Follow us on:
Perspectives

Datos y el Talento Analítico

Monday, 08 June 2015 Maria Jose de la Calle Posted in iTTi Views

El software empresarial como ERP, CRM, BI, etc aparte de proporcionar una ayuda para la gestión de la empresa en la forma de aplicaciones y modelos de datos más o menos ajustables a cada entidad, tienen, sobre todo las BI, una función que es la de proporcionar lo que se ha dado en llamar "inteligencia de negocio" en la forma de informes, dirigida a los usuarios finales que no son otros que los tienen que tomar decisiones sobre el mismo. 

Hoy día, la "inteligencia de negocio" a pasado al llamado "Big Data" (grandes datos), término bajo el que se agrupan, por una parte el concepto de una tal cantidad de datos que desborda la capacidad del software habitual para ser capturados, gestionados y procesados en un tiempo razonable, y por otra, y por extensión, las herramientas necesarias para tratar dichos datos, y sus productos.

La tecnología ha evolucionado para tratar con los tipos de datos que ahora se producen -y se recogen- en cualquier sitio tanto por personas como por máquinas. La capacidad de acceso a datos útiles crece continuamente, pero, según el estudio llevado a cabo por el MIT y SAS "TheTalent Dividend" [i] , las empresas no son ahora más eficaces para definir una estregia utilizando el conocimiento que los datos proporcionan. Ya hay tecnología suficiente para recoger, almacenar, clasificar, extraer y procesar los datos que sean necesarios en cada caso, pero no se sabe como llegar desde ellos al negocio.

El problema que se plantea, según este estudio, va un poco más allá de la tecnología y se trataría de responder a la pregunta de cómo crear valor para el negocio a partir de la gran cantidad y variedad de datos de los que se dispone. Uno de las conclusiones del estudio es que las empresas que combinan habilidades analíticas con el conocimiento del negocio tienen más posibilidades de obtener ventajas competitivas con los datos.

Parece claro que si lo que se busca son herramientas de ayuda a la toma de decisiones, haya que conocer el negocio para hacer las preguntas adecuadas en su propio lenguaje, pero estas deben ser traducidas a una perspectiva de los datos para tratar con y obtener de ellos las respuestas buscadas. Los informes extraídos de los datos que se presenten deben ser completos, precisos, relevantes y consistentes, y entregados en tiempo. 

Esto parece que constituye una gran brecha, a cerrar por las personas que posean habilidades analíticas, con conocimientos de negocio, por una parte, y técnicos por otro.

No es de extrañar, pues, que el rango de dichas habilidades, perfiles y categorías en las organizaciones se haya ampliado en estos últimos años. No sólo analistas (data analysts) sino también administradores de datos (data stewards) o científico de datos (data scientists). También, nuevos perfiles ejecutivos como chief data officers, chief analytics officers o chief medical information officers, han surgido para garantizar que el conocimiento analítico puede ser aplicado a temas de estrategia de negocio. 

Para cubrir las necesidades de dichos perfiles, las empresas recurren a distintos planes con una serie de acciones como:

• Dar preferencia a las personas que ya tienen habilidades analíticas cuando contratan o para promocionarlas.

• Desarrollar las habilidades analíticas en su propio personal a través de formación.

• Integrar nuevos talentos con trabajadores más tradicionales dedicados a los datos.

Por otra parte, debido a la creciente demanda de estos nuevos perfiles, en EEUU hay ya más de 70 masters en estas materias, para ayudar a futuros profesionales a desarrollar dichas habilidades.

En España la Universidad de Valladolid (UVA) ha decidido no quedarse atrás y ofrece el primer título que se imparte en España sobre Big Data, según fuentes de la institución universitaria, con un doble grado de Estadística e Informática que ha comienzado a impartirse este curso 2014/2015. [ii]

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 143, junio 2015. Referencia: Análisis/ Opinión, pg. 13 – "Datos y el Talento Analítico" – María José de la Calle. 

-----------------------------------------

[i] S. Ransbotham, D. Kiron and P.K. Prentice, “The Talent Dividend: Analytics talent is driving competitive advantage at data-oriented companies,” MIT Sloan Management Review, April 2015. URL: http://sloanreview.mit.edu/projects/analytics-talent-dividend/ último acceso 8/06/2015

[ii] http://www.elmundo.es/economia/2014/07/15/53c3f28322601d0f1e8b4593.html último acceso 8/06/2015 

 

On the Impact of the Internet on Whistleblowing

Sunday, 31 May 2015 Manolo Palao Posted in iTTi Views

Some people act according to their ethical / social / political beliefs and they act that way in spite of the costs and risks that such an attitude might entail. 

The behavior of many of them deviates often from their declared ideals, but in other cases it is pretty consistent. 

Occasionally, the price they pay is high and sometimes so high that —if publicly known— they are considered heroes, prophets or martyrs. 

If their sets of beliefs and their actions collide with the interests of the establishment, they are often proscribed as revolutionaries or criminals. 

But public opinion (except in non-democratic societies) is not monolithic and –for this reason­– individuals considered criminals by certain groups may be considered saints by others. 

The Internet (in those societies where it has already become a commodity) grants a powerful tool easy to use, with low-entry barriers, to propagate activism and hacktivism and is a field of operations for black and white hats.  

The ease of use and relative anonymity / impunity of the Internet may be a new mean for whistleblowers (who previously used the post or the newspapers) but it is hard to accept that it fosters the disclosure of wrongdoings. 

A different story is the strong pull effect of cases like WikiLeaks or Snowden.

The media (and in particular the group of syndicated newspapers that covered the WikiLeaks case) played a significant role, providing / increasing WikiLeaks’ legitimacy and meant an awakening for millions of citizens. 

And this cooperative relationship / reinforcement media-whistleblowers is apparently frequent, with its ups and downs. 

Prof. Gabriella Coleman [i] from McGill University, who has researched for years the cultures of hacking and digital activism, covers that issue —among many others— in an interesting book [ii], reporting a visit to the Canadian Security Intelligence Service (CSIS), the Canadian equivalent of the CIA, emphasized the role of the press. 

Mr. Ben Wizner [iii], Director of the Speech, Privacy, and Technology Project at American Civil Liberties Union, takes a similar stance [iv].

The current amplifying effect of the media and social networks is amazing. 

Bruce Schneier [v] has estimated [vi] that 700 million people modified their behavior as a result of Snowden’s disclosures, even if the mainstream media coverage was limited and biased by sorting out and publishing only the less technical issues.

* * *

----------------------------------

[i] http://gabriellacoleman.org  http://en.wikipedia.org/wiki/Gabriella_Coleman 

[ii] “The joke opened the door to further conversation concerning the media's central role in amplifying the power of Anonymous. One CSIS agent shared his anger at the media for making this collective of collectives more powerful than they ought to have been. I was, I have to admit, relishing the fact that the G-men and Anons, mutually opposed at one level, were nevertheless (very loosely) allied in holding an ambivalent attitude toward the mass media. We all agreed that the media had helped to make Anonymous what it was today” [emphasis, mine].  Coleman, G. (2014). Hacker, Hoaxer, Whistleblower, Spy: The Many Faces of Anonymous ISBN 9781781685839. Introduction. “I did it for the lulz”. 

[iii] https://www.aclu.org/bio/ben-wizner  

[iv] “So I think the journalists play a very, very vital role. Now I think that they have played that role extremely responsibly. I haven't heard of a single case where a journalist reporting on the Snowden documents has done so without first consulting with the governments that are most relevant and would be most affected.” Retrieved 20150531  from https://www.youtube.com/watch?v=0_AtTPh_ySo&feature=youtu.be&t=42 

[v] https://www.schneier.com 

[vi] “And running the numbers, I calculated that 700 million people on this planet have changed their behavior because of the Snowden documents of the NSA's activities. Now, maybe they didn't really change their behaviour very much, maybe it wasn't effective, but I can't think of another issue that changed the behaviour of 700 million people on this planet”. Retrieved 20150531  from https://www.youtube.com/watch?v=9F6gc8ToXjA&feature=youtu.be 

 

17 de mayo Día mundial de internet: Internet para todos

Sunday, 17 May 2015 Maria Jose de la Calle Posted in iTTi Views

Banda Ancha: alta velocidad de acceso a internet siempre disponible y capaz de proveer de múltiples servicios simultaneamente [i].

"La integración digital reviste una importancia crucial para garantizar que todas las personas y todas las sociedades avancen al unísono"[ii]. 

iTTi se suma a la celebración de este día con este pequeño artículo que pone el acento en la esperanza de que Internet sea universal como bien de primera necesidad, y, por tanto accesible para todos en cualquier lugar del planeta. La brecha digital significa exclusión social, todo lo contrario a lo que se supone que internet significa como lugar común de inclusión para todos, dónde se hace posible lo que manifiesta el artículo segundo de la Carta de Declaración de Derechos Humanos de Naciones Unidas: "... sin distinción alguna de raza, color, sexo, idioma, religión, opinión política o de cualquier otra índole, origen nacional o social, posición económica, nacimiento o cualquier otra condición."[iii]

Muchos son los documentos en los que se resalta la importancia, como motor de desarrollo social y económico, de construir una sociedad de la información en la que puedan participar todas las personas, sin exclusión, creando contenidos, servicios y aplicaciones, utilizándolos y compartiéndolos libremente y de una manera fiable. 

Para conseguir esto hay dos acciones importantes a tomar, una tecnológica, haciendo llegar a todos los individuos la posibilidad de conexión -la banda ancha- y otra política, entre los distintos países del planeta y dentro de un país, donde armonizar los derechos y deberes de todos en el espacio público que constituye el ciberespacio e impulsar medidas para su implementación y uso. 

* *

En el mes de mayo de 2010 UIT [iv] y la UNESCO [v], crearon la Comisión de la Banda Ancha para el Desarrollo Digital [vi] en respuesta a un llamamiento del Secretario General de las Naciones Unidas, Ban Ki-Moon, dentro del programa de "Objetivos de Desarollo del Milenio" [vii]. La Comisión aspira a promover la importancia de la banda ancha en la agenda política internacional ya que la expansión del acceso a esta última en cada país es clave para acelerar el progreso hacia las metas del mienio para la fecha objetivo del 2015, en el que, por cierto, ya estamos.

En el 2011 la Comisión acordó un conjunto de cuatro objetivos que todos los países alrededor del mundo deberían luchar por alcanzar, en el 2015, con el fin de asegurar la participación de toda su población en las sociedades del conocimiento del mañana, y posteriormente, en el 2013 amplió a un quinto, este con un horizonte temporal del 2020. Estos objetivos son los siguientes:

1. Obligación de una política universal de banda ancha: todos los países deben tener un plan nacional para el despliegue de la banda ancha.

2. El precio del servicio de conectividad de la banda ancha debe ser asequible para la población.

3. La conexión de los hogares a la banda ancha, como una de las mejores formas de atraer a las personas al uso de internet. Se fija un objetivo del 40% de los hogares en los países en desarrollo.

4. Conseguir conectar al 60% de la población en todo el mundo.

5. Conseguir la igualdad de sexo en el acceso a la banda ancha.

Como estamos en el 2015 sería bueno conocer el estado del arte en el cumplimiento de estos objetivos. Para ello, la Comisión ha publicado su último informe [viii], en el que se encuentran los siguientes datos:

1. El 71% de los países tienen un plan nacional para el despliegue de la banda ancha. (Datos de mediados del 2014).

2. Suponiendo que las personas pueden permitirse el acceso a la banda ancha si el coste es menor de un 5% de sus ingresos anuales, el 32% de la población en los países en desarrollo y el 1,5% en los países desarrollados no pueden permitirse pagar el acceso a la banda ancha. (Datos del 2013). Esto supone 1,2 billones de personas que no pueden permitirse el acceso fijo a banda ancha, y 2,6 billones el acceso móvil.

3. El 78% de los hogares en los países desarrollados tienen acceso a internet y el 31% de los hogares en los países en desarrollo. El objetivo del 40% parece que no va a ser fácil de alcanzar.

4. El 78% de la población en los países desarrollados está conectado y el 32% en los países en desarrollo. El objetivo del 60% mundial parece que no se va a conseguir habida cuenta de que esto son datos de finales de 2014, y esto supone una media del 40%.

5. La diferencia por sexos en el acceso a internet es de un 2% menor en la mujer que en el hombre en los países desarrollados y un 16% en los países en desarrollo, con datos del 2013. El objetivo de igualdad no está conseguido y, lo que parece más sorprendente -y alarmante- es que ni siquiera en los países desarrollados. 

* *

Por otra parte, hay iniciativas tecnológicas para proporcionar conectividad en cualquier punto del planeta, no sólo en zonas habitadas, como el proyecto Loon, de Google, que, según se describe en su página web [ix], se compone de una red de globos que viajará sobre el límite con el espacio exterior y está pensado para conectar a las personas que habitan zonas remotas o rurales y para llegar a las zonas con falta de cobertura. 

Otra solución tecnológica pasa por el uso de nanosatélites que, según un artículo de Forbes [x], de 2013, por su pequeño tamaño, tan pequeños como 10 cm3, cuesta menos de 1 millón de dólares construirlos y enviarlos al espacio, y estarían disponibles para cualquier sitio. 

Un ejemplo del uso de satélites para Internet, es el proyecto Outernet [xi], el cual distribuye contenidos de Internet, desde el espacio, de forma gratuita, y que a comienzos del 2016 lanzará tres nanosatélites. 

Estas soluciones tecnológicas resuelven el problema del acceso a internet en cualquier parte del planeta, proporcionando ubicuidad, y, por otra, y lo que sería deseable, el precio de ese acceso se reducirá considerablemente al entrar a competir estas nuevas soluciones con las actuales, que son locales.

* *

Falta mucho por hacer, pero con voluntad veremos el planeta, de verdad, como una aldea global, si no físicamente, al menos virtualmente al alcance de nuestros dedos.

Todos conectados y trabajando juntos ... 

* * *

--------------------------------------------

[i] Definición proporcionada por la Comisión de la Banda Ancha para el Desarrollo Digital en su último informe sobre el estado de la banda ancha, 2014. url: http://www.broadbandcommission.org/Documents/reports/bb-annualreport2014.pdf. último acceso 16/05/2015

[ii] Carta abierta de la Comisión de la Banda Ancha para el Desarrollo Digital a la Conferencia de Plenipotenciarios de la UIT de 28 de octubre de 2014. url: http://www.broadbandcommission.org/Documents/open-letter-itu-pp14-es.pdf. último acceso 16/05/2015

[iii] url: http://www.un.org/es/documents/udhr/ último acceso 16/05/2015

[iv] La UIT (Unión Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación – TIC url: http://www.itu.int/es/pages/default.aspx último acceso 16/05/2015

[v] Organización de las Naciones Unidas para la Educación la Ciencia y la Cultura. url: http://www.unesco.org/new/es/unesco/ último acceso 16/05/2015

[vi] url:http://www.broadbandcommission.org/about/Pages/default.aspx último acceso 16/05/2015

[vii] url: http://www.un.org/es/millenniumgoals/ último acceso 16/05/2015

[viii] url: http://www.broadbandcommission.org/Documents/reports/bb-annualreport2014.pdf. último acceso 16/05/2015

[ix] url: http://www.google.es/intl/es-419/loon/ último acceso 16/05/2015

[x] url: http://www.forbes.com/sites/techonomy/2013/11/10/nanosatellites-will-give-everyone-access-to-space/ último acceso 16/05/2015

[xi] url: https://www.outernet.is/en/ último acceso 16/05/2015  

 

Big Data y el sector financiero

Monday, 11 May 2015 Maria Jose de la Calle Posted in iTTi Views

El término Big Data (grandes datos) hace referencia a una tal cantidad de datos que desborda la capacidad del software habitual para ser capturados, gestionados y procesados en un tiempo razonable.

La utilidad última de los Big Data es la toma de decisiones. Se emplea, por ejemplo en los motores de recomendaciones en la web que sugieren productos a comprar o personas con las que se puede uno llevar bien o a las que interesaría conocer, que ayudarían a decidir qué productos adquirir o con quién relacionarnos.

Para ello las empresas de internet mantienen modelos estadísticos de cada uno de nosotros, nuestras vidas y nuestras costumbres -los famosos perfiles-, según el MIT en su artículo "The Power to Decide" ("El poder para decidir"). 

En el mundo financiero, en las bolsas de todo el mundo hay robots que operan en los mercados (trading bots) mediante algoritmos y soluciones heurísticas de un gran número de variables y datos, procesados a gran velocidad, sin intervención humana. En el extremo están las operaciones bursátiles de alta frecuencia -HFT, High Frecuency Trading-, que toman posiciones antes de que ningún operador humano (de la competencia) haya tenido tiempo de hacerlo.

Las empresas pioneras en tratar los grandes datos han sido las que tenían por una parte dichos datos, y por otra, la tecnología para tratarlos, es decir, las empresas tecnológicas: Amazon, Google, Apple o PayPal.

No es de extrañar que, al igual que en otros sectores como la prensa (Amazon con la compra de "The Washington Post) o la automoción (Google y su cohe automático), estas empresas estén empezando a ofrecer servicios que antes eran privativos del mundo financiero, como los pagos. Según McKinsey en su artículo "The digital battle that banks must win" ("La batalla digital que los bancos deben ganar"), estos actores tecnológicos están amenazando fuentes críticas de ingresos para los bancos, como son las comisiones sobre las transacciones de los particulares. 

Como afirma Francisco González, presidente del BBVA, en la publicación "C@mbio" del 12/2013 "Para los bancos, la buena noticia es que tienen una importantisima ventaja competitiva: el gran volumen de informacion del que ya disponen acerca de sus clientes. El reto es transformar esa informacion en conocimiento y utilizar este conocimiento para ofrecer a los clientes lo que desean." 

Pero si comparamos estos datos bancarios con los que ya tienen y generan minuto a minuto las empresas tecnológicas ya mencionadas, tanto en cantidad de individuos como en variedad de contenidos, que, analizados son una fuente de conocimiento sobre su comportamiento, estas últimas estarían mucho mejor posicionadas, ya que, además, disponen de la última tecnología y lo llevan haciendo más tiempo.

Tanto en los casos de ayuda a la toma de decisiones -la máquina sugiere varias alternativas de actuación- como en aquellos en que es la propia máquina la que actúa, la base es la misma: recogida de grandes datos, buenos algoritmos de procesamiento y potencia de cálculo para llevarlos a cabo. De estos tres factores, uno es de conocimiento del negocio -los algoritmos-, los otros dos son de tecnología.

A las empresas tecnológicas, por tanto, sólo les faltaría conocer el negocio -bancario-, y para esto tienen varias soluciones como pagar a las personas que lo tienen o comprar un banco.

Y a los bancos avanzar con la tecnología. La competencia de los bancos no es otro banco sino las empresas tecnológicas.

Dado que las TI son un componente esencial del negocio, es necesario que los consejos de administración adopten proactivamente decisiones acerca de la aplicación y el uso que se quiera hacer de las TI. De esta manera se conseguirá la transformación digital de los bancos, condición indispensable para su supervivencia.

* * *

Este artículo fué publicado originalmente por ComunicacionesHoy, nº 142, mayo 2015. Referencia: ESPECIAL / Banca y Seguros, pg. 26 – "Big Data y el sector financiero" – María José de la Calle.

 

Hacia un nuevo contrato social sobre la privacidad y seguridad digitales

Sunday, 26 April 2015 Manolo Palao Posted in iTTi Views

La Global Commission on Internet Governance  (GCIG) ha publicado este mes de abril "Toward a Social Compact for Digital Privacy and Security"[i], un importante documento de 29 páginas que —al considerar necesario restaurar la perjudicial erosión de confianza a que ha conducido la falta de un amplio acuerdo social sobre normas que regulen la privacidad y seguridad digitales— propone que todas las partes interesadas colaboren en la adopción de normas para un comportamiento responsable en el uso de Internet. 

Considera esencial que los gobiernos —en colaboración con todas las demás partes interesadas— adopten las medidas para restablecer la confianza en que la privacidad de todos se respeta en Internet y se proteja a personas físicas y jurídicas tanto de terroristas y cibercriminales cuanto del abuso por gobiernos y empresas en la recolección y utilización de datos privados.

El establecimiento de ese contrato social debe conducir a un compromiso global de seguridad colaborativa y privacidad, que ponga coto a las actuales largas y super-politizadas negociaciones.

Ese contrato social debería sustentarse en nueve dovelas:

1. Los gobiernos y otras partes interesadas, actuando tanto en sus propias jurisdicciones cuanto coordinadamente, deben proteger los derechos humanos fundamentales (incluyendo los de privacidad y protección de datos personales). 

2. La intercepción de comunicaciones en Internet y la recogida, análisis y uso de datos por las agencias policiales o de inteligencia debiera ser para fines claramente especificados a priori, autorizados por la ley (incluso la internacional de derechos humanos) y ajustados a los principios de necesidad y proporcionalidad.

3. Las leyes en concreto deberían ser públicamente accesibles, claras, precisas, completas y no discriminatorias, transparentes para individuos y empresas y tramitadas abiertamente. Debiera haber mecanismos robustos e independientes que aseguren la responsabilidad y el respeto de los derechos, cuyos abusos debieran ser corregibles y brindar remedio efectivo a los individuos cuyos a quienes hayan visto violados sus derechos por vigilancias ilegales o arbitrarias.

4. Las entidades que transmiten y almacenan datos usando Internet deben asumir más responsabilidad en la protección de datos ante ataques; y los usuarios (tanto los de pago cuanto los de los servicios llamados “gratuitos” debieran conocer y tener alguna opción sobre la totalidad de los usos comerciales de sus datos, sin por ello quedar excluidos del uso de software o servicios habituales para la participación en la era de la información. Tales entidades debieran también mostrar responsabilidad y ofrecer reparación en caso de una violación de seguridad.

5. Hay que revertir la erosión de la confianza en Internet causada por un mercado opaco que recoge, centraliza, integra y analiza ingentes cantidades de datos privados —una especie de vigilancia privada, al socaire de ofrecer un servicio gratuito.

6. Independientemente de la tecnología de comunicaciones, éstas deben considerarse privadas, entre las partes, de conformidad con la Declaración Universal de Derechos Humanos de Naciones Unidas. Debiera ser misión del gobierno reforzar la tecnología de la que dependen Internet y su uso; y no el debilitarla. 

7. Los gobiernos no debieran crear o pedir a terceros que creen “puertas traseras” para acceder a los datos, lo que supondría una debilitación de la seguridad de Internet. Debieran estimularse los esfuerzos de la comunidad técnica de Internet para incorporar a las normas y protocolos de Internet soluciones de mejora de la privacidad, incluso el cifrado —de cabo a rabo— de datos en reposo o en tránsito. 

8. Los gobiernos —en colaboración con los técnicos, las empresas y la sociedad civil— deben educar a sus públicos en buenas prácticas de ciberseguridad. Deben también colaborar en la mejora global de la formación y desarrollo de la fuerza de trabajo del software, para estimular la creación de redes más seguras y estables en derredor del mundo. 

9. La naturaleza transfronteriza de muchas formas significativas de ciber-intrusión limita la capacidad del estado que es blanco de la misma de prohibir, investigar y perseguir a los responsables de dicha intrusión. A fin de limitar las amenazas, y disuadir ataques futuros, los estados han de coordinar respuestas y prestarse asistencia mutua. 

* * *

[i]http://www.chathamhouse.org/sites/files/chathamhouse/field/field_document/20150415GCIG2.pdf  

 

Gobierno del Ciber-Riesgo

Monday, 13 April 2015 Manolo Palao Posted in iTTi Views

Parte I

En iTTi prestamos atención preferente al gobierno de las tecnologías (sobre todo informáticas) por quien tiene, en las empresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración [i]. 

‘Gobierno corporativo de las TI’ (GCTI)…

 «… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI"

… es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”.

El consejo de administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados…

…  conlleva dos ámbitos principales -a veces antagónicos-: el rendimiento [desempeño] y la conformidad…» [ii]

Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo. 

Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD[iii]) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo[iv]. 

Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba. 

Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.).

Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo [v]: 

1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI. 

No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8).

La “supervisión del riesgo debiera ser una función de todo el Consejo” [subrayado, nuestro], sin delegarla al Comité de Auditoría u otros comités. El Consejo en pleno debería recibir, al menos semestralmente, información-formación (briefing) sobre estos temas” (NACD 2014, p. 8). 

2. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa. 

Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros.

El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia. 

Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”. (NACD 2014, p.11). 

3. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma. 

Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”.

Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12).

4. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados. 

Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)[vi],[vii], que puede resumirse en:

- Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-.

- Crear un equipo con participación de todas las partes interesadas.

- Celebrar reuniones periódicas e informar al Consejo.

- Establecer una estrategia y un plan de gestión del ciber-riesgo de ámbito empresarial.

- Dotarlo de los recursos necesarios y de un presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal.

Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas[viii] del NIST –que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones. 

5. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques.

Propone que se debatan, al menos, las cuestiones siguientes:

- ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan?

- ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación de ciber-riesgos?

- ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos?

- ¿Cómo debiéramos evaluar el impacto de los cibereventos?

Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital...” (NACD 2014, p.9). 

El documento de la NACD ofrece otras muchas cosas: más listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias. Su estudio más detallado es de todo punto aconsejable.

* *  

Parte II  

Llegados a este punto, tenemos unas preguntas para el estimado lector. No es necesario que nos las conteste, respóndaselas Usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta:

         ¿Le parecen esos 5 principios …

… razonables?

                                … muy incompletos y necesitados de otros muchos?

                                … abstractos y por tanto inaplicables?

        ¿En la empresa de Usted, se aplican …

                                … plenamente?

                                … en gran medida?

                                … muy poco?

                               … bastante, pero no es el Consejo/Junta quien lo hace, sino la

                               Dirección Ejecutiva/Gerencia?

* * * 

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/02/2015.  

--------------------------------

[i] Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director.

[ii] De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. url: http://es.slideshare.net/iTTi_news/el-manifiesto-itti  [Consulta 20140825]

[iii] http://www.nacdonline.org/index.cfm.  [Consulta 20140825]. 

[iv] NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series. https://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687 [Consulta 20140825].

[v] Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura.

[vi] http://www.isalliance.org [Consulta 20140825].

[vii] ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826]. 

[viii] NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf 

 

La Internet de Todo y de Todos

Thursday, 09 April 2015 iTTi, Innovation & Technology Trends Institute Posted in iTTi Views

María-José de la Calle

Miguel García-Menéndez

Permítanos sumarnos, desde iTTi, a las actividades que, con motivo de la celebración del Día Internacional de la "Internet de las Cosas" (IoTDay), están teniendo lugar en la jornada de hoy. Y permita que lo hagamos con una reflexión acerca de los beneficios -algunos, al menos- de este nuevo paradigma. Sirva ello de contrapunto a anteriores análisis que, sobre los riesgos vinculados a la "IoT", hemos ido recogiendo en nuestras "Perspectives". Riesgos relacionados con el peligro que puede suponer la interconexión -a través de la Red- de aquellos objetos que nos rodean y que, por dicho medio, intercambian datos -bien entre ellos mismos, bien con nosotros- para alcanzar alguna meta determinada.

Ejemplo de ello son piezas como "'Internet de las cosas' o la peligrosa transformación del mundo real en virtual", la cual ofrece una perspectiva sobre la inseguridad que puede causar que las cosas del mundo real hereden las debilidades de los dispositivos computacionales que las tratan e interconectan, o "Troyanos materiales o la seguridad de las 'cosas'", que presenta la problemática de los troyanos 'físicos' (integrados en el hardware) que puede incorporar "de fábrica" cualquier producto o componente electrónico, de los que constituyen nuestro actual modelo de vida: automóviles, fotografías y ‘youtubes’, teléfonos, tráfico, iluminación, distribución de electricidad, agua, gas, sensores, controles, parquímetros, sanidad, equipos médicos, meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, el comercio y el ocio en la Red, y, aún, un muy largo etcétera. 

A partir de la relación dada en el párrafo anterior, cabría interpretar las consecuencias de la adopción de esos mismos objetos desde una perspectiva de las oportunidades y de los beneficios.

Tómese como ejemplo el automóvil, protagonista de la "Internet de los Coches" (o "de los Carros", como sin duda preferirán muchos de Uds.). Actualmente, y gracias a los mecanismos de posicionamiento por satélite que puede incorporar, cualquier vehículo sería capaz de guiarnos hasta nuestro destino. En el caso de los coches [hiper-]conectados las funcionalidades se amplían: mantienen el contacto y un permenente intercambio con el taller, gracias a una serie de sensores que permiten conocer el estado del propio vehículo, advierten de la necesidad de realizarles una próxima revisión, se comunican con sensores urbanos, los cuales informan sobre el estado del tráfico sugiriéndonos rutas alternativas o estacionamientos cercanos donde aparcar, etc. Nadie pondrá en tela de juicio que todo esto facilita la vida. Más aún lo hará el vehículo del futuro -ya presente- dotado de capacidades autónomas (vehículo autónomo o vehículo sin conductor) que permitirá un uso más generalizado del automóvil entre el colectivo de personas con alguna incapacidad.

Un segundo ejemplo lo constituyen las llamadas "ciudades inteligentes", las cuales estarían pobladas, a su vez, de domicilios inteligentes -permítanos jugar con el término "Internet de las Casas"-. El ser humano vive, principalmente, en grandes núcleos urbanos. Este hecho conlleva una serie de problemas derivados de la elevada concentración de personas, de forma tal, que cualquier incidente sería susceptible de afectar a una gran cantidad de individuos. Para minizar los efectos de dichos incidentes y ofrecer la respuesta más rápida posible, sería preciso disponer de: a) observadores, esto es, cámaras, sensores, medidores, etc., que permitiesen conocer el estado de las cosas en cualquier punto de la ciudad, en cualquier momento; b), acceso (vía comunicaciones) a todos los datos obtenidos por los mencionados "observadores", que facilitasen la toma de decisiones; y c), canales y mecanismos que habiliten una rápida comunicación al ciudadano sobre la mejor forma de actuar. Todo ello requeriría un amplio despliegue de máquinas interconectadas a modo de malla inteligente que cubriría toda la ciudad. 

Extendiendo este concepto de servicio público llegaríamos a hablar, también, de los datos tomados por los satélites que sirven tanto para la previsión meteorológica cuanto -junto a otros sensores- para advertir sobre la inminencia de terremotos o erupciones volcánicas. Recientemente han aparecido empresas dedicadas a la fabricación de nanosatélites, mucho más baratos que los que se tenían hasta ahora tanto en su construcción como en su puesta en órbita, ya que por su menor tamaño y peso necesitan mucha menos energía [i]. 

Finalmente, al igual que en los ejemplos anteriores, también las personas podemos dotarnos de sensores vinculados a objetos considerados de uso común. Hoy día, estos permiten medir los pasos que damos, analizar el aire que exhalamos [ii][iii], nuestro ritmo cardíaco y un largo y creciente etc. Estos dispositivos para llevar encima (del inglés "wearable") tienen una variada apariencia: relojes, pulseras, gafas, etc. Con los datos que proporcionan, se nos puede advertir de cualquier situación anómala en nuestro estado de salud y aconsejar sobre qué hacer. En una comunicación entre máquinas, como también ocurría con los vehículos y los talleres, nuestro propio centro de salud quedaría avisado, de modo que, desde allí recibiríamos la ayuda o las recomendaciones pertinentes. 

Gran parte de estos sensores no constituyen ninguna novedad. Lo verdaderamente innovador se encuentran en las actuales capacidades de comunicación entre ellos y de tratamiento de la enorme cantidad de datos que generan. De este modo ayudan a proporcionar una imagen más precisa de casi todo y una fuente de conocimiento no sólo para dar respuestas a lo inmediato, sino, también, en el medio y largo plazo, de forma que todo ello habrá de permitir mejorar las condiciones de vida de la humanidad. Sirva de ejemplo los estudios sobre el clima y cómo influyen en la producción de alimentos [iv] o en la vida en el planeta en general [v]. 

Como señalaba Bill Gates hace unos días, en un memorando remitido a los empleados de Microsoft con motivo del cuadragésimo aniversario de la empresa, es "hacer que el poder de la tecnología llegue a todo el mundo, conecte a todo el mundo y en cualquier lugar". Es hacer que todo y todos estemos conectados y trabajando juntos.

... cosas y personas. La "Internet of Everything" (IoE) y la "Internet of Everyone" (IoEO).

* * *

iTTi, 9 de abril de 2015, Día internacional de la "Internet de las Cosas" (IoTDay

---------------------------------------

[i]  http://www.economist.com/news/technology-quarterly/21603240-small-satellites-taking-advantage-smartphones-and-other-consumer-technologies 

[ii] http://www.designcouncil.org.uk/knowledge-resources/case-study/owlstone 

[iii] http://www.dailymail.co.uk/health/article-2613856/Theres-app-Mobile-phone-breath-test-check-signs-cancer.html 

[iv] ftp://ftp.fao.org/docrep/fao/010/i0112s/i0112s03.pdf 

[v] http://www.cell.com/trends/ecology-evolution/abstract/S0169-5347(05)00162-X?_returnURL=http%3A%2F%20%2Flinkinghub.elsevier.com%2Fretrieve%2Fpii%2FS016953470500162X%3Fshowall%3Dtrue 

 

Una aproximación multidimensional al gobierno corporativo de las tecnologías de la información

Monday, 23 March 2015 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

Un largo camino

Considerando los pasos que hemos recorrido en la última década y media en la materia que da título a esta monografía, "Gobierno Corporativo de las Tecnologías de la Información", sería fácil comenzar diciendo aquello de "este trabajo es la culminación de un largo camino ...". ¡Sería fácil y, desde luego, sería cierto!

Sin embargo, preferimos verlo con otra pers- pectiva y pensar que el lanzamiento de este especial de Novática, con la cortesía y complicidad de la Asociación de Técnicos de Informática (ATI), no supone para nosotros más que un nuevo hito en un viaje, iniciado hace dos años. ¡Permítanos explicárselo con detalle! 

Para empezar, remóntese tres lustros atrás y ubíquese en el año 2000. Superados los miedos al "efecto 2000", no sabemos qué le ocuparía en aquel verano; pero, con toda probabilidad, no sería el gobierno de las TI (¡todo lo más, su gestión!; aunque discutir ese importante matiz se aparta, por el momento, de nuestro interés). Lo afirmamos con esa rotundidad porque somos conscientes de que eran tiempos muy pioneros para la gobernanza tecnológica, con escasísimas oportunidades de encontrar foro alguno en el que dicha materia se tratase. (Naturalmente respetamos -no sin suspicacia- que Ud. siga insistiendo en que lleva dedicado a esto "toda la vida"). 

En todo caso, las referencias eran escasas. Sambamurthy y Zmud habían publicado su artículo "Arrangements for information technology governance: a theory of multiple contingencies"[i] sólo un año antes. Y la entonces Information Systems Audit and Control Association -ahora, ISACA[ii]- llevaba apenas dos años congratulándose por la creación de su IT Governance Institute (ITGI)[iii]; el mismo que hoy pretende desmantelar o reformar. 

Fue precisamente ISACA quien marcaría nuestro primer contacto con el término "IT Governance" al adoptarlo como parte de su "nuevo" discurso -obviamos, naturalmente, que por entonces llevaba años practicando ese mismo discurso, bajo la denominación "IT Control"-. Y lo hizo, en nuestro caso, a través de la versión 2 de su modelo de buenas prácticas CobiT[iv], publicada en 1998. La versión 3 aparecería aquel mismo verano de 2000. 

Al principio, no resultó nada trivial encontrarle una interpretación fácil de digerir al nuevo término, "governance". Las primeras lecturas del modelo no ayudaron en exceso; pero no mucho después terminaríamos advirtiendo que CobiT, en aquel momento, no era más que un referente para la gestión, no para el gobierno, de las TI. Un marco orientado a ayudar al CIO[v] a gestionar el departamento de TI (y a los auditores a supervisarlo). 

No obstante, a partir de aquel momento, respetaríamos siempre nuestro compromiso con COBIT. (Honestamente, nos reconocemos, sin rubor, entre los más activos impulsores de la difusión de, y la formación en, el modelo COBIT, en España, en la última década; aunque esa es otra historia...). 

En 2004 la publicación del libro "IT governance. How top performers manage IT decision rights for superior results"[vi], firmado por los profesores Peter Weill y Jeanne W. Ross, del MIT, tampoco aportó una definición amigable del término. El concepto quedaba claro, y lo hacía desde la nitidez que ofrecía el enfoque de los autores de plasmar el "gobierno de las TI en una página"[vii], una matriz en la que quedaban recogidas las responsabilidades sobre las decisiones en materia tecnológica dentro de la empresa. La definición, no obstante, seguía resultando farragosa: "La especificación de un marco de imputabilidades y derechos de decisión que fomente un comportamiento deseable en el uso de las TI"[viii]. 

Haría falta esperar sólo unos meses más, hasta la primavera de 2005, para que, finalmente, Craig Symons, entonces analista para la firma Forrester Research, nos aportase la luz que esperábamos al definir el gobierno de TI como "el proceso mediante el cual se toman las decisiones relativas a las inversiones en TI"[ix]. Una definición clara del concepto -así lo han reconocido siempre nuestros alumnos y audiencias-, que, desde entonces, nos ha acompañado, y de la que constantemente hemos lamentado no haber sido autores. 

Al otro lado del globo, sin embargo, las cosas parecían estar más claras. De hecho, parecía que llevaban claras bastante tiempo. Mientras los enfoques americanos, desde la época de Sambamurthy y Zmud, adolecían de un marcado sesgo CIO-céntrico -muy acusado en los casos de ISACA/ITGI, con la excepción de su "Board briefing on IT govenance"[x] de 2001, o de Forrester Research y algo más tenue en la propuesta de MITSloan/CISR-, en Australia la experiencia de algunos notables fiascos empresariales, con origen en una mala aplicación o control de las TI, había hecho saltar las alarmas a principios de la década del 2000, advirtiendo sobre la responsabilidad, en relación a la rendición de cuentas en materia de TI, que tenían los máximos órganos de gobierno de las entidades afectadas.

En enero de 2005, el organismo normalizador australiano publicaba la norma "AS 8015: 2005. Corporate governance of information and communication technology"[xi], la cual ponía el acento, certeramente, en el papel de los consejeros-administradores en la toma de decisiones tecnológicas clave. Poco tiempo después recogería el testigo la comunidad internacional, elevando a categoría de norma ISO el texto australiano, bajo la nueva codificación "ISO/IEC 38500:2008. Corporate governance of information technology"[xii]. 

Mientras observábamos los pasos que se daban en el panorama internacional, continuamos nuestra labor divulgativa. De ese modo, un 7 de febrero de 2007 aparecería "Gobernanza de TI"[xiii], la "Bitácora sobre el Buen Gobierno Corporativo de la Información y sus Tecnologías Afines"; hoy decana, en el mundo hispanohablante, entre las dedicadas a tratar estrictamente esta disciplina. ¡Aún pueden visitarla! Todavía alberga interesantes mensajes; si bien, hace ya tiempo que dejamos de prestarle la atención que merecía. De lo escrito en ella -información, formación y opinión, dijimos entonces- permítanos rescatar, al menos, dos piezas.  

En primer lugar, por orden cronológico, la crónica de la cena anual del Instituto de Consejeros-Administradores de 2009 [xiv], en la que tuvimos oportunidad de presenciar el alejamiento de los consejeros españoles de los temas tecnológicos. Y, en segundo término, la entrevista a Mark Toomey [xv], uno de los padres -sí, tuvo varios- de la AS8015 y primer editor del proyecto ISO38500, a quien tuvimos ocasión de acompañar extensamente en sus dos visitas a España (la de noviembre de 2009 y la de septiembre de 2011). 

La primera visita de Toomey a España sirvió para la presentación de su flamante libro "Waltzing with the Elephant"[xvi], en cuya posterior traducción al español [xvii], realizada por nuestro buen amigo Juan Pardo Martínez, tuvimos cierta participación. El libro se centraba en, y ampliaba y explicaba los dictados de la norma ISO38500, a la cual ya llevábamos prestando atención desde antes de su nacimiento. 

Habíamos tenido la oportunidad de presentar la norma en España [xviii], en mayo de 2008, a escasas dos semanas de su publicación por ISO, en el Congreso Académico de itSMF España de aquel año; y, con motivo de su primer aniversario, en junio de 2009, también la habíamos homenajeado oportunamente, editando, para la firma Atos Consulting, un monográfico [xix] específico.

De aquella misma época fue el especial "Gobierno de las TIC" [xx], publicado en el número 191 de Novática, correspondiente a los meses de enero y febrero de 2008. Naturalmente, ese es el verdadero antecedente de la presente monografía y, por tanto, el reto a emular. 

En esa ocasión, nuestra aportación, realizada en compañía de otro buen amigo, Ricardo Bría -antiguo Vicepresidente Internacional de ISACA y del IT Governance Institute-, se materializó en un artículo que trataba de ofrecer una aproximación práctica a la puesta en marcha de un sistema de gobierno corporativo de las TI [xxi], basado en marcos de referencia de buenas prácticas. 

Uno de los marcos señalados en el artículo era Val IT, el verdadero primer marco de gobierno corporativo de TI de ISACA. Cierto, no fue COBIT, sino Val IT el primero que contempló el papel del consejo de administración en la toma de decisiones sobre las inversiones en actividades de la organización que estaban apoyadas en las TI. ¡Recuerde la definición de Symons! Aquel artículo sirvió, además, para acuñar el término "ad@ptarTM"[xxii], fusión de "adoptar" y "adaptar", en clara alusión al modo en que tales marcos de referencia habían de ser aprovechados.

Pero continuemos con más hechos relevantes. El primero de ellos, que creemos el más significativo de cuantos hemos venido relatando, volvía a tener como escenario un país anglosajón del hemisferio austral: Sudáfrica. El 1 de septiembre de 2009, el Institute of Directors in Southern Africa (IoDSA) revolucionaba el panorama internacional del gobierno corporativo, con la publicación de la tercera edición del código "King"[xxiii]. 

La Comisión King ya había sido pionera en 2002, al incorporar en la correspondiente edición un asunto inédito en los códigos de gobierno corporativo: la sostenibilidad. Ahora había llegado el momento del gobierno corporativo de las TI. A ello dedicaba el "Código King III" un capítulo entero, en el que detallaba las responsabilidades de los miembros de los consejos de administración en materia tecnológica, para las empresas cotizadas en la Bolsa de Valores de Johannesburgo. ¡Todo un ejemplo, que en los cinco años transcurridos podría haber sido emulado por otros reguladores! En España, por ejemplo, hemos asistido, recientemente, al proceso de actualización de nuestro "Código Unificado"[xxiv], en el que tal oportunidad se ha dejado pasar, como hemos venido denunciando, desde estas mismas páginas, en los últimos meses [xxv].

El otro hecho de cierto relieve ocurrido en estos últimos años ha sido el reconocimiento -si no explícito, al menos, sí por la vía de los hechos- por parte de ISACA, de que su modelo CobiT, que durante años había pasado por ser el referente en la puesta en marcha de sistemas de gobierno corporativo de TI, no merecía tal consideración. CobiT -con minúsculas, así se escribía hasta la versión 5- no era un marco de gobierno, sino un marco de gestión; una colección de buenas prácticas para facilitarle la vida al CIO dentro de su departamento de TI.

La sorpresa venía dada por el hecho de que COBIT -con mayúsculas-, en su versión 5, sí lo iba a ser. La nueva edición del modelo ofrecería una imagen más amplia de las implicaciones de las TI dentro de la empresa, unificando los mensajes subyacentes a su versión anterior, así como los recogidos en sus marcos hermanos Val IT y Risk IT, que sí ponían en escena a los consejos de administración, como ya habíamos adelantado más arriba.

Con ello y con la incorporación de un modelo de gobierno heredado -pese a no reconocerlo explícitamente- de la norma ISO38500, COBIT alcanzaba -podemos decirlo así- la mayoría de edad desde el punto de vista del gobierno corporativo de las tecnologías de la información. Hemos de indicar que, nuevamente, estuvimos en esa puesta de largo del flamante modelo: el 10 de abril de 2012, coincidiendo con el lanzamiento mundial de COBIT 5, tuvimos el honor de organizar, amparados por nuestros amigos de ISACA en Madrid, una sesión formativa sobre el nuevo modelo. Y volveríamos a estar presentes en el lanzamiento de la edición en español, un año después.

Suponemos que este bagaje -y algún otro- ofreció la suficiente confianza y estuvo en la raíz del encargo recibido hace unos meses, por parte de ATI, para la elaboración de la monografía que aquí presentamos. Sin embargo, nuestra relación con la Asociación había comenzado mucho antes. En el caso de alguno de nosotros, en 1975, el mismo año en que apareció, oficialmente, la veterana Novática. Ha sido precisamente con ésta, con la que hemos mantenido una relación más estrecha. Diversos artículos de variada temática, publicados a lo largo de estas décadas, así lo atestiguan. 

Pero, sin duda, la prueba más fiable de lo bien que ha rodado dicha relación la cons- tituye la serie "Auditoría SITIC (Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones)" -columna de aparición perió- dica dentro de la sección "Referencias Autorizadas" de la revista- a la que, junto a nuestra amiga Marina Touriño, hemos dedicado, como mínimo, los últimos veinte años. Hoy, sin embargo -y esto viene más a cuento-, nuestros esfuerzos se centran en una nueva serie, iniciada en 2013, bajo el título "Gobierno Corporativo de las TI". ¡Seguro que, a estas alturas, nuestro cambio de libretto ya no le sorprende! 

No habría de sorprenderle si, aparte de lo leído hasta este punto, le decimos que nuestras actividades conjuntas -con ATI- en materia de gobernanza de las TI habían comenzado unos años antes, cuando, con su patrocinio, comenzamos a impartir -actualmente en modalidad a distancia [xxvi]- los que han sido primeros cursos ofrecidos en España para la preparación de candidatos a las pruebas de certificación CGEIT, Certified in the Governance of Enterprise IT. Este mismo hecho nos llevaría a participar en el "I Foro Profesional TIC" organizado por ATI con motivo de la celebración del Congreso SIMO 2012 [xxvii].

Como le decíamos, este bagaje -y algún otro- ha servido de excusa para que nos decidiéramos, hace ahora dos años, a fraguar una iniciativa como ha sido la creación de un centro de análisis -"think tanks" los llaman ahora- ocupado en el estudio y la promoción de la disciplina del Gobierno Corporativo de las Tecnologías de la Información. Un centro desde el que tratamos de poner de relieve el papel de los individuos que se encuentran al frente de las organizaciones -consejeros/ administradores, principalmente, y otros directivos-, respecto de las decisiones que se toman en torno al uso que se hace de las TI. Y un centro que, al mismo tiempo, trata de ayudar y animar a los directivos informáticos a ganar en visibilidad y a convertirse en impulsores del negocio capaces de acelerar su crecimiento, mediante una óptima contribución de la tecnología.

Ese centro es iTTi, el Instituto de Tendencias en Tecnología e Innovación [xxviii], pionero en su género en el mundo hispanohablante, y que surge en un momento en el que los más veteranos institutos para el gobierno de las TI viven desiguales circunstancias. Así, el IT Governance Institute [xxix] de Chicago, como señalábamos antes, se encuentra en pleno proceso de reconversión hacia una fundación con fines educativos. Al Institut de la Gouvernance des Systèmes d’Information [xxx] francés no se le ha conocido actividad, al menos, aparentemente, desde hace cuatro años. Y, finalmente, el ITGI Japan [xxxi] parece gozar de buena salud y encontrarse en plena actividad. Con él ha alcanzado, muy recientemente, iTTi un -confiemos- fructífero acuerdo de colaboración. 

Visión multidimensional del gobierno corporativo de las tecnologías de la información

Ahora que iTTi y sus antecedentes le han sido presentados formalmente, advertirá Ud. la firme postura que defiende el "think tank" español a la hora de interpretar el término "gobierno" aplicado a las TI. Dicha postura, recogida en su reciente publicación "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información" [xxxii] no es otra que la que subyace a esta frase del Prof. G. Vaughn Johnson: "Information systems are too important to leave them to computer professionals alone" (Los sistemas de información son demasiado importantes como para dejarlos sólo en manos de los informáticos)[xxxiii], acuñada en 1990. 

Sin ánimo de caer en ningún extremo, pero conscientes y convencidos de la verdad que encierra la frase del Prof. Johnson, hemos de reconocer que la dirección y el control -esto es, el gobierno- de las TI constituye un territorio fronterizo, por el que deambularán diferentes actores. De forma destacada, podría pensarse en los consejeros-administradores, en los ejecutivos y, entre éstos, el CIO (en sus diferentes formas y representaciones actuales); así como en el resto de posibles interesados: en particular, los auditores.

Ello hace pensar que las actividades requeridas dentro de un sistema de gobierno corporativo de las TI serán, igualmente, abundantes en número y variedad. Por citar sólo algunas, cabría mencionar actividades como el establecimiento de directrices, la toma de decisiones, la evaluación de estrategias, el conocimiento y seguimiento de tendencias, la asunción de imputabilidades, la asignación de responsabilidades, la optimización de los desafíos (oportunidades y retos) y sus consecuencias, las evaluaciones de rendimiento, el "moldeado" de las conductas, propias y ajenas, la comunicación, etc. A nuestro juicio, todas estas -y otras- actividades son susceptibles de ser clasificadas y agrupadas en lo que podríamos denominar "dimensiones" del sistema de gobernanza tecnológica. Cabría, por tanto, pensar en una estructura de dimensiones (actividades) que, partiendo de una dimensión básica, transversal -la dimensión "0"-, permita engranar el resto de dimensiones del sistema de gobierno corporativo. 

Dimensión 0: Digitalización (necesidad de un buen gobierno de las TI en plena era digital)

Esta dimensión primigenia acoge actividades como la toma de conciencia, por parte de quienes estén al frente de la organización, de la necesidad de establecer el propio sistema de gobierno. Empleando un lenguaje de hoy, en nuestro contexto esta dimensión de base podría denominarse la dimensión de la "Digitalización", y marca la necesidad de dotarse de un buen gobierno corporativo de las TI y, como consecuencia, de las competencias pertinentes, por parte de quienes han de rendir cuentas sobre la marcha del referido sistema, en las organizaciones de la era digital.

Dimensión 1: Rendición de cuentas sobre "lo digital" (creación de estructuras organizativas y perfiles, y adopción de marcos de referencia para gobernar el uso de las TI) 

El conjunto de actividades derivadas de la toma de conciencia inicial sobre la necesidad del sistema de gobierno es aquél en el que los individuos al frente de la organización fijan las responsabilidades -suyas y ajenas- y asignan la autoridad que permita ejercer, con garantía, las anteriores responsabilidades. Adicionalmente, son propias de esta dimensión las actividades encaminadas a definir las estructuras organizativas de apoyo al sistema de gobierno y los perfiles de quienes las constituyan; y, finalmente, a ad@ptarTM marcos de referencia que faciliten y agilicen la puesta en marcha del referido sistema en el seno de la organización. 

Dimensión 2: Estrategia digital (alineamiento-sincronización TI- Resto_del_Negocio / Resto_ del_ Negocio-TI)

Las actividades de orientación (fijación de una dirección a seguir), de planificación estratégica, de evaluación de la estrategia, de aprobación (en su caso) de dicha estrategia, de acercamiento entre las áreas de TI y el "Resto_del_Negocio" (y viceversa), etc., constituyen algunos de los pasos a dar en la construcción de una estrategia digital, como reza el nombre de esta nueva dimensión del sistema de gobierno corporativo de las TI. 

Dimensión 3: Perturbación digital (contribución de las TI a la innovación del negocio y a la generación de valor)

El conocimiento de las tendencias tecnológicas y su grado de adopción, el conocimiento del nivel de digitalización de la competencia, la identificación de nuevas propuestas de inversión en actividades soportadas por "lo digital", su evaluación y priorización, la propia innovación, interna y externa, son todas ellas actividades que dan sentido a esta dimensión número 3. Esta dimensión recoge, además, el aspecto estratégico y positivo de los desafíos: las oportunidades a considerar. E incluye el riesgo de omisión de oportunida- des, por mala información y/o decisión. 

Dimensión 4: Consecuencias digitales (gobierno corporativo del riesgo tecnológico)

Nos referimos aquí a las malas consecuencias derivadas del uso de las TI, tanto las de naturaleza estrictamente operativa (aquellas relacionadas con la protección de la información), como las derivadas de riesgos en proyectos de base tecnológica, de fusiones o adquisiciones, de desinversiones, etc., que afecten, o se vean afectadas, por los sistemas de información. Las acciones encaminadas a evitar esas consecuencias adversas o, en su defecto, a mitigar sus efectos quedarán amparadas bajo esta dimensión. Esta dimensión recoge el aspecto negativo de los desafíos: los riesgos tácticos y operativos a tratar. (Los riesgos estratégicos los hemos ubicado en la Dimensión 3).

Dimensión 5: Gestión de "lo digital" (optimización de los recursos de TI)

Los nuevos paradigmas y modelos de aprovisionamiento, explotación y operación de los sistemas de información, así como, indudablemente, los más tradicionales (incluidos los de desarrollo informático, dirección de proyectos o garantía de calidad) conforman el terreno de juego natural de la Función de TI. El líder tecnológico juega, en esta dimensión, en campo amigo. ¡De hecho, esto no es gobierno corporativo, esto es gestión de las TI! 

Dimensión 6: Vivencia digital (medida, valoración y evaluación del rendimiento de la organización digitalizada)

La supervisión -incluida la auditoría-, la medición, la valoración, la evaluación, la información, la rendición de cuentas, etc., son actividades fundamentales para el sistema de gobierno corporativo de las TI. Es el espacio propio de las métricas, medidas e indicadores; de los cuadros de mando; de la información por excepción y los procedimientos de escalado; de la medición del rendimiento de la organización digitalizada.

Dimensión 7: Comportamiento digital (el factor humano en el proceso de digitalización, la gestión del cambio cultural y la comunicación)

Los resultados medidos, las anomalías, debilidades y oportunidades de mejora detectadas en los procesos de evaluación -dimensión 6- han de comunicarse. Asimismo, las nuevas formas de hacer, impuestas por la puesta en marcha del propio sistema de gobierno corporativo de las TI, han de integrarse en la cultura corporativa, han de institucionalizarse. Las conductas han de contribuir del mejor modo a la consecución de un buen gobierno en el ámbito digital.

Esta aproximación multidimensional -o, dicho de otro modo, el intento de cubrir las diferentes dimensiones identificadas en este enfoque- es la que ha dado forma a la presente monografía. ¡Veámoslo!

Estructura y contenido de la monografía 

La estructura, contenido y, muy especialmente, calidad de la monografía que tiene delante, jamás habrían sido los mismos sin la participación de quienes, en respuesta a nuestra invitación, aceptaron conformar la nómina de autores. Aquella invitación iba acompañada de una breve referencia al enfoque multidimensional presentado anteriormente. Con ello se pretendía ayudar a los participantes a comprender lo que buscábamos y a acercarlo, de la manera más eficaz, a sus respectivos campos de especialización. De ese modo, quienes recogieron el testigo de nuestro reto han tratado de cubrir, siquiera, alguno de los aspectos señalados en cada una de las dimensiones presentadas.

Así ocurre con el primero de tales artículos, "Gobierno empresarial de las tecnologías de aplicación a los negocios: una perspectiva detallada de tres aptitudes relativas a la gobernanza tecnológica para los consejos de administración". Sus autores, la neozelandesa Elizabeth Valentine y el Prof. Glenn Stewart, de la Queensland University of Technology (Australia), realizan una propuesta de nuevas competencias sobre las tecnologías empresariales y su gobierno, de las que todo consejo de administración - mejor, aún, todo consejero- debería dotarse para afrontar, con garantía, la era digital. Valentine y Stewart cubren, con ello, la dimensión "0" de nuestra vista multidimensional relativa a "la necesidad de un buen gobierno de las TI" y de la toma de conciencia sobre el mismo, en plena era de la "Digitalización".

Los siguientes tres artículos se enmarcan en la dimensión 1, por cuanto nos hablan de diferentes marcos de referencia para la puesta en marcha de sistemas de gobierno de las TI y su contribución a la responsabilidad sobre la rendición de cuentas e imputabilidad en el ámbito corporativo. Así, el australiano Mark Toomey, de la firma Infonomics, en su "Transformación Digital: Una oportunidad perfecta para el buen gobierno de las tecnologías de la información", lanza una sugerente propuesta de modernización y puesta al día del modelo y los principios generales recogidos en la, todavía vigente, edición 2008 de la norma internacional ISO/IEC 38500. El Prof. Carlos Juiz, de la Universitat de les Illes Balears (España), en "La rendición de cuen- tas en las entidades públicas a través del gobierno de las tecnologías de la información" aprovecha, también, el hilo de la norma ISO mostrando un ejemplo real de aplicación -adopción y adaptación- de la misma en su propia universidad y presentándolo, además, como ejemplo de cómo un marco de gobernanza de las TI da cobertura a los objetivos de buen gobierno en el ámbito público propuestos recientemente por entidades como IFAC [xxxiv] y CIPFA [xxxv]. Finalmente, cerrando este grupo, el texto "Comprensión de los principios básicos del marco de gobierno empresarial de las TI, COBIT 5", de los Profes. Steven de Haes y Wim van Grembergen, de la Antwerp Management School (Bélgica) y del Prof. Roger Debreceny, de la University of Hawaii at Manoa (EEUU), hace un recorrido por el marco de referencia para el gobierno y la gestión de las tecnologías de la información COBIT, analizando el origen de los cinco principios clave por los que aquél se rige. 

Continuando con nuestro repaso a los contenidos de la monografía, el artículo "Directores de informática y directivos de negocio. Otra ‘brecha digital’", del Prof. José Ramón Rodríguez, de la Universitat Oberta de Catalunya (España), cubre a la perfección la dimensión 2 de nuestro enfoque, al exponer las problemáticas relaciones que, con frecuencia, se observan entre las áreas de TI y las restantes-áreas-del-negocio, constituyendo un freno al alineamiento, sincronización y convergencia entre ellas. 

La dimensión 3, relativa a la perturbación digital y su contribución a la generación de valor, aparece, de nuevo, generosamente representada por un total de cuatro artículos. El primero de ellos, "Gobierno y liderazgo de las TI en la economía digital" del veterano consultor canadiense John Thorp, fundador de The Thorp Network. Thorp recupera sus ideas sobre la materialización del beneficio de las inversiones en actividades del negocio sustentado en las TI y, como ya hiciera Toomey, las acerca al contexto actual de la transformación digital de las organizaciones. Sobre la base de estos principios, el español Julio Saiz, de Adecco (Suiza), y fiel seguidor de las tesis de Thorp, construye su particular enfoque, que queda recogido en "Gestión de carteras en toda su extensión. De la concepción de la idea a la materialización de los beneficios". Por el lado de la innovación y lo perturbador nuestro buen amigo Eduardo Rodríguez Ringach, en "Cuatro ejemplos de perturbación digital", realiza un repaso a los cuatro perturbadores digitales del momento: lo social, lo móvil, la analítica de datos a lo grande y la nube. Finalmente, Fran Chuan, de la firma Dícere (España) plantea un interesante debate sobre la contradicción que se produce al demandar innovación a unos departamentos de TI que mantienen, en muchos casos, una rigidez ancestral, en sus estructuras, procesos, etc. Sus reflexiones compartidas dan forma al artículo "Tecnología, liderazgo y valores. Innovación síncrona o asíncrona".

Dos autores más, el Prof. George Westerman, del Center for Digital Business del MIT (EEUU) y nuestro colega, el español Carlos Bachmaier Johanning, se encargan de cubrir el espacio correspondiente a la dimensión 4 sobre las consecuencias de "lo digital". Westerman, en "Cómo abordar el diálogo sobre el riesgo en las TI" retoma su discurso de las "4 A’s" [xxxvi], plasmado en su obra "IT Risk: Turning Business Threats into Competitive Advantage"[xxxvii], recordándonos, en una breve, pero interesante pieza, que los riesgos vinculados a la aplicación y uso de las TI van más allá de los retos que pueda plantear la seguridad de la información, a pesar de lo que más de uno pueda creer y predicar. Bachmaier, paralelamente, repasa los prin- cipales modelos y normas de referencia en materia de gestión riesgos [de TI], introduciendo un nuevo término -"desafío"- en su "Gobernanza de desafíos (la mayoría los llama riesgos)" para referirse a los citados riesgos y oportunidades. 

Los profesores del IESE de la Universidad de Navarra, Sandra Sieber (EEUU) y Josep Valor (España) contribuyen a la dimensión 5 sobre la gestión de "lo digital" con su "Hacia un nuevo perfil de CIO en un mundo cada vez más digitalizado", en el que ponen de relieve las implicaciones para las organizaciones -y para sus CIOs- de los nuevos paradigmas y modelos de aprovisionamiento, explotación y operación de los sistemas de información. 

La dimensión 6 de nuestro enfoque multidimensional queda representada con una nueva aportación de Julio Saiz, quien, con su artículo "La importancia de las cosas sencillas" nos ofrece una serie de recomendaciones que permitirán abordar, con sencillez, las tareas de medición del rendimiento y presentación de información, dentro de la organización, en el escenario digital.

Por último, este especial llega a su fin con sendos artículos de los españoles Domingo Gaitero, fundador de ProcesoSocial, y nuestro Manolo Palao, de iTTi, quienes, a través de "El factor humano en las tecnologías de la información" y "Cambio organizativo, cambio de comportamiento o cambio cultural", respectivamente, nos recuerdan el papel clave del componente "personas" en toda iniciativa que conduzca a la transformación digital de la organización. Queda, por tanto, de este modo, oportunamente representada la última dimensión, la 7, de las propuestas más arriba.

Agradecimientos

Llegados a este punto, no podemos dejar de reconocer lo afortunados que nos hemos sentido en nuestro papel como editores de esta monografía.

Por ello, hemos de dirigir, en primer lugar, nuestro agradecimiento a la Asociación de Técnicos de Informática, a su Junta Directiva y a quienes están al frente de su revista corporativa, verdaderos valedores de nuestra fortuna. Muy particularmente agradecemos al director de Novática, nuestro amigo Llorenç Pagés, la confianza que hace meses depositó en nosotros para abordar este trabajo y la paciencia y comprensión de que ha hecho gala en todo este tiempo, incluso en los momentos en los que la presión del calendario se hacía más acuciante.

Agradecemos, como ya hemos dicho, la amable respuesta que obtuvimos a nuestra invitación, realizada meses atrás, por parte de los verdaderos artífices del texto que tiene hoy en sus manos: sus autores. En todo momento Elizabeth, Glenn, Mark, Carlos, Steven, Roger, Wim, José Ramón, John, Julio, Eduar- do, Fran, George, Carlos, Sandra, Josep y Domingo han derrochado su esfuerzo, conocimiento y agudo análisis con el ánimo único de ofrecerle un producto de calidad, actual y que recoge las principales corrientes de pensamiento, del panorama internacional, sobre el Gobierno Corporativo de las Tecnologías de la Información y otras disciplinas afines. A todos ellos nuestra gratitud y reconocimiento.

Queremos dedicar un cariñoso agradecimiento, también, a quienes, aún no habiendo participado finalmente en el monográfico - problemas personales y de agenda, en unos u otros casos, lo impidieron-, sí quisieron aplaudir la iniciativa, en aquellos primeros momentos, y animarnos a concretarla. Nos referimos a nuestro apreciado amigo, Juan Luís Rodríguez Sánchez del Álamo, entonces Presidente del Capítulo de España de la EOA, y a los profesores del Center for Information Systems Research del MIT, Peter Weill y Jeanne W. Ross.

Hemos podido percibir ese mismo entusiasmo -el nuestro y el de quienes nos han animado a abordar la iniciativa- en el seno de La Comunidad iTTi, el apéndice de iTTi concebido como foro de intercambio de experiencias, reflexiones y conocimiento, constituido, a día de hoy, por un centenar de directivos ocupados y preocupados por la contribución de las TI al progreso de sus organizaciones. A todos ellos, gracias; pero de manera muy especial a quienes se prestaron a tomar, inicialmente, la temperatura de los primeros borradores disponibles y a hacer de revisores de los mismos: Pedro Cano Desandes, de Sanitas; Erik de Pablo Martínez, de Repsol; Juanjo Martí Manzano, de la UOC; Óscar López Benito, de DKV Seguros; Ignacio García del Valle, de Praxair; Rafael Vargas Traid, de Tecnatom; Nuria Fuentes Sánchez, de Ferrovial; Walter Henríquez Távara, de Cuatrecasas, Gonçalves Pereira; José Jiménez Fernández-Mazarambroz; Albert Sabaté, de Cafés Bou; José Manuel Rivero González, de Telefónica España; Oriol Verdura, de Grup Sehrs; Julio Saiz, de Adecco; Félix Ccoicca, de Banco de Crédito del Perú; Mercedes Sánchez Rodríguez de Guzmán; Carlos Fuertes Santaeulalia, de Symbiosis; Alberto Ruiz Román, de Sanitas; David Moreno del Cerro, de Grupo Cortefiel; Javier Morales, de GDF SUEZ Energía España; y, Juan Antonio Caloto, de la Asociación Española para la Calidad. Sus comentarios y contribuciones han elevado, sin duda, la calidad del producto final.

Y, finalmente, sin que ello desmerezca su contribución, agradecemos la desinteresada ayuda ofrecida por los miembros del Grupo de Trabajo de Lengua e Informática de ATI, Josep Moya Pérez, Mercedes Montes Rubio, Guillermo Méndez Lojo, César Recasens y Enrique de Guindos Carretero, quienes sacrificaron las tardes estivales del pasado mes de agosto disfrutando, suponemos, de los escritos remitidos por los autores foráneos que firman esta monografía; pero, al mismo tiem- po, traduciéndolos para que la edición en español de este especial viese la luz sin contratiempos.

¡Gracias a todos! También a usted.

* * *

 Este artículo fué publicado por la revista NOVÁTICA, nº 229, julio-septiembre 2014, como "Presentación" de la monografía sobre "Gobierno corporativo de las TI", en la que iTTi, por encargo de ATI, participó como editor invitado.  

-------------------------------------

[i] V. Sambamurthy, Robert W. Zmud. "Arrangements for information technology governance: a theory of multiple contingencies". MIS Quarterly. Vol. 23. No 2, págs. 261-290, 1 de junio de 1999. <http:// www.jstor.org/discover/10.2307/249754?uid= 2&uid=4&sid= 21104701238367>. Último acceso: 28/09/2014. 

[ii] <http://www.isaca.org>. Último acceso: 28/ 09/2014. 

[iii] El IT Governance Institute fue creado por ISACA en 1998. Durante años fue su "think tank" en materia de Gobierno Corporativo de TI y temas afines; y, de él, salieron las sucesivas versiones de CobiT (desde la 2, de 1998, hasta la 4.1, publicada en 2007). A partir de 2009, una nueva estrategia corporativa provocó el arrinconamiento de la marca ITGI. Hoy está en proceso de reestruc- turación para convertirse en una fundación educa- tiva. <http://www.itgi.org>. Último acceso: 28/ 09/2014. 

[iv] COBIT es el modelo de buenas prácticas de negocio para la gestión y el gobierno de las Tecnologías de la Información en la empresa, creado por ISACA en 1996. La vigente e innovadora versión del modelo, la 5, fue publicada el 10 de abril de 2012. <http://www.isaca.org/cobit>. Último acceso: 28/09/2014. 

[v] Chief Information Officer, el primer ejecutivo responsable de los sistemas y tecnologías de la información. 

[vi] Peter Weill, Jeanne W. Ross. "IT governance. How top performers manage IT decision rights for superior results". Harvard Business Press. 24 de junio de 2004. <http://hbr.org/product/it-governance-how-top-performers-manage-it-decisio/an/ 2535-HBK-ENG>. Último acceso: 28/ 09/2014. 

[vii] Peter Weill, Jeanne W. Ross. "IT governance on one page". MIT Center for Information Systems Research. 30 de noviembre de 2004. <http:// cisr.mit.edu/blog/documents/2004/11/30/mit_cisrwp349_itgovononepage.pdf/>. Último acceso: 28/09/2014. 

[viii] Peter Weill, Jeanne W. Ross. "IT governance. How top performers manage IT decision rights for superior results". Harvard Business Press. Pág. 8, 24 de junio de 2004.<http://hbr.org/product/it-governance-how-top-performers-manage-it- decisio/an/2535-HBK-ENG>. Último acceso: 28/ 09/2014. 

[ix] Craig Symons. "IT governance framework". Forrester Research Inc. Best Practices. Pág. 2. 29 de marzo de 2005. Este documento no se encuen- tra disponible actualmente en la web de Forrester Research, Inc. 

[x] ITGI. "Board briefing on IT governance, 2nd edition". 2003 <http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/ Board-Brie-fing-on-IT-Governance-2nd-Edition.aspx>. Último acceso: 29/09/2014. 

[xi] Standards Australia. "AS 8015-2005. Corporate governance of information and communication technology". 31 de enero de 2005. <http:// infostore.saiglobal.com/ EMEA/Details.aspx? ProductID=323828>. Último acceso: 29/09/2014. No obstante la norma fue sustituida en 2010 por la nueva AS/NZS ISO/IEC 38500:2010.

[xii] International Organisation for Standardisation / International Electrotechnical Commission. "ISO/IEC 38500:2008. Corporate governance of information technology". ISO/IEC. 1 de junio de 2008. <http://www.iso.org/iso/catalogue_detail?csnumber=51639>. Último acceso: 29/09/2014. 

[xiii] Miguel García-Menéndez. (con las valiosas y generosas contribuciones de Manolo Palao que impregnan toda la bitácora; en especial sus TexticulillosTM). "Gobernanza de TI. Bitácora sobre el Gobierno Corporativo de la Información y sus Tecnologías afines". 7 de febrero de 2007. <http:/ /gobernanza.wordpress.com>. Último acceso: 29/09/2014.

[xiv] Miguel García-Menéndez. "Promoviendo el Buen Gobierno Empresarial [... ¿de las TI?]". Gobernanza de TI. 24 de octubre de 2009. <https:// gobernanza.wordpress.com/2009/10/24/promo- viendo-el-buen-gobierno-empresarial/>. Último acceso: 29/09/2014.

[xv] Miguel García-Menéndez. "Entrevista con Mark Toomey, autor de ‘Waltzing with the Elephant’". Gobernanza de TI. 27 de noviembre de 2009. <https://gobernanza.wordpress.com/2009/11/27/ entrevista-con-mark-toomey/>. Último acceso: 29/09/2014. 

[xvi] Mark Toomey. Waltzing with the Elephant. A comprehensive guide to directing and controlling information technology. Infonomics, agosto de 2009. <http://www.infonomics.com.au/wwte. htm>. Último acceso: 29/09/2014.

[xvii] Mark Toomey. (traducción de Juan Pardo Martínez). Waltzing with the Elephant (Bailando el Vals con el Elefante). Una guía exhaustiva para la dirección y el control de la tecnología de la información. Infonomics, 2012. <http:// www.infonomics.com.au/BVE.htm>. Último ac-ceso: 29/09/2014.

[xviii] Miguel García-Menéndez. Gobierno Corporativo de las TIC. Retorno al origen del concepto gracias a ISO/IEC 38500:2008 (conferencia). itSMF España. Congreso Académico 2008, 13 de mayo de 2008. <http://homer.uc3m.es/audiovisuales/ 0809/Noviembre/AtosConsulting.wmv>. Último acceso: 29/09/2014.

[xix] Miguel García-Menéndez (editor) y otros. "Gobierno Corporativo de TI" (monografía). Atos Consulting, junio de 2009. 

[xx] Dídac López Viñas, Antonio Valle Salas, Aleix Palau Escursell, Willem Joep Spauwen (editores) y otros. "Gobierno de las TIC" (monografía). ATI. Novática, no 191, enero-febrero de 2008. <http://www.ati.es/novatica/2008/191/Nv191- Presentacion.pdf>. Último acceso: 29/09/2014. Esta página muestra únicamente el sumario del especial. El acceso a su contenido completo requiere disponer de credenciales para acceder a la intranet de ATI. 

[xxi] Manolo Palao García-Suelto, Ricardo Bría Menéndez. "Implantación de Buen Gobierno de los SI y las TIC ad@ptando CobiT, ITIL y Val IT: Una caricatura respetuosa". Monografía "Gobierno de las TIC", Novática no 191, enero-febrero de 2008.

[xxii] Y su version inglesa ad@ptTM. 

[xxiii] Institute of Directors in Southern Africa. "King Code of Governance for South Africa 2009". IoDSA, 1 de septiembre de 2009. <http://www.iodsa.co.za/resource/collection/94445006-4F18-4335-B7FB- 7F5A8B23FB3F/King_Code_of_Governance_for_SA_2009_Updated_June_2012.pdf>. Último acceso: 29/09/2014. 

[xxiv] CNMV. "Código Unificado de Buen Gobierno de las Sociedades Cotizadas". Comisión Nacional del Mercado de Valores, revisado en 2013. <https:// www.cnmv.es/portal/legislacion/COBG/ COBG.aspx>. Último acceso: 29/09/2014.

[xxv] Los autores se refieren a la serie de artículos que han comenzado a publicar en la columna "Gobierno Corporativo de las TI" de la sección "Referencias Autorizadas" de esta revista. La serie inició su andadura en 2013, con el número 224 de Novática

[xxvi] iTTi. "CGEIT online review course (Spanish/ Español). Curso CGEIT en línea, en español". <http://es.slideshare.net/iTTi_news/cgeit-online- review-course-2013-spanish-intro>. Último acceso: 29/09/2014.

[xxvii] Miguel García-Menéndez, Manolo Palao. "Sobre las certificaciones profesionales de carácter personal". <http://es.slideshare.net/iTTi_news/ 2012-0927-mpalaomgarciamenendez-atisimo2012sobre-las-certificaciones-profesiona- les-de-carcter-personal>. Último acceso: 29/09/ 2014. 

[xxviii] iTTi, Instituto de Tendencias en Tecnología e Innovación. <www.ittrendsinstitute.org>. 

[xxix] ITGI, IT Governance Institute. <www.itgi.org>.

[xxx] ITGI France, Institut de la Gouvernance des Systèmes d’Information. <http://cigref.typepad.fr/ itgifrance/>. 

[xxxi] ITGI Japan. <http://www.itgi.jp>. 

[xxxii] iTTi. "El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información". 15 de septiembre de 2014. <http://es.slideshare.net/ iTTi_news/el-manifiesto-itti>. Último acceso: 29/ 09/2014. Disponible, también, la versión en inglés en: <http://es.slideshare.net/iTTi_news/the-itti-manifesto>.

[xxxiii] G. Vaughn Johnson. "Information Systems: A Strategic Approach". Mountain Top Publishing. Pág 55, 1990. <http://www.amazon.es/ Information-Systems-A-Strategic-Approach/dp/ 0962553301>. Último acceso: 29/09/2014. 

[xxxiv] IFAC, International Federation of Accountants. <http://www.ifac.org/>.

[xxxv] CIPFA, The Chartered Institute of Public Finance and Accountancy. <http://www.cipfa.org/>.

[xxxvi] No confundir con los "4 Are ...?’s" citados en el artículo de John Thorp. 

[xxxvii] George Westerman, Richard Hunter. "IT Risk: Turning Business Threats into Competitive Advantage". Harvard Business School Press, 1 de agosto de 2007. <http://www.amazon.es/IT-Risk-Business- CompetitiveAdvantage/dp/1422106667>. Último acceso: 29/09/2014.

 

Políticas viudas y procedimientos huérfanos

Monday, 23 February 2015 Manolo Palao Posted in iTTi Views

Líneas viudas y huérfanas son aquellas líneas de un párrafo que la composición presenta aisladas,  al principio o final de una página. Sobre cuál sea una u otra, no parece haber consenso. En todo caso, son líneas que no parecen pertenecer a un párrafo, al no verse las precedentes o siguientes.

El mundo de la empresa (y otras organizaciones)  tiene, a veces, políticas  viudas y procedimientos huérfanos. Políticas sin soporte (de normas o procedimientos), procedimientos sin una política a la que llamar ¡madre!

Cuando la frecuencia de viudas y huérfanos es alta, el panorama es desolador, ante tanto déficit de allegados. Parece como si un siniestro —una sequía, una peste, una guerra— hubiera asolado esa organización. Y probablemente es cierto, han tenido la hambruna del desgobierno y no han recibido la lluvia benéfica del buen gobierno.

Las políticas las  promulga la autoridad competente (determinada por la ley, los estatutos y delegaciones).

Si alguien de menor autoridad prepara una política, lo que prepara es un borrador, no una política: será una política cuando la promulgue la autoridad competente.

Normas (‘estándares’, incluidas ‘métricas’)  y procedimientos  soportan y desarrollan las políticas.

Debe haber una doble trazabilidad ascendente-descendente: una norma que no corresponde a una política es arbitraria; una política sin normas o procedimientos probablemente es solo la expresión de un ideal.

  Políticas-Normas

 * *

Recientemente, en un curso que he impartido en una empresa tecnológica, he tenido la oportunidad de proponer a los participantes (una docena de titulados superiores, con cargos de cierta responsabilidad en la empresa) el siguiente ejercicio:

----------------------------------------------

Por Grupos

1 Escojan una norma o (preferiblemente) procedimiento en vigor y trácenlo ascendentemente a su política.Documenten/Referencien.

2  Escojan una política en vigor y trácenla descendentemente a sus normas o (preferiblemente) procedimientos. Documenten/Referencien.

3 Si les queda tiempo, repitan 1 o 2.

Tiempo: 15 min.

Puesta en común 15 min.

----------------------------------------------

El resultado fue frustrante para mí; no tanto, aparentemente, para los participantes (estarían habituados, supongo). Nadie pudo realizar los ejercicios 1 ni 2. Nadie conocía una política (escrita, publicada) que amparase el procedimiento escogido. Bueno, sí, hubo una excepción, alguien invocó la “Política de copias de seguridad” que —al aclarar que determinaba que “a las 02:00 de cada día se lanzaría el proceso…”— se aceptó que sólo era un procedimiento, bautizado de política. 

* *

Las políticas (escritas, publicadas) comprometen. Comprometen porque pueden invocarse en casos de incumplimiento flagrante (tan relativamente frecuente). 

Por ello, muchos órganos de gobierno son renuentes a formalizar políticas (que así quedan limitadas a consignas conspiratorias). 

Hace años conocí el original de una carta que el Presidente Ejecutivo de una multinacional europea dirigió a todos sus empleados. Copio a continuación unos párrafos traducidos literalmente (el nombre de la empresa es ficticio):

«En PAYESA tenemos ideas firmes sobre cómo llevar a cabo nuestro negocio. 

Creemos que los principios esbozados en este folleto son la clave de nuestro éxito (el de PAYESA y el nuestro personal). 

Una política escrita no es el camino más fácil para hacer negocios: lo es para hacerlos bien. 

No es fácil cumplir una política, es difícil. 

Por eso estamos juntos. Para conseguirlo. Si todos lo intentamos, entre todos lo conseguiremos

* * *

 

Identity Theft –A personal attack escalated to an organizational one

Friday, 20 February 2015 Manolo Palao Posted in iTTi Views

The goal and scope of ‘identity thefts’ has been traditionally considered to be individual: a method to illegally access somebody assets [i]. Nowadays there is evidence that it can be and is being used to steal corporations’ assets. 

A few days ago The New York Times published an article [ii] advancing a report to be published on Monday, by Kaspersky Lab, relative to the recent discovery of a massive bankers’ identity theft. 

“Kaspersky Lab says it has seen evidence of $300 million in theft through clients, and believes the total could be triple that”, “transferring millions of dollars from [more than 100] banks in Russia, Japan, Switzerland, the United States and the Netherlands” into rogue accounts, and turning on ATMs to dispense money at convenient times and places.

Since late 2013 and for nearly two years, hackers sent email containing malware to bank employees, succeeding to infect the banks’ systems, recording keystrokes and video, taking screen shots and controlling the banks’ computers remotely.

The hackers invested a significant amount of time in order to learn about the individuals and banks routine practices, “mimic[king] their activities” to impersonate bank officers and also limiting their fraudulent transactions to ‘reasonable’ amounts, easier to go undetected. 

In this way, the hackers succeeded at transforming individual identity thefts into a much more profitable heist.

* * *

[i] Wikipedia. (2015). “Identity theft is a form of stealing someone's identity in which someone pretends to be someone else by assuming that person's identity, usually as a method to gain access to resources or obtain credit and other benefits in that person's name”. Retrieved: 20150215. 

[ii] Sanger, D. E. and Perlroth, N. (Feb. 14, 2015). “Bank Hackers Steal Millions via Malware”. The New York Times. Retrieved: 20150215. 

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk