miércoles, 8 de octubre de 2008

ISO/IEC 38500 y el Buen Gobierno de las T.I.

La noticia de hoy es que el Buen Gobierno de las TI ya tiene norma ISO. Desde el pasado mes de Junio y con el numero ISO/IEC 38500:2008 "Corporate governance of information technology" tenemos un nuevo estándar. Estos contenidos han sido también difundidos a través de Criptored y os podéis bajar un documento de Beatriz Martínez Cándano que comenta esta nueva norma a través de este enlace: ISO/IEC 38500 y el Buen Gobierno de las T.I.
ISO/IEC 38500:2008 fija los estándares de una buena gestión de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, utilizados de manera cotidiana por una organización, suelen estar gestionados tanto por especialistas en TI internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.
En esencia, todo ello se resume en tres propósitos:
‐ Asegurar el que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.
‐ Informar y orientar a los directores que controlan el uso de las TI en su organización.
‐ Proporcionar una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.


Esta norma alienta a utilizar una serie de mínimos o puntos clave para que la organización
pueda obtener sus objetivos de TI. Estos mínimos se traducen en 6 principios básicos:
1) El establecimiento de responsabilidades
2) Una buena planificación del apoyo a la mejora de la organización
3) La adquisición de bienes de TI adecuados
4) Calidad en el funcionamiento de los sistemas de TI
5) La garantía de conformidad legal o normativa
6) La implicación del y el respeto al factor humano


Esperemos que esta nueva norma no sirva solo para llenar muchos powerpoints en presentaciones donde se habla del sexo de los angeles y que luego no pasan a la práctica. Es cierto que en estos ultimos años el área TI se ve inmersa en diferentes marcos que están luchando por mejorar la madurez de la gestión de este área estratégicamente tan importante para las organizaciones. Además, aunque la definición de los procesos de gestión TI se ha afrontado desde diferentes angulos (COBIT, ISO 20000, ITIL, ISO 27001) parece que todo el mundo asume que es necesaria una función de Gobierno TI. Para identificar lo que queda por hacer, recomiendo leer el informe IT Governance Global Status Report—2008 donde las conclusiones que se extractan hacen ver que todavía esta el área TI lejos de ser un departamento sólido respecto a otras funciones estructurales de toda organización. El estudio es una continuación a las encuestas del 2003 y el 2005 y da seguimientos a las tendencias en TI en los cuatro últimos años. Muchos avances importantes en el ámbito empresarial relacionados con las TI son identificados en el reporte, incluyendo:
* 93% de los encuestados dijeron que las TI son de algo a muy importantes dentro de la estrategia corporativa – un incrementos del 6% respecto al 2005.
* Las TI están siempre presentes en la agenda del consejo directivo, de acuerdo a la opinión del 32% de los encuestados – en comparación con el 25% en el 2005.
* 18% de los encuestados dijeron que el departamento de TI siempre informa a la empresa acerca de oportunidades potenciales de negocio – sólo el 14% reportó lo mismo en el 2005.
* La conciencia del marco de trabajo Control de Objetivos de Información y Tecnología Relacionada (CobiT) para el gobierno de las TI sobrepasó el 50%, casi duplicándose desde el 2005.
* El uso de CobiT se duplicó (del 8 % en 2005 al 16%).

Las áreas para mejora incluyen alineación – 36% de los encuestados reportaron que la alineación entre la estrategia de TI y la corporativa es promedio, mala o muy mala.

Lynn Lawton, CISA, FCA, FIIA, PIIA, FBCS CITP, presidente internacional de ITGI resume básicamente los resultados en dos frases: “El punto es que muchas organizaciones alrededor del mundo están sacrificando dinero, productividad y ventaja competitiva innecesariamente al no implementar un gobierno de TI efectivo” y “Las empresas con un buen gobierno han demostrado que proporcionan un mejor retorno a los inversionistas y lo mismo sucede con el gobierno de TI. Los ejecutivos necesitan dirigir sus TI para obtener ventajas óptimas, manejar los riesgos relacionados con las TI y medir el valor proporcionado por ellas”.



Como se suele decir, las cosas se enseñan desde el ejemplo y por tanto, sólo deberían de hablar del Buen Gobierno aquellos que ya lo tienen puesto en práctica y nos cuentan sus ventajas desde la experiencia. Os remito a las reflexiones en voz alta que deja José Rosell en Security At Work. Al menos en esta norma si que se considera un principio esencial el cumplimiento legal de la legislación que pudiera afectar a las TI.
 
;