19 de octubre de 2012

¿Existe la elasticidad en la economía de las TI?

Con el fin de aprovechar los beneficios de la nube, y por lo tanto mejorar los resultados económicos de las TI, están apareciendo un gran número de aplicaciones elásticas.  Con ellas obtendremos una ganancia mayor, combinando dos de las características más conocidas de la nube (elasticidad y escalabilidad), con la elasticidad de la propia aplicación. De hecho, hay analistas que han demostrado que una aplicación que no esté optimizada podría ser más costosa en la nube que en el alojamiento utilizado hasta ahora.
Actualmente pocas aplicaciones están diseñadas de forma elástica, y las que están preparadas para ello implican un desarrollo de código muy complejo para la mayoría de los desarrolladores. La plataforma de las aplicaciones elásticas reduce las habilidades necesarias para gestionar las aplicaciones empleadas, como por ejemplo con la tecnología “Big Data”, y permite que las aplicaciones saquen ventaja de la escalabilidad de la nube. Es decir, ya no sólo debemos preocuparnos del ahorro que supone la nube sino que además deberemos considerar el hecho de tener aplicaciones elásticas; esto implica que será posible liberar recursos en el caso de que la carga disminuya, y mantener el rendimiento si aumenta el número de usuarios, y por lo tanto el volumen de datos que maneja.
Asimismo es importante disponer de una arquitectura elástica; especialmente crítica en el caso de Infraestructura como Servicio (IaaS) y en algunos casos de Plataforma como Servicio (PaaS), y en el caso de empresas que utilizan la nube privada pero que en algún momento han necesitado aumentar su capacidad por encima de sus posibilidades. En este caso deberán estudiarse aquellos casos en los que su uso pueda suponer un ahorro a largo plazo.
 Por todo esto tal vez podríamos hablar también de elasticidad en la gestión económica de las TI.

9 de octubre de 2012

ROSI, el retorno de la inversión en seguridad

Los de TI ya sabemos que es necesario justificar toda inversión en TI, que la gestión del portfolio es básica, que tenemos que hablar la jerga financiera, que hay que alinearse/sincronizarse con negocio... yo creo que a fuerza de repetirlo ya lo hemos comprado y entendido por lo tanto tranquilos por ese lado. Pero claro, responsables de negocio, ¿no negarán que hay algunas inversiones difíciles de justificar?, hoy quiero hablar de una de las peores: la seguridad en general y la de TI en particular.

Tienes una farmacia y ya te la han robado por alunizaje varias veces, es evidente que el coste de poner unos pilares de acero delante del escaparate esta más que justificado. Pero resulta que las ventas de la farmacia no van muy allá y decides lanzarte a la venta de productos de parafarmacia por internet para complementar el negocio. Arrancas el proyecto y cuando entras en la fase de elección de hosting tienes que decidir entre varios, pero los precios son muy dispares, la diferencia es del orden de 10 veces más al més entre el más caro y el más barato, aparentemente solo se diferencian en espectos de seguridad (anti-spam, firewalling, IDS, IPS,...). ¿Que harías? ¿cual contratarías?.  Desgraciadamente el 80% de los mortales cogerían el más barato.

Este ejemplo de una micro-Pyme, se extrapola directamente a las grandes compañías. La inversiones en seguridad TI son siempre muy difíciles de justificar. Normalmente el responsable de seguridad tiene que esperar a que haya un incidente grave para obtener presupuesto. Para intentar paliar esto han aparecido procesos en todos los estándares y mejores prácticas de TI que incorporan la gestion de la seguridad y el riesgo en el circuito de definición, desarrollo y gestión de los servicios de TI. Esto es un gran paso pero no es suficiente. Como en otros aspectos relativos a la gestión de las inversiones en proyectos de alto componente TI, es necesario introducir metodologías y medidas lo más objetivas posibles para demostrar la rentabilidad financiera de las inversiones en seguridad TI. Entre ellas quizás la mas conocidad es el ROSI (Return on Security Investments), pero lo importante no es el nombre sino la manera de calcularlo. Conceptualmente el retorno de la inversión es sencillo: cuanto obtengo a largo plazo por cada euro invertido en algo. En el caso de la seguridad el problema es que hablamos de probabilidades es decir debemos evangelizar sobre el hecho de que si no inviertes en seguridad vas a perder dinero con una probabilidad del xx% y ya sabemos todos que es muy difícil hacer entender a la gente las leyes de la probabilidad (como por ejemplo que la probabilidad de volver a tener un incidente de seguridad cuando ya has sufrido uno es la misma que la del primer incidente, ya que los sucesos son independientes, hablando a grosso modo). Hay abundante literatura sobre los diversos métodos de cálculo del ROSI y no me voy a extender, solo desear suerte a los responsables de seguridad IT, la labor es dantesca.

3 de octubre de 2012

La tendencia del sourcing

Desde hace unos años las compañías han empezado a buscar, como estrategia para sus departamentos de TI, soluciones a sus necesidades basadas en el sourcing, en cualquiera de sus modalidades, como una manera de acometer los procesos de TI y de provisionar sus servicios. De hecho surgieron nuevas empresas tecnológicas como escisión de los departamentos de TI de grandes compañías cuyos negocios eran distintos al del sector de las TIC y cuya primera área de negocio fue el sourcing de esas compañías de las que antes formaban parte.

Aunque el outsourcing TI no es la panacea de todos los males, pero sí es la solución a muchas y específicas necesidades. Las empresas no cuentan con todos los recursos tecnológicos que quisieran ni tienen acceso a las últimas tecnologías. Este es uno de los argumentos de peso que determina la relevancia de esta modalidad de servicio. Pero claro, transferir los profesionales a otra organización, y que de empleados pasen a ser suministradores, supone un cambio diametral. También supone un cambio cultural para toda la compañía y una transformación profunda en su forma de hacer las cosas. 

Top Procurement Priorities 2011–2014





El creciente énfasis en el control de costes que ha surgido de la reciente recesión en algunos casos ha acelerado la tendencia creciente hacia el sourcing de recursos o proceso.
Todos sabemos que el ahorro de costes encabeza la lista de prioridades  en la cabeza de un ejecutivo, según fuente de Ardent Partners Ltd.




Source: Ardent Partners Ltd., “CPO Rising 2011: Innovative Ideas for the Decade Ahead”

Sin embargo, en nuestro país, últimamente se está presentando justamente la situación a la inversa. Motivado por esa disminución considerable de los presupuestos de los departamentos de TI, servicios que se prestaban en modalidad de outsourcing, los CIO han cambiado la estrategia y están intentando asumir esa prestación con recursos internos de su empresa. Probablemente, la transición de asumir servicios con recursos propios es mucho más compleja que la de externalizar a un proveedor especializado. Requiere una reestructuración de los procesos internos y entre los riesgos existentes además del riesgo omnipresente de “la resistencia al cambio” puede llevar una considerable disminución de la calidad de los servicios provisionados por el departamento.

Mi experiencia me dice que a veces este tipo de estrategias de cambio, como la de cambio de proveedor, o la renuncia al outsourcing de recursos o servicios, motivadas exclusivamente por una reducción de los costes del departamento puede llevar a daños o a la materialización de riesgos con un mayor perjuicio en el negocio de la empresa.