Sólo hay que mirar un poco hacia atrás para ver como el marketing alrededor del sector propugnó lo novedoso de los servicios Web (WS) hace unos años. Al poco tiempo casi quedaron eclipsados por las arquitecturas orientadas a servicios (SOA), más recientemente por el software como servicio (SaaS), la computación en la nube (cloud computing), etc. Ninguno de estos conceptos es exactamente lo mismo que los otros, ni se substituyen en entre sí tecnológicamente hablando, se trata más bien de evoluciones naturales, … Sin embargo la maquinaria del mercado acaba generando momentum, o hype como gusta a la prensa americana, alrededor de cada nueva sigla (tenga un nuevo concepto asociado detrás o no).

Por otra parte, esta dinámica inflacionista, provoca cierta apetencia por adoptar términos provenientes de otros sectores. Dichos términos tienen un contenido real y original en su sector de origen, pero no siempre lo acaban teniendo al traerlos al contexto TIC, por lo menos no como para crear productos, servicios, cursos, etc. O al menos así lo vemos.

Uno de los términos que ha aparecido en el espectro recientemente es el término Lean, aplicado en diversas formas como Lean IT, Lean IT Service Management, etc. El término proviene del Lean Manufacturing o Lean Production, como filosofía genérica de gestión de procesos, términos acuñados anos después de que Toyota idease una forma de producción eficaz y eficiente, eliminado lo superfluo de sus procesos.

Por supuesto, todo ello puede aplicarse a la implementación de servicios TI, a su gestión, al desarrollo de software, a la gestión de proyectos, etc. sobre todo debido a dos factores:

1. De un tiempo a esta parte es cada vez más frecuente pensar en TI en base a procesos, sobre todo desde la irrupción en masa de frameworks de buenas prácticas, normas y estándares de gestión, e.g. CMMI, ITIL, COBIT, ISO 20000, ISO 27000, etc.
2. Estamos en plena crisis económica.

Dicho simplemente: hay mucho escepticismo sobre la aplicabilidad práctica y el éxito de todos esos frameworks que resultan muy complejos a los no iniciados (los clientes), y debido a la crisis económica todo lo que suene a reducir, simplificar, … ahorrar, es más que bienvenido (por los clientes).

Así pues, lo Lean se ha convertido en un poderoso argumento de marketing (otra vez) para que algunos vendan “nuevos” productos de gestión y “nuevos” servicios de consultoría, re-etiquetados pero que, muy probablemente, no son sustancialmente diferentes a lo que ya se venía ofreciendo.

¿O es que alguien prestaba servicios de adaptación de procesos a ITIL, por ejemplo, y lo hacía siguiendo al pie de la letra lo que ponía el manual correspondiente, sin entrar a comprender el negocio del cliente, su cultura organizativa, etc., y consecuentemente eliminado del modelo todo aquello que no aplicaba, no encajaba, etc.?

¿No será simplemente que el pragmatismo y el sentido común ahora tienen una etiqueta? ¿Una etiqueta más vendible?

Son suficientes preguntas para la reflexión, pero para ayudar en ella, ahí van un par de citas:

“Todo lo que hemos aprendido en la era industrial se ha orientado a crear más y más complicaciones. Pienso que ahora cada vez más gente está entendiendo que lo mejor es simplificar, no complicar. La simplicidad es la máxima sofisticación.“
John Sculley, Ex CEO de Apple y ex Vicepresidente de Pepsi.

Y del libro “The power of simplicity“:
“… la vida profesional es mucho más sencilla de lo que muchos creen. Lo que pasa es que hay demasiada gente dedicada a complicarla…“
Y más adelante da una receta simple y compleja a la vez para sobreponerse a la situación. A saber:
“… simplificar lo complejo y, sobretodo, no complicar lo simple“.
Jack Trout, Presidente de Trout & Partners.

Lo dicho, no hace falta tanto marketing, tanta fachada, para proporcionar valores que deberían ser consustanciales a la propia consultoría: el pragmatismo y el sentido común, para aplicar lo esencial, lo que aplica, lo que tiene valor y nada más.

Hace varios años que la SOX traspasó fronteras y hoy existen ya versiones de la misma normativa fuera de EEUU: existe la J-SOX (desde mediados del 2006) con el mismo propósito para Japón y la EuroSOX para la comunidad europea. Esta última cubre las directivas europeas de Auditoría Estatuaria y Representación de Informes de la Compañía.

La dirección de TI ocupa un importante papel a la hora de ayudar en el cumplimento de la SOX. Mediante el uso de mecanismos de control y gestión tales como los que proporcionan Committee of Sponsoring Organizations of the Treadway Commission (COSO),  Control Objectives for Information and related Technology (CoBIT) e Information Technology Infrastructure Library (ITIL) es posible implementar controles, identificar flujos, responsabilidades, …, que ayuden a monitorizar y mejorar dichos procesos de trabajo.

Dada la coyuntura actual, con una crisis financiera mundial y los numerosos casos de fraude como el de Bernard Madoff, que están apareciendo recientemente, es hora de reflexionar sobre qué está fallando. Lo que sí parece claro, es que disponer de estándares de control no és lo único necesario para garantizar el buen hacer de las empresas y el cumplimiento de las Leyes.

Si bien la definición de los procesos de gestión de SI/TI se ha afrontado desde diferentes ángulos (COBIT, ISO 20000, ITIL, ISO 27001, …) se tiene la sensación generalizada de que es necesario algo más, en concreto, la función de Gobierno de TI. En este sentido, el IT Governance Global Status Report—2008 deja muy claro que el área de SI/TI todavía está lejos de poder constituirse en un departamento sólido respecto a otras funciones estructurales de toda organización. El estudio es una continuación a las encuestas del 2003 y el 2005 y da continuidad a las tendencias en TI en los cuatro últimos años.

A continuación resumimos algunos de los resultados extraídos:

• El 93% de los encuestados dijeron que las TI son de algo a muy importantes dentro de la estrategia corporativa, lo que representa un incremento del 6% respecto al 2005.
• Las TI están siempre presentes en la agenda del consejo directivo, de acuerdo a la opinión del 32% de los encuestados, en comparación con el 25% en el 2005.
• El 18% de los encuestados dijeron que el departamento de TI siempre informa a la empresa acerca de oportunidades potenciales de negocio, siendo sólo el 14% en el 2005.
• El conocimiento de la existencia del marco de trabajo de COBIT (Control de Objetivos de Información y Tecnología Relacionada) para el gobierno de las TI ya sobrepasa el 50%, lo que casi duplica el resultado de 2005.
• El uso de COBIT se ha pasado del 8% en 2005 al 16% actualmente.
• Como área de mejora preferente aparece el alineamiento estratégico. El 36% de los encuestados indicó que el alineamiento entre la estrategia de TI y la corporativa es mala o muy mala.

Estos resultados corresponden a encuestas realizadas a distintos perfiles (695 en 2005 y 749 en 2007) en empresas de diversos tamaños en todo el mundo (aproximadamente el 55% entre EEUU y Europa, a partes iguales), por lo que tiene una relevancia global. Si bien se aprecia una tendencia hacia el incremento en el nivel de madurez de àrea de TI en las organizaciones, también queda claro que aún hay mucho que mejorar.

Nadie discute el papel estratégico de la tecnología dentro de las organizaciones tanto en la mejora de la productividad interna como en la propia generación de valor para el cliente. Sin embargo, la gestión de la misma dentro de las organizaciones ha estado siempre impregnada de la problemática del día a día, lo que la dotaba de un aura de artesanía y de gestión de lo excepcional (incidencias, incidentes de seguridad, …) que la hacía poco estructurada y predecible.

Como ya hemos comentado otras veces, existen hoy día herramientas de gestión suficientes y contrastadas a nivel internacional capaces de gestionar adecuadamente las TIC dentro de las organizaciones, de establecer canales formales de comunicación con la Dirección, de predecir los resultados y estructurar las actividades de los departamentos de Sistemas y Tecnologías de la Información. En este sentido, estándares como ITIL o COBIT son de gran utilidad a la hora de organizar los procesos internos y tener en cuenta múltiples aspectos de la gestión que a menudo se descuidan.

La sesión empezó con un intento de clase magistral (“IT-Governance: estrategia, gestión y medida”) a cargo de Antoni Bosch, Director del Institute of Audit & IT-Governance (IAITG) y anterior presidente de ISACA-Barcelona. Digo “intento” porque al tratar de vincular entre sí diversos modelos formales de estrategia, gestión y control, el tema se hizo muy denso (ya lo es por sí solo) para el tipo de audiencia y el poco tiempo disponible.

Afortunadamente para la mayoría presente, le siguió Antonio Valle, Editor de GobiernoTIC.es, que en su ponencia “De la estrategia a la práctica: modelos de gestión” llevó las cosas a un mundo más terrenal y práctico, intentado clarificar conceptos esenciales, como la diferencia entre “gobierno” y “gestión”, o la confusión en la que se mueve el sector a la hora de definir qué es IT-Governance y cómo algunos proveedores aprovechan este hecho para vender.

Seguidamente, Miguel González Simancas, de Telefónica Soluciones, explicó la experiencia de esta división de Telefónica en la implantación de la norma UNE-ISO/IEC 20.000, que como sabemos es lo más cercano a ITIL desde el punto de vista de las certificaciones ISO. Sólo 5 compañías en España disponen actualmente de esta certificación, y Telefónica, como pionera, la está implantando progresivamente en todas las áreas de su organización.

Finalmente, y de manera muy breve, Lluis Vera, Socio Director de TB-Security, presentó un caso práctico de aplicación de los postulados de IT-Governance en la gestión de servicios de seguridad.

El acto, al que asistieron unas 50 personas,  transcurrió en un ambiente muy ameno y cercano, gracias a la valía de los ponentes. En primer lugar, Didac López realizó la introducción, presentando la revista y el trabajo realizado por todo el equipo de edición y colaboradores. Seguidamente, Antonio Valle (Gobierno TIC) realizó una presentación brillante y motivadora sobre estado del arte en el Gobierno de las TIC. Aleix Palau continuó con un estudio sobre el estado del Gobierno de las TIC en España. Y finalizó el acto una presentación de Tomás Roy (CTTI), que aportó el punto de vista de un usuario en una gran entidad, la Generalitat de Catalunya.

La monografía trata sobre la necesidad de una correcta alineación de las políticas y decisiones tomadas en la empresa en materia de Tecnologías de la Información con su estrategia de negocio. A esta disciplina se le llama “Gobierno de las TI(C)”, del inglés IT Governance. A ella se le suelen asociar métodos, herramientas y marcos de trabajo que se han puesto de moda en tiempos recientes (ITIL, Cobit, etc.) y que, como argumentan algunos de los artículos de la monografía, corresponden más bien al ámbito del control de la gestión informática y de la auditoría antes que a las propias políticas de desarrollo e implantación de las TI. La polémica sobre qué es cada “cosa” y a quien corresponde está servida y hay un par de artículos que tratan en profundidad sobre ello.

• Grado de conocimiento del concepto de IT Governance 
• Nivel de experiencia con los frameworks de IT Governance, cuáles son conocidos, se usan, se usarán, …
• Conocimiento del framework del ITGI, COBIT, y ,si se usa, cómo se percibe?  

Será muy interesante desgranarlo y comparar la evolución de este campo en comparación con los tres años anteriores con los que compara el informe. Por lo pronto, a continuación se resumen algunas de las conclusiones del informe:

1. Aunque el liderazgo para IT Governance dentro de la empresa viene del nivel del CIO/CEO, en la práctica diaria sigue siendo una tarea del CIO y/o el director TI. Los pocos directores no-técnicos de en muestra tienen una visión mucho más positiva de TI que los propios profesionales.
2. La importancia de las TI continúa aumentando.
3. La autoevaluación con respecto a IT Governance ha aumentado y es absolutamente positiva.
4. La comunicación entre TI y los usuarios está mejorando, pero lentamente.
5. Todavía hay espacio substancial para la mejora en el alineamiento de TI y el negocio.
6. Los problemas relacionados con TI persisten, especialmente en el ámbito de personal.
7. Las buenas prácticas son conocidas y se aplican, pero no universalmente.
8. Las organizaciones saben quién puede ayudarles a implantar mecanismos de IT Governance, pero no se valoran adecuadamente la experiencia y capacidades requeridas para llevarlo a cabo.
9. La actividad entorno a la adopción de mecanismos de IT Governance es creciente.
10.   Se emplean marcos de trabajo y soluciones bien conocidos.
11.   El conocimiento (awareness) de COBIT supera el 50%, si bien la adopción se sitúa aldededor del 30%.
12.   Más de la mitad de los encuestados tienes planes para aplicar algunos de los principios de VAL IT, si bien no lo conocen formalmente.
13.   Las reticencias para la adopción de VAL IT provienen de la incertidumbre al respecto del ROI y la falta de conocimiento/experiencia.

En las tres décadas desde su inicio en 1967, ISACA se ha convertido en una organización global que investiga, formaliza y establece los nuevos caminos para los profesionales del gobierno, el control, la seguridad y la auditoría de la información. ISACA consta de más de 170 capítulos internacionales y está presente en más de 70 países.

Sus estándares de auditoría y control de sistemas de información (COBIT, VAL IT, …) son actualmente seguidos por innumerables profesionales en todo el mundo. La certificación Certified Information Systems Auditor (CISA) tiene amplio reconocimiento internacional y ha sido otorgada a más de 55.000 profesionales. La certificación Certified Information Security Manager (CISM) se dirige a los responsables de la seguridad de la información y ha sido otorgada a más de 7.000 profesionales. La certificación CGEIT es la certificación pionera en temas de IT Governance.

ISACA publica una revista mensual (IS Control Journal) considerada referencia en el ámbito del control de la información. Así mismo, organiza una serie de conferencias internacionales que se centran tanto en los aspectos técnicos como en los asuntos directivos relacionados con el aseguramiento, control, seguridad de los sistemas de información, así como con el IT Governance.

De forma conjunta, ISACA y el IT Governance Institute (ITGI) lideran la comunidad de profesionales del control de las tecnologías de información y sirven a sus miembros proporcionando los elementos necesarios para mantenerse al día en un contexto mundial en constante cambio.

Mediante la pertenencia a ISACA, TATAKI estará permanentemente al día de las mejores prácticas en el ámbito de la auditoría y control de sistemas de información, el alineamiento de las TI con el negocio, y en general con las nuevas tendencias en IT Governance. Todo ello redundará en la definición de nuevos servicios y en la contribución a la mejora de la gestión de las TI en sus clientes.