Archivos Mensuales: agosto 2012

La creación inicial de políticas de TI

Muchas empresas presentan deficiencias en el área de políticas de TI. Algunas simplemente no han tocado el tema como parte de la agenda corporativa ni en una forma sistemática. Otras lo tienen como una lista de revisión que deben de seguir para cumplir con un marco regulatorio más grande. En este caso, las políticas de TI son un fantasma durante todo el tiempo y cuando se acerca una revisión del ente regulador, todos se apresuran a cumplir con las expectativas de la política para demostrar cumplimiento.

En ambos casos, el orden que un conjunto de políticas  de TI debería de proporcionar a las operaciones de TI se pierde. En general, es asombroso como las “reglas de servicio”, reglas no escritas pero cumplidas bajo la excusa de “así lo hacemos” o “tiene que aprobarlo el gerente general o la administración” funcionan en las organizaciones de manera rigurosa. Son estas reglas las primeras que deberían de pasar a formar parte de las políticas de TI. Lo que se necesita es un tiempo de parte de los responsables de la gestión de TI para realizar la lista de reglas existentes y agruparlas en grupos relacionados para luego ir creando las políticas de TI. En este proceso, conviene también hacerse la pregunta de qué otros puntos no tienen reglas y tener pequeñas discusiones sobre la necesidad o no de ser incluidas en el conjunto de políticas. La creación efectiva de políticas, de cualquier tipo, exige la autorización de las más altas autoridades dentro de la organización, por lo que el siguiente paso es la explicación ha estas autoridades de la necesidad y componentes de estas políticas, para lograr su aprobación. El último paso es la divulgación de las políticas aprobadas. La organización en pleno debe de conocer las “nuevas reglas” de los servicios de Tecnologías de la Información y su aprobación, para asegurarse de que no existan sorpresas en el futuro. Lo más probable, es que se necesite una mayor discusión y capacitación con el personal de Tecnologías de la Información en cuanto a su aplicación, al menos hasta que procedimientos más detallados se puedan realizar. Hay que recordar que la política es sólo una declaración de alto nivel sobre los lineamientos que se seguirán sobre ciertos temas, sin la definición específica de como se hace cada tarea. Para esto último habrá que definir procedimientos detallados, adoptando estándares y adecuándolos para la realidad de la organización. Este proceso permitirá a una organización tener en poco tiempo un conjunto inicial de políticas de TI. Hay que tener en mente que así como las Tecnologías de la Información evolucionan, así también las políticas de TI deben de ser dinámicas, adaptativas a las necesidades cambiantes de la organización y a la mejor utilización de la tecnología para el logro de los objetivos organizacionales, aprovechando las oportunidades existentes para mejorar las áreas de negocio y minimizando o manejando mejor los riesgos existentes. La mejora continua debe aplicarse siempre a las políticas de TI.

Inicio de Gestión y Auditoría de TI

Finalmente, tengo un blog. Creo que la mejor parte de esto será el tener un lugar en el cual poner por escrito las experiencias que a través de los años he vivido en el mundo de las Tecnologías de la Información. Hace casi 30 años, comencé a aprender computación, específicamente programación en lenguaje BASIC, en el computador COMMODORE 64 de mi maestro de matemáticas. Después de eso, el aprendizaje de “la computación” se fue transformando en el conocimiento de más lenguajes de computación y arquitecturas de equipo de cómputo, con los escasos recursos existentes en esos tiempos en El Salvador. Cuando forme parte del equipo que promocionó la carrera de Ingeniería de Sistemas en la Universidad de El Salvador, a principios de los años 90, ya tenía la conciencia de que la parte importante del uso de las computadoras estaba en el uso que las empresas dan a la información, en los procesos de negocio que soporta. Posteriormente, aprendería en base a experiencias, buenas y malas, lo difícil que es hacer que las Tecnologías de la Información realmente apoyen los negocios. Pero en fin, tuve experiencias que me llevaron a ver como los sistemas de información eran utilizados en las principales economías del mundo, como Estados Unidos, Japón e Israel y aún en lugares menos conocidos, pero de importancia, como Corea del Sur, Uruguay y Colombia. He tenido una visión integral del uso de las Tecnologías de la Información y su moderación a través de las normas existentes que tienen como objetivo facilitar el camino y de alguna manera estandarizar la forma en la que se pueden gobernar las Tecnologías de la Información. Estoy hablando de marcos de referencia y normas como COBIT, ITIL, ISO 27001 y todas las ISO/IEC que aplican a componentes de Tecnologías de Información, entre otras.
Probablemente el 90% de las empresas en El Salvador y Centroamérica no estén listas para la implementación de estas normas, pero hay que empezar a hablar de ellas, a conocerlas, a hacer crecer el pensamiento a través de su aprendizaje y la búsqueda de su aplicabilidad en las organizaciones. Esto ayudará a los responsables de dirigir las empresas en su búsqueda de objetivos de negocio, a hacer de las Tecnologías de la Información una herramienta efectiva y eficiente para su organización. Espero poder ser parte del crecimiento en la Gestión de TI en El Salvador, ya sea desde el punto de vista de la consultoría y capacitación o desde mi práctica de auditoría de sistemas.
La discusión comienza.

A %d blogueros les gusta esto: