[ENGLISH]

A recent article by Stacy Collett with that title places the following question:

“As security threats increasingly cross role boundaries, information and physical security pros struggle to get along, so what are the best practices for uniting both teams under a common goal?”

The article provides many links to expand the information and in summary states that the “the best practices for uniting both teams under a common goal” would include:

1. The use of more and better metrics.

2. The key role of the CFO.

3. Deal with the increasingly well documented IT pros' greatest fears and apparent needs.

4. Envisioning the security team of tomorrow.

5. Becoming aware of the important and increasing insider threats .

6. Managing the paradox of increasing the flexibility of access and use while the security perimeter expands.

Even though we understand the argument in support of the statement of “The CFO's critical role in promoting cybersecurity” This would just introduce a third player in the battle ground.

Our proposed solution: right corporate governance exerted by the governing body and hereupon the best possible team with as many players as advisable. 

 [ESPAÑOL]  

La contienda sobre competencias que está surgiendo entre los profesionales informáticos y los de la seguridad física

Un reciente artículo en inglés de Stacy Collett con dicho título plantea la siguiente pregunta:

“A medida que las amenazas a la seguridad traspasan roles competenciales, los profesionales informáticos y los de la seguridad física pugnan por entenderse. ¿Cuáles son pues las mejores prácticas para unificar ambos equipos bajo un objetivo común?”

El artículo –que ofrece múltiples enlaces para ampliar la información- expone en resumen que “las mejores prácticas para unificar a ambos equipos bajo un objetivo común” contemplarían:

1. El uso de más y mejores métricas.

2. El papel clave del Director Financiero (CFO).

3. Atender a las cada vez más documentadas preocupaciones por la seguridad y por las necesidades de formación, a estos efectos, de los informáticos.

4. Hay que (re)diseñar el equipo humano de seguridad del mañana.

5. Y tomar conciencia del importante y creciente riesgo interno (de los propios empleados).

6. Gestionando la paradoja de que el perímetro de seguridad crece, pero hay que aumentar la flexibilidad de uso y acceso.

Aunque entendemos el argumento a favor del punto 2. anterior, creemos que sus inconvenientes son mayores que las ventajas: lo más probable es que se introduzca un tercer jugador en discordia.

Solución que proponemos: buen gobierno corporativo ejercido por el órgano de gobierno, y a partir de ahí, el mejor equipo posible, con tantos jugadores como convenga.

Related perspective(-s):

1.- Uso de las redes sociales en la empresa: riesgos de seguridad 

2.- iTTi Gloss: Corporate Governance of IT

[ENGLISH]

India has recently published the "Indian National Cyber-security Policy" (INCSP).  A sound policy on that matter  -and ensuring its compliance- is of the utmost importance for India, for the reasons stated in the notification (in a nutshell: IT has been, and is, a crucial driver of India’s economic growth and also of its citizens’ current and future quality of life).

But the soundness and right management of INCSP aren’t just an Indian domestic issue; they should be a concern for many other governments and international companies, considering that India is a gigantic supplier of outsourced services.

Nevertheless, the only two occurrences in the document of the word “international” refer to “international best practices” and “international frameworks”.

In our opinion a security policy of a services-exporting nation should include a consideration of its international stakeholders.

[ESPAÑOL]

Recientemente se ha publicado la “Política de Ciberseguridad Nacional de la India” (PCNSI) [texto en inglés]. Una acertada política en este ámbito  -y la garantía de su cumplimiento-  es de suma importancia para la India por las razones explicitadas en el documento de su publicación (que se resumen en que las TI han sido, y son, no sólo un crítico motor de crecimiento de su economía, sino también de la actual y futura calidad de vida de sus ciudadanos).

Pero el acertado planteamiento y gestión de la PCSNI no es únicamente un tema doméstico indio; debe importar  -dada la condición de la India de gigantesco proveedor de servicios de TI externalizados-  a muchos otros gobiernos y multinacionales.

Sin embargo, las dos únicas apariciones de la palabra (en inglés) "internacional" hacen referencia a "mejores prácticas internacionales" y "marcos internacionales".

Somos de la opinión de que un país exportador de servicios debiera contemplar en su política de seguridad a sus "grupos de interés" (stakeholders) internacionales.

“Corporate governance of IT. The system by which the current and future use of IT is directed and controlled. Corporate governance of IT involves evaluating and directing the use of IT to support the organization and monitoring this use to achieve plans. It includes the strategy and policies for using IT within an organization“.

Source: ISO 38500:2008. Corporate Governance of Information Technology.

“Governance of enterprise IT. A governance view that ensures that information and related technology support and enable the enterprise strategy and the achievement of enterprise objectives; this also includes the functional governance of IT, i.e., ensuring that IT capabilities are provided efficiently and effectively”.

Source: ISACA. CGEIT Review Manual 2013.

“IT Governance. A framework for decision rights and accountability to encourage desirable behavior in the use of IT. […] IT governance focuses on a small set of critical IT-related decisions: IT principles, enterprise architecture, IT infrastructure capabilities, business application needs, and IT investment and prioritization”.

Source: MIT. Sloan School's Center for Information Systems Research (CISR).

Organizational structures, accountability, processes, decision rights, strategy, …, what, in your view, would be the terms and components that best fit the concept of "Corporate Governance of IT"?

Related perspective(-s):

1.- Thought-provoking pills

2.- COBIT 5, a business framework?

3.- Origen y evolución del concepto de "Gobierno Corporativo de TI"

4.- COBIT 5, ¿un marco de referencia de negocio?

5.- Introducing iTTi

Las formas de colaboración en la empresa han ido evolucionando a medida que lo ha hecho la tecnología, desde las reuniones personales y el correo interno -en papel-, al teléfono, correo electrónico, la mensajería instantánea (IM, por sus siglas en inglés), reuniones virtuales por medio de Internet y las redes sociales. 

A excepción del correo en papel, que casi ha desaparecido, las demás formas de colaboración han ido coexistiendo y se está utilizando una u otra dependiendo del objetivo, del tiempo en que se necesite la colaboración o respuesta, y de otros factores como los usos y los husos horarios.

Al contrario de lo que pasó con el teléfono y el correo electrónico, que se extendieron casi a la par en los ámbitos de negocios y privado, la mensajería instantánea y las redes sociales se han popularizado primero en lo personal  y es ahora cuando empiezan a ser usadas en el mundo empresarial.

Según el McKinsey Global Institute[1], 72% de las empresas se valen de las tecnologías sociales principalmente para llegar hasta los consumidores y recoger sus deseos, gustos y necesidades para el desarrollo de productos, publicidad y servicio al cliente. Sin embargo su mayor potencial está en la mejora de las comunicaciones y el intercambio de conocimientos, así como en la colaboración dentro de, y entre empresas.

Al igual que en el ámbito privado, se establecerá un entorno de sujetos “enlazados”, tanto de modo interno a la organización como externo con todas las entidades -clientes, proveedores y en general todos los actores relacionados de una u otra manera con la empresa- con las que esta haya de interactuar: es la empresa extendida.

Las redes sociales ofrecen la posibilidad de una gran apertura respecto a la información accesible por unos u otros -empleados o actores externos a la organización-. Esto que a priori se antoja positivo, ha de ser orquestado adecuadamente para que dicha información siga siendo fidedigna y segura para los objetivos de la organización, a pesar del vertiginoso aumento en el número de individuos y dispositivos que hoy  crean e intercambian dicha información.

La organización debe establecer y poner en marcha una política de segmentación de la información para las personas que se relacionen con ella, sean empleados de la misma o no.

Por otra parte, si uno observa el soporte por el que se produce el intercambio de información, la cantidad transmitida a través de dispositivos móviles es cada vez mayor, lo que se ve favorecido por la constante reducción en tamaño y peso de los dispositivos, unido a un aumento de su potencia y a la ubiquidad de Internet.  Según el último informe de tendencias de la analista Mary Meeker, de la firma KPCB[2], la cifra ha pasado de un 0.9% en mayo de 2009, a 15% en el mismo mes de 2013.

Se transfieren permanentemente documentos del trabajo a ordenadores personales, tabletas, teléfonos inteligentes u otros dispositivos, particulares o corporativos, o se ejecutan aplicaciones en línea sobre información que puede constituir parte de la propiedad intelectual de la empresa. Parte de toda esta información rara vez se elimina de esos  dispositivos móviles. Esto aumenta los escenarios de riesgo pues facilita la posibilidad de intrusión en los sistemas a través de aplicaciones, dispositivos y puntos de acceso a Internet poco protegidos. Además, favorece las fugas o pérdidas de información, por ejemplo, por robo o extravío de los dispositivos.

Otro aspecto fundamental a tener en cuenta en el uso de estas herramientas de colaboración y comunicación social, es el factor humano. Cada vez más la comunicación e interacción entre las personas se produce a través de esas herramientas, pero sin los conocimientos y habilidades desarrollados para su utilización de forma segura.

Se hace necesaria una concienciación sobre las amenazas que dicho uso implica; sobre el posible coste, personal y empresarial, de la pérdida de fiabilidad de la información, o de la información misma; y sobre la relevancia que puede tener la creación, transformación y transmisión a través de medios que resultan no del todo seguros para las necesidades corporativas.

Al hilo de lo expuesto surge la siguiente pregunta: ¿Tiene la empresa el derecho de control sobre la información que se transmite por las redes sociales? Pregunta cuya respuesta cae tanto en el entorno técnico como en el legal, por cuanto tiene que ver con aspectos de privacidad, propiedad intelectual y otros temas.

Para terminar, unas noticias de prensa:

El 7 de junio, los diarios The Washington Post y The Guardian publicaron la existencia de dos programas de espionaje secretos, uno que registra datos de llamadas en EE. UU. y otro que permite a la inteligencia estadounidense acceder a servidores de las principales compañías de Internet y recabar datos directamente de los servidores de Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube y Apple.

El 13 de junio, el blog The PrivacySurgeon[3] comentó la noticia de que el gobierno sueco había  decidido prohibir el uso de cualquier producto de la nube de Google -incluyendo calendario, Gmail y Google Drive- dentro de instituciones públicas, ya que consideran que Google puede acceder a la información de los usuarios, y que los usuarios en el sector público no pueden tener la certeza de que los derechos de protección de datos están asegurados.

This article was originally released by Mexican magazine "Magazcitum", on August, 30th, 2013. 

iTTi has participated in, and/or attended, a series of events last month. Now we bring to you an exclusive selection of the most relevant thoughts posed by each event's key speakers.

Enjoy them!

Pill #1: "Risk management is the enterprise's inmunology system", said Rafael Rodríguez de Cora, Regional Director, ISF (Information Security Forum), at PESI's (Plataforma Tecnológica Española de Seguridad Industrial) last Security WG meeting.

Pill #2: "'Hygiene' should start at Board level", said Rafael Rodríguez de Cora, Regional Director, ISF (Information Security Forum), at PESI's (Plataforma Tecnológica Española de Seguridad Industrial) last Security WG meeting.

Pill #3: "A BI project is not an IT one", said Asier Fernández de Eribe, CIO, Grupo Boyacá, at InterbanNetwork's Professional Forum on Business Intelligence.

Pill #4: "Big Data not an ICT project, but a continuous process of organisational change", said Óscar Alonso, Analyst, Penteo ICT Analyst, at InterbanNetwork's Professional Forum on Business Intelligence.

Pill #5: "IT must lead BI projects (otherwise, somebody will lead them for you)", said José Joaquín Loza, CIO, UEM (Universidad Europea de Madrid), at InterbanNetwork's Professional Forum on Business Intelligence.

Pill #6: "A datacenter's commissioning must be backed by Ownership", said Andrés J. Sepúlveda, Managing Director, Commtech, at DatacenterDynamics' CONVERGED Madrid 2013.

Pill #7: "COBIT 5, a business framework; but not ISACA's first one. Remember 2006's Val IT!", wrote Miguel García-Menéndez, CEO & Research Director, iTTi, at ISACA's "Now" Blog (http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=307).

Pill #8: "Information screening, today's key challenge", said Daniel Innerarity, Chair & Lecturer, UPV (Universidad del País Vasco), at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #9: "Companies which grow are those that believe in IT", said Demetrio Barragán, Managing Director, Madrid Office, Penteo ICT Analyst, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #10: "Organisation, Technology and Innovation define the future of the CIO", said Carlos Barrabés, President, Grupo Barrabés, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #11: "CEOs want CIOs to lead people, more than technology", said Julio Moreno, Head of Leadership & Talent Consulting, Korn Ferry International, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #12: "Partnering with an IT strategic adviser was key to make the Group as it is today", said Paco Gimeno, CIO, GasNaturalFenosa at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #13: "IT is, in fact, a regional integration booster", said José Antonio Cobeña, CIO, Junta de Andalucía, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #14: "Governance is the first pillar of any approach to Digital Government", said José Antonio Cobeña, CIO, Junta de Andalucía, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #15: "Today, IT effort versus IT perception results in an unbalanced relationship", said Jordi Damiá, CIO, Panrico, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #16: "CIOs must make IT easy to Business", said Luís Uguina, Global Head of New Technologies, BBVA, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #17: "Humility is key to leadership", said Luís Rojas Marcos, Psychiatrist and Professor, NYU (New York University), at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #18: "Alone, you can do nothing", said Joaquín Abril-Martorell, Director of Sales, CEPSA, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #19: "Reaching shared trust is key to Business-IT approach", said Joaquín Reyes, CIO, CEPSA, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #20: "Passion is key to any governance model", said Joaquín Abril-Martorell, Director of Sales, CEPSA, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #21: "Business consists of Innovation plus Marketing", said Joaquín Abril-Martorell, Director of Sales, CEPSA, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #22: "Taking advantage of IT is key to Business growth", said Adolfo Martínez Morales, CIO, Retail Banking Spain, Grupo Santander, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

Pill #23: "Habit is challenging, technology isn't", said Adolfo Martínez Morales, CIO, Retail Banking Spain, Grupo Santander, at APD's (Asociación para el Progreso de la Dirección) "Ist CIOs National Congress".

In a popular professional social network recently, an individual penned a post suggesting that considering COBIT 5 a “business framework” was nonsense. He challenged readers to provide an explanation to justify such a definition for ISACA’s model.

Here goes mine! In its early years, COBIT was more of an IT model. Nonetheless, its latest edition—COBIT 5—has actually evolved into a “business framework.” This needs clarification; otherwise it would be easy to make the mistake of thinking that we are talking about a model for traditional business processes, such as sales, engineering, marketing, etc.

Nothing could be further from the truth! This is clearly detailed by ISACA, which describes COBIT 5 as “a business framework for the governance and management of enterprise IT.” That means—as anyone who knows the model’s background can tell you—that the new version maintains a focus on IT but with a more pronounced business approach and emphasis. The stakeholders on the business side can benefit along with those on the IT side. In other words, driving and controlling (governing) the IT behavior within any organization goes beyond the CIO’s realm.

In this way, COBIT 5 becomes a framework for the corporate governance of IT. Previous editions—from the first COBIT, introduced in 1996, to 2007’s COBIT 4.1—focused more on practices to help the CIO better manage the IT shop.

Of course, the message of COBIT 5 is not a new one. This message emerged seven years ago, back in 2006 when Val IT was born. Val IT was the first of ISACA’s models that provided a business standpoint of IT and its related issues, highlighting that there are many IT-related activities that should be performed by the “business people,” not the IT team.

If you explore this idea through the RACI matrix, to model the number of accountabilities and responsibilities beyond the CIO’s, you see how COBIT 5 is a framework not exclusively designed for the IT team.

Since it is a collection of good practices to be adopted and adapted in the implementation of an overarching IT governance-and-management system, COBIT 5 can be—should be—referred to as a business framework for the governance and management of enterprise IT.

There is nothing nonsensical about that.

This article was originally released by ISACA's "Now" blog, on June, 12th, 2013.

El gobierno corporativo de TI, o gobernanza de TI, no es un concepto nuevo. Tiene sus orígenes en lo que se denominó gobernanza – aplicado a la buena gestión de los recursos por parte de los gobiernos y al fomento de la participación de la sociedad civil – y en el desarrollo del concepto de gobierno corporativo en las dos últimas décadas.

El presente artículo desgrana la evolución desde la gobernanza hasta el gobierno corporativo y sus diferentes enfoques y tratamientos. Finalmente, muestra el marco teórico para la concepción e identificación de la gobernanza de TI como la disciplina dentro del gobierno corporativo.

.

El concepto de gobernanza

El concepto de gobernanza es relativamente antiguo y era un sinónimo de gobierno. El Diccionario de la Real Academia Española (DRAE) dice: Acción y efecto de gobernar o gobernarse.

En los años 90, el término fue utilizado para hacer referencia a un nuevo estilo de gobierno de las administraciones públicas, mediante el cual estas tratan de gestionar de forma eficiente, honesta, transparente, igualitaria y con responsabilidad, los recursos públicos[1].

Este significado queda recogido en el DRAE:

Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el estado, la sociedad civil y el mercado de la economía.

Finalmente, este concepto comienza a ser adoptado por instituciones (por ejemplo el Banco Mundial y las Naciones Unidas) como elemento clave en la dotación de financiación a países en vías de desarrollo.

.

El gobierno corporativo

Asociado al término gobernanza surge el concepto de gobierno corporativo, que ya fue introducido por Adam Smith en su obra “La riqueza de las naciones”:

“Cuando la propiedad y la gestión de las empresas no coinciden plenamente, habrá potenciales conflictos de interés entre los propietarios y los gestores/administradores”.

En la década de los años 90 se desarrolló este concepto abordando las diferencias de intereses entre la propiedad y la administración de la empresa (“problemas de agencia”[2]). Específicamente, el gobierno corporativo trata de definir y establecer mecanismos de control y salvaguarda por parte de los accionistas, sobre las acciones realizadas por los miembros del consejo de administración.

Los problemas de agencia tienen un enfoque más amplio en la década de los años 90, al considerar a los llamados grupos de interés dentro del esquema de gobierno de las empresas, surge así el enfoque de “stakeholder”:

La preocupación por los problemas de gobierno corporativo en los países se presentó por primera vez en el “Informe Cadbury”[3] (1992, Reino Unido), que recogía un “código de buen gobierno” al que las compañías que cotizaban en la bolsa de Londres debían adherirse.

Este mismo año se publica el Informe COSO[4] (EE.UU.) como el marco de trabajo para el establecimiento de un sistema de control interno en las organizaciones.

El “Código Combinado”[5] (1998) integra las diferentes recomendaciones que fueron apareciendo a lo largo de los años 90 (accionistas institucionales, remuneración del consejo, etcétera) adoptando el principio de “cumplir o explicar”:

•  La imposición a las compañías de informar cómo aplican las recomendaciones del Código Combinado.
• La necesidad de explicar por qué no se han aplicado las recomendaciones.

El respaldo internacional para el gobierno corporativo llega con la publicación (1999 y revisada en 2004) de los Principios de Gobernanza Corporativa por la OCDE[6], donde se definen los elementos principales y se adopta un modelo stakeholder. Estos principios han sido asumidos por los distintos países en la definición de sus recomendaciones y códigos de buen gobierno.

La Ley “Sarbanes-Oxley”[7] (2002, EE.UU.) aparece como respuesta a los escándalos corporativos ocurridos en ese país (Enron, Worldcom, etcétera). El principio de cumplir o explicar desaparece, introduciéndose responsabilidades penales a los administradores y ejecutivos de las compañías.

Los códigos de buen gobierno han evolucionado, destacándose especialmente el “Código King III”[8]  (Sudáfrica, 2009).

.

La concepción de la gobernanza de TI

El siguiente paso, dado por CIMA e IFAC[9] (EE.UU.), consistió en dividir el gobierno de la empresa, atendiendo a dos aspectos: regulatorios y de negocio:

•  El gobierno corporativo, que cubre los aspectos de cumplimiento legal y normativo.
• El gobierno del negocio (rendimiento y valor).

Así, la gobernanza de TI es un subconjunto del gobierno de la empresa que persigue obtener el máximo valor de las TI en las organizaciones, buscando el alineamiento estratégico de las TI con el negocio, gestionando riesgos de forma acotada, recursos de forma eficiente y supervisando el rendimiento de las mismas.

En 2004, Weill y Ross[10] (investigadores del MIT), dan un paso más, identificando los seis activos clave que deben ser objeto de gobierno en toda organización:

• Activos financieros.
• Activos físicos.
• Recursos humanos.
• El esquema de relaciones de la organización.
• Propiedad intelectual.
• La información y las TI.

.

Esto se puede ver en la siguiente figura (adaptado de Weill y Ross):

En ese último grupo se ubica, conceptualmente, la gobernanza de TI o gobierno corporativo de TI.

This article was originally released by Mexican magazine "Magazcitum", on May, 24th, 2013.

Las siguientes reflexiones tratan de analizar el nacimiento de un concepto que se apoya en, y supera, la estadística y el análisis de datos convencionales, establecidos a lo largo de los siglos, como consecuencia  de la actual explosión en la generación de datos e información sobre personas, máquinas y sus relaciones.

Hace algún tiempo que el término Big Data aparece con frecuencia como fenómeno nuevo, a propósito de nuevas herramientas de ayuda al análisis de datos para fines diversos, fundamentalmente comercial, científico, político, criminal, etc.

Ese análisis está dirigido a obtener información sobre una persona, un grupo de personas o una institución, a partir de comportamientos pasados -datos recopilados- de sus situaciones actuales, relaciones ocultas y, lo que es más discutible, comportamientos futuros de la persona, ente o grupo que se estudia.

Todo ello es fundamental en el proceso de toma de decisiones tanto en el ámbito privado corporativo como en el ámbito público.

Pero esto no es nuevo. Tampoco lo son ni el tratamiento de los datos, propiamente dicho, ni la gran cantidad de datos a tratar.  

La ciencia ha empleado el análisis de datos y se ha enfrentado al tratamiento de una gran cantidad de datos en complejas simulaciones de procesos físicos -Meteorología, por ejemplo-, en investigaciones relacionadas con procesos biológicos y ambientales, etc. Este mismo fenómeno ha sucedido en diversos sectores empresariales -banca, seguros, tarjetas de crédito, terminales de punto de venta, etc. No se puede  dejar de mencionar a las agencias de inteligencia, creadoras de sistemas como ECHELON, ADVISE, NarusInsight, etc.

De igual modo, la Estadística, propiamente dicha, tampoco es una disciplina nueva. De hecho, el término fue acuñado en Alemania -Statistik-, por Gottfried Achenwall en 1749, para referirse al análisis de datos del Estado, es decir, la "ciencia del Estado" (o más bien, de la ciudad-estado), y ya en el siglo XIX el término estadística adquirió su actual  significado de recolectar y clasificar datos de la mano del militar británico Sir John Sinclair (1754-1835).

¿Entonces, por qué un nuevo concepto? ¿Dónde reside la novedad?

Lo que actualmente se entiende por Big Data, es un término aplicado a conjuntos de datos que superan la capacidad del software habitual para ser capturados, gestionados y tratados en un tiempo razonable.

Los tamaños que hoy se señalan para el  Big Data se encuentran en una permanente y creciente evolución. Así, en 2012 se citaban  tamaños entre la docena de terabytes y varios petabytes de datos en un único data set (conjunto de datos).

Sirvan las siguientes cifras como ilustración de lo afirmado:

·        El telescopio de “Sloan Digital Sky Survey” en Nuevo México, que inició su actividad en el 2000, recogió en una década 140 terabytes de información.

·        Wal-Mart maneja más de un millón de transacciones de clientes cada hora, alimentando bases de datos estimadas en más de 2.5 petabytes.

·        Facebook almacena cuarenta mil millones de fotografías.

·        El descifrado del genoma humano implica el análisis de tres mil millones de pares base, lo que inicialmente suponía un esfuerzo de 10 años y ahora se logra en una semana.

Por otro lado, con la llegada de  la miniaturización de los sistemas electrónicos que pueden formar parte de cualquier dispositivo, entre ellos sistemas de medida, y, particularmente, de Internet y su poder de comunicación máquina-máquina y persona-máquina, hoy se dispone de recolectores de datos de todas las actividades humanas por todas partes -tarjetas de crédito, dispositivos móviles, ordenadores, cámaras en la calle y en establecimientos, etc-, y de recolectores de datos de máquinas situadas a nuestro alrededor o sensores ambientales.

Unido a todo ello, ha aumentado en órdenes de magnitud la capacidad de computación de los ordenadores. Ahora cualquiera lleva en su bolsillo un smartphone, con una potencia de cómputo superior a la de los ordenadores de la nave Apolo. 

Consecuentemente, la novedad del Big Data parece estar, únicamente, en su magnitud y en el desarrollo de las herramientas adecuadas para tratar  dichas cantidades  de datos de forma que se obtengan resultados en un tiempo  útil para su aprovechamiento.  

Y no sólo eso,  sino que  los datos producidos son tanto estructurados como no estructurados, lo que supone un reto de almacenamiento y tratamiento.

Finalmente, está además el reto de intentar protegernos organizativa, tecnológica y regulatoriamente.

Así pues, aquí es donde nos encontramos ahora … ante la necesidad de responder a los retos planteados por ese aluvión de datos de manera tal que su análisis permita extraer un conocimiento que resulte valioso para la ciencia, los gobiernos, las empresas, y en definitiva, para la mejora de la calidad de vida de todos nosotros.  

La publicación de este artículo ha coincidido con la inauguración oficial del más grande radiotelescopio construido hasta ahora, el ALMA (Atacama Large Millimeter Array). Su funcionamiento consiste en un proceso de “... canalización, recepción, conversión, trasmisión, combinación y análisis” de datos del Universo, que se iniciará en  las  sesenta y seis  antenas parabólicas que lo conforman, y proseguirá en un entramado de ordenadores, uno de los cuales, El Correlacionador, está dotado de  2.912 circuitos impresos, 5.200 cables de interfaz y más de 20 millones de puntos de soldadura, con el objetivo es estudiar la diversidad de objetos y procesos físicos implicados en la formación estelar.

La pregunta que intitula este primer artículo -de una serie con la que se ofrecerá opinión y análisis sobre el panorama tecnológico corporativo actual- era planteada, recientemente, en uno de los foros de discusión de una afamada red social de carácter profesional. El autor de la consulta parecía haberla formulado, no sin cierta intencionalidad, insinuando que tal cosa -hablar de “marco de referencia de negocio”-  sonaba poco menos que a disparate y retando a los lectores a que le pintasen una figura con la que pudiese quedar representado semejante concepto.

Sin ánimo de pretender corregir al citado individuo sirvan las siguientes reflexiones como aclaración a la duda por él planteada y, de paso, como brevísima introducción a algunos conceptos que subyacen a la aparición de COBIT 5[i], el modelo de buenas prácticas de ISACA[ii].

La cuestión de cabecera se origina por la nueva consideración que ISACA tuvo para su creación. Identificado tradicionalmente como un modelo de TI, en su última versión ha sido rebautizado como un “marco de referencia de negocio”. Ello requiere una matización pues de otro modo, resultaría fácil caer en el error de pensar que de lo que se está hablando es de un modelo para los procesos tradicionales del negocio, tales como la atención al cliente, el diseño e ingeniería de producto, el desarrollo de nuevos mercados, etcétera.

¡Nada más lejos de la realidad! Y para ello -de ahí la señalada intencionalidad del autor de la consulta original- no hace falta más que leer el título completo de la guía COBIT, que reza[iii] “A Business Framework for the Governance and Management of Enterprise IT”. Ello significa  -como cabría esperar por cualquiera que conozca los antecedentes del modelo- que esta nueva versión sigue hablando de las TI pero con un acento de negocio aún más marcado.

En definitiva el nuevo título sugiere que el lector de COBIT ha de leerlo desde una óptica de negocio. Quienes han de captar los mensajes de COBIT han de ser, mayoritariamente, aquellos que se ocupan del negocio de la organización (no de TI). Dicho de otro modo, dirigir y controlar el “comportamiento” de las TI, dentro de cualquier organización, trasciende el perímetro del CIO[iv].

De ese modo, COBIT 5 se convierte por primera vez en un verdadero marco de referencia para el gobierno corporativo de las TI. Las versiones precedentes -de la 1 (1996) a la 4.1 (2007)-  nunca pasaron de ser conjuntos de buenas prácticas para ayudar al CIO a gestionar mejor el departamento de TI.

El mensaje no es nuevo en absoluto; surgió por vez primera hace siete años, en 2006, con el nacimiento de Val IT. Este -del cuál COBIT 5 es heredero- sí fue el primer modelo de ISACA que ofreció una perspectiva de las TI y de sus problemáticas asociadas desde la óptica del negocio, con una clara indicación en el sentido de que hay un cúmulo de actividades relacionadas con las TI que deben ser ejecutadas por la “gente de negocio”, no por el grupo de TI.

Volviendo a COBIT 5, bastaría “asomarse” a las matrices RACI[v] que incorporan el modelo para comprobar las numerosas altas responsabilidades (A) y responsabilidades (R) asociadas a perfiles, más allá del propio de CIO. Definitivamente esto hace de COBIT 5 un marco de referencia dirigido no al equipo de TI  (o, al menos, no SOLO al equipo de TI), a diferencia de CobiT 4.1 y versiones anteriores.

En suma, siendo COBIT 5 una colección de buenas prácticas (que han de ser adoptadas y adaptadas) para poner en marcha un sistema de gobierno corporativo de TI (y también de gestión), no es extraño referirse a él como “marco de referencia de negocio (para el gobierno y la gestión de las TI de la empresa)".

PD. El documento "COBIT 5 Design Paper. Expore Draft" publicado por ISACA el 22 de marzo de 2010, brinda una representación gráfica muy clara de lo explicado más arriba. La figura 6, página 14, muestra de izquierda a derecha cómo la responsabilidad sobre los diferentes procesos COBIT varía desde TI (los situados más a la izquierda), hasta el negocio (los de la derecha), en función de su "sustancia". ¡Tal vez sea la figura que estaba buscando quien planteó la duda inicialmente!

This article was originally released by Mexican magazine "Magazcitum", on March, 6th, 2013.