Luis Vilanova http://luisvilanova.es Interim Manager TIC y Auditor Informático Wed, 10 Jan 2018 18:39:13 +0000 es-ES hourly 1 https://wordpress.org/?v=4.9.2 http://luisvilanova.es/wp-content/uploads/2017/11/LV_IMAGEN-CORPORATIVA-Anagrama-150x150.png Luis Vilanova http://luisvilanova.es 32 32 CIO full time vs Interim Manager TIC http://luisvilanova.es/cio-full-time-vs-interim-manager-tic/ http://luisvilanova.es/cio-full-time-vs-interim-manager-tic/#respond Wed, 13 Dec 2017 16:25:47 +0000 http://luisvilanova.es/?p=16803 Apunto de continuar la colaboración como asesor TIC con un grupo empresarial de Madrid, quería reflexionar en esta nueva entrada del diario del Interim Manager algunas cuestiones referentes a la idoneidad de disponer de un CIO full time interno o un CIO Interim part-time. Decía...

La entrada CIO full time vs Interim Manager TIC se publicó primero en Luis Vilanova.

]]>
Apunto de continuar la colaboración como asesor TIC con un grupo empresarial de Madrid, quería reflexionar en esta nueva entrada del diario del Interim Manager algunas cuestiones referentes a la idoneidad de disponer de un CIO full time interno o un CIO Interim part-time.

Decía cierto experto en estrategia empresarial que si quieres resolver temas de carácter urgente debes tener un equipo interno pero si lo que una empresa quiere es evolucionar y sobre todo crecer debe rodearse de expertos externos. Esta reflexión, no exenta de matices y disponible para debatir durante horas, es la base actual de mi trabajo como Interim Manager TIC.

CIO full time vs Interim Manager TIC (o los dos)

Entendamos que tradicionalmente una empresa opta por un responsable de TI, director TI, CIO, CTO etc para dirigir su departamento de informática o sus sistemas de información en general. Esta elección suele conllevar la contratación de un profesional que aumenta la masa salarial y que se incorpora a una organización donde su curva de productividad, basada en estudios realizados, disminuye con el paso de los años, así como su motivación. Su trabajo o sus ganas se llegan a mimetizar con el resto con el paso del tiempo y pasa de ser motor y juez, como lo es en las primeras etapas, a ser juez y parte de su trabajo.

Los profesionales externos no formamos parte de un entramado interno de una organización, somos independientes, somos libres en extremo, es decir, somos multidisciplinares y en muchas ocasiones trabajamos en diferentes sectores simultáneamente. Debemos basarnos en estándares de trabajo (ITIL, ISO27001, COBIT,…) para definir y medir nuestras colaboraciones, tanto nuestro aporte de valor como la realización en si misma de nuestros objetivos. DE manera fundamental podemos informar y expresar de una forma incomparablemente objetiva la situación TI, riesgos y gaps, así como malas prácticas de una empresa en nuestros informes. Podemos decir, en resumidas cuentas, lo que se trabaja de forma adecuada y lo que es mejorable. ¿Entonces es mejor un roll Interim part time como CIO que un rol full time a cuenta ajena?

Considero que somos compatibles y podemos o no convivir. Para explicar aún más esta afirmación nada mejor que definir algunas situaciones que yo mismo estoy involucrado para entender las diferentes combinaciones que pueden existir:

  1. CIO full time SI en colaboración con un CIO externo part time. En algunas empresas en las que colaboro existe la figura del CIO full time, formando parte de la plantilla de la empresa. En estos casos mi rol o la razón fundamental por la cual la empresa me contrata es para supervisar y auditar periódicamente (típicamente 2-3 días al mes) la labor del CIO interno. Esto permite no solo que pueda realizar una labor de Mentoring sino asegurar que el CIO está alineando adecuadamente la estrategia TI con la estrategia empresarial evitando que esta labor la realice el CEO (que tiene otras guerras).
    1. Disponer de un CIO full time puede ayudar a responder ante situaciones de crisis más rápidamente (aunque no siempre es así)
    2. Permite que la empresa tenga alguien cercano de manera constante, quizás con un perfil algo más técnico.
    3. AL apoyarse en mi labor como externo el CEO dispone de datos sin sesgar y objetivos de cómo evolucionan las TI en la organización así como le descargamos de este complejo seguimiento, al hablar el mismo idioma que el CIO y el mismo que el negocio.
  2. CIO full time NO CIO part time SI. Esta labor la desarrollo en organizaciones que no son de un tamaño excesivo y que, mediante el Outsourcing, puede ahorrar los costes de un CIO o incluso de un departamento TI interno y full time. Las ventajas para la empresa es que pueden disponer de un CIO que alinee la estrategia TIC con la estrategia empresarial con un coste asequible.

Conclusión

En definitiva como Interim Manager TIC mi labor como CIO part time es siempre ayudar a la empresa a crecer, a mejorar su estrategia de los sistemas de información, situado entre las TI y el negocio, de forma objetiva y sin sesgo.

La entrada CIO full time vs Interim Manager TIC se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/cio-full-time-vs-interim-manager-tic/feed/ 0
Interim Manager – Productividad TI http://luisvilanova.es/interim-manager-productividad-ti/ http://luisvilanova.es/interim-manager-productividad-ti/#respond Thu, 16 Nov 2017 18:34:02 +0000 http://luisvilanova.es/?p=16576 En este ocasión quería comentar la situación que viven algunas empresas respecto de la falta de calidad y productividad del área Ti o informática, contando mi experiencia como Interim Manager y CIO part time desde 2005.

La entrada Interim Manager – Productividad TI se publicó primero en Luis Vilanova.

]]>
En este ocasión quería comentar la situación que viven algunas empresas respecto de la falta de calidad y productividad del área Ti o informática, contando mi experiencia como Interim Manager y CIO part time desde 2005.

La entrada Interim Manager – Productividad TI se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/interim-manager-productividad-ti/feed/ 0
Gap entre el area TI y el core business http://luisvilanova.es/gap-entre-el-area-ti-y-el-core-business/ http://luisvilanova.es/gap-entre-el-area-ti-y-el-core-business/#respond Thu, 16 Nov 2017 18:29:06 +0000 http://luisvilanova.es/?p=16572 Quiero hablar de la distancia que en ocasiones existe entre el área TI y el resto de la empresa afectando directa y negativamente al avance de la digitalización empresarial. En este post hablare como solución este problema con la elaboración de un plan TI como...

La entrada Gap entre el area TI y el core business se publicó primero en Luis Vilanova.

]]>
Quiero hablar de la distancia que en ocasiones existe entre el área TI y el resto de la empresa afectando directa y negativamente al avance de la digitalización empresarial. En este post hablare como solución este problema con la elaboración de un plan TI como resultado de una auditoria TIC.

La entrada Gap entre el area TI y el core business se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/gap-entre-el-area-ti-y-el-core-business/feed/ 0
Interim Manager TIC como asesor externo http://luisvilanova.es/interim-manager-tic-asesor-externo/ http://luisvilanova.es/interim-manager-tic-asesor-externo/#respond Fri, 20 Oct 2017 10:20:13 +0000 http://luisvilanova.es/?p=2769 En este post quisiera comentar sobre la importancia y utilidad de un Interim Manager experto en TI y transformación digital como asesor y auditor en el acompañamiento a tiempo parcial del área TI. Hablamos de la figura del Interim Manager TIC como asesor externo. En...

La entrada Interim Manager TIC como asesor externo se publicó primero en Luis Vilanova.

]]>
En este post quisiera comentar sobre la importancia y utilidad de un Interim Manager experto en TI y transformación digital como asesor y auditor en el acompañamiento a tiempo parcial del área TI. Hablamos de la figura del Interim Manager TIC como asesor externo.

En este caso estamos ante un cliente que comenzamos en 2016 a trabajar conjuntamente en una auditoria de gobierno TI, LOPD, LSSI e ISO27001, donde como resultado extrajimos diferentes conclusiones de riesgos y gaps que nos llevaron a tomar una serie de decisiones basadas en 4 pilares fundamentalmente:

  1. Proyectos a realizar de desarrollo y alineamiento TIC.
  2. Cambios en RRHH.
  3. Necesidad de un gobierno TI experto.
  4. Necesidades de reforzar la seguridad informática y ciberseguridad por su impacto directo en el marco legal LOPD y LSSI.

Interim Manager TIC su asesor externo

En este sentido todo parece indicar que continuaremos durante 2018 como asesores o auditores externos acompañando al nuevo equipo TI en diferentes aspectos. Como comentamos en el vídeo es muy enriquecedor que la empresa, al igual que posee un auditor financiero externo que vela por las buenas prácticas en materia contable y fiscal, disponga de un experto externo en transformación digital, al día en todas las tendencias, con experiencia en otros entornos y sectores, para aportar una visión de apoyo a dirección TIC y dirección de negocio con informes de situación totalmente claros y sin el sesgo de quien es parte del mismo.

Estamos ante un trabajo de terreno, de lo que yo denomino de “terreno”, de “mojarse”, de reuniones con los usuarios, con TI, de resolución de conflictos, de enfoque de proyectos, de toma de decisiones y de Reporting de los avances y de las dificultades. Es decir, de una labor pragmática, práctica y objetiva que aporta valor desde el primer día.

En el siguiente vídeo podrás entender un poco más el alcance de esta colaboración.

Muchas gracias.

Luis Vilanova Blanco. Interim Manager TIC, experto en dirección TI y transformación digital.

606954593

luis@luisvilanova.es

La entrada Interim Manager TIC como asesor externo se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/interim-manager-tic-asesor-externo/feed/ 0
Plan TI – Acelerar la digitalización empresarial http://luisvilanova.es/plan-ti-acelerar-la-digitalizacion-empresarial/ http://luisvilanova.es/plan-ti-acelerar-la-digitalizacion-empresarial/#respond Wed, 11 Oct 2017 16:29:31 +0000 http://luisvilanova.es/?p=2764 En este artículo quiero hablar de la distancia que en ocasiones existe entre el área TI y el resto de la empresa afectando directa y negativamente al avance de la digitalización empresarial. En este post hablare como solución este problema con la elaboración de un...

La entrada Plan TI – Acelerar la digitalización empresarial se publicó primero en Luis Vilanova.

]]>
En este artículo quiero hablar de la distancia que en ocasiones existe entre el área TI y el resto de la empresa afectando directa y negativamente al avance de la digitalización empresarial. En este post hablare como solución este problema con la elaboración de un plan TI como resultado de una auditoria TIC. (Plan TI – Acelerar la digitalización empresarial.)

Plan TI – Acelerar la digitalización empresarial

A veces me resulta bastante increíble ver como muchas empresas tienen disponen de un plan de marketing, de un plan de negocios, de un plan financiero, incluso de un plan de prevención de riesgos pero no un plan TI que ayude a digitalizar la empresa y a reducir el gap o la distancia que existe entre los departamentos TI y negocio, si es que este no está en el negocio.

TI no suele estar en el negocio a no ser que el core de la empresa sea el comercio electrónico, generalmente. Es por ello que la empresa avanza en una dirección y a un ritmo que en ocasiones TI no está preparado.

 

Durante los últimos años he ayudado a empresas y asociaciones de todo tipo a reducir esta distancia. Para ello planteo el siguiente planning de trabajo:

  1. Realización de una auditoria TIC, donde por cada departamento de negocio analizo la situación de sus tecnologías de la información que dan soporte a su trabajo diario, relaciones con proveedores y clientes, intercambio de información con terceros, proyectos en curso y futuros, así como el grado de satisfacción de las TI. Este trabajo lo realizo mediante reuniones con la totalidad de departamentos que mi interlocutor, generalmente el gerente (o adjunto), ha decidido.
  2. De esas reuniones salen, por un lado, todos los gaps y problemas que actualmente se tienen en el uso de las tecnologías de la información, así como una lista de “deseos” y necesidades así como proyectos que cada departamento demanda a corto y medio plazo.
  3. Esas reuniones me permiten entender el negocio y por similitud a otras empresas que he liderado sus tecnologías de la información, aproximar ya las soluciones que serán necesarias.
  4. Tras esas reuniones mantengo una reunión con todo el equipo TI, donde me explican estos gaps y por qué persisten. Me explican el mapa de aplicaciones, bases de datos, infraestructura, sistemas de seguridad, proyectos en curso, etc de manera que me ayudan a entender aún más lo que he captado en las reuniones con los equipos de negocio con la situación del área TI.

Una vez llegado a este punto es posible que necesite alguna reunión más con los equipos de negocios para confirmar o aclarar alguna cuestión. Después una vez analizado todo lo anterior, lo que denominamos AS-IS, tenemos que planificar las tecnologías de la información, internas y externas (webs, redes sociales, intercambio digital, cloud, SaaS, etc) que la empresa necesitara a 2-3 años. Lo que denominamos el TO-BE (siempre teniendo en cuenta aspecto de seguridad de la información, legales, etc)

Consensuado con dirección el TO-BE paso a estudiar junto con el equipo TI y con el de algunos de negocio los proyectos que nos llevaran del AS-IS al TO-BE, lo que denomino el plan de acción. Este plan de acción incluye:

  1. Proyectos a llevar a cabo.
  2. Recursos necesarios, tanto económicos como humanos.
  3. Planificación de tiempos.

Una vez consensuado con dirección, TI y key users, así como realizado correcciones, se presenta a todo el comité de dirección para su puesta en marcha. En algunas empresas suelo continuar mi trabajo como líder de este plan TI, dirigiendo y apoyando su realización puesto que la mayoría de proyectos será transversales, que estos sean coordinados por alguien externo e independiente, donde TI forma una parte importante pero es una pieza involucrada más, es muy enriquecedor y genera muy buenos resultados para la empresa cliente. En este caso me quedo como Interim manager en la transformación digital de la empresa en cuestión.

Conclusiones

La figura del Plan TI y del Interim Manager como líder externo es fundamental para aquellas empresas que quieren aumentar el nivel de digitalización de la empresa así como asegurar la puesta en marcha en 2-3 años de los proyectos que aseguren el alineamiento del área TI con el negocio de la empresa. La figura del externo es muy valorada por muchos departe manteos de negocio puesto que ven en el alguien independiente, fuera de la inercia normal de toda empresa así como objetivo en la toma de decisiones. La empresa gana en general al no tener que aumentar la masa salarial ya que estas colaboraciones se realizan con un contrato mercantil por un tiempo determinado.

Luis Vilanova Blanco. Interim Manager TIC.

911277300

606954593

luis@luisvilanova.es

 

La entrada Plan TI – Acelerar la digitalización empresarial se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/plan-ti-acelerar-la-digitalizacion-empresarial/feed/ 0
¿Su departamento TI no es productivo? http://luisvilanova.es/departamento-ti-no-productivo/ http://luisvilanova.es/departamento-ti-no-productivo/#respond Thu, 14 Sep 2017 08:23:00 +0000 http://luisvilanova.es/?p=2757 Doy fe que es algo que se repite en muchas empresas y organizaciones de todo tipo. Los departamentos de negocio no están contentos con el rendimiento, calidad percibida, tiempos de respuesta, calidad en el resultado, orientación al cliente, etc del área TI. Algo que parece...

La entrada ¿Su departamento TI no es productivo? se publicó primero en Luis Vilanova.

]]>
Doy fe que es algo que se repite en muchas empresas y organizaciones de todo tipo. Los departamentos de negocio no están contentos con el rendimiento, calidad percibida, tiempos de respuesta, calidad en el resultado, orientación al cliente, etc del área TI. Algo que parece asumirse en el sector como ‘típico’. He escuchado, lamentablemente, incluso risas cuando he preguntado a otros directivos y mandos intermedios de otras áreas por el área TI, cuestión que no deja de preocuparme y que tiene solución aunque sea difícil. En este artículo quiero nombrar algunas de las posibles razones que pueden ser causa de esta sensación y que parece, en muchas ocasiones que la dirección parece no ver y que podría resolver con un Interim Manager TIC

Interim Manager TIC

¿Qué razones pueden ser la causa?

Todo en la vida tiene una razón y una o más causas que provocan una o más situaciones. En el caso del departamento TI no es el azar, ni la idiosincrasia de los “informáticos”, ni otras cuestiones ajenas a un estudio objetivo y empírico que explique porque su departamento no sea productivo. Puesto que explicar los conceptos con ejemplos es mucho más claro, seguidamente tratare, basado en mi experiencia como Interim Manager, diferentes situaciones que me he encontrado y encuentro así como los pasos llevados a cabo para su solución:

  1. Selección incorrecta de tecnologías. El lector puede ser profano en las TI pero entenderá que si selecciono un Formula 1 para ir por montaña, entre piedras, no será la mejor elección. En las TI ocurre algo similar pero agravado. Los profesionales que forman su departamento trabajan, por inercia y formación, con una serie de tecnologías, que en general son las que conocen. En diferentes ocasiones me he encontrado con tecnologías, por ejemplo de programación, totalmente incorrectas, buenas para un objetivo pero no adecuadas para otro. Por nombrar un ejemplo si estamos desarrollando un software para gestión no deberíamos seleccionar una tecnología o framework de desarrollo genérico, existiendo Frameworks, entornos y soluciones preparadas para la gestión empresarial.
    1. Mi caso de éxito. Uno de mis principales clientes estuvo 3 años desarrollando en php su sistema de gestión con un resultado nefasto, equivalente a tirar el dinero a la papelera. A mi llegada y con el asesoramiento de un software de gestión adecuado, dato único, orientado a gestión empresarial en apenas 6 meses tenía un entorno adecuado con los procesos core de su negocio funcionando.
    2. Síntomas. En este punto subrayar que los síntomas para detectar esta situación son:
      1. Modificar el entorno incluso para añadir un campo de información sin funcionalidad supone para el departamento TI un quebradero de cabeza o cuesta días hasta que está disponible.
      2. El área TI necesita de un equipo de varias personas para programar sencillas aplicaciones de gestión.
    3. El software de gestión carece de calidad visual, interfaz, comprensión o puede tener fallos repetidamente en un simple funcionamiento de inserción o guardado de datos.
    4. No puedo usar el software en una Tablet o smartphone.
  1. No se dispone de dato único. Este punto es especialmente importante y repetido en las empresas. Entendamos que cada día mas las organizaciones no tienen un único sistema, como se nombraba que siempre se alcanzaría con un ERP. Tienen sistemas ERP, CRM, SGA, Apps, etc que proporcionan procesos e información clave para el negocio. Sin embargo todos estos sistemas disgregados pueden no aportar una visión única y exacta de la información. Si su empresa adolece de una visión distinta e incorrecta de un mismo dato, dependiendo de donde se extraiga la información o cuando se extraiga estamos ante una situación anómala. El área TI debe tener conocimientos de cómo se desarrolla un proyecto de dato único, como generar un DWH con procesos de unificación y carga entre los diferentes sistemas, como crear una capa de Servicios Web o procesos automatizados que unifique en un dato único por ejemplo la información de ventas de un ecommerce, de un CRM y de un ERP.
    1. Mi caso de éxito. En este sentido y por citar un caso de éxito, al llegar a un importante laboratorio farmacéutico fue uno de los core de mi trabajo, crear un DWH para centralizar la información proveniente de los diferentes sistemas y unificar mediante procesos de carga y transformación, creando una capa de Business Intelligence ágil que permitiera al usuario consultar su información de una forma fiable.
    2. Algunas de los síntomas:
      1. El área TI no tiene experiencia en la unificación de información y existe desconfianza en la información de reports e informes que la empresa utiliza.
      2. Los informes no cuadran, es decir, un área puede tener un dato y otro diferente, de manera que la desconfianza crece
      3. Los informes no están disponibles o muestran datos absurdos
      4. Necesita de TI para la extracción de la información.
  1. Orientación a dirección de proyectos. Las TI como base de la digitalización empresarial tiene muchos aspectos que ya considero como Commodity (ciberseguridad, sistemas, etc). Si su empresa no puede acceder a la información desde cualquier lugar y desde cualquier momento, no tiene herramientas de trabajo colaborativo, o necesita de TI para su utilización, en la era de tantas soluciones Cloud SaaS que aligeran la carga de trabajo del área TI, muy posiblemente este ante un problema de orientación del área TI. En muchas ocasiones el área TI está formado por técnicos. Este enfoque puede provocar que no se quiera externalizar o utilizar soluciones de terceros donde se pierde el control por su parte, ya no está en manos de TI. Pero esto es un grave error, pues debemos entender como directivos que todo lo que no sea core es mejor externalizarlo, es un principio del management comúnmente conocido. Me he encontrado incluso algún informático que me ha trasladado que veía que era la mejor solución pero que si lo hacía peligraría su puesto. La externalización y el uso del Outsourcing es clave para la optimización del área TI, aunque es verdad que en muchas ocasiones nos encontramos el freno dentro del propio departamento TI por cuestiones que ya he nombrado.
    1. Mi caso de éxito: En otra de mis misiones como Interim Manager contacto una importante empresa del sector plástico. Había perdido a su equipo TI, se habían marchado. Cuando contacto conmigo le dije que podríamos plantear un departamento TI totalmente Outsourcing, conmigo como CIO Part Time, sin nadie en plantilla. Hoy hace aproximadamente 7 años que funcionamos así con un gran nivel de éxito.
    2. Algunos de los síntomas que podrían dejar ver que su área TI no está orientado al management o dirección de proyectos:
      1. Los proyectos no se terminan a tiempo o no se inician y se quedan en espera durante años.
      2. Tiene demasiada estructura en comparación con los resultados obtenidos y esperado.
      3. Siempre van desbordados.
      4. No se aprovecha la externalización o uso del Cloud SaaS.
      5. Son técnicos y no directores de proyecto, se preocupan más por la “técnica” que por la dirección de un proyecto.

Podría nombrar muchos más puntos que afectan a la imagen negativa del área TI. En ocasiones siempre recomiendo pasar un test de satisfacción a la empresa que mida el grado de satisfacción percibido de su orientación al cliente, resultados, calidad, etc para objetivizar esa sensación y que dirección entienda si realmente está ante un problema.

Conclusiones

Como Interim Manager TIC mi especialidad es justamente optimizar las TI, alinear el área TI con la estrategia de la empresa y mejorar el nivel de digitalización de la misma, no de un modo teórico, sino practico, desde el terreno. Esto lo llevo a cabo con éxito introduciéndome como CIO part-time o CDO part-time para, en 2-3 años dar la vuelta a la situación, pero siempre con resultados progresivos a corto plazo (meses). Mi metodología es la siguiente:

  1. AS-IS. Reunión con todos los departamentos de la empresa para entender el uso de las TI, la calidad percibida, gaps, problemas, etc y entender su estrategia a 2-3 años para así poder analizar que se necesitara en el alineamiento de las TI con la estrategia empresarial.
  2. TO-BE. Plantear los proyectos que deberemos realizar para solucionar la situación anterior.
  3. Plan de acción. Plasmar en un diagrama de Gantt los proyectos, fases, tiempos, recursos, etc y si el cliente lo necesita responsabilizarme de este plan TI o de digitalización empresarial pasando a ser Interim Manager en la empresa para esta misión y el tiempo que se haya analizado para llevar a cabo la transformación.

No he nombrado el trabajo de mentoring de equipos y de coaching que realizo con los miembros del área para mejorar sus competencias con un grado de consecución y satisfacción muy elevado sin el cual no es posible en muchas ocasiones mejorar todo lo que quisiéramos el área de TI.

Luis Vilanova Blanco

Interim Manager TIC. CIO-Part Time

606954593

luis@luisvilanova.es

www.luisvilanova.es

 

La entrada ¿Su departamento TI no es productivo? se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/departamento-ti-no-productivo/feed/ 0
Interim Manager TIC, ciberseguridad y transformación digital http://luisvilanova.es/interim-manager-tic-ciberseguridad-transformacion-digital/ http://luisvilanova.es/interim-manager-tic-ciberseguridad-transformacion-digital/#respond Sun, 06 Aug 2017 09:24:57 +0000 http://luisvilanova.es/?p=2753 Interim Manager TIC, ciberseguridad y transformación digital son conceptos directamente relacionados. Recientemente he tenido la suerte de poder finalizar el Máster en Ciberseguridad de Deloitte, pudiendo afirmar que como Interim Manager TIC la seguridad informática y la ciberseguridad son conceptos que debemos dominar, no solo...

La entrada Interim Manager TIC, ciberseguridad y transformación digital se publicó primero en Luis Vilanova.

]]>
Interim Manager TIC, ciberseguridad y transformación digital son conceptos directamente relacionados. Recientemente he tenido la suerte de poder finalizar el Máster en Ciberseguridad de Deloitte, pudiendo afirmar que como Interim Manager TIC la seguridad informática y la ciberseguridad son conceptos que debemos dominar, no solo por la trascendencia de la protección de los activos de información sino por la gran importancia que toma la ciberseguridad en el ámbito de la transformación digital.

Interim Manager TIC, ciberseguridad y transformación digital

Las auditorias que he realizado sobre transformación digital en empresas como Laboratorios Boiron, Colegio de Ingenieros de la Comunidad Valenciana, Grupo CONDALAB, Viaxpress transporte urgente, Plastic7a, etc tienen siempre una fuerte componente de ciberseguridad. La razón es simple, la exposición de recursos web, email, cloud, etc a internet conlleva siempre riesgos que deben ser, por lo menos, tenidos en cuenta en esa transformación digital.

Interim Manager TIC, ciberseguridad y transformación digital

Las auditorias de ciberseguridad y de seguridad informática (estas últimas las realizo con el estándar ISO27001) aportan muchas ventajas corporativas relacionadas con la transformación digital:

  1. Mejoran los procesos de trabajo. Por ejemplo, una empresa que quiera compartir de forma segura un documento con un proveedor o cliente, quiera saber cuándo ha accedido, reducir la exposición del fichero a un periodo temporal tras el cual el acceso se bloquea es clave. Recientemente en una entidad deportiva que audite me trasladaban que necesitaban demostrar que las actas de arbitraje se abrían por terceros con los que las compartían. Hasta el momento enviaban por email y perdían la trazabilidad.
  2. Aseguran la confidencialidad y privacidad interna y externamente. Cuantos gerentes me trasladan que les gustaría conocer quien accede a que información, desde donde y cuando.
  3. Algunas empresas necesitan demostrar a sus clientes que realmente, dentro del llamado COMPLIANCE, fomentan y se preocupan que sus trabajadores y empresa en general utilizan los activos informáticos de una forma coherente.
  4. La transformación digital, con el apoyo del cloud, BYOD, movilidad, etc no tiene sentido sin un refuerzo y consistencia en los temas relevantes de seguridad y de ciberseguridad. Por ejemplo, disponer de certificados SSL, VPN, u otras herramientas de acceso puede evitar que terceros, por ejemplo un ex trabajador, acceda o siga con posibilidad de acceso a la información de la empresa. Recientemente audite una empresa cuyo principal comercial se había ido a la competencia y demostramos que seguía accediendo con una cuenta de usuario remota a los documentos comerciales y estratégicos de la empresa.
  5. Cumplimiento legal. Este tema que muchas empresa lo ven como remoto es de obligatorio cumplimiento. Además con la LOPD de 2018 que dará un vuelco a las empresas, nos acerca más a la necesidad de, dado que los activos informáticos ya no están en nuestras instalaciones, aplicar los conocimientos de ciberseguridad y auditoria de seguridad para que la empresa pueda tener cubierto este aspecto, alineado de nuevo con el COMPLIANCE.

Las ventajas podrían extenderse decenas de puntos, pero creo que en esos 5 puntos he reflejado la importancia capital que tienen y tendrán cada día más en las empresas la auditoria de ciberseguridad y de seguridad de la información, más cuando estemos ante una transformación digital de la empresa.

Luis Vilanova Blanco. Interim Manager TIC.

luis@luisvilanova.es

606954593

La entrada Interim Manager TIC, ciberseguridad y transformación digital se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/interim-manager-tic-ciberseguridad-transformacion-digital/feed/ 0
Auditoria ISO27001 en importante empresa sector Automóvil http://luisvilanova.es/auditoria-iso27001-importante-empresa-sector-automovil/ http://luisvilanova.es/auditoria-iso27001-importante-empresa-sector-automovil/#respond Wed, 26 Jul 2017 08:17:15 +0000 http://luisvilanova.es/?p=2746 Llevaba varias semanas sin escribir por la carga tan importante de trabajo que hemos liderado, especialmente por auditorias Cloud SaaS para www.red.es de decenas de empresas que han presentado su proyecto al ministerio, así como otros temas de auditoria y dirección TI que no me...

La entrada Auditoria ISO27001 en importante empresa sector Automóvil se publicó primero en Luis Vilanova.

]]>
Llevaba varias semanas sin escribir por la carga tan importante de trabajo que hemos liderado, especialmente por auditorias Cloud SaaS para www.red.es de decenas de empresas que han presentado su proyecto al ministerio, así como otros temas de auditoria y dirección TI que no me han dejado mucho tiempo. Sin embargo tengo la cabeza llena de experiencias recopiladas estas semanas que poco a poco, agosto-septiembre… iré escribiendo. En este caso hablare de una de las experiencias más enriquecedoras tanto para mí como para mi cliente respecto de una  Auditoria ISO27001 en importante empresa sector Automóvil…

Auditoria ISO27001 sector Automóvil

El sector automóvil sufre una revolución importante, no solo a nivel estratégico por la incipiente competencia, motores eléctricos, low-cost, necesidad de innovación etc sino por la necesidad de asegurar que tanto sus procesos, clientes y, en este caso, proveedores, deben incorporar procesos que garanticen la seguridad de sus sistemas de información. Clientes como Volkswagen, Volvo, etc están cada día más preocupados por la seguridad de los sistemas de información. Entendamos que existen documentos que se intercambian entre ellos y sus proveedores que contienen datos muy confidenciales, diseños de nuevas piezas de modelos que ni siquiera han salido al mercado. La interceptación o robo de esta información podría ser utilizada en contra de la propiedad industrial y de sus nuevos diseños dañando no solo la imagen sino la posible puesta en marcha de sus nuevos modelos.

En este caso el fabricante de automóvil alemán solicita a su proveedor de piezas X una auditoria de seguridad basada en la aplicabilidad de los 114 puntos de control de la norma de seguridad. El proveedor decide buscar un auditor externo que analice la aplicabilidad de la norma y sobre todo ciertos puntos de esos 114 que el fabricante le solicita.

En esta auditoria hemos revisado temas tan importantes como:

1.      Sistemas de seguridad y procesos que la empresa posee.

2.      Control y audit de acceso a los sistemas de información.

3.      Sistemas perimetrales y medidas ante intrusión.

4.      Cifrado de la información más confidencial, tanto en servidores de almacenamiento como en las redes por donde se transmite.

5.      Alertas proactivas ante intentos erróneos de acceso o intentos externos de intrusión.

6.      Políticas de sus copias de seguridad.

7.      Involucración de dirección y de mandos intermedios en los procesos que sustentan la seguridad de la información.

8.      Etc

Mi informe como resultado clave para la ISO27001

El informe incluye un análisis de evidencias y riesgos de estos puntos y otros, así como recomendaciones de mejora y mitigación del problema, junto con una planificación de acciones y costes que mi cliente mostrara al fabricante de automóviles para demostrar no solo que ha hecho la auditoria sino reflejar:

1.      Resultado de la auditoria por un tercero independiente.

2.      Evidencias y riesgos.

3.      Planteamiento de mejoras.

4.      Plan de acción y costes.

Un auditor teórico y puro podría no ver bien el punto 4 comentado anteriormente puesto que quizás entramos en el terreno de Consultoria. Mi enfoque es siempre pragmático, DAR LA MEJOR SOLUCION QUE AYUDE AL MAXIMO AL CLIENTE. En este sentido y acordado con mi cliente estimamos muy oportuno trazar un plan de acción de mejoras.

Este plan de mejoras lo presento a dirección de mi cliente para que se aumente la concienciación por la seguridad y que un tercero independiente explique la realidad más objetiva de su situación.

Conclusiones.

Desde www.ciberseguridad.com ofrecemos un amplio catálogo de auditorías y consultorías enfocados a la seguridad informática y a la certificación. Nuestros clientes se ven reforzados de una manera pragmática con las medidas que, en base a nuestra muy amplia experiencia, les trasladamos. En este sentido este cliente mediante nuestra auditoria ISO27001 ha podido demostrar a su cliente y a dirección que se preocupa por la seguridad, que ha encontrado puntos de fallo y mejora y que ya tiene en marcha un plan pragmático de mitigación de riesgos y de mejora de la situación de seguridad de sus sistemas de seguridad interno y externo a Internet.

Luis Vilanova Blanco. Auditor ISO27001, CEO en www.ciberseguridad.com

911277300

info@ciberseguridad.com

 

La entrada Auditoria ISO27001 en importante empresa sector Automóvil se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/auditoria-iso27001-importante-empresa-sector-automovil/feed/ 0
Interim Manager TIC y la digitalización empresarial http://luisvilanova.es/interim-manager-tic-la-digitalizacion-empresarial/ http://luisvilanova.es/interim-manager-tic-la-digitalizacion-empresarial/#respond Tue, 23 May 2017 17:14:39 +0000 http://luisvilanova.es/?p=2743 Hace ya unos días que no escribía en el Diario de un Interim Manager TIC, fruto de la ocupación de mi tiempo en diferentes proyectos que me han absorbido parte de mi tiempo. Si tuviera que resumir este tiempo podría decir las últimas semanas podría...

La entrada Interim Manager TIC y la digitalización empresarial se publicó primero en Luis Vilanova.

]]>
Hace ya unos días que no escribía en el Diario de un Interim Manager TIC, fruto de la ocupación de mi tiempo en diferentes proyectos que me han absorbido parte de mi tiempo. Si tuviera que resumir este tiempo podría decir las últimas semanas podría decir que son una etapa de transición, ocupadísimo en auditorias, dirección TI y valoraciones de Startup, así como preparación para la auditoria de varias decenas de empresas que se presentan a una importante convocatoria de www.red.es

Interim Manager TIC y la digitalización empresarial

Hoy estuve como mediador y perito en una negociación donde aporte mi visión respecto de una implantación de sistema de gestión en uno de los grupos empresariales más importantes a nivel nacional, dueño de empresas del sector químico, inmobiliario y un sinfín de otros sectores. En este caso, en Madrid, mi labor fue, representando a mi cliente, plantear al partner cuyo proyecto ERP ha fracasado, la realidad de las alternativas que puede optar, es decir, llegar a un acuerdo previo o demanda judicial.

Hoy mismo me llamo un grupo de empresas de Madrid, del sector químico, para liderar sus TIC y su seguridad informática, cuestión que por un lado me motiva, siendo 10 empresas en el grupo, pero como todo me atara a una responsabilidad y dedicación que podría restarme tiempo para otros proyectos muy interesantes que tengo a punto de aceptar.

Valorando este periodo trimestral que llega a su fin subrayaría la importancia que la seguridad informática está tomando en la empresa actual. Parece como un despertar de empresas que se dan cuenta que cuando exponen sus activos informáticos a una red como la de Internet, donde su información no está libre de riesgo, por fin decide que quizás hay que protegerla.

Este concepto me alegra y me enfada. Me alegar porque está claro que es una fuente de proyectos, de colaboraciones, pero me por otro lado me hace cuestionar que la informática muchas veces, además de ser una commodity es el patito feo de la empresa. Por delante, Marketing, Comercial, Operaciones, Logística,… y las TI quizás algún día. Ahora, por fin, la necesidad de pasar a una empresa digital es cuando SI o SI se plantean que las TI quizás no sean tan secundarias sino son un medio sin el cual no es posible avanzar.

Uno de los temas clave es ¿Puede tu clásico y actual departamento TI pasar de un rol clásico a un rol donde las TI son casi estratégicas? La respuesta es para mí clara…. NO, NO es posible sin un esfuerzo, este esfuerzo puede venir de varios frentes:

  1. Contratas a un Interim Manager TIC durante un periodo concreto que pueda ayudar a la transición hacia la empresa digital.
  2. Contratas un nuevo CIO.

Es muy complicado cualquier otra opción. Me vienen muchos ejemplos. Una de las empresas que he auditado recientemente dispone de un equipo de TI que apenas y con dificultades sabe lo que es el ROI, EBITDA, Fondo de comercio, etc. como va a liderar la digitalización de una empresa o innovación un perfil así?

En realidad las empresas, todas, de una forma o de otra, con más inversión y alcance, o con menos, deben subir a la digitalización. Recuerdo una anécdota en una empresa anterior donde un perfil arcaico se molestaba por no entender porque era necesario que los comerciales tuvieran una APP para realizar los pedidos en los clientes, con los miedos que el proceso clásico perdiera valor y su batallón de telefonistas pudiera perder el trabajo. Es evidente que esta situación prehistórica necesita cambiar y este perfil no es el que las empresas necesitan en la actualidad.

Recién certificado en ITIL me pregunto hasta cuando las empresas seguirán preocupándose por los riesgos laborales, por los procesos de logística pero no por los procesos de TI. Ese departamento tan ignorado y menospreciado en ocasiones por el resto de la empresa. En una de las ultimas que estuve como CIO part-time aumente la productividad x4 con menos equipo interno que a mi llegada. Esto demuestra que la productividad del departamento TI no depende del número de personas en plantilla sino de convertir al equipo de técnicos a gestores de Outsourcing y de proyectos.

Espero no tardar mucho más en escribir en mi diario, el tiempo lo dirá, próximamente en el horizonte diferentes auditorias, mediaciones y dos propuestas de Interim Manager en Valencia y Madrid, así como dos auditorías en Barcelona plantean un futuro de alta ocupación.

Luis Vilanova Blanco. Interim Manager TIC. CIO part Time. Auditor ITIL, ISO27001 y LOPD, Cloud SaaS para red.es.

La entrada Interim Manager TIC y la digitalización empresarial se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/interim-manager-tic-la-digitalizacion-empresarial/feed/ 0
Director de Proyecto de Ciberseguridad http://luisvilanova.es/director-proyecto-ciberseguridad/ http://luisvilanova.es/director-proyecto-ciberseguridad/#respond Thu, 27 Apr 2017 09:36:28 +0000 http://luisvilanova.es/?p=2738 En este post quisiera describir uno de los últimos proyectos que he realizado para una importante empresa de la Comunidad Valenciana en el que core de su negocio se basa en el mundo online, en concreto en servicios prestados a través de un conjunto de...

La entrada Director de Proyecto de Ciberseguridad se publicó primero en Luis Vilanova.

]]>
En este post quisiera describir uno de los últimos proyectos que he realizado para una importante empresa de la Comunidad Valenciana en el que core de su negocio se basa en el mundo online, en concreto en servicios prestados a través de un conjunto de servidores alojados en un importante CPD de Madrid. Estamos ante un Proyecto de Ciberseguridad donde la auditoria, detección de riesgos y realización del plan de acción resultan clave para el futuro y continuidad de negocio de esta empresa.

Director de Proyecto de Ciberseguridad

Formado en Master en Ciberseguridad y Hacking Ético, mi terreno más productivo es en la dirección y supervisión del equipo técnico que realiza el proyecto a mi cargo. En este caso conté con algunos hackers (éticos) y mis conocimientos en ISO27001, entre otras cuestiones, así como tener la capacidad de hablar o servir de traductor, de los idiomas que gerencia habla y que los técnicos hablan. Este último punto es FUNDAMENTAL para centrar el proyecto y alinearlo con lo que el negocio espera. Entendamos que el CEO no habla el lenguaje de mi equipo de hackers, pero al revés tampoco, en ocasiones es casi una traducción simultánea.

Los pasos realizados para este cliente fueron:

  1. Entender el objetivo de la auditoria de Ciberseguridad.
  2. Analizar la arquitectura de servidores que el cliente disponía, junto con sus tecnologías de virtualización, lenguajes de programación, portales web orientados al cliente, etc
  3. Planteamiento de las fases de la auditoria de Ciberseguridad.
  4. Visita al CPD del cliente para auditar los armarios, routers, switches, etc
  5. Hacking ético de las IP públicas.
  6. Hacking y descubrimiento de las vulnerabilidades dentro de su VPN.
  7. Informe de riesgos
  8. Informe de plan de acción.

Dado el éxito del mismo, ahora estamos ya planteando una segunda fase donde nos responsabilizaremos de la puesta en marcha de los resultados del plan de acción, priorizados, entre los que se encuentran cuestiones relativas con IPS, WAF, DMZ y otras cuestiones necesarias para securizar y dar continuidad de negocio a esta empresa.

Por último quisiera subrayar algunas cuestiones que pudimos llegar a evidenciar en la auditoria:

  1. Conseguimos averiguar mediante ataque de diccionario usuario y contraseña de administrador de ciertos Terminal Server.
  2. Conseguimos, mediante sniffer en red y contra routers, usuario y contraseñas de administración de electrónica de red.
  3. Vulnerabilidades graves de portales web.
  4. Extracción y robo (ético) de bases de datos de clientes.

Conclusión

Toda empresa que disponga de servicios expuestos a internet, véase Terminal Server, portales web, servicios web, ecommerce, etc está en riesgo y necesita ser auditada en términos de Ciberseguridad si no quiere tener problemas legales, de parada de servicio, etc La combinación de un Director de Proyecto de Ciberseguridad con un buen equipo de hackers seleccionado en función del tamaño de la auditoria, dispositivos y tecnología a auditar es fundamental para que tanto dirección de la empresa como el equipo técnico interno queden satisfechos. Mi gran ventaja es hablar el idioma de ambos mundos.

Si pensamos justamente en la Digitalización Empresarial o bien en un Plan Director TI, un Proyecto de Ciberseguridad es básico y fundamental.

Luis Vilanova Blanco. Interim Manager. CEO en www.ciberseguridad.com

Luis.vilanova@ciberseguridad.com

 

La entrada Director de Proyecto de Ciberseguridad se publicó primero en Luis Vilanova.

]]>
http://luisvilanova.es/director-proyecto-ciberseguridad/feed/ 0