Hace escasamente una hora, Kristen Kessinger, Directora Adjunta de Relaciones con los Medios de ISACA, lo anunciaba a través de una de la múltiples comunidades que la Asociación  -de manera oficial u oficiosa-  tiene abiertas en la red social LinkedIn: sobre las 15:55, hora local española, quedaba habilitado, por espacio de un año, el programa de “veteranía” mediante el cual aquellos profesionales que acrediten la debida experiencia podrán optar, de modo preferente, a la nueva certificación CRISC (Certified in Risk and Information Systems Control).

El flamante certificado, cuya aparición ya había anunciado  -no sin cierta preocupación, dada la creciente proliferación de certificaciones en el mercado-  ‘Gobernanza de TI‘ el pasado 4 de enero, viene a sumarse a una oferta de acreditaciones profesionales en la que se encuentran las generalistas CISA (desde 1978), CISM (desde 2002) y CGEIT (desde 2007); y a las que habría que sumar el CobiT Foundation Certificate, alumbrado en 2006 y centrado de manera exclusiva, como su propio nombre indica, en el conocimiento básico del modelo CobiT.

La pretendida orientación práctica de CRISC ubicará a este nuevo certificado a la par que CISA(1), en tanto que su “clientela” natural, según sugiere la propia ISACA, habrá de buscarse entre los profesionales (del inglés, practitioners) que desarrollan su labor en torno a la identificación y gestión de los riesgos vinculados al uso de los Sistemas de Información y al establecimiento de marcos de control que ayuden a mitigarlos; aspectos que ya venían siendo tratados, en mayor o menor medida, por el resto de programas de certificación mencionados y que, ahora, adoptan un enfoque integrado y específico.

Si es Ud. un profesional de los riesgos corporativos derivados de TI y está interesado en certificarse, tome nota de las siguientes direcciones-e de referencia:

  • www.isaca.org/criscgfapp, donde encontrará el formulario de solicitud de certificación bajo las condiciones marcadas por el programa de “veteranía”;
  • www.isaca.org/criscpay, donde podrá hacer efectivo el pago de las tasas requeridas por ISACA (recuerde que podrá beneficiarse de su condición de socio y, asimismo, de una rebaja si emite su solicitud antes del 1 de noviembre de 2010); y,
  • CRISCapplication@isaca.org, dirección-e a la que podrá remitir su solicitud.

 

Artículos relacionados

 

(1) Recuérdese que CISA también está orientado a un segmento de profesionales técnicos (en este caso, del ámbito de la Auditoría de los Sistemas de Información); CISM busca su audiencia entre aquellos individuos con responsabilidades sobre las áreas de Seguridad de la Información;y, finalmente, CGEIT, teóricamente, se dirige a una segmento de dirección, o alta dirección, tanto de negocio, como de TI.

Hace exactamente dos meses, el pasado 4 de noviembre de 2009, quedaba registrada en la Oficina de Patentes y Marcas de los EEUU (USPTO, US Patent and Trademark Office) la nueva marca CRISC. Una sencilla pesquisa realizada con el Sistema de Búsqueda Electrónica de Marcas Comerciales (TESS, Trademark Electronic Search System) de la citada agencia permite descubrir el tipo de bienes y servicios que se esconden tras esas siglas:

  • soportes pregrabados y contenidos descargables en línea, de carácter educativo;
  • boletines, revistas y otro material impreso; y,
  • servicios formativos, entre los que se incluyen la impartición de seminarios, la coordinación de conferencias y la administración de pruebas de examen; …

… todo ello en el campo de la certificación profesional en torno a la evaluación de los riesgos asociados a los sistemas de información, a la toma de decisiones de negocio que tienen en cuenta dichos riesgos, a la respuesta y priorización de riesgos, al diseño, implantación y gestión de marcos de control y a la conformidad normativa.

Por si toda esta detallada descripción no ofreciese suficientes pistas de por dónde podrían venir los tiros, una rápida mirada al campo “propietario” en el registro de resultados que ofrece el TESS, corrobora, finalmente, lo que ya se sospechaba: la solicitante de la nueva marca comercial no es otra que ISACA.

Pero, ¿qué puede prentender la Asociación con este nuevo movimiento?

Si se huye de lo políticamente correcto, parece claro que la intención de la afamada organización sin ánimo de lucro pasa por abrir una nueva espita a la entrada de ingresos adicionales en los diferentes conceptos recogidos en la propia descripción de la marca CRISC: materiales de estudio, derechos de examen y, en último término, tasas de mantenimiento de la certificación; esquema que ya se viene siguiendo, con sumo éxito, desde hace más de treinta años con otras certificaciones profesionales de la casa como CISA, CISM y, más recientemente, CGEIT, a las que, irremediablemente, parece que se unirá, en breve, la citada CRISC.

El atractivo de un mercado potencial que puede rondar, al menos, los cien mil (100.000) “clientes”  -sus actuales cien mil asociados-,  desde luego, no resulta desdeñable. A la vista de estos hechos, no es de extrañar que desde Gobernanza de TI se haya escuchado, recientemente, cómo un reputado experto del sector (se cita el pecado; pero no al pecador) comparaba a ISACA con el Ministerio de Hacienda.

Desde un plano menos irónico, la confirmación oficial  -o, cuando menos, formal-  de la próxima aparición de un nuevo programa de certificación para los profesionales de los riesgos y el control de los sistemas de información (CRISC, Certified in Risk and Information Systems Control) venía, hace una semana, de la mano de Mecki Oker, Gerente de Investigación de ISACA, quien afirmaba cómo la Asociación se complacía en anunciar el advenimiento de esta certificación relativa al riesgo corporativo asociado a las TI.

Como parte de su anuncio, la Sra. Oker adelantó, asimismo, el que será cuerpo de conocimiento de CRISC, que estará conformado, previsiblemente, por los siguientes dominios:

  • Identificación, análisis y evaluación del riesgo;
  • Respuesta al riesgo;
  • Supervisión del riesgo;
  • Diseño y puesta en marcha de marcos de control de los sistemas de información; y,
  • Supervisión y mantenimiento de marcos de control de los sistemas de información.

Esta primera aproximación resulta suficiente para reconocer, con total nitidez, un claro sabor a Risk IT, el modelo para el gobierno de los riesgos corporativos de las TI, publicado por ISACA el pasado mes de noviembre. Ello no es de extrañar, si, como también se explicó, el desarrollo de las prácticas detalladas del futuro cuerpo de conocimiento está siendo llevado a cabo por el grupo de trabajo CISREM, liderado por el suizo Urs Fischer, quien, de facto, se está convirtiendo en uno de los mayores divulgadores del modelo Risk IT.

Las páginas de voluntariado de ISACA permiten ver que el grupo de trabajo CISREM tiene el encargo de “desarrollar una certificación orientada, principalmente, a los profesionales de TI ocupados en la identificación y la gestión de riesgos mediante el desarrollo y la puesta en marcha de los adecuados marcos de control sobre las TI para ayudar a las organizaciones a alcanzar sus objetivos, protegiendo sus activos, garantizando la exactitud de su información financiera y la conformidad con los requisitos regulatorios y legislativos relevantes que les sean de aplicación“.

Finalmente, y a pesar de que los desarrollos del grupo de trabajo han de ser, también, validados por una serie de expertos externos, la información aportada la pasada semana habla de forma muy clara sobre lo avanzado del proceso. Según palabras de la propia Sra. Oker, en abril de este año se abrirá el habitual período de veteranía mediante el cual aquellos profesionales experimentados en la evaluación, respuesta y supervisión del riesgo de las TI, así como aquellos otros avezados en el diseño, puesta en marcha y mantenimiento de controles (marcos de control) sobre los sistemas de información, podrán solicitar la certificación sin presentarse al preceptivo examen, cuya primera convocatoria será celebrada, previsiblemente, en diciembre de 2011.

CRISC: una mirada crítica y, en cierta medida, preocupada 

Los entusiastas comentarios que, en torno a CRISC, se están comenzando a ver en ciertos foros de Internet, parecen ser el adelanto de la clara aceptación que, entre la comunidad de “convencidos”, tendrá la nueva certificación. Un nuevo éxito comercial de ISACA, sin duda, dado que el resto se verán arrastrados por el mercado.

Sin embargo, estos mismos profesionales que declaran esperar, ansiadamente, la llegada de CRISC, ¿de veras la estaban necesitando, como confiesan?

¿Realmente, CRISC viene a cubrir una demanda existente?

¿No será, al contrario, la Asociación, con toda su maquinaria, la generadora de esa necesidad, de una falsa demanda?

¿Acaso nace CRISC con intención de convertirse en catalizador de la difusión y adopción del modelo Risk IT? En tal caso, ¿no habría merecido Val IT, hace tres años, el mismo trato?

Además, si lo anterior es cierto, ¿no se estaría desvirtuando la tradición certificadora de ISACA: CISA, CISM, CGEIT, como programas “generalistas” de certificación profesional, por un lado; y CobiT Foundation, como certificado ligado a un modelo concreto, por otro?

¿No terminará ISACA, con su delirio certificador, arrastrando a sus asociados-certificados a un desprestigio de sus certificaciones, derivado del desequilibrio entre “cantidad y calidad?

Por último  -y a ojos de ‘Gobernanza de TI‘, quizás, lo más preocupante-,  ¿no estará ISACA poniendo demasiado el acento en el término GRC de la ecuación del Gobierno Corporativo de TI (ITG=GVP+GRC), dejando el sumando GVP (Governance-Value-Performance) abandonado en exceso? Tal parece desde que se renovó la Junta Directiva a mediados del año pasado. Sería una lástima ver desvanecerse la idea de liderar la comunidad del Gobierno de TI, volcándose sólo en una parte de dicha comunidad. Además, ISACA se haría un flaco favor a sí misma, frente a la idea de desencasillarse de sus raices  -sin abandonarlas-,  ligadas al control interno y a los riesgos, y de tratar de ganar la visibilidad que en el resto de ámbitos TI tienen otras organizaciones del sector.