Páginas

viernes, 23 de enero de 2015

¿Que esperaría del CIO?

Aunque creo que todos sabemos quien es el CIO, no esta de más indicarlo, para partir de un punto de partida común. De paso introduzco otras abreviaturas comunes. Solo indicar que no están todas y que posiblemente en algunas empresas no se reconozcan los mismos roles para todas ellas.

  • CEO - Chief Executive Officer - Director Ejecutivo o Gerente. 
  • COO - Chief Operations Officer - Director de Operaciones. 
  • CFO - Chief Financial Officer - Director Financiero. 
  • CHRO - Chief Human Resource Manager - Director de Personas y relaciones empresariales. 
  • CMO - Chief Market Officer - Director de Marketing. 
  • CAO - Chief Admin Officer - Director Administrativo. 
  • CIO - Chief Information Officer - Director de la Información. 
  • CRO - Chief Risk Officer - Director de Riesgos. 
  • CSO - Chief Security Officer - Director de Seguridad 


Pues empecemos. Sería idílico que estos roles existieran en toda organización, pero el tamaño de algunas empresas impide la existencia de ellos por lo que muchos de ellos se asumen por la misma persona. Estos roles son cargos directivos en la organización. Por lo tanto, su existencia, debería suponer que se les va a informar de los rumbos que va a tomar la organización para que ellos puedan aportar a la misma mejoras o advertir de los riesgos, que permitan reconducir el camino o detenerlo. Ellos ayudarán al CEO a tomar ese rumbo.

Por lo tanto, son personas que deben de conocer de la materia funcional y como dirección. En el caso que nos ocupa, el CIO, como habíamos indicado se encarga de la Información. Pero no de la información simplemente, sino de la Información y sus sistemas. 

Esta persona, por lo tanto debe conocer ampliamente las necesidades que una organización requiere de sistemas de la información y más aún, formas en las que desde Sistemas de la Información se pueden conseguir los objetivos de la organización.
Eso quiere decir que debe ser un experto en programación, riesgos, seguridad, análisis de datos, ..?.
No. Debe conocer lo que se puede obtener y lo que se debe obtener (best practices). Debe de saber hablar, expresar y convencer al CEO y seguramente a la Directiva. Los valores que se están aportando en las más exitosas organizaciones mundiales van siempre acompañadas de un lazo muy estrecho entre CEO y CIO.

¿Y si la organización no tiene CIO? Pues esa responsabilidad la debe asumir otra persona. El problema es, si esa persona conoce suficiente de Sistemas de la Información para apoyar al negocio o si por el contrario se va a tener que apoyar en asesores internos o externos, donde ellos van a tener que realizar ese trabajo y nos enfrentemos a un nuevo reto.

Supongamos el caso que el CAO asume también las responsabilidades del CIO.
  • El CAO deberá detectar en las reuniones de dirección aquellos puntos desde los que sistemas de la información puedan ayudar a la organización. 
  • En el caso que los detecte correctamente, deberán transmitírselos a sus asesores para que le den opciones de valor para la organización.
  • Los asesores una vez definidas las opciones, tendrán que transmitírselas al CAO y convencerle de las ventajas de unas y otras y posiblemente transmitirle el valor que cada una de ellas tiene para la organización para que realice la selección de las mejores
  • Las opciones que el CAO haya determinado las transmitirá a la organización y deberá de convencer al resto de gerentes de sus ventajas y riesgos frente a otras.
Como indicaba, se puede observar en este caso unas debilidades muy significativas para que las oportunidades de la organización a considerar sean todas tenidas en cuenta y aporten el valor necesario.
Algunos de nosotros nos hemos enfrentado mas de una vez a esta situación. Donde la opción prioritaria es anulada, prefiriendo otras por su perspectiva propia, para tras ser analizadas por la dirección se solicita de nuevo un modelo similar cercano o igual a la opción prioritaria.




El CIO, y por su amplia relación con los Sistemas de la Información que comentaba, requerirá de:
  • Alto conocimiento del idioma Ingles y del idioma local. Aunque podemos encontrar mucha documentación en Español, en la mayoría de los casos las normas, frameworks, best practices aparecen en Ingles. La inmensa mayoría de los proveedores también van a requerir comunicaciones en Ingles, aunque va cambiando. Y por su puesto los clientes, tanto internos, personal de la organización a la que ofrecemos servicios, como externos para aquellos que nos compran. En un mundo en el que nuestras organizaciones trabajan por diferentes países, y donde el Ingles se impone en la mayoría de casos como denominador común de entendimiento entre todos ellos.
  • Por lo tanto, conocimiento de las best practices y algunas de las certificaciones al respecto. CGEIT, CISM, CRISC, PMP, PRINCE2, COBIT, ITIL.
  • Elaboración de presupuestos, control financiero y control de activos. El departamento tendrá que rendir proponer un presupuesto y gestionarlo correctamente, para rendir cuentas ante la dirección de la empresa.
  • Gestión y control de las personas del departamento y externos. Tanto las necesidades del equipo, como las tareas a desarrollar de forma ordenada.
  • Administración de proyectos y programas. Debe de establecer los planes del departamento con una visión primaria en los objetivos del negocio y estar al tanto de los proyectos y programas de la organización para su gestión, seguimiento y posible mejora. Revisión de los riesgos de TI vinculados a cada uno de ellos, ... Tener en mente los avances tecnológicos, los riesgos, la continuidad del negocio, los proyectos de seguridad (dependiendo de la existencia o no del CISO y de la relación entre ambos, debe de existir una muy buena comunicación entre ambos).
  • Administración de operaciones y entrega de servicios. Analizar la calidad del servicio, posible mejora del mismo, personal encargado, indicadores, ...
  • Implementación y administración de métricas y presentación de información. Para conocer el estado del departamento e informar de ello va a ser necesario haber establecido previamente las métricas y objetivos para luego recogerlos, prepararlos y presentarlos adecuadamente a la dirección de la empresa de forma que den valor a la misma.
  • Administración del ciclo de vida del desarrollo de tecnologías de información. Estar al corriente y asignación de las personas y recursos necesarios para que el desarrollo siga el plan previsto y solventar los posibles desvíos que surjan según las necesidades de la compañía.
¿Crees que falta algún matíz?

Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , , ,

martes, 6 de enero de 2015

Contratos. Alta fácil baja difícil. Seguridad del hogar

Seguro que alguna vez hemos conocido lo difícil que es darse de baja de un servicio de telefonía, aunque ya se han puesto muchos mecanismos para facilitar tal proceso. Pero nunca jamas me hubiera imaginado la situación con un sistema de videovigilancia / alarmas de hogar, hasta que le pasa a un conocido y te la cuenta.



Pues el caso que he revisado, y que espero ponerle fin, aunque tocará pasar por denuncias, es que mi contacto tiene una casa en la que una persona que estuvo viviendo allí dio de alta un sistema de alarma con vídeo vigilancia.
Tras varios años el propietario de la casa que vivía allí, llega un momento que no quiere tener dicho sistema instalado en su hogar.

Pues, llama a la casa de seguridad y le indica que den de baja el servicio instalado en su hogar. La empresa le solicita la contraseña de seguridad del servicio que el desconoce y lo que le proponen es enviar un documento a su domicilio con el proceso de recuperación de contraseña, pero le informan que necesitaran que además de la contraseña les envíe el DNI de la persona que dio de alta el contrato.

Entonces, la empresa, ¿va a seguir teniendo un sistema de vídeo grabación en ese hogar, sin haber recibido autorización del propietario del domicilio, o haber solicitado un documento de alquiler o similar?

La contestación, es que ellos no acceden a la grabación. Bueno, si, cuando salta la alarma. Bueno o también si existe alguna vulnerabilidad en su sistema que les permita acceder a ellos o a cualquier otro y ver lo que sucede en el interior de la casa. Por ejemplo.



Entonces, esta empresa llamada Securitas Direct, no hace nada para preocuparse quien da de alta el servicio en un hogar. Como si es la mujer de la limpieza o el "chispas" que están por allí esos días. Dan de alta el servicio, se encargan de pagar y listos. Ellos mientras cobren les da exactamente igual si el que instala el servicio esta autorizado o no para hacerlo y mucho menos de solucionarlo o de poner un remedio a una situación alegal. Todo por la pasta.

Si, como indicaba antes, existe una vulnerabilidad en su sistema y sin producirse un salto en el sistema de alarmas, alguien puede acceder a lo que sucede en ese hogar, ¿quien es el responsable? ¿Quien dio de alta el contrato? ¿Ellos?

Aviso al consumidor: Lo que si esta claro es que en su sistema de alta hay una vulnerabilidad muy grave para los clientes, y no esta justificada de ninguna de las maneras.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

jueves, 1 de enero de 2015

¿Son importantes las certificaciones?

Desde mi punto de vista, las certificaciones son una demostración del conocimiento, y experiencia en algunos casos, de cierta materia. Soy poseedor de varias certificaciones por lo que podría terminar el blog diciendo "Si, son importantísimas". Pero, voy a dar mi visión al respecto con ciertos toques para reflexionar.



Los cinco puntos que debemos considerar al buscar una certificación son:
  1. ¿Estamos trabajando y/o queremos trabajar en la materia?. Si nos vamos a certificar debería ser una materia sobre la que nos gustaría trabajar. Si ya estamos trabajando en ello también es una buena opción.
  2. ¿Nuestra empresa cree en dicha certificación?. Vamos a necesitar tiempo y dinero para certificarnos, por lo que seria bueno hablar con nuestro gerente para que nos indique si es una certificación que la empresa considera de valor.
  3. ¿La certificadora es reconocida?. En el abanico de posibilidades de la materia, seguramente nos encontramos con muchas certificaciones. Cuanto mayor reconocimiento exista sobre la certificación mayor valor tendrá para nosotros su obtención.
  4. ¿Nos va a ser fácil de mantener?. Muchas certificaciones requieren de unos mínimos de mantenimiento, por lo que vamos a necesitar realizar ciertas acciones para poder renovar la certificación. En algunos casos se requieren un número de horas de formación o de trabajo en la materia. Sino podemos realizar dichas acciones podríamos perder la certificación y el valor obtenido.
  5. ¿Cumplimos los requisitos previos?. También muchas de las certificaciones requieren cumplir previamente a la realización del examen y emisión del certificado el cumplimiento de ciertas normas, como podría ser un código de ética profesional o experiencia previa. Debemos revisar el código de ética y todos aquellos requisitos, además de por supuesto no falsear jamas la documentación a entregar, sino además de poder perder el certificado podríamos perder a posteriori las certificaciones obtenidas con el dinero y tiempo dedicado.
Con estas premisas, el encaminar nuestro camino al obtener una certificación u otra, debe estar más enfocado en lo que a nuestra vida profesional se refiere.
Una certificación por lo general da valor a la persona que la posee pero... No por tener un certificado se es mejor profesional que otra persona que no lo posee. Conozco profesionales que no están certificados y sin embargo su trabajo y conocimiento es perfectamente reconocido y valedor como si lo fuera. Pero muchos de los profesionales no tienen ese reconocimiento de su trabajo realizado y si puede ser una buena oportunidad de reconocimiento, permitirá diferenciar el trabajo de otros muchos que no tienen la certificación aunque lo hayan intentado, o no.

Por último, en mi opinión las certificadoras, deben realizar un trabajo duro en la revisión del trabajo de los certificados, tanto para otorgar la certificación como para mantener el certificado:
  • Como decía, algunas de ellas requieren de una experiencia previa en la materia para otorgar el certificado al profesional, además de superar una prueba de conocimiento. Pero también existen certificaciones que en sus primeros meses se pueden obtener por experiencia en la materia sin necesidad de superar la prueba de conocimiento. En estos casos esa validación debe ser muy rigurosa y concienzuda para confirmar que todos los casos poseen la experiencia indicada y garantizar que el profesional es merecedor de la certificación.
  • En el caso de las renovaciones, sucede algo parecido, tanto por la revisión de los actividades que se deben de realizar como por la revisión del código de ética profesional. La parte del código de ética profesional es más complejo de revisar, porque para ello se deberían analizar los trabajos recientes y estos se someten a la confidencialidad con el cliente. Y aquí creo que las certificaciones es donde deben de poder recibir notificaciones del público en general sobre el trabajo de los certificados. Casos donde un cliente indica la corrupción de un jefe de proyecto en su trabajo, falseando las cuentas o infringiendo las normas de forma deliberada. En este caso una notificación por parte del cliente o stakeholder con evidencias suficientes, debería ser suficiente para que la certificadora ponga en cuestión la validez del certificado del supuesto profesional y así dar valor al resto de certificados y posibles clientes de la certificación. 




Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)