Follow us on:
Perspectives

Troyanos materiales o la seguridad de las ‘cosas’

Friday, 09 May 2014 Manolo Palao Posted in iTTi Views, IT Consequences

‘Troyanos’  es como ahora mal llamamos a los ‘caballos de Troya’, sometidos, como solemos estar, a la presión terminológica gringa.  Igual que ahora llamamos ‘químicos’ (y no ‘productos químicos’) al gas sarín y similares; además de  a ese viejo y respetable señor de la barba y la bata blanca. 

Los  caballos de Troya han sido físicos –materiales– siempre, desde hace 44 siglos [i], donde las leyendas recogidas en La Odisea de Homero y en La Eneida de Virgilio sitúan al precursor: el de Troya. Físicos, huecos y de madera. 

Con el surgir de la informática, los ‘troyanos’, en los últimos digamos 40-50 años,  se han sublimado y -de físicos y de madera- han pasado a ´lógicos’, al software y a la Nube. Y de algún modo, nos hemos acostumbrado a su presencia entre nosotros. Presencia ‘lógica’ pero no física, y nos hemos acostumbrado / resignado a su vida expansiva, a los riesgos que suponen, a los antivirus…

Vivimos –es ya un tópico-  en un mundo crecientemente interconectado e interdependiente, caracterizado por la alta  ‘interconexión de las ‘cosas’ [ii]. El  "Internet de las ‘cosas’ [things]".

Troyanos sólo lógicos, hemos tenido en los últimos 40-50 años; ¡pero sólo hasta ahora!

Porque, ahora, ya hay ‘troyanos’ físicos’ (aunque no de madera, sí de silicio). Las sospechas enunciadas en los últimos años, se han convertido en evidencias [iii].

En  mi opinión, la diferencia fundamental –desde un punto de vista de seguridad (seguridad de las cosas)- entre los troyanos ‘lógicos’ y los’ físicos’ es que mientras los primeros, los lógicos, dependen de una probabilidad de infección  (0 ≤ p ≤1), el parque de productos o componentes con un troyano ‘físico’ tienen la infección con toda certeza (p=1). 

Si un producto o componente tiene un subcomponente que contiene un troyano, también lo tendrán todos sus hermanos de lote o de serie de fabricación, y todos los ensamblajes y sistemas ulteriores que contengan dicho producto o componente [iv].

Y esto plantea --a gobiernos, empresas, científicos y profesionales-- un reto enorme  y probablemente muy subestimado [v].  Porque el alcance del riesgo rebasa --en órdenes de magnitud-- a las hasta ahora consideradas ‘infraestructuras críticas’  (como señala la Nota 4), para potencialmente alcanzar la totalidad de nuestro actual modelo de vida: automóviles, fotografías y ‘youtubes’, teléfonos, tráfico, iluminación, distribución de electricidad, agua, gas, sensores, controles, parquímetros, sanidad, equipos médicos, meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, el comercio y el ocio en la Red, y un muy largo etcétera.

Abordar a tiempo y con eficacia esta temática exigirá, con toda seguridad, esfuerzos titánicos (en concienciación, divulgación, conciertos internacionales, tratados y leyes, marcos y normas,  grandes inversiones) que se traduzcan  en gestión y control de calidad, evaluaciones y certificaciones de procesos y productos y sus productores, auditorías y aseguramiento.  

Y que las evaluaciones, auditorías y certificaciones se realicen con competencia e independencia extremas. ¿Será esto posible?

No parece que estemos aún en esa senda, por lo que la seguridad de las cosas está en entredicho y por ende la seguridad de las personas y de su modelo de vida, que es lo que al final debe importar. Por ello son loables algunas iniciativas prometedoras, que intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario y tratamiento tradicionales [vi]. 

Por acabar con una nota más ligera, no todo es malo en el tema de los ‘troyanos materiales’ (potenciales o reales). Acabo de adquirir un excelente portátil “Lenovo” con una calidad- precio muy atractiva, probable consecuencia del boicot a dicha marca (razonable, a mi juicio) de muchas agencias gubernamentales y –por su influencia—de muchas grandes empresas.  

Pienso que la sensibilidad de la información que yo manejo, frente a supuestos intereses chinos, es muy baja. Aunque, claro, no se debe olvidar que la mejor definición de ‘sensible’ es la que dé (o piense y calle) el atacante.

* * *

Este artículo se publicó por primera vez en la revista "Magazcitum", el 5 de Febrero del 2014. 

----------------------------------------------

[i]  http://en.wikipedia.org/wiki/Trojan_War 

[ii] “Ubiquitous Computing is fundamentally characterized by the connection of things in the world with computation”.  Mark Weiser and John Seely Brown: The Coming Age of Calm Technology. OCT 1996.

[iii] Pierluigi Paganini An undetectable Hardware Trojan is reality

[iv] Con algún mayor rigor técnico, en los ensamblajes y sistemas, sólo quedarían afectados aquellos que –por configuración HW o SW- dejaran activos los componentes con malware, no los que los dejaran inhibidos.

[v] "In recent years, hardware Trojans have drawn the attention of governments and industry as well as the scientific community. One of the main concerns is that integrated circuits, e.g., for military or critical- infrastructure applications, could be maliciously manipulated during the manufacturing process, ..." Stealthy Dopant-Level Hardware Trojans. 

[vi]  Por ejemplo,  el recientemente creado Centro de Ciberseguridad Industrial que se centra (en español) en la seguridad de la información industrial, intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario natural de desarrollo  -el mundo corporativo-.  O el proyecto CLDFP (Cyber Leader Development Framework) [actualmente –OCT 2013- en revisión] de CSFI, que se ha propuesto desarrollar un marco de competencias de los futuros ciber-líderes incluyendo temas de ciencias políticas, sociología, estrategia, y comunicación, entre otros.

 

iTTi Gloss: Enterpriser

Thursday, 20 March 2014 iTTi, Innovation & Technology Trends Institute Posted in iTTi Gloss

Definition of Enterpriser: Entrepreneur.  

Source Enterprise”. Merriam-Webster dictionary.  

Definition of Entrepreneur: a person who starts a business and is willing to risk loss in order to make money. One who organizes, manages, and assumes the risks of a business or enterprise. 

Source: "Entrepreneur". Merriam-Webster dictionary. 

 

What is an enterpriser?

  • Enterprisers believe the point of technology is to deliver customer-focused solutions and real business results.

  • They are constantly working to balance conflicting needs: hard reality and innovative possibility, ease of use and effectiveness.

  • Enterprisers believe that IT decisions will ultimately drive the success or failure of their enterprise.

  • They believe collaborating with their peers moves their business forward.

  • They build vision. They question everything. They take responsibility.”  

Source: "The Enterprisers Project". 

 

“ARE YOU AN ENTERPRISER?

The enterprise is ready to deliver more. More flexibility. More adaptability. More innovation. And today’s CIOs are helping unlock capabilities that will allow the enterprise to respond to business opportunities – and to create new ones. We call these CIOs "Enterprisers." And they are changing everything.” 

Source: "The Enterprisers Project". 

 

iTTi’s comment 

The CIO, as “The Enterprisers Project” proposes, would be natural champion of IT as drivers of innovation and boosting growth. But that implies counting on the rest of the organization, its objectives, strategy and policies. A sound starting approach would be to focus on the company’s governing body. If IT corporate governance is one of its explicit commitments then the technical capabilities provided by the IT will support the business capacities and outcomes, since the CIO's initiatives will be reinforced by organizational structures and investment in the company's portfolio. Top-down, you go from the company's objectives down to the IT objectives, which -when achieved- produce the company's objectives they are meant to serve.  

 

Related perspective(-s):

1.- iTTi Gloss: Corporate Governance of IT

2.- iTTi Gloss: CIO (Chief Information Officer) 

3.- Nueva sección, nuevos tiempos para el GCTI 

4.- Origen y evolución del concepto "Gobierno Corporativo de TI"

 

Hechos relevantes [2013]

Wednesday, 19 March 2014 Miguel Garcia-Menendez Posted in Corporate Governance of IT

De conformidad con lo dispuesto en el artículo 88 de la Ley 24/1988, de 28 de julio, del Mercado de Valores [i], modificado por el artículo 38.4 de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero [ii] y, posteriormente, por el artículo 9 de la Ley 6/2007, de 12 de abril, de reforma de la Ley 24/1988, de 28 de julio, del Mercado de Valores, para la modificación del régimen de las ofertas públicas de adquisición y de la transparencia de los emisores [iii], la española Comisión Nacional del Mercado de Valores habilitó un registro de “Hechos relevantes” [iv]. 

Con dicho registro, que reproduce la documentación recibida por la CNMV procedente de las diferentes entidades emisoras de valores, se da cumplimiento a la obligación de difusión y publicidad de toda información, considerada relevante, “cuyo conocimiento pueda afectar a un inversor razonablemente para adquirir o transmitir valores o instrumentos financieros y por tanto pueda influir de forma sensible en su cotización en un mercado secundario”.

* *

De igual modo, esta segunda entrega de la Sección Técnica  «Gobierno corporativo de las tecnologías de la información (GCTI)» trata de dar cumplimiento a la petición de Novática de recoger en este último número del año aquellos hechos singulares  -relevantes-,  ocurridos a lo largo de 2013, que mereciesen ser señalados y cuyo conocimiento pudiese afectar razonablemente a un lector para comprender e interesarse por el verdadero sentido de la expresión gobernar  -dirigir y controlar-  las TI, en el seno de una organización.

Enumerar algunos de los hitos alcanzados este ejercicio, pasa por recordar un par de hechos, ya señalados en la entrada inaugural de esta Sección [v]: 

  • en primer lugar, la publicación, el pasado 10 de abril, de la norma UNE-ISO/IEC 38500:2013. Gobernanza corporativa de la Tecnología de la Información (TI), por parte del organismo normalizador español, AENOR; y,

  • en segundo lugar, la aprobación, el pasado 10 de mayo, del Acuerdo del Consejo de Ministros del Gobierno de España por el que se creaba una Comisión de Expertos en materia de gobierno corporativo [vi], cuyas propuestas de modificaciones normativas, publicadas el 14 de octubre [vii], llegaban, de nuevo, a la mesa del Consejo de Ministros el viernes, 18 de octubre de este mismo año.

Lamentablemente, no parece que la Comisión haya tenido presente, como parte de la actualización regulatoria que pretende, los aspectos que imputan a los consejeros-administradores su papel en torno a la adopción y uso que, de las TI, se hace en sus organizaciones. 

Un tercer acontecimiento, fechado el pasado 27 de septiembre, captó, también, nuestra atención: la creación de la figura de Director de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado [viii] y el nombramiento de D. Domingo Javier Molina Moscoso para dicho cargo. ¿Supondrá esta elevación de nivel de las TI en el ámbito público una positiva toma de conciencia del Ejecutivo español en torno a la consideración que dichas tecnologías le merecen y, con ello, el inicio de una senda hacia una mejor gobernanza en materia tecnológica?

Sin duda, no les van a faltar, tanto al Gobierno, como al Sr. Molina, espejos en los que mirarse. Australia realizó un ejercicio de autocrítica en 2008 que bien convendría abordar en el seno de la AGE. El informe Gershon [ix], a instancia del Ministerio de Finanzas y Desregulación, concluyó con la necesidad de reforzar el débil marco de gobernanza de las TI en el conjunto de la Administración australiana. Más recientemente, el 19 de diciembre de 2012, el Gobierno Sudafricano, a través de su Departamento de Servicio Público y Administración, publicaba un marco normativo para la gobernanza de las TI [x], con un plan de acción puesto en marcha este año 2013 que pretende abarcar los diferentes niveles de la Administración  -central, regional y local-  del, estos días dolorido, país austral.

* *

Se acerca el día en que hechos relevantes en el ámbito de las TI corporativas merezcan incorporarse a un registro como el que administra la CNMV. Ello constituirá la evidencia palpable de que tales acontecimientos, en el seno de las sociedades, podrán afectar, también, a las decisiones que tomen los inversores. En determinadas sociedades, quizás, ya lo estén haciendo. ¡Tomen Uds. nota!

* * * 

Este artículo fué publicado por la revista NOVÁTICA, nº 225, septiembre-octubre 2013. Referencia: Ref. Autoriz. NOVÁTICA 225 – Hechos relevantes [2013] – Miguel García-Menéndez, Manuel Palao. 

--------------------------------------

[i] Ley 24/1988, de 28 de julio, del Mercado de Valores. BOE número 181, de 29 de julio de 1988.

[ii] Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero. BOE número 281, de 23 de noviembre de 2002.

[iii] Ley 6/2007, de 12 de abril, de reforma de la Ley 24/1988, de 28 de julio, del Mercado de Valores, para la modificación del régimen de las ofertas públicas de adquisición y de la transparencia de los emisores. BOE número 89, de 13 de abril de 2007.

[iv] El registro de “Hechos relevantes” de las entidades emisoras de valores puede accederse desde el formulario disponible en la sede web de la CNMV, en el enlace. 

[v] La Sección Técnica “Gobierno corporativo de las tecnologías de la información (CGTI)” de “Novática” fue inaugurada con la publicación del número 224 de la revista, el pasado 5 de diciembre de 2013. 

[vi] Orden ECC/895/2013, de 21 de mayo, por la que se publica el Acuerdo del Consejo de Ministros de 10 de mayo de 2013, por el que se crea una Comisión de expertos en materia de gobierno corporativo. BOE número 123, de 23 de mayo de 2013.

[vii] Estudio sobre propuestas de modificaciones normativas. Comisión de expertos en materia de gobierno corporativo, 14 de octubre de 2013.

[viii] Real Decreto 749/2013, de 27 de septiembre, por el que se nombra Director de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado a don Domingo Molina Moscoso. BOE número 233, de 28 de septiembre de 2013. 

[ix] Gershon, Peter;Review of the Australian Government's Use of Information and Communication Technology. Commonwealth of Australia, 28 de agosto de 2008. 

[x] The DPSA, Public Service Corporate Governance of Information and Communication Technology Policy Framework. 19 de diciembre de 2012.

 

Profiling emerging leaders

Monday, 17 March 2014 Manolo Palao Posted in iTTi Views

Robert Denker has recently published a post entitled "Five key things to look for in emerging leaders"

His survey –for  rd&partners – found  the  following  5 top emerging competencies: 

  • Effective at collaboration

  • Delivers consistent and collective results

  • Manages her and others’ time

  • Effective in relationship management

  • Active meeting contributor

Little to do with Chicago-school portfolio management or cutting-edge SW technologies, to name a few.

Profiling with only 5 criteria may make it hit the news; if you want to be serious, you’ll probably be considering 50+. 

 

iTTi Gloss: CFTO (Chief Financial and Technology Officer)

Thursday, 13 March 2014 iTTi, Innovation & Technology Trends Institute Posted in iTTi Gloss

"CFOs are at the forefront of this exciting business transformation. Like any other business transformation, CFOs need to take a balanced approach that includes technology enablement for information delivery, risk management, internal controls, fraud/cyber security, and ethical concerns to help lead organizations successfully into the future.” 

Source: CFOs Must Tackle Technology in the New Year”. Imaleadership, January 23, 2014. 

 

"Driven by the increased reliance on cloud and mobile technologies and Big Data, the CFTO has emerged as a valuable player in ensuring that businesses properly address the challenges and opportunities that come with these new technologies. To that end, this hybrid professional will likely be responsible for managing both finance and information technology and ensuring that organizations are properly managing Big Data assets to enhance profitability and economic value."

Source: Rise of Chief Financial Technology Officer. Kforce, January 28, 2014. 

 

"Trained to gather and analyze structured and unstructured data and to model and benchmark information, accountants and the finance function can provide a new and business-critical service to senior management and boards: making big data smaller, distilling information into the insights that improve decision making and transform organizations."

Source: Big data: its power and perils. ACCA and IMA by The Futures Company, November, 2013. 

 

iTTi’s comment

CFTO or CTFO? Shall the CFO have technological skills? Or it's the CTO / CIO who shall have financial skills?

The IT have pervaded all company realms and they are used as a tool or means to enable the the company to develop business. Does that mean that we should add a “T” or an “F” to all members of the C-suite? 

Wouldn't it be more adequate to have the Board make all corporate governance of IT decisions? Decisions leading to set organizational structures to implement the IT-enabled business strategy.

Both the CIO and the CFO are part of the company and they could be the ones implementing said strategy. Would the CIO have sufficient financial skills? Would the CFO have sufficient technological skills?

When the matter is to combine skills / competencies very apart from each other, what makes sense is a committee not a rare exceptionally gifted hybrid. 

 

Related perspective(-s):

1.- iTTi Gloss: Corporate Governance of IT

2.- iTTi Gloss: CIO (Chief Information Officer) 

3.- Nueva sección, nuevos tiempos para el GCTI 

4.- Origen y evolución del concepto "Gobierno Corporativo de TI"

 

 

Nueva sección, nuevos tiempos para el GCTI

Wednesday, 12 March 2014 Miguel Garcia-Menendez Posted in Corporate Governance of IT

En esta entrega inicial de la nueva Sección Técnica  «Gobierno corporativo de las TI (GCTI)» queremos, en primer lugar, felicitar a Novática por su sensibilidad al decidir incorporar esta disciplina a sus Referencias Autorizadas; y agradecerle la confianza depositada en nosotros al encomendarnos su redacción. Confiamos en no defraudar ni a los lectores, ni a la revista. 

Además, este alumbramiento llega, muy oportunamente, cuando las autoridades económicas del país tienen sobre su mesa la que será cuarta reforma[i]  -estamos obviando la versión actualizada[ii] del “Código Unificado” publicada por la CNMV este mismo año 2013-  de los códigos de buen gobierno corporativo que rigen a las sociedades cotizadas en España.

La iniciativa liderada por el organismo regulador nacional habría constituido una excelente oportunidad de incorporar las responsabilidades que, en materia tecnológica, recaen hoy en todos y cada unos de los consejos de administración de las empresas del IBEX-35, destinatarios últimos del futuro código.

Un ejercicio de optimismo  -tememos que inocente, en exceso-  nos lleva a desear esperanzados que tales aspectos se contemplen en la redacción final del documento que ha de aprobar el Gobierno.

¡Será el más moderno de Europa!, se nos ha dicho. Habría bastado cambiar de continente y fijar la atención en los desarrollos que, en esta materia, se han visto en Sudáfrica. El país austral, que ya va por la tercera edición de su código King, fue pionero al incorporar los aspectos de sostenibilidad en su revisión de 2004 (King II). Más recientemente (King III , 2009) ha vuelto a serlo al incluir el Gobierno Corporativo de las Tecnologías de la Información como una más de las responsabilidades de consejeros y administradores.

La actitud, sin duda visionaria, adoptada por el Sr. King en 2004 le ha llevado presidir GRI, el organismo internacional que establece las pautas de comunicación corporativa en materia de responsabilidad social. No sabemos a dónde le llevará su clara apuesta por el Gobierno Corporativo de las TI; sólo sabemos del posicionamiento de su país, desde 2010, dentro del emergente grupo de los BRICS.

Por todo ello, nos proponemos como uno de los objetivos de esta Sección que inauguramos el de informar sobre el estado y evolución del GCTI en España y en el mundo.

**

Antes de despedirnos, permítannos ofrecerles estas fuentes que nos parecen esenciales para adentrarse en esta disciplina: 

1. King Report on Corporate Governance in South Africa (King III, 2009). Dedica su capítulo 5 al gobierno corporativo de las tecnologías de la información.

2. La norma española UNE-ISO/IEC 38500:2013. Gobernanza corporativa de la Tecnología de la Información (TI) -traducción de la internacional ISO/IEC 38500:2008. Corporate governance of information technology-  (ambas oportunamente reseñadas en Novática).

La norma define ‘gobernanza[iii] corporativa’ como “el sistema por el cual se dirigen y controlan las organizaciones”, y  ‘gobernanza corporativa de las TI’ como “el sistema por el cual se dirige y controla el uso, actual y futuro, de las TI”.

Asimismo, la norma establece de forma diáfana la distinción entre ‘Gobierno corporativo de las TI’ y ‘Gestión de las TI’: aquel dirige y supervisa la gestión y el uso que se hace de la Informática dentro de la organización.

3. El Centro para la Investigación de los Sistemas de Información (CISR) de la Sloan School del MIT.

4. El marco y la familia COBIT 5: A Business Framework for the Governance and Management of Enterprise IT de ISACA, recientemente traducido al español por el Capítulo de Madrid de ISACA:COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.

5. El Instituto de Investigación sobre el Alineamiento y la Gobernanza de las Tecnologías de la Información (ITAG) de la Escuela de Dirección de la Universidad de Amberes (AMS). 

 

Desde esta misma página de la web de iTTi los dos autores de esta referencia y otros compañeros publicamos con cierta frecuencia información sobre GCTI.

 

Este artículo fué publicado por la revista NOVÁTICA, nº 224, julio-agosto 2013. Referencia: Ref. Autoriz. NOVÁTICA 224 – Nueva Sección, nuevos tiempos para el Gobierno Corporativo [de las TI] – Miguel García-Menéndez, Manuel Palao. 

----------------------------------------------

[i] Los códigos de buen gobierno corporativo que han estado, o están, vigentes en España, hasta la fecha, han sido: Informe Olivencia (1998), Informe Aldama (2003) y Código Unificado [Conthe] (2006). Todos ellos pueden consultarse en la páginas de la Comisión Nacional del Mercado de Valores (CNMV). 

[ii] Este año 2013, la CNMV publicó la versión actualizada del Código Unificado que puede encontrarse aquí

[iii] Nosotros usamos el término ‘gobierno’.  

 

 

La zona gris

Tuesday, 11 March 2014 Alberto Arroyo Posted in Corporate Governance of IT

Definiciones

Gestión – El sistema de controles y procesos requerido para conseguir los objetivos estratégicos establecidos por el órgano de gobierno de la organización. La gestión está sujeta a la guía de las políticas y a la monitorización, establecidas por el gobierno corporativo.

Gobierno corporativo – El sistema por el que las organizaciones se dirigen y controlan.

Gobierno corporativo de TI – El sistema por el que se dirige y controla el uso actual y futuro de las TI. El gobierno corporativo de TI incluye la evaluación y dirección del uso de las TI para soportar a la organización, y monitorizar su uso para lograr la consecución de los planes. Incluye la estrategia y políticas para el uso de las TI en la organización.

(Definiciones tomadas de ISO 38500:2008 – Corporate governance of information technology).

 

Contexto

La norma ISO 38500 basa la concepción del gobierno corporativo de TI en el ciclo evaluar-dirigir-monitorizar:

38500

 

Atendiendo a este ciclo, el gobierno corporativo de TI monitoriza la ejecución de las TI (tanto en las operaciones como en los proyectos), a través de indicadores de rendimiento y de cumplimiento, y evalúa la ejecución de las políticas y decisiones adoptadas, proporcionando dirección para la ejecución de las decisiones tomadas.

El ciclo es, pues, visto desde una perspectiva del llamado “órgano de gobierno”, que, en una empresa, corresponde al Consejo de Administración. Sin embargo, y tomando la idea de Steven Romero ('Eliminating “us and them”. Making IT and the business one'. Steven Romero. Editorial Apress. 2011), el gobierno corporativo de las TI se centra en la gestión de las decisiones, y en la obtención de información relativa a los indicadores de rendimiento y cumplimiento.

 

La zona gris

Según Romero, las decisiones recaen en los hombros del responsable de TI. O, añadiría yo, en cualquiera de los CXO. Las decisiones se toman de acuerdo a la dirección del órgano de gobierno, pero, ¿qué sucede si las decisiones son erróneas, o no han interpretado bien las instrucciones del órgano de gobierno? ¿Cuánto tiempo hay que esperar para que esto se identifique y concrete?

Algunos autores han tratado de cubrir esta zona gris con diferentes comités. Así Van Grembergen ('Strategies and models for IT governance'. Van Grembergen y De Haes- IGI Global. 2008) definen comités como el Comité Estratégico de TI, o el Comité Ejecutivo de TI, donde el primero, específicamente, debe estar compuesto por miembros del Consejo de Administración. Otros autores como Ross y Weill ('IT Governance. How top performers manage IT decisión rights for superior results'. Weill y Ross. Harvard Business School Press. 2004.) definen elementos diferentes, como asignar imputabilidad y propiedad a la ejecución de las decisiones.

En el primero de los casos, en la existencia de estructuras de seguimiento, los problemas son varios. ¿Cada cuánto tiempo se reúnen los comités? ¿Quiénes asisten a dichas reuniones? ¿Está representado el Consejo de Administración en las mismas? Está claro que en estas estructuras deben estar miembros del Consejo de Administración. Pero, si las comisiones del Consejo se reúnen con la baja periodicidad que en la práctica general se reúnen, estamos ante un verdadero problema, ya que, si el Consejo se preocupa lo que se preocupa en sus reuniones y las de los comités del Consejo, ¿por qué han de preocuparse por las reuniones de un nivel jerárquicamente inferior?

Con respecto a las recomendaciones de Ross y Weill, éstas son aceptables, pero entramos también en la misma espiral. ¿Quién monitoriza y revisa la ejecución de las decisiones tomadas? ¿Es necesario otro comité?

Estamos, pues, en una zona gris, con unos mecanismos de resolución difíciles. En algunas organizaciones (por ejemplo en aquellas en que los miembros del Consejo pertenecen al ámbito de la gestión), este gris es más claro, so pena de diluir la separación de poderes, lo cual supone cambiar el gris de una cosa por el gris de otra.

Complejo problema…

 

iTTi Gloss: Risk appetite

Thursday, 06 March 2014 iTTi, Innovation & Technology Trends Institute Posted in iTTi Gloss

Risk appetite is the amount of risk, on a broad level, an organization is willing to accept in pursuit of value. Each organization pursues various objectives to add value and should broadly understand the risk it is willing to undertake in doing so.”

 

Source: Dr. Rittenberg, Larry; Martens, Frank. “Enterprise Risk Management — Understanding and Communicating Risk Appetite”. COSO, January 2012.

 

An organisation's IT risk appetite is a subset of its overall enterprise risk appetite and therefore cannot be developed in isolation. It is ultimately the responsibility of the board of directors to define an organisation's risk appetite based on input and recommendations of senior management. […] For each risk element identified, the amount of risk that is acceptable for that element needs to be defined. For instance, because the business depends on IT for frequent enhancements to its customer-facing systems, it requires projects to be delivered on time and on budget.”

 

Source: Simmons, Craig. “Organisations must define their IT risk appetite and tolerance” . CIO UK, 5 July 2010.

 

 

 

Risk appetite (or its opposite 'risk aversion') is a key issue in business models, strategies, policies and plans. COSO II, among others, treats it in detail.

 

Quite often one's eyes are bigger than one's stomach! The governing body shall set and communicate a clear stance on corporate risk appetite and shall ensure -by supervision- that the right procedures are in place and are enforced and monitored. 

 

Related perspective(-s):

 

1.- iTTi Gloss: Corporate Governance of IT

2.- Origen y evolución del concepto "Gobierno Corporativo de TI"

3.- COBIT 5, a business framework?

4.- iTTi Gloss: Alignment

 

iTTi Gloss: Shadow IT

Wednesday, 26 February 2014 iTTi, Innovation & Technology Trends Institute Posted in iTTi Gloss

Shadow IT is a term often used to describe IT systems and IT solutions built and used inside organizations without explicit organizational approval.” Source: Wikipedia.

 

“Stratecast broadly defines “shadow IT” as SaaS applications used by employees for business, which have not been approved by the IT department or obtained according to IT policies. The non-approved applications may be adopted by individual employees, or by an entire workgroup or department.” Source: Stratecast | Frost & Sullivan. “The Hidden Truth Behind Shadow”. McAfee, November 2013.

 

... employees believe the productivity gains they realize by choosing their own SaaS applications offset any corporate risks – a perspective that is unlikely to be shared by corporate IT, security, and compliance officers, who have a broader purview and scope of responsibility.” Source: Lynda Stadtmueller. “Taking Shadow IT out of the Shadows”. Dec 03, 2013.

 

Employees have been doing an end run around corporate IT and using shadow IT systems -that is, systems built and used in companies without organizational approval- for decades. Look no further than the volumes of company and customer data stored in Excel files scattered from here to kingdom come.” Source: Julia King. The upside of shadow IT”. Computerworld, April 23 2012. 

 

 

Shadow IT -nothing new since enterprise IT appeared, some 75 years ago, as Julia King states- currently shines like a first magnitude star. 

If you have the budget, you may launch your application / service even if you don't have the right ideas or decision status, or you don't care, or even know, about issues such as integration, redundancy, resilience, compliance or security. 

On the other hand, if corporate IT doesn't provide the services you need, you are fully entitled to get them by yourself.

Potential win-win solution: adopt an enterprise IT governance and management framework, such as ISO 38500 and COBIT 5.

 

    

Related perspective(-s):

 

1.- iTTi Gloss: Corporate Governance of IT

2.- Origen y evolución del concepto "Gobierno Corporativo de TI"

3.- COBIT 5, a business framework?

4.- iTTi Gloss: Alignment

5.- iTTi Gloss: CIO  

 

iTTi Gloss: CIO (Chief Information Officer)

Thursday, 20 February 2014 iTTi, Innovation & Technology Trends Institute Posted in iTTi Gloss

Chief information officer (CIO): The most senior official of the enterprise who is accountable for IT advocacy, aligning IT and business strategies, and planning, resourcing and managing the delivery of IT services, information and the deployment of associated human resources.” Source: ISACA. "Glossary", 2014.

 

The approach to evaluating IT investment also begins to change as it becomes obvious that the contribution of IT cannot be meaningfully separated from the wider impacts of the strategic initiatives in which that investment is embedded.

the CIO potentially becomes a more proactive 'business visionary.' … the CIO starts to be one of the main drivers of strategy by recognizing the emerging capabilities and applications of information technology, and arguing their significance to the business.”. Source: J.W.Ross and D.F.Feeny. “The Evolving Role of the CIO”. MIT, August 1999.

 

The CIO’s role is rapidly evolving. We have characterized the CIOs who are leading the change as Reincarnate CIOs. Among other characteristics, the Reincarnate CIO is one who:

  • Focuses as much on business as on technology, as much on strategy as on operations;

  • Is as accountable to the CEO and business unit heads, with whom he or she works to shape strategy, as he or she is to the COO and CFO, with whom he or she works to increase operational efficiency and contain costs;

  • Views IT more as a transformer of the business than an enabler of the business;

  • Develops capabilities that create a career path extending beyond the IT function.

Source: Khorana, Shami. “What Do CIOs Want?”. CIO INSIGHT, March, 8, 2013.  

 

 

 

The CIO is responsible for the execution of the IT strategy. MIT's Weill and Ross went further on naming her the SEO (Strategy Execution Officer), underlining that not al CIOs would become SEO.

 

Related perspective(-s):

 

1.- iTTi Gloss: Benefits Realization

2.- iTTi Gloss: Enterprise Architecture

3.- iTTi Gloss: Alignment

4.- iTTi Gloss: Accountability 

 

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk