Archivo del sitio

La Evolución de los Frameworks de Gestión de TI.

Hoy en día existen una gran cantidad de Frameworks, metodologías y normas a seguir en la Gestión de TI. Los Gerentes de TI no están solos en la decisión de qué implementar en cada área de las operaciones de TI, desde la planificación, pasando por la organización y ejecución, hasta el monitoreo. En algunos países a los Gerentes de TI los asisten las regulaciones, que obligan a las empresas a cumplir con requisitos de gestión específicos, como la Ley Sarbanes – Oxley (el famoso SOX) para las empresas que cotizan en bolsa en Estados Unidos, o las normativas de Riesgo Tecnológico para las empresas financieras en casi todos los países.

Hace 20 años el uso de computadoras en las organizaciones era prohibitivo a empresas que pudiesen pagar el costo de mantener centros de datos. La computación era centralizada, por lo tanto, más fácil de gestionar, dado que todos los usuarios de este centro de datos tenían que seguir al pie de la letra las políticas y procedimientos establecidos para el uso de la Tecnología. Con el crecimiento del uso de las computadoras personales, el acercamiento de la Tecnología de la Información al usuario final y la capacidad de descentralizar el centro de datos a ubicaciones más convenientes, desde el punto de vista económico y de capacidad, entre otros factores, han llevado a un escenario más complejo de administración.

Paralelo al crecimiento de la industria de las Tecnologías de la Información, los frameworks, metodologías y normas han ido creciendo para estar a tono con los requerimientos de esta cambiante industria. No me atrevería a decir que funcionan a la par, pero sí los cambios en los frameworks asumen con relativa rapidez los cambios en la industria. Esta semana, revisando los lineamientos para la implementación y gobierno de Cloud computing, encontré alrededor de 6 documentos relacionados. Esos documentos tenían fechas del año 2012. En el pasado existieron casos extremos, como los estándares de la serie ISO 27000, sobre Seguridad de la Información, que pasaron varios años sin recibir cambios, pero a la fecha, tienen publicaciones de años recientes, que expanden temas relacionados con la Seguridad de la Información y a la vez resuelven problemas recientes. Entre estos nuevos estándares se pueden mencionar el ISO/IEC 27003:2010, que provee una guía para la implementación de Sistemas de Administración de la Seguridad de la Información y el ISO/IEC 27005:2011, que se refiere a la Administración de Riesgos de la Seguridad de la Información. Por supuesto, es importante identificar que el Framework de Control para las Tecnologías de la Información, tuvo también una actualización mayor en Abril de este año, con la nueva versión COBIT 5.

Con esta pequeña discusión podemos ver que las Tecnologías de la Información evolucionan y la empresa definitivamente adopta las nuevas tecnologías como un medio de mejora, casi natural, para mantener la competitividad de la organización. La Gestión de TI tiene guías de referencia para la óptima ejecución de todos sus procesos de gestión. Incluso para decidir la implementación o no de una Tecnología, en base a si los riesgos inherentes son mayores que los beneficios. Para hacer esto, la Gestión de TI debe de evolucionar a la par de las Tecnologías, asimilando los cambios en los marcos de referencia, en las normas y en las metodologías. No se debe permitir Gobernar las TI siguiendo los mismos lineamientos de hace 20 años, hay que evolucionar.

Aplicación de Estándares de TI

Es común, más de lo que la gente quiere admitir, que profesionales de TI tengan problemas a la hora de buscar una ruta práctica para implementar estándares. Una raíz de este problema se basa en la incomprensión completa del término, confusión con otros términos como políticas y procedimientos y la decisión o el conocimiento de qué poner en cada tipo de documento. En esta ocasión nos enfocaremos en los estándares. Para poner un punto de referencia válido de comparación, se anexa el significado de la palabra “estándar”, de acuerdo a la Real Academia Española. Mi experiencia como Ingeniero Industrial, me dejo saber hace mucho tiempo que los estándares en buen español son “normas” que se deben cumplir en orden a seguir un acuerdo común logrado sobre una forma de resolver un problema a través del trabajo de organizaciones que se dedican a la identificación, construcción, discusión y divulgación de estos acuerdos o normas. Esta es una labor importante para todas las áreas del conocimiento, no solo para las tecnologías de la información. Los estándares son los que permiten que al construir o hacer productos, estos tengan una referencia común que permita garantizar que tienen las características requeridas y que podrán operar con otros productos. Por ejemplo, la gasolina tiene que cumplir con un estándar de producción para garantizar que puede operar con cualquier marca de vehículo. Este es un ejemplo de interoperabilidad, que permite visualizar fácilmente la importancia de un estándar y como funciona, dado que sin importar quién fabricó la gasolina, el seguimiento del estándar de fabricación y de las características del producto final, las gasolinas de diferentes productores cumplen su función con un nivel de variabilidad muy pequeño. Esto es, hay un margen de tolerancia, aún en la industria, para la aplicación de estándares.

Definición de la palabra Estandar, de la Real Academia de la Lengua Española

Definición de “estandar”. Fuente: Sitio web de la Real Academia de la Lengua Española.

Cuando se aplican estándares a servicios o productos intangibles, como el software, el tono ha sido el buscar la unificación de diferentes teorías de conocimiento, a efectos de cerrar una discusión que sería muy extensa, dado que cada fabricante puede proporcionar su versión de “la mejor práctica a seguir”, haciendo imposible para los tomadores de decisiones tener una garantía mínima de que en la organización se está siguiendo una práctica adecuada. Los estándares en el área de las Tecnologías de la Información proporcionan los requisitos mínimos que se deben de cumplir para garantizar que se realiza una determinada función o se presta un servicio con una variabilidad muy pequeña respecto de las mejores prácticas. Esto garantiza a la Alta Dirección, que la función de TI se desempeña de una manera aceptable, conforme al conocimiento actual.

Existen estándares para todas las áreas de las Tecnologías de la Información, tanto en hardware, como en software, como en los procesos de gestión. En nuestro medio, deberíamos de estar conscientes de los estándares relacionados con la gestión de TI, para que al momento de resolver un problema, la solución siga un patrón común, que consiste en aprender qué dice el estándar que hay que considerar, evaluar su adopción completa o parcial, de acuerdo a las condiciones específicas de la organización, su tamaño, objetivos, apetito de riesgo, etc. Definir los elementos del estándar que se implementarán y proceder a su aplicación. Esto último es necesario porque en los temas de gestión de TI no todas las organizaciones necesitan aplicar un estándar completo para resolver un problema. Hay que entender que la definición de un estándar de TI, visto desde un entorno nacional, y a veces mundial, debe de considerar elementos que son necesarios en grandes corporaciones. La práctica sana es acotar el estándar aplicado en una organización para enfocar los esfuerzos en esas partes del estándar que garantizan la obtención de los beneficios esperados. Esto permite resolver el problema con el mínimo de esfuerzo y dejar un camino establecido para la mejora continua, a partir de la implementación de más partes del estándar.

Como conclusión, un Gerente de TI debería de acostumbrarse a decir ante la Alta Dirección cosas como “Se ha realizado un Plan de Seguridad, basado en la norma ISO/IEC 27001”. Este tipo de declaraciones le proporciona mayor validez a su trabajo y seguramente mejores resultados.

A %d blogueros les gusta esto: