Este software ya estaba aquí
Cuantas veces hemos escuchado en una conversación entre informáticos “este software ya estaba aquí”, “si funciona, no lo toques”, “¡uf! para actualizar esto”, … todas estas preocupaciones e incertidumbres respecto al funcionamiento de una aplicación informática se suceden en el ámbito empresarial y tienen el mismo origen: una aplicación ya estaba instalada y la documentación no contiene toda la información necesaria para que los equipos que “la han heredado” se sientan técnicamente solventes para gestionar su ciclo de vida.
Los motivos que lo ocasionan son múltiples y normalmente alineados con las “necesidades de negocio”, pero la realidad es que el paso del tiempo hace cada vez más difícil acometer una correcta Gestión de Servicios de TI sobre estas aplicaciones.
Pero ¿Cuál es la información necesaria? La lista de posibles documentos es amplia: manual de instalación, manual de operación, manual de mantenimiento, manual de configuración, … no solo en variedad de documentos, sino en contenido y formato.
A nuestro Centro Criptográfico Nacional, le preocupan los servicios que las administraciones públicas dan a los ciudadanos y, por ende, el software que requieren para ello.
Estas aplicaciones suelen ser resultado de proyectos a medida y llave en mano, que el proveedor implanta y mantiene durante el periodo inicial, ¿y después? Una nueva licitación, quizás un proveedor diferente, evolutivos con funcionalidades, etc.
El CCN ha buscado una solución: ha recogido en un único documento las indicaciones para documentar adecuadamente las aplicaciones implantadas en modalidad on-premise, lo ha denominado Guía de instalación y lo describe en detalle en Guía de Seguridad de las TIC “CCN-STIC 858 Implantación de sistemas SaaS en modo local (on-premise)”.
La Guía de instalación tiene como objeto “… instruir sobre el proceso de instalación y parametrización de la solución de manera que se mantenga la seguridad en su conjunto y en todas las dimensiones de la misma.” Y como la disponibilidad es una de las dimensiones de la seguridad, ya empieza a sonar bien; continúa diciendo “Por este motivo, los administradores de la organización cliente podrán encontrar en la Guía la información adecuada relativa a la interconexión de la solución con el resto de la arquitectura e infraestructura del cliente, incluyendo aplicaciones, activos relacionados con la tecnología y otros componentes para manejar la información. Además, la citada Guía también podrá aportar recomendaciones de configuración de otros activos no entregados con la solución, pero que forman parte de la red de la organización del cliente donde se implanta, y son necesarios para asegurar el funcionamiento global”.
Viendo la estructura del documento, me reafirmo:
- En Acciones necesarias de los administradores en la instalación, se solicita incluir instrucciones para implantar la solución y su mantenimiento, así como “precisiones o cautelas de las que tenga conocimiento y que, a su juicio, deban ser adoptadas por el cliente en relación con otros productos que tenga instalados en su infraestructura tecnológica y que deban interaccionar con la solución implantada”.
- En Manual del administrador, se requiere tanto información para gestionar los derechos de acceso, como la configuración de los registros de auditoría, la inclusión de consejos de bastionado o el purgado de base de datos, y concluye indicando “la ausencia de cualquier contenido del que pudiera derivarse una inadecuada configuración del sistema y que pudiera comportar daños o perjuicios para la entidad cliente o los servicios prestados, será responsabilidad del proveedor de la solución.”
Con la información para el dimensionamiento de la solución, la configuración inicial segura, las consideraciones para actualizar el sistema, la información de cómo realizar pruebas de integración y los requisitos de seguridad, se completaría el documento.
Nuestras nuevas Guías de instalación, serán un documento amplio pero concreto, diseñado desde el conocimiento y que desea que la gestión del ciclo de vida de las aplicaciones no sea una epopeya.
Miembro del Comité de Asturias de itSMF España