Read in english
Quiero dedicar una pequeña entrada al tan querido por muchos estándar ISO 38500. ¿Por qué es tan querido por muchos? Porque su objetivo es enmendar aquél enfoque en el que las tecnologías de la información (TI) falla o ha estado fallando históricamente hasta hace razonablemente poco: su enfoque al negocio. Esto crea el llamado "gobierno corporativo de TI", y no está inventado por la ISO 38500, sino que tiene historia, como CobIT.
El estándar ISO 38500 trata de alinear TI con el negocio, por lo que está hecha para el gobierno o dirección de las organizaciones. No obstante, los lectores no tienen que ser sólo directores, sino que todo el mundo debe saber de qué va la historia. Y es que en TI no hay (casi) nada aislado.
Tratando de dar una pincelada a su descripción, diremos que el gobierno de las TI se fundamenta en seis principios: Responsabilidad, Estrategia, Adquisición, Rendimiento, Conformidad y Conducta humana.
Para acabar, quiero destacar lo que considero más bonito de la norma: el punto 3.1. En él se describe cada principio en base a tres tareas fundamentales: Evaluación, Dirección y Monitorización, y comienza diciendo, básicamente, que cada organización debe implementar sus propias tareas para cubrir estos principios, y que cualquier variación de las tres sugeridas será bien considerada.
Read in spanish
I want to dedicate a small entrance to a so loved by many people ISO 38500 standard . Why is it loved? Because its purpose is to fix something that the information technology (IT) fails (or has been failing) historically: their approach to business. That creates the "IT governance", and it has not been invented by the ISO 38500, it has history, like CobIT .
The purpose of the ISO 38500 standard is to align IT to the business, so it has been made for government or organization management. However, the readers are not only directors, everyone should know what the story is about. And in IT there is (almost) nothing isolated .
Trying to give a piece of cake of description, we say that IT governance is based on six principles: Responsibility, Strategy, Acquisition, Performance, Conformance and Human Behavior .
Last but not least, I want to highlight something I consider the most beautiful thing of the standard: 3.1. It describes each principle is based on three fundamental tasks: "Evaluate", "Direct" and "Monitor", and it begins saying, basically, that each organization must implement their own tasks to meet these principles, and that any variation should be well considered.
martes, 27 de mayo de 2014
jueves, 22 de mayo de 2014
Los procesos y la CMDB
Read in english
Recientemente he debatido con algunas personas sobre la CMDB (Configuration Management Data Base, o base de datos de gestión de la configuración) y su automatización, y aunque no haya acuerdo definitivo, podemos llegar a conclusiones interesantes. Quiero exponer las mías, que por supuesto puede evolucionar a lo largo del tiempo, usando CMI (Continual Mental Improvement) :-D
El uso de herramientas que pueblen la CMDB es de gran utilidad, especialmente cuando el número de CIs (Configuration Items, o elementos de configuración) es bastante grande. ¿Nos atrevemos a poner un número? Aquí sí que hay debate. Yo diré 100 CIs, por poner un número redondo. Si hay más, yo sí recomendaría invertir en una herramienta de población de la CMDB, pero si hay menos puede costar más que hacer inventario manual.
No obstante, es importante quedarse con dos ideas fundamentales:
Recientemente he debatido con algunas personas sobre la CMDB (Configuration Management Data Base, o base de datos de gestión de la configuración) y su automatización, y aunque no haya acuerdo definitivo, podemos llegar a conclusiones interesantes. Quiero exponer las mías, que por supuesto puede evolucionar a lo largo del tiempo, usando CMI (Continual Mental Improvement) :-D
El uso de herramientas que pueblen la CMDB es de gran utilidad, especialmente cuando el número de CIs (Configuration Items, o elementos de configuración) es bastante grande. ¿Nos atrevemos a poner un número? Aquí sí que hay debate. Yo diré 100 CIs, por poner un número redondo. Si hay más, yo sí recomendaría invertir en una herramienta de población de la CMDB, pero si hay menos puede costar más que hacer inventario manual.
No obstante, es importante quedarse con dos ideas fundamentales:
- Ningún estándar ISO (a día de hoy) obliga a tener una herramienta para poblar la CMDB de forma automática. Hay que tener presente sus ventajas como la automatización, ahorro de tiempo y exactitud; así como sus desventajas como el coste de licencia, instalación y revisión.
- Esté o no automatizada la población de la CMDB, cualquier cambio que haya en sus datos debe pasar por el proceso de gestión de cambios. Esto sí es obligatorio, y supone una No Conformidad en una auditoria, en este caso, del estándar ISO20000 o ISO27001.
Read in spanish
I recently talked with some people about the CMDB (Configuration Management Data Base) and automation , and although we got no final agreement, came into interesting conclusions. I want to expose my own , which of course can improve, using CMI (Continual Mental Improvement) :-D
Using tools to populate the CMDB is very useful, especially if the number of CIs (Configuration Items) is quite big. Should we say a number? Here there is a good debate. I will say 100 CIs, for example, only to give a round number. If there are more, I do recommend investing in a tool to populate the CMDB; but if there are less, it could cost more than do manual inventory .
Anyway, it is important to keep two fundamental ideas :
- No ISO standard (nowadays) ask for a tool to populate the CMDB automatically. We must keep in mind its advantages such as automation, time saving and accuracy; and its disadvantages, like the cost of license, installation and maintenance.
- Whether or not the population of the CMDB is automatic, any changes in its information stored must go through the change management process. This is mandatory, and would be a nonconformity in an audit, in this case, of the standard ISO20000 or ISO27001.
viernes, 16 de mayo de 2014
ISO, lenguas, gustos y elecciones
Read in english
Recientemente apareció en LinkedIn un debate sobre las ISOs referentes a las Tecnologías de la Información, y en concreto las normas traducidas al español de forma oficial (UNE en España).
A excepción de algunos casos, yo siempre he procurado utilizar las versiones en inglés. Da menos quebraderos de cabeza a nivel de interpretación (sí, menos, que no es que no los dé, sino que da menos). No importa qué ISO estemos implementando o auditando, los requerimientos son interpretables y, digámoslo así, solucionables de múltiples formas.
No obstante, las listas de confirmación (checklist con los requisitos) que hago para cada organización las procuro hacer en el idioma de la organización (español, inglés, alemán... y ya no sé más), con la interpretación que mejor le pueda venir a la misma. Esto reduce el tiempo de implementación y, sobretodo, de auditoría. Especialmente porque no todo el mundo habla inglés, lengua oficial en el que aparecen las normas ISO.
Esta práctica tiene personas e ideas a favor y en contra, pero después de algunas consultorías hechas, es o que más ha ayudado, tanto a mí como a la organización a certificar.
Read in spanish
Some weeks ago has appeared a debate in linkedIn, where the people comented some ISO standars about Information Technologies, with enphasis in standards translated into spanish (UNE in Spain).
Except for a few cases, I have always tried to use the English versions. They give us fewer headaches in the interpretation level (yes, less, it's not that they do not give, they gives less). No matter which ISO is being implemented or audited, the requirements are interpreted and, let´s say, resolved in multiple ways.
However, the checklist with the requirements for each organization that I do, I try to do in the language of the organization (Spanish, English, German... and I do not know more), with the interpretation that better match. This reduces implementation and audit time. Especially because not everyone speaks English, the official language in which the ISO standards are made.
This practice has people and ideas for and against, but after having done some consulting, that is what has been more helpful for both me and the organization to be certified.
Recientemente apareció en LinkedIn un debate sobre las ISOs referentes a las Tecnologías de la Información, y en concreto las normas traducidas al español de forma oficial (UNE en España).
A excepción de algunos casos, yo siempre he procurado utilizar las versiones en inglés. Da menos quebraderos de cabeza a nivel de interpretación (sí, menos, que no es que no los dé, sino que da menos). No importa qué ISO estemos implementando o auditando, los requerimientos son interpretables y, digámoslo así, solucionables de múltiples formas.
No obstante, las listas de confirmación (checklist con los requisitos) que hago para cada organización las procuro hacer en el idioma de la organización (español, inglés, alemán... y ya no sé más), con la interpretación que mejor le pueda venir a la misma. Esto reduce el tiempo de implementación y, sobretodo, de auditoría. Especialmente porque no todo el mundo habla inglés, lengua oficial en el que aparecen las normas ISO.
Esta práctica tiene personas e ideas a favor y en contra, pero después de algunas consultorías hechas, es o que más ha ayudado, tanto a mí como a la organización a certificar.
Read in spanish
Some weeks ago has appeared a debate in linkedIn, where the people comented some ISO standars about Information Technologies, with enphasis in standards translated into spanish (UNE in Spain).
Except for a few cases, I have always tried to use the English versions. They give us fewer headaches in the interpretation level (yes, less, it's not that they do not give, they gives less). No matter which ISO is being implemented or audited, the requirements are interpreted and, let´s say, resolved in multiple ways.
However, the checklist with the requirements for each organization that I do, I try to do in the language of the organization (Spanish, English, German... and I do not know more), with the interpretation that better match. This reduces implementation and audit time. Especially because not everyone speaks English, the official language in which the ISO standards are made.
This practice has people and ideas for and against, but after having done some consulting, that is what has been more helpful for both me and the organization to be certified.
Suscribirse a:
Entradas (Atom)