Archivo del sitio
La Evolución de los Frameworks de Gestión de TI.
Hoy en día existen una gran cantidad de Frameworks, metodologías y normas a seguir en la Gestión de TI. Los Gerentes de TI no están solos en la decisión de qué implementar en cada área de las operaciones de TI, desde la planificación, pasando por la organización y ejecución, hasta el monitoreo. En algunos países a los Gerentes de TI los asisten las regulaciones, que obligan a las empresas a cumplir con requisitos de gestión específicos, como la Ley Sarbanes – Oxley (el famoso SOX) para las empresas que cotizan en bolsa en Estados Unidos, o las normativas de Riesgo Tecnológico para las empresas financieras en casi todos los países.
Hace 20 años el uso de computadoras en las organizaciones era prohibitivo a empresas que pudiesen pagar el costo de mantener centros de datos. La computación era centralizada, por lo tanto, más fácil de gestionar, dado que todos los usuarios de este centro de datos tenían que seguir al pie de la letra las políticas y procedimientos establecidos para el uso de la Tecnología. Con el crecimiento del uso de las computadoras personales, el acercamiento de la Tecnología de la Información al usuario final y la capacidad de descentralizar el centro de datos a ubicaciones más convenientes, desde el punto de vista económico y de capacidad, entre otros factores, han llevado a un escenario más complejo de administración.
Paralelo al crecimiento de la industria de las Tecnologías de la Información, los frameworks, metodologías y normas han ido creciendo para estar a tono con los requerimientos de esta cambiante industria. No me atrevería a decir que funcionan a la par, pero sí los cambios en los frameworks asumen con relativa rapidez los cambios en la industria. Esta semana, revisando los lineamientos para la implementación y gobierno de Cloud computing, encontré alrededor de 6 documentos relacionados. Esos documentos tenían fechas del año 2012. En el pasado existieron casos extremos, como los estándares de la serie ISO 27000, sobre Seguridad de la Información, que pasaron varios años sin recibir cambios, pero a la fecha, tienen publicaciones de años recientes, que expanden temas relacionados con la Seguridad de la Información y a la vez resuelven problemas recientes. Entre estos nuevos estándares se pueden mencionar el ISO/IEC 27003:2010, que provee una guía para la implementación de Sistemas de Administración de la Seguridad de la Información y el ISO/IEC 27005:2011, que se refiere a la Administración de Riesgos de la Seguridad de la Información. Por supuesto, es importante identificar que el Framework de Control para las Tecnologías de la Información, tuvo también una actualización mayor en Abril de este año, con la nueva versión COBIT 5.
Con esta pequeña discusión podemos ver que las Tecnologías de la Información evolucionan y la empresa definitivamente adopta las nuevas tecnologías como un medio de mejora, casi natural, para mantener la competitividad de la organización. La Gestión de TI tiene guías de referencia para la óptima ejecución de todos sus procesos de gestión. Incluso para decidir la implementación o no de una Tecnología, en base a si los riesgos inherentes son mayores que los beneficios. Para hacer esto, la Gestión de TI debe de evolucionar a la par de las Tecnologías, asimilando los cambios en los marcos de referencia, en las normas y en las metodologías. No se debe permitir Gobernar las TI siguiendo los mismos lineamientos de hace 20 años, hay que evolucionar.
El Método de Gestión de las Tecnologías de la Información.
Muchas veces veo en las organizaciones al personal de Tecnologías de la Información realizando un tareismo infructuoso, que no deja valor para la organización, ni satisfacción para el profesional de TI que desempeña las tareas. Siempre existen cosas urgentes que hacer, tareas que eran para ayer y no se han concluido, próximos proyectos que se prevé no se terminarán a tiempo, muchas dudas en el significado de cada tarea para todo el conjunto de servicios de TI. También veo a Gerentes de TI que se aferran a la idea de que las cosas mejorarán cuando se realice un próximo proyecto de implementación de ITIL o COBIT o cualquier estándar similar, para lo cual se ha solicitado presupuesto y tiempo, desgraciadamente medido en meses y a veces hasta años. Es impresionante el ver como las soluciones de Gestión de TI se plantean como proyectos, cuando la Gestión de TI es un proceso continuo, sujeto a mejora continua, que debe de visualizarse como una práctica común en las operaciones diarias de TI. Me parecería que a la Gestión de TI le está pasando lo mismo que le pasaba a la Gestión de la Calidad en las décadas de los 60 a los 90. Después de la revolución industrial, cuando la producción en masa se hizo común, salieron muchas teorías sobre como administrar la producción. Una de ellas fue la del Control Estadístico de la Calidad. Bajo este enfoque, la Gestión de la Producción dedicaba esfuerzos a capturar datos estadísticos de los errores, o productos fabricados con desperfectos, para ponerse como meta crear procesos de producción que redujeran el porcentaje de error anterior. Este enfoque originaba en primer lugar, ciclos infructuosos de reducción en el porcentaje de errores, para luego volver a los valores iniciales y a veces hasta sobrepasarlos. En todo caso, sea un porcentaje mayor o menor de producción con errores, era producción perdida, trabajo perdido y recursos no recuperables. A partir de los años 90, la cultura japonesa nos heredo los círculos de calidad. Bajo esta filosofía, el mismo trabajador es responsable de decir porque no se trabaja con calidad y de definir las recomendaciones para evitar los problemas que originan el producir con errores. Comparto una frase que me impacto bastante: “Es mejor medir dos veces y cortar una”. Pequeño detalle. Pero una gran realidad de los ambientes de producción, en el que gran parte del desperdicio se debe a fallos en la tarea de medición.
Pues bien, mi opinión es que al igual que los procesos de calidad modernos, la Gestión de TI debe de practicarse desde el día uno. Identificando las causas que están originando que no se avance en el objetivo de tener una coordinación adecuada entre las Tecnologías de la Información y el negocio. Creando pequeñas tareas que tengan problemas únicos a resolver y no permitiendo que los errores se cometan dos veces. Revisando el resultado de las decisiones tomadas y estando listos a resolver el siguiente problema. Este método de gestión de las TI seguramente hará funcionar mejor el soporte que las Tecnologías de la Información proporcionan al negocio, de tal manera que en el mediano plazo se perciban los beneficios y se ordene la Gestión de TI.
Los Procesos de Gestión de TI y la Gestión del Personal.
Personalmente opino que el éxito de los Gerentes de TI radica en la selección adecuada y oportuna de los procesos de gestión de TI que debe de implementar. Aunque la realidad de nuestras empresas salvadoreñas y de la región centroamericana lleva muchas veces a asumir las Gerencias de TI con una gran cantidad de “puntos pendientes” que tienen que ser superados, la selección de procesos obliga a los Gerentes de TI a ganar la capacidad de superar la demanda de cosas urgentes que la organización le requiere, a través de la identificación de procesos que deben de ser creados o mejorados para resolver definitivamente los problemas de TI.
Si hablamos de comunes denominadores en la Gestión de TI en la empresa salvadoreña, uno es que no ha existido mayor organización a través de un enfoque de procesos en la praxis de la industria. Esto tiene que deberse a la forma en la que la Educación Universitaria ha llegado a los profesionales de TI. Los profesionales de TI aprenden a desarrollar software, a realizar análisis de sistemas, a administrar redes y una gran variedad de temas que rondan el área técnica de TI. El verdadero problema es que no importa cuantos sistemas e infraestructura tecnológica tenga una empresa, ni el nivel de inversión realizado, si no implementamos procesos de gestión de TI, la función de TI se desarrollará de una forma muy lenta, con ciclos que obliguen a rehacer cosas, con muestras claras de no ser eficientes ni eficaces. Esto nos plantea dos problemas: por un lado, la formación de profesionales de TI ha sido deficiente en cuanto a enseñar a gestionar la TI; por otro, los modelos de Gestión de TI evolucionan rápido, igual que la tecnología, obligando a una renovación constante de conocimientos por parte de los profesionales de TI que tienen bajo su responsabilidad gerenciar el soporte de las Tecnologías de la Información en una organización.
Similar a la discusión presentada sobre la aplicación de estándares, existen marcos de referencia (frameworks) que les proporcionan un horizonte de planeación a los Gerentes de TI. Si tomamos el ejemplo de COBIT, en su versión 5, proporciona un listado de 32 procesos de Gestión de TI, que pueden implementarse para realizar una gestión óptima de la función de TI. Si le hemos seguido la pista al desarrollo de COBIT, sabremos que en la versión 4.1 eran 34 procesos. La disminución se debe a que COBIT 5, en su versión 5, ya toma en cuenta el Gobierno de TI, que no es responsabilidad exclusiva de los Gerentes de TI, sino que obliga a la Alta Dirección a ser una parte activa de la función de TI, incorporando 5 procesos adicionales de Gobierno de TI. Pero si hablamos a nivel de Gerencia, existen 32 procesos de los cuales se tiene que priorizar su implementación con el fin de mejorar la gestión de TI de una manera programada. Los procesos están organizados a través de dominios, de alguna forma llevan un orden lógico de desarrollo a través de fases de planeación, implementación, ejecución y evaluación de la función de TI.
El verdadero arte de la implementación de los procesos de TI es el hacerlo en el 90% de los casos, con el personal existente. Debido a las limitaciones de conocimiento expresadas anteriormente, los profesionales de TI de todos los niveles, tienden a visualizar como difícil la implementación de procesos de trabajo más estructurados, que los obliguen a llevar controles que son comunes en otras áreas. Esto lleva a la excusa de que se necesita un responsable de los procesos de gestión de TI, cuando esta responsabilidad es del Gerente de TI, que tiene que modificar los manuales de puestos de todos los miembros del departamento de TI para acomodar las funciones a los procesos que se implementen. Esto puede llevar a temas de carga de trabajo y la percepción de que se están otorgando más funciones al personal. Sin embargo, cuando el departamento de TI no realiza su trabajo a satisfacción de la organización todo el personal puede tener consecuencias, por lo cual, un proceso de implementación de procesos de gestión de TI debe de promocionarse como la forma de trabajo más organizada y el camino a seguir para mejorar el ambiente laboral del personal de TI, haciéndolo más profesional, asimilando y poniendo en práctica conocimientos que han surgido en los últimos años sobre la Gestión de TI. La implementación de procesos es en definitiva una forma de crecimiento profesional para el personal de TI. Es importante conocer que en las organizaciones que han implementado frameworks como COBIT, el personal de TI pasa a tener un mejor desempeño, logrando una mejor imagen, menores niveles de stress laboral y hasta el logro de bonos.
La planificación de la Auditoría de Sistemas.
Un paso importante en el proceso de Auditoría de Sistemas es la definición de un Plan de Auditoría. Esta es una actividad que debería de hacerse a finales de año, a partir de la experiencia de las auditorías del año actual, a partir de los objetivos de la organización para el nuevo año y a partir de los proyectos planificados para el próximo año y ojalá, a partir de la situación de riesgos evaluados en el momento de realizar la planificación. En un universo de riesgos que siempre es más grande que las horas disponibles para realizar auditorías, siempre tienen que existir criterios para decidir que es lo que se audita y que no. El caso ideal, pero muy infrecuente de ver en nuestras empresas salvadoreñas, es cuando se ha realizado un ejercicio total de análisis de riesgo, el cual se actualiza con las revisiones de auditoría realizadas y de esta forma permite establecer a través de un sistema de calificación cuales áreas presentan más riesgos y entonces, no hay nada más que discutir, se audita lo que tiene mayores riesgos.
Otras empresas adoptan un patrón cíclico. Tienen el inventario de procesos desarrollados en la organización y a partir de este listado, se van eligiendo los temas que se revisarán. Es un enfoque que puede guiarse por el “olfato de riesgo” que tenga el auditor, que no siempre es acertado, pero en fin, es otra manera de actuar.
Si se quiere hacer crecer el nivel del control interno en las operaciones de TI, lo más conveniente es no sólo ver hacia adentro de la organización, sino también ver hacia afuera. La pregunta es ¿Qué establece un marco de referencia como COBIT que debe de realizar la gestión de TI?¿Cuales de estos procesos tendrían una importancia alta para la organización?¿Cuales serían los procesos que aportarían valor a la gestión de TI? A partir de estas respuestas, se puede desarrollar un plan que va a forzar a crecer a las organizaciones en su ambiente de control interno de TI, al considerar los riesgos documentados por los marcos de referencia en la organización, al considerar las prácticas de gestión recomendadas versus las practicas adoptadas o no ejecutadas por la función de TI. Sin duda alguna, este enfoque proporcionará un buen resultado de las auditorías de TI. Si se decide realizar este enfoque, es conveniente que el auditor coordine con la gestión de TI el enfoque de la auditoría. De esta manera se puede lograr un crecimiento simbiótico de la gestión de TI en la organización. No se trata de esconder el criterio de evaluación, se trata de que todos entiendan lo mismo al hablar de un proceso y que exista consenso en la necesidad para la organización. Es conveniente recordar aquí que existen muchos marcos de referencia que la Gestión de TI puede seguir. Incluso la elección del marco de referencia debe de ser guiado por el tipo y nivel de riesgos a mitigar y las necesidades de la organización. Por ejemplo, es inexplicable encontrar organizaciones que tienen que cumplir con marcos regulatorios y ni el responsable de TI implementa la regulación, ni el departamento de auditoría ha realizado una revisión del cumplimiento. Definitivamente, las decisiones tomadas al momento de hacer un Plan de Auditoría impactan en los niveles de cumplimiento de la organización. Siempre hay que pensar que aunque la situación de cumplimiento de normas y regulaciones en una organización no sea el óptimo hoy, esa condición tiene que mejorar en el futuro a partir del trabajo realizado, ya sea en la gestión o en la auditoría de TI.
Creo que dejaré esta entrada hasta aquí. Tengo que hacer un Plan de Auditoría.
COBIT 5: Un marco de referencia para el Gobierno Empresarial de TI
En Abril del 2012, la Asociación para la Auditoría y Control de los Sistemas de Información, ISACA, (www.isaca.com) lanzó la versión 5 de COBIT. El acrónimo COBIT significa Control Objectives for Information and Related Technology, esto es, Objetivos de Control para la Información y Tecnologías Relacionadas. Este marco de trabajo para el control de TI, ha representado en el mundo una referencia a seguir para la completa gestión de las Tecnologías de la Información. Ha sido retomado en algunos países para cubrir el riesgo tecnológico, en el contexto de la administración de riesgos financieros, mientras que en organizaciones de nivel global, se planifica la gestión de TI a partir de los procesos que define.
Para el Director de TI, a cargo de la planificación, implementación, operación y evaluación de la Infraestructura Tecnológica que soportará la obtención de los objetivos institucionales, COBIT ha proporcionado una guía a seguir para revisar la validez de su estrategia de gestión, para evaluar la correcta definición y ejecución óptima, así como para buscar la mejora continua, integrando el trabajo de TI a la dinámica empresarial, que siempre buscará una mejor forma de gestionar la Tecnología. Aunque ISACA es una asociación de Auditores de Sistemas, la filosofía del marco de referencia COBIT ha evolucionado a través del tiempo, pasando por varios enfoques. El enfoque inicial era en auditoría, lo cual era lógico por su origen. Posteriormente, el enfoque fue en la definición de controles. Esta etapa fue correlacionada con la creación de marcos de referencia como COSO para el control interno. En otro día nos dedicaremos a este tema. En la versión 4.1 de COBIT, el enfoque estaba orientado a la Gestión de TI considerando elementos de Gobierno de TI y finalmente, esta versión 5 ha sido enfocada en el Gobierno Empresarial de las Tecnologías de la Información. Prácticamente puede seguirse una historia evolutiva de la gestión de TI a partir de COBIT, que se expande desde finales de los años 60 hasta hoy.
Si reflexionamos sobre este intervalo de tiempo, es lógico para todos los que conocemos de las Tecnologías de la Información que se han dado grandes saltos en las innovaciones, tecnologías, arquitecturas, metodologías de diseño de sistemas y hasta en los procesos para integrar servicios de TI. COBIT no es lo único que ha cambiado, las Tecnologías de la Información han estado evolucionando. Igualmente, la Gestión de las Tecnologías de la Información ha evolucionado. COBIT 5 llega en un momento en el que se ha entendido con meridiana claridad, los mecanismos de gestión necesarios para ordenar no sólo la vastedad de tecnologías disponibles, sino también las diferentes normas, estándares y metodologías de gestión de TI existentes, para permitir una implementación exitosa en las organizaciones, siguiendo procesos bien definidos, auto gestionables e integradores del conocimiento existente sobre la gestión de TI. Por esto, el último enfoque de COBIT esta orientado al Gobierno Empresarial de las Tecnologías de la Información, para lograr unir las responsabilidades de TI, con las responsabilidades de la alta dirección, que tiene que gobernar todos los aspectos de la empresa, incluyendo las Tecnologías de la Información.
Gestión y Auditoría de TI 