La informática es una disciplina que está en constante evolución y cambio y en consecuencia los departamentos de Tecnologías de la Información (TI) de las organizaciones también lo están. El crecimiento en infraestructura y capacidad de procesamiento, con cambios constantes en aplicaciones y estándares, hacen posible un interminable cambio que permite el que se vayan soportando objetivos de negocio cada vez más ambiciosos. En los últimos años han surgido numerosos marcos de trabajo y estándares que pretenden dar esquemas o mejores prácticas de cómo se lleva a cabo el gobierno TI, la gestión TI y la operación de las TI y por ende de los departamentos TI. Tal y como se muestra en la figura I, estos marcos están enfocados a cubrir diferentes aspectos de las TI como son: El Gobierno TI [Cobit, 2005], la Gestión de Servicios TI, [ITIL, 2001] y el Desarrollo de Software [CMMI Dev, 2006], o aspectos más concretos y de detalle (nivel táctico) como son la gestión de la seguridad, la gestión de la continuidad y la gestión de la capacidad.
El cumplimiento TI es una nueva tendencia dedicada a saber cómo se encuentra una organización con respecto a los diferentes estándares y normativas dentro de las TI. Es un concepto que comenzó unido al cumplimiento de leyes y regulaciones en el complejo entorno de los negocios, pero que los autores prefieren enmarcar el cumplimiento TI en algo de mayor alcance que contemple el cumplimiento de todo tipo de normas y estándares TI entre las que hay que considerar la normativa de seguridad. Entre los estándares más importantes tenemos: el estándar para la gestión de servicios ISO/IEC 20000, el estándar para la continuidad del negocio BS25999, el estándar para la seguridad de la información ISO/IEC 27001 ó el estándar para el gobierno TI ISO/IEC 38500 , entre otros.
Las regulaciones son algo cada vez más importante sobre todo en sectores como la banca, las telecomunicaciones o los seguros. Una organización está sujeta a diferentes tipos de regulaciones tanto legislativas, industriales o de política interna [Tarantino, 2006]. El cumplimiento de estas reglamentaciones es importante para la organización porque le permite cumplir con normativas y estándares y porque evita sanciones de parte de organismos gubernamentales. En los últimos años el gobierno, la gestión de riesgos y el cumplimiento o GRC (por sus siglas en ingles) se ha vuelto muy popular dentro de las organizaciones debido a que relaciona estas importantes áreas y porque nos ofrece un nuevo enfoque para integrar estas áreas a nuestras organizaciones, [MITCMG, 2008][Tarantino, 2008].
1. Gobierno: El gobierno es una tarea de los altos ejecutivos y consiste en establecer políticas y procedimientos que guíen a una organización hacia sus objetivos.
2. Gestión de riesgo: Es donde se establece la tolerancia a posibles riesgos, se identifican riesgos y se establecen prioridades.
3. Cumplimiento: Esta área de encarga de establecer el cumplimiento frente a las reglamentaciones legislativas, industriales e internas.
Cumplimiento TI nos proporciona información de cómo se encuentra posicionada nuestra organización TI con respecto a una serie de estándares y normativas del ámbito informático [Broady, 2008]. La información que nos proporciona Cumplimiento TI es muy importante para que la organización pueda cumplir las reglamentaciones establecidas para las TI y para la elaboración de su plan estratégico. Ahora dentro del GRC tenemos IT GRC que involucra al Gobierno TI, la gestión de riesgos y el cumplimiento, en resumen IT GRC se relaciona con estas tres áreas de acuerdo con el IT GRC Anual Survey Report [ITGRC, 2008], a través de:
1.Crear valor de negocio a través de la estrategia TI, la inversión y la alineación.
2.Reducir significativamente los riesgos del negocio y financieros a través del uso de las TI.
3.Conformidad con las políticas de la organización, legislación externa y mandatos para el cumplimiento de la normativa.
Toda esta riqueza de información permite determinar cuáles son las necesidades estratégicas de los departamentos TI simplemente por comparación con estos estándares y mejores prácticas. Asimismo las organizaciones TI que quieran mejorar su gestión y gobierno TI tienen un buen espejo donde mirarse en las recomendaciones y propuestas que proporcionan los estándares de alcance TI. Por tal motivo han surgido en los últimos años, de forma gratuita o a través de numerosas organizaciones, un porfolio de herramientas que facilitan la mejora como es el caso de los assessment o evaluaciones con un modelo de madurez asociado.
El assessment es un conjunto de preguntas a modo de un cuestionario que las organizaciones deben de responder y con las cuales se recopila información sobre cómo se realiza el gobierno y la gestión TI en una organización. Por otro lado el modelo de madurez nos va a proporcionar una escala de cómo se encuentra la organización con respecto a un determinado modelo. Estos niveles de madurez por lo general van desde un nivel “1”, muy básico, o incluso “0” inexistente, hasta un nivel “5”, que es el más óptimo, siguiendo el enfoque proporcionado inicialmente por el estándar CMMI [CMMI Dev, 2006] que agrupa con detalle de área o con propuestas de madurez por proceso o por tipo de requisito como es el caso de las evaluaciones CobiT [Cobit, 2005] o ITIL [ITIL, 2001].
A partir de la información recopilada por el assessment se puede determinar el nivel de madurez que tiene una organización con respecto a un marco de buenas prácticas y constituye una ayuda esencial para determinar las carencias de la organización TI a la vez que guía en el camino para mejorar en la madurez. El aspecto más importante sobre el que se soporta la presente investigación es que si los diferentes estándares, métodos, normas y mejores prácticas son el fruto de muchos años de excelentes trabajos realizados por expertos en TI, se deberían emplear como fuente primaria para determinar las deficiencias de nuestra organización TI en cualquier proceso de planificación tanto táctica como estratégica. Además es un rango distintivo del mundo TI el poder basar sus estrategias en la comparación con modelos, no existiendo tal profusión de normas y estándares con las que compararse en otras áreas de la empresa (comercial, recursos humanos, logística, etc). Cierto es que los estándares disminuyen la innovación e te igualan con la competencia, pero también es cierto que la multitud de estándares existentes permiten adecuarse de manera personalizada poniendo mas hincapié en ciertos procesos frente a otros y que además están en una evolución constante con la emisión de nuevas versiones de normativas. Procesando los assessment de forma individual y no integral como se propone en la presente publicación, se tienen algunos problemas:
1. No cubren todo el espectro esperado que tiene que cubrir el proceso de evaluación de las TI en una organización, estando algunos muy escorados al enfoque y objetivos con el que nacieron. Tratar cada tipo de estándar como un silo conlleva mucho re trabajo y sobreesfuerzos no utilizados.
2. Algunos de ellos más centrados en el nivel de gestión y análisis que en el del gobierno de las TI. Las decisiones estratégicas se soportan más en la evaluación del gobierno TI que en la evaluación de la gestión TI.
3. No tienen un marco de detección de oportunidades de mejora apropiado quedándose en unas puntuaciones de proceso que no aportan información precisa sobre las mejoras a implantar. Ello conlleva un esfuerzo importante para materializarlo en la detección clara y sin discusiones de las mejoras en la organización TI.
4. No realizan un estudio balanceado de las necesidades de información de la organización, y además no presentan información debidamente organizada [Evergreen, Axious, ITSMF, RightStar].
Todos estos problemas repercuten sobre la eficacia que puede llegar a tener el empleo de un assessment a modo individual en un proyecto de planificación estratégica o táctica de las TI. En este trabajo se pretende dar solución a estos problemas a través de la creación de un Modelo de Cumplimiento soportado en varios estándares y autoevaluaciones con una estructura bien definida y que balancee los cuestionarios de los diferentes estándares y que por lo tanto sea una buena herramienta de detección de mejoras en cualquier organización TI. Asimismo se menciona como complementar las carencias de los métodos de planificación estratégica de las TI clásicos con el método propuesto de cumplimiento de estándares, aunque no se pretende eliminarlos sino complementarlos.
Escrito por: Jose Alva y Antonio Folgueras
