Comprender el verdadero impacto de la gestión de activos

Sean Dawson: Hola, y bienvenidos al Podcast Distillery de Cask, donde liberamos todo el potencial de ServiceNow con ideas de expertos y estrategias prácticas, sólo aquí en el Podcast Distillery de Cask. Y hoy vamos a hablar de ITAM y seguridad. Construyendo una fuerte alianza que impulse el éxito. 

Y tengo a Teri Bopst conmigo, y quería hacerles una rápida introducción. Teri tiene más de 25 años de experiencia en TI. Ha tenido 13 específicamente dedicado a la gestión de activos de TI específicamente, y dos décadas de experiencia de liderazgo. Y ella es la directora de gestión de activos de TI aquí en Cask. 

Bienvenida, Teri, y gracias por venir al programa con nosotros. 

Teri Bobst: Gracias, Sean. Es genial estar aquí.

Sean Dawson: Va a ser un buen momento. Por lo tanto, vamos a estar hablando de, como he mencionado antes, estamos hablando de ITAM en la seguridad y que la alianza que impulsa el éxito en la plataforma y para las organizaciones. Pero como normalmente me gusta hacer para nuestros oyentes, es, yo quería ver si usted podría darnos una visión general de la gestión de activos de TI. Puede que me acostumbre a llamarlo ITAM, como solemos hacer, pero quería repasarlo para aquellos que no estén familiarizados, porque puede que haya quienes conozcan ITAM, ya sabes, del lado de ITSM, donde básicamente tratas con hardware o Hardware Asset Management Pro, SAM Pro, todas esas cosas diferentes.

Pero me preguntaba si podría dar una visión general rápida y de alto nivel de lo que es ITAM. 

Teri Bobst: Sí, por supuesto, Sean. La gestión de activos informáticos (o ITAM, lo llamaremos así para abreviar) es un programa fundamental para la organización. Realmente interactúa con todos los departamentos de alguna manera. Comienza con la comprensión de lo que necesita para hacer negocios, y abarca todo el hardware, software y servicios de TI. Se trata de saber lo que tienes, dónde está, quién o cómo se utiliza, cuánto cuesta y comprender el ciclo de vida completo de esos activos con el objetivo de mantenerlos en uso durante toda su vida útil.

Los activos que se quedan en un estante o en un cajón le cuestan dinero e introducen riesgos. Y un programa ITAM sólido puede protegerte de ello. 

Sean Dawson: Así que hay un ROI bastante bueno detrás de eso cuando empiezas a mirar esas cosas. ¿Correcto?

Teri Bobst: Por supuesto. La gestión de activos de TI es probablemente uno de los lugares más fáciles para demostrar un ROI porque hay mucho coste involucrado cuando se piensa en una organización y todo, ya sabes, relacionado con TI que compran y entender que realmente estás comprando lo que necesitas y que se está utilizando.

Sean Dawson: De acuerdo. De acuerdo. Vamos a entrar un poco en el lado de la seguridad de esto, ya que es de lo que estamos hablando. No sólo ITAM en su conjunto, pero creo que es bueno para enmarcar que en torno a lo que es ITAM. Entonces, ¿cómo ayuda ITAM a proteger la organización? 

Teri Bobst: Sí, quiero empezar diciendo que cuando hablamos de protección en el contexto de la gestión de activos, nos referimos a las medidas proactivas y estratégicas que se toman para salvaguardar los activos de una organización, ya sean digitales, físicos o recursos. Así que la protección no se limita a la seguridad informática, aunque es un componente importante. ITAM también ofrece protección financiera, jurídica y operativa.

Sean Dawson: Bien, vayamos por otro lado. ¿Puedes hablar un poco de cómo la seguridad protege los activos? 

Teri Bobst: Sí, absolutamente. Así que tener un programa de seguridad sólido, ya sabes, realmente protege tus activos a través de cosas como la gestión de problemas, incidentes de seguridad, retenciones legales. Realmente, una de las áreas más grandes es la protección orientada a la tecnología. Piensa en métodos de autenticación, control de acceso, estándares de encriptación, cortafuegos, todas esas cosas que realmente protegen, ya sabes, tus activos y lo que puede pasar con ellos, quién puede entrar en ellos, asegurándote de que no son vulnerables a los exploits. Y luego, también, la gestión de parches es un área realmente importante cuando, ya sabes, eso es lo que mantiene tu software actualizado y realmente te protege de la vulnerabilidad de tener software obsoleto. 

Sean Dawson: De acuerdo. Otra cosa en la que estaba pensando es en la base. Es decir, dentro de ServiceNow, tienes CSDM/CMDB. ¿Cómo apoyan esos datos tu programa ITAM, e incluso incluyendo las iniciativas de seguridad que la organización, cómo se vincula todo eso?

Teri Bobst: Sí. Así que una CMDB es fundamental para su programa de gestión de activos. Y lo que normalmente intento explicar a la gente de la que estamos hablando es que el CI, que vive en tu CMDB -tu elemento de configuración- es realmente toda la fase de uso del ciclo de vida de tu activo. Así que, cuando hablamos de abarcar todo el ciclo de vida de los activos, en realidad es desde la planificación hasta la eliminación, pero toda la fase de uso, que es realmente donde se obtiene el valor del dinero que se ha gastado en los activos, se supervisa y gestiona a través de la CMDB.

¿Quién lo utiliza? ¿Quién se conecta a él? ¿Qué recursos están disponibles en ese activo? ¿Qué software tiene instalado? ¿Cuál es su sistema operativo? ¿Cuál es la gestión de parches? Todas estas cosas proceden de la CMDB y de un sólido programa de gestión de la configuración.

Sean Dawson: De acuerdo. Y has mencionado algo en lo que quiero profundizar un poco más. Cuando hablas del ciclo de vida, creo que es bueno que los oyentes entiendan la amplitud del ciclo de vida, porque sé que, ya sabes, cuando gestionaba TI en la parte comercial del negocio es cuando piensas en el ciclo de vida, "Oh, lo compré. Tengo una depreciación de cinco años, y luego tengo que deshacerme de él".

Pero hay mucho más que eso en lo que pensar y considerar. Pensé que sería bueno para los oyentes hablar un poco sobre el ciclo de vida, aunque no esté específicamente relacionado con la seguridad. Pensé que sería bueno tener una visión general rápida para aquellos que dicen: "¿Ciclo de vida? ¿Qué es eso?" ¿Puedes hablar un poco sobre eso y profundizar un poco más que, ya sabes, mi rápida visión general de alto nivel? 

Teri Bobst: Sí, desde luego. Es una de las cosas que más me apasionan cuando hablamos de la gestión de activos de TI. Es un programa muy orientado a los procesos. Y realmente, los procesos son esas etapas del ciclo de vida. De hecho, he publicado recientemente un blog que nuestros televidentes pueden acceder sobre cómo hacer ITAM. Y es desde mi punto de vista profesional de ayudar realmente a las personas que realmente no saben lo que es ITAM y cómo incluso se puede empezar. Y yo siempre recomiendo empezar con la comprensión del ciclo de vida. 

Entonces, la fase de planificación. Ya sabes: ¿Qué necesito? ¿Cuáles son las normas que voy a introducir en mi entorno? ¿Dónde voy a comprarlo? ¿Cuánto cuesta? Y pasando a la solicitud, ¿cómo va a estar disponible para mis usuarios? ¿Cómo dispongo de un método a través del catálogo de servicios para que envíen esas solicitudes? Y luego, ¿cómo satisfago la solicitud?

Por lo tanto, ir con su equipo de adquisiciones, asegurarse de que tiene los proveedores adecuados para comprar realmente esos activos, asegurarse de que tiene la previsión correcta para que pueda aprovechar el presupuesto para compras más grandes y realmente le ayuda a protegerse financieramente porque sabe lo que necesita y puede obtener más poder de compra y negociación de sus proveedores.

Por supuesto, pasas al despliegue. Eso es cuando realmente, ya sabes, lo entregas a tu usuario final o a tu centro de datos. Y ahora entra en uso. Y ahí es donde entra en juego la gestión de la configuración. Por lo tanto, la mayor parte del ciclo de vida de sus activos siempre debe estar en uso. Y ese debería ser siempre tu objetivo. Como he dicho, ahí es donde realmente se obtiene el valor del gasto que se invierte en estos activos. Por lo tanto, tener sistemas de control sólidos que aseguren que sabes cómo, quién lo está usando, cómo se está utilizando, lo que está instalado, y que está en uso, ¿verdad? 

Si un activo desaparece, una de las primeras formas de saberlo es que el sistema de vigilancia no lo ha detectado. Así que, ya sabes, este portátil no se ha comprobado en dos semanas. ¿Dónde está este portátil? Todas estas cosas son muy importantes y realmente abarcan la protección de su organización de la que estamos hablando hoy. Y luego, por supuesto, también tienes que gestionar la disposición de los activos. Es un componente muy importante: asegurarse de que los datos están limpios, de que no se permite que salgan del entorno activos que puedan contener datos personales, datos de recursos humanos o simplemente datos de la organización.

Así que, en realidad, se trata de contar con procesos sólidos de saneamiento de datos y, después, de eliminación. ¿Quiénes son mis proveedores de eliminación? ¿Están eliminando esto de acuerdo con las directrices de la EPA? Ninguna organización quiere que sus activos acaben en un vertedero sin haber sido eliminados correctamente. Así que asegúrate de que conoces a tus proveedores, de que están certificados, de que tienes un contrato realmente sólido con ellos. 

Sé que es mucho, pero eso es realmente el ciclo de vida de los activos. Es mucho, y es muy importante entenderlo. 

Sean Dawson: Sí. Creo que gracias por repasar eso. Era una pregunta capciosa, porque lo sabía, pero quería que los oyentes entendieran la amplitud de ese viaje y qué aspecto tiene y qué cosas hay que tener en cuenta. Porque creo que, al menos para mí como una persona de TI o un profesional de TI, a veces tengo la costumbre de simplificar demasiado algo. "Oh, sólo estoy rastreando un activo. Sólo estoy poniendo ". Hay mucho más que eso. Hay gobernanza. Hay pensamiento. Hay decisiones. ¿Quién va a hacer qué? Por lo tanto, sólo añade más a eso. 

Por lo tanto, volviendo a más sobre el lado de la seguridad y el vínculo con ITAM, sé que hay otras áreas en la plataforma que tocamos, y tipo de quería golpear en cada uno de ellos si podemos. Así, uno de los ejemplos aquí sería como ITSM. ¿Cómo interactúa con SecOps y ITAM en sus ojos? 

Teri Bobst: Sí, por lo que ITSM está muy estrechamente relacionado con ITAM. Cuando piensas en incidentes, cómo tu organización va a trabajar esos incidentes, si necesitan ser escalados a incidentes de seguridad, es muy importante entender el activo sobre el que el incidente está siendo reportado. A quién está asignado ese activo, dónde está ubicado. Ya sabes, si alguna vez hay algún tipo de violación de datos, tienes que ser inmediatamente capaz de saber de dónde vino. ¿Dónde están? Así que está estrechamente relacionado con la gestión de incidentes, así como la creación de eficiencias dentro de su departamento de gestión de servicios. Cuando un usuario llama por un problema con sus activos, en lugar de tener que intentar encontrar su número de serie o su código de servicio en un activo, en plataformas como ServiceNow, donde todos están interconectados, el agente del servicio de asistencia puede saber inmediatamente: "Bien, este es el activo del que vamos a hablar, porque está asignado a usted", y empezar a registrar inmediatamente ese incidente en el CI adecuado para fines de seguimiento. 

Sean Dawson: De acuerdo. Bien, pasemos a otra área. Hablemos de la gestión de operaciones de TI, o ITOM. ¿Cómo se vincula con ITAM? 

Teri Bobst: Sí, ya hemos hablado un poco de ello. Ya sabes, ITOM es realmente la gestión de su CMDB entre muchas otras cosas. Servicio de preparación de descubrimiento, por lo que ITOM e ITAM realmente se están dando la mano entre sí, porque usted compra un activo, y cuando usted habla con cualquier profesional de activos, van a decir que el activo es lo primero. Así es como somos, porque eso es lo que se planifica y eso es lo que se compra. Pero si no se dispone de un programa ITOM sólido que permita comprender realmente cómo se utilizan ese activo y ese elemento de configuración, se está perdiendo una gran parte del ciclo de vida. Es absolutamente crítico saber, ya sabes, que una CI es... siempre digo que son dos caras de la misma moneda: un activo y una CI. Y el CI es la parte que se utiliza para proporcionar realmente el servicio de negocio a su organización. Y todos los datos de allí vienen a través de un programa ITOM.

Sean Dawson: Correcto. Buenas ideas al respecto. Así que, la otra área, y esto podría ser una sorpresa para algunas personas, quería hablar-hacerte hablar un poco sobre HRSD. La prestación de servicios de RRHH y su relación con ITAM. 

Teri Bobst: Sí, esa es buena. Y probablemente se ha pasado por alto hasta hace poco. He visto mucho más interés en vincular RRHH con ITAM. Y hay un gran beneficio para la experiencia del usuario para vincular sus recursos humanos con su programa de ITAM. Y cuando hablo de la experiencia del usuario, ya sabes, es la incorporación de nuevos usuarios, asegurándose de que tienen las herramientas que necesitan en el primer día para hacer su trabajo.

Así que, de nuevo, no solo se trata de la experiencia del usuario, sino también de la protección operativa, porque estás protegiendo la eficiencia de tu organización. Sabes, no hay nada peor que contratar a un nuevo empleado y que no tenga los recursos que necesita para ir a trabajar y tener que sentarse y esperar, ¿sabes? Es una pérdida de tiempo para todos. Así que ser capaz de desencadenar eventos de incorporación a través de su aplicación de recursos humanos y tener a su equipo de ITAM estrechamente vinculado con eso, junto con la prestación de servicios para que sepa que este nuevo empleado, lo que va a necesitar para hacer su trabajo, se lo entregue el primer día para que pueda comenzar inmediatamente a agregar el valor para el que lo contrató.

Además, RRHH también está estrechamente vinculado a la incorporación. Y el offboarding no tiene tanto que ver con la experiencia del usuario, pero es realmente importante en el aspecto de la protección, porque cuando un empleado es offboarded, usted necesita entender exactamente lo que tienen. Tienes que saber qué activos tenían, qué software tenían, para poder iniciar eventos de reclamación contra ellos, porque, en el entorno remoto en el que trabajamos hoy en día, esos activos pueden estar en una oficina en casa, y no quieres que se queden en la naturaleza. Quieres que vuelvan a tu organización.

Una gran parte de la protección financiera que le ofrece un programa IMT es la capacidad de reclamar esos activos en el momento oportuno, porque lo más probable es que aún tengan vida útil. Quieres recuperarlos. Hay que sanear los datos para proteger todo lo que el empleado pueda haber almacenado en ese activo, y luego devolverlo a la reserva de activos para que pueda volver a utilizarse. De este modo, no tienes que comprar un activo nuevo porque has recuperado uno que puede volver a utilizarse inmediatamente. 

Y el software también es un componente muy importante. Las licencias de software son muy caras. Y las organizaciones gastan cientos de miles, millones de dólares en sus licencias de software. Y si usted no sabe que esto ya no se utiliza porque este empleado ha sido offboarded, entonces usted sólo va a seguir comprando más en lugar de cosechar esas licencias y luego reutilizarlos. 

Sean Dawson: Sí, eso es tan bueno. Tengo-me estás emocionando, porque tengo pensamientos que voy a terminar con aquí, pero es-hay tantos beneficios para una organización para tener un programa de ITAM.

Así que como usted ha estado hablando, una cosa que me ha golpeado y no-obviamente, yo ya sé esto-pero ITAM no es sólo sobre el seguimiento de los activos. Hay otras piezas de, y se vincula a tantas cosas. Realmente me encanta. Pero yo quería tener-hay un área más que quería tocar, que es, ya sabes, el tema de conversación es GRC. Por lo tanto, la gobernanza, el riesgo y el cumplimiento, y cómo encaja en el ámbito ITAM. 

Teri Bobst: Por supuesto. Siempre que se habla de GRC, todo gira en torno a la comprensión de los activos, porque es ahí donde entran en juego los riesgos y el cumplimiento. Puede que tengas que rendir cuentas a muchos organismos reguladores. Y, en realidad, todo gira en torno a la comprensión de qué activos se están utilizando en las áreas que se rigen por esas cuestiones de regulación y cumplimiento. Ya sabes, el cumplimiento es enorme con el software. Todos los proveedores de software tienen un acuerdo de licencia con ellos, y ese acuerdo de licencia generalmente dicta cómo se utiliza ese software y cuántos derechos tienes para usarlo.

Por lo tanto, es fundamental tener un programa ITAM sólido y maduro para poder tener un programa GRC sólido. Son, ya sabes, auditorías de software. Dicen que no es una cuestión de si - es cuando una organización va a ser auditada. Y no tiene por qué dar miedo, porque si tienes un programa ITAM y SAM realmente bueno, vas a poder demostrar inmediatamente al proveedor que está iniciando la auditoría: "Esto es lo que te he comprado, y así es como se está utilizando. Y esto es cuántas personas lo están usando y en cuántos activos está instalado". Así que puede convertir esa auditoría en una pesadilla en un procedimiento mucho menos doloroso.

Sean Dawson: Sí, genial. Gracias por repasar esa lista conmigo. La última cosa que quería hablar con usted es, yo quería ver desde su perspectiva acerca de lo que una madurez ITAM parece. ¿Y qué deben tener en cuenta los oyentes? ¿Qué aspecto tiene la madurez en la gestión de activos de TI?

Teri Bobst: Sí, es una gran pregunta, Sean. La madurez realmente comienza con el inicio de los procesos. Así que, ya sabes, como hemos hablado de la identificación de los ciclos de vida, la comprensión de lo que cada fase de los ciclos de vida se parecen dentro de su organización. Escribir los procesos que realmente van a gestionar esos ciclos de vida.

Y ahí es donde hay que empezar. Y es por eso que, ya sabes, el "¿Cómo hacer ITAM" blog que he escrito, esa es la razón por la que lo escribí, es porque puede ser tan desalentador en saber cómo incluso empezar en un programa de ITAM. Sabes que es algo que tienes que hacer. Y, usted sabe, usted está consiguiendo probablemente ejecutivo buy-in en este punto porque en el clima económico actual, usted sabe, la comprensión de cómo se puede ahorrar dinero es una prioridad entre todos los C suites. Y realmente, ITAM es una especie de faro brillante de "Oye, aquí, estás gastando millones de dólares. Asegurémonos de que se gestionan bien". 

Así que es fundamental empezar por entender los procesos y documentarlos. No se limiten a tenerlos en la cabeza y pensar que saben lo que son. Realmente ir a través del proceso. Es muy bueno tener un socio que puede ayudar a guiarlo a través de eso, ya sabes, como nuestro equipo aquí en Cask, porque somos muy profesionales en el espacio, y estamos muy apasionados por ITAM y ayudar a las organizaciones a alcanzar esa madurez ITAM.

Así que, realmente, lo siguiente es todo alrededor de los datos. Los datos son la cosa crítica en ITAM que realmente hace que sea donde todas estas otras organizaciones o departamentos de los que hemos hablado pueden empezar a beneficiarse de ITAM. Por lo tanto, usted tiene que tener datos fiables, porque lo peor es, ya sabes, para obtener buy-in tal vez de su equipo de seguridad que, ya sabes, "ITAM es grande. Sabemos que ustedes pueden proporcionarnos lo que necesitamos para ayudarnos a proteger este entorno". Y luego obtienen los datos, y es muy cuestionable. Y eso definitivamente no es algo que quieras hacer. Por eso los procesos son la clave para empezar, porque los procesos son lo que te va a ayudar a construir ese punto de vista de datos maduros que realmente te lleva a ese nivel de madurez optimizado, donde todos tus otros departamentos pueden depender de tus datos de gestión de activos de TI. Y entonces empezarán a acudir a usted. Legal es una gran área en la que ITAM beneficia cuando se habla de retenciones legales o cosas que dan miedo como investigaciones y necesitas ser capaz de asegurar esos activos rápidamente para que puedan ser manejados en una investigación, ya sabes, con un sólido y maduro programa ITAM. Hay enormes beneficios para el departamento legal, el departamento financiero, RRHH. Es realmente interminable. Afecta a todos los aspectos de tu organización. 

Sean Dawson: Eso es bueno. Ha sido muy perspicaz. Gracias por compartirlo. Y yo quería al menos abrir la palabra a usted si había algo que me perdí o algo que le gustaría añadir para los oyentes, ya que están pensando en un programa de ITAM. Si no, hemos terminado. Pero pensé que iba a preguntar: ¿Hay algo más que le gustaría decir a los oyentes acerca de ITAM y pensando en que la lealtad con la seguridad o ITAM en general?

Teri Bobst: Bueno, ya sabes, creo que lo principal que quiero que todos nuestros oyentes a entender es que usted necesita estar haciendo ITAM. Es fundamental para su organización. Así que empezar en alguna parte. Ya sabes, la plataforma ServiceNow, por supuesto, es una plataforma que une todas estas áreas. Así que realmente hace que sea un proceso sin fisuras - cuando se habla de la vinculación con IPSM o HR o ITOM o las operaciones de seguridad - tener esa plataforma única donde todas esas cosas viven realmente hará que el trabajo de maduración de su programa a través de su organización mucho más simple.

Y, en realidad, siempre me gusta asegurarme de que la gente entiende la amplitud de ITAM, que no se trata sólo de comprar activos. Realmente tiene un impacto significativo. Puede proteger a su organización a través de aspectos financieros, legales, operativos, informáticos, de seguridad, de recursos humanos. Aumenta la eficiencia en todos los departamentos, lo que, de nuevo, es una protección financiera para usted, sabiendo lo que tiene, asegurándose de que no está comprando más, asegurándose de que todos sus activos están en uso a lo largo de su ciclo de vida: esos son realmente los beneficios que puede obtener a través de un programa ITAM. Y realmente, cuando pensamos en..., ya sabes, digo que afecta a todas las organizaciones, a todos los departamentos, a los ordenadores que usamos hoy en día. Esos son la gestión de activos de TI. ¿Estas webcams que vamos con vídeo? Es gestión de activos de TI. ¿El software que utilizamos para gestionar todo dentro de nuestra empresa? Eso es ITAM. No importa si estás en una oficina, si trabajas desde casa o si estás en una empresa, todo lo que hacen tus empleados en el día a día incluye la gestión de activos de TI. 

Sean Dawson: Bueno, gracias por eso. Ha sido genial hablar contigo. Y muchas gracias. Sé lo ocupada que estás sacando tiempo de tu agenda para hablar con nosotros aquí. Así que realmente lo aprecio. Gracias, Teri. 

Teri Bobst: De acuerdo. Gracias, Sean. Esto es genial.

Sean Dawson: De nada. Así que una cosa que quiero pedir a los oyentes es que tenemos un par de cosas que usted puede ir a hacer es-en primer lugar, tenemos "¿Cómo lo haces?" Lo siento. "¿Cómo hacer ITAM?" en nuestro blog. Así que vaya a echar un vistazo a ese artículo. Es excelente y entra en detalle por escrito lo que Teri estaba hablando aquí. Por lo tanto, si desea una segunda visión de la misma, es un gran artículo para echar un vistazo a. 

Y por último, ¿nos harías el favor de suscribirte a este canal de YouTube? Básicamente ayuda al algoritmo y muestra que hay valor. Si usted está recibiendo valor de esto, sólo tiene que pulsar el botón "Me gusta". Y si estás escuchando esto en cualquiera de las plataformas de podcast en las que estamos publicando esto, danos una calificación. Háganos saber cómo lo estamos haciendo. Y si tienes alguna sugerencia para nosotros, como siempre, háznoslo saber, haz un comentario, envíanos un correo electrónico, lo que sea, haznos saber lo que quieres oír.

Eso es todo por hoy. Gracias de nuevo, Teri. Y hablaremos contigo más tarde. Hasta luego.

Teri Bobst: Gracias, Sean. Adios.