Category Archives: Apuntes varios

Going shopping

A veces hay que ver los toros desde la barrera para darse cuenta de automatismos (o su ausencia más concretamente), quizás aprendidos quizas de sentido común.

El apunte de hoy es compras.

Es de perogrullo pero… las compras con dinero de empresa deben ser racionales, un “bussines case” mínimo pero serio sirve para:

  • Argumentar la compra ante los superiores
  • Evitar ser engatusado por los vendedores y sus productos milagro
  • Evitar compras impulsivas
  • Obtener un mapa inicial de necesidades hw, licenciamiento, soporte, etc…
  • Atar el presupuesto. Tener un limite o rango con el que trabajar.
  • Investigar costes ocultos, mantenimientos periódicos, posibles opciones de pago

Es importante tambien tener en cuenta la dicotomía: que necesitas técnicamente para hacer funcionar la solución y que debes comprar para que esa solución sea válida.

Y por último pero no menos importante hablando de pasta: No le des al proveedor/vendedor tu solución, es muy cómodo que hagan tu trabajo pero es como jugar al poker enseñando tus cartas.

Estrategicamente vas a ir siempre a la contra, recortando servicios innecesarios al proveedor (que se defendera con uñas y dientes). Al contrario, puño cerrado y poco a poco abriendo la mano.
Intenta averiguar los precios oficiales que tengan publicados, los precios que te ofrecen unitariamente y por volumen (sin concretar número). Haz cálculos y comparalos contra el presupuesto, modifica tu solución para cuadrar numeros (precio core, precio socket, value unit, cpus virtuales,… un mundo) y empieza el tira y afloja con el proveedor (o proveedores).

De los champiñones

A menudo otros departamentos o incluso áreas enteras deciden la compra de software, máquinas, contratos con proveedores, etc… por libre, sin contar con infraestructuras.
Esto es una bomba de relojería:

  • Si se saltan los canales en aras de la flexibilidad, es porque no quieren tener en cuenta los protocolos y salvaguardas establecidos por IT.
  • Cuando explote, sera a IT o infraestructuras a quien exigiran solucionar el problema.
  • Algun dpto. de IT habrá estado involucrado aunque sea tangencialmente, cuando explote la responsabilidad sera de IT no de quien se saltó las reglas.

Un ejemplo sencillo: un conocido le vende a alguien de finanzas una cutre aplicación para gestionar contratos. Los de finanzas que ya tienen suficiente trabajo se encuentran entre solicitar a IT y activar un proceso burocrático de semanas o meses o la palabra del amigo que les dice que eso corre en un pc corriente y es siguiente, siguiente, siguiente. Finanzas no sabe si lo quiere o no, si le servirá o no pero tampoco quieren esperar asi que pasan de IT (politicas, seguridad, capacity planning) , hablan con helpdesk (que es IT) les piden un desktop o simplemente instalar esa aplicación en un pc y empiezan a trabajar.
Un año mas tarde con contratos, documentos e información confidencial, el pc se muere y todo son prisas y nervios para recuperar información crítica… que por supuesto nunca ha tenido backup, un servicio y servidor que no está catalogado (ni existe porque es un desktop de un usuario… en realidad sí esta catalogado porque en la gestión de licencias deberia aparecer pero en estos casos solo se controla si se cumple licenciamiento).

Hay pocas cosas más permanentes que una solución temporal. Tampoco hay soluciones milagro, más controles y procedimientos solo dan más burocracia y menos flexibilidad.
En mi opinión, la solución pasa por la educación, lo ideal pasaría por un servicio de IT eficiente (ITIL y demas procedimientos) pero es algo utópico. Hay que ser realistas, si se saltan la burocracia, al menos que tengan presente porque existen y las tengan en cuenta.

¿Como? educando: con correos, boletines de buenas practicas, ideas para mejorar servicios. Siempre en tonos positivos y nunca acusadores, de otra forma se lo tomarían como un ataque y provocarían rechazo. Ademas de esta forma das a conocer los riesgos y los mótivos del procedimiento, haciendo a negocio más receptivo a seguirlos.

En el caso que nos ocupa dando a conocer un pequeño checklist de temas a tener cuenta para evitar futuros problemas (y que mejor que IT para prevenirlos).

  • ¿La solución contempla backup? ¿Que pasa si se pierde el contenido de la maquina?
  • ¿Se integra con el control de acceso de la compañía?
  • ¿Van a entrar múltiples personas y existirá auditoría o si algo sucede no se sabrá quien ha sido?
  • ¿Si se necesita acceso remoto (pj para soporte) funcionara con el servicio vpn de la compañía?
  • ¿Están contemplados parcheados de seguridad, tanto de la aplicación como de la maquina?
  • ¿Hay mantenimiento de la aplicación? ¿Actualizaciones? ¿Soporte? ¿Documentación (instalación, uso, mantenimiento, etc.)?
  • ¿Se integra con otros elementos de la compañía? ¿están avisados de las implicaciones? ¿pueden corromperse?
  • ¿Hay licencias de todos los elementos involucrados? ¿Se cumplen los requisitos de esas licencias?
  • ¿Cumple los requisitos legales a los que esta sujeta la compañia (leyes nacionales, extranjeros, LOPD, SOX, etc.)?
  • ¿Cumple políticas internas de la compañía (éticas, compromisos, etc…)?
    • caso particular delos anteriores: ¿utiliza datos en la nube o se ponen datos privados en manos externas sin contratos de confidencialidad, etc.?