Algunos principios para la mejorar la seguridad a través de la calidad

28 Abr 2004 en Seguridad

Las tres preguntas básicas del párrafo anterior pueden tener respuestas muy amplias en un proyecto de calidad y por eso es necesario simplificar las variantes que identifiquen los aspectos clave que requieren de mejora. Por ejemplo, si cada sector o grupo configura su servidor en forma diferente y uno de ellos logra mayor disponibilidad, la identificación de las diferencias/beneficios será demasiado trabajosa y lenta.
En estos proyectos hay que utilizar a la mejor gente y no recurrir automáticamente a quienes están sentados sin mucho que hacer. Al inicio del proyecto se documentarán las mejores prácticas de la organización con el propósito de realizar becnchmark de los procesos y buscar orientación en fuentes como IT Infraestructure Library (ITIL), la metodología Visible Ops de ITPI o Microsoft Operations Framework (MOF).
En IT conviene obrar de la misma forma que los fabricantes que exigen prácticas de calidad a sus proveedores, ya que gran parte del software y los servicios que se utilizan en las empresas son provistos por terceros. Para atender a la calidad perseguida, se establecerán niveles de servicio, determinando concisamente lo que es aceptable y lo que no lo es; determinando métricas y realizando estudios de performance objetivos. El resultado de las métricas y estudios debe ser comunicado regularmente a los proveedores, además de las expectativas de mejora continua que se planteen.
¿Por qué razón el departamento de IT tiene que aceptar sub-estándares de calidad de parte de sus proveedores? Muchos lo hacen porque no comprenden la relación causal entre productos de IT pobres, gastos en seguridad y costos totales. Los proveedores no van a contribuir al pago de los costos de una calidad pobre e IT tampoco debería hacerlo… Una seguridad pobre es síntoma de procesos pobres y no puede ser remediada aplicando dinero en tecnología y gente. El problema radica en los procesos que deben ser analizados, estructurados, formalizados y continuamente mejorados no sólo en IT, sino también en su cadena de abastecimiento.
Estos dos resúmenes se basan en un artículo del especialista en calidad de IT George Spafford para Datamation/IT Management.