Gobernanza de TI en una línea (revisada)

La Gobernanza de TI es el proceso de toma de decisiones en torno al USO de las TIC.

 

Artículos relacionados

1. Gobernanza de TI en una línea
2. Dos años de ISO 38500: ¿es éste el camino?
3. Otra “miguita” y algo más: borrador público del “Informe sobre el Diseño de CobiT 5″
4. Entrevista con Mark Toomey, autor de “Waltzing with the Elephant”
5. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]
6. Una “misiva” para la alta dirección
7. “King III” y el Gobierno Corporativo de las TIC
8. ISO/IEC 38500:2008. Un año difundiendo el concepto de ‘Buen Gobierno Corporativo de las TIC’
9. Estar encima (por Mark Toomey)
10. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”

 

El cielo puede esperar

El pasado mes de febrero, ISACA puso en marcha su estudio ‘Barómetro 2010‘, dirigido a conocer la opinión de sus miembros sobre el riesgo  -y, respectivamente, la contribución-,  de las TI para sus organizaciones. Los resultados, ofrecidos por regiones, comenzaron a ver la luz en los meses siguientes. En mayo ya se conocían los datos correspondientes a Europa, EEUU e Hispanoamérica.

El estudio partió de las respuestas obtenidas a través de una encuesta que contó con la participación de cerca de 4.000 profesionales (1). Los cuestionarios recogían en torno a una docena de preguntas sobre la, mayor o menor, aversión de las organizaciones hacia el riesgo ligado al uso de las TI; y sobre las actividades contempladas para mitigarlo.

Es reseñable el hecho de que, entre la mencionada, y breve, relación de cuestiones  -todas ellas de carácter general-,  ISACA haya considerado pertinente incluir dos dedicadas, de manera más específica, al tema de la «computación en la nube» (del inglés, cloud computing). Tal vez, ello sea indicativo del potencial  -o, al menos, del interés-  que la Asociación advierte en esta «nueva» línea de actividad. Potencial que, a la vista de los resultados del estudio y para asombro de más de uno, no parece ser percibido en la misma medida por los profesionales del sector:

• preguntados sobre el equilibro riesgos/beneficios, sólo un 15% de los encuestados declararon ver más beneficios que riesgos, para sus organizaciones, en la traslación de servicios de TI a la nube; e,
• interrogados sobre los planes, a corto plazo, de sus propias organizaciones en relación a la adopción de prácticas de computación en la nube, un incontestable 59% afirmó no disponer, o no conocer la existencia, de plan alguno a este respecto; dato al que habría que añadir otro 16% correspondiente a aquellos que declararon estar aún en fase de evaluación de dicha posibilidad.

El hecho de que los anteriores datos reflejen la opinión de profesionales «iniciados» en el mundo TI, no resulta muy halagüeño a la hora de pensar en la orientación que podrán tener las decisiones de aquellos sujetos a quienes, dentro de las organizaciones, corresponda decir la última palabra en favor, o no, de esta «nueva» forma de aprovisionamiento de servicios de TI.

Habrá que confiar en la eficacia de iniciativas como las promovidas por la Cloud Security Alliance (CSA), cuyo capítulo español, CSA-ES, ha visto la luz, también, en este primer semestre del año 2010.

De momento, como algún responsable de TI ha confesado, recientemente, en la intimidad: «el cielo puede esperar«.

 

Artículos relacionados

1. Paradigma de las “4A”

 

(1) Datos a junio de 2010, correspondientes a las encuestas europea (1.546 encuestados), estadounidense (1.809 encuestados) e hispanoamericana (433 encuestados).

 

Teseo y la Auditoría de Sistemas (por Manolo Palao)

Los sistemas de información (incluso, los no automatizados) son  -lo han sido siempre-  cruciales como apoyo a los procesos de toma de decisiones. En esta, ya tercera, entrega de la serie «Texticulillos», ‘Gobernanza de TI‘ recupera las palabras de Manolo Palao relativas a los desafortunados desenlaces a los que puede llevar una mala elección de tales sistemas.

Publicado originalmente por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA-,  «Teseo y la Auditoría de Sistemas» cuenta cómo el hecho de no disponer de un adecuado marco tecnológico (aunque se trate de «tecnología náutica») para la toma de decisiones convenientemente informadas  -base de un Buen Gobierno-  puede acarrear dramáticas consecuencias.

 

Texticulillo nº 3: Teseo y la Auditoría de Sistemas (1)(2)

Un error en el uso de un sistema de información pobremente diseñado motivó el suicidio del rey de Atenas, Egeo, quien se arrojó al mar al que, desde entonces, dio nombre.

Teseo, hijo de Egeo, había partido de Atenas para intentar liberarla del ‘impuesto revolucionario’ al que la ciudad era sometida por el feroz Minotauro, desde su residencia en el Laberinto de Creta. Éste exigía la entrega, cada nueve años, de siete jóvenes y siete doncellas vírgenes.

Teseo y Egeo habían convenido que si el primero tenía éxito, al volver, izaría en su barco una vela blanca, en lugar de la negra con que había partido. Este código permitiría a Egeo tener información precoz sobre el resultado de la misión.

Teseo mató al Minotauro y logró salir del Laberinto gracias al ovillo de hilo que le había entregado su enamorada Ariadna.

De vuelta hacia Atenas, llevando a Ariadna consigo, el ingrato la abandonó en la isla de Naxos. Los dioses, en castigo, le hicieron olvidar cambiar la vela.

Un Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC) que hubiera sido consultado  –cosa imposible en aquellos tiempos, pues la profesión tiene sólo unos 30 años de existencia—  hubiera desaconsejado a Egeo y Teseo la adopción de un código tan frágil; salvando, quizá, así, la vida de Egeo, quien, de tal modo, podría salir en futuros episodios.

La actual difusión de los sistemas de información y la importancia de las decisiones  -aunque, en general,  no lleguen al suicidio-  adoptadas con su ayuda, hace esencial que se pueda disponer de opiniones competentes e independientes sobre la idoneidad de los sistemas.

Un ASITIC podría haber recomendado un código redundante o un protocolo con confirmación de los mensajes. (Claro que si los dioses se empeñan …).

El mismo ASITIC felicitaría a Ariadna por su brillante solución, basada en la “trazabilidad” de las “transacciones” de Teseo al deambular por el dédalo: la continuidad del hilo permitía desandar cada tramo de pasillo y volver a la entrada (3).

La trazabilidad en los modernos sistemas de información es una preocupación importante de los ASITIC. No sólo a efectos de ‘deshacer’ transacciones erróneas, sino a efectos de asociar a cada transacción toda la información pertinente: quién la ejecutó, a qué hora, desde qué terminal, quién la autorizó, a qué hora, etc.

Mucha de esa y análoga información no es realmente necesaria para el funcionamiento ordinario de la empresa (hacer las transacciones), por lo que podría considerarse un sobrecoste (que muchas empresas deciden  ahorrase).

Pero no es un sobrecoste, sino el coste de la calidad y el control exigibles, que puede ahorrar muchos disgustos y hasta tentaciones de suicidio.

 

Artículos relacionados

1. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
2. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
3. Gobernanza de TI en una línea
4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 27 de diciembre de 2002.

(3) Si el problema hubiese sido el de encontrar una salida (o todas las salidas), además de la entrada, el hilo no hubiera bastado y se habría requerido, también, una tiza, o un bote de pintura, o cualquier otro ‘marcador’ que permitiera señalar los caminos explorados en cualquier encrucijada, al hacer backtracking (desandar lo andado) desde el camino sin salida, hasta su encrucijada de partida.
Ese instrumental habría permitido a Teseo y Ariadna hacer un ‘parseo’ [del inglés, parsing = análisis sintáctico] simplificado a una ‘técnica de búsqueda’ “primero en profundidad”. La técnica “primero a lo ancho”, que tiene la ventaja de que la primera salida que encuentra es la más corta, no es aplicable  –con ese instrumental-  a un laberinto en el mundo arquitectónico, porque exige hacer copias físicas, o mediante planos, de todas las soluciones parciales exploradas.
Véase «PARSING TECHNIQUES. A Practical Guide«, de DICK GRUNE y CERIEL JACOBS, Department of Mathematics and Computer Science, Vrije Universiteit, Amsterdam, The Netherlands.
Impresión de los autores. Vrije Universiteit, Amsterdam, The Netherlands.
Edición inicial publicada en 1990 por ELLIS HORWOOD LIMITED, Market Cross House, Cooper Street, Chichester, West Sussex, PO19 1EB, England.
ISBN 0-13-651431-6.
(c) 1990-94, Ellis Horwood Limited.
(c) 1995, Dick Grune & Ceriel J. Jacobs.
Correcciones menores, septiembre 1997, septiembre 1998, p. 75-77.

 

Gobernanza de TI en una línea

La Gobernanza de TI es el proceso de toma de decisiones en torno a las TIC.