Cuando tomé la posición de CISO en una organización de la India, el CEO me informó que la alta gerencia estaba preocupada por fuga de información. La mayor inquietud era particularmente por amenazas internas, dado que la seguridad del perímetro ya estaba suficientemente madura. Cuando iniciamos la búsqueda de soluciones automatizadas hubo confusión, haciendo difícil la toma de decisiones. Entonces uno de mis colegas sugirió utilizar el cuadrante mágico. Él lo había usado cuando llevó a cabo la selección de una herramienta SIEM. Este artículo lo escribí con el fin de compartir el aprendizaje de la experiencia del uso de cuadrantes mágicos.

Hace mucho tiempo, cuando Internet estaba en su estado de desarrollo naciente, los motores de búsqueda estaban evolucionando y los servicios Web eran prácticamente nulos, algunas organizaciones visionarias tales como Gartner, Forester, etc., construyeron bases de conocimiento para recolectar y analizar información, y la pusieron a disposición a un costo accesible.

Uno de tales servicios, el cual aún es muy popular y requerido, es el llamado “Cuadrantes Mágicos”. Los beneficiarios principales de este servicio fueron los CIO, CTO y CISO.

. 

¿Cómo funciona un cuadrante mágico?

Las organizaciones consultoras (Gartner, Forester, etc.) recolectan información sobre soluciones tecnológicas para servicios específicos variados, por ejemplo, ERP, SIEM, DLP o IDAM. También consignan los requerimientos genéricos de usuarios para estos servicios y evalúan cada solución calificando su nivel de cumplimiento contra dichos requerimientos.Además, utilizan criterios de evaluación adicionales, tales como sostenibilidad, planes de crecimiento o diversidad, los cuales responden a preguntas relacionadas con el riesgo del proveedor. El resultado de este análisis comparativo se presenta en cuadrantes con una célula representando posiciones comparativas de las soluciones de cada proveedor. La convención de este ejemplo es utilizada por Gartner: líderes, retadores, jugadores de nicho y visionarios. Las organizaciones interesadas en seleccionar soluciones, utilizan estos cuadrantes como una guía para escoger soluciones de proveedores.

.

Retos en la selección de proveedores

A pesar de que los cuadrantes mágicos son un apoyo excelente en la toma de decisiones, la selección relevante de soluciones de tecnología es muy compleja, dado que los clientes tienen que considerar varios factores, tales como:

  • Resultados esperados
  • Requerimientos de capacidad
  • Provisiones de presupuesto
  • Conveniencia o idoneidad para la organización
  • Listo para usar
  • Facilidad de implementación
  • Integración con otras soluciones de tecnología
  • Requerimientos de entrenamiento, soporte y mantenimiento

.

Factores clave a ser considerados

Los cuadrantes mágicos se desarrollan con base en parámetros y criterios comunes, por lo tanto, deben ser adaptados dependiendo de los requerimientos específicos de las organizaciones. Al utilizar los cuadrantes mágicos, una organización debe tener en cuenta lo siguiente:

  1. Definir los requerimientos de la solución con detalle, que cubran:
    • Funcionalidad
    • Integración
    • Costo y beneficio
  2. Estudiar el cuadrante mágico más reciente, poniendo particular atención a:
    • Parámetros identificados para asegurar que cubren los requerimientos de la organización
    • Mecanismo de puntuación y coeficiente de ponderación en los parámetros relevantes para la organización
  3. Identificar soluciones y llevar a cabo sus propias comparaciones.
  4. Realizar listas cortas de algunas soluciones (dada su disponibilidad) y llevar a cabo pruebas de concepto (PoC, por sus siglas en inglés) para asegurar su conveniencia o idoneidad para la organización. Si no es posible realizar PoC debido a la falta de recursos y habilidades, entonces habrá que solicitar la ayuda de expertos. Cuando nos vimos ante tal problema contratamos a un experto para conducir una PoC y posteriormente lo contratamos para la implementación del proyecto. Los expertos no sólo aconsejan sino también ayudan en la implementación, para asegurar que la solución funciona.
  1. Revisar los requerimientos de soporte, mantenimiento y entrenamiento para la solución.
  2. Preparar el plan para la adquisición y la implementación.

Los cuadrantes mágicos han sido y seguirán siendo útiles en la selección de tecnología para las organizaciones, sin embargo, estas deben utilizarlos como uno de muchos y no como el criterio único para la selección de una solución.

.

[email protected]