marzo 2009


A cinco minutos de la celebración de “La Hora del Planeta“, parece oportuno plantearse esta cuestión: ¿realmente, las iniciativas de “informática verde” que abordan las organizaciones están motivadas por una desarrollada conciencia socio-ambiental hacia el cuidado del Planeta, y con ello, hacia el bienestar de las generaciones presentes y venideras; o, por el contrario, el único catalizador de dichas actuaciones, en el seno de las corporaciones, atiende a criterios de reducción de costes, particularmente, en la actual conyuntura económica?

Lamentablemente, nadie se equivocará en exceso si opta por la segunda posibilidad que plantean, tanto la anterior pregunta, como el título de este artículo.

Gobernanza de TI defiende la idea de una “informática verde”, integrada en la agenda corporativa ,y, por tanto, constitutiva del conjunto de iniciativas de Buen Gobierno Corporativo de las TIC, que toda organización debería poner en marcha. Sin embargo, …

¡Disculpen! Los cinco minutos ya han pasado.

Anuncios

Ese es el nombre elegido para la nueva comisión de trabajo del Capítulo de Madrid de ISACA. El anuncio de la creación de este nuevo foro fue realizado en la tarde del pasado jueves, 26 de marzo de 2009, durante la celebración de la Asamblea Ordinaria de privamera, de la Asociación.

La comisión, cuya constitución es reflejo del apoyo de la nueva Junta Directiva hacia la difusión y promoción del Gobierno Corporativo de las TIC, nace motivada por tres factores principales:

  • el deseo de sincronizar las actividades del Capítulo con la orientación actual de ISACA y su IT Governance Institute, sirviendo a  – y, respectivamente, liderando –  el colectivo de profesionales dedicados a la Gobernanza de TI;
  • la intención de actualizar y ampliar el enfoque de actividades del Capítulo, con el ánimo de sumar esfuerzos a los ya empleados en las áreas de Control, Auditoría (Aseguramiento) y Seguridad de los Sistemas y Tecnologías de la Información y las Comunicaciones, en el seno de las organizaciones; y,
  • la necesidad de dar respuesta al creciente interés del mercado y, no menos importante, del colectivo de asociados, hacia este ámbito.

Los objetivos y contenidos de los trabajos a abordar en el seno de la nueva comisión girarán, obviamente, en torno al tema del Gobierno TIC, con especial énfasis en el estudio y difusíón de la normativa y bibliografía existente en este ámbito, así como en la elaboración de material propio que sirva de referencia, tanto a los miembros de la Asociación, como a las entidades en las que éstos desarrollan su actividad profesional.

En relación a la participación de los asociados en la citada comisión, se apuntó que:

  • las solicitudes habrán de ser canalizadas a través de los servicios administrativos de ISACA, en la dirección electrónica administracion@isacamadrid.es; y,
  • se priorizará la participación de profesionales que desarrollen su labor profesional, específicamente, en el ámbito de referencia. A tal fin, cada solicitud deberá ir acompañada de un breve resumen que describa la motivación del candidato para formar parte de la comisión, así como de una pequeña referencia a su bagaje laboral/académico.

Por último, se hizo hincapié en la necesidad de que los involucrados ofrezcan una participación comprometida, y activa, en relación al desarrollo y progresión de los trabajos abordados por la comisión.

En otro orden de cosas, esta Asamblea, cargada de novedades en el apartado de Gobierno TIC, sirvió, igualmente, de marco para anunciar los nuevos cursos que se incorporarán al Plan de Formación de la Asociación para 2009. Entre ellos, el curso de Fundamentos de CobiT (CobiT Foundation Course) que da paso a la certificación homónima (CobiT Foundation Certificate) y será ofrecido por Instructores Acreditados en CobiT, por ISACA (Accredited CobiT Trainers); y la incorporación del curso de preparación para el examen CGEIT.

Ya hay quien habla del fracaso de la primera oleada de iniciativas de Gobierno Corporativo de TI. Así, al menos, se reflejaba hace unos días en una discusión mantenida entre diferentes miembros de la comunidad virtual IT Governance Group de CollectiveX. Sin embargo, ¿no resulta un poco atrevido realizar tal afirmación? ¿Sería alguien capaz de identificar unas fechas de inicio y, particularmente, de fin, para tal etapa? ¿No será más oportuno pensar que esa primera oleada de Gobernanza de TI ni siquiera ha llegado; o, a lo sumo, que aún está llegando?

Con toda probabilidad, un gran número de profesionales del sector lleva, o confesará llevar, varios años envuelto en la materia objeto de esta bitácora: el Gobierno Corporativo de las TIC. Yo, personalmente  – y disculpen esta “primera persona” que he tratado de evitar en los artículos publicados hasta la fecha -,  tuve mi primer contacto con la Gobernanza de TI en el año 2000, de la mano de ISACA y su ITGI. (¡Realicen el sencillo ejercicio de recordar dónde estaban Uds. en esa época!). Y ello, tras haber sido responsable , durante más de un lustro  – 1994/2000 -,  de lo que hoy se llamaría “TI”, en una firma de ingeniería. Por otro lado, comencé a escribir y a ofrecer alguna conferencia sobre el tema de referencia hacia 2003/04. Sin embargo, puede decirse que en nuestro mercado se ha empezado a hablar  – respectivamente, a oir –  de Gobierno de TI hace apenas un par de años.

Efectivamente, fue en 2007 cuando comenzó a verse una difusión a mayor escala del concepto de Gobierno de TI desde diferentes frentes. Esa corriente, iniciada, tal vez a finales de 2006, tuvo su origen, en gran medida, en foros de gestión de TI  – gestión de servicios de TI -;  no en foros de gobierno corporativo, propiamente dichos, lo que ha llevado a crear una cierta confusión. (Confusión que no es exclusiva del panorama español).

En definitiva, y con respecto a la pregunta planteada por el título de este artículo, no parece que el mercado se encuentre, ya, en plena segunda oleada  – versión 2.0 –  del Gobierno de TI. Como les ocurre  a los “surferos” novatos, puede decirse que nuestro mercado está, aún, comenzando a subirse, lentamente y con notable cautela, a la primera ola.

Ello no ha de impedir reconocer los errores, numerosos probablemente, que se han cometido y todavía se están cometiendo en la puesta en práctica de iniciativas de Buen Gobierno Corporativo de las TIC; pero llamar a eso fracaso de la primera oleada, se antoja excesivamente ambicioso, y prematuro. ¡De momento, déjese sólo en fracaso!

Eso, al menos, es lo que declaran ITGI/ISACA, con respecto a la publicación del que será su nuevo marco para el gobierno de los riesgos corporativos, derivados de las TIC: Risk IT.

En la tarde de ayer, fue retirado el enlace a la versión borrador del modelo, de la página principal de ISACA, una vez que hubo transcurrido el período de revisión pública, iniciado el pasado 29 de enero de 2009, como anunciaba ‘Gobernanza de TI‘ hace unas semanas.

Comienza, ahora, un proceso de análisis e incorporación de los comentarios recibidos, que, con toda probabilidad, se extenderá más allá del verano. Considerando las previsiones habituales de la Asociación, no sería descabellado pensar que el nuevo modelo esté disponible, como muy pronto, a finales de año.

El nuevo marco, derivado de CobiT, vendrá, de ese modo, a sumarse a este último, y a Val IT, como componente de la terna que, a día de hoy, constituye la oferta del IT Governance Institute para cubrir los tres pilares del buen gobierno corporativo de las Tecnologías de la Información y las Comunicaciones: sincronía negocio-TI (CobiT), aporte de valor (Val IT) y contención de los riesgos (Risk IT).

La difusión del concepto de Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones suele no ser una tarea fácil. Reiteradamente se cometen una serie de errores que contribuyen negativamente a esa comunicación:

A. Mensaje inadecuado (teórico frente a práctico): ¿Se está lanzando el mensaje correcto?

BSC, CEO, CGEIT™, CGO, CIO, CobiT®, CTO, ICT, IT, ITBSC, ITG, ITGI, ITIM, PPM, Risk IT, Val IT™, VMM, entre otros, son (o están comenzando a ser) términos de uso habitual en la bibliografía sobre gobierno de TI.

Tradicionalmente, a los técnicos [informáticos] se les ha venido atribuyendo la “torpeza” de hacer un uso abusivo  – y, en la mayoría de los casos, innecesario –  de los acrónimos y de la  jerga tecnológica. Por tanto, no parece oportuno que aquellos otros individuos procedentes de los ámbitos de la calidad de las TI, de la gestión por procesos de las TI, y, en último término, del campo del gobierno de las TI, vayan a caer en el mismo error.

B. Interlocutor inadecuado: ¿Se está lanzando el mensaje a la gente correcta?

La mayoría de las veces, el mensaje de buen gobierno corporativo de las TIC va dirigido a CIOs, CTOs, mandos de TI y otros interlocutores tecnológicos. Sin embargo, surge una duda en relación al gobierno de TI: ¿es, realmente, el CIO el interlocutor válido?

A fin de poder contestar a esta pregunta, piénsese, por un momento, en los siguientes interrogantes:

  • ¿Cuánto debe gastar una organización en TI?
  • ¿Qué procesos de negocio deberían ser los destinatarios de esas inversiones?
  • ¿Qué capacidades de TI (infraestructuras, aplicaciones, …) deberían ser de ámbito corporativo? ¿Cuáles sería suficiente con que fuesen de ámbito departamental?
  • ¿Cuán buenos han de ser, en realidad, los servicios de TI prestados desde la organización?
  • ¿Qué riesgos a la seguridad y a la privacidad está dispuesta a asumir la organización?
  • ¿A quíen se culparía si una iniciativa de TI fallase?

Después de ésto, ¿aún se sigue creyendo en el CIO como el interlocutor adecuado a la hora de transmitir la necesidad de establecer marcos de buen gobierno de TI? ¿No se trata [el gobierno de TI], en realidad, de un terreno fronterizo, cuya responsabilidad está repartida y a medio camino entre las atribuciones de la alta dirección (Consejos de Administración, CEO, …) y las del área de TI (CIO)?

C. Perímetro (alcance) del gobierno de TI incorrectamente delimitado: ¿Se está hablando de Gobernanza de TI, cuando, realmente, se quiere decir Gestión de TI?

Defínase la “Gobernanza de TI” como el proceso de toma de decisiones en torno a las TIC. En cada decisión tomada, pueden diferenciarse los siguientes tres componentes:

  • ¿QUIÉN toma la decisión?
  • ¿CÓMO se toma la decisión?
  • ¿QUÉ decisión de toma?

La gobernanza de TI guarda más relación con el ¿QUIÉN? y con el ¿CÓMO? (estructuras organizativas para la toma de decisiones); mientras que la cuestión del ¿QUÉ?  – y, particularmente, la ejecución de ese “qué” –  queda más en el terreno de la gestión del día a día de las TI.

D. Excesiva confianza en las herramientas: ¿Se es capaz de distinguir entre:

  • herramientas?;
  • operación óptima (derivada de una buena gestión de TI)?, la cual especifica el modo correcto de utilizar dichas herramientas; y,
  • gobernanza, esto es, el modo mediante el cual se asegura que las herramientas son utilizadas, en realidad, para alcanzar los objetivos corporativos?

En el panorama de la gobernanza TIC, como en muchos otros escenarios tecnológicos, existe la falsa creencia de que las herramientas constituyen la solución definitiva a cualquier problema al que la organización deba enfrentarse. Por ese motivo, no es extraño ver cómo ciertas entidades declaran “haber implantado un magnífico marco de buen gobierno corporativo de TI, símplemente, por el hecho de que han desplegado una, u otra, solución de PPM“, por ejemplo.

 

La llegada de la norma ISO/IEC 38500:2008. Corporate governance of IT

Afortunadamente, el 1 de junio de 2008, las cosas parecieron empezar a tomar el camino correcto. Ese día la Organización Internacional de Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC) publicaron la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology. Esta norma, basada en la australiana AS 8015:2005. Corporate governance of ICT, es la primera norma internacional referida al gobierno corporativo de las TIC y proporciona:

  • independencia de herramientas;
  • una definición clara del concepto [gobierno corporativo de las TIC] y sus límites;
  • unos destinatarios del mensaje de gobierno de TI, claramente identificados; y,
  • simplicidad del propio mensaje de buen gobierno TIC, mediante el establecimiento de una serie de principios generales.

 

Principios de buen gobierno corporativo de las TI

La norma establece seis principios generales aplicables  a todo tipo de organización:

  • Responsabilidad: establecer responsabilidades sobre las TIC, que sean claramente comprendidas por los afectados;
  • Estrategia: planificar las TIC para que apoyen, de la mejor manera, a la organización;
  • Adquisición: adquirir TIC de forma válida;
  • Rendimiento: garantizar que las TIC funcionen bien, y siempre que sea necesario;
  • Conformidad: garantizar que las TIC son conformes a las normativas vigentes; y,
  • Comportamiento humano: garantizar que el uso de las TIC tiene en cuenta el factor humano.

Como puede verse, los principios abordan, particularmente, comportamientos (responsabilidad, cumplimiento, factor humano), y no tanto procesos  – a diferencia de lo que ocurre con otros marcos para el gobierno de TI -,  recuperando, de ese modo, los aspectos éticos originales, subyacentes al propio concepto de gobierno corporativo.