07 noviembre 2009

La madurez de los procesos y el Gobierno de TI

Así se titula el artículo publicado por Roger Debreceny (Universidad de Hawai) y Glen L. Gray (Universidad de California) en el volumen 3 de la revista Journal de ISACA y que se basa en el estudio realizado por el ITGI con el mismo título publicado en noviembre de 2008 y que podéis descargar aquí [siempre que tengáis un usuario válido]. Después de una lectura pausada, he pensado que merecía la pena comentar algunos de los resultados resaltados en dicho artículo en relación al estudio realizado.

Dicho estudio consistía en una evaluación de la madurez de los 34 procesos identificados en COBIT entre 51 empresas voluntarias de Europa, Asía y Norteamérica. Como en todo este tipo de estudios, los datos fueron reportados por la propia organización por lo que, naturalmente, están expuestos a cierto sesgo puesto que no existió ningún proceso de validación de dicha información.

El primer aspecto a comentar sería el tamaño de las organizaciones incluidas en el estudio, pues se trata de organizaciones bastante grandes: promedio de 172 personas en TI y 3.312 puestos clientes (con un máximo de 15.000). Así que, imaginemos como serían los resultados que vamos a comentar si el tamaño de la organización fuera más pequeña (como es el caso, por otra parte, en España, por ejemplo).

En segundo lugar, resaltar que existen algunos procesos en los que algunas organizaciones no habían hecho nada (tenían un nivel de madurez de '0'). En concreto, los procesos siguientes [aunque os parezca mentira]:
  • DS2 - Gestión de servicios de terceros
  • DS4 - Asegurar un servicio continuo
  • AI4 - Permitir la operación y el uso
  • ME2 - Monitorizar y evaluar el control interno
  • ME3 - Asegurar el cumplimiento con requerimientos externos
En tercer lugar, comentar el dominio que menor puntuación saca en global, se trata (como no podía ser de otra forma), el de Monitorización y Evaluación (ME).

Finalmente, lo que los mismos autores concluyen: Que no existe una estrategia general y consistente para todos los procesos, sino que en cada caso, en lugar de evaluar cuál debería ser el nivel de madurez óptimo para cada organización, se actúa con el objetivo de alcanzar un nivel mínimo aceptable (lo que los autores denominan una estrategia de bombero o apaga-fuegos).

En definitiva, unos resultados llamativos y muy ilustrativos para los que buscamos conocer con profundidad como las organizaciones afrontan este tema de la seguridad de la información.

No hay comentarios: