5 – Gobierno de los riesgos para la empresa, derivados de las TIC


El pasado mes de febrero, ISACA puso en marcha su estudio ‘Barómetro 2010‘, dirigido a conocer la opinión de sus miembros sobre el riesgo  -y, respectivamente, la contribución-,  de las TI para sus organizaciones. Los resultados, ofrecidos por regiones, comenzaron a ver la luz en los meses siguientes. En mayo ya se conocían los datos correspondientes a Europa, EEUU e Hispanoamérica.

El estudio partió de las respuestas obtenidas a través de una encuesta que contó con la participación de cerca de 4.000 profesionales (1). Los cuestionarios recogían en torno a una docena de preguntas sobre la, mayor o menor, aversión de las organizaciones hacia el riesgo ligado al uso de las TI; y sobre las actividades contempladas para mitigarlo.

Es reseñable el hecho de que, entre la mencionada, y breve, relación de cuestiones  -todas ellas de carácter general-,  ISACA haya considerado pertinente incluir dos dedicadas, de manera más específica, al tema de la “computación en la nube” (del inglés, cloud computing). Tal vez, ello sea indicativo del potencial  -o, al menos, del interés-  que la Asociación advierte en esta “nueva” línea de actividad. Potencial que, a la vista de los resultados del estudio y para asombro de más de uno, no parece ser percibido en la misma medida por los profesionales del sector:

  • preguntados sobre el equilibro riesgos/beneficios, sólo un 15% de los encuestados declararon ver más beneficios que riesgos, para sus organizaciones, en la traslación de servicios de TI a la nube; e,
  • interrogados sobre los planes, a corto plazo, de sus propias organizaciones en relación a la adopción de prácticas de computación en la nube, un incontestable 59% afirmó no disponer, o no conocer la existencia, de plan alguno a este respecto; dato al que habría que añadir otro 16% correspondiente a aquellos que declararon estar aún en fase de evaluación de dicha posibilidad.

El hecho de que los anteriores datos reflejen la opinión de profesionales “iniciados” en el mundo TI, no resulta muy halagüeño a la hora de pensar en la orientación que podrán tener las decisiones de aquellos sujetos a quienes, dentro de las organizaciones, corresponda decir la última palabra en favor, o no, de esta “nueva” forma de aprovisionamiento de servicios de TI.

Habrá que confiar en la eficacia de iniciativas como las promovidas por la Cloud Security Alliance (CSA), cuyo capítulo español, CSA-ES, ha visto la luz, también, en este primer semestre del año 2010.

De momento, como algún responsable de TI ha confesado, recientemente, en la intimidad: “el cielo puede esperar“.

 

Artículos relacionados

  1. Paradigma de las “4A”

 

(1) Datos a junio de 2010, correspondientes a las encuestas europea (1.546 encuestados), estadounidense (1.809 encuestados) e hispanoamericana (433 encuestados).

Anuncios

Hace escasamente una hora, Kristen Kessinger, Directora Adjunta de Relaciones con los Medios de ISACA, lo anunciaba a través de una de la múltiples comunidades que la Asociación  -de manera oficial u oficiosa-  tiene abiertas en la red social LinkedIn: sobre las 15:55, hora local española, quedaba habilitado, por espacio de un año, el programa de “veteranía” mediante el cual aquellos profesionales que acrediten la debida experiencia podrán optar, de modo preferente, a la nueva certificación CRISC (Certified in Risk and Information Systems Control).

El flamante certificado, cuya aparición ya había anunciado  -no sin cierta preocupación, dada la creciente proliferación de certificaciones en el mercado-  ‘Gobernanza de TI‘ el pasado 4 de enero, viene a sumarse a una oferta de acreditaciones profesionales en la que se encuentran las generalistas CISA (desde 1978), CISM (desde 2002) y CGEIT (desde 2007); y a las que habría que sumar el CobiT Foundation Certificate, alumbrado en 2006 y centrado de manera exclusiva, como su propio nombre indica, en el conocimiento básico del modelo CobiT.

La pretendida orientación práctica de CRISC ubicará a este nuevo certificado a la par que CISA(1), en tanto que su “clientela” natural, según sugiere la propia ISACA, habrá de buscarse entre los profesionales (del inglés, practitioners) que desarrollan su labor en torno a la identificación y gestión de los riesgos vinculados al uso de los Sistemas de Información y al establecimiento de marcos de control que ayuden a mitigarlos; aspectos que ya venían siendo tratados, en mayor o menor medida, por el resto de programas de certificación mencionados y que, ahora, adoptan un enfoque integrado y específico.

Si es Ud. un profesional de los riesgos corporativos derivados de TI y está interesado en certificarse, tome nota de las siguientes direcciones-e de referencia:

  • www.isaca.org/criscgfapp, donde encontrará el formulario de solicitud de certificación bajo las condiciones marcadas por el programa de “veteranía”;
  • www.isaca.org/criscpay, donde podrá hacer efectivo el pago de las tasas requeridas por ISACA (recuerde que podrá beneficiarse de su condición de socio y, asimismo, de una rebaja si emite su solicitud antes del 1 de noviembre de 2010); y,
  • CRISCapplication@isaca.org, dirección-e a la que podrá remitir su solicitud.

 

Artículos relacionados

 

(1) Recuérdese que CISA también está orientado a un segmento de profesionales técnicos (en este caso, del ámbito de la Auditoría de los Sistemas de Información); CISM busca su audiencia entre aquellos individuos con responsabilidades sobre las áreas de Seguridad de la Información;y, finalmente, CGEIT, teóricamente, se dirige a una segmento de dirección, o alta dirección, tanto de negocio, como de TI.

Hace exactamente dos meses, el pasado 4 de noviembre de 2009, quedaba registrada en la Oficina de Patentes y Marcas de los EEUU (USPTO, US Patent and Trademark Office) la nueva marca CRISC. Una sencilla pesquisa realizada con el Sistema de Búsqueda Electrónica de Marcas Comerciales (TESS, Trademark Electronic Search System) de la citada agencia permite descubrir el tipo de bienes y servicios que se esconden tras esas siglas:

  • soportes pregrabados y contenidos descargables en línea, de carácter educativo;
  • boletines, revistas y otro material impreso; y,
  • servicios formativos, entre los que se incluyen la impartición de seminarios, la coordinación de conferencias y la administración de pruebas de examen; …

… todo ello en el campo de la certificación profesional en torno a la evaluación de los riesgos asociados a los sistemas de información, a la toma de decisiones de negocio que tienen en cuenta dichos riesgos, a la respuesta y priorización de riesgos, al diseño, implantación y gestión de marcos de control y a la conformidad normativa.

Por si toda esta detallada descripción no ofreciese suficientes pistas de por dónde podrían venir los tiros, una rápida mirada al campo “propietario” en el registro de resultados que ofrece el TESS, corrobora, finalmente, lo que ya se sospechaba: la solicitante de la nueva marca comercial no es otra que ISACA.

Pero, ¿qué puede prentender la Asociación con este nuevo movimiento?

Si se huye de lo políticamente correcto, parece claro que la intención de la afamada organización sin ánimo de lucro pasa por abrir una nueva espita a la entrada de ingresos adicionales en los diferentes conceptos recogidos en la propia descripción de la marca CRISC: materiales de estudio, derechos de examen y, en último término, tasas de mantenimiento de la certificación; esquema que ya se viene siguiendo, con sumo éxito, desde hace más de treinta años con otras certificaciones profesionales de la casa como CISA, CISM y, más recientemente, CGEIT, a las que, irremediablemente, parece que se unirá, en breve, la citada CRISC.

El atractivo de un mercado potencial que puede rondar, al menos, los cien mil (100.000) “clientes”  -sus actuales cien mil asociados-,  desde luego, no resulta desdeñable. A la vista de estos hechos, no es de extrañar que desde Gobernanza de TI se haya escuchado, recientemente, cómo un reputado experto del sector (se cita el pecado; pero no al pecador) comparaba a ISACA con el Ministerio de Hacienda.

Desde un plano menos irónico, la confirmación oficial  -o, cuando menos, formal-  de la próxima aparición de un nuevo programa de certificación para los profesionales de los riesgos y el control de los sistemas de información (CRISC, Certified in Risk and Information Systems Control) venía, hace una semana, de la mano de Mecki Oker, Gerente de Investigación de ISACA, quien afirmaba cómo la Asociación se complacía en anunciar el advenimiento de esta certificación relativa al riesgo corporativo asociado a las TI.

Como parte de su anuncio, la Sra. Oker adelantó, asimismo, el que será cuerpo de conocimiento de CRISC, que estará conformado, previsiblemente, por los siguientes dominios:

  • Identificación, análisis y evaluación del riesgo;
  • Respuesta al riesgo;
  • Supervisión del riesgo;
  • Diseño y puesta en marcha de marcos de control de los sistemas de información; y,
  • Supervisión y mantenimiento de marcos de control de los sistemas de información.

Esta primera aproximación resulta suficiente para reconocer, con total nitidez, un claro sabor a Risk IT, el modelo para el gobierno de los riesgos corporativos de las TI, publicado por ISACA el pasado mes de noviembre. Ello no es de extrañar, si, como también se explicó, el desarrollo de las prácticas detalladas del futuro cuerpo de conocimiento está siendo llevado a cabo por el grupo de trabajo CISREM, liderado por el suizo Urs Fischer, quien, de facto, se está convirtiendo en uno de los mayores divulgadores del modelo Risk IT.

Las páginas de voluntariado de ISACA permiten ver que el grupo de trabajo CISREM tiene el encargo de “desarrollar una certificación orientada, principalmente, a los profesionales de TI ocupados en la identificación y la gestión de riesgos mediante el desarrollo y la puesta en marcha de los adecuados marcos de control sobre las TI para ayudar a las organizaciones a alcanzar sus objetivos, protegiendo sus activos, garantizando la exactitud de su información financiera y la conformidad con los requisitos regulatorios y legislativos relevantes que les sean de aplicación“.

Finalmente, y a pesar de que los desarrollos del grupo de trabajo han de ser, también, validados por una serie de expertos externos, la información aportada la pasada semana habla de forma muy clara sobre lo avanzado del proceso. Según palabras de la propia Sra. Oker, en abril de este año se abrirá el habitual período de veteranía mediante el cual aquellos profesionales experimentados en la evaluación, respuesta y supervisión del riesgo de las TI, así como aquellos otros avezados en el diseño, puesta en marcha y mantenimiento de controles (marcos de control) sobre los sistemas de información, podrán solicitar la certificación sin presentarse al preceptivo examen, cuya primera convocatoria será celebrada, previsiblemente, en diciembre de 2011.

CRISC: una mirada crítica y, en cierta medida, preocupada 

Los entusiastas comentarios que, en torno a CRISC, se están comenzando a ver en ciertos foros de Internet, parecen ser el adelanto de la clara aceptación que, entre la comunidad de “convencidos”, tendrá la nueva certificación. Un nuevo éxito comercial de ISACA, sin duda, dado que el resto se verán arrastrados por el mercado.

Sin embargo, estos mismos profesionales que declaran esperar, ansiadamente, la llegada de CRISC, ¿de veras la estaban necesitando, como confiesan?

¿Realmente, CRISC viene a cubrir una demanda existente?

¿No será, al contrario, la Asociación, con toda su maquinaria, la generadora de esa necesidad, de una falsa demanda?

¿Acaso nace CRISC con intención de convertirse en catalizador de la difusión y adopción del modelo Risk IT? En tal caso, ¿no habría merecido Val IT, hace tres años, el mismo trato?

Además, si lo anterior es cierto, ¿no se estaría desvirtuando la tradición certificadora de ISACA: CISA, CISM, CGEIT, como programas “generalistas” de certificación profesional, por un lado; y CobiT Foundation, como certificado ligado a un modelo concreto, por otro?

¿No terminará ISACA, con su delirio certificador, arrastrando a sus asociados-certificados a un desprestigio de sus certificaciones, derivado del desequilibrio entre “cantidad y calidad?

Por último  -y a ojos de ‘Gobernanza de TI‘, quizás, lo más preocupante-,  ¿no estará ISACA poniendo demasiado el acento en el término GRC de la ecuación del Gobierno Corporativo de TI (ITG=GVP+GRC), dejando el sumando GVP (Governance-Value-Performance) abandonado en exceso? Tal parece desde que se renovó la Junta Directiva a mediados del año pasado. Sería una lástima ver desvanecerse la idea de liderar la comunidad del Gobierno de TI, volcándose sólo en una parte de dicha comunidad. Además, ISACA se haría un flaco favor a sí misma, frente a la idea de desencasillarse de sus raices  -sin abandonarlas-,  ligadas al control interno y a los riesgos, y de tratar de ganar la visibilidad que en el resto de ámbitos TI tienen otras organizaciones del sector.

¡Finalmente, ha llegado!

Gobernanza de TI lo adelantaba el pasado día 1: el mes de noviembre no habría de acabar sin ver la publicación del nuevo marco basado en CobiT, Risk IT. El anuncio llegaba el viernes, 20, de la mano de ISACA y, con él, hacía público su modelo para el gobierno de los riesgos corporativos asociados a las TIC.

Desde que, hace exactamente diez meses, se publicara un borrador del que habría de ser el nuevo modelo de la “familia CobiT”, estas páginas han venido informando puntualmente de los diferentes anuncios que, desde la Asociación, se han realizado sobre la inminente publicación de un marco que vendría a complementar, tanto al propio CobiT, como a su hermano Val IT, en la constitución de un verdadero enfoque, completo, de Gobierno Corporativo de TI.

A las prestaciones como modelo de sincronización estratégica negocio-TI que ofrece CobiT y a las que aporta Val IT como referente para la contribución de TI a la generación de valor para el negocio, se une ahora, Risk IT, con objeto de ayudar a las organizaciones en la mitigación de los riesgos corporativos que tengan su origen en el uso de las TIC. De este modo, queda cerrado el triángulo Sincronía-Valor-Riesgo, que conforma la base de la aproximación de ISACA y su IT Governance Institute a la Gobernanza de TI, y sobre la que se apoyará el futuro CobiT 5, cuyo desarrollo se anunciaba el pasado mes de abril, como parte de la estrategia de ISACA para el trienio 2009-2011.

Risk IT viene, en esta primera edición, distribuido en dos documentos principales:

  • el Marco de Referencia propiamente dicho (“The Risk IT Framework“), disponible de forma gratuita, previo registro en la web de la Asociación, que, con una estructura similar a la de CobiT y/o Val IT, muestra el repertorio de dominios (3) y procesos (9) ligados al Gobierno de los Riesgos Corporativos, asociados al uso de las TI; y,
  • la Guía para el Especialista (“The Risk IT Practitioner Guide“), disponible sólo para socios de ISACA, que contiene indicaciones prácticas y detalladas sobre cómo realizar algunas de las actividades clave descritas en el anterior modelo de procesos y que ofrece una visión en mayor detalle de ciertos aspectos concretos (creación de escenarios de riesgo específicos, basados en escenarios genéricos; creación de mapas de riesgo; definición de criterios de impacto y su relevancia para el negocio; identificación de indicadores clave de riesgo, KRI  –Key Risk Indicator-;  o, combinación práctica con los otros modelos  -CobiT y Val IT-).

Adicionalmente, este paquete documental viene acompañado por un conjunto de herramientas de trabajo (una serie de ficheros en formato Word) que, a modo de material complementario, proporcionan una versión editable de determinadas figuras (tablas) empleadas en “The Risk IT Practitioner Guide“.

Tal y como se viene anunciando en las últimas semanas, se prevé que antes de que finalice el mes en curso será publicado el nuevo marco de gobierno de los riesgos corporativos de TI, Risk IT, de ISACA.

Se completará, de este modo, el marco general de Gobierno Corporativo de TI propuesto por la Asociación americana, cerrando el triángulo formado por CobiT, Val IT y, ahora, el propio Risk IT; esto es, el triángulo Sincronía-Valor-Riesgo, paradigma de la Gobernanza de TI. Dicho marco general constituirá el núcleo del futuro CobiT 5, del que se comenzó a hablar en el pasado mes de abril, tras la publicación de la estrategia de la Asociación para el período 2009-2011.

Risk IT vendrá, en esta primera edición, distribuido en dos documentos: el Marco de Referencia propiamente dicho (“The Risk IT Framework“) y la guía para especialistas (“The Risk IT Practitioner Guide“). El primero, con una estructura similar a la de CobiT y/o Val IT mostrará el repertorio de dominios y procesos ligados al Gobierno de los Riesgos Corporativo, derivados de las TI. El segundo, por su parte, ofrecerá una visión en mayor detalle de ciertos aspectos concretos (creación de escenarios de riesgo específicos, basados en escenarios genéricos; creación de mapas de riesgo; definición de criterios de impacto y su relevancia para el negocio; identificación de indicadores clave de riesgo, KRI  –Key Risk Indicator-;  combinación práctica con los otros modelos  -CobiT y Val IT-).

El próximo martes, día 3 de noviembre, ISACA ofrecerá un seminario web específico sobre riesgos y marcos de TI, que, sin duda, servirá para la presentación en sociedad del nuevo modelo.

Fiel a la  – convertida en habitual en los últimos tiempos –  cita mensual con sus lectores, las rotativas electrónicas de ISACA producían el pasado viernes, 15 de mayo de 2009, una nueva publicación de la familia CobiT.

El documento, que lleva por título “Cobit and Application Controls: A Management Guide“, disponible, actualmente, sólo en formato electrónico (descargable gratuitamente para miembros), podrá ser adquirido en formato papel, a través de la librería de la Asociación, a partir del próximo día 25.

Puede sorprender, nada más abrirlo, ver el logotipo de ISACA en lugar del del IT Governance Institute, como cabría esperar de una publicación sobre el modelo CobiT. Sin embargo, esta “novedad” no es sino la puesta en escena de la evolución de la dirección estratégica de la Asociación, anunciada recientemente. Como parte de dicha evolución se identificaban cinco “temas estratégicos”, entre los que se encontraban “desarrollar el potencial completo de CobiT” y “reforzar el compromiso con los miembros de base de la Asociación: profesionales del control interno de TI y auditores de sistemas de información“. Ambos “temas” parecen materializarse con la publicación de “CobiT and Application Controls: A Management Guide“:

  • por un lado, se desarrollan las fronteras del modelo CobiT cubriendo, en esta ocasión, los aspectos relativos al ciclo de vida de las soluciones software de aplicación al negocio; o, más concretamente, los aspectos relativos al control interno que ha de transcurrir paralelo a las distintas etapas de dicho ciclo de vida. (Hace tan sólo unas semanas se presentaba la publicación “CobiT User Guide for Service Managers“, con la que se trataba de “aterrizar” la filosofía CobiT sobre el área de la Gestión de los Servicios de TI); y,
  • por otro, se trata, a pesar de su título, de un documento dirigido, principalmente, a los profesionales del control interno que han de desarrollar su labor en el ámbito de la construcción de aplicaciones y a los auditores encargados de evaluar dichos marcos de control.

A cinco minutos de la celebración de “La Hora del Planeta“, parece oportuno plantearse esta cuestión: ¿realmente, las iniciativas de “informática verde” que abordan las organizaciones están motivadas por una desarrollada conciencia socio-ambiental hacia el cuidado del Planeta, y con ello, hacia el bienestar de las generaciones presentes y venideras; o, por el contrario, el único catalizador de dichas actuaciones, en el seno de las corporaciones, atiende a criterios de reducción de costes, particularmente, en la actual conyuntura económica?

Lamentablemente, nadie se equivocará en exceso si opta por la segunda posibilidad que plantean, tanto la anterior pregunta, como el título de este artículo.

Gobernanza de TI defiende la idea de una “informática verde”, integrada en la agenda corporativa ,y, por tanto, constitutiva del conjunto de iniciativas de Buen Gobierno Corporativo de las TIC, que toda organización debería poner en marcha. Sin embargo, …

¡Disculpen! Los cinco minutos ya han pasado.

Página siguiente »