Sopa de Letras

El gobierno de la tecnología informática no es más que una continuación del gobierno corporativo, pero enfocado en la tecnología informática, su desempeño, y el manejo del riesgo que el no tenerla puede ocasionar.

Desde múltiples hechos económicos, en especial casos de defraudación en información financiera y contable de empresas muy grandes, que generaron perdidas enormes en sus accionistas, se ha hecho conciencia que la tecnología informática en las empresas no puede seguir siendo una caja negra. El gobierno de tecnología informática entonces implica la implementación de un sistema de administración en donde todos los «jugadores» de la empresa, incluyendo la Junta Directiva, participan en el proceso de decisión sobre el uso y aplicación de la tecnología informática y comunicaciones (TIC).

¿Ha oído de ITIL, COBIT, COSO, ISO27000, y demás juegos de caracteres? Todos son elementos que encajan en un marco de referencia que se está tratando de implementar para lograr que este gobierno de tecnología informática cumpla su propósito.

El simple hecho de cuestionarse la administración de las TIC, pareciera acusar que hasta entonces no se tiene una administración apropiada. Sin embargo es imperante hacer claridad que la administración de las TIC en su aspecto técnico y de aplicación es apropiada, y lo que falta es la responsabilidad de la alta gerencia sobre los resultados de la aplicación de estas tecnologías. Ya los gerentes no pueden decir que los procesos informáticos transcurren a sus espaldas, sino que deben ser parte de ellos.

Los marcos de referencia para la administración de las TIC han existido siempre, sin embargo la ausencia de ellos en la práctica en las empresas ahora tienen mayores repercusiones en cuanto al nivel de riesgo que se maneja al no tener disponibilidad de las mismas, o mediante una generación de información no confiable.

A partir de legislación en Estados Unidos gestada principalmente por hechos fraudulentos en la información financiera de las empresas, se han generado una serie de lineamientos y directrices sobre las cuales se han construido algunos modelos de mejores prácticas en la administración de la información.

COBIT, (Control Objectives for information and related technology, o los Objetivos de Control para la Informática y sus tecnologías relacionadas) es un conjunto de buenas prácticas o un marco de referencia creado por el Information Systems Audit and Control Association (ISACA) y el ITGovernance Institute (ITGI) en 1992, que entrega una serie de medidas, indicadores, procesos y mejores prácticas comúnmente aceptadas, que le permiten a los administradores, auditores y usuarios de TI, maximizar el beneficio derivado del uso de las TIC y el desarrollo apropiado del gobierno de TIC.

Posteriormente han anunciado ValIT para Obtener valor de las TIC, y RiskIT para evaluar y mitigar riesgo.  En la versíon 5.0 recogió todas estas metodologías, para luego indicar que seguian vigentes.   Ahora tenemos la versión reciente de CobiT 2019 recién anunciada (enero 2019) pendiente de ver qué beneficios provee sobre el anterior.

Este marco de referencia define claramente siete características que deben estar presentes en el manejo de la información:

• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Adhesión a la norma (Compliance)
• Confiabilidad

Y genera el ciclo de calidad (planear, hacer, verificar, y actuar) sobre los recursos de tecnología incluyendo las aplicaciones, la información, la infraestructura y las personas.

Se ha dividido en seis grandes grupos los procesos a generar dentro del área de tecnología informática, encima de las operaciones mismas, para ser controladas por este ciclo de calidad. Y es ahí donde empieza a jugar la «sopa de letras» de los diferentes estándares propuestos para administrar cada uno de ellos.

• Administración del servicio: ITIL, Information Technology Library Infrastructure, ISO20000
• Desarrollo de Software/Aplicaciones: CMMI, Capability Maturity Model for Integration.ISO33000
• Administración de Proyectos: PPBok (Libro de conocimiento de administración de proyectos),  PRINCE2, ISO21500
• Seguridad TI: ISO 27000 (Antes ISO 17799/ BS 7799)
• Planeación de Tecnología: AS8015 aporta algunos elementos, PETI (Desarrollada por DELTA Asesores)
• Sistema de Calidad: ISO 9000 / Six Sigma

Se ve claramente un conjunto de caracteres y estándares, y la pregunta de fondo es ¿y qué se debe hacer con todo esto? Consideramos que estos marcos de referencia en su mayoría, como CobiT e ITIL han llegado a un nivel de madurez importante, tanto así que las nuevas versiones no generan cambios de alto impacto en la teoría. Es necesario empezar un estudio de estos estándares para identificar oportunidades puntuales de implementación, en especial en el área de la administración del servicio de la tecnología informática, a través de los procesos que ofrece ISO20000 o ITIL, enmarcados bajo los parámetros de CobiT.

No se pueden desacartar continuos avances en teorías, a partir de la aplicación de las anteriormente mencionadas, proponiendo nuevas formas de mirar el problema y resolverlo.  Temas como IT4IT para el diseño de un marco operativo del área de TI, VERISM, SIAM, Praxis, siguen generando nuevas maneras de resolver la problemática, que no cambia: generar valor con la aplicación de la tecnología informática.