Parte 2/2 - Sistema de Gestión de la Seguridad de la Información – ESTRUCTURA DE UN PLAN DE CONTINUIDAD DEL NEGOCIO

Retomando la primera parte de este post Parte ½, hoy me gustaría comentar como se puede afrontar a nivel de estructura un PCN general y sus PCN específicos.

Comentaros que esta información que expongo me la enseñaron en un postgrado que realice en la UPC de dirección de sistemas de información, no es cosecha propia, sino que es un conocimiento aprendido ;D

Bueno, una vez realizada la aclaración entramos en materia.

Un PCN normalmente se divide en un padre y “n” hijos, tenemos un plan general de donde cuelgan todos los planes específicos de las acciones definidas.

Las Áreas que se deben tener presente en un PCN general deben ser:

Alcance y Objetivo
Ámbito de la empresa (servicio, situación, departamento) al que es aplicable
Qué persigue la empresa con la definición de estos planes
Situaciones a controlar
Selección de situaciones recogida en el Análisis de Riesgos( se entrar en detalle en otro post)
Descripción clara de cada caso a controlar
Aprobación por la dirección

Este proyecto de solución queda aprobado por el comité de seguridad

Una vez finalizado el proceso de desarrollo y probado, se recogerá la aprobación definitiva de los planes

Listado de Planes a realizar: su relación

Los planes deben responder a cada situación detectada

En ocasiones, tendrán partes en común: activos, servicios, amenazas, etc.

Asignación de responsables

El comité de seguridad selecciona los responsables

Éstos seleccionan el equipo de trabajo

Revisión del esquema de los PCN

Es necesario un procedimiento formal para realizar las revisiones y actualizaciones del plan: cambios en el sistema, en los servicios, estructura, etc.

Una vez hemos dado un paseo por las áreas importantes de un PCN General, es hora de entrar a las áreas importantes de los PCN Específicos, ya podréis observar que tiene mas áreas que el plan general, son las siguientes:

• Objetivo: descripción del objetivo del Plan concreto
• Alcance: ámbito de aplicación
• Descripción de la situación a controlar: datos de la situación y los parámetros
• Situación de riesgo: amenazas
• Activos involucrados: listado y consecuencias
• Niveles exigidos y Tiempos de respuesta
• Recursos necesarios para los planes de respuesta:
• Controles existentes
• Controles necesarios para conseguir los niveles exigidos
• Procedimientos para asegurar la disponibilidad y operatividad de los recursos

Planes desarrollados y sus responsables

Listado de los planes con los responsables asociados especificando versión, fecha aprobación persona responsable de su implantación y mantenimiento.

Disparo de la alarma

Listado de las situaciones o indicadores que pueden hacer poner en marcha un plan y quien es el responsable de dicha detección.

Plan de Respuesta

Procedimiento que describe las acciones a realizar tras el disparo

Listado de responsables y forma de contactar

Evacuación del personal

Servicios de emergencia

Contactos externos

Avisos a dirección

Registro de los pasos realizados y su resultado para un posterior análisis

Plan de Respaldo

Procedimiento donde se describen las acciones a llevar a cabo para mantener el servicio mientras se resuelve la situación de emergencia.

Recursos necesarios y su mantenimiento

Método para la gestión de la contingencia

Procedimiento y secuencia

Registro de las acciones

Plan de Recuperación

Pasos a realizar para devolver el servicio a los niveles iniciales

Arranque de los equipos, sistemas, servicios, etc

Pruebas de comprobación

Retirada de los Planes de Respaldo

Registro de las acciones

Plan de Análisis y mejora

Procedimiento donde se describe qué datos analizar una vez restaurados los sistemas y finalizada la emergencia.

Establecer procedimiento que:

Determine qué datos deben analizarse

A quién deben presentarse los informes de conclusiones

Causa de la emergencia

Fallos en los planes y sus mejoras

Como podéis imaginar no es tan sencillo realizar y estimar un Plan de continuidad de negocio PCN, pero espero que con estos poquitos datos que os en plasmado os hayan ayudado a haceros una idea.

Si creéis que os puede ayudar me lo comentáis y os cuelgo los ejercicios prácticos que realice.

Parte ½ - Sistema de Gestion de la Seguridad de la Informacion – PLAN DE CONTINUIDAD DEL NEGOCIO

Dentro de la gestión de un departamento TIC, hay que remarcar y tener presente la gestión y el control de la parte de seguridad, gracias a la siguiente ley ayuda al propósito:

ISO/IEC 27002 “Código de buenas prácticas de Gestión de la Seguridad de la Información”

La seguridad de la información es un proceso de gestión, no un proceso exclusivamente técnico.

Persigue garantizar la confidencialidad, integridad y disponibilidad.

Colabora en la prevención, reducción e incluso eliminación de los riesgos.

Permite proyectar una imagen corporativa de compromiso con la seguridad de la información.

Un SGSI consta de los siguientes módulos :

• Análisis de Riesgos
• Política de Seguridad
• Aspectos Organizativos de la Seguridad de la Información
• Gestión de Activos
• Seguridad de los RRHH
• Seguridad Física y del Entorno
• Gestión de las comunicaciones y las operaciones
• Control de Acceso
• Adquisición de los sistemas de Información, Desarrollo y Mantenimiento
• Gestión de los Incidentes de Seguridad
• Gestión de la continuidad de negocio
• Cumplimiento

Hoy nos centraremos en el Plan de Gestión de Negocio, es una fase clave para que todo el SGSI llegue a su fin.

Exactamente que es un PCN, es la respuesta prevista por la empresa a aquellas situaciones de riesgo que afectan de forma crítica al servicio a proteger.

El objetivo del PCN es Mantener el nivel de servicio en los límites definidos dentro del plan de seguridad. Se debe determinar un tiempo de recuperación que garantice la continuidad del negocio, siendo la repercusión mínima para el usuario y sobre todo recuperar la situación inicial de los sistemas lo antes posible.

Para que el PCN sea eficaz se debe realizar un análisis de las posibles amenazas que puede activar la alarmas, se debe asignar un responsable de dispositivo y se tiene que identificar que acciones de mitigacion se deben realizar y que recursos deben utilizarse, sin olvidar los tiempos de respuesta. Y finalmente se debe indicar como se deben cerrar las alarmas.

Para las personas que no estén en contacto con la terminologia que se utiliza normalmente, os indico los términos mas utilizados :

• Evento: no requiere actuación humana pero debe estar monitorizado. P.ej: introducir un password erróneo
• Tema: requiere actuación humana pero en el marco de los procedimientos habituales. P.ej: introducir un password erróneo cinco veces y bloquear la cuenta
• Incidente: requiere una actuación especial no planificada en el marco de procedimientos habituales. P.ej: caída del servicio de Active Directory
• Crisis: requiere una actuación derivada de toma de decisiones de la dirección y con los ratios de autoridad bien definidos (Incendio de un Servidor)

Una vez que hemos comentado varios términos y hemos entrado un poco en materia hablaremos sobre una parte del PCN que para mi parecer es muy complicada pero a la vez MUY importante realizar, lo remarco porque normalmente no se realizar mucho, estoy hablando de ANÁLISIS DE RIESGOS.

De un Análisis de riesgos los principales objetivos es identificar los riesgos que nos pueden suceder, de cada riesgo identificado realizaremos la descripción del nivel de servicio a mantener y el tiempo de respuesta.

Tenemos que identificar que controles realizaremos para salvaguardar la situación de crisis.

Tenemos que identificar los Activos que debemos proteger, tener muy bien identificadas las amenazas y sobretodo tenemos que tener los departamentos correspondientes implicados y los responsables.

Para acabar con este modulo os pongo un gráfico que me explicaron en el post grado de dirección de sistemas de información, creo que lo expresa muy bien.

Intentar evitar que nuestros mailings de publicidad se conviertan en spam

Actualmente, supongo que le pasa a la mayoría de las personas, recibimos una cantidad de emails spam considerable, gracias a bloqueos y controles de los exploradores podemos conseguir que muchos no pasen.

Hace unos meses, me pidieron ayuda sobre una campaña de mailings, la verdad que actualmente lo realizan “a mano” y la verdad que es un poco “machaca” cuando tienes herramientas “OPENSOURCE” que te ayudan, se podría decir que te lo llegan a hacer todo! En concreto en mi tiempo libre he estudiado para uso extra-profesional una herramientas que se llama OPENEMM una solución que te permite personalizar los mails que vas ha enviar, te permite realizar campañas de marketing, mailings en masivo, exportando cuentas, etc… hoy no entrare en detalle.

Este post lo quiero dedicar a nivel profesional como llegar o intentar evitar que tus mailings se conviertan en spam, aprovechando un curso de marketing que realice, se pueden destacar los siguientes puntos a tener en cuenta:

Hay que tener presente que no se pueden mezclar temas, el problema de mezclar varios temas en un email masivo es una de las cosas que nunca se recomiendan hacer, te preguntaras ¿Por qué? Porque al ser correos inesperados para el usuario y generalmente intrusivos, conviene centrarnos en nuestro objetivo. Consejo, No promociones mil ofertas y servicios diferentes en el mismo correo, hay que ser concretos para que el usuario centre y le atraiga la atención.

Es muy aconsejable dejar tiempo entre mail y mail, los correos masivos pueden ser una herramienta muy poderosa, porque son una manera barata y no demasiado complicada de “dejarnos ver”. El problema es que, si se usan con demasiada frecuencia, acaban convirtiéndose en un arma de doble filo y van directos a la papelera, sin que nadie los abra.

Tiene que quedar claro lo que queremos hacer llegar, por este motivo tenemos que tener claro que vamos a enviar, desde boletines de noticias regulares, hasta anuncios relacionados con nuestra empresa o producto o promociones especiales, todo lo que ayude a promocionar nuestra empresa entre un amplio número de destinatarios.

Con estas indicaciones debe quedar claro que un mailing no se envía a todo el mundo si hacer una criba, dependiendo del mailing debemos seleccionar nuestra lista de destinatarios, porque sino se convertirá en un spam y al tercer mail iremos directos a la papelera.

A veces la gente esta confundida, porque se utiliza el mailing para llegar a nuevos clientes, la base de un mailing no contempla esa posibilidad, es decir, un mailing esta pensado para llegar a usuarios que ya son cliente nuestros, aunque personalmente de vez en cuando para que “nos vean” no es para táctica enviar a usuarios que aunque no sean clientes nuestros ya hayamos tenido contacto con ellos.

Os he puesto varias “reglillas” que he podido probar en el mundo extra-profesional y la verdad que funcionan muy bien, tener presente que hay buenas guías y cursos rápidos que te enseñan y explican un plan de marketing ligero

¿Porque debemos utilizar la “ usabilidad “ en nuestras aplicaciones Web?

Desde hace un par de años aprox. se ha comenzado a escuchar mucho la palabra de usabilidad y accesibilidad de las aplicaciones Web, hoy nos centraremos en la usabilidad, una filosofía que cada vez tiene mas peso y es mas importante en el mundo www.

Empecemos por el principio, en términos literales ¿que es la usabilidad? De palabras de unos de los gurús de la usabilidad Jacob Nielsen “El atributo de calidad que mide lo fácil que son de usar las interfases Web”.

Resumiendo el porque, seria potenciar el tiempo, el éxito y la satisfacción de nuestro usuario que se conecte a nuestra aplicación.

Una vez definido brevemente que es la usabilidad, ahora la siguiente preguntas es ¿Por qué utilizarla?

Que mejor manera de explicar el porque si debemos utilizar la usabilidad en nuestras aplicaciones que dando respuestas medibles:

- Sun Microsystems ha demostrado como invirtiendo $20.000 en proyectos de usabilidad , se puede obtener un ahorro de $152 millones. (Rhodes, 2000)
- Un caso real, después de ser rediseñado prestándose mayor atención a la usabilidad, el sitio Web de IBM incrementó sus ventas un 400%. (Infoworld, 1999)
- La usabilidad demuestra reducciones del ciclo de desarrollo de los productos de 33-50%. (Bosert)

Con estos números y con la definición anterior yo me quedo con la reflexión… “Una buena experiencia en el usuario invita al usuario a regresar”.

Siempre hay una parte mala, y dicha parte seria la falta de conciencia a nivel de usuario, actualmente y “gracias” a la crisis, da la sensación que las compañías se están replanteando sus estrategias de marketing y ventas y están comenzando a invertir en sus aplicaciones Web y una parte de la inversión la están dedicando a la usuabilidad.

Os comento varios puntos que pueden hacer que no triunfe nuestro proyecto de usabilidad:

- A veces los responsables no entienden la filosofía de usabilidad y esto nos cuesta dinero.
- No entender el canal nos aleja de los resultados esperados.
- No todo es un buen tratamiento visual, también se debe trabajar los flujos de patrones y realizar estudios de estadísticas y analíticas Web.
- Se afecta la calidad de la marca, tener una aplicación Web que el usuario no se encuentra como y no llega a su objetivo, afecta directamente sobre la compañía.

Dentro de los objetivos de la usabilidad se pueden destacar 5 puntos:

1- Rapidez

Un site solo capta la atención de un usuario durante los primeros 8 segundos que el usuario esta delante de la página Web, pasado este tiempo, si el usuario no encuentra la información que esta buscando, cancelará y se ira a otra web.

Las páginas deben cargarse con una media de 4 segundos. Lo más que los usuarios esperarán a ver el contenido de su página Web es de una media de 10 segundos.

Algunos de los usuarios todavía disponen de modem para su acceso a internet, nuestras páginas deben de ser lo menos pesadas posibles con el fin de que se carguen rápidamente.

2- Simple

Limite la navegación de su web a 6 y 8 páginas como mucho. Los estudios demuestran que es el número máximo que el usuario puede mantener en la memoria a corto plazo.

Mantenga una navegación constante. No fuerce a los visitantes a aprender diversos caminos o esquemas para la navegación en diversas partes de su site.

No abuse de la utilización de la animación, esto puede abrumar y cansar a la vista.

Evitar texto innecesario

3- Autodescubrible

Los motores de búsqueda buscan el texto real. No prestan ninguna atención a los gráficos ni al código de programación. Evite estas situaciones si desea que su sitio Web esté bien posicionado en los buscadores.

4-Para la mayoría

Los sitios Web necesitan ser compatibles con todos

los navegadores y ordenadores.

Utilice HTML simple y llano siempre que sea posible, es el más compatible con todos los navegadores.

5-Manténgalo actualizado

La manera más rápida para que un sitio Web pie

rda credibilidad es contener la información anticuada.

Cosas pequeñas, como una fecha del copyright de "2000", etc, pueden dañar la credibilidad del sitio Web.

Conclusión, visto una breve explicación podemos deducir que la usabilidad nos puede ayudar en la mejora y el aumento de uso de nuestra aplicación, podemos llegar a minimizar los costes de mantenimiento y como sabemos que ninguna metodología es 100% efectiva lo mejor es realizar pruebas y estudiar la respuesta de nuestros usuarios y analizar sus patrones de conducta.

Parte 2/2 - Gestión de proyectos en tiempo de crisis

Recuperando la última frase del primer artículo (Parte ½) que personalmente me gusta mucho:

“el riesgo responsable e inteligente es el único camino hacia la creación de valor” MICHAEL EISNER

Exactamente que quiero decir con esto, traducido nos quiere decir que actualmente es le momento de arriesgar siempre de una manera responsable e inteligente.

Dentro del marco de crisis que nos encontramos, como podemos gestionar inteligentemente y responsablemente un proyecto dentro de esta incertidumbre que nos envuelve?

Una de las manera mas fiables es mejorando la selección de proyectos, tanto los proyectos internos como los proyectos de clientes.

Se debe definir correctamente la meta que queremos conseguir.

Lo podemos controlar siendo flexibles con el portfolio y llevando una buena gestión de todos los proyectos.

Un factor que se debe tener muy en cuenta y hoy en día creo que no tiene el valor que se mereces es llevar una buena gestión de los riegos en todas las fases del proyecto, midiendo continuamente el rendimiento y la situación de cada fase.

Siempre nos tenemos que vasar en cons

eguir resultados medibles, SIEMPRE nos pedirán números que demuestra la rentabilidad de nuestros proyectos.

Como podemos seleccionar un proyecto (este punto es muy extenso, desarrollare un post solo para esto, en este solo se mencionan).

Realizando un estudio de inversión, utilizando el VAN, TIR, PAYBACK, etc…) y siempre tiene que estar ALINEADO con la estrategia de la empresa.

Tenemos que tener bien definidos los objetivos del proyecto, los objetivos deben ser específicos, claros, sin ambigüedades y sobretodo medibles y deben estar acordados por todos los stackeholders. Tienen que ser objetivos reali

stas con un horizonte temporal claro.

Se puede utilizar el modelo SMART (Specific/measurable/agreed-upon/realista/time-bound)

Entrando en detalle con la gestión del portfolio de proyectos, hay que tener claro que se debe fasear los proyectos, incluso los internos para poder realizar revisiones periódicas de las hipótesis iniciales.

Se tiene que tener presente e incorporar la gestión de riesgos al ciclo de vida de los proyectos.

Utilización de las puertas de control de decisión GO – no GO, ya sabemos que a veces es muy duro tirar para atrás un proyectos.

Siempre hay que tener proyectos en la recamara, para que nunca nos llegue la situación de acabar un proyecto y quedarnos en blanco.

Si comento que se deben de tener siempre presente los riegos de los proyectos, ahora nos surge la pregunta “Como debemos priorizar los riegos?

Una buena forma es basándonos en el análisis de probabilidades de impacto.

Utilizar estrategias de respuesta para las amenazas.

Una vez identificado el riesgos

lo correcto es añadir en la matriz que actuación realizaremos, normalmente se puede Aceptar el riegos, mitigar el riesgo o transferir el riesgo y finalmente se puede evitar el riesgo.

Dentro del riesgo aparece las oportunidades y nos encontramos que tenemos la posibilidad de aceptar, mejorar, compartir o explorar.

Transnacionalmente a la gestión d

ebemos realizar el seguimiento y medición del rendimiento, para realizar le control podemos utilizar:

Comparación respecto a las líneas base

Alcance

Coste

Tiempo

Identificar variaciones

Diferencia entre el plan y los valores reales de tiempos, costes o rendimiento

Técnica de valor ganado

Nos da una visión objetiva del estado del proyecto

Variaciones del cronograma y del coste respecto al plan vigente

Evaluación del estado del cronograma, de los costes y del trabajo realizado, en base a la estimación del valor de este

Un único sistema para integrar múltiples evaluaciones en una única estructura de informes.

Permite efectuar previsiones sobre

la evolución del proyecto.

Valor planificado (PV – planned value) ¿Cuánto vale el trabajo planificado hasta la fecha?

Coste Real (AC – Actual cost) ¿Cuánto se ha paga

do por el trabajo realizado?

Valor Ganado (EV – Earned value) ¿cuanto vale el trajo realizado hasta la fecha?

(a la finalización) Presupuesto a la finalización (BAC – Budget at completion) ¿Cuál es el total planificado para el proyecto?

Control de variaciones

Variación de costes (CV=EV-AC) ¿se ha gastado lo que estaba previsto gastar para el trabajo realizado?

Variación de cronograma (SV=EV-PV) ¿se ha realizado t

anto trabajo como esta planificado?

Índice de rendimiento de coste (CPI=EV/AC) ¿Cómo ha sido la eficiencia del proyecto en cuanto a costes?

Índice de rendimiento de cronograma (SPI=EV/PV)

¿Cómo ha sido el rendimiento del proyecto en cuanto a plazos?

OK – si valores positivos de CV y SV

CPI y SPI mayor que 1

En conclusión, este articulo mencionar varias tácticas

para poder tener una buena gestión de los proyectos en tiempo de crisis, a parte del estudio de inversión que realizare un post en detalle, si estáis interesado que entre en detalle en cualquier punto, solo tenéis que comentarlo.

Web, caracteristicas para obtener contenidos web de calidad

Hace un tiempo leí un articulo sobre como se debe proteger y cuidar los contenidos que se presenta por Internet. Hay que tener presente lo poderosa que es la WWW y por este motivo hay que trabajar correctamente y profesionalmente.

En la actualidad el contenido visual (vídeos, youtube, metacafe,...) cada vez tiene mas peso, pero por ahora el 75% de los contenidos son de texto e imagenes estáticas.

Volviendo al trato que se debe realizar al contenido que vas a publica y haciendo referencia a varias (expondré 5 de las N características que se deben tener en cuenta) características que personalmente me han ayudado tanto en el ámbito profesional como en el ámbito de desarrollos personales.

-Tener siempre presente el poder de la información

No podemos ser expertos en todos los temas, pero si podemos investigar y aprender sobre los temas que la audiencia nos solicita o que el marco profesional requiere.

La investigación de los temas que se desarrollan es importante para enriquecer tu articulo. Para el desarrollo de tu articulo te puedes alimentar de varios articulos o reportajes.

Con toda la información que corre por internet hay que revisar y varificar que la informacion es cierta, no creas todo lo que esta publicado. Utiliza diferentes fuentes que te confirmen la información.

A veces actualizamos temas de los que ya habíamos escrito con anterioridad, es bueno que uses también esas referencias internas para tener informado de tu perspectiva al lector.

-Realizar controles y revisiones de lo que escribimos

Si tenemos que alimentar un site que es espacializado en publicar noticias es importante la rapidez en la publicacion de los contenidos. Es recomendable si has trabajado mucho en un post que le pidas a una segunda persona que lo revise.

Cuando no seas experto en el tema, te recomiendo que antes de publicar si tienes en linea a una persona que sepa sobre el tema, trabaje contigo o sea una persona de confianza.

-Tener los puntos que deseas desarrollar

Antes de ponernos a desarrollar un contenido o N contenidos os aconsejo que os sentéis delante de un papel en blanco y escribáis todos los temas que queréis abarcar. Tienes el tema y luego seleccionas subtemas que vas a desarrollar en todo el articulo. Si no tienes definido un esquema al final en el articulo te desvías de forma involuntaria.

Realizando la definición de los puntos te ayudara incluso a buscar información en especifico y tener mas referencias sobre el tema. En el mundo de Internet vale mucho la velocidad con que publicas una noticia o tema, pero también sigue importando la calidad del contenido.

-Identificar y tener clara tu audiencia

Debemos tener muy claro la audiencia a la que nos dirigimos, porque a veces cometemos el error de subestimar su conocimiento o su falta de conocimiento con algunos términos.

Si por lo contrario eres un colaborador, debes realizar un ejercicio de estudio de la web que te invita para poder mimetizar con el contenido global.

-Leer los comentarios de tus lectores

SIEMPRE! para lo bueno y para lo malo, para el blogguer puede ser la parte donde mas aprendemos, donde nos surgen las nuevas ideas o preguntas para próximo artículos.

En conclusión, los lectores son los mejores críticos y no debemos subestimar lo que nos dicen en los comentarios, también no ira muy bien instalar un módulo de analíticas web para que podamos controlar los accesos de los usuarios y saber que trafico generamos.

Parte ½ - Gestión de proyectos en tiempo de crisis, Alinearse con al estrategia de la compañía.

Actualmente con la crisis económica que nos envuelve, que impacto esta teniendo en la gestión de proyectos?

Para empezar se esta paralizando los proyectos de inversión e innovación en las compañías, es el día a día en nuestras casas. Esta sucediendo porque la compañías se están quedando sin medios para arrancar nuevas ideas y proyectos.

Principalmente los impedimentos son:

-Falta de liquidez

-Dificultad de acceso al crédito

-Reducción de ventas y de costes

-Desapalancamiento de inversiones

-Paralización de proyectos de inversión e innovación

Por este motivo se deben seleccionar los proye

ctos que se evalúen y lleguen al role de proyecto Estratégico para la compañía,

Proyectos estratégicos, hay que tener cuidado con la palabra estrategia, porque muchas veces como no sabemos justificar un proyectos lo atacamos como que es estratégico.

Los principales pilares de un proyecto estragecito debe ser :

Debe presentar unas fuentes directas de negocios, ingresos, …

Deben alimenta y mejoran las operaciones de la compañía, mejora la eficiencia, el rendimiento, al final lo que pretende es mejorar la eficiencia de la compañía sobre el negocio.

Los proyectos son los elementos de ejecución de las estrategias de las organizaciones, podríamos decir que los proyectos son el Alma de las transformaciones de las organizaciones.

Que herramientas tenemos para identificar y poder alinear el proyecto a la estrategia de la compañía? Tenemos varias herramientas:

-misión, visión, valores y líneas estratégicas

-análisis DAFO

-Modelo de las 5 fuerzas(*)

-barreras

-clientes

-proveedores

-rivalidad

-productos

-Estrategias genéricas

-Cadena de valor

-Ámbitos, vehículos, diferenciadores, fases, lógica económica

-El balanced Score Card

Con estas herramientas podemos llegar a conocer la estrategia de la compañía y asi poder identificar los proyectos que se alinean y puden impulsar el negocio en estos tiempos que pasamos.

Los proyectos nos van ayudar a transforma nuestra organización en un momento tan delicado como es el actual, tiene que trabajar los proyectos y las aplicaciones en paralelo para el negocio.

Actualmente con la crisis lo que se realiza es paralizar los proyectos y debemos tener presente que parando proyectos se paran las estrategias de las compañías.

La actual crisis es una fuente inagotable de oportunidades, y lo ultimo que nos podemos permitir es dejarlas pasar.

“el riesgo responsable e inteligente es el único camino hacia la creación de valor” MICHAEL EISNER

(*) No se ha entrado en detalle en las metodologias, pero si alguien esta interesado que lo comente y puedo crear un post entrando en detalle.

Chrome OS, un buen futuro para el CLOUD COMPUTING

Después de haber terminado los capítulos sobre el Saas, aparece en los medios que Google apuesta por un nuevo sistema operativo orientado a los ordenadores ultraportátiles basado en el cloud computing, el chrome OS.

Google Chrome OS se ha anunciado como un sistema operativo para ordenadores ultraportátiles que se centrará, básicamente, en el uso del navegador y, por tanto, de aplicaciones en la red, es decir, en la nube, más que en el trabajo en local.

La verdad que plantear todo un sistema operativo total en Internet es una apuesta muy atractiva, personalmente creo que es el futuro, porque en todo momento estamos buscando la comodidad de pc’s super ligeros, pequeños,… ultraportátiles, utilizando el cloud computing se puede plantear desarrollar portátiles con un buen sistema de comunicación y poco mas, el futuro.

Eso si!, pensar en tenerlo todo en red nos hace pensar en varios problemas que puede surgir, como por ejemplo que nos quedemos sin red, que el servicio este caído y no se pueda acceder, para estas ocasiones se aconseja tener un plan B, realizar copias de lo mas critico en tu pc o en un usb para poder continuar trabajando si no tenemos conexión.

Igualmente hay que pensar que la gente de Google esta problemática seguro que la tiene contemplada y dentro del propio sistema operativo ofrecerá un servicio de trabajo OFFLINE.

De este modo, podremos utilizar Gmail, Google Docs u otras sin necesidad de estar conectados, pudiendo enviar posteriormente los datos a la red cuando volvamos a tener conexión.

Esto tiene toda la lógica, pues Google no ofrecerá un sistema que nos deje tirados cuando no tengamos conexión.

En conclusión, aun queda un poco a nivel tecnológico y un poco “mas grande” a nivel de conciencia de usuario, porque aun no estamos preparados para trabajar al 100% fuera de nuestro pc, pero igualmente si Google apuesta por el cloud computing, quiere decir que seguro que al final triunfa y tiene un buen futuro.

Parte 4/4 – Apuesta de futuro, Software como servicio SaaS.

Creo que las ventajas del software como servicio son indiscutibles, necesitamos menos infraestructuras, trabajamos con software actualizado, pagamos por lo que utilizamos y tenemos incluidas medidas de protección y seguridad.

Pero cuando hablamos de software de gestión, ERP, contabilidad, facturación, CRM, etc., soluciones con cierto peso específico dentro de la empresa, la cosa se complica un tanto, ¿compensan las ventajas los peligros aparejados a este modelo? ¿es seguro utilizarlo?

El principal miedo es el de la seguridad de los datos, tanto la transmisión como la salvaguarda de los mismos, así como el poner en manos de terceros información sensible de nuestra empresa, tanto de su buena o mala marcha como en lo referente a información protegida por la Ley de Protección de Datos.

Aunque actualmente no se aplica en mucho volumen, personalmente apuesto por el SaaS y apuesto por la seguridad con que se tratan los datos. La mayor parte de las empresas que ofrecen software bajo este modelo incluyen en sus servicios la copia de seguridad de los datos e implementan las medidas de seguridad y organizativas necesarias para cumplir con la LOPD, en ello les van las posibilidades de éxito de su producto.

Pero ya que vamos a poner en sus manos uno de los principales activos de nuestra empresa, la información, no es cuestión de cruzar los dedos y esperar que todo vaya bien, es imprescindible tener la seguridad de que estas medidas van a ser aplicadas a rajatabla, y la mejor forma de asegurarnos de ello es reflejarlo por escrito en el contrato para la prestación del servicio.

Es fundamental pues leer con detenimiento las condiciones ofrecidas antes de contratar cualquier servicio de este tipo, verificar que se explique claramente cuáles son las medidas de seguridad que se adoptan, cuándo se hacen copias de respaldo, cómo se almacenan, quién tiene acceso a los datos y si se pueden recuperar (y en que formato), clave para cuando queramos dejar de utilizar el software en cuestión.

Adelantarse a la LISI, impulsar el departamento TIC gracias a un marco legal.

LISI, seguro que ya la habéis escuchado mencionar numerosas veces, la verdad que por lo que voy leyendo hay un poco de discusión por la parte de censura de información, pero este articulo no trata sobre ese tema, nosotros nos vamos a centrar en el Artículo Segundo “Obligación de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica”.

Exactamente a que obliga a una compañía aseguradora:

Permitir un acceso vía Internet (telemático) mediante validación de certificado de firma electrónica/DNI electrónico para la prestación de estos servicios.

-Contratación (Pólizas)

-Nueva Producción (Contratación de Servicios)

-Suplementos (Modificación de Servicios)

-Anulaciones (Rescisión de Servicios)

-Consulta

-Datos del Cliente/Asegurado

-Datos Económicos (Histórico de Recibos/Movimientos)

-Documentación (Pólizas/Condicionado General)

-Presentación de Quejas, incidencias, reclamaciones

-Ejercicio de Derechos sobre LOPD.

-Firma Electrónica/Facturación Electrónica.

Con esta nueva ley se abre todo un abanico de oportunidades para las compañías, el sector asegurador siempre ha ido a remolque en la carrera tecnológica, personalmente gracias a esta imperativo legal nos podemos “poner a rueda” en tecnológica y equipararnos a otros sectores.

Os plasmo varios ejemplos de oportunidad:

La opción de dar más funcionalidades al cliente en estos momentos los modelos de distribución de las compañías no están preparados, es una oportunidad para realizar nuevos modelos de negocio “mixtos”

Muy importante, crear webs mas de posicionamiento que de servicios al asegurado, la oportunidad de realizar Portales Autogestionables, utilización de web 2.0, etc…) en definitiva conocer mejor al cliente.

Con este cambio se deberá realizar rediseños de circuitos existentes, es la oportunidad para mejorar procesos y reducción de tiempos de respuesta y finalmente reducir costes para la compañía.

Llegar a la oficina “papel cero” reducción de costes, mejora de procesos de cobro y facturación gracias a la firma electrónica y a la generación de Históricos de facturación digitales.

En la actualidad hay muchas compañías que aun no tiene venta directa, es una buena oportunidad para introducir la contratación on-line.

En los tiempos que estamos, realizar una inversión en una Web que distribuya la venta directa puede ser una forma de reducir costes de infraestructura, de personal y si contratas un Saas puedes reducir costes a nivel de desarrollo y mantenimiento.

Como podría ser un circuito base que englobe la LISI :

• Una vez el cliente realiza una contratación de una pólizas se le facilita una clave de acceso para poder acceder al portal del cliente.
• Para validarse le solicita su certificado personal/DNI electrónico o en su defecto su clave de identificación (PIN).

El portal debe facilitarle al cliente las siguientes opciones:

De consulta

• Consulta de todas sus pólizas
• Consultar riesgos
• Consultar garantías
• Consultar cláusulas
• Consultar tomadores/asegurados
• Consulta de sus recibos
• Impuestos
• Recargos
• Consulta de sus siniestros
• Consulta de sus datos personales

De operatividad

• Realizar suplementos
• Cambio de cuenta bancaria.
• Cambio de datos personales.
• Cambios básicos de la póliza.
• Realizar solicitud para cambios en datos “críticos” de la póliza.
• Realizar solicitud para dar de alta un siniestro.
• Realizar cambio de contraseña.
• Circuito de Quejas y Reclamaciones
• Uso de sus derechos en materia de LOPD
• Posibilidad de realizar nuevas contrataciones.

La parte de firma electrónica hay que tener presente que el circuito correcto de firmado seria:

No voy a entrar en detalle en este articulo, me gustaría estudiarlo un poco mas y volver a escribir sobre la firma electrónica y el DNI electrónico en detalle.

En conclusión, queda claro que el futuro de la gestión On-line es ya un presente.

Y si nos fijamos en el estudio elaborado por red.es sobre el Perfil sociodemográfico de los internautas españoles, a partir de los datos del INE recogidos en 2007, se destaca que "el 57,3% de la población de 16 a 74 años ha accedido a Internet en alguna ocasión, el 49,7% de esta misma población hizo uso de la Red en el último mes y el 44,5% accedió semanal o diariamente".

Otro punto clave a destacar, a partir de las variables sociodemográficas analizadas, es que el perfil medio del internauta en España es: hombre, de 25 a 34 años, con situación laboral activo ocupado y con estudios universitarios o segunda etapa de educación secundaria (Cliente Objetivo).

El mercado Online es un mercado maduro y con gran futuro (Generación de los “Digital Native”),con gran competencia y cualquier paso que se pueda dar de valor añadido puede repercutir en el éxito a futuro, hay que ofrecer una gran usabilidad y funcionabilidad al usuario con relación a sus operaciones por de Internet.

Consultoría de procesos y cuando acaba que hacemos? que tal BPM!

Tengo la suerte de estar rodeado de grandes profesionales a nivel de consultoría. Y hasta hace poco tiempo, unos 6 o 8 meses para atrás en mi caso era difícil implantar y sobre todo alimentar y mejorar los procesos otorgados por la consultara para mejorar nuestra compañía.

Donde trabajaba anteriormente realizamos el intento de montar un BPM para realizar el control de Atención al cliente, en este caso nos encontramos dos grandes problemas, el primero fue que la aplicacion no soportaba lo que nosotros necesitabamos y nos vendieron que si que valía, y el segundo y creo que mas importante, nuestra compañía no estaba preparada para realizar un cambio a procesos.

Actualmente ya llevo unos 3 meses aprox. con BPM la verdad que lo veo muy claro, el BPM da la vida a los procesos que se diagraman en papel y se entrega a un cliente.

Hasta hace nada, te podían diagramar un proceso, explicarte en que puntos fallabas, lo podían optimizar y ya esta! aquí estaba el problema (desde mi punto de vista) normalmente esos proceos que te han diagramado se quedan en un armario y no se hablo mas de ellos, en la actualidad dicho proceso si el cliente quiere, se lo puedes entregar en vida y funcionando al 100% gracias al BPM.

El problema que encontramos es que la mayoría de las compañias no están preparadas para BPM orientarse a procesos, lo que quiere decir que implantar un BPM es un cambio estrategico a nivel global de la compañía, claro que se empezara por un proceso pequeño, pero si se empieza se debe migrar toda la compañía a procesos y la verdad que es un proceso lago y costoso, pero es el futuro.

En la actualidad conozco 3 BPM de pago y 4 opensource, no os voy a engañar, los de pago tienen mas módulos y "pueden" tener un mejor servicio de soporte, pero también te digo (y soy pro opensource) las soluciones opensource que conozco a nivel funicionar de workflow no tiene nada que envidiar a las de pago.

En conclusión quiero dejar en vuestra mente es que a opinión personal el BPM es una solución perfecta para la consultoría de procesos para poder dar vida a dichos procesos y poder controlar en todo momento el workflow de los procesos.

Son herramienta verdaderamente interesante y muy potentes, porque a parte lo que he encontrado con la experiencia y gracias a los Web Services y los adapters, un BPM es una herramienta perfecta para desarrollar un EAI, este punto en concreto me centrare en estos dias para poder poneros un ejemplo claro.

Parte 3/4 - Como seleccionar una Saas, puntos a valorar

Si comienzas a hacer numero, la verdad que el Saas para una compañía es muy rentable, por ejemplo:

Podemos llegar a mejorar en un 30% los ratios de consolidación, podemos llegar a reducir un 20% el consumo de energía y refrigeración.

A nivel de almacenamiento podemos llegar al 50% de ahorro, un poco más relativo pero también aceptable es llegar al 30% de aumento de productividad, este punto no lo tengo claro.

Finalmente y orientado a cliente, se puede acelerar hasta un 40% los tiempos de entrega de los servicios.

Con una presentación así, hay que saber o mejor dicho tener presente unos Conceptos para poder evaluar una Saas.

A nivel personal, lo que yo he encontrado que tiene más peso son los siguientes:

Personalizable. ¿Como de personalizable es la aplicación? Esta una de las características básicas que debe darte una aplicación saas. Si esta va a dar servicio a mucha gente debe haber un equilibrio razonable sobre lo que no es parametrizable y lo que si es para cubrir las mayores expectativas posibles.

Fiabilidad. La aplicación saas te ofrece ¿un rendimiento óptimo, disponibilidad cercana a 24×7, seguridad y confidencialidad de tus datos, facilidades para escalar

y facilidades para añadir nuevos usuarios?. Tener un sistema de auditoria externa como Sas70 tipo II va bien para asegurar que todo lo anterior puede dártelo con su infraestructura y procedimientos.

Precio. ¿Cuanto te va costar la aplicación? Cuenta pagos mensuales por el número de usuarios y los pagos a realizar por conceptos como consumo de megas, cpu, ancho de banda. Compáralo si puedes con el coste de un software que puedas instalar en tu infraestructura, la inversión en infraestructura si fuera necesario, el mantenimiento y amortización de esta infraestructura, el mantenimiento del software.

Conectividad . ¿Te interesa conectar las aplicaciones que ya tienes en tu empresa con la aplicación saas? Si es así, ¿Te permite la saas conectarte con esas aplicaciones a través de una API,ws,adapters,…?

Quiebra del ISV. En que caso de quiebra del proveedor de la solución saas, ¿podré disponer del software para ejecutarlo en mis instalaciones? ¿Puedo descargarme los datos de la aplicación y utilizarlo en otra aplicación saas o in-house?

Cobertura del software. Relacionado con el anterior. ¿en que lenguaje está realizado el software? ¿es un lenguaje que tiene aceptación? ¿Podrás encontrar a desarrolladores que te mejoren y arreglen la aplicación en caso de quiebra del ISV?

Mantenimientos del saas. ¿Disponen de un calendario de actualizaciones y éste es acorde con la no utilización del saas en tu empresa?

Alojamiento. ¿Donde tiene el proveedor alojado tus datos? ¿En otro proveedor o en su propia infraestructura?, ¿cumple tu empresa con la LOPD dejando los datos en el proveedor y cumple el proveedor con la LOPD?

Monitorización. ¿Dispone el proveedor de saas de una herramienta para monitorizar el funcionamiento y el rendimiento de la aplicación y esta pueda ser consulta por ti como usuario?

Estos puntos es un pequeño ejemplo de conceptos básicos que hay que tener en cuenta, si estáis interesados en profundizar mas, solo hace falta que lo comentéis.

Informacion extraida del post: http://www.saasmania.com/2009/03/06/puntos-a-tener-en-cuenta-para-evaluar-una-saas/

Gracias Jose Carlos.

OpenSource y Gestión de proyectos, buena combinación

Este articulo va sobre las posibles herramientas opensource para la gestión de proyectos y la gestión de los departamento de atención al cliente, en general una herramienta que puede abarcar la gestión de un departamento y la gestión y control de proyectos, tanto internos como externos, exactamente quiero explicaros mi experiencia con una herramienta de gestión de departamento OpenSource y finalmente os quiero hacer mención sobre un nuevo producto que he descubierto y me parece interesante.

Cuando estaba trabajando en mi anterior trabajo, me encontré con la problematica que unos de nuestros proveedore (desarrolladores de software) trabajaban desde Madrid, esta casuística era un problema a nivel de control y gestion de bugs.

En colaboración con el departamento de sistemas encontramos una aplicación llamada GLPI,

solo puedo decir que es impresionante, os comento.

Una de las característica que hizo que nos decidíamos por esta herramienta fue que era totalmente WEB (php y mysql) y tenia una gestión de usuario (via ldap) muy potente.

En la primera fase, la utilizaba exclusivamente para Gestión de proyecto, es una herramienta potente, puedes crearte los proyectos, asignarle recurso, costes, generación automática del diagrama de gantt, y realiza una documentacion en formato encuadernación sobre el proyecto digna de quitarse el sombrero, para concretar realiza un documento con portada, indice, todas las tareas detallas por estados y finalmente imprime la situación actual con el diagrama de gantt.

Lo bueno al ser web, pude crear unos usuarios con unos roles, privilegios y visibilidad concreta para que nuestro proveedor pudiera acceder y alimentar la situación de sus tareas.

Una vez ya teníamos al 100% la gestión de proyecto, arranque la segunda fase que era la alimentaron de una Base de datos de conocimiento, basandose en la metodologia ITIL, como la tipologia y estados de las tareas.

En paralelo a la segunda fase encontramos que tenia un modulo de CAU (Centro Atencion al Usuario) digna de la mejor herramienta de pago, así que iniciamos la gestión de incidencias, tanto internas como externas por el modulo de CAU del GLPI (http://www.glpi-project.org/spip.php?article41) y hasta el día que me fui funcionaba muy bien.

A parte de toda la parte de gestión, cabe Remarcar que tiene un modulo completo de gestión y auditoría de sistemas, a nivel de red y aplicaciones.

Bueno espero que con esta breve explicación os podáis llegar hacer una idea de las aplicaciones opensource pueden llegar a ser tan competitivas como las de pago.

La otra herramienta que os quiero comentar, la he descubierto hace muy poco, es Teambox, un gestor de proyectos sencillo y gratuito bastante interesante para empresas pequeñas, no puedo explicaros por ahora mucho mas porque estoy en pleno testing de la herramienta, os voy informando.