¿… “gestión de los servicios de TI“?.

¡No se asusten Uds., no se ha producido ninguna transmutación en el ADN de ‘Gobernanza de TI’! Vaya este mensaje tranquilizador por delante. (Sonrisas).

Realizar una breve parada en torno a la normalización de las actividades de Gestión de los Servicios de TI es, en este caso, un tema meramente coyuntural. No ha de servir, por tanto, de precedente. (Más sonrisas).

Cierto es que ‘Gobernanza de TI‘ recoge en su acta fundacional el objetivo  -no siempre conseguido-  de centrarse, más o menos estrictamente, en aspectos relativos a la dirección y el control (gobierno) que, sobre las TI, ejercen las organizaciones  -las personas a cargo de dichas organizaciones-. 

Al mismo tiempo, no es menos cierto que, como parte, o complemento, de ese pretendido buen gobierno, ha de existir una, también buena  -eficaz y eficiente-,  gestión de los diferentes recursos de TI puestos a disposición por, y de, la organización.

Sin entrar, de nuevo, a detallar  -habrá otras ocasiones para hacerlo-  la clara diferencia (¡aún hay quien confiesa no verla!) entre gobernar y gestionar, sirva este artículo de excusa para recordar que tal diferencia existe.

Y sirva, además  -éste es el verdadero motivo que ha movido a su redacción-,  para reconocer el esfuerzo realizado por nuestros amigos D. Luís Morán Abad,  D. Alejandro Pérez Sánchez y D. David Bathiely  -perfectos conocedores de la posición del titular de esta bitácora hacia los modelos y normas para la gestión de servicios de TI-,  junto a sus colegas D. Juan Trujillo Gaona y D. Miguel José González-Simancas Sanz; quienes, bajo el patrocinio de Telefónica, han elaborado para AENOR la voluminosa obra “ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información“.

Publicado el pasado 23 de mayo  -fecha, también, del lanzamiento de la bitácora “Blog del Libro ISO20000 de Telefónica“-  el texto recoge, en sus más de 700 páginas, un detallado repaso de los principales aspectos que afectan a la Gestión de los Servicios de TI y un enfoque práctico de cómo abordarlos, apoyado en la norma ISO/IEC 20000 y en las propias experiencias de la operadora con éste y otros modelos de referencia.

La norma ISO/IEC 20000 no es una panacea  -probablemente ninguno de los marcos que ofrece el sector lo sea-;  sin embargo, si Ud. es responsable de llevar a cabo una óptima gestión de los activos, recursos y operaciones de TI de su organización, tanto la propia norma, como el libro aquí presentado, constituirán para Ud. una referencia absolutamente recomendable.

Si, por el contrario, dada su posición en la organización, a Ud. le correponde, únicamente, tomar decisiones sobre el papel que han de jugar las TI (en el sentido y con el significado que ‘Gobernanza de TI‘ da a esa toma de decisiones), debería estar encantado de que su gente de TI  -sus responsables y personal de las áreas informáticas-  tengan a mano esta obra, u otros marcos de referencia complementarios, que les faciliten el día a día y que les ayuden a fortalecer y mejorar el sistema de gestión informática que tenga implantado en su organización.

 

Artículos relacionados

  1. Calidad en los Sistemas y Tecnologías de la Información y las Comunicaciones
  2. La calidad en el furgón de cola de los procesos TIC
  3. Guía del Usuario de CobiT para Jefes de Servicio
  4. Acercamiento ISACA-itSMFI
Anuncios

¡El tiempo vuela! Sin duda, una afirmación carente de toda originalidad; pero no por ello, menos cierta.

Así lo demuestran los acontecimientos. Hace tan sólo unos días, se conmemoraba, desde estas mismas páginas, el primer aniversario de la constitución de la Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones, del Capítulo de Madrid de ISACA. Ahora, toca recordar la publicación de la norma ISO/IEC 38500:2008, Corporate Governance of Information Technology, ocurrida hace dos años.

La aparición, en aquellos momentos, de una norma de alcance internacional, como la citada, constituyó, cuando menos, un hito “ilusionante”; y ello, por dos motivos:

  • en primer lugar, el respaldo de ISO no debía, sino suponer la, ampliamente esperada, puesta de largo de una disciplina que había venido cocinándose, durante una década, en los fogones de otras reputadas y respetadas instituciones como el IT Governance Institute, de ISACA, o la Escuela de Dirección Sloan, del MIT; y,
  • por otro lado, la norma, de manera relativamente escueta, pero clara, apuntaba hacia la esencia del concepto de ‘buen gobierno corporativo’, hundiendo su raiz en el “Informe Cadbury“; e identificando, con esa misma nitidez, a los individuos que deberían recoger el mensaje enviado, a duo, por ISO e IEC: los consejeros y miembros de la alta dirección de las organizaciones.

La perspectiva aportada por los dos años transcurridos permite analizar si tales expectativas se han cumplido.

ISO

Con respecto al primer punto, los hechos muestran cómo, lamentablemente, la contribución de ISO no ha sido  -no está siendo-  adecuadamente entendida; dando al traste, al menos de momento, con el deseo expresado desde ‘Gobernanza de TI‘  -“¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!“-  en la crónica publicada hace ahora un año.

Lo que debería haber sido un paso a la mayoría de edad de la disciplina del Gobierno Corporativo de TI  -y un distanciamiento de los ámbitos estrictamente académicos (MIT) y profesional-sectoriales (ISACA)-,  gracias al amplio reconocimiento público de la “marca” ISO, ha devenido en una banalización del mensaje transmitido. Banalización que tiene su origen, como se ha apuntado, en la falta de comprensión de la orientación y objetivos de la norma, como demuestran afirmaciones del estilo: “¡Vaya una norma, si no dice nada!“, o interpretaciones erróneas que tratan de “implantarla” como si de una norma ISO, al uso, se tratase.

Lo que dice la norma

Por supuesto que dice, y mucho. Hay que saber leerla. No debe confundir el hecho de que lo diga en pocas páginas. Quienes realmente deberían leerla  -no parece que lo estén haciendo-  a buen seguro que sabrían interpretar con claridad lo que les dice y sacarle el debido partido. (Ello, básicamente, debido al carácter trivial y de sentido común de los mensajes que encierra).

La propia norma comienza avisando de su intencionalidad, que no es otra que la de “asesorar” a quienes tienen responsabilidades sobre el correcto funcionamiento de las organizaciones, en relación al papel que les toca jugar respecto de las TI  -sustento, en gran medida de la actividad de aquellas-. Y finaliza definiendo y detallando media docena de principios generales para el Buen Gobierno Corporativo de las TIC: responsabilidad, estrategia, inversión, conformidad, rendimiento y comportamiento.

Si Ud. echa de menos un mayor nivel de detalle  -procesos, procedimientos, instrucciones técnicas concretas, …-  para poner esos seis principios en marcha, disculpe la franqueza, pero, claramente, no se encontrará Ud. entre los destinatarios naturales de la norma; o, lo que es, aún, peor, Ud. no se habrá enterado de nada.

Sobre la supuesta “implantación”

Al hilo del anterior comentario, y en el marco general de banalización de la norma, se oye hablar, no pocas veces, de “implantarla”; e, incluso  -los más osados-  de desplegar un sistema de gestión, en torno a ella, como si de una norma de calidad, al uso, se tratase.

Lo que debe hacer Ud. con la norma ISO 38500, o más concretamente, con sus seis principios generales, es adoptarlos; esto es, hacerlos suyos e incorporarlos a la cultura y al día a día de la organización. Como dicen los amigos Manolo Palao y Ricardo Bría (1), una norma como ésta ha de ser sometida a un proceso de ad@ptación (léase, “adoptación“), una combinación de adopción y adaptación a las particularidades micropolíticas de la organización.

Naturalmente, ya vendrá después la necesaria puesta en marcha de una serie de mecanismos [de Buen Gobierno] que faciliten tal “adoptación”.

Optar por un enfoque diferente, no supondrá, sino un alejamiento de la intencionalidad original de la norma y una delimitación del mensaje de Gobierno Corporativo de TI al perímetro del Departamento de Calidad, como se está observando en más de una organización.

Moraleja

Si Ud. quiere llevar el mensaje de Gobierno Corporativo de TI a sus verdaderos destinatarios, hábleles de principios como los citados en este artículo (a lo mejor, tiene suerte y están dispuestos a adherirse a ellos). Si, por el contrario, se conforma con seguir discutiendo con sus iguales en los foros profesionales dispuestos a tal fin, siga ejercitando su memoria e incorporando como parte de su lenguaje la extensa codificación empleada por los cuerpos normativos del panorama internacional.

Los destinatarios

El análisis de la segunda expectativa creada hace dos años con la publicación de la norma ISO/IEC 38500:2008 obliga a reconocer, igualmente, que la comunidad que mejor acogida le ha dado es la conformada por los profesionales de los SSII y las TIC, a los que, como es evidente, no iba estrictamente dirigida.

El vals del Elefante

Fue precisamente ese hecho, esa realidad, la que empujó al australiano Mark Toomey  -co-autor de las normas AS 8015-2005, ISO/IEC 38500:2008 y, más recientemente, AS/NZS 8016(Int):2010–  a escribir su libro “Waltzing with the Elephant“, un intento de transmitir el verdadero significado de la norma ISO 38500, a sus oportunos destinatarios.

La obra, de lectura absolutamente recomendable, nació  -según ha declarado el propio Toomey-  con el objetivo de poner las cosas en su sitio, de ejercer un cierto acto de rebeldía frente a una evidente y aplastante realidad: eran los profesionales informáticos los que, de forma mayoritaria, acudían a los foros de debate abiertos durante la elaboración de la norma (subcomités y grupos de trabajo de Australian Standards, de ISO, …).

Los foros de normalización

ISO ha sabido resolver el problema  -sólo parcialmente-  mediante la creación, a finales de 2008, de un grupo de trabajo específico (WG6), e independiente del resto de subcomités y grupos de trabajo sobre Tecnologías de la Información, que componen el Comité Técnico Conjunto 1 (JTC1), paraguas de todos ellos. El WG6 está dedicado, en exclusiva, al estudio y desarrollo de normativa en torno a la disciplina del Gobierno Corporativo de TI. Ahora sólo falta que ISO sea capaz de atraer al mismo a otros profesionales, procedentes del ámbito de la dirección empresarial.

En España, AENOR, aún no ha dado ese paso. El desarrollo normativo del Buen Gobierno Corporativo en materia de TIC está todavía excesivamente ligado (cercano) al de otras disciplinas no menos importantes en materia de TI, como son las relativas a la Gestión de los Servicios Informáticos; pero cuya forzada “proximidad” no hace sino dificultar la correcta difusión del espíritu de la norma ISO/IEC 38500:2008.

Moraleja

Parafraseando a G. Vaughn Jhonson (2)  -“la Informática es demasiado importante como para dejarla en manos de los informáticos“-,  cabe sugerir que ISO, AENOR y los demás organismos normalizadores deberían echarnos  -disculpen esta gotita de protagonismo-  de estos grupos de trabajo, a todos los informáticos, procediendo a su refundación y habilitando la entrada en ellos, únicamente, a individuos procedentes de los órganos de gobierno de las corporaciones privadas y entidades de la Administración.

En suma, ¿cuál habrá de ser el camino?

Aún reconociendo la trascendencia de hitos como la publicación de la norma ISO 38500, tal vez, la manera más adecuada de llegar a los miembros de los Consejos de Administración y a los responsables de dirigir las organizaciones, no haya de venir por ahí, y sí por la vía de otros esfuerzos reguladores/normativos como podría ser una revisión y mayor desarrollo de los Códigos de Buen Gobierno Corporativo. El Código e Informe “King III” en Sudáfrica constituyen un claro ejemplo de ello.

De otro modo, habría que preguntarse, también, ¿qué le está faltando a la Gobernanza de TI para alcanzar los niveles de identificación y aceptación que, a nivel directivo, están teniendo otras disciplinas como la Sostenibilidad y la Responsabilidad Social Corporativa? (Por cierto, ámbitos para los que también existe, dentro del mundo ISO, un determinado desarrollo normativo).

 

Artículos relacionados

  1. Entrevista con Mark Toomey, autor de “Waltzing with the Elephant”

(1) Palao García-Suelto, Manolo y Bría Menéndez, Ricardo. “Implantación de Buen Gobierno de los SI y las TIC ad@ptando COBIT, ITIL y VAL IT: Una caricatura respetuosa“. Novática, nº 191, págs. 39 y ss. Enero-febrero de 2008. URL:: http://www.ati.es/novatica/2008/191/Nv191-Presentacion.pdf.
(2) Vaughn Jhonson, G. “Information Systems. A Strategic Approach“. Mountain Top Publishing. Nebraska, 1990.

El pasado 1 de junio de 2008 veía la luz, de la mano de la Organización Internacional de Normalización (International Organization for Standardization, ISO) y de la Comisión Electrotécnica Internacional (International Electrotechnical Commission, IEC),  la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology.

Por primera vez, una norma de alcance internacional trataba, de manera central, el tema del Gobierno Corporativo de las Tecnologías de la Información. Habían tenido que pasar diez años desde la creación, en 1998, del Instituto para la Gobernanza de las Tecnologías de la Información (Information Technology Governance Institute, ITGI) por parte de ISACA, la antigua Asociación para el Control y la Auditoría de los Sistemas de Información (Information Systems Audit and Control Association); y había transcurrido, también, casi una década desde que el término “IT governance” apareciese, por vez primera, en el título de un trabajo académico de investigación de naturaleza técnica/empresarial: fue el caso del artículo “Arrangements for information technology governance: a theory of multiple contingencies” (1), firmado tal día como hoy, hace otros diez años  – el 1 de junio de 1999 -,  por los profesores Vallabh Sambamurthy y Robert W. Zmud.

Sin embargo, la “38500” no constituía la primera iniciativa normalizadora en el ámbito del Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de “pioneros” australianos y neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad australiana de normalización, Standards Australia, que daría lugar a la publicación oficial, el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate governance of information and communication technology. De hecho, sería esta norma la que marcaría el camino para la aparición, tres años y medio después, de la norma internacional, cuyo primer aniversario se celebra en el día de hoy.

El citado camino pasó por la adopción de la norma australiana, por parte del Comité Técnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft International Standard, DIS), mediante procedimiento de tramitación rápida. De este modo, el borrador ISO/IEC DIS 29382 (numeración provisionalmente asignada a la nueva norma) fue votado y aprobado por los organismos nacionales de normalización, tanto de ISO, como de IEC. En el caso de España, este papel correspondió a la Asociación Española de Normalización, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue renombrada con la que habría de ser su numeración definitiva: ISO/IEC 38500. Finalmente, se publicó unos días después, el 1 de junio.

Hoy día ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no entra en detalles técnicos), basada en principios (establece seis principios para el buen gobierno corporativo de las TI: responsabilidad, estrategia, adquisición, rendimiento, conformidad y conducta humana) y de naturaleza asesora, esto es, trata de ofrecer directrices (aconseja) sobre el papel que deben asumir los órganos de gobierno de las organizaciones en relación al uso que, en ellas, se hace de las TI.

El ojetivo de la norma pasa, precisamente, por ayudar a aquellos que ocupan los niveles más altos dentro de las organizaciones (miembros de los consejos de administración, u otros) a comprender y cumplir con sus obligaciones legales, regulatorias y éticas, respecto al uso que se hace de las TIC en sus propias entidades.

En ese sentido, cabe subrayar que la norma lleva un año difundiendo y aclarando el verdadero significado de la expresión “gobierno corporativo de las TIC”, recordando que éste deriva del concepto de Gobierno Corporativo y que, como éste, tiene más que ver con comportamientos y aspectos éticos  – responsabilidad, conformidad y conducta humana -,  que con procesos tecnológicos, como ya se ha insistido desde estas mismas páginas.

¡Ojalá el mercado termine siendo capaz de comprender la esencia del mensaje!

 

(1) Sambamurthy V. y Zmud, Robert W. “Arrangements for information technology governance: a theory of multiple contingencies“. MIS Quarterly. Vol. 23. Nº 2, págs. 261-290, 1 de junio de 1999.