Read in english
La gestión de cambios es un proceso muy habitual de entre los sistemas de gestión, y esto es lógico debido a la importancia que tiene. Cualquier cosa que se gestione es susceptible de tener cambios, y puede haber tanto cambios grandes como pequeños.
Me centraré en los cambios grandes, que pueden ser dentro del propio sistema de gestión, como fuera de él, y en todo caso le van a afectar. Por ello es importante tener un claro proceso de gestión del cambio. Todos (o casi todos) los estándares proponen un proceso de gestión del cambio, que dependiendo del tamaño y relevancia del cambio, éste puede llegar a ser un proceso de gestión de proyectos.
Y aquí es donde entra mi pequeña propuesta. Si un cambio lo vamos a gestionar como un proyecto, algo totalmente lógico y normal, propongo utilizar el nuevo estándar ISO 21500 como sistema de gestión del cambio. Cubre todos los grupos de procesos (o áreas de conocimiento) del PM-BOK, y es una forma de estandarizar la gestión de proyectos de manera global.
Si yo volviera a implementar como consultor un proceso o sistema de gestión del cambio, me fijaría mucho en este nuevo estándar. Escribiré sobre él, pero para saber más, sugiero al lector visitar http://iso-21500.es/.
Read in spanish
The change management is a common process implemented in (almost) all the management systems, and it is normal because of its relevance. Any thing that should be managed, is susceptible to be changed, and the change can be very big or very small.
I will focus in the big/major changes, that can be in or out of the management system, but anyway, the management system will be afected. That is why it is said that we have to have clear our change management process. All (or almost all) the standards suggest a change management process, that depending on the size and relevance, it becomes a project.
And here is my little proposal. If a change will be managed by us as a project, something very logic and normal, I suggest to use the new standard ISO 21500 as a change management system. It covers all the process groups from PM-BOK, and it is a way to standarize the project management system in a global way.
If I would implement, as a consultant, another change management process or system, I would inspire in this new standard. I will write about it again in the future, but if you want to know more about it, I suggest to visit http://iso-21500.es/.
lunes, 28 de abril de 2014
lunes, 21 de abril de 2014
Sólo una gestión de la seguridad TI
Read in english
Hay diversos estándares o normas que se refieren a la seguridad TI. El más famoso, evidentemente, es la colección ISO27000. En ella nos encontramos con la norma principal, la ISO27001, donde tenemos los requisitos para un SGSI (Sistema de Gestión de la Seguridad de la Información).
Tenemos, de esta manera, un estándar con el que poder guiarnos para hacer los controles de seguridad necesarios para... ¡cuidado! Tenemos que definir muy bien el alcance. Pero vuelvo a mi terreno favorito: la gestión de los servicios. Dentro de la ISO20000 ya tenemos un proceso de gestión de la seguridad de la información. ¿Para qué quiero otro?
Básicamente, la ISO20000 nos dice que hay que tener una política de seguridad (con sus requisitos), que hay que tener controles de seguridad de la información (con sus requisitos) y hay que gestionar los incidentes y cambios de seguridad (con sus requisitos). ¿Pero cómo?
La ISO27001 nos dice qué requisitos deben cumplir esos controles de seguridad, que hay que establecer un SGSI, que hay que llevar una documentación, y nos da una guía en su anexo A que viene muy bien, especialmente para saber cómo hay que auditar el SGSI.
¿Y cómo fusiono la ISO27001 y la ISO20000? Imaginemos que la primera es parte de la segunda, como si tuviésemos una sola ISO, tomémoslo como un proyecto de unificación y la organización habrá dado un paso de gigante.
Pero: mucho cuidado con el alcance. No se puede hacer magia, todo tiene que estar bien definido; y un ciclo unificado de Deming (PDCA), que en esta ocasión tendrá dos engranajes, rodará.
Read in spanish
There are different standards related to IT security. The most famous, of course, is the ISO27000 collection. Inside we find the main standard, ISO27001, where we have the requirements for an ISMS (Information Security System Management) .
We, in this way, have a standard with which guide us to make the necessary security controls for... careful! We need to clearly define the scope. But I go back to my favorite subject: the services management. In ISO20000 we have a process information securitz management. What should I want another?
Basically, ISO20000 tells us that we must have a security policy (with its requirements), security controls information (with its requirements) and must manage security incidents and changes (with its requirements). But how?
The ISO27001 tell us what requirements must meet these security controls, that we have to establish an ISMS, that we have to generate and take care of its documentation, and gives us a guide in Annex A which comes in handy, especially for knowing how to audit the ISMS.
And how can I merge the ISO27001 and ISO20000? Imagine the first as part of the second, as if we had only one ISO, lets take it as a project to unify the management system and the organization will have taken a big step.
But: be careful with the scope. We are no wizards, everything has to be well defined; and a unified Deming cycle (PDCA), which this time will have two gears, will roll.
Hay diversos estándares o normas que se refieren a la seguridad TI. El más famoso, evidentemente, es la colección ISO27000. En ella nos encontramos con la norma principal, la ISO27001, donde tenemos los requisitos para un SGSI (Sistema de Gestión de la Seguridad de la Información).
Tenemos, de esta manera, un estándar con el que poder guiarnos para hacer los controles de seguridad necesarios para... ¡cuidado! Tenemos que definir muy bien el alcance. Pero vuelvo a mi terreno favorito: la gestión de los servicios. Dentro de la ISO20000 ya tenemos un proceso de gestión de la seguridad de la información. ¿Para qué quiero otro?
Básicamente, la ISO20000 nos dice que hay que tener una política de seguridad (con sus requisitos), que hay que tener controles de seguridad de la información (con sus requisitos) y hay que gestionar los incidentes y cambios de seguridad (con sus requisitos). ¿Pero cómo?
La ISO27001 nos dice qué requisitos deben cumplir esos controles de seguridad, que hay que establecer un SGSI, que hay que llevar una documentación, y nos da una guía en su anexo A que viene muy bien, especialmente para saber cómo hay que auditar el SGSI.
¿Y cómo fusiono la ISO27001 y la ISO20000? Imaginemos que la primera es parte de la segunda, como si tuviésemos una sola ISO, tomémoslo como un proyecto de unificación y la organización habrá dado un paso de gigante.
Pero: mucho cuidado con el alcance. No se puede hacer magia, todo tiene que estar bien definido; y un ciclo unificado de Deming (PDCA), que en esta ocasión tendrá dos engranajes, rodará.
Read in spanish
There are different standards related to IT security. The most famous, of course, is the ISO27000 collection. Inside we find the main standard, ISO27001, where we have the requirements for an ISMS (Information Security System Management) .
We, in this way, have a standard with which guide us to make the necessary security controls for... careful! We need to clearly define the scope. But I go back to my favorite subject: the services management. In ISO20000 we have a process information securitz management. What should I want another?
Basically, ISO20000 tells us that we must have a security policy (with its requirements), security controls information (with its requirements) and must manage security incidents and changes (with its requirements). But how?
The ISO27001 tell us what requirements must meet these security controls, that we have to establish an ISMS, that we have to generate and take care of its documentation, and gives us a guide in Annex A which comes in handy, especially for knowing how to audit the ISMS.
And how can I merge the ISO27001 and ISO20000? Imagine the first as part of the second, as if we had only one ISO, lets take it as a project to unify the management system and the organization will have taken a big step.
But: be careful with the scope. We are no wizards, everything has to be well defined; and a unified Deming cycle (PDCA), which this time will have two gears, will roll.
lunes, 14 de abril de 2014
ITSM en la Administración Pública
El pasado 10 de abril de 2014 tuvo lugar el FIT-ÖV, un congreso del grupo regional itSMF del norte de Baviera (itSMF Regionalgruppe Nordbayern). FIT-ÖV significa Forum IT -Öffenliche Verwaltung, en él se hizo hincapié y divulgación en la gestión de las TI en la Administración Pública.
El objetivo, prácticamente, es promover la transparencia y los beneficios de las mejores prácticas de ITSM dentro de la Administración Pública, además de apoyar la toma de requisitos de ITSM de la Administración Pública a través de recomendaciones y estándares, como ITIL® o ISO 20000.
Me resultan curiosas ponencias como "ITSM en las pequeñas organizaciones TI: todo al alcance con 3 procesos" ("ITSM in kleinen IT-Organisationen der öff. Verwaltung - alles im Griff mit nur 3 Prozessen"), o "El cumplimiento en IT de la Administración Pública" ("Compliance in der IT der öffentlichen Verwaltung"), que llaman la atención de aquellas organizaciones sin un ITSM maduro.
También hubo un caso práctico llamado "Transparencia y procesos sin costura en TI - Ejemplo práctico: <<Gestión de Incidentes de la organización en Cooperación con TI>>" ("Transparenz & nahtlose Prozesse im IT Sourcing - Praxisbeispiel <<Organisations-übergreifendes Incident Management in IT-Kooperationen>>").
Hubo otros muchos, y parece una buena labor de divulgación ITSM hacia la Administración Pública. Si se me permite comparar (y aquí puede que haya algún que otro comentario), el nivel parece ser muy parecido al de la Administración Pública en España. Sin embargo, el itSMF España no hace eventos dirigidos a la Administración Pública, sino que es ésta la que acude a los congresos de Marzo y Octubre.
Puede que haga uso del patriotismo, pero no sé si pensar que la Administración pública en España es más madura, o si es el fiel reflejo de la diferencia de filosofías, siendo una más cuadriculada que la otra. En ambos casos, una no es más madura que la otra.
El objetivo, prácticamente, es promover la transparencia y los beneficios de las mejores prácticas de ITSM dentro de la Administración Pública, además de apoyar la toma de requisitos de ITSM de la Administración Pública a través de recomendaciones y estándares, como ITIL® o ISO 20000.
Me resultan curiosas ponencias como "ITSM en las pequeñas organizaciones TI: todo al alcance con 3 procesos" ("ITSM in kleinen IT-Organisationen der öff. Verwaltung - alles im Griff mit nur 3 Prozessen"), o "El cumplimiento en IT de la Administración Pública" ("Compliance in der IT der öffentlichen Verwaltung"), que llaman la atención de aquellas organizaciones sin un ITSM maduro.
También hubo un caso práctico llamado "Transparencia y procesos sin costura en TI - Ejemplo práctico: <<Gestión de Incidentes de la organización en Cooperación con TI>>" ("Transparenz & nahtlose Prozesse im IT Sourcing - Praxisbeispiel <<Organisations-übergreifendes Incident Management in IT-Kooperationen>>").
Hubo otros muchos, y parece una buena labor de divulgación ITSM hacia la Administración Pública. Si se me permite comparar (y aquí puede que haya algún que otro comentario), el nivel parece ser muy parecido al de la Administración Pública en España. Sin embargo, el itSMF España no hace eventos dirigidos a la Administración Pública, sino que es ésta la que acude a los congresos de Marzo y Octubre.
Puede que haga uso del patriotismo, pero no sé si pensar que la Administración pública en España es más madura, o si es el fiel reflejo de la diferencia de filosofías, siendo una más cuadriculada que la otra. En ambos casos, una no es más madura que la otra.
lunes, 7 de abril de 2014
ITSM sin coste
Read in english
Quiero dedicar unas líneas en este post a las herramientas ITSM, asociándolas a ISO20000, y para particularizar, vamos a ver algunas que, de principio, no tienen por qué llevar un coste de licencia asociado.
Además, nos centraremos en herramientas que no realizan control de seguridad, capacidad y continuidad. Para eso existen otro tipo de herramientas que veremos en otro post.
Recuerde que utilizar una herramienta "free" o una con licencia es decisión de la organización. En este post vamos a ver cuatro soluciones (aunque hay más) para aquellos que decidan acoplarse al lado "gratis" de la Fuerza.
iTop
OTRS
osTicket
ServiceDeskPlus
Espero que haya resultado interesante. Ha sido un post largo pero con mucha información.
Read in spanish
I want to dedicate a few lines in this post to ITSM tools, combining them with ISO20000 requirements, and in particular, we'll see some that, in principle, do not have to carry a cost of license associated.In addition, we focus on tools that do not cover security, capacity and continuity management. There are other tools about that.Remember that using a "free" or a licensed tool is an organizational decision. In this post we will see four solutions (there are more) for those who choose to engage the "free" side of the Force .
iTop
OTRS
osTicket
ServiceDeskPlus
Which one I prefer ? It depends on many things. All of them have their advantages and disadvantages. You have to study each case and see which one is the best for you and your organization. I will write about them in particular.
I hope it has been interesting. It has been a long post but with much information.
Quiero dedicar unas líneas en este post a las herramientas ITSM, asociándolas a ISO20000, y para particularizar, vamos a ver algunas que, de principio, no tienen por qué llevar un coste de licencia asociado.
Además, nos centraremos en herramientas que no realizan control de seguridad, capacidad y continuidad. Para eso existen otro tipo de herramientas que veremos en otro post.
Recuerde que utilizar una herramienta "free" o una con licencia es decisión de la organización. En este post vamos a ver cuatro soluciones (aunque hay más) para aquellos que decidan acoplarse al lado "gratis" de la Fuerza.
iTop
Es una herramienta francesa, muy sencilla, gratis y modificable. Podemos cubrir los procesos de Control, los de Relación, los de Resolución, gestión de Nivel de servicio, de Informes y Financiera. Además, podemos hacer auditorías para completar el ciclo PDCA.
Y si es gratis, ¿cómo se ganan la vida los desarrolladores? Por el momento, con dos vías: contratos de soporte y formación oficial.
La herramienta no es espectacular, pero tiene el toque perfecto, especialmente para PYMEs que quieran certificarse en ISO20000.
Web: http://www.combodo.com/
OTRS
Esta herramienta alemana es la más conocida del mundo "free" ITSM del mercado, y cubre todos los aspectos de iTop además de una razonablemente sencilla integración con otras herramientas (importante!).
Es más compleja: se pueden hacer, por ejemplo, workflows, autoservicio o escalado de tickets. Aborda algo más allá que ISO20000.
¿Pagar? Además de vender unos cursos un poco caros, pero con un ROI considerable para medianas y grandes empresas, ofrecen soporte y posibilidad de alojamiento cloud, lo cual resulta bastante interesante
Web: http://www.otrs.com/
osTicket
Es una herramienta estadounidense gratuita. Ofrece posibilidad de alojamiento cloud y soporte de forma muy económica, pero sólo cubre gestión de Incidentes, por lo que no perderé mucho más el tiempo con ella. Eso sí, es muy sencilla de usar.
Web: http://osticket.com/
ServiceDeskPlus
Es una de mis favoritas: cubre todo lo que trae OTRS pero más sencillo de gestionar. La diferencia es que hay que pagar licencias por usuarios a partir de 2 agentes. Por eso la nombro, pero no hablo demasiado de ella.
Web: http://www.manageengine.com/products/service-desk/spanish/index.html¿Con cuál me quedo? Depende de muchas cosas. Todas tienen sus ventajas e inconvenientes. Hay que estudiar cada caso y ver cuál de ellas interesa más. Escribiré sobre cada uno de forma individual.
Espero que haya resultado interesante. Ha sido un post largo pero con mucha información.
Read in spanish
I want to dedicate a few lines in this post to ITSM tools, combining them with ISO20000 requirements, and in particular, we'll see some that, in principle, do not have to carry a cost of license associated.In addition, we focus on tools that do not cover security, capacity and continuity management. There are other tools about that.Remember that using a "free" or a licensed tool is an organizational decision. In this post we will see four solutions (there are more) for those who choose to engage the "free" side of the Force .
iTop
It is a very simple, free and modifiable French tool. With this, we can cover the Control, Relationship and Resolution process, Service Level Management, Reporting and Finance processes. We can also do audits to complete the PDCA cycle.
And if it's free, how can live the developers? Currently there are two ways: official support contracts and training.
The tool is not spectacular, but it has the perfect point, specially for SMEs looking for the ISO20000 certification.
Web: http://www.combodo.com/
OTRS
This German tool is the world's most popular "free" ITSM tool in the Market. It covers all aspects of iTop plus a reasonably easy integration with other tools (important!).
Is more complex: we can do, for example, workflows, self service tickets or scaling. It covers something more than ISO20000.
Paying? Besides selling some courses a bit expensive, but with a considerable ROI for medium and large companies, they offer support and cloud hosting option, which is quite interesting.
Web: http://www.otrs.com/
osTicket
Is a US free tool. Provides ability to support cloud hosting and is very cheap, but it only covers Incident management, so I won't make the reader lose much time with it. Yes, it is very simple to use.
Web: http://osticket.com/
ServiceDeskPlus
It's one of my favorites: it covers everything that brings OTRS but simpler to manage. The difference is that you have to pay licensing users from 2 agents. So I name it, but do not talk too much about it.
Web: http://www.manageengine.com/products/service-desk/spanish/index.html
Which one I prefer ? It depends on many things. All of them have their advantages and disadvantages. You have to study each case and see which one is the best for you and your organization. I will write about them in particular.
I hope it has been interesting. It has been a long post but with much information.
Suscribirse a:
Entradas (Atom)