Abierto el período de «veteranía» para optar a la certificación CRISC

Hace escasamente una hora, Kristen Kessinger, Directora Adjunta de Relaciones con los Medios de ISACA, lo anunciaba a través de una de la múltiples comunidades que la Asociación  -de manera oficial u oficiosa-  tiene abiertas en la red social LinkedIn: sobre las 15:55, hora local española, quedaba habilitado, por espacio de un año, el programa de «veteranía» mediante el cual aquellos profesionales que acrediten la debida experiencia podrán optar, de modo preferente, a la nueva certificación CRISC (Certified in Risk and Information Systems Control).

El flamante certificado, cuya aparición ya había anunciado  -no sin cierta preocupación, dada la creciente proliferación de certificaciones en el mercado-  ‘Gobernanza de TI‘ el pasado 4 de enero, viene a sumarse a una oferta de acreditaciones profesionales en la que se encuentran las generalistas CISA (desde 1978), CISM (desde 2002) y CGEIT (desde 2007); y a las que habría que sumar el CobiT Foundation Certificate, alumbrado en 2006 y centrado de manera exclusiva, como su propio nombre indica, en el conocimiento básico del modelo CobiT.

La pretendida orientación práctica de CRISC ubicará a este nuevo certificado a la par que CISA(1), en tanto que su «clientela» natural, según sugiere la propia ISACA, habrá de buscarse entre los profesionales (del inglés, practitioners) que desarrollan su labor en torno a la identificación y gestión de los riesgos vinculados al uso de los Sistemas de Información y al establecimiento de marcos de control que ayuden a mitigarlos; aspectos que ya venían siendo tratados, en mayor o menor medida, por el resto de programas de certificación mencionados y que, ahora, adoptan un enfoque integrado y específico.

Si es Ud. un profesional de los riesgos corporativos derivados de TI y está interesado en certificarse, tome nota de las siguientes direcciones-e de referencia:

• www.isaca.org/criscgfapp, donde encontrará el formulario de solicitud de certificación bajo las condiciones marcadas por el programa de «veteranía»;
• www.isaca.org/criscpay, donde podrá hacer efectivo el pago de las tasas requeridas por ISACA (recuerde que podrá beneficiarse de su condición de socio y, asimismo, de una rebaja si emite su solicitud antes del 1 de noviembre de 2010); y,
• CRISCapplication@isaca.org, dirección-e a la que podrá remitir su solicitud.

 

Artículos relacionados

1. CRISC: ¿es, realmente, necesaria?
2. La certificación CGEIT, de ISACA, cumple dos años. Balance
La figura del “Instructor de CobiT Acreditado”

 

(1) Recuérdese que CISA también está orientado a un segmento de profesionales técnicos (en este caso, del ámbito de la Auditoría de los Sistemas de Información); CISM busca su audiencia entre aquellos individuos con responsabilidades sobre las áreas de Seguridad de la Información;y, finalmente, CGEIT, teóricamente, se dirige a una segmento de dirección, o alta dirección, tanto de negocio, como de TI.

 

Arranca la nueva edición de MaGTIC

Tras una serie de avatares  -claro reflejo de la coyuntura general actual-  y con unos meses de retraso sobre el calendario inicialmente previsto, este fin de semana ha reabierto sus puertas el “Máster en Buen Gobierno de las TIC“ (MaGTIC), que la Universidad de Deusto viene ofreciendo en Madrid desde el año 2006, por vía de su cátedra homónima: la Cátedra «Oesía» en Buen Gobierno de las TIC.

Como ya ocurriera en las anteriores convocatorias (2006-07 y 2008-09), esta 3ª Edición de MaGTIC ha logrado reunir a un reducido, pero selecto, grupo de alumnos, entre los cuales se encuentran profesionales de los sectores público y privado, con diferente grado de experiencia y bagaje profesional; y con unos antecedentes académicos, igualmente, diversos (formación jurídica, formación en Comunicación Interna, formación en Tecnologías de la Información, etc.).

El acto de apertura del curso sirvió para favorecer un primer cambio de impresiones entre profesores y alumnos, en el que estos últimos, de manera unánime, confesaron su interés en la aplicación práctica de los conceptos y conocimientos que vayan a adquirir durante su participación en el Máster.

En el transcurso del citado acto, el Director de la Cátedra en Buen Gobierno de las TIC y Director de MaGTIC, Dr. D. José Manuel Ballester Fernández, confirmó la reciente concesión de una prórroga, por parte de ISACA, en su reconocimiento de MaGTIC como programa académico alineado con su Modelo Curricular.

De ese modo, MaGTIC revalida, por otros tres años, su acreditación, obtenida, inicialmente, en 2006, y se reafirma como único programa de postgrado del panorama universitario español que ha recibido este galardón. (Actualmente sólo ocho países cuentan con instituciones académicas que disfruten de este reconocimiento  -tres en la órbita hispanohablante-,  según muestra la lista de programas académicos alineados, de ISACA).

A ello habrá contribuido, sin duda, el haber sido el primer curso de postgrado que ha puesto el foco, de manera específica, en el Buen Gobierno Corporativo de las TIC y la posibilidad que ofrece a sus alumnos de acceder a las certificaciones profesionales otorgadas por ISACA: CobiT Foundation Certificate (desde la primera edición) y Certified in the Governance of Enterprise IT (novedad de MaGTIC3).

 

Artículos relacionados

1. MaGTIC, III Edición
2. MaGTIC III
3. Manual de Revisión para la certificación CGEIT
4. La certificación CGEIT, de ISACA, cumple dos años. Balance
5. Curso de Fundamentos de CobiT
6. La figura del “Instructor de CobiT Acreditado”

 

Manual de Revisión para la certificación CGEIT

¡Por fin!

Se ha hecho esperar; pero ya está aquí (o, lo estará en breve).

Conviene recordar, no obstante, que, hasta el momento actual, los candidatos a la certificación profesional CGEIT (Certified in the Governance of Enterprise IT) otorgada por ISACA, no disponían de un manual específico para la preparación del preceptivo examen. Ello ha ocurrido, desde la fecha de lanzamiento de la citada certificación, el 1 de noviembre de 2007, en tres ocasiones; las tres ocasiones en las que ha habido posibilidad de presentarse al examen: 13 de diciembre de 2008, 13 de junio de 2009 y, más recientemente, 12 de diciembre de 2009.

Ello, igualmente, empuja a la sospecha sobre la posible improvisación y las prisas con las que el programa de certificación pudo ser lanzado: no parece estar dándose esa circunstancia con otras certificaciones ofrecidas por el mercado, y desde luego, no es un hecho que se produzca en el caso del resto de procesos de certificación de ISACA  –CISA y CISM, básicamente-  lo que estaba suponiendo, en cierto sentido, un agravio comparativo para los candidatos a CGEIT. A pesar de esta circunstancia, desde ‘Gobernanza de TI‘ se tiene la convicción de que 2007 fue un buen momento para lanzar la nueva acreditación (incluso, quizás, pudo haberse lanzado antes); pero, al mismo tiempo, tampoco parece caber duda sobre la falta de sincronización entre ese alumbramiento y la agenda del grupo de trabajo encargado de desarrollar el cuerpo de conocimiento del nuevo certificado, el cual se verá formalizado, ahora, con la publicación de la guía-manual.

En favor de ISACA ha de indicarse que, para suplir la mencionada carencia, durante todo ese tiempo la Asociación ha venido poniendo a disposición de los candidatos una relación de referencias bibliográficas con la que se han tratado de cubrir los diferentes dominios y prácticas profesionales de interés para los futuros CGEIT.

Con el «CGEIT Review Manual 2010» («Manual de Revisión para la preparación de los exámenes de certificación CGEIT. Convocatorias de 2010«) la deuda quedará saldada. El nuevo libro se pondrá a la venta desde la librería virtual de ISACA, el próximo día 28 de febrero.

El Manual proporcionará, como viene siendo habitual con el resto de ‘CRMs’ de ISACA  -«CISA Review Manual» y «CISM Review Manual«-,  información y directrices orientadas a ayudar a los candidatos a superar las pruebas de certificación, previstas para este año en las siguientes fechas: sábado, 12 de junio, y sábado, 11 de diciembre.

El texto se presentará, de momento, sólo en inglés, y, a lo largo de sus seis capítulos, ofrecerá un repaso a los principales aspectos subyacentes a cada una de las prácticas profesionales que constituyen el cuerpo de conocimiento de CGEIT:

• marco de referencia para el Gobierno Corporativo de TI;
• alineamiento estratégico;
• aporte de valor;
• gestión del riesgo;
• gestión de los recursos; y,
• medida del rendimiento.

Sin embargo, más allá de ser visto como un mero libro de texto, su esperado enfoque didáctico puede convertirlo en un documento de lectura obligada para cualquier individuo interesado en introducirse en la disciplina del Gobierno Corporativo de TI y en conocer sus conceptos básicos.

Es deseo de ‘Gobernanza de TI‘ que entre tales individuos puedan contarse, no sólo profesionales «convencidos» y fieles seguidores de la citada disciplina, mayoritariamente procedentes del ámbito TI en sus diferentes facetas; sino, también, personas procedentes de las áreas de negocio y, en última instancia, de los órganos de dirección y control al más alto nivel. Ello, con toda seguridad, ayudaría a hacerles comprender la responsabilidad que tienen sobre el uso que se hace de las TI en el seno de sus propias organizaciones; y a ponderar el papel clave de la tecnología en la generación de valor e innovación para aquellas.

 

Artículos relacionados

1. La certificación CGEIT, de ISACA, cumple dos años. Balance
2. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

CRISC: ¿es, realmente, necesaria?

Hace exactamente dos meses, el pasado 4 de noviembre de 2009, quedaba registrada en la Oficina de Patentes y Marcas de los EEUU (USPTO, US Patent and Trademark Office) la nueva marca CRISC. Una sencilla pesquisa realizada con el Sistema de Búsqueda Electrónica de Marcas Comerciales (TESS, Trademark Electronic Search System) de la citada agencia permite descubrir el tipo de bienes y servicios que se esconden tras esas siglas:

• soportes pregrabados y contenidos descargables en línea, de carácter educativo;
• boletines, revistas y otro material impreso; y,
• servicios formativos, entre los que se incluyen la impartición de seminarios, la coordinación de conferencias y la administración de pruebas de examen; …

… todo ello en el campo de la certificación profesional en torno a la evaluación de los riesgos asociados a los sistemas de información, a la toma de decisiones de negocio que tienen en cuenta dichos riesgos, a la respuesta y priorización de riesgos, al diseño, implantación y gestión de marcos de control y a la conformidad normativa.

Por si toda esta detallada descripción no ofreciese suficientes pistas de por dónde podrían venir los tiros, una rápida mirada al campo «propietario» en el registro de resultados que ofrece el TESS, corrobora, finalmente, lo que ya se sospechaba: la solicitante de la nueva marca comercial no es otra que ISACA.

Pero, ¿qué puede prentender la Asociación con este nuevo movimiento?

Si se huye de lo políticamente correcto, parece claro que la intención de la afamada organización sin ánimo de lucro pasa por abrir una nueva espita a la entrada de ingresos adicionales en los diferentes conceptos recogidos en la propia descripción de la marca CRISC: materiales de estudio, derechos de examen y, en último término, tasas de mantenimiento de la certificación; esquema que ya se viene siguiendo, con sumo éxito, desde hace más de treinta años con otras certificaciones profesionales de la casa como CISA, CISM y, más recientemente, CGEIT, a las que, irremediablemente, parece que se unirá, en breve, la citada CRISC.

El atractivo de un mercado potencial que puede rondar, al menos, los cien mil (100.000) «clientes»  -sus actuales cien mil asociados-,  desde luego, no resulta desdeñable. A la vista de estos hechos, no es de extrañar que desde Gobernanza de TI se haya escuchado, recientemente, cómo un reputado experto del sector (se cita el pecado; pero no al pecador) comparaba a ISACA con el Ministerio de Hacienda.

Desde un plano menos irónico, la confirmación oficial  -o, cuando menos, formal-  de la próxima aparición de un nuevo programa de certificación para los profesionales de los riesgos y el control de los sistemas de información (CRISC, Certified in Risk and Information Systems Control) venía, hace una semana, de la mano de Mecki Oker, Gerente de Investigación de ISACA, quien afirmaba cómo la Asociación se complacía en anunciar el advenimiento de esta certificación relativa al riesgo corporativo asociado a las TI.

Como parte de su anuncio, la Sra. Oker adelantó, asimismo, el que será cuerpo de conocimiento de CRISC, que estará conformado, previsiblemente, por los siguientes dominios:

• Identificación, análisis y evaluación del riesgo;
• Respuesta al riesgo;
• Supervisión del riesgo;
• Diseño y puesta en marcha de marcos de control de los sistemas de información; y,
• Supervisión y mantenimiento de marcos de control de los sistemas de información.

Esta primera aproximación resulta suficiente para reconocer, con total nitidez, un claro sabor a Risk IT, el modelo para el gobierno de los riesgos corporativos de las TI, publicado por ISACA el pasado mes de noviembre. Ello no es de extrañar, si, como también se explicó, el desarrollo de las prácticas detalladas del futuro cuerpo de conocimiento está siendo llevado a cabo por el grupo de trabajo CISREM, liderado por el suizo Urs Fischer, quien, de facto, se está convirtiendo en uno de los mayores divulgadores del modelo Risk IT.

Las páginas de voluntariado de ISACA permiten ver que el grupo de trabajo CISREM tiene el encargo de «desarrollar una certificación orientada, principalmente, a los profesionales de TI ocupados en la identificación y la gestión de riesgos mediante el desarrollo y la puesta en marcha de los adecuados marcos de control sobre las TI para ayudar a las organizaciones a alcanzar sus objetivos, protegiendo sus activos, garantizando la exactitud de su información financiera y la conformidad con los requisitos regulatorios y legislativos relevantes que les sean de aplicación«.

Finalmente, y a pesar de que los desarrollos del grupo de trabajo han de ser, también, validados por una serie de expertos externos, la información aportada la pasada semana habla de forma muy clara sobre lo avanzado del proceso. Según palabras de la propia Sra. Oker, en abril de este año se abrirá el habitual período de veteranía mediante el cual aquellos profesionales experimentados en la evaluación, respuesta y supervisión del riesgo de las TI, así como aquellos otros avezados en el diseño, puesta en marcha y mantenimiento de controles (marcos de control) sobre los sistemas de información, podrán solicitar la certificación sin presentarse al preceptivo examen, cuya primera convocatoria será celebrada, previsiblemente, en diciembre de 2011.

CRISC: una mirada crítica y, en cierta medida, preocupada 

Los entusiastas comentarios que, en torno a CRISC, se están comenzando a ver en ciertos foros de Internet, parecen ser el adelanto de la clara aceptación que, entre la comunidad de «convencidos», tendrá la nueva certificación. Un nuevo éxito comercial de ISACA, sin duda, dado que el resto se verán arrastrados por el mercado.

Sin embargo, estos mismos profesionales que declaran esperar, ansiadamente, la llegada de CRISC, ¿de veras la estaban necesitando, como confiesan?

¿Realmente, CRISC viene a cubrir una demanda existente?

¿No será, al contrario, la Asociación, con toda su maquinaria, la generadora de esa necesidad, de una falsa demanda?

¿Acaso nace CRISC con intención de convertirse en catalizador de la difusión y adopción del modelo Risk IT? En tal caso, ¿no habría merecido Val IT, hace tres años, el mismo trato?

Además, si lo anterior es cierto, ¿no se estaría desvirtuando la tradición certificadora de ISACA: CISA, CISM, CGEIT, como programas «generalistas» de certificación profesional, por un lado; y CobiT Foundation, como certificado ligado a un modelo concreto, por otro?

¿No terminará ISACA, con su delirio certificador, arrastrando a sus asociados-certificados a un desprestigio de sus certificaciones, derivado del desequilibrio entre «cantidad y calidad?

Por último  -y a ojos de ‘Gobernanza de TI‘, quizás, lo más preocupante-,  ¿no estará ISACA poniendo demasiado el acento en el término GRC de la ecuación del Gobierno Corporativo de TI (ITG=GVP+GRC), dejando el sumando GVP (Governance-Value-Performance) abandonado en exceso? Tal parece desde que se renovó la Junta Directiva a mediados del año pasado. Sería una lástima ver desvanecerse la idea de liderar la comunidad del Gobierno de TI, volcándose sólo en una parte de dicha comunidad. Además, ISACA se haría un flaco favor a sí misma, frente a la idea de desencasillarse de sus raices  -sin abandonarlas-,  ligadas al control interno y a los riesgos, y de tratar de ganar la visibilidad que en el resto de ámbitos TI tienen otras organizaciones del sector.

 

MaGTIC, III Edición

Un semestre después de la fecha inicialmente prevista para su inicio, desde la Cátedra en Buen Gobierno de las TIC de la Universidad de Deusto se anuncia el definitivo lanzamiento de la 3ª Edición de MaGTIC, su “Máster en Buen Gobierno de las TIC“, para el próximo mes de febrero. Queda, por tanto, desde este mismo instante, abierto el período de solicitud de inscripción y matrícula.

MaGTIC, creado en 2006, ha sido el primer curso de posgrado del panorama universitario español que ha puesto el foco, de manera específica, en el Buen Gobierno Corporativo de las TIC. Ello le ha valido el temprano reconocimiento de ISACA que, ya durante la primera edición del máster (2006-07), lo aprobó como curso alineado con su Modelo Curricular, definido, originalmente, en 2004.

Esta tercera edición presenta una renovada área de orientación a la certificación profesional del alumno, en el que por vez primera se ofrecerá preparación para la prueba CGEIT, que ISACA organiza cada año, en los meses de junio y diciembre. Asimismo, se mantienen dentro del programa académico las sesiones de preparación para el examen CobiT Foundation, cuya acogida ha sido unánime por parte de los participantes en las anteriores ediciones del Máster.

MaGTIC, por otro lado, ha constituido la génesis de una relación entre la Universidad de Deusto y la multinacional española Oesía, que ha culminado con la firma  –de la que el próximo 21 de enero se cumplirá un año-  del acuerdo de creación de la primera Cátedra en Buen Gobierno de las TIC de la universidad española, cuyos objetivos fueron fijados en torno a la investigacion, promoción y divulgación del Gobierno Corporativo de la Información y sus Tecnologías afines.

 

La certificación CGEIT, de ISACA, cumple dos años. Balance

El 1 de noviembre de 2007 ISACA abría el proceso de recepción de solicitudes para optar a la que, en ese momento, se convertía en su más flamante certificación profesional: CGEIT (Certified in the Governance of Enterprise IT), la cual pasaba a engrosar las filas de una familia nacida en 1978 con la titulación CISA (Certified Information Systems Auditor) y, aumentada posteriormente, a finales de 2002, con la llegada del certificado CISM (Certified Information Security Manager).

La nueva acreditación, orientada a los profesionales implicados en el Gobierno Corporativo de las TIC en las Empresas [y otros organismos/entidades],  no era, sin embargo, la primera de la Asociación en este campo. Un año antes, en 2006, y a través de su programa de formación «Dominando CobiT» (Mastering CobiT), ISACA ya había comenzado a expedir Certificados en Fundamentos del Gobierno Corporativo de TI, basado en CobiT, conocidos oficialmente como certificados CobiT Foundation (1).

En el verano de 2007, la revista electrónica de la Asociación, Global Communiqué, había comenzado a adelantar la más que probable aparición de una nueva certificación relativa a la Gobernanza de TI, al detallar los desarrollos de un grupo de trabajo establecido a nivel internacional para tal fin.

Como había ocurrido en ocasiones anteriores, ISACA habilitó, por espacio de un año, un período de «veteranía» (grandfathering) durante el cual los interesados podrían acceder a la certificación, avalados únicamente por su experiencia profesional  -ocho años, al menos-  en el campo de referencia y sin necesidad de superar ningún examen. La ocasión fue aprovechada, tímidamente al principio, por no pocos de los actuales CGEIT. En los dos últimos meses de 2007 comenzaron a recibirse las primeras solicitudes que desembocaron en la certificación de los primeros seis profesionales acreditados en enero de 2008, como anunciaba el número de marzo de ese mismo año de Global Communiqué. Una vez transcurrido el período de «veteranía» se alcanzaba la cifra de mil CGEIT, lo que daba prueba de la buena acogida que recibía la certificación por parte de la comunidad profesional. Después de esto ha habido, de momento, sólo dos oportunidades de acceder a la certificación: diciembre de 2008, fecha del primer examen, y junio del presente año. La próxima convocatoria está anunciada para el próximo 12 de diciembre de 2009.

 

Balance

Transcurridos estos dos años, se hace pertinente realizar un pequeño análisis de lo alcanzado.

Actualmente, más de tres mil profesionales han obtenido su certificado CGEIT en todo el mundo y muchos más aún están en vías de lograrlo. Cabe preguntarse por los antecedentes de dichos profesionales: ¿proceden del negocio, proceden de TI, forma parte de los órganos de dirección de las organizaciones en las que desarrollan su labor?

Gobernanza de TI ha defendido siempre la naturaleza fronteriza del Gobierno Corporativo de TI: es una responsabilidad de los órganos de gobierno y de alta dirección de las organizaciones; pero en su desarrollo y puesta en marcha tienen un papel fundamental los responsables y especialistas de TI. Tomando esta afirmación como punto de partida, ¿cuántos de los interesados en la certificación CGEIT pertenecerán a consejos de administración o a equipos de alta dirección de empresas u organizaciones? Recientemente, se ha visto cómo, en el marco del Instituto de Consejeros-Administradores, entidad volcada en la formación de los consejeros en la disciplina del Buen Gobierno Corporativo, se abogaba por una profesionalización (tecnificación) de los consejos de administración. En ese caso la tecnificación había de interpretarse como una mayor representación de economistas y juristas en dichos consejos; pero ¿no tendría cabida, también, una formación como la requerida por los programas de certificación CGEIT o CobiT, entre los miembros de los consejos y entre los ejecutivos de las organizaciones?

¿No ocurrirá, en realidad, que el nuevo certificado de ISACA no está sirviendo más que para «engordar» el currículo de los profesionales procedentes de las áreas de auditoría y seguridad de la información? Si éste es el único logro, en algún punto se está cometiendo algún error. No era esa la intención de ISACA cuando declaraba que CGEIT habría de ayudar, tanto a la gente de negocio, como a la de TI, a comprender la contribución que las TI realizan a la generación de valor para las organizaciones.

 

Cuestionario

Para ayudar a despejar esas dudas, Gobernanza de TI le invita a que responda a este breve cuestionario:

• C1: ¿Ha obtenido o está considerando la posibilidad de obtener la certificación profesional CGEIT?
• C2: ¿Forma parte Ud. del Consejo de Administración/Consejo de Dirección u órgano equivalente de su organización?
• C3: ¿Forma parte Ud. de la Dirección Ejecutiva de su organización?
• C4: ¿Es Ud. un responsable de una línea de negocio dentro de su organización?
• C5: ¿Es Ud. un miembro (no responsable) de una línea de negocio dentro de su organización?
• C6: ¿Es Ud. el responsable de la función de TI de su organización?
• C7: ¿Es Ud. un miembro (no responsable) del área de TI de su organización?
• C8: ¿Es Ud. un auditor de sistemas de información de su organización o actúa en calidad de auditor externo?
• C9: ¿Es Ud. un especialista en Seguridad de la Información dentro de su organización o actúa en calidad de asesor externo en esa materia?
• C10: ¿Está Ud. certificado en fundamentos de CobiT o está considerando la posibilidad de certificarse?
• C11: ¿Ha obtenido la certificación de fundamentos de CobiT antes de abordar la certificación CGEIT?

 Se agradecerán las respuestas recibidas.

 

(1) ISACA Madrid ofrecerá el próximo mes de diciembre una nueva edición de su curso oficial CobiT Foundation, impartido por Instructores de CobiT Acreditados (ACT, Accredited CobiT Trainer). Podrá obtener más información pinchando aquí.

 

Curso de Fundamentos de CobiT

Esta tarde, el Capítulo de Madrid de ISACA ha lanzado una nueva convocatoria del curso de «Fundamentos del Buen Gobierno Corporativo de TI, basado en CobiT» (CobiT Foundation Course), a celebrar los días 1 y 2 de diciembre próximo.

El curso, integrado en la agenda 2009 de formación de la Asociación, es una reedición del impartido el pasado mes de julio, el cual supuso la definitiva incorporación de la disciplina del Gobierno Corporativo de TI a los planes de capacitación del capítulo madrileño. Como en aquella ocasión, se ofrecerá en formato de dos sesiones y será, de nuevo, impartido por los Instructores de CobiT Acreditados (Accredited CobiT Trainer, ACT), D. Manuel (Manolo) Palao, veterano y reconocido experto con una carrera profesional de más de cuarenta y cinco años en el sector, y D. Miguel García Menéndez, creador de ‘Gobernanza de TI‘.

El Curso de Fundamentos de CobiT constituye la antesala del examen homónimo, cuya exitosa superación es, a su vez, requisito indispensable para obtener la certificación profesional CobiT Foundation Certificate, otorgada por ISACA. Desde otro punto de vista, y a juicio de los comentarios realizados por algunos de los participantes en la primera edición, el curso es un muy recomendable primer paso hacia la prueba de certificación como profesional del Gobierno de TI en la Empresa, CGEIT (Certified in the Governance of Enterprise IT); máxime, cuando aún no se está ofreciendo una formación específica sobre la misma y cuando aún no existe un manual de apoyo oficial para la preparación de dicho examen de certificación.

ISACA, Capítulo de Madrid, ha dejado la dirección electrónica formacion@isacamadrid.es a disposición de todos aquellos posibles interesados que deseen obtener información, en mayor detalle, sobre algún aspecto particular del curso (contenido, lugar/horario de impartición, precios, …).

 

Algunos comentarios de los asistentes a la primera edición

• «La verdad es que el curso me pareció muy útil. ¡Enhorabuena!«
• «Como comenté durante el curso y tras su finalización, realmente creo que se ha conseguido crear un curso fundamental y necesario, desde mi punto de vista, en relación con la formación que ofrece ISACA Madrid (ya querría yo haber tenido la oportunidad de disfrutar de este curso antes de empezar a estudiar el temario de CISA y, sobre todo, antes de meterme con el dominio de Gobierno de TI). Felicito y doy las gracias, pues hasta el planteamiento del curso me ha parecido perfecto«.
• «Muchísimas gracias por el curso. Fue estupendo poder participar en él«.
• «Muchas gracias por toda la información y por el excelente curso«.
• «He aprobado el examen de ‘COBIT Foundation’. Hoy me lo han confirmado por correo electrónico desde el CobiTcampus. Me resultó un poco difícil, sobre todo porque me había estudiado principalmente la traducción de CobiT 4.1; pero, al final, obtuve un 75% de aciertos. Lo que es innegable, es que sin el curso hubiera sido imposible aprobar el examen«.

 

Comisión para el estudio y el desarrollo del Buen Gobierno Corporativo de las TIC, dentro de las organizaciones

Ese es el nombre elegido para la nueva comisión de trabajo del Capítulo de Madrid de ISACA. El anuncio de la creación de este nuevo foro fue realizado en la tarde del pasado jueves, 26 de marzo de 2009, durante la celebración de la Asamblea Ordinaria de privamera, de la Asociación.

La comisión, cuya constitución es reflejo del apoyo de la nueva Junta Directiva hacia la difusión y promoción del Gobierno Corporativo de las TIC, nace motivada por tres factores principales:

• el deseo de sincronizar las actividades del Capítulo con la orientación actual de ISACA y su IT Governance Institute, sirviendo a  – y, respectivamente, liderando –  el colectivo de profesionales dedicados a la Gobernanza de TI;
• la intención de actualizar y ampliar el enfoque de actividades del Capítulo, con el ánimo de sumar esfuerzos a los ya empleados en las áreas de Control, Auditoría (Aseguramiento) y Seguridad de los Sistemas y Tecnologías de la Información y las Comunicaciones, en el seno de las organizaciones; y,
• la necesidad de dar respuesta al creciente interés del mercado y, no menos importante, del colectivo de asociados, hacia este ámbito.

Los objetivos y contenidos de los trabajos a abordar en el seno de la nueva comisión girarán, obviamente, en torno al tema del Gobierno TIC, con especial énfasis en el estudio y difusíón de la normativa y bibliografía existente en este ámbito, así como en la elaboración de material propio que sirva de referencia, tanto a los miembros de la Asociación, como a las entidades en las que éstos desarrollan su actividad profesional.

En relación a la participación de los asociados en la citada comisión, se apuntó que:

• las solicitudes habrán de ser canalizadas a través de los servicios administrativos de ISACA, en la dirección electrónica administracion@isacamadrid.es; y,
• se priorizará la participación de profesionales que desarrollen su labor profesional, específicamente, en el ámbito de referencia. A tal fin, cada solicitud deberá ir acompañada de un breve resumen que describa la motivación del candidato para formar parte de la comisión, así como de una pequeña referencia a su bagaje laboral/académico.

Por último, se hizo hincapié en la necesidad de que los involucrados ofrezcan una participación comprometida, y activa, en relación al desarrollo y progresión de los trabajos abordados por la comisión.

En otro orden de cosas, esta Asamblea, cargada de novedades en el apartado de Gobierno TIC, sirvió, igualmente, de marco para anunciar los nuevos cursos que se incorporarán al Plan de Formación de la Asociación para 2009. Entre ellos, el curso de Fundamentos de CobiT (CobiT Foundation Course) que da paso a la certificación homónima (CobiT Foundation Certificate) y será ofrecido por Instructores Acreditados en CobiT, por ISACA (Accredited CobiT Trainers); y la incorporación del curso de preparación para el examen CGEIT.

 

ISO/IEC 38500:2008. Un «salvavidas» en la difusión del concepto de «Gobierno Corporativo de las TIC»

La difusión del concepto de Gobierno Corporativo de las Tecnologías de la Información y las Comunicaciones suele no ser una tarea fácil. Reiteradamente se cometen una serie de errores que contribuyen negativamente a esa comunicación:

A. Mensaje inadecuado (teórico frente a práctico): ¿Se está lanzando el mensaje correcto?

BSC, CEO, CGEIT™, CGO, CIO, CobiT®, CTO, ICT, IT, ITBSC, ITG, ITGI, ITIM, PPM, Risk IT, Val IT™, VMM, entre otros, son (o están comenzando a ser) términos de uso habitual en la bibliografía sobre gobierno de TI.

Tradicionalmente, a los técnicos [informáticos] se les ha venido atribuyendo la «torpeza» de hacer un uso abusivo  – y, en la mayoría de los casos, innecesario –  de los acrónimos y de la  jerga tecnológica. Por tanto, no parece oportuno que aquellos otros individuos procedentes de los ámbitos de la calidad de las TI, de la gestión por procesos de las TI, y, en último término, del campo del gobierno de las TI, vayan a caer en el mismo error.

B. Interlocutor inadecuado: ¿Se está lanzando el mensaje a la gente correcta?

La mayoría de las veces, el mensaje de buen gobierno corporativo de las TIC va dirigido a CIOs, CTOs, mandos de TI y otros interlocutores tecnológicos. Sin embargo, surge una duda en relación al gobierno de TI: ¿es, realmente, el CIO el interlocutor válido?

A fin de poder contestar a esta pregunta, piénsese, por un momento, en los siguientes interrogantes:

• ¿Cuánto debe gastar una organización en TI?
• ¿Qué procesos de negocio deberían ser los destinatarios de esas inversiones?
• ¿Qué capacidades de TI (infraestructuras, aplicaciones, …) deberían ser de ámbito corporativo? ¿Cuáles sería suficiente con que fuesen de ámbito departamental?
• ¿Cuán buenos han de ser, en realidad, los servicios de TI prestados desde la organización?
• ¿Qué riesgos a la seguridad y a la privacidad está dispuesta a asumir la organización?
• ¿A quíen se culparía si una iniciativa de TI fallase?

Después de ésto, ¿aún se sigue creyendo en el CIO como el interlocutor adecuado a la hora de transmitir la necesidad de establecer marcos de buen gobierno de TI? ¿No se trata [el gobierno de TI], en realidad, de un terreno fronterizo, cuya responsabilidad está repartida y a medio camino entre las atribuciones de la alta dirección (Consejos de Administración, CEO, …) y las del área de TI (CIO)?

C. Perímetro (alcance) del gobierno de TI incorrectamente delimitado: ¿Se está hablando de Gobernanza de TI, cuando, realmente, se quiere decir Gestión de TI?

Defínase la «Gobernanza de TI» como el proceso de toma de decisiones en torno a las TIC. En cada decisión tomada, pueden diferenciarse los siguientes tres componentes:

• ¿QUIÉN toma la decisión?
• ¿CÓMO se toma la decisión?
• ¿QUÉ decisión de toma?

La gobernanza de TI guarda más relación con el ¿QUIÉN? y con el ¿CÓMO? (estructuras organizativas para la toma de decisiones); mientras que la cuestión del ¿QUÉ?  – y, particularmente, la ejecución de ese «qué» –  queda más en el terreno de la gestión del día a día de las TI.

D. Excesiva confianza en las herramientas: ¿Se es capaz de distinguir entre:

• herramientas?;
• operación óptima (derivada de una buena gestión de TI)?, la cual especifica el modo correcto de utilizar dichas herramientas; y,
• gobernanza, esto es, el modo mediante el cual se asegura que las herramientas son utilizadas, en realidad, para alcanzar los objetivos corporativos?

En el panorama de la gobernanza TIC, como en muchos otros escenarios tecnológicos, existe la falsa creencia de que las herramientas constituyen la solución definitiva a cualquier problema al que la organización deba enfrentarse. Por ese motivo, no es extraño ver cómo ciertas entidades declaran «haber implantado un magnífico marco de buen gobierno corporativo de TI, símplemente, por el hecho de que han desplegado una, u otra, solución de PPM«, por ejemplo.

 

La llegada de la norma ISO/IEC 38500:2008. Corporate governance of IT

Afortunadamente, el 1 de junio de 2008, las cosas parecieron empezar a tomar el camino correcto. Ese día la Organización Internacional de Normalización (ISO) y la Comisión Internacional Electrotécnica (IEC) publicaron la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology. Esta norma, basada en la australiana AS 8015:2005. Corporate governance of ICT, es la primera norma internacional referida al gobierno corporativo de las TIC y proporciona:

• independencia de herramientas;
• una definición clara del concepto [gobierno corporativo de las TIC] y sus límites;
• unos destinatarios del mensaje de gobierno de TI, claramente identificados; y,
• simplicidad del propio mensaje de buen gobierno TIC, mediante el establecimiento de una serie de principios generales.

 

Principios de buen gobierno corporativo de las TI

La norma establece seis principios generales aplicables  a todo tipo de organización:

• Responsabilidad: establecer responsabilidades sobre las TIC, que sean claramente comprendidas por los afectados;
• Estrategia: planificar las TIC para que apoyen, de la mejor manera, a la organización;
• Adquisición: adquirir TIC de forma válida;
• Rendimiento: garantizar que las TIC funcionen bien, y siempre que sea necesario;
• Conformidad: garantizar que las TIC son conformes a las normativas vigentes; y,
• Comportamiento humano: garantizar que el uso de las TIC tiene en cuenta el factor humano.

Como puede verse, los principios abordan, particularmente, comportamientos (responsabilidad, cumplimiento, factor humano), y no tanto procesos  – a diferencia de lo que ocurre con otros marcos para el gobierno de TI -,  recuperando, de ese modo, los aspectos éticos originales, subyacentes al propio concepto de gobierno corporativo.

 

MaGTIC III

La Universidad de Deusto lanza la 3ª Edición de MaGTIC, su «Máster en Buen Gobierno de las TIC«. Queda abierto el período de solicitud de inscripción y matrícula, previéndose el inicio de las clases para el próximo mes de mayo de 2009.

MaGTIC, creado en 2006, ha sido el primer curso de posgrado del panorama universitario español que ha puesto el foco, de manera específica, en el Buen Gobierno Corporativo de las TIC. Ello le ha valido el temprano reconocimiento de ISACA que, ya durante la primera edición del máster (2006-07), lo aprobó como curso alineado con su Modelo Curricular, definido, originalmente, en 2004. En el momento actual, sólo dos universidades del ámbito hispanohablante gozan de tal reconocimiento, según muestra la lista de programas académicos alineados, de ISACA.

La edición que ahora se anuncia presenta, entre otros elementos, una renovada área de orientación a la certificación profesional del alumno, en el que por vez primera se ofrecerá preparación para la prueba CGEIT, que ISACA organiza cada año, en los meses de junio y diciembre. Asimismo, se mantienen dentro del programa académico las sesiones de preparación para el examen CobiT Foundation, cuya acogida ha sido unánime por parte de los participantes en las anteriores ediciones del Máster.

MaGTIC, por otro lado, ha constituido la génesis de una relación entre la Universidad de Deusto y la multinacional española Oesía, que ha culminado con la reciente firma  – el pasado 21 de enero de 2009 –  del acuerdo para la creación de la que ya es primera Cátedra en Buen Gobierno de las TIC de la universidad española. Serán objetivos de la nueva cátedra, la investigacion, promoción y divulgación de actividades en el campo del Gobierno Corporativo de la Información y sus Tecnologías afines.