Archivo del sitio
COBIT 2019: Midiendo el desempeño del Gobierno de TI
Estamos en agosto de 2019. Hace siete años escribía en este mismo blog sobre el lanzamiento de COBIT 5. Pues bien, el tiempo pasa y la siguiente evolución de este marco de gobierno ya se ha dado. De hecho, fue lanzado en noviembre de 2018, pero recibió el nombre de COBIT 2019. Escribo hasta ahora al respecto, porque creo que si tengo resistencia al cambio en el tema de los marcos de gobierno y normas de gestión de TI en general. Igual me pasó hace siete años, yo la pasaba muy bien con COBIT 4 y no le veía por qué tener una nueva versión. En siete años he tenido la oportunidad de ir asimilando, en las diferentes experiencias de trabajo que he afrontado, la razón por la que este marco de referencia tenía que evolucionar. Como siempre hablando desde la experiencia profesional en El Salvador, no tuve la oportunidad de ver una sola implementación de COBIT 5 en el área. ¡En siete años! Puede ser sorprendente, sin embargo, así es nuestro medio, va evolucionando poco a poco, tanto así que un ciclo de 7 años parece no afectar en el cambio de prácticas de gestión de TI. Sí debo decir que los que ya tenían COBIT 4 siguieron con su implementación y las diferencias no les obligaron a cambiar. Nuevamente, la resistencia al cambio se manifiesta.
Pero profundizando un poco en el porqué de una nueva versión, debo admitir que ha esta versión si le veo mucho sentido y espero que los Gerentes de TI y los responsables de la adopción de Tecnologías de la Información en las empresas también lo entiendan. Me parece que el principal cambio en esta versión radica en hacer énfasis en el desempeño. No es que desde antes no existiera, pero es importante recalcarlo porque muchos Gerentes de TI al momento de pensar en sus procesos de gestión de TI se olvidan de que el diseño es una fase, mientras que la ejecución es el día a día, constituyéndose en la forma de entregar valor a la organización. COBIT 2019 introduce el término COBIT Performance Management (CPM) y es importante porque el desempeño es importante para el logro de objetivos, en primera instancia, y para la mejora continua, en el mediano y largo plazo. El Gobierno y la Gestión de TI no terminan cuando el proyecto de implementación de COBIT termina, ahí recién comienza. Cumplir con métricas mes a mes es importante para garantizar que los procedimientos funcionan, que el alineamiento de TI con el negocio permanece funcionando de la manera adecuada. Aún desde COBIT 4, las mejores implementaciones que he visto han incluido un Cuadro de Mando que permite, de un vistazo, conocer el estado de la Gestión de las Tecnologías de la Información. CPM está soportado por un conjunto de principios muy consistentes con las mejores prácticas observadas a través de los años. Incluso, haciendo énfasis en la autoevaluación, además de la evaluación formal, aspecto que es representativo de un sistema de control interno maduro, muy desarrollado.
En conclusión, sí ha cambiado el contexto en el cual usamos las Tecnologías de la Información en siete años, por lo que tiene sentido que se actualice el marco de gobierno para considerar una mejora en sus características. Por un lado, TI nos puede proporcionar más beneficios, pero hay que gestionarla de manera eficiente, midiendo el desempeño. Pero por otro, las Tecnologías de la Información nos han llevado a escenarios de implementación más complejos, que a la par de las ventajas traen diferentes amenazas que tienen que ser controladas, también con un nivel de desempeño óptimo. Por lo que es importante que los interesados en mejorar el desempeño de la inversión que su empresa ha realizado en las Tecnologías de la Información recurran a COBIT 2019 para buscar la mejor manera de asegurar los beneficios del uso de las Tecnologías de la Información gestionando eficientemente los riesgos y la complejidad.
COBIT 5 en El Salvador
Estamos en Octubre del 2013. Hace aproximadamente un año, en Noviembre del 2012, escribí el blog “Las certificaciones de COBIT 5 están en pleno desarrollo”, en el comenté sobre los anuncios que ISACA estaba realizando sobre la nueva versión de su Marco de Gestión de las Tecnologías de la Información. Pues bien, casi un año después, COBIT 5, ha sido totalmente lanzada y su partes más importantes están ya disponibles para los que quieran iniciar su conocimiento y puesta en práctica. Como anticipé en el 2012, no existe una gran cantidad de implementaciones durante el año 2013, pero las organizaciones que se preparan para el 2014 ya están pensando en su adopción e iniciando su aprendizaje. Cuando el blog que mencioné cumpla un año, el 5 de Noviembre de 2013, estaremos a un día de inaugurar el primer curso de Fundamentos de COBIT 5 en El Salvador, iniciando un ciclo de aprendizaje sobre la metodología COBIT 5 en este país.
En esta versión, más aún que una metodología, COBIT 5 se define como un marco de negocio para el gobierno y la gestión de la empresa. Este es un término muy amplio, que envuelve todo el quehacer de una organización. Pero si lo pensamos, la Tecnología de la Información ya es así, amplia y envuelve todo el quehacer de una organización. La misma evolución de la Tecnología de la Información es la que ha originado un Marco de Trabajo que ayuda a coordinar entre los objetivos de la organización y los objetivos del uso de la Tecnología, mientras se crean más servicios y se adopta más tecnología en las empresas. Este ha sido el patrón normal de crecimiento del uso de la Tecnología y nada indica que pueda cambiar en los próximos años. Los negocios que saquen mayor provecho de los avances tecnológicos y los adopten de manera eficiente, tendrán una verdadera ventaja competitiva en el mercado. COBIT 5 invita a las empresas no solo a invertir, pero también a mantener gobierno sobre las inversiones, asegurando los beneficios y mitigando los riesgos del uso de las Tecnologías de la Información. Los que trabajamos en el área centroamericana, podemos hacer un uso bastante productivo de este enfoque, tomando ventaja de una metodología de Gobierno de la Tecnología de la Información que algunas legislaciones en el área apenas empiezan a vislumbrar como necesarias para garantizar que los entes regulados no defrauden la confianza que los ciudadanos ponen en ellos. Esto es especialmente cierto en el área financiera, pero es de igual valor a empresas que han invertido en Tecnologías de la Información y necesitan entender como esa inversión les está aportando valor. Esto implica que no sólo los Gerentes de TI se benefician de la existencia de COBIT 5, sino que también quienes dirigen las empresas y toman las decisiones de inversión, esto es Gerentes Generales, Presidentes, Directores, miembros de junta directiva, entre otros.
COBIT 5 incluye varios componentes, de acuerdo a los diferentes roles que una organización necesita para mantener gobierno de las tecnologías de la información: los inversionistas, la gerencia general, los responsables de la gestión de TI, los responsables de la seguridad de información, auditores de sistemas, responsables de la gestión de riesgos, entre otros. Actualmente se puede ver como un cuerpo de conocimientos abierto, que puede añadir en el futuro más componentes para audiencias más especializadas. Por supuesto, también existe documentación para el proceso de implementación y para la evaluación. Es un cuerpo de conocimiento que requiere de aprendizaje para los que necesitan gobernar las tecnologías de la información. Hasta que se entiende todo su contexto, pueden las empresas iniciar planes de implementación de COBIT 5 que van de acuerdo con sus necesidades y que les permiten hacer un uso eficiente y efectivo de las Tecnologías de la Información.
La Evolución de los Frameworks de Gestión de TI.
Hoy en día existen una gran cantidad de Frameworks, metodologías y normas a seguir en la Gestión de TI. Los Gerentes de TI no están solos en la decisión de qué implementar en cada área de las operaciones de TI, desde la planificación, pasando por la organización y ejecución, hasta el monitoreo. En algunos países a los Gerentes de TI los asisten las regulaciones, que obligan a las empresas a cumplir con requisitos de gestión específicos, como la Ley Sarbanes – Oxley (el famoso SOX) para las empresas que cotizan en bolsa en Estados Unidos, o las normativas de Riesgo Tecnológico para las empresas financieras en casi todos los países.
Hace 20 años el uso de computadoras en las organizaciones era prohibitivo a empresas que pudiesen pagar el costo de mantener centros de datos. La computación era centralizada, por lo tanto, más fácil de gestionar, dado que todos los usuarios de este centro de datos tenían que seguir al pie de la letra las políticas y procedimientos establecidos para el uso de la Tecnología. Con el crecimiento del uso de las computadoras personales, el acercamiento de la Tecnología de la Información al usuario final y la capacidad de descentralizar el centro de datos a ubicaciones más convenientes, desde el punto de vista económico y de capacidad, entre otros factores, han llevado a un escenario más complejo de administración.
Paralelo al crecimiento de la industria de las Tecnologías de la Información, los frameworks, metodologías y normas han ido creciendo para estar a tono con los requerimientos de esta cambiante industria. No me atrevería a decir que funcionan a la par, pero sí los cambios en los frameworks asumen con relativa rapidez los cambios en la industria. Esta semana, revisando los lineamientos para la implementación y gobierno de Cloud computing, encontré alrededor de 6 documentos relacionados. Esos documentos tenían fechas del año 2012. En el pasado existieron casos extremos, como los estándares de la serie ISO 27000, sobre Seguridad de la Información, que pasaron varios años sin recibir cambios, pero a la fecha, tienen publicaciones de años recientes, que expanden temas relacionados con la Seguridad de la Información y a la vez resuelven problemas recientes. Entre estos nuevos estándares se pueden mencionar el ISO/IEC 27003:2010, que provee una guía para la implementación de Sistemas de Administración de la Seguridad de la Información y el ISO/IEC 27005:2011, que se refiere a la Administración de Riesgos de la Seguridad de la Información. Por supuesto, es importante identificar que el Framework de Control para las Tecnologías de la Información, tuvo también una actualización mayor en Abril de este año, con la nueva versión COBIT 5.
Con esta pequeña discusión podemos ver que las Tecnologías de la Información evolucionan y la empresa definitivamente adopta las nuevas tecnologías como un medio de mejora, casi natural, para mantener la competitividad de la organización. La Gestión de TI tiene guías de referencia para la óptima ejecución de todos sus procesos de gestión. Incluso para decidir la implementación o no de una Tecnología, en base a si los riesgos inherentes son mayores que los beneficios. Para hacer esto, la Gestión de TI debe de evolucionar a la par de las Tecnologías, asimilando los cambios en los marcos de referencia, en las normas y en las metodologías. No se debe permitir Gobernar las TI siguiendo los mismos lineamientos de hace 20 años, hay que evolucionar.
Gestión y Auditoría de TI 