lunes, 30 de noviembre de 2009

Todos los días son una buena oportunidad de mejora para lograr eficiencia

Hoy quiero contar una historia cotidiana con moraleja extrapolable a la seguridad y a cualquier otra disciplina. Todos los días tengo que desplazarme desde Cartagena a Murcia para ir al trabajo. Son aproximadamente unos 50 km diarios que hago dos veces al día. Desde hace unas semanas vengo aplicando al consumo de mi coche la filosofía de gestión basada en la mejora continua utilizando la información que obtengo las pruebas que he ido realizando. El ordenador del coche me proporciona información completa sobre bastantes parámetros: tiempo del trayecto, velocidad media, consumo medio, consumo instantáneo, kilometraje total,etc.

Del análisis de datos, la lectura de las especificaciones del vehículo y las variaciones de mis comportamientos durante las pruebas he conseguido comprobar cuales son los consumos óptimos en los diferentes tramos del trayecto. De esta manera es posible una gestión eficiente que maximiza el kilometraje que realizo con el mínimo consumo. Las siguientes gráficas intentar representar de forma simbólica los datos obtenidos.


En el caso del coche he podido comprobar que puedo hacer varios kilómetros a cero consumo dejando que la inercia y la energía potencial se transformen en energía cinética a coste cero tanto a la ida como a la vuelta. En llano y a 110 km el consumo se estabiliza entre 3,5 l/km y 4l/km. Con todo esto puedo estirar un deposito lleno por encima de los 1000 km. O sea, he logrado subir y bajar a Murcia tres días más que antes de empezar el experimento. Todo esto tiene también sus consecuencias, tardo unos 10 minutos más pero compensa. Eran resultados esperables leyendo la documentación del vehículo pero en ciertos tramos, el consumo no aumenta a mayor velocidad porque el motor no sube de revoluciones sino que aprovecha la inercia del descenso de unas montañas que hay en el camino.


De la misma forma aplicamos esta filosofía a sistemas de información. Como siempre, el primer paso es diseñar una buena red de sensores que proporcionen los mejores datos que podamos recoger. Lo ideal es tener hardware o software especifico que proporcione ya informacion procesada y no solo datos que haya que tratar. El objetivo es extaer conocimiento de todo ello para saber que ocurre en nuestros sistemas y así tomar decisiones sobre posibles estrategias.


La gráfica obtenida por el coche y el kilometraje es similar a otra que hemos obtenido en un cliente tras reducir la ventana de atención a virus informáticos. Tengo pendiente recuperar los apuntes de la asignatura de "Dinámica de Sistemas" de tercero de carrera porque creo que en estos momentos puedo sacarle bastante provecho profesional a aquellos conocimientos que adquirí en aquel entonces, cuando te sentías poderoso por ser capaz de ponerle ecuaciones a cualquier problema basado en ajustar todo tipo de sistemas (Demográficos, económicos y por qué no ahora, de seguridad).
Y mucho más interesante y una futura línea de investigación, poder establecer modelos predictivos de comportamiento sobre entornos sometidos a incertidumbre que es preciso controlar.

Es sorprendente lo curiosas que son las cosas cuando se analizan en base a datos. La intuición a veces nos juega malas pasadas y creemos que las cosas se comportan de determinada forma hasta que la realidad se encarga de demostrar lo contrario. Esto es básicamente lo que en entornos profesionales se denomina telemetría y permite a los mecánicos afinar el coche al comportamiento optimo. La gestión de la seguridad de la información persigue el mismo objetivo. Establecer diferentes indicadores que permitan disponer de la "telemetría" que nos proporcionan los sistemas como firewalls, antivirus, ips, servidores de correo. Es necesario conocer el comportamiento de las cosas para tomar buenas decisiones. Es una actividad clave por ejemplo en la Formula 1. Y lo curioso es que esto de la telemetría es aplicable a todo entorno donde se puedan recoger datos y posteriormente analizarlos para obtener conclusiones. Maligno ya nos ilustró sobre cómo aplica la telemetría para medir la calidad de sus exposiciones. En un texto más desarrollado de Gonzalo Alvarez Marañón se cuenta la importancia de la retroalimentación tras un evento, el "feedback" que dicen los ingleses para poder mejorar.

Todo se puede mejorar, pero es necesario siempre antes un proceso de establecer metas, determinar objetivos y esperar a ver resultados. En base a ellos ya se pueden tomar decisiones. Todos los días la realidad nos proporciona un montón de situaciones en las que actuar, todo puede hacerse de otra forma, tratando de minimizar recursos y obteniendo mejores o similares resultados. En ello va el secreto de la eficiencia y la consecuente productividad. Esto es lo que deben enseñar en la escuela para empezar a cambiar el "modelo productivo". Primero un cambio de mentalidad y enfoque y después una aplicación a toda la realidad. Si no enseñamos a medir y juzgar, si no creamos gente auto crítica con afán de superación, sólo buscaremos el lograr los objetivos por los premios que por ello puedan obtener, no por convencimiento en hacer las cosas bien. Quizás esté algo contaminado por las situaciones que he podido vivir en la ejecución de proyectos de implantación de ISO 27001 subvencionados, pero tengo la convicción de que los premios para hacer las cosas bien deben ser un refuerzo positivo, no un fín en sí mismo. Hay muchas empresas que se apuntan a esto de la seguridad por moda, por tener "un sello más" sin creer profundamente en el objetivo y en los beneficios que ello supuestamente les va a proporcionar. Y los SGSI que hemos montado así, por desgracia tienen fecha de caducidad. En cuanto no hay premio o subvención, acaban por abandonarse. Y ello va muy vinculado con lo anterior, hacer las cosas por un premio o por imagen no es el cambio necesario para alcanzar la productividad. Las modas que no se interiorizan, que no logran transformanse en hábitos o conductas se abandonan a las primeras de cambio.

Muchas veces el secreto del éxito y donde está la innovación surge de pensar de forma diferente o tratar de resolver un mismo problema con otro enfoque. En el caso de la seguridad, la medición y la gestión de la eficacia es un campo por explorar que ahora la nueva ISO 27004 plantea aunque como toda norma, solo define como marco de procesos. Que cada uno aplique la norma a su criterio.
 
;