Nuevo encuentro de Gobernanza de TI con Manolo Palao, su sana ironía y su buen humor (particularmente presentes en el Texticulillo™ de hoy). ¡Están Uds., tan sólo, a unas lineas de comprobarlo!

Fiel a su compromiso con los objetivos de esta bitácora, Manolo desarrolla su análisis, un vez más, en torno a uno de los principios generales del Buen Gobierno Corporativo de las Tecnologías de la Información: la conformidad.

El mundo de la regulación resulta prolífico. Sirva, como ejemplo, el caso de España: aquí, el número de reglamentaciones que pretenden guiar  -las más de las veces, limitar-  las actividades de ciudadanos y organizaciones se cifra, según los expertos, en miles, decenas de miles  -hay quien eleva ese número por encima del centenar (de miles)-.

Esa miríada de normas es un claro reflejo de la aparente “alegría” con que el regulador de turno ejerce su función. Otra prueba de tal “alegría” puede encontrarse en la existencia de no poca reglamentación ambigua, sujeta a interpretación, y, por tanto, de dudoso, cuando no difícil, cumplimiento. A ello se refiere Palao en su exposición.

Como apuntara, en relación al relevante papel de la conducta humana en el Gobierno Corporativo de TI, el destacado académico e investigador del MIT, Peter Weill, “de poco sirve definir sistemas de gobernanza formales, si no se siguen“. Cabría, con toda humildad, parafrasearle diciendo “de poco sirve definir [complejas] reglamentaciones, si no se pueden seguir“.

 

Texticulillo™ nº 13: Perfiles y Auditoría de Sistemas (1)(2)

Un día de estos me tengo que pasar por el centro de salud a que me hagan una analítica porque debo tener la perplejidad muy baja de densidad. Tan baja, que me sumo en ella sin poder salir a flote; y, si consigo seguir respirando, es gracias a lo largo que tengo el snorkel.

Una de las inmersiones más profundas que he hecho en mi perplejidad  -y en esa fosa abisal continúo-  fue la primera vez que leí el punto 4 del Artículo 4 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad [RMS, en breve] de los ficheros automatizados que contengan datos de carácter personal de la LORTAD (3), que reza:

[…] 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20”.

RMS que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantiene en vigor (4), en virtud de su Disposición transitoria tercera.

Y yo me pregunto ¿qué es “un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo“? 

Y como no me doy respuesta, me sumo unas brazas más en mi perplejidad  -¡y estiro el snorkel!-.

Quizás el legislador podría haberlo aclarado, o aclararlo, pero  -ya se sabe-  su densidad de perplejidad es inferior a la de la madera de pino oregón  (0,50 Kg./litro); o sea, que flotar le resulta chupao.

Creo firmemente que, para opinar sobre  la “evaluación de la personalidad“, habría que convocar  -y desde aquí, con mi limitado oxígeno, lo hago-  a los psicólogos, psiquiatras, psicoanalistas  -incluso lacanianos-  y evaluadores de aura  -sin pretender ofender a nadie con una lista tan heterogénea-.

Entretanto, los expertos en CRM (Gestión de Relaciones con Clientes), terminales de punto de venta, minería de datos, cookies y e-commerce van obteniendo,  archivando, actualizando y gestionando cientos de millones de “perfiles” de usuarios.

Lo del perfil tampoco me gusta mucho: ¡salgo mejor de frente!; y, además, siempre me recuerda la pareja de fotos, con las cotas de estatura al fondo, y un cartel con un número en el pecho, que la tele y el cine nos han mostrado reiteradamente. ¡Esperemos que pronto lo hagan con todos los que se lo merecen!

El perfil es una “evaluación pragmática” del comportamiento histórico de un individuo. (Suficiente para los intereses de quien lo elabora, y sin llegar, con mucho, a una “evaluación de la personalidad”).

El uso generalizado del perfil debería disminuir el spam (e-mails intrusivos)  -por aquello de aumentar la focalización (segmentación)-;  pero eso requiere lograr perfiles adecuados, si no excelentes. No es mi caso, ya que sigo recibiendo e-mails que dicen: “Manuel: Consiga, en quince días,  unos pechos más grandes y firmes”. Alternados con otros que me ofrecen un alargamiento del 25% del … snorkel. Está claro que no sólo es un problema de perfil, sino de frente. O de opción.

La empresa finesa Davisor ha publicado, no hace mucho, unos documentos interesantes sobre perfiles.

Hoy hay tecnología disponible para ocultar el perfil, pero es todavía engorrosa para el gran público. La otra alternativa es vestir de burka. Bajo la burka tod@s seríamos iguales, sin perfil  -pero se liga menos, o con menos ilusión-.

Los ASITIC (5) tienen la formación, experiencia y sensibilidad para tratar seriamente estos temas. Plantéese sentar uno a su mesa (antes de Semana Santa).

Hay también, a lo que parece, una movida que  -por intereses espurios-  defiende que cualquiera, mayor de edad, con una cierta titulación  -mínimo carné de conducir-,  puede realizar una ASITIC (haciéndose acompañar, si fuera  -a su juicio-  necesario, de un experto, bajo burka). No se fíe Ud. y, en este caso, si lo sienta a su mesa, asegúrese de no ser Ud. quien prueba el primer bocado.

 

Artículos relacionados

  1. Continuidad del Negocio y Auditoría de Sistemas (por Manolo Palao)
  2. DC y Auditoría de Sistemas (por Manolo Palao)
  3. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  4. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  5. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  6. Fraude y Auditoría de Sistemas (por Manolo Palao)
  7. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  8. Competencia y Auditoría de Sistemas (por Manolo Palao)
  9. Independencia y Auditoría de Sistemas (por Manolo Palao)
  10. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  11. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  12. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  13. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) En la legislación española, Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal que mantuvo su vigencia hasta el 14 de enero de 2000, tras su derogación por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

(4) El autor hace referencia a la coyuntura legal existente en el año 2002. La circunstancia mencionada en el texto cambia tras la publicación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que deroga el anterior RMS.

(5) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

Anuncios

Como ya hiciera en anteriores ”Texticulillos™”, Manolo Palao ofrece, hoy, un repaso a ciertos principios generales  –responsabilidad, conformidad y comportamiento–  del Buen Gobierno Corporativo, volviendo a presentarlos en la figura del auditor de sistemas de información:

  • responsabilidad, por cuanto es el papel de aquel ofrecer, a los órganos de gobierno de la organización para la que desempeña su función, opinión, informada y contrastada, respecto del uso, rendimiento y estado de las tecnologías objeto de su encargo;
  • conformidad, dado que ha de ejecutar el citado encargo sujeto a directrices y normas generalmente aceptadas por/para la profesión; y,
  • comportamiento  -también, profesional, en este caso-,  tal y como dictan los códigos de ética profesional que le son de aplicación, en el desempeño de su labor.

¡Muchas gracias por haber seguido a Gobernanza de TI hasta esta décima entrega!

 

Texticulillo™ nº 10: San Agustín y la Auditoría de Sistemas (1)(2)

Hay sobrados motivos para reconocer los méritos y razones por los que San Agustín (354 – 430), obispo de Hipona  -actual Argelia-, ha pasado a la posteridad y a la vida eterna. Yo, modestamente, aceptaría que  -desde ese punto de vista-  este artículo no fuera una razón a considerar.

Sería imposible caracterizar plenamente, en espacio tan breve, a S. Agustín, Padre de la Iglesia. Con el método periodístico de los ‘flashes’ permítaseme presentar tres de ellos  -no necesariamente los más característicos-.

S. Agustín, en una época juvenil, mostró pertinaz entusiasmo por el trasvase del Mediterráneo  -con una tecnología ‘propietaria’, como ahora se diría-.  Si bien el éxito ingenieril de su empeño no está documentado, sí lo está  -y ampliamente-  su éxito teológico.

Dedicó una considerable reflexión a describir la naturaleza y el papel de la mujer en este mundo; pero, considerando lo que, actualmente, se tiene por ‘políticamente correcto’, me refreno aquí de ir más allá de esta alusión. Dudo que haya llegado a constituirse una ‘asociación de damnificadas’ pero cualquier lectora/lector puede pedirme algo más de información; y, a lo mejor, deciden montarla [la asociación].

S. Agustín ha sido ampliamente citado por su mística frase  -en sus “Confesiones“-  (referida a Dios): “… et amet non inveniendo invenire, potius quam inveniendo non invenire te” [… y prefiero, no buscándote, encontrarte, antes que, buscándote, no encontrarte]  -Liber Primus, Cap. VI, 6.10-.

Ignoro si los ASITIC (3) tienen un santo patrón  -ni falta que les hace, en los tiempos que corren-;  pero me temo que  S. Agustín, con todas sus cualificaciones, no podría ser un candidato.

El Código Deontológico (4) de ISACA  -la asociación de los profesionales del control y la auditoría de los sistemas de información (5)-  y su Directriz 030.020.020 (6) exigen a sus miembros  -y recomiendan a todos los ASITIC-  la “debida diligencia profesional en el ejercicio de sus funciones”  -el nivel normalmente ejercido por los profesionales en esa materia-.

De ese modo, se les insta a buscar evidencias de una forma profesional, objetiva e independiente, programada, metódica, reproducible  -en lo posible-,  basada en la consideración del riesgo, realizando pruebas de cumplimiento y, en su caso, pruebas substantivas, y ateniéndose a las mejores prácticas reconocidas.

Si, tras ello, no encuentran evidencias adecuadas … ¡estará de la mano de Dios!

 

Artículos relacionados

  1. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  2. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  3. Fraude y Auditoría de Sistemas (por Manolo Palao)
  4. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  5. Competencia y Auditoría de Sistemas (por Manolo Palao)
  6. Independencia y Auditoría de Sistemas (por Manolo Palao)
  7. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  8. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  9. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  10. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor(-es) de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) La versión más actualizada del Código de Ética Profesional de ISACA puede consultarse en la siguiente dirección-e: http://www.isaca.org/Membership/Code-of-Professional-Ethics/Pages/default.aspx.

(5) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(6) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy, dicha referencia ha quedado sustituida por la directriz G7. Due Professional Care de ISACA.

La información es, sin duda, el elemento clave para el desarrollo exitoso de las estrategias corporativas en la empresa de hoy. Disponer de una información fiable, precisa y de calidad constituye la premisa de partida para una toma de decisiones que ha de garantizar mayores tasas de crecimiento y rentabilidad, innovación y competitividad, particularmente en la presente coyuntura socio-económica. Como consecuencia, las tecnologías que sustentan, tratan y generan dicha información han alcanzado una relevancia que se hace, a todos los efectos, innegable para el actual mundo corporativo.

Ya no cabe plantearse un escenario en el que la información, y sus tecnologías afines, no formen parte de un conjunto en el que se encuentran otros activos clave como los recursos humanos, los financieros, la propiedad intelectual, las infraestructuras o las relaciones, internas y externas; sobre los cuales nadie se atrevería a arrojar ninguna duda. Ya no cabe, por tanto, plantearse un escenario en el que las Tecnologías de la Información, y la información misma, estén alejadas de los marcos de dirección y control al más alto nivel, dentro de las corporaciones.

Asi parecen corroborarlo las últimas tendencias normativas  -principalmente en la órbita anglosajona-,  relativas al Gobierno Corporativo. La publicación, ya en 2005, de la norma australiana ‘AS 8015-2005. Corporate governance of information and communication technology’ o la reedición, hace tan sólo unos días, del ‘King Code of Governance Principles’ (versión sudafricana del español Código Conthe), ubican explícitamente la responsabilidad última sobre el uso de estas tecnologías en manos de los consejos de administración de las organizaciones; y marcan con notable nitidez la línea que habrá de seguir el futuro desarrollo de este tipo de regulaciones.

Exponente destacado de la citada corriente está siendo la norma ‘ISO/IEC 38500:2008. Corporate governance of information technology’, cuyo principal mérito reside en el hecho de haber sido la primera de alcance internacional en tratar este tema. La norma identifica una serie de principios generales  -responsabilidad, estrategia, toma de decisiones sobre las inversiones y conducta humana-,  que han venido a sumarse a los tradicionales motores del Buen Gobierno: la búsqueda de un mayor rendimiento (traducido en una mayor visibilidad interna) y la necesaria conformidad normativa (entendida, principalmente, como un incremento de la transparencia hacia el mercado y hacia los diferentes grupos con intereses en la organización).

Los máximos responsables de su organización, ¿encajarían, con facilidad, la anterior argumentación?

¡Demuéstrelo!