Revisión de las políticas de TI

Con el inicio del año, las revisiones del trabajo realizado resultan pertinentes. Esto incluye la revisión de las políticas de TI. En muchas Gerencias de Informática, se plantea esta tarea como un hito a solventar, en períodos de tiempo que muchas veces son menores a un mes. Como resultado, la revisión no es concluida en el tiempo previsto o no es realizada de manera total. Para realizar bien un proceso de revisión de políticas de TI debemos de entender bien lo que implica, quienes son los involucrados y cuál es el ritmo que debemos de seguir a efectos de tener un marco de control interno de TI actualizado y eficaz.
Todos sabemos que la creación inicial de políticas de TI es una tarea difícil, que a veces toma meses o años de realización. En el desarrollo mismo del proyecto de creación inicial de las políticas de TI ocurren cambios al entorno tecnológico, en el contexto del negocio y en las amenazas externas que percibimos. Por esta razón, es muy probable que al terminar las políticas de TI estas ya requieran de cambios para solventar los nuevos retos. La actualización de las políticas debe de tener como objetivo el cubrir por lo menos el mismo número de riesgos que se pretendió cubrir al momento de su creación. Esto convierte en relevante la actualización permanente de la matriz de riesgos tecnológicos de la organización. Cambios en la matriz indican necesariamente cambios en las políticas de TI. Como ya sabemos, la evaluación de riesgos es una actividad permanente. Si algo es fundamental para la correcta gestión de TI es no dejar pasar desapercibidos los nuevos riesgos que aparecen en la gestión de TI. No hacerlo implica muchas sorpresas para la Gerencia de TI, que van desde el uso ineficiente de los recursos o sistemas que no funcionan hasta la pérdida de información. Muchos problemas. Por lo tanto, los responsables de monitorear los riesgos de TI serán los primeros en señalar la necesidad de una revisión de políticas de TI. Esto en el sentido amplio significa, la actualización de políticas existentes o la creación de nuevas.
Una práctica de gestión de TI saludable, divide las funciones entre varios individuos. Lo mismo pasa con las políticas. Cada política debe de tener definido a un responsable de la formulación, un revisor y la persona que autoriza. Estos roles, pueden ser desempeñados por equipos de trabajo, dirigidos por el responsable directo de cada rol. Muchas veces, esta interacción entre varias personas o grupos es la causa del retraso en la revisión y aprobación de las políticas de TI. Este es un factor que debe de ser considerado al momento de la planificación de la revisión, estableciendo periodos de actualización, revisión y aprobación. De esta manera, se deduce que más que un punto fijo en el tiempo para revisar todas las políticas, el mejor ritmo a seguir será una programación anual que considere la planificación de las evaluaciones de riesgos y la interacción entre los equipos de formulación, revisión y aprobación. En empresas grandes, con muchas políticas, el ciclo de revisión total podría demorar 2 años. Lo importante es conocer esa ruta de creación y actualización de las políticas y estar atentos a los cambios en las necesidades del negocio para poder contribuir de la mejor manera a la obtención de los objetivos del negocio.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 22 de enero de 2013 en Prácticas de Gestión y etiquetado en , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: