Feb 1 2011

The Infonomics Letter – Enero de 2011

De Cara al Futuro y Creciendo

Bienvenidos a la primera Infonomics Letter del 2011. Después de un descanso de siete semanas y una serie de fenómenos meteorológicos increíbles en toda Australia y en otras partes del mundo, estamos nuevamente listos para explorar y promover las buenas prácticas en el gobierno de TI.

Trabajar como un evangelista de un nuevo pensamiento sobre cualquier cosa puede ser una tarea interesante. Ser un evangelista de una nueva forma de ver el gobierno de TI, implica un reto a muchas creencias establecidas y los métodos de operación. Sin embargo, aunque el camino es largo, arduo y, en el corto plazo al menos, poco viable desde una perspectiva financiera, se desarrolla gradualmente con la evidencia del cambio. No hace mucho, la mera sugerencia de que los directores de las organizaciones debieran hacer preguntas acerca de TI, podría estimular la negación horrorizada que los directores nunca pueden entender el tema. Sin embargo ahora, al menos, uno de los principales bancos en Australia tiene un comité directivo para supervisar su extensa agenda de cambo de TI.

Los acontecimientos recientes, varios de los cuales se han discutido en Infonomics Letter hasta el año 2010, están dejando sin ninguna duda que la dependencia del negocio en TI es ahora, en muchos casos, absoluta. Ahora, cuando los se producen problemas importantes con TI, es casi axiomático que la línea superior de la dirección de la organización se involucra, y esto presenta un contexto en el que podemos ver que los líderes de negocio necesitan saber cosas sobre TI que en el pasado no parecían pertinentes. Peter Grant, un investigador de la industria de TI de Australia y comentarista, trajo el foco en un reciente post en un foro de discusión en LinkedIn, y la respuesta de Infonomics a su desafío se presenta en ¿Qué debe saber el Management?

Por supuesto, el cambio de año no detiene la ola de ejemplos de casos en los que una pequeña dosis de gobierno eficaz podría haber evitado la vergüenza y tal vez otras consecuencias. Este mes en «Más Caras Rojas» exploramos las revelaciones sorprendentes de una débil seguridad de la información de Vodafone Hutchison Australia, y postular un enfoque de gobernabilidad basado en la ISO 38500 que podría haber ahorrado a la empresa ser atada al poste de flagelación durante el período de pocas noticias a mediados de enero.

El nuevo gobierno de Victoria está empezando a flexionar sus músculos, buscando profundizar en las promesas incumplidas del gobierno anterior de las iniciativas de TI y preguntando «¿vale la pena»? Un examen más detallado en «Una Nueva Oportunidad para Mejorar«.

Por último, hay noticias de cómo el comentario de Infonomics aparece ahora en Delimiter, los principales avances de Waltzing with the Elephant, y el programa de educación de corto plazo.

Mark Toomey, 25 de enero 2011

¿Qué debe saber el Management?

LinkedIn es un foro en línea para profesionales. Entre sus instalaciones de fácil acceso están los foros de discusión o grupos, donde los individuos con intereses similares comparten y debaten ideas.

El grupo australiano de la industria de TI en LinkedIn cuenta con más de 15,000 miembros. Un debate, iniciado en abril de 2010, se pregunta; What are the things we hate about IT?

La discusión se basa en un blog titulado Eight things we (still) hate about IT por la escritora Susan Cramm de Harvard Business Review. Se generó un fuerte debate, incluyendo varias entradas del investigador de IBRS, Peter Grant. Peter ha tenido una serie de funciones muy altas en la investigación, el gobierno, el mundo académico y la industria de TI. Él no tiene miedo de decir lo que piensa y, aunque no necesariamente estoy de acuerdo con todo, sus cargos suelen dar buen alimento para el pensamiento.

Hace apenas unos días, Peter envió el siguiente desafío: ¿Qué es exactamente lo que debe saber el management sobre TI? Vamos a tener una discusión sobre eso con algunos ejemplos concretos.

Bueno, es un reto bastante bueno, y que presenta una forma útil para poner en marcha Infonomics Letter en 2011. Así que aquí está lo que pienso.

En primer lugar, el término «management» en esta discusión se refiere a los líderes empresariales. Voy a extenderla para incluir, cuando sea relevante, el consejo de administración u otro órgano de gobierno que puede ejercer la dirección y el control de la organización.

Por encima de todo, el management debe saber que TI es un recurso que se ha convertido en inherente a la operación en curso, la capacidad futura y el rendimiento de su organización. Como un recurso integral, con independencia de cualquier otra consideración, TI no puede ser tratada en forma aislada. Tampoco puede ser eliminada de la actividad de gestión. TI es crítica, como ha quedado ampliamente demostrado en los recientes casos de Virgin Blue (Opps, lo siento) y el National Australia Bank (Banco con la Cara Roja). Cuando las cosas van mal con TI, el impacto en el negocio puede ser profundo, y con independencia de las cuestiones del lado de la oferta, la gestión empresarial tiene una responsabilidad fundamental para asegurar que los sistemas de negocio funcionan como deberían, y cuando deben.

El management debe saber que, al igual que con todos los recursos, el logro de los objetivos depende de cómo se utiliza el recurso, así como también sobre la forma en que se suministra el recurso. En la fabricación, una gran cadena de abastecimiento será de poco valor si se está alimentando un proceso de producción errático e ineficiente. En TI, una capacidad altamente desarrollada de abastecimiento es igualmente despreciable si se hace un uso ineficiente de TI por parte del negocio. Igualmente, como se ilustra en los ejemplos citados anteriormente, tener un gran negocio que no se corresponde con una gran oferta de TI, puede tener un impacto devastador.

Con el fin de hacer un uso eficiente y eficaz de TI, el management debe saber cómo funciona su negocio y, en particular, la forma de implementar los cambios en el negocio. A mediados de los ’60, H.J. Leavitt (Applied organizational change in industry: structural, technological and humanistic approaches) trabajo sobre el cambio organizacional y muestra que los directivos deben comprender cuatro elementos de su sistema de negocio – la gente, las tareas (procesos) que realizan, la estructura de la organización junto a las reglas bajo las cuales opera, y las herramientas (tecnología) en la que se basa el sistema. El trabajo de Leavitt no debe dejar ninguna duda en el management que, el intento de implementar un cambio posibilitado por TI debe adoptar un enfoque general, haciendo frente al mismo tiempo a todos los elementos del sistema empresarial. Por desgracia, seguimos viendo ejemplos de casos donde ha existido claramente una falta de conexión – una confianza ingenua en que el proyecto de TI puede liderar el cambio y todo lo demás funcionará – un ejemplo reciente es el caso de 2010 de Salud de Queensland, que se discute en la edición de Junio de 2010 de Infonomics Letter.

Las capacidades actuales y futuras de TI son ahora fundamentales para el posicionamiento competitivo de muchas organizaciones. Los que se pierdan la oportunidad de explotar una nueva capacidad u oportunidad de negocio posibilitada por TI, pueden verse invadidos por competidores más ágiles y perspicaces. Esta situación está claramente demostrada en la actual campaña de algunos distribuidores de Australia que están buscando un retiro de exenciones de impuestos para determinados productos comprados en línea a proveedores off-shore. Los minoristas se quejan de que están perdiendo ventas porque los compradores están comprando en línea, pero un examen más cuidadoso de la situación revela que las diferencias de precios no son simplemente un producto de ahorro fiscal. Más bien son el resultado de la profunda diferencia entre un modelo de negocio en línea y las numerosas ineficiencias de los negocios con estilo antiguo y planteamiento de almacén al por menor.

Es este contexto crítico para el negocio al que se dirige la norma internacional para el gobierno de TI. Donde gran parte de la discusión sobre TI se ha centrado en las limitaciones de la oferta, y muchos de los marcos y herramientas se han centrado en mejorar el rendimiento de la oferta, la norma ISO 38500 se basa fundamentalmente en la constatación que el valor de uso de las TI viene de; cómo, dónde y cuándo se utiliza – la demanda. Una vez que entendemos que es clave para el funcionamiento continuo de la organización, los líderes empresariales también deben entender que pueden y deben dirigir y controlar el uso de TI y que ISO 38500 les muestra cómo hacerlo.

ISO 38500 dice que las organizaciones deben evaluar, dirigir y supervisar el uso actual y futuro de la organización de TI. Si bien la norma ISO 38500 asigna estas tareas al Consejo de Administración, también reconoce que la mayoría de los esfuerzos requeridos, necesaria y correctamente, pueden ser delegados a la dirección.

Para evaluar el uso de las TI, el management debe entender primero cómo funciona el negocio y cómo éste utiliza TI. Luego, la gerencia debe considerar cómo podría funcionar el negocio, y cómo podría utilizar TI. Evaluar el uso actual de TI incluye la consideración de si la plataforma y capacidad existente de TI son aptas para el propósito y cuánto tiempo van a seguir siéndolo. El proceso de evaluación y los criterios son similares a los que se aplican a la planta física y equipo. Cuestiones relativas a la esperanza de vida, gastos de mantenimiento, la disponibilidad de trabajadores calificados y piezas de repuesto, todas entran en juego. Y así como la evaluación de la planta requiere un buen conocimiento de las características del objeto y su funcionamiento, pero poco conocimiento de diseño y construcción de máquinas individuales, también lo hace la evaluación de TI al centrarse en los aspectos externos y no los internos de la tecnología.

La evaluación del uso de TI también puede incluir la evaluación de la capacidad de oferta y las opciones de futuro. Estas preguntas deben ir mano a mano con las preguntas fundamentales acerca de la empresa – ¿Cuán ágil debe ser?, ¿Cuánto riesgo está dispuesta a tomar?, ¿Cuán cerca de la vanguardia de la innovación se propone operar?

Dirigir el uso de TI es mucho más que la preparación de un plan de previsiones de los proyectos a realizar. Significa establecer reglas claras en la que opera la organización en materia de TI. Esto significa establecer objetivos adecuados y orientados al negocio para el uso y suministro de TI, e implementar mecanismos de control para mantener estos objetivos en el centro de atención. Los objetivos deben estar orientados tanto a asuntos de negocios operativos como para la realización de valor de las nuevas inversiones.

Debido a que TI no está sola, dirigir el uso de TI no se centra sólo en los elementos de TI de los sistemas de negocio. Por el contrario, dirigir el uso de TI debe ser un elemento intrínseco de la dirección de la empresa. En la planificación de la capacidad de nuevos negocios, se debe prestar atención no sólo a la prima potencial de la tecnología, sino el impacto de la tecnología en toda la organización, incluyendo sus clientes, proveedores, personal interno y otras partes interesadas, así como su planta y la infraestructura en general. En la construcción de la capacidad de nuevos negocios, la necesidad no es sólo adquirir, construir, probar software, el almacenamiento, servidores, comunicaciones y computadoras de escritorio. Más bien se trata de transformar progresivamente o construir sistemas completos de negocios con la gente (muchos de los cuales pueden no ser empleados), procesos (algunos de los cuales pueden estar integrados hacia arriba con proveedores o hacia abajo con los clientes, o subcontratados), estructura organizativa y las normas (que pueden estar geográficamente dispersas, más allá de las fronteras nacionales, las jurisdicciones legales, husos horarios y climas), y la tecnología que posibilita que todo el sistema opere. Desde una perspectiva operativa, incluye el establecimiento de normas para la esperanza de vida, resistencia, flexibilidad y una serie de parámetros relacionados que, una vez más, no son solo cuestiones de la tecnología, sino los fundamentos de cómo funciona el negocio.

Pocas organizaciones operan en un entorno estático, y menos aún tienen la capacidad ideal para seguir una dirección establecida sin variación alguna. Por lo tanto, la supervisión sigue siendo una disciplina esencial en la gestión de nivel superior y el control del board de la utilización de TI. Sin embargo, la supervisión que se requiere no es sólo de bajo nivel de los equipos informáticos y desempeño de los sistemas. Sino que debe centrarse en la comprensión del papel de TI en la operación continua del negocio. Cuestiones tales como el costo y la rentabilidad de una transacción comercial son generalmente importantes. La diferencia entre el promedio actual de negocios y el pico de carga de trabajo en comparación con los niveles máximos teóricos para la carga de trabajo sostenido y explosión, son significativos en el cumplimiento de las cada vez más exigentes expectativas de los clientes y, proporcionar un contexto en el que las métricas en bruto de TI se presentan a la luz de otros factores que pueden influir en general los resultados del negocio. Entender que TI es sólo uno de los factores que pueden influir en el rendimiento, es esencial para una gestión eficiente de la capacidad empresarial. Los factores que influyen en las operaciones comerciales y la actividad también debe estar en el ámbito del control – alertar a la organización de los próximos cambios en el medio ambiente y otras circunstancias que pueden alterar significativamente sus actividades y expectativas de TI en el corto, mediano y largo plazo. La capacidad de la organización para lograr sus objetivos también puede depender en gran medida de la coherencia con que la organización, y en particular sus directivos, se ajusten a los requisitos establecidos en las normas que rigen sus actividades. Debe haber un régimen basado en la evidencia actual de confirmar que las normas relativas a la utilización de TI, así como todas las normas pertinentes, son comprendidas y observadas.

Simplemente tener la visibilidad del rendimiento y la conformidad no es suficiente. Las organizaciones incapaces de actuar adecuadamente sobre la información no se benefician de tener la información en primer lugar. La gestión debe garantizar que las capacidades de supervisión se complementan con los mecanismos que dan lugar a una respuesta oportuna y eficaz. Se han puesto de manifiesto recientemente robustos ejemplos de la necesidad de tener en cuenta las condiciones cambiantes y responder con prontitud en relación con las inundaciones que se han producido en Queensland y Victoria. Mientras que las inundaciones repentinas que devastaron Toowoomba y el Valle de Lockyer, no dieron aviso ni la oportunidad de tomar precauciones, el impacto diferido en Brisbane, y los avances casi glaciales de los 3.500 kilómetros cuadrados de agua en el noroeste de Victoria, han hecho que las comunidades, las empresas y las personas han tenido tiempo, desde horas a días para prepararse para la inundación.

ISO 38500 proporciona orientación adicional, por medio de seis principios. En la mayoría de las organizaciones, la administración debe llevar estos principios a la vida mediante el establecimiento de una política clara que define cómo se comportará la organización. Hemos discutido los principios en numerosas ocasiones en Infonomics Letter, y sin duda volverá a hacerlo en el futuro. En resumen, la dirección debería:

  • Asignar la responsabilidad clara e inequívoca para el uso de TI, con los altos directivos empresarial teniendo la responsabilidad primaria para el uso eficaz, eficiente y aceptable de TI. Las responsabilidades del proveedor (incluyendo las de las funciones internas de TI) deben ser igualmente claras y delimitadas por la capacidad real del proveedor. En particular, los proveedores no suelen planificar el negocio, implementan el cambio organizacional, o administran el negocio operativo. Naturalmente, las responsabilidades que se hayan asignado deben ser competentes para realizar la función, y rendir cuentas de sus correspondientes resultados.
  • Asegurarse que la estrategia y los planes para el uso de TI son parte integral de los planes de negocio, y que esa estrategia y planes para el abastecimiento de TI son congruentes con los planes de negocios. La estrategia empresarial debe estar informada con un entendimiento claro de la capacidad actual y futura de TI, la que existe dentro de la organización y la que puede ser posible a través de desarrollos externos. Las dimensiones de capacidad a ser consideradas incluyen las obvias de funcionalidad, así como las menos obvias de cómo están utilizando la tecnología los clientes, proveedores y competidores, la disponibilidad de acuerdos de abastecimiento adecuados para dar acceso a la tecnología y la capacidad de la organización y sus grupos de interés para asimilar los cambios posibilitados por TI.
  • Someter todas las decisiones respecto a la adquisición, retención y eliminación de TI a un análisis riguroso y adecuado, para garantizar que hay un balance entre el costo y el valor entregado, el riesgo y la ventaja competitiva. Estas consideraciones deberían incluir una amplia gama de factores, como la madurez de la tecnología, la disponibilidad de conocimientos de expertos, el alcance del impacto en el cambio, la criticidad del negocio, los imperativos externos y el contexto en particular en los planes generales de funcionamiento e inversión de la organización. El análisis se aplica por igual a las nuevas inversiones y gastos corrientes, siendo este último para garantizar que los gastos de rutina, son de hecho, justificados en el contexto de los planes a largo plazo de la organización.
  • Adoptar una perspectiva amplia sobre el desempeño de TI, anclada en los criterios de desempeño que son importantes para el negocio. La administración debe garantizar que hay un enfoque sólido y basado en el riesgo para identificar y resolver las limitaciones en el rendimiento empresarial vinculadas con TI, ya se trate de rendimiento empresarial, la sostenibilidad del negocio, las partes interesadas (clientes, proveedores, empleados, regulador, etc.) la confianza, y la evolución de los negocios.
  • Garantizar un nivel adecuado de conformidad con las normas externas e internas que rigen las actividades de la organización empresarial y el uso de TI. La administración debe garantizar que hay un equilibrio adecuado de la educación, la automatización y la ejecución para promover un nivel aceptable de conformidad con las normas. En algunas organizaciones, esto puede tener que ser complementado por medios formales de detección y rehabilitación de infracciones.
  • Entender que el comportamiento humano es un factor clave en el uso exitoso de TI en cada punto de compromiso en la planificación, construcción y explotación de una organización posibilitada por TI. Factores tales como la ambición, el miedo, la ignorancia, la codicia, junto con las ganas de ser útil, para evitar consecuencias y para ser valorado, todos pueden jugar un papel que determinan el éxito o el fracaso de TI en cualquier momento.

El reto de Peter Grant incluye la propia lista inicial de Peter. La discusión anterior sobre la forma en que la gestión debe considerar TI como un recurso clave del negocio, y cómo la administración debe utilizar la norma ISO 38500 para orientar el enfoque de las organizaciones a dirigir y controlar su uso de las TI, ofrece una lente para una discusión más de su lista.

  1. Ellos tienen que saber que muchas veces no necesitan software a medida escrito por ellos y que probablemente no quieres estar en el negocio de desarrollo de software.
    Esto va a los principios de estrategia y adquisición. Con muchos productos de software disponibles en la actualidad, en efecto, hay poca necesidad de incurrir en los costos, riesgos y el tiempo requerido para un desarrollo a medida, especialmente en los aspectos de la actividad que no son el centro para una ventaja competitiva. Para complementar este conocimiento, también necesitan saber que la personalización de paquetes de software pueden ser más caros que, en última instancia un desarrollo a medida, dependiendo de la magnitud del cambio, la disponibilidad de habilidades a corto y largo plazo, y el régimen de mantenimiento que acompaña al producto de software. Además, los líderes empresariales deben entender que en la adopción de paquetes de software, también es necesario – generalmente – adoptar y adaptar los modelos de negocio en los que se diseñó el software, esto puede conllevar un costo económico importante y disrupción en su propio derecho. El impacto y los resultados de este tipo de cambio puede, en algunos casos, hacer la selección de un paquete una mala elección.
  2. Ellos necesitan saber lo que les cuesta TI y cuál es el valor que obtienen de ella junto con alternativas para lograr el mismo resultado de otra manera.
    Esto es absolutamente coherente con las expectativas de los principios de adquisición y desempeño. Pero pensando en los principios debe conducir a una visión más amplia. La administración debe ir más allá de la comprensión del costo y el valor correspondiente de TI, para comprender también las consecuencias de negocio de gastar menos, gastar en las cosas equivocadas, gastar en el momento equivocado. La apreciación del valor debe ir más allá del simple retorno financiero sobre la inversión o gasto, para considerar cualquier otra métrica de valor que la organización ha adoptado – métricas tales como la sostenibilidad, el cliente y la satisfacción de los empleados y así sucesivamente.
  3. Se necesita tener una medida de la agilidad de su organización e identificar las áreas que bloquean la capacidad de respuesta rápida (a menudo es TI quien está haciendo el bloqueo).
    De nuevo, esto mapea varios principios. La estrategia de hecho debe ser informada por una sólida comprensión de la agilidad de la organización. Las decisiones de adquisición también deben tener en cuenta cuánto cambio se puede tolerar, así como también cuánto se puede entregar. La comprensión y moderación del comportamiento humano puede dar lugar a resultados muy diferentes. Peter sugiere que TI puede ser un bloqueador de agilidad. Esto puede ser así, pero muchos otros factores también pueden obstruir el progreso con los cambios posibilitados por TI. La resistencia al cambio del personal de línea de negocio, clientes, proveedores y otras partes interesadas pueden ser un impedimento. La demora y el costo también pueden ser ampliadas cuando uno está tratando de construir sobre, o adaptarse a un entorno informático establecido, que va mucho más allá de su fecha de caducidad, o que estén compuestos de bits destartalados y piezas ensartadas como resultado de la prudente restricción financiera de las inversiones iniciales y posterior mantenimiento. Demasiado a menudo aquí, el abastecimiento de TI no es la causa del obstáculo, sino que simplemente el mensajero que ha traído (varias veces) el foco a la situación.
  4. Se necesita tener una visión estratégica de la seguridad – no es función de TI configurar esto. TI tienden a establecer la seguridad para hacer las operaciones más fáciles para ellos. En la actualidad existen numerosas ilustraciones de organizaciones que no toman en serio la seguridad de la información.
    Peter está en lo correcto. Las organizaciones deben establecer claramente la responsabilidad de la seguridad de la información en la parte superior y bajarla en cascada a toda la organización. La seguridad de la información debe ser una parte integral de la estrategia de la organización. El gasto nuevo y recurrente en seguridad de la información debe estar sujeto a las mismas reglas para la adquisición de otros gastos para garantizar la correcta asignación de prioridades, así como la confirmación de los elementos de valor y riesgo. Las reglas claras y acuerdos de conformidad deben informar a todas las partes interesadas de su papel en la seguridad de la información, mientras que la garantía permanente de funcionamiento de la seguridad debe, entre otras cosas, prestar especial atención a los elementos del comportamiento humano de la situación de seguridad de la información.
  5. Se tiene que asegurar que tengan acceso a información oportuna y precisa para la toma de decisiones.
    Más que esto, los líderes empresariales tienen la necesidad de garantizar la plena comprensión de las decisiones que deben tomar. Con TI ahora intrínseca a la actividad empresarial, los líderes empresariales ya no pueden confiar en los especialistas de TI para comprender totalmente el contexto de los negocios y, posicionar con precisión la utilización adecuada de TI. Por el contrario, a medida que desarrollan la estrategia, los líderes empresariales deben adquirir e integrar en su pensamiento la comprensión suficiente de las capacidades y las limitaciones inherentes de TI que, les permitan desarrollar una visión adecuada y las correspondientes franjas de desarrollo para la organización. Para ser claros, la información oportuna y precisa que los líderes empresariales necesitan no se limita a la información sobre su negocio. Ahora incluye información acerca de cómo sus competidores, clientes y proveedores están utilizando la tecnología de la información, e información acerca de las capacidades específicas que en la actualidad, o que son posibles de ser entregadas por TI.
  6. Ellos tienen que conocer y comprender la solidez de su organización en general – y ya que a menudo el vínculo débil es TI, esto requiere una supervisión constante. Independientemente de cuál es el eslabón más débil, sin duda los líderes empresariales tienen que saber cómo funciona su organización y cuál es su robustez. Las circunstancias cambiantes pueden de forma significativa cambiar rápidamente el nivel de resistencia y flexibilidad. Hay muchos casos donde la falta de inversión y otros pobres controles de los aspectos de TI, pueden reducir en gran medida la capacidad para detectar y resolver problemas. La pérdida de conocimiento corporativo y competencias prácticas esenciales por desgaste, externalización y la redundancia forzada pueden, por ejemplo, tener un impacto dramático sobre la capacidad para detectar y resolver problemas. Igualmente, la introducción sin restricciones de nuevas TI puede resultar en la fragmentación de los datos clave, oscureciendo la visión global del negocio. La supervisión de la política efectiva basada en el uso de TI a través de los seis principios puede reducir la probabilidad de que se desarrollen o arraiguen los eslabones débiles, así la supervisión continua es esencial.
  7. Ellos tienen que estar constantemente buscando maneras de mejorar los procesos empresariales y algunos de esos pensamientos pueden venir de manera efectiva aprovechando los beneficios de las nuevas tecnologías – si sus operaciones de TI y el personal de seguridad los dejan 🙂 A menudo son un bloqueador aquí.
    Como se señaló en el punto 5, en efecto, los líderes empresariales deben estar buscando maneras de utilizar TI como una ventaja. La búsqueda no debe limitarse a los procesos de negocio – debe tratar todos los aspectos del modelo de negocio y los sistemas de la organización empresarial. Ahora, más que nunca, es la tarea fundamental de los líderes empresariales determinar cómo se utiliza TI, como parte de la determinación del diseño general y el funcionamiento de la organización.
    Para eliminar la posibilidad de obstrucción al cambio, los líderes empresariales deben garantizar que hay un entendimiento muy claro y equilibrado de la responsabilidad – que puede ser asignado de manera muy diferente ahora a la forma en que se ha hecho en el pasado. También debe haber mecanismos adecuados para garantizar que la estrategia de la organización para el uso de TI es adecuada, que cada una y todas las inversiones en, o la adquisición de tecnología es apropiada, que se aseguran todos los aspectos necesarios del desempeño de TI, que existen reglas claras y se complementan con acuerdos de conformidad adecuados, y que el comportamiento humano se canaliza a los mejores intereses de la organización.

Atrás quedaron los días en que TI se confinaba a la parte de atrás y sin consecuencias para las actividades del día a día de la organización. También atrás quedaron los días en que TI podía considerarse como un misterio insondable más allá del alcance de un gerente de negocios. Hay un perceptible nuevo sabor en el consejo de una amplia variedad de fuentes, haciendo hincapié en que los líderes empresariales deben participar en la dirección y control del uso de TI por sus organizaciones. ISO 38500 proporciona una valiosa orientación para los líderes empresariales, debido a que su atención se centra en el poder de ellos para dirigir y controlar el uso comercial de TI sin exigir que se conviertan en íntimos con las complejidades del diseño, la construcción de la integración y operación de los componentes de TI. A medida que la era de la información llega a un punto de inflexión en el que la infraestructura está desapareciendo rápidamente en una nube, ISO 38500 proporciona un nuevo anclaje de los debates en curso y discusiones críticas acerca de cómo, el cada vez menos tangible activo de TI se utiliza de manera eficaz, eficiente y aceptable, para crear capacidad de valor de negocio con un nivel aceptable de riesgo.

Más Caras Rojas

Apenas hemos terminado de publicar historias sobre los problemas de procesamiento de transacciones en el Banco Nacional de Australia, y antes de que la interrupción de los negocios en Virgin Blue a causa de una caída del servidor, y ya viene el siguiente caso ejemplo. Con un poco de casualidad, esta empresa también tiene un toque importante de rojo en su logotipo.

Vodafone Hutchison Australia (VHA) opera Vodafone y 3 redes inalámbricas de Internet y teléfonos en Australia. VHA es tanto un proveedor de TI a sus clientes y usuario de TI en la dirección de su propio negocio.

VHA ha sido objeto de una considerable insatisfacción de los clientes desde alrededor de octubre de 2010. Se han reportado problemas con el rendimiento móvil y acceso inalámbrico a Internet. Independientemente de cuán diligentemente o efectivamente la empresa enfrente los problemas internos, el público quedó insatisfecho, y un gran contingente de clientes de VHA se ha ocupado de la cuestión del uso de Internet. Uno de los clientes con sede en Sydney ha creado un sitio web – http://www.vodafail.com/– y atrajo a dicho registro tantos problemas que él ha sido capaz de elaborar un informe sustancial sobre los problemas que ahora se ha presentado a los organismos nacionales de supervisión corporativa y las telecomunicaciones. El peso de la información recogida proporciona un poderoso incentivo para VHA para reunirse con el creador del sitio web, en lo que habría sido un ejercicio fundamental de las relaciones públicas. La colección de comentarios de los clientes también es probable que figure en una acción de clase en la que los clientes han demandado a VHA con respeto a los problemas de desempeño.

Pero el 9 de enero de este año, los fallos de rendimiento y otras quejas sobre VHA fueron empujados a un segundo plano por un informe de prensa exponiendo lo que parece ser un fallo masivo en los controles de seguridad y privacidad aplicados a los datos de los clientes en VHA.

Mientras VHA se movió rápidamente para asegurar a los clientes que su información personal y privada era segura, otros informes de prensa también mostraron que estaban luchando desesperadamente para hacer frente a la debilidad que había sido expuesta en el informe original. En los días posteriores, el tema se mantuvo en la cima de las listas de noticias, y una variedad de informes dieron fragmentos de información a través del cual se puede deducir la situación probable. Parece que el sistema de gestión de atención al cliente y sistema de facturación de VHA, es utilizado por todos los distribuidores de VHA para atender las necesidades de los clientes, que van desde los nuevos servicios a la facturación y otras consultas, y así sucesivamente. En la superficie, que parece estar bien – el mismo modelo básico se aplica a los bancos y muchas otras formas de organización. Sin embargo, el modelo de VHA se vio comprometido porque al menos alguno de los comerciantes no son puntos de venta propios de VHA. Más bien son empresas independientes que actúan como agentes para VHA. Claramente, es operativamente eficiente para estas empresas acceder directamente a los sistemas de VHA para las nuevas conexiones y así sucesivamente – sería costoso e ineficaz tratar de operar de otra manera. Pero si bien puede estar bien dar acceso a los agentes de VHA a los sistemas de VHA para gestionar a sus clientes como un subconjunto de la base de clientes global, parece que VHA olvidó poner en marcha los controles necesarios para proteger los datos del cliente desde el acceso de otros distribuidores. Mientras que puede haber un argumento que un cliente debe tener servicios sin problemas desde cualquier distribuidor VHA, también parece haber un argumento a favor de algunos controles adicionales, ya que ha habido al menos un caso publicado de que el personal de las agencias «navegaban» la base de datos de clientes en busca de lo que podríamos llamar «oportunidades de negocio».

Sin embargo las malas prácticas de excavación a través de los datos del cliente que sea, palidece a casi insignificante cuando se comprende el hecho básico de la falla principal de VHA en proteger los datos de los clientes. Una vez más, los periodistas al seguir la historia han descubierto que la práctica de VHA para dar acceso al sistema del cliente, es asignar un único login de usuario y contraseña a cada agencia de VHA. Esta identidad de usuario y contraseña era conocido y utilizado por todo el personal en la tienda, y al parecer no ha cambiado con frecuencia. Este régimen tiene varias debilidades profundas, entre ellas: personal que abandona la empresa todavía tienen detalles de los códigos de acceso y contraseñas, y cualquier acceso a los datos específicos de un cliente sólo puede atribuirse a lo sumo a un único punto de venta, en lugar de a un individuo específico.

Otra historia contiene una sospecha inquietante que VHA también parece que no tiene acceso limitado al portal de gestión de clientes en internet solo a los medios que aprobó. Se dice que VHA ahora exige a sus distribuidores acceder al sistema sólo a través de una dirección de Internet estática única. El riesgo parece ser que antes, cualquier persona que sabía la ubicación de la web, el sistema de VHA, tuvo acceso a cualquier detalle de usuario y contraseña de una agencia, podría haber tenido un acceso sin restricciones a los datos desde cualquier lugar.

Haciendo una metáfora bancaria, sería como darle a todo el personal, en todas las sucursales, llaves idénticas para la bóveda y, probablemente, no teniendo una puerta trasera en la sucursal. Sería imposible saber quién habría tomado lo de la bóveda, por no hablar de lo que pasó después.

¿Alguien puede argumentar que la seguridad de la información en VHA aparece, a primera vista de los informes, que ha sido insuficientes? ¿Alguien no está de acuerdo que la palabra «inadecuada» en sí es totalmente inadecuada para describir la magnitud de la falla?

Ahora podemos continuar con esta discusión con una exploración de las opciones técnicas que VHA podría haber utilizado para proporcionar la seguridad adecuada sobre los datos de su negocio y la información privada y personal de sus clientes. Pero hay un montón de otros más capacitados para tratar estos asuntos. En su lugar, vamos a explorar las cuestiones de gobierno.

Así VHA es una empresa que, debido a la naturaleza de su negocio, almacena y mantiene un amplio conjunto de datos personales y privados de sus clientes, incluyendo los datos financieros, datos de tarjetas de crédito, y esos datos pueden ser utilizados para identificar las actividades empresariales y personales, de viaje, contactos personales, etc. La empresa estaría sujeta a una serie de leyes y reglamentos que emanan de distintas fuentes, en los campos de la vida privada, las telecomunicaciones y los sistemas de pagos.

Es evidente que, como parte de la evaluación de sus obligaciones en seguridad de la información, VHA debería haber sido plenamente informada acerca de la aplicación de estas leyes y reglamentos, las obligaciones específicas y las expectativas que imponen. Al correlacionar esta información con su modelo de negocio, en particular la práctica de la interconexión con sus clientes a través de terceros, VHA debería haber reconocido que sería necesario imponer un régimen muy fuerte de control de seguridad que proteja la información del cliente del acceso indebido y no autorizado, y proporcionar una pista de auditoría de alta fiabilidad de las acciones que se llevaron a cabo por todos y cada uno de los agentes que accedió los datos del cliente, por cualquier razón.

Nada de esto requiere la comprensión y la conciencia de ningún conocimiento de las técnicas de seguridad de la información y la tecnología. Cualquiera que haya trabajado en un tema para asegurar llaves para puertas y armarios, estará familiarizado con los principios básicos de la mínima seguridad adecuada a los datos de los clientes de VHA.

Sobre la base de los conocimientos adquiridos a través de la evaluación de las obligaciones de seguridad, VHA debería haber estado en condiciones de desarrollar políticas adecuadas, que luego le habrían servido de guía:

  • establecimiento de la tecnología de control adecuada;
  • preparación de las cláusulas pertinentes en los acuerdos del distribuidor;
  • preparación de material de capacitación y otros materiales de empleo para el personal de los demás concesionarios y VHA;
  • preparación de los procesos de inducción, la desvinculación y protocolos vigentes para el personal del distribuidor y VHA;
  • establecimiento de mecanismos de supervisión y respuesta para destacar y hacer frente a un comportamiento inusual o sospechoso;
  • establecimiento de un canal a través del cual los individuos podrían informar – confidencialmente – posibles infracciones de la política y los controles.

Aún, nada de esto requiere un conocimiento específico de las técnicas de seguridad de la información, por no hablar de la tecnología subyacente. Al hacer preguntas correspondientes a los puntos anteriores, y la obtención de servicios de verificación de expertos, la gestión ejecutiva y la junta de VHA podrían haber establecido con certeza si los procedimientos de la seguridad de la información de VHA eran adecuados. Incluso una solicitud para obtener una explicación de cómo se protegía la información del cliente debería hacer sonar las alarmas en voz alta, ya que hubiera sido muy claro que el enfoque actual fue ridículamente inadecuado.

VHA, y probablemente muchas otras organizaciones, deberían beneficiarse de la aplicación de la orientación de la norma ISO 38500 a su situación de seguridad de la información. Se debe:

  • evaluar sus obligaciones con respecto a la seguridad de la información;
  • dirigir la conducta de la organización y su personal en materia de seguridad de la información, mediante el establecimiento de una política adecuada y mediante la inversión adecuada en los arreglos de la seguridad de la información;
  • control de la eficacia y la eficiencia de los acuerdos de seguridad de información, y la conformidad de la organización, su personal, agentes y demás personal relevante a las políticas apropiadas publicadas.

Como mínimo, las políticas generales de la organización deberían establecer:

  • cómo se distribuye la responsabilidad de la seguridad de la información en toda la organización y sus entidades asociadas;
  • cómo se abordan las obligaciones de la seguridad de la información en el desarrollo de la estrategia de negocio de la organización y las más detalladas inversiones y planes operativos;
  • cómo por cada inversión para adquirir nueva capacidad de negocios o modificarla, se ocupa de las obligaciones correspondientes de la seguridad de la información, y como se priorizan las propuestas concretas para inversión en seguridad de la información, se financian y se avanza;
  • las metas de desempeño para la seguridad de la información, junto con los mecanismos de gestión de riesgos para garantizar que se alcanzan los objetivos constantemente;
  • el régimen de la conformidad aplicable a la seguridad de la información, a través del cual la organización y sus grupos de interés deben obtener garantías de que las medidas de seguridad son eficaces y que se resuelven las debilidades inaceptables e infracciones;
  • la necesidad de comprender las diversas comunidades humanas y las partes interesadas para diseñar los elementos específicos de los acuerdos de seguridad de la información para hacer frente a las características de comportamiento de esas comunidades.

Los directores deben, a raíz de la experiencia VHA, hacer preguntas directas acerca de las obligaciones y arreglos de su organización acerca de la seguridad de la información.

Nueva Oportunidad para Mejorar

Es pronto aún, pero la iniciativa de Victoria HealthSmart está en las noticias otra vez, desde la perspectiva de la gobernanza. El nuevo gobierno parece estar evaluando la iniciativa para establecer si debe o no continuar.

Infonomics ha sido crítico de HealthSmart durante mucho tiempo. Nos ha parecido ser una iniciativa antigua de flecha de plata con tecnólogos de buenas intenciones intentado impulsar el cambio en el negocio de servicios de salud sin la participación, dejándolos solos para entender plenamente el negocio del cuidado de la salud o la gente en el negocio. Seguro, se ha entregado una parte de la tecnología, pero todavía estamos pensando los resultados en la salud (negocio). Ya en el comentario de prensa de las preguntas formuladas por el nuevo ministro que hemos visto a HealthSmart comparado con MYKI, el muy criticado sistema de ventas de tickets de transporte público, que aún tiene que convencer a la mayoría de los expertos que va a funcionar. También hemos visto informes justo hoy cuando un médico principal confirmo que HealthSmart no fue diseñado en conjunto con los médicos.

Algunos opinan que, con más de $ 300 millones invertidos hasta la fecha, es demasiado tarde para cancelar el programa.

Infonomics sugiere que hay una pregunta sencilla que se debe hacer: Dada la situación actual, y reconociendo que los gastos hasta la fecha son un costo hundido irrecuperable, ¿cuál es el caso de negocio para continuar con HealthSmart en su forma actual, o en cualquier otra forma?

Vamos a seguir como se desarrolla la historia de HealthSmart y, sin duda, una vez más dar un consejo gratis para el nuevo gobierno de Victoria.

The Infonomics Letter Delimitada

Los lectores australianos de Infonomics Letter pueden haber notado un eco recientemente. Algunos de los debates en las últimas ediciones de Infonomics han llamado la atención de la periodista de la industria, Renai LeMay, y su sitio de noticias de tecnología, Delimiter. Infonomics está encantado de apoyar a Delimiter, y de tiempo en tiempo, el contenido de Infonomics aparecerá en los boletines diarios de Delimiter.

Renai LeMay también contribuye con ZDNet Australia, y como resultado, algunos de los materiales publicados de Infonomics en Delimiter aparecen también como artículos de opinión de ZDNet. Esta repetición de los recientes comentarios sobre el informe Reinecke es un ejemplo de ello.

Elefantes Extranjeros

Waltzing with the Elephant continúa su viaje en las bibliotecas de más y más líderes de negocio y los campos de TI. Fue un placer enviar un volumen importante de libros durante el período de oferta especial de diciembre. Estamos esperando los comentarios de los lectores.

Ante el creciente interés en el gobierno TI, es un placer anunciar dos importantes avances para Waltzing with the Elephant:

  • A partir de los próximos días, estará disponible para su compra en PDF a través del Reino Unido y EE.UU por IT Governance Limited. La presencia sustancial de IT Governance Limited en el mercado internacional es un seguro para aumentar la conciencia y la disponibilidad del libro y debe, esperamos, que traiga muchos más líderes de negocio y líderes de TI a una comprensión más completa de cómo se puede dirigir y controlar el uso de las TI en sus organizaciones.
  • Las comunidades de habla española en todo el mundo han mostrado un gran interés en la norma ISO 38500 y sus mensajes sobre la gobernanza de TI. Durante el año pasado, Miguel García-Menéndez de Madrid ha trabajado en su tiempo libre para traducir el libro al español. Su proyecto está casi terminado en la fase de traducción y, tras una revisión exhaustiva, esperamos publicar la edición española. Aquellos que deseen recibir una copia impresa de la primera edición deberían presentar sus solicitudes temprano. Más detalles estarán disponibles a medida que se produzcan.

Eventos Recientes/Futuros

Gracias a Dios por el descanso de la Navidad ampliada de Australia / Año Nuevo / vacaciones de verano. Ha sido una gran oportunidad y esencial para recargar las baterías, con un calendario claro entre el 3 de diciembre y 20 de enero.

Sydney, January 20: Dimension Data Learning Solutions hosted an intimate group for a briefing on governance of IT and the educational services that Infonomics will be offering during 2011.

Kuala Lumpur, 26-27 January 2011: Expitris Worldwide presents another two day class on governance of IT. This class is heavily booked, and reflects a growing level of interest in ISO 38500 across the region, and has attracted participants from as far afield as the Middle East.

Busque más noticias de eventos en febrero a medida que ultimamos los preparativos para una serie de reuniones de información y cursos de entrenamiento en Australia e internacionales.

Anuncio publicitario

¿Qué opinan?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.