febrero 2009


Más allá de la tradicional aproximación a la Seguridad de la Información y sus Tecnologías afines, basada en los criterios C-I-A ([C]onfidencialidad, [I]ntegridad, Disponibilid[a]d), los actuales enfoques de Gobierno Corporativo de TI revelan que los riesgos derivados del uso de las TIC, que afectan a las organizaciones, quedan enmarcados en las siguientes categorías:

  • Disponibilid[a]d ([A]vailability)
    Mantener los sistemas  – y sus procesos de negocio asociados – en ejecución,  y recuperarlos/restablecerlos cuando se produzcan interrupciones (cualesquiera que sea la gravedad de éstas).
  • [A]ccesibilidad ([A]ccessibility)
    Garantizar un acceso apropiado a la información y a los sistemas de forma que la gente “adecuada” disponga del acceso que necesite y la gente “inadecuada” no.
  • Ex[a]ctitud ([A]ccuracy)
    Proporcionar la información correcta, completa y en tiempo, que cumpla con las necesidades de los diferentes grupos de interés (la Dirección, el personal, los clientes, los proveedores y los organismos reguladores).
  • [A]gilidad ([A]gility)
    Disponer de la capacidad de cambiar  – desde el punto de vista de las TI –  a una velocidad y a unos costes controlados (por ejemplo, tras la adquisición de otra compañía, tras finalizar un rediseño importante de los procesos de negocio o de cara a lanzar nuevos servicios). Es decir, caerá en esta categoría  de riesgo todo aquello que limite las opciones de acción de la organización.

Este paradigma parece alejarse  – tenuemente, al menos –  de la jerga tecnológica (cifra, claves, firma, no repudio, …), ligada a aspectos como la confidencialidad o la integridad, para adoptar una orientación más cercana a los criterios que, para el negocio, ha de cumplir la información corporativa (disponible, accesible, exacta y ágil). Así se desprende, aparentemente, de las investigaciones (1)  llevadas a cabo, en los últimos años, por George Westerman, de la Escuela de Negocios “Sloan” del MIT, que han servido de base para su libro “IT Risk. Turning Business Threats Into Competitive Advantage”, publicado en julio de 2007.

 

(1) Westerman, George. “Understanding the Enterprise’s IT Risk Profile”. Research Briefing IV(1C). Cambridge, MA: CISR, MIT Sloan School of Management. Marzo, 2004.

Anuncios

La Gobernanza de TI es el proceso de toma de decisiones en torno a las TIC.

Los Consejos de Administración y las Direcciones Generales han comprendido, desde hace tiempo, la necesidad de establecer marcos de buen gobierno corporativo. Esto se hace particularmente evidente si se tienen en cuenta las crecientes obligaciones en materia de conformidad regulatoria.

Más aún, los Sistemas de Información, y las Tecnologías de la Información y las Comunicaciones que los sustentan, han adquirido una gran relevancia en el logro de los objetivos corporativos y en la entrega de beneficios. Ello ha llevado a un importante número de organizaciones a darse cuenta de que la gobernanza ha de extenderse también al ámbito tecnológico; hasta tal punto, que, hoy en día, el buen gobierno de las TI es considerado una parte integrante de la gobernanza corporativa, como medio de apoyar y reforzar las estrategias y objetivos de la organización.

Este escenario  – con una creciente demanda, por parte del negocio, de la aportación que ofrece la tecnología; y con una superior concienciación sobre la importancia de contar con buenas prácticas y modelos –  abre un claro camino hacia el desarrollo y despliegue de la Gobernanza de TI.

Como parte de este “despliegue”, y dado que la dirección (gobierno) de las TI ya no ha de verse como una preocupación exclusiva de la Dirección de Informática, sino de la alta dirección en su conjunto, está surgiendo una nueva figura a nivel directivo: el Gobernador Corporativo de TI (Chief [IT] Governance Officer, o CGO, como recogería la bibliografía anglosajona).

Como ventaja añadida, el establecimiento de un puesto tal, dentro de la organización, supondrá una demostración palpable del compromiso de aquella con la excelencia en las buenas prácticas de gobernanza de TI.

 

Con la mira puesta en el negocio

En el nuevo contexto, la misión del Gobernador de TI será proporcionar el debido apoyo al Consejo de Administración y a la Dirección General, maximizando la contribución hecha por las Tecnologías de la Información al éxito de la organización y, al mismo tiempo, gestionando y mitigando los riesgos derivados del uso que se hace de la propia tecnología.

 

El perfil

Entre las responsabilidades  – o, dicho de otro modo, habilidades –  de los profesionales que desarrollen su actividad entorno a la gobernanza de las TI en sus respectivas entidades, cabe descatar las siguientes:

  • deberán conocer las actuales tendencias, así como los principales modelos organizativos y de dirección de TI, y saber armonizar y canalizar su valor para la entidad. Esta meta se alcanzará mediante el establecimiento de procesos de implantación y despliegue de dichos marcos de referencia para el gobierno, la dirección y el control de las TI a lo largo y ancho de la organización;
  • deberán ser capaces de asegurar que las TI actuan como catalizador para el logro de los objetivos del negocio, mediante la integración de los planes estratégicos de TI con los planes estratégicos de la organización y mediante la sincronización de los servicios prestados desde TI con las operaciones de la compañía para optimizar los procesos de negocio. A ello contribuirá la definición y desarrollo de una estrategia tecnológica de la empresa;
  • deberán, asimismo, encargarse de garantizar que, tanto TI, como las áreas de negocio, cumplen con sus responsabilidades sobre la gestión del valor: esto es, que las nuevas inversiones en actividades apoyadas en tecnología producen el beneficio esperado y aportan un valor al negocio, medible, tanto invididual, como colectivamente; que las capacidades (soluciones y servicios) son entregados en coste y plazo; y que los servicios y otros activos de TI contribuyen de manera contínua al valor del negocio. Todo ello, mediante el desarrollo de un proceso de gobierno del valor;
  • adicionalmente, los gobernadores de TI deberán asegurar la existencia y puesta en marcha de marcos apropiados, alineados con las normas y modelos de referencia, para identificar, evaluar, mitigar, gestionar, comunicar y supervisar los riesgos del negocio relacionados con las TI, como una actividad más del buen gobierno de la empresa. Todo ello, mediante el desarrollo, mejora y mantenimiento de un proceso contínuo y analítico de gobierno de los riesgos empresariales;
  • estos nuevos directivos deberán ocuparse de que el área de TI disponga de recursos suficientes, competentes y capaces de ejecutar los objetivos estratégicos presentes y futuros, y de responder a las demandas del negocio, a través de una gestión óptima de la inversión, el uso y la asignación de los activos tecnológicos (personas, aplicaciones, infraestructuras e información). Todo ello, mediante la puesta en marcha de un proceso contínuo de planificación, gestión y optimización de activos, recursos y operaciones de TI;
  • igualmente, deberán asegurar que se establecen metas e indicadores para las TI, de apoyo al negocio, en colaboración con las partes interesadas; y que se fijen, supervisen y evaluen ciertos objetivos medibles. Todo ello, mediante procesos contínuos de medición, gestión y evaluación del rendimiento; y,
  • finalmente, deberán ser capaces de actuar como impulsores del cambio cultural y organizativo dentro de la entidad; a lo cual se llegará, a través de la activación del oportuno programa de comunicación y gestión del cambio que habrá de mantenerse en el tiempo y en paralelo a la implantación de las nuevas prácticas y procesos adoptados dentro de la organización.

Se trata, en definitiva, de habilidades y actividades directamente relacionadas con la definición, el establecimiento y/o el mantenimiento de un conjunto de mecanismos de gobernanza de las TIC orientados a asegurar la sincronía con el gobierno corporativo de la entidad; a controlar el entorno de TI y la información de negocio mediante la puesta en marcha de buenas prácticas; y a garantizar la conformidad con los requisitos, externos e internos, a que esté sujeta la organización.

 

Una reflexión final

A partir del perfil descrito para estos nuevos directivos cabría plantearse la siguiente duda: ¿están los actuales responsables de Tecnología, tanto en organizaciones del sector público, como del privado, preparados para asumir ese nuevo papel?

Sin ánimo de polemizar, uno podría mostrarse, cuando menos, dubitativo ante semejante pregunta. Particularmente, teniendo en cuenta el perfil actual, medio, del directivo de TI: un individuo con un enorme bagaje técnico, en la mayoría de los casos, que ha ido ganando en responsabilidad con los años; pero al que no siempre le resulta fácil, ni cómodo, adoptar perspectivas de negocio. Un individuo, en definitiva, cuya propia “configuración” interna presenta, habitualmente, un claro desequilibrio entre la vertiente tecnóloga, más acusada, y la vertiente directiva (empresarial), menos desarrollada.

Tal vez convendría reformular la pregunta de esta manera: la aparición de este nuevo perfil  – CGO –  en los niveles de alta dirección, ¿no habría de constituir, para los actuales Directores de Informática, una oportunidad única de crecimiento personal y de elevación de su posición dentro de las organizaciones?

La Universidad de Deusto lanza la 3ª Edición de MaGTIC, su “Máster en Buen Gobierno de las TIC“. Queda abierto el período de solicitud de inscripción y matrícula, previéndose el inicio de las clases para el próximo mes de mayo de 2009.

MaGTIC, creado en 2006, ha sido el primer curso de posgrado del panorama universitario español que ha puesto el foco, de manera específica, en el Buen Gobierno Corporativo de las TIC. Ello le ha valido el temprano reconocimiento de ISACA que, ya durante la primera edición del máster (2006-07), lo aprobó como curso alineado con su Modelo Curricular, definido, originalmente, en 2004. En el momento actual, sólo dos universidades del ámbito hispanohablante gozan de tal reconocimiento, según muestra la lista de programas académicos alineados, de ISACA.

La edición que ahora se anuncia presenta, entre otros elementos, una renovada área de orientación a la certificación profesional del alumno, en el que por vez primera se ofrecerá preparación para la prueba CGEIT, que ISACA organiza cada año, en los meses de junio y diciembre. Asimismo, se mantienen dentro del programa académico las sesiones de preparación para el examen CobiT Foundation, cuya acogida ha sido unánime por parte de los participantes en las anteriores ediciones del Máster.

MaGTIC, por otro lado, ha constituido la génesis de una relación entre la Universidad de Deusto y la multinacional española Oesía, que ha culminado con la reciente firma  – el pasado 21 de enero de 2009 –  del acuerdo para la creación de la que ya es primera Cátedra en Buen Gobierno de las TIC de la universidad española. Serán objetivos de la nueva cátedra, la investigacion, promoción y divulgación de actividades en el campo del Gobierno Corporativo de la Información y sus Tecnologías afines.

El ITGI acaba de publicar  – viernes, 6 de febrero de 2009 –  una esperada guía sobre la adopción de la norma de Buen Gobierno Corporativo de las TIC, ISO/IEC 38500:2008, a partir de los marcos de referencia para el gobierno de TI del propio Instituto: CobiT y Val IT, principalmente.

El nuevo texto, “ITGI enables ISO/IEC 38500:2008 adoption”  – un breve documento de 19 páginas –  enlaza los principios clave de buen gobierno fijados por la norma (responsabilidad, estrategia, adquisición, rendimiento, conformidad y comportamiento humano), con los diferentes modelos, directrices y buenas prácticas recogidos en la bibliografía del ITGI, ofreciendo un enfoque práctico para agilizar su puesta en marcha.

La sencilla ecuación que da título a este artículo, ITG = GRC + GVP, determina, claramente, el perímetro en el que se mueve el Buen Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones.

Si se atiende a una definición muy ortodoxa de gobernanza de TI, podría pensarse que aquella no es sino una responsabilidad exclusiva de la Alta Dirección de la organización, mediante la que habrían de buscarse la transparecia que el mercado y los diferentes grupos de interés demandan;  y, al mismo tiempo, la garantía de conformidad con las diferentes normativas, internas y/o externas, a que pudiera estar expuesta la entidad. Un razonamiento tal, sin duda, no sería del todo erróneo, por cuanto en él se encierra el origen del concepto de “Buen Gobierno Corporativo” [de las TIC, en este caso], que indudablemente va ligado a la necesidad de que las personas al frente de las organizaciones “hagan las cosas correctas, del modo correcto”, esto es, obren bien, cumpliendo con las prescripciones impuestas y mitigando los riesgos que, derivados de su comportamiento, puedan afectar a la organización.

No obstante, si bien resulta correcto el anterior planteamiento, se hace insuficiente si se considera que, también, para el área de TI hay una oportunidad en la adopción de un marco de buen gobierno corporativo. Se trata de la oportunidad de ganar o, en algunos casos, recuperar, un mayor grado de visibilidad dentro de la propia organización. (Mayor visibilidad desde la perspectiva del resto de áreas de la entidad). En este caso, esa ganancia en visibilidad del área de TI, habrá de venir dada por la mayor aportación de las TIC al negocio y por una correcta medida y comunicación (“venta interna”) de dicha aportación.

De todo ello se concluye que la gobernanza de TI es una competencia “fronteriza” o, mejor aún, compartida entre la función de TI y la Alta Dirección de las organizaciones.

Retomando la ecuación presentada al inicio, puede afirmarse que en ella queda perfectamente resumida la esencia del mensaje transmitido por los párrafos anteriores: “por su naturaleza corporativa, confluyen en el gobierno de las TI (IT Governance, ITG) dos vertientes:

  • la que se orienta a la mitigación de los riesgos que, para la organización, se deriven del uso de las TI; a la conformidad con la reglamentación establecida; y a la garantía de una mayor transparencia (Governance, Risk & Compliance, GRC); y,
  • la correspondiente a la búsqueda/creación de valor para la organización; su medición y notificación/comunicación (Governance, Value & Performance, GVP)”.

Esta realidad, sin embargo, no parece del todo clara, si uno se detiene a observar la actual oferta de herramientas informáticas de apoyo al Buen Gobierno Corporativo de las TIC. El abanico de posibilidades queda segmentado, precisamente, en los dos ámbitos identificados: GRC y GVP.

En relación con las actividades de Control Interno y de mitigación de Riesgos se aprecia, actualmente, un desmesurado deseo, por parte de los fabricantes, de etiquetar cualquier producto como “producto GRC” o “producto conforme con GRC”, como si se tratase de las siglas de alguna normativa o especificación formal. Ello no es sino una prueba más de que el término “[IT] Governance” está de moda. Sin embargo, se trata de soluciones y tecnologías que ya gozan de un cierto nivel de madurez en el mercado y que han estado tradicionalmente ligadas a las CAATTs (del inglés, Computer-Aided Audit Tools and Techniques), las técnicas y herramientas de auditoría asistida por ordenador, de las cuales, en gran medida, derivan, con la diferencia de que han sabido subirse a la ola de la gobernanza TIC.

Dicha ola irá, a todas luces, in crescendo en los próximos años, a medida que aumenten las regulaciones, dada la coyuntura existente en el mundo corporativo, lo que incrementará la demanda de este tipo de plataformas. En este sentido, no sería descartable  – aunque, sí recomendable –  una corriente “unificadora” en el campo de los marcos de control.

Por su parte, las plataformas GVP, que son aquellas relacionadas con la automatización de las actividades de seguimiento y medición del valor y el rendimiento aportados por las TIC, se reducen, básicamente, a las soluciones de gestión de carteras, programas y proyectos (en inglés, PPM, Project Porfolio Management) y a las de creación de cuadros de mando integral (del inglés, Balance Scorecard, BSC).

Análogamente a lo apuntado para la “moda” de los “productos GRC”, en el caso de las plataformas PPM, los grandes fabricantes están yendo aún más allá, y están promocionando sus productos como auténticas soluciones “IT Governance“. La gravedad de este hecho se traduce en un mercado desorientado ante un discurso formal de gobierno TIC; mercado en el que, además, la esencia subyacente a dicho concepto queda absolutamente desvirtuada.

¡Confiemos en ver, a medio plazo, a los fabricantes reorientando sus esfuerzos con objeto de ofrecer al mercado verdaderas soluciones ITG completas (es decir, soluciones “GRC+GVP”).

La publicación Global Communiqué, de ISACA, recogía, en su número de enero de 2009, una nota de prensa sobre un nuevo acercamiento entre aquella y el itSMFI (The Information Technology Service Management Forum International).

El reconocimiento mutuo entre ambas organizaciones, iniciado en 2005 con la publicación de “Aligning CobiT, ITIL and ISO17799 for Business Benefit. A Management Briefing from ITGI and OGC (1)”, culmina, ahora, con la firma de un Memorando de Entendimiento (MdE).

En palabras de sus respectivas responsables  – Lynn C. Lawton, de ISACA/ITGI, y Sharon Taylor, de itSMFI -,  el MdE buscará la difusión de los modelos de TI CobiT e ITIL y la promoción de su utilización conjunta  – integrada -,  a fin de proporcionar una perspectiva de arriba hacia abajo de las TI dentro de las organizaciones.

 

(1) El año 2008 ha sido testigo de la actualización de este documento, por vía del nuevo “Aligning CobiT 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit. A Management Briefing from ITGI and OGC“.

Página siguiente »