Rara es la organización que no depende de importantes aplicaciones y tecnologías de informática de usuario final (EUC) desconocidas para sus departamentos de TI.
Estas aplicaciones también suelen denominarse "TI en la sombra".Existen porque los usuarios empresariales deciden crear sus propios widgets por una serie de razones, como la creación rápida de prototipos, la captación de una oportunidad de mercado y el mantenimiento del control; es decir, no divulgar sus propios conocimientos, etcétera.
Así que apreciando el riesgo que plantean estas aplicaciones desarrolladas por el usuario final es el paso nº 1. ¿Y la verdad? A menudo hace falta un regulador o un auditor para llamar la atención de la dirección.
Pero, ¿por dónde empezar? Pocas organizaciones han pensado antes en abordar esta cuestión, por lo que carecen de los conocimientos o la experiencia necesarios para plantearse siquiera las preguntas adecuadas, por no hablar de implantar una solución.
Las etapas clave del control EUC
Basándonos en nuestra propia experiencia de dos décadas ayudando a las organizaciones a pensar e implantar soluciones sostenibles de riesgo y control de las aplicaciones de usuario final, podemos afirmar con seguridad que estos son los pasos básicos a seguir para implantar un proyecto de control de EUC:
Aclarar qué pretende conseguir la organización
Aclarar qué pretende conseguir la organizaciónPodría ser tan general como "cualquier empleado que desarrolle una aplicación que se vaya a utilizar al menos una vez al año". O podría ser bastante específico como "cualquier hoja de cálculo utilizada en informes financieros y normativos".
Construir un inventario sostenible
Construir un inventario sostenibleEs en esta fase cuando las organizaciones deliberan sobre las ventajas de pedir a los usuarios que informen por sí mismos o de utilizar la exploración para identificar las aplicaciones clave. La experiencia demuestra que la autodeclaración es el mejor punto de partida. Los usuarios conocen sus aplicaciones importantes y saben por qué las desarrollaron. Sin embargo, la exploración técnica puede ayudar a verificar que no se ha pasado nada por alto. Los flujos de trabajo automatizados pueden sondear a los usuarios para que vuelvan a atestiguar que nada ha cambiado desde su última atestación. Y, de nuevo, un escaneado juicioso puede ayudar a detectar cualquier cosa que se haya pasado por alto.
Evaluar la importancia relativa de los expedientes
Evaluar la importancia relativa de los expedientesA estas alturas, el inventario puede ser fácilmente de varios cientos, si no miles, de aplicaciones. Tratarlas a todas por igual podría suponer una fuga de recursos innecesaria, ya que no todas realizan un trabajo igual de importante. Así que clasificarlas por niveles ayuda. Por ejemplo: Las de nivel 1 necesitan una supervisión estrecha, las de nivel 3 sólo revisiones ocasionales.
Asegúrese de que sus aplicaciones de alto riesgo funcionan según lo previsto
Asegúrese de que sus aplicaciones de alto riesgo funcionan según lo previstoLas mejores prácticas sugieren que las organizaciones se centren en sus aplicaciones de primer nivel y comprueben que todas funcionan según lo previsto. Puede resultar sorprendente, teniendo en cuenta que son desarrolladas por usuarios finales, saber que muchas de ellas circulan por la organización y son utilizadas por personas que no tienen ni idea de cómo funciona realmente la hoja de cálculo o la aplicación. Así que es fácil que incluso los empleados mejor intencionados cometan errores.
Una vez comprobados y aprobados, registrar los cambios de material
Una vez comprobados y aprobados, registrar los cambios de materialUna vez que se ha comprobado una aplicación, realmente tiene sentido controlar que nadie la haya modificado después de que se devolviera a la empresa. Por tanto, cualquier cambio importante debe registrarse, explicarse y aprobarse, ya que de lo contrario se reintroducirán riesgos desconocidos en la empresa.
Guarde una copia de seguridad de estos archivos clave, también llamados versiones
Guarde una copia de seguridad de estos archivos clave, también llamados versionesSon importantes si hay que volver atrás y determinar por qué se hizo un cambio o en qué datos se basó algún análisis.
Registrar cualquier problema importante y su resolución
Registrar cualquier problema importante y su resoluciónA pesar de asegurarse de que una aplicación funciona correctamente, es posible que se cometan errores, como introducir datos incorrectos o utilizar una suposición que no resultó. Lo ideal es dejar constancia de estos "problemas" y de su solución.
Desmantelamiento y sustitución por sistemas básicos
Desmantelamiento y sustitución por sistemas básicosY por último, cada aplicación EUC debe tener un final de vida planificado. Si la aplicación no hace nada demasiado importante, es probable que su valor disminuya con el tiempo y se desvanezca. Y todo lo que se utilice de forma constante debería sustituirse por un sistema básico adecuado. En cualquier caso, las EUC deben tener una vida útil limitada y ser sustituidas por sistemas básicos adecuados.
Aunque mucho de esto puede parecer obvio, muchas organizaciones luchan por implantar estos controles sensatos. Tal vez sea el miedo a lo desconocido, o simplemente se desconoce la magnitud del problema, o ambas cosas.
Afortunadamente, con ClusterSeven, puede disponer tanto de una solución de software como de la asistencia al cliente que puede aprovechar para gestionar el ciclo de vida completo de cualquier EUC. Póngase en contacto con nosotros para obtener más detalles y una demostración.
[bctt tweet="Los EUC deben tener una vida útil limitada y ser sustituidos por sistemas básicos adecuados." via="yes"]
