(Ese software ya estaba aquí)… pero no lo sabíamos!
Me encanta la reflexión de Susana Suárez, compañera del Comité Regional de Asturias, en su artículo “Ese software ya estaba aquí”. Pero con el permiso de Susana, vamos a ir un paso más allá, analizando si realmente somos capaces de saber que “ese software estaba aquí”, o simplemente está, pero no lo sabemos…
La importancia de conocer “lo que tenemos” es más que evidente, y prueba de ello es que el propio CCN le dedica este nuevo documento “CCN-STIC 858 Implantación de sistemas SaaS en modo local (on-premise)”, que Susana tan bien nos introduce en su artículo. La idea del CCN es sencilla (que no es lo mismo que fácil de implementar), y se centra en documentar oportunamente aquel software on-premise que está en la organización (obviamente, empezando por lo más crítico para la prestación del servicio).
El problema surge cuando ni tan siquiera conocíamos que “ese software ya estaba aquí”. El sesgo de información aquí es muy importante, ya que es imposible hacer más seguro lo que no conoces. Ni mejorar su disponibilidad. Ni ajustar sus costes. Ni mejorar la experiencia del usuario. ¿Seguimos?
La necesidad de documentar un sistema en el momento de su puesta en marcha es algo obvio, y quiero pensar que se hace regularmente (con mayor o menor detalle, en función de la madurez de la organización y la criticidad del sistema). El problema surge con los sistemas legados, y con toda la tecnología que “ya estaba aquí” cuando llegamos. En estos casos la cosa cambia, y antes de ponernos como locos a buscar o preparar la documentación oportuna de cada sistema, toca empezar la casa por los cimientos, buscando qué es lo que realmente tenemos. No sirve de nada profundizar en tener documentado al 100% un sistema sin tener una primera visión global de todo.
¿Qué es mejor, documentar al 100% la mitad de los sistemas, y que la otra mitad ni tan siquiera la conozcamos, o documentarlos todos, aunque no sea a gran profundidad, pero tener la certeza de que conocemos el 100% de lo que tenemos? La respuesta, aunque con matices, está clara: conocerlo todo, y luego ir profundizando en aquellos sistemas más críticos.
Esta visión global nos la proporciona la Gestión de Activos de TI (ITAM), que debería ser la encargada de conocer y gestionar todos los activos tecnológicos de la organización. Y cuando decimos todos, decimos todos. El 100%. Aquí no sirven medios inventarios, todo es todo. Esa visión global puede parecer fácil de obtener, pero si hablamos de una red con miles de equipos, repartida en decenas de países, y administrada localmente por un buen puñado de ingenieros locales, las sorpresas aparecen más pronto que tarde (y esa supuesta visión global empieza a difuminarse a una velocidad increíble).
Una vez que se dispone de la información, ahora sí, llega el momento de ordenar los sistemas (y sus aplicaciones) por criticidad, aporte de valor al negocio, riesgos,… e ir tomando las medidas oportunas para cada uno de ellos. Una de esas medidas será generar la documentación que nos propone el CCN y de la que nos hablaba Susana en su artículo, pero seguro que habrá otras mil cosas que hacer: ¿seguro que la aplicación sigue haciendo falta? ¿se sigue usando? ¿para qué vale?… Os sorprendería la cantidad de respuestas “poco apropiadas” que podríamos obtener al responder a las preguntas anteriores. El descubrimiento de nuevos sistemas desconocidos hasta el momento viene siempre (¡siempre!) acompañado del descubrimiento de gastos y consumos de recursos innecesarios, riesgos para la seguridad de la información no contemplados, planes de contingencia incompletos,…
Conocer qué tenemos y cómo lo tenemos debería ser siempre el primer paso para empezar a ordenar nuestros sistemas. No sirve con documentar al máximo solo algunos de ellos, y seguir feliz en la ignorancia mirando para otro lado sin ver el resto.
De nuevo, la respuesta está en la Gestión de Activos de TI 😊
Team Leader Grupo Expertos itsm4ITAM
Comité de Estándares de itSMF España