La verdad es que quien ha trabajado en IT durante un tiempo ha tenido que vivir o ver experiencias de este tipo.
El problema es que cuando estás en medio de una ellas no sabes que es mejor si tirar para Pinto o para Valdemoro, ahora me explico.
Hace un tiempo, tuve la oportunidad de asesorar, junto con un grupo de compañeros a una empresa que estaba en un proceso importante de cambio.
El director de IT, con una experiencia larga y dura, no veía muy claro nuestro trabajo y lo que es peor la gerencia tampoco veía muy claro el suyo, es decir teníamos un problema claro de objetivos y de apoyo de la dirección a las actividades IT.
Con estos mimbres era de esperar unos sistemas de IT caóticos y no nos equivocábamos.
Las políticas de IT no existían y nadie se preocupaba lo más mínimo de ver como “meter mano” a aquello.
Ante una situación de este tipo me surge la duda de cómo hacer que esta empresa comience a ser consciente de que necesita una política de IT, que sea consecuente con los objetivos de la organización y empiece a tomarse en serio aplicarla.
¡Que ganas de apagar un botón y ver si se dan cuenta de que no pueden seguir así!
Por eso lo de Pinto o Valdemoro, Que hacemos? Vamos para Pinto y cuestionamos su sistema indicándoles que tienen múltiples problemas y les planteamos las mejoras que consideramos necesarias.
¿Cómo planteamos esas mejoras? Desde arriba, haciendo ver a la gerencia que no cumplen requerimientos mínimos para que IT de servicio de manera adecuada, que tienen un riesgo enorme de que sus sistemas sean comprometidos…
Pero esto es difícil que no deje en mal lugar al gestor que ha permito esto durante años y que puede ser tu compañero en la adaptación al nuevo sistema.
Vamos a Valdemoro, es decir vamos cambiando poco a poco todo, desde abajo, atacando los sistemas vulnerables, parcheándolos securizandolos.
Es difícil, pero hay que buscar una solución.
Desde mi punto de vista la única manera de atacar este problema es comenzando por concienciar de manera sutil al director de IT y de manera clara al director gerente de que existe una necesidad en los sistemas IT, cosa que no les resulatará extraño dado que estamos para algo allí.
Necesitamos comprender su negocio y sus necesidades . Para ello, primero podemos hacer un análisis de riesgo, donde presentemos los posibles problemas e impactos que puede haber en sus sistemas.
Al mismo tiempo podemos comenzar a concienciar a los usuarios de que la seguridad no es un problema , si no una ayuda en su trabajo. Proponer una política de seguridad clara y comenzar a instruir a los usuarios con acciones como banner de inicio de sesión, juegos de seguridad etc.. puede ser un principio.
Una vez determinados los sistemas críticos para el negocio y de comenzar la concienciación de los usuarios. Debemos de analizar los resultados y comenzar a estabilizar los sistemas de mayor impacto, para ello y en muchas ocasiones externalizar servicios puede ser una ayuda, más teniendo en cuenta que los actuales pueden tener carencias de gestion.
Este punto supone muchas veces hacer encaje de bolillos, dado que normalmente el director IT, tiene muy baja tolerancia al cambio de escenario. “Me gusta saber lo que tengo y manejarlo yo”, hay que luchar contra esos miedos y darle seguridad.
Hay muchos servicios que se pueden atacar en este punto, pero sobre todo ha de hacer un correcto Análisis costo/beneficio para el Director Gerente y hacer ver al Director IT, que no pierde control ,si no que gana autonomía.
Aquí nos surge otra duda . ¿Qué servicio puede ser un buen candidato a externalizarse ?
Yo creo que desde luego los servicios de seguridad orientados al correo, servicios de filtrado o gestión de correo son optimos.
Porque mantener una arquitectura de antivirus /antispam es caro en recursos, técnicos y económicos.
Porque el servicio de filtrado es un servicio asentado, eligiendo un proveedor con cierta experiencia, podemos garantizar un buen resultado.
Porque realizar un plan de negocio para justificar la externalización de este servicio es bastante sencillo.Cosas hcaer calculos aproximados del tiempo que la organización pierde en gestionar el spam ayudan de manera enorme.
Con estas propuestas habremos conseguido, por un lado ayudar a nustro director y por otro simplicar el trabajo de IT y ganar una batalla en la confianza que debemos conseguir.
Quizás este punto de vista sea poco ambicioso, pero si no empiezas a caminar dificilmente puedas llegar a tu destino.
No hay comentarios:
Publicar un comentario