¿Ha oído de ITIL, COBIT, COSO, ISO27000 y demás juegos de caracteres? Todos son elementos que encajan en un marco de referencia que se está tratando de implementar para lograr que este gobierno de tecnología informática cumpla su propósito.
El gobierno de la tecnología informática no es más que una continuación del gobierno corporativo, pero enfocado en la tecnología informática, su desempeño, y el manejo del riesgo que el no tenerla puede ocasionar.
Desde múltiples hechos económicos, en especial casos de defraudación en información financiera y contable de empresas muy grandes, que generaron perdidas enormes en sus accionistas, se ha hecho conciencia que la tecnología informática en las empresas no puede seguir siendo una caja negra. El gobierno de tecnología informática entonces implica la implementación de un sistema de administración en donde todos los «jugadores» de la empresa, incluyendo la Junta Directiva, participan en el proceso de decisión sobre el uso y aplicación de la tecnología informática y comunicaciones (TIC).
El simple hecho de cuestionarse la administración de las TIC, pareciera acusar que hasta entonces no se tiene una administración apropiada. Sin embargo es imperante hacer claridad que la administración de las TIC en su aspecto técnico y de aplicación es apropiada, y lo que falta es la responsabilidad de la alta gerencia sobre los resultados de la aplicación de estas tecnologías. Ya los gerentes no pueden decir que los procesos informáticos transcurren a sus espaldas, sino que deben ser parte de ellos.
Los marcos de referencia para la administración de las TIC han existido siempre, sin embargo la ausencia de ellos en la práctica en las empresas ahora tienen mayores repercusiones en cuanto al nivel de riesgo que se maneja al no tener disponibilidad de las mismas, o mediante una generación de información no confiable.
A partir de legislación en Estados Unidos gestada principalmente por hechos fraudulentos en la información financiera de las empresas, se han generado una serie de lineamientos y directrices sobre las cuales se han construido algunos modelos de mejores prácticas en la administración de la información.
COBIT, (Control Objectives for information and related technology, o los Objetivos de Control para la Informática y sus tecnologías relacionadas) es un conjunto de buenas prácticas o un marco de referencia creado por el Information Systems audit. And Control Association (ISACA) y el ITGovernance Institute (ITGI) en 1992, que entrega una serie de medidas, indicadores, procesos y mejores prácticas comúnmente aceptadas, que le permiten a los administradores, auditores y usuarios de TI, maximizar el beneficio derivado del uso de las TIC y el desarrollo apropiado del gobierno de TIC. Posteriormente han anunciado ValIT para Obtener valor de las TIC, y RiskIT para evaluar y mitigar riesgo. Está anunciado recoger todo esto, y otras cosas más en la version 5 de CobiT.
Este marco de referencia define claramente siete características que deben estar presentes en el manejo de la información:
- Efectividad
- Eficiencia
- Confidencialidad
- Integridad
- Disponibilidad
- Adhesión a la norma (Compliance)
- Confiabilidad
Y genera el ciclo de calidad (planear, hacer, verificar, y actuar) sobre los recursos de tecnología incluyendo las aplicaciones, la información, la infraestructura y las personas.
Se ha dividido en seis grandes grupos los procesos a generar dentro del área de tecnología informática, encima de las operaciones mismas, para ser controladas por este ciclo de calidad. Y es ahí donde empieza a jugar la «sopa de letras» de los diferentes estándares propuestos para administrar cada uno de ellos.
- Administración del servicio: ITIL, Information Technology Library Infrastructure.
- Desarrollo de Software/Aplicaciones: CMMI, Capability Maturity Model for Integration.
- Administración de Proyectos: PPBok (Libro de conocimiento de administración de proyectos) y PRINCE2.
- Seguridad TI: ISO 27000 (Antes ISO 17799/ BS 7799).
- Planeación de Tecnología: AS8015 aporta algunos elementos.
- Sistema de Calidad: ISO 9000 / Six Sigma.
Se ve claramente un conjunto de caracteres y estándares, y la pregunta de fondo es ¿y qué se debe hacer con todo esto? Consideramos que estos marcos de referencia en su mayoría, como CobiT e ITIL siguen en franco desarrollo, y que sería bueno esperar por lo menos seis meses para identificar posibles inconvenientes en aplicaciones ya en curso, para tener algo de la curva de aprendizaje recorrida. De la misma manera, es necesario empezar un estudio de estos estándares para identificar oportunidades puntuales de implementación, en especial en el área de la administración del servicio de la tecnología informática, a través de los dos procesos centrales que ofrece ITIL.