Es común, más de lo que la gente quiere admitir, que profesionales de TI tengan problemas a la hora de buscar una ruta práctica para implementar estándares. Una raíz de este problema se basa en la incomprensión completa del término, confusión con otros términos como políticas y procedimientos y la decisión o el conocimiento de qué poner en cada tipo de documento. En esta ocasión nos enfocaremos en los estándares. Para poner un punto de referencia válido de comparación, se anexa el significado de la palabra “estándar”, de acuerdo a la Real Academia Española. Mi experiencia como Ingeniero Industrial, me dejo saber hace mucho tiempo que los estándares en buen español son “normas” que se deben cumplir en orden a seguir un acuerdo común logrado sobre una forma de resolver un problema a través del trabajo de organizaciones que se dedican a la identificación, construcción, discusión y divulgación de estos acuerdos o normas. Esta es una labor importante para todas las áreas del conocimiento, no solo para las tecnologías de la información. Los estándares son los que permiten que al construir o hacer productos, estos tengan una referencia común que permita garantizar que tienen las características requeridas y que podrán operar con otros productos. Por ejemplo, la gasolina tiene que cumplir con un estándar de producción para garantizar que puede operar con cualquier marca de vehículo. Este es un ejemplo de interoperabilidad, que permite visualizar fácilmente la importancia de un estándar y como funciona, dado que sin importar quién fabricó la gasolina, el seguimiento del estándar de fabricación y de las características del producto final, las gasolinas de diferentes productores cumplen su función con un nivel de variabilidad muy pequeño. Esto es, hay un margen de tolerancia, aún en la industria, para la aplicación de estándares.

Definición de «estandar». Fuente: Sitio web de la Real Academia de la Lengua Española.

Cuando se aplican estándares a servicios o productos intangibles, como el software, el tono ha sido el buscar la unificación de diferentes teorías de conocimiento, a efectos de cerrar una discusión que sería muy extensa, dado que cada fabricante puede proporcionar su versión de “la mejor práctica a seguir”, haciendo imposible para los tomadores de decisiones tener una garantía mínima de que en la organización se está siguiendo una práctica adecuada. Los estándares en el área de las Tecnologías de la Información proporcionan los requisitos mínimos que se deben de cumplir para garantizar que se realiza una determinada función o se presta un servicio con una variabilidad muy pequeña respecto de las mejores prácticas. Esto garantiza a la Alta Dirección, que la función de TI se desempeña de una manera aceptable, conforme al conocimiento actual.

Existen estándares para todas las áreas de las Tecnologías de la Información, tanto en hardware, como en software, como en los procesos de gestión. En nuestro medio, deberíamos de estar conscientes de los estándares relacionados con la gestión de TI, para que al momento de resolver un problema, la solución siga un patrón común, que consiste en aprender qué dice el estándar que hay que considerar, evaluar su adopción completa o parcial, de acuerdo a las condiciones específicas de la organización, su tamaño, objetivos, apetito de riesgo, etc. Definir los elementos del estándar que se implementarán y proceder a su aplicación. Esto último es necesario porque en los temas de gestión de TI no todas las organizaciones necesitan aplicar un estándar completo para resolver un problema. Hay que entender que la definición de un estándar de TI, visto desde un entorno nacional, y a veces mundial, debe de considerar elementos que son necesarios en grandes corporaciones. La práctica sana es acotar el estándar aplicado en una organización para enfocar los esfuerzos en esas partes del estándar que garantizan la obtención de los beneficios esperados. Esto permite resolver el problema con el mínimo de esfuerzo y dejar un camino establecido para la mejora continua, a partir de la implementación de más partes del estándar.

Como conclusión, un Gerente de TI debería de acostumbrarse a decir ante la Alta Dirección cosas como “Se ha realizado un Plan de Seguridad, basado en la norma ISO/IEC 27001”. Este tipo de declaraciones le proporciona mayor validez a su trabajo y seguramente mejores resultados.