commerce y engañar a las personas para que les den sus números de tarjeta de crédito y otra información bajo el pretexto de venderles alguna cosa. Para protegernos cuando compramos o hacemos transacciones online, hay que hacer negocios solamente con sitios reconocidos y asegurarse de que el tráfico Web está siendo encriptado (el navegador indica cuando un sitio es seguro). También es importante navegar directamente a estos sitios, no hacer clic en el link que está en un e-mail para dirigirse al sitio. Otra buena práctica es no guardar la información sobre la tarjeta de crédito en los sitios Web, sino tipearla cada vez que se necesite. Por último, revisar bien los resúmenes del banco y reportar inmediatamente cualquier actividad sospechosa o no autorizada.

#9 Movilidad La informática se está volviendo cada vez más móvil, y los dispositivos que van desde pequeños teléfonos PDA a laptops de gran porte están siendo usados para almacenar datos importantes y conectarse al hogar y a las redes corporativas. Por su movilidad, sin embargo, estos dispositivos pueden perderse o ser robados fácilmente, y los datos se van con ellos. Si el dispositivo contiene información personal, uno podría ser sujeto del robo de identidad. Si contiene información sobre clientes de nuestra empresa, se podría poner en riesgo a dichos clientes y posiblemente la empresa violaría regulaciones de la industria o del gobierno. Por suerte, hay varias formas de protegerse contra estas amenazas. Hoy, muchas computadoras portátiles vienen con TPMs (Trusted Platform Modules) incluidos, que son chips criptográficos que trabajan con tecnologías de software tales como BitLocker de Microsoft (incluido en algunas ediciones de Vista y Server 2008) para encriptar el disco y evitar que un ladrón pueda loguearse o acceder a ningún archivo. Cada vez más laptops están incluyendo software de reconocimiento de huella digital y otras medidas adicionales de seguridad. También se puede instalar software de rastreo que hace que la laptop “llame a casa” cuando se la conecta a Internet si no se ingresa la password correcta. Muchos teléfonos PDA brindan protección de password y se pueden comprar programas de terceros para encriptar los datos en el teléfono. Las últimas versiones de Windows Mobile permiten encriptar la información en la tarjeta de almacenamiento sin requerir otro programa, y también borrar remotamente el dispositivo y la tarjeta.

#10 Conectividad universal Muy relacionado con la movilidad está la conectividad universal. Estamos poniendo online no solo nuestras computadoras, sino toda nuestra vida. Ahora hay electrodomésticos que se pueden conectar a Internet, equipamientos de piscina y spa a los que se puede acceder online, y mucho más. Muchas personas tienen cámaras de vigilancia con servidores Web integrados, que podemos monitorear desde cualquier lugar en el mundo mientras tengamos una conexión a Internet. Toda esta conectividad es genial, pero abre caminos para que los criminales puedan invadir nuestros hogares sin siquiera poner un pie adentro. Hay otra forma en la que ponemos nuestra vida online. Tenemos sitios Web y Blogs personales, cuentas de MySpace o, Second Lives, y otros medios por los que revelamos mucho más sobre nosotros mismos que lo que nos damos cuenta. Los criminales adoran estas herramientas de redes sociales porque les facilita la elección de víctimas y les permite conocer más sobre ellas, sin ser vistos.

Precauciones razonables Entonces, ¿cuál es la solución? ¿Deberíamos desconectarnos de la red global, borrar nuestra presencia de la Web y escondernos en nuestra habitación? Incluso si esto fuera posible (y no lo es), el remedio sería peor que la enfermedad. En el mundo actual, es cada vez más difícil funcionar sin tecnología, y una vez que nos conectamos y la información se encuentra “ahí afuera”, no hay vuelta atrás. La clave es una mayor conciencia y vigilancia constante. Usar el sentido común, tal como se hace en el mundo real. No confiar automáticamente en extraños. No deambular por lugares (ya sean virtuales o físicos) en donde el terreno no es familiar. No divulgar información sensible, tal como el número de tarjeta de crédito o de cuenta bancaria, el DNI, o la fecha de nacimiento, que pueda ser utilizada para robar nuestra identidad. La mayoría de los cyber-criminales son como el resto de los predadores: Van por las presas fáciles. Tomando algunas precauciones, se pueden seguir usando las tecnologías que ellos explotan (mientras se usen inteligentemente) sin volverse una víctima.

Gadgets: 4 Upgrades que transformarán a tu iPhone 3G en un dispositivo corporativo

3G puede ser la función que define el nombre de la segunda generación del iPhone, pero las nuevas funciones que tendrán el mayor impacto sobre la tasa de adopción de este Smartphone son las siguientes cuatro que lo transforman en un dispositivo apto para los negocios. Prácticamente desde que se lanzó el iPhone original, comenzó la expectativa por saber cuándo se lanzaría la segunda generación del producto, que superara las falencias más desventajosas del teléfono: la falta de conectividad 3G y las funciones faltantes para los empleados corporativos. Más allá de la nueva capacidad 3G que ha sido incorporada a la segunda generación del iPhone, existen cuatro upgrades que Apple hizo para iPhone 2.0 en orden de hacerlo más útil para los empleados corporativos y más aceptables para los departamentos IT.

#1 Soporte de Exchange Cuando los usuarios corporativos piensan en un smartphone, la mayoría piensa en un dispositivo que pueden usar para revisar los e-mails del trabajo. Esto generalmente significa que se conecte al servidor Microsoft Exchange, dado que Exchange tiene más del 60% de participación en el mercado de e-mail corporativo. Por lo tanto, para que el iPhone se convierta en un dispositivo masivo en el mercado de usuarios corporativos definitivamente tiene que tener soporte para empujar el correo desde Exchange. Dicho soporte estuvo ausente del iPhone 1.0, pero es una de las funciones principales del nuevo iPhone 3G. Afortunadamente, Apple también prometió una actualización de software que permitirá que el iPhone original se beneficie de las mismas innovaciones de software que están siendo lanzadas con el iPhone 3G, incluyendo la funcionalidad Exchange ActiveSync.

#2 Seguridad de nivel corporativo Para poder cumplir con las necesidades de seguridad que los departamentos IT demandan para el uso de smartphones, Apple mejoró la seguridad de los iPhones con soporte para una diversidad de nuevas funciones incluyendo barrido remoto, time-out por inactividad, aplicación de password, políticas fuertes de password, software de cliente VPN (L2TP, IPSec, PPTP, y Cisco VPN), WPA2 Enterprise (además de otros estándares WEP y WPA), y autenticación 802.11x.

#3 Aplicaciones a medida El iPhone original tenía una plataforma completamente cerrada. Las únicas aplicaciones permitidas en el dispositivo eran las que ponía Apple. Con iPhone 2.0, Apple relajó tal restricción considerablemente con el lanzamiento de su iPhone software developer kit (SDK); pero tampoco se transformó en un sistema completamente abierto. Apple controla la mayoría de las aplicaciones a través de su App Store. Sin embargo, Apple también abrió la puerta para que las empresas puedan construir e implementar sus propias aplicaciones a medida usando el iPhone Developer Program y la iPhone Configuration Utility. Para los departamentos IT, una de las principales desventajas del iPhone original era que los usuarios estaban obligados a tener iTunes (en vez de una aplicación corporativa autorizada) para sincronización con el escritorio y actualizaciones de software. Con el advenimiento de la iPhone Configuration Utility, éste ya no será el caso.

#4 Perfiles de configuración Para los departamentos IT que desean implementar iPhones a través de grandes grupos de empleados, Apple ahora ofrece perfiles de configuración para el iPhone. Estos archives XML se pueden usar para indicarle al iPhone cómo conectarse a los sistemas corporativos así como también para pre-configurarlo para Exchange, redes wireless, VPN, políticas de password, certificados, restricciones de aplicaciones y firmas electrónicas de los usuarios. iPhone Configuration Utility es la herramienta usada para crear los perfiles y, además se puede usar para implementar aplicaciones.

Si bien Apple merece crédito por poner al iPhone a tono con los requerimientos corporativos, una movida inteligente dado que un gran número de los fanáticos de iPhone son empleados corporativos, estos upgrades cubren lo mínimo requerido para la adopción de un Smartphone en una empresa. El iPhone todavía no tiene la seguridad robusta ni la amplia cantidad de aplicaciones de negocios que se pueden encontrar en BlackBerry, por ejemplo. Por lo tanto, no es esperable que el iPhone sea adoptado por entornos que requieren alta seguridad como el gobierno, salud o instituciones financieras, pero a partir de ahora será suficientemente bueno para otro tipo de empresas.

Los 10 mandamientos del Testing

Probar es esencial para garantizar que los sistemas funcionen según lo esperado; pero el proceso de testing puede resultar complejo y hasta abrumador. A continuación, revisaremos algunas estrategias de testing que ayudan a enfocarse en lo que es importante para que las instalaciones y upgrades marchen sin inconvenientes.

#1: Que el entorno de prueba represente al entorno real Tener un entorno de prueba que sea levemente distinto al entorno real no es efectivo. Un buen ejemplo para analizar es el de un dominio de Windows Active Directory. Un dominio con configuraciones de Políticas de Grupo altamente customizadas, con complejas configuraciones DNS, con múltiples dominios de confianza, con muchos miembros en los grupos y un gran número de objetos de cuentas, no va a ser representativo de un dominio separado que está vacío y no tiene una configuración real. La virtualización es una buena opción para este caso: se puede promover un domain controller en una máquina virtual, moverla a una red aislada para el testing y luego removerla del dominio de producción.

#2: Hacer que múltiples disciplinas del test lleguen al mismo resultado Al diseñar los pasos para una prueba, es necesario identificar los componentes que pueden ser testeados en dos formas distintas para llegar al mismo resultado. Por ejemplo, si se está considerando ir hacia una nueva versión de Windows Active Directory, se podrá hacer una restauración autoritativa de Active Directory por un lado, y una restauración del backup de sistema por el otro, para garantizar que ambas recuperen el sistema a un estado adecuado para trabajar. Esto puede ser beneficioso si, en el mundo real, fallara un mecanismo. Otra estrategia es hacer que una persona prepare el plan de pruebas y otra persona lo implemente, para garantizar que el plan sea claro y que nada se dé por garantizado o asumido en el testing.

#3: ¡Probar el rollback! Para los planes de testeo de un upgrade o la mejora de un sistema existente, debería probarse el proceso de reversión. Esto también se puede probar de múltiples maneras dependiendo del contexto del upgrade. Algunas estrategias incluyen remover un disco rígido en configuraciones RAID 1 (el disco rígido removido no tendría cambios), un full restore desde un backup, desinstalar funcionalidad del upgrade, backups de bases de datos, o simplemente usar equipamiento nuevo con el sistema actual apagado durante el upgrade.

#4: No proceder sin el testing Si surgen situaciones que interrumpen la fase de testeo, dejar en claro que el testing es una parte importante del proyecto total. Dependiendo de la situación, esto puede ser difícil de hacer entender o tener consecuencias políticas. Si otro tiene la potestad de decidir si se harán o no las pruebas, pero es uno quien tendrá responsabilidad en caso de fallas, es necesario alertar sobre esta situación.

#5: No olvidar el objetivo del testing: que no haya sorpresas en producción Las sorpresas son lo último que necesitamos en un entorno de producción. El testing profundo (representativo) ayuda a prevenir cualquier “experiencia de aprendizaje” cuando el nuevo sistema está en uso. Desde ya, el testing no puede ser 100% idéntico al entorno real, por lo que siempre existe el riesgo de que surja algún imprevisto. Por ejemplo, si se está probando una nueva versión de un software con un modelo de seguridad simple, como ser tener a todos los usuarios configurados con más permisos que los requeridos, cuando se vaya a producción se deberá ajustar el modelo de seguridad para que cumpla con los requerimientos operativos. Esto puede costar un tiempo valioso e introducir riesgos. Un testing profundo tendría un procedimiento documentado para la configuración de seguridad o scripts para configurar el sistema real tal como se usó en el entorno de prueba.

#6: Usar recursos pre-existentes y estándares de testeo Aunque no seamos testers certificados, igualmente debemos aprovechar los recursos existentes para ofrecer un testing confiable para nuestro entorno IT. Una rápida búsqueda en Internet de modelos de planes de testing puede ser útil. Si no se tienen requerimientos rígidos para el testing, existe libertad para el desarrollo del plan. Es necesario pensar bien el plan para que sea integral.

#7: No asumir nada Seguramente el testing brindará un buen ejercicio para las tareas rudimentarias asociadas con el entorno; pero algunas pequeñas piezas de funcionalidad pueden verse afectadas por el upgrade. Dependiendo del proyecto, esto puede incluir: opciones extra, cambios en los permisos y cambios en los archivos de logs. Esto puede ocurrir si se construye el monitoreo alrededor del comportamiento del archivo de logs de un sistema. Si hay un ligero cambio en la forma en la que se escribe el log después de un upgrade, el sistema de monitoreo puede requerir revisión. Siguiendo paso a paso, incluso las tareas elementales, se reduce el riesgo de que pequeños detalles obstaculicen el proyecto total.

#8: Usar la gestión de proyectos para coordinar el testing Contar con gestión del proyecto y con un sponsor gerencial le dará credibilidad al testing. Le permitirá a otras áreas en la organización entender que el testeo es esencial, y la gerencia tendrá una mejor comprensión de los pasos involucrados. Decir simplemente que se está probando la nueva versión de XYZ no resulta tan efectivo como involucrar a la gerencia en el plan del proyecto, compartiendo el estado del plan de pruebas, y colaborando en el testing con múltiples partes. Se debe garantizar que el documento de planificación del test esté disponible para que la gerencia del proyecto o el sponsor de la gerencia puedan ver continuamente el progreso; esto les permitirá tener una buena idea del trabajo y de los desafíos relacionados con el testing que se ha delineado.

#9: Garantizar que las fallas del test sean repetibles Prácticamente todo plan de test incurrirá en fallas. En los sistemas de prueba puede haber muchos administradores probando a la vez o cambiando la configuración, lo cual puede afectar las pruebas. Si ocurriera una falla durante el testing, se debe tomar nota e intentar repetirla. Luego, se deberá pedir a otros testers que realicen la prueba para ver si ellos también obtienen la falla. Si la falla es crítica al éxito general del proyecto, hay que involucrar recursos de soporte del producto para identificar el problema. Dependiendo del alcance de la falla, puede no hacer falta detener el proyecto total, y este proceso de identificación puede mantener las expectativas en línea hasta el estado final.

#10: Aferrarse al entorno de prueba Si se ha hecho todo el esfuerzo de crear un entorno de prueba completo, ¿por qué no aferrarse al mismo para seguir testeando en el futuro? Podría ser un entorno de prueba que se use para probar actualizaciones de versiones y cambios a la funcionalidad principal o para brindar entrenamiento. Solo hay que tener en cuenta las implicaciones de licenciamiento que puede tener un entorno de prueba de uso continuo.

Las Seis Leyes de Persuasión de las Negociaciones

Para obtener lo que uno desea en la vida, en el trabajo y en el juego, se requiere negociar constantemente con diversas personas. Esto involucra habilidades de comunicación básicas, tales como la capacidad de escuchar activamente, de observar la comunicación no verbal y tener un claro entendimiento de cuáles son los objetivos propios, así como también de los de la persona con la que estamos negociando. Ahora, para ser verdaderamente efectivos, es preciso poder comunicarse en una forma persuasiva durante el proceso de negociación.

Muchas situaciones a las que se enfrentan los gerentes y profesionales IT requieren de una negociación efectiva que conlleve a una solución mutuamente beneficiosa (win-win), incluyendo: 1. Responder a los pedidos de promociones, aumento de salario y otros, por parte de los miembros del staff IT (así como negociar los propios) 2. Negociar con proveedores para obtener los mejores productos, servicios y precios posibles 3. Convencer al equipo de hacer lo que uno desea que hagan (liderazgo). 4. Trabajar con clientes externos e internos en contratos (tales como Acuerdos de Nivel de Servicios) que brinden los servicios y equipamiento de calidad necesarios en una manera eficiente en el aprovechamiento de los recursos 5. Persuadir a los supervisores para adquirir equipamiento adicional, obtener aprobación de las propuestas de presupuesto, aceptar una nueva idea, etc.

Para tener éxito en estas instancias, se debe dominar el proceso de persuasión; lo que permite crear deliberadamente el cambio actitudinal y las acciones subsiguientes necesarias para persuadir a otros en la manera de pensar de uno. En otras palabras, hay que poder “vender” las ideas propias para poder hacer cambios en favor de uno proporcionando un acuerdo justo. Esto incluye un proceso que apele al intelecto usando criterios lógicos y objetivos, así como una metodología que comprometa positivamente las emociones de los negociadores. El resultado de una negociación exitosa es que todas las partes crean que han obtenido un buen negocio.

La persuasión es la capacidad de influenciar los pensamientos y las acciones de las personas a través de estrategias específicas. Para adquirir esta habilidad, primero hay que entender algunos principios básicos, llamados las Leyes de Persuasión. Estas seis leyes por sí mismas no son ni buenas ni malas, pero describen como la mayoría de las personas responden ante ciertas circunstancias. Entendiendo las leyes de persuasión una persona puede controlar en qué medida es influenciada por otros, así como también cómo usar a los otros a su beneficio durante las negociaciones.

Ley de Reciprocidad

Los seres humanos, en general, tratan de devolver la gentileza cuando alguien hace algo bueno por ellos. Si alguien nos da algo que queremos (o tal vez no “sabíamos” que lo queríamos), deseamos ser recíprocos porque nos sentimos obligados.

Ley de Compromiso y Consistencia

Las personas quieren ser consistentes en sus ideas, sentimientos y acciones (o al menos así lo aparentan). Una vez que se han mostrado a favor o en contra de una idea, las personas tienden a mantenerse firme en ella y se comportan en forma tal de justificar sus decisiones, incluso cuando son equivocadas. Si uno se compromete con una causa o un producto, aunque sea levemente, es más fácil ser convencido de aumentar ese compromiso en el futuro. Esto ocurre especialmente cuando el compromiso cambia en forma favorable la visión que uno tiene de sí mismo. Esta es la razón por la que los vendedores intentan hacer que los clientes acuerden con ellos múltiples veces. Una vez que logran que los clientes asientan varias veces, es casi imposible que digan que no cuando llega el momento de concretar la venta.

Ley de Empatía

Cuando nos gusta alguien, o creemos que esa persona es “igual a nosotros,” nos sentimos más inclinados a querer complacerla y, por lo tanto, a comprarle cualquier cosa que esté vendiendo. Así es como operan los vendedores exitosos; establecen empatía demostrando cuan similares son a sus potenciales clientes.

Ley de Escases

Si uno no está seguro de querer comprar algo, en el minuto en que ese producto se convierte en “el ultimo disponible” tendemos a pensar que lo necesitamos. Después de todo, el hecho de que sea el último debe indicar que otras personas están comprándolo, y es posible que no podamos conseguir otro rápidamente, o nunca, si mas tarde decidimos que lo queremos. Entonces apostamos a comprar un ítem popular que otros no podrán obtener. Al menos eso es lo que uno cree.

Ley de Autoridad

Esta es la ley que usa testimonios de “expertos” o el respaldo de celebridades para validar un producto. Cuando la gente que uno admira promociona un producto o servicio, tendemos a asumir que si es bueno para ellos, es bueno para nosotros. Si lo usamos, incluso podemos llegar a desarrollar características similares a las de nuestros héroes, tales como apariencia, fortuna o fama. Es la estrategia con la que cuentan los publicistas. Ley de Aprobación Social: ¿Por qué es que las comedias de televisión han usado reidores durante años? Los productores no los contratarían a menos que fueran realmente exitosos induciendo la risa de la audiencia y, en consecuencia, ratings más altos. Parte de la razón por la que uno se ríe, aun sin entender qué es lo gracioso, yace en cómo uno decide cuál es el comportamiento socialmente “correcto”. Si uno no sabe exactamente qué hacer, mira lo que hacen los demás para ver cuál es la forma de reaccionar apropiadamente. Uno cree que si otros están teniendo determinado comportamiento, debe ser porque es lo apropiado para hacer. Por lo tanto, uno se ríe a pesar de que nos parezca gracioso, o si nos dicen que “todo el mundo está comprando este producto o servicio,” incluso sin evidencia concreta, uno puede pensar que se está quedando afuera si no lo consigue para sí.

En cualquier negociación todas las partes deberían arribar a una conclusión que los haga sentir como que hicieron un buen negocio, especialmente si hay involucrada una relación continua. (Nota: un “buen negocio” no siempre es lo mismo para todos; los negociadores suelen tener diferentes criterios por los cuales juzgan el éxito de los resultados de su negociación.) Generalmente, cuando lidiamos con negociadores de los llamados “duros”, nos encontramos con tácticas de manipulación que se basan en las Leyes de Persuasión. Entonces, ¿cómo se puede negociar exitosamente con estas personas? Se puede empezar por discutir las reglas del juego. Cuando uno se da cuenta de que el otro está usando una o más de las Leyes de Persuasión, puede hacerlo notar directamente, o simplemente llevar la conversación a una solución más objetiva. La mejor prevención ante estas leyes es establecer condiciones previas que eclipsen las estrategias manipuladoras utilizando solamente principios lógicos como un proceso estándar en la negociación.

Dominar la persuasión suele ser la llave faltante para el éxito en el trabajo y en la vida personal. Si uno les da a las personas lo que desean a través de las Seis Leyes de Persuasión, probablemente tenderán a devolver el favor. Y cuando uno reconoce que está siendo manipulado, puede desalentar al otro en sus tácticas y aplicar una estrategia apropiada. Esto llevará a una forma más efectiva de alcanzar los objetivos de todas las partes de la negociación.

¿Cuál es la diferencia entre CIO y CTO?

Los roles de trabajo del CIO y del CTO frecuentemente se confunden, pero existen claras distinciones entre las dos posiciones en la mayoría de las grandes empresas. Los dos requieren distintos conjuntos de habilidades y están enfocados en diferentes objetivos. Cuando se habla sobre los roles de liderazgo IT y los planes de carrera IT, la pregunta que siempre surge es “Cual es la diferencia entre las posiciones de CIO y CTO?”

Para entender esta diferencia, veamos algunas de las características distintivas de estos dos roles:

Chief Information Officer - Es el número uno en la gestión de la infraestructura de tecnología para la organización - Ejecuta las operaciones IT internas de la organización - Trabaja para alinear los procesos de negocios con la tecnología - Se enfoca en el cliente interno (usuarios y unidades de negocio) - Administra la relación con los proveedores de soluciones de infraestructura - Alinea la infraestructura IT de la compañía con las prioridades del negocio - Desarrolla estrategias para aumentar la rentabilidad de la compañía - Debe ser un gerente habilidoso y organizado para tener éxito Chief Technology Officer - Es el principal arquitecto de tecnología de la organización - Gerencia al grupo de ingeniera de la organización - Usa la tecnología para mejorar las ofertas de producto de la compañía - Se enfoca en el cliente externo (compradores) - Administra la relación con los proveedores de soluciones para mejorar los productos de la compañía - Alinea la arquitectura de producto de la compañía con las prioridades del negocio - Desarrolla estrategias para aumentar las ventas de la compañía - Debe ser un tecnólogo creativo e innovador para tener éxito

Seguridad IT: ¿Qué pasa cuando la alta gerencia no se compromete?

A veces, no importa cuánto lo intentemos, simplemente no se puede lograr que la gerencia se comprometa. Tal vez no haya nada que se pueda hacer para que alta gerencia reconozca la importancia de una nueva iniciativa de seguridad en la organización, ni la importancia de mejorar las medidas de seguridad.

Es una queja muy común que, cuando se está trabajando en una iniciativa de Seguridad de la información, muchos de los departamentos afectados pueden estar interesados; pero la alta gerencia los cohíbe y la seguridad termina siendo rehén de las prioridades del negocio. En estos casos, todavía hay algo que se puede hacer. Qué hacer Asegurarse de que se documentan todas las comunicaciones con la alta gerencia, como estrategia para dar mayor respaldo a las iniciativas de Seguridad de la organización. Hay veces en que cubrirse uno en caso de desastres es la única opción posible. Esto a veces ocurre cuando, luego de un inmenso y largo esfuerzo para obtener apoyo para mejorar las medidas de seguridad, la gerencia se rehúsa a aprobar el presupuesto y quedamos expuestos al desastre. Cuando a uno no lo dejan hacer su trabajo, debe asegurarse de que tiene documentación de exactamente como ocurrió esto, para que cuando la situación se complique, no convertirse en el chivo expiatorio. Cuando uno se encuentra en esta situación límite, también hay que empezar a actualizar el curriculum. Cubrirse en caso de desastres no es una forma de desarrollo profesional; solo ayuda a mantener el trabajo actual si algo sale mal, y tampoco hay garantías de esto. Un resultado mucho más favorable seria encontrar un trabajo en donde no haga falta hacer esto. Seguir el camino en otro lado a veces es, de hecho, la única opción posible. Hay momentos en los que ninguna documentación puede salva nuestro trabajo. A veces, el solo hecho de intentar tomar buenas decisiones es lo que pone en juego el trabajo en primer lugar, simplemente porque no estamos de acuerdo con algo que se dijo más arriba. Que no hacer No conformarse y ponerse cómodo en un lugar en el que no se pueden implementar efectivamente mejores políticas. No existe la Seguridad ciento por ciento en el trabajo de seguridad, especialmente cuando la Seguridad IT no es tenida en cuenta, porque una solo falla catastrófica de la seguridad IT podría llevar a una restructuración o incluso al fin de la compañía. Si uno se vuelve complaciente en un lugar en el que la gerencia se rehúsa a considerar una buena práctica de seguridad, se corre sustancial riesgo de hundir la carrera. Si no se puede empujar efectivamente el cambio en la organización, debería empezar a buscarse una nueva organización. Algunas organizaciones simplemente no pueden salvarse. Mientras tanto, asegúrese de tener todo documentado.

Contratar personal IT: ¿habilidad técnica o actitud personal?

Contratar a la persona correcta para un trabajo es una de las decisiones más críticas que debe tomar un CIO. Una mala decisión de selección puede tomar años para corregir. ¿Que debería valorarse más: las habilidades o la actitud?

Para llenar una posición vacante hace falta mucho más que leer C.V.’s. El nuevo empleado a contratar debe adaptarse a la organización IT, a la compañía en general, y debe poseer las habilidades y el conocimiento necesarios para desempeñarse en el puesto de trabajo. Podemos arrepentirnos por años de un error en la selección de personal.

A veces, a través del proceso de revisión de C.V.’s y entrevista, elegimos a un persona para encabezar la lista de seleccionados. Dicha persona entiende el rol de IT en la organización, su experiencia es acorde a los requerimientos del puesto, y su pretensión salarial se encuentra dentro del presupuesto. Esta es la situación ideal.

Sin embargo, la situación más común es otra. Por ejemplo, puede haber un candidato con una carrera increíble, que acepta el salario ofrecido, pero su actitud no es muy buena y su capacidad para trabajar con personas es limitada. Por otra parte, otro candidato puede tener una gran actitud y trabajar bien con las personas, pero su experiencia no se equipara a la del primer candidato, aunque tenga el conocimiento suficiente como para salir adelante.

Al enfrentarnos con esta situación, la recomendación es rechazar al primer candidato. Las habilidades técnicas se pueden aprender, pero no se puede cambiar la actitud u otras habilidades interpersonales en el corto o mediano plazo. En el caso del segundo candidato, usando un periodo de prueba, se le podría dar a esa persona una oportunidad y ver si puede mejorar su desempeño rápidamente en las áreas en las que tiene deficiencias. Si no fuera capaz, o si sus competencias técnicas fueran demasiado débiles, la recomendación es volver a la fase de reclutamiento y comenzar el proceso nuevamente.

En la medida en que la persona tenga todas las habilidades técnicas o satisfaga lo suficiente los requisitos mínimos indispensables, si tiene una buena actitud, esa persona vale su peso en oro. Después de todo, las habilidades técnicas se pueden aprender.

Gajes del oficio: Técnico de Help Desk

Siempre es una emergencia: Ya sea un usuario sin acceso a e-mail o la caída de un domain controller, casi todo lo que hace el técnico de HD es una emergencia, para todos menos para él.

Todos los usuarios tienen un sobrino adolecente que sabe más que el técnico: Afortunadamente no le pasa lo mismo a los médicos, sino los pacientes le harían más caso al sobrino porque se sacó 10 en anatomía.

Siempre se está a un paso de la obsolescencia: Las certificaciones que costaron 10 mil dólares en entrenamiento y 1 año de preparación, acaban de expirar. Lo siento, hay que tomar nuevos cursos para mantenerse al día con las tecnologías y no perder el trabajo.

Las llamadas para soporte nunca terminan: A menos que el técnico haga un esfuerzo consciente por desconectarse del mundo, alguien, en algún lugar, inevitablemente le pedirá al técnico de HD que arregle su computadora; independientemente de que el técnico este creando una imagen de PC, almorzando, o visitando a la familia un fin de semana largo.

El momento de ITIL

ITIL (Information Technology Infrastructure Library) es un marco de referencia para los procesos de gestión de IT que existe desde hace aproximadamente 20 años; pero el interés en ITIL se ha incrementado durante los últimos 5 años. ITIL es la nueva palabra rimbombante de la industria y la nueva idea que el mundo IT siente que necesita. En esta nota, resumiremos los principales puntos a considerar sobre ITIL.

Origen de ITIL ITIL comenzó al final de los ’80 cuando la Agencia Central Británica de Computación y Telecomunicaciones decidió que debía haber una mejor manera de gestionar la Tecnología de la Información. La versión actual contiene 8 libros: • Soporte de servicios • Entrega de servicios • Perspectiva de negocios • Gestión de Infraestructura ICT • Gestión de Aplicaciones • Gestión de Seguridad • Planificación e implementación • Gestión de activos de software Dos de estos libros, Soporte de servicios y Entrega de servicios, son el corazón de ITIL y el foco de la motivación actual para la adopción de ITIL. Dado que ITIL tuvo su comienzo en el gobierno británico, la adopción de ITIL comenzó allí; y luego se propago rápidamente ámbito privado y siguió abriéndose camino por toda Europa y Canadá. Desde Canadá, ITIL finalmente se abrió camino a los Estados Unidos volviéndose en el nuevo gran tema de la industria IT.

¿Por qué ITIL es diferente? Durante años los profesionales de IT se involucraron en proyectos para mejorar la Tecnología de la Información tales como: Gestión de proyectos, Tableros de comando, ISO-9000 y Seis Sigma, entre otros. Todos estos programas brindan metodologías que pueden usarse para mejorar los procesos establecidos; pero orientan poco y nada sobre cuáles son los procesos requeridos para el buen funcionamiento de IT. ITIL, en cambio, orienta sobre el marco de referencia de procesos requeridos para ejecutar IT como un Negocio. Hay que tener en cuenta que es perfectamente posible adoptar ITIL al mismo tiempo que cualquiera de las metodologías de mejora de procesos antes mencionadas. No se trata de usar una u otra.

¿Cuál es el retorno de inversión esperado? La implementación de ITIL puede ser costosa, por lo tanto ¿dónde puede esperar una organización recuperar dichos costos? Una lista de beneficios debería incluir: - ITIL se ha vuelto la Buena Practica de facto para ejecutar IT. La amplia adopción de ITIL en una industria orientara sobre lo que funciona y lo que no. - ITIL trae consigo un diccionario común, un ítem que ha estado faltando en el mundo IT actual. - Una mejor gestión financiera de IT y una mayor alineación de los servicios de IT a las - necesidades generales de la organización. - Una mejor relación entre IT y la organización para la cual brinda servicios. - Una mejor utilización de la infraestructura IT. - Una mejor utilización del personal IT. - Una mejor reputación de IT dentro de la organización a la que brinda servicios.

Dificultades en la implementación de ITIL

La adopción de ITIL puede no resultar fácil ni corta ni económica. Una razón para que esto ocurra es que IT no suele ejecutarse como un negocio. IT tiene el hábito de operar como un grupo indispensable que puede usar recursos y brindar servicios según lo crea necesario. IT no tiene la práctica de gestionarse en base a necesidades del negocio.

El marco de referencia de ITIL se trata de los procesos, no de la organización. La mayoría de las organizaciones IT han se han pasado años dividiendo los recursos IT en torres de responsabilidad, hardware, software y personal. Derribar o redefinir estas torres para acelerar los procesos en el marco de referencia ITIL y asegurarse de que la información necesaria se transfiera entre los procesos, puede ser el mayor y más difícil desafío.

La implementación de ITIL no se puede realizar en seis meses. Pero se espera que la mayoría de los proyectos IT muestren resultados positivos importantes o incluso que se completen en ese tiempo. Los resultados de ITIL se miden antes en años que en meses.

Implementar ITIL también puede requerir nuevos recursos. La tecnología actual puede no ser capaz de soportar los procesos o la comunicación entre procesos requerida por ITIL. A pesar de que el marco de referencia ITIL se trata de los procesos, solo pueden trabajar eficientemente cuando se tienen las herramientas correctas para soportar tanto los procesos como el intercambio de datos entre procesos. Por donde comenzar. Usualmente se hacen dos preguntas: - ¿Intentamos hacer todo de una vez? - ¿Por dónde empezamos? La respuesta a la primera pregunta es “no.” Intentar hacer todo de una vez es demasiado difícil y aumenta la posibilidad de falla. La respuesta a la segunda pregunta depende de cada organización. ITIL brinda flexibilidad en su enfoque ya que no requiere una metodología específica. Un consejo común a todas las organizaciones es comenzar con los procesos actuales que mas coinciden con los procesos descriptos en los libros de ITIL (ya sea en Soporte del servicio o en Entrega del servicio). También es recomendable elegir uno que vaya a mostrar un resultado positivo rápidamente, para mantener la sinergia. ITIL provocará un gran cambio en la forma en la que se hacen negocios y los cambios en los procesos de negocios siempre son difíciles. Aunque la implementación de ITIL puede ser difícil, el verdadero valor as la adopción en el largo plazo de buenas prácticas que hayan mostrado un retorno de inversión positivo. ITIL construye una organización más fuerte que adapta el servicio provisto a las necesidades presentes y futuras del negocio y que brindan dicho servicio de forma costo-efectiva. Estas acciones mejoraran la posición de IT en relación al negocio, creando ventajas competitivas y nuevas oportunidades de negocios.

¿Cuáles son los pasos para empezar? Para la mayoría de las organizaciones, la educación o el entrenamiento, son el primer paso. ITIL trae consigo un diccionario común de terminología IT. Muchas compañías comienzas por requerir que la mayor parte de su equipo IT, o todo, tome una clase sobre la certificación en ITIL Foundations. Esta clase puede tener una duración de entre 2 y 3 días. Muchas compañías requieren que la clase incluye el examen de certificación. Este entrenamiento brinda un entendimiento común del marco de referencia ITIL y un lenguaje común para una discusión más precisa durante la implementación. Un segundo paso es designar a una persona como gerente del proyecto de adopción de ITIL. La adopción de ITIL se eleva al nivel de un proyecto importante que requiere supervisión formal. El gerente de proyecto debería ser un Certificado ITIL Service Manager o tener al menos un consultor que sea certificado. Se trata de un proyecto de largo plazo y debería hacerse todo el esfuerzo posible de mantener al mismo Service Manager Certificado para darle continuidad a la implementación de ITIL. Un tercer paso es más entrenamiento. A medida que se progresa en la implementación de cada uno de los 10 procesos ITIL, se puede asignar al gerente de cada proceso para que tome una clase especial para certificar como ITIL Practitioner que cubre el proceso para el que tiene responsabilidad. Un paso continuo es considerar si hay necesidad de nueva tecnología. Sin embargo, no debería considerarse nueva tecnología hasta que los procesos estén mejor definidos. Es importante recordar que la tecnología es solo un habilitador y no mejora un proceso débil.

Resumen Como profesionales de la industria IT, deberíamos pensar en agregar una o más certificaciones ITIL al curriculum vitae—porque ITIL estará en el futuro. Para quienes estén a punto de emprender el camino de la implementación ITIL, recuerden pensar y hablar sobre el largo plazo, porque el camino se mide en años, no en meses. ITIL as un Nuevo enfoque hacia la mejora continua. Parte de ITIL as la mejora constante en cada uno de los diez procesos ITIL y la comunicación entre procesos. Esta mejora constante tiene como objetivo brindar servicios IT de una forma más costo-efectiva y alinear mejor dichos servicios con las necesidades presentes y futuras del negocio. ITIL as un marco de referencia sobre cómo administrar IT como un negocio para el negocio. Como tal, el marco de referencia ITIL, no describe en términos absolutos como debería implementarse ninguno de los procesos ITIL. Dichos detalles son librados al implementador. Los objetivos e indicadores claves de desempeño para cada uno de los procesos están bien definidos, para que exista un mapa de ruta claramente definido para medir el éxito.

El legado de Bill

Le guste o no Bill Gates, no se puede negar su impacto en la propagación de la tecnología informática durante los últimos 30 años. El pasado viernes fue el último día de Gates como empleado de Microsoft, por lo que no hay mejor momento para recordar las tres lecciones más importantes que nos legó el ingeniero de software más famoso del mundo. No siempre gana el que llega primero Si bien Microsoft raramente fue primero en innovación, simplemente fue mejor que nadie en masificar sus productos. Desde Internet Explorer hasta Microsoft Excel, Microsoft se destaco en la ejecución. No solo siempre tuvo los mayores recursos, sino que también supo cómo aprovecharlos. Una computadora en cada hogar En la década del ’80 la computadora seguía siendo una novedad, pero Bill Gates tenía la visión de que llegaría el día en que habría “una computadora en cada escritorio y cada hogar.” Hoy es visión es prácticamente una realidad en los Estados Unidos y en el mundo, y se propaga hacia nuevas tecnologías como el Smartphone y la Tablet PC. No subestimen al software Bill Gates siempre creyó en la magia del software para crear espectaculares experiencias digitales. Cuando Microsoft surgió en los ‘70’s, el negocio informático se centraba en el hardware, y fue Gates y su visión de lo que la gente podría hacer con las computadoras lo que movió al software al centro de la escena.