Detection of Strategies in IT Organizations through an Integrated IT Compliance Model

Information Systems is a field in continuous evolution and transformation. The development of infrastructure and processing capacities, with constant adjustments in applications and standards, makes possible an endless change that allows ambitious business objectives. In the last few years, many frameworks and standards have emerged. These aim to give schemes or best practices on how IT governance, IT management and IT operation are carried out. As figure I shows, these frameworks are focused on covering different IT features such as IT Governance [ITGI, 2007], IT Services Management, [Tailor and Nieves, 2007] Software Development [CMMI, 2006]; or more specific and detailed features (tactical level) such as security management, continuity management and capacity management.

The present research work can be expressed as follows: if different standards, methods, regulations and best practices are the result of many years of work done by experts in the IT field, these should be employed as a primary resource to determine the needs in our IT organization. This research concentrates on the use of IT compliance in the IT planning process because governance, risk and corporate management are interdependent [Bhimani, 2009] and together can lead the strategy. The proposed model is called MOPLACO (MOdel of IT Strategic and Tactical PLAnning based on COmpliance with IT Standards). The IT compliance is a new tendency dedicated to knowing the state of the organization in relation to the different IT standards, policies and regulations. At the beginning, this concept was closely related to complying with the laws and regulations within the intricate business world. However, the authors prefer to conceive IT compliance as something wider that can formulate the compliance of every type of IT external regulations and standards as internal policies and procedures. Some important norms MOPLACO recommends as basic are the service management standard ISO/IEC 20000, business continuity management standard BS25999, information security standard ISO/IEC 27001 or the IT governance standard ISO/IEC 38500.

Figure I: Example of partial coverage of IT areas from different standards.

Nowadays, regulations are gaining a lot of attention, mainly in banking, telecommunications or insurance [Grubb and Burke, 2008]. An organization is conditioned by different types of legislative or commercial regulations, or its own policies [Tarantino, 2006]. Compliance with these regulations is important to the organization because it reduces risk and avoids penalties from government agencies, improving corporate governance [Ingley and van der Walt, 2008][Rasmussen, 2008]. In recent years, due to their importance, governance, risk management and compliance, or GRC, have became very popular in organizations [Tarantino, 2008].

1. Governance: governance is a task for directors of organizations. It formulates policies and procedures that guide an organization to work according to their goals.
2. Risk management: risk management determines the level of tolerance by taking into account possible threats. It identifies the threats and establishes priorities.
3. Compliance: this area ascertains the compliance in relation to legislative or commercial regulations or the organization’s policies.

More specific to MOPLACO’s objectives, IT compliance presents information about how our IT organization is positioned in relation to different standards and regulations from the System Information area [Vu Broady and Roland, 2008]. The information IT Compliance provides is very significant for the organization to comply with IT regulations and to formulate its strategic plan. Within GRC, we have IT GRC that involves a multi-integrated IT Governance, risk and compliance management [Microsoft, 2008], in short, IT GRC is related to these three areas listed in the IT Policy Compliance Group [IT Policy Compliance Group, 2008]:

1. Create business value through an IT strategy, investment and alignment.
2. Decrease business and financial threats significantly by making use of IT.
3. Agreement between an organization’s policies, extreme legislation and obligation to comply with regulations.

All this information determines what the strategic needs of the IT departments are. Therefore, the IT organizations that want to improve their management and IT governance have a best model provided by IT standards to check recommendations and proposals. As a result of this, a collection of tools has emerged in the last few years in order to obtain an improvement such as assessment or evaluations with an associated maturity model. Several of these tools can be obtained freely, some are purchased and others obtained through many consultant organizations. The assessment is a set of questions like a questionnaire, which the organizations completes and it allows collecting information about how governance and IT management are carried out in an organization. The maturity model offers a scale of how the organization is positioned in relation to a specific model. These maturity levels range from level “0” non-existent to level “5”, optimum, following the CMMI standard [CMMI, 2006] that that classifies them according to details of area or maturity proposals per process or per type of requirement similar to the CobiT process [ITGI, 2007] or ITIL [Taylor and Nieves, 2007] evaluations study by processes and activities [Mihyar and Okan, 2001].

Once we have the information from the assessment, the organization’s maturity level can be established in relation to a best practices framework, and it is essential to determine the needs of the IT organization [Emmerich et al., 1999]. It also allows guidance principles to improve maturity. These can be applied to every planning process, either tactical or strategic. Additionally, a special IT attribute includes the consideration of strategies based on comparing high number of models (near 70 according to figure III), a feature that cannot be seen in other areas of the company (Sales, Human Resources, etc) that have fewer norms and standards. One thing that is certain about standards is the decrease of innovation because makes a company stay at the same level as its competitor. However, it is also true that the different organizations’ customization and prioritization of specific processes in relation to others and the constant evolution of standards prevent that homogenization.

In processing the assessment individually and not integrally as MOPLACO or other authors proposed [Deloitte, 2007] [Tapscott, 2006], some problems were found as:

1. Do not cover all the expected space that the IT evaluation process in an organization should cover. Some are very conditioned to the initial approach and objectives. Considering every type of standard as a silo takes inefficient work.
2. Some of them are more focused at the management and analysis levels than IT governance. Strategic decisions have more support from IT governance evaluation than IT management evaluation.
3. Do not have a framework to detect improvement opportunities, which means they maintain process marks that do not give accurate information about improvements that may be considered in future.
4. Do not perform a well-balanced study about the information needs in the organization, and the information presented is not properly organized.

This research provides a solution to these problems through the formulation of a Compliance Model supported by various standards and self-assessments, with a clearly defined structure and it balances the different standards. In consequence, it is a practical tool to detect improvements in any IT organization.

Marco de Medición del Buen Gobierno de las TI con la Calidad del Software

El Gobierno TI es un concepto relativamente nuevo, que empieza a tomar fuerza a partir de los años 90 cuando Loh, Venkatraman y Hendersen usaron el término por primera vez en 1993. A partir de entonces han surgido numerosas definiciones y enfoques entre ellos la definición de Marten Simonsson et al. [Simonsson & Pontus 2007] a la que consideramos más adecuada: El Gobierno TI es un marco de trabajo que proporciona una serie de procesos para la adecuada gestión de las TI en una organización con lo que se brinda un adecuado soporte a los procesos de negocio en dicha organización. Además el Gobierno TI cuenta con el marco de trabajo COBIT que proporciona un conjunto de prácticas para el buen Gobierno TI. Este marco ha sido ampliamente aceptado por las organizaciones [De Haes & Van Grembergen 2005], debido a la estructura e información que nos ofrece.

Por otro lado recordamos que recientemente se publicó la norma para el Gobierno TI: ISO/IEC 38500. Está norma nos ofrece un marco de principios para el buen gobierno corporativo de las TI: responsabilidad, estrategia, adquisición, rendimiento, conformidad, y comportamiento humano. Dichos principios promueven la eficiencia, efectividad, y la aceptación del uso de las TI en las organizaciones [ISO 38500 2007]. Con esto se pretende normalizar el Gobierno TI para impulsar esta disciplina.

Ahora dentro del Gobierno TI, se considera que es necesario el contar con información cuantitativa y estandarizada que brinde soporte a los objetivos de Gobierno TI, a los objetivos organizacionales y a la toma de decisiones. En tal sentido la medición constituye un factor importante dentro del Gobierno TI para una efectiva toma de decisiones [Dekkers, Nicho, Hefner], pero en este tema nos encontramos que el nivel de medición software implementado para el Gobierno TI no está correctamente alineado con los modelos de mejora del proceso software. Esto ocasiona que los esfuerzos para dirigir el desarrollo del software estén fuertemente desvinculados con los objetivos de TI. Por lo que se propone una correspondencia entre COBIT y CMMI basada en el plan de calidad de TSP y en el estándar de medición ISO/IEC 15939 para crear un marco de medición adecuado para el Gobierno TI.

En este trabajo CMMI y TSP cumplen un papel primordial ya que el CMMI nos va a proporcionar los niveles de madurez y el TSP nos aporta la guía de calidad. EL CMMI es un modelo de madurez, distribuido en áreas de procesos que pretenden la mejora de los procesos de las organizaciones y por otro lado tenemos al TSP que nos permite establecer equipos de trabajo y desarrollar proyectos basados en equipos, estableciendo procesos y criterios bien definidos. Estos dos marcos de trabajo son complementarios como lo demuestra el estudio desarrollado por J. McHale y D. Wall [McHale & Wall S 2006], donde se establece la correspondencia entre TSP y CMMI. Debo mencionar que desde que salió a la luz el mencionado estudio se ha convertido en un documento de gran ayuda para las implementaciones de CMMI basadas en TSP, ya que ha quedado demostrado que el tiempo empleado en un proyecto de CMMI se reduce al utilizar TSP [Wall, Serrano], esto es beneficioso para la organización no solo porque le permite ahorrar costos al desarrollar el proyecto en menos tiempo sino también porque el marco de trabajo proporcionado por TSP permite tener un mayor control y realizar un mejor seguimiento a las áreas de proceso.

Un ejemplo de lo beneficioso que puede ser el uso TSP en los proyectos de CMMI queda demostrado en el trabajo desarrollado por Daniel S. Wall et al. [Wall et al. 2007], que es un caso de estudio sobre una evolución de CMMI del nivel 1 al nivel 4 utilizando TSP, esto se logró en 30 meses que es un tiempo muy corto si se tiene en cuenta que el promedio de tiempo empleado en pasar de un nivel a otro es mayor a 19 meses. Adicionalmente se ha comprobado que después de un tiempo de utilizar TSP en la organización se encontraron muchas mejoras entre las cuales se muestra la siguiente información con datos anteriores y posteriores a la implementación de TSP: Defectos por KSLOC de 4.6 a 1; Prueba de defectos de 128 a 12; Productividad SLOC/Hora de 2.7 a 4.9; líneas de código de 27880 a 36690. Como se aprecia en las cifras encontramos una notable mejora en la calidad del software y en la productividad. Otro ejemplo podría ser el trabajo desarrollado por Miguel A. Serrano et al. [Serrano et al. 2003], que demuestra lo beneficioso que puede resultar la utilización de TSP, en una iniciativa de SPI. Ya que TSP permite una fácil implementación de CMMI, lo que disminuye el tiempo de duración del proyecto.

Sin embargo hemos encontrado algunos vacíos en TSP y en CMMI [McHale & Wall 2005]. Entre ellos hablamos de una carencia de información que tiene el plan de calidad de TSP y la falta de información cuantitativa dirigida a las áreas de proceso de CMMI que permita a los responsables de las mismas tomar medidas a tiempo frente a determinadas situaciones.

Por otro lado este contexto no quedaría completo sino contásemos con una estructura de gestión adecuada. Esta estructura la proporciona el Gobierno TI y el marco de trabajo COBIT. Lamentablemente el Gobierno TI carece de información cuantitativa aunque el marco de trabajo COBIT nos proporciona una serie de criterios de medición, pero según Mathew Nicho et al. [Nicho & Cusack 2007], no nos brinda un nivel de medición lo suficientemente detallado, para el buen Gobierno TI. Por consiguiente consideramos que el nivel de medición software implementado hasta ahora para el Gobierno TI no está correctamente alineado con los modelos de mejora del proceso software lo que origina falta de información de calidad y una mala conducción de la gestión de los esfuerzos.

Nuestra propuesta es que sería adecuado establecer la correspondencia entre COBIT y CMMI basada en el plan de calidad de TSP y en el estándar de medición ISO/IEC 15939 para obtener un adecuado nivel de gestión con información cuantificable para la monitorización de los objetivos TI. Por tanto consideramos que existe una necesidad de integración entre el buen Gobierno TI, la mejora del proceso software y la calidad de software, que podría quedar reflejada así: COBIT-CMMI-TSP. Para esto se propone un marco de medición que integre una plantilla de TSP en base al estándar ISO/IEC 15939, una guía de calidad de TSP para integrarla al CMMI, y una plantilla para controlar los objetivos de control COBIT alineados con los objetivos del CMMI y sus respectivos indicadores. De tal manera que los responsables de las áreas de proceso de TI puedan contar con información que les ayude a monitorizar los objetivos y a tomar mejores decisiones.

Este proceso se establece con la finalidad de contar con un marco de trabajo que nos permita realizar mediciones basadas en normas, hacer seguimientos a los objetivos establecidos y establecer ratios. Y que todo esto nos sirva como medio de soporte para establecer un nivel de madurez preciso, una buena gestión de procesos y un adecuado nivel de soporte al Gobierno TI.

Wikipedia en Nuestra Organización

Siguiendo con el post anterior sobre el correo electrónico. Les mencionaba que en el correo electrónico que usamos en el trabajo se almacena una gran cantidad de información, de conocimiento. Esta información se encuentra dispersa y desordena en nuestra bandeja de entrada resultando muchas veces imposible el poder encontrar un dato en particular por lo tanto tenemos un conocimiento valioso que está almacenado y que no sabemos aprovechar. Y es que a través de los años almacenamos información muy valiosa sobre productos, estrategias, boletines, etc. Que nos puede ser de gran utilidad para consultas y para nuestro trabajo diario.

El problema radica en que esta información se envía a los alias de correo, y se almacena en nuestra bandeja de entrada quedandose olvidada. Nosotros solemos clasificar nuestro correo a través de una estructura de carpetas lo cual es muy fácil en cualquier cliente de correo, pero esto no es suficiente, resulta muy tedioso y complicado buscar correos antiguos o alguno en concreto. Es en este ambiente donde las herramientas proporcionadas por la web 2.0 juegan un papel importante. Como es el caso de la Wikipedia. Que es un entorno colaborativo en la cual todos pueden subir información y colaborar en las aportaciones de los demás. Existe un motor de Wikipedia llamado MediaWiki que se puede descargar y se puede instalar de manera local de tal manera que tengamos todas las funcionalidades de la Wikipedia pero dentro de nuestra organización. Esta iniciativa se propuso en una de las compañías donde trabaje. Se desarrollo un entorno colaborativo utilizando el motor MediaWiki y además este entorno contaba con un repositorio asociado de tal manera que podíamos subir documentación de interés para el departamento ó para la organización y apuntar desde nuestra página wiki al documento almacenado en el repositorio para su descarga. Esta iniciativa tuvo gran acogida y muy pronto cada departamento tenía su propia página wiki. Esto se convirtió en el lugar apropiado para publicar información, así que los boletines de los arquitectos seniors, información sobre productos y la información relevante de interés común se empezaron a publicar en nuestra página en lugar de enviarlos por correo, así quedaban registradas permitiendo que sean fácilmente ubicados y que sean accesible por todos en la organización.

Correo Electrónico

Nadie puede negar que el correo electrónico es una herramienta de gran utilidad, que nos permite estar comunicados con nuestros familiares y amigos rápidamente. Lo mismo en el trabajo siendo actualmente inconcebible la idea de no tener una cuenta de correo electrónico donde podamos recibir las asignaciones de nuestros managers y estar en contacto con clientes y colegas. Así disponemos de varias cuentas de correo electrónico donde se almacena una ingente cantidad de información que si no está sujeta a un tipo de clasificación u orden puede resultar muy difícil de gestionar. Es sobre todo en el correo electrónico del trabajo donde uno recibe una gran cantidad de información como newsletter, boletines, lanzamientos de productos, etc. Como consecuencia en nuestra bandeja tenemos una gran cantidad de conocimiento que nos puede ser de gran utilidad en determinados momentos. Lamentablemente este conocimiento está disperso en nuestro inbox, en los numerosos mails que tenemos almacenados. Por lo cual resulta muy difícil poder encontrar algo en concreto cuando lo necesitamos. Esto me pasa a menudo en la oficina por lo cual es recomendable que establezcamos una clasificación para nuestros correos, es decir algo como una estructura de carpetas donde clasifiquemos los mails recibidos de acuerdo a importancia ó según el criterio que nosotros creamos más conveniente, lo importante es tener algún tipo de orden que nos permita recurrir rápidamente a correos importantes.

Toda esta gran cantidad de información desordenada, que tenemos almacenada en nuestro correo electrónico, y la gran cantidad de spam que recibimos diariamente ha originado que algunos investigadores critiquen la eficiencia del correo electrónico alegando que los spam originan que los trabajadores se distraigan y pierdan el tiempo en tareas poco relacionadas con su trabajo también mencionan que el correo electrónico es demasiado abstracto y conciso dejando mucho a la suposiciones, además de que el correo electrónico es impersonal y que siempre es mejor y más rápido ir a hablar con la persona involucrada que enviar un correo electrónico y que se genere una cadena de mails que conlleve demoras y en muchos casos confusiones.

Todo lo mencionado anteriormente es cierto. El spam satura nuestra bandeja y nos lleva a tener que estar borrando contenido no deseado, el conocimiento se encuentra disperso en nuestra bandeja, además en el correo electronico las personas suelen ser muy lacónicas lo que conlleva a una falta de entendimiento de los temas tratados sobre todo en cuestiones laborales por tal motivo siempre es mejor el hablar, es suficiente hablar dos minutos sobre un tema para tener claro el panorama y lo que se quiere hacer; en cambio a través del correo electronico nos llevaria mucho mas tiempo. Pero todos estos son problemas tienen solución, se pueden poner filtros para controlar el spam y se puede hacer uso de herramientas de la web 2.0 para compartir el conocimiento en lugar de mandar la informacion a través de un alias de correo, también se pueden establecer políticas para mejorar el uso general del mail. Pero por ningún motivo podemos dejar de usar el mail y reemplazarlo por una plática. Ya que aunque la plática conlleva a un mejor entendimiento del panorama y a que se traten más cosas que en un correo, siempre es necesario mandar un correo con lo acordado de tal manera que quede registrado y que nos sirva de resguardo ante cualquier cosa que pueda surgir más adelante. Esto lo aprendí cuando empecé a trabajar para el gobierno donde un administrador que se hiso mi amigo me aconsejo: “no hagas nada que no este escrito,” al principio me pareció una burocracia innecesaria pero no tienen idea de los apuros que salí por seguir su consejo. En resumen creo que el correo electrónico es una herramienta indispensable hoy en día, es cierto que hay problemas con el correo electronico pero se pueden controlar, mejorar. Solo esta en nuestras manos hacer un uso eficiente de esta herramienta.

Motivación

Este post quiero empezarlo con una pregunta. ¿Es necesaria la motivación? Particularmente creo que la motivación es importante para las personas, es más considero que bajo determinadas circunstancias es absolutamente necesaria. Pero hay personas contrarias a este pensamiento como mi amigo Angel quien considera que la motivación no es necesaria, y que cada persona debe auto-motivarse. No comparto el pensamiento de Angel, pues es difícil auto-motivarse, esta característica la pueden desarrollar aquellas personas que se encuentran trabajando en el lugar deseado, que cumplieron sus metas, que se casaron con la persona deseada… etc. Pero hay un gran número de personas que no han tenido tanta suerte, personas que han tenido un destino distinto al que esperaban y que ahora llevan una vida que se debe a circunstancias pasadas ó a las malas decisiones que tomaron. Estas personas se dejan llevar por la apatía, la desgana, es un grupo para el cual resulta muy difícil el auto-motivarse.

Por tanto los grupos de trabajo que existen en las diferentes organizaciones se conforman por personas que les gusta el trabajo que hacen así como por personas que solo consiguieron el trabajo por la oportunidad que representaba para ellos. El primer grupo está siempre ávido de ganar nuevos conocimientos, de aprender y no tiene el más mínimo reparo en quedarse horas extras o leer todo un fin de semana nuevos temas relacionados con su trabajo. El otro grupo espera con impaciencia a que las agujas del reloj marquen la hora de salida para desconectar completamente. En todo grupo de trabajo coexisten estos dos perfiles. Pero independientemente de pertenecer a un grupo o a otro no se podrá negar que el ofrecer un buen discurso ó el otorgar algún tipo de incentivo ya sea dinero en efectivo o algún regalo por el cumplimiento de los objetivos o cualquier otro incentivo motiva al personal.

Creo que la motivación es importante en un ambiente organizacional y creo que incentiva al personal a cumplir los objetivos trazados y ha desarrollar mejor su trabajo. Pero la motivación no debe implementarse de forma espontánea, la estrategia de motivación debe de ser cuidadosamente planificada para lo cual se debe conocer bien la cultura organizacional y al personal entre otras consideraciones importantes, queda en manos de los managers desarrollar la mejor estrategia motivacional. Los dejo con este video de Steve Jobs dando un discurso en la ceremonia de graduación de la Universidad de Stanford.

Detección de Estrategias en Organizaciones TI Mediante un Modelo Integrado de Cumplimiento de Estándares TI

La informática es una disciplina que está en constante evolución y cambio y en consecuencia los departamentos de Tecnologías de la Información (TI) de las organizaciones también lo están. El crecimiento en infraestructura y capacidad de procesamiento, con cambios constantes en aplicaciones y estándares, hacen posible un interminable cambio que permite el que se vayan soportando objetivos de negocio cada vez más ambiciosos. En los últimos años han surgido numerosos marcos de trabajo y estándares que pretenden dar esquemas o mejores prácticas de cómo se lleva a cabo el gobierno TI, la gestión TI y la operación de las TI y por ende de los departamentos TI. Tal y como se muestra en la figura I, estos marcos están enfocados a cubrir diferentes aspectos de las TI como son: El Gobierno TI [Cobit, 2005], la Gestión de Servicios TI, [ITIL, 2001] y el Desarrollo de Software [CMMI Dev, 2006], o aspectos más concretos y de detalle (nivel táctico) como son la gestión de la seguridad, la gestión de la continuidad y la gestión de la capacidad.

El cumplimiento TI es una nueva tendencia dedicada a saber cómo se encuentra una organización con respecto a los diferentes estándares y normativas dentro de las TI. Es un concepto que comenzó unido al cumplimiento de leyes y regulaciones en el complejo entorno de los negocios, pero que los autores prefieren enmarcar el cumplimiento TI en algo de mayor alcance que contemple el cumplimiento de todo tipo de normas y estándares TI entre las que hay que considerar la normativa de seguridad. Entre los estándares más importantes tenemos: el estándar para la gestión de servicios ISO/IEC 20000, el estándar para la continuidad del negocio BS25999, el estándar para la seguridad de la información ISO/IEC 27001 ó el estándar para el gobierno TI ISO/IEC 38500 , entre otros.

Las regulaciones son algo cada vez más importante sobre todo en sectores como la banca, las telecomunicaciones o los seguros. Una organización está sujeta a diferentes tipos de regulaciones tanto legislativas, industriales o de política interna [Tarantino, 2006]. El cumplimiento de estas reglamentaciones es importante para la organización porque le permite cumplir con normativas y estándares y porque evita sanciones de parte de organismos gubernamentales. En los últimos años el gobierno, la gestión de riesgos y el cumplimiento o GRC (por sus siglas en ingles) se ha vuelto muy popular dentro de las organizaciones debido a que relaciona estas importantes áreas y porque nos ofrece un nuevo enfoque para integrar estas áreas a nuestras organizaciones, [MITCMG, 2008][Tarantino, 2008].

1. Gobierno: El gobierno es una tarea de los altos ejecutivos y consiste en establecer políticas y procedimientos que guíen a una organización hacia sus objetivos.
2. Gestión de riesgo: Es donde se establece la tolerancia a posibles riesgos, se identifican riesgos y se establecen prioridades.
3. Cumplimiento: Esta área de encarga de establecer el cumplimiento frente a las reglamentaciones legislativas, industriales e internas.

Cumplimiento TI nos proporciona información de cómo se encuentra posicionada nuestra organización TI con respecto a una serie de estándares y normativas del ámbito informático [Broady, 2008]. La información que nos proporciona Cumplimiento TI es muy importante para que la organización pueda cumplir las reglamentaciones establecidas para las TI y para la elaboración de su plan estratégico. Ahora dentro del GRC tenemos IT GRC que involucra al Gobierno TI, la gestión de riesgos y el cumplimiento, en resumen IT GRC se relaciona con estas tres áreas de acuerdo con el IT GRC Anual Survey Report [ITGRC, 2008], a través de:

1.Crear valor de negocio a través de la estrategia TI, la inversión y la alineación.
2.Reducir significativamente los riesgos del negocio y financieros a través del uso de las TI.
3.Conformidad con las políticas de la organización, legislación externa y mandatos para el cumplimiento de la normativa.

Toda esta riqueza de información permite determinar cuáles son las necesidades estratégicas de los departamentos TI simplemente por comparación con estos estándares y mejores prácticas. Asimismo las organizaciones TI que quieran mejorar su gestión y gobierno TI tienen un buen espejo donde mirarse en las recomendaciones y propuestas que proporcionan los estándares de alcance TI. Por tal motivo han surgido en los últimos años, de forma gratuita o a través de numerosas organizaciones, un porfolio de herramientas que facilitan la mejora como es el caso de los assessment o evaluaciones con un modelo de madurez asociado.

El assessment es un conjunto de preguntas a modo de un cuestionario que las organizaciones deben de responder y con las cuales se recopila información sobre cómo se realiza el gobierno y la gestión TI en una organización. Por otro lado el modelo de madurez nos va a proporcionar una escala de cómo se encuentra la organización con respecto a un determinado modelo. Estos niveles de madurez por lo general van desde un nivel “1”, muy básico, o incluso “0” inexistente, hasta un nivel “5”, que es el más óptimo, siguiendo el enfoque proporcionado inicialmente por el estándar CMMI [CMMI Dev, 2006] que agrupa con detalle de área o con propuestas de madurez por proceso o por tipo de requisito como es el caso de las evaluaciones CobiT [Cobit, 2005] o ITIL [ITIL, 2001].

A partir de la información recopilada por el assessment se puede determinar el nivel de madurez que tiene una organización con respecto a un marco de buenas prácticas y constituye una ayuda esencial para determinar las carencias de la organización TI a la vez que guía en el camino para mejorar en la madurez. El aspecto más importante sobre el que se soporta la presente investigación es que si los diferentes estándares, métodos, normas y mejores prácticas son el fruto de muchos años de excelentes trabajos realizados por expertos en TI, se deberían emplear como fuente primaria para determinar las deficiencias de nuestra organización TI en cualquier proceso de planificación tanto táctica como estratégica. Además es un rango distintivo del mundo TI el poder basar sus estrategias en la comparación con modelos, no existiendo tal profusión de normas y estándares con las que compararse en otras áreas de la empresa (comercial, recursos humanos, logística, etc). Cierto es que los estándares disminuyen la innovación e te igualan con la competencia, pero también es cierto que la multitud de estándares existentes permiten adecuarse de manera personalizada poniendo mas hincapié en ciertos procesos frente a otros y que además están en una evolución constante con la emisión de nuevas versiones de normativas. Procesando los assessment de forma individual y no integral como se propone en la presente publicación, se tienen algunos problemas:

1. No cubren todo el espectro esperado que tiene que cubrir el proceso de evaluación de las TI en una organización, estando algunos muy escorados al enfoque y objetivos con el que nacieron. Tratar cada tipo de estándar como un silo conlleva mucho re trabajo y sobreesfuerzos no utilizados.
2. Algunos de ellos más centrados en el nivel de gestión y análisis que en el del gobierno de las TI. Las decisiones estratégicas se soportan más en la evaluación del gobierno TI que en la evaluación de la gestión TI.
3. No tienen un marco de detección de oportunidades de mejora apropiado quedándose en unas puntuaciones de proceso que no aportan información precisa sobre las mejoras a implantar. Ello conlleva un esfuerzo importante para materializarlo en la detección clara y sin discusiones de las mejoras en la organización TI.
4. No realizan un estudio balanceado de las necesidades de información de la organización, y además no presentan información debidamente organizada [Evergreen, Axious, ITSMF, RightStar].

Todos estos problemas repercuten sobre la eficacia que puede llegar a tener el empleo de un assessment a modo individual en un proyecto de planificación estratégica o táctica de las TI. En este trabajo se pretende dar solución a estos problemas a través de la creación de un Modelo de Cumplimiento soportado en varios estándares y autoevaluaciones con una estructura bien definida y que balancee los cuestionarios de los diferentes estándares y que por lo tanto sea una buena herramienta de detección de mejoras en cualquier organización TI. Asimismo se menciona como complementar las carencias de los métodos de planificación estratégica de las TI clásicos con el método propuesto de cumplimiento de estándares, aunque no se pretende eliminarlos sino complementarlos.

Escrito por: Jose Alva y Antonio Folgueras